사서함 보류 사항 식별 및 보고

  • 7분

조사 또는 감사에 응답할 때 사서함 콘텐츠가 보존되고 있는지 여부와 이유를 확인하는 것이 중요합니다. Microsoft Purview는 사서함 콘텐츠가 영구적으로 삭제되지 않도록 하는 여러 유형의 보류를 지원합니다. 여기에는 eDiscovery 사례, 보존 정책, 보존 레이블 및 소송 보존을 통해 적용되는 보존이 포함됩니다.

사서함 보존 유형 식별

Exchange Online PowerShell을 사용하여 사서함에 배치된 보류 유형을 식별할 수 있습니다.

보류 상태를 확인하기 전에 표시될 수 있는 보류 유형을 이해하는 데 도움이 됩니다.

  • 소송 보존 은 사용자가 삭제하더라도 법적 이유로 사서함 콘텐츠를 유지합니다.
  • eDiscovery 보류는 eDiscovery 사례와 관련이 있으며 조사에 관련된 콘텐츠를 보존합니다.
  • 보존 정책은 조직 규칙에 따라 전체 사서함 또는 사서함 그룹에 적용됩니다.
  • 보존 레이블은 특정 항목 또는 폴더에 적용되며 정책 없이도 보존을 트리거할 수 있습니다.
  • 보류가 제거된 후 지연 보존이 적용되어 콘텐츠가 제거되기 전에 시간이 주게됩니다.

환경이 구성된 방식에 따라 동일한 사서함에 하나 이상의 사서함이 표시될 수 있습니다.

소송 보류 및 통합 보류(eDiscovery 보류 및 보존 정책)를 찾으려면 다음을 수행합니다.

Get-Mailbox <username> | FL LitigationHoldEnabled,InPlaceHolds
  • LitigationHoldEnabled 는 사서함이 소송 보존 상태에 있는지 여부를 나타냅니다.
  • InPlaceHolds에는 다른 보류 형식에 대한 GUID가 포함되어 있습니다.

보류 GUID는 다른 접두사를 사용하여 형식을 나타냅니다.

  • UniH = eDiscovery 보류
  • mbx, skp또는 grp = 보존 정책
  • -mbx = 보존 정책에서 명시적으로 제외됨

GUID가 시작 -mbx되면 사서함이 조직 전체 정책에서 명시적으로 제외되었음을 의미합니다. 정책 범위가 광범위하게 지정된 경우에도 보존이 특정 사서함에 적용되지 않도록 하는 데 사용할 수 있습니다.

InPlaceHolds가 비어 있는 경우 조직 전체 보존 정책을 확인합니다.

Get-OrganizationConfig | FL InPlaceHolds

보존 레이블로 인해 콘텐츠가 유지되는지 확인하려면 다음을 수행합니다.

Get-Mailbox <username> | FL ComplianceTagHoldApplied
  • ComplianceTagHoldAppliedTrue경우 콘텐츠를 보존하는 보존 레이블이 하나 이상의 항목에 적용되었으므로 사서함이 보류 상태로 처리됩니다.

보류가 제거된 후 지연 보류 상태를 보려면 다음을 수행합니다.

Get-Mailbox <username> | FL DelayHoldApplied,DelayReleaseHoldApplied

이러한 속성은 지연 보류가 있는지 여부를 보여 줍니다. 원래 보류가 제거된 후 보존이 일시적으로 연장됩니다.

보류 GUID를 특정 사례 및 정책과 일치

사서함의 보류 GUID를 식별한 후 해당 값을 특정 사례, 정책 또는 콘텐츠 위치로 다시 추적해야 할 수 있습니다.

eDiscovery 보류의 경우

eDiscovery 보류 GUID는 UniH(으)로 시작합니다. GUID를 특정 사례와 일치시키고 유지하려면 다음을 수행합니다.

  1. 접두사를 UniH 제거합니다.

  2. 보안 및 규정 준수 PowerShell에서 다음을 실행합니다.

    $CaseHold = Get-CaseHoldPolicy <GUID without UniH>
Get-ComplianceCase $CaseHold.CaseId | FL Name
$CaseHold | FL Name,ExchangeLocation

이러한 명령은 eDiscovery 사례의 이름, 보류 이름 및 보류 중인 사서함을 표시합니다.

보존 정책의 경우

보존 정책 GUID는 종종 mbx, skp, 또는 grp로 시작합니다. GUID를 Microsoft Purview 보존 정책과 일치하려면 다음을 수행합니다.

  1. 접두사 및 접미사(예: :1, :2또는 :3)를 제거합니다.

  2. 실행:

    Get-RetentionCompliancePolicy <GUID without prefix or suffix> -DistributionDetail | FL Name,*Location

여기에는 보존 정책의 이름과 범위가 지정된 콘텐츠 위치가 표시됩니다.

GUID를 보류에 일치시키는 것은 사서함이 보존되는 이유를 확인하고, 범위를 확인하고, 방어 가능한 조사를 지원하는 데 도움이 될 수 있습니다.

스크립트를 사용하여 eDiscovery 보류 보고

PowerShell은 개별 사서함 보유를 확인하는 데 도움이 될 수 있지만 Microsoft는 조직 전체에서 모든 eDiscovery 사례에 대한 보고서를 생성하는 샘플 스크립트도 제공합니다.

감사 또는 조사 중에 이 스크립트를 사용하여 다음을 수행합니다.

  • 활성 보류가 있는 사례 표시
  • 보류를 만들거나 수정한 사람 확인
  • 범위 내 콘텐츠 위치를 나열하기
  • 보류를 포함하지 않는 사례 식별

또한 보류가 없는 eDiscovery 사례를 나열하는 별도의 보고서를 만듭니다.

스크립트가 수집하는 내용

스크립트를 실행하면 두 개의 CSV 파일이 생성됩니다.

  • CaseHoldsReport_<timestamp>.csv 각 보류에 대한 세부 정보 포함:

    • 사건 이름, 유형 및 상태
    • 보존 이름 및 사용 여부
    • 작성자 및 마지막 한정자 보류
    • 해당하는 경우 쿼리 기반 구문
    • 범위의 사서함 및 SharePoint 사이트
    • 만들기 및 수정 타임스탬프 유지

  • CasesWithNoHolds_<timestamp>.csv- 연결된 보류가 없는 모든 eDiscovery 사례를 나열합니다.

스크립트를 실행하는 방법

  1. 보안 및 규정 준수 PowerShell에 연결합니다.

  2. 텍스트 편집기에서 새 .ps1 스크립트 파일을 만들고 공식 설명서에 제공된 스크립트에 붙여넣습니다. 파일을 CaseHoldsReport.ps1로 저장합니다.

  3. PowerShell 세션에서 스크립트를 실행합니다.

    .\CaseHoldsReport.ps1

  4. 메시지가 표시되면 보고서가 저장될 폴더 경로를 입력합니다.

팁 (조언)

보고서를 스크립트와 동일한 폴더에 저장하려면 메시지가 표시될 때 마침표(.)를 입력하십시오. 하위 폴더를 사용하려면 하위 폴더 이름을 입력합니다.

스크립트가 완료되면 PowerShell 창에 확인 메시지가 표시되고 지정한 경로에서 CSV 파일을 열 수 있습니다.

이 보고서를 사용하면 콘텐츠가 법적 보존 중인지 여부를 신속하게 확인하고 특히 시간에 민감한 조사 중에 격차를 식별할 수 있습니다.