eDiscovery에서 규정 준수 경계 설정

규정 준수 경계는 eDiscovery 관리자가 검색할 수 있는 사용자 콘텐츠 위치(예: 사서함, OneDrive 계정 및 SharePoint 사이트)를 제어하는 조직 내에서 논리적 경계를 만듭니다. 또한 규정 준수 경계는 organization 내에서 법적, 인적 자원 또는 기타 조사를 관리하는 데 사용되는 eDiscovery 사례에 액세스할 수 있는 사용자를 제어합니다.

지리적 국경과 규정을 준수해야 하는 다국적 기업과 서로 다른 기관으로 나뉘어 있는 정부에 대한 규정 준수 경계가 필요한 경우가 많습니다. Microsoft 365에서 규정 준수 경계는 eDiscovery 사례를 사용하여 콘텐츠 검색을 수행하고 조사를 관리할 때 이러한 요구 사항을 충족하는 데 도움이 됩니다.

시나리오 예제

다음 그림에서는 규정 준수 경계의 작동 방식을 보여 줍니다.

이 예제에서 Contoso LTD는 두 자회사인 Fourth Coffee와 Coho Winery로 구성된 organization. 비즈니스에서는 eDiscovery 관리자와 조사자가 해당 기관의 Exchange 사서함, OneDrive 계정 및 SharePoint 사이트만 검색할 수 있어야 합니다. 또한 eDiscovery 관리자 및 조사자는 해당 기관의 eDiscovery 사례만 볼 수 있으며 구성원인 경우에만 액세스할 수 있습니다. 이 시나리오에서는 조사자가 콘텐츠 위치를 보류하거나 사례에서 콘텐츠를 내보낼 수 없습니다. 규정 준수 경계가 이러한 요구 사항을 충족하는 방법은 다음과 같습니다.

• eDiscovery에 대한 검색 권한 필터링 기능은 eDiscovery 관리자와 조사자가 검색할 수 있는 콘텐츠 위치를 제어합니다. 이 제어는 Fourth Coffee 에이전시의 eDiscovery 관리자 및 조사관이 Fourth Coffee 자회사의 콘텐츠 위치만 검색할 수 있습니다. Coho Winery 자회사에도 동일한 제한이 적용됩니다.

• 역할 그룹은 규정 준수 경계에 대해 다음 함수를 제공합니다.

  • Microsoft Purview 포털에서 eDiscovery 사례를 볼 수 있는 사용자를 제어합니다. 이 컨트롤은 eDiscovery 관리자와 조사자가 해당 기관의 eDiscovery 사례만 볼 수 있음을 의미합니다.
  • eDiscovery 사례에 멤버를 할당할 수 있는 사용자를 제어합니다. 이 컨트롤은 eDiscovery 관리자와 조사자가 자신이 멤버인 경우에만 멤버를 할당할 수 있음을 의미합니다.
  • 특정 권한을 할당하는 역할을 추가하거나 제거하여 멤버가 수행할 수 있는 eDiscovery 관련 작업을 제어합니다.

• 역할 그룹에 검색 권한 필터를 적용하면 역할 그룹에 작업을 수행할 수 있는 권한이 할당되는 한 역할 그룹의 멤버는 다음과 같은 검색 관련 작업을 수행할 수 있습니다.

  • 콘텐츠 검색
  • 검색 결과 미리 보기
  • 검색 결과 내보내기
  • 검색에서 반환된 항목 제거

규정 준수 경계를 설정하기 전에

• 사용자에게 Exchange Online 라이선스를 할당합니다. 할당을 확인하려면 Exchange Online PowerShell에서 Get-User cmdlet을 사용합니다.

규정 준수 경계 설정

준수 경계를 설정하려면 다음 단계를 수행합니다.

• 1단계: 기관을 정의할 사용자 특성 식별
• 2단계: 각 기관에 대한 역할 그룹 만들기
• 3단계: 준수 경계를 적용하는 검색 권한 필터 만들기
• 4단계: 기관 내 조사를 위한 eDiscovery 사례 만들기

1단계: 기관을 정의할 사용자 특성 식별

특성을 선택하여 기관을 정의합니다. 이 특성을 사용하여 eDiscovery 관리자가 이 특성에 대한 특정 값을 할당받은 사용자의 콘텐츠 위치만 검색하도록 제한하는 검색 권한 필터를 만듭니다. 예를 들어 Contoso는 Department 특성을 사용합니다. Fourth Coffee 자회사의 사용자에 대한 이 특성의 값은 이며 FourthCoffee , Coho Winery 자회사의 사용자에 대한 값은 입니다 CohoWinery. 3단계에서 이 attribute:value 쌍(예 : Department:FourthCoffee)을 사용하여 eDiscovery 관리자가 검색할 수 있는 사용자 콘텐츠 위치를 제한합니다.

다음은 규정 준수 경계에 사용할 수 있는 사용자 특성의 몇 가지 예입니다.

• Company
• CustomAttribute1 - CustomAttribute15
• 부서
• 사무실
• CountryOrRegion(두 글자 국가/지역 코드)

2단계: 각 기관에 대한 역할 그룹 만들기

Microsoft Purview 포털에서 기관과 일치하는 역할 그룹을 만듭니다.

역할 그룹을 만들려면 Microsoft Purview 포털에서 설정>역할 및 범위 로 이동합니다. 규정 준수 경계 및 eDiscovery 사례를 사용하여 조사를 관리하는 각 기관의 각 팀에 대한 역할 그룹을 만듭니다.

단일 역할 그룹을 사용하여 eDiscovery 역할과 보안 필터를 모두 해당 멤버에 할당할 수 있습니다. 이 역할 그룹의 멤버 자격은 조사자에게 할당된 역할과 검색할 수 있는 콘텐츠 위치를 모두 관리합니다.

별도의 역할 그룹을 사용합니다. 한 역할 그룹을 사용하여 규정 준수 경계에 대한 보안 필터를 할당하고 다른 역할 그룹을 사용하여 eDiscovery 역할을 할당합니다. 두 개의 개별 역할 그룹을 사용하여 검색하는 콘텐츠 위치와 독립적으로 조사자에게 할당된 역할을 관리합니다. 준수 경계에 대한 역할 그룹을 사용하여 멤버에게 보안 필터를 적용합니다. 별도의 기본 제공(eDiscovery Manager) 또는 사용자 지정 역할 그룹을 사용하여 멤버에게 역할을 할당합니다. eDiscovery 관련 역할에 대한 자세한 내용은 eDiscovery 권한 할당을 참조하세요.

Contoso 규정 준수 경계 시나리오를 사용하여 4개의 역할 그룹을 만들고 각 역할에 적절한 멤버를 추가합니다.

• Fourth Coffee eDiscovery 관리자
• Fourth Coffee 조사관
• Coho Winery eDiscovery 관리자
• Coho Winery 조사관

3단계: 준수 경계를 적용하는 검색 권한 필터 만들기

각 기관에 대한 역할 그룹을 만든 후 각 역할 그룹을 특정 기관에 연결하고 규정 준수 경계를 정의하는 검색 권한 필터를 만듭니다. 각 기관에 대해 하나의 검색 권한 필터를 만들어야 합니다. 보안 권한 필터를 만드는 방법에 대한 자세한 내용은 eDiscovery에 대한 권한 필터링 구성을 참조하세요.

다음은 이 문서의 시나리오에 대한 규정 준수 경계에 사용되는 검색 권한 필터를 만드는 데 사용되는 구문입니다.

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <role groups> -Filters "Mailbox_<MailboxPropertyName>  -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"

다음은 명령의 각 매개 변수에 대한 설명입니다.

• FilterName: 필터의 이름을 지정합니다. 필터가 사용되는 기관을 설명하거나 식별하는 이름을 사용합니다.

• Users: 이 필터를 가져오는 사용자 또는 그룹이 수행하는 검색 작업에 적용되도록 지정합니다. 규정 준수 경계의 경우 이 매개 변수는 필터를 만드는 기관의 역할 그룹(2단계에서 만든)을 지정합니다. 이 매개 변수는 다중값 매개 변수이므로 하나 이상의 역할 그룹을 쉼표로 구분하여 포함할 수 있습니다.

• Filters: 필터의 검색 조건을 지정합니다. 규정 준수 경계의 경우 다음 필터를 정의합니다. 각 콘텐츠 위치는 서로 다른 콘텐츠 위치에 적용됩니다.

  • Mailbox: 매개 변수에 정의된 역할 그룹이 검색할 수 있는 Users 사서함 또는 OneDrive 계정을 지정합니다. 이 필터를 사용하면 역할 그룹의 구성원이 특정 기관의 사서함 또는 OneDrive 계정만 검색할 수 있습니다. 예를 들면 입니다 "Mailbox_Department -eq 'FourthCoffee'".

    참고

    사서함 필터는 Microsoft 365 그룹 사서함 및 연결된 SharePoint 사이트에도 적용됩니다. Microsoft 365 그룹에 연결된 SharePoint 사이트의 결과를 반환하려면 사서함 및 SiteContent 필터가 Microsoft 365 그룹 사서함과 연결된 SharePoint 사이트 모두와 일치해야 합니다.

• SiteContent: 이 필터에는 두 개의 별도 필터가 포함됩니다. 첫 번째는 SiteContent_Path 매개 변수에 정의된 Users 역할 그룹이 검색할 수 있는 기관의 SharePoint 사이트를 지정합니다. 예를 들면 SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'와 같습니다. 두 번째 SiteContent_Path 필터(운영자가 첫 번째 SiteContent_Path 필터에 or 연결됨)는 기관의 OneDrive 도메인( MySite 도메인이라고도 함)을 지정합니다. 예를 들면 SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'와 같습니다. 필터 대신 SiteContent 필터를 Site_Path 사용할 수도 있습니다. Site 및 SiteContent 필터는 서로 교환할 수 있으며 이 문서에 설명된 검색 권한 필터에는 영향을 주지 않습니다.

  중요

  OneDrive에 대한 필터가 SiteContent 이전 검색 권한 필터에 포함된 이유는 무엇인가요? 필터는 Mailbox 사서함과 OneDrive 계정 모두 에 적용되지만 OneDrive 필터를 포함하지 않은 경우 SharePoint 필터를 포함하면 OneDrive Site 계정이 제외됩니다. 검색 권한 필터에 SharePoint 필터가 포함되지 않은 경우 사서함 필터에 준수 경계의 scope OneDrive 계정이 포함되므로 별도의 OneDrive 필터를 포함할 필요가 없습니다. 즉, 필터만 Mailbox 있는 검색 권한 필터에는 사서함과 OneDrive 계정이 모두 포함됩니다.

다음은 Contoso 규정 준수 경계 시나리오를 지원하기 위해 만드는 두 가지 검색 권한 필터의 예입니다. 이 두 예는 모두 쉼표로 구분된 필터 목록을 포함합니다. 목록에서 사서함과 사이트 필터는 동일한 검색 사용 권한 필터에 포함되며 쉼표로 구분됩니다.

네 번째 커피

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

코호 와이너리

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

이 시나리오에서 검색 권한 필터는 어떻게 작동합니까?

이 시나리오에서 각 기관에 대해 검색 권한 필터를 적용하는 방법은 다음과 같습니다.

1. 필터는 Mailbox eDiscovery 관리자가 검색할 수 있는 콘텐츠 위치를 정의하기 위해 먼저 적용됩니다. 이 경우 Coho Winery eDiscovery 관리자는 Department 사서함 속성의 값이 FourthCoffee인 사용자의 사서함 및 OneDrive 계정만 검색할 수 있습니다. Coho Winery eDiscovery 관리자는 부서 사서함 속성의 값이 CohoWinery인 사용자의 사서함 및 OneDrive 계정만 검색할 수 있습니다. 필터 Mailbox 는 eDiscovery 관리자가 검색할 수 있는 콘텐츠 위치를 지정하기 때문에 콘텐츠 위치 필터입니다. 두 필터 모두에서 eDiscovery 관리자는 특정 사서함 속성 값이 있는 콘텐츠 위치만 검색할 수 있습니다.

2. 검색할 수 있는 콘텐츠 위치가 정의되면 필터의 다음 부분에서 eDiscovery 관리자가 검색할 수 있는 콘텐츠를 정의합니다. 첫 번째 SiteContent 필터를 사용하면 Fourth Coffee eDiscovery 관리자가 를 포함하거나 로 시작하는 사이트 경로 속성이 있는 문서만 검색할 수 있습니다 https://contoso.sharepoint.com/sites/FourthCoffee. Coho Winery eDiscovery 관리자는 를 포함하거나 로 시작하는 사이트 경로 속성이 있는 문서만 검색할 수 있습니다 https://contoso.sharepoint.com/sites/CohoWinery. 따라서 두 SiteContent 필터는 검색할 수 있는 콘텐츠를 정의하기 때문에 콘텐츠 필터입니다. 두 필터에서 eDiscovery 관리자는 특정 문서 속성 값이 있는 문서만 검색할 수 있습니다. 검색 가능한 사이트 속성이 모든 문서에 스탬프되기 때문에 모든 SharePoint 관련 필터는 콘텐츠 필터입니다. 자세한 내용은 eDiscovery에 대한 권한 필터링 구성을 참조하세요.

   참고

   이 문서의 시나리오에서는 사용하지 않지만 사서함 콘텐츠 필터를 사용하여 eDiscovery 관리자가 검색할 수 있는 콘텐츠를 지정할 수도 있습니다. 사서함 콘텐츠 필터의 구문은 입니다 "MailboxContent_<property> -<comparison operator> '<value>'". 날짜 범위, 받는 사람 및 도메인 또는 검색 가능한 전자 메일 속성에 따라 콘텐츠 필터를 만들 수 있습니다. 예를 들어 이 필터를 사용하면 eDiscovery 관리자가 contoso.com 도메인에서 사용자가 보내거나 받은 메일 항목만 검색할 수 있습니다 "MailboxContent_Participants -like 'contoso.com'". 사서함 콘텐츠 필터에 대한 자세한 내용은 검색 권한 필터링 구성을 참조하세요.

3. 검색 권한 필터는 AND 부울 연산자가 검색 쿼리에 조인합니다. 즉, 기관 중 하나의 eDiscovery 관리자가 eDiscovery 검색을 실행하는 경우 검색에서 반환된 항목이 검색 쿼리 및 검색 권한 필터에 정의된 조건과 일치해야 합니다.

4단계: 기관 내 조사를 위한 eDiscovery 사례 만들기

마지막 단계에서는 Microsoft Purview 포털에서 eDiscovery 사례를 만듭니다. 그런 다음, 2단계에서 만든 역할 그룹을 사례의 멤버로 추가합니다. 이 방법은 규정 준수 경계를 사용할 때 두 가지 중요한 이점을 제공합니다.

• 사례에 추가된 역할 그룹의 구성원만 Microsoft Purview 포털에서 사례를 보고 액세스할 수 있습니다. 예를 들어 네 번째 커피 조사자 역할 그룹이 사례의 유일한 구성원인 경우 Fourth Coffee eDiscovery 관리자 역할 그룹(또는 다른 역할 그룹의 구성원)의 구성원은 사례를 보거나 액세스할 수 없습니다.

• 사례에 할당된 역할 그룹의 멤버가 사례와 관련된 검색을 실행하는 경우 해당 기관 내의 콘텐츠 위치만 검색할 수 있습니다. 이 제한은 3단계에서 만든 검색 권한 필터에 의해 정의됩니다.

사례를 만들고 멤버를 할당하려면 다음을 수행합니다.

1. Microsoft Purview 포털에서 eDiscovery 로 이동하여 사례를 만듭니다.
2. 사례 목록에서 만든 사례의 이름을 선택합니다.
3. 사례에 역할 그룹을 멤버로 추가합니다.

멀티geo 환경에서 콘텐츠 검색 및 내보내기

또한 검색 권한 필터를 사용하면 내보내기 위해 콘텐츠가 라우팅되는 위치와 SharePoint 멀티Geo 환경에서 콘텐츠 위치를 검색할 때 검색할 수 있는 데이터 센터를 제어할 수 있습니다.

• 검색 결과 내보내기: Exchange 사서함, SharePoint 사이트 및 OneDrive 계정의 검색 결과를 특정 데이터 센터에서 내보낼 수 있습니다. 즉, 검색 결과를 내보낼 데이터 센터 위치를 지정할 수 있습니다.

  New-ComplianceSecurityFilter 또는 Set-ComplianceSecurityFilter cmdlet에 대한 Region 매개 변수를 사용하여 내보내기가 라우팅되는 데이터 센터를 만들거나 변경합니다.

  매개 변수 값	데이터센터 위치
  NAM	북미(데이터 센터는 미국에 있습니다).
  EUR	유럽
  APC	아시아 태평양
  CAN	캐나다

• 콘텐츠 검색 라우팅: SharePoint 사이트 및 OneDrive 계정의 콘텐츠 검색을 위성 데이터 센터로 라우팅할 수 있습니다. 즉, 검색이 실행되는 데이터 센터 위치를 지정할 수 있습니다.

  참고

  프리미엄 eDiscovery 기능을 사용하는 경우 Region 매개 변수는 데이터를 내보낼 지역을 제어하지 않습니다. 데이터는 organization 중앙 위치에서 내보냅니다. 또한 SharePoint 및 OneDrive에서 콘텐츠를 검색하는 것은 데이터 센터의 지리적 위치에 바인딩되지 않습니다. 모든 데이터 센터가 검색됩니다.

  Region 매개 변수에 대해 다음 값 중 하나를 사용하여 SharePoint 사이트 및 OneDrive 계정을 검색할 때 검색이 실행되는 데이터 센터 위치를 제어합니다.

  매개 변수 값	SharePoint에 대한 라우팅 위치 Datacenter
  NAM	US
  EUR	유럽
  APC	아시아 태평양
  CAN	US
  AUS	아시아 태평양
  KOR	organization 기본 데이터 센터
  GBR	유럽
  JPN	아시아 태평양
  IND	아시아 태평양
  램	US
  NOR	유럽
  BRA	북미 데이터 센터

  검색 권한 필터에 대한 Region 매개 변수를 지정하지 않으면 organization 기본 SharePoint 지역이 검색됩니다. 검색 결과는 가장 가까운 데이터 센터로 내보냅니다.

  개념을 간소화하기 위해 Region 매개 변수는 SharePoint 및 OneDrive에서 콘텐츠를 검색하는 데 사용되는 데이터 센터를 제어합니다. Exchange 콘텐츠 검색은 데이터 센터의 지리적 위치에 바인딩되지 않으므로 이 매개 변수는 Exchange에서 콘텐츠를 검색하는 데 적용되지 않습니다. 또한 동일한 Region 매개 변수 값은 내보내기가 라우팅되는 데이터 센터를 지시할 수도 있습니다. 이 라우팅은 지리적 테두리 간에 데이터의 이동을 제어하는 데 필요한 경우가 많습니다.

  중요

  보안 준수 필터를 만들고 특정 GEO 지역을 설정할 때 ESP, ITA, NZL 및 SWE는 유효한 지역이 아니며 유효한 지역 값으로 리디렉션하는 오류를 생성합니다. 이 오류에는 IS, APC, AUS, AUT, BRA, CAN, CHE, CHL, DEU, EUR, FRA, GBR, IDN, IND, JPN, KOR, LAM, MYS, NAM, NOR, POL, QAT, ZAF가 포함됩니다.

다음은 규정 준수 경계에 대한 검색 권한 필터를 만들 때 Region 매개 변수를 사용하는 예제입니다. 이 예제에서는 Fourth Coffee 자회사가 북아메리카 있으며 코호 와이너리가 유럽에 있다고 가정합니다.

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region NAM

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region EUR

multigeo 환경에서 콘텐츠를 검색하고 내보낼 때 다음 사항에 유의하세요.

• 지역 매개 변수가 Exchange 사서함의 검색을 제어하지 않습니다. 사서함을 검색하는 경우 모든 데이터 센터가 검색됩니다. Exchange 사서함이 검색되는 scope 제한하려면 검색 권한 필터를 만들거나 변경할 때 Filters 매개 변수를 사용합니다.

• eDiscovery 관리자가 여러 SharePoint 지역에서 검색해야 하는 경우 검색 권한 필터에서 사용할 해당 eDiscovery 관리자에 대한 다른 사용자 계정을 만들어 SharePoint 사이트 또는 OneDrive 계정이 있는 지역을 지정해야 합니다. 설정에 대한 자세한 내용은 콘텐츠 검색의 "SharePoint Multi-Geo 환경에서 콘텐츠 검색" 섹션을 참조하세요.

• SharePoint 및 OneDrive에서 콘텐츠를 검색할 때 Region 매개 변수는 eDiscovery 관리자가 eDiscovery 조사를 수행하는 기본 또는 위성 위치로 검색을 지시합니다. eDiscovery 관리자가 검색 권한 필터에 지정된 지역 외부의 SharePoint 및 OneDrive 사이트를 검색하는 경우 검색 결과가 반환되지 않습니다.

• eDiscovery에서 검색 결과를 내보낼 때 모든 콘텐츠 위치(Exchange, 비즈니스용 Skype, SharePoint, OneDrive 및 콘텐츠 검색 도구를 사용하여 검색할 수 있는 기타 서비스 포함)의 콘텐츠가 Region 매개 변수로 지정된 데이터 센터의 Azure Storage 위치에 업로드됩니다. 이 동작은 조직에서 제어된 테두리 간에 콘텐츠를 내보내는 것을 허용하지 않음으로써 규정 준수 상태를 유지하는 데 도움이 됩니다. 검색 권한 필터에서 지역을 지정하지 않으면 콘텐츠가 organization 기본 데이터 센터에 업로드됩니다.

  프리미엄 eDiscovery 기능을 사용하도록 설정된 콘텐츠를 내보낼 때 Region 매개 변수를 사용하여 콘텐츠가 업로드되는 위치를 제어할 수 없습니다. 콘텐츠는 organization 중앙 위치의 데이터 센터의 Azure Storage 위치에 업로드됩니다. 중앙 위치를 기반으로 하는 지리적 위치 목록은 Microsoft 365 Multi-Geo eDiscovery 구성을 참조하세요.

• 다음 명령을 실행하여 기존 검색 권한 필터를 편집하여 지역을 추가하거나 변경할 수 있습니다.

  Set-ComplianceSecurityFilter -FilterName <Filter name>  -Region <Region>
  

SharePoint 허브 사이트에 규정 준수 경계 사용

SharePoint 허브 사이트는 eDiscovery 규정 준수 경계가 따르는 것과 동일한 지리적 또는 기관 경계에 부합하는 경우가 많습니다. 허브 사이트의 사이트 ID 속성을 사용하여 규정 준수 경계를 만들 수 있습니다. 이렇게 하려면 SharePoint Online PowerShell의 Get-SPOHubSite cmdlet을 사용하여 허브 사이트에 대한 SiteId를 가져온 다음, 부서 ID 속성에 이 값을 사용하여 검색 권한 필터를 만듭니다.

다음 구문을 사용하여 SharePoint 허브 사이트에 대한 검색 권한 필터를 만듭니다.

New-ComplianceSecurityFilter -FilterName <Filter Name> -Users <User or Group> -Filters "Site_Departmentid -eq '{SiteId of hub site}'"

다음은 Coho Winery 기관의 허브 사이트에 대한 검색 권한 필터를 만드는 예입니다.

New-ComplianceSecurityFilter -FilterName "Coho Winery Hub Site Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Site_Departmentid -eq '44252d09-62c4-4913-9eb0-a2a8b8d7f863'"

규정 준수 경계 고려 사항

규정 준수 경계를 사용하는 eDiscovery 사례 및 조사를 관리할 때 다음 고려 사항을 염두에 두세요.

• 검색을 만들고 실행할 때 에이전시 외부에 있는 콘텐츠 위치를 선택할 수 있습니다. 하지만 검색 권한 필터로 인하여 해당 위치의 콘텐츠는 검색 결과에 포함되지 않습니다.

• eDiscovery 사례의 보류에는 규정 준수 경계가 적용되지 않습니다. 이 조건은 한 기관의 eDiscovery 관리자가 사용자를 다른 기관에 배치할 수 있음을 의미합니다. 그러나 eDiscovery 관리자가 보류된 사용자의 콘텐츠 위치를 검색하는 경우 규정 준수 경계가 적용됩니다. 이 조건은 eDiscovery 관리자가 사용자를 보류할 수 있었음에도 불구하고 사용자의 콘텐츠 위치를 검색할 수 없다는 것을 의미합니다.

• 사서함 또는 사이트 필터와 같은 검색 권한 필터가 할당되고 scope 옵션을 사용하여 검색 적중이 없는 위치에서도 부분적으로 인덱싱된 항목을 포함하도록 organization 모든 SharePoint 사이트를 포함하는 검색에서 부분적으로 인덱싱된 항목을 내보내려고 하는 경우(검색 결과 내보내기 참조)) 내보내기 에는 할당된 규정 준수 경계 외부의 항목을 포함하여 모든 사이트의 부분적으로 인덱싱된 항목이 포함됩니다.

• 검색 적중이 포함된 사이트에서 부분적으로 인덱싱된 항목을 검색할 때 eDiscovery는 접두사 기반 접근 방식을 사용합니다. 예를 들어 사이트가 검색 쿼리와 일치하는 위치로 식별되면 사이트가 http://contoso.com/sales 구성된 규정 준수 경계를 벗어나더라도 http://contoso.com/salesdepartment 와 같이 유사하게 접두사로 http://contoso.com/salesdepartment지정된 사이트의 항목도 결과에 포함될 수 있습니다. 이 동작은 필터가 사이트 경로를 기반으로 하지 않을 때 발생할 수 있습니다. instance 경우 규정 준수 경계가 로 정의된 Property -eq 'abc'경우 경로가 속성과 일치하는 사이트와 접두사를 공유하는 경우 속성 값 'abc' 과 일치하지 않는 사이트가 포함될 수 있습니다.

• Exchange 공용 폴더에는 검색 권한 필터가 적용되지 않습니다.

• 지원되는 검색 필터에는 , , -like-or, -not, -eq및 가 포함-and됩니다-ne. 콘텐츠 기반 규정 준수 경계에 대한 검색 권한 필터에서 또는 inotlike와 같은 -notlike 다른 제외 필터를 사용하지 마세요. 최근에 업데이트된 특성이 있는 콘텐츠가 인덱싱되지 않은 경우 이러한 제외 필터를 사용하면 예기치 않은 결과가 발생할 수 있습니다.

• 검색에서 OneDrive 사이트에 대한 규정 준수 경계에 대한 존중은 다음과 같은 경우에 영향을 받을 수 있습니다.

  • 사이트 또는 연결된 사서함이 이동되거나 다시 호스트됩니다.
  • OneDrive 소유권이 다시 할당되거나 둘 이상의 소유자가 추가됩니다.
  • OneDrive 사이트의 이름이 변경되거나 다시 발급됩니다.
  • OneDrive 사이트를 이동하면 콘텐츠의 소유권이 변경될 수 있으며 중재 사서함 만들기가 포함될 수 있습니다. 이러한 리소스를 이동하면 규정 준수 경계를 넘어 콘텐츠 검색 결과를 사용할 수 있습니다. OneDrive 사이트를 둘 이상의 소유자에게 재할당, 이름 바꾸기 또는 할당하는 경우 이러한 사이트의 콘텐츠를 규정 준수 경계를 넘어 사용할 수 있을 수 있습니다.

• 사서함에 대한 규정 준수 경계는 다음과 같은 경우에 영향을 받을 수 있습니다.

  • 사서함은 사용이 허가된 사용자와 연결되지 않습니다. 여기에는 사용 안 함 또는 삭제된 사용자가 포함됩니다.
  • 사서함은 Microsoft Entra ID 관리되거나 동기화되지 않습니다.

• 또한 여러 유형의 사서함은 규정 준수 경계에 관계없이 검색 중에 콘텐츠를 생성할 수 있습니다. 이러한 사서함 유형은 다음과 같습니다.

  • EquipmentMailbox
  • GuestMailUser
  • LinkedMailbox
  • RoomList
  • RoomMailbox
  • SchedulingMailbox
  • SharedMailbox
  • SystemMailbox
  • TeamMailbox

• 검색이 이러한 사서함에 대해 예상대로 준수 경계를 준수하도록 하려면 Set-Mailbox cmdlet을 사용하거나 Invoke-ComplianceSecurityFilterAction 을 사용하여 공유 사서함, 장비 사서함 및 기타 사서함에 특성을 설정하여 특성이 올바르게 설정되었는지 확인합니다. 특성을 올바르게 구성하고 규정 준수 경계 특성에 맞추는 경우 사서함은 규정 준수 경계를 준수합니다.

추가 정보

• 사서함을 삭제하거나 일시 삭제하는 경우 사용자는 더 이상 규정 준수 경계 내에 있지 않습니다. 사서함을 삭제할 때 보류를 배치하는 경우 사서함에 보존된 콘텐츠는 여전히 준수 경계 또는 검색 권한 필터의 적용을 받습니다.
• 사용자에 대한 규정 준수 경계 및 검색 권한 필터를 구현하는 경우 사용자의 사서함 또는 OneDrive 계정을 삭제하지 마세요. 사용자의 사서함을 삭제하는 경우 OneDrive에 대한 검색 권한 필터를 적용하므로 사용자의 OneDrive 계정 mailbox_RecipientFilter 도 제거합니다.
• 규정 준수 경계 및 검색 권한 필터는 Exchange, OneDrive 및 SharePoint의 콘텐츠에 스탬프된 특성과 이 스탬프된 콘텐츠의 후속 인덱싱에 따라 달라집니다.

질문과 대답

New-ComplianceSecurityFilter 및 Set-ComplianceSecurityFilter cmdlet을 사용하여 검색 권한 필터를 만들고 관리할 수 있는 사람은 누구인가요?

Microsoft Purview 포털에서 검색 권한 필터를 만들고, 보고, 수정하려면 조직 관리 및 eDiscovery 관리자 역할이 할당되어 있어야 합니다.

eDiscovery 관리자가 여러 기관에 걸쳐 있는 둘 이상의 역할 그룹에 할당된 경우 한 기관 또는 다른 기관에서 콘텐츠를 검색하려면 어떻게 해야 하나요?

eDiscovery 관리자는 검색을 특정 기관으로 제한하는 매개 변수를 검색 쿼리에 추가할 수 있습니다. 예를 들어 organization 기관을 구분하기 위해 CustomAttribute10 속성을 지정하는 경우 검색 쿼리에 다음을 추가하여 특정 기관의 CustomAttribute10:<value>사서함 및 OneDrive 계정을 검색할 수 있습니다.

검색 권한 필터에서 규정 준수 특성으로 사용되는 특성의 값을 변경하면 어떻게 되나요?

필터에 사용되는 특성의 값을 변경하는 경우 검색 권한 필터가 규정 준수 경계를 적용하는 데 최대 3일이 걸립니다. 예를 들어, 네 번째 커피 기관의 사용자가 코호 와이너리 기관으로 전송되었다고 가정해 보겠습니다. 결과적으로 사용자 개체의 Department 특성 값이 FourthCoffee 에서 CohoWinery로 변경됩니다. 이 경우 Fourth Coffee eDiscovery 및 투자자는 특성이 변경된 후 최대 3일 동안 해당 사용자에 대한 검색 결과를 얻습니다. 마찬가지로, Coho Winery eDiscovery 관리자 및 조사자가 사용자에 대한 검색 결과를 얻기까지 최대 3일이 걸립니다.

eDiscovery 관리자가 두 개의 별도 규정 준수 경계에서 콘텐츠를 볼 수 있나요?

예, 이 기능은 두 기관에 대한 가시성이 있는 역할 그룹에 eDiscovery 관리자를 추가하여 Exchange 사서함을 검색할 때 사용할 수 있습니다. 그러나 SharePoint 사이트 및 OneDrive 계정을 검색할 때 eDiscovery 관리자는 기관이 동일한 지역 또는 지리적 위치에 있는 경우에만 서로 다른 규정 준수 경계의 콘텐츠를 검색할 수 있습니다.

검색 권한 필터가 eDiscovery 사례 보존, Microsoft 365 보존 정책 또는 DLP에 대해 작동합니까?

아니요, 현재는 불가능합니다.

콘텐츠를 내보낼 위치를 제어할 지역을 지정했지만 해당 지역에 SharePoint organization 없는 경우에도 SharePoint를 검색할 수 있나요?

검색 권한 필터에 지정된 지역이 organization 없는 경우 기본 지역이 검색됩니다.

organization 만들 수 있는 검색 권한 필터의 최대 수는 무엇인가요?

organization 만들 수 있는 검색 권한 필터 수에는 제한이 없습니다. 그러나 검색 쿼리에는 최대 100 개의 조건이 있을 수 있습니다. 이 경우 조건은 부울 연산자(예: AND, OR 및 NEAR)에 의해 쿼리에 연결된 것으로 정의됩니다. 조건 수 제한에는 검색 쿼리 자체와 검색을 실행하는 사용자에게 적용되는 모든 검색 권한 필터가 포함됩니다. 따라서 사용자가 가진 검색 권한 필터가 많을수록(특히 이러한 필터가 동일한 사용자 또는 사용자 그룹에 적용되는 경우) 검색의 최대 조건 수를 초과할 가능성이 높아집니다.

이 제한의 작동 방식을 이해하려면 검색이 실행될 때 검색 권한 필터가 검색 쿼리에 추가된다는 것을 이해해야 합니다. 검색 권한 필터는 AND 부울 연산자에 의해 검색 쿼리에 조인됩니다. 검색 쿼리 및 단일 검색 권한 필터에 대한 쿼리 논리는 다음과 같습니다.

<SearchQuery> AND <PermissionsFilter>

여러 검색 권한 필터는 OR 부울 연산자에 의해 결합된 다음, 이러한 조건은 AND 연산자에 의해 검색 쿼리에 연결됩니다.

검색 쿼리 및 여러 검색 권한 필터에 대한 쿼리 논리는 다음과 같습니다.

<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)

검색 쿼리 자체는 부울 연산자가 연결된 여러 조건으로 구성될 수 있습니다. 검색 쿼리의 각 조건은 100 조건 제한에 대해서도 계산됩니다.

또한 쿼리에 추가된 검색 권한 필터 수는 검색을 실행하는 사용자에 따라 달라집니다. 특정 사용자가 검색을 실행하면 사용자에게 적용되는 검색 권한 필터(필터의 Users 매개 변수로 정의됨)가 쿼리에 추가됩니다. organization 수백 개의 검색 권한 필터를 가질 수 있지만 동일한 사용자에게 100개 이상의 필터를 적용하면 해당 사용자가 검색을 실행할 때 100개 조건 제한을 초과할 가능성이 높습니다.

조건 제한에 대해 유의해야 할 한 가지가 더 있습니다. 검색 쿼리 또는 검색 권한 필터에 포함된 특정 SharePoint 사이트 수도 이 제한에 대해 계산됩니다.

organization 조건 제한에 도달하지 못하도록 하려면 비즈니스 요구 사항을 충족하기 위해 organization 검색 권한 필터 수를 최대한 적게 유지합니다.

사서함 필터는 OneDrive 및 M365 그룹 연결된 SharePoint 사이트 검색에 어떻게 영향을 주나요?

OneDrive 사이트 및 Microsoft 365 그룹 연결 SharePoint 사이트는 Exchange의 연결된 사용자 또는 Microsoft 365 그룹 사서함에 연결됩니다. 사서함 및 SiteContent 필터를 모두 포함하는 보안 필터의 경우 OneDrive 또는 Microsoft 365 그룹 연결 SharePoint 사이트의 결과를 반환하려면 둘 다 일치해야 합니다. SiteContent 필터에 대해 SharePoint 및 OneDrive 항목을 평가하기 전에 먼저 사서함 필터가 연결된 사용자 또는 Microsoft 365 그룹 사서함에 대해 평가됩니다.

OneDrive 사이트의 컨텍스트에서 중재 사서함이란?

Exchange 사서함과 OneDrive 계정이 모두 있는 활성 및 라이선스가 있는 사용자의 경우 사서함과 해당 OneDrive 사이트 간에 링크가 있습니다. 즉, 준수 경계에 할당된 사서함 필터는 결과가 반환되기 전에 일치 항목에 대해 검사 사용자의 사서함에 대해 평가됩니다.

사서함과 OneDrive 사이트 간에 이 링크가 끊어지면 OneDrive가 대신 중재 사서함과 연결됩니다. 이 중재 사서함에는 원래 사서함의 사서함 속성이 적용되지 않습니다.

OneDrive 사이트의 상태 중재 사서함과 연결되어 있는지 확인하려면 어떻게 할까요? 검사?

특정 OneDrive 사이트를 검토하고 중재 중이거나 사용자의 사서함에 연결된 경우 검사 Invoke-ComplianceSecurityFilterAction cmdlet을 사용합니다.

다음 구문을 사용하여 OneDrive 사이트의 상태 검사.

Invoke-ComplianceSecurityFilterAction -Action GetStatus -PropertyName <Boundary Property> -SiteUrl <SharePoint/OneDrive URL>

중재에 없는 OneDrive 사이트의 경우 명령은 다음 예제와 같이 BoundaryType 값을 UserMailbox로 반환합니다.

PS C:\> Invoke-ComplianceSecurityFilterAction -action GetStatus -PropertNname "CustomAttribute10" -siteurl "https://contoso-my.sharepoint.com/personal/lila_contoso_onmicrosoft_com"
   
SiteUrlOrEmailAddress : https://contoso-my.sharepoint.com/personal/lila_contoso_onmicrosoft_com 
BoundaryType          : UserMailbox 
BoundaryInstruction   : Set via Set-Mailbox 
BoundaryObjectId      : SPO_4531d99e-21df-4903-a8c1-76cc3ec82685@SPO_525ef3f5-fbf7-4f91-bb4a-e3c24116c8a9 
BoundaryStatus        : Success 
BoundaryProperty      : CustomAttribute10 
BoundaryPropertyValue : Dept-CH

중재 중인 OneDrive 사이트의 경우 다음 예제와 같이 명령은 BoundaryType 값에 대해 빈 값 또는 null 값을 반환합니다.

PS C:\> Invoke-ComplianceSecurityFilterAction -action GetStatus -PropertyName "CustomAttribute10" -siteurl "https://contoso-my.sharepoint.com/personal/lila_contoso_onmicrosoft_com"   

SiteUrlOrEmailAddress : https://contoso-my.sharepoint.com/personal/lila_contoso_onmicrosoft_com 
BoundaryType          :  
BoundaryInstruction   :  
BoundaryObjectId      : SPO_4531d99e-21df-4903-a8c1-76cc3ec82685@SPO_525ef3f5-fbf7-4f91-bb4a-e3c24116c8a9 
BoundaryStatus        : Success 
BoundaryProperty      : CustomAttribute10 
BoundaryPropertyValue : 

중재의 OneDrive 사이트는 규정 준수 경계가 적용된 eDiscovery 관리자가 반환한 결과에 어떤 영향을 주나요?

이 동작은 규정 준수 경계에 대해 보안 필터를 구성하는 방법에 따라 달라집니다. OneDrive 사이트가 중재 중인 경우 사서함 필터는 반환된 결과에 포함되지 않습니다.

사서함 필터만 사용하는 보안 필터의 경우 이 시나리오에서는 사서함 필터가 적용되지 않으므로 OneDrive의 항목이 검색 결과 내에 반환됩니다.

사서함 필터와 SiteContent 필터를 모두 사용하는 보안 필터의 경우 SiteContent 필터가 중재 중인 OneDrive instance 항목과 일치하면 결과가 반환됩니다. 일치하는 항목이 없으면 결과가 반환되지 않습니다. 예를 들어 microsoft 365 Multi-Geo 배포로 인해 별도의 기관으로 SiteContent_Path 필터를 사용하는 경우 OneDrive 항목의 경로가 중재 중인 OneDrive의 결과를 필터링하거나 출력합니다.

사서함 필터가 계속 적용되도록 중재에서 OneDrive 사이트를 업데이트하려면 어떻게 해야 하나요?

Invoke-ComplianceSecurityFilterAction cmdlet을 사용하여 중재 사서함에 연결되는 OneDrive 인스턴스에서 CustomAttribute1을 통해 CustomAttribute15 값으로 설정합니다.

다음 구문을 사용하여 OneDrive 사이트의 상태 설정합니다.

Invoke-ComplianceSecurityFilterAction -Action Set -PropertyName <Boundary Property> -SiteUrl <SharePoint/OneDrive URL>

OneDrive에서 설정하면 OneDrive에 설정된 CustomAttribute 속성을 사용하는 사서함 필터가 적용됩니다.

OneDrive 사이트가 중재 사서함에 연결되는 시나리오는 무엇인가요?

대부분의 시나리오로 인해 OneDrive 사이트가 사용자의 사서함에 대한 링크와 중재 사서함에 대한 링크를 잃을 수 있습니다. 자세한 내용은 준수 경계 제한 사항 섹션을 참조하세요. 따라서 OneDrive를 이동, 변경 또는 다시 할당할 때 Invoke-ComplianceSecurityFilterAction cmdlet을 사용하여 관련 사서함 필터가 예상대로 작동하는지 확인합니다.

사용자 프로비전 해제 프로세스의 일부로 사용자의 OneDrive에 대해 Invoke-ComplianceSecurityFilterAction cmdlet을 실행하여 필요한 CustomAttribute 값을 설정합니다.

사서함 보안 필터에 CustomAttribute1~CustomAttribute15를 사용해야 하는 이유는 무엇인가요?

다른 사서함 특성은 보안 필터에서 작동하지만 다음과 같은 이유로 사서함 보안 필터를 정의할 때 CustomAttributes를 사용합니다.

• 모든 Exchange Online 사서함은 이러한 특성을 지원합니다.
• 특성은 연결된 사용자 개체가 아닌 사서함에 직접 스탬프되므로 연결된 사용자 개체가 없는 시나리오에서 설정된 상태로 유지됩니다.
• Invoke-ComplianceSecurityFilterAction cmdlet은 중재 사서함에 연결된 OneDrive 인스턴스에서 CustomAttribute 설정만 지원합니다.