그림자잡기

로그인시 아래와 같이 나옴

AzureAD 에 들어가보니 이용금지가 되어있음

사용하도록 설정함

가끔 금지되는 경우가 나옴

이때 풀어줘야합니다.

NDR 전체는 아래와 같습니다.

Diagnostic information for administrators:

Generating server: SL2PR06MB3401.apcprd06.prod.outlook.com

one313@daum.net
Remote server returned '550 5.7.705 Service unavailable. Access denied, tenant has exceeded threshold. For more information please go to http://go.microsoft.com/fwlink/?LinkId=526653 S(7136) [TYZPR06MB6093.apcprd06.prod.outlook.com 2023-07-28T01:17:50.283Z 08DB8E3BACE3A846]'

Original message headers:

Delivery has failed to these recipients or groups:
one313@daum.net
Your message wasn't delivered because the recipient's email provider rejected it.


Diagnostic information for administrators:
Generating server: SL2PR06MB3401.apcprd06.prod.outlook.com
one313@daum.net
Remote server returned '550 5.7.705 Service unavailable. Access denied, tenant has exceeded threshold. For more information please go to http://go.microsoft.com/fwlink/?LinkId=526653 S(7136) [TYZPR06MB6093.apcprd06.prod.outlook.com 2023-07-28T01:17:50.283Z 08DB8E3BACE3A846]'
Original message headers:
Received: from SL2PR06MB3401.apcprd06.prod.outlook.com
 ([fe80::3f61:c951:9902:b6b3]) by SL2PR06MB3401.apcprd06.prod.outlook.com
 ([fe80::3f61:c951:9902:b6b3%4]) with mapi id 15.20.6631.026; Fri, 28 Jul 2023
 01:17:50 +0000
MIME-Version: 1.0
Content-Type: text/plain
Date: Fri, 28 Jul 2023 01:17:50 +0000
Message-ID:
<SL2PR06MB34018DC54AEA20C9565FE0D3EB06A@SL2PR06MB3401.apcprd06.prod.outlook.com>
Subject: =?ks_c_5601-1987?B?uN7AzyC537zb?=

에고고...

Microsoft Exchange Online 의 경우 정상적이지 않은 메일이 다량을 발송될경우 자체적으로 테넌트에서 보내는 메일 전체를 막게됩니다.

참고문서 

Exchange Online NDR(배달 불가 보고서) 및 SMTP 오류 Email - Exchange | Microsoft Learn

이러한 내용이 나오게 되면 우선 테넌트에 커넥터에 들어가 케넥터상 이상한 커넥터가 만들어졌는지 체크 합니다.

아래는 실제로 저희회사 테넌트에 만들어진 커넥터 입니다.

실제로는 아래 이슈로 걸릴 수 있다고합니다. 

참고문서 : Exchange Online NDR 오류 5.7.700~ 5.7.750 수정 - Exchange | Microsoft Learn

수정한 뒤 M365 관리자가 온라인기술지원으로 요청을 해야 합니다.

아래는 실제로 기술지원 요청한 내용입니다.

이렇게 요청하면 메일이 온 뒤 전화가 오게됩니다.

그러면 전체 테넌트에서 메일이 나가지 않는다고 설명하시고 풀어주길 기다리면 됩니다.

시간은 30분 정도 걸린거 같네요

문제는 전화가 오기까지 시간입니다. 

제 경우는 1시간 10분쯤 걸린거 같네요

다시말하면 전체 테넌트 사용자의 외부발송이 1시간 30분동안 마비된다는...

고객사에서 AzureAD Join 시 보안강화를 위해 USB 드라이브의 쓰기권한을 제거하고 싶다고 문의가 왔습니다. 

이에 구성법 남깁니다. 

Intune 을 사용하게 되므로 Intune 라이센스가 없으면 해당 구성을 할 수 없습니다

해당 라이센스의 구입문의는 제일 아래 참고 바랍니다.

우선 위와같이 O365 관리자로 로그인 후에 관리센터로 들어갑니다. 

그 뒤 위와같이 끝점 관리자로 들어갑니다.

그 뒤 Intune 관리센터로 가서 디바이스를 눌러 디바이스 관리자로 들어갑니다.

그 뒤 위와같이 구성프로필을 눌러 새로운 프로필을 만듭니다. 

참고로 아래 만들어진 프로필들은 저희회사 보안사안이므로 이름은 제거했습니다.

프로필 만들기로 들어가 플렛폼은 Windows 10 이상 프로필 유형은 템플릿으로 맞춰준 뒤 관리템플릿을 눌러줍니다.

아래와 같이 맞춰 주세용

그 뒤  위와같이 만들기가 활성화 되면 눌러주세요

대충 위와같이 의미를 알 수 있게 프로필 이름을 만듭니다.

구성설정에서 위와같이 '이동식 디스크' 라고 조회를 해봅니다. - 수많은 설정중에 USB 관련 구성이 나옵니다.

위와 같이 '이동식 디스크 : 쓰기 권한 거부'  를 눌러 주세요

  구성 화면에서 사용을 눌러 설정을 바꾼 뒤 확인을 눌러줍니다.

잘 되었네요 "검토 + 저장" 을 눌러줘서 프로필 만들기를 마칩니다.

마지막으로 저장을 눌러 마무리 합니다.

위와 같이 프로필을 만들게 되면 수정도 가능하고,

할당편집을 이용하여 그룹별로 해당 프로필이 적용되게 구성할 수 있습니다.

적용 후 USB 에 쓰기 작업을 하려고 하면 권한이 부족하다고 에러가 나오게 됩니다.

혹시나 라이센스가 필요한 경우 아래 연락 주시기 바랍니다.

곽 승호

팀장/이사

클라우드사업부 MS기술팀 | 글로벌소프트

AD 계정을 AAD Sync Tool 을 사용하여 AzureAD 에 복사진행 할경우 같은 계정이 AzureAD 에 있으면 홍길동1 이런식으로 분리되어 만들어 집니다. 

이 경우 하드매치 방식으로 만들 수 있습니다. 

방법은 아래와 같습니다. 

1. 아래와 같이 명령어로 계정정보와 ObjectGuid 를 뽑아냅니다.

PS>ldifde -f export.txt -r "(Userprincipalname=*)" -l "objectGuid, userPrincipalName"

2. 저장된 파일에서 해당 계정에 대한 GUID 를 뽑아서 정리해 놓습니다. 

3. Shell 을 이용하여 AzureAD 에 들어가 해당 값을 끼워 넣습니다.

PS>Install-Module -Name AzureAD

PS>Install-Module MSOnline

PS>Connect-MsolService 를 실행하여 AzureAD 에 로그인 합니다.

그 뒤 아래 명령어를 사용하여 아까 정리했던 같은 이름의 계정에 비어있는 ImmutableId 값을 GUID 값으로 집어 넣습니다.

만약 Sync 를 먼저 진하여 다른이름으로 Sync 계정이 만들어 진 경우 계정을 지우는 작업을 먼저 해야 합니다.

PS>Connect-MsolService 를 실행하여 AzureAD 에 로그인 합니다.

PS>Remove-MsolUser -UserPrincipalName A@contoso.kr  를 실행하여 Sync 된 사용자 ID 를 먼저 제거 합니다.

위 명령어를 써서 아무 내용이 안나오면 제거된 겁니다.

4. AzureAD Connect Tool 이용하여 Azure AD Sync 를 진행합니다.

5. 그 뒤 계정을 확인 해보면 AD 와 Sync 된 계정으로 바꼈음을 확인할 수 있습니다.

AD 서버에 Azure AD Connect Tool 구성함

문제 없다가 조건부 Access 전사배포 후 아래와 같이 Sync Error 나옴

Conditional Access 정책배포에 문제가 생긴듯 함

Sync Service 도구에 아래와 같이 에러증상

이 경우 AD 상 만들어진 내용이 O365 상에 적용이 되지 않아 해결이 필요함

위 디렉터리 동기화 서비스 계정이 막힌건가...

유추해 보건대 조건부액세스 전사 배포 후 문제발생. 따라서 그 정책상 문제로 판단되어짐

위와같이 제외에 Sync 계정을 추가함

또한 위와같이 선택한 위치 제외로 조건부액세스 제외설정함

이 후 정상 확인

조건부액세스 정책 구성 시 Sync Tool 은 제외해야 할듯

Exchange Online 조직 전체 메일 수발신 용량 조정 방법

1. http://Portal.office.com 으로 관리자로 로그인 

2. Exchange 관리자로 들어갑니다.

3. Exchange 관리센터 > 받는사람 > 사서함으로 들어가 메일흐름설정을 누릅니다. 

   그 뒤 나오는 메시지 크기 제한 을 눌러 용량을 조절 합니다. 

기본용량은 35메가 이며, 

아래와 같이 150 메가까지 조정 가능합니다. 

참고

1. 보내는쪽 용량이 아무리 크더라도 받는쪽 용량이 작으면 메일은 발송되지 않습니다. 

2. 메일 수발신 시 스팸서버를 지나게 되면 용량이 최대 30% 정도 올라갑니다.

    그 이유는 저도 정확하지는 않지만 스팸서버의 경우 리눅스 서버가 대부분인데, 리눅스 베이스의 서버를 지나면서 파

    일시스템에 변화가 생긴다고 알고 있습니다.(정확하진 않아요)

2023년 5월 방문한 동네 맛집입니다.

화곡역 걸어서 700미터 지점 부뚜막연탄집 입니다.

가격표 - 주변에 비해 천원정도 비싼듯...

고기만 올려주는게 아니라 끝까지 구워주는 시스템 입니다. 

불판이 두꺼운 철판이라 고기가 잘 타지 않으며, 불에 기름이 떨어지지 않으므로 그을음이 나오지 않습니다.

오겹살과 목살이 특히 맛있으며, 목살의 쫀쫀한 맛이 인상적인 맛집입니다. 

후식으로 아이스 아메리카노 제공됩니다.

총평

1. 간만에 맛있는 집을 만났습니다. 

2. 사장님이 친절합니다.

3. 고기질이 좋습니다. 

4. 연탄불 이라는 특색이 있네요

O365 메일을 사용하다 보면 외부 메일 중 특정 메일이 들어오지 않을 때가 있습니다.

메일서버가 스팸으로 등록된 경우 해당메일이 들어오지 않은 것처럼 보입니다. 

만일 Outlook 정크폴더나 Exchange Online 관리자 페이지를 확인해봐도 해당 메일이 보이지 않는 경우

스팸 등록을 의심해 볼 수 있습니다.

이런 경우 사용하는 사이트가 아래 Delist IP 사이트입니다. 

https://sender.office.com/

사용방법은 간단합니다. 

들어오지 않는 메일 주소 + 메일서버 IP입니다. 

아래와 같이 해당 전자메일과 IP 주소( MX 레코드 IP)를 넣어줍니다.

MX 레코드 조회 법은 아래와 같습니다. 

command 연뒤

nslookup

server 168.126.63.1

set type=mx

문제가 된 메일 주소의 도메인 입력

편의상 Daum을 조회했지만 실제로는 실제로 사용하는 도메인을 넣게 되면 IP 가 하나 혹은 두 개가 나오게 됩니다

그 뒤 다음을 누르면 해당 메일 주소로 메일이 가며 아래와 같이 화면이 바뀌게 됩니다. 

해당 메일 주소에 가이드가 있으니 가이드대로 진행 후 30분~1시간이 지나면 스팸 등록된 IP 가 풀리게 됩니다. 

Microsoft Azure에 보면 Intune 이 있습니다.

이 Intune 에는 여러가지 기능들이 있는데 그중에 앱을 자동 설치하는 기능이 있습니다. 

그중 Office를 자동 설치하는 부분을 설명합니다. 

선수 조건은 다음과 같습니다. 

1. Intune 사용권이 있는 테넌트여야 합니다. 

2. 사용자는 Windows 10을 써야 합니다. 

3. 사용자 PC는 Azure AD에 Join 되어야 합니다. 

시작은 https://portal.azure.com 에 로그인 후 아래와 같이 Intune 관리센터에 들어갑니다. 

그 뒤 클라이언트 앱을 눌러줍니다.

클라이언트 앱 화면에서 앱을 눌러줍니다.

앱에서 위에 추가를 눌러줍니다. (기존에 제가 테스트한 몇 개가 보이는군요 ㅋㅋ)

새로 열리는 창에서 아래와 같이 Windows 10 용 office 365 제품군을 눌러줍니다. 

다음 선택

이 화면에서 Office 앱 선택을 하거나 다른 office 앱을 선택할 수 있습니다. 

아키택처에서 32비트인지 64비트 인지도 확인하고 업데이트 주기도 만들어 줍니다.

아래와 같이 앱 선택에서 기본 선택된 앱을 제거한 뒤 설치 가능합니다. 

만일 이 부분에 문제가 있어 일부 앱을 제거하면 클라이언트 PC에서 재부팅 없이 제거가 됩니다. 

업데이트 주기 체크

설치할 버전도 체크 가능한데 아쉽게도 두 버전밖에 없네요

버전에 대한 정보는 아래를 확인 부탁 드립니다

https://docs.microsoft.com/ko-kr/officeupdates/monthly-channel-2020

버전 2003: 3월 25일

버전 2003 (빌드 12624.20320)

버전 2002: 3월 1일

버전 2002 (빌드 12527.20242)

두 버전이 있는데 저 정도 차이나는 버전이네요...

저 같은 경우 아래와 같이 옵션을 조정합니다. 

언어는 한국어를 선택합니다.

만일 언어를 설정하지 않으면 Office 가 영문 Office 와 한글 Office 두개가 설치된 것 처럼 제어판에 나옵니다. 그러니 언어를 설정 하시기 바랍니다.

범위 태그는 Skip ( 어떤 건지 잘 몰르느...)

할당 부분이 중요합니다. 

저 같은 경우 SSPR이라는 그룹을 만든 뒤 그 그룹에 해당 사용자를 넣는 편입니다. 

모든 사용자를 넣을 수도 있기는 한데, 저같이 하시기를 추천합니다. 

테스트를 먼저 해야 하니까요..

저 같은 경우 등록된 디바이스에 사용 가능 옵션을 모든 사용자를 넣습니다. 

그래야 사용자 레벨에서 설치를 컨트롤할 수 있기 때문입니다.

그 뒤 다음을 눌러 마무리합니다.

아래와 같이 해당 설정에 대한 값이 나오면서 마무리됩니다. 

색칠한 속성에 들어가면 속성을 변경할 수 있습니다

이전 창으로 가보면 이번에 만들 구성이 나와있습니다. 

이 부분은 새로고침을 눌러주면 할당됨이 예로 바뀝니다. 

설치는 Azure AD Join 된 클라이언트 PC에서 확인할 수 있습니다. 

아래와 같이 해당 PC는 Office 가 설치되어있지 않은 PC입니다.

이 PC의 작업 관리자를 열면 아래와 같이 설치가 진행되고 되고 있습니다. 

제어판에서 확인해보면 아래와 같이 Office 365 ProPlus 가 설치되었음을 알 수 있습니다.

Excel과 Access 가 설치된 게 보이는군요

20매 17,900원 - 수시판매

20매 21,900원 - 수시판매

30매 23,900원 - 번들

5장 6,000원 - 수시판매

25매 24,500원 - 수시판매

10매 14,900원 - 100박스 게릴라판매

20매 28,900원 - KF80 수시판매