PowerShell을 사용하여 Viva 기능에 대한 액세스 제어
Viva 액세스 정책을 사용하여 PowerShell을 사용하여 Viva 앱의 특정 기능에 액세스할 수 있는 사용자를 관리할 수 있습니다. 기능 액세스 관리를 사용하면 테넌트에서 특정 그룹 또는 사용자에 대해 Viva 특정 기능을 사용하거나 사용하지 않도록 설정할 수 있으므로 로컬 규정 및 비즈니스 요구 사항에 맞게 배포를 조정합니다.
테넌트에서 권한 있는 관리자는 PowerShell에서 액세스 정책을 만들고, 할당하고, 관리할 수 있습니다. 사용자가 Viva 로그인하면 정책 설정이 적용되고 사용하지 않도록 설정되지 않은 기능만 표시됩니다.
중요
organization 활성 상태인 기능에 대한 여러 액세스 정책을 사용할 수 있습니다. 즉, 사용자 또는 그룹이 여러 정책의 영향을 받을 수 있습니다. 이 경우 사용자 또는 그룹에 직접 할당된 가장 제한적인 정책이 우선합니다. 자세한 내용은 Viva 액세스 정책의 작동 방식을 참조하세요.
요구 사항
Viva 액세스 정책을 만들려면 다음이 필요합니다.
- 지원되는 Microsoft 365 버전 또는 Viva Suite 라이선스
- Exchange Online PowerShell 버전 3.2.0 이상에 액세스합니다. 메일 사용이 불가능한 그룹을 사용해야 하는 경우 Exchange PowerShell 버전 3.5.1 이상에 액세스할 수 있어야 합니다.
- 에서 만들거나 Microsoft Entra ID 동기화된 사용자 계정
- Microsoft 365 그룹, Microsoft Entra ID 또는 메일 그룹에 생성되거나 동기화된 Microsoft Entra 보안 그룹.
- 특정 앱 및 기능에 필요한 역할입니다.
중요
이러한 기능은 GCC High 또는 DoD에서 아직 사용할 수 없습니다. GCC의 경우 가용성에 대한 특정 앱에 대한 설명서를 참조하세요.
Viva 기능에 대한 액세스 정책 만들기 및 관리
Microsoft 365 관리 센터 또는 PowerShell을 사용하여 정책을 만들 수 있는 권한이 있는 Viva 관리자가 정책을 만들고 관리할 수 있습니다. 정책 만들기 및 관리에 대한 모든 세부 정보를 가져옵니다.
기능에 대한 featureID 가져오기
액세스 정책을 만들기 전에 ModuleID 를 사용하여 액세스를 제어하려는 특정 기능에 대한 featureID 를 가져옵니다.
모듈 ID
| 앱 | ModuleID |
|---|---|
| 참여 | VivaEngage |
| Glint | VivaGlint |
| 목표 | VivaGoals |
| Insights | VivaInsights |
| 맥박 | VivaPulse |
| Skills | VivaSkills |
Get-VivaModuleFeature PowerShell cmdlet을 사용하여 특정 Viva 앱 및 관련 ID에서 사용할 수 있는 모든 기능 목록을 가져옵니다.
Exchange Online PowerShell 버전 3.2.0 이상을 설치합니다.
Install-Module -Name ExchangeOnlineManagement관리자 자격 증명을 사용하여 Exchange Online 연결합니다.
Connect-ExchangeOnline정책을 만드는 특정 기능에 필요한 역할로 인증을 완료합니다.
Get-VivaModuleFeature cmdlet을 실행하여 액세스 정책을 사용하여 관리할 수 있는 기능을 확인합니다.
예를 들어 Viva Insights 지원되는 기능을 확인하려면 다음 cmdlet을 실행합니다.
Get-VivaModuleFeature -ModuleId VivaInsights액세스 정책을 만들려는 기능을 찾아 해당 featureID를 기록해 둡다.
액세스 정책 생성
이제 featureID가 있으므로 Add-VivaModuleFeaturePolicy PowerShell cmdlet을 사용하여 기능에 대한 액세스 정책을 만듭니다.
사용자 및 그룹에 기능당 최대 10개의 정책을 할당할 수 있습니다. 각 정책은 최대 20명의 사용자 또는 그룹에 할당할 수 있습니다. -Everyone 매개 변수를 사용하여 기능당 하나의 추가 정책을 전체 테넌트에게 할당할 수 있습니다. 이 매개 변수는 organization 해당 기능에 대한 전역 기본 상태로 작동합니다.
Add-VivaModuleFeaturePolicy cmdlet을 실행하여 새 액세스 정책을 만듭니다.
참고
기능이 옵트아웃에 대한 사용자 컨트롤을 지원하는 경우 정책을 만들 때 IsUserControlEnabled 매개 변수를 설정해야 합니다. 그렇지 않은 경우 정책에 대한 사용자 컨트롤은 기능에 대한 기본 상태를 사용합니다.
예를 들어 다음을 실행하여 UsersAndGroups라는 액세스 정책을 만들어 Viva Insights 리플렉션 기능에 대한 액세스를 제한합니다.
Add-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -Name UsersAndGroups -IsFeatureEnabled $false -GroupIds group1@contoso.com,group2@contoso.com -UserIds user1@contoso.com,user2@contoso.com
다음은 Viva Insights 리플렉션 기능에 대한 정책을 추가하는 예제입니다. 정책은 지정된 사용자 및 그룹 구성원에 대한 기능을 사용하지 않도록 설정합니다. 모든 사용자에 대해 기능을 사용하지 않도록 설정하려면 -Everyone 매개 변수를 대신 사용합니다.
액세스 정책 관리
액세스 정책을 업데이트하여 기능 사용 여부를 변경하고 정책이 적용되는 사람(모든 사람, 사용자 또는 그룹)을 변경할 수 있습니다.
예를 들어 마지막 예제를 빌드하여 정책이 적용되는 사용자를 업데이트하려면 다음 cmdlet을 실행합니다.
Update-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -GroupIds group1@contoso.com,group2@contoso.com
정책을 만들 때와 마찬가지로 정책에서 사용자 컨트롤을 지원하는 경우 정책을 변경할 때 IsUserControlEnabled 매개 변수를 포함합니다.
중요
-UserIds 및 -GroupIds 매개 변수 또는 -Everyone 매개 변수에 대해 지정한 값은 기존 사용자 또는 그룹을 덮어씁니다. 기존 사용자 및 그룹을 유지하려면 기존 사용자 또는 그룹 및 추가하려는 추가 사용자 또는 그룹을 지정해야 합니다. 명령에 기존 사용자 또는 그룹을 포함하지 않는 것은 정책에서 해당 특정 사용자 또는 그룹을 효과적으로 제거합니다. 기능에 대한 전체 테넌트 정책이 이미 있는 경우 특정 사용자 또는 그룹에 대한 정책을 업데이트하여 전체 테넌트만 포함할 수 없습니다. 테넌트 전체 정책이 하나만 지원됩니다.
특정 사용자 또는 그룹에 대해 사용하지 않도록 설정된 기능을 검사 Get-VivaModuleFeatureEnablement cmdlet을 실행합니다. 이 cmdlet은 사용자 또는 그룹에 대한 사용 상태 호출되는 것을 반환합니다.
예시:
Get-VivaModuleFeatureEnablement -ModuleId VivaInsights -FeatureId Reflection -Identity user@contoso.com
액세스 정책 삭제
Remove-VivaModuleFeaturePolicy cmdlet을 사용하여 액세스 정책을 삭제합니다.
예를 들어 리플렉션 기능 액세스 정책을 삭제하려면 먼저 액세스 정책에 대한 특정 UID를 가져와 서 Get-VivaModuleFeaturePolicy를 실행하여 가져올 수 있습니다. 그런 다음 아래의 cmdlet을 실행합니다.
Remove-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
문제 해결
- Viva 앱 기능에 대한 액세스 정책을 만들거나 사용하는 데 문제가 있는 경우 정책을 설정하려는 기능이 기능 테이블에 나열되고 테넌트에서 사용할 수 있는지 확인합니다.
- PowerShell cmdlet을 실행하는 동안 "요청자가 요청을 완료할 권한이 없습니다"라는 오류 메시지가 표시되면 특정 IP 주소를 차단하는 조건부 액세스 정책 집합이 있는 경우 검사. 그렇다면 해당 정책에서 IP 주소를 제거하거나 IP 주소를 허용 목록에 추가하는 새 정책을 만듭니다. What If 도구를 사용하여 조건부 액세스 Microsoft Entra조건부 액세스 문제 해결에 대해 자세히 알아봅니다.
추가 리소스
Microsoft 365 관리 센터 사용하여 Microsoft Viva 기능에 액세스할 수 있는 사용자 제어