영어로 읽기

다음을 통해 공유


eDiscovery에서 사서함에서 콘텐츠 찾기(미리 보기)

관리자는 진행 중이거나 잠재적인 소송, 내부 조사 및 기타 시나리오와 관련된 요청에 응답할 수 있는 가장 효율적이고 효과적인 방법으로 언제 무엇을 알고 있는지 파악해야 하는 경우가 많습니다. 이러한 요청은 종종 긴급하고, 여러 관련자 팀이 참여하며, 적시에 완료되지 않은 경우 상당한 영향을 미칩니다. 올바른 정보를 찾는 방법을 아는 것은 관리자가 검색을 성공적으로 완료하고 조직이 eDiscovery 요구 사항과 관련된 위험 및 비용을 관리하는 데 도움이 되는 데 중요합니다.

Microsoft Security Copilot 시작하여 AI의 힘을 사용하여 더 스마트하고 빠르게 작업하는 새로운 방법을 알아봅니다. Microsoft Purview의 Microsoft Security Copilot 대해 자세히 알아보세요.

eDiscovery 요청이 제출되면 관리자가 특정 조사와 관련된 콘텐츠 수집을 시작할 수 있는 부분 정보만 있는 경우가 많습니다. 요청에는 직원 이름, 프로젝트 제목, 프로젝트가 활성화된 대략적인 날짜 범위 등이 포함될 수 있습니다. 이 정보에서 관리자는 특정 프로젝트 또는 주체에 필요한 정보를 확인하기 위해 Microsoft 365 서비스에서 관련 콘텐츠를 찾기 위해 쿼리를 만들어야 합니다. 이러한 서비스에 대한 정보가 저장되고 관리되는 방식을 이해하면 관리자가 필요한 항목을 빠르고 효과적인 방식으로 보다 효율적으로 찾을 수 있습니다.

Email, 채팅, 모임 및 Microsoft 365 Copilot 및 Microsoft Copilot 활동 데이터(사용자 프롬프트 및 Copilot 응답)는 모두 Exchange Online 저장됩니다. Exchange Online 포함된 항목을 검색하는 데 많은 통신 속성을 사용할 수 있습니다. 보낸 사람, 보낸 사람, 제목받는 사람 등의 일부 속성은 특정 항목에 고유하며 SharePoint 및 OneDrive에서 파일 또는 문서를 검색할 때는 관련이 없습니다. 워크로드에서 검색할 때 이러한 유형의 속성을 포함하면 예기치 않은 결과가 발생할 수 있습니다.

예를 들어 Tradewinds라는 프로젝트와 연결된 특정 직원(사용자 1사용자 2)과 관련된 콘텐츠를 찾으려면 2020년 1월부터 2022년 1월까지 다음 속성이 포함된 쿼리를 사용할 수 있습니다.

  • 사용자 1 및 사용자 2의 Exchange Online 위치를 사례에 데이터 원본으로 추가
  • 사용자 1 및 사용자 2의 Exchange Online 위치를 데이터 원본으로 선택합니다.
  • 키워드의 경우 Tradewinds를 사용합니다.
  • 날짜 범위의 경우 2020년 1월 1일부터 2022년 1월 31일까지 범위를 사용합니다.

중요

전자 메일의 경우 키워드(keyword) 사용하는 경우 참가자와 관련된 주제, 본문 및 많은 속성을 검색합니다. 그러나 받는 사람 확장으로 인해 별칭 또는 별칭의 일부를 사용할 때 검색에서 예상된 결과를 반환하지 못할 수 있습니다. 따라서 전체 UPN을 사용하는 것이 좋습니다.

검색 가능한 전자 메일 속성

다음 표에서는 Microsoft Purview 포털에서 eDiscovery 검색 도구를 사용하거나 New-ComplianceSearch 또는 Set-ComplianceSearch cmdlet을 사용하여 검색할 수 있는 전자 메일 메시지 속성을 나열합니다.

중요

전자 메일 메시지에는 다른 Microsoft 365 서비스에서 지원되는 다른 속성이 있을 수 있지만 이 표에 나열된 전자 메일 속성만 eDiscovery 검색 도구에서 지원됩니다. 검색에 다른 전자 메일 메시지 속성을 포함하려는 시도는 지원되지 않습니다.

이 표에는 각 속성의 property:value 구문 예제와 예제에서 반환되는 검색 결과에 대한 설명이 나와 있습니다. eDiscovery 검색을 위해 키워드 상자에 이러한 property:value 쌍을 입력할 수 있습니다.

참고

전자 메일 속성을 검색할 때 메시지 헤더를 검색할 수 없습니다. 헤더 정보는 검색을 위해 인덱싱되지 않습니다. 또한 지정된 속성이 비어 있거나 비어 있는 항목은 검색할 수 없습니다. 예를 들어 제목:"property:value 쌍을 사용하여 빈 제목 줄이 있는 전자 메일 메시지를 검색하면 결과가 0이 반환됩니다. 이는 사이트 및 연락처 속성을 검색할 때도 적용됩니다.

속성 속성 설명 예제에서 반환된 검색 결과
AttachmentNames 전자 메일 메시지에 첨부되는 파일의 이름입니다. attachmentnames:annualreport.ppt

attachmentnames:annual*

라는 첨부 파일이 있는 메시지는 annualreport.ppt. 두 번째 예제에서 와일드카드 문자( * )를 사용하면 첨부 파일 이름에 연간 단어가 포함된 메시지가 반환됩니다. 1
숨은 참조 전자 메일 메시지의 숨은 참조 필드입니다. 1 bcc:pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"

모든 예제는 숨은 참조 필드에 포함된 Pilar Pinilla 를 사용하여 메시지를 반환합니다.
(받는 사람 확장 참조)
범주 검색할 범주입니다. 범주는 Outlook 또는 웹용 Outlook(이전의 Outlook Web App)을 사용하여 사용자가 정의할 수 있습니다. 가능한 값은 다음과 같습니다.
  • 파랑
  • 녹색
  • 오렌지
  • 보라색
  • 빨강
  • 황색
category:"Red Category" 원본 사서함에 빨간색 범주가 할당된 메시지입니다.
참조 전자 메일 메시지의 참조 필드입니다. 1 cc:pilarp@contoso.com

cc:"Pilar Pinilla"

두 예제 모두 참조 필드에 Pilar Pinilla 가 지정된 메시지입니다.
(받는 사람 확장 참조)
Folderid 48자 형식의 특정 사서함 폴더의 폴더 ID(GUID)입니다. 이 속성을 사용하는 경우 지정된 폴더가 있는 사서함을 검색해야 합니다. 지정된 폴더만 검색됩니다. 폴더의 하위 폴더는 검색되지 않습니다. 하위 폴더를 검색하려면 검색하려는 하위 폴더에 Folderid 속성을 사용해야 합니다.

Folderid 속성을 검색하고 스크립트를 사용하여 특정 사서함에 대한 폴더 ID를 가져오는 방법에 대한 자세한 내용은 대상 검색을 참조하세요.

folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000

folderid:2370FB455F82FC44BE31397F47B632A70000000001160000 AND participants:garthf@contoso.com

첫 번째 예제에서는 지정된 사서함 폴더의 모든 항목을 반환합니다. 두 번째 예제에서는 에서 보내거나 받은 garthf@contoso.com지정된 사서함 폴더의 모든 항목을 반환합니다.
시작 전자 메일 메시지의 보낸 사람입니다. 1 from:pilarp@contoso.com 지정된 사용자가 보낸 메시지입니다.
(받는 사람 확장 참조)
HasAttachment 메시지에 첨부 파일이 있는지 여부를 나타냅니다. true 또는 false 값을 사용합니다. from:pilar@contoso.com AND hasattachment:true 첨부 파일이 있는 지정된 사용자가 보낸 메시지입니다.
중요도 보낸 사람이 메시지를 보낼 때 지정할 수 있는 전자 메일 메시지의 중요도입니다. 기본적으로 보낸 사람이 중요도를 높음 또는 낮음으로 설정하지 않았다면 메시지는 보통 중요도로 전송됩니다. importance:high

importance:medium

importance:low

높음 중요도, 보통 중요도 또는 낮은 중요도로 표시된 메시지입니다.
IsRead 메시지를 읽었는지 여부를 나타냅니다. true 또는 false 값을 사용합니다. isread:true

isread:false

첫 번째 예제에서는 IsRead 속성이 True로 설정된 메시지를 반환합니다. 두 번째 예제에서는 IsRead 속성이 False로 설정된 메시지를 반환합니다.
ItemClass 이 속성을 사용하여 organization 가져온 특정 타사 데이터 형식을 검색하여 Office 365. 이 속성에 대해 다음 구문을 사용합니다. itemclass:ipm.externaldata.<third-party data type>* itemclass:ipm.externaldata.Facebook* AND subject:contoso

itemclass:ipm.externaldata.Twitter* AND from:"Ann Beebe" AND "Northwind Traders"

첫 번째 예제에서는 subject 속성에 "contoso"라는 단어가 포함된 Facebook 항목을 반환합니다. 두 번째 예제에서는 Ann Beebe가 게시하고 "Northwind Traders"라는 키워드(keyword) 문구가 포함된 Twitter 항목을 반환합니다.
종류 검색할 전자 메일 메시지의 유형입니다. 사용 가능한 값:

연락처

문서

전자 메일

externaldata

팩스

im(im)

저널

회의

microsoftteams(Microsoft Teams의 채팅, 모임 및 통화에서 항목을 반환함)

노트

게시물

rssfeeds

작업

음성 메일

kind:email

kind:email OR kind:im OR kind:voicemail

kind:externaldata

첫 번째 예제에서는 검색 조건을 충족하는 전자 메일 메시지를 반환합니다. 두 번째 예제에서는 전자 메일 메시지, 인스턴트 메시징 대화(Microsoft Teams의 비즈니스용 Skype 대화 및 채팅 포함) 및 검색 조건을 충족하는 음성 메시지를 반환합니다. 세 번째 예제에서는 검색 조건을 충족하는 Twitter, Facebook 및 Cisco Jabber와 같은 타사 데이터 원본에서 Microsoft 365의 사서함으로 가져온 항목을 반환합니다. 자세한 내용은 Office 365 타사 데이터 보관을 참조하세요.
참가자 전자 메일 메시지의 모든 사람 필드입니다. 이러한 필드는 From, To, Cc 및 Bcc.1입니다. participants:garthf@contoso.com

participants:contoso.com

에 의해 전송되거나 로 전송된 garthf@contoso.com메시지 두 번째 예제에서는 contoso.com 도메인의 사용자가 보냈거나 이 사용자에게로 보낸 모든 메시지를 반환합니다.
(받는 사람 확장 참조)
수신됨 받는 사람이 전자 메일 메시지를 받은 날짜입니다. received:2021-04-15

received>=2021-01-01 AND received<=2021-03-31

2021년 4월 15일에 받은 메시지입니다. 두 번째 예제에서는 2021년 1월 1일부터 2021년 3월 31일 사이에 받은 모든 메시지를 반환합니다.
받는 사람 전자 메일 메시지의 모든 받는 사람 필드입니다. 이러한 필드는 To, Cc 및 Bcc.1입니다. recipients:garthf@contoso.com

recipients:contoso.com

에 garthf@contoso.com보낸 메시지입니다. 두 번째 예제에서는 contoso.com 도메인에 있는 모든 받는 사람에게 전송된 메시지를 반환합니다.
(받는 사람 확장 참조)
전송 보낸 사람이 전자 메일 메시지를 보낸 날짜입니다. sent:2021-07-01

sent>=2021-06-01 AND sent<=2021-07-01

지정된 날짜 또는 지정된 날짜 범위 내에서 전송된 메시지입니다.
Size 항목의 크기(바이트)입니다. size>26214400

size:1..1048567

25MB보다 큰 메시지입니다. 두 번째 예제에서는 1 ~ 1,048,567바이트(1MB) 크기의 메시지를 반환합니다.
제목 전자 메일 메시지 제목 줄의 텍스트입니다.

메모: 쿼리에서 Subject 속성을 사용하는 경우 검색은 제목 줄에 검색하려는 텍스트가 포함된 모든 메시지를 반환합니다. 즉, 쿼리는 정확히 일치하는 메시지만 반환하지 않습니다. 예를 들어 를 검색 subject:"Quarterly Financials"하는 경우 결과에는 "Quarterly Financials 2018"이라는 제목의 메시지가 포함됩니다.

subject:"Quarterly Financials"

subject:northwind

제목 줄 텍스트의 아무 곳이나 "분기별 재무"라는 문구가 포함된 메시지입니다. 두 번째 예제에서는 제목 줄에 단어 northwind가 포함된 모든 메시지를 반환합니다.
받는 사람 전자 메일 메시지의 To 필드입니다. 1 to:annb@contoso.com

to:annb
to:"Ann Beebe"

모든 예제에서 받는 사람: 줄에 Ann Beebe가 지정된 메시지를 반환합니다.

참고

1 받는 사람 속성 값의 경우 전자 메일 주소(UPN(사용자 계정 이름)라고도 함), 표시 이름 또는 별칭을 사용하여 사용자를 지정할 수 있습니다. 예를 들어 , annb 또는 "Ann Beebe"를 사용하여 annb@contoso.com사용자 Ann Beebe를 지정할 수 있습니다.

검색 가능한 중요한 데이터 형식

Microsoft Purview 포털에서 eDiscovery 검색 도구를 사용하여 사서함의 문서에 저장된 신용 카드 번호 또는 사회 보장 번호와 같은 중요한 데이터를 검색할 수 있습니다. 이 작업은 키워드(keyword) 쿼리에서 SensitiveType 중요한 정보 형식의 속성 및 이름(또는 ID)을 사용하여 수행할 수 있습니다. 예를 들어 쿼리 SensitiveType:"Credit Card Number" 는 신용 카드 번호를 포함하는 문서를 반환합니다. 쿼리 SensitiveType:"U.S. Social Security Number (SSN)" 는 미국 사회 보장 번호를 포함하는 문서를 반환합니다.

검색할 수 있는 중요한 정보 유형 목록을 보려면 Microsoft Purview 포털에서 데이터 분류 중요한>정보 유형 으로 이동합니다. 또는 보안 & 준수 PowerShell에서 Get-DlpSensitiveInformationType cmdlet을 사용하여 중요한 정보 유형 목록을 표시할 수 있습니다.

받는 사람 확장

받는 사람 속성(From, To, Cc, Bcc, Participants 및 Recipients)을 검색할 때 Microsoft 365는 Microsoft Entra ID 조회하여 각 사용자의 ID를 확장하려고 시도합니다. 사용자가 Microsoft Entra ID 있는 경우 사용자의 메일 주소(또는 UPN), 별칭, 표시 이름 및 LegacyExchangeDN을 포함하도록 쿼리가 확장됩니다. 예를 들어 와 같은 participants:ronnie@contoso.com 쿼리는 로 확장됩니다 participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>".

받는 사람 확장을 방지하려면 전자 메일 주소 끝에 야생 카드 문자(별표)를 추가하고 축소된 도메인 이름을 사용합니다. 예를 들어 participants:"ronnie@contoso*" 전자 메일 주소를 큰따옴표로 묶어야 합니다.

검색 쿼리에서 받는 사람 확장을 방지하면 관련 항목이 검색 결과에 반환되지 않을 수 있습니다. Exchange의 Email 메시지는 받는 사람 필드에 다른 텍스트 형식으로 저장할 수 있습니다. 받는 사람 확장은 다른 텍스트 형식을 포함할 수 있는 메시지를 반환하여 이 사실을 완화하는 데 도움이 됩니다. 따라서 받는 사람 확장을 방지하면 검색 쿼리가 조사와 관련된 모든 항목을 반환하지 않을 수 있습니다.

참고

받는 사람 확장으로 인해 검색 쿼리에서 반환되는 항목을 검토하거나 줄여야 하는 경우 프리미엄 eDiscovery 기능을 사용하는 것이 좋습니다. 메시지를 검색하고(받는 사람 확장을 활용) 검토 집합에 추가한 다음 검토 집합 쿼리 또는 필터를 사용하여 결과를 검토하거나 범위를 좁힐 수 있습니다.

eDiscovery용 Exchange Online 사서함에 저장된 콘텐츠

Exchange Online 사서함은 주로 메시지, 일정 항목, 작업 및 메모와 같은 전자 메일 관련 항목을 저장하는 데 사용됩니다. 그러나 더 많은 클라우드 기반 앱이 사용자의 사서함에 데이터를 저장함에 따라 이러한 변화가 일어나고 있습니다. 사서함에 데이터를 저장하는 한 가지 이점은 콘텐츠 검색, Microsoft Purview eDiscovery(Standard) 및 eDiscovery(미리 보기)에서 검색 도구를 사용하여 이러한 클라우드 기반 앱에서 데이터를 찾고 보고 내보낼 수 있다는 것입니다.

이러한 앱 중 일부의 데이터는 사서함의 비대인 관계 메시지(비 IPM) 하위 트리에 있는 숨겨진 폴더에 저장됩니다. 다른 클라우드 기반 앱의 데이터는 사서함 저장되지 않을 수 있지만 사서함 과 연결되고 검색에 반환됩니다(해당 데이터가 검색 쿼리와 일치하는 경우). 클라우드 기반 데이터가 사용자 사서함에 저장되거나 사용자 사서함과 연결되어 있는지 여부에 관계없이 일반적으로 사용자가 사서함을 열 때 메일 클라이언트에 데이터가 표시되지 않습니다.

다음 표에는 데이터를 저장하거나 클라우드 기반 사서함과 연결하는 앱이 나와 있습니다. 이 표에서는 각 앱이 생성하는 콘텐츠 형식도 설명합니다.

Microsoft 365 앱 설명
Forms* 양식에 대한 Forms 및 응답은 전자 메일 메시지에 첨부되고 양식을 만든 사용자의 사서함에 숨겨진 폴더에 저장된 파일에 저장됩니다. 2020년 4월 이전에 만든 Forms PDF 파일로 저장됩니다. 2020년 이후에 만들어진 Forms JSON 파일로 저장됩니다. 양식에 대한 응답은 CSV 파일에 저장됩니다. PST 파일의 Forms 콘텐츠를 내보낼 때 이 데이터는 다음과 같은 GUID(Globally Unique Identified)가 있는 하위 폴더의 ApplicationDataRoot 폴더에 있습니다. c9a559d2-7aab-4f13-a6ed-e7e9c52aec87.
Microsoft 365 그룹 Email 메시지, 일정 항목, 연락처(사람), 메모 및 작업은 Microsoft 365 그룹과 연결된 사서함에 저장됩니다.
Microsoft 365 Copilot 및 Microsoft Copilot 지원되는 Microsoft 365 앱 및 서비스에서 생성된 모든 Copilot 활동 데이터(사용자 프롬프트 및 Copilot 응답)는 보유자 사서함에 저장됩니다.
Outlook/Exchange Online Email 메시지, 일정 항목, 연락처(사람), 메모 및 작업은 사용자의 사서함에 저장됩니다.
사용자 사람 앱의 연락처(Outlook에서 액세스할 수 있는 연락처와 동일한 연락처)는 사용자의 사서함에 저장됩니다.
수업 일정 수업 일정에서 만든 계획은 새 계획을 만들 때 프로비전되는 해당 Microsoft 365 그룹의 사서함에 저장됩니다. 그룹 사서함의 별칭은 계획의 이름입니다.
비즈니스용 Skype 비즈니스용 Skype 대화는 사용자의 사서함에 있는 대화 기록 폴더에 저장됩니다. Skype 모임 참가자의 사서함이 소송 보류 에 배치되거나 보존 정책에 할당된 경우 모임에 첨부된 파일은 참가자 사서함에 유지됩니다.
Sway* Sway는 전자 메일 메시지에 첨부되고 sway를 만든 사용자의 사서함에 있는 숨겨진 폴더에 저장된 HTML 파일로 저장됩니다. PST 파일의 Sway 콘텐츠를 내보낼 때 이 데이터는 GUID가 905fcf26-4eb7-48a0-9ff0-8dcc7194b5ba인 하위 폴더의 ApplicationDataRoot 폴더에 있습니다.
작업 작업 앱의 작업(Outlook에서 액세스할 수 있는 작업과 동일한 작업)은 사용자의 사서함에 저장됩니다.
Teams Teams 채널의 일부인 대화는 Teams 사서함과 연결됩니다. Teams의 채팅 목록에 포함된 대화( 1 x N 채팅이라고도 함)는 채팅에 참여하는 사용자의 사서함과 연결됩니다. 또한 Teams 채널의 모임 및 통화에 대한 요약 정보는 모임 또는 통화에 전화한 사용자의 사서함과 연결됩니다. 따라서 Teams 콘텐츠를 검색할 때 채널 대화에서 Teams 사서함에서 콘텐츠를 검색하고 N개 채팅 1개에서 사용자 사서함에서 콘텐츠를 검색합니다.
할 일 To-Do 앱의 작업( 할 일 목록에 저장된 할 일이라고 함)은 사용자의 사서함에 저장됩니다.
Viva Engage Viva Engage 커뮤니티 내의 대화 및 메모는 Microsoft 365 그룹 사서함뿐만 아니라 작성자의 사용자 사서함 및 명명된 받는 사람(@ 멘션된 사용자 또는 Cc'ed 사용자)과 연결됩니다. Viva Engage 커뮤니티 외부에서 보낸 비공개 메시지는 개인 메시지에 참여하는 사용자의 사서함에 저장됩니다.

참고

* 현재 eDiscovery(미리 보기) 사례에서 보류를 사용하여 사서함에 보류를 배치하는 경우 이 앱의 콘텐츠는 보류에 의해 보존되지 않습니다.