Udostępnij za pośrednictwem


새로운 Exchange의 현재 위치 eDiscovery 및 원본 위치 유지 기능 - II부

최초 문서 게시일: 2012년 9월 29일 토요일

이 게시물의 I부에서는 새로운 Exchange의 현재 위치 eDiscovery 기능을 소개했으며, 이 게시물에서는 새로운 Exchange가 데이터를 변경 불가능하게 유지하는 방식을 살펴보도록 하겠습니다.

소송 가능성이 예상되거나 eDiscovery 요청을 받는 경우 우선적으로 수행해야 할 단계는 메시징 레코드를 유지하여 필요 시 제시할 수 있도록 하는 것입니다. Exchange 2010 이전에는 대개 다양한 방법을 사용하여 메시지가 유지되었습니다. 외부 시스템에 데이터를 보관하거나, 자동 삭제 메커니즘(예: Exchange의 메시징 레코드 관리)을 일시 중단하거나, 경우에 따라 사용자에게 레코드를 삭제하지 않도록 지시하는 방법이 사용되었습니다.

소송에 필요한 레코드를 유지하지 않으면 조직이 법적 위험 및 재정적 위험에 처할 수 있습니다.

Exchange 2010과 Office 365에서는 소송 보존을 사용하여 메시징 레코드를 유지할 수 있습니다. 소송 보존은 사서함 속성입니다. 사서함을 소송 보존으로 설정하면 사서함의 모든 항목이 무기한( 또는 보존을 해제할 때까지) 유지됩니다. 이로 인해 대량의 데이터가 쌓이게 되는데, 이러한 모든 데이터를 유지할 필요는 없을 수 있습니다.

새로운 Exchange에서는 원본 위치 유지를 사용하여 항목을 변경 불가능하게 유지할 수 있습니다. 원본 위치 유지는 현재 위치 eDiscovery와 통합되어 있어 동일한 인터페이스와 쿼리 매개 변수를 사용하여 검색과 유지를 동시에 수행할 수 있습니다. 다음과 같은 시나리오로 원본 위치 유지를 사용할 수 있습니다.

  • 무기한 유지: 쿼리 매개 변수와 유지 기간 없이 원본 위치 유지를 만들어 사서함의 모든 항목을 무기한 또는 유지가 해제될 때까지 유지할 수 있습니다. 이는 소송 보존의 동작을 에뮬레이트하는 것입니다.

  • 쿼리 기반 유지: 원본 위치 유지를 사용하여 검색 쿼리를 만들고 원본 사서함과 키워드, 보낸 사람, 받는 사람, 시작 날짜, 종료 날짜와 같은 매개 변수를 지정할 수 있습니다. 또한 전자 메일 메시지, 모임 및 약속과 같은 일정 항목, 작업, 메모, Exchange 사서함에 보관된 Lync 콘텐츠 등의 검색할 항목 유형을 지정할 수 있습니다.

  • 시간 기반 유지: 소송 보존에서는 사서함의 모든 콘텐츠가 무기한 또는 유지를 해제할 때까지 유지된 반면, 원본 위치 유지에서는 항목을 유지할 기간을 지정할 수 있습니다. 기간은 받은 날짜 또는 항목이 사서함에 만들어진 날짜(약속, 작업 및 메모와 같은 보내거나 받지 않는 항목의 경우)를 기준으로 계산됩니다.

    Exchange 2010에서 가장 많이 요청된 기능 중 하나는 항목이 유지되는 한정된 기간을 지정하는 기능이었습니다. 보존 정책을 사용하여 전자 메일 수명 주기를 지정하고 지정된 기간에 도달하면 자동으로 항목을 삭제할 수 있지만 해당 기간 동안 항목이 유지되는 것을 보장할 수 없습니다. 예를 들어 항목이 최대 7년 동안 유지되도록 지정할 수 있지만 이 기간이 되기 전에 사용자 또는 프로세스에 의해 항목이 삭제되지 않도록 보장하는 방법이 없습니다.

    이 요구를 충족하기 위해 흔히 권장된 해결 방법은 지운 편지함 복구 기간을 항목을 유지할 최소 기간으로 구성하는 것이었습니다. 이 예에서 삭제된 항목 보존 기간을 7년으로 설정하는 경우 사용자가 7년이 되기 전에 항목을 삭제할 경우 해당 항목이 복구 가능한 항목 폴더에 7년 동안 유지됩니다. 그러나 삭제된 항목 보존 기간은 삭제 날짜로부터 계산됩니다. 사용자가 6년 후에 항목을 삭제할 경우 복구 가능한 항목 폴더에 추가로 7년 동안 유지되어 총 보존 기간이 13년이 됩니다. 다시 말해서, 항목이 최소 7년 동안 유지되는 것은 보장할 수 있지만 최대 보존 기간 동안 유지되는 것은 보장할 수 없습니다.

    새로운 Exchange에서는 시간 기반 원본 위치 유지를 만들 때 유지 기간이 항목을 받은 날짜 또는 만든 날짜로부터 계산되므로 항목이 해당 기간을 넘어 유지되지 않도록 보장할 수 있습니다. 시간 기반 원본 위치 유지와 하나의 기본 정책 태그를 갖는 보존 정책을 함께 사용하면 사서함의 항목이 7년 후에 MFA(관리되는 폴더 도우미)를 통해 삭제되며 이 기간 전에 사용자 또는 프로세스에 의해 삭제된 항목은 최소한 지정된 기간 동안 유지됩니다.

쿼리 기반 원본 위치 유지와 시간 기반 원본 위치 유지를 함께 사용하여 쿼리와 일치하는 항목을 지정된 기간 동안 유지할 수 있습니다. 또한 한 사용자에 대해 여러 원본 위치 유지를 설정할 수 있습니다. 예를 들어 한 사서함에 여러 사례 또는 조사와 관련된 레코드가 포함되어 있을 수 있습니다.

원본 위치 유지와 권한

현재 위치 eDiscovery와 마찬가지로, 위임된 검색 관리 권한이 부여된 사용자가 원본 위치 유지를 사용할 수 있습니다. 그러나 약간의 차이가 있습니다. 검색 관리 역할 그룹에는 사서함 검색소송 보존 관리 역할이 할당됩니다. 사서함 검색 관리 역할은 현재 위치 eDiscovery와 원본 위치 유지를 위한 사서함 검색을 만들 수 있고 소송 보존 관리 역할은 실제로 사서함 콘텐츠를 원본 위치 유지로 설정할 수 있습니다.

사용자 지정 RBAC(역할 기반 액세스 제어) 역할 그룹을 만들거나 소송 보존 역할이 할당된 조직 관리 와 같은 역할 그룹의 멤버 자격을 통해 사용자에게 소송 보존 역할만 할당된 경우, 해당 사용자는 원본 위치 유지를 사용할 수 있지만 사서함의 모든 콘텐츠를 원본 위치 유지로 설정할 수만 있고 쿼리 매개 변수를 지정할 수는 없습니다. 다시 말해서, 이 사용자는 쿼리 기반 원본 위치 유지를 만들 수 없습니다.

원본 위치 유지 만들기

이 게시물의 I부에서 Robin이 만든 쿼리로 돌아가 보겠습니다. Robin은 원본 위치 유지를 만들 때 사서함(Mailboxes) 페이지에서 검색할 사서함 지정(Specify mailboxes to search)을 선택하고 사서함 또는 배포 그룹을 선택해야 합니다. 모든 편지함 검색(Search all mailboxes)을 선택하는 경우 콘텐츠를 원본 위치 유지로 설정하는 옵션을 사용할 수 없습니다.

원본 위치 유지로 설정할 사서함 또는 배포 그룹을 지정해야 합니다. 모든 편지함 검색(Search all mailboxes)을 선택하는 경우 콘텐츠를 원본 위치 유지로 설정하는 옵션을 사용할 수 없습니다.

스크린샷: 검색할 사서함 지정
그림 1: 원본 위치 유지를 만들려면 검색할 사서함 지정을 선택해야 함

참고: 배포 그룹을 선택하는 경우 원본 위치 유지를 만들 때 해당 그룹의 구성원인 사서함 사용자에게 원본 위치 유지가 적용됩니다.

Robin은 검색 쿼리(Search query) 페이지에서 현재 위치 eDiscovery를 위해 사용한 쿼리를 그대로 사용할 수 있습니다.

스크린샷: 검색 쿼리 지정
그림 2: 쿼리 매개 변수와 일치하는 메시지가 유지됨

또한 원본 위치 유지로 설정할 메시지 유형을 선택할 수 있습니다.

스크린샷: 유지할 메시지 유형 지정
그림 3: 유지할 메시지 유형을 지정하거나 모든 메시지 유형을 지정할 수 있음

보관된 Lync 콘텐츠를 원본 위치 유지로 설정

새로운 Lync에서 인스턴트 메시징 및 모임 콘텐츠를 새로운 Exchange에 보관하도록 설정한 경우 Lync 콘텐츠가 사용자의 사서함에 보관되어 자동으로 원본 위치 유지로 설정됩니다. 이 기능을 사용하려면 Lync과 Exchange 간에 OAuth 인증을 구성해야 합니다. 또한 사서함이 새 Exchange의 사서함 서버에 있어야 합니다.

Robin은 원본 위치 유지 설정(In-Place Hold settings) 페이지에서 검색 쿼리와 일치하는 콘텐츠를 선택한 사서함에 유지(Place content matching the search query in selected mailboxes on hold) 옵션을 선택합니다. 그런 다음 콘텐츠를 무기한(또는 원본 위치 유지가 해제되거나 사서함이 검색에서 제외될 때까지) 유지하도록 무기한 보류(Hold indefinitely)를 선택합니다. 특정 기간 동안 항목을 유지하려는 경우 받은 날짜를 기준으로 항목을 유지할 일 수 지정(Specify number of days to hold items relative to their received date)을 선택하고 일 수를 지정할 수 있습니다.

스크린샷: 원본 위치 유지 설정
그림 4: 유지 기간을 지정하거나 무기한 항목을 유지할 수 있음

다시 한 번 강조하면, 시간 기반 유지의 경우 메시지를 받거나 만든 날짜를 기준으로 기간이 계산됩니다.

원본 위치 유지의 작동 방식

그럼 원본 위치 유지가 어떤 방식으로 작동하는지 살펴보겠습니다.

사용자가 메시지를 삭제하면 메시지는 지운 편지함 폴더로 이동합니다. 지운 편지함 폴더를 비우거나, 이 폴더에서 메시지를 삭제하거나, 사용자가 Shift-Delete를 사용하여 메시지를 삭제하는 경우 메시지가 복구 가능한 항목\Deletes 폴더로 이동합니다. 이 폴더의 콘텐츠는 사용자가 Outlook 또는 Outlook Web App에서 지운 편지함 복구를 사용하면 표시됩니다.

사용자가 아무 작업도 수행하지 않으면 사서함 데이터베이스 또는 사용자에 대해 구성한 삭제된 항목 보존 기간이 만료될 때 Deletes 폴더의 메시지가 제거됩니다.

사용자가 이 보기에서 메시지를 삭제하면 다음과 같은 몇 가지 현상이 발생할 수 있습니다.

  1. 사서함에 단일 항목 복구를 사용하도록 설정한 경우 항목이 복구 가능한 항목\Purges폴더로 이동하여 삭제된 항목 보존 기간이 만료될 때까지 유지됩니다. 이를 통해 관리자가 백업에서 복구할 필요 없이 항목을 복구할 수 있습니다.

  2. 사서함에 소송 보존이 설정된 경우 항목이 복구 가능한 항목\Purges폴더로 이동하여 유지가 해제될 때까지 유지됩니다.

     

  3. 사서함에 원본 위치 유지가 설정된 경우 항목이 복구 가능한 항목\DiscoveryHolds 폴더로 이동합니다.

원본 위치 유지와 복구 가능한 항목
그림 5: 삭제된 항목과 수정된 항목의 원래 복사본이 각 사서함의 복구 가능한 항목 폴더에 유지됨

사서함을 처리하고 콘텐츠를 만료시키는 사서함 도우미인 MFA는 사서함을 처리할 때 메시지가 사용자가 설정한 원본 위치 유지의 쿼리 매개 변수를 충족하는지 확인합니다. 이 평가는 최대 5개의 쿼리에 대해 수행되며, 5개가 넘으면 모든 항목이 유지됩니다. 즉, 이 경우 소송 보존과 동일한 동작이 에뮬레이트됩니다. 유지 개수가 5개 미만이 되면 MFA는 다시 쿼리 기반 원본 위치 유지 동작으로 되돌아갑니다.

원본 위치 유지가 해제되면 사용자에게 설정된 다른 원본 위치 유지의 쿼리 매개 변수와 일치하지 않는 한 원본 위치 유지가 설정되었던 메시지가 제거됩니다.

원본 위치 유지와 불변성

유지에 관해 이야기할 때 항상 떠오르는 개념은 불변성입니다. 불변성은 원본 위치 유지가 설정된 메시지가 변경 없이 유지되어야 함을 의미합니다. 메시지가 삭제되지 않도록 하는 것(원본 위치 유지가 설정된 사용자는 메시지를 성공적으로 삭제했다고 생각할 수 있음)은 물론 변조 또는 변경되지 않도록 해야 합니다. 불변성은 제품 기능이 아니라 기능과 조직에서 구현한 유지 프로세스가 결합된 것입니다.

또한 원본 위치 유지를 사용하면 콘텐츠가 의도적으로 변조되거나 수정되지 않도록 보호할 수 있습니다. 이 기능은 COW(기록 중 복사)를 수행하여 구현됩니다. 사용자 또는 프로세스가 메시지를 수정하려고 하면 수정된 메시지가 저장되기 전에 원본 메시지의 복사본이 만들어져서 복구 가능한 항목\Versions 폴더에 저장됩니다. 또한 Versions 폴더에 캡처된 항목은 인덱싱되어 현재 위치 eDiscovery 검색에서 반환됩니다. 유지가 해제되면 Versions 폴더에 만들어진 복사본도 관리되는 폴더 도우미에 의해 제거됩니다.

원본 위치 유지와 현재 위치 eDiscovery는 권한이 부여된 법률, 인사 또는 기타 비기술직 담당자가 메시징 레코드를 손쉽게 검색하고 변경 불가능하게 유지할 수 있도록 하는 간편한 메커니즘을 제공합니다.

Bharat Suneja와 Julian Zbogar-Smith

이 문서는 번역된 블로그 게시물입니다. 원본 문서는 In-Place eDiscovery and In-Place Hold in the New Exchange – Part II를 참조하십시오.