그림자잡기

로그인시 아래와 같이 나옴

AzureAD 에 들어가보니 이용금지가 되어있음

사용하도록 설정함

가끔 금지되는 경우가 나옴

이때 풀어줘야합니다.

NDR 전체는 아래와 같습니다.

Diagnostic information for administrators:

Generating server: SL2PR06MB3401.apcprd06.prod.outlook.com

one313@daum.net
Remote server returned '550 5.7.705 Service unavailable. Access denied, tenant has exceeded threshold. For more information please go to http://go.microsoft.com/fwlink/?LinkId=526653 S(7136) [TYZPR06MB6093.apcprd06.prod.outlook.com 2023-07-28T01:17:50.283Z 08DB8E3BACE3A846]'

Original message headers:

Delivery has failed to these recipients or groups:
one313@daum.net
Your message wasn't delivered because the recipient's email provider rejected it.


Diagnostic information for administrators:
Generating server: SL2PR06MB3401.apcprd06.prod.outlook.com
one313@daum.net
Remote server returned '550 5.7.705 Service unavailable. Access denied, tenant has exceeded threshold. For more information please go to http://go.microsoft.com/fwlink/?LinkId=526653 S(7136) [TYZPR06MB6093.apcprd06.prod.outlook.com 2023-07-28T01:17:50.283Z 08DB8E3BACE3A846]'
Original message headers:
Received: from SL2PR06MB3401.apcprd06.prod.outlook.com
 ([fe80::3f61:c951:9902:b6b3]) by SL2PR06MB3401.apcprd06.prod.outlook.com
 ([fe80::3f61:c951:9902:b6b3%4]) with mapi id 15.20.6631.026; Fri, 28 Jul 2023
 01:17:50 +0000
MIME-Version: 1.0
Content-Type: text/plain
Date: Fri, 28 Jul 2023 01:17:50 +0000
Message-ID:
<SL2PR06MB34018DC54AEA20C9565FE0D3EB06A@SL2PR06MB3401.apcprd06.prod.outlook.com>
Subject: =?ks_c_5601-1987?B?uN7AzyC537zb?=

에고고...

Microsoft Exchange Online 의 경우 정상적이지 않은 메일이 다량을 발송될경우 자체적으로 테넌트에서 보내는 메일 전체를 막게됩니다.

참고문서 

Exchange Online NDR(배달 불가 보고서) 및 SMTP 오류 Email - Exchange | Microsoft Learn

이러한 내용이 나오게 되면 우선 테넌트에 커넥터에 들어가 케넥터상 이상한 커넥터가 만들어졌는지 체크 합니다.

아래는 실제로 저희회사 테넌트에 만들어진 커넥터 입니다.

실제로는 아래 이슈로 걸릴 수 있다고합니다. 

참고문서 : Exchange Online NDR 오류 5.7.700~ 5.7.750 수정 - Exchange | Microsoft Learn

수정한 뒤 M365 관리자가 온라인기술지원으로 요청을 해야 합니다.

아래는 실제로 기술지원 요청한 내용입니다.

이렇게 요청하면 메일이 온 뒤 전화가 오게됩니다.

그러면 전체 테넌트에서 메일이 나가지 않는다고 설명하시고 풀어주길 기다리면 됩니다.

시간은 30분 정도 걸린거 같네요

문제는 전화가 오기까지 시간입니다. 

제 경우는 1시간 10분쯤 걸린거 같네요

다시말하면 전체 테넌트 사용자의 외부발송이 1시간 30분동안 마비된다는...

고객사에서 AzureAD Join 시 보안강화를 위해 USB 드라이브의 쓰기권한을 제거하고 싶다고 문의가 왔습니다. 

이에 구성법 남깁니다. 

Intune 을 사용하게 되므로 Intune 라이센스가 없으면 해당 구성을 할 수 없습니다

해당 라이센스의 구입문의는 제일 아래 참고 바랍니다.

우선 위와같이 O365 관리자로 로그인 후에 관리센터로 들어갑니다. 

그 뒤 위와같이 끝점 관리자로 들어갑니다.

그 뒤 Intune 관리센터로 가서 디바이스를 눌러 디바이스 관리자로 들어갑니다.

그 뒤 위와같이 구성프로필을 눌러 새로운 프로필을 만듭니다. 

참고로 아래 만들어진 프로필들은 저희회사 보안사안이므로 이름은 제거했습니다.

프로필 만들기로 들어가 플렛폼은 Windows 10 이상 프로필 유형은 템플릿으로 맞춰준 뒤 관리템플릿을 눌러줍니다.

아래와 같이 맞춰 주세용

그 뒤  위와같이 만들기가 활성화 되면 눌러주세요

대충 위와같이 의미를 알 수 있게 프로필 이름을 만듭니다.

구성설정에서 위와같이 '이동식 디스크' 라고 조회를 해봅니다. - 수많은 설정중에 USB 관련 구성이 나옵니다.

위와 같이 '이동식 디스크 : 쓰기 권한 거부'  를 눌러 주세요

  구성 화면에서 사용을 눌러 설정을 바꾼 뒤 확인을 눌러줍니다.

잘 되었네요 "검토 + 저장" 을 눌러줘서 프로필 만들기를 마칩니다.

마지막으로 저장을 눌러 마무리 합니다.

위와 같이 프로필을 만들게 되면 수정도 가능하고,

할당편집을 이용하여 그룹별로 해당 프로필이 적용되게 구성할 수 있습니다.

적용 후 USB 에 쓰기 작업을 하려고 하면 권한이 부족하다고 에러가 나오게 됩니다.

혹시나 라이센스가 필요한 경우 아래 연락 주시기 바랍니다.

곽 승호

팀장/이사

클라우드사업부 MS기술팀 | 글로벌소프트

AD 서버에 Azure AD Connect Tool 구성함

문제 없다가 조건부 Access 전사배포 후 아래와 같이 Sync Error 나옴

Conditional Access 정책배포에 문제가 생긴듯 함

Sync Service 도구에 아래와 같이 에러증상

이 경우 AD 상 만들어진 내용이 O365 상에 적용이 되지 않아 해결이 필요함

위 디렉터리 동기화 서비스 계정이 막힌건가...

유추해 보건대 조건부액세스 전사 배포 후 문제발생. 따라서 그 정책상 문제로 판단되어짐

위와같이 제외에 Sync 계정을 추가함

또한 위와같이 선택한 위치 제외로 조건부액세스 제외설정함

이 후 정상 확인

조건부액세스 정책 구성 시 Sync Tool 은 제외해야 할듯

O365 메일을 사용하다 보면 외부 메일 중 특정 메일이 들어오지 않을 때가 있습니다.

메일서버가 스팸으로 등록된 경우 해당메일이 들어오지 않은 것처럼 보입니다. 

만일 Outlook 정크폴더나 Exchange Online 관리자 페이지를 확인해봐도 해당 메일이 보이지 않는 경우

스팸 등록을 의심해 볼 수 있습니다.

이런 경우 사용하는 사이트가 아래 Delist IP 사이트입니다. 

https://sender.office.com/

사용방법은 간단합니다. 

들어오지 않는 메일 주소 + 메일서버 IP입니다. 

아래와 같이 해당 전자메일과 IP 주소( MX 레코드 IP)를 넣어줍니다.

MX 레코드 조회 법은 아래와 같습니다. 

command 연뒤

nslookup

server 168.126.63.1

set type=mx

문제가 된 메일 주소의 도메인 입력

편의상 Daum을 조회했지만 실제로는 실제로 사용하는 도메인을 넣게 되면 IP 가 하나 혹은 두 개가 나오게 됩니다

그 뒤 다음을 누르면 해당 메일 주소로 메일이 가며 아래와 같이 화면이 바뀌게 됩니다. 

해당 메일 주소에 가이드가 있으니 가이드대로 진행 후 30분~1시간이 지나면 스팸 등록된 IP 가 풀리게 됩니다. 

간혹가다 보면 O365 계정으로 메일이 보내지지 않는 경우가 있습니다. 

NDR 내용은 아래와 같습니다. 

---------------------------------------------------------------------------------------
The original message was received at Wed, 24 Jul 2019 20:05:15 +0900
from [175.123.17.173]

----- The following addresses had permanent fatal errors -----
<shkwag@globalsoft.co.kr>
(reason: 550 5.7.606 Access denied, banned sending IP [175.XXX.17.XXX]. To request removal from this list ple...crosoft.com/fwlink/?LinkID=526655 (AS16012609) [HK2APC01FT021.eop-APC01.prod.protection.outlook.com])

----- Transcript of session follows -----
.... while talking to globalsoft-co-kr.mail.protection.outlook.com.:
>>> DATA
<<< 550 5.7.606 Access denied, banned sending IP [175.XXX.17.XXX]. To request removal from this list please visit https://sender.office.com/ and follow the directions. For more information please go to http://go.microsoft.com/fwlink/?LinkID=526655 (AS16012609) [HK2APC01FT021.eop-APC01.prod.protection.outlook.com]
550 5.1.1 <shkwag@globalsoft.co.kr> ... User unknown
<<< 503 5.5.2 Need rcpt command [HK2APC01FT021.eop-APC01.prod.protection.outlook.com]

-----------------------------------------------------------------------------------------

이와 같은 경우는 보내는 메일서버가 다량의 스팸메일을 O365 측으로 보내거나 해서 O365 스팸필터에 걸려있는 경우 입니다. 

https://sender.office.com/   이 사이트에 들어가면 아래와 같이 사이트가 나오며

아래와 같이 IP 목록 해제를 신청 할 수 있습니다. 

참고문서 : https://docs.microsoft.com/ko-kr/office365/securitycompliance/use-the-delist-portal-to-remove-yourself-from-the-office-365-blocked-senders-lis

신청 시 발송하려 했던 메일 주소로 메일이 날라가며, 그 후 프로세서를 진행 하면 됩니다. 

요새 Dkim 을 요청하는 곳이 점점 늘어나는 추세 입니다. 

Dkim 이란, 인증서및 개인키를 통한 스팸감지 솔루션 입니다. 

Exchange Online 의 경우 DNS 설정만으로 Dkim 을 구성할 수 있습니다. 

아래는 방법 입니다. 

1. DNS 설정에서 아래와 같이 값을 넣습니다. - 참고로 저희 회사 도메인은 globalsoft.co.kr 입니다.

selector1._domainkey.globalsoft.co.kr

selector1-globalsoft-co-kr._domainkey.globalsoft.onmicrosoft.com

selector2._domainkey.globalsoft.co.kr

selector2-globalsoft-co-kr._domainkey.globalsoft.onmicrosoft.com

참고 : 본인 도메인의 정확한 값은 O365 Dkim 구성창에서 사용을 누르면 나오는 값입니다.

아래 부분에 DNS 구성을 하지 않은 상태에서 사용을 누르면 노란부분에 DNS 값이 나옵니다. 

아래는 DNS 서버에 구성하는 방법 입니다. 

2. O365 의 Exchange Online 관리자 > 보호 구성메뉴로 들어가 아래와 같이 Dkim 으로 들어갑니다. 

3. 오른쪽 아래 사용 버튼을 눌러 사용합니다. - 세개 도메인 다 진행

아래는 완료 시 변경되는 화면 입니다. 

아래와 같이 O365 계정에서 다음 계정으로 메일을 보내면, 

아래와 같이 Dkim 사인이 들어간 메일이 상대방에 가게 됩니다. 

대법원 등 중요업체의 경우 앞으로는 Dkim 사인이 들어간 메일만 받는다는 공문의 왔다고 합니다. 

클라우드 방식이 아닌 Exchange Server 의 Dkim 설정의 경우 다른방법이 있으며, 다른 포스팅에 정리하도록 하겠습니다. 

DNS 구성부분은   `Exchange Online 에 도메인 추가하기 상' 부분에 있습니다. 

DNS 를 구성 완료 한 뒤 이제 본격적으로 O365 Exchange Online 구성에 들어갑니다. 

우선 제 ID 를 살펴 보겠습니다. 

아래와 같이 365sales.co.kr 도메인이 들어가 있지 않습니다. 

해당 부분을 바꾸기 위해 관리센터의 Exchange 에 들어가 줍니다. 

아래와 같이 허용도메인 에는 해당 도메인이 벌써 허용이 되어 있습니다. 

사용자 측에는 구성변경만 하면 쓸 수 있을겁니다. 

역시 아래에 숨어 있군요

변경 후 기본도메인으로 구성 해줍니다. 

노란색으로 나오는데 경고 입니다. 잘 읽어주세요

저장을 눌러 줍니다.

이 사용자는 이제 365sales.co.kr 을 기본 도메인으로 사용하며, globalsoft.co.kr 를 같이 쓰게 됩니다. 

아래는 해당 메일 주소로 메일을 보내고 잘 받은 화면 입니다. 

감사합니다.

Exchange Online 의 경우 처음 구성하게 되면 기본도메인으로 내가만든테넌트.onmicrosoft.com 이 만들어 집니다. 

그 뒤 사용자 분들은 원하는 도메인을 구성하여 사용자에게 배포하게 됩니다. 

아래는 저희 회사에서 구성한 도메인입니다. 

아래와 같이 사용 중입니다. 

Exchange Server 의 경우 제3의 메일주소 등을 구성할 수 있습니다. 

Exchange Online 의 경우도 또한 마찬가지 입니다. 

우선 추가 도메인을 구성 해 보겠습니다. 

저희 회사는 다행스럽게도 2개의 도메인을 소유중 입니다. 

기본 도메인은 globalsoft.co.kr 를 사용 중인데 이 조직에 365sales.co.kr 을 추가 해 봅니다. 

주소는 https://portal.microsoftonline.com 으로 들어가 관리자로 로그인 하여 아래와 같이 구성 진행 합니다.

도메인 확인의 경우 두가지 방법이 있습니다. 

Whois 상 등록되어진 메일주소로 코드를 보내서 확인하는 방법과 아래와 같이 DNS 서버에 TXT 레코드를 추가하는 방식.

전 두번째 방식을 쓰도록 하겠습니다. 

어려울건 없습니다. 

O365 포털에 적혀 있는대로 TXT 레코드를 등록 해주면 됩니다. 

저 같은 경우 Azure 에 DNS 를 올렸기 때문에 거의 실시간으로 확인이 됩니다만, 일반적인 DNS 서버의 경우 10~30분 정도 걸리는 점 체크 바랍니다. 

Azure Portal 에 들어가서 DNS 구성을 합니다. 

알려준 txt 값을 넣어 줍니다. 

도메인 작업을 이렇게 해줍니다. 

그 뒤 O365 Portal 에 가서 확인 해 줍니다. 

확인이 되면 아래와 같은 화면이 나옵니다. 

추가로 Skype 관련 설정도 할 수 있습니다만, 원래 목적인 Exchange Online 쪽만 생각 하기로 하지요

구성을 완료하기 위해서는 아래 세가지를 넣어줘야 합니다. 

어려울 건 없습니다. 

차근차근 하면 됩니다. 

우선 MX 레코드 등록

두번째는 autodiscover CNAME 등록

세번째는 SPF 레코드 등록 입니다. 

SPF 레코드의 경우 TXT 레코드 타입 이므로 이미 등록한 TXT 레코드에 추가 해줍니다

추가 후에는 꼭 저장을 눌러 주세요

자 이제는 도메인 작업이 끝났습니다. 

확인을 해볼까요?

정상적으로 DNS 구성이 끝나서 도메인 등록이 되었습니다. 

O365 제품군 중에 단연 돋보이는 제품은 Skype Online 이라고 할 수 있습니다. 
Skype Online 의 경우 직접 회사내에 설치하는 On-Premise 서버와의 결정적인 차이점인 Voice 연동이 되지 않는 문제가 있었으며, 아직 해당 기능은 해결이 된건 아닙니다. 
다만, 이를 제외하고도 화상회의 및 전화회의 기능만 가지고도 충분한 가능성이 있는 제품입니다. 

전화회의의 경우 O365 제품군 중에 E1 or E3 제품을 선택 후 추가로 Audio conferencing 을 추가하거나, E5 제품을 구매해야 이용이 가능합니다. 
https://products.office.com/en-us/microsoft-teams/online-meeting-solutions#requirements
Audio conferencing

Online Meeting Solutions | Microsoft Teams

Microsoft Teams meetings provide audio, video, and web conferencing using the device of your choice.

products.office.com

Join meetings from a phone or use Microsoft Teams to dial anybody directly. Meetings include a dial-in number spanning 400+ cities across the globe, making it easier for people on the go or without Internet.
오디오 회의
휴대폰에서 모임에 참가하거나 Microsoft Teams를 사용하여 누구에게나 직접 전화를 걸 수 있습니다. 모임에는 전 세계 400개가 넘는 도시의 전화 접속 번호가 포함되어 있어 이동 중이나 인터넷이 없어도 더 쉽게 전화를 걸 수 있습니다.



이용 방법은 아래와 같습니다. 
전 기존 저희 회사 조직에서 E5 평가판을 Enable 해서 테스트 진행 하였습니다. 

1. 아래와 같이 평가판을 Enable 합니다.

만일 O365 를 사용하지 않는 경우 인터넷을 뒤져서 아이디를 만들고 평가판을 만드시면 됩니다.

2. 테스트 할 계정에 해당 라이센스를 Enable 하고 10분정도 기다립니다. 

3. 아래와 같이 오디오 회의에서 해당 사용자의 상태를 볼 수 있습니다.

제 ID에 일반 전화가 Enable 되었네요

4. Outlook 에서 일정을 눌러 아래와 같이 모임참가를 눌러 새로운 모임을 만듭니다.

5. 모임이 생성이 되면 모임참가를 사용자는 진행 하면 됩니다. 
 아래와 같이 전화번호를 눌러서 참가자에게 전화를 직접 거는 방식과,  참가자가 전화를  PIN 번호로 직접 참가하는 방식이 있습니다. 
전자는 공짜, 후자는 전화비가 나오겠죠 ( 국제전화도 됩니다 )

실제로 거는모습 입니다. 

헨드폰에 아래와 같이 연락이 옵니다. 그래서 받으면 컴퓨터상에는 위와 같이 헨드폰에는 아래와 같이 나옵니다.

이 기능을 사용하면 국내 및 해외에 있는 사용자와 공짜로 대화를 할 수 있습니다. 
물론 250명까지 한곳에서 전화로 회의도 가능하지요.
모임주체자는 Skype Online 라이센스비용 4500원을 내면서 한달을 써야 하지만, 나머지 사용자는 낼 필요가 없습니다. 

이런 계정 몇개 파 놓고 쓰면 회사 비지니스에 괜찮은 솔루션이 되지 않을까 합니다.