사서함 감사 관리

  • 아티클

사서함 감사 로깅은 기본적으로 모든 조직에서 켜져 있습니다. 즉, 사서함 소유자, 대리인 및 관리자가 수행한 특정 작업이 자동으로 기록됩니다. 관리자가 사서함 감사 로그에서 검색할 수 있도록 해당 사서함 감사 레코드를 사용할 수 있습니다.

기본적으로 사서함 감사의 몇 가지 이점은 다음과 같습니다.

  • 새 사서함을 만들 때 감사가 자동으로 설정됩니다. 새 사용자에 대해 사서함 감사를 수동으로 사용하도록 설정할 필요가 없습니다.
  • 감사되는 사서함 작업을 관리할 필요가 없습니다. 미리 정의된 사서함 작업 집합은 각 로그인 유형(관리, 대리자 및 소유자)에 대해 기본적으로 감사됩니다.
  • Microsoft에서 새 사서함 작업을 릴리스하면 작업이 기본적으로 감사되는 사서함 작업 목록에 자동으로 추가될 수 있습니다(적절한 라이선스가 있는 사용자에 따라). 이 결과는 사서함이 릴리스될 때 새 작업을 추가할 필요가 없다는 것을 의미합니다.
  • 모든 사서함에 대해 동일한 작업을 감사하기 때문에 organization 일관된 사서함 감사 정책이 있습니다.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

사서함 감사 기본 사용이 켜져 있는지 확인

organization 대해 기본적으로 사서함 감사가 켜져 있는지 확인하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Get-OrganizationConfig | Format-List AuditDisabled

False 값은 기본적으로 organization 대해 사서함 감사가 켜져 있음을 나타냅니다. 기본적으로 organization 사서함 감사는 개별 사서함의 사서함 감사 설정을 재정의합니다. 예를 들어 사서함에 대해 사서함 감사가 꺼져 있는 경우(사서함의 AuditEnabled 속성이 False임) 사서함에 대한 기본 사서함 작업은 여전히 감사됩니다. 사서함 감사는 기본적으로 organization 대해 설정되어 있기 때문입니다.

특정 사서함에 대해 사서함 감사를 사용하지 않도록 설정하려면 사서함 소유자 및 사서함에 대한 위임된 액세스 권한이 있는 다른 사용자에 대한 사서함 감사 바이패 스를 구성합니다. 자세한 내용은 이 문서의 뒷부분에 있는 사서함 감사 로깅 무시 섹션을 참조하세요.

참고

organization 대해 기본적으로 사서함 감사를 켜면 영향을 받는 사서함에 대한 AuditEnabled 속성이 False에서 True로 변경되지 않습니다. 즉, 기본적으로 에 대한 사서함 감사는 사서함의 AuditEnabled 속성을 무시합니다.

지원되는 사서함 유형

기본적으로 사서함 감사에서 지원되는 사서함 유형은 다음 표에 설명되어 있습니다.

사서함 유형 않음
사용자 사서함
공유 사서함
Microsoft 365 그룹 사서함
리소스 사서함
공용 폴더 사서함

로그인 유형 및 사서함 작업

로그인 유형은 사서함에서 감사된 작업을 담당하는 사용자를 분류합니다. 다음 목록에서는 사서함 감사 로깅에 사용되는 로그인 유형에 대해 설명합니다.

  • 소유자: 사서함 소유자(사서함과 연결된 계정)입니다.
  • 대리자:
    • 다른 사서함에 SendAs, SendOnBehalf 또는 FullAccess 권한이 할당된 사용자입니다.
    • 사용자의 사서함에 FullAccess 권한이 할당된 관리자입니다.
  • 관리:
    • 사서함은 다음 Microsoft eDiscovery 도구 중 하나를 사용하여 검색됩니다.
      • Microsoft Purview 포털 또는 규정 준수 포털의 eDiscovery.
      • Exchange Online eDiscovery를 In-Place.
    • 사서함은 Microsoft Exchange Server MAPI 편집기 사용하여 액세스합니다.
    • 사서함은 다른 사용자를 가장하는 계정에서 액세스합니다. 이는 ApplicationImpersonation 역할이 현재 데이터에 적극적으로 액세스하는 애플리케이션과 같은 계정에 할당된 경우에 발생합니다. 자세한 내용은 가장 구성을 참조하세요.

사용자 사서함 및 공유 사서함에 대한 사서함 작업

다음 표에서는 사용자 사서함 및 공유 사서함에 대한 사서함 감사 로깅에서 사용할 수 있는 사서함 작업에 대해 설명합니다.

  • 검사 표시(✔)는 로그인 유형에 대해 사서함 작업을 기록할 수 있음을 나타냅니다(모든 로그인 유형에 대해 모든 작업을 사용할 수 있는 것은 아님).
  • 검사 표시 뒤의 별표( * )는 로그인 유형에 대해 사서함 작업이 기본적으로 기록됨을 나타냅니다.
  • 사서함에 대한 모든 권한이 있는 관리자는 대리인으로 간주됩니다.
사서함 작업 설명 관리자 대리인 소유자
AddFolderPermissions 이 값은 사서함 작업으로 허용되지만 UpdateFolderPermissions 작업에 이미 포함되어 있으며 별도로 감사되지 않습니다. 즉, 이 값을 사용하지 마세요.
ApplyRecord 항목은 레코드로 레이블이 지정됩니다. * * *
복사 메시지가 다른 폴더에 복사되었습니다.
만들기 사서함의 일정, 연락처, 초안, 메모 또는 작업 폴더에 항목이 만들어졌습니다(예: 새 모임 요청이 생성됨). 메시지 작성, 보내기 또는 받기는 감사되지 않습니다. 또한 사서함 폴더 만들기는 감사되지 않습니다. * *
FolderBind 사서함 폴더에 액세스했습니다. 관리자 또는 대리인이 사서함을 열 때에도 작업이 기록됩니다.

참고: 대리자에서 수행하는 폴더 바인딩 작업에 대한 감사 레코드가 통합됩니다. 24시간 내에 개별 폴더 액세스에 대해 하나의 감사 레코드가 생성됩니다.
HardDelete 메시지가 복구 가능한 항목 폴더에서 제거되었습니다. * * *
MailboxLogin 사용자가 사서함에 로그인했습니다.
MailItemsAccessed 참고: 이 값은 E5/A5/G5 라이선스가 있는 사용자만 사용할 수 있습니다. 자세한 내용은 Microsoft Purview 감사 설정(프리미엄)을 참조하세요.

메일 프로토콜 및 클라이언트에서 메일 데이터에 액세스할 때 발생합니다.		 * * *
MessageBind 참고: 이 값은 E5/A5/G5 라이선스 가 없는 사용자만 사용할 수 있습니다.

미리 보기 창에서 메시지를 보거나 관리자가 열었습니다.
ModifyFolderPermissions 이 값은 사서함 작업으로 허용되지만 UpdateFolderPermissions 작업에 이미 포함되어 있으며 별도로 감사되지 않습니다. 즉, 이 값을 사용하지 마세요.
이동 메시지가 다른 폴더로 이동되었습니다.
MoveToDeletedItems 메시지가 삭제되어 지운 편지함 폴더로 이동되었습니다. * * *
RecordDelete 레코드로 레이블이 지정된 항목이 일시 삭제되었습니다(복구 가능한 항목 폴더로 이동). 레코드로 레이블이 지정된 항목은 영구적으로 삭제할 수 없습니다(복구 가능한 항목 폴더에서 제거됨).
RemoveFolderPermissions 이 값은 사서함 작업으로 허용되지만 UpdateFolderPermissions 작업에 이미 포함되어 있으며 별도로 감사되지 않습니다. 즉, 이 값을 사용하지 마세요.
SearchQueryInitiated 참고: 이 값은 E5/A5/G5 라이선스가 있는 사용자만 사용할 수 있습니다. 자세한 내용은 Microsoft Purview 감사 설정(프리미엄)을 참조하세요.

사용자는 Outlook(Windows, Mac, iOS, Android 또는 웹용 Outlook) 또는 메일 앱을 사용하여 Windows 10 사서함에서 항목을 검색합니다.
보내기 참고: 이 값은 E5/A5/G5 라이선스가 있는 사용자만 사용할 수 있습니다. 자세한 내용은 Microsoft Purview 감사 설정(프리미엄)을 참조하세요.

사용자가 전자 메일 메시지를 보내거나, 전자 메일 메시지에 회신하거나, 전자 메일 메시지를 전달합니다.		 * *
SendAs SendAs 권한을 사용하여 메시지가 전송되었습니다. 이 권한을 사용하면 다른 사용자가 사서함 소유자로부터 온 것처럼 메시지를 보낼 수 있습니다. * *
SendOnBehalf SendOnBehalf 권한을 사용하여 메시지가 전송되었습니다. 이 권한을 사용하면 다른 사용자가 사서함 소유자를 대신하여 메시지를 보낼 수 있습니다. 이 메시지는 메시지가 대신 전송된 사람과 실제로 메시지를 보낸 사람을 받는 사람에게 알립니다. * *
SoftDelete 지운 편지함 폴더에서 메시지가 영구적으로 삭제 또는 삭제되었습니다. 소프트 삭제된 항목이 복구 가능한 항목 폴더로 이동됩니다. * * *
업데이트 메시지 또는 해당 속성이 변경되었습니다. * * *
UpdateCalendarDelegation 일정 위임이 사서함에 할당되었습니다. 일정 위임 기능을 사용하여 같은 조직의 다른 사용자가 사서함 소유자의 일정을 관리할 수 있습니다. * *
UpdateFolderPermissions 폴더 권한이 변경되었습니다. 폴더 사용 권한은 사서함의 폴더와 해당 폴더에 있는 메시지에 액세스할 수 있는 조직의 사용자를 제어합니다. * * *
UpdateInboxRules 받은 편지함 규칙이 추가, 제거 또는 변경되었습니다. 받은 편지함 규칙은 조건에 따라 사용자의 받은 편지함에서 메시지를 처리합니다. 작업은 규칙의 조건과 일치하는 메시지에 수행할 작업을 지정합니다. 예를 들어 메시지를 지정된 폴더로 이동하거나 메시지를 삭제합니다. * * *

중요

organization 기본적으로 사서함 감사가 켜지기 전에 감사할 사서함 작업을 사용자 지정한 경우 사용자 지정된 사서함 감사 설정은 사서함에 유지되며 이 섹션에 설명된 대로 기본 사서함 작업으로 덮어쓰지 않습니다. 감사 사서함 작업을 기본값으로 되돌리기(언제든지 수행할 수 있음) 이 문서의 뒷부분에 있는 기본 사서함 작업 복원 섹션을 참조하세요.

Microsoft 365 그룹 사서함에 대한 사서함 작업

기본적으로 사서함 감사는 Microsoft 365 그룹 사서함에 사서함 감사 로깅을 제공하지만 기록되는 항목을 사용자 지정할 수 없습니다(로그인 유형에 대해 기록된 사서함 작업을 추가하거나 제거할 수 없음).

다음 표에서는 각 로그인 유형에 대한 Microsoft 365 그룹 사서함에 기본적으로 기록되는 사서함 작업에 대해 설명합니다.

Microsoft 365 그룹 사서함에 대한 모든 권한이 있는 관리자는 대리인으로 간주됩니다.

사서함 작업 설명 관리자 대리인 소유자
만들기 일정 항목 만들기 메시지 작성, 보내기 또는 받기는 감사되지 않습니다. * *
HardDelete 메시지가 복구 가능한 항목 폴더에서 제거되었습니다. * * *
MoveToDeletedItems 메시지가 삭제되어 지운 편지함 폴더로 이동되었습니다. * * *
SendAs SendAs 권한을 사용하여 메시지가 전송되었습니다. * *
SendOnBehalf SendOnBehalf 권한을 사용하여 메시지가 전송되었습니다. * *
SoftDelete 지운 편지함 폴더에서 메시지가 영구적으로 삭제 또는 삭제되었습니다. 소프트 삭제된 항목이 복구 가능한 항목 폴더로 이동됩니다. * * *
업데이트 메시지 또는 해당 속성이 변경되었습니다. * * *

각 로그인 유형에 대해 기본 사서함 작업이 기록되고 있는지 확인합니다.

기본적으로 에 대한 사서함 감사는 모든 사서함에 새 DefaultAuditSet 속성을 추가합니다. 이 속성의 값은 기본 사서함 작업(Microsoft에서 관리)이 사서함에서 감사되는지 여부를 나타냅니다.

사용자 사서함 또는 공유 사서함<의 값을 표시하려면 MailboxIdentity>를 사서함의 이름, 별칭, 전자 메일 주소 또는 사용자 계정 이름(사용자 이름)으로 바꾸고 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

Microsoft 365 그룹 사서함에 값을 표시하려면 MailboxIdentity>를 공유 사서함의 이름, 별칭 또는 전자 메일 주소로 바꾸고 <Exchange Online PowerShell에서 다음 명령을 실행합니다.

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

Admin, Delegate, Owner 은 다음을 나타냅니다.

  • 세 가지 로그인 유형 모두에 대한 기본 사서함 작업이 감사되고 있습니다. 이 값은 Microsoft 365 그룹 사서함에 표시되는 유일한 값입니다.
  • 관리자는 사용자 사서함 또는 공유 사서함의 로그인 유형에 대해 감사된 사서함 작업을 변경하지 않았습니다 .

관리자가 로그인 유형에 대해 감사되는 사서함 작업을 변경한 적이 있는 경우(Set-Mailbox cmdlet에서 AuditAdmin, AuditDelegate 또는 AuditOwner 매개 변수 사용) 속성 값이 다릅니다.

예를 들어 사용자 사서함 또는 공유 사서함의 DefaultAuditSet 속성 값 Owner 은 다음을 나타냅니다.

  • 사서함 소유자에 대한 기본 사서함 작업이 감사되고 있습니다.
  • Admin 로그인 유형에 Delegate 대한 감사된 사서함 작업이 기본 작업에서 변경되었습니다.

DefaultAuditSet 속성의 빈 값은 사용자 사서함 또는 공유 사서함에서 세 가지 로그인 유형 모두에 대한 사서함 작업이 변경되었음을 나타냅니다.

자세한 내용은 이 문서의 기본값으로 기록된 사서함 작업 변경 또는 복원 섹션을 참조하세요.

사서함에 로그온 중인 사서함 작업 표시

현재 사용자 사서함 또는 공유 사서함<에 로그온 중인 사서함 작업을 보려면 MailboxIdentity>를 사서함의 이름, 별칭, 전자 메일 주소 또는 사용자 계정 이름(사용자 이름)으로 바꾸고 Exchange Online PowerShell에서 다음 명령 중 하나 이상을 실행합니다.

참고

Microsoft 365 그룹 사서함에 대한 다음 Get-Mailbox 명령에 스위치를 추가할 -GroupMailbox 수 있지만 반환되는 값은 믿지 않습니다. Microsoft 365 그룹 사서함에 대해 감사되는 기본 및 정적 사서함 작업은 이 문서의 앞부분에 있는 Microsoft 365 그룹 사서함에 대한 사서함 작업 섹션에 설명되어 있습니다.

소유자 작업

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

대리자 작업

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

관리 작업

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

기본적으로 기록된 사서함 작업 변경 또는 복원

앞에서 설명한 것처럼 기본적으로 사서함 감사를 수행할 때의 주요 이점 중 하나는 감사되는 사서함 작업을 관리할 필요가 없다는 것입니다. Microsoft는 사용자를 위한 작업을 관리하며, 새 사서함 작업이 릴리스될 때 기본적으로 감사할 새 사서함 작업을 자동으로 추가합니다.

그러나 사용자 사서함 및 공유 사서함에 대한 다른 사서함 작업 집합을 감사하려면 organization 필요할 수 있습니다. 이 섹션의 절차에서는 각 로그인 유형에 대해 감사되는 사서함 작업을 변경하는 방법과 Microsoft 관리 기본 작업으로 다시 되돌리기 방법을 보여 줍니다.

중요

다음 절차를 사용하여 사용자 사서함 또는 공유 사서함에 로그온된 사서함 작업을 사용자 지정하는 경우 Microsoft에서 릴리스한 모든 새 기본 사서함 작업은 해당 사서함에 대해 자동으로 감사되지 않습니다. 사용자 지정된 작업 목록에 새 사서함 작업을 수동으로 추가해야 합니다.

감사하도록 사서함 작업 변경

Set-Mailbox cmdlet에서 AuditAdmin, AuditDelegate 또는 AuditOwner 매개 변수를 사용하여 사용자 사서함 및 공유 사서함에 대해 감사되는 사서함 작업을 변경할 수 있습니다(Microsoft 365 그룹 사서함에 대한 감사 작업은 사용자 지정할 수 없음).

두 가지 방법을 사용하여 사서함 작업을 지정할 수 있습니다.

  • 구문을 action1,action2,...actionN사용하여 기존 사서함 작업을 대체(덮어쓰기)합니다.
  • 또는 구문을 @{Add="action1","action2",..."actionN"} 사용하여 다른 기존 값에 영향을 주지 않고 사서함 작업을 추가하거나 @{Remove="action1","action2",..."actionN"}제거합니다.

다음은 SoftDelete 및 HardDelete를 사용하여 기본 작업을 덮어쓰어 "Gabriela Laureano"라는 사서함의 관리자 사서함 작업을 변경하는 예제입니다.

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

다음은 MailboxLogin 소유자 작업을 사서함 laura@contoso.onmicrosoft.com에 추가하는 예제입니다.

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

다음은 팀 토론 사서함에 대한 MoveToDeletedItems 대리자 작업을 제거하는 예제입니다.

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

사용하는 방법에 관계없이 사용자 사서함 또는 공유 사서함에서 감사된 사서함 작업을 사용자 지정하면 다음과 같은 결과가 발생합니다.

  • 사용자 지정한 로그인 유형의 경우 감사된 사서함 작업은 더 이상 Microsoft에서 관리되지 않습니다.
  • 사용자 지정한 로그인 유형은 이전에 설명한 대로 사서함의 DefaultAuditSet 속성 값에 더 이상 표시되지 않습니다.

기본 사서함 작업 복원

참고

다음 절차는 Microsoft 365 그룹 사서함에 적용되지 않습니다( 여기에 설명된 대로 기본 작업으로 제한됨).

사용자 사서함 또는 공유 사서함에서 감사되는 사서함 작업을 사용자 지정한 경우 다음 구문을 사용하여 하나 또는 모든 로그인 유형에 대한 기본 사서함 작업을 복원할 수 있습니다.

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

여러 DefaultAuditSet 값을 쉼표로 구분하여 지정할 수 있습니다.

다음은 사서함의 모든 로그인 유형에 대해 감사된 기본 사서함 작업을 복원하는 예제입니다 mark@contoso.onmicrosoft.com.

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

다음은 사서함의 관리 로그인 유형에 대해 감사된 기본 사서함 chris@contoso.onmicrosoft.com작업을 복원하는 예제이지만 위임 및 소유자 로그인 유형에 대해 사용자 지정된 감사 사서함 작업을 그대로 둡니다.

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

로그인 유형에 대한 기본 감사 사서함 작업을 복원하면 다음과 같은 결과가 발생합니다.

  • 현재 사서함 작업 목록은 로그인 유형에 대한 기본 사서함 작업으로 대체됩니다.
  • Microsoft에서 릴리스한 모든 새 사서함 작업은 로그인 유형에 대한 감사된 작업 목록에 자동으로 추가됩니다.
  • 복원된 로그인 유형을 포함하도록 사서함의 DefaultAuditSet 속성 값이 업데이트됩니다.

organization 대해 기본적으로 사서함 감사 끄기

Exchange Online PowerShell에서 다음 명령을 실행하여 전체 organization 대해 기본적으로 사서함 감사를 해제할 수 있습니다.

Set-OrganizationConfig -AuditDisabled $true

기본적으로 사서함 감사를 해제하면 다음과 같은 결과가 발생합니다.

  • organization 대해 사서함 감사가 꺼져 있습니다.
  • 사서함 감사를 기본적으로 해제할 때부터 사서함 감사가 사서함에서 사용하도록 설정된 경우에도 사서함 작업이 감사되지 않습니다(사서함의 AuditEnabled 속성은 True임).
  • 새 사서함에 대해 사서함 감사가 켜져 있지 않으며 새 사서함 또는 기존 사서함의 AuditEnabled 속성을 True 로 설정하는 것은 무시됩니다.
  • 모든 사서함 감사 바이패스 연결 설정( Set-MailboxAuditBypassAssociation cmdlet을 사용하여 구성됨)은 무시됩니다.
  • 기존 사서함 감사 레코드는 레코드에 대한 감사 로그 기간 제한이 만료될 때까지 유지됩니다.

기본적으로 사서함 감사 켜기

organization 대한 사서함 감사를 다시 켜려면 powerShell을 Exchange Online 다음 명령을 실행합니다.

Set-OrganizationConfig -AuditDisabled $false

사서함 감사 로깅 우회

현재 조직의 사서함 감사 기본 사용이 켜져 있으면 특정 사서함에 대한 사서함 감사를 사용하지 않도록 설정할 수 없습니다. 예를 들어 AuditEnabled 사서함 속성을 False 로 설정하면 무시됩니다.

그러나 Exchange Online PowerShell에서 Set-MailboxAuditBypassAssociation cmdlet을 사용하여 작업이 발생하는 위치에 관계없이 지정된 사용자의 모든 사서함 작업이 기록되지 않도록 할 수 있습니다. 예시:

  • 바이패스된 사용자가 수행한 사서함 소유자 작업은 기록되지 않습니다.
  • 다른 사용자의 사서함(공유 사서함 포함)에서 바이패스된 사용자가 수행한 대리자 작업은 기록되지 않습니다.
  • 바이패스된 사용자가 수행한 관리 작업은 기록되지 않습니다.

특정 사용자에 대한 사서함 감사 로깅을 우회하려면 <MailboxIdentity>를 사용자의 이름, 전자 메일 주소, 별칭 또는 사용자 계정 이름(사용자 이름)으로 바꾸고 다음 명령을 실행합니다.

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

지정된 사용자에 대해 감사가 우회되었는지 확인하려면 다음 명령을 실행합니다.

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

True 값은 사서함 감사 로깅이 사용자에 대해 무시됨을 나타냅니다.

추가 정보

  • 기본적으로 사서함 감사 로그 레코드는 삭제되기 전에 90일 동안 보존됩니다. Exchange Online PowerShell의 Set-Mailbox cmdlet에서 AuditLogAgeLimit 매개 변수를 사용하여 감사 로그 레코드의 연령 제한을 변경할 수 있습니다. 그러나 이 값을 늘리면 감사 로그에서 90일보다 오래된 이벤트를 검색할 수 없습니다.

    연령 제한을 늘리면 Exchange Online PowerShell에서 Search-MailboxAuditLog cmdlet을 사용하여 사용자의 사서함 감사 로그에서 90일보다 오래된 레코드를 검색해야 합니다.

  • 사서함 감사가 organization 대해 기본적으로 설정되기 전에 사서함에 대한 AuditLogAgeLimit 속성을 변경한 경우 사서함의 기존 감사 로그 기간 제한은 변경되지 않습니다. 즉, 기본적으로 에 대한 사서함 감사는 사서함 감사 레코드의 현재 연령 제한에 영향을 주지 않습니다.

  • Microsoft 365 그룹 사서함에서 AuditLogAgeLimit 값을 변경하려면 Set-Mailbox 명령에 스위치를 포함 -GroupMailbox 해야 합니다.

  • 사서함 감사 로그 레코드는 각 사용자의 사서함에 있는 복구 가능한 항목 폴더의 하위 폴더( Audits)에 저장됩니다. 사서함 감사 레코드 및 복구 가능한 항목 폴더에 대해 다음 사항에 유의하세요.

    • 사서함 감사 레코드는 기본적으로 30GB(경고 할당량은 20GB)인 복구 가능한 항목 폴더의 스토리지 할당량에 대한 수입니다. 스토리지 할당량은 다음과 같은 경우 자동으로 100GB(90GB 경고 할당량 포함)로 증가합니다.

      • 사서함에 보류가 배치됩니다.
      • 사서함은 Microsoft Purview 포털 또는 규정 준수 포털의 보존 정책에 할당됩니다.

    • 사서함 감사 레코드는 복구 가능한 항목 폴더의 폴더 제한에 대해서도 계산됩니다. 감사 하위 폴더에 최대 300만 개의 항목(감사 레코드)을 저장할 수 있습니다.

      참고

      기본적으로 에 대한 사서함 감사는 복구 가능한 항목 폴더의 스토리지 할당량 또는 폴더 제한에 영향을 주지 않을 수 있습니다.

      • Exchange Online PowerShell에서 다음 명령을 실행하여 복구 가능한 항목 폴더의 Audits 하위 폴더에 있는 항목의 크기와 수를 표시할 수 있습니다.

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder

      • 복구 가능한 항목 폴더의 감사 로그 레코드에 직접 액세스할 수 없습니다. 대신 Search-MailboxAuditLog cmdlet을 사용하거나 감사 로그를 검색하여 사서함 감사 레코드를 찾아 봅니다.

  • 사서함이 보류 중이거나 보존 정책에 할당된 경우 감사 로그 레코드는 사서함의 AuditLogAgeLimit 속성(기본적으로 90일)에 정의된 기간 동안 계속 유지됩니다. 보류 중인 사서함에 대한 감사 로그 레코드를 더 오래 유지하려면 사서함의 AuditLogAgeLimit 값을 늘려야 합니다.

  • 다중 지역 환경에서는 지역 간 사서함 감사가 지원되지 않습니다. 예를 들어 사용자에게 다른 지리적 위치의 공유 사서함에 액세스할 수 있는 권한이 할당된 경우 해당 사용자가 수행한 사서함 작업은 공유 사서함의 사서함 감사 로그에 기록되지 않습니다. Exchange 관리자 감사 이벤트는 Microsoft PurviewSearch-UnifiedAuditLog cmdlet을 통해 모든 위치에 사용할 수 있습니다.