eDiscovery 및 Microsoft Graph Explorer 사용하여 Microsoft Teams에서 채팅 메시지를 검색하고 삭제할 수 있습니다. 이 기능은 중요한 정보 또는 부적절한 콘텐츠를 찾아서 제거하는 데 도움이 될 수 있습니다. 이 검색 및 삭제 워크플로는 Teams 채팅 메시지를 통해 기밀 또는 악성 정보가 포함된 콘텐츠가 공개될 때 데이터 유출 이벤트에 응답하는 데 도움이 됩니다.
Microsoft Teams 채팅 데이터는 준수 목적(eDiscovery와 같은 도구에서 사용됨)과 최종 사용자 액세스를 위한 별도의 복사본에 저장됩니다.
일시 삭제 또는 하드 삭제 작업은 최종 사용자 복사본을 영구적으로 제거하며 사용자 사용을 위해 복구할 수 없습니다.
Teams 메시지의 Cmdlet 기반 제거는 Teams 메시지의 준수 복사본을 제거할 수 있지만 최종 사용자 복사본은 계속 표시됩니다. 규정 준수 복사본이 삭제되면 eDiscovery는 더 이상 최종 사용자가 볼 수 있는 메시지를 제거할 수 없습니다. 삭제하기 전에 Teams 메시지를 신중하게 확인하고 cmdlet을 사용하여 Teams 메시지를 제거하지 않는 것이 좋습니다(최종 사용자 복사본은 삭제되지 않음).
- cmdlet을 사용하는 경우 내보내기 보고서를 검토하고 팀 항목을 제외하는 경우 삭제는 규정 준수 복사본에서만 수행되며 최종 사용자 보기에서 복사본을 제거하지 않습니다. 또한 Microsoft Graph API를 사용할 때 향후 삭제를 방지할 수 있습니다.
- Microsoft Graph를 사용하여 보고서를 검토하고 삭제되는 팀 항목이 의도적인지 확인하는 경우 삭제가 완료되면 항목을 복구할 수 없습니다.
항목을 완전히 제거하려면 제거 전략을 신중하게 계획하고 작업 대상을 복사하는 방법을 이해합니다.
팁
Microsoft Security Copilot 시작하여 AI의 힘을 사용하여 더 스마트하고 빠르게 작업하는 새로운 방법을 알아봅니다. Microsoft Purview의 Microsoft Security Copilot 대해 자세히 알아보세요.
채팅 메시지를 검색하고 삭제하기 전에
중요
이메일 메시지에 대한 검색 및 제거 단계를 시작하기 전에 다음 지침을 주의 깊게 검토합니다.
organization 대한 eDiscovery 구독에 따라 프리미엄 기능에 대해 사례를 사용하도록 설정할 수 있습니다. 사례에 대한 기능 지원 수준을 확인하여 PowerShell 또는 Microsoft Graph를 사용하여 검색 및 제거를 수행해야 하는지 확인합니다. 프리미엄 기능에 대해 구성되지 않은 사례는 PowerShell을 사용하여 전자 메일 메시지를 검색하고 삭제할 수 있으며 프리미엄 기능에 대해 구성된 사례는 PowerShell 또는 Microsoft Graph를 사용하여 전자 메일 메시지를 검색하고 삭제할 수 있습니다. PowerShell과 Microsoft Graph의 조합을 사용하여 전자 메일 메시지와 채팅을 제거하지 마세요.
데이터가 영구적으로 삭제되면 복구할 수 없습니다. 제거 명령을 실행하기 전에 이 문서의 지침을 주의 깊게 따르고 검색 scope 유효성을 검사합니다. 제거 명령이 실행되면 실행 취소할 수 없으며 전자 메일 메시지와 채팅을 복원할 수 없습니다.
내보내기 보고서를 실행하여 제거 전에 검색 조건과 일치하는 모든 항목을 검토합니다. Microsoft Purview 포털에서 검색 및 내보내기 환경을 사용하고 보고서 전용 형식으로 결과를 내보내 면 삭제하기 전에 자세한 메타데이터를 검사할 수 있습니다. 이렇게 하면 검색 scope 구체화하고 보다 타겟팅되고 정확한 제거를 보장합니다.
eDiscovery 사례를 만들고 채팅 메시지를 검색하려면 Microsoft Purview 포털에서 eDiscovery Manager 역할 그룹의 구성원이어야 합니다. 채팅 메시지를 삭제하려면 검색 및 제거 역할이 할당되어야 합니다. 이 역할은 기본적으로 데이터 조사 자 및 조직 관리 역할 그룹에 할당됩니다. 자세한 내용은 eDiscovery 권한 할당을 참조하세요.
검색 및 제거는 organization 내의 대부분의 대화에서 지원됩니다. Teams 연결 채팅(외부 액세스 또는 페더레이션) 대화에 대한 검색 및 제거는 지원되지 않습니다.
중요
자신과의 채팅(또는 사용자가 직접 채팅)은 검색 및 삭제에 지원되지 않습니다.
사서함당 최대 100개의 항목을 한 번에 제거할 수 있습니다. 채팅 메시지를 검색하고 제거하는 기능은 이벤트 응답 도구이므로 이 제한은 채팅 메시지를 신속하게 제거하는 데 도움이 됩니다.
1단계: eDiscovery에서 사례 만들기
첫 번째 단계는 eDiscovery에서 검색 및 삭제 프로세스를 관리하는 사례를 만드는 것입니다.
2단계: 검색 쿼리 만들기
사례를 만든 후 다음 단계는 삭제하려는 Teams 채팅 메시지를 검색 하는 것입니다. 수행하는 삭제 프로세스는 5단계에서 검색에 있는 모든 항목을 삭제합니다(위치 제한당 10개 항목 내).
채팅 메시지의 데이터 원본
다음 표를 사용하여 삭제해야 하는 채팅 메시지 유형에 따라 검색할 데이터 원본을 결정합니다.
| 이 유형의 채팅에 대해... | 이 데이터 원본 검색... |
|---|---|
| Teams 1:1 채팅 | 채팅 참가자의 사서함입니다. |
| Teams 그룹 채팅 | 채팅 참가자의 사서함입니다. |
| Teams 채널(표준 및 공유) | 부모 팀 연결된 사서함입니다. |
| Teams 비공개 채널 | 프라이빗 채널 멤버의 사서함입니다. |
참고
또한 4단계에서는 삭제하려는 채팅 메시지 유형이 포함된 사서함에 할당된 보류 및 보존 정책을 식별하고 제거해야 합니다.
채팅 메시지를 검색하기 위한 팁
Teams 채팅 대화(1:1 및 그룹 채팅 포함) 및 표준, 공유 및 비공개 채팅의 채팅을 가장 포괄적으로 식별할 수 있도록 하려면 유형 조건을 사용하고 검색 쿼리를 작성할 때 인스턴트 메시지 옵션을 선택합니다. 또한 검색 scope 조사와 관련된 항목으로 좁히려면 날짜 범위 또는 여러 키워드를 포함하는 것이 좋습니다.
3단계: 삭제할 채팅 메시지 검토 및 확인
5단계의 삭제 프로세스는 검색에서 반환된 항목을 삭제합니다. 검색 통계를 검토하여 검색에서 삭제하려는 항목만 반환하는지 확인하는 것이 중요합니다. 또한 검색 통계(특히 상위 위치 통계)를 사용하여 검색에서 반환된 항목을 포함하는 데이터 원본 목록을 생성할 수 있습니다. 다음 단계에서 이 목록을 사용하여 검색 결과가 포함된 데이터 원본에서 보존 및 보존 정책을 제거합니다.
4단계: 데이터 원본에서 모든 보존 및 보존 정책 제거
사서함에서 채팅 메시지를 삭제하려면 대상 사서함에 할당된 모든 organization 보류, 사이트 보류 또는 보존 정책 보존을 제거해야 합니다. 그렇지 않은 경우 삭제하려는 채팅이 유지됩니다.
삭제하려는 채팅 메시지가 포함된 사서함 목록을 사용하여 해당 사서함에 할당된 보류 또는 보존 정책이 있는지 확인한 다음 보존 또는 보존 정책을 제거합니다. 7단계에서 사서함에 다시 할당할 수 있도록 제거한 보존 또는 보존 정책을 식별해야 합니다.
보류 및 보존 정책을 식별하고 제거하는 방법에 대한 지침은 보류 중인 클라우드 기반 사서함의 복구 가능한 항목 폴더에 있는 항목 삭제의 "3단계: 사서함에서 모든 보류 제거"를 참조하세요.
5단계: Teams에서 채팅 메시지 삭제
참고
Microsoft Graph Explorer 일부 미국 정부 클라우드(GCC High 및 DOD)에서 사용할 수 없으므로 PowerShell을 사용하여 이러한 작업을 수행해야 합니다. 자세한 내용은 PowerShell을 사용하여 채팅 메시지 삭제 를 참조하세요.
이제 Teams에서 채팅 메시지를 삭제할 준비가 되었습니다. Microsoft Graph Explorer 사용하여 다음 작업을 수행합니다.
- 1단계에서 만든 eDiscovery 사례의 ID를 가져옵니다. 2단계에서 만든 검색 결과가 포함된 경우입니다.
- 2단계에서 만든 검색 ID를 가져오고 3단계에서 검색 결과를 확인했습니다. 검색 쿼리는 삭제될 채팅 메시지를 반환합니다.
- 검색에서 반환된 채팅 메시지를 삭제합니다.
Graph Explorer 사용하는 방법에 대한 자세한 내용은 Graph Explorer 사용하여 Microsoft Graph API 사용을 참조하세요.
중요
Graph Explorer 이러한 세 가지 작업을 수행하려면 eDiscovery.Read.All 및 eDiscovery.ReadWrite.All 권한에 동의해야 할 수 있습니다. 자세한 내용은 Graph Explorer 작업에서 "권한에 동의" 섹션을 참조하세요.
사례 ID 가져오기
https://developer.microsoft.com/graph/graph-explorer Microsoft Purview 포털에서 검색 및 제거 역할이 할당된 계정으로 Graph Explorer 로그인합니다.
다음 GET 요청을 실행하여 eDiscovery 사례의 ID를 검색합니다. 요청 쿼리의 주소 표시줄에 있는 값을
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases사용합니다. API 버전 드롭다운 목록에서 v1.0 을 선택해야 합니다.이 요청은 응답 미리 보기 탭에서 organization 모든 사례에 대한 정보를 반환합니다.
응답을 스크롤하여 eDiscovery 사례를 찾습니다. displayName 속성을 사용하여 사례를 식별합니다.
해당 ID를 복사하거나 복사하여 텍스트 파일에 붙여넣습니다. 다음 작업에서 이 ID를 사용하여 검색 ID를 가져옵니다.
팁
이전 절차를 사용하여 사례 ID를 가져오는 대신 Microsoft Purview 포털에서 사례를 열고 URL에서 사례 ID를 복사할 수 있습니다.
eDiscoverySearchID 가져오기
그래프 Explorer 다음 GET 요청을 실행하여 2단계에서 만든 검색의 ID를 검색하고 삭제하려는 항목을 포함합니다. 요청 쿼리의 주소 표시줄에서 값을
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches사용합니다. 여기서 {ediscoveryCaseID} 는 이전 절차에서 얻은 CaseID입니다.응답을 스크롤하여 삭제하려는 항목이 포함된 검색을 찾습니다. displayName 속성을 사용하여 3단계에서 만든 검색을 식별합니다.
응답에서 검색의 검색 쿼리가 contentQuery 속성에 표시됩니다. 이 쿼리에서 반환된 항목은 다음 작업에서 삭제됩니다.
해당 ID를 복사하거나 복사하여 텍스트 파일에 붙여넣습니다. 다음 작업에서 이 ID를 사용하여 채팅 메시지를 삭제합니다.
채팅 메시지 삭제
그래프 Explorer 다음 POST 요청을 실행하여 2단계에서 만든 검색에서 반환된 항목을 삭제합니다. 요청 쿼리의 주소 표시줄에 값을
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData사용합니다. 여기서 {ediscoveryCaseID} 및 {ediscoverySearchID} 는 이전 절차에서 얻은 ID입니다.POST 요청이 성공하면 요청이 수락되었음을 나타내는 녹색 배너에 HTTP 응답 코드가 표시됩니다.
purgeData에 대한 자세한 내용은 sourceCollection: purgeData를 참조하세요.
PowerShell을 사용하여 채팅 메시지 삭제
PowerShell을 사용하여 채팅 메시지를 삭제할 수도 있습니다. 예를 들어 미국 정부 클라우드에서 메시지를 삭제하려면 다음과 유사한 명령을 사용할 수 있습니다.
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
PowerShell을 사용하여 채팅 메시지를 삭제하는 방법에 대한 자세한 내용은 ediscoverySearch: purgeData를 참조하세요.
6단계: 채팅 메시지가 삭제되었는지 확인
POST 요청을 실행하여 채팅 메시지를 삭제하면 이러한 메시지가 Teams 클라이언트에서 제거되고 관리자가 메시지를 제거했음을 나타내는 자동으로 생성된 메시지로 대체됩니다. 이 메시지의 예는 이 문서의 최종 사용자 환경 섹션을 참조하세요.
채팅 메시지가 제거되었고 Teams의 최종 사용자 메시지에 액세스할 수 없는지 확인해야 하는 경우 검색을 다시 실행하고 일치하는 메시지가 있는지 확인합니다. 메시지에 대한 결과가 없으면 메시지가 제거되었습니다.
제거가 실행되면 다음 사항을 기억해야 합니다.
- 해당 메시지의 최종 사용자 복사본 은 즉시 삭제되며 사용자가 복구할 수 없습니다.
- 준수 복사본(사서함의 SubstrateHolds 폴더에 저장됨)은 백그라운드 타이머 작업(일반적으로 1~7일 이내)에 의해 영구 삭제되기 전에 최소 24시간 동안 보존됩니다. 보류를 제거한 다음 해당 24시간 내에 다시 적용하는 경우 새 보류에 의해 규정 준수 복사본이 유지될 수 있습니다.
자세한 내용은 Microsoft Teams의 보존에 대한 자세한 내용을 참조하세요.
참고
Microsoft Graph Explorer 미국 정부 클라우드(GCC, GCC High 및 DOD)에서 사용할 수 없으므로 PowerShell을 사용하여 이러한 작업을 수행해야 합니다.
7단계: 데이터 원본에 보존 및 보존 정책 다시 적용
Teams 클라이언트에서 채팅 메시지가 삭제되고 제거되었는지 확인한 후 4단계에서 제거한 보류 및 보존 정책을 다시 적용할 수 있습니다.
페더레이션된 환경에서 채팅 메시지 삭제
관리자는 이 문서의 절차를 사용하여 페더레이션된 환경에서 Teams 채팅 메시지를 검색하고 삭제할 수 있습니다. 그러나 다음 지침을 준수해야 합니다. 이러한 지침은 삭제하려는 메시지가 포함된 대화 스레드의 조직 소유권을 기반으로 합니다. organization 해당 organization 사용자가 시작한 대화 스레드의 소유자입니다. 즉, 사용자가 채팅을 시작하면 사용자의 organization 대화 스레드의 소유자가 됩니다.
- 관리자는 organization 소유한 대화 스레드에서 준수 복사본을 삭제할 수 있습니다. 즉, 5단계에서 채팅 메시지를 삭제하는 관리자가 삭제된 메시지를 포함하는 대화 스레드를 시작한 사용자와 동일한 organization 있을 때 준수 복사본이 삭제됩니다. 대화 스레드에 두 조직에 사용자가 있는 경우 다른 organization 대한 준수 복사본이 유지됩니다.
- 대화 스레드에 두 조직의 사용자가 있는 경우 삭제된 채팅 메시지는 두 조직의 Teams 클라이언트에서 제거됩니다.
- 다른 organization 소유한 대화 스레드에서 채팅 메시지에 대한 organization 사용자 사서함에서 채팅 메시지를 삭제하는 유일한 방법은 Teams에 대한 보존 정책을 사용하는 것입니다. 자세한 내용은 Microsoft Teams의 보존에 대한 자세한 내용을 참조하세요.
최종 사용자 환경
삭제된 채팅 메시지의 경우 관리자가 이 메시지를 삭제했음을 알리는 자동으로 생성된 메시지가 표시됩니다.
이전 스크린샷의 메시지는 삭제된 채팅 메시지를 대체합니다.
참고
최종 사용자이고 채팅 메시지가 삭제된 경우 관리자에게 문의하여 자세한 내용을 확인하세요.
질문과 대답
검색 및 제거에 대한 질문과 대답은 eDiscovery에서 전자 메일 메시지 찾기 및 삭제를 참조하세요.