다음을 통해 공유


Teams에서 채팅 메시지 검색 및 삭제

eDiscovery(미리 보기)는 이제 새 Microsoft Purview 포털에서 사용할 수 있습니다. 새 eDiscovery 환경을 사용하는 방법에 대한 자세한 내용은 eDiscovery에 대한 자세한 정보(미리 보기)를 참조하세요.

eDiscovery(프리미엄) 및 Microsoft Graph Explorer를 사용하여 Microsoft Teams에서 채팅 메시지를 검색하고 삭제할 수 있습니다. 이 기능은 중요한 정보 또는 부적절한 콘텐츠를 찾아서 제거하는 데 도움이 될 수 있습니다. 또한 이 검색 및 삭제 워크플로는 Teams 채팅 메시지를 통해 기밀 또는 악성 정보가 포함된 콘텐츠가 공개될 때 데이터 유출 인시던트에 대응하는 데에도 도움이 됩니다.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

채팅 메시지를 검색하고 삭제하기 전에

  • eDiscovery(프리미엄) 사례를 만들고 컬렉션을 사용하여 채팅 메시지를 검색하려면 Microsoft Purview 규정 준수 포털에서 eDiscovery Manager 역할 그룹의 구성원이어야 합니다. 채팅 메시지를 삭제하려면 검색 및 제거 역할이 할당되어야 합니다. 이 역할은 기본적으로 데이터 조사 자 및 조직 관리 역할 그룹에 할당됩니다. 자세한 내용은 eDiscovery 권한 할당을 참조하세요.

  • 검색 및 제거는 테넌트 내의 대부분의 대화에서 지원됩니다. Teams Connect 채팅(외부 액세스 또는 페더레이션) 대화에 대한 검색 및 제거는 지원되지 않습니다.

    중요

    자신과의 채팅(또는 사용자가 직접 채팅)은 검색 및 삭제에 지원되지 않습니다.

  • 사서함마다 한 번에 최대 10개의 항목을 제거할 수 있습니다. 채팅 메시지를 검색하고 제거하는 기능은 인시던트 대응 도구이므로 이 제한은 채팅 메시지가 신속하게 제거되도록 하는 데 도움이 됩니다.

워크플로 검색 및 삭제

Teams 채팅 메시지를 검색하고 삭제하는 프로세스는 다음과 같습니다.

Teams 채팅 메시지를 검색하고 삭제하는 워크플로입니다.

1단계: eDiscovery에서 사례 만들기(프리미엄)

첫 번째 단계는 eDiscovery(프리미엄)에서 검색 및 삭제 프로세스를 관리하는 사례를 만드는 것입니다. 사례를 만드는 방법에 대한 자세한 내용은 새 사례 형식 사용을 참조하세요.

2단계: 컬렉션 예상 만들기

사례를 만든 후 다음 단계는 삭제하려는 Teams 채팅 메시지를 검색하는 컬렉션 추정치를 만드는 것입니다. 수행하는 삭제 프로세스는 5단계에서 컬렉션 예상에 있는 모든 항목을 삭제합니다(위치 제한당 10개 항목 이내).

eDiscovery(프리미엄)에서 컬렉션 은 삭제하려는 채팅 메시지가 포함된 Teams 콘텐츠 위치의 eDiscovery 검색입니다. 이전 단계에서 만든 경우 컬렉션 예상치를 만듭니다. 자세한 내용은 컬렉션 예상 만들기를 참조하세요.

채팅 메시지의 데이터 원본

다음 표를 사용하여 삭제해야 하는 채팅 메시지 유형에 따라 검색할 데이터 원본을 결정합니다.

이 유형의 채팅에 대해... 이 데이터 원본 검색...
Teams 1:1 채팅 채팅 참가자의 사서함입니다.
Teams 그룹 채팅 채팅 참가자의 사서함입니다.
Teams 채널(표준 및 공유) 부모 팀과 연결된 사서함입니다.
Teams 비공개 채널 프라이빗 채널 멤버의 사서함입니다.

참고

또한 4단계에서는 삭제하려는 채팅 메시지 유형이 포함된 사서함에 할당된 보류 및 보존 정책을 식별하고 제거해야 합니다.

채팅 메시지를 검색하기 위한 팁

Teams 채팅 대화의 가장 포괄적인 컬렉션(1:1 및 그룹 채팅, 표준, 공유 및 비공개 채팅의 채팅 포함)을 보장하려면 형식 조건을 사용하고 컬렉션 예상에 대한 검색 쿼리를 작성할 때 인스턴트 메시지 옵션을 선택합니다. 또한 삭제 조사 검색과 관련된 항목으로 컬렉션 범위를 좁히려면 날짜 범위 또는 여러 키워드를 포함하는 것이 좋습니다.

다음은 형식날짜 옵션을 사용하는 샘플 쿼리의 예입니다.

Teams 콘텐츠를 수집하기 위한 쿼리입니다.

자세한 내용은 컬렉션에 대한 검색 쿼리 빌드를 참조하세요.

3단계: 삭제할 채팅 메시지 검토 및 확인

5단계의 삭제 프로세스는 컬렉션에서 반환된 항목을 삭제합니다. 컬렉션 예상 결과를 검토하여 컬렉션이 삭제하려는 항목만 반환하는지 확인하는 것이 중요합니다. 컬렉션 예상 항목의 샘플을 검토하려면 컬렉션 예상치 만들기의 "컬렉션 예상이 완료된 후 다음 단계" 섹션 을 참조하세요.

또한 컬렉션 통계(특히 상위 위치 통계)를 사용하여 컬렉션에서 반환된 항목을 포함하는 데이터 원본 목록을 생성할 수 있습니다. 다음 단계에서 이 목록을 사용하여 검색 결과가 포함된 데이터 원본에서 보존 및 보존 정책을 제거합니다. 자세한 내용은 컬렉션 통계 및 보고서를 참조하세요.

4단계: 데이터 원본에서 모든 보존 및 보존 정책 제거

사서함에서 채팅 메시지를 삭제하려면 대상 사서함에 할당된 조직 전체의 보류, 사이트 보존 또는 보존 정책 보존을 모두 제거해야 합니다. 그렇지 않은 경우 삭제하려는 채팅이 유지됩니다.

삭제하려는 채팅 메시지가 포함된 사서함 목록을 사용하여 해당 사서함에 할당된 보류 또는 보존 정책이 있는지 확인한 다음 보존 또는 보존 정책을 제거합니다. 7단계에서 사서함에 다시 할당할 수 있도록 제거한 보존 또는 보존 정책을 식별해야 합니다.

보류 및 보존 정책을 식별하고 제거하는 방법에 대한 지침은 보류 중인 클라우드 기반 사서함의 복구 가능한 항목 폴더에 있는 항목 삭제의 "3단계: 사서함에서 모든 보류 제거"를 참조하세요.

5단계: Teams에서 채팅 메시지 삭제

참고

Microsoft Graph Explorer는 일부 미국 정부 클라우드(GCC High 및 DOD)에서 사용할 수 없으므로 PowerShell을 사용하여 이러한 작업을 수행해야 합니다. 자세한 내용은 PowerShell을 사용하여 채팅 메시지 삭제 를 참조하세요.

이제 Teams에서 채팅 메시지를 실제로 삭제할 준비가 되었습니다. Microsoft Graph Explorer를 사용하여 다음 세 가지 작업을 수행합니다.

  1. 1단계에서 만든 eDiscovery(프리미엄) 사례의 ID를 가져옵니다. 이는 2단계에서 만든 컬렉션을 포함하는 경우입니다.
  2. 2단계에서 만든 컬렉션의 ID를 가져오고 3단계에서 검색 결과를 확인했습니다. 이 컬렉션의 검색 쿼리는 삭제될 채팅 메시지를 반환합니다.
  3. 컬렉션에서 반환된 채팅 메시지를 삭제합니다.

Graph Explorer 사용에 대한 자세한 내용은 Graph Explorer를 사용하여 Microsoft Graph API 사용을 참조하세요.

중요

그래프 탐색기에서 이러한 세 가지 작업을 수행하려면 eDiscovery.Read.All 및 eDiscovery.ReadWrite.All 권한에 동의해야 할 수 있습니다. 자세한 내용은 Graph Explorer 작업에서 "권한에 동의" 섹션을 참조하세요.

사례 ID 가져오기

  1. https://developer.microsoft.com/graph/graph-explorer Microsoft Purview 규정 준수 포털에서 검색 및 제거 역할이 할당된 계정으로 Graph Explorer로 이동하여 로그인합니다.

  2. 다음 GET 요청을 실행하여 eDiscovery(프리미엄) 사례의 ID를 검색합니다. 요청 쿼리의 주소 표시줄에 있는 값을 https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases 사용합니다. API 버전 드롭다운 목록에서 v1.0 을 선택해야 합니다.

    이 요청은 응답 미리 보기 탭에서 조직의 모든 사례에 대한 정보를 반환합니다.

  3. 응답을 스크롤하여 eDiscovery(프리미엄) 사례를 찾습니다. displayName 속성을 사용하여 사례를 식별합니다.

  4. 해당 ID를 복사하거나 복사하여 텍스트 파일에 붙여넣습니다. 다음 작업에서 이 ID를 사용하여 컬렉션 ID를 가져옵니다.

이전 절차를 사용하여 사례 ID를 가져오는 대신 Microsoft Purview 규정 준수 포털에서 사례를 열고 URL에서 사례 ID를 복사할 수 있습니다.

eDiscoverySearchID 가져오기

  1. Graph 탐색기에서 다음 GET 요청을 실행하여 2단계에서 만든 컬렉션의 ID를 검색하고 삭제하려는 항목을 포함합니다. 요청 쿼리의 주소 표시줄에서 값을 https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches 사용합니다. 여기서 {ediscoveryCaseID} 는 이전 절차에서 얻은 CaseID입니다.

  2. 응답을 스크롤하여 삭제할 항목이 포함된 컬렉션을 찾습니다. displayName 속성을 사용하여 3단계에서 만든 컬렉션을 식별합니다.

    응답에서 컬렉션의 검색 쿼리가 contentQuery 속성에 표시됩니다. 이 쿼리에서 반환된 항목은 다음 작업에서 삭제됩니다.

  3. 해당 ID를 복사하거나 복사하여 텍스트 파일에 붙여넣습니다. 다음 작업에서 이 ID를 사용하여 채팅 메시지를 삭제합니다.

이전 절차를 사용하여 검색 ID를 가져오는 대신 Microsoft Purview 규정 준수 포털에서 사례를 열 수 있습니다. 사례를 열고 작업 탭으로 이동합니다. 관련 컬렉션을 선택하고 지원 정보에서 작업 ID를 찾습니다(여기에 표시된 작업 ID는 컬렉션 ID와 동일).

채팅 메시지 삭제

  1. 그래프 탐색기에서 다음 POST 요청을 실행하여 2단계에서 만든 컬렉션에서 반환된 항목을 삭제합니다. 요청 쿼리의 주소 표시줄에 값을 https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData 사용합니다. 여기서 {ediscoveryCaseID}{ediscoverySearchID} 는 이전 절차에서 얻은 ID입니다.

    POST 요청이 성공하면 요청이 수락되었음을 나타내는 녹색 배너에 HTTP 응답 코드가 표시됩니다.

purgeData에 대한 자세한 내용은 sourceCollection: purgeData를 참조하세요.

PowerShell을 사용하여 채팅 메시지 삭제

PowerShell을 사용하여 채팅 메시지를 삭제할 수도 있습니다. 예를 들어 미국 정부 클라우드에서 메시지를 삭제하려면 다음과 유사한 명령을 사용할 수 있습니다.

Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov

Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'

PowerShell을 사용하여 채팅 메시지를 삭제하는 방법에 대한 자세한 내용은 ediscoverySearch: purgeData를 참조하세요.

6단계: 채팅 메시지가 삭제되었는지 확인

POST 요청을 실행하여 채팅 메시지를 삭제하면 이러한 메시지가 Teams 클라이언트에서 제거되고 관리자가 메시지를 제거했음을 나타내는 자동으로 생성된 메시지로 대체됩니다. 이 메시지의 예는 이 문서의 최종 사용자 환경 섹션을 참조하세요.

채팅 메시지가 제거되었고 Teams의 최종 사용자 메시지에 액세스할 수 없는지 확인해야 하는 경우 검색을 다시 실행하고 일치하는 메시지가 있는지 확인합니다. 메시지에 대한 결과가 없으면 메시지가 제거되었습니다.

삭제된 채팅 메시지는 숨겨진 사서함 폴더인 SubstrateHolds 폴더로 이동됩니다. 삭제된 채팅 메시지는 1일 이상 저장되고 다음에 타이머 작업이 실행되면 영구적으로 삭제됩니다(일반적으로 1~7일 사이). 자세한 내용은 Microsoft Teams의 보존에 대한 자세한 내용을 참조하세요.

참고

Microsoft Graph Explorer는 미국 정부 클라우드(GCC, GCC High 및 DOD)에서 사용할 수 없으므로 PowerShell을 사용하여 이러한 작업을 수행해야 합니다.

7단계: 데이터 원본에 보존 및 보존 정책 다시 적용

Teams 클라이언트에서 채팅 메시지가 삭제되고 제거되었는지 확인한 후 4단계에서 제거한 보류 및 보존 정책을 다시 적용할 수 있습니다.

페더레이션된 환경에서 채팅 메시지 삭제

관리자는 이 문서의 절차를 사용하여 페더레이션된 환경에서 Teams 채팅 메시지를 검색하고 삭제할 수 있습니다. 그러나 다음 지침을 준수해야 합니다. 이러한 지침은 삭제하려는 메시지가 포함된 대화 스레드의 조직 소유권을 기반으로 합니다. 조직은 해당 조직의 사용자가 시작한 대화 스레드의 소유자입니다. 즉, 사용자가 채팅을 시작하면 사용자의 조직은 대화 스레드의 소유자가 됩니다.

  • 관리자는 조직 소유의 대화 스레드에서 규정 준수 복사본을 삭제할 수 있습니다. 즉, 5단계에서 채팅 메시지를 삭제하는 관리자가 삭제된 메시지가 포함된 대화 스레드를 시작한 사용자와 동일한 조직에 있을 때 규정 준수 복사본이 삭제됩니다. 대화 스레드에 두 조직에 사용자가 있는 경우 다른 조직에 대한 규정 준수 복사본이 유지됩니다.
  • 대화 스레드에 두 조직의 사용자가 있는 경우 삭제된 채팅 메시지는 두 조직의 Teams 클라이언트에서 제거됩니다.
  • 다른 조직이 소유한 대화 스레드의 채팅 메시지에 대해 조직의 사용자 사서함에서 채팅 메시지를 삭제하는 유일한 방법은 Teams에 대한 보존 정책을 사용하는 것입니다. 자세한 내용은 Microsoft Teams의 보존에 대한 자세한 내용을 참조하세요.

최종 사용자 환경

삭제된 채팅 메시지의 경우 사용자에게 "이 메시지가 관리자에 의해 삭제되었습니다"라는 메시지가 자동으로 생성됩니다.

Teams 클라이언트에서 삭제된 채팅 메시지 보기

이전 스크린샷의 메시지는 삭제된 채팅 메시지를 대체합니다.

참고

최종 사용자이고 채팅 메시지가 삭제된 경우 관리자에게 문의하여 자세한 내용을 확인하세요.