역할 기반 액세스 제어 이해Understanding Role Based Access Control

적용 대상: Exchange Server 2013Applies to: Exchange Server 2013

RBAC ( 역할 기반 액세스 제어 )는 Microsoft Exchange Server 2013에서 사용 되는 사용 권한 모델입니다.Role Based Access Control (RBAC) is the permissions model used in Microsoft Exchange Server 2013. RBAC를 사용 하는 경우 Exchange Server 2007에서 수행 된 Acl (액세스 제어 목록)을 수정 하 고 관리할 필요가 없습니다.With RBAC, you don't need to modify and manage access control lists (ACLs), which was done in Exchange Server 2007. Acl은 의도 하지 않은 결과를 일으키지 않고 acl을 수정 하 고 업그레이드를 통해 ACL 수정을 유지 하며 비표준 방식으로 Acl을 사용 하 여 발생 한 문제를 해결 하는 것과 같은 Exchange 2007의 여러 가지 문제를 만들었습니다.ACLs created several challenges in Exchange 2007, such as modifying ACLs without causing unintended consequences, maintaining ACL modifications through upgrades, and troubleshooting problems that occurred due to using ACLs in a nonstandard way.

RBAC를 사용 하면 관리자와 최종 사용자가 수행할 수 있는 광범위 한 수준과 세분화 된 수준 모두에서 제어 가능RBAC enables you to control, at both broad and granular levels, what administrators and end-users can do. 또한 RBAC를 사용 하면 사용자 및 관리자가 할당 한 역할을 조직 내에서 보유 한 실제 역할에 보다 긴밀 하 게 맞출 수 있습니다.RBAC also enables you to more closely align the roles you assign users and administrators to the actual roles they hold within your organization. Exchange 2007에서 서버 사용 권한 모델은 Exchange 2007 인프라를 관리 하는 관리자 에게만 적용 됩니다.In Exchange 2007, the server permissions model applied only to the administrators who managed the Exchange 2007 infrastructure. Exchange 2013에서 RBAC는 이제 수행할 수 있는 관리 작업과 사용자가 자신의 사서함 및 메일 그룹을 관리할 수 있는 범위를 모두 제어 합니다.In Exchange 2013, RBAC now controls both the administrative tasks that can be performed and the extent to which users can now administer their own mailbox and distribution groups.

RBAC는 사용자가 관리자 또는 전문가 사용자 인지 아니면 최종 사용자이 고 관리 역할 그룹 및 관리 역할 할당 정책에 따라 조직의 사용자에 게 사용 권한을 할당 하는 두 가지 기본 방법입니다.RBAC has two primary ways of assigning permissions to users in your organization, depending on whether the user is an administrator or specialist user, or an end-user: management role groups and management role assignment policies. 각 방법은 사용자가 작업을 수행 하는 데 필요한 사용 권한에 연결 합니다.Each method associates users with the permissions they need to perform their jobs. 세 번째이자 더 높은 고급 방법인 직접 사용자 역할 할당도 사용할 수 있습니다.A third, more advanced method, direct user role assignment, can also be used. 이 항목의 다음 섹션에서는 RBAC에 대해 설명 하 고 사용 예를 제공 합니다.The following sections in this topic explain RBAC and provide examples of its use.

참고

이 항목에서는 고급 RBAC 기능에 대해 중점적으로 설명합니다.This topic focuses on advanced RBAC functionality. EAC (Exchange 관리 센터)를 사용 하 여 역할 그룹에서 구성원을 추가 및 제거 하 고, 역할 그룹을 만들거나 수정 하거나, 역할 할당 정책을 만들거나 수정 하는 등 기본 Exchange 2013 사용 권한을 관리 하려면 사용 권한을참조 하십시오.If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

관리 역할 그룹Management role groups

관리 역할 그룹 은 관리 역할을 관리자 또는 전문가 사용자 그룹에 연결 합니다.Management role groups associate management roles to a group of administrators or specialist users. 관리자는 광범위 한 Exchange 조직 또는 받는 사람 구성을 관리 합니다.Administrators manage a broad Exchange organization or recipient configuration. 전문가 사용자는 규정 준수와 같은 Exchange의 특정 기능을 관리 합니다.Specialist users manage the specific features of Exchange, such as compliance. 또는 지원 센터 구성원 등의 관리 기능을 제한 하는 경우에는 광범위 한 관리 권한이 부여 되지 않을 수 있습니다.Or they may have limited management abilities, such as Help desk members, but aren't given broad administrative rights. 일반적으로 역할 그룹은 관리자 및 전문가 사용자가 조직 및 받는 사람의 구성을 관리할 수 있도록 하는 관리 관리 역할을 연결 합니다.Role groups typically associate administrative management roles that enable administrators and specialist users to manage the configuration of their organization and recipients. 예를 들어 관리자가 받는 사람을 관리 하거나 사서함 검색 기능을 사용할 수 있는지 여부는 역할 그룹을 사용 하 여 제어 합니다.For example, whether administrators can manage recipients or use mailbox discovery features is controlled using role groups.

관리자 또는 전문가 사용자에 게 가장 자주 사용 권한을 할당 하는 방법은 사용자를 역할 그룹에 추가 하거나 제거 하는 것입니다.Adding or removing users to or from role groups is how you most often assign permissions to administrators or specialist users. 자세한 내용은 관리 역할 그룹 이해 (영문)을 참조하십시오.For more information, see Understanding management role groups.

역할 그룹은 관리자와 전문가 사용자가 수행할 수 있는 작업을 정의 하는 다음과 같은 구성 요소로 구성 됩니다.Role groups consist of the following components that define what administrators and specialist users can do:

  • 관리 역할 그룹: 관리 역할 그룹은 사서함, 사용자, usg 및 역할 그룹의 구성원 인 다른 역할 그룹을 포함 하는 특수 한 USG (유니버설 보안 그룹)입니다.Management role group: The management role group is a special universal security group (USG) that contains mailboxes, users, USGs, and other role groups that are members of the role group. 이 그룹에 구성원을 추가 및 제거하며 관리 역할이 할당되는 것도 이 그룹입니다.This is where you add and remove members, and it's also what management roles are assigned to. 역할 그룹의 모든 역할이 조합 되어 역할 그룹에 추가 된 사용자가 Exchange 조직에서 관리할 수 있는 모든 항목을 정의 합니다.The combination of all the roles on a role group defines everything that users added to a role group can manage in the Exchange organization.

  • 관리 역할: 관리 역할은 관리 역할 항목 그룹에 대 한 컨테이너입니다.Management role: A management role is a container for a grouping of management role entries. 역할은 해당 역할이 할당 된 역할 그룹의 구성원이 수행할 수 있는 특정 작업을 정의 하는 데 사용 됩니다.Roles are used to define the specific tasks that can be performed by the members of a role group that's assigned the role. 관리 역할 항목 은 역할의 각 특정 작업을 수행할 수 있도록 하는 cmdlet, 스크립트 또는 특수 사용 권한입니다.A management role entry is a cmdlet, script, or special permission that enables each specific task in a role to be performed. 자세한 내용은 관리 역할 이해를 참조 하십시오.For more information, see Understanding management roles.

  • 관리 역할 할당: 관리 역할 할당 은 역할과 역할 그룹을 연결 합니다.Management role assignment: A management role assignment links a role and a role group. 역할 그룹에 역할을 할당 하면 역할 그룹의 구성원에 게 역할에 정의 된 cmdlet과 매개 변수를 사용할 수 있는 권한을 부여 합니다.Assigning a role to a role group grants members of the role group the ability to use the cmdlets and parameters defined in the role. 역할 할당에서 관리 범위를 사용하여 할당을 사용할 수 있는 영역을 제어할 수 있습니다.Role assignments can use management scopes to control where the assignment can be used. 자세한 내용은 관리 역할 할당 이해 (영문) 항목을 참조하십시오.For more information, see Understanding management role assignments.

  • 관리 역할 범위: 관리 역할 범위 는 역할 할당에 대 한 영향 또는 영향의 범위입니다.Management role scope: A management role scope is the scope of influence or impact on a role assignment. 범위를 사용하여 역할 그룹에 역할을 할당하면 관리 범위가 할당에서 관리할 수 있는 대상 개체를 구체적으로 지정합니다.When a role is assigned with a scope to a role group, the management scope targets specifically what objects that assignment is allowed to manage. 그런 다음 할당 및 해당 범위를 역할 그룹의 구성원에 게 제공 하 고 구성원을 관리할 수 있는 대상을 제한 합니다.The assignment, and its scope, are then given to the members of the role group, and restrict what those members can manage. 범위는 서버나 데이터베이스 목록, Ou (조직 구성 단위) 또는 서버, 데이터베이스 또는 받는 사람 개체의 필터에 따라 구성 될 수 있습니다.A scope can consist of a list of servers or databases, organizational units (OUs), or filters on server, database or recipient objects. 자세한 내용은 관리 역할 범위 이해 (영문)를 참조하십시오.For more information, see Understanding management role scopes.

역할 그룹에 사용자를 추가 하면 해당 역할 그룹에 할당 된 모든 역할이 사용자에 게 부여 됩니다.When you add a user to a role group, the user is given all of the roles assigned to the role group. 역할 그룹과 역할 사이의 역할 할당에 범위를 적용 하는 경우 이러한 범위는 사용자가 관리할 수 있는 서버 구성 또는 받는 사람을 제어 합니다.If scopes are applied to any of the role assignments between the role group and the roles, those scopes control what server configuration or recipients the user can manage.

역할 그룹에 할당 되는 역할을 변경 하려는 경우 역할 그룹을 역할에 연결 하는 역할 할당을 변경 해야 합니다.If you want to change what roles are assigned to role groups, you need to change the role assignments that link the role groups to roles. Exchange 2013에 기본적으로 제공 되는 할당이 사용자의 요구에 적합 하지 않은 경우에는 이러한 할당을 변경할 필요가 없습니다.Unless the assignments built into Exchange 2013 don't suit your needs, you won't have to change these assignments. 자세한 내용은 관리 역할 할당 이해 (영문) 항목을 참조하십시오.For more information, see Understanding management role assignments.

역할 그룹에 대한 자세한 내용은 관리 역할 그룹 이해 (영문)를 참조하세요.For more information about role groups, see Understanding management role groups.

관리 역할 할당 정책Management role assignment policies

관리 역할 할당 정책은 최종 사용자 관리 역할에 사용자를 연결합니다.Management role assignment policies associate end-user management roles to users. 역할 할당 정책은 사용자가 자신의 사서함 또는 메일 그룹으로 수행할 수 있는 작업을 제어 하는 역할로 구성 됩니다.Role assignment policies consist of roles that control what a user can do with his or her mailbox or distribution groups. 이러한 역할은 사용자와 직접 연결되지 않은 기능의 관리를 허용하지 않습니다.These roles don't allow management of features that aren't directly associated with the user. 역할 할당 정책을 만들 때는 사용자가 사서함을 사용하여 수행할 수 있는 모든 작업을 정의합니다.When you create a role assignment policy, you define everything a user can do with his or her mailbox. 예를 들어 역할 할당 정책을 사용 하 여 사용자가 표시 이름을 설정 하 고, 음성 메일을 설정 하 고, 받은 편지함 규칙을 구성할 수 있습니다.For example, a role assignment policy may allow a user to set the display name, set up voice mail, and configure Inbox rules. 또 다른 역할 할당 정책은 사용자가 주소를 변경하고, 텍스트 메시징을 사용하고, 메일 그룹을 설정하도록 허용할 수 있습니다.Another role assignment policy might allow a user to change the address, use text messaging, and set up distribution groups. 관리자를 포함 하 여 Exchange 2013 사서함이 있는 모든 사용자에 게는 기본적으로 역할 할당 정책이 지정 됩니다.Every user with an Exchange 2013 mailbox, including administrators, is given a role assignment policy by default. 기본적으로 할당할 역할 할당 정책을 결정 하거나, 기본 역할 할당 정책에 포함 해야 하는 작업을 선택 하거나, 특정 사서함에 대 한 기본값을 재정의 하거나, 기본적으로 역할 할당 정책을 할당 하지 않을 수 있습니다.You can decide which role assignment policy should be assigned by default, choose what the default role assignment policy should include, override the default for certain mailboxes, or not assign role assignment policies by default at all.

할당 정책에 사용자를 할당 하는 것은 사용자가 자신의 사서함 및 메일 그룹 옵션을 관리 하는 가장 자주 사용 하는 권한을 관리 하는 방법입니다.Assigning a user to an assignment policy is how you most often manage permissions for users to manage their own mailbox and distribution group options. 자세한 내용은 관리 역할 할당 정책 이해(영문)를 참조 하십시오.For more information, see Understanding management role assignment policies.

역할 할당 정책은 사용자가 자신의 사서함으로 수행할 수 있는 작업을 정의 하는 다음과 같은 구성 요소로 구성 됩니다.Role assignment policies consist of the following components that define what users can do with their own mailboxes. 동일한 구성 요소 중 일부는 역할 그룹에도 적용 됩니다.Notice that some of the same components also apply to role groups. 이 구성 요소는 역할 할당 정책과 함께 사용 하 여 사용자가 자신의 사서함만 관리할 수 있도록 제한 됩니다.When used with role assignment policies, these components are limited to enable users to manage only their own mailbox:

  • 관리 역할 할당 정책: 관리 역할 할당 정책은 Exchange 2013의 특수 개체입니다.Management role assignment policy: The management role assignment policy is a special object in Exchange 2013. 사서함이 만들어지거나 사서함의 역할 할당 정책을 변경 하면 사용자가 역할 할당 정책과 연결 됩니다.Users are associated with the role assignment policy when their mailboxes are created or if you change the role assignment policy on a mailbox. 최종 사용자 관리 역할도 이 정책에 할당합니다.This is also what you assign end-user management roles to. 역할 할당 정책의 모든 역할이 조합되어 사용자가 자신의 사서함이나 메일 그룹에서 관리할 수 있는 항목을 정의합니다.The combination of all the roles on a role assignment policy defines everything that the user can manage on his or her mailbox or distribution groups.

  • 관리 역할: 관리 역할은 관리 역할 항목 그룹에 대 한 컨테이너입니다.Management role: A management role is a container for a grouping of management role entries. 역할은 사용자가 자신의 사서함이나 메일 그룹에 대해 수행할 수 있는 특정 작업을 정의하는 데 사용됩니다.Roles are used to define the specific tasks that a user can do with his or her mailbox or distribution groups. 관리 역할 항목 은 관리 역할의 각 특정 작업을 수행할 수 있도록 하는 cmdlet, 스크립트 또는 특수 사용 권한입니다.A management role entry is a cmdlet, script or special permission that enables each specific task in a management role to be performed. 역할 할당 정책에만 최종 사용자 역할을 사용할 수 있습니다.You can only use end-user roles with role assignment policies. 자세한 내용은 관리 역할 이해를 참조 하십시오.For more information, see Understanding management roles.

  • 관리 역할 할당: 관리 역할 할당 은 역할과 역할 할당 정책 간의 연결입니다.Management role assignment: A management role assignment is the link between a role and a role assignment policy. 역할 할당 정책에 역할을 할당 하면 해당 역할에 정의 된 cmdlet과 매개 변수를 사용할 수 있습니다.Assigning a role to a role assignment policy grants the ability to use the cmdlets and parameters defined in the role. 역할 할당 정책 및 역할 간에 역할 할당을 만드는 경우 범위를 지정할 수 없습니다.When you create a role assignment between a role assignment policy and a role, you can't specify any scope. 할당에 의해 적용 되는 범위는 Self 또는 MyGAL입니다.The scope applied by the assignment is either Self or MyGAL. 모든 역할 할당의 범위는 사용자의 사서함 또는 메일 그룹으로 지정 됩니다.All role assignments are scoped to the user's mailbox or distribution groups. 자세한 내용은 관리 역할 할당 이해 (영문) 항목을 참조하십시오.For more information, see Understanding management role assignments.

역할 할당 정책에 할당 되는 역할을 변경 하려는 경우 역할 할당 정책을 역할에 연결 하는 역할 할당을 변경 해야 합니다.If you want to change what roles are assigned to role assignment policies, you need to change the role assignments that link the role assignment policies to roles. Exchange 2013에 기본적으로 제공 되는 할당이 사용자의 요구에 적합 하지 않은 경우에는 이러한 할당을 변경할 필요가 없습니다.Unless the assignments built into Exchange 2013 don't suit your needs, you won't have to change these assignments. 자세한 내용은 관리 역할 할당 이해 (영문) 항목을 참조하십시오.For more information, see Understanding management role assignments.

자세한 내용은 관리 역할 할당 정책 이해(영문)를 참조 하십시오.For more information, see Understanding management role assignment policies.

직접 사용자 역할 할당Direct user role assignment

직접 역할 할당 은 역할 그룹 또는 역할 할당 정책을 사용 하지 않고 사용자 또는 USG에 직접 관리 역할을 할당 하는 고급 방법입니다.Direct role assignment is an advanced method for assigning management roles directly to a user or USG without using a role group or role assignment policy. 직접 역할 할당은 특정 사용자에 대 한 세부적인 권한 집합을 제공 해야 하는 경우에 유용할 수 있습니다.Direct role assignments can be useful when you need to provide a granular set of permissions to a specific user and no others. 그러나 직접 역할 할당을 사용 하면 사용 권한 모델이 상당히 복잡해 집니다.However, using direct role assignments can significantly increase the complexity of your permissions model. 사용자가 작업을 변경 하거나 회사에서 나가면 배정을 수동으로 제거 하 고 새 직원에 게 추가 해야 합니다.If a user changes jobs or leaves the company, you need to manually remove the assignments and add them to the new employee. 역할 그룹을 사용 하 여 관리자 및 전문가 사용자에 게 사용 권한을 할당 하 고 사용자에 게 사용 권한을 할당 하는 것이 좋습니다.We recommend that you use role groups to assign permissions to administrators and specialist users, and role assignment policies to assign permissions to users.

직접 사용자 할당에 대 한 자세한 내용은 관리 역할 할당 이해(영문)를 참조 하십시오.For more information about direct user assignment, see Understanding management role assignments.

요약 및 예제Summary and examples

다음 그림에는 RBAC의 구성 요소와 다음 요소가 서로 연결 되는 방식이 나와 있습니다.The following figure shows the components in RBAC and how they fit together:

  • 역할 그룹:Role groups:

    • 하나 이상의 관리자가 역할 그룹의 구성원이 될 수 있습니다.One or more administrators can be members of a role group. 둘 이상의 역할 그룹의 구성원이 될 수도 있습니다.They can also be members of more than one role group.

    • 역할 그룹에 하나 이상의 역할 할당이 할당 됩니다.The role group is assigned one or more role assignments. 이러한 링크는 수행할 수 있는 작업을 정의 하는 하나 이상의 관리 역할을 가진 역할 그룹을 연결 합니다.These link the role group with one or more administrative roles that define what tasks can be performed.

    • 역할 할당은 역할 그룹의 사용자가 작업을 수행할 수 있는 위치를 정의 하는 관리 범위를 포함할 수 있습니다.The role assignments can contain management scopes that define where the users of the role group can perform actions. 범위는 역할 그룹의 사용자가 구성을 수정할 수 있는 위치를 결정 합니다.The scopes determine where the users of the role group can modify configuration.

  • 역할 할당 정책:Role assignment policies:

    • 한 명 이상의 사용자가 역할 할당 정책에 연결 될 수 있습니다.One or more users can be associated with a role assignment policy.

    • 역할 할당 정책에 하나 이상의 역할 할당이 할당 됩니다.The role assignment policy is assigned one or more role assignments. 이러한 링크는 역할 할당 정책에 하나 이상의 최종 사용자 역할을 연결 합니다.These link the role assignment policy with one or more end-user roles. 최종 사용자 역할은 사용자가 자신의 사서함에 대해 구성할 수 있는 작업을 정의 합니다.The end-user roles define what the user can configure on his or her mailbox.

    • 역할 할당 정책 및 역할 간의 역할 할당에는 사용자의 사서함 또는 메일 그룹에 대 한 할당 범위를 제한 하는 기본 제공 범위가 있습니다.The role assignments between role assignment policies and roles have built-in scopes that restrict the scope of assignments to the user's own mailbox or distribution groups.

  • 직접 역할 할당 (고급):Direct role assignment (advanced):

    • 사용자 또는 USG와 하나 이상의 역할 간에 직접 역할 할당을 만들 수 있습니다.A role assignment can be created directly between a user or USG and one or more roles. 역할은 사용자 또는 USG가 수행할 수 있는 작업을 정의 합니다.The role defines what tasks the user or USG can perform.

    • 역할 할당은 사용자 또는 USG가 작업을 수행할 수 있는 위치를 정의 하는 관리 범위를 포함할 수 있습니다.The role assignments can contain management scopes that define where the user or USG can perform actions. 범위에 따라 사용자 또는 USG가 구성을 수정할 수 있는 위치가 결정 됩니다.The scopes determine where the user or USG can modify configuration.

RBAC 개요RBAC overview

RBAC 구성 요소 관계RBAC component relationships

이전 그림에 표시 된 것 처럼 RBAC의 많은 구성 요소 들이 서로 연결 되어 있습니다.As shown in the preceding figure, many components in RBAC are related to each other. 각 구성 요소가 서로 연결 되어 각 관리자 또는 사용자에 게 적용 되는 사용 권한을 정의 하는 방식입니다.It's how each component is put together that defines the permissions applied to each administrator or user. 다음 예에서는 조직에서 역할 그룹 및 역할 할당 정책이 사용 되는 방식에 대 한 몇 가지 추가 컨텍스트를 제공 합니다.The following examples provide some additional context about how role groups and role assignment policies are used in an organization.

Jane 관리자Jane the Administrator

Jane은 Contoso의 중간 규모 회사인 관리자입니다.Jane is an administrator for the medium-size company, Contoso. 그녀는 Vancouver 사무실에서 회사의 받는 사람을 관리 해야 합니다.She's responsible for managing the company's recipients in their Vancouver office. Contoso에 대 한 사용 권한 모델을 만든 경우 홍길동은 Recipient Management-Vancouver custom role 그룹의 구성원으로 지정 됩니다.When the permissions model for Contoso was created, Jane was made a member of the Recipient Management - Vancouver custom role group. 받는 사람 관리-Vancouver 사용자 지정 역할 그룹은 사서함 및 연락처와 같은 받는 사람 만들기 및 제거, 메일 그룹 구성원 자격 및 사서함 속성 관리, 이와 유사한 작업을 포함 하는 작업의 직무와 가장 근접 하 게 일치 합니다.The Recipient Management - Vancouver custom role group most closely matches her job's duties, which include creating and removing recipients, such as mailboxes and contacts, managing distribution group membership and mailbox properties, and similar tasks.

홍길동은 받는 사람 관리-Vancouver custom role 그룹 외에도 사서함의 구성 설정을 관리 하기 위한 역할 할당 정책도 필요 합니다.In addition to the Recipient Management - Vancouver custom role group, Jane also needs a role assignment policy to manage her own mailbox's configuration settings. 조직 관리자는 선임 관리를 제외한 모든 사용자가 자신의 사서함을 관리할 때 동일한 사용 권한을 수신 하도록 결정 했습니다.The organization administrators have decided that all users, except for senior management, receive the same permissions when they manage their own mailboxes. 이러한 사용자는 음성 메일을 구성 하 고, 보존 정책을 설정 하 고, 주소 정보를 변경할 수 있습니다.They can configure their voice mail, set up retention policies and change their address information. 이제 Exchange 2013와 함께 제공 되는 기본 역할 할당 정책에는 이러한 요구 사항이 반영 됩니다.The default role assignment policy provided with Exchange 2013 now reflects these requirements.

참고

홍길동은 받는 사람 관리-Vancouver custom role 그룹의 구성원 이므로 자신의 사서함을 관리할 수 있는 권한을 부여 받아야 합니다.You may have noticed that because Jane is a member of the Recipient Management - Vancouver custom role group, that should give her permissions to manage her own mailbox. 이는 사실입니다. 그러나 역할 그룹은 사서함의 모든 기능을 관리 하는 데 필요한 모든 권한을 제공 하지 않습니다.This is true; however, the role group doesn't provide her all of the permissions necessary to manage all of the features of her mailbox. 음성 메일 및 보존 정책 설정을 관리 하는 데 필요한 사용 권한은 역할 그룹에 포함 되지 않습니다.The permissions needed to manage voice mail and retention policy settings aren't included in her role group. 이러한 기능은 그녀에 게 할당 된 기본 역할 할당 정책 에서만 제공 됩니다.Those are provided only by the default role assignment policy assigned to her.

이를 위해 허용 하려면 Vancouver의 받는 사람에 대 한 Jane 관리 권한을 제공 하는 역할 그룹을 사용 하는 것이 좋습니다.To allow for this, consider the role group, which provides Jane's administrative permissions over the recipients in Vancouver:

  1. 받는 사람 관리-Vancouver 라는 사용자 지정 역할 그룹이 만들어졌습니다.A custom role group called Recipient Management - Vancouver was created. 만들어진 후에는 다음이 발생 합니다.When it was created, the following occurred:

    1. 역할 그룹에 받는 사람 관리 기본 제공 역할 그룹에도 할당 된 모든 동일한 관리 역할이 할당 되었습니다.The role group was assigned all of the same management roles that are also assigned to the Recipient Management built-in role group. 이를 통해 받는 사람 관리-Vancouver 사용자 지정 역할 그룹에 추가 된 사용자가 Recipient Management 역할 그룹에 추가한 권한으로 사용자에 게 부여 됩니다.This gives users added to the Recipient Management - Vancouver custom role group the same permissions as those users added to the Recipient Management role group. 그러나 다음 단계에서는 이러한 권한을 사용할 수 있는 위치를 제한 합니다.However, the following steps limit where they can use those permissions.

    2. Vancouver에 있는 받는 사람만 일치 시키는 Vancouver Recipients 사용자 지정 관리 범위를 만들었습니다.The Vancouver Recipients custom management scope was created, which matches only recipients who are located in Vancouver. 이 작업은 사용자의 구/군/시를 필터링 하는 범위를 작성 하거나 기타 고유한 정보를 사용 하 여 수행 되었습니다.This was done by creating a scope that filters on a user's city or other unique information.

    3. Vancouver Recipients 사용자 지정 관리 범위를 사용 하 여 역할 그룹을 만들었습니다.The role group was created with the Vancouver Recipients custom management scope. 즉, 받는 사람 관리-Vancouver 사용자 지정 역할 그룹에 추가 된 관리자에 게는 받는 사람 관리 권한이 꽉 차서 Vancouver에 기반한 받는 사람에 대 한 사용 권한만 사용할 수 있습니다.This means while administrators added to the Recipient Management - Vancouver custom role group have full recipient management permissions, they can only use those permissions against recipients based in Vancouver.

    사용자 지정 역할 그룹을 만드는 방법에 대 한 자세한 내용은 Manage role groups를 참조 하십시오.For more information about creating a custom role group, see Manage role groups.

  2. 그런 다음 Jane은 받는 사람 관리-Vancouver custom role 그룹의 구성원으로 추가 됩니다.Jane is then added as a member of the Recipient Management - Vancouver custom role group.

    역할 그룹에 구성원을 추가 하는 방법에 대 한 자세한 내용은 Manage role group members를 참조 하십시오.For more information about adding members to a role group, see Manage role group members.

홍길동에 게 자신의 사서함 설정을 관리 하는 기능을 사용 하려면 필요한 사용 권한으로 역할 할당 정책을 구성 해야 합니다.To give Jane the ability to manage her own mailbox settings, a role assignment policy needs to be configured with the required permissions. 기본 역할 할당 정책은 사용자가 자신의 사서함을 구성 하는 데 필요한 사용 권한을 제공 하는 데 사용 됩니다.The default role assignment policy is used to provide users with the permissions they need to configure their own mailbox. 모든 최종 사용자 MyBaseOptions역할은 다음 MyContactInformation MyVoicemail MyRetentionPolicies을 제외 하 고 기본 역할 할당 정책에서 제거 됩니다.All end-user roles are removed from the default role assignment policy, except for: MyBaseOptions, MyContactInformation, MyVoicemail, and MyRetentionPolicies. MyBaseOptions이 관리 역할은 받은 편지함 규칙, 일정 구성 및 기타 작업과 같은 Outlook Web App의 기본 사용자 기능을 제공 하기 때문에 포함 됩니다.MyBaseOptions is included because this management role provides the basic user functionality in Outlook Web App, such as Inbox rules, calendar configuration, and other tasks.

Jane에 기본 역할 할당 정책이 이미 할당 되어 있기 때문에 다른 작업을 수행할 필요가 없습니다.Nothing else needs to be done because Jane is already assigned the default role assignment policy. 즉, 해당 역할 할당 정책에 대 한 변경 내용이 사서함 및 기본 역할 할당 정책에 할당 된 다른 모든 사서함에 즉시 적용 됩니다.This means that the changes made to that role assignment policy are immediately applied to her mailbox, and any other mailboxes also assigned to the default role assignment policy.

기본 역할 할당 정책을 사용자 지정 하는 방법에 대 한 자세한 내용은 역할 할당 정책 관리를 참조 하십시오.For more information about customizing the default role assignment policy, see Manage role assignment policies.

Joe 전문가Joe the Specialist

Joe는 길동에 게 작동 하는 것과 동일한 회사 Contoso를 위해 작동 합니다.Joe works for Contoso, the same company that Jane works for. 조직의 전체 조직에 대해 법적 검색을 수행 하 고, 보존 정책을 설정 하 고, 전송 규칙 및 저널링을 구성 해야 합니다.He's responsible for performing legal discovery, setting the retention policies, and configuring transport rules and journaling for the whole organization. Jane과 마찬가지로, Contoso에 대 한 사용 권한 모델을 만든 경우 Joe는 해당 작업 의무와 일치 하는 역할 그룹에 추가 되었습니다.As with Jane, when the permissions model for Contoso was created, Joe was added to the role groups that match his job duties. Records 관리 역할 그룹은 Joe에 게 보존 정책, 저널링 및 전송 규칙을 구성 하는 사용 권한을 제공 합니다.The Records Management role group provides Joe with the permissions to configure retention policies, journaling, and transport rules. 검색 관리 역할 그룹은 사서함 검색을 수행할 수 있는 기능을 제공 합니다.The Discovery Management role group provides him with the ability to perform mailbox searches.

홍길동과 마찬가지로 Joe는 자신의 사서함을 관리할 수 있는 권한도 필요 합니다.As with Jane, Joe also needs permissions to manage his own mailbox. 홍길동과 동일한 사용 권한을 부여 받은 사람은 음성 메일 및 보존 정책을 설정 하 고 주소 정보를 변경할 수 있습니다.He is given the same permissions as Jane: He can set up his voice mail and retention policies, and change his address information.

Joe가 작업 의무를 수행 하는 권한을 제공 하기 위해 Joe는 레코드 관리 및 검색 관리 역할 그룹에 추가 됩니다.To give Joe the permissions to perform his job duties, Joe is added to the Records Management and Discovery Management role groups. 역할 그룹은 사용자에 게 필요한 사용 권한을 이미 제공 하 고 전체 조직에 적용 되는 관리 범위를 통해 변경할 필요가 없습니다.The role groups don't need to be changed in any way because they already provide him with the permissions he needs, and the management scopes applied to them encompass the entire organization.

역할 그룹에 사용자를 추가 하는 방법에 대 한 자세한 내용은 Manage role group members를 참조 하십시오.For more information about adding a user to a role group, see Manage role group members.

Joe의 사서함에도 Jane의 사서함에 적용 되는 것과 동일한 기본 역할 할당 정책이 할당 됩니다.Joe's mailbox is also assigned the same default role assignment policy that's applied to Jane's mailbox. 이렇게 하면 해당 사서함에서 관리할 수 있는 기능을 관리 하는 데 필요한 모든 권한이 제공 됩니다.This gives him all the permissions he needs to manage the features of his mailbox that he's allowed to manage.

Isabel 부사장Isabel the Vice President

Isabel는 Contoso의 마케팅 부서장입니다.Isabel is the Vice President of Marketing at Contoso. Contoso의 선임 리더십 팀의 일환으로 Isabel에는 일반 사용자 보다 더 많은 권한이 부여 됩니다.Isabel, as part of the senior leadership team of Contoso, is given more permissions than the average user. 여기에는 사용자의 사서함을 관리 하기 위해 제공 된 사용 권한이 포함 되며, 한 가지 예외는 Isabel에서 법적 규정 준수를 위해 자체 보존 정책을 관리할 수 없다는 것입니다.This includes the permissions she's provided to manage her mailbox, with one exception: Isabel isn't allowed to manage her own retention policies for legal compliance reasons. Isabel에서 음성 메일을 구성 하 고, 연락처 정보를 변경 하 고, 프로필 정보를 변경 하 고, 자신의 메일 그룹을 만들고 관리 하 고, 다른 사용자가 소유한 기존 메일 그룹에서 자신을 추가 하거나 제거할 수 있습니다.Isabel can configure her voice mail, change her contact information, change her profile information, create and manage her own distribution groups, and add or remove herself from existing distribution groups owned by others.

따라서 Isabel에는 자체 사서함에 대 한 다른 사용 권한이 부여 됩니다.So, Isabel is given different permissions on her own mailbox. Contoso의 대부분의 사용자는 기본 역할 할당 정책에 할당 됩니다.Most users at Contoso are assigned to the default role assignment policy. 그러나 선임 리더십은 선임 리더십 역할 할당 정책에 할당 됩니다.However, senior leadership is assigned to the Senior Leadership role assignment policy. 다음은 사용자 지정 역할 할당 정책을 만들기 위한 작업입니다.The following is done to create the custom role assignment policy:

  1. 선임 리더십 이라는 사용자 지정 역할 할당 정책이 만들어집니다.A custom role assignment policy called Senior Leadership is created. 역할 할당 정책 MyBaseOptions에는, MyContactInformation, MyVoicemail, MyProfileInformation MyDistributionGroupMembershipMyDistributionGroups 역할이 할당 됩니다.The role assignment policy is assigned the MyBaseOptions, MyContactInformation, MyVoicemail, MyProfileInformation, MyDistributionGroupMembership, andMyDistributionGroups roles. MyBaseOptions이 역할은 Outlook Web App의 기본 사용자 기능 (예: 받은 편지함 규칙, 일정 구성 및 기타 작업)을 제공 하기 때문에 포함 됩니다.MyBaseOptions is included because this role provides the basic user functionality in Outlook Web App, such as Inbox rules, calendar configuration, and other tasks.

  2. Isabel에는 선임 리더십 역할 할당 정책이 수동으로 할당 됩니다.Isabel is then manually assigned the Senior Leadership role assignment policy.

이제 Isabel의 사서함에는 선임 리더십 역할 할당 정책이 제공 하는 사용 권한이 부여 됩니다.Isabel's mailbox now has the permissions provided by the Senior Leadership role assignment policy. 이 역할 할당 정책에 대 한 변경 내용은 사서함 및 같은 역할 할당 정책에 할당 된 다른 모든 사서함에 자동으로 적용 됩니다.Any changes made to this role assignment policy are automatically applied to her mailbox, and any other mailboxes also assigned to the same role assignment policy.

자세한 내용For more information

역할 할당 정책 관리Manage role assignment policies

사서함에 할당 정책 변경Change the assignment policy on a mailbox