다음을 통해 공유


New-ApplicationAccessPolicy

이 cmdlet은 클라우드 기반 서비스에서만 사용할 수 있습니다.

New-ApplicationAccessPolicy cmdlet을 사용하여 API(Outlook REST, Microsoft Graph 또는 EWS(Exchange Web Services))를 사용하는 애플리케이션에서 특정 사서함 집합에 대한 액세스를 제한하거나 거부합니다. 이러한 정책은 애플리케이션에서 선언한 권한 범위와 보완됩니다.

아래 구문 섹션에 있는 매개 변수 집합에 대한 자세한 내용은 Exchange cmdlet 구문을 참조하십시오.

참고: 앱 액세스 정책은 곧 애플리케이션에 대한 역할 기반 Access Control 대체될 예정입니다. 자세한 내용은 Exchange 애플리케이션에 대한 역할 기반 Access Control 참조하세요.

Syntax

New-ApplicationAccessPolicy
   -AccessRight <ApplicationAccessPolicyRight>
   -AppId <String[]>
   -PolicyScopeGroupId <RecipientIdParameter>
   [-Confirm]
   [-Description <String>]
   [-WhatIf]
   [<CommonParameters>]

Description

이 cmdlet을 실행하려면 먼저 사용 권한을 할당받아야 합니다. 이 항목에는 해당 cmdlet의 모든 매개 변수가 나열되지만 사용자에게 할당된 사용 권한에 포함되지 않은 일부 매개 변수에는 액세스할 수 없습니다. 조직에서 cmdlet 또는 매개 변수를 실행하는 데 필요한 사용 권한을 확인하려면 Find the permissions required to run any Exchange cmdlet를 참조하세요.

고정된 공간에 따라 조직에서 제한된 수의 정책을 만들 수 있습니다. 조직에서 이러한 정책에 대한 공간이 부족하면 "앱 액세스 정책의 총 크기가 제한을 초과했습니다."라는 오류가 표시됩니다. 정책 수를 최대화하고 정책에서 사용하는 공간의 양을 줄이려면 정책에 대해 하나의 공백 문자 설명을 설정합니다. 이 메서드는 약 300개의 정책을 허용합니다(이전 제한인 100개 정책과 비교).

Mail.Read 또는 Calendar.Read와 같은 범위 기반 리소스 액세스는 애플리케이션이 사서함 내의 전자 메일 또는 이벤트만 읽고 다른 작업을 수행할 수 없도록 하는 데 효과적이지만, 애플리케이션 액세스 정책을 사용하면 관리자가 사서함 목록을 기반으로 한 제한을 적용할 수 있습니다. 예를 들어 한 국가에 대해 개발된 앱은 다른 국가의 데이터에 액세스할 수 없어야 합니다. 또는 CRM 통합 애플리케이션은 Sales 조직의 일정에만 액세스하고 다른 부서에는 액세스하지 않아야 합니다.

애플리케이션에서 수행하는 대상 사서함에 대한 Outlook REST API 또는 Microsoft Graph API를 사용하는 모든 API 요청은 다음 규칙을 사용하여 확인됩니다(동일한 순서로).

  1. 동일한 애플리케이션 및 대상 사서함 쌍에 대해 여러 애플리케이션 액세스 정책이 있는 경우 DenyAccess 정책은 RestrictAccess 정책보다 우선 순위가 지정됩니다.
  2. 애플리케이션 및 대상 사서함에 대한 DenyAccess 정책이 있는 경우 앱의 액세스 요청이 거부됩니다(RestrictAccess 정책이 있는 경우에도).
  3. 애플리케이션 및 대상 사서함과 일치하는 RestrictAccess 정책이 있는 경우 앱에 액세스 권한이 부여됩니다.
  4. 애플리케이션에 대한 제한 정책이 있고 대상 사서함이 해당 정책의 멤버가 아닌 경우 애플리케이션은 대상 사서함에 대한 액세스가 거부됩니다.
  5. 위의 조건이 충족되지 않으면 애플리케이션에 요청된 대상 사서함에 대한 액세스 권한이 부여됩니다.

예제

예 1

New-ApplicationAccessPolicy -AccessRight DenyAccess -AppId "3dbc2ae1-7198-45ed-9f9f-d86ba3ec35b5", "6ac794ca-2697-4137-8754-d2a78ae47d93" -PolicyScopeGroupId "Engineering Staff" -Description "Engineering Group Policy"

이 예제에서는 다음 설정을 사용하여 새 애플리케이션 액세스 정책을 만듭니다.

  • AccessRight: DenyAccess
  • AppIDs: 3dbc2ae1-7198-45ed-9f9f-d86ba3ec35b5 및 6ac794ca-2697-4137-8754-d2a78ae47d93
  • PolicyScopeGroupId: 엔지니어링 직원
  • 설명: 엔지니어링 그룹 정책

예 2

New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "e7e4dbfc-046f-4074-9b3b-2ae8f144f59b" -PolicyScopeGroupId EvenUsers@AppPolicyTest2.com -Description "Restrict this app's access to members of security group EvenUsers."

이 예제에서는 다음 설정을 사용하여 새 애플리케이션 액세스 정책을 만듭니다.

  • AccessRight: RestrictAccess
  • AppIDs: e7e4dbfc-046f-4074-9b3b-2ae8f144f59b
  • PolicyScopeGroupId: EvenUsers@AppPolicyTest2.com
  • 설명: 보안 그룹 EvenUsers의 멤버에 대한 이 앱의 액세스를 제한합니다.

예 3

New-ApplicationAccessPolicy -AccessRight DenyAccess -AppId "e7e4dbfc-046f-4074-9b3b-2ae8f144f59b" -PolicyScopeGroupId OddUsers@AppPolicyTest2.com -Description "Deny this app access to members of security group OddUsers."

이 예제에서는 다음 설정을 사용하여 새 애플리케이션 액세스 정책을 만듭니다.

  • AccessRight: DenyAccess
  • AppIDs: e7e4dbfc-046f-4074-9b3b-2ae8f144f59b
  • PolicyScopeGroupId: OddUsers@AppPolicyTest2.com
  • 설명: 보안 그룹 OddUsers의 멤버에 대한 이 앱 액세스를 거부합니다.

매개 변수

-AccessRight

AccessRight 매개 변수는 애플리케이션 액세스 정책에서 할당하려는 제한 유형을 지정합니다. 유효한 값은 다음과 같습니다.

  • RestrictAccess: 연결된 앱이 PolicyScopeGroupID 매개 변수로 지정된 사서함과 연결된 데이터에만 액세스할 수 있도록 허용합니다.
  • DenyAccess: 연결된 앱이 PolicyScopeGroupID 매개 변수로 지정된 사서함과 연결되지 않은 데이터에만 액세스할 수 있도록 허용합니다.
Type:ApplicationAccessPolicyIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-AppId

Identity 매개 변수는 정책에 포함할 앱의 GUID를 지정합니다. 앱의 GUID 값을 찾으려면 Get-App | Format-Table -Auto DisplayName,AppId 명령을 실행합니다.

여러 앱 GUID 값을 쉼표로 구분하거나 * 를 지정하여 모든 애플리케이션을 나타낼 수 있습니다.

Type:String[]
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Confirm

Confirm 스위치는 확인 메시지를 표시할지 여부를 지정합니다. 진행하기 전에 cmdlet이 확인을 요구하는지에 따라 이 스위치가 cmdlet에 미치는 영향이 달라집니다.

  • 파괴적인 cmdlet(예: Remove-* cmdlet)에는 계속하기 전에 명령을 강제로 승인하도록 하는 기본 제공 일시 중지가 있습니다. 이러한 cmdlet의 경우 정확한 구문 -Confirm:$false를 사용하여 확인 메시지를 건너뛸 수 있습니다.
  • 대부분의 다른 cmdlet(예: New-* 및 Set-* cmdlet)에는 기본 제공 일시 중지가 없습니다. 이러한 cmdlet의 경우 값 없이 스위치를 지정하면 계속하기 전에 명령을 강제로 확인하도록 하는 일시 중지가 추가됩니다.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Description

Description 매개 변수는 정책에 대한 설명을 지정합니다. 값에 공백이 포함되어 있으면 값을 큰따옴표(")로 묶습니다.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-PolicyScopeGroupID

PolicyScopeGroupID 매개 변수는 정책에서 정의할 받는 사람을 지정합니다. 유효한 받는 사람 유형은 Exchange Online 보안 주체(사용자에게 할당된 권한을 가질 수 있는 사용자 또는 그룹)입니다. 예를 들면

  • 연결된 사용자 계정이 있는 사서함(UserMailbox)
  • 메일 사용 사용자라고도 하는 메일 사용자(MailUser)
  • 메일 사용 보안 그룹(MailUniversalSecurityGroup)

받는 사람을 고유하게 식별하는 모든 값을 사용할 수 있습니다. 예:

  • 이름
  • 이름
  • DN(고유 이름)
  • 표시 이름
  • GUID

받는 사람이 보안 주체인지 확인하려면 또는 Get-Recipient -ResultSize unlimited | Format-Table -Auto Name,RecipientType,RecipientTypeDetails,IsValidSecurityPrincipal명령 중 하나를 실행합니다Get-Recipient -Identity <RecipientIdentity> | Select-Object IsValidSecurityPrincipal.

이 매개 변수를 사용하여 보안 주체가 아닌 받는 사람을 사용할 수 없습니다. 예를 들어 다음 유형의 받는 사람은 작동하지 않습니다.

  • 검색 사서함(DiscoveryMailbox)
  • 동적 메일 그룹(DynamicDistributionGroup)
  • 메일 그룹(MailUniversalDistributionGroup)
  • 메일 연락처(MailContact)
  • 메일 사용 공용 폴더(PublicFolder)
  • Microsoft 365 그룹(GroupMailbox)
  • 리소스 사서함(RoomMailbox 또는 EquipmentMailbox)
  • 공유 사서함(SharedMailbox)

정책 범위를 공유 사서함으로 지정해야 하는 경우 메일 사용 보안 그룹의 구성원으로 공유 사서함을 추가할 수 있습니다.

Type:RecipientIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-WhatIf

Whatif 스위치는 해당 명령의 동작을 시뮬레이션합니다. 이 스위치를 사용하면 변경 내용을 실제로 적용하지 않고 발생할 변경 내용을 확인할 수 있습니다. 이 스위치를 사용하면 값을 지정할 필요가 없습니다.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection