사서함 감사 관리

  • 아티클
  • 읽는 데 18분 걸림

Microsoft는 2019년 1월부터 모든 조직에 대해 기본적으로 사서함 감사 로깅을 켜고 있습니다. 즉, 사서함 소유자, 대리인 및 관리자가 수행한 특정 작업이 자동으로 기록되고 사서함 감사 로그에서 해당 사서함 감사 레코드를 검색할 때 해당 사서함 감사 레코드를 사용할 수 있습니다. 사서함 감사를 기본적으로 설정하기 전에 조직의 모든 사용자 사서함에 대해 수동으로 사용하도록 설정해야 했습니다.

기본적으로 사서함 감사의 몇 가지 이점은 다음과 같습니다.

  • 새 사서함을 만들 때 감사가 자동으로 활성화됩니다. 새 사용자에 대해 수동으로 사용하도록 설정할 필요가 없습니다.
  • 감사되는 사서함 작업을 관리할 필요가 없습니다. 미리 정의된 사서함 작업 집합은 각 로그온 유형(관리, 대리자 및 소유자)에 대해 기본적으로 감사됩니다.
  • Microsoft에서 새 사서함 작업을 릴리스하면 기본적으로 감사되는 사서함 작업 목록에 작업이 자동으로 추가될 수 있습니다(적절한 라이선스가 있는 사용자에 따라 다됨). 즉, 사서함에 대한 새 작업 추가를 모니터링할 필요가 없습니다.
  • 조직 전체에 일관된 사서함 감사 정책이 있습니다(모든 사서함에 대해 동일한 작업을 감사하기 때문).

참고

  • 기본적으로 사서함 감사 릴리스에 대해 기억해야 할 중요한 점은 사서함 감사를 관리하기 위해 아무 작업도 수행할 필요가 없다는 것입니다. 그러나 자세한 내용을 알아보려면 기본 설정에서 사서함 감사를 사용자 지정하거나 모두 해제하면 이 문서를 통해 도움이 될 수 있습니다.
  • 기본적으로 E5 사용자에 대한 사서함 감사 이벤트만 Microsoft Purview 규정 준수 포털 감사 로그 검색 또는 Office 365 관리 활동 API를 통해 사용할 수 있습니다. 자세한 내용은 이 문서의 추가 정보 섹션을 참조하세요.

사서함 감사 기본 사용이 켜져 있는지 확인

조직에 대해 기본적으로 사서함 감사가 켜져 있는지 확인하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Get-OrganizationConfig | Format-List AuditDisabled

False 값은 조직에 대해 기본적으로 사서함 감사를 사용하도록 설정되어 있음을 나타냅니다. 기본적으로 조직 값은 특정 사서함의 사서함 감사 설정을 재정의합니다. 예를 들어 사서함에 대해 사서함 감사를 사용할 수 없는 경우(사서함의 AuditEnabled 속성이 False 임) 사서함에 대한 기본 사서함 작업은 조직에 대해 기본적으로 사서함 감사를 사용하도록 설정되므로 계속 감사됩니다.

특정 사서함에 대해 사서함 감사를 사용하지 않도록 설정하려면 사서함 소유자 및 사서함에 대한 액세스 권한이 위임된 다른 사용자에 대한 사서함 감사 바이패스를 구성합니다. 자세한 내용은 이 문서의 뒷부분에 있는 사서함 감사 로깅 바이패스 섹션을 참조하세요.

참고

조직에 대해 기본적으로 사서함 감사를 켜면 영향을 받는 사서함에 대한 AuditEnabled 속성이 False 에서 True 로 변경되지 않습니다. 즉, 기본적으로 사서함 감사는 사서함의 AuditEnabled 속성을 무시합니다.

지원되는 사서함 유형

다음 표에서는 기본적으로 사서함 감사에서 현재 지원되는 사서함 유형을 보여줍니다.

사서함 유형 지원됨
사용자 사서함 확인 표시입니다.
공유 사서함 확인 표시입니다.
Microsoft 365 그룹 사서함 확인 표시입니다.
리소스 사서함
공용 폴더 사서함

로그온 유형 및 사서함 작업

로그온 유형은 사서함에서 감사된 작업을 수행한 사용자를 분류합니다. 다음 목록에서는 사서함 감사 로깅에 사용되는 로그온 유형에 대해 설명합니다.

  • 소유자: 사서함 소유자(사서함과 연결된 계정)입니다.
  • 대리자:
    • 다른 사서함에 SendAs, SendOnBehalf 또는 FullAccess 권한이 할당된 사용자입니다.
    • 사용자의 사서함에 FullAccess 권한이 할당된 관리자입니다.
  • 관리:
    • 사서함은 다음 Microsoft eDiscovery 도구 중 하나를 사용하여 검색됩니다.
      • 규정 준수 센터의 콘텐츠 검색입니다.
      • 규정 준수 센터의 eDiscovery 또는 eDiscovery(프리미엄)
      • Exchange Online eDiscovery를 In-Place.
    • Microsoft Exchange Server MAPI 편집기를 사용하여 사서함에 액세스합니다.

사용자 사서함 및 공유 사서함에 대한 사서함 작업

다음 표에서는 사용자 사서함 및 공유 사서함에 대한 사서함 감사 로깅에서 사용할 수 있는 사서함 작업에 대해 설명합니다.

  • 확인 표시(확인 표시입니다.) 로그온 유형에 대해 사서함 작업을 기록할 수 있음을 나타냅니다(모든 로그온 유형에 대해 모든 작업을 사용할 수 있는 것은 아님).
  • 확인 표시 뒤의 별표( * )는 로그온 유형에 대해 사서함 작업이 기본적으로 기록됨을 나타냅니다.
  • 사서함에 대한 모든 권한이 있는 관리자는 대리인으로 간주됩니다.
사서함 작업 설명 관리자 대리인 소유자
AddFolderPermissions 이 값은 사서함 작업으로 허용되지만 UpdateFolderPermissions 작업에 이미 포함되어 있으며 별도로 감사되지는 않습니다. 즉, 이 값을 사용하지 마세요.
ApplyRecord 항목은 레코드로 레이블이 지정됩니다. 확인 표시입니다.* 확인 표시입니다.* 확인 표시입니다.*
복사 메시지가 다른 폴더에 복사되었습니다. 확인 표시입니다.
만들기 사서함의 일정, 연락처, 초안, 메모 또는 작업 폴더에 항목이 만들어졌습니다(예: 새 모임 요청이 생성됨). 메시지 작성, 보내기 또는 받기는 감사되지 않습니다. 사서함 폴더 만들기도 감사되지 않습니다. 확인 표시입니다.* 확인 표시입니다.* 확인 표시입니다.
FolderBind 사서함 폴더에 액세스했습니다. 관리자 또는 대리인이 사서함을 열 때에도 작업이 기록됩니다.

참고: 대리자가 수행하는 폴더 바인딩 작업에 대한 감사 레코드가 통합됩니다. 24시간 내에 개별 폴더 액세스에 대해 하나의 감사 레코드가 생성됩니다.		 확인 표시입니다. 확인 표시입니다.
HardDelete 메시지가 복구 가능한 항목 폴더에서 제거되었습니다. 확인 표시입니다.* 확인 표시입니다.* 확인 표시입니다.*
MailboxLogin 사용자가 사서함에 로그인했습니다. 확인 표시
MailItemsAccessed 참고: 이 값은 E5/A5/G5 라이선스가 있는 사용자만 사용할 수 있습니다. 자세한 내용은 Microsoft Purview 감사 설정(프리미엄)을 참조하세요.

메일 데이터는 메일 프로토콜 및 클라이언트에서 액세스합니다.		 확인 표시입니다.* 확인 표시입니다.* 확인 표시*
MessageBind 참고: 이 값은 E5/A5/G5 라이선스 가 없는 사용자만 사용할 수 있습니다.

미리 보기 창에서 메시지를 보거나 관리자가 열었습니다.		 확인 표시
ModifyFolderPermissions 이 값은 사서함 작업으로 허용되지만 UpdateFolderPermissions 작업에 이미 포함되어 있으며 별도로 감사되지는 않습니다. 즉, 이 값을 사용하지 마세요.
이동 메시지가 다른 폴더로 이동했습니다. 확인 표시입니다. 확인 표시 확인 표시
MoveToDeletedItems 메시지가 삭제되어 지운 편지함 폴더로 이동되었습니다. 확인 표시입니다.* 확인 표시입니다.* 확인 표시*
RecordDelete 레코드로 레이블이 지정된 항목이 일시 삭제되었습니다(복구 가능한 항목 폴더로 이동). 레코드로 레이블이 지정된 항목은 영구적으로 삭제할 수 없습니다(복구 가능한 항목 폴더에서 제거됨). 확인 표시입니다. 확인 표시 확인 표시
RemoveFolderPermissions 이 값은 사서함 작업으로 허용되지만 UpdateFolderPermissions 작업에 이미 포함되어 있으며 별도로 감사되지는 않습니다. 즉, 이 값을 사용하지 마세요.
SearchQueryInitiated 참고: 이 값은 E5/A5/G5 라이선스가 있는 사용자만 사용할 수 있습니다. 자세한 내용은 Microsoft Purview 감사 설정(프리미엄)을 참조하세요.

사용자는 Outlook(Windows, Mac, iOS, Android 또는 웹용 Outlook) 또는 메일 앱을 사용하여 Windows 10 사서함에서 항목을 검색합니다.		 확인 표시
보내기 참고: 이 값은 E5/A5/G5 라이선스가 있는 사용자만 사용할 수 있습니다. 자세한 내용은 Microsoft Purview 감사 설정(프리미엄)을 참조하세요.

사용자가 전자 메일 메시지를 보내거나, 전자 메일 메시지에 회신하거나, 전자 메일 메시지를 전달합니다.		 확인 표시입니다.* 확인 표시*
SendAs 메시지가 SendAs 권한을 사용하여 전송되었습니다. 즉 사서함 소유자가 보낸 것처럼 보이도록 하여 다른 사용자가 메시지를 보냈습니다. 확인 표시입니다.* 확인 표시*
SendOnBehalf 메시지가 SendOnBehalf 권한을 사용하여 전송되었습니다. 즉 다른 사용자가 사서함 소유자 대신에 메시지를 보냈습니다. 받는 사람은 메시지를 대신 보낸 사용자와 해당 메시지를 실제로 보낸 사용자를 메시지에서 확인할 수 있습니다. 확인 표시입니다.* 확인 표시*
SoftDelete 메시지가 지운 편지함 폴더에서 삭제되어가 영구적으로 삭제되었습니다. 소프트 삭제된 항목이 복구 가능한 항목 폴더로 이동됩니다. 확인 표시입니다.* 확인 표시입니다.* 확인 표시*
업데이트 메시지 또는 해당 속성이 변경되었습니다. 확인 표시입니다.* 확인 표시입니다.* 확인 표시*
UpdateCalendarDelegation 일정 위임이 사서함에 할당되었습니다. 일정 위임 기능을 사용하여 같은 조직의 다른 사용자가 사서함 소유자의 일정을 관리할 수 있습니다. 확인 표시입니다.* 확인 표시*
UpdateFolderPermissions 폴더 권한이 변경되었습니다. 폴더 사용 권한은 사서함의 폴더와 해당 폴더에 있는 메시지에 액세스할 수 있는 조직의 사용자를 제어합니다. 확인 표시입니다.* 확인 표시입니다.* 확인 표시*
UpdateInboxRules 받은 편지함 규칙이 추가, 제거 또는 변경되었습니다. 받은 편지함 규칙은 지정된 조건에 따라 사용자의 받은 편지함에서 메시지를 처리하고 지정된 폴더로 메시지를 이동하거나 메시지를 삭제하는 등 규칙 조건이 충족될 때 작업을 수행하는 데 사용됩니다. 확인 표시입니다.* 확인 표시* 확인 표시*

중요

조직에서 기본적으로 사서함 감사를 사용하도록 설정 하기 전에 로그온 유형에 대해 감사하도록 사서함 작업을 사용자 지정한 경우 사용자 지정된 설정은 사서함에 유지되며 이 섹션에 설명된 대로 기본 사서함 작업으로 덮어쓰지 않습니다. 감사 사서함 작업을 기본값(언제든지 수행할 수 있음)으로 되돌리려면 이 문서의 뒷부 분에 있는 기본 사서함 작업 복원 섹션을 참조하세요.

Microsoft 365 그룹 사서함에 대한 사서함 작업

기본적으로 사서함 감사는 Microsoft 365 그룹 사서함에 사서함 감사 로깅을 제공하지만 기록되는 항목을 사용자 지정할 수 없습니다(로그온 유형에 대해 기록된 사서함 작업을 추가하거나 제거할 수 없음).

다음 표에서는 각 로그온 유형에 대한 Microsoft 365 그룹 사서함에 기본적으로 기록되는 사서함 작업에 대해 설명합니다.

Microsoft 365 그룹 사서함에 대한 모든 권한이 있는 관리자는 대리인으로 간주됩니다.

사서함 작업 설명 관리자 대리인 소유자
만들기 일정 항목 만들기 메시지 작성, 보내기 또는 받기는 감사되지 않습니다. 확인 표시* 확인 표시*
HardDelete 메시지가 복구 가능한 항목 폴더에서 제거되었습니다. 확인 표시입니다.* 확인 표시* 확인 표시*
MoveToDeletedItems 메시지가 삭제되어 지운 편지함 폴더로 이동되었습니다. 확인 표시입니다.* 확인 표시* 확인 표시*
SendAs SendAs 권한을 사용하여 메시지가 전송되었습니다. 확인 표시* 확인 표시*
SendOnBehalf SendOnBehalf 권한을 사용하여 메시지가 전송되었습니다. 확인 표시* 확인 표시*
SoftDelete 메시지가 지운 편지함 폴더에서 삭제되어가 영구적으로 삭제되었습니다. 소프트 삭제된 항목이 복구 가능한 항목 폴더로 이동됩니다. 확인 표시입니다.* 확인 표시* 확인 표시*
업데이트 메시지 또는 해당 속성이 변경되었습니다. 확인 표시입니다.* 확인 표시* 확인 표시*

각 로그온 유형에 대해 기본 사서함 작업이 기록되고 있는지 확인합니다.

기본적으로 사서함 감사는 모든 사서함에 새 DefaultAuditSet 속성을 추가합니다. 이 속성의 값은 기본 사서함 작업(Microsoft에서 관리됨)이 사서함에서 감사되는지 여부를 나타냅니다.

사용자 사서함 또는 공유 사서함 <MailboxIdentity> 에 값을 표시하려면 사서함의 이름, 별칭, 전자 메일 주소 또는 사용자 계정 이름(사용자 이름)으로 바꾸고 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

Microsoft 365 그룹 사서함에 값을 표시하려면 공유 사서함 <MailboxIdentity> 의 이름, 별칭 또는 전자 메일 주소로 바꾸고 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

Admin, Delegate, Owner 은 다음을 나타냅니다.

  • 세 가지 로그온 유형 모두에 대한 기본 사서함 작업이 감사되고 있습니다. Microsoft 365 그룹 사서함에 표시되는 유일한 값입니다.
  • 관리자가 사용자 사서함 또는 공유 사서함의 로그온 유형에 대해 감사된 사서함 작업을 변경하지 않았습니다 . 기본적으로 조직에서 사서함 감사가 처음 켜진 후의 기본 상태입니다.

관리자가 로그온 형식에 대해 감사되는 사서함 작업을 변경한 경우(Set-Mailbox cmdlet에서 AuditAdmin, AuditDelegate 또는 AuditOwner 매개 변수 사용) 속성 값이 달라집니다.

예를 들어 사용자 사서함 또는 공유 사서함의 DefaultAuditSet 속성 값 Owner 은 다음을 나타냅니다.

  • 사서함 소유자에 대한 기본 사서함 작업이 감사되고 있습니다.
  • Admin 로그온 유형에 Delegate 대한 감사된 사서함 작업이 기본 작업에서 변경되었습니다.

DefaultAuditSet 속성의 빈 값은 세 가지 로그온 유형 모두에 대한 사서함 작업이 사용자 사서함 또는 공유 사서함에서 변경되었음을 나타냅니다.

자세한 내용은 이 문서의 기본 섹션에 기록된 사서함 작업 변경 또는 복원 을 참조하세요.

사서함에 로그온 중인 사서함 작업 표시

현재 사용자 사서함 또는 공유 사서함 <MailboxIdentity> 에 로그온 중인 사서함 작업을 보려면 사서함의 이름, 별칭, 전자 메일 주소 또는 사용자 계정 이름(사용자 이름)으로 바꾸고 Exchange Online PowerShell에서 다음 명령 중 하나 이상을 실행합니다.

참고

Microsoft 365 그룹 사서함에 대한 다음 Get-Mailbox 명령에 스위치를 추가할 -GroupMailbox 수 있지만 반환되는 값은 믿지 않습니다. Microsoft 365 그룹 사서함에 대해 감사되는 기본 및 정적 사서함 작업은 이 문서의 앞부분에 있는 Microsoft 365 그룹 사서함에 대한 사서함 작업 섹션에 설명되어 있습니다.

소유자 작업

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

대리자 작업

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

관리 작업

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

기본적으로 기록된 사서함 작업 변경 또는 복원

앞에서 설명한 것처럼 기본적으로 사서함 감사를 수행할 때의 주요 이점 중 하나는 감사되는 사서함 작업을 관리할 필요가 없다는 것입니다. Microsoft는 사용자를 위해 이 작업을 수행하며, 새 사서함 작업이 릴리스될 때 기본적으로 감사할 새 사서함 작업을 자동으로 추가합니다.

그러나 조직에서는 사용자 사서함 및 공유 사서함에 대한 다른 사서함 작업 집합을 감사해야 할 수 있습니다. 이 섹션의 절차에서는 각 로그온 유형에 대해 감사되는 사서함 작업을 변경하는 방법과 Microsoft에서 관리하는 기본 작업으로 되돌리는 방법을 보여 줍니다.

중요

다음 절차를 사용하여 사용자 사서함 또는 공유 사서함에 로그온된 사서함 작업을 사용자 지정하는 경우 Microsoft에서 릴리스한 모든 새 기본 사서함 작업은 해당 사서함에 대해 자동으로 감사되지 않습니다. 사용자 지정된 작업 목록에 새 사서함 작업을 수동으로 추가해야 합니다.

감사할 사서함 작업 변경

Set-Mailbox cmdlet에서 AuditAdmin, AuditDelegate 또는 AuditOwner 매개 변수를 사용하여 사용자 사서함 및 공유 사서함에 대해 감사되는 사서함 작업을 변경할 수 있습니다(Microsoft 365 그룹 사서함에 대한 감사된 작업은 사용자 지정할 수 없음).

두 가지 방법을 사용하여 사서함 작업을 지정할 수 있습니다.

  • 다음 구문을 action1,action2,...actionN사용하여 기존 사서함 작업을 바꿉 니다(덮어쓰기).
  • 다음 구문을 @{Add="action1","action2",..."actionN"} 사용하여 다른 기존 값에 영향을 주지 않고 사서함 작업을 추가하거나 제거 합니다@{Remove="action1","action2",..."actionN"}.

다음은 SoftDelete 및 HardDelete를 사용하여 기본 작업을 덮어쓰어 "Gabriela Laureano"라는 사서함의 관리자 사서함 작업을 변경하는 예제입니다.

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

다음은 MailboxLogin 소유자 작업을 사서함 laura@contoso.onmicrosoft.com 추가하는 예제입니다.

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

다음은 팀 토론 사서함에 대한 MoveToDeletedItems 대리자 작업을 제거하는 예제입니다.

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

사용하는 방법에 관계없이 사용자 사서함 또는 공유 사서함에서 감사된 사서함 작업을 사용자 지정하면 다음과 같은 결과가 발생합니다.

  • 사용자 지정한 로그온 유형의 경우 감사된 사서함 작업은 더 이상 Microsoft에서 관리되지 않습니다.
  • 사용자 지정한 로그온 유형은 이전에 설명한 대로 사서함의 DefaultAuditSet 속성 값에 더 이상 표시되지 않습니다.

기본 사서함 작업 복원

참고

다음 절차는 Microsoft 365 그룹 사서함에 적용되지 않습니다( 여기에 설명된 대로 기본 작업으로 제한됨).

사용자 사서함 또는 공유 사서함에서 감사되는 사서함 작업을 사용자 지정한 경우 다음 구문을 사용하여 하나 또는 모든 로그온 유형에 대한 기본 사서함 작업을 복원할 수 있습니다.

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

여러 DefaultAuditSet 값을 쉼표로 구분하여 지정할 수 있습니다.

다음은 사서함 mark@contoso.onmicrosoft.com 모든 로그온 유형에 대해 감사된 기본 사서함 작업을 복원하는 예제입니다.

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

다음은 사서함 chris@contoso.onmicrosoft.com 관리 로그온 형식에 대한 기본 감사 사서함 작업을 복원하지만 대리인 및 소유자 로그온 유형에 대해 사용자 지정된 감사 사서함 작업을 남기는 예제입니다.

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

로그온 유형에 대해 감사된 사서함 작업을 기본으로 복원하면 다음과 같은 결과가 발생합니다.

  • 현재 사서함 작업 목록은 로그온 유형에 대한 기본 사서함 작업으로 대체됩니다.
  • Microsoft에서 릴리스된 모든 새 사서함 작업은 로그온 유형에 대한 감사된 작업 목록에 자동으로 추가됩니다.
  • 사서함의 DefaultAuditSet 속성 값이 복원된 로그온 유형을 포함하도록 업데이트됩니다.

조직에 대해 기본적으로 사서함 감사 끄기

Exchange Online PowerShell에서 다음 명령을 실행하여 조직 전체에 대해 기본적으로 사서함 감사를 해제할 수 있습니다.

Set-OrganizationConfig -AuditDisabled $true

기본적으로 사서함 감사를 해제하면 다음과 같은 결과가 발생합니다.

  • 조직에서 사서함 감사를 사용할 수 없습니다.
  • 사서함 감사를 사용하지 않도록 설정한 시점부터 사서함에서 감사를 사용하도록 설정한 경우에도 사서함 작업이 감사되지 않습니다(사서함의 AuditEnabled 속성은 True 임).
  • 새 사서함에 대해 사서함 감사를 사용할 수 없으며 새 사서함 또는 기존 사서함의 AuditEnabled 속성을 True 로 설정하면 무시됩니다.
  • 모든 사서함 감사 바이패스 연결 설정( Set-MailboxAuditBypassAssociation cmdlet을 사용하여 구성됨)은 무시됩니다.
  • 기존 사서함 감사 레코드는 레코드의 감사 로그 사용 기간 제한이 만료될 때까지 유지됩니다.

기본적으로 사서함 감사 켜기

조직에 대해 사서함 감사를 다시 켜려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Set-OrganizationConfig -AuditDisabled $false

사서함 감사 로깅 우회

현재 조직의 사서함 감사 기본 사용이 켜져 있으면 특정 사서함에 대한 사서함 감사를 사용하지 않도록 설정할 수 없습니다. 예를 들어 AuditEnabled 사서함 속성을 False 로 설정하면 무시됩니다.

그러나 Exchange Online PowerShell에서 Set-MailboxAuditBypassAssociation cmdlet을 사용하여 작업이 발생하는 위치에 관계없이 지정된 사용자의 모든 사서함 작업이 기록되지 않도록 할 수 있습니다. 예시:

  • 바이패스된 사용자가 수행한 사서함 소유자 작업은 기록되지 않습니다.
  • 다른 사용자의 사서함(공유 사서함 포함)에서 바이패스된 사용자가 수행한 대리자 작업은 기록되지 않습니다.
  • 바이패스된 사용자가 수행한 관리 작업은 기록되지 않습니다.

특정 사용자에 대한 사서함 감사 로깅을 우회하려면 <MailboxIdentity>를 사용자의 이름, 전자 메일 주소, 별칭 또는 사용자 계정 이름(사용자 이름)으로 바꾸고 다음 명령을 실행합니다.

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

지정된 사용자에 대해 감사가 우회되었는지 확인하려면 다음 명령을 실행합니다.

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

True 값은 사서함 감사 로깅이 사용자에 대해 무시됨을 나타냅니다.

추가 정보

  • 모든 조직에 대해 기본적으로 사서함 감사 로그온이 사용하도록 설정되어 있지만 E5 라이선스가 있는 사용자만 기본적으로 Microsoft Purview 규정 준수 포털 또는 Office 365 관리 활동 API를 통해 감사 로그 검색에서 사서함 감사 로그 이벤트를 반환합니다.

    E5/A5/G5 라이선스가 없는 사용자의 사서함 감사 로그 항목을 검색하려면 다음 해결 방법 중 하나라도 사용할 수 있습니다.

    • 개별 사서함에서 사서함 감사를 수동으로 사용하도록 설정합니다(명령 실행, Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true). 이렇게 한 후 Microsoft Purview 규정 준수 포털 또는 Office 365 관리 활동 API를 통해 감사 로그 검색을 사용할 수 있습니다.

      참고

      사서함 감사가 사서함에서 이미 활성화된 것으로 표시되지만 검색에서 결과가 반환되지 않는 경우 AuditEnabled 매개 변수 $false 의 값을 변경한 다음 다시 으로 변경 $true합니다.

    • Exchange Online PowerShell에서 다음 cmdlet을 사용합니다.

      • MailboxAuditLog를 검색 하여 특정 사용자에 대한 사서함 감사 로그를 검색합니다.
      • New-MailboxAuditLogSearch 는 특정 사용자에 대한 사서함 감사 로그를 검색하고 지정된 받는 사람에게 전자 메일을 통해 결과를 보내도록 합니다.

    • Exchange Online EAC(Exchange 관리 센터)를 사용하여 다음 작업을 수행합니다.

  • 기본적으로 사서함 감사 로그 레코드는 삭제되기 전에 90일 동안 보존됩니다. Exchange Online PowerShell의 Set-Mailbox cmdlet에서 AuditLogAgeLimit 매개 변수를 사용하여 감사 로그 레코드의 연령 제한을 변경할 수 있습니다. 그러나 이 값을 늘리면 감사 로그에서 90일보다 오래된 이벤트를 검색할 수 없습니다.

    연령 제한을 늘리면 Exchange Online PowerShell에서 Search-MailboxAuditLog cmdlet을 사용하여 사용자의 사서함 감사 로그에서 90일보다 오래된 레코드를 검색해야 합니다.

  • 기본적으로 조직에 대해 사서함 감사를 켜기 전에 사서함의 AuditLogAgeLimit 속성을 변경한 경우 사서함의 기존 감사 로그 기간 제한은 변경되지 않습니다. 즉, 기본적으로 사서함 감사는 사서함 감사 레코드의 현재 연령 제한에 영향을 주지 않습니다.

  • Microsoft 365 그룹 사서함에서 AuditLogAgeLimit 값을 변경하려면 Set-Mailbox 명령에 스위치를 포함 -GroupMailbox 해야 합니다.

  • 사서함 감사 로그 레코드는 각 사용자의 사서함에 있는 복구 가능한 항목 폴더의 하위 폴더( 명명된 감사)에 저장됩니다. 사서함 감사 레코드 및 복구 가능한 항목 폴더에 대해 다음 사항에 유의하세요.

    • 사서함 감사 레코드는 복구 가능한 항목 폴더의 스토리지 할당량(기본적으로 30GB)에 대한 개수입니다(경고 할당량은 20GB). 다음과 같은 경우 스토리지 할당량이 자동으로 100GB(90GB 경고 할당량 포함)로 증가합니다.

      • 사서함에 보류가 배치됩니다.
      • 사서함은 규정 준수 센터의 보존 정책에 할당됩니다.

    • 사서함 감사 레코드는 복구 가능한 항목 폴더의 폴더 제한에 대해서도 계산됩니다. 감사 하위 폴더에 최대 3백만 개의 항목(감사 레코드)을 저장할 수 있습니다.

      참고

      기본적으로 사서함 감사는 복구 가능한 항목 폴더의 스토리지 할당량 또는 폴더 제한에 영향을 주지 않을 수 있습니다.

      • Exchange Online PowerShell에서 다음 명령을 실행하여 복구 가능한 항목 폴더의 Audits 하위 폴더에 있는 항목의 크기와 수를 표시할 수 있습니다.

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder

      • 복구 가능한 항목 폴더의 감사 로그 레코드에 직접 액세스할 수 없습니다. 대신 Search-MailboxAuditLog cmdlet을 사용하거나 감사 로그를 검색하여 사서함 감사 레코드를 찾아 봅니다.

  • 사서함이 보류 중이거나 규정 준수 센터의 보존 정책에 할당된 경우 감사 로그 레코드는 사서함의 AuditLogAgeLimit 속성에 정의된 기간 동안 유지됩니다(기본적으로 90일). 보류 중인 사서함에 대해 감사 로그 레코드를 더 오래 유지하려면 사서함의 AuditLogAgeLimit 값을 늘려야 합니다.

  • 다중 지리적 환경에서는 지역 횡단 사서함 감사가 지원되지 않습니다. 예를 들어 사용자가 다른 지리적 위치에서 공유 사서함에 액세스할 수 있는 권한을 할당받더라도 그 사용자가 수행한 사서함 작업이 공유 사서함의 사서함 감사 로그에 기록되지 않습니다. Exchange 관리자 감사 이벤트는 현재 기본 위치에만 사용할 수 있습니다.