역할 기반 액세스 제어 이해Understanding Role Based Access Control

적용 대상: Exchange Online, Exchange Server 2013Applies to: Exchange Online, Exchange Server 2013

역할 기반 액세스 제어 Rbac (역할)는 Microsoft Exchange Server 2013에서 사용 되는 사용 권한 모델입니다. RBAC를 함께 필요가 없습니다 수정 하 고 액세스 제어 목록 (Acl)을 관리 하는 수행 된 Exchange Server 2007 합니다. Acl은 예기치 않은 결과가 발생할 발생 시 키, 업그레이드를 통해 ACL 수정 유지 관리 및 Acl을 사용 하 여 비표준 방식으로 인해 발생 한 문제를 해결 하지 않고 Acl을 수정 하는 등 Exchange 2007의 여러 과제를 만듭니다.Role Based Access Control (RBAC) is the permissions model used in Microsoft Exchange Server 2013. With RBAC, you don't need to modify and manage access control lists (ACLs), which was done in Exchange Server 2007. ACLs created several challenges in Exchange 2007, such as modifying ACLs without causing unintended consequences, maintaining ACL modifications through upgrades, and troubleshooting problems that occurred due to using ACLs in a nonstandard way.

세분화 된 수준, 어떤 관리자 및 최종 사용자에 게 작업을 수행할 수 및 RBAC 모두 한 광범위 한에서 제어할 수 있습니다. 또한 RBAC을 사용 하면 조직 내에서 보유 하 고 실제 역할에 사용자 및 관리자가 할당 하는 역할에 더 근접 수 있습니다. Exchange 2007 서버 사용 권한 모델 적용 Exchange 2007 인프라를 관리 하는 관리자에만. Exchange 2013, RBAC 이제 모두 수행할 수 있는 관리 작업 및 제어 하는 사용자가 관리할 수 있습니다. 이제 자신의 사서함 및 메일 그룹 범위 합니다.RBAC enables you to control, at both broad and granular levels, what administrators and end-users can do. RBAC also enables you to more closely align the roles you assign users and administrators to the actual roles they hold within your organization. In Exchange 2007, the server permissions model applied only to the administrators who managed the Exchange 2007 infrastructure. In Exchange 2013, RBAC now controls both the administrative tasks that can be performed and the extent to which users can now administer their own mailbox and distribution groups.

RBAC는 인지 여부에 따라 사용자 관리자 또는 전문가 사용자는 최종 사용자가 조직에서 사용자에 게 사용 권한을 할당 하는 두 기본 방법: 관리 역할 그룹 및 관리 역할 할당 정책입니다. 사용자가 작업을 수행 하는데 필요한 사용 권한으로 연결 하는 각 방법입니다. 셋째, 메서드, 더 고급 사용자 역할 할당을 직접, 사용할 수도 있습니다. 이 항목의 다음 섹션에서는 RBAC에 설명 하 고 해당 사용의 예를 제공 합니다.RBAC has two primary ways of assigning permissions to users in your organization, depending on whether the user is an administrator or specialist user, or an end-user: management role groups and management role assignment policies. Each method associates users with the permissions they need to perform their jobs. A third, more advanced method, direct user role assignment, can also be used. The following sections in this topic explain RBAC and provide examples of its use.

참고

이 항목 고급 RBAC 기능에 초점을 맞춥니다. Exchange 관리 센터 (EAC)를 사용 하 여 추가 하 고 및 역할 그룹에서 만들기 및 역할 그룹을 수정 하거나 만들기 및 수정 역할 할당 정책에 구성원을 제거 하는 등 기본적인 Exchange 2013 사용 권한 관리 하려는 경우 Permissions를 참조 하십시오.This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

목차Contents

관리 역할 그룹Management role groups

관리 역할 할당 정책Management role assignment policies

직접 사용자 역할 할당Direct user role assignment

요약 및 예제Summary and examples

자세한 내용For more information

관리 역할 그룹Management role groups

관리 역할 그룹 에 관리 역할 관리자 또는 전문가 사용자의 그룹에 연결 합니다. 관리자는 광범위 한 Exchange 조직 또는 받는 사람 구성을 관리합니다. 전문가 사용자가 규정 준수와 같은 Exchange의 특정 기능을 관리합니다. 또는 도움말 데스크 구성원 등의 관리 기능을 제한 수 있으 광범위 한 관리 권한이 부여 되지 않습니다. 역할 그룹에는 일반적으로 관리 관리 역할 관리자와 전문가 사용자가 조직 및 받는 사람에 게의 구성을 관리 하도록 해 주는 연결 합니다. 예, 관리자가 받는 사람을 관리 하거나 사서함 검색 기능을 사용 하 여 수 있는지 여부 역할 그룹을 사용 하 여 제어 됩니다.Management role groups associate management roles to a group of administrators or specialist users. Administrators manage a broad Exchange organization or recipient configuration. Specialist users manage the specific features of Exchange, such as compliance. Or they may have limited management abilities, such as Help desk members, but aren't given broad administrative rights. Role groups typically associate administrative management roles that enable administrators and specialist users to manage the configuration of their organization and recipients. For example, whether administrators can manage recipients or use mailbox discovery features is controlled using role groups.

추가 또는 제거 하거나 역할 그룹에서 사용자가 어떻게 가장 자주 사용 권한을 할당할 관리자 또는 전문가 사용자가 됩니다. 자세한 내용은 관리 역할 그룹이 해를참조 하십시오.Adding or removing users to or from role groups is how you most often assign permissions to administrators or specialist users. For more information, see Understanding management role groups.

역할 그룹 관리자와 전문가 사용자가 수행할 수 있는 작업을 정의 하는 다음과 같은 구성 요소로 구성 합니다.Role groups consist of the following components that define what administrators and specialist users can do:

  • 관리 역할 그룹 관리 역할 그룹 은 사서함, 사용자, Usg, 및 다른 역할 그룹 역할 그룹의 구성원을 포함 하는 특별 한 유니버설 보안 그룹 (USG). 여기서 추가 하 고 구성원을 제거 하 고는 관리 역할에 할당 된도입니다. Exchange 조직에 역할 그룹에 추가 된 사용자가 관리할 수 있는 모든 항목 정의 하는 역할 그룹에 있는 모든 역할의 조합입니다.Management role group The management role group is a special universal security group (USG) that contains mailboxes, users, USGs, and other role groups that are members of the role group. This is where you add and remove members, and it's also what management roles are assigned to. The combination of all the roles on a role group defines everything that users added to a role group can manage in the Exchange organization.

  • 관리 역할 관리 역할 중 하나는 관리 역할 항목의 그룹에 대 한 컨테이너입니다. 역할은 역할에 할당 된 역할 그룹의 구성원으로 수행할 수 있는 특정 작업을 정의 하는데 사용 됩니다. 관리 역할 항목 cmdlet, 스크립트, 또는 수행할 역할에서 특정 작업을 각각 수 있도록 하는 특수 사용 권한입니다. 자세한 내용은 이해 관리 역할을 참조 하십시오.Management role A management role is a container for a grouping of management role entries. Roles are used to define the specific tasks that can be performed by the members of a role group that's assigned the role. A management role entry is a cmdlet, script, or special permission that enables each specific task in a role to be performed. For more information, see Understanding management roles.

  • 관리 역할 할당 관리 역할 할당 한 역할 및 역할 그룹에 연결합니다. Cmdlet 및 역할에 정의 된 매개 변수를 사용 하는 기능 역할 그룹의 구성원을 부여 역할 그룹에 역할을 할당 합니다. 할당 된 역할 할당을 사용할 수 있는 컨트롤에 관리 범위를 사용할 수 있습니다. 자세한 내용은 이해 관리 역할 할당을 참조 하십시오.Management role assignment A management role assignment links a role and a role group. Assigning a role to a role group grants members of the role group the ability to use the cmdlets and parameters defined in the role. Role assignments can use management scopes to control where the assignment can be used. For more information, see Understanding management role assignments.

  • 관리 역할 범위 관리 역할 범위 에 영향을 또는 역할 할당에 대 한 영향의 범위입니다. 범위와 역할 그룹에는 역할을 할당 하는 경우 특히 어떤 개체 배정이 관리할 수 관리 범위를 대상으로 합니다. 할당 및 범위를 다음 역할 그룹의 구성원에 게 제공 하 고 해당 구성원을 관리할 수 있는 기능을 제한 합니다. 서버 또는 데이터베이스, 조직 구성 단위 (Ou) 또는 서버, 데이터베이스 또는 받는 사람 개체에 대 한 필터의 목록 범위를 구성할 수 있습니다. 자세한 내용은 이해 관리 역할 범위를 참조 하십시오.Management role scope A management role scope is the scope of influence or impact on a role assignment. When a role is assigned with a scope to a role group, the management scope targets specifically what objects that assignment is allowed to manage. The assignment, and its scope, are then given to the members of the role group, and restrict what those members can manage. A scope can consist of a list of servers or databases, organizational units (OUs), or filters on server, database or recipient objects. For more information, see Understanding management role scopes.

역할 그룹에 사용자를 추가할 때 사용자 역할 그룹에 할당 된 역할을 모두에 제공 됩니다. 범위 역할 그룹 및 역할 간에 역할 할당 중 하나로 적용 하는 경우 이러한 범위 서버 구성 또는 받는 사람에 게 여러 사용자를 관리할 수를 제어 합니다.When you add a user to a role group, the user is given all of the roles assigned to the role group. If scopes are applied to any of the role assignments between the role group and the roles, those scopes control what server configuration or recipients the user can manage.

역할 그룹에 할당 된 역할을 변경 하려는 경우에 역할을 역할 그룹에 연결 하는 역할 할당을 변경 해야 합니다. Exchange 2013에 내장 된 배정 사용자 요구에 적합 하지 않으면 이러한 할당을 변경할 필요가 없습니다. 자세한 내용은 이해 관리 역할 할당을 참조 하십시오.If you want to change what roles are assigned to role groups, you need to change the role assignments that link the role groups to roles. Unless the assignments built into Exchange 2013 don't suit your needs, you won't have to change these assignments. For more information, see Understanding management role assignments.

역할 그룹에 대한 자세한 내용은 관리 역할 그룹 이해 (영문)를 참조하세요.For more information about role groups, see Understanding management role groups.

관리 역할 할당 정책Management role assignment policies

관리 역할 할당 정책을 사용자에 게 최종 사용자 관리 역할을 연결합니다. 사용자가 자신의 사서함 또는 메일 그룹으로 수행할 수 있는 작업을 제어 하는 역할의 역할 할당 정책 구성 됩니다. 이러한 역할 직접 되지 않은 기능 관리를 허용 하지는 사용자와 연결 합니다. 역할 할당 정책, 만들 때 사용자가 자신의 사서함으로 수행할 수 있는 모든 항목 정의 합니다. 예 역할 할당 정책에는 사용자의 표시 이름을 설정, 음성 메일을 설정 하 고 받은 편지함 규칙을 구성 하도록 허용할 수 있습니다. 다른 역할 할당 정책을 사용자 주소를 변경, 텍스트 메시징 사용을 허용 하 고 메일 그룹을 설정 될 수 있습니다. 관리자를 포함 하 여 Exchange 2013 사서함을 가진 모든 사용자는 역할 할당 정책은 기본적으로 제공 됩니다. 역할 할당 정책을 할당 해야하는 결정할 수 있습니다 기본적으로 선택 기능 기본 역할 할당 정책을 포함 되어야 특정 사서함에 대 한 기본값을 재정의할 또는 하지 역할 할당 정책 기본적으로 모든 할당 합니다.Management role assignment policies associate end-user management roles to users. Role assignment policies consist of roles that control what a user can do with his or her mailbox or distribution groups. These roles don't allow management of features that aren't directly associated with the user. When you create a role assignment policy, you define everything a user can do with his or her mailbox. For example, a role assignment policy may allow a user to set the display name, set up voice mail, and configure Inbox rules. Another role assignment policy might allow a user to change the address, use text messaging, and set up distribution groups. Every user with an Exchange 2013 mailbox, including administrators, is given a role assignment policy by default. You can decide which role assignment policy should be assigned by default, choose what the default role assignment policy should include, override the default for certain mailboxes, or not assign role assignment policies by default at all.

할당 정책에 사용자 할당은 사용자가 자신의 사서함 및 메일 그룹 옵션을 관리할 수에 대 한 사용 권한을 가장 자주 관리 하는 방법입니다. 자세한 내용은 이해 관리 역할 할당 정책을 참조 하십시오.Assigning a user to an assignment policy is how you most often manage permissions for users to manage their own mailbox and distribution group options. For more information, see Understanding management role assignment policies.

역할 할당 정책 자신의 사서함을 가진 사용자가 수행할 수 있는 작업을 정의 하는 다음과 같은 구성 요소로 구성 됩니다. 동일한 구성 요소 중 일부도 역할 그룹에 적용 되었는지 확인 합니다. 역할 할당 정책에서 사용 되는 경우 이러한 구성 요소는 사용자가 자신의 사서함만 관리할 수 있도록 제한 합니다.Role assignment policies consist of the following components that define what users can do with their own mailboxes. Notice that some of the same components also apply to role groups. When used with role assignment policies, these components are limited to enable users to manage only their own mailbox:

  • 관리 역할 할당 정책 관리 역할 할당 정책 에 Exchange 2013의 특수 개체입니다. 사용자가 자신의 사서함을 만들 때 또는 사서함에서 역할 할당 정책을 변경 하는 경우 역할 할당 정책과와 연결 합니다. 이것은 최종 사용자 관리 역할을 할당 합니다. 자신의 사서함 또는 메일 그룹에 사용자를 관리할 수 있는 모든 항목 정의 하는 역할 할당 정책에 있는 모든 역할의 조합입니다.Management role assignment policy The management role assignment policy is a special object in Exchange 2013. Users are associated with the role assignment policy when their mailboxes are created or if you change the role assignment policy on a mailbox. This is also what you assign end-user management roles to. The combination of all the roles on a role assignment policy defines everything that the user can manage on his or her mailbox or distribution groups.

  • 관리 역할 관리 역할 중 하나는 관리 역할 항목의 그룹에 대 한 컨테이너입니다. 역할은 사용자가 자신의 사서함 또는 메일 그룹으로 수행할 수 있는 특정 작업을 정의 하는데 사용 됩니다. 관리 역할 항목 cmdlet, 스크립트 또는 각 특정 작업에는 관리 역할을 수행할 수 있도록 하는 특수 사용 권한입니다. 역할 할당 정책을 사용 하 여 최종 사용자 역할을만 사용할 수 있습니다. 자세한 내용은 이해 관리 역할을 참조 하십시오.Management role A management role is a container for a grouping of management role entries. Roles are used to define the specific tasks that a user can do with his or her mailbox or distribution groups. A management role entry is a cmdlet, script or special permission that enables each specific task in a management role to be performed. You can only use end-user roles with role assignment policies. For more information, see Understanding management roles.

  • 관리 역할 할당 관리 역할 할당 은 역할 및 역할 할당 정책 간의 연결입니다. Cmdlet 및 역할에 정의 된 매개 변수를 사용 하는 기능을 부여 역할 할당 정책에 역할을 할당 합니다. 역할 할당 정책 및 역할 간에 역할 할당을 만들 때에 모든 범위를 지정할 수 없습니다. 하나는 배정 하 여 적용 범위는 Self 또는 MyGAL합니다. 역할 할당을 모두 사용자의 사서함 또는 메일 그룹에 범위를 지정 합니다. 자세한 내용은 이해 관리 역할 할당을 참조 하십시오.Management role assignment A management role assignment is the link between a role and a role assignment policy. Assigning a role to a role assignment policy grants the ability to use the cmdlets and parameters defined in the role. When you create a role assignment between a role assignment policy and a role, you can't specify any scope. The scope applied by the assignment is either Self or MyGAL. All role assignments are scoped to the user's mailbox or distribution groups. For more information, see Understanding management role assignments.

역할 할당 정책에 할당 된 역할을 변경 하려는 경우에 역할 할당 정책 역할에 연결 하는 역할 할당을 변경 해야 합니다. Exchange 2013에 내장 된 배정 사용자 요구에 적합 하지 않으면 이러한 할당을 변경할 필요가 없습니다. 자세한 내용은 이해 관리 역할 할당을 참조 하십시오.If you want to change what roles are assigned to role assignment policies, you need to change the role assignments that link the role assignment policies to roles. Unless the assignments built into Exchange 2013 don't suit your needs, you won't have to change these assignments. For more information, see Understanding management role assignments.

자세한 내용은 이해 관리 역할 할당 정책을 참조 하십시오.For more information, see Understanding management role assignment policies.

직접 사용자 역할 할당Direct user role assignment

직접 역할 할당 이 역할 그룹 또는 역할 할당 정책을 사용 하지 않고 사용자 또는 USG를 직접 관리 역할 할당에 대 한 고급 방법입니다. 특정 사용자 및 없는 다른 사용자에 게 세분화 된 사용 권한 집합을 제공 하려는 경우에 직접 역할 할당과 유용할 수 있습니다. 그러나 직접 역할 할당을 사용 하 여 사용 권한 모델의 복잡성을 길어질 수 있습니다. 사용자 작업을 변경 하거나 회사에서 퇴직 않으면 수동으로 할당을 제거 하 고 새 직원에 게이 추가 해야 합니다. 역할 그룹을 사용 하 여 사용자에 게 사용 권한을 할당 하려면 관리자와 전문가 사용자 및 역할 할당 정책에 사용 권한을 할당 하는 것이 좋습니다.Direct role assignment is an advanced method for assigning management roles directly to a user or USG without using a role group or role assignment policy. Direct role assignments can be useful when you need to provide a granular set of permissions to a specific user and no others. However, using direct role assignments can significantly increase the complexity of your permissions model. If a user changes jobs or leaves the company, you need to manually remove the assignments and add them to the new employee. We recommend that you use role groups to assign permissions to administrators and specialist users, and role assignment policies to assign permissions to users.

직접 사용자 할당 하는 방법에 대 한 자세한 내용은 이해 관리 역할 할당을 참조 하십시오.For more information about direct user assignment, see Understanding management role assignments.

요약 및 예제Summary and examples

다음 그림에서는 RBAC와 함께 작동 하는 방법에 구성 요소를 보여줍니다.The following figure shows the components in RBAC and how they fit together:

  • 역할 그룹:Role groups:

    • 하나 이상의 관리자 역할 그룹의 구성원 수 있습니다. 둘 이상의 역할 그룹의 구성원은 될 수도 있습니다.One or more administrators can be members of a role group. They can also be members of more than one role group.

    • 역할 그룹에는 하나 이상의 역할 할당 할당 됩니다. 이러한 링크 어떤 작업을 정의 하는 하나 이상의 관리 역할을 사용 하 여 역할 그룹을 수행할 수 있습니다.The role group is assigned one or more role assignments. These link the role group with one or more administrative roles that define what tasks can be performed.

    • 역할 할당 역할 그룹의 사용자 작업을 수행할 수 있는 위치를 정의 하는 관리 범위를 포함할 수 있습니다. 범위 역할 그룹의 사용자 구성을 수정할 수를 결정 합니다.The role assignments can contain management scopes that define where the users of the role group can perform actions. The scopes determine where the users of the role group can modify configuration.

  • 역할 할당 정책:Role assignment policies:

    • 하나 이상의 사용자가 역할 할당 정책과 사용 하 여 연결할 수 있습니다.One or more users can be associated with a role assignment policy.

    • 역할 할당 정책은 하나 이상의 역할 할당을 할당 됩니다. 이러한 역할 할당 정책을 하나 이상의 최종 사용자 역할과 연결합니다. 최종 사용자 역할은 사용자가 자신의 사서함에 구성할 수를 정의 합니다.The role assignment policy is assigned one or more role assignments. These link the role assignment policy with one or more end-user roles. The end-user roles define what the user can configure on his or her mailbox.

    • 역할 할당 정책 및 역할 간에 역할 할당 한 사용자의 사서함 또는 메일 그룹에 할당의 범위를 제한 하는 기본 제공 범위입니다.The role assignments between role assignment policies and roles have built-in scopes that restrict the scope of assignments to the user's own mailbox or distribution groups.

  • 직접 역할 할당 (고급):Direct role assignment (advanced):

    • 사용자 또는 USG 및 하나 간에 직접 역할 할당을 만들 수 또는 더 많은 역할입니다. 역할 정의 하는 사용자 작업 또는 USG 수행할 수 있습니다.A role assignment can be created directly between a user or USG and one or more roles. The role defines what tasks the user or USG can perform.

    • 역할 할당 하는 사용자 또는 USG 작업을 수행할 수 있는 위치를 정의 하는 관리 범위를 포함할 수 있습니다. 범위에 해당 사용자 또는 USG 구성을 수정할 위치를 결정 합니다.The role assignments can contain management scopes that define where the user or USG can perform actions. The scopes determine where the user or USG can modify configuration.

RBAC 개요 (영문)RBAC overview

![RBAC 구성 요소 관계] (images/Dd298183.1dee60cc-1d58-4d36-b34e-639f091e7a56(EXCHG.150).jpg "RBAC 구성 요소 관계")RBAC component relationships

위 그림에서와 같이 서로 게 여러 RBAC 구성 요소와 관련 된 합니다. 각 구성 요소를 만드는 방법 함께 각 관리자 또는 사용자에 게 적용 되는 사용 권한을 정의 하는 것이 이것이입니다. 다음 예제에서는 역할 그룹 및 역할 할당 정책이 조직에서 사용 하는 방법에 대 한 일부 추가 컨텍스트를 제공 합니다.As shown in the preceding figure, many components in RBAC are related to each other. It's how each component is put together that defines the permissions applied to each administrator or user. The following examples provide some additional context about how role groups and role assignment policies are used in an organization.

Jane 관리자Jane the Administrator

Jane은 Contoso 중간 규모 회사에 대 한 관리자입니다. 그녀는 자신의 밴쿠버 사무실에서 회사의 받는 사람을 관리 하는 일을 담당 합니다. Contoso에 대 한 사용 권한 모델을 만들 때 Jane 받는 사람 관리-밴쿠버 사용자 지정 역할 그룹의 구성원 것 이었습니다. 받는 사람 관리-밴쿠버 만들기 (영문) 및 받는 사람에 게, 예: 사서함, 연락처, 제거를 포함 하는 자신의 작업 의무를 가장 근접 하 게 일치 하는 사용자 지정 역할 그룹에는 메일 그룹 멤버 자격 및 사서함 속성 및 유사한 작업 관리 합니다.Jane is an administrator for the medium-size company, Contoso. She's responsible for managing the company's recipients in their Vancouver office. When the permissions model for Contoso was created, Jane was made a member of the Recipient Management - Vancouver custom role group. The Recipient Management - Vancouver custom role group most closely matches her job's duties, which include creating and removing recipients, such as mailboxes and contacts, managing distribution group membership and mailbox properties, and similar tasks.

받는 사람 관리-밴쿠버 사용자 지정 역할 그룹 외에도 Jane는 자신의 사서함의 구성 설정을 관리 하는 역할 할당 정책을 필요 합니다. 조직 관리자는 고위 경영진을 제외 하 고 모든 사용자가 각자의 사서함을 관리 하는 경우 동일한 사용 권한으로 받을 결정 했습니다. 자신의 음성 메일을 구성 하며, 보존 정책 설정, 주소 정보를 변경할 수 있습니다. 이제 Exchange 2013과 함께 제공 되는 기본 역할 할당 정책에는 이러한 요구 사항을 반영 합니다.In addition to the Recipient Management - Vancouver custom role group, Jane also needs a role assignment policy to manage her own mailbox's configuration settings. The organization administrators have decided that all users, except for senior management, receive the same permissions when they manage their own mailboxes. They can configure their voice mail, set up retention policies and change their address information. The default role assignment policy provided with Exchange 2013 now reflects these requirements.

참고

Jane 받는 사람 관리-밴쿠버 사용자 지정 역할 그룹의 구성원은 자신의 사서함을 관리할 수 있는 대화 권한이 제공 해야 하는 것을 알 수 있습니다. 이것은 true입니다. 그러나 역할 그룹의 모든 대화 사서함 기능 관리에 필요한 사용 권한 대화 모두를 제공 하지 않습니다. 음성 메일을 관리 하는 데 필요한 사용 권한 및 보존 정책 설정의 역할 그룹에 포함 되지 않습니다. 이러한 그녀에 할당 된 기본 역할 할당 정책에 의해서만 제공 됩니다.You may have noticed that because Jane is a member of the Recipient Management - Vancouver custom role group, that should give her permissions to manage her own mailbox. This is true; however, the role group doesn't provide her all of the permissions necessary to manage all of the features of her mailbox. The permissions needed to manage voice mail and retention policy settings aren't included in her role group. Those are provided only by the default role assignment policy assigned to her.

이 허용 하려면 밴쿠버에서 받는 사람을 통해 Jane의 관리 권한을 제공 하는 역할 그룹을 고려:To allow for this, consider the role group, which provides Jane's administrative permissions over the recipients in Vancouver:

  1. 사용자 지정 역할 그룹 받는 사람 관리-라는 밴쿠버 생성 되었습니다. 만들 때 다음 오류가 발생 했습니다.A custom role group called Recipient Management - Vancouver was created. When it was created, the following occurred:

    1. 역할 그룹 Recipient Management 기본 제공 역할 그룹에도 할당 된 관리 역할을 동일한 모두 할당 합니다. 이 받는 사람 관리-사용자 지정 역할 그룹 Recipient Management 역할 그룹에 추가 된 사용자와 동일한 사용 권한 밴쿠버에 추가 된 사용자에 게 제공 합니다. 그러나 다음 단계를 수행 하는 이러한 사용 권한을 사용할 수 있는 위치 제한 합니다.The role group was assigned all of the same management roles that are also assigned to the Recipient Management built-in role group. This gives users added to the Recipient Management - Vancouver custom role group the same permissions as those users added to the Recipient Management role group. However, the following steps limit where they can use those permissions.

    2. 받는 밴쿠버에 있는 사람을 일치 시키는 밴쿠버 받는 사람에 게 사용자 지정 관리 범위를 만들었습니다. 이 작업은 사용자의 도시 또는 기타 고유 정보에서 필터링 하는 범위를 만들어 수행 되었습니다.The Vancouver Recipients custom management scope was created, which matches only recipients who are located in Vancouver. This was done by creating a scope that filters on a user's city or other unique information.

    3. 역할 그룹 밴쿠버 받는 사람에 게 사용자 지정 관리 범위를 사용 하 여 만든 되었습니다. 받는 사람 관리에 추가 된 관리자-밴쿠버 사용자 지정 역할 그룹 사용 권한이 전체 받는 사람 관리 하는 동안이 의미, 밴쿠버에 기반 하는 받는 사람에 대해 이러한 사용 권한을 사용할 수 있습니다.The role group was created with the Vancouver Recipients custom management scope. This means while administrators added to the Recipient Management - Vancouver custom role group have full recipient management permissions, they can only use those permissions against recipients based in Vancouver.

    사용자 지정 역할 그룹을 만드는 방법에 대 한 자세한 내용은 관리 역할 그룹을 참조 하십시오.For more information about creating a custom role group, see Manage role groups.

  2. Jane 받는 사람 관리-밴쿠버 사용자 지정 역할 그룹의 구성원으로 추가 됩니다.Jane is then added as a member of the Recipient Management - Vancouver custom role group.

    역할 그룹에 구성원을 추가 하는 방법에 대 한 자세한 내용은 관리 역할 그룹 구성원을 참조 하십시오.For more information about adding members to a role group, see Manage role group members.

Jane가 자신의 사서함 설정을 관리 하는 기능을 부여 하려면 역할 할당 정책에는 필요한 사용 권한을 구성 해야 합니다. 기본 역할 할당 정책은 자신의 사서함을 구성 하는데 필요한 사용 권한을 가진 사용자를 제공 하는데 사용 됩니다. 모든 최종 사용자 역할을 제외 하 고 기본 역할 할당 정책에서 제거할 때는: MyBaseOptions, MyContactInformation, MyVoicemail, 및 MyRetentionPolicies합니다. MyBaseOptions 이 관리 역할 예: 받은 편지함 규칙, 일정 구성 및 기타 작업 Outlook Web App에서 기본 사용자 기능을 제공 하기 때문에 포함 됩니다.To give Jane the ability to manage her own mailbox settings, a role assignment policy needs to be configured with the required permissions. The default role assignment policy is used to provide users with the permissions they need to configure their own mailbox. All end-user roles are removed from the default role assignment policy, except for: MyBaseOptions, MyContactInformation, MyVoicemail, and MyRetentionPolicies. MyBaseOptions is included because this management role provides the basic user functionality in Outlook Web App, such as Inbox rules, calendar configuration, and other tasks.

다른 nothing Jane 기본 역할 할당 정책에 이미 할당 되어 있기 때문에 가능 해야 합니다. 즉, 항목이 변경에 역할 할당 정책을 자신의 사서함 및 기본 역할 할당 정책에도 할당 하는 다른 모든 사서함에 즉시 적용 됩니다.Nothing else needs to be done because Jane is already assigned the default role assignment policy. This means that the changes made to that role assignment policy are immediately applied to her mailbox, and any other mailboxes also assigned to the default role assignment policy.

기본 역할 할당 정책 사용자 지정 하는 방법에 대 한 자세한 내용은 관리 역할 할당 정책을 참조 하십시오.For more information about customizing the default role assignment policy, see Manage role assignment policies.

Joe 전문가Joe the Specialist

Contoso, Jane에 대 한 작동 하는 같은 회사에 대 한 Joe 작동 합니다. 가 법적 개시 수행, 보존 정책 설정 및 전송 규칙 및 전체 조직에 대 한 저널링을 구성 하는 일을 담당 합니다. 으로 Jane와 Contoso에 대 한 사용 권한 모델을 만들 때 Joe에 추가 된 자신의 직무와 일치 하는 역할 그룹입니다. 보존 정책과 저널링, 전송을 구성할 수 있는 권한을 가진 Joe를 제공 하는 레코드 관리 역할 그룹 규칙입니다. 검색 관리 역할 그룹은 그를 사서함 검색을 수행 하는 기능입니다.Joe works for Contoso, the same company that Jane works for. He's responsible for performing legal discovery, setting the retention policies, and configuring transport rules and journaling for the whole organization. As with Jane, when the permissions model for Contoso was created, Joe was added to the role groups that match his job duties. The Records Management role group provides Joe with the permissions to configure retention policies, journaling, and transport rules. The Discovery Management role group provides him with the ability to perform mailbox searches.

Jane와 마찬가지로 Joe는도 자신의 사서함을 관리할 수 있는 권한이 필요 합니다. Jane와 동일한 사용 권한 부여는 그:가 음성 메일 및 보존 정책을 설정 하 고 자신의 주소 정보를 변경할 수 있습니다.As with Jane, Joe also needs permissions to manage his own mailbox. He is given the same permissions as Jane: He can set up his voice mail and retention policies, and change his address information.

Joe가 작업 업무를 수행 하는 권한 부여를 Joe 레코드 관리 및 검색 관리 역할 그룹에 추가 됩니다. 역할 그룹 제공 하기 때문에 이미 그가 필요한 사용 권한이 어떤 식으로도 변경할 필요가 없습니다 하 고 전체 조직을 포함 하는 관리 범위를 자신에 게 적용 합니다.To give Joe the permissions to perform his job duties, Joe is added to the Records Management and Discovery Management role groups. The role groups don't need to be changed in any way because they already provide him with the permissions he needs, and the management scopes applied to them encompass the entire organization.

역할 그룹에 사용자를 추가 하는 방법에 대 한 자세한 내용은 관리 역할 그룹 구성원을 참조 하십시오.For more information about adding a user to a role group, see Manage role group members.

민 수의 사서함에는 Jane의 사서함에 적용 되는 동일한 기본 역할 할당 정책은 할당 됩니다. 이렇게 그를 관리할 수 있는지가 자신의 사서함의 기능을 관리 하는 데 필요한 모든 권한이 있습니다.Joe's mailbox is also assigned the same default role assignment policy that's applied to Jane's mailbox. This gives him all the permissions he needs to manage the features of his mailbox that he's allowed to manage.

Isabel 부사장Isabel the Vice President

Isabel는 부사장의 마케팅 contoso입니다. Contoso의 고위 경영진 팀의 일부로 Isabel는 평균 사용자 보다 더 많은 권한은 부여 됩니다. 따라서 자신의 사서함을 관리 하기 위해 제공 됩니다 그녀는 사용 권한을 포함이: Isabel 규정 법률 준수에 대 한 자신의 보존 정책을 관리 하도록 허용 되지 않습니다. Isabel 그녀의 음성 메일을 구성, 대화 상대 정보를 변경, 자신의 프로필 정보를 변경, 만들기 및가 자신의 메일 그룹을 관리 하 고 추가 하거나 제거할 수 자신 다른 사용자가 소유 하는 기존 메일 그룹에서 합니다.Isabel is the Vice President of Marketing at Contoso. Isabel, as part of the senior leadership team of Contoso, is given more permissions than the average user. This includes the permissions she's provided to manage her mailbox, with one exception: Isabel isn't allowed to manage her own retention policies for legal compliance reasons. Isabel can configure her voice mail, change her contact information, change her profile information, create and manage her own distribution groups, and add or remove herself from existing distribution groups owned by others.

따라서 Isabel가 자신의 사서함에 다른 사용 권한은 부여 됩니다. Contoso에 대부분의 사용자는 기본 역할 할당 정책에 할당 됩니다. 그러나 고위 경영진 수석 리더 역할 할당 정책에 할당 됩니다. 다음 사용자 지정 역할 할당 정책 만들기를 수행 해야 합니다.So, Isabel is given different permissions on her own mailbox. Most users at Contoso are assigned to the default role assignment policy. However, senior leadership is assigned to the Senior Leadership role assignment policy. The following is done to create the custom role assignment policy:

  1. 선임 리더를 호출 하는 사용자 지정 역할 할당 정책을 만들어집니다. 역할 할당 정책을 할당은 MyBaseOptions, MyContactInformation, MyVoicemail, MyProfileInformation, MyDistributionGroupMembership, 및MyDistributionGroups 역할입니다. MyBaseOptions 이 역할은 받은 편지함 규칙, 일정 구성 및 기타 작업 등 Outlook Web App에서 기본 사용자 기능을 제공 하기 때문에 포함 됩니다.A custom role assignment policy called Senior Leadership is created. The role assignment policy is assigned the MyBaseOptions, MyContactInformation, MyVoicemail, MyProfileInformation, MyDistributionGroupMembership, andMyDistributionGroups roles. MyBaseOptions is included because this role provides the basic user functionality in Outlook Web App, such as Inbox rules, calendar configuration, and other tasks.

  2. Isabel 수석 리더 역할 할당 정책은 수동으로 할당 된 다음 됩니다.Isabel is then manually assigned the Senior Leadership role assignment policy.

Isabel의 사서함 수석 리더 역할 할당 정책에 의해 제공 되는 사용 권한이 되었습니다. 이 역할 할당 정책에 대 한 모든 변경 내용은 자신의 사서함과 동일한 역할 할당 정책에도 할당 하는 다른 모든 사서함에 자동으로 적용 됩니다.Isabel's mailbox now has the permissions provided by the Senior Leadership role assignment policy. Any changes made to this role assignment policy are automatically applied to her mailbox, and any other mailboxes also assigned to the same role assignment policy.

자세한 내용For more information

역할 할당 정책 관리Manage role assignment policies

사서함에 할당 정책 변경Change the assignment policy on a mailbox