감사 솔루션 시작

Microsoft Purview 감사(Standard) 및 감사(프리미엄)를 사용하면 사용자와 관리자가 다른 Microsoft 서비스에서 수행하는 활동의 감사 레코드를 검색할 수 있습니다. 대부분의 Microsoft 365 조직에서 감사(Standard)를 기본적으로 사용하도록 설정되므로 사용자와 organization 다른 사용자가 감사 로그를 검색하기 전에 몇 단계만 완료하면 됩니다. 감사(프리미엄)에서만 사용할 수 있는 기능을 사용하려면 몇 가지 구성 단계를 더 완료해야 합니다.

감사(Standard) 및 감사(프리미엄) 기능에 대한 자세한 내용은 Microsoft Purview 감사 솔루션을 참조하세요.

1단계: organization 구독 및 청구 확인

감사(Standard) 및 감사(프리미엄)에 대한 라이선스에는 감사 로그 검색 도구 및 감사 레코드를 기록하고 유지하는 데 필요한 사용자별 라이선스에 대한 액세스를 제공하는 적절한 organization 구독이 필요합니다.

사용자 또는 관리자가 감사 작업을 수행하면 시스템은 감사 레코드를 생성하고 organization 대한 감사 로그에 저장합니다. 감사(Standard) 및 감사(프리미엄)에서는 감사 로그에서 감사 레코드를 180일 동안 유지하고 검색할 수 있습니다.

이러한 감사 솔루션에 대한 구독 및 라이선스 요구 사항 목록은 감사(Standard) 및 감사(프리미엄)에 대한 구독 요구 사항을 참조하세요.

Microsoft의 다른 생성 AI 애플리케이션 및 연결된 외부 AI 애플리케이션의 정보를 포함하는 타사 365 AI 데이터와의 사용자 상호 작용을 감사하려면 organization 종량제 청구를 사용하도록 설정해야 합니다. 이 데이터 형식에는 Microsoft Fabric, Microsoft Security Copilot, Microsoft Copilot Studio 및 연결된 또는 클라우드 AI 애플리케이션의 Copilot가 포함됩니다.

2단계: 감사 로그를 검색할 수 있는 권한 할당

감사 로그를 검색하거나 내보내려면 조사 팀의 관리자와 구성원에게 Microsoft Purview 포털에서 보기 전용감사 로그 또는 감사 로그 역할이 할당되어야 합니다. 기본적으로 Microsoft Purview 포털 역할 그룹 페이지는 이러한 역할을 감사 읽기 권한자 및 감사 관리자 역할 그룹에 할당합니다.

보기 전용 감사 로그 또는 감사 로그 역할을 사용자 지정 역할 그룹에 추가하여 감사 로그를 검색하는 기능을 사용하여 사용자 지정 역할 그룹을 만들 수도 있습니다 . 자세한 내용은 Microsoft Purview 포털의 권한을 참조하세요.

감사 로그를 scope 권한 할당

감사 로그를 검색하거나 내보내려면 Microsoft Purview 포털에서 다음 감사 관련 역할 그룹 중 하나 이상에 관리자 또는 조사 팀 구성원을 할당해야 합니다.

• 감사 관리자: Audit Manager 역할 그룹에 할당된 사용자는 감사 로그를 검색 및 내보내고 테넌트(예: 감사 로깅 사용 또는 사용 안 함)에 대한 감사 설정을 관리할 수 있습니다. 이 역할 그룹은 사용자에게 보기 전용 감사 로그 및 감사 로그 역할을 부여합니다.
• 감사 읽기 권한자: 감사 읽기 권한자 역할 그룹에 할당된 사용자는 감사 로그만 검색하고 내보낼 수 있습니다. 감사 로깅을 사용하거나 사용하지 않도록 설정할 수 없습니다. 이 역할 그룹은 사용자에게 보기 전용 감사 로그 역할을 부여합니다.

3단계: SearchQueryInitiated 이벤트 사용

사용자가 Exchange Online 및 SharePoint에서 검색을 수행할 때 로깅에 대해 두 이벤트(SearchQueryInitiatedExchange 및 SearchQueryInitiatedSharePoint)를 명시적으로 사용하도록 설정해야 합니다.

사용자에 대해 이러한 두 이벤트를 감사할 수 있도록 하려면 Exchange Online PowerShell에서 다음 cmdlet(각 사용자에 대해)을 실행합니다.

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

다중 지역 환경에서는 사용자의 사서함이 위치한 곳의 포리스트에서 사서함 설정 명령을 실행해야 합니다. 사용자의 사서함 위치를 식별하려면 다음 cmdlet을 실행합니다.

Get-Mailbox <user identity> | FL MailboxLocations

이전에 cmdlet을 실행하여 사용자의 사서함이 있는 포리스트와 다른 포리스트의 검색 쿼리 감사를 사용하도록 설정한 경우 사용자의 사서함에서 SearchQueryInitiated 값을 제거합니다. 값을 제거하려면 를 실행합니다 Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}. 그런 다음 사용자의 사서함이 있는 포리스트의 사용자 사서함에 추가합니다.

4단계: 사용자에 대한 감사(프리미엄) 설정

지능형 인사이트를 기록하는 기능과 같은 감사(프리미엄) 기능에는 사용자에게 할당된 적절한 E5 라이선스가 필요합니다. 또한 해당 사용자에 대해 고급 감사 앱/서비스 계획을 사용하도록 설정해야 합니다.

사용자에 대해 고급 감사 서비스 계획을 사용하도록 설정하려면 각 사용자에 대해 다음 단계를 완료합니다.

1. Microsoft 365 관리 센터 사용자>활성 사용자로 이동하여 사용자를 선택합니다.
2. 사용자 속성 플라이아웃 페이지에서 라이선스 및 앱을 선택합니다.
3. 라이선스 섹션에서 사용자에게 E5 라이선스가 할당되었는지 또는 적절한 추가 기능 라이선스가 할당되었는지 확인 합니다 . 감사(프리미엄)를 지원하는 라이선스 목록은 감사 라이선스 요구 사항을 참조하세요.
4. 앱 섹션을 확장하고 Microsoft 365 고급 감사 확인란을 선택합니다.
5. 변경 사항 저장 을 선택합니다. 감사(프리미엄) 인사이트 로깅은 24시간 이내에 시작됩니다.

사용자 사서함 또는 공유 사서함에 로그온된 사서함 작업을 사용자 지정하는 경우 Microsoft에서 릴리스한 새 감사(프리미엄) 이벤트는 해당 사서함에서 자동으로 감사되지 않습니다. 각 로그인 유형에 대해 감사되는 사서함 작업을 변경하는 방법에 대한 자세한 내용은 사서함 감사 관리의 “기본적으로 로그되는 사서함 작업 변경 또는 복원" 섹션을 참조하세요.

5단계: 감사(프리미엄)에서 감사 보존 정책 설정

1년 동안 Microsoft Entra ID, Exchange, OneDrive 및 SharePoint 감사 레코드를 유지하는 기본 정책 외에도 감사(프리미엄)를 사용하는 조직은 감사 로그 보존 정책을 만들어 organization 보안 운영, IT 및 규정 준수 팀의 요구 사항을 충족할 수 있습니다.

자세한 내용은 감사 로그 보존 정책 관리를 참조하십시오.

6단계: 감사된 이벤트 검색

이제 organization 대해 감사(Standard) 또는 감사(프리미엄)를 구성했으므로 Microsoft Purview 포털에서 감사 로그를 검색할 준비가 되었습니다. 자세한 지침은 감사 로그 검색을 참조하세요.