eDiscovery에 대한 권한 필터링 구성
팁
eDiscovery(미리 보기)는 이제 새 Microsoft Purview 포털에서 사용할 수 있습니다. 새 eDiscovery 환경을 사용하는 방법에 대한 자세한 내용은 eDiscovery에 대한 자세한 정보(미리 보기)를 참조하세요.
검색 권한 필터링을 사용하여 eDiscovery 관리자가 조직의 사서함 및 사이트 하위 집합만 검색할 수 있습니다. 또한 권한 필터링을 사용하여 동일한 eDiscovery 관리자가 특정 검색 조건을 충족하는 사서함 또는 사이트 콘텐츠만 검색하도록 할 수도 있습니다.
예를 들어 eDiscovery 관리자가 특정 위치 또는 부서에서 사용자의 사서함만 검색하도록 할 수 있습니다. 지원되는 받는 사람 필터를 사용하여 특정 사용자 또는 사용자 그룹이 검색할 수 있는 사서함을 제한하는 필터를 만들어 이 작업을 수행합니다. 사용자가 검색할 수 있는 사서함 콘텐츠를 지정하는 필터를 만들 수도 있습니다. 이 작업은 검색 가능한 메시지 속성을 사용하는 필터를 만들어 수행합니다. 마찬가지로 eDiscovery 관리자가 조직의 특정 SharePoint 사이트만 검색하도록 할 수 있습니다. 이 작업은 검색할 수 있는 사이트를 제한하는 필터를 만들어 수행합니다. 검색할 수 있는 사이트 콘텐츠를 지정하는 필터를 만들 수도 있습니다. 이 작업은 검색 가능한 사이트 속성을 사용하는 필터를 만들어 수행합니다.
검색 권한 필터는 Microsoft Purview 규정 준수 포털에서 콘텐츠 검색, Microsoft Purview eDiscovery(표준) 및 Microsoft Purview eDiscovery(프리미엄)를 사용하여 콘텐츠를 검색할 때 적용됩니다. 검색 권한 필터가 특정 사용자에게 적용되는 경우 해당 사용자는 다음 검색 관련 작업을 수행할 수 있습니다.
- 콘텐츠 검색
- 검색 결과 미리 보기
- 검색 결과 내보내기
- 검색에서 반환된 항목 제거
검색 권한 필터링을 사용하여 특정 eDiscovery 관리자가 검색할 수 있는 사용자 콘텐츠 위치(예: 사서함, SharePoint 사이트 및 OneDrive 계정)를 제어하는 조직 내에서 논리적 경계( 규정 준수 경계라고 함)를 만들 수도 있습니다. 자세한 내용은 eDiscovery 조사를 위한 규정 준수 경계 설정을 참조하세요.
Security & Compliance PowerShell의 다음 4 cmdlet을 사용하면 검색 권한 필터를 구성하고 관리할 수 있습니다.
- New-ComplianceSecurityFilter
- Get-ComplianceSecurityFilter
- Set-ComplianceSecurityFilter
- Remove-ComplianceSecurityFilter
팁
E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.
권한 필터링을 구성하기 위한 요구 사항
- 규정 준수 보안 필터 cmdlet을 실행하려면 규정 준수 포털에서 조직 관리 역할 그룹의 구성원이어야 합니다. 자세한 내용은 보안 및 준수 센터의 사용 권한을 참조하세요.
- 규정 준수 보안 필터 cmdlet을 사용하려면 Exchange Online 및 보안 & 준수 PowerShell 모두에 연결해야 합니다. 이러한 cmdlet은 사서함 속성에 대한 액세스 권한이 필요하므로 Exchange Online PowerShell에 연결해야 합니다. 다음 섹션의 단계를 참조하세요.
- 검색 권한 필터에 대한 자세한 내용은 More information 섹션을 참조하세요.
- 검색 권한 필터링은 비활성 사서함에 적용됩니다. 즉, 사서함 및 사서함 콘텐츠 필터링을 사용하여 비활성 사서함을 검색할 수 있는 사용자를 제한할 수 있습니다. 권한 필터링 및 비활성 사서함에 대한 자세한 내용은 추가 정보 섹션을 참조하세요.
- 검색 권한 필터링은 Exchange에서 공용 폴더를 검색할 수 있는 사람을 제한하는 데 사용할 수 없습니다.
- 조직에서 만들 수 있는 검색 권한 필터 수에는 제한이 없습니다. 그러나 검색 쿼리에는 최대 100 개의 조건이 있을 수 있습니다. 이 경우 조건은 부울 연산자(예: AND, OR 및 NEAR)에 의해 쿼리에 연결된 것으로 정의됩니다. 조건 수 제한에는 검색 쿼리 자체와 검색을 실행하는 사용자에게 적용되는 모든 검색 권한 필터가 포함됩니다. 따라서 사용자가 가진 검색 권한 필터가 많을수록(특히 이러한 필터가 동일한 사용자 또는 사용자 그룹에 적용되는 경우) 검색의 최대 조건 수를 초과할 가능성이 높아집니다. 조직에서 조건 제한에 도달하지 못하도록 하려면 조직의 검색 권한 필터 수를 비즈니스 요구 사항을 충족하기 위해 가능한 한 적게 유지합니다. 자세한 내용은 eDiscovery 조사를 위한 규정 준수 경계 설정을 참조하세요.
단일 세션에서 Exchange Online 및 보안 & 준수 PowerShell에 연결
이 섹션에서 스크립트를 성공적으로 실행하려면 Exchange Online PowerShell 모듈을 다운로드하여 설치해야 합니다. 자세한 내용은 Exchange Online PowerShell 모듈 설치 및 유지 관리를 참조하세요.
.ps1파일 이름 접미사를 사용하여 다음 텍스트를 Windows PowerShell 스크립트 파일에 저장 합니다. 예를 들어 ConnectEXO-SCC.ps1파일에 저장할 수 있습니다.
Import-Module ExchangeOnlineManagement $UserCredential = Get-Credential Connect-ExchangeOnline -Credential $UserCredential -ShowBanner:$false Connect-IPPSSession -Credential $UserCredential $Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Exchange Online + Security & Compliance)"
로컬 컴퓨터에서 Windows PowerShell을 열고 이전 단계에서 만든 스크립트가 있는 폴더로 이동한 다음 스크립트를 실행합니다. 예를 들어:
.\ConnectEXO-SCC.ps1
작동 여부는 어떻게 확인하나요? 스크립트를 실행한 후 Exchange Online PowerShell 및 보안 & 준수 PowerShell의 cmdlet을 사용할 수 있습니다. 오류가 발생하지 않으면 정상적으로 연결된 것입니다. 빠른 테스트는 Exchange Online PowerShell 및 보안 & 준수 PowerShell cmdlet을 실행하는 것입니다. 예를 들어 Get-Mailbox 및 Get-ComplianceSearch를 실행하고 실행할 수 있습니다.
PowerShell 연결 오류 문제를 해결하려면 다음을 참조하세요.
New-ComplianceSecurityFilter
New-ComplianceSecurityFilter cmdlet은 검색 권한 필터를 만드는 데 사용됩니다. 이 cmdlet의 기본 구문은 다음과 같습니다.
New-ComplianceSecurityFilter -FilterName <name of filter> -Users <user or role group> -Filters <filter>
다음 섹션에서는 이 cmdlet의 매개 변수에 대해 설명합니다. 검색 권한 필터를 만들려면 모든 매개 변수가 필요합니다.
FilterName
FilterName 매개 변수는 권한 필터의 이름을 지정합니다. 이 이름은 Get-ComplianceSecurityFilter, Set-ComplianceSecurityFilter 및 Remove-ComplianceSecurityFilter cmdlet을 사용할 때 필터를 식별하는 데 사용됩니다.
필터
Filters 매개 변수는 준수 보안 필터의 검색 조건을 지정합니다. 다음과 같은 세 가지 유형의 필터를 만들 수 있습니다.
사서함 또는 OneDrive 필터링: 이 유형의 필터는 사서함을 지정하고 할당된 사용자( Users 매개 변수로 지정됨)가 검색할 수 있는 OneDrive 계정을 지정합니다. 이 유형의 필터는 사용자가 검색할 수 있는 콘텐츠 위치를 정의하기 때문에 콘텐츠 위치 필터라고 합니다. 이 유형의 필터에 대한 구문은 Mailbox_MailboxPropertyName입니다. 여기서 MailboxPropertyName 은 검색할 수 있는 사서함 및 OneDrive 계정의 범위를 지정하는 데 사용되는 사서함 속성을 지정합니다. 예를 들어 사서함 필터를 사용하면 이 필터
"Mailbox_CustomAttribute10 -eq 'OttawaUsers'"
를 할당받은 사용자가 CustomAttribute10 속성에 "OttawaUsers" 값이 있는 사서함 및 OneDrive 계정만 검색할 수 있습니다.사서함 또는 OneDrive 필터의 MailboxPropertyName 속성에 지원되는 필터링 가능한 받는 사람 속성을 사용할 수 있습니다. 다음 표에는 사서함 또는 OneDrive 필터를 만드는 데 일반적으로 사용되는 4개의 받는 사람 속성이 나와 있습니다. 테이블에는 필터에서 속성을 사용하는 예제도 포함되어 있습니다.
속성 이름 예제 별칭 "Mailbox_Alias -like 'v-'"
Company "Mailbox_Company -eq 'Contoso'"
CountryOrRegion "Mailbox_CountryOrRegion -eq 'United States'"
부서 "Mailbox_Department -eq 'Finance'"
사서함 콘텐츠 필터링: 이 유형의 필터는 검색할 수 있는 콘텐츠에 적용됩니다. 이 유형의 필터는 할당된 사용자가 검색할 수 있는 사서함 콘텐츠 또는 검색 가능한 전자 메일 속성을 지정하기 때문에 콘텐츠 필터 라고 합니다. 이 유형의 필터에 대한 구문은 MailboxContent_SearchablePropertyName입니다. 여기서 SearchablePropertyName 은 검색에서 지정할 수 있는 KQL(키워드 쿼리 언어) 속성을 지정합니다. 예를 들어 사서함 콘텐츠 필터
"MailboxContent_Recipients -like 'contoso.com'"
를 사용하면 이 필터를 할당받은 사용자가 contoso.com 도메인의 받는 사람에게 보낸 메시지만 검색할 수 있습니다. 검색 가능한 전자 메일 속성 목록은 eDiscovery에 대한 키워드 쿼리 및 검색 조건을 참조하세요.중요
단일 검색 필터에는 사서함 필터 및 사서함 콘텐츠 필터가 포함될 수 없습니다. 이러한 필터를 단일 필터에 결합하려면 필터 목록을 사용해야 합니다. 그러나 필터는 동일한 유형의 더 복잡한 쿼리를 포함할 수 있습니다. 예를 들면
"Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"
사이트 및 사이트 콘텐츠 필터링: 할당된 사용자가 검색할 수 있는 사이트 또는 사이트 콘텐츠를 지정하는 데 사용할 수 있는 두 개의 SharePoint 및 OneDrive 관련 필터가 있습니다.
- Site_QueryableSiteProperty
- SiteContent_QueryableSiteProperty
이 두 필터는 상호 교환이 가능합니다. 예를 들어 및
"SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'"
는"Site_Path -like 'https://contoso.sharepoint.com/sites/doctors'"
동일한 결과를 반환합니다. 검색 가능한 사이트 속성 목록은 키워드 쿼리 및 eDiscovery에 대한 검색 조건을 참조하세요. 자세한 내용은 SharePoint의 크롤링 및 관리 속성 개요를 참조하세요. 쿼리 가능 열에 예로 표시된 속성을 사용하여 사이트 또는 사이트 콘텐츠 필터를 만들 수 있습니다.중요
지원되는 속성 중 하나를 사용하여 사이트 필터를 설정한다고 해서 필터의 사이트 속성이 해당 사이트의 모든 문서에 전파되는 것은 아닙니다. 즉, 사용자는 사이트 필터가 작동하고 올바른 콘텐츠를 캡처하기 위해 해당 사이트의 문서와 연결된 특정 속성 필드를 채울 책임이 있습니다. 예를 들어 사용자에게 "Site_RefineableString00 -eq 'abc'"가 적용된 보안 필터가 있는 경우 사용자는 키워드 쿼리 "xyz"를 사용하여 검색을 실행합니다. 보안 필터가 쿼리에 추가되고 실행 중인 실제 쿼리는 "xyz AND RefineableString0:'abc'"입니다. 사용자는 사이트의 문서에 실제로 RefineableString00 필드의 값이 "abc"인지 확인해야 합니다. 그렇지 않은 경우 검색 쿼리는 결과를 반환하지 않습니다.
검색 권한 필터에 대해 Filters 매개 변수를 구성할 때 다음 고려 사항을 염두에 두세요.
- 사서함과 달리 사이트 필터가 위치 필터처럼 보이는 경우에도 사이트에 대한 콘텐츠 위치 필터가 없습니다. SharePoint 및 OneDrive에 대한 모든 필터는 콘텐츠 필터( Site_ 및 SiteContent_ 필터를 교환할 수 있는 이유이기도 함)입니다. 경로 와 같은 사이트 관련 속성은 문서에 직접 스탬프가 찍기 때문입니다. 왜 이것인가요? 이는 SharePoint가 디자인된 방식의 결과입니다. SharePoint에는 Exchange 사서함이 있는 것처럼 속성이 있는 "사이트 개체"가 없습니다. 따라서 Path 속성은 문서에 스탬프를 찍고 문서가 있는 사이트의 URL을 포함합니다. 사이트 필터가 콘텐츠 위치 필터가 아닌 콘텐츠 필터로 간주되는 이유입니다.
- 사용자가 특정 서비스의 콘텐츠 위치를 검색하지 못하도록 명시적으로 방지하기 위해 검색 권한 필터를 만들어야 합니다(예: 사용자가 Exchange 사서함 또는 SharePoint 사이트를 검색하지 못하도록 방지). 즉, 사용자가 조직의 모든 SharePoint 사이트를 검색할 수 있도록 허용하는 검색 권한 필터를 만들어도 해당 사용자가 사서함을 검색할 수 있습니다. 예를 들어 SharePoint 관리자가 SharePoint 사이트만 검색할 수 있도록 하려면 사서함을 검색하지 못하도록 하는 필터를 만들어야 합니다. 마찬가지로 Exchange 관리자가 사서함만 검색할 수 있도록 하려면 사이트를 검색하지 못하도록 하는 필터를 만들어야 합니다.
사용자
Users 매개 변수는 이 필터를 검색에 적용하는 사용자를 지정합니다. 별칭 또는 기본 SMTP 주소로 사용자를 식별합니다. 여러 값을 쉼표로 구분하여 지정하거나 All 값을 사용하여 모든 사용자에게 필터를 할당할 수 있습니다.
Users 매개 변수를 사용하여 규정 준수 포털 역할 그룹을 지정할 수도 있습니다. 이렇게 하면 사용자 지정 역할 그룹을 만든 다음 해당 역할 그룹에 검색 권한 필터를 할당할 수 있습니다. 예를 들어 다국적 기업의 미국 자회사에 대한 eDiscovery 관리자를 위한 사용자 지정 역할 그룹이 있다고 가정해 보겠습니다. Users 매개 변수를 사용하여 역할 그룹의 Name 속성을 사용하여 이 역할 그룹을 지정한 다음 Filter 매개 변수를 사용하여 미국의 사서함만 검색할 수 있도록 할 수 있습니다. 이 매개 변수를 사용하여 메일 그룹을 지정할 수 없습니다.|
필터 목록을 사용하여 필터 형식 결합
필터 목록은 사서함 필터와 쉼표로 구분된 사이트 필터를 포함하는 필터입니다. 이 쉼표는 OR 연산자로도 작동합니다. 필터 목록을 사용하는 것은 다양한 유형의 필터를 결합하는 데 유일하게 지원되는 방법입니다. 다음 예제에서는 쉼표가 사서함 및 사이트 필터를 구분합니다.
-Filters "Mailbox_CustomAttribute10 -eq 'OttawaUsers'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'"
검색을 실행하는 동안 필터 목록이 포함된 필터가 처리되면 필터 목록에서 두 개의 검색 권한 필터가 만들어집니다. 하나는 쉼표로 구분된 각 필터에 대해 하나씩입니다. 따라서 이전 예제에서는 하나의 사서함 검색 권한 필터와 하나의 사이트 검색 권한 필터가 만들어집니다. 이러한 필터는 OR 연산자에 의해 연결됩니다.
필터 목록을 사용하는 대신 두 개의 별도 검색 권한 필터를 만드는 것입니다. 따라서 이전 예제에서는 사서함 특성에 대한 필터 하나와 사이트 특성에 대한 필터 하나를 만듭니다. 두 경우 모두 결과는 동일합니다. 필터 목록을 사용하거나 별도의 검색 권한 필터를 만드는 것은 기본 설정의 문제입니다.
필터 목록을 사용하는 방법에 대해 다음 사항에 유의하세요.
필터 목록을 사용하여 사서함 필터 및 MailboxContent 필터를 포함하는 필터를 만들어야 합니다.
필터 목록의 각 구성 요소에는 복잡한 필터 구문이 포함될 수 있습니다. 예를 들어 사서함 및 사이트 필터에는 -또는 운영자로 구분된 여러 필터가 포함될 수 있습니다.
-Filters "Mailbox_Department -eq 'CohoWinery' -or Mailbox_CustomAttribute10 -eq 'CohoUsers'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'"
검색 권한 필터 생성의 예
다음은 New-ComplianceSecurityFilter cmdlet을 사용하여 검색 권한 필터를 만드는 예입니다.
이 예제에서는 "미국 검색 관리자" 역할 그룹의 구성원이 미국의 사서함 및 OneDrive 계정만 검색할 수 있도록 합니다.
New-ComplianceSecurityFilter -FilterName USDiscoveryManagers -Users "US Discovery Managers" -Filters "Mailbox_CountryOrRegion -eq 'United States'"
이 예제에서는 사용자가 annb@contoso.com 캐나다의 사서함 및 OneDrive 계정에 대해서만 검색 작업을 수행할 수 있습니다. 이 필터에는 ISO 3166-1의 3자리 캐나다 국가 코드가 포함되어 있습니다.
New-ComplianceSecurityFilter -FilterName CountryFilter -Users annb@contoso.com -Filters "Mailbox_CountryCode -eq '124'"
이 예제에서는 donh 및 suzanf 사용자가 CustomAttribute1 사서함 속성에 대한 'Marketing' 값이 있는 사서함 및 OneDrive 계정만 검색할 수 있습니다.
New-ComplianceSecurityFilter -FilterName MarketingFilter -Users donh,suzanf -Filters "Mailbox_CustomAttribute1 -eq 'Marketing'"
이 예제에서는 "Fourth Coffee eDiscovery Manager" 역할 그룹의 구성원이 부서 사서함 속성에 대해 'FourthCoffee' 값이 있는 사서함 및 OneDrive 계정만 검색할 수 있도록 합니다. 또한 필터를 사용하면 역할 그룹 구성원이 Fourth Coffee SharePoint 사이트에서 문서를 검색할 수 있습니다.
New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"
참고
이전 예제에서는 역할 그룹 구성원이 OneDrive 계정에서 문서를 검색할 수 있도록 추가 사이트 콘텐츠 필터(SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'
)를 포함해야 합니다. 이 필터가 포함되지 않은 경우 필터는 역할 그룹 구성원이 에 https://contoso.sharepoint.com/sites/FourthCoffee
있는 문서를 검색할 수 있도록 허용합니다.
이 예제에서는 eDiscovery Manager 역할 그룹의 구성원이 Ottawa Users 메일 그룹 구성원의 사서함 및 OneDrive 계정만 검색할 수 있도록 합니다. Exchange Online PowerShell의 Get-DistributionGroup cmdlet은 오타와 사용자 그룹의 구성원을 찾는 데 사용됩니다.
$DG = Get-DistributionGroup "Ottawa Users"
New-ComplianceSecurityFilter -FilterName DGFilter -Users eDiscoveryManager -Filters "Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"
이 예제에서는 모든 사용자가 메일함 및 경영진 메일 그룹 구성원의 OneDrive 계정에서 검색 작업을 수행하지 못하도록 방지합니다. 즉, 사용자는 이러한 사서함에서 콘텐츠를 삭제할 수 있습니다. Exchange Online PowerShell의 Get-DistributionGroup cmdlet은 경영진 그룹의 구성원을 찾는 데 사용됩니다.
$DG = Get-DistributionGroup "Executive Team"
New-ComplianceSecurityFilter -FilterName NoExecutivesPreview -Users All -Filters "Mailbox_MemberOfGroup -ne '$($DG.DistinguishedName)'"
이 예제를 사용하면 OneDrive eDiscovery 관리자 사용자 지정 역할 그룹의 구성원이 조직의 OneDrive 계정에서만 콘텐츠를 검색할 수 있습니다.
New-ComplianceSecurityFilter -FilterName OneDriveOnly -Users "OneDrive eDiscovery Managers" -Filters "SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"
이 예제에서는 사용자가 2015년도에 보낸 전자 메일 메시지에 대해서만 검색 작업을 수행하도록 제한합니다.
New-ComplianceSecurityFilter -FilterName EmailDateRestrictionFilter -Users donh@contoso.com -Filters "MailboxContent_Received -ge '01-01-2015' -and MailboxContent_Received -le '12-31-2015'"
이전 예제와 마찬가지로 이 예제에서는 사용자가 2015년도에 마지막으로 변경된 문서에 대해서만 검색 작업을 수행하도록 제한합니다.
New-ComplianceSecurityFilter -FilterName DocumentDateRestrictionFilter -Users donh@contoso.com -Filters "SiteContent_LastModifiedTime -ge '01-01-2015' -and SiteContent_LastModifiedTime -le '12-31-2015'"
이 예제에서는 "OneDrive 검색 관리자" 역할 그룹의 구성원이 조직의 사서함에서 검색 작업을 수행하지 못하도록 합니다.
New-ComplianceSecurityFilter -FilterName NoEXO -Users "OneDrive Discovery Managers" -Filters "Mailbox_Alias -notlike '*'"
이 예제에서는 조직의 모든 사용자가 janets 또는 sarad가 보내거나 받은 전자 메일 메시지에 대해 검색 작업을 수행하지 못하도록 방지합니다.
New-ComplianceSecurityFilter -FilterName NoSaraJanet -Users All -Filters "MailboxContent_Participants -notlike 'janets@contoso.onmicrosoft.com' -and MailboxContent_Participants -notlike 'sarad@contoso.onmicrosoft.com'"
이 예에서는 필터 목록을 사용하여 사서함과 사이트 필터를 결합합니다. 이 예제에서 사서함 필터는 콘텐츠 위치 필터이고 사이트 필터는 콘텐츠 필터입니다.
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'"
Get-ComplianceSecurityFilter
Get-ComplianceSecurityFilter는 검색 권한 필터 목록을 반환하는 데 사용됩니다. FilterName 매개변수를 사용하여 특정 검색 필터에 대한 정보를 반환합니다.
Set-ComplianceSecurityFilter
Set-ComplianceSecurityFilter는 기존 검색 권한 필터를 수정하는 데 사용됩니다. 다음 섹션에서는 이 cmdlet의 매개 변수에 대해 설명합니다. 유일한 필수 매개 변수는 FilterName입니다.
FilterName
FilterName 매개 변수는 권한 필터의 이름을 지정합니다.
사용자
Users 매개 변수는 이 필터를 검색에 적용하는 사용자를 지정합니다. 이 속성은 다중 값 속성이므로 이 매개 변수를 사용하여 사용자 또는 사용자 그룹을 지정하면 기존 사용자 목록을 덮어씁니다. 선택한 사용자를 추가하고 제거하는 구문은 다음 예제를 참조하세요.
Users 매개 변수를 사용하여 규정 준수 포털 역할 그룹을 지정할 수도 있습니다. 이렇게 하면 사용자 지정 역할 그룹을 만든 다음 해당 역할 그룹에 검색 권한 필터를 할당할 수 있습니다. 예를 들어 다국적 기업의 미국 자회사에 대한 eDiscovery 관리자를 위한 사용자 지정 역할 그룹이 있다고 가정해 보겠습니다. Users 매개 변수를 사용하여 역할 그룹의 Name 속성을 사용하여 이 역할 그룹을 지정한 다음 Filter 매개 변수를 사용하여 미국의 사서함만 검색할 수 있도록 할 수 있습니다. 이 매개 변수로 메일 그룹을 지정할 수는 없습니다.
필터
Filters 매개 변수는 준수 보안 필터의 검색 조건을 지정합니다. 다음과 같은 세 가지 유형의 필터를 만들 수 있습니다.
사서함 및 OneDrive 필터링: 이 유형의 필터는 사서함을 지정하고 할당된 사용자( Users 매개 변수로 지정됨)가 검색할 수 있는 OneDrive 계정을 지정합니다. 이 유형의 필터에 대한 구문은 Mailbox_MailboxPropertyName입니다. 여기서 MailboxPropertyName 은 검색할 수 있는 사서함 범위를 지정하는 데 사용되는 사서함 속성을 지정합니다. 예를 들어 사서함 필터를 사용하면 이 필터
"Mailbox_CustomAttribute10 -eq 'OttawaUsers'"
를 할당받은 사용자가 CustomAttribute10 속성에서 값이 "OttawaUsers"인 사서함만 검색할 수 있습니다. 지원되는 필터링 가능한 받는 사람 속성을 MailboxPropertyName 속성에 사용할 수 있습니다. 지원되는 속성 목록은 -RecipientFilter 매개 변수에 대한 필터링 가능한 속성을 참조하세요.사서함 콘텐츠 필터링: 이 유형의 필터는 검색할 수 있는 콘텐츠에 적용됩니다. 할당된 사용자가 검색할 수 있는 사서함 콘텐츠를 지정합니다. 이 유형의 필터에 대한 구문은 MailboxContent_SearchablePropertyName입니다. 여기서 SearchablePropertyName 은 검색에서 지정할 수 있는 KQL(키워드 쿼리 언어) 속성을 지정합니다. 예를 들어 사서함 콘텐츠 필터
"MailboxContent_Recipients -like 'contoso.com'"
를 사용하면 이 필터를 할당받은 사용자가 contoso.com 도메인의 받는 사람에게 보낸 메시지만 검색할 수 있습니다. 검색 가능한 전자 메일 속성 목록은 eDiscovery에 대한 키워드 쿼리 및 검색 조건을 참조하세요.사이트 및 사이트 콘텐츠 필터링: 할당된 사용자가 검색할 수 있는 사이트 또는 사이트 콘텐츠를 지정하는 데 사용할 수 있는 두 가지 SharePoint 및 비즈니스용 OneDrive 사이트 관련 필터가 있습니다.
- Site_SearchableSiteProperty
- SiteContent_SearchableSiteProperty
이 두 필터는 상호 교환이 가능합니다. 예를 들어 및
"SiteContent_Path -like 'https://contoso.spoppe.com/sites/doctors*'"
는"Site_Path -like 'https://contoso.spoppe.com/sites/doctors*'"
동일한 결과를 반환합니다. 검색 가능한 사이트 속성 목록은 SharePoint의 크롤링 및 관리 속성 개요를 참조하세요. 쿼리 가능 열에 예로 표시된 속성을 사용하여 사이트 또는 사이트 콘텐츠 필터를 만들 수 있습니다.
검색 권한 필터 변경 예제
다음 예제에서는 Get-ComplianceSecurityFilter 및 Set-ComplianceSecurityFilter cmdlet을 사용하여 필터가 할당된 기존 사용자 목록에 사용자를 추가하거나 제거하는 방법을 보여 줍니다. 필터에서 사용자를 추가 또는 제거할 때는 SMTP 주소를 사용하여 사용자를 지정합니다.
이 예에서는 필터에 사용자를 추가합니다.
$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.add("pilarp@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users
이 예에서는 필터에서 사용자를 제거합니다.
$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.remove("annb@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users
Remove-ComplianceSecurityFilter
Remove-ComplianceSecurityFilter는 검색 필터를 삭제하는 데 사용됩니다. FilterName 매개 변수를 사용하여 삭제할 필터를 지정합니다.
추가 정보
검색 권한 필터링은 어떻게 작동하나요? 사용 권한 필터는 검색이 실행될 때 검색 쿼리에 추가됩니다. 권한 필터는 AND 부울 연산자에 의해 검색 쿼리에 조인됩니다. 검색 쿼리 및 권한 필터에 대한 쿼리 논리는 다음과 같습니다.
<SearchQuery> AND <PermissionsFilter>
예를 들어 Bob이 작업자 메일 그룹의 구성원 사서함에 대한 모든 검색 작업을 수행할 수 있는 권한 필터가 있습니다. 그런 다음 Bob은 검색 쿼리 sender:jerry@adatum.com
를 사용하여 조직의 모든 사서함에서 검색을 실행합니다. 권한 필터와 검색 쿼리는 AND 연산자에 의해 논리적으로 결합되므로 검색은 작업자 메일 그룹의 구성원에게 보낸 jerry@adatum.com 모든 메시지를 반환합니다.
여러 검색 권한 필터가 있는 경우 발생하는 결과 검색 쿼리에서 여러 권한 필터는 OR 부울 연산자가 결합합니다. 따라서 필터 중 하나가 참이면 결과가 반환됩니다. 검색에서 모든 필터( OR 연산자에 의해 결합됨)는 AND 연산자에 의해 검색 쿼리와 결합됩니다.
<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>)
이전 예제를 살펴보겠습니다. 여기서 검색 필터를 사용하면 Bob이 작업자 메일 그룹의 구성원 사서함만 검색할 수 있습니다. 그런 후에 이제 Bob이 Phil의 사서함("Mailbox_Alias -ne 'Phil'")을 검색하지 못하도록 하는 다른 필터를 만듭니다. 이번에는 Phil을 작업자 그룹의 구성원으로 가정합니다. Bob이 조직의 모든 사서함에서 검색을 실행하면 Bob이 Phil의 사서함을 검색하지 못하도록 필터를 적용했음에도 불구하고 Phil의 사서함에 대한 검색 결과가 반환됩니다. 이것은 Bob이 작업자 그룹을 검색할 수 있도록 하는 첫 번째 필터가 올바르기 때문입니다. Phil이 작업자 그룹의 구성원이더라도 Bob은 Phil의 사서함을 검색할 수 있습니다.
검색 권한 필터링이 비활성 사서함에 대해 작동하나요? 예, 사서함 및 사서함 콘텐츠 필터를 사용하여 조직에서 비활성 사서함을 검색할 수 있는 사용자를 제한할 수 있습니다. 일반 사서함과 마찬가지로 권한 필터를 만드는 데 사용되는 받는 사람 속성으로 비활성 사서함을 구성해야 합니다. 필요한 경우 Get-Mailbox -InactiveMailboxOnly 명령을 사용하여 비활성 사서함의 속성을 표시할 수 있습니다. 자세한 내용은 비활성 사서함 만들기 및 관리를 참조하세요.
공용 폴더에 대한 검색 권한 필터링이 작동하나요? 아니요. 앞에서 설명한 것처럼 검색 권한 필터링을 사용하여 Exchange에서 공용 폴더를 검색할 수 있는 사용자를 제한할 수 없습니다. 예를 들어 공용 폴더 위치의 항목은 사용 권한 필터를 통해 검색 결과에서 제외할 수 없습니다.
사용자가 특정 서비스의 모든 콘텐츠 위치를 검색할 수 있도록 허용하면 다른 서비스의 콘텐츠 위치를 검색할 수 없나요? 아니요. 앞에서 설명한 대로 사용자가 특정 서비스의 콘텐츠 위치를 검색하지 못하도록 명시적으로 방지하기 위해 검색 권한 필터를 만들어야 합니다(예: 사용자가 Exchange 사서함 또는 SharePoint 사이트를 검색하지 못하도록 방지). 즉, 사용자가 조직의 모든 SharePoint 사이트를 검색할 수 있도록 허용하는 검색 권한 필터를 만들어도 해당 사용자가 사서함을 검색할 수 있습니다. 예를 들어 SharePoint 관리자가 SharePoint 사이트만 검색할 수 있도록 하려면 사서함을 검색하지 못하도록 하는 필터를 만들어야 합니다. 마찬가지로 Exchange 관리자가 사서함만 검색할 수 있도록 하려면 사이트를 검색하지 못하도록 하는 필터를 만들어야 합니다.
검색 권한 필터는 검색 쿼리 문자 제한에 대해 계산합니까? 예. 검색 권한 필터는 검색 쿼리의 문자 제한에 대한 개수입니다. 자세한 내용은 eDiscovery의 제한(프리미엄)을 참조하세요.
조직에서 만들 수 있는 검색 권한 필터의 최대 수는 무엇인가요?
조직에서 만들 수 있는 검색 권한 필터 수에는 제한이 없습니다. 그러나 검색 쿼리에는 최대 100 개의 조건이 있을 수 있습니다. 이 경우 조건은 부울 연산자(예: AND, OR 및 NEAR)에 의해 쿼리에 연결된 것으로 정의됩니다. 조건 수 제한에는 검색 쿼리 자체와 검색을 실행하는 사용자에게 적용되는 모든 검색 권한 필터가 포함됩니다. 따라서 사용자가 가진 검색 권한 필터가 많을수록(특히 이러한 필터가 동일한 사용자 또는 사용자 그룹에 적용되는 경우) 검색의 최대 조건 수를 초과할 가능성이 높아집니다.
이 제한의 작동 방식을 이해하려면 검색이 실행될 때 검색 권한 필터가 검색 쿼리에 추가된다는 것을 이해해야 합니다. 검색 권한 필터는 AND 부울 연산자에 의해 검색 쿼리에 조인됩니다. 검색 쿼리 및 단일 검색 권한 필터에 대한 쿼리 논리는 다음과 같습니다.
<SearchQuery> AND <PermissionsFilter>
여러 검색 권한 필터는 OR 부울 연산자에 의해 결합된 다음, 이러한 조건은 AND 연산자에 의해 검색 쿼리에 연결됩니다.
검색 쿼리 및 여러 검색 권한 필터에 대한 쿼리 논리는 다음과 같습니다.
<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)
검색 쿼리 자체는 부울 연산자가 연결된 여러 조건으로 구성될 수 있습니다. 검색 쿼리의 각 조건은 100개 조건 제한에 대해서도 계산됩니다.
또한 쿼리에 추가된 검색 권한 필터 수는 검색을 실행하는 사용자에 따라 달라집니다. 특정 사용자가 검색을 실행하면 사용자에게 적용되는 검색 권한 필터(필터의 Users 매개 변수로 정의됨)가 쿼리에 추가됩니다. 조직에는 수백 개의 검색 권한 필터가 있을 수 있지만 동일한 사용자에게 100개 이상의 필터가 적용되는 경우 해당 사용자가 검색을 실행할 때 100 조건 제한을 초과할 가능성이 높습니다.
조건 제한에 대해 유의해야 할 한 가지가 더 있습니다. 검색 쿼리 또는 검색 권한 필터에 포함된 특정 SharePoint 사이트 수도 이 제한에 대해 계산됩니다.
조직에서 조건 제한에 도달하지 못하도록 하려면 조직의 검색 권한 필터 수를 비즈니스 요구 사항을 충족하기 위해 가능한 한 적게 유지합니다.