Viva 기능에 대한 액세스 제어
Viva 액세스 정책을 사용하여 Viva 앱의 특정 기능에 액세스할 수 있는 사용자를 관리할 수 있습니다. 기능 액세스 관리를 사용하면 테넌트에서 특정 그룹 또는 사용자에 대해 Viva 특정 기능을 사용하거나 사용하지 않도록 설정할 수 있으므로 로컬 규정 및 비즈니스 요구 사항에 맞게 배포를 조정합니다.
중요
organization 활성 상태인 기능에 대한 여러 액세스 정책을 사용할 수 있습니다. 즉, 사용자 또는 그룹이 여러 정책의 영향을 받을 수 있습니다. 이 경우 사용자 또는 그룹에 직접 할당된 가장 제한적인 정책이 우선합니다. 자세한 내용은 Viva 액세스 정책의 작동 방식을 참조하세요.
테넌트에서 권한 있는 관리자는 PowerShell에서 액세스 정책을 만들고, 할당하고, 관리할 수 있습니다. 사용자가 Viva 로그인하면 정책 설정이 적용되고 사용하지 않도록 설정되지 않은 기능만 표시됩니다.
참고
기능 액세스 관리를 사용하여 Viva 앱에서 기능 하위 집합만 사용하지 않도록 설정할 수 있습니다. 한 기능의 사용을 제한하면 앱의 다른 기능 기능에 영향을 미칠 수 있습니다. 특정 기능에 대한 앱 설명서를 검사 기능에 대한 액세스를 사용하지 않도록 설정하거나 사용하도록 설정하는 것이 미치는 영향을 이해해야 합니다.
기능 액세스 관리에 사용할 수 있는 기능
기능 액세스 관리를 사용하여 다음 기능에 대한 액세스를 관리할 수 있습니다.
참고
- 일부 기능은 사용자/그룹 정책을 지원하지 않을 수 있습니다. 또한 한 앱에 대한 정책은 테넌트의 전체 테넌트 또는 사용자에게 영향을 미칠 수 있습니다. 자세한 내용은 테이블의 링크를 사용하여 기능 설명서를 참조하세요.
- 일부 기능만 관리자가 사용자에게 옵트아웃 옵션을 제공할 수 있는 컨트롤이 있습니다.
앱 | 기능 | 사용자 옵트아웃을 제어할까요? | 액세스를 관리할 수 있는 사용자 | ModuleID |
---|---|---|---|---|
참여 | Engage 코필로트 | 아니오 | Engage 관리자 | VivaEngage |
AI 요약 | 예 | Engage 관리자 | VivaEngage | |
목표 | Viva Goals 코필로트 | 아니오 | Goals 관리자 | VivaGoals |
Insights | Copilot 대시보드 | 아니오 | 전역 관리자 | VivaInsights |
Copilot 대시보드 자동 사용 | 아니오 | 전역 관리자 | VivaInsights | |
Copilot 대시보드 위임 | 아니오 | 전역 관리자 | VivaInsights | |
부조종사 보조 값 | 아니오 | 전역 관리자 | VivaInsights | |
다이제스트 시작 Email | 아니오 | 전역 관리자 | VivaInsights | |
모임 비용 및 품질 | 아니오 | Insights 관리자 | VivaInsights | |
반영 | 아니오 | Insights 관리자 | VivaInsights | |
맥박 | 사용자 지정 | 아니요 | Viva Pulse 관리자 | VivaPulse |
Pulse 보고서의 팀 대화 | 아니오 | Viva Pulse 관리자 | VivaPulse | |
Skills | 기술 제안* | 예 | 지식 관리자 | VivaSkills |
* 기능 또는 기능 컨트롤은 아직 모든 테넌트에서 사용할 수 없습니다. 지원은 곧 추가될 예정입니다.
참고
- 액세스 정책을 지원하고 테넌트에서 사용할 수 있는 기능에 대한 액세스만 제어할 수 있습니다. 예를 들어 EDU 기반 테넌트가 있는 경우 정책을 사용하여 EDU 테넌트에서 사용할 수 없는 기능에 액세스할 수 없습니다. 특정 지역에서 사용할 수 없는 기능도 마찬가지입니다. 가용성에 대한 자세한 내용은 사용하려는 특정 기능에 대한 설명서를 확인하세요.
- Viva Engage 기능의 Copilot 변경 내용을 적용하는 데 최대 48시간이 걸릴 수 있습니다. 다른 기능에 대한 변경 내용은 일반적으로 24시간 이내에 적용됩니다.
요구 사항
Viva 액세스 정책을 만들려면 다음이 필요합니다.
- 지원되는 Microsoft 365 버전 또는 Viva Suite 라이선스
- Exchange Online PowerShell 버전 3.2.0 이상에 액세스합니다. 메일 사용이 불가능한 그룹을 사용해야 하는 경우 Exchange PowerShell 버전 3.5.1 이상에 액세스할 수 있어야 합니다.
- 에서 만들거나 Microsoft Entra ID 동기화된 사용자 계정입니다.
- Microsoft 365 그룹, Microsoft Entra ID 또는 메일 그룹에 생성되거나 동기화된 Microsoft Entra 보안 그룹. 멤버 자격 유형은 동적이거나 할당될 수 있습니다.
- 특정 앱 및 기능에 필요한 역할입니다.
중요
microsoft 365 GCC, GCC High 또는 DOD 플랜이 있는 고객은 Viva 기능 액세스 관리를 사용할 수 없습니다.
Viva 기능에 대한 액세스 정책 만들기 및 관리
기능에 대한 featureID 가져오기
액세스 정책을 만들려면 액세스를 제어하려는 특정 기능에 대한 featureID 를 가져와야 합니다.
Get-VivaModuleFeature PowerShell cmdlet을 사용하여 특정 Viva 앱 및 관련 ID에서 사용할 수 있는 모든 기능 목록을 가져옵니다.
Exchange Online PowerShell 버전 3.2.0 이상을 설치합니다.
Install-Module -Name ExchangeOnlineManagement
관리자 자격 증명을 사용하여 Exchange Online 연결합니다.
Connect-ExchangeOnline
전역 관리자 또는 정책을 만드는 특정 기능에 필요한 역할로 인증을 완료합니다.
Get-VivaModuleFeature cmdlet을 실행하여 액세스 정책을 사용하여 관리할 수 있는 기능을 확인합니다.
예를 들어 Viva Insights 지원되는 기능을 확인하려면 다음 cmdlet을 실행합니다.
Get-VivaModuleFeature -ModuleId VivaInsights
액세스 정책을 만들려는 기능을 찾아 해당 featureID를 기록해 둡다.
액세스 정책 생성
이제 featureID가 있으므로 Add-VivaModuleFeaturePolicy PowerShell cmdlet을 사용하여 기능에 대한 액세스 정책을 만듭니다.
사용자 및 그룹에 기능당 최대 10개의 정책을 할당할 수 있습니다. 각 정책은 최대 20명의 사용자 또는 그룹에 할당할 수 있습니다. -Everyone 매개 변수를 사용하여 기능당 하나의 추가 정책을 전체 테넌트에게 할당할 수 있습니다. 이 매개 변수는 organization 해당 기능에 대한 전역 기본 상태로 작동합니다.
Add-VivaModuleFeaturePolicy cmdlet을 실행하여 새 액세스 정책을 만듭니다.
참고
기능이 옵트아웃에 대한 사용자 컨트롤을 지원하는 경우 정책을 만들 때 IsUserControlEnabled 매개 변수를 설정해야 합니다. 그렇지 않은 경우 정책에 대한 사용자 컨트롤은 기능에 대한 기본 상태를 사용합니다.
예를 들어 다음을 실행하여 UsersAndGroups라는 액세스 정책을 만들어 Viva Insights 리플렉션 기능에 대한 액세스를 제한합니다.
Add-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -Name UsersAndGroups -IsFeatureEnabled $false -GroupIds group1@contoso.com,group2@contoso.com -UserIds user1@contoso.com,user2@contoso.com
다음은 Viva Insights 리플렉션 기능에 대한 정책을 추가하는 예제입니다. 정책은 지정된 사용자 및 그룹 구성원에 대한 기능을 사용하지 않도록 설정합니다. 모든 사용자에 대해 기능을 사용하지 않도록 설정하려면 -Everyone 매개 변수를 대신 사용합니다.
액세스 정책 관리
액세스 정책을 업데이트하여 기능 사용 여부를 변경하고 정책이 적용되는 사람(모든 사람, 사용자 또는 그룹)을 변경할 수 있습니다.
예를 들어 마지막 예제를 빌드하여 정책이 적용되는 사용자를 업데이트하려면 다음 cmdlet을 실행합니다.
Update-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -GroupIds group1@contoso.com,group2@contoso.com
정책을 만들 때와 마찬가지로 정책에서 사용자 컨트롤을 지원하는 경우 정책을 변경할 때 IsUserControlEnabled 매개 변수를 포함합니다.
중요
-UserIds 및 -GroupIds 매개 변수 또는 -Everyone 매개 변수에 대해 지정한 값은 기존 사용자 또는 그룹을 덮어씁니다. 기존 사용자 및 그룹을 유지하려면 기존 사용자 또는 그룹 및 추가하려는 추가 사용자 또는 그룹을 지정해야 합니다. 명령에 기존 사용자 또는 그룹을 포함하지 않는 것은 정책에서 해당 특정 사용자 또는 그룹을 효과적으로 제거합니다. 기능에 대한 전체 테넌트 정책이 이미 있는 경우 특정 사용자 또는 그룹에 대한 정책을 업데이트하여 전체 테넌트만 포함할 수 없습니다. 테넌트 전체 정책이 하나만 지원됩니다.
특정 사용자 또는 그룹에 대해 사용하지 않도록 설정된 기능을 검사 Get-VivaModuleFeatureEnablement cmdlet을 실행합니다. 이 cmdlet은 사용자 또는 그룹에 대한 사용 상태 호출되는 것을 반환합니다.
예:
Get-VivaModuleFeatureEnablement -ModuleId VivaInsights -FeatureId Reflection -Identity user@contoso.com
액세스 정책 삭제
Remove-VivaModuleFeaturePolicy cmdlet을 사용하여 액세스 정책을 삭제합니다.
예를 들어 리플렉션 기능 액세스 정책을 삭제하려면 먼저 액세스 정책에 대한 특정 UID를 가져와 서 Get-VivaModuleFeaturePolicy를 실행하여 가져올 수 있습니다. 그런 다음 아래의 cmdlet을 실행합니다.
Remove-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
문제 해결
Viva 앱 기능에 대한 액세스 정책을 만들거나 사용하는 데 문제가 있는 경우 정책을 설정하려는 기능이 기능 테이블에 나열되고 테넌트에서 사용할 수 있는지 확인합니다.
PowerShell cmdlet을 실행하는 동안 "요청자가 요청을 완료할 권한이 없습니다"라는 오류 메시지가 표시되면 특정 IP 주소를 차단하는 조건부 액세스 정책 집합이 있는 경우 검사. 그렇다면 해당 정책에서 IP 주소를 제거하거나 IP 주소를 허용 목록에 추가하는 새 정책을 만듭니다. What If 도구를 사용하여 조건부 액세스 Microsoft Entra조건부 액세스 문제 해결에 대해 자세히 알아봅니다.
Viva 액세스 정책의 작동 방식
- 사용자가 로그인하여 Viva 액세스하면 사용자에게 적용되는 정책이 있는지 확인하기 위해 검사 즉시 만들어집니다.
- 사용자가 정책에 직접 할당되거나 할당된 정책이 있는 Microsoft Entra 그룹 또는 Microsoft 365 그룹의 구성원인 경우 정책 설정이 적용됩니다.
- 사용자에게 정책이 직접 할당되지 않았거나 정책이 할당된 Microsoft Entra 그룹 또는 Microsoft 365 그룹의 구성원이 아닌 경우 전역 기본 정책이 적용됩니다. 전역 기본 정책이 없는 경우 기능에 대한 기본 사용 상태가 적용됩니다.
- 사용자에게 직접 또는 그룹으로 할당된 여러 정책이 있는 경우 가장 제한적인 정책이 적용됩니다. (모든 기능에는 사용자가 옵트아웃할 수 있는 기능이 포함되지는 않습니다.) 우선 순위는 다음과 같습니다.
- 기능을 사용할 수 없습니다.
- 기능을 사용할 수 있습니다.
- 기능을 사용하도록 설정하면 사용자가 옵트아웃할 수 있습니다.
- 사용자가 중첩된 그룹에 있고 부모 그룹에 액세스 정책을 적용하는 경우 중첩된 그룹의 사용자는 정책을 받습니다. 중첩된 그룹과 중첩된 그룹의 사용자는 에서 만들거나 Microsoft Entra ID 동기화해야 합니다.
- 액세스 정책 변경 내용은 특정 기능에 대해 달리 명시되지 않는 한 24시간 이내에 사용자에게 적용됩니다. Viva Engage Copilot의 변경에는 최대 48시간이 걸릴 수 있습니다.
- Microsoft Entra ID 또는 Microsoft 365 그룹에 사용자를 추가하거나 제거할 때 기능 액세스 변경 내용이 적용되기까지 24시간이 걸릴 수 있습니다.
- 관리자가 기능을 완전히 사용하거나 사용하지 않도록 설정하여 사용자가 옵트아웃할 수 있는 옵션을 제거하면 사용자의 옵트인/아웃 기본 설정이 유지되지 않으며 기본 상태로 다시 설정됩니다. 관리자가 사용자가 기능을 옵트아웃할 수 있도록 하는 옵션을 다시 사용하도록 설정하는 경우 사용자는 기능을 다시 옵트아웃하도록 선택해야 합니다.
- 변경 후 24시간 이내에 기능에 대한 사용 상태를 빠르게 변경해도 사용자 옵트인/아웃 기본 설정이 다시 설정되지 않을 수 있습니다.
- 정책 만들기, 업데이트 및 삭제 기록은 Microsoft Purview에서 organization 대한 Viva VFAM(기능 액세스 관리) 변경 로그를 참조하세요.
추가 정보 및 모범 사례
- 정책은 사용자별로 평가됩니다.
- 기능당 하나의 정책만 '모든 사람'에 할당할 수 있습니다. 이 정책은 organization 해당 기능에 대한 전역 기본 상태로 사용됩니다.
- 사용자 및 그룹 액세스를 관리하기 위해 Viva 새로운 기능 컨트롤을 사용할 수 있게 되면 Viva 기능 액세스 관리에 추가됩니다.
- Microsoft Entra ID 사용자 ID가 삭제되면 Viva 기능 액세스 관리에서 사용자 데이터가 삭제됩니다. 일시 삭제된 기간 동안 사용자 ID를 다시 사용하도록 설정한 경우 관리자는 사용자에게 정책을 다시 할당해야 합니다.
- Microsoft Entra ID 및 Microsoft 365의 그룹이 삭제되면 저장된 정책에서 삭제됩니다. 일시 삭제된 기간 동안 그룹을 다시 사용하도록 설정한 경우 관리자는 정책을 그룹에 다시 할당해야 합니다.