Exchange Online 클라이언트 액세스 규칙

아티클
03/19/2023

요약: 관리자가 클라이언트 액세스 규칙을 사용하여 다양한 유형의 클라이언트 연결을 허용하거나 차단하여 Exchange Online 방법을 알아봅니다.

클라이언트 액세스 규칙은 클라이언트 속성 또는 클라이언트 액세스 요청에 따라 Exchange Online organization 대한 액세스를 제어하는 데 도움이 됩니다. 클라이언트 액세스 규칙은 Exchange Online organization 대한 클라이언트 연결에 대한 메일 흐름 규칙(전송 규칙이라고도 함)과 같습니다. 클라이언트가 IP 주소(IPv4 및 IPv6), 인증 유형 및 사용자 속성 값 및 연결하는 데 사용하는 프로토콜, 애플리케이션, 서비스 또는 리소스에 따라 Exchange Online 연결하지 못하도록 방지할 수 있습니다. 예를 들면

특정 IP 주소에서 Exchange ActiveSync 클라이언트에 대한 액세스를 허용하고 다른 모든 ActiveSync 클라이언트를 차단합니다.
특정 부서, 도시 또는 국가/지역의 사용자에 대한 EWS(Exchange Web Services)에 대한 액세스를 차단합니다.
사용자 이름에 따라 특정 사용자의 OAB(오프라인 주소록)에 대한 액세스를 차단합니다.
페더레이션 인증을 사용하는 클라이언트 액세스를 방지합니다.
Exchange Online PowerShell을 사용하여 클라이언트 액세스를 차단합니다.
특정 국가 또는 지역의 사용자에 대한 클래식 EAC(Exchange 관리 센터)에 대한 액세스를 차단합니다.

클라이언트 액세스 규칙 절차는 Exchange Online 클라이언트 액세스 규칙에 대한 절차를 참조하세요.

참고

EWS 가장을 사용할 때 서비스 계정 액세스 차단은 클라이언트 액세스 규칙에서 지원되지 않습니다.

2022년 10월부터 사용하지 않은 모든 기존 Exchange Online 조직에 대한 클라이언트 액세스 규칙에 대한 액세스를 사용하지 않도록 설정했습니다. 2023년 10월에는 모든 Exchange Online 조직에 대해 클라이언트 액세스 규칙에 대한 지원이 종료됩니다. 자세한 내용은 Exchange Online 클라이언트 액세스 규칙 사용 중단을 참조하세요.

클라이언트 액세스 규칙 구성 요소

규칙은 조건, 예외, 작업 및 우선 순위 값으로 구성됩니다.

조건: 작업을 적용할 클라이언트 연결을 식별합니다. 전체 조건 목록은 이 항목의 뒷부분에 나오는 클라이언트 액세스 규칙 조건 및 예외 섹션을 참조하세요. 클라이언트 연결이 규칙의 조건과 일치하면 작업이 클라이언트 연결에 적용되고 규칙 평가가 중지됩니다(연결에 더 이상 규칙이 적용되지 않음).
예외: 필요에 따라 작업이 적용되지 않아야 하는 클라이언트 연결을 식별합니다. 예외는 조건을 재정의하고 연결이 구성된 모든 조건과 일치하는 경우에도 규칙 작업이 연결에 적용되지 않도록 방지합니다. 예외에서 허용되는 클라이언트 연결에 대한 규칙 평가는 계속되지만 후속 규칙은 여전히 연결에 영향을 줄 수 있습니다.
작업: 규칙의 조건과 일치하고 예외와 일치하지 않는 클라이언트 연결에 대해 수행할 작업을 지정합니다. 유효한 작업은 다음과 같습니다.
- 연결을 허용합니다(AllowAccessAction 매개 변수의 값).
- 연결을 차단합니다(DenyAccessAction 매개 변수의 값).
  
  참고: 특정 프로토콜에 대한 연결을 차단하면 동일한 프로토콜을 사용하는 다른 애플리케이션도 영향을 받을 수 있습니다.
우선 순위: 규칙이 클라이언트 연결에 적용되는 순서를 나타냅니다(낮은 숫자는 더 높은 우선 순위를 나타냅니다). 기본 우선 순위는 규칙이 만들어진 시기를 기반으로 하며(이전 규칙은 최신 규칙보다 우선 순위가 높음), 우선 순위가 낮은 규칙보다 우선 순위가 높은 규칙이 처리됩니다. 클라이언트 연결이 규칙의 조건과 일치하면 규칙 처리가 중지됩니다.

규칙에 우선 순위 값을 설정하는 방법에 대한 자세한 내용은 Exchange Online PowerShell을 사용하여 클라이언트 액세스 규칙의 우선 순위 설정을 참조하세요.

클라이언트 액세스 규칙 평가 방법

동일한 조건을 가진 여러 규칙을 평가하는 방법 및 여러 조건, 조건 값 및 예외가 있는 규칙을 평가하는 방법은 다음 표에 설명되어 있습니다.

구성 요소	논리	설명
동일한 조건을 포함하는 여러 규칙	첫 번째 규칙이 적용되고 후속 규칙이 무시됩니다.	예를 들어 우선 순위가 가장 높은 규칙이 웹용 Outlook 연결을 차단하고 특정 IP 주소 범위에 대한 웹용 Outlook 연결을 허용하는 다른 규칙을 만드는 경우 모든 웹용 Outlook 연결이 첫 번째 규칙에 의해 여전히 차단됩니다. 웹용 Outlook 대한 다른 규칙을 만드는 대신 기존 웹용 Outlook 규칙에 예외를 추가하여 지정된 IP 주소 범위의 연결을 허용해야 합니다.
한 규칙의 여러 조건	그리고	클라이언트 연결은 규칙의 모든 조건과 일치해야 합니다. 예를 들어 회계 부서의 사용자로부터의 EWS 연결입니다.
규칙에 여러 값이 있는 하나의 조건	또는	둘 이상의 값을 허용하는 조건의 경우 연결이 지정된 조건 중 하나(전부는 아님)와 일치해야 합니다. 예를 들어 EWS 또는 IMAP4 연결입니다.
한 규칙의 여러 예외	또는	클라이언트 연결이 예외 중 하나와 일치하는 경우 작업은 클라이언트 연결에 적용되지 않습니다. 연결이 모든 예외와 일치할 필요는 없습니다. 예를 들어 IP 주소 19.2.168.1.1 또는 기본 인증입니다.

특정 클라이언트 연결이 클라이언트 액세스 규칙(일치하여 연결에 영향을 주는 규칙)의 영향을 받는 방법을 테스트할 수 있습니다. 자세한 내용은 Exchange Online PowerShell을 사용하여 클라이언트 액세스 규칙 테스트를 참조하세요.

참고

클라이언트 액세스 규칙은 인증 후에 평가되며 원시 연결 또는 인증 시도를 차단하는 데 사용할 수 없습니다.

중요 참고 사항

내부 네트워크의 클라이언트 연결

로컬 네트워크의 연결은 클라이언트 액세스 규칙을 무시하도록 자동으로 허용되지 않습니다. 따라서 Exchange Online 대한 클라이언트 연결을 차단하는 클라이언트 액세스 규칙을 만들 때 내부 네트워크의 연결에 영향을 주는 방법을 고려해야 합니다. 내부 클라이언트 연결이 클라이언트 액세스 규칙을 우회하도록 허용하는 기본 방법은 내부 네트워크(모든 또는 특정 IP 주소)에서 클라이언트 연결을 허용하는 가장 높은 우선 순위 규칙을 만드는 것입니다. 이렇게 하면 나중에 만드는 다른 차단 규칙에 관계없이 클라이언트 연결이 항상 허용됩니다.

클라이언트 액세스 규칙 및 중간 계층 애플리케이션

Exchange Online 액세스하는 많은 애플리케이션은 중간 계층 아키텍처를 사용합니다(클라이언트는 중간 계층 애플리케이션과 통신하고 중간 계층 애플리케이션은 Exchange Online 통신). 로컬 네트워크의 액세스만 허용하는 클라이언트 액세스 규칙은 중간 계층 애플리케이션을 차단할 수 있습니다. 따라서 규칙은 중간 계층 애플리케이션의 IP 주소를 허용해야 합니다.

Microsoft가 소유한 중간 계층 애플리케이션(예: iOS 및 Android용 Outlook)은 클라이언트 액세스 규칙에 의한 차단을 무시하며 항상 허용됩니다. 이러한 애플리케이션에 대한 추가 제어를 제공하려면 애플리케이션에서 사용할 수 있는 제어 기능을 사용해야 합니다.

규칙 변경에 대한 타이밍

전반적인 성능을 향상시키기 위해 클라이언트 액세스 규칙은 캐시를 사용합니다. 즉, 규칙 변경 내용이 즉시 적용되지 않습니다. organization 만드는 첫 번째 규칙은 적용되는 데 최대 24시간이 걸릴 수 있습니다. 그 후에는 규칙을 수정, 추가 또는 제거하는 데 최대 1시간이 걸릴 수 있습니다.

관리

PowerShell을 사용하여 클라이언트 액세스 규칙을 관리할 수 있으므로 원격 PowerShell에 대한 액세스를 차단하는 규칙에 주의해야 합니다. 원격 PowerShell에 대한 액세스를 차단하는 규칙을 만들거나 모든 사용자에 대한 모든 프로토콜을 차단하는 규칙을 만드는 경우 규칙을 직접 수정하는 기능이 손실됩니다. Microsoft 고객 서비스 및 지원을 호출해야 하며, 사용자가 고유한 규칙을 수정할 수 있도록 어디서나 원격 PowerShell 액세스를 제공하는 규칙을 만듭니다. 이 새 규칙이 적용되는 데 최대 1시간이 걸릴 수 있습니다.

모범 사례로, 원격 PowerShell에 대한 액세스를 유지하기 위해 우선 순위가 가장 높은 클라이언트 액세스 규칙을 만듭니다. 예를 들면

New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1

클라이언트 액세스 규칙의 인증 유형 및 프로토콜

클라이언트 액세스 규칙의 모든 프로토콜에 대해 모든 인증 유형이 지원되는 것은 아닙니다. 프로토콜당 지원되는 인증 유형은 다음 표에 설명되어 있습니다.

Protocol(프로토콜)	AdfsAuthentication	BasicAuthentication	CertificateBasedAuthentication	NonBasicAuthentication	OAuthAuthentication
`ExchangeActiveSync`	해당 없음	지원	지원	해당 없음	지원
`ExchangeAdminCenter`¹	지원	지원	해당 없음	해당 없음	해당 없음
`IMAP4`	해당 없음	지원	해당 없음	해당 없음	지원
`OutlookWebApp`	지원	지원	해당 없음	해당 없음	해당 없음
`POP3`	해당 없음	지원	해당 없음	해당 없음	지원
`RemotePowerShell`	해당 없음	지원	해당 없음	지원	해당 없음

¹ 이 프로토콜은 클래식 EAC(Exchange 관리 센터)에만 적용됩니다.

클라이언트 액세스 규칙 조건 및 예외

클라이언트 액세스 규칙의 조건 및 예외는 규칙이 적용되거나 적용되지 않는 클라이언트 연결을 식별합니다. 예를 들어 규칙이 Exchange ActiveSync 클라이언트의 액세스를 차단하는 경우 특정 범위의 IP 주소에서 Exchange ActiveSync 연결을 허용하도록 규칙을 구성할 수 있습니다. 구문은 조건 및 해당 예외에 대해 동일합니다. 유일한 차이점은 조건이 포함할 클라이언트 연결을 지정하는 반면 예외는 제외할 클라이언트 연결을 지정하는 것입니다.

이 표에서는 클라이언트 액세스 규칙에서 사용할 수 있는 조건 및 예외에 대해 설명합니다.

Exchange Online PowerShell의 조건 매개 변수	Exchange Online PowerShell의 예외 매개 변수	설명
AnyOfAuthenticationTypes	ExceptAnyOfAuthenticationTypes	유효한 값은 다음과 같습니다. `AdfsAuthentication` `BasicAuthentication` `CertificateBasedAuthentication` `NonBasicAuthentication` `OAuthAuthentication` 쉼표로 구분하여 여러 값을 지정할 수 있습니다. 각 개별 값("value1","value2")에 따옴표를 사용할 수 있지만 모든 값 주위에는 사용할 수 없습니다("value1,value2"를 사용하지 않음). 참고: 를 지정하는 `ExceptAnyOfAuthenticationTypesAnyOfAuthenticationTypes` 경우 도 지정해야 합니다.
AnyOfClientIPAddressesOrRanges	ExceptAnyOfClientIPAddressesOrRanges	IPv4 및 IPv6 주소가 지원됩니다. 유효한 값은 다음과 같습니다. 단일 IP 주소: 예를 들어 192.168.1.1 또는 2001:DB8::2AA:FF:C0A8:640A. IP 주소 범위: 예를 들어 192.168.0.1-192.168.0.254 또는 2001:DB8::2AA:FF:C0A8:640A-2001:DB8::2AA:FF:C0A8:6414. CIDR(클래스리스 Inter-Domain 라우팅) IP: 예를 들어 192.168.3.1/24 또는 2001:DB8::2AA:FF:C0A8:640A/64. 쉼표로 구분하여 여러 값을 지정할 수 있습니다. IPv6 주소 및 구문에 대한 자세한 내용은 이 Exchange 2013 항목: IPv6 주소 기본 사항을 참조하세요.
AnyOfProtocols	ExceptAnyOfProtocols	유효한 값은 다음과 같습니다. `ExchangeActiveSync` `ExchangeAdminCenter`¹ `ExchangeWebServices` `IMAP4` `OfflineAddressBook` `OutlookAnywhere` (HTTP를 통한 MAPI 포함) `OutlookWebApp`(웹용 Outlook) `POP3` `PowerShellWebServices` `RemotePowerShell` `REST` 쉼표로 구분하여 여러 값을 지정할 수 있습니다. 각 개별 값("value1","value2")에 따옴표를 사용할 수 있지만 모든 값 주위에는 사용할 수 없습니다("value1,value2"를 사용하지 않음). 참고: 규칙에서 이 조건을 사용하지 않으면 규칙이 모든 프로토콜에 적용됩니다.
범위	해당 없음	규칙이 적용되는 연결 유형을 지정합니다. 유효한 값은 다음과 같습니다. `Users`: 규칙은 최종 사용자 연결에만 적용됩니다. `All`: 규칙은 모든 유형의 연결(최종 사용자 및 중간 계층 앱)에 적용됩니다.
UsernameMatchesAnyOfPatterns	ExceptUsernameMatchesAnyOfPatterns	텍스트 및 와일드카드 문자()를 수락하여 형식으로 사용자의 계정 이름을 `<Domain>\<UserName>` 식별합니다(예 `contoso.com\jeff` : 또는 `jeff`,은 아님 `jeff`). 영숫자가 아닌 문자에는 이스케이프 문자가 필요하지 않습니다. 쉼표로 구분하여 여러 값을 지정할 수 있습니다.
UserRecipientFilter	해당 없음	OPath 필터 구문을 사용하여 규칙이 적용되는 사용자를 식별합니다. 예를 들면 `"City -eq 'Redmond'"`와 같습니다. 필터링 가능한 특성은 다음과 같습니다. `City` `Company` `CountryOrRegion` `CustomAttribute1`에서 `CustomAttribute15`로 `Department` `Office` `PostalCode` `StateOrProvince` `StreetAddress` 검색 조건은 구문을 `"<Property> -<Comparison operator> '<Value>'"`사용합니다. `<Property>` 는 필터링 가능한 속성입니다. `-<Comparison Operator>` 는 OPATH 비교 연산자입니다. 예를 들어 `-eq` 정확한 일치(와일드카드는 지원되지 않음) 및 `-like` 문자열 비교(속성 값에 하나 이상의 와일드카드가 필요함)에 대한 예입니다. 비교 연산자에 대한 자세한 내용은 about_Comparison_Operators 참조하세요. `<Value>` 는 속성 값입니다. 와일드카드()가 있는 공백 또는 값이 있거나 없는 텍스트 값은 따옴표(예 `'<Value>'` : 또는 `'<Value>'`)로 묶어야 합니다. 시스템 값 `$null` 과 함께 따옴표를 사용하지 마세요(빈 값의 경우). 논리 연산자 `-and` 및 `-or`를 사용하여 여러 검색 조건을 함께 연결할 수 있습니다. 예를 들어 `"<Criteria1> -and <Criteria2>"` 또는 `"(<Criteria1> -and <Criteria2>) -or <Criteria3>"`입니다. OPATH 필터 구문에 대한 자세한 내용은 추가 OPATH 구문 정보를 참조하세요.