Exchange Online 감사 보고서에 PowerShell 사용

아티클
05/28/2023

참고

클래식 Exchange 관리 센터는 전 세계 배포에서 더 이상 사용되지 않으며 새 Exchange 관리 센터에서 감사에 대한 UI 지원이 중단됩니다. 대신 관리자는 이 문서에 언급된 PowerShell commandlet(cmdlet)을 활용하여 감사 요구 사항을 충족할 수 있습니다.

Exchange 관리 센터의 레거시 Exchange Online 데이터 손실 방지는 더 이상 사용되지 않습니다.

감사 로깅을 사용하여 관리자가 수행한 특정 변경 내용을 추적하여 구성 문제를 해결하고 규정, 규정 준수 및 소송 요구 사항을 충족하는 데 도움이 됩니다. Exchange Online 사서함이 없는 Exchange Online 또는 EOP(독립 실행형 Exchange Online Protection)는 다음 두 가지 유형의 감사 로깅을 제공합니다.

관리 감사 로깅: 관리자가 수행한 Exchange Online PowerShell 또는 독립 실행형 Exchange Online Protection PowerShell cmdlet에 따라 모든 작업을 기록합니다. 이러한 레코드는 구성 문제를 해결하거나 보안 관련 또는 규정 준수 관련 문제의 원인을 식별하는 데 도움이 될 수 있습니다. Microsoft 데이터 센터 관리자 및 위임된 관리자가 수행한 작업도 Exchange Online 기록됩니다.
사서함 감사 로깅(Exchange Online만 해당): 관리자, 위임된 사용자 또는 사서함을 소유한 사용자가 사서함에 액세스하는 경우를 기록합니다. 따라서 사서함에 액세스한 사용자와 해당 사용자가 수행한 작업을 확인하는 데 도움이 될 수 있습니다.

감사 로그 내보내기

새 Exchange 관리 센터에서는 포괄적인 감사 기능이 중단되지만 PowerShell cmdlet을 사용하여 관리 로그 및 사서함 감사 로그를 계속 내보낼 수 있습니다.

참고

사서함 감사 로깅은 독립 실행형 EOP에서 사용할 수 없습니다. EAC의 관리 로그 내보내기는 독립 실행형 EOP에서 사용할 수 없지만 New-AdminAuditLogSearch cmdlet을 사용하여 PowerShell에서 사용할 수 있습니다. 자세한 내용은 PowerShell을 사용하여 감사 로그 항목을 검색하고 받는 사람에게 결과 보내기를 참조하세요.

관리 감사 로그 내보내기: Exchange Online PowerShell 또는 독립 실행형 Exchange Online Protection PowerShell cmdlet을 기반으로 하는 관리자가 수행하는 모든 작업은 동사 가져오기, 검색 또는 테스트로 시작되지 않는 관리 로그에 기록됩니다. 감사 로그 항목에는 실행된 cmdlet, cmdlet과 함께 사용된 매개 변수 및 값, 작업이 성공한 시기 등이 포함됩니다. 관리 로그에서 organization 구성 변경 레코드를 내보낼 수 있습니다. 로그 항목은 XML 파일에 저장되고 파일은 전자 메일을 통해 24시간 이내에 지정된 사용자에게 첨부 파일로 전송됩니다. 자세한 내용은 다음 항목을 참조하세요.
- 역할 그룹 변경 내용 또는 관리 로그 검색
- 외부 관리 로그 보기 및 내보내기(Exchange Online만 해당)
  
  참고
  
  기본적으로 관리 로그 항목은 90일 동안 유지됩니다. 항목이 90일보다 오래된 경우 삭제됩니다. 클라우드 기반 조직에서는 이 설정을 변경할 수 없습니다. 하지만 온-프레미스 Exchange 조직에서는 Set-AdminAuditLog cmdlet을 사용하여 변경할 수 있습니다.
관리 로그를 내보내려면 다음 cmdlet을 실행합니다.
```
Get-MailboxRegionalConfiguration; Get the list of configuration changes: Search-AdminAuditLog -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$false -ResultSize 500; Get details about each change: Search-AdminAuditLog -StartDate <DateTime> -Cmdlets <cmdlet Name> -ObjectIds <ObjectId
```
사서함 감사 로그 내보내기: 사서함에 대해 사서함 감사 로깅을 사용하도록 설정하면 Exchange Online 사서함 감사 로그에 소유자가 사서함 데이터에 대해 수행한 작업 레코드를 저장합니다. 이 레코드는 감사되는 사서함의 숨겨진 폴더에 저장됩니다. 이 로그의 항목은 사서함에 액세스한 사용자와 작업이 수행된 시기 및 작업이 성공했는지 여부를 나타냅니다. 사서함 로그에서 비소유자 액세스 항목을 내보낼 수 있습니다. 로그 항목은 XML 파일에 저장되고 전자 메일 메시지에 첨부되고 24시간 이내에 지정된 사용자에게 전송됩니다. 자세한 내용은 사서함 감사 로그 내보내기 를 참조하세요.

사서함 감사 로그를 내보내려면 다음 cmdlet을 사용합니다.
```
Get-MailboxRegionalConfiguration; New-MailboxAuditLogSearch -StartDate '<DateTime>' -EndDate '<dateTime>' -Mailboxes @(<MailIds of enquired mailboxes>) -LogonTypes @(<List of Strings>) -StatusMailRecipients @(<MailIds of Recipients>) -ShowDetails 'True' 
```

XML 첨부 파일을 허용하도록 웹용 Outlook 구성

사서함 감사 로그 또는 관리 로그를 내보낼 때 로그는 전자 메일 메시지에서 XML 파일로 첨부됩니다. 그러나 웹의 Outlook(이전의 Outlook 웹 앱)은 기본적으로 XML 첨부 파일을 차단합니다. 웹용 Outlook 사용하여 내보낸 감사 로그에 액세스하려면 XML 첨부 파일을 허용하도록 웹용 Outlook 구성해야 합니다.

PowerShell 또는 독립 실행형 Exchange Online Protection PowerShell을 Exchange Online 다음 명령을 실행하여 웹용 Outlook XML 첨부 파일을 허용합니다.

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes @{Add=".xml"}

자세한 구문 및 매개 변수 정보는 Set-OwaMailboxPolicy를 참조하세요.

감사 보고서 실행

관리자는 시스템 활동을 효과적으로 관리하고 모니터링하고 특정 cmdlet을 사용하여 규정 준수 및 보안 표준을 유지할 수 있습니다. 이러한 cmdlet은 시스템 내에서 사용자 작업을 효과적으로 추적하고 관리할 수 있도록 관리자에게 필요한 제어 및 가시성을 제공합니다.

소유자가 아닌 사서함 액세스 보고서 실행: 이 보고서를 사용하여 사서함 소유자가 아닌 다른 사용자가 연 사서함에 대한 관리 로그를 검색합니다. 자세한 내용은 비소유 사서함 액세스 보고서 실행을 참조하세요.

중요

소유자가 아닌 열기를 보고하려는 각 사서함에 대해 감사를 사용하도록 설정해야 합니다. 보고서를 실행하면 로깅을 사용하도록 설정하지 않은 사서함에 대한 결과를 볼 수 없습니다.

다음 cmdlet을 사용하여 비소유 사서함 액세스 보고서를 실행합니다.
```
Search-MailboxAuditLog -StartDate '<DateTime>' -EndDate '<DateTime>' -LogonTypes @(<List of Types>) -identity 'sharedmailbox' -showDetails:$true -resultSize 501 
```
관리자 역할 그룹 보고서 실행: 이 보고서를 사용하여 관리 로그에서 역할 그룹에 대한 변경 내용을 찾습니다(역할 그룹은 사용자에게 관리 권한을 할당하는 데 사용됨). 자세한 내용은 역할 그룹 변경 내용 검색을 참조하세요.

다음 cmdlet을 사용하여 관리자 역할 그룹 보고서를 실행합니다.
```
Search-AdminAuditLog -IsSuccess:$true -Cmdlets @('Add-RoleGroupMember','Remove-RoleGroupMember','Update-RoleGroupMember','New-RoleGroup','Remove-RoleGroup') -StartDate '<DateTime>' -EndDate '<DateTime>' -ObjectIds @(<ObjectIds of Role Groups>) -resultSize 501 
```
로컬 eDiscovery 및 보존 보고서 실행: 이 보고서를 사용하여 관리 로그에서 로컬 검색 검색 및 현재 위치 보존에 대한 변경 내용을 검색합니다. 자세한 내용은 다음 항목을 참조하세요.
- 원본 위치 유지 및 소송 보존
- 원본 위치 eDiscovery
다음 cmdlet을 사용하여 로컬 eDiscovery 및 보존 보고서를 실행합니다.
```
Search-AdminAuditLog -Cmdlets @('New-MailboxSearch', 'Start-MailboxSearch', 'Get-MailboxSearch', 'Stop-MailboxSearch', 'Remove-MailboxSearch', 'Set-MailboxSearch') -StartDate '<DateTime>' -EndDate '<DateTime>' -UserIds <UserIds> -IsSuccess $true
```
사서함이 손상된 절차 보존 보고서 실행:: 이 보고서를 사용하여 관리 로그에서 사용자의 사서함에 대해 절차적 보존을 사용할 수 있는지 여부를 확인합니다. 자세한 내용은 사서함이 손상된 절차 보존 보고서 실행을 참조하세요.

다음 cmdlet을 사용하여 사서함이 손상된 절차적 보존 보고서를 실행합니다.
```
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters LitigationHoldEnabled -StartDate <DateTime> -EndDate <DateTime> -UserIds <UserIds> -IsSuccess $true 
```
관리 로그 보고서 실행: 이 보고서를 사용하여 organization 관리자가 구성에 변경한 내용을 보여 주는 관리 로그의 항목을 볼 수 있습니다. 자세한 내용은 관리 로그 보기를 참조하세요.

다음 cmdlet을 사용하여 관리 로그 보고서를 실행합니다.
```
Get-MailboxRegionalConfiguration; Get the list of configuration changes: Search-AdminAuditLog -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$false -ResultSize 500; Get details about each change: Search-AdminAuditLog -StartDate <DateTime> -Cmdlets <cmdlet Name> -ObjectIds <ObjectId>  
```
외부 관리 로그 보고서 실행: 이 보고서를 사용하여 Microsoft 또는 위임된 관리자가 Exchange Online 서비스 구성에 적용한 변경 내용을 보여 주는 관리 로그의 항목을 볼 수 있습니다. 자세한 내용은 외부 관리 로그 보기 및 내보내기를 참조하세요.

다음 cmdlet을 사용하여 외부 관리 로그 보고서를 실행합니다.
```
Search-AdminAuditLog -IsSuccess:$true -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$true -ObjectIds <ObjectId> -Cmdlets <Cmdlet Name> -resultSize 501
```

^* 이 보고서는 독립 실행형 EOP 조직에서 사용할 수 있습니다.

사서함 감사 로깅 구성

참고

사서함 감사 로깅은 독립 실행형 EOP에서 사용할 수 없습니다.

2019년 1월부터 모든 Exchange Online 조직에 대해 기본적으로 사서함 감사 로그온이 사용하도록 설정됩니다. 자세한 내용은 사서함 감사 관리를 참조하세요.

사용자에게 감사 보고서 액세스 권한 부여

기본적으로 관리자는 위에서 언급한 cmdlet 을 사용하여 감사 보고서에 액세스하고 실행할 수 있습니다. 그러나 레코드 관리자, 법무 직원 등의 다른 사용자는 필요한 권한을 할당 받아야 합니다.

감사 로그 역할을 사용하면 사용자가 감사 페이지를 보고 사용 가능한 보고서를 실행하고, 사서함 감사 로그를 내보내고, 관리 로그를 내보내고 볼 수 있습니다. 기본적으로 이 역할은 조직 관리, 규정 준수 관리 및 레코드 관리 역할 그룹에 할당됩니다.
보기 전용 감사 로그 역할을 사용하면 감사 보고서를 실행할 수 있지만 감사 로그를 내보낼 수는 없습니다. 기본적으로 이 역할은 조직 관리 및 규정 준수 관리 역할 그룹에 할당됩니다.

사용자에게 보고서에 대한 액세스 권한을 부여하는 가장 쉬운 방법은 감사 로그 역할이 할당된 레코드 관리 역할 그룹에 추가하는 것입니다.

EAC를 사용하여 레코드 관리 역할 그룹에 사용자 추가

새 EAC 홈페이지에서 역할을 선택하여 확장하고 역할 관리 클릭합니다.
역할 그룹 목록에서 레코드 관리를 클릭합니다. 그러면 레코드 관리 세부 정보 창이 열립니다.
할당됨을 클릭한 다음 을 클릭합니다. 새 멤버를 추가합니다.
구성원 선택 대화 상자에서 사용자를 선택합니다. 표시 이름의 전체 또는 일부를 입력한 다음 검색 검색을 클릭하여 사용자를 검색할 수 있습니다. 이름 또는 표시 이름 열 머리글을 클릭하여 목록을 정렬할 수도 있습니다.
을 클릭한 다음 확인을 클릭하여 역할 그룹 페이지로 돌아갑니다.
저장을 클릭하여 역할 그룹에 대한 변경 내용을 저장합니다.

PowerShell을 사용하여 레코드 관리 역할 그룹에 사용자 추가

PowerShell 또는 독립 실행형 Exchange Online Protection PowerShell<을 Exchange Online ID>를 사용자 또는 그룹의 이름, 별칭, 전자 메일 주소 또는 계정 이름으로 바꾼 다음 다음 명령을 실행하여 사용자에게 감사 로그 역할을 할당합니다.

Add-RoleGroupMember -Identity "Records Management" -Member <Identity>

구문과 매개 변수에 대한 자세한 내용은 Add-RoleGroupMember를 참조하십시오.