다음을 통해 공유


Azure 관리 ID를 사용하여 Exchange Online PowerShell에 연결

Exchange Online PowerShell V3 모듈을 사용하여 사용자 할당 또는 시스템 할당 Azure 관리 ID를 사용하여 Exchange Online PowerShell에 연결할 수 있습니다. 관리 ID에 대한 자세한 내용은 Azure 리소스에 대한 관리 ID란?을 참조하세요.

Exchange Online PowerShell 모듈을 사용하는 다른 연결 방법과 달리 로컬 컴퓨터의 Windows PowerShell 세션에서 연결 명령을 실행할 수 없습니다. 대신 관리 ID(예: Azure Automation 계정 또는 Azure Virtual Machine)와 연결된 Azure 리소스의 컨텍스트에서 연결합니다.

이 문서의 나머지 섹션에서는 관리 ID를 사용하여 연결하는 방법과 Azure에서 관리 ID를 사용하여 적절한 리소스를 만들고 구성하기 위한 요구 사항을 설명합니다.

참고

Exchange Online PowerShell에서는 다음 Microsoft 365 그룹 cmdlet과 함께 이 문서의 절차를 사용할 수 없습니다.

Microsoft Graph를 사용하여 해당 cmdlet에서 대부분의 기능을 대체할 수 있습니다. 자세한 내용은 Microsoft Graph에서 그룹 작업을 참조하세요.

V3 모듈의 REST API 연결에는 PowerShellGet 및 PackageManagement 모듈이 필요합니다. 자세한 내용은 Windows의 REST 기반 연결에 대한 PowerShellGet을 참조하세요.

시스템 할당 관리 ID를 사용하여 Exchange Online PowerShell에 연결

시스템 할당 관리 ID를 만들고 구성한 후 다음 구문을 사용하여 Exchange Online PowerShell에 연결합니다.

Connect-ExchangeOnline -ManagedIdentity -Organization <YourDomain>.onmicrosoft.com

예제:

Connect-ExchangeOnline -ManagedIdentity -Organization contoso.onmicrosoft.com

이 섹션의 나머지 부분에서는 지원되는 Azure 리소스를 사용하여 연결하는 방법을 설명합니다. 예제:

  • 시스템이 할당한 관리 ID가 있는 Azure Automation 계정의 PowerShell Runbook입니다.
  • 시스템이 할당한 관리 ID가 있는 Azure VM.

리소스가 연결되면 5단계: 관리 ID에 Microsoft Entra 역할 할당에서 할당한 RBAC 역할에 따라 Exchange Online PowerShell cmdlet 및 매개 변수를 사용할 수 있습니다.

시스템 할당 관리 ID가 있는 Azure Automation 계정을 사용하여 Exchange Online PowerShell에 연결

자동화 계정에 PowerShell Runbook을 만듭니다. 자세한 내용은 Azure Automation에서 Runbook 관리를 참조하세요.

PowerShell Runbook의 첫 번째 명령은 이 섹션의 시작 부분에 설명된 대로 명령이어야 합니다 Connect-ExchangeOnline... . 예제:

Connect-ExchangeOnline -ManagedIdentity -Organization contoso.onmicrosoft.com

그런 다음 테스트로 더 복잡한 명령 또는 스크립트로 이동하기 전에 Runbook에서 간단하고 영향이 낮은 명령으로 시작할 수 있습니다. 예제:

Get-AcceptedDomain | Format-Table Name

PowerShell Runbook을 성공적으로 만들고 저장하고 게시한 후 다음 단계를 수행하여 나중에 실행합니다.

  1. Automation 계정 페이지에서 https://portal.azure.com/#view/HubsExtension/BrowseResource/resourceType/Microsoft.Automation%2FAutomationAccountsAutomation 계정을 선택합니다.
  2. 열리는 세부 정보 플라이아웃에서 검색 아이콘에 "Runbook"을 입력하기 시작합니다.검색 상자를 선택한 다음 결과에서 Runbook을 선택합니다.
  3. 열리는 Runbook 플라이아웃에서 Runbook을 선택합니다.
  4. Runbook의 세부 정보 페이지에서 시작을 선택합니다.

시스템 할당 관리 ID가 있는 Azure VM을 사용하여 Exchange Online PowerShell에 연결

Azure VM의 Windows PowerShell 창에서 이 섹션의 시작 부분에 설명된 대로 명령을 사용합니다. 예제:

Connect-ExchangeOnline -ManagedIdentity -Organization contoso.onmicrosoft.com

사용자 할당 관리 ID를 사용하여 Exchange Online PowerShell에 연결

사용자 할당 관리 ID를 만들고 구성한 후 다음 구문을 사용하여 Exchange Online PowerShell에 연결합니다.

Connect-ExchangeOnline -ManagedIdentity -Organization <YourDomain>.onmicrosoft.com -ManagedIdentityAccountId <UserAssignedManagedIdentityClientIdValue>

< 3단계: 사용자가 할당한 관리 ID를 변수에 저장에서 UserAssignedManagedIdentityClientIdValue> 값을 가져옵니다.

이 섹션의 나머지 부분에서는 지원되는 Azure 리소스를 사용하여 연결하는 방법을 설명합니다. 예제:

  • 사용자가 할당한 관리 ID가 있는 Azure Automation 계정의 PowerShell Runbook입니다.
  • 사용자가 할당한 관리 ID가 있는 Azure VM.

리소스가 연결되면 Exchange Online PowerShell cmdlet 및 매개 변수는 6단계: 관리 ID에 Microsoft Entra 역할 할당에서 할당한 RBAC 역할에 따라 사용할 수 있습니다.

사용자가 할당한 관리 ID가 있는 Azure Automation 계정을 사용하여 Exchange Online PowerShell에 연결

자동화 계정에 PowerShell Runbook을 만듭니다. 자세한 내용은 Azure Automation에서 Runbook 관리를 참조하세요.

PowerShell Runbook의 첫 번째 명령은 이 섹션의 시작 부분에 설명된 대로 명령이어야 합니다 Connect-ExchangeOnline... . 예제:

Connect-ExchangeOnline -ManagedIdentity -Organization contoso.onmicrosoft.com -ManagedIdentityAccountId bf6dcc76-4331-4942-8d50-87ea41d6e8a1

3단계: 사용자가 할당한 관리 ID를 변수에 저장에서 ManagedIdentityAccount 값을 가져옵니다.

그런 다음 테스트로 더 복잡한 명령 또는 스크립트로 이동하기 전에 Runbook에서 간단하고 영향이 낮은 명령으로 시작할 수 있습니다. 예제:

Get-AcceptedDomain | Format-Table Name

PowerShell Runbook을 성공적으로 만든 후 다음 단계를 수행하여 나중에 실행합니다.

  1. Automation 계정 페이지에서 https://portal.azure.com/#view/HubsExtension/BrowseResource/resourceType/Microsoft.Automation%2FAutomationAccountsAutomation 계정을 선택합니다.
  2. 열리는 세부 정보 플라이아웃에서 검색 아이콘에 "Runbook"을 입력하기 시작합니다.검색 상자를 선택한 다음 결과에서 Runbook을 선택합니다.
  3. 열리는 Runbook 플라이아웃에서 Runbook을 선택합니다.
  4. Runbook의 세부 정보 페이지에서 시작을 선택합니다.

시스템 할당 관리 ID가 있는 Azure VM을 사용하여 Exchange Online PowerShell에 연결

Azure VM의 Windows PowerShell 창에서 이 섹션의 시작 부분에 설명된 대로 명령을 사용합니다. 예제:

$MI_ID = (Get-AzUserAssignedIdentity -Name "ContosoMI1" -ResourceGroupName "ContosoRG2").ClientId

Connect-ExchangeOnline -ManagedIdentity -Organization contoso.onmicrosoft.com -ManagedIdentityAccountId $MI_ID

시스템 할당 관리 ID 만들기 및 구성

그 단계는 다음과 같습니다.

  1. (선택 사항) 시스템 할당 관리 ID를 사용하여 리소스 만들기
  2. 시스템 할당 관리 ID를 변수에 저장
  3. 관리 ID에 Exchange Online PowerShell 모듈 추가
  4. 관리 ID가 Exchange Online을 호출할 수 있도록 Exchange.ManageAsApp API 권한 부여
  5. 관리 ID에 Microsoft Entra 역할 할당

단계를 완료하면 시스템 할당 관리 ID를 사용하여 Exchange Online PowerShell에 연결할 준비가 됩니다.

1단계: 시스템 할당 관리 ID를 사용하여 리소스 만들기

시스템 할당 관리 ID로 이미 구성된 기존 리소스를 사용하려는 경우 다음 단계로 건너뛸 수 있습니다. 지원되는 리소스 유형은 다음과 같습니다.

  • Azure Automation 계정
  • Azure VM(가상 머신)

시스템 할당 관리 ID를 사용하여 Azure Automation 계정 만들기

빠른 시작: Azure Portal을 사용하여 Automation 계정 만들기의 지침을 사용하여 시스템 할당 관리 ID에 대해 구성된 Automation 계정을 만듭니다.

Azure PowerShell에서 시스템 할당 관리 ID를 사용하여 Automation 계정을 만들려면 다음 단계를 수행합니다.

  1. 다음 명령을 실행하여 Azure Az PowerShell 에 연결합니다.

    Connect-AzAccount
    
  2. 필요한 경우 다음 명령을 실행하여 Automation 계정과 함께 사용할 Azure 리소스 그룹을 만듭니다.

    New-AzResourceGroup -Name "<ResourceGroupName>" -Location "<Location>"
    
    • <ResourceGroupName> 은 새 리소스 그룹의 고유한 이름입니다.
    • <위치> 는 명령 Get-AzLocation | Format-Table Name의 유효한 값입니다.

    예제:

    New-AzResourceGroup -Name "ContosoRG" -Location "West US"
    

    전체 지침은 리소스 그룹 만들기를 참조하세요.

  3. 다음 구문을 사용하여 시스템 할당 관리 ID를 사용하여 Automation 계정을 만듭니다.

    New-AzAutomationAccount -Name "<AutomationAccountName>" -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -AssignSystemIdentity
    
    • <AutomationAccountName> 은 새 Automation 계정의 고유한 이름입니다.
    • <ResourceGroupName> 은 사용하려는 기존 리소스 그룹의 이름입니다. 유효한 값은 명령 Get-AzResourceGroup의 출력에 표시됩니다.
    • <위치> 는 명령 Get-AzLocation | Format-Table Name의 유효한 값입니다.

    예제:

    New-AzAutomationAccount -Name "ContosoAzAuto1" -ResourceGroupName "ContosoRG" -Location "West US" -AssignSystemIdentity
    

    자세한 구문 및 매개 변수 정보는 New-AzAutomationAccount를 참조하세요.

시스템 할당 관리 ID를 사용하여 Azure VM 구성

지침은 다음 문서를 참조하세요.

2단계: 시스템 할당 관리 ID를 변수에 저장

다음 구문을 사용하여 관리 ID의 ID(GUID) 값을 Azure Az PowerShell의 향후 단계에서 사용할 변수에 저장합니다.

$MI_ID = (Get-AzADServicePrincipal -DisplayName "<ResourceName>").Id

여기서 <ResourceName> 은 Azure Automation 계정 또는 Azure VM의 이름입니다. 예제:

$MI_ID = (Get-AzADServicePrincipal -DisplayName "ContosoAzAuto1").Id

변수가 성공적으로 캡처되었는지 확인하려면 명령을 $MI_ID실행합니다. 출력은 GUID 값이어야 합니다(예: 9f164909-3007-466e-a1fe-28d20b16e2c2).

자세한 구문 및 매개 변수 정보는 Get-AzADServicePrincipal을 참조하세요.

3단계: 관리 ID에 Exchange Online PowerShell 모듈 추가

시스템 할당 관리 ID를 사용하여 Azure Automation 계정에 Exchange Online PowerShell 모듈 추가

Azure Portal에서 다음 절차가 작동하지 않는 경우 Azure Portal 프로시저 다음에 설명된 Azure PowerShell에서 New-AzAutomationModule 명령을 사용해 보세요.

  1. Automation 계정 페이지에서 https://portal.azure.com/#view/HubsExtension/BrowseResource/resourceType/Microsoft.Automation%2FAutomationAccountsAutomation 계정을 선택합니다.

  2. 열리는 세부 정보 플라이아웃에서 검색 아이콘에 "모듈"을 입력하기 시작합니다.검색 상자를 선택한 다음 결과에서 모듈을 선택합니다.

  3. 열리는 모듈 플라이아웃에서 모듈 추가 아이콘을 선택합니다.모듈을 추가합니다.

  4. 열리는 모듈 추가 페이지에서 다음 설정을 구성합니다.

    • 모듈 파일 업로드: 갤러리에서 찾아보기를 선택합니다.
    • PowerShell 모듈 파일: 갤러리에서 찾아보려면 여기를 클릭을 선택합니다.
      1. 열리는 갤러리 찾아보기 페이지에서 검색 아이콘에 "ExchangeOnlineManagement"를 입력하기 시작합니다.검색 상자에서 Enter 키를 누른 다음, 결과에서 ExchangeOnlineManagement를 선택합니다.
      2. 열리는 세부 정보 페이지에서 선택을 선택하여 모듈 추가 페이지로 돌아갑니다.
    • 런타임 버전: 5.1 또는 7.1(미리 보기)을 선택합니다. 두 버전을 모두 추가하려면 이 섹션의 단계를 반복하여 모듈의 다른 런타임 버전을 추가하고 선택합니다.

    완료되면 가져오기를 선택합니다.

    Azure Portal의 Automation 계정에 모듈을 추가하는 스크린샷

  5. 모듈 플라이아웃으로 돌아가서 검색 아이콘에 "ExchangeOnlineManagement"를 입력하기 시작합니다.검색 상자에서 상태 값을 확인합니다. 모듈 가져오기가 완료되면 값은 사용 가능입니다.

Azure PowerShell의 Automation 계정에 모듈을 추가하려면 다음 구문을 사용합니다.

New-AzAutomationModule -ResourceGroupName "<ResourceGroupName>" -AutomationAccountName "<AutomationAccountName>" -Name ExchangeOnlineManagement -ContentLinkUri https://www.powershellgallery.com/packages/ExchangeOnlineManagement/<LatestModuleVersion>
  • <ResourceGroupName> 은 Automation 계정에 이미 할당된 리소스 그룹의 이름입니다.
  • <AutomationAccountName> 은 Automation 계정의 이름입니다.
  • <LatestModuleVersion> 은 ExchangeOnlineManagement 모듈의 현재 버전입니다. 모듈의 최신 GA(일반 공급, 미리 보기가 아닌) 버전을 보려면 Windows PowerShell Find-Module ExchangeOnlineManagement에서 다음 명령을 실행합니다. 최신 미리 보기 릴리스를 보려면 명령을 Find-Module ExchangeOnlineManagement -AllowPrerelease실행합니다.
  • 현재 PowerShell 프로시저는 런타임 버전(5.1)을 선택할 수 없습니다.

예제:

New-AzAutomationModule -ResourceGroupName "ContosoRG" -AutomationAccountName "ContosoAzAuto1" -Name ExchangeOnlineManagement -ContentLinkUri https://www.powershellgallery.com/packages/ExchangeOnlineManagement/3.1.0

모듈을 성공적으로 가져왔는지 확인하려면 다음 명령을 실행합니다.

Get-AzAutomationModule -ResourceGroupName ContosoRG -AutomationAccountName ContosoAzAuto1 -Name ExchangeOnlineManagement

가져오는 동안 ProvisioningState 속성에는 Creating 값이 있습니다. 모듈 가져오기가 완료되면 값이 Succeeded로 변경됩니다.

자세한 구문 및 매개 변수 정보는 New-AzAutomationModule을 참조하세요.

시스템 할당 관리 ID를 사용하여 Azure VM에 Exchange Online PowerShell 모듈 추가

Azure VM에 Exchange Online PowerShell 모듈을 설치합니다. 자세한 내용은 Exchange Online PowerShell 모듈 설치 및 유지 관리를 참조하세요.

4단계: 관리 ID가 Exchange Online을 호출할 수 있도록 Exchange.ManageAsApp API 권한 부여

이 단계의 절차에는 Microsoft Graph PowerShell SDK가 필요합니다. 설치 지침은 Microsoft Graph PowerShell SDK 설치를 참조하세요.

  1. 다음 명령을 실행하여 필요한 권한으로 Microsoft Graph PowerShell에 연결합니다.

    Connect-MgGraph -Scopes AppRoleAssignment.ReadWrite.All,Application.Read.All
    

    권한 요청 대화 상자가 열리면 조직을 대신하여 동의를 선택한 다음 동의를 클릭합니다.

  2. 다음 명령을 실행하여 Office 365 Exchange Online 리소스를 Microsoft Entra ID에서 사용할 수 있는지 확인합니다.

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
    

    명령이 결과를 반환하지 않으면 다음 단계가 작동하지 않습니다. 계속하기 전에 문제를 해결하려면 이 섹션의 끝에 있는 하위 섹션을 참조하세요.

  3. 다음 명령을 실행하여 관리 ID가 Exchange Online을 호출할 수 있도록 Exchange.ManageAsApp API 권한을 부여합니다.

    $AppRoleID = "dc50a0fb-09a3-484d-be87-e023b12c6440"
    
    $ResourceID = (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").Id
    
    New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $MI_ID -PrincipalId $MI_ID -AppRoleId $AppRoleID -ResourceId $ResourceID
    
    • $MI_ID2단계에서 변수에 저장한 관리 ID의 ID(GUID) 값입니다.
    • $AppRoleID 는 모든 조직에서 동일한 Exchange.ManageAsApp API 권한의 ID(GUID) 값입니다.
    • $ResourceID 는 Microsoft Entra ID에 있는 Office 365 Exchange Online 리소스의 ID(GUID) 값입니다. AppId 값은 모든 조직에서 동일하지만 ID 값은 모든 조직에서 다릅니다.

자세한 구문 및 매개 변수 정보는 다음 문서를 참조하세요.

Microsoft Entra ID에서 Office 365 Exchange Online 리소스를 사용할 수 없는 경우 수행할 작업

다음 명령이 결과를 반환하지 않는 경우:

Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"

다음 단계를 수행합니다.

  1. 1단계: Microsoft Entra ID에 애플리케이션 등록에 설명된 대로 Microsoft Entra ID에 애플리케이션을 등록합니다.
  2. 2단계: 애플리케이션에 API 권한 할당에 설명된 대로 "앱 매니페스트 수정" 방법을 사용하여 Office 365 Exchange Online > Exchange.ManageAsApp API 권한을 애플리케이션에 할당합니다.

이 단계를 수행한 후 Get-MgServicePrincipal 명령을 다시 실행하여 Office 365 Exchange Online 리소스를 Microsoft Entra ID에서 사용할 수 있는지 확인합니다.

자세한 내용은 다음 명령을 실행하여 Office 365 Exchange Online 리소스에서 Exchange.ManageAsApp API 권한(dc50a0fb-09a3-484d-be87-e023b12c6440)을 사용할 수 있는지 확인합니다.

Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | Select-Object -ExpandProperty AppRoles | Format-Table Value,Id

이제 Office 365 Exchange Online 리소스를 사용할 수 있으므로 이 섹션의 4.3단계로 돌아갑니다.

5단계: 관리 ID에 Microsoft Entra 역할 할당

지원되는 Microsoft Entra 역할은 다음 목록에 설명되어 있습니다.

1 전역 관리자 및 Exchange 관리자 역할은 Exchange Online PowerShell의 모든 작업에 필요한 권한을 제공합니다. 예:

  • 수신자 관리.
  • 보안 및 보호 기능. 예를 들어 스팸 방지, 맬웨어 방지, 피싱 방지 및 관련 보고서가 있습니다.

보안 관리자 역할에는 동일한 작업에 필요한 권한이 없습니다.

² Microsoft에서는 사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 사용 권한이 낮은 계정을 사용하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한 있는 역할입니다.

Microsoft Entra ID에서 역할을 할당하는 방법에 대한 일반적인 지침은 사용자에게 Microsoft Entra 역할 할당을 참조하세요.

  1. https://portal.azure.com/Microsoft Entra 관리 센터에서 페이지 맨 위에 있는 검색 상자에 역할 및 관리자 입력을 시작한 다음 서비스 섹션의 결과에서 Microsoft Entra 역할 및 관리자를 선택합니다.

    Azure Portal 홈페이지의 검색 결과에서 Microsoft Entra 역할 및 관리자를 보여 주는 스크린샷

    또는 Microsoft Entra 역할 및 관리자 페이지로 직접 이동하려면 를 사용합니다 https://portal.azure.com/#view/Microsoft_AAD_IAM/AllRolesBlade.

  2. 역할 및 관리자 페이지에서 결과에서 역할 이름(확인란 아님)을 클릭하여 지원되는 역할 중 하나를 찾아 선택합니다. 예를 들어 Exchange 관리자 역할을 찾아 선택합니다.

    역할 이름을 클릭하여 지원되는 Exchange Online PowerShell 역할을 찾아 선택합니다.

  3. 열리는 할당 페이지에서 할당 추가를 선택합니다.

    Exchange Online PowerShell에 대한 역할 할당 페이지에서 할당 추가를 선택합니다.

  4. 열리는 할당 추가 플라이아웃에서 1단계에서 만들거나 식별한 관리 ID를 찾아 선택합니다.

    완료되면 추가를 선택합니다.

  5. 할당 페이지로 돌아가서 역할이 관리 ID에 할당되었는지 확인합니다.

Microsoft Graph PowerShell의 관리 ID에 역할을 할당하려면 다음 단계를 수행합니다.

  1. 다음 명령을 실행하여 필요한 권한으로 Microsoft Graph PowerShell에 연결합니다.

    Connect-MgGraph -Scopes RoleManagement.ReadWrite.Directory
    

    권한 요청 대화 상자가 열리면 조직을 대신하여 동의를 선택한 다음 동의를 클릭합니다.

  2. 다음 구문을 사용하여 필요한 Microsoft Entra 역할을 관리 ID에 할당합니다.

    $RoleID = (Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq '<Role Name>'").Id
    
    New-MgRoleManagementDirectoryRoleAssignment -PrincipalId $MI_ID -RoleDefinitionId $RoleID -DirectoryScopeId "/"
    
    • <역할 이름은> 이 섹션의 앞부분에 나열된 Microsoft Entra 역할의 이름입니다.
    • $MI_ID2단계에서 변수에 저장한 관리 ID의 ID(GUID) 값입니다.

    예제:

    $RoleID = (Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Exchange Administrator'").Id
    
    New-MgRoleManagementDirectoryRoleAssignment -PrincipalId $MI_ID -RoleDefinitionId $RoleID -DirectoryScopeId "/"
    

자세한 구문 및 매개 변수 정보는 다음 문서를 참조하세요.

사용자 할당 관리 ID 만들기 및 구성

그 단계는 다음과 같습니다.

  1. (선택 사항) 사용자 할당 관리 ID 만들기
  2. (선택 사항) 사용자 할당 관리 ID를 사용하여 리소스 만들기
  3. 사용자가 할당한 관리 ID를 변수에 저장
  4. 관리 ID에 Exchange Online PowerShell 모듈 추가
  5. 관리 ID가 Exchange Online을 호출할 수 있도록 Exchange.ManageAsApp API 권한 부여
  6. 관리 ID에 Microsoft Entra 역할 할당

단계를 완료하면 사용자 할당 관리 ID를 사용하여 Exchange Online PowerShell에 연결할 준비가 됩니다.

1단계: 사용자 할당 관리 ID 만들기

사용할 기존 사용자 할당 관리 ID가 이미 있는 경우 다음 단계로 건너뛰어 사용자 할당 관리 ID를 사용하여 리소스를 만들 수 있습니다.

그렇지 않으면 사용자 할당 관리 ID 만들기의 지침을 사용하여 Azure Portal에서 사용자 할당 관리 ID를 만듭니다.

Azure PowerShell에서 사용자 할당 관리 ID를 만들려면 다음 단계를 수행합니다.

  1. 다음 명령을 실행하여 Azure Az PowerShell 에 연결합니다.

    Connect-AzAccount
    
  2. 필요한 경우 다음 명령을 실행하여 사용자가 할당한 관리 ID와 함께 사용할 Azure 리소스 그룹을 만듭니다.

    New-AzResourceGroup -Name "<ResourceGroupName>" -Location "<Location>"
    
    • <ResourceGroupName> 은 새 리소스 그룹의 고유한 이름입니다.
    • <위치> 는 명령 Get-AzLocation | Format-Table Name의 유효한 값입니다.

    예제:

    New-AzResourceGroup -Name "ContosoRG2" -Location "West US"
    

    전체 지침은 리소스 그룹 만들기를 참조하세요.

  3. 다음 구문을 사용하여 사용자 할당 관리 ID를 만듭니다.

    New-AzUserAssignedIdentity -Name "<UserAssignedManagedIdentityName>" -ResourceGroupName "<ResourceGroupName>" -Location "<Location>"
    
    • <UserAssignedManagedIdentityName> 은 사용자 할당 관리 ID의 고유한 이름입니다.
    • <ResourceGroupName> 은 사용하려는 기존 리소스 그룹의 이름입니다. 유효한 값은 명령 Get-AzResourceGroup의 출력에 표시됩니다.
    • <위치> 는 명령 Get-AzLocation | Format-Table Name의 유효한 값입니다.

    예제:

    New-AzUserAssignedIdentity -Name "ContosoMI1" -ResourceGroupName "ContosoRG2" -Location "West US"
    

    자세한 구문 및 매개 변수 정보는 New-AzUserAssignedIdentity를 참조하세요.

2단계: 사용자 할당 관리 ID를 사용하여 리소스 만들기

사용자가 할당한 관리 ID로 이미 구성된 기존 리소스를 사용하려는 경우 다음 단계로 건너뛸 수 있습니다. 지원되는 리소스 유형은 다음과 같습니다.

  • Azure Automation 계정
  • Azure VM(Virtual Machines)

사용자 할당 관리 ID를 사용하여 Azure Automation 계정 만들기

빠른 시작: Azure Portal을 사용하여 Automation 계정 만들기의 지침을 사용하여 사용자 할당 관리 ID에 대해 구성된 Automation 계정을 만듭니다.

Azure PowerShell에서 사용자 할당 관리 ID를 사용하여 Automation 계정을 만들려면 다음 단계를 수행합니다.

  1. 다음 명령을 실행하여 Azure Az PowerShell 에 연결합니다.

    Connect-AzAccount
    
  2. 다음 구문을 사용하여 사용자 할당 관리 ID를 사용하여 Automation 계정을 만듭니다.

    $UAMI = (Get-AzUserAssignedIdentity -Name "<UserAssignedMI>" -ResourceGroupName "<MIResourceGroupName>").Id
    
    New-AzAutomationAccount -Name "<AutomationAccountName>" -ResourceGroupName "<ResourceGroupName>" -Location "<Location>" -AssignUserIdentity $UAMI
    
    • <UserAssignedMI> 는 사용하려는 사용자 할당 관리 ID의 이름입니다.
    • <MIResourceGroupName> 은 사용자가 할당한 관리 ID에 할당된 리소스 그룹의 이름입니다. 유효한 값은 명령 Get-AzResourceGroup의 출력에 표시됩니다.
    • <AutomationAccountName> 은 새 Automation 계정의 고유한 이름입니다.
    • <ResourceGroupName>은 사용하려는 리소스 그룹의 이름으로, MIResourceGroupName>과 <동일한 값일 수 있습니다.
    • <위치> 는 명령 Get-AzLocation | Format-Table Name의 유효한 값입니다.

    예제:

    $UAMI = (Get-AzUserAssignedIdentity -Name "ContosoMI1" -ResourceGroupName "ContosoRG2").Id
    
    New-AzAutomationAccount -Name "ContosoAzAuto2" -ResourceGroupName "ContosoRG2" -Location "West US" -AssignUserIdentity $UAMI
    

    자세한 구문 및 매개 변수 정보는 New-AzAutomationAccount를 참조하세요.

사용자 할당 관리 ID를 사용하여 Azure VM 구성

지침은 다음 문서를 참조하세요.

3단계: 사용자가 할당한 관리 ID를 변수에 저장

Azure Az PowerShell에서 다음 구문을 사용하여 사용자 할당 관리 ID의 ClientId 값을 향후 단계에서 사용할 변수에 저장합니다.

$MI_ID = (Get-AzUserAssignedIdentity -Name "<UserAssignedMI>" -ResourceGroupName "<MIResourceGroupName>").ClientId
  • <UserAssignedMI> 는 사용자가 할당한 관리 ID의 이름입니다.
  • <MIResourceGroupName> 은 사용자가 할당한 관리 ID와 연결된 리소스 그룹의 이름입니다.

예제:

$MI_ID = (Get-AzUserAssignedIdentity -Name "ContosoMI1" -ResourceGroupName "ContosoRG2").ClientId

변수가 성공적으로 캡처되었는지 확인하려면 명령을 $MI_ID실행합니다. 출력은 GUID 값이어야 합니다(예: bf6dcc76-4331-4942-8d50-87ea41d6e8a1).

자세한 구문 및 매개 변수 정보는 Get-AzUserAssignedIdentity를 참조하세요.

4단계: 관리 ID에 Exchange Online PowerShell 모듈 추가

사용자가 할당한 관리 ID에 대한 단계는 시스템 할당 관리 ID 3단계와 동일합니다.

참고

리소스 그룹 이름 및 자동화 계정 이름에 올바른 값을 사용해야 합니다.

5단계: 관리 ID가 Exchange Online을 호출할 수 있도록 Exchange.ManageAsApp API 권한 부여

사용자가 할당한 관리 ID에 대한 단계는 시스템 할당 관리 ID 4단계와 동일합니다.

사용자 할당 및 시스템 할당에 대해 관리 ID 값을 다르게 얻었지만 명령($MI_ID)에서 동일한 변수 이름을 사용하므로 명령은 두 유형의 관리 ID에서 모두 작동합니다.

6단계: 관리 ID에 Microsoft Entra 역할 할당

사용자 할당 관리 ID에 대한 단계는 기본적으로 시스템 할당 관리 ID 5단계와 동일합니다.

Azure Portal에서 사용자가 할당한 관리 ID 를 관리 ID로 선택하여 Microsoft Entra 역할을 자동화 계정 자체가 아닌 에 할당해야 합니다.

PowerShell 명령은 사용자 할당 및 시스템 할당 관리 ID 모두에 대해 작동합니다. 사용자 할당 및 시스템 할당에 대해 관리 ID 값을 다르게 얻었지만 명령($MI_ID)에서 동일한 변수 이름을 사용하고 있습니다.