전자 메일 메시지 검색 및 삭제
팁
eDiscovery(미리 보기)는 이제 새 Microsoft Purview 포털에서 사용할 수 있습니다. 새 eDiscovery 환경을 사용하는 방법에 대한 자세한 내용은 eDiscovery에 대한 자세한 정보(미리 보기)를 참조하세요.
팁
이 문서는 관리자를 위해 작성되었습니다. 사서함에서 삭제하려는 항목을 찾으려고 합니까? 인스턴트 검색을 사용하여 메시지 또는 항목 찾기를 참조하세요.
콘텐츠 검색 기능을 사용하여 organization 모든 사서함에서 전자 메일 메시지를 검색하고 삭제할 수 있습니다. 이렇게 하면 잠재적으로 유해하거나 위험성이 높은 전자 메일을 찾아서 제거하는 데 도움이 됩니다.
- 위험한 첨부 파일 또는 바이러스를 포함하는 메시지
- 피싱 메시지
- 중요한 데이터가 포함된 메시지
팁
조직에 Office 365용 Defender 플랜 2 구독이 있는 경우 이 문서에서 설명하는 절차를 따르기보다는 Office 365에서 전달된 악성 전자 메일 교정에서 설명하는 절차를 사용하는 것이 좋습니다.
팁
E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.
시작하기 전에
이 문서에 설명된 검색 및 제거 워크플로는 Microsoft Teams에서 채팅 메시지 또는 기타 콘텐츠를 삭제하지 않습니다. 2단계에서 만든 콘텐츠 검색이 Microsoft Teams의 항목을 반환하는 경우 3단계에서 항목을 제거할 때 해당 항목이 삭제되지 않습니다. 채팅 메시지를 검색하고 삭제하려면 Teams에서 채팅 메시지 검색 및 제거를 참조하세요.
콘텐츠 검색을 만들고 실행하려면 eDiscovery Manager 역할 그룹의 구성원이거나 Microsoft Purview 규정 준수 포털 준수 검색 역할이 할당되어야 합니다. 메시지를 삭제하려면 조직 관리 역할 그룹의 구성원이거나 규정 준수 포털에서 검색 및 제거 역할이 할당되어야 합니다. 역할 그룹에 사용자를 추가하는 방법에 대한 자세한 내용은 eDiscovery 권한 할당을 참조하세요.
참고
조직 관리 역할 그룹은 Exchange Online과 규정 준수 포털 모두에 있습니다. 이들은 서로 다른 권한을 부여하는 별도의 역할 그룹입니다. Exchange Online에서 조직 관리의 구성원은 전자 메일 메시지를 삭제하는 데 필요한 권한을 부여하지 않습니다. 준수 포털에서 직접 또는 조직 관리와 같은 역할 그룹을 통해 검색 및 제거 역할이 할당되지 않은 경우 3단계에서 "매개 변수 이름 'Purge'와 일치하는 매개 변수를 찾을 수 없습니다."라는 메시지와 함께 New-ComplianceSearchAction cmdlet을 실행할 때 오류가 표시됩니다.
메시지를 삭제하려면 Security & Compliance PowerShell을 사용해야 합니다. 연결 방법에 대한 지침은 1단계: Security & Compliance PowerShell에 연결을 참조하세요.
사서함마다 한 번에 최대 10개의 항목을 제거할 수 있습니다. 메시지를 검색하고 제거하는 기능은 인시던트 응답 도구로 고안되었으므로 이러한 제한은 사서함에서 메시지가 빠르게 제거되도록 합니다. 이 기능은 사용자 사서함을 정리하기 위한 것이 아닙니다.
사서함에서 추가 항목을 제거해야 하는 경우 추가 단계가 필요합니다.
- 사서함에 대해 단일 항목 보존 을 사용하지 않도록 설정해야 합니다. 이렇게 하면 제거 폴더에서 항목이 제거됩니다.
- 관리되는 폴더 도우미는 각 준수 제거 작업 후에 사서함에 대해 실행되어야 합니다. 이 작업은 항목을 영구적으로 삭제하고 추가 제거 작업으로 추가로 10개의 항목을 제거할 수 있도록 허용합니다.
참고
사서함에 소송 보존 또는 현재 위치 보존이 있는 경우 이 옵션은 지원되지 않습니다. 사용자 보기에서 10개 항목만 제거됩니다. 이러한 10개 항목은 영구적으로 삭제되지 않으므로 이러한 10개 항목만 처리됩니다.
콘텐츠 검색에서 검색 및 삭제 작업을 사용하여 항목을 삭제할 수 있는 최대 사서함 수는 50,000개입니다. 2단계에서 만든 검색에 50,000개를 초과하는 사서함이 있는 경우 3단계에서 만드는 삭제 작업이 실패합니다. 일반적으로 단일 검색에서 50,000개 이상의 편지함을 검색하는 작업은 조직의 모든 편지함을 포함하도록 검색을 구성할 때 발생할 수 있습니다. 이 제한은 50,000개 미만의 사서함에 검색 쿼리와 일치하는 항목이 포함된 경우에도 적용됩니다. 50,000개 이상의 사서함에서 검색 권한 필터를 사용하여 항목을 검색하고 제거하는 방법에 대한 지침은 자세한 정보 색션을 참조하세요.
이 문서의 절차는 Exchange Online 사서함 및 공용 폴더에서 항목을 삭제하는 데에만 사용할 수 있습니다. SharePoint 또는 비즈니스용 OneDrive 사이트에서 콘텐츠를 삭제하는 데에는 사용할 수 없습니다.
eDiscovery(프리미엄) 사례의 검토 집합에 있는 전자 메일 항목은 이 문서의 절차를 사용하여 삭제할 수 없습니다. 검토 집합의 항목이 실제 서비스가 아닌 Azure Storage 위치에 저장되기 때문입니다. 즉, 1단계에서 만든 콘텐츠 검색에서 이를 반환하지 않습니다. 검토 집합에서 항목을 삭제하려면 검토 집합이 포함된 eDiscovery(프리미엄) 사례를 삭제해야 합니다. 자세한 내용은 eDiscovery(프리미엄) 사례 닫기 또는 삭제하기를 참조하세요.
1단계: Security & Compliance PowerShell에 연결
첫 번째 단계는 organization 보안 & 규정 준수 PowerShell에 연결하는 것입니다. 단계별 지침은 Security & Compliance PowerShell에 연결을 참조하세요.
2단계: 삭제할 메시지를 찾는 콘텐츠 검색 만들기
두 번째 단계는 조직의 사서함에서 제거하려는 메시지를 찾는 콘텐츠 검색을 만들어 실행하는 것입니다. Microsoft Purview 규정 준수 포털 사용하거나 Security & Compliance PowerShell에서 New-ComplianceSearch 및 Start-ComplianceSearch cmdlet을 실행하여 검색을 만들 수 있습니다. 이 검색의 쿼리와 일치하는 메시지는 3단계에서 New-ComplianceSearchAction -Purge 명령을 실행하여 삭제합니다. 콘텐츠 검색을 만들고 검색 쿼리를 구성하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.
참고
이 단계에서 만드는 콘텐츠 검색에서 검색되는 콘텐츠 위치에는 SharePoint 또는 비즈니스용 OneDrive 사이트가 포함될 수 없습니다. 전자 메일 메시지에 사용되는 콘텐츠 검색에는 사서함 및 공용 폴더만 포함될 수 있습니다. 콘텐츠 검색에 사이트가 포함되는 경우 New-ComplianceSearchAction cmdlet을 실행할 때 3단계에서 오류가 발생합니다.
제거할 메시지를 찾기 위한 팁
검색 쿼리의 목적은 검색의 결과 범위를 제거할 메시지로만 좁히는 것입니다. 다음 팁을 참조하세요.
- 메시지의 제목 줄에 사용된 정확한 텍스트나 구를 알고 있으면 검색 쿼리에 Subject 속성을 사용합니다.
- 메시지의 정확한 날짜(또는 날짜 범위)를 알고 있으면 검색 쿼리에 Received 속성을 포함합니다.
- 메시지를 보낸 사람을 알고 있으면 검색 쿼리에 From 속성을 포함합니다.
- 검색 결과를 미리 확인하여 콘텐츠 검색이 삭제하려는 메시지만 반환하는지 검토합니다.
- 검색 예상 통계(규정 준수 포털의 검색 세부 정보 창에 표시되거나 Get-ComplianceSearch cmdlet을 사용할 경우에 표시)를 사용하여 결과의 총 개수를 가져올 수 있습니다.
다음은 의심스러운 전자 메일 메시지를 찾는 쿼리의 두 가지 예입니다.
이 쿼리는 2016년 4월 13일과 2016년 4월 14일 사이에 사용자가 받은 메시지 중에서 제목 줄에 "action" 및 "required"가 포함된 메시지를 반환합니다.
(Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
이 쿼리는 user@contoso.com에서 전송되었으며 제목 줄에 "계정 정보 업데이트"라는 문구가 정확하게 포함된 메시지를 반환합니다.
(From:user@contoso.com) AND (Subject:"Update your account information")
다음은 사용할 쿼리를 만들고 New-ComplianceSearch 및 Start-ComplianceSearch cmdlet을 실행하여 검색을 시작하고 조직의 모든 사서함을 검색하는 예제입니다.
$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity
3단계: 메시지 삭제
제거할 메시지를 반환하도록 콘텐츠 검색을 만들고 구체화한 후 마지막 단계는 보안 및 준수 PowerShell에서 New-ComplianceSearchAction -Purge 명령을 실행하여 메시지를 삭제하는 것입니다.
메시지를 일시 또는 영구 삭제할 수 있습니다. 일시 삭제된 메시지는 사용자의 복구 가능한 항목 폴더로 이동하고 삭제된 항목 보존 기간이 만료될 때까지 보존됩니다. 영구 삭제된 메시지는 사서함에서 영구 제거 표시되고 관리되는 폴더 도우미에서 다음에 사서함을 처리할 때 영구적으로 제거됩니다. 사서함에 대해 단일 항목 복구를 사용하는 경우 삭제된 항목 보존 기간이 만료되면 영구 삭제된 항목은 영구히 제거됩니다. 사서함이 보류 중인 경우 항목에 대한 보존 기간이 만료되거나 사서함에서 보류가 제거될 때까지 삭제된 메시지가 보존됩니다.
참고
앞서 설명한 대로 콘텐츠 검색에서 반환되는 Microsoft Teams의 항목은 New-ComplianceSearchAction -Purge 명령을 실행할 때 삭제되지 않습니다.
다음 명령을 실행하여 메시지를 삭제하려면 Security & Compliance PowerShell에 연결되어 있는지 확인하세요.
일시 삭제 메시지
다음 예에서 명령은 “피싱 메시지 제거”라는 콘텐츠 검색에 의해 반환된 검색 결과를 일시 삭제합니다.
New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete
메시지 영구 삭제
"피싱 메시지 제거" 콘텐츠 검색에서 반환되는 항목을 영구 삭제하려면 다음 명령을 실행합니다.
New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete
이전 명령을 실행하여 메시지를 일시 삭제하거나 하드 삭제하는 경우 SearchName 매개 변수로 지정된 검색은 1단계에서 만든 콘텐츠 검색입니다.
자세한 내용은 New-ComplianceSearchAction을 참조하세요.
추가 정보
검색 및 삭제 작업에 대한 상태를 어떻게 가져오나요?
삭제 작업에 대한 상태를 가져오려면 Get-ComplianceSearchAction을 실행합니다. New-ComplianceSearchAction cmdlet을 실행할 때 생성되는 개체의 이름은 형식
<name of Content Search>_Purge
을 사용하여 지정됩니다.메시지를 삭제하면 어떻게 되나요?
명령을 사용하여
New-ComplianceSearchAction -Purge -PurgeType HardDelete
삭제된 메시지는 Purges 폴더로 이동되며 사용자가 액세스할 수 없습니다. 사서함에서 단일 항목 복구를 사용하는 경우 메시지는 제거 폴더로 이동된 후 삭제된 항목 보존 기간 동안 보존됩니다. Microsoft 365에서는 새 사서함을 만들 때 단일 항목 복구가 기본적으로 사용됩니다. 삭제된 항목 보존 기간이 만료되면 메시지는 영구 삭제로 표시되고 관리되는 폴더 도우미에서 다음에 사서함을 처리할 때 Microsoft 365에서 제거됩니다.New-ComplianceSearchAction -Purge -PurgeType SoftDelete
명령을 사용하는 경우 사용자의 복구 가능한 항목 폴더에서 삭제 폴더로 메시지가 이동합니다. 메시지는 Microsoft 365에서 바로 제거되지 않습니다. 사용자는 사서함에 구성된 삭제된 항목 보존 기간에 따라 일정 기간 동안 삭제된 항목 폴더에서 메시지를 복구할 수 있습니다. 이 보존 기간이 만료되거나 만료되기 전에 사용자가 메시지를 제거하면 메시지는 제거 폴더로 이동되고 더 이상 액세스할 수 없습니다. 사서함에서 단일 항목 복구를 사용하는 경우 제거 폴더의 메시지는 사서함에 대해 구성된 삭제된 항목 보존 기간에 따라 일정 기간 동안 보존됩니다. Microsoft 365에서는 새 사서함을 만들 때 단일 항목 복구가 기본적으로 사용됩니다. 삭제된 항목 보존 기간이 만료되면 메시지는 영구 삭제로 표시되고 관리되는 폴더 도우미에서 다음에 사서함을 처리할 때 Microsoft 365에서 제거됩니다.50,000개를 초과하는 사서함에서 메시지를 삭제해야 하는 경우 어떻게 되나요?
앞서 설명한 대로 최대 50,000개의 사서함에서 검색 및 삭제 작업을 수행할 수 있습니다(50,000개 미만의 항목에 검색 쿼리와 일치하는 항목이 포함된 경우에도 마찬가지입니다.) 50,000개를 초과하는 사서함에서 검색 및 삭제 작업을 수행해야 하는 경우 검색되는 사서함 수를 50,000개 이하로 줄여주는 임시 검색 권한 필터를 만들어 보세요. 예를 들어 organization 다른 부서, 주 또는 국가/지역에 사서함이 포함된 경우 해당 사서함 속성 중 하나를 기반으로 사서함 검색 권한 필터를 만들어 organization 사서함의 하위 집합을 검색할 수 있습니다. 검색 사용 권한 필터를 만든 후 1단계에서 설명한 대로 검색을 만든 후 3단계에서 설명한 대로 메시지를 삭제합니다. 그런 다음 필터를 편집하여 다른 사서함 집합에서 메시지를 검색한 후 삭제할 수 있습니다. 검색 권한 필터를 만드는 방법에 대한 자세한 내용은 콘텐츠 검색에 대한 권한 필터링 구성을 참조하세요.
검색 결과에 포함된 인덱싱되지 않은 항목이 삭제되나요?
아니요, 'New-ComplianceSearchAction -Purge 명령은 인덱스되지 않은 항목을 삭제하지 않습니다.
원본 위치 유지 또는 소송 보존에 포함되거나 Microsoft 365 보존 정책에 할당된 사서함에서 메시지를 삭제하면 어떻게 되나요?
메시지가 삭제되고 제거 폴더로 이동된 후 보존 기간이 만료될 때까지 보존됩니다. 보존 기간에 제한이 없는 경우 보류를 제거하거나 보존 기간을 변경할 때까지 항목이 보존됩니다.
검색 및 제거 워크플로가 서로 다른 Microsoft Purview 규정 준수 포털 역할 그룹으로 나뉘는 이유는 무엇인가요?
앞서 설명한 것처럼 사서함을 검색하려면 eDiscovery 관리자 역할 그룹의 구성원이거나 준수 검색 관리 역할이 할당되어야 합니다. 메시지를 삭제하려면 조직 관리 역할 그룹의 구성원이거나 검색 및 제거 관리 역할을 할당 받아야 합니다. 이렇게 하면 조직에서 사서함을 검색할 수 있는 사람과 메시지를 삭제할 수 있는 사람을 제어할 수 있습니다.