역할 기반 액세스 제어 이해

적용 대상: Exchange Server 2013

RBAC(역할 기반 Access Control)는 2013년 Microsoft Exchange Server 사용된 권한 모델입니다. RBAC를 사용하면 Exchange Server 2007에서 수행된 ACL(액세스 제어 목록)을 수정하고 관리할 필요가 없습니다. ACL은 의도하지 않은 결과를 초래하지 않고 ACL을 수정하고, 업그레이드를 통해 ACL 수정을 유지 관리하고, 비표준 방식으로 ACL을 사용하여 발생한 문제를 해결하는 등 Exchange 2007에서 몇 가지 과제를 만들었습니다.

RBAC를 사용하면 관리자와 최종 사용자가 수행할 수 있는 작업을 광범위하고 세분화된 수준에서 제어할 수 있습니다. 또한 RBAC를 사용하면 사용자 및 관리자를 조직 내에서 보유한 실제 역할에 할당하는 역할을 보다 긴밀하게 정렬할 수 있습니다. Exchange 2007에서 서버 권한 모델은 Exchange 2007 인프라를 관리하는 관리자에게만 적용됩니다. 이제 Exchange 2013에서 RBAC는 수행할 수 있는 관리 작업과 사용자가 자신의 사서함 및 메일 그룹을 관리할 수 있는 범위를 모두 제어합니다.

RBAC에는 사용자가 관리자인지 전문 사용자인지, 최종 사용자인지에 따라 조직의 사용자에게 권한을 할당하는 두 가지 기본 방법이 있습니다. 관리 역할 그룹 및 관리 역할 할당 정책. 각 메서드는 작업을 수행하는 데 필요한 권한으로 사용자를 연결합니다. 세 번째 고급 방법인 직접 사용자 역할 할당도 사용할 수 있습니다. 이 항목의 다음 섹션에서는 RBAC에 대해 설명하고 해당 사용 예제를 제공합니다.

참고

이 항목에서는 고급 RBAC 기능에 대해 중점적으로 설명합니다. EAC(Exchange 관리 센터)를 사용하여 역할 그룹에서 멤버를 추가 및 제거하거나, 역할 그룹을 만들고 수정하거나, 역할 할당 정책을 만들고 수정하는 등의 기본 Exchange 2013 권한을 관리하려면 권한을 참조하세요.

관리 역할 그룹

관리 역할 그룹은 관리 역할을 관리자 또는 전문가 사용자 그룹에 연결합니다. 관리자는 광범위한 Exchange 조직 또는 받는 사람 구성을 관리합니다. 전문가 사용자는 규정 준수와 같은 Exchange의 특정 기능을 관리합니다. 또는 지원 센터 구성원과 같은 관리 능력이 제한적일 수 있지만 광범위한 관리 권한이 부여되지는 않습니다. 역할 그룹은 일반적으로 관리자와 전문가 사용자가 조직 및 받는 사람의 구성을 관리할 수 있도록 하는 관리 관리 역할을 연결합니다. 예를 들어 관리자가 받는 사람을 관리할 수 있는지 또는 사서함 검색 기능을 사용할 수 있는지 여부는 역할 그룹을 사용하여 제어됩니다.

역할 그룹에서 사용자를 추가 또는 제거하는 것은 관리자 또는 전문가 사용자에게 사용 권한을 할당하는 빈도와 같습니다. 자세한 내용은 관리 역할 그룹 이해 (영문)을 참조하십시오.

역할 그룹은 관리자 및 전문가 사용자가 수행할 수 있는 작업을 정의하는 다음 구성 요소로 이루어져 있습니다.

  • 관리 역할 그룹: 관리 역할 그룹은 역할 그룹의 구성원인 사서함, 사용자, USG 및 기타 역할 그룹을 포함하는 특수한 USG(유니버설 보안 그룹)입니다. 이 그룹에 구성원을 추가 및 제거하며 관리 역할이 할당되는 것도 이 그룹입니다. 역할 그룹의 모든 역할 조합은 사용자가 Exchange 조직에서 관리할 수 있는 역할 그룹에 추가된 모든 것을 정의합니다.

  • 관리 역할: 관리 역할은 관리 역할 항목을 그룹화하기 위한 컨테이너입니다. 역할은 역할이 할당된 역할 그룹의 멤버가 수행할 수 있는 특정 작업을 정의하는 데 사용됩니다. 관리 역할 항목은 역할의 각 특정 작업을 수행할 수 있도록 하는 cmdlet, 스크립트 또는 특수 권한입니다. 자세한 내용은 관리 역할 이해를 참조하세요.

  • 관리 역할 할당: 관리 역할 할당 은 역할과 역할 그룹을 연결합니다. 역할 그룹에 역할을 할당하면 역할 그룹의 구성원에게 역할에 정의된 cmdlet과 매개 변수를 사용할 수 있는 권한이 부여됩니다. 역할 할당에서 관리 범위를 사용하여 할당을 사용할 수 있는 영역을 제어할 수 있습니다. 자세한 내용은 관리 역할 할당 이해 (영문) 항목을 참조하십시오.

  • 관리 역할 범위: 관리 역할 범위는 역할 할당에 대한 영향 또는 영향의 범위입니다. 범위를 사용하여 역할 그룹에 역할을 할당하면 관리 범위가 할당에서 관리할 수 있는 대상 개체를 구체적으로 지정합니다. 그러면 할당 및 해당 범위가 역할 그룹의 멤버에게 부여되고 해당 멤버가 관리할 수 있는 항목이 제한됩니다. 범위는 서버 또는 데이터베이스, OU(조직 구성 단위) 또는 서버, 데이터베이스 또는 받는 사람 개체의 필터 목록으로 구성됩니다. 자세한 내용은 관리 역할 범위 이해 (영문)를 참조하십시오.

역할 그룹에 사용자를 추가하면 사용자에게 역할 그룹에 할당된 모든 역할이 제공됩니다. 역할 그룹과 역할 간 역할 할당에 범위가 적용된 경우 이러한 범위는 사용자가 관리할 수 있는 서버 구성 또는 받는 사람을 제어합니다.

역할 그룹에 할당되는 역할을 변경하려면 역할 그룹을 역할에 연결하는 역할 할당을 변경해야 합니다. Exchange 2013에 기본 제공되는 할당이 요구 사항에 맞지 않는 한 이러한 할당을 변경할 필요가 없습니다. 자세한 내용은 관리 역할 할당 이해 (영문) 항목을 참조하십시오.

역할 그룹에 대한 자세한 내용은 관리 역할 그룹 이해 (영문)를 참조하세요.

관리 역할 할당 정책

관리 역할 할당 정책은 최종 사용자 관리 역할에 사용자를 연결합니다. 역할 할당 정책은 사용자가 사서함 또는 메일 그룹으로 수행할 수 있는 작업을 제어하는 역할로 구성됩니다. 이러한 역할은 사용자와 직접 연결되지 않은 기능의 관리를 허용하지 않습니다. 역할 할당 정책을 만들 때는 사용자가 사서함을 사용하여 수행할 수 있는 모든 작업을 정의합니다. 예를 들어 역할 할당 정책을 사용하면 사용자가 표시 이름을 설정하고, 음성 메일을 설정하고, 받은 편지함 규칙을 구성할 수 있습니다. 또 다른 역할 할당 정책은 사용자가 주소를 변경하고, 텍스트 메시징을 사용하고, 메일 그룹을 설정하도록 허용할 수 있습니다. 관리자를 포함하여 Exchange 2013 사서함이 있는 모든 사용자에게는 기본적으로 역할 할당 정책이 제공됩니다. 기본적으로 할당해야 하는 역할 할당 정책을 결정하거나, 포함해야 하는 기본 역할 할당 정책을 선택하거나, 특정 사서함의 기본값을 재정의하거나, 기본적으로 역할 할당 정책을 할당하지 않을 수 있습니다.

할당 정책에 사용자를 할당하는 방법은 사용자가 자신의 사서함 및 메일 그룹 옵션을 관리할 수 있는 권한을 가장 자주 관리하는 방법입니다. 자세한 내용은 관리 역할 할당 정책 이해를 참조하세요.

역할 할당 정책은 사용자가 자신의 사서함으로 수행할 수 있는 작업을 정의하는 다음 구성 요소로 구성됩니다. 동일한 구성 요소 중 일부는 역할 그룹에도 적용됩니다. 역할 할당 정책과 함께 사용하는 경우 이러한 구성 요소는 사용자가 자신의 사서함만 관리할 수 있도록 제한됩니다.

  • 관리 역할 할당 정책: 관리 역할 할당 정책은 Exchange 2013의 특수 개체입니다. 사용자는 사서함을 만들 때 또는 사서함에서 역할 할당 정책을 변경하는 경우 역할 할당 정책과 연결됩니다. 최종 사용자 관리 역할도 이 정책에 할당합니다. 역할 할당 정책의 모든 역할이 조합되어 사용자가 자신의 사서함이나 메일 그룹에서 관리할 수 있는 항목을 정의합니다.

  • 관리 역할: 관리 역할은 관리 역할 항목을 그룹화하기 위한 컨테이너입니다. 역할은 사용자가 자신의 사서함이나 메일 그룹에 대해 수행할 수 있는 특정 작업을 정의하는 데 사용됩니다. 관리 역할 항목은 관리 역할의 각 특정 작업을 수행할 수 있도록 하는 cmdlet, 스크립트 또는 특수 권한입니다. 역할 할당 정책에서 최종 사용자 역할만 사용할 수 있습니다. 자세한 내용은 관리 역할 이해를 참조하세요.

  • 관리 역할 할당: 관리 역할 할당 은 역할과 역할 할당 정책 간의 링크입니다. 역할 할당 정책에 역할을 할당하면 역할에 정의된 cmdlet 및 매개 변수를 사용할 수 있습니다. 역할 할당 정책과 역할 간에 역할 할당을 만들 때 범위를 지정할 수 없습니다. 할당에 의해 적용되는 범위는 또는 MyGAL입니다Self. 모든 역할 할당은 사용자의 사서함 또는 메일 그룹으로 범위가 지정됩니다. 자세한 내용은 관리 역할 할당 이해 (영문) 항목을 참조하십시오.

역할 할당 정책에 할당된 역할을 변경하려면 역할 할당 정책을 역할에 연결하는 역할 할당을 변경해야 합니다. Exchange 2013에 기본 제공되는 할당이 요구 사항에 맞지 않는 한 이러한 할당을 변경할 필요가 없습니다. 자세한 내용은 관리 역할 할당 이해 (영문) 항목을 참조하십시오.

자세한 내용은 관리 역할 할당 정책 이해를 참조하세요.

직접 사용자 역할 할당

직접 역할 할당 은 역할 그룹 또는 역할 할당 정책을 사용하지 않고 사용자 또는 USG에 직접 관리 역할을 할당하는 고급 방법입니다. 직접 역할 할당은 특정 사용자 및 다른 사용자에게 세분화된 사용 권한 집합을 제공해야 하는 경우에 유용할 수 있습니다. 그러나 직접 역할 할당을 사용하면 권한 모델의 복잡성이 크게 증가할 수 있습니다. 사용자가 작업을 변경하거나 회사를 떠나는 경우 할당을 수동으로 제거하고 새 직원에게 추가해야 합니다. 역할 그룹을 사용하여 관리자 및 전문가 사용자에게 권한을 할당하고 역할 할당 정책을 사용하여 사용자에게 권한을 할당하는 것이 좋습니다.

직접 사용자 할당에 대한 자세한 내용은 관리 역할 할당 이해를 참조하세요.

요약 및 예제

다음 그림에서는 RBAC의 구성 요소와 구성 요소가 함께 맞추는 방법을 보여 줍니다.

  • 역할 그룹:

    • 하나 이상의 관리자는 역할 그룹의 구성원일 수 있습니다. 둘 이상의 역할 그룹의 멤버일 수도 있습니다.

    • 역할 그룹에는 하나 이상의 역할 할당이 할당됩니다. 이러한 링크는 수행할 수 있는 작업을 정의하는 하나 이상의 관리 역할과 역할 그룹을 연결합니다.

    • 역할 할당에는 역할 그룹의 사용자가 작업을 수행할 수 있는 위치를 정의하는 관리 범위가 포함될 수 있습니다. 범위는 역할 그룹의 사용자가 구성을 수정할 수 있는 위치를 결정합니다.

  • 역할 할당 정책:

    • 하나 이상의 사용자를 역할 할당 정책과 연결할 수 있습니다.

    • 역할 할당 정책에는 하나 이상의 역할 할당이 할당됩니다. 역할 할당 정책을 하나 이상의 최종 사용자 역할과 연결합니다. 최종 사용자 역할은 사용자가 사서함에서 구성할 수 있는 항목을 정의합니다.

    • 역할 할당 정책과 역할 간의 역할 할당에는 사용자의 사서함 또는 배포 그룹으로 할당 범위를 제한하는 기본 제공 범위가 있습니다.

  • 직접 역할 할당(고급):

    • 역할 할당은 사용자 또는 USG와 하나 이상의 역할 간에 직접 만들 수 있습니다. 역할은 사용자 또는 USG가 수행할 수 있는 작업을 정의합니다.

    • 역할 할당에는 사용자 또는 USG가 작업을 수행할 수 있는 위치를 정의하는 관리 범위가 포함될 수 있습니다. 범위는 사용자 또는 USG가 구성을 수정할 수 있는 위치를 결정합니다.

RBAC 개요

RBAC 구성 요소 관계.

앞의 그림과 같이 RBAC의 많은 구성 요소가 서로 관련되어 있습니다. 각 관리자 또는 사용자에게 적용되는 권한을 정의하는 각 구성 요소를 결합하는 방법입니다. 다음 예제에서는 조직에서 역할 그룹 및 역할 할당 정책을 사용하는 방법에 대한 몇 가지 추가 컨텍스트를 제공합니다.

관리자 제인

Jane은 중형 회사인 Contoso의 관리자입니다. 그녀는 밴쿠버 사무실에서 회사의 수령인을 관리할 책임이 있습니다. Contoso에 대한 권한 모델을 만들 때 Jane은 받는 사람 관리 - 밴쿠버 사용자 지정 역할 그룹의 구성원이 되었습니다. 받는 사람 관리 - 밴쿠버 사용자 지정 역할 그룹은 사서함 및 연락처와 같은 받는 사람 만들기 및 제거, 메일 그룹 멤버 자격 및 사서함 속성 관리 및 유사한 작업을 포함하는 작업의 업무와 가장 밀접하게 일치합니다.

Recipient Management - Vancouver 사용자 지정 역할 그룹 외에도 Jane은 자신의 사서함 구성 설정을 관리하기 위한 역할 할당 정책도 필요합니다. 조직 관리자는 고위 관리를 제외한 모든 사용자가 자신의 사서함을 관리할 때 동일한 권한을 받도록 결정했습니다. 음성 메일을 구성하고, 보존 정책을 설정하고, 주소 정보를 변경할 수 있습니다. Exchange 2013과 함께 제공되는 기본 역할 할당 정책은 이제 이러한 요구 사항을 반영합니다.

참고

Jane은 받는 사람 관리 - 밴쿠버 사용자 지정 역할 그룹의 구성원이기 때문에 자신의 사서함을 관리할 수 있는 권한을 부여해야 합니다. 이는 사실입니다. 그러나 역할 그룹은 사서함의 모든 기능을 관리하는 데 필요한 모든 권한을 제공하지는 않습니다. 음성 메일 및 보존 정책 설정을 관리하는 데 필요한 권한은 역할 그룹에 포함되지 않습니다. 이러한 항목은 그녀에게 할당된 기본 역할 할당 정책에 의해서만 제공됩니다.

이를 허용하려면 밴쿠버의 받는 사람에 대해 Jane의 관리 권한을 제공하는 역할 그룹을 고려합니다.

  1. 받는 사람 관리 - 밴쿠버라는 사용자 지정 역할 그룹이 만들어졌습니다. 만들 때 다음이 발생했습니다.

    1. 역할 그룹에는 받는 사람 관리 기본 제공 역할 그룹에도 할당된 동일한 관리 역할이 모두 할당되었습니다. 이렇게 하면 받는 사람 관리 - 밴쿠버 사용자 지정 역할 그룹에 추가된 사용자에게 받는 사람 관리 역할 그룹에 추가된 사용자와 동일한 권한이 부여됩니다. 그러나 다음 단계에서는 해당 권한을 사용할 수 있는 위치를 제한합니다.

    2. 밴쿠버에 있는 받는 사람만 일치시키는 밴쿠버 수신자 사용자 지정 관리 범위가 만들어졌습니다. 이 작업은 사용자의 도시 또는 기타 고유 정보를 필터링하는 범위를 만들어서 수행되었습니다.

    3. 역할 그룹은 밴쿠버 받는 사람 사용자 지정 관리 범위로 만들어졌습니다. 즉, 받는 사람 관리 - 밴쿠버 사용자 지정 역할 그룹에 추가된 관리자는 전체 수신자 관리 권한이 있지만 밴쿠버에 본사를 둔 받는 사람에 대해서만 해당 권한을 사용할 수 있습니다.

    사용자 지정 역할 그룹을 만드는 방법에 대한 자세한 내용은 역할 그룹 관리를 참조하세요.

  2. 그런 다음 Jane은 받는 사람 관리 - 밴쿠버 사용자 지정 역할 그룹의 구성원으로 추가됩니다.

    역할 그룹에 멤버를 추가하는 방법에 대한 자세한 내용은 역할 그룹 구성원 관리를 참조하세요.

Jane에게 자신의 사서함 설정을 관리할 수 있는 기능을 제공하려면 필요한 권한으로 역할 할당 정책을 구성해야 합니다. 기본 역할 할당 정책은 사용자에게 자신의 사서함을 구성하는 데 필요한 권한을 제공하는 데 사용됩니다. , , MyContactInformationMyVoicemailMyRetentionPolicies를 제외한 MyBaseOptions모든 최종 사용자 역할은 기본 역할 할당 정책에서 제거됩니다. MyBaseOptions는 이 관리 역할이 받은 편지함 규칙, 일정 구성 및 기타 작업과 같은 Outlook Web App 기본 사용자 기능을 제공하기 때문에 포함됩니다.

Jane에 기본 역할 할당 정책이 이미 할당되어 있으므로 다른 작업은 수행할 필요가 없습니다. 즉, 해당 역할 할당 정책에 대한 변경 내용이 사서함에 즉시 적용되고 다른 사서함도 기본 역할 할당 정책에 할당됩니다.

기본 역할 할당 정책을 사용자 지정하는 방법에 대한 자세한 내용은 역할 할당 정책 관리를 참조하세요.

전문가 조

Joe는 Jane이 근무하는 동일한 회사인 Contoso에서 일합니다. 그는 법적 검색을 수행하고, 보존 정책을 설정하고, 전체 조직에 대한 전송 규칙 및 저널링을 구성할 책임이 있습니다. Jane과 마찬가지로 Contoso에 대한 권한 모델이 생성되었을 때 Joe는 자신의 직무와 일치하는 역할 그룹에 추가되었습니다. 레코드 관리 역할 그룹은 보존 정책, 저널링 및 전송 규칙을 구성할 수 있는 권한을 Joe에게 제공합니다. 검색 관리 역할 그룹은 사서함 검색을 수행할 수 있는 기능을 제공합니다.

Jane과 마찬가지로 Joe는 자신의 사서함을 관리할 수 있는 권한도 필요합니다. 그는 Jane과 동일한 권한을 부여 받습니다. 음성 메일 및 보존 정책을 설정하고 주소 정보를 변경할 수 있습니다.

Joe에게 자신의 직무를 수행할 수 있는 권한을 부여하기 위해 Joe는 레코드 관리 및 검색 관리 역할 그룹에 추가됩니다. 역할 그룹은 필요한 권한을 이미 제공하므로 어떤 방식으로든 변경할 필요가 없으며, 해당 그룹에 적용되는 관리 범위는 전체 조직을 포함합니다.

역할 그룹에 사용자를 추가하는 방법에 대한 자세한 내용은 역할 그룹 구성원 관리를 참조하세요.

Joe의 사서함에는 Jane의 사서함에 적용되는 것과 동일한 기본 역할 할당 정책도 할당됩니다. 이렇게 하면 관리할 수 있는 사서함의 기능을 관리하는 데 필요한 모든 권한이 제공됩니다.

부사장 이사벨

Isabel은 Contoso의 마케팅 담당 부사장입니다. Contoso의 선임 리더십 팀의 일원인 Isabel에는 일반 사용자보다 더 많은 권한이 부여됩니다. 여기에는 사서함을 관리하기 위해 제공한 권한이 포함됩니다. 한 가지 예외는 Isabel이 법적 규정 준수를 위해 자체 보존 정책을 관리할 수 없다는 것입니다. Isabel은 음성 메일을 구성하고, 연락처 정보를 변경하고, 프로필 정보를 변경하고, 자신의 메일 그룹을 만들고 관리하고, 다른 사용자가 소유한 기존 메일 그룹에서 자신을 추가하거나 제거할 수 있습니다.

따라서 Isabel은 자신의 사서함에 대해 다른 권한을 부여합니다. Contoso의 대부분의 사용자는 기본 역할 할당 정책에 할당됩니다. 그러나 선임 리더십은 고위 리더십 역할 할당 정책에 할당됩니다. 다음은 사용자 지정 역할 할당 정책을 만들기 위해 수행됩니다.

  1. 선임 리더십이라는 사용자 지정 역할 할당 정책이 만들어집니다. 역할 할당 정책에는 , , MyContactInformation, MyProfileInformationMyVoicemail, MyDistributionGroupMembership MyDistributionGroups 역할이 할당됩니다MyBaseOptions. MyBaseOptions이 역할은 받은 편지함 규칙, 일정 구성 및 기타 작업과 같은 Outlook Web App 기본 사용자 기능을 제공하기 때문에 포함됩니다.

  2. 그런 다음, Isabel에 수석 리더십 역할 할당 정책이 수동으로 할당됩니다.

Isabel의 사서함에는 이제 선임 리더십 역할 할당 정책에서 제공하는 권한이 있습니다. 이 역할 할당 정책에 대한 변경 내용은 사서함에 자동으로 적용되며 다른 사서함도 동일한 역할 할당 정책에 할당됩니다.

자세한 내용

역할 할당 정책 관리

사서함에 할당 정책 변경