Exchange Server eDiscovery In-Place

organization 법적 검색 요구 사항(조직 정책, 규정 준수 또는 소송 관련)을 준수하는 경우 Exchange Server eDiscovery를 In-Place 사서함 내의 관련 콘텐츠에 대한 검색 검색을 수행하는 데 도움이 될 수 있습니다. Exchange 하이브리드 환경에서 원본 위치 eDiscovery를 사용하여 동일한 검색에서 온-프레미스 사서함과 클라우드 기반 사서함을 모두 검색할 수도 있습니다.

원본 위치 eDiscovery의 작동 방식

원본 위치 eDiscovery는 Exchange 검색에서 만든 콘텐츠 인덱스를 사용합니다. RBAC(역할 기반 Access Control)는 사용자가 Exchange 구성에 대한 운영 변경을 수행할 수 있는 상승된 권한을 제공할 필요 없이 검색 작업을 비기술 담당자에게 위임할 수 있는 검색 관리 역할 그룹을 제공합니다. EAC(Exchange 관리 센터)는 법률 및 규정 준수 담당자, 레코드 관리자 및 인사 전문가와 같은 비기술 담당자를 위한 사용하기 쉬운 검색 인터페이스를 제공합니다.

권한이 있는 사용자는 사서함을 선택하고 키워드, 시작/종료 날짜, 보낸 사람/받는 사람 주소, 메시지 유형 등의 검색 조건을 지정하여 원본 위치 eDiscovery 검색을 수행할 수 있습니다. 검색이 완료되면 권한이 있는 사용자는 다음 작업 중 하나를 선택할 수 있습니다.

• 검색 결과 예측 - 이 옵션은 지정한 조건에 따라 검색에서 반환할 총 크기 및 항목 수를 반환합니다.

• 검색 결과 미리 보기 - 이 옵션은 결과의 미리 보기를 제공합니다. 검색된 각 사서함에서 반환된 메시지가 표시됩니다.

• 검색 결과 복사 - 이 옵션을 사용하면 검색 사서함에 메시지를 복사할 수 있습니다.

• 검색 결과 내보내기 - 검색 결과가 검색 사서함에 복사되면 PST 파일로 내보낼 수 있습니다.

In-Place eDiscovery는 KQL(키워드 쿼리 언어)을 사용합니다. KQL에 익숙한 사용자는 강력한 검색 쿼리를 생성하여 콘텐츠 인덱스를 검색할 수 있습니다. KQL에 대한 자세한 내용은 키워드 쿼리 언어 구문 참조를 참조하세요.

eDiscovery 권한 In-Place

권한이 있는 사용자가 eDiscovery 검색을 In-Place 수행하려면 검색 관리 역할 그룹에 추가해야 합니다. 이 역할 그룹은 사용자가 In-Place eDiscovery 검색을 수행할 수 있는 사서함 검색 역할과 사용자가 In-Place 보류 및 소송 보존에 사서함을 배치할 수 있는 법적 보존 역할의 두 가지 관리 역할로 구성됩니다.

원본 위치 eDiscovery 관련 작업을 수행하는 권한은 기본적으로 어떤 사용자나 Exchange 관리자에게도 할당되지 않습니다. 조직 관리 역할 그룹에 속한 Exchange 관리자는 검색 관리 역할 그룹에 사용자를 추가하고 사용자 지정 역할 그룹을 만들어 검색 관리자 범위를 일부 사용자로 좁힐 수 있습니다. 검색 관리 역할 그룹에 사용자를 추가하는 방법에 대한 자세한 내용은 Exchange Server eDiscovery 권한 할당을 참조하세요.

기본적으로 사용하도록 설정되는 RBAC 역할 변경 감사는 검색 관리 역할 그룹 할당을 추적하기 위해 적정 레코드가 유지되도록 합니다. 관리자 역할 그룹 보고서를 사용하여 관리자 역할 그룹에 대한 변경 내용을 검색할 수 있습니다. 자세한 내용은 Search the role group changes or administrator audit logs을 참조하세요.

원본 위치 eDiscovery 사용

원본 위치 eDiscovery 검색은 검색 관리 역할 그룹에 추가된 사용자가 수행할 수 있습니다. EAC에서 웹 기반 인터페이스를 사용하여 검색을 수행할 수 있습니다. 따라서 레코드 관리자, 준수 관리자 또는 법무 및 HR 전문가 등 관련 기술 지식이 없는 사람도 원본 위치 eDiscovery 기능을 쉽게 사용할 수 있습니다. Exchange 관리 셸을 사용하여 검색을 수행할 수도 있습니다. 자세한 내용은 Exchange Server In-Place eDiscovery 검색 만들기를 참조하세요.

EAC의 원본 위치 eDiscovery 및 유지 마법사를 사용하면 원본 위치 eDiscovery 검색을 만들 수 있으며 원본 위치 유지를 사용하여 검색 결과를 유지할 수도 있습니다. 원본 위치 eDiscovery 검색을 만들면 원본 위치 eDiscovery 시스템 사서함에 검색 개체가 만들어집니다. This object can be manipulated to start, stop, modify, and remove the search. After you create the search, you can choose to get an estimate of search results, which includes keyword statistics that help you determine query effectiveness. You can also do a live preview of items returned in the search, allowing you to view message content, the number of messages returned from each source mailbox and the total number of messages. You can use this information to further fine-tune your query if required.

검색 결과에 만족하면 결과를 검색 사서함에 복사합니다. EAC 또는 Outlook을 사용하여 검색 사서함이나 해당 콘텐츠 중 일부를 PST 파일로 내보낼 수도 있습니다.

원본 위치 eDiscovery 검색을 만들 때 다음 매개 변수를 지정해야 합니다.

• 이름 - 검색 이름은 검색을 식별하는 데 사용됩니다. 검색 결과를 검색 사서함에 복사하면, 검색 사서함에서 검색 결과를 고유하게 식별하는 검색 이름 및 타임스탬프를 사용하여 폴더가 하나 만들어집니다.

• 원본 - Exchange Server organization 모든 사서함을 검색하거나 검색할 사서함을 지정하도록 선택할 수 있습니다. 모든 공용 폴더를 검색하도록 선택할 수도 있습니다. 유지할 항목을 찾는 데에도 동일한 검색을 사용하려는 경우에는 사서함을 지정해야 합니다. 모든 공용 폴더를 In-Place 보류에 배치할 수도 있습니다. 그룹 구성원인 사서함 사용자를 포함할 메일 그룹을 지정할 수 있습니다. 그룹의 멤버 자격은 검색을 만들 때 한 번 계산되며 그룹 멤버 자격에 대한 후속 변경 내용은 검색에 자동으로 반영되지 않습니다. 사용자의 기본 사서함과 보관 사서함은 검색에 포함됩니다.

• 검색 쿼리 - 지정된 사서함의 모든 사서함 콘텐츠를 포함하거나 검색 쿼리를 사용하여 사례 또는 조사와 더 관련된 항목을 반환할 수 있습니다. 검색 쿼리에 다음 매개 변수를 지정할 수 있습니다.

  • 키워드 - 키워드 및 구를 지정하여 메시지 콘텐츠를 검색할 수 있습니다. AND, OR 및 NOT 논리 연산자를 사용할 수도 있습니다. 또한 Exchange Server NEAR 연산자를 지원하므로 다른 단어나 구에 근접한 단어나 구를 검색할 수 있습니다.

    여러 단어로 된 구문이 정확하게 일치하는 부분을 검색하려면 구문을 따옴표로 묶어야 합니다. 예를 들어 "plan and competition" 구문을 검색하면 이 구문과 똑같은 메시지가 반환되고, plan AND competition을 검색하면 plan과 competition 단어를 무작위로 포함하는 메시지가 반환됩니다.

    Exchange Server In-Place eDiscovery 검색에 대한 KQL(키워드 쿼리 언어) 구문도 지원합니다. KQL에 대한 자세한 내용은 키워드 쿼리 언어 구문 참조를 참조하세요.

    참고

    원본 위치 eDiscovery는 정규식을 지원하지 않습니다.

    AND 및 OR과 같은 논리 연산자를 키워드 대신 연산자로 처리하도록 하려면 대문자로 표기해야 합니다. 실수나 잘못된 해석을 방지하려면 여러 논리 연산자가 혼합된 쿼리에 대해 명시적 괄호를 사용하는 것이 좋습니다. 예를 들어, WordA or WordB AND 또는 WordC or WordD를 포함하는 메시지를 검색하려면, (WordA OR WordB) AND (WordC OR WordD) 를 사용해야 합니다.

  • 시작 및 종료 날짜 - 기본적으로 In-Place eDiscovery는 날짜 범위별로 검색을 제한하지 않습니다. 특정 날짜 범위에 보낸 메시지를 검색하려면 시작 날짜와 종료 날짜를 지정하여 검색 범위를 좁힙니다. 종료 날짜를 지정하지 않으면 검색을 다시 시작할 때마다 최신 결과가 반환됩니다.

  • 보낸 사람 및 받는 사람 - 검색 범위를 좁히려면 메시지의 보낸 사람 또는 받는 사람을 지정할 수 있습니다. 전자 메일 주소, 표시 이름 또는 도메인 이름을 사용하여 도메인에 있는 사람이 보내거나 받은 항목을 검색할 수 있습니다. 예를 들어 Contoso, Ltd.의 누군가로부터 받은 전자 메일을 찾으려면 EAC의 보낸 사람 또는 받는 사람/참조 필드에서 @contoso.com을 지정합니다. Exchange 관리 셸의 보낸 사람 또는 받는 사람 매개 변수에서 @contoso.com 지정할 수도 있습니다.

  • 메시지 유형 - 기본적으로 모든 메시지 형식이 검색됩니다. 전자 메일, 연락처, 문서, 업무 일지, 모임, 메모 및 Lync 콘텐츠와 같은 특정 메시지 유형을 선택하여 검색을 제한할 수 있습니다.

다음 스크린샷에는 EAC의 검색 쿼리 예가 나와 있습니다.

원본 위치 eDiscovery를 사용하는 경우 다음 사항도 고려해야 합니다.

• 첨부 파일 - In-Place eDiscovery는 Exchange Search에서 지원하는 첨부 파일을 검색합니다. 자세한 내용은 Default Filters for Exchange Search를 참조하십시오. 온-프레미스 배포에서, 사서함 서버에서 파일 형식별로 검색 필터(iFilter)를 설치하여 파일 형식을 더 추가할 수도 있습니다.

• 검색할 수 없는 항목 - 검색할 수 없는 항목은 Exchange Search에서 인덱싱할 수 없는 사서함 항목입니다. 첨부된 파일의 검색 필터가 설치되지 않았거나, 파일 오류가 발생했거나, 메시지가 암호화된 등의 경우에 이러한 항목이 인덱싱될 수 없습니다. eDiscovery 검색이 수행되도록 조직에서 검토를 위해 이러한 항목을 포함해야 할 수도 있습니다. 검색 결과를 검색 사서함에 복사하거나 PST 파일로 내보낼 때는 검색할 수 없는 항목을 포함할 수 있습니다. 자세한 내용은 Unsearchable Items in Exchange eDiscovery를 참조하세요.

• 암호화된 항목 - S/MIME를 사용하여 암호화된 메시지는 Exchange Search에서 인덱싱되지 않으므로 In-Place eDiscovery는 이러한 메시지를 검색하지 않습니다. 검색할 수 없는 항목을 검색 결과에 포함하는 옵션을 선택하면 이러한 S/MIME 암호화 메시지가 검색 사서함에 복사됩니다.

• 중복 제거 - 검색 결과를 검색 사서함으로 복사하거나 검색 결과를 PST 파일로 내보낼 때 검색 결과의 중복 제거를 사용하도록 설정하여 고유한 메시지의 instance 하나만 검색 사서함에 복사할 수 있습니다. 중복 제거를 사용할 경우 이점은 다음과 같습니다.

  • 복사된 메시지 수가 줄어들어 저장소 요구 사항 및 검색 사서함 크기가 줄어듭니다.

  • 검색 관리자, 법적 자문 위원 또는 검색 결과 검토와 관련된 다른 사람들의 작업량이 줄어듭니다.

  • 검색 결과의 중복 항목 수에 따라 eDiscovery 비용이 줄어듭니다.

• IRM으로 보호되는 항목 - IRM(정보 권한 관리)을 사용하여 보호되는 메시지는 Exchange Search에 의해 인덱싱되므로 쿼리 매개 변수와 일치하는 경우 검색 결과에 포함됩니다. 메시지는 사서함 서버와 같은 Active Directory 포리스트에 있는 AD RMS(Active Directory Rights Management Services)를 사용하여 보호되어야 합니다. 자세한 내용은 Exchange Server 정보 권한 관리를 참조하세요.

  중요:

  • Exchange 검색에서 암호 해독에 실패하거나 IRM을 사용하지 않도록 설정되어 있어 IRM 보호 메시지를 인덱싱하지 못한 경우에는 보호된 메시지가 실패 항목 목록에 추가되지 않습니다. 검색 결과에 검색할 수 없는 항목을 포함하는 옵션을 선택한 경우 해독하지 못한 보호된 메시지는 결과에 포함되지 않을 수도 있습니다.

  • IRM 보호 메시지를 검색에 포함하려면 .rpmsg 첨부 파일이 있는 메시지를 포함하는 다른 검색을 만듭니다. 쿼리 문자열 attachment:rpmsg 을 사용하여 성공적으로 인덱싱되었는지 여부에 관계없이 지정된 사서함의 모든 IRM 보호 메시지를 검색할 수 있습니다. 이 경우 인덱싱된 IRM 보호 메시지와 같이 한 검색에서 다른 검색 조건에도 적합한 메시지를 반환하는 시나리오에서 검색 결과가 중복될 가능성이 있습니다. 인덱싱할 수 없는 IRM 보호 메시지는 검색에서 반환되지 않습니다.

  • 모든 IRM 보호 메시지에 대해 두 번째 검색을 수행하면 첫 번째 검색에서 인덱싱 및 반환된 IRM 보호 메시지도 포함됩니다. 두 번째 검색에서 반환되는 IRM 보호 메시지가 첫 번째 검색에 사용된 키워드 등의 검색 조건과 일치하지 않을 수도 있습니다.

검색 결과 예상, 미리 보기 및 복사

원본 위치 eDiscovery 검색을 완료하면 EAC의 세부 정보 창에서 예상 검색 결과를 볼 수 있습니다. 여기에서 반환된 항목 수와 해당 항목들의 총 크기가 포함됩니다. 검색 쿼리에 사용된 각 키워드에 대해 반환된 항목 수에 대한 세부 정보가 포함된 키워드 통계도 볼 수 있습니다. 이 정보는 쿼리의 효율성을 확인하는 데 유용합니다. 쿼리 범위가 너무 광범위하면 반환되는 데이터 집합이 커져 검토에 필요한 리소스가 늘어나고 결국 eDiscovery 비용이 증가할 수 있습니다. 쿼리 범위가 너무 좁으면 반환되는 레코드 수가 크게 줄어들거나 전혀 반환되지 않을 수 있습니다. 예상 결과 및 키워드 통계를 기반으로 요구 사항에 맞게 쿼리를 세부적으로 조정할 수 있습니다.

검색 결과를 미리 보고 반환될 메시지에 검색하려는 콘텐츠가 포함되어 있는지 확인하고 필요한 경우 쿼리 쿼리를 세부적으로 조정할 수도 있습니다. eDiscovery 검색 미리 보기에는 검색된 각 사서함에서 반환된 메시지 개수와 검색에서 반환된 총 메시지 개수가 표시됩니다. 미리 보기가 빠르게 생성되어 메시지를 검색 사서함에 복사할 필요가 없습니다.

검색 결과의 양과 질에 만족하면 그때 검색 사서함에 복사하면 됩니다. 메시지를 복사할 때 다음 옵션을 사용할 수 있습니다.

• 검색할 수 없는 항목 포함 - 검색할 수 없는 항목 유형에 대한 자세한 내용은 이전 섹션의 eDiscovery 검색 고려 사항을 참조하세요.

• 중복 제거 사용 - 중복 제거는 검색된 하나 이상의 사서함에 여러 인스턴스가 있는 경우 고유한 레코드의 단일 instance 포함하여 데이터 세트를 줄입니다.

• 전체 로깅 사용 - 기본적으로 항목을 복사할 때 기본 로깅만 사용하도록 설정됩니다. 전체 로깅을 선택하여 검색에서 반환된 모든 레코드에 대한 정보를 포함할 수 있습니다.

• 복사본이 완료되면 메일 보내기 - In-Place eDiscovery 검색은 잠재적으로 많은 수의 레코드를 반환할 수 있습니다. 반환된 메시지를 검색 사서함에 복사하는 데 시간이 오래 걸릴 수 있습니다. 복사가 완료될 때 전자 메일 알림을 받으려면 이 옵션을 사용합니다. 웹용 Outlook 사용하여 더 쉽게 액세스할 수 있도록 알림에는 메시지가 복사되는 검색 사서함의 위치에 대한 링크가 포함됩니다.

자세한 내용은 EDiscovery 검색 결과 검색 사서함으로 복사를 참조하세요.

PST 파일로 검색 결과 내보내기

검색 결과를 검색 사서함으로 복사한 다음 PST 파일로 내보낼 수 있습니다.

검색 결과를 PST 파일로 내보내면 사용자 또는 다른 사용자가 Outlook에서 열어 검색 결과에 반환된 메시지를 검토하거나 인쇄할 수 있습니다. 자세한 내용은 PST 파일로 eDiscovery 검색 결과 내보내기를 참조하세요.

원본 위치 eDiscovery 검색 로깅

In-Place eDiscovery 검색에 사용할 수 있는 두 가지 유형의 로깅이 있습니다.

• 기본 로깅 - 기본 로깅은 모든 In-Place eDiscovery 검색에 대해 기본적으로 사용하도록 설정됩니다. 여기에는 검색과 검색을 수행한 사람에 대한 정보가 포함됩니다. 기본 로깅에서 캡처되는 정보는 검색 결과가 저장되는 사서함으로 보내는 전자 메일 메시지의 본문에 표시됩니다. 이 메시지는 검색 결과를 저장하기 위해 만든 폴더에 있습니다.

• 전체 로깅 - 전체 로깅에는 검색에서 반환된 모든 메시지에 대한 정보가 포함됩니다. 이 정보는 기본 로깅 정보를 포함하는 전자 메일 메시지에 첨부된 .csv(쉼표로 구분된 값) 파일로 제공됩니다. .csv 파일 이름으로는 검색 이름이 사용됩니다. 이 정보는 준수 또는 레코드 보관 목적으로 필요할 수 있습니다. 전체 로깅을 사용하도록 설정하려면 EAC에서 검색 사서함에 검색 결과를 복사할 때 전체 로깅 사용 옵션을 선택해야 합니다. Exchange 관리 셸을 사용하는 경우 LogLevel 매개 변수를 사용하여 전체 로깅 옵션을 지정합니다.

검색 결과를 검색 사서함에 복사할 때 포함된 검색 로그 외에도 Exchange는 EAC 또는 Exchange 관리 셸에서 사용하는 cmdlet을 기록하여 eDiscovery 검색을 In-Place 생성, 수정 또는 제거합니다. 이 정보는 관리자 감사 로그 항목에 기록됩니다. 자세한 내용은 Exchange Server 관리자 감사 로깅을 참조하세요.

검색 사서함

원본 위치 eDiscovery 검색을 만든 후 검색 결과를 대상 사서함에 복사할 수 있습니다. EAC를 사용하면 대상 사서함으로 지정할 검색 사서함을 선택할 수 있습니다. 검색 사서함은 다음과 같은 기능을 제공하는 특수한 유형의 사서함입니다.

• 보다 쉽고 안전한 대상 사서함 선택 - EAC를 사용하여 In-Place eDiscovery 검색 결과를 복사하는 경우 검색 사서함만 검색 결과를 저장할 리포지토리로 사용할 수 있습니다. 이렇게 하면 검색 관리자가 다른 사용자의 사서함 또는 잠재적으로 중요한 메시지를 저장할 보안되지 않은 사서함을 실수로 선택할 가능성이 없습니다.

• 대용량 사서함 스토리지 할당량 - 대상 사서함은 In-Place eDiscovery 검색에서 반환될 수 있는 대량의 메시지 데이터를 저장할 수 있어야 합니다. 기본적으로 검색 사서함의 사서함 스토리지 할당량은 50GB입니다. 이 저장소 할당량은 늘릴 수 없습니다.

• 기본적으로 더 안전 함 - 모든 사서함 유형과 마찬가지로 검색 사서함에는 연결된 Active Directory 사용자 계정이 있습니다. 하지만 이 계정은 기본적으로 사용하지 않도록 설정됩니다. 검색 사서함에 액세스하도록 명시적으로 권한이 부여된 사용자만 액세스가 가능합니다. 검색 관리 역할 그룹의 구성원에게는 기본 검색 사서함에 대한 모든 권한이 할당됩니다. 추가로 만드는 검색 사서함에 대한 사서함 액세스 권한은 기본적으로 사용자에게 할당되지 않습니다.

• Email 배달 사용 안 함 - 사용자가 검색 사서함으로 전자 메일을 보낼 수 없습니다. 검색 사서함에 대한 전자 메일 배달은 배달 제한을 통해 금지됩니다. 따라서 검색 사서함에 복사되는 검색 결과의 무결성이 유지됩니다. 기본적으로 검색 사서함은 organization 전역 주소 목록에 표시되지 않습니다.

Exchange Server 설치 프로그램은 표시 이름 검색 사서함으로 하나의 검색 사서함을 만듭니다. Exchange 관리 셸을 사용하여 추가 검색 사서함을 만들 수 있습니다. 기본적으로 추가로 만든 검색 사서함에는 사서함 액세스 권한이 할당되지 않습니다. 검색 사서함에 복사된 메시지에 액세스할 수 있도록 검색 관리자에게 "모든 권한" 권한을 할당할 수 있습니다. 자세한 내용은 검색 사서함 만들기를 참조하세요 .

또한 원본 위치 eDiscovery에서는 표시 이름이 SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} 인 시스템 사서함에 원본 위치 eDiscovery 메타데이터를 보관합니다. 시스템 사서함은 EAC 또는 Exchange 주소 목록에 표시되지 않습니다. In-Place eDiscovery 시스템 사서함이 있는 사서함 데이터베이스를 제거하기 전에 사서함을 다른 사서함 데이터베이스로 이동해야 합니다. 사서함이 제거되거나 손상된 경우 사서함을 다시 만들지 않으면 검색 관리자가 eDiscovery 검색을 수행할 수 없습니다. 자세한 내용은 Re-Create the Discovery System Mailbox를 참조하십시오.

원본 위치 eDiscovery 및 원본 위치 유지

eDiscovery 요청의 일부로서 소송이나 조사가 완결될 때까지 사서함 콘텐츠를 보존해야 할 수도 있습니다. 사서함 사용자 또는 프로세스에 의해 삭제 또는 수정된 메시지도 보존해야 합니다. Exchange Server 이 작업은 In-Place Hold를 사용하여 수행됩니다. 자세한 내용은 Exchange Server 현재 위치 보존 및 소송 보존을 참조하세요.

In-Place eDiscovery & Hold 마법사를 사용하여 항목을 검색하고 eDiscovery에 필요하거나 다른 비즈니스 요구 사항을 충족하는 동안 보존할 수 있습니다. When using the same search for both In-Place eDiscovery and In-Place Hold, be aware of the following:

• 옵션을 사용하여 organization 모든 사서함을 보류할 수 없습니다. 사서함 또는 메일 그룹을 선택해야 합니다. 그러나 모든 공용 fol ders를 organization 보류할 수 있습니다.

• 원본 위치 eDiscovery 검색이 원본 위치 유지에도 사용되는 경우에는 해당 검색을 제거할 수 없습니다. 먼저 검색에서 원본 위치 유지 옵션을 해제한 후 검색을 제거해야 합니다.

원본 위치 eDiscovery를 위해 사서함 보존

직원이 조직을 떠나는 경우 사서함을 사용하지 않도록 설정하거나 제거하는 것이 일반적입니다. 사서함을 사용하지 않도록 설정하고 나면 해당 사서함이 사용자 계정에서 연결이 끊어지지만 특정 기간(기본적으로 30일) 동안 사서함에 남아 있게 됩니다. 관리되는 폴더 도우미는 이 기간 동안 적용되지 않은 보존 정책 및 연결이 끊어진 사서함을 처리하지 않습니다. 연결이 끊어진 사서함의 콘텐츠는 검색할 수 없습니다. 사서함 데이터베이스에 대해 구성된 삭제된 사서함 보존 기간에 도달하면 사서함이 사서함 데이터베이스에서 제거됩니다.

organization 더 이상 organization 없는 직원의 메시지에 보존 설정을 적용해야 하거나 진행 중이거나 향후 eDiscovery 검색을 위해 전 직원의 사서함을 유지해야 하는 경우 사서함을 사용하지 않도록 설정하거나 제거하지 마세요. 사서함에 액세스할 수 없도록 하고 새 메시지가 해당 사서함에 배달되지 않도록 하려면 다음 단계를 수행합니다.

1. Active Directory 사용자 & 컴퓨터 또는 기타 Active Directory 또는 계정 프로비저닝 도구 또는 스크립트를 사용하여 Active Directory 사용자 계정을 사용하지 않도록 설정합니다. This prevents mailbox logon using the associated user account.

   중요

   모든 권한 사서함 권한이 있는 사용자는 사서함에 계속 액세스할 수 있습니다. 다른 사용자가 액세스할 수 없도록 하려면 사서함에서 "모든 권한" 권한을 제거해야 합니다. 사서함에 대한 전체 액세스 사서함 권한을 제거하는 방법에 대한 자세한 내용은 받는 사람에 대한 권한 관리를 참조하세요.

2. 사서함 사용자가 보내거나 받을 수 있는 메시지의 메시지 크기 제한을 매우 낮은 값(예: 1KB)으로 설정합니다. 이렇게 하면 새 메일이 사서함을 통해 배달되지 않습니다. 자세한 내용은 사서함에 대 한 메시지 크기 제한 구성을 참조하십시오.

3. 사서함에 아무도 메시지를 보낼 수 없도록 사서함의 배달 제한을 구성합니다. 자세한 내용은 사서함에 대 한 메시지 배달 제한 구성을 참조하십시오.

MRM(메시지 보존 관리) 또는 원본 위치 eDiscovery에 대한 사서함 보존을 구현하려면 직원 이직률을 고려해야 합니다. 그만둔 직원의 사서함을 장기간 보존하려면 사서함 서버에 추가 저장소가 필요할 뿐만 아니라 연결된 사용자 계정이 동일한 기간 동안 필요하기 때문에 Active Directory 데이터베이스도 증가하게 됩니다. 또한 조직의 계정 프로비전 및 관리 프로세스도 변경해야 할 수 있습니다.

다양한 검색 결과

In-Place eDiscovery는 라이브 데이터에 대한 검색을 수행하므로 동일한 콘텐츠 원본의 두 검색과 동일한 검색 쿼리를 사용하는 두 개의 검색이 다른 결과를 반환할 수 있습니다. 예상 검색 결과는 검색 사서함에 복사되는 실제 검색 결과와 다를 수도 있습니다. 이 결과는 짧은 시간 안에 동일한 검색을 다시 실행하는 경우에도 발생할 수 있습니다. 검색 결과의 일관성에 영향을 줄 수 있는 몇 가지 요인이 있습니다.

• Exchange 검색이 조직의 사서함 데이터베이스와 전송 파이프라인을 계속해서 크롤링 및 인덱싱하기 때문에 받는 전자 메일이 지속적으로 인덱싱되는 경우

• 사용자 또는 자동화된 프로세스에 따라 전자 메일이 삭제되는 경우

• 인덱싱에 시간이 걸리는 대용량 전자 메일을 대량 가져오는 경우

동일한 검색의 결과가 서로 다른 경우 사서함을 배치하여 콘텐츠를 보존하고, 사용량이 적은 시간에 검색을 실행하며, 대용량 전자 메일을 가져오고 나서 인덱싱 시간을 정하는 것이 좋습니다.

원본 위치 eDiscovery의 사용자 지정 관리 범위

사용자 지정 관리 scope 사용하여 특정 사용자 또는 그룹이 In-Place eDiscovery를 사용하여 Exchange Server organization 사서함의 하위 집합을 검색하도록 할 수 있습니다. 예를 들어 검색 관리자가 특정 위치나 부서의 사용자 사서함만 검색하도록 할 수 있습니다. 이 작업을 위해 받는 사람 필터를 사용하여 검색할 수 있는 사서함을 제어하는 사용자 지정 관리 범위를 만들면 됩니다. 받는 사람 필터 범위는 필터를 사용하여 받는 사람 유형 또는 기타 받는 사람 속성에 따라 특정 받는 사람을 대상으로 지정합니다.

원본 위치 eDiscovery의 경우 사용자 지정 범위에 대해 받는 사람 필터를 만드는 데 사용할 수 있는 사용자 사서함에 대한 유일한 속성은 메일 그룹 구성원입니다. CustomAttributeN, Department 또는 PostalCode와 같은 다른 속성을 사용하는 경우 사용자 지정 scope 할당된 역할 그룹의 멤버가 검색을 실행하면 검색이 실패합니다. 자세한 내용은 Create a custom management scope for In-Place eDiscovery searches를 참조하세요.

eDiscovery 및 Exchange Search In-Place

원본 위치 eDiscovery는 Exchange 검색에서 만든 콘텐츠 인덱스를 사용합니다. 대폭 향상된 인덱싱 및 쿼리 성능과 검색 기능을 제공하는 강력한 검색 플랫폼인 Microsoft Search Foundation을 사용하도록 Exchange 검색이 변경되었습니다. Microsoft Search Foundation은 SharePoint Server를 비롯한 다른 Office 제품에서도 사용되므로 이러한 제품 전체에서 상호 운용성과 유사한 쿼리 구문을 제공합니다.

단일 콘텐츠 인덱싱 엔진을 사용하는 경우에는 IT 부서에서 eDiscovery 요청을 받은 경우에도 원본 위치 eDiscovery를 위한 사서함 데이터베이스의 크롤링 및 인덱싱용으로 추가 리소스가 사용되지 않습니다.

Exchange Search에서 인덱싱된 파일 형식에 대한 자세한 내용은 Exchange Search에서 인덱싱된 파일 형식을 참조하세요.

Exchange 하이브리드 배포의 eDiscovery

하이브리드 배포(일부 사서함은 온-프레미스 사서함 서버에 있고 일부 사서함은 클라우드 기반 조직에 있는 환경)에서 온-프레미스 조직의 EAC를 사용하여 클라우드 기반 사서함에 대한 원본 위치 eDiscovery 검색을 수행할 수 있습니다. 메시지를 검색 사서함에 복사하려는 경우 온-프레미스 검색 사서함을 선택해야 합니다. 검색 결과에 반환된 클라우드 기반 사서함의 메시지는 지정된 온-프레미스 검색 사서함에 복사됩니다. 하이브리드 배포에 대한 자세한 내용은 Exchange Server 하이브리드 배포를 참조하세요.

Exchange Server 하이브리드 organization 크로스-프레미스 eDiscovery 검색을 성공적으로 수행하려면 In-Place eDiscovery를 사용하여 온-프레미스 및 클라우드 기반 사서함을 검색할 수 있도록 Exchange 온-프레미스 및 Exchange Online 조직 간에 OAuth(Open Authorization) 인증을 구성해야 합니다. OAuth 인증은 응용 프로그램이 서로 인증할 수 있도록 하는 서버 간 인증 프로토콜입니다.

OAuth 인증은 Exchange 하이브리드 배포에서 다음 eDiscovery 시나리오를 지원합니다.

• 클라우드 기반 보관 사서함에 대해 Exchange Online Archiving을 사용하는 온-프레미스 사서함 검색

• 같은 eDiscovery 검색에서 온-프레미스 사서함 및 클라우드 기반 사서함 검색

Exchange 하이브리드 배포에서 OAuth 인증을 구성해야 하는 eDiscovery 시나리오에 대한 자세한 내용은 Using Oauth Authentication to Support eDiscovery in an Exchange Hybrid Deployment을 참조하세요. eDiscovery를 지원하도록 OAuth 인증을 구성하는 단계별 지침은 Configure OAuth Authentication Between Exchange and Exchange Online Organizations을 참조하세요.

eDiscovery를 지원하도록 OAuth 인증을 구성하는 단계별 지침은 Configure OAuth Authentication Between Exchange and Exchange Online Organizations을 참조하세요.

SharePoint Server와의 통합

Exchange Server SharePoint Server와의 통합을 제공하므로 검색 관리자가 SharePoint Server의 eDiscovery 센터를 사용하여 다음 작업을 수행할 수 있습니다.

• 단일 위치에서 콘텐츠 검색 및 보존 - 권한 있는 검색 관리자는 인스턴트 메시징 대화 및 Exchange 사서함에 보관된 공유 모임 문서와 같은 Lync 콘텐츠를 포함하여 SharePoint 및 Exchange 전체에서 콘텐츠를 검색하고 보존할 수 있습니다.

• 사례 관리 - eDiscovery 센터는 eDiscovery에 대한 사례 관리 접근 방식을 사용하여 사례를 만들고 각 사례에 대한 다양한 콘텐츠 리포지토리에서 콘텐츠를 검색하고 보존할 수 있습니다.

• 검색 결과 내보내기 - 검색 관리자는 eDiscovery 센터를 사용하여 검색 결과를 내보낼 수 있습니다. 검색 결과에 포함된 사서함 콘텐츠를 PST 파일로 내보냅니다.

SharePoint Server는 콘텐츠 인덱싱 및 쿼리에도 Microsoft Search Foundation을 사용합니다. 검색 관리자가 Exchange 콘텐츠 검색에 EAC를 사용하는지 eDiscovery Center를 사용하는지에 관계없이 동일한 사서함 콘텐츠가 반환됩니다.

SharePoint Server에서 eDiscovery 센터를 사용하여 Exchange 사서함을 검색하려면 먼저 두 애플리케이션 간에 신뢰를 설정해야 합니다. Exchange 및 SharePoint에서 이 작업은 OAuth 인증을 사용하여 수행됩니다. 자세한 내용은 Configure Exchange for SharePoint eDiscovery Center을 참조하십시오. SharePoint에서 수행된 eDiscovery 검색은 Exchange에서 RBAC를 통해 권한이 부여됩니다. SharePoint 사용자가 Exchange 사서함에 대해 eDiscovery 검색을 수행할 수 있으려면 Exchange에 대한 위임된 검색 관리 권한을 할당받아야 합니다. SharePoint eDiscovery Center를 통해 수행된 eDiscovery 검색에서 반환된 사서함 콘텐츠를 미리 보려면 검색 관리자의 사서함이 동일한 Exchange 조직에 있어야 합니다.

원본 위치 eDiscovery 한계 및 제한 정책

Exchange Server eDiscovery에서 사용하는 In-Place 리소스는 제한 정책으로 제어됩니다.

기본 제한 정책에는 다음 매개 변수가 포함됩니다. 조직 scope 사용하여 새 제한 정책을 만들어 organization 요구 사항에 맞게 기본값을 변경하고 이름을 "DiscoveryThrottlingPolicy"로만 지정할 수 있습니다.

¹ 보관 사서함은 원본 사서함 제한에 대해 계산됩니다. 즉, 모든 5,000개의 사서함에 대해 해당 보관 사서함을 사용하도록 설정된 경우 최대 5,000개의 사서함을 검색할 수 있습니다.

원본 위치 eDiscovery 설명서

다음 표에는 In-Place eDiscovery에 대해 알아보고 관리하는 데 도움이 되는 Exchange Server topics 대한 링크가 포함되어 있습니다.