Exchange Online Powershell을 사용하여 앱 전용 인증에 특정 Exchange 역할 할당

tag-icon tag-icon powershell azure microsoft-office-365 exchangeonline rbac
Exchange Online Powershell을 사용하여 앱 전용 인증에 특정 Exchange 역할 할당

무인 연결을 통해 ExchangeOnline Powershell 모듈에서 다음 cmdlet을 사용해야 합니다.

  • Get-QuarantineMessage
  • 미리보기-격리 메시지
  • 릴리스 격리 메시지
  • 내보내기-검역 메시지

  1. 이 첫 번째 문서에 이어https://learn.microsoft.com/en-us/powershell/exchange/app-only-auth-powershell-v2?view=exchange-ps, 자체 서명된 인증서를 사용하여 Azure 앱 등록을 만들고 "Exchange.ManageAsApp" API 권한을 할당한 다음 동의를 부여했습니다.

  2. 그런 다음 Azure 보안 그룹을 만들고 내 애플리케이션을 이 그룹의 구성원으로 추가했습니다.

  3. 그런 다음 이 문서에 따라 Microsoft 365 Defender 포털에서 사용자 지정 역할을 만들었습니다. https://learn.microsoft.com/en-us/defender-for-identity/role-groups

  4. 이 역할에서는 다음과 같은 사용자 정의 권한을 추가했습니다.

  • 이메일 격리(관리)
  • 이메일 고급 작업(관리) 및 읽기 전용원시 데이터(이메일 및 협업)
  1. 그리고 물론 2단계에서 생성된 그룹을 이 새 역할에 할당했습니다.

이 모든 기능을 통해 처음 2개의 cmdlet을 아무 문제 없이 사용할 수 있지만내보내기-검역 메시지그리고릴리스 격리 메시지.

해당 명령을 통해 이 cmdlet에 필요한 권한을 나열할 수 있습니다.https://learn.microsoft.com/en-us/powershell/exchange/find-exchange-cmdlet-permissions?view=exchange-ps)

PS > $Perms = Get-ManagementRole -Cmdlet Export-QuarantineMessage
PS > $Perms | foreach {Get-ManagementRoleAssignment -Role $_.Name -Delegating $false | Format-Table -Auto Role,RoleAssigneeType,RoleAssigneeName}

Role           RoleAssigneeType RoleAssigneeName
----           ---------------- ----------------
Security Admin RoleGroup        Organization Management
Security Admin RoleGroup        SecurityAdmins_782500194



Role              RoleAssigneeType RoleAssigneeName
----              ---------------- ----------------
Transport Hygiene RoleGroup        Hygiene Management
Transport Hygiene RoleGroup        Organization Management

나는 이 마지막 명령을 시도했습니다.

PS > Add-RoleGroupMember "Hygiene Management" -Member <name of the application created at step 1>

다음을 실행하면 내 애플리케이션 멤버를 볼 수 있습니다.

PS > Get-RoleGroupMember "Hygiene Management"

하지만 아직은 액세스할 수 없습니다.내보내기-검역 메시지그리고릴리스 격리 메시지cmdlet.

업데이트

나는 다음을 시도한다https://learn.microsoft.com/en-us/powershell/exchange/app-only-auth-powershell-v2?view=exchange-ps#sign-custom-exchange-online-role-groups-to-the- 애플리케이션 사용 서비스 주체

  1. "운송 위생" + "보안 관리자"를 사용하여 사용자 정의 Exchange 역할 생성

  2. PS > $AadApp = Get-AzureADServicePrincipal -SearchString ""

    PS > New-ServicePrincipal -AppId $AadApp.AppId -ServiceId $AadApp.ObjectId -DisplayName "내 앱의 ServicePrincipal"

    PS > $SP = Get-ServicePrincipal -Identity "내 앱의 ServicePrincipal"

    PS > Add-RoleGroupMember -Identity "<1단계에서 생성된 역할>" -Member $SP.Identity

행운이 없습니다.

업데이트 내 사용자 지정 Exchange 역할 변경: -사서함 가져오기 내보내기 -사서함 검색 -MailboxSearchApplication -메시지 추적 -전송 위생 -보기 전용 구성 -보기 전용 수신자가 작동하는 것 같습니다. 이것이 Microsoft 측에서 복제하는 데 시간이 걸리는 또 다른 변경 사항이 아닌지 확인하기 위해 주말을 보내겠습니다.

관련 정보