적응 범위

  • 아티클

보안 및 규정 준수를 위한 Microsoft 365 라이선싱 지침.

통신 규정 준수 정책 또는 보존 정책을 만들 때 정책에 대한 적응형 scope 만들거나 추가할 수 있습니다. 단일 정책에는 하나 이상의 적응형 범위가 있을 수 있습니다.

  • 적응형 scope 지정한 쿼리를 사용하므로 해당 쿼리에 포함된 사용자 또는 그룹의 멤버 자격을 정의할 수 있습니다. 이러한 동적 쿼리는 선택한 scope 대해 지정하는 특성 또는 속성에 대해 매일 실행됩니다. 단일 정책에서 하나 이상의 적응형 범위를 사용할 수 있습니다.
  • 예를 들어 이러한 목적을 위해 그룹을 만들고 유지 관리하는 관리 오버헤드 없이 기존 Microsoft Entra 특성을 사용하여 부서에 따라 사용자에게 다른 정책 설정을 할당할 수 있습니다.

적응형 범위 사용의 이점

적응형 범위를 사용할 경우의 이점은 다음과 같습니다.

  • 정책당 항목 수에는 제한이 없습니다. 적응형 정책에는 여전히 테넌트당 최대 정책 수 제한이 적용되지만 구성이 더 유연하면 정책이 훨씬 더 적을 수 있습니다.
  • 정책에 대한 보다 강력한 타겟팅. 예를 들어 그룹을 만들고 유지 관리하는 관리 오버헤드 없이 지리적 위치에 따라 사용자에게 다른 설정을 할당할 수 있습니다.
  • 쿼리 기반 범위는 부서 간 통신에 의존하는 그룹 멤버 자격 또는 외부 프로세스에 안정적으로 반영되지 않을 수 있는 비즈니스 변경에 대한 복원력을 제공합니다.
  • 단일 정책에는 Microsoft Teams 및 Viva Engage 모두에 대한 위치가 포함될 수 있지만 적응형 scope 사용하지 않는 경우 각 위치에는 고유한 정책이 필요합니다.
  • Microsoft Entra 관리 단위 지원.

보존 정책과 관련된 적응형 범위를 사용하는 경우의 특정 이점은 보존 정책 및 보존 레이블에 대해 알아보기를 참조하세요.

구성 정보는 적응형 범위 구성을 참조하세요.

적응형 범위가 Microsoft Entra 관리 단위에서 작동하는 방식

적응형 범위는 규정 준수를 위한 정책의 동적 대상 지정을 지원하기 위해 Microsoft Purview에서 만들어지고 구성된 반면, 관리 단위는 Microsoft Entra ID 만들어지고 구성됩니다. 관리자를 하나 이상의 관리 단위에 할당하는 기능을 제공하므로 이제 제한된 관리자는 할당된 관리 단위의 사용자만 관리할 수 있습니다. 이 구성은 최소 권한의 보안 모범 사례를 지원합니다. 일반적으로 관리 단위는 특정 지리, 부서 또는 비즈니스 부서를 중심으로 설계되었습니다.

이 관리 경계는 제한된 관리자가 관리하도록 할당된 사용자만 관리할 수 있도록 지원되는 솔루션을 위해 Microsoft Purview로 전달됩니다.

관리 단위가 적응형 범위와 통합되는 방법을 보여 주는 예제로, 제한된 규정 준수 관리자가 프랑스의 사용자만을 위한 적응형 사용자 scope 만들려고 합니다.

  1. 규정 준수 관리자에게 유럽의 모든 사용자북아메리카 모든 사용자라는 두 개의 관리 단위가 할당됩니다. 적응형 scope 만들 때 이러한 관리 단위만 선택하고 할당할 수 있습니다. 다른 관리 단위의 사용자를 관리하는 적응형 scope 만들 수 없습니다.
  2. 사용자를 위한 새로운 적응형 scope 만들고 유럽의 모든 사용자 관리 단위를 선택합니다. 그런 다음 적응형 scope 프랑스의 사용자에만 적용되기를 원하기 때문에 Microsoft Entra ID Country 또는 지역 특성을 사용하여 프랑스(CountryOrRegion = 프랑스)를 지정합니다. 이 특성을 잘못 구성하고 인도와 같은 Microsoft Entra ID 유효한 값을 지정하지만 해당 값을 가진 사용자가 유럽 관리 단위의 모든 사용자에 포함되지 않으면 scope 사용자가 포함되지 않습니다.
  3. 모든 사용자를 대상으로 하는 정책에 대해 이 적응형 scope 선택하면 정책은 프랑스의 사용자에게만 적용됩니다.
  4. 재사용 가능한 구성 요소로서 다른 규정 준수 정책에 동일한 적응 scope 사용할 수 있습니다.

규정 준수 관리자가 이 적응형 scope 두 관리 단위를 모두 추가한 경우 북아메리카 관리 scope 사용자가 프랑스를 해당 국가 또는 지역 특성으로 지정하지 않았기 때문에 최종 결과는 여전히 동일합니다. 그러나 규정 준수 관리자는 프랑스의 사용자만 대상으로 지정해야 한다는 것을 알고 있었기 때문에 유럽 관리 단위에 대해 쿼리를 실행하는 것이 더 효율적입니다. 요구 사항이 변경되면 항상 기존 적응형 scope 관리 단위를 추가하거나 제거할 수 있습니다.

적응형 정책 범위의 최대값

정책에 추가할 수 있는 적응형 정책 범위 수에는 제한이 없지만 각 적응형 scope 정의하는 쿼리에 대한 최대 제한은 몇 가지 있습니다.

  • 특성 또는 속성 값의 문자열 길이: 200
  • 그룹이 없거나 그룹 내에 있는 특성 또는 속성 수: 10
  • 그룹 수: 10
  • 고급 쿼리의 문자 수: 10,000
  • 그룹 내의 특성 또는 속성 그룹화는 지원되지 않습니다. 즉, 단일 적응 범위 내에서 지원되는 속성 또는 특성의 최대 수는 100개입니다.

적응형 범위 구성

적응형 범위를 사용하기로 선택하는 경우 원하는 적응형 범위 유형을 선택하라는 메시지가 표시됩니다. 적응형 범위에는 세 가지 유형이 있으며 각 유형은 서로 다른 특성 또는 속성을 지원합니다.

적응형 범위 유형 지원되는 특성 또는 속성에는 다음이 포함됩니다.
사용자 - 다음에 적용됩니다.
- Exchange 사서함
- OneDrive 계정
- Teams 채팅 및 코필로트 상호 작용
- Teams 비공개 채널 메시지
- 사용자 메시지 Viva Engage		 이름

표시 이름
직위
부서
사무실
나머지 주소
구/군/시
시/도
우편 번호
국가 또는 지역
전자 메일 주소
별칭
Exchange 사용자 지정 특성: CustomAttribute1 - CustomAttribute15
SharePoint - 다음에 적용됩니다.
- SharePoint 사이트 *
- OneDrive 계정		 사이트 URL
사이트 이름
SharePoint 사용자 지정 속성: RefinableString00 - RefinableString99
Microsoft 365 그룹 - 다음에 적용됩니다.
- Microsoft 365 그룹 사서함 & 사이트
- Teams 채널 메시지(표준 및 공유)
- 커뮤니티 메시지 Viva Engage
 이름
표시 이름
설명
전자 메일 주소
별칭
Exchange 사용자 지정 특성: CustomAttribute1 - CustomAttribute15

* 현재 공유 채널 SharePoint 사이트는 적응형 범위에 대해 지원되지 않습니다.

참고

통신 규정 준수 정책의 경우:

  • SharePoint 사이트 및 OneDrive 계정은 지원되지 않습니다.
  • 제외된 사용자 및 Microsoft 365 그룹이 지원됩니다.

사이트의 속성 이름은 SharePoint 사이트 관리 속성을 기반으로 합니다. 사용자 지정 속성에 대한 자세한 내용은 사용자 지정 SharePoint 사이트 속성을 사용하여 적응형 정책 범위로 Microsoft 365 보존 적용을 참조하세요.

사용자 및 그룹의 특성 이름은 Microsoft Entra 특성에 매핑되는 필터링 가능한 받는 사람 속성을 기반으로 합니다. 예시:

  • 별칭은 Microsoft Entra 관리 센터 Email 표시되는 LDAP 이름 mailNickname에 매핑됩니다.
  • Email 주소는 Microsoft Entra 관리 센터프록시 주소로 표시되는 LDAP 이름 proxyAddresses에 매핑됩니다.

간단한 쿼리 작성기를 사용하여 적응 범위를 구성할 때 테이블에 나열된 특성 및 속성을 쉽게 지정할 수 있습니다. 추가 특성 및 속성은 다음 섹션에 설명된 대로 고급 쿼리 작성기에서 지원됩니다.

적응형 scope 구성하는 방법

적응형 범위를 구성하기 전에 이전 섹션을 사용하여 만들 범위 유형과 사용할 특성 및 값을 식별합니다. 이 정보를 확인하려면 다른 관리자와 협력해야 할 수도 있습니다.

적응형 scope 만들려면 관리자에게 올바른 역할 그룹을 할당해야 합니다. Scope Manager 역할이 있는 모든 역할 그룹은 적응형 scope 만들 수 있습니다. 범위 관리자 역할은 다음 기본 제공 역할 그룹에 포함됩니다.

  • 규정 준수 관리자
  • 규정 준수 데이터 관리자
  • 조직 관리
  • 레코드 관리
  • 커뮤니케이션 규정 준수
  • 커뮤니케이션 규정 준수 관리자

특히 SharePoint 사이트의 경우 사용자 지정 사이트 속성을 사용하려는 경우 추가 SharePoint 구성이 필요할 수 있습니다.

적응형 범위를 만들고 구성하려면 Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털 사용할 수 있습니다.

  1. 사용 중인 포털에 따라 다음 위치 중 하나로 이동합니다.

    • Microsoft Purview 포털>에 로그인설정 카드 >역할 및 범위>적응형 범위입니다.

      설정 솔루션 카드 표시되지 않으면 모든 솔루션 보기를 선택한 다음 핵심 섹션에서 설정을 선택합니다.

    • Microsoft Purview 규정 준수 포털>Roles 및 범위 적응형>범위에 로그인합니다.

  2. 적응형 범위를 선택한 다음 + scope 만들기를 선택합니다.

  3. 먼저 관리 단위를 할당하라는 메시지가 표시되는 구성의 프롬프트에 따릅니다. 계정에 관리 단위가 할당된 경우 scope 멤버 자격을 제한하는 하나의 관리 단위를 선택해야 합니다.

    참고

    관리 단위는 아직 SharePoint 사이트를 지원하지 않으므로 관리 단위를 선택하면 SharePoint 사이트에 대한 적응형 scope 만들 수 없습니다.

    관리 단위를 사용하여 적응형 scope 제한하지 않거나 organization 관리 단위를 구성하지 않은 경우 기본값인 전체 디렉터리를 유지합니다.

  4. scope 유형을 선택한 다음 동적 멤버 자격을 빌드하는 데 사용할 특성 또는 속성을 선택하고 특성 또는 속성 값을 입력합니다.

    예를 들어 유럽의 사용자를 식별하는 데 사용할 적응형 범위를 구성하려면 먼저 사용자를 범위 유형으로 선택하고, 나라 또는 지역 특성을 선택한 다음 유럽을 입력합니다.

    적응형 범위 구성의 예시입니다.

    매일 한 번 이 쿼리는 Microsoft Entra ID 대해 실행되며 국가 또는 지역 특성에 대한 계정에서 유럽 값이 지정된 모든 사용자를 식별합니다.

    중요

    쿼리가 즉시 실행되지 않으므로 값을 올바르게 입력했는지에 대한 유효성 검사는 없습니다.

    특성 추가(사용자 및 그룹용) 또는 속성 추가(사이트용)를 선택하여 해당 범위 유형에 지원되는 특성 또는 속성 조합을 논리 연산자와 함께 사용해 쿼리를 작성합니다. 지원되는 연산자는 같음, 같지 않음, 다음으로 시작다음으로 시작하지 않음이며, 선택한 특성 또는 속성을 그룹화할 수 있습니다. 예제:

    특성 그룹이 있는 적응형 범위 구성의 예시입니다.

    아니면 고급 쿼리 작성기를 선택하여 자체 쿼리를 지정할 수도 있습니다.

    • 사용자Microsoft 365 그룹 범위의 경우 OPATH 필터링 구문을 사용합니다. 예를 들어 부서, 국가/지역 및 주별로 멤버 자격을 정의하는 사용자 scope 만들려면 다음을 수행합니다.

      고급 쿼리를 사용하는 적응형 범위 예시입니다.

      이러한 범위에 대해 고급 쿼리 빌더를 사용할 때의 장점 중 하나는 쿼리 연산자의 선택 폭이 더 넓다는 것입니다.

      • 또는
      • 아님
      • eq(같음)
      • ne(같지 않음)
      • lt(보다 작음)
      • gt(보다 큼)
      • like(문자열 비교)
      • notlike(문자열 비교)

    • SharePoint 사이트 범위의 경우 KQL(키워드 쿼리 언어)을 사용합니다. 인덱싱된 사이트 속성을 사용하여 SharePoint를 검색하는 데 KQL을 사용하는 데 이미 익숙할 수 있습니다. 이러한 KQL 쿼리를 지정하는 데 도움을 받으려면 KQL(Keyword Query Language) 구문 참조를 참조하세요.

      예를 들어 SharePoint 사이트 범위에는 Microsoft 365 그룹 연결 및 OneDrive 사이트를 포함하는 모든 SharePoint 사이트 유형이 자동으로 포함되므로 인덱싱된 사이트 속성 SiteTemplate 을 사용하여 특정 사이트 유형을 포함하거나 제외할 수 있습니다. 지정할 수 있는 템플릿:

      • 최신 통신 사이트의 경우 SITEPAGEPUBLISHING
      • Microsoft 365 그룹 연결 사이트의 경우 GROUP
      • Microsoft Teams 비공개 채널 사이트의 경우 TEAMCHANNEL
      • 클래식 SharePoint 팀 사이트의 경우 STS
      • OneDrive 사이트의 경우 SPSPERS

      따라서 최신 통신 사이트만 포함하고 Microsoft 365 goup 연결 및 OneDrive 사이트는 제외하는 적응 범위를 만들려면 다음 KQL 쿼리를 지정합니다.

      SiteTemplate=SITEPAGEPUBLISHING

    범위 구성과 독립적으로 이러한 고급 쿼리의 유효성을 검사할 수 있습니다.

    비활성 사서함을 제외하려면 고급 쿼리 작성기를 사용해야 합니다. 반대로 비활성 사서함만 대상으로 지정합니다. 이 구성의 경우 OPATH 속성 IsInactiveMailbox를 사용합니다.

    • 비활성 사서함을 제외하려면 쿼리에 다음이 포함되어 있는지 확인합니다. (IsInactiveMailbox -eq "False")
    • 비활성 사서함만 대상으로 지정하려면 다음을 지정합니다. (IsInactiveMailbox -eq "True")

  5. 필요한 만큼 많이 적응형 범위를 만드세요. 정책을 만들 때 하나 이상의 적응형 범위를 선택할 수 있습니다.

참고

쿼리가 완전히 채워지는 데 최대 5일이 걸릴 수 있으며 변경 내용은 즉시 적용되지 않습니다. 새로 만든 scope 정책에 추가하기 며칠 전에 대기하여 이 지연을 고려합니다.

적응형 범위의 현재 멤버십 및 멤버십 변경 내용을 확인하려면 다음을 수행합니다.

  1. 적응형 범위 페이지에서 범위를 두 번 클릭(또는 선택 및 Enter 키 누르기)합니다.

  2. 플라이아웃 세부 정보 창에서 범위 세부 정보를 선택합니다.

    현재 범위에 있는 모든 사용자, 사이트 또는 그룹을 식별하는 정보와 자동으로 추가 또는 제거된 경우 해당 멤버십의 변경 날짜 및 시간을 검토합니다.

정책 조회 옵션을 사용하면 특정 사용자, 사이트 및 Microsoft 365 그룹에 현재 할당된 정책을 식별할 수 있습니다.

고급 쿼리 유효성 검사

PowerShell 및 SharePoint 검색을 사용하여 고급 쿼리의 유효성을 수동으로 검사할 수 있습니다.

  • 사용자Microsoft 365 그룹 범위 유형에 PowerShell 사용
  • SharePoint 사이트 범위 유형에 SharePoint 검색 사용

PowerShell을 사용하여 쿼리를 실행하려면 다음을 수행합니다.

  1. 적절한 Exchange Online 관리자 권한이 있는 계정을 사용하여 Exchange Online PowerShell에 연결합니다.

  2. 중괄호로 묶인 적응형 범위({,})에 대해 -Filter 매개 변수 및 OPATH 쿼리와 함께 Get-Recipient, Get-Mailbox 또는 Get-User를 사용합니다 특성 값이 문자열인 경우 이러한 값을 큰 따옴표 또는 작은 따옴표로 묶습니다.

    쿼리에 대해 선택한 OPATH 속성에서 지원하는 cmdlet을 식별하여 유효성 검사에 Get-Mailbox, Get-Recipient 또는 Get-User를 사용할지 여부를 결정할 수 있습니다.

    중요

    Get-Mailbox는 MailUser 수신자 유형을 지원하지 않으므로 Get-Recipient 또는 Get-User를 사용하여 하이브리드 환경에서 온-프레미스 사서함을 포함하는 쿼리의 유효성을 검사해야 합니다.

    사용자 범위를 확인하려면 적절한 명령어를 사용합니다.

    • Get-Mailbox(-RecipientTypeDetails UserMailbox,SharedMailbox,RoomMailbox,EquipmentMailbox 포함)
    • Get-Recipient(-RecipientTypeDetails UserMailbox,MailUser,SharedMailbox,RoomMailbox,EquipmentMailbox 포함)

    Microsoft 365 그룹 범위의 유효성을 검사하려면 다음을 사용합니다.

    • Get-Mailbox(-GroupMailbox 포함) 또는 Get-Recipient(-RecipientTypeDetails GroupMailbox 포함)

    예를 들어 사용자 범위의 유효성을 검사하려면 다음을 사용할 수 있습니다.

    Get-Recipient -RecipientTypeDetails UserMailbox,MailUser -Filter {Department -eq "Marketing"} -ResultSize Unlimited

    Microsoft 365 그룹 범위의 유효성을 검사하려면 다음을 사용할 수 있습니다.

    Get-Mailbox -RecipientTypeDetails GroupMailbox -Filter {CustomAttribute15 -eq "Marketing"} -ResultSize Unlimited

    이러한 명령을 사용하여 사용자 범위의 유효성을 검사할 때 반환되는 받는 사람 수가 예상보다 많으면 적응형 범위에 대한 유효한 라이선스가 없는 사용자가 포함되기 때문일 수 있습니다. 이러한 사용자에게는 정책 설정이 적용되지 않습니다.

    예를 들어 하이브리드 환경에서는 온-프레미스 또는 Exchange Online에 Exchange 사서함이 없는 라이선스가 없는 동기화된 사용자 계정이 있을 수 있습니다. 다음 명령을 실행하여 이러한 사용자를 식별할 수 있습니다. Get-User -RecipientTypeDetails User

  3. 출력이 적응형 범위의 예상 사용자 또는 그룹과 일치하는지 확인합니다. 그렇지 않은 경우 쿼리 및 값을 Microsoft Entra ID 또는 Exchange에 대한 관련 관리자와 검사.

SharePoint 검색을 사용하여 쿼리를 실행하려면 다음을 수행합니다.

  1. 전역 관리자 계정 또는 SharePoint 관리자 역할이 있는 계정을 사용하여 https://<your_tenant>.sharepoint.com/search(으)로 이동합니다.
  2. 검색 표시줄을 사용하여 KQL 쿼리를 지정합니다.
  3. 검색 결과가 적응형 범위에 대한 예상 사이트 URL과 일치하는지 확인합니다. 그렇지 않은 경우 SharePoint의 관련 관리자와 쿼리 및 URL을 확인합니다.