모바일 디바이스 액세스 규칙 관리 - Amazon WorkMail
모바일 디바이스 액세스 규칙의 작동 방식모바일 디바이스 액세스 규칙 사용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

모바일 디바이스 액세스 규칙 관리

Amazon WorkMail의 모바일 디바이스 액세스 규칙을 통해 관리자는 특정 유형의 모바일 디바이스에 대한 사서함 액세스를 제어할 수 있습니다. 기본적으로 각 Amazon WorkMail 조직은 유형, 모델, 운영 체제 또는 사용자 에이전트와 상관없이 모든 디바이스에 사서함 액세스 권한을 부여하는 규칙을 사용합니다. 해당 기본 규칙을 편집하거나 자체 규칙으로 바꿀 수 있습니다. 규칙을 추가, 변경 및 삭제할 수도 있습니다.

주의

조직에 대한 모든 모바일 디바이스 액세스 규칙을 삭제하면 Amazon WorkMail은 모든 모바일 디바이스 액세스를 차단합니다.

다음 디바이스 속성을 기반으로 액세스를 허용하거나 거부하는 규칙을 생성할 수 있습니다.

  • 디바이스 유형 - "iPhone", "iPad" 또는 "Android."

  • 디바이스 모델 - "iPhone10C1", "iPad5C1" 또는 "HTCOneX."

  • 디바이스 운영 체제 - "iOS 12.3.1 16F203" 또는 "Android 8.1.0".

  • 디바이스 사용자 에이전트 - "iOS/14.2 (18B92) exchangesyncd/1.0," 또는 "Android-Mail/7.7.16.163886392.release."

AWS Management Console에서 디바이스 속성을 보려면 모바일 디바이스 세부 정보 보기를 참조하세요.

참고

일부 디바이스 및 클라이언트는 모든 필드의 속성을 보고하지 않을 수 있습니다. 이러한 경우를 해결하는 방법에 대한 자세한 내용은 Dealing with empty fields 부분을 참조하세요.

중요

Amazon WorkMail 모바일 디바이스 액세스 규칙은 Microsoft Exchange ActiveSync 프로토콜을 사용하는 디바이스에만 적용됩니다. IMAP과 같은 다른 프로토콜을 사용하는 모바일 클라이언트는 여기에 나열된 디바이스 속성을 보고하지 않으므로 이러한 규칙은 적용되지 않습니다.

다른 프로토콜을 사용하는 디바이스에 대한 액세스를 제한해야 하는 경우 액세스 제어 규칙을 만들 수 있습니다. 이에 대한 자세한 내용은 액세스 제어 규칙 작업을 참조하세요. 예를 들어 다른 프로토콜과 웹 메일에 대한 액세스를 회사 IP 주소 범위로만 제한하고 다른 곳에서는 Microsoft ActiveSync를 허용한 다음, 모바일 디바이스 액세스 규칙을 사용하여 허용된 클라이언트의 유형 및 버전을 추가로 제한할 수 있습니다.

모바일 디바이스 액세스 규칙의 작동 방식

모바일 디바이스 액세스 규칙은 Microsoft Exchange ActiveSync 프로토콜을 사용하는 디바이스에만 적용됩니다. 각 규칙에는 규칙이 적용되는 시점을 지정하는 일련의 조건과 함께 디바이스에 대한 ALLOWDENY 액세스 효과도 있습니다. 규칙은 규칙의 모든 조건이 사용자 모바일 디바이스의 속성과 일치하는 경우에만 액세스 요청에 적용됩니다. 조건이 없는 규칙은 모든 요청에 적용됩니다. 각 조건은 디바이스의 보고된 속성과 대소문자를 구분하지 않는 접두사 일치를 사용합니다.

Amazon WorkMail은 규칙을 다음과 같이 평가합니다.

  • 디바이스 속성과 일치하는 DENY 규칙이 있는 경우 정책이 디바이스를 차단합니다. DENY 규칙이 ALLOW 규칙보다 우선합니다.

  • 하나 이상의 ALLOW 규칙이 일치하고 DENY 규칙이 하나도 일치하지 않는 경우, 정책에서 디바이스를 허용합니다.

  • 규칙이 적용되지 않으면 디바이스가 차단됩니다.

중요

모바일 디바이스는 규칙이 작동하는 데 사용하는 속성을 보고합니다. 디바이스는 Microsoft ActiveSync 디바이스 프로비저닝 프로세스 중에 속성을 보고합니다. Amazon WorkMail은 모바일 클라이언트가 올바른 정보 또는 최신 정보를 보고하는지 독립적으로 확인할 수 없습니다.

모바일 디바이스 액세스 규칙 사용

API 또는 AWS 명령줄 인터페이스(CLI)를 사용하여 모바일 디바이스 액세스 규칙을 생성하고 관리할 수 있습니다. 에 대한 자세한 내용은 AWS 명령줄 인터페이스 사용 설명서를 AWS CLI참조하세요.

중요

Amazon WorkMail 조직의 액세스 규칙을 변경하면 영향을 받는 디바이스가 업데이트된 규칙을 따르는 데 5분이 걸릴 수 있으며, 이 시간 동안 디바이스는 일관되지 않은 동작을 보일 수 있습니다. 하지만 규칙을 테스트하면 즉시 올바른 동작이 표시됩니다. 자세한 내용은 Testing mobile device access rules 단원을 참조하십시오.

모바일 디바이스 액세스 규칙 나열

다음 예제에서는 모바일 디바이스 액세스 규칙을 표시하는 방법을 보여줍니다.

aws workmail list-mobile-device-access-rules --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56
모바일 디바이스 액세스 규칙 생성

다음 예제에서는 모든 Android 디바이스가 사서함에 액세스하는 것을 차단하는 규칙을 만듭니다.

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name BlockAllAndroid --effect DENY --device-types "android"

다음 예제에서는 특정 버전의 iOS만 허용하는 규칙을 생성합니다. 기본 ALLOW-all 규칙을 제거해야 합니다.

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name AllowLatestiOS --effect ALLOW --device-operating-systems "iOS 14.3"
모바일 디바이스 액세스 규칙 업데이트

다음 예시에서는 식별자를 추가하여 디바이스 규칙을 업데이트합니다.

aws workmail update-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --mobile-device-access-rule-id 1a2b3c4d --name AllowLatestiOS --effect ALLOW --device-operating-systems "iOS 14.4"
모바일 디바이스 액세스 규칙 삭제

다음 예시에서는 지정된 식별자를 사용하는 모바일 디바이스 액세스 규칙을 삭제합니다.

aws workmail delete-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --mobile-device-access-rule-id 1a2b3c4d
모바일 디바이스 액세스 규칙 테스트

액세스 규칙을 테스트하려면 GetMobileDeviceAccessEffect API 또는 AWS CLI 에서 get-mobile-device-access-effect 명령을 사용할 수 있습니다. 에 대한 자세한 내용은 AWS 명령줄 인터페이스 사용 설명서를 AWS CLI참조하세요.

테스트할 때 시뮬레이션된 모바일 디바이스의 속성을 전달하면 API 또는 CLI가 해당 속성을 가진 실제 모바일 디바이스가 받을 액세스 효과(ALLOW 또는 DENY)를 반환합니다. 예를 들어, 이 명령은 iOS 14.2를 실행하는 iPhone과 기본 메일 앱이 사서함에 액세스할 수 있는지 여부를 테스트합니다.

aws workmail get-mobile-device-access-effect --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --device-type "iPhone" --device-model "iPhone10C1" --device-operating-system "iOS 14.2.1 16F203" --device-user-agent "iOS/14.2 (18B92) exchangesyncd/1.0"
빈 필드 처리

일부 모바일 디바이스 또는 클라이언트는 하나 이상의 필드에 대한 정보를 보고하지 않아 값을 비워 둘 수 있습니다. 조건에 특수 값 $NONE을 사용하여 규칙을 이러한 디바이스와 일치시킬 수 있습니다. 예를 들어, DeviceTypes=["iphone", "ipad", "$NONE"]이 있는 규칙의 경우 "iphone" 또는 "ipad"의 디바이스 유형을 보고하는 디바이스를 일치시키거나 디바이스 유형을 전혀 보고하지 않습니다.

NotDeviceTypes 또는 NotDeviceUserAgents와 같은 부정적인 조건은 이러한 빈 값과 일치하지 않습니다. 예를 들어, NotDeviceTypes=["android"]가 있는 규칙은 "android" 이외의 디바이스 유형을 보고하는 디바이스를 일치시킵니다. 하지만 디바이스 유형을 전혀 보고하지 않는 디바이스에는 규칙이 적용되지 않습니다.