이 문서에서는 Microsoft Purview 감사 로그 및 Exchange Online PowerShell을 사용하여 공유 사서함 활동을 조사하는 방법을 설명합니다. 삭제, 보낸 사람 활동, 폴더 검색, 사서함 규칙 및 전달 변경 내용 및 기타 대리자 작업을 찾기 위한 실제 검색 패턴 및 수정 단계를 설명합니다.
다음 방법을 사용하여 조사합니다.
- 공유 사서함에서 삭제 Email
- 공유 사서함에서 전자 메일을 보낸 사람
- 액세스 활동 위임
- 폴더 간 이동 Email
- 전달 및 규칙 구성
- 공유 사서함에 누락된 전자 메일
시작하기 전에
공유 사서함 활동을 조사하려면 다음이 필요합니다.
- Microsoft Purview에 할당된 감사 로그 역할
- Connect-ExchangeOnline을 사용하여 Exchange Online PowerShell에 연결하려면
공유 사서함 활동을 조사하는 방법
이러한 방법을 사용하여 공유 사서함의 활동을 조사합니다. 조사 중인 활동 유형에 따라 메서드를 선택합니다.
공유 사서함에서 삭제된 전자 메일 검색
공유 사서함에서 전자 메일 삭제 감사 레코드를 검색하려면 다음 명령을 실행합니다.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 500
이 명령은 다음을 검색합니다.
- SoftDelete: 항목이 지운 편지함 폴더로 이동되었습니다.
- HardDelete: 사서함에서 영구적으로 제거된 항목입니다.
- MoveToDeletedItems: 사용자 작업에 의해 삭제된 항목으로 이동된 항목입니다.
공유 사서함에서 보낸 전자 메일 검색
대리자 권한을 사용하여 공유 사서함에서 전자 메일을 보낸 사람을 식별하려면 다음 명령을 실행합니다.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations SendAs -ResultSize 500
폴더 간 전자 메일 이동 검색
공유 사서함에서 이동 작업을 검색하려면 다음 명령을 실행합니다.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations Move,MoveToDeletedItems -ResultSize 300
대리자 폴더 액세스 모니터링(FolderBind)
대리인이 공유 사서함의 특정 폴더를 검색하는 시기를 추적하려면 다음 단계를 사용합니다.
FolderBind 구성 확인:
Get-Mailbox <shared-mailbox@domain.com> | Select AuditDelegate | Where-Object {$_.AuditDelegate -contains "FolderBind"}
FolderBind 감사 사용:
Set-Mailbox <shared-mailbox@domain.com> -AuditDelegate @{Add="FolderBind"}
폴더 검색 활동 검색:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations FolderBind -ResultSize 500
중요
FolderBind는 대리자 및 관리자 폴더 액세스만 추적합니다. 폴더를 검색하는 공유 사서함 소유자를 기록하지 않습니다. 규정 준수 및 보안 모니터링을 위해 사전에 사용하도록 설정합니다.
일반적인 사용 사례:
- 임원 공유 사서함의 기밀 폴더에 대한 액세스 모니터링
- 규정 요구 사항에 대한 규정 준수 감사 내역
- 권한 없는 폴더 검색에 대한 보안 조사
- 거버넌스에 대한 대리자 동작 분석
대리자 액세스 활동 조사
공유 사서함에 대한 위임 권한이 있는 사용자를 식별하려면 다음 명령을 실행합니다.
Get-MailboxPermission <shared-mailbox@domain.com> | Where-Object {$_.AccessRights -eq "FullAccess"}
특정 대리자에서 수행하는 활동을 검색하려면 다음 명령을 실행합니다.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <delegate@domain.com> -ResultSize 500
중요
를 사용하여 -UserIds 특정 대리자 사용자 에 의해 수행되는 활동을 찾습니다. 이 작업은 공유 사서함에서 수행된 대리자 활동을 반환하지 않으므로 공유 사서함 주소와 함께 사용하지 -UserIds 마세요. 모든 사용자(대리자 포함)가 공유 사서함에서 수행하는 활동의 경우 다른 섹션에 표시된 대로 매개 변수를 사용합니다 -FreeText .
전자 메일 액세스 활동 모니터링
공유 사서함에서 전자 메일 액세스 활동을 검색하려면 다음 명령을 실행합니다.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations MailItemsAccessed -ResultSize 200
참고
이 명령을 사용하려면 작업을 캡처 MailItemsAccessed 하려면 Microsoft 365 E5 라이선스가 필요합니다.
전자 메일 전달 구성 검색
공유 사서함에서 전자 메일 전달을 구성한 사용자를 찾으려면 다음 명령을 실행합니다.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations Set-Mailbox -ResultSize 200
사서함 규칙 수정 검색
받은 편지함 규칙 만들기 또는 수정 작업을 검색하려면 다음 명령을 실행합니다.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations New-InboxRule,Set-InboxRule -ResultSize 100
팁
포괄적인 사서함 규칙 조사는 전자 메일 배달에 영향을 미칠 수 있는 사서함 규칙을 만들거나 수정하거나 삭제한 사용자를 식별하는 방법에 대한 자세한 지침은 사서함 규칙을 수정한 사람 식별을 참조하세요.
검색이 결과를 반환하지 않을 때 수행할 작업
감사 로그 검색에서 공유 사서함 활동 레코드를 찾을 수 없는 경우 다음 단계를 수행하여 감사 구성을 확인합니다.
- 감사가 organization 수준에서 사용하도록 설정되어 있는지 확인합니다.
Get-OrganizationConfig | Select AuditDisabled
- 특정 공유 사서함에 대한 감사가 사용하도록 설정되어 있는지 확인합니다.
Get-Mailbox <shared-mailbox@domain.com> | Select AuditEnabled
- 사용하지 않도록 설정된 경우 감사를 사용하도록 설정합니다.
Set-OrganizationConfig -AuditDisabled $false
Set-Mailbox <shared-mailbox@domain.com> -AuditEnabled $true
고급 프로시저
다음 절차에서는 감사 결과를 내보내고 일반적인 공유 사서함 수정 사항을 적용하는 방법을 보여 줍니다.
보낸 편지함을 공유 사서함으로 복사(보낸 전자 메일이 공유 사서함 보낸 항목에 표시됨)를 사용하도록 설정하려면 다음 명령을 실행합니다.
Set-Mailbox <shared-mailbox@domain.com> -MessageCopyForSentAsEnabled $true
공유 사서함에서 전자 메일 전달을 제거하려면 다음 명령을 실행합니다.
Set-Mailbox <shared-mailbox@domain.com> -ForwardingSmtpAddress $null
빠른 참조
공유 사서함에 대한 일반적인 감사 작업
| 작업 | 설명 | 조사 포커스 |
|---|---|---|
| 만들기 | 만들거나 보낸 전자 메일 | Email 만들기 활동 |
| FolderBind | 폴더 액세스/검색 위임 | 특정 폴더에 액세스한 사용자 모니터링 |
| HardDelete | 영구적으로 삭제된 항목 | 공유 사서함에서 영구 삭제 |
| MailItemsAccessed | 액세스된 사서함 항목 | 액세스 추적 Email(E5 필요) |
| 이동 | 폴더 간에 이동된 항목 | 폴더 organization 변경 내용 |
| New-InboxRule | 만든 받은 편지함 규칙 | 규칙 만들기 조사 |
| SendAs | 대리자 권한을 사용하여 보낸 이메일 | 공유 사서함에서 보낸 사람 식별 |
| Set-Mailbox | 사서함 설정 수정됨 | 전달 및 구성 변경 내용 |
| SoftDelete | 지운 편지함 폴더로 이동된 항목 | 공유 사서함에서 사용자 삭제 |
키 검색 매개 변수
| 매개 변수 | 설명 | 예제 |
|---|---|---|
| -Freetext | 특정 사서함에서 수행되는 활동 | <shared-mailbox@domain.com> |
| -작업 | 작업 유형별 필터링 | SoftDelete,HardDelete,SendAs |
| -ResultSize | 결과 제한(최대 5000) | 500(표준), 1000(종합) |
| -StartDate/-EndDate | 조사 기간 정의 | 01/06/2020, 01/20/2020 |
| -UserIds | 특정 사용자가 수행한 활동 | <delegate@domain.com> |
중요
명령을 실행하기 전에 및 <delegate@domain.com> 를 실제 전자 메일 주소로 대체 <shared-mailbox@domain.com> 합니다.
다음 단계
- 사서함 감사 관리: 필요한 활동을 캡처하기 위해 감사되는 공유 사서함 작업을 조정합니다.
- 전자 메일 메시지를 삭제한 사람 또는 전자 메일이 누락된 이유 식별: 공유 사서함 활동에서 검색된 특정 전자 메일 삭제를 조사합니다.
- 감사 로그 레코드 내보내기, 구성 및 보기: 증거 보존을 위해 공유 사서함 조사 결과를 내보냅니다.