다음을 통해 공유

전용 Exchange 하이브리드 앱 배포

개요

Exchange Server 하이브리드 구성에 배포되면 Exchange Server 및 Exchange Online 간에 약속 있음/없음, 메일 설명 및 사진과 같은 기능을 사용할 수 있으므로 사용자에게 원활한 환경을 제공합니다. 이러한 기능은 HCW(하이브리드 구성 마법사) 를 처음으로 실행할 때 자동으로 구성됩니다.

하이브리드 기능 사용을 사용하도록 설정하기 위해 Exchange Server 보안 통신을 위해 Exchange Online 공유 서비스 주체를 활용합니다. HCW는 Exchange organization 현재 인증 인증서를 공유 서비스 주체에 업로드하여 이 프로세스를 용이하게 합니다.

Exchange Online 블로그 게시물의 Exchange Web Services 사용 중지에 발표된 대로 EWS(Exchange Web Services)는 2026년 10월에 타사(타사) 애플리케이션 및 서비스에 대해 Exchange Online 완전히 사용되지 않을 예정입니다. Exchange Online 블로그 게시물의 보안 관련 업데이트 자체(자사) 앱 및 서비스에서 EWS 종속성도 제거한다고 발표했으며, 이러한 변경은 2026년 10월 이전에 예상됩니다.

하이브리드 구성에 사용되는 Exchange Server Exchange Online(자사)의 공유 서비스 주체를 사용하므로 이 변경의 영향을 받습니다. 이 변경을 수용하기 위해 Exchange Server 올해 말 하이브리드 시나리오에서 EWS API 호출을 REST 기반 Graph API 호출로 대체합니다. 이 디자인 변경에는 여러 단계가 포함되며, 첫 번째 단계는 공유 서비스 주체 대신 Microsoft Entra ID 별도의 애플리케이션을 사용하는 것입니다.

이 설명서에서는 업데이트된 디자인의 일부로 Exchange 하이브리드 구성에 대한 Entra ID 전용 Exchange 애플리케이션을 만드는 데 필요한 단계를 간략하게 설명합니다. Exchange Server 전용 Exchange 애플리케이션을 만들고 구성한 후에도 EWS를 계속 사용합니다. EWS를 대체하는 REST 기반 Graph API 대한 전환은 올해 말 에 게시 될 것으로 예상되는 업데이트로 이루어질 것입니다.

필수 구성 요소

전용 Exchange 하이브리드 애플리케이션을 구성하고 사용하기 전에 먼저 하이브리드 구성 마법사를 사용하여 클래식 전체 또는 최신 전체 하이브리드를 설정해야 합니다.

전용 Exchange 하이브리드 애플리케이션 기능은 다음 Exchange Server 빌드부터 지원됩니다.

버전 빌드 번호
Exchange Server SE RTM 15.2.2562.17
2025년 4월 HU를 Exchange Server 2019 CU15 15.2.1748.24
Exchange Server 2019 CU14 및 2025년 4월 HU 15.2.1544.25
Exchange Server 2025년 4월 HU를 사용하여 2016 CU23 15.1.2507.55

Microsoft는 Entra ID 전용 Exchange 하이브리드 애플리케이션을 만들고 기능을 구성하는 스크립트를 제공합니다. 스크립트를 실행할 수 있는 두 가지 고유한 시나리오가 있으며, 각각 고유한 필수 구성 요소 집합이 있습니다. 모드는 이 설명서의 구성 섹션에 설명되어 있습니다.

올인원 구성 모드:

이 모드는 단순성을 위해 설계되었으며 대부분의 고객에게 적합합니다. 간소화된 설치 프로세스를 허용하므로 구성의 용이성을 최우선으로 하는 환경에 적합합니다.

분할 실행 구성 모드:

이 모드는 고급 시나리오를 위한 것입니다. Exchange 서버가 Graph API 또는 Entra ID 엔드포인트에 대한 아웃바운드 연결이 없거나 Exchange Server 관리자가 Entra ID 애플리케이션을 만들고 구성할 수 있는 충분한 권한이 없는 경우에 유용합니다.

비 Exchange Server 단계를 수행하는 경우 컴퓨터가 Exchange organization 있는 동일한 포리스트에 조인되어 있는지 확인합니다.

연결성

이 스크립트는 Microsoft Graph API 활용하여 Microsoft Entra ID 애플리케이션을 만들고 관리합니다. 에서 All-in-one Configuration Mode스크립트를 실행할 때 스크립트를 실행하는 시스템에는 지정된 엔드포인트에 대한 아웃바운드 연결이 필요합니다. 에서 Split Execution Configuration ModeEntra ID 애플리케이션을 만들거나 관리하는 데 사용되는 시스템은 이러한 엔드포인트에 대한 아웃바운드 액세스가 필요합니다. 테넌트가 있는 엔드포인트(예: Global)를 선택해야 합니다. 자세한 내용은 국가 Microsoft Entra ID 엔드포인트국가별 Microsoft Graph 엔드포인트 설명서를 참조하세요.

서버가 그래프 및 Entra ID 엔드포인트에 연결하는 기능을 확인하려면 Test-NetConnection PowerShell cmdlet을 사용할 수 있습니다. 이 예제에서는 엔드포인트를 사용하여 이러한 엔드포인트에 대한 연결의 유효성을 검사하는 Global 방법을 보여 줍니다.

Test-NetConnection -ComputerName login.microsoftonline.com -Port 443
Test-NetConnection -ComputerName graph.microsoft.com -Port 443

권한

Microsoft Entra ID 애플리케이션을 만드는 데 사용되는 계정에는 다음 권한이 있어야 합니다.

최소 권한 더 높은 권한 부여
Application Administrator Global Administrator

Entra ID 역할에 대한 자세한 내용은 Microsoft Entra 기본 제공 역할 설명서를 참조하세요.

Auth Server 개체를 구성하고 Exchange Server 기능을 사용하도록 설정 재정의를 만드는 데 사용되는 계정에는 온-프레미스 organization 내에서 다음 권한이 있어야 합니다.

최소 권한 더 높은 권한 부여
View-Only Configuration 그리고
Organization Client Access 그리고
Organization Configuration		 Organization Management

Exchange Server 다양한 역할에 대한 자세한 내용은 조직 관리 설명서를 참조하세요.

인증 서버를 구성하고 설정 재정의를 만들려면 사서함 역할이 설치된 서버와 이 기능을 지원하는 빌드에서 스크립트가 실행되는지 확인합니다.

서비스 주체 Clean-Up 모드 섹션에 설명된 대로 공유 서비스 주체의 를 다시 설정하는 keyCredentials 스크립트를 사용하려면 스크립트를 실행하는 계정에 다음 권한이 있는지 확인합니다.

최소 권한 더 높은 권한 부여
N/A Global Administrator

인증 인증서

인증 인증서는 다양한 보안 및 인증 시나리오를 지원하는 Microsoft Exchange Server 핵심 구성 요소입니다. 인증 인증서의 적절한 관리는 Exchange Server 작업의 보안 및 안정성을 유지하는 데 필수적입니다.

전용 Exchange 하이브리드 애플리케이션 사용 사례에서는 S2S(서버 간) 통신을 위한 JWT(JSON 웹 토큰) 어설션 기반 인증을 용이하게 합니다. 이렇게 하면 암호 또는 대화형 로그인을 사용하는 대신 서명된 JWT를 제공하여 Exchange Server 인증할 수 있습니다. 신뢰할 수 있는 기관에서 발급하고 서명한 JWT에는 Exchange Server ID 및 권한을 확인하는 클레임이 포함되어 있어 리소스에 대한 안전한 토큰 기반 액세스를 가능하게 합니다.

MonitorExchangeAuthCertificate 스크립트를 사용하여 OAuth 인증서의 유효성을 검사할 수 있습니다. OAuth 인증서를 업데이트해야 하는 경우 Exchange Server OAuth 인증서 유지 관리 설명서의 단계를 따릅니다.

이 설명서에 설명된 일부 시나리오에서는 인증 인증서를 내보내야 합니다. 인증서의 프라이빗 키를 내보내지 않도록 합니다. 인증서의 공개 키를 내보내려면 다음 PowerShell 스크립트를 사용할 수 있습니다.

이 예제에서는 인증서를 로 C:\AuthCertExport내보냅니다. 인증서를 다른 위치로 내보내려면 변수를 $exportFilePath 원하는 경로로 수정합니다. 관리자 권한 EMS(Exchange Management Shell)에서 스크립트를 실행해야 합니다.

# Change the path if you want to export the certificates to a different location
$exportFilePath = "C:\AuthCertExport"

$authConfig = Get-AuthConfig

New-Item -Type Directory -Path C:\AuthCertExport -Force | Out-Null

if (-not([System.String]::IsNullOrEmpty($authConfig.CurrentCertificateThumbprint))) {
    $thumbprint = $authConfig.CurrentCertificateThumbprint
    Write-Host "[+] Auth Certificate thumbprint: $thumbprint"

    try {
        $currentAuthCertificate = Get-ChildItem -Path Cert:\LocalMachine\My\$thumbprint
        Export-Certificate -Cert $currentAuthCertificate -FilePath "$exportFilePath\$thumbprint.cer" -Type CERT | Out-Null
        Write-Host "[+] Certificate was successfully exported to: $exportFilePath"
    } catch {
        Write-Host "[+] We hit the following exception: $_" -ForegroundColor Red
    }
}

if (-not([System.String]::IsNullOrEmpty($authConfig.NextCertificateThumbprint))) {
    $thumbprint = $authConfig.NextCertificateThumbprint
    Write-Host "[+] Next Auth Certificate thumbprint: $thumbprint"

    try {
        $currentAuthCertificate = Get-ChildItem -Path Cert:\LocalMachine\My\$thumbprint
        Export-Certificate -Cert $currentAuthCertificate -FilePath "$exportFilePath\$thumbprint.cer" -Type CERT | Out-Null
        Write-Host "[+] Certificate was successfully exported to: $exportFilePath"
    } catch {
        Write-Host "[+] We hit the following exception: $_" -ForegroundColor Red
    }
}

스크립트에서 변경한 내용

스크립트는 ConfigureExchangeHybridApplication.ps1 선택한 옵션에 따라 다양한 작업을 수행합니다. 이러한 작업에는 전용 Exchange 하이브리드 애플리케이션 기능 구성 및 사용 또는 기존 Exchange Online 서비스 주체 삭제 또는 수정이 포함됩니다. 이 섹션에서는 스크립트에서 실행하는 특정 작업을 간략하게 설명합니다.

CreateApplication

  • Entra ID 이름으로 ExchangeServerApp-{Guid of the organization} 새 애플리케이션 만들기
  • 스크립트를 실행하는 데 사용된 사용자를 Entra ID 애플리케이션의 소유자로 할당합니다.
  • full_access_as_app EWS API 권한 할당(가까운 장래에 Graph API 권한으로 대체)
  • 테넌트 전체 관리자 동의 부여
    • 스크립트의 런타임 중에 이를 확인해야 합니다.
    • 테넌트 전체 관리자 동의가 부여되지 않은 경우 스크립트는 재정의 설정을 통해 기능을 사용하도록 설정하지 않습니다.

UpdateCertificate

  • Entra ID 애플리케이션에 현재 인증 인증서 업로드
  • Entra ID 애플리케이션에 새 다음 인증 인증서(있는 경우)를 업로드합니다.
  • 만료된 애플리케이션에서 인증서를 삭제합니다.

ConfigureAuthServer

  • EvoSTS 또는 EvoSTS - {Guid} Auth Server 개체 업데이트
    • ApplicationIdentifier appId Entra ID 애플리케이션의 로 를 설정합니다.
    • 속성에 SMTP 원격 라우팅 도메인 DomainName 추가

ConfigureTargetSharingEpr

  • Exchange Server 및 Exchange Online 간에 구성된 모든 사용 설정 OrganizationRelationship 식별
  • 자동 검색을 사용하여 엔드포인트 쿼리 Exchange Web Services (EWS)
  • TargetSharingEpr 를 자동 검색에서 반환된 EWS 엔드포인트로 설정합니다.

EnableExchangeHybridApplicationOverride

  • 스크립트가 올인원 구성 모드에서 실행되는 경우
    • Entra ID 애플리케이션에 올바른 API 권한 및 테넌트 전체 관리자 동의가 부여되었는지 확인합니다.
  • 다음 매개 변수/값을 사용하여 온-프레미스 기능을 사용하도록 설정하는 새 설정 재정의를 만듭니다.
    • 이름: EnableExchangeHybrid3PAppFeature
    • 구성 요소: Global
    • 절: ExchangeOnpremAsThirdPartyAppId
    • 매개 변수: Enabled=true
    • 이유: "Created by {Name of the Script} on {timestamp}"

DeleteApplication

  • Entra ID 전용 Exchange 애플리케이션 삭제

ResetFirstPartyServicePrincipalKeyCredentials

  • 자사 애플리케이션 서비스 주체에서 Office 365 Exchange Online 기존 keyCredentials 항목을 모두 제거합니다.
  • 지문이 매개 변수를 통해 CertificateInformation 제공된 경우 지문과 일치하는 인증서와 이미 만료된 모든 인증서만 제거합니다.

스크립트를 사용한 구성

Microsoft는 ConfigureExchangeHybridApplication.ps1 전용 Exchange 하이브리드 애플리케이션 기능을 구성하는 스크립트를 제공합니다. 이 섹션에서는 스크립트에서 다루는 가장 일반적인 시나리오에 대해 설명합니다. 스크립트 및 해당 매개 변수에 대한 자세한 설명서는 ConfigureExchangeHybridApplication.ps1 스크립트 설명서에서 찾을 수 있습니다.

온-프레미스 organization 여러 테넌트(1:N)와 하이브리드 관계가 있는 경우 스크립트를 여러 번 실행해야 합니다. 매번 전용 Exchange 하이브리드 애플리케이션 기능을 구성하려는 테넌트에서 계정을 사용합니다. 이렇게 하면 스크립트가 각 테넌트에서 애플리케이션을 만들고 구성합니다.

organization 크기에 따라 책임 있는 Exchange Server 프로세스에서 전용 Exchange 하이브리드 애플리케이션 구성을 인식하는 데 최대 60분이 걸릴 수 있습니다. 이 시간 동안 약속 있음/없음, 메일 설명 및 사진과 같은 기능을 일시적으로 사용할 수 없습니다.

올인원 구성 모드

대부분의 고객에게 는 All-in-one Configuration Mode 이 기능을 구성하는 데 권장되는 방법입니다. 이 모드를 사용하려면 연결 섹션에 설명된 대로 아웃바운드 연결이 있는 사서함 서버에서 스크립트를 실행 합니다 . 서버는 전용 Exchange 하이브리드 애플리케이션 기능을 지원하는 Exchange Server 빌드를 실행해야 합니다. 또한 필요한 권한이 있는지 확인 합니다.

중요

올인원 구성 모드는 Windows Server Core와 호환되지 않습니다. Windows Server Core를 사용하는 경우 분할 실행 구성 모드 섹션의 지침을 따릅니다.

.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication

기본적으로 스크립트는 클라우드에 대해 Microsoft 365 Worldwide 실행됩니다. Microsoft 365 테넌트가 다른 클라우드에 있는 경우 매개 변수를 AzureEnvironment 사용합니다. 다음 예제에서는 애플리케이션이 클라우드에서 Microsoft 365 operated by 21Vianet 만들어집니다.

.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication -AzureEnvironment "ChinaCloud"

분할 실행 구성 모드

예를 들어 사서함 서버에 Microsoft Graph 또는 Entra ID 대한 아웃바운드 연결이 없는 경우 여러 단계에서 스크립트를 실행할 수 있습니다. 이러한 단계 중 일부는 Exchange 서버에서 수행할 필요가 없습니다.

먼저 인증 인증서(사용 가능한 경우 다음 인증 인증서)를 공개 키로 내보냅니다. 인증 인증서 섹션에 제공된 스크립트를 사용하여 내보내기를 수행합니다. 인증서의 프라이빗 키를 내보내지 마세요.

다음으로, 연결 섹션에 설명된 대로 아웃바운드 연결이 있는 컴퓨터에 내보낸 인증서를 복사 합니다 . 해당 컴퓨터에서 스크립트를 실행하여 Entra ID 애플리케이션을 만듭니다. 스크립트는 새로 만든 애플리케이션의 및 appId 를 표시 Tenant ID 합니다. 이후 단계에서 필요하므로 두 값을 모두 기록해 두면 됩니다.

.\ConfigureExchangeHybridApplication.ps1 -CreateApplication -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\CurrentAuthCertificate.cer"

이전 단계에서 여러 인증 인증서를 내보낸 경우 스크립트를 두 번 실행해야 합니다. 두 번째 실행에는 CreateApplication 단계가 필요하지 않습니다.

.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\NewNextAuthCertificate.cer"

이 단계는 사서함 서버에서 수행해야 합니다. 이 프로세스 중에 인증 서버가 구성되고, Exchange Server Exchange Online 간의 기존 organization 관계가 업데이트되고, 전용 Exchange 하이브리드 애플리케이션 기능이 활성화됩니다. 테넌트의 ID, appId Entra ID 새로 만든 애플리케이션의 ID 및 원격 라우팅 도메인을 제공해야 합니다.

.\ConfigureExchangeHybridApplication.ps1 -ConfigureAuthServer -ConfigureTargetSharingEpr -EnableExchangeHybridApplicationOverride -CustomAppId "<appId>" -TenantId "<tenantId>" -RemoteRoutingDomain "<organization>.mail.onmicrosoft.com"

인증서 모드 업데이트

이 섹션의 단계는 전용 Exchange 하이브리드 애플리케이션 기능을 처음으로 구성하고 사용하도록 설정할 때 필요하지 않습니다. 인증 인증서가 만료되었거나 교체된 경우 이 단계를 사용하여 인증서를 업데이트할 수 있습니다. 인증 인증서 유지 관리에 대한 자세한 내용은 Exchange Server OAuth 인증서 유지 관리 설명서를 참조하세요.

연결 섹션에 설명된 대로 사서함 서버에 아웃바운드 연결이 있는 경우 다음과 같이 스크립트를 실행합니다.

.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate

사서함 서버에 Microsoft Graph 및 Entra ID 대한 아웃바운드 연결이 없는 경우 분할 실행 구성 모드 섹션의 지침에 따라 새 인증 인증서를 내보냅니다. 연결 섹션에 설명된 대로 아웃바운드 연결(Exchange 서버일 필요는 없음)이 있는 컴퓨터에 인증서 복사합니다. 그런 다음 다음과 같이 스크립트를 실행합니다.

.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\NewAuthCertificate.cer"

애플리케이션 모드 삭제

이 단계는 전용 Exchange 하이브리드 애플리케이션 기능을 구성하고 사용하도록 설정할 때 필요하지 않습니다. 그러나 필요한 경우 다음 명령을 사용하여 Entra ID 만든 애플리케이션을 삭제할 수 있습니다. 이 명령은 Exchange가 아닌 서버에서 실행할 수 있습니다.

스크립트를 통해 ConfigureExchangeHybridApplication.ps1 애플리케이션을 삭제해도 사용자 환경에서 Exchange 하이브리드 애플리케이션 구성이 되돌리기 않습니다. 다시 전환해야 하는 경우 이 설명서의 전용 Exchange 하이브리드 애플리케이션에서 롤백하는 방법 섹션의 단계를 수행합니다.

Entra ID 애플리케이션을 삭제하려면(변경 사항을 롤백하거나 Entra ID 새 애플리케이션 만들기 문제를 해결할 때만 수행) 다음과 같이 스크립트를 실행합니다.

.\ConfigureExchangeHybridApplication.ps1 -DeleteApplication

서비스 주체 Clean-Up 모드

이 섹션의 명령은 전용 Exchange 하이브리드 애플리케이션 기능을 만들고 사용하도록 설정하는 초기 구성을 수행할 때 필요하지 않습니다.

경고

이 기능을 지원하는 Exchange 빌드에 언급된 버전보다 이전 버전의 Exchange 빌드를 실행하는 Exchange 서버가 여전히 있는 경우 자사 서비스 주체의 를 제거 keyCredentials 하지 마세요. 이렇게 하면 이러한 서버에 대한 풍부한 공존 하이브리드 기능이 중단됩니다!

이전 Exchange 하이브리드 디자인의 일부로 HCW(하이브리드 구성 마법사)는 Exchange organization 현재 인증 인증서를 공유 서비스 주체로 업로드했습니다. 이제 인증 인증서가 전용 Exchange 하이브리드 애플리케이션에 업로드되므로 이 단계는 더 이상 필요하지 않습니다.

전용 Exchange 하이브리드 애플리케이션 기능을 사용하도록 설정하고 모든 Exchange 서버가 이 기능을 지원하는 Exchange 빌드를 실행하고 있는지 확인한 후에는 이전에 공유 서비스 주체에 업로드된 인증서를 클린 것이 좋습니다. 명령은 Exchange가 아닌 서버에서 실행할 수 있습니다.

전용 Exchange 하이브리드 애플리케이션 기능을 구성한 후 HCW를 실행하고 Oauth, 조직 내 커넥터 및 조직 관계 구성 옵션을 선택하면 인증 인증서가 공유 서비스 주체에 다시 업로드됩니다.

모든 keyCredentials 자사 서비스 주체를 제거하려면 다음과 같이 스크립트를 실행합니다.

.\ConfigureExchangeHybridApplication.ps1 -ResetFirstPartyServicePrincipalKeyCredentials

에서 특정 인증서 및 만료된 모든 인증서를 keyCredentials제거하려면 다음과 같이 스크립트를 실행하고 삭제할 인증서의 지문을 제공합니다.

.\ConfigureExchangeHybridApplication.ps1 -ResetFirstPartyServicePrincipalKeyCredentials -CertificateInformation "1234567890ABCDEF1234567890ABCDEF12345678"

OAuth 연결 상태 유효성 검사

OAuth 인증이 Exchange Server Exchange Online 간에 올바르게 작동하는지 확인하려면 Test-OAuthConnectivity cmdlet을 사용합니다.

Test-OAuthConnectivity -Service EWS -TargetUri https://outlook.office365.com -Mailbox "<OnPremisesMailboxSmtpAddress>" | Format-List

ResultTypeSuccess 이고 섹션에 Detail 전용 Exchange 하이브리드 애플리케이션의 가 appId 포함된 경우 Exchange Server OAuth 토큰을 성공적으로 획득했음을 나타냅니다. OAuth 요청은 EMS(Exchange Management Shell) 세션이 실행 중인 서버에서 시작됩니다. 매개 변수를 통해 -Mailbox 지정된 사서함이 전용 Exchange 하이브리드 앱을 지원하지 않는 다른 서버에 있지만 EMS 호스트 서버가 하는 경우 는 ResultType 여전히 를 표시 Success합니다. 이것은 의도적으로 설계된 동작입니다.

Entra ID Exchange 하이브리드 애플리케이션 사용 감사

전용 Exchange 하이브리드 애플리케이션을 구성하고 Exchange Server 기능을 사용하도록 설정한 후 Entra ID Sign-in logs통해 사용량을 감사할 수 있습니다. 다음 단계를 따릅니다.

  1. Entra ID 포털에 로그인합니다.

    Entra ID 포털로 이동하여 자격 증명으로 로그인합니다.

  2. 액세스 Microsoft Entra ID:

    포털에서 를 선택하거나 검색합니다 Microsoft Entra ID.

  3. 로그인 로그로 이동합니다.

    탐색 창에서 로 Monitoring 이동하여 를 선택합니다 Sign-in logs.

  4. 서비스 주체 로그인 보기:

    다음으로, 를 선택하여 Service principal sign-ins 자세한 로그를 봅니다.

다음 그림에서는 성공적인 로그인 요청을 보여 줍니다.

Entra ID 로그인 로그 보기에서 전용 Exchange 하이브리드 애플리케이션의 요청 ID, 서비스 주체 ID, 서비스 주체 이름, 상태, 리소스 및 리소스 ID를 보여 주는 스크린샷

항목을 클릭하면 플라이아웃이 Activity Details: Sign-ins 열리고 로그인 활동에 대한 자세한 정보가 제공됩니다.

로그인 로그 항목을 클릭한 후 열리는 고급 '활동 세부 정보: 로그인' 플라이아웃을 보여 주는 스크린샷

전용 Exchange 하이브리드 애플리케이션 서비스 주체에 대한 액세스 제한

일부 조직에서는 전용 Exchange 하이브리드 애플리케이션 서비스 주체에 대한 액세스를 Exchange Server 사용하는 잘 알려진 공용 IP 범위의 하위 집합으로 제한하려고 할 수 있습니다. 이 작업은 워크로드 ID에 대한 조건부 액세스를 활용하여 수행할 수 있습니다. 이 기능은 조건부 액세스 정책에 대한 지원을 organization 소유한 서비스 주체로 확장합니다. 서비스 주체로 범위가 지정된 조건부 액세스 정책을 만들거나 수정하려면 워크로드 ID 프리미엄 라이선스가 필요합니다. 자세한 내용은 Microsoft Entra 워크로드 ID.

전용 Exchange 하이브리드 애플리케이션에서 롤백하는 방법

전용 Exchange 하이브리드 애플리케이션이 HCW의 기본값이 되고 자사 애플리케이션에 대해 EWS가 사용되지 않는 때까지 스크립트에서 적용한 ConfigureExchangeHybridApplication.ps1 구성을 롤백할 수 있습니다. 롤백은 기능을 구성한 후에 문제가 발생하는 경우에만 수행해야 합니다.

첫 번째 단계로 HCW를 실행하여 자사 서비스 주체를 다시 구성합니다. 이 설정은 자사 서비스 주체를 다시 구성하는 데 필요한 단계를 실행하므로 Oauth, 조직 내 커넥터 및 조직 관계 옵션을 선택해야 합니다.

다음으로, 전용 Exchange 하이브리드 애플리케이션 기능을 사용하도록 설정하는 재정의를 제거합니다. 이렇게 하려면 관리자 권한 EMS(Exchange Management Shell)에서 다음 명령을 실행합니다.

Get-SettingOverride | Where-Object {$_.ComponentName -eq "Global" -and $_.SectionName -eq "ExchangeOnpremAsThirdPartyAppId"} | Remove-SettingOverride
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

스크립트에 의해 적용된 인증 서버 변경을 되돌리기 관리자 권한 EMS(Exchange Management Shell)에서 다음 명령을 실행합니다.

# Replace this id with the id of your tenant
$tenantId = "123e4567-e89b-12d3-a456-426614174000"

(Get-AuthServer | Where-Object {$_.Name -like "*evoSTS*" -and $_.Realm -eq $tenantId}) | Set-AuthServer -ApplicationIdentifier $null -DomainName $null

마지막 단계로 스크립트를 ConfigureExchangeHybridApplication.ps1 사용하여 Entra ID 만든 애플리케이션을 삭제할 수 있습니다.

.\ConfigureExchangeHybridApplication.ps1 -DeleteApplication

질문과 대답

FAQ(질문과 대답) 목록은 하이브리드 배포에 대한 Exchange Server 보안 변경 블로그 게시물에서 찾을 수 있습니다. 가장 중요한 질문에 대한 답변이 있으면 FAQ가 이 설명서로 이동됩니다.