시나리오: 주소록 정책 배포
적용 대상: Exchange Server 2013
배포 시나리오
다음 세 시나리오에서는 서로 다른 세 가지 조직 유형에 사용할 수 있는 배포 솔루션에 대해 설명합니다. 이외에도 많은 시나리오가 있지만 여기에서는 가장 일반적인 시나리오를 다룹니다. 이러한 시나리오에서 주소 목록과 GAL(전체 주소 목록)은 사용자 지정 특성과 같이 개체를 논리적으로 그룹화하는 필터를 기반으로 만들어졌습니다.
시나리오 1: 두 개의 별도 회사 - Exchange 조직 하나
이 시나리오는 인프라를 공유하지만 조직망과 일반 직원이 없는 정부 기관, 사업부 또는 부서에 적용할 수 있습니다. 또한 특별한 보안 문제나 개인 정보 관련 고려 사항이 없는 부서에 적용할 수도 있습니다. 이 시나리오에서는 직원이 GAL을 보거나 다른 메일 그룹의 구성원을 찾을 때 동일한 조직의 구성원만 볼 수 있는 두 개의 ABP(주소록 정책)가 만들어집니다. 또한 사용자는 조직 전체에 있는 메일 그룹의 구성원이 되지 않습니다.
.gif "별도의 두 회사가 있는 주소록 정책")
Contoso 및 Humongous Insurance ABP는 사용자 지정 특성과 같은 필터를 사용하여 개체를 그룹화한 수신자 필터를 사용하여 만든 다음 주소 목록, 전역 주소 목록, 회의실 목록 및 OOB을 사용하여 만들어졌습니다. 두 회사가 상호 작용 없이 분리되어 있기 때문에 공통 주소 목록이 없습니다.
| Contoso | Humongous 보험 | |
|---|---|---|
| 주소 목록 | AL_CON_Groups AL_CON_Users AL_CON_Contacts |
AL_HI_Groups AL_HI_Users AL_HI_Contacts |
| 전역 주소 목록 | GAL_CON | GAL_HI |
| 회의실 주소 목록 | AL_CON_Rooms | AL_HI_Rooms |
| OAB(오프라인 주소록) | OAB_CON | OAB_HI |
시나리오 2: 두 회사가 CEO 공유
이 시나리오에서는 Fabrikam 및 Tailspin Toys에서 동일한 Exchange 조직과 동일한 CEO를 공유합니다. CEO만 두 회사에서 동일한 사람입니다. 이 시나리오에서는 다음과 같은 특성이 있는 세 개의 ABP가 필요합니다.
- Tailspin Toys의 사용자는 GAL을 찾아볼 때 Tailspin Toys 사용자만 볼 수 있습니다.
- Fabrikam의 사용자는 GAL을 찾아볼 때 Fabrikam 사용자만 볼 수 있습니다.
- 각 회사에는 회사의 임원과 CEO가 포함된 SeniorLeaders라는 메일 그룹이 있습니다.
- CEO의 메일 그룹 구성원을 검색하는 사용자에게는 사용자 회사에 속해 있는 그룹만 표시됩니다. 이러한 사용자는 해당 회사에 속해 있지 않은 그룹은 볼 수 없습니다.
- 만들어진 ABP는 각각 Fab, Tail 및 CEO입니다.
.gif "두 회사 원 CEO")
| Fabrikam | Tailspin Toys | Ceo | |
|---|---|---|---|
| 주소 목록 | AL_FAB_Users_DGs AL_FAB_Contacts |
AL_TAIL_Users_DGs AL_TAIL_Contacts |
AL_FAB_Users_DGs AL_FAB_Contacts AL_TAIL_Users_DGs AL_TAIL_Contacts |
| 전역 주소 목록 | GAL_FAB | GAL_TAIL | 기본 GAL |
| 회의실 주소 목록 | AL_FAB_Rooms | AL_TAIL_Rooms | 기본 모든 객실 |
| OAB(오프라인 주소록) | OAB_FAB | OAB_TAIL | 기본 OAB |
각 조직의 메일 그룹에 CEO를 추가하고 CEO가 각 회사의 ABP 범위에 속하는 경우 각 회사에서 CEO를 볼 수 있게 됩니다. CEO는 두 회사 모두에 있고 각 회사의 GAL 내에 표시되는 메일 그룹을 만들 수 있지만 메일 그룹의 구성원은 조직 내에 있는 그룹의 구성원만 볼 수 있습니다.
시나리오 3: 교육
이 시나리오는 학생 개인 정보를 보호하기 위해 학급 구분이 필요한 학교나 대학에 적용할 수 있습니다. 교육 시나리오는 다음과 같은 특징이 있습니다.
- 각 학습의 학생은 해당 학습의 다른 학생, 해당 교사 및 교장만 볼 수 있습니다.
- 교사는 해당 학급의 학생만 볼 수 있습니다.
- 교사는 다른 모든 교사와 교장을 볼 수 있습니다.
- 각 학급의 학부모와 교직원에 대한 메일 그룹을 만듭니다.
.gif "주소록 정책 교육 시나리오")
| Students_ClassA | Teachers_ClassA | Principal | |
|---|---|---|---|
| 주소 목록 | AL_ClassAAL_Principal | AL_ClassAAL_AllTeachersAL_AllGroupsAL_Principal | AL_ClassA AL_ClassB AL_AllTeachers AL_AllStudents AL_AllGroups |
| 전역 주소 목록 | GAL_StudentsClassA | GAL_TeachersClassA | GAL_Everyone |
| 회의실 주소 목록 | AL_BlankRoom | AL_BlankRoom | 기본 모든 객실 |
| OAB(오프라인 주소록) | OAB_StudentsClassA | OAB_TeachersClassA | 기본 OAB |
고려 사항 및 모범 사례
조직에서 ABP를 사용할 때 다음을 고려하십시오.
ABP가 올바르게 작동하려면 ABP가 적용될 사용자 사서함이 Exchange 2010 SP3 또는 Exchange 2013 서버에 있어야 합니다.
글로벌 카탈로그 서버에서 Exchange 2010 클라이언트 액세스 서버 역할을 실행하지 마십시오. 그렇게 하면 Microsoft Exchange 주소록 서비스 대신 Active Directory가 NSPI(Name Service Provider Interface)에 사용됩니다. 글로벌 카탈로그 서버에서는 Exchange 2013 서버 역할을 실행할 수 있고 ABP도 정상적으로 작동하지만, 도메인 컨트롤러에 Exchange를 설치하는 것은 권장되지 않습니다.
HAB(계층 구조 주소록)와 ABP는 동시에 사용할 수 없습니다. 자세한 내용은 계층적 주소록을 참조하세요.
사용자가 할당한 ABP는 사용자 고유의 GAL에 있어야 합니다.
클라이언트 응용 프로그램이 LDAP를 통해 Active Directory에 직접 액세스하는 경우에는 ABP로 구성된 논리를 건너뛰게 됩니다. Outlook for Mac 2011 및 Entourage 2008에서는 직접 LDAP 쿼리를 사용하여 Active Directory에 액세스하므로, 자동 검색 서비스에 의해 도메인 컨트롤러나 글로벌 카탈로그 서버가 이러한 클라이언트 응용 프로그램에 지정되거나 제공되는 경우 해당 응용 프로그램에서 ABP가 제대로 작동하지 않게 됩니다. Outlook for Mac 2011은 EWS 또는 로컬 OAB를 사용하여 디렉터리 정보에 액세스합니다. 단, Outlook for Mac 2011이 LDAP 서비스에 직접 액세스할 수 있으면 액세스를 시도합니다.
ABP에 사용되는 GAL은 적어도 ABP에 정의되고 지정된 모든 주소 목록(대화방 주소 목록 포함)을 포함해야 합니다. 동일한 ABP에 포함된 주소 목록보다 적은 수의 개체를 포함하는 GAL을 만들지 마십시오.
메일 그룹을 만들 때 가상 조직 경계를 벗어나지 않는 것이 좋습니다. 여러 가상 조직의 구성원을 포함하는 메일 그룹을 만들면 다음과 같은 문제가 발생합니다.
그룹 구성원이 메일 그룹에 메일을 전송하면서 배달 확인이나 읽음 확인을 요청할 경우 다른 가상 조직의 그룹 구성원 전자 메일 주소를 확인할 수 있습니다.
암호화된 메시지가 메일 그룹에 전송되었지만 일부 그룹 구성원에게 유효한 디지털 ID가 없으면 유효한 ID가 없는 구성원의 총 수와 해당 전자 메일 주소 목록이 포함된 경고 메시지가 보낸 사람에게 전달됩니다. 그러나 유효한 디지털 ID가 없는 일부 구성원이 보낸 사람과 다른 조직에 속하는 경우에는 이 경고 메시지에 구성원 수는 정확하게 포함되지만 다른 조직에 속하는 구성원의 전자 메일 주소는 포함되지 않습니다. 결과적으로, 총 구성원 수가 구성원 주소 목록과 일치하지 않게 됩니다.
예를 들어 메일 그룹에는 에이전시 A와 에이전시 B라는 두 조직의 총 5명의 구성원이 포함되어 있다고 가정해 보겠습니다. 세 명의 그룹 멤버가 에이전시 A 출신이며 해당 멤버 중 한 명이 잘못된 디지털 ID를 가지고 있습니다. 다른 두 멤버는 에이전시 B 출신이며 두 멤버 모두 잘못된 디지털 ID를 가지고 있습니다. 에이전시 A의 구성원이 메일 그룹에 암호화된 메시지를 보내는 경우 해당 구성원은 유효한 디지털 ID가 없는 총 3명의 수신자가 있다는 경고 메시지를 받게 됩니다. 그러나 에이전시 A의 받는 사람의 이메일 주소만 경고 메시지에 나열됩니다.
ABP는 Get-Group cmdlet에 적용되지 않습니다. 따라서 Get-Group 을 실행할 수 있는 모든 사용자 또는 프로세스에는 액세스 권한이 있는 모든 그룹의 모든 멤버가 표시됩니다.
사용자가 Outlook Web App를 사용하여 그룹을 관리할 수 없도록 OWA 옵션의 그룹 관리 설정을 수정하는 것이 좋습니다. 사용자가 OWA 옵션을 사용하여 그룹을 관리하지 못하게 하려면 MyDistributionGroupMembership RBAC 역할에서 해당 사용자를 제외하십시오. 자세한 내용은 MyDistributionGroupMembership 역할을 참조하십시오.
사용자가 Outlook 또는 Outlook Web App을 사용하여 그룹을 관리할 수 있도록 허용한 경우 그룹 소유자에게 그룹 구성원 목록을 볼 수 있는 전체 권한이 있어야 합니다.
모든 ABP는 대화방 주소 목록을 포함해야 합니다. 조직에서 대화방 주소 목록을 사용하지 않는 경우에는 빈 대화방 주소 목록을 만들어 기본값으로 사용할 수 있습니다.
ABP 배포는 한 가상 조직의 사용자가 다른 가상 조직의 사용자에게 전자 메일을 보내지 못하도록 차단하지는 않습니다. 사용자가 다른 조직의 사용자에게 전자 메일을 보내지 못하게 하려면 전송 규칙을 만드는 것이 좋습니다. 예를 들어, Contoso 사용자가 Fabrikam 사용자의 메시지를 받지 못하게 하지만 Fabrikam의 임원진에서는 Contoso 사용자에게 메시지를 보내도록 허용하는 전송 규칙을 만들려면 다음 셸 명령을 실행하십시오.
New-TransportRule -Name "StopFabrikamtoContosoMail" -FromMemberOf "AllFabrikamEmployees" -SentToMemberOf "AllContosoEmployees" -DeleteMessage -ExceptIfFrom seniorleadership@fabrikam.comLync 클라이언트에서 ABP와 유사한 기능을 적용하려는 경우 특정 사용자 개체에 특성을 설정할
msRTCSIP-GroupingID수 있습니다. 자세한 내용은 PartitionByOU가 msRTCSIP-GroupingID로 대체됨 항목을 참조하십시오.
일반 배포 단계
주소 목록 조각화에서 ABP로 마이그레이션
조직에서 백서 Exchange 2007에서 가상 조직 및 주소 목록 조각화 구성 항목의 지침을 사용하여 적절한 Exchange 2007 주소 목록 조각화 솔루션을 구성한 경우, 먼저 Exchange 2007 주소 목록 분리에서 Exchange 2010 주소록 정책으로 마이그레이션에서 설명하는 단계를 사용하여 Exchange Server 2010으로 마이그레이션해야 합니다. 이 절차를 완료하려면 조직의 일부 가동 중지 시간이 필요하므로 이에 따라 계획해야 합니다.
새로 ABP 배포
조직에서 Exchange 2013 ABP를 배포 중이고 Exchange 2007 주소 목록 조각화를 사용하지 않은 경우 이러한 지침을 사용하여 조직의 ABP를 배포할 수 있습니다.
이 섹션의 단계에서는 시나리오 2: CEO를 공유하는 두 회사를 안내합니다. 이 시나리오에서 Fabrikam과 Tailspin Toys는 CEO와 임원진을 공유하는 별개의 회사입니다.
1단계: 주소록 정책 라우팅 에이전트 설치 및 구성
ABP를 사용하고 있고 서로 다른 가상 조직의 사용자가 서로의 개인 정보를 보지 못하도록 하려면 주소록 정책 라우팅 에이전트를 설정하면 됩니다. 주소록 정책 라우팅 에이전트는 받는 사람이 조직에서 확인되는 방식을 제어하는, 사서함 서버에서 실행되는 전송 에이전트입니다. 주소록 정책 라우팅 에이전트가 설치 및 구성되면 서로 다른 GAL이 할당된 사용자는 외부 받는 사람으로 표시되므로 외부 받는 사람의 대화 상대 카드를 볼 수 없습니다.
자세한 지침은 주소록 정책 라우팅 에이전트 설치 및 구성을 참조하세요.
2단계: 가상 조직 나누기
조직을 나누는 방법을 마련해야 합니다. 다음과 같은 이유로 Company, Department 또는 StateOrProvince와 같은 미리 제공된 조건부 특성 대신 사서함, 연락처 및 그룹에 CustomAttribute1-15 속성을 사용하여 가상 조직을 나누는 것이 좋습니다.
일부 개체의 받는 사람 유형에는 Active Directory에 미리 제공된 조건부 특성이 없을 수 있습니다. 예를 들어 매일 그룹 및 동적 메일 그룹에서는 회사, 부서 또는 상태 특성을 지원하지 않습니다.
미리 제공된 조건부 특성 중에는 일부 받는 사람의 cmdlet에 노출되지 않는 것이 있습니다. 예를 들어 회사, 부서 및 StateOrProvince 매개 변수는 메일 사용자, 연락처, 메일 그룹 및 메일 사용이 가능한 공용 폴더에 대한 cmdlet에 노출된 에서 사용할 수 없습니다.
미리 제공된 조건부 특성을 사용할 경우 받는 사람을 분리하려면 여러 cmdlet이 필요합니다. 예를 들어 New-Mailbox 또는 Set-Mailbox cmdlet을 실행한 후 UserMailbox에 대한 회사, 부서, StateOrProvince 태그를 지정하기 위해 Set-User 실행해야 합니다.
CustomAttributeX 매개 변수는 모두 각 수신자 유형에 대한 Set-* cmdlet에 노출되며, 단일 Set- cmdlet을 통해 해당 형식에 대한 모든 분리를 완료할 수 있습니다.
CustomAttributeX 특성은 조직의 사용자 지정을 위해 명시적으로 예약되어 있으며 조직 관리자만 제어할 수 있습니다.
조직을 분리할 때 구현을 고려하는 또 다른 모범 사례는 메일 그룹 및 동적 메일 그룹의 이름에 회사 식별자를 사용하는 것입니다. Exchange에는 메일 그룹의 회사, StateorProvince, Title 및 CustomAttribute1을 CustomAttribute15에 포함하여 메일 그룹을 만드는 사용자의 많은 특성에 따라 메일 그룹의 이름에 접미사 또는 접두사를 자동으로 추가하는 그룹 명명 정책 기능이 있습니다. 그룹 명명 정책은 사용자가 자신의 메일 그룹을 만들 수 있도록 허용하는 경우에 특히 중요합니다. 자세한 내용은 메일 그룹 명명 정책을 만들려면를 참조하세요.
동적 메일 그룹에는 그룹 명명 정책이 적용되지 않으므로 수동으로 동적 메일 그룹을 나누고 명령 정책을 적용해야 합니다.
3단계: 주소 목록, GAL 및 OAB 만들기
주소 목록 및 전체 주소 목록을 만드는 경우에는 ConditionalCompany, ConditionalCustomAttribute5 등의 "IncludedRecipient" 및 "ConditionalX"를 사용하면 안 됩니다. 받는 사람 필터를 대신 사용해야 합니다. 받는 사람 필터를 만들려면 셸을 사용해야 합니다. 받는 사람 필터에 대한 자세한 내용은 Edge 전송 서버의 받는 사람 필터링을 참조하십시오.
ABP를 만들 때 사용자의 Outlook 또는 Outlook Web App에 주소 목록을 표시하는 방식에 따라 여러 주소 목록을 만듭니다. 이 조직에는 다음 네 개의 주소 목록이 있습니다.
AL_FAB_Users_DGs
AL_FAB_Contacts
AL_TAIL_Users_DGs
AL_TAIL_Contacts
이 예에서는 주소 목록 AL_TAIL_Users_DGs를 만듭니다. 주소 목록에는 CustomAttribute15가 TAIL인 모든 사용자 및 메일 그룹이 포함되어 있습니다.
New-AddressList -Name "AL_TAIL_Users_DGs" -RecipientFilter "((RecipientType -eq 'UserMailbox') -or (RecipientType -eq 'MailUniversalDistributionGroup') -or (RecipientType -eq 'DynamicDistributionGroup')) -and (CustomAttribute15 -eq 'TAIL')"
받는 사람 필터를 사용한 주소 목록 만들기에 대한 자세한 내용은 받는 사람 필터를 사용 하 여 주소 목록 만들기를 참조하십시오.
ABP를 만들려면 대화방 주소 목록을 제공해야 합니다. 조직에 대화방 또는 장비 사서함 같은 리소스 사서함이 없는 경우에는 빈 대화방 주소 목록을 만드는 것이 좋습니다. 다음 예에서는 조직에 대화방 사서함이 없으므로 빈 대화방 주소 목록을 만듭니다.
New-AddressList -Name AL_BlankRoom -RecipientFilter "(Alias -ne `$null) -and ((RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox'))"
그러나 이 시나리오에서는 Fabrikam 및 Contoso 모두에 대화방 사서함이 있습니다. 이 예에서는 받는 사람 필터를 사용하여 CustomAttribute15가 FAB인 Fabrikam의 대화방 목록을 만듭니다.
New-AddressList -Name AL_FAB_Room -RecipientFilter "(Alias -ne `$null) -and (CustomAttribute15 -eq 'FAB') -and (RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')"
ABP에 사용되는 전체 주소 목록은 주소 목록의 부분 집합이어야 합니다. ABP의 주소 목록보다 개체 수가 적은 GAL을 만들지 마십시오. 이 예에서는 주소 목록 및 대화방 주소 목록에 있는 모든 받는 사람을 포함하는 Tailspin Toys의 전체 주소 목록을 만듭니다.
New-GlobalAddressList -Name "GAL_TAIL" -RecipientFilter "(CustomAttribute15 -eq 'TAIL')"
자세한 내용은 전체 주소 목록 만들기를 참조하십시오.
OAB를 만들 때 예기치 않게 누락된 항목이 없도록 New 또는 Set-OfflineAddressBook AddressLists 매개 변수를 제공할 때 적절한 GAL을 포함해야 합니다. 기본적으로 사용자에게 표시되는 항목 집합을 사용자 지정하고 New/Set-OfflineAddressBook의 AddressLists에 AddressLists 목록을 지정하여 OAB의 다운로드 크기를 줄일 수 있습니다. 하지만 사용자가 OAB에서 전체 GAL 항목 집합을 볼 수 있게 하려면 AddressLists에 GAL을 포함해야 합니다.
이 예에서는 OAB_FAB라는 Fabrikam 의 OAB를 만듭니다.
New-OfflineAddressBook -Name "OAB_FAB" -AddressLists "GAL_FAB"
자세한 내용은 오프 라인 주소록 만들기를 참조하십시오.
4단계: ABP 만들기
필요한 모든 개체를 만든 후에는 ABP를 만들 수 있습니다. 이 예에서는 ABP_TAIL이라는 이름의 ABP를 만듭니다.
New-AddressBookPolicy -Name "ABP_TAIL" -AddressLists "AL_TAIL_Users_DGs"," AL_TAIL_Contacts" -OfflineAddressBook "\OAB_TAIL" -GlobalAddressList "\GAL_TAIL" -RoomList "\AL_TAIL_Rooms"
자세한 내용은 주소록 정책 만들기를 참조하십시오.
5단계: 사서함에 ABP 할당
사용자에게 ABP를 할당하는 것이 프로세스의 마지막 단계입니다. ABP는 사용자의 응용 프로그램이 클라이언트 액세스 서버에서 실행되고 있는 Microsoft Exchange 주소록 서비스에 연결할 때 적용됩니다. 사용자 계정에 ABP가 적용될 때 사용자가 Outlook 또는 Outlook Web App에 연결되어 있다면 클라이언트 응용 프로그램을 닫고 다시 시작해야 새 주소 목록과 GAL을 볼 수 있습니다.
이 예에서는 CustomAttribute15가 "FAB"인 모든 사서함에 ABP_FAB를 할당합니다.
Get-Mailbox -resultsize unlimited | where {$_.CustomAttribute15 -eq "TAIL"} | Set-Mailbox -AddressBookPolicy "ABP_TAIL"
자세한 내용은 메일 사용자에 게 주소록 정책 할당을 참조하십시오.