eDiscovery에서 보류 만들기(미리 보기)
eDiscovery 사례와 관련이 있을 수 있는 콘텐츠를 보존하기 위해 보류를 만들 수 있습니다. 이 경우 조사 중인 사용자의 Exchange 사서함 및 OneDrive 계정을 보류할 수 있습니다. Microsoft Teams, Microsoft 365 그룹 및 Viva Engage 그룹 연결된 사서함 및 사이트를 보류할 수도 있습니다. 콘텐츠 위치를 보류 상태로 두면 보류에서 콘텐츠 위치를 제거하거나 보류를 삭제/해제할 때까지 콘텐츠가 유지됩니다.
중요
eDiscovery 보류를 만든 후 보류가 적용되는 데 최대 24시간이 걸릴 수 있습니다. eDiscovery 조사와 관련이 없는 장기 데이터 보존의 경우 보존 정책 및 보존 레이블을 사용하는 것이 좋습니다. 자세한 내용은 보존 정책 및 보존 레이블에 대해 알아보기를 참조하세요.
보류를 만들 때 지정된 콘텐츠 위치에 유지되는 콘텐츠를 scope 다음 옵션이 있습니다.
- 지정된 위치의 모든 콘텐츠가 보류되는 무한 보류를 만듭니다. 또는 검색 쿼리와 일치하는 지정된 위치의 콘텐츠만 보류되는 쿼리 기반 보류를 만들 수 있습니다.
- 해당 날짜 범위 내에서 전송, 수신 또는 생성된 콘텐츠만 유지하도록 날짜 범위를 지정합니다. 또는 전송, 수신 또는 생성 시기에 관계없이 지정된 위치에 모든 콘텐츠를 저장할 수 있습니다.
팁
Microsoft Security Copilot 시작하여 AI의 힘을 사용하여 더 스마트하고 빠르게 작업하는 새로운 방법을 알아봅니다. Microsoft Purview의 Microsoft Security Copilot 대해 자세히 알아보세요.
eDiscovery 보존 만들기
팁
대화형 구성 가이드 환경을 선호하나요? 보류 적용 가이드를 확인하세요.
eDiscovery 사례와 연결된 eDiscovery 보류를 만들려면 다음 단계를 완료합니다.
Microsoft Purview 포털로 이동하여 eDiscovery 권한이 할당된 사용자 계정에 대한 자격 증명을 사용하여 로그인합니다.
eDiscovery 솔루션 카드 선택한 다음, 왼쪽 탐색 창에서 사례(미리 보기)를 선택합니다.
사례를 선택한 다음 정책 보류 탭을 선택합니다.
정책 보류 dashboard 정책 만들기를 선택합니다.
시작하기 위한 세부 정보 입력 페이지에서 다음 필드를 완료합니다.
- 정책 이름: 보류 정책에 이름(필수)을 지정합니다. 보존 정책 이름은 organization 고유해야 합니다.
- 정책 설명: 다른 사용자가 이 보존 정책을 이해할 수 있도록 선택적 설명을 추가합니다.
만들기를 선택하여 새 보류 정책을 만들고 사례에 대한 관련 데이터에 대한 보류를 시작합니다.
정책 보류 탭에서 데이터 원본 추가를 선택합니다.
데이터 원본 관리 플라이아웃 창에서 보류 정책에 대한 데이터 원본을 추가하거나 제거합니다. 하나 이상의 사용자, 그룹 또는 organization 위치를 선택할 수 있습니다.
- 보류 정책을 만들려면 하나 이상의 날짜 원본을 선택해야 합니다.
- 보류 정책에 추가할 특정 사용자, 그룹 또는 organization 위치를 입력합니다.
Exchange 사서함: 보류 중인 사서함에 대해 적용 가능한 확인란이 선택됩니다. 편집을 사용하여 보류할 사용자 사서함 및 메일 그룹(그룹 구성원의 사서함)을 찾습니다. Microsoft 팀, Microsoft 365 그룹 및 Viva Engage 그룹의 연결된 사서함을 보류할 수도 있습니다. 사서함이 보류될 때 보존되는 애플리케이션 데이터에 대한 자세한 내용은 eDiscovery용 사서함에 저장된 콘텐츠를 참조하세요.
중요
보류할 메일 그룹을 선택하면 메일 목록이 배포 목록의 멤버로 확장됩니다. 사용자는 모든 구성원의 사서함과 OneDrive를 보류하거나 이러한 데이터 원본의 하위 집합/혼합을 보류하도록 선택할 수 있습니다. 메일 그룹 멤버 자격의 후속 변경은 보류 또는 정책을 변경하거나 업데이트하지 않습니다. 사용자는 최신 멤버 자격이 반영되고 확장되도록 데이터 원본에 메일 그룹을 다시 추가해야 합니다.
SharePoint 사이트: SharePoint 사이트 및 보류 중인 OneDrive 계정에 적용 가능한 확인란이 선택됩니다. 편집을 사용하여 보류할 추가 사이트의 URL을 입력합니다. Microsoft 팀, Microsoft 365 그룹 또는 Yammer 그룹의 SharePoint 사이트에 대한 URL을 추가할 수도 있습니다.
중요
SharePoint 사이트의 휴지통은 인덱싱되지 않으므로 검색할 수 없습니다. 따라서 eDiscovery 검색은 보류를 배치할 휴지통 콘텐츠를 찾을 수 없습니다.
저장을 선택합니다. 이제 보류 정책에 대한 데이터 원본의 범위를 지정했습니다.
보류 정책의 매개 변수를 정의하려면 보류 정책 탭의 다음 옵션 중에서 선택할 수 있습니다.
조건 작성기: 검색의 조건 작성기 옵션은 보류 정책을 빌드할 때 시각적 필터링 환경을 제공합니다. 각 조건은 보류를 만들 때 생성되고 실행되는 절을 추가합니다. 예를 들어 날짜 범위 내에서 만든 전자 메일 또는 사이트 문서가 유지되도록 날짜 범위를 지정할 수 있습니다. 조건 작성기 옵션 사용에 대한 자세한 내용은 조건 작성기를 사용하여 eDiscovery에서 검색 쿼리 만들기(미리 보기)를 참조하세요.
KeyQL(키워드 쿼리 언어): 검색의 KeyQL(키워드 쿼리 언어) 쿼리 옵션은 지침을 제공하며 길고 복잡한 쿼리를 편집기에 직접 빠르게 붙여넣을 수 있습니다. KeyQL 옵션을 사용하여 검색 쿼리를 빌드하는 방법에 대한 자세한 내용은 키워드 쿼리 언어를 사용하여 eDiscovery에서 검색 쿼리 만들기(미리 보기)를 참조하세요.
Microsoft Security Copilot 사용하여 검색에 대한 KeyQL 쿼리를 빠르게 빌드할 수도 있습니다. 자세한 내용은 Microsoft Copilot 사용하여 KeyQL 검색 쿼리 만들기(미리 보기)를 참조하세요.
보류 적용을 선택합니다.
보류를 만든 후 보류 정책의 세부 정보 탭으로 이동하여 보류가 성공적으로 적용되었는지 검사. 보류 정책에 대한 다음 정보를 검토할 수 있습니다.
- 이름: 데이터 원본의 이름입니다.
- 위치: 보류 정책에 포함된 데이터 원본의 특정 위치(예: 사서함의 SMTP 주소 또는 사이트의 URL)입니다.
- 보류 상태: 위치의 보류 상태. 위치가 보류 중인지, 보류 중이 아닌지 또는 보류에 오류가 있는지 여부를 나타냅니다.
- 원본 형식: 데이터 원본 형식이 사람 또는 그룹인지 여부를 표시합니다.
- 위치 유형: 위치가 사서함 인지 사이트인지를 표시 합니다.
참고
쿼리 기반 보류를 만들면 선택한 위치의 모든 콘텐츠가 처음에 보류됩니다. 그 후 지정된 쿼리와 일치하지 않는 모든 콘텐츠는 7~14일마다 보류에서 지워집니다. 그러나 모든 형식의 5개 이상의 보류가 콘텐츠 위치에 적용되거나 항목에 인덱싱 문제가 있는 경우 쿼리 기반 보류는 콘텐츠를 지우지 않습니다.
프로세스 관리자
프로세스 관리자는 보류 정책에서 수행되는 프로세스에 대한 정보를 표시합니다.
- 프로세스 유형: 프로세스의 형식입니다.
- 상태: 프로세스의 상태.
- 만든 날짜: 프로세스가 만들어진 날짜 및 시간입니다.
- 완료됨: 프로세스가 완료된 날짜 및 시간입니다.
- 기간: 프로세스의 기간입니다.
- 만든 사용자: 프로세스를 만든 사용자입니다.
프로세스 목록 및 열 정보를 다운로드하려면 목록 다운로드 를 선택하여 이 정보가 포함된 .csv 파일을 만듭니다.
모든 eDiscovery 프로세스에 대한 정보를 보려면 eDiscovery에서 프로세스 보고서 사용(미리 보기)을 참조하세요.
사이트에 배치된 쿼리 기반 보류
SharePoint 사이트에 있는 문서에 쿼리 기반 eDiscovery 보류를 배치할 때 다음 사항에 유의하세요.
- 쿼리 기반 보류는 처음에 삭제된 후 짧은 기간 동안 사이트의 모든 문서를 유지합니다. 즉, 문서가 삭제되면 쿼리 기반 보존의 조건과 일치하지 않더라도 자료 보존 라이브러리로 이동됩니다. 그러나 쿼리 기반 보존과 일치하지 않는 삭제된 문서는 자료 보존 라이브러리를 처리하는 타이머 작업에 의해 제거됩니다. 타이머 작업은 주기적으로 실행되며 자료 보존 라이브러리의 모든 문서를 쿼리 기반 eDiscovery 보류(및 기타 유형의 보류 및 보존 정책)와 비교합니다. 타이머 작업은 쿼리 기반 보류와 일치하지 않는 문서를 삭제하고 이 작업을 수행하는 문서를 유지합니다.
- 쿼리 기반 보존은 사이트 문서를 보존하기 위해 키워드, 날짜 범위 또는 기타 문서 속성과 같은 대상 보존을 수행하는 데 사용해야 합니다.
Microsoft Teams에서 콘텐츠 보존
Microsoft Teams 채널의 일부인 대화는 Microsoft 팀과 연결된 사서함에 저장됩니다. 마찬가지로 팀 구성원이 채널에서 공유하는 파일은 팀의 SharePoint 사이트에 저장됩니다. 따라서 채널에서 대화와 파일을 유지하려면 팀 사서함 및 SharePoint 사이트를 eDiscovery 보류에 배치해야 합니다.
또는 Teams의 채팅 목록에 포함된 대화( 1:1 채팅 또는 1:N 그룹 채팅이라고 함)는 채팅에 참여하는 사용자의 사서함에 저장됩니다. 사용자가 채팅 대화에서 공유하는 파일은 파일을 공유하는 사용자의 OneDrive 계정에 저장됩니다. 따라서 채팅 목록의 대화와 파일을 유지하려면 개별 사용자 사서함 및 OneDrive 계정을 eDiscovery 보류에 추가해야 합니다. 팀 사서함과 사이트를 보류하는 것 외에도 Microsoft 팀 구성원의 사서함을 보류하는 것이 좋습니다.
참고
organization Exchange 하이브리드 배포(또는 organization 온-프레미스 Exchange organization Office 365 동기화)를 사용하고 Microsoft Teams를 사용하도록 설정한 경우 온-프레미스 사용자는 Teams 채팅 애플리케이션을 사용하고 1:1 채팅 및 1:N 그룹 채팅에 참여할 수 있습니다. 이러한 대화는 온-프레미스 사용자와 연결된 클라우드 기반 스토리지에 저장됩니다. 온-프레미스 사용자가 eDiscovery 보류에 배치되면 클라우드 기반 스토리지의 Teams 채팅 콘텐츠가 유지됩니다. 자세한 내용은 온-프레미스 사용자의 Teams 채팅 데이터 검색을 참조하세요.
카드 콘텐츠 보존
마찬가지로 Teams 채널의 앱에서 생성된 카드 콘텐츠, 1:1 채팅 및 1:N 그룹 채팅은 사서함에 저장되며 사서함이 eDiscovery 보류에 배치될 때 유지됩니다. 카드는 짧은 내용의 UI 컨테이너입니다. 카드에는 여러 속성과 첨부 파일이 있을 수 있으며 카드 작업을 트리거하는 항목이 포함될 수 있습니다. 자세한 내용은 카드를 참조하세요. 다른 Teams 콘텐츠와 마찬가지로 카드 콘텐츠가 저장되는 위치는 카드가 사용된 위치를 기준으로 합니다. Teams 채널에 사용되는 카드의 내용은 Teams 그룹 사서함에 저장됩니다. 1:1 및 1xN 채팅의 카드 콘텐츠는 채팅 참가자의 우편함에 저장됩니다.
모임 및 통화 정보 유지
Teams 채널의 모임 및 통화에 대한 요약 정보도 모임 또는 통화에 전화한 사용자의 사서함에 저장됩니다. 이 콘텐츠는 eDiscovery 보류가 사용자 사서함에 배치될 때도 유지됩니다.
비공개 채널에서 콘텐츠 보존
2020년 2월부터 비공개 채널에서 콘텐츠를 보존하는 기능도 설정되었습니다. 비공개 채널 채팅은 채팅 참가자의 사서함에 저장되므로 eDiscovery 보류에 사용자 사서함을 배치하면 비공개 채널 채팅이 유지됩니다. 또한 사용자 사서함이 2020년 2월 이전에 eDiscovery 보류에 배치된 경우 해당 사서함에 저장된 개인 채널 메시지에 보류가 자동으로 적용됩니다. 비공개 채널에서 공유된 파일 보존도 지원됩니다.
위키 콘텐츠 보존
모든 팀 또는 팀 채널에는 메모 작성 및 공동 작업을 위한 Wiki도 포함되어 있습니다. Wiki 콘텐츠는 자동으로 .mht 형식의 파일에 저장됩니다. 이 파일은 팀의 SharePoint 사이트에 있는 Teams Wiki Data 문서 라이브러리에 저장됩니다. 팀의 SharePoint 사이트를 eDiscovery 보류에 추가하여 위키 콘텐츠를 보존할 수 있습니다.
참고
팀 또는 팀 채널(팀의 SharePoint 사이트를 보류할 때)에 대한 Wiki 콘텐츠를 보존하는 기능은 2017년 6월 22일에 릴리스되었습니다. 팀 사이트가 보류 중인 경우 Wiki 콘텐츠는 해당 날짜부터 유지됩니다. 그러나 팀 사이트가 보류 중이고 Wiki 콘텐츠가 2017년 6월 22일 이전에 삭제된 경우 Wiki 콘텐츠는 보존되지 않습니다.
Microsoft 365 그룹
Teams는 Microsoft 365 그룹을 기반으로 합니다. 따라서 eDiscovery 보류에 Microsoft 365 그룹을 배치하는 것은 Teams 콘텐츠를 보류하는 것과 유사합니다.
Teams와 Microsoft 365 그룹을 모두 eDiscovery 보류에 배치할 때 다음 사항에 유의하세요.
Teams 및 Microsoft 365 그룹에 있는 콘텐츠를 보류하려면 그룹 또는 팀과 연결된 사서함 및 SharePoint 사이트를 지정해야 합니다.
Exchange Online PowerShell에서 Get-UnifiedGroup cmdlet을 실행하여 Teams 및 Microsoft 365 그룹의 속성을 봅니다. 팀 또는 Microsoft 365 그룹과 연결된 사이트의 URL을 가져오는 좋은 방법입니다. 예를 들어 다음 명령은 선임 리더십 팀이라는 Microsoft 365 그룹에 대해 선택한 속성을 표시합니다.
Get-UnifiedGroup "Senior Leadership Team" | FL DisplayName,Alias,PrimarySmtpAddress,SharePointSiteUrl DisplayName : Senior Leadership Team Alias : seniorleadershipteam PrimarySmtpAddress : seniorleadershipteam@contoso.onmicrosoft.com SharePointSiteUrl : https://contoso.sharepoint.com/sites/seniorleadershipteam참고
Get-UnifiedGroup cmdlet를 실행하려면 Exchange Online에서 보기 전용 받는 사람 역할을 할당받았거나 보기 전용 받는 사람 역할이 할당된 역할 그룹의 구성원이어야 합니다.
사용자의 사서함을 검색할 때 사용자가 구성원인 팀 또는 Microsoft 365 그룹은 검색되지 않습니다. 마찬가지로 팀 또는 Microsoft 365 그룹을 eDiscovery 보류에 배치하면 그룹 사서함 및 그룹 사이트만 보류됩니다. 그룹 구성원의 사서함 및 OneDrive 사이트는 eDiscovery 보류에 명시적으로 추가하지 않는 한 보류되지 않습니다. 따라서 법적 이유로 팀 또는 Microsoft 365 그룹을 보류해야 하는 경우 팀 또는 그룹 구성원의 사서함 및 OneDrive 계정을 동일한 보류에 추가하는 것이 좋습니다.
팀 또는 Microsoft 365 그룹의 구성원 목록을 얻으려면 Microsoft 365 관리 센터 그룹 페이지에서 속성을 볼 수 있습니다. 또는 Exchange Online PowerShell에서 다음 명령을 실행할 수 있습니다.
Get-UnifiedGroupLinks <group or team name> -LinkType Members | FL DisplayName,PrimarySmtpAddress참고
Get-UnifiedGroupLinks cmdlet를 실행하려면 Exchange Online에서 보기 전용 받는 사람 역할을 할당받았거나 보기 전용 받는 사람 역할이 할당된 역할 그룹의 구성원이어야 합니다.
OneDrive 계정에서 콘텐츠 보존
eDiscovery 사례와 연결된 보류 또는 검색에 추가할 수 있도록 organization OneDrive 사이트의 URL 목록을 수집하려면 organization 모든 OneDrive 위치 목록 만들기를 참조하세요. 이 문서의 스크립트는 organization 모든 OneDrive 사이트 목록이 포함된 텍스트 파일을 만듭니다. 이 스크립트를 실행하려면 SharePoint Online 관리 셸을 설치하고 사용해야 합니다. 조직의 MySite 도메인에 대한 URL을 검색하려는 각 OneDrive 사이트 앞에 붙입니다. 이 도메인은 모든 OneDrive를 포함하는 도메인입니다. 예를 들면 입니다 https://contoso-my.sharepoint.com. 사용자의 OneDrive 사이트에 대한 URL의 예는 https://contoso-my.sharepoint.com/personal/sarad_contoso_onmicrosoft.com다음과 같습니다.
중요
사용자의 OneDrive 계정에 대한 URL에는 UPN(사용자 계정 이름)이 포함됩니다(예: https://alpinehouse-my.sharepoint.com/personal/sarad_alpinehouse_onmicrosoft_com). 드문 경우이지만 사용자의 UPN이 변경되는 경우 OneDrive URL도 새 UPN을 통합하도록 변경됩니다. 사용자의 OneDrive 계정이 eDiscovery 보류의 일부이고 해당 UPN이 변경된 경우 사용자의 새 OneDrive URL을 추가하고 이전 ONEDrive URL을 제거하여 보류를 업데이트해야 합니다. OneDrive 사이트의 URL이 변경되면 이전에 사이트에 배치된 보류가 유효하고 콘텐츠가 유지됩니다. 자세한 내용은 UPN 변경 내용이 OneDrive URL에 미치는 영향을 참조하세요.
eDiscovery 보류에서 콘텐츠 위치 제거
사서함, SharePoint 사이트 또는 OneDrive 계정이 eDiscovery 보류에서 제거되면 지연 보류 가 적용됩니다. 즉, 콘텐츠 위치에서 데이터가 영구적으로 삭제(제거)되지 않도록 보류의 실제 제거가 30일 동안 지연됩니다. 이렇게 하면 관리자가 eDiscovery 보류가 제거된 후 제거된 콘텐츠를 검색하거나 복구할 수 있습니다. 사서함 및 사이트에 대해 지연 보류가 작동하는 방식에 대한 세부 정보는 다릅니다.
사서함: 다음에 관리되는 폴더 도우미가 사서함을 처리하고 eDiscovery 보류가 제거되었음을 감지할 때 사서함에 지연 보류가 배치됩니다. 특히 관리되는 폴더 도우미가 다음 사서함 속성 중 하나를 True로 설정하면 지연 보류가 사서함에 적용됩니다.
- DelayHoldApplied: 이 속성은 사용자의 사서함에 저장된 전자 메일 관련 콘텐츠(Outlook 및 웹용 Outlook 사용하는 사용자가 생성함)에 적용됩니다.
- DelayReleaseHoldApplied: 이 속성은 사용자의 사서함에 저장된 클라우드 기반 콘텐츠(Microsoft Teams, Microsoft Forms 및 Microsoft Yammer와 같은 비 Outlook 앱에서 생성됨)에 적용됩니다. Microsoft 앱에서 생성된 클라우드 데이터는 일반적으로 사용자의 사서함에 숨겨진 폴더에 저장됩니다.
사서함에 지연 보존이 배치되면(이전 속성 중 하나가 True로 설정된 경우) 사서함은 사서함이 소송 보존에 있는 것처럼 무제한 보존 기간 동안 보류된 것으로 간주됩니다. 30일이 지나면 지연 보류가 만료되고 Microsoft 365는 보류가 제거되도록 지연 보류를 자동으로 제거하려고 시도합니다(DelayHoldApplied 또는 DelayReleaseHoldApplied 속성을 False로 설정). 이러한 속성 중 하나를 False로 설정하면 다음에 관리되는 폴더 도우미에서 사서함을 처리할 때 제거하도록 표시된 해당 항목이 제거됩니다.
SharePoint 및 OneDrive 사이트: 보존 보존 라이브러리에 보존되는 SharePoint 또는 OneDrive 콘텐츠는 eDiscovery 보류에서 사이트를 제거한 후 30일 지연 보존 기간 동안 삭제되지 않습니다. 이는 사이트가 보존 정책에서 해제될 때 발생하는 작업과 유사합니다. 또한 30일 지연 보존 기간 동안은 자료 보존 라이브러리에서 이 콘텐츠를 수동으로 삭제할 수 없습니다. 30일 지연 보존/유예 기간 보류에서 사이트를 해제하려면 잘못된 보존 정책 또는 eDiscovery 보류 문제 해결 문서로 인해 사이트를 삭제할 수 없음 문서를 참조하세요.
자세한 내용은 보존 정책 릴리스를 참조하세요.
eDiscovery 케이스를 닫을 때 보류가 해제되므로 보류는 보류 중인 콘텐츠 위치에도 적용됩니다. 케이스를 닫는 방법에 대한 자세한 내용은 eDiscovery의 사례 설정에 대해 알아보기(미리 보기)를 참조하세요.
eDiscovery 보류 제한
다음 표에서는 eDiscovery 사례 및 사례 보유에 대한 제한을 나열합니다.
| 제한에 대한 설명 | 제한 유형 |
|---|---|
| 조직의 최대 사례 수입니다. | 제한 없음 |
| organization 대한 최대 eDiscovery 보류 정책 수입니다. 이 제한에는 eDiscovery 사례의 총 보존 정책이 포함됩니다. | 10,0001 |
| 단일 eDiscovery 보류의 최대 사서함 수입니다. 이 제한에는 총 사용자 사서함과 Microsoft 365 그룹, Microsoft Teams 및 Viva Engage 그룹 연결된 사서함이 포함됩니다. | 1,000 |
| 단일 eDiscovery 보류의 최대 사이트 수입니다. 이 제한에는 총 OneDrive 사이트, SharePoint 사이트 및 Microsoft 365 그룹, Microsoft Teams 및 Viva Engage 그룹 연결된 사이트가 포함됩니다. <br/ | 100 |
| eDiscovery 홈페이지에 표시되는 최대 사례 수와 케이스 내의 보류, 검색 및 내보내기 탭에 표시되는 최대 항목 수입니다. | 1,0001 |
| SharePoint 사이트 및 OneDrive에 대한 제한 유지 | 자세한 내용은 SharePoint 제한을 참조하세요. |
참고
1 1,000개 이상의 사례, 보류, 검색 또는 내보내기 목록을 보려면 해당 보안 & 준수 PowerShell cmdlet을 사용할 수 있습니다.