감사 솔루션 시작
Microsoft Purview 감사(Standard) 및 감사(프리미엄)를 사용하면 사용자 및 관리자가 다양한 Microsoft 서비스에서 수행한 활동에 대한 감사 레코드를 검색할 수 있습니다. 감사(Standard)는 대부분의 Microsoft 365 조직에서 기본적으로 사용하도록 설정되므로 몇 가지 작업만 수행해야 하며, organization 다른 사용자는 감사 로그를 검색할 수 있습니다. 감사(프리미엄)에서만 사용할 수 있는 기능을 사용하려면 몇 가지 구성 단계를 완료해야 합니다.
감사(Standard) 및 감사(프리미엄) 기능에 대한 자세한 내용은 Microsoft Purview 감사 솔루션을 참조하세요.
팁
E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 평가판 허브에서 지금 시작합니다. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.
1단계: organization 구독 및 사용자 라이선스 확인
감사(Standard) 및 감사(프리미엄)에 대한 라이선스에는 감사 로그 검색 도구 및 감사 레코드를 기록하고 유지하는 데 필요한 사용자별 라이선스에 대한 액세스를 제공하는 적절한 organization 구독이 필요합니다.
사용자 또는 관리자가 감사되는 활동을 수행하면 감사 레코드가 생성되어 조직의 감사 로그에 저장됩니다. 감사(Standard) 및 감사(프리미엄)에서는 감사 레코드가 180일 동안 유지되고 감사 로그에서 검색할 수 있습니다.
중요
감사(Standard)의 기본 보존 기간이 90일에서 180일로 변경되었습니다. 2023년 10월 17일 이전에 생성된 감사(Standard) 로그는 90일 동안 유지됩니다. 2023년 10월 17일 또는 그 이후에 생성된 감사(Standard) 로그는 180일의 새로운 기본 보존 기간을 따릅니다.
이러한 감사 솔루션에 대한 구독 및 라이선스 요구 사항 목록은 감사(Standard) 및 감사(프리미엄)에 대한 구독 요구 사항을 참조하세요.
2단계: 감사 로그를 검색할 수 있는 권한 할당
감사 로그를 검색하거나 내보내려면 조사 팀의 관리자와 구성원에게 Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털 보기 전용 감사 로그 또는 감사 로그 역할이 할당되어야 합니다. 기본적으로 이러한 역할은 Microsoft Purview 포털의 역할 그룹 페이지 및 규정 준수 포털의 권한 페이지에 감사 읽기 권한자 및 감사 관리자 역할 그룹에 할당됩니다.
참고
감사 및 감사 cmdlet에 대한 액세스를 사용하거나 사용하지 않도록 설정하려면 현재 Exchange 관리 센터의 권한이 필요합니다. Exchange 관리 센터의 기존 감사 로그 및 보기 전용 감사 로그 역할을 사용하여 감사 cmdlet에 대한 액세스 권한을 부여합니다. Exchange 관리 센터의 기존 감사 로그 역할을 사용하여 감사를 사용하거나 사용하지 않도록 설정할 수 있는 액세스 권한을 부여합니다.
보기 전용 감사 로그 또는 감사 로그 역할을 사용자 지정 역할 그룹에 추가하여 감사 로그를 검색하는 기능을 사용하여 사용자 지정 역할 그룹을 만들 수도 있습니다 . 자세한 내용은 Microsoft Purview 규정 준수 포털의 사용 권한을 참조하세요.
참고
Audit Search Graph API 액세스하려면 Microsoft Graph에서 추가 권한을 구성해야 합니다. 자세한 내용은 Audit Search Graph API 사용 권한을 참조하세요.
감사 로그를 scope 권한 할당
감사 로그를 검색하거나 내보내려면 Microsoft Purview 포털 또는 규정 준수 포털에서 다음 감사 관련 역할 그룹 중 하나 이상에 관리자 또는 조사 팀 구성원을 할당해야 합니다.
- 감사 관리자: Audit Manager 역할 그룹에 할당된 사용자는 감사 로그를 검색 및 내보내고 테넌트(예: 감사 로깅 사용 또는 사용 안 함)에 대한 감사 설정을 관리할 수 있습니다. 이 역할 그룹은 사용자에게 보기 전용 감사 로그 및 감사 로그 역할을 부여합니다.
- 감사 읽기 권한자: 감사 읽기 권한자 역할 그룹에 할당된 사용자는 감사 로그만 검색하고 내보낼 수 있습니다. 감사 로깅을 사용하거나 사용하지 않도록 설정할 수 없습니다. 이 역할 그룹은 사용자에게 보기 전용 감사 로그 역할을 부여합니다.
3단계: SearchQueryInitiated 이벤트 사용
사용자가 Exchange Online 및 SharePoint에서 검색을 수행할 때 로깅에 대해 두 이벤트(SearchQueryInitiatedExchange 및 SearchQueryInitiatedSharePoint)를 명시적으로 사용하도록 설정해야 합니다.
사용자에 대해 이러한 두 이벤트를 감사할 수 있도록 하려면 Exchange Online PowerShell에서 다음 cmdlet(각 사용자에 대해)을 실행합니다.
Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}
다중 지역 환경에서는 사용자의 사서함이 위치한 곳의 포리스트에서 사서함 설정 명령을 실행해야 합니다. 사용자의 사서함 위치를 식별하려면 다음 cmdlet을 실행합니다.
Get-Mailbox <user identity> | FL MailboxLocations
검색 쿼리 감사를 사용하도록 설정하는 cmdlet이 이전에 사용자의 사서함이 있는 포리스트와 다른 포리스트에서 실행된 경우 사용자의 사서함에서 SearchQueryInitiated 값을 제거해야 합니다. 를 실행 Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}
하여 값을 제거한 다음, 사용자의 사서함이 있는 포리스트의 사용자 사서함에 추가합니다.
4단계: 사용자에 대한 감사(프리미엄) 설정
팁
감사(Standard)를 사용하는 조직은 이 단계를 건너뛸 수 있습니다.
지능형 인사이트를 기록하는 기능과 같은 감사(프리미엄) 기능에는 사용자에게 할당된 적절한 E5 라이선스가 필요합니다. 또한 이러한 사용자에 대해 고급 감사 앱/서비스 계획을 실행해야 합니다.
고급 감사 앱이 사용자에게 할당되었는지 확인하려면 각 사용자에 대해 다음 단계를 완료합니다.
Microsoft 365 관리 센터 사용자>활성 사용자로 이동하여 사용자를 선택합니다.
사용자 속성 플라이아웃 페이지에서 라이선스 및 앱을 선택합니다.
라이선스 섹션에서 사용자에게 E5 라이선스가 할당되었는지 또는 적절한 추가 기능 라이선스가 할당되었는지 확인 합니다 . 감사(프리미엄)를 지원하는 라이선스 목록은 감사 라이선스 요구 사항을 참조하세요.
앱 구역을 확장하고 Microsoft 365 고급 감사 확인란이 선택되어 있는지 확인합니다.
확인란을 선택하지 않으면 선택한 다음 변경 내용 저장을 선택합니다.
감사(프리미엄) 인사이트 로깅은 24시간 이내에 시작됩니다.
또한 사용자 사서함 또는 공유 사서함에 로그온된 사서함 작업을 사용자 지정한 경우 Microsoft에서 릴리스한 새 감사(프리미엄) 이벤트는 해당 사서함에 대해 자동으로 감사되지 않습니다. 각 로그온 유형에 대해 감사되는 사서함 작업을 변경하는 방법에 대한 자세한 내용은 사서함 감사 관리의 "기본적으로 로그되는 사서함 작업 변경 또는 복원" 섹션을 참조하세요.
5단계: 감사(프리미엄)에서 감사 보존 정책 설정
팁
감사(Standard)를 사용하는 조직은 이 단계를 건너뛸 수 있습니다.
1년 동안 Microsoft Entra ID, Exchange, OneDrive 및 SharePoint 감사 레코드를 유지하는 기본 정책 외에도 감사(프리미엄)를 사용하는 조직은 감사 로그 보존 정책을 만들어 organization 보안 운영, IT 및 규정 준수 팀의 요구 사항을 충족할 수 있습니다.
자세한 내용은 감사 로그 보존 정책 관리를 참조하십시오.
6단계: 감사된 이벤트 검색
이제 organization 대해 감사(Standard) 또는 감사(프리미엄)를 구성했으므로 Microsoft Purview 규정 준수 포털 감사 로그를 검색할 준비가 되었습니다. 자세한 지침은 감사 로그 검색을 참조하세요.