eDiscovery에서 전자 메일 메시지 찾기 및 삭제

검색 기능을 사용하여 organization 모든 사서함에서 전자 메일 메시지를 검색하고 삭제할 수 있습니다. 이 프로세스는 다음과 같은 잠재적으로 유해하거나 위험성이 높은 전자 메일을 찾고 제거하는 데 도움이 될 수 있습니다.

• 위험한 첨부 파일 또는 바이러스를 포함하는 메시지
• 피싱 메시지
• 중요한 데이터가 포함된 메시지

그러나 eDiscovery 제거 프로세스는 다음과 같은 일반 사서함 관리 작업을 위한 것이 아닙니다.

• 사서함 할당량 감소
• 사서함 지우기
• 데이터 보존 정책 적용

이 문서에 설명된 제거 프로세스는 작은 메시지가 실수로 많은 사용자 그룹과 공유되는 경우와 같이 데이터 유출 인시던트 문제를 해결하도록 특별히 설계되었습니다. 일상적인 사서함 관리 및 규정 준수의 경우 다음 도구를 대신 사용합니다.

• 보존 정책: 데이터의 수명 주기를 관리하고 조직 표준을 준수하도록 합니다.
• 아카이브 정책: 이전 콘텐츠를 오프로드하고 사서함 스토리지를 효과적으로 관리합니다.
• 사서함 소유권 및 수동 삭제: 특히 사서함 소유자가 콘텐츠를 검토하거나 제거해야 하는 경우 특정 사서함을 정확하게 제어합니다.

시작하기 전에

• organization 대한 eDiscovery 구독에 따라 organization E5 라이선스가 있는 경우 eDiscovery 프리미엄 기능에 대해 사례를 사용하도록 설정할 수 있습니다. 사례에 대한 기능 지원 수준을 확인하여 PowerShell 또는 Microsoft Graph를 사용하여 검색하고 제거해야 하는지 확인합니다.

• eDiscovery 프리미엄 기능에 대해 구성되지 않은 경우 PowerShell을 사용하여 전자 메일 메시지를 검색하고 삭제할 수 있습니다. E3 고객의 경우 cmdlet 또는 Microsoft Purview 포털에서 만든 사례는 PowerShell을 사용하여 전자 메일을 제거할 수 있습니다. 위치당 최대 10개 항목을 제거할 수 있습니다.

• eDiscovery 프리미엄 기능에 대해 구성된 경우 PowerShell 또는 Microsoft Graph를 사용하여 전자 메일 메시지를 검색하고 삭제할 수 있습니다. Graph 또는 프리미엄 기능이 있는 Microsoft Purview 포털을 사용하여 구성된 사례는 Graph를 사용하여 전자 메일 및 Teams 메시지만 제거할 수 있습니다. 위치당 최대 100개 항목을 제거할 수 있습니다.

  중요

  PowerShell과 Microsoft Graph의 조합을 사용하여 전자 메일 메시지를 제거하지 마세요.

• 데이터가 영구적으로 삭제되면 복구할 수 없습니다. 제거 명령을 실행하기 전에 이 문서의 지침을 주의 깊게 따르고 검색 scope 유효성을 검사합니다. 제거 명령을 실행하면 취소할 수 없으며 전자 메일 메시지를 복원할 수 없습니다.

• eDiscovery에서 프리미엄이 아닌 경우 검색 및 삭제에는 식별자, 민감도 레이블 및 중요한 정보 유형과 같은 검색 조건이 지원되지 않습니다. 이러한 조건을 사용하면 예기치 않은 데이터 손실이 발생합니다.

• 내보내기 보고서를 실행하여 제거 전에 검색 조건과 일치하는 모든 항목을 검토합니다. Microsoft Purview 포털에서 검색 및 내보내기 환경을 사용하고 보고서 전용 형식으로 결과를 내보내면 삭제하기 전에 자세한 메타데이터를 검사할 수 있습니다. 이 방법은 검색 scope 구체화하고 보다 타겟팅되고 정확한 제거를 보장하는 데 도움이 됩니다.

• 이 문서에 설명된 검색 및 제거 워크플로를 사용하여 Microsoft Teams에서 채팅 메시지 또는 기타 콘텐츠를 삭제하지 마세요. 2단계에서 만든 검색이 Microsoft Teams에서 항목을 반환하는 경우 eDiscovery에서 Microsoft Teams 채팅 메시지 찾기 및 삭제에 설명된 단계에 따라 삭제합니다.

• 검색을 만들고 실행하려면 eDiscovery Manager 역할 그룹의 구성원이거나 Microsoft Purview 포털에서 준수 검색 역할이 할당되어야 합니다. 메시지를 삭제하려면 조직 관리 역할 그룹의 구성원이거나 Microsoft Purview 포털에서 검색 및 제거 역할이 할당되어야 합니다. 역할 그룹에 사용자를 추가하는 방법에 대한 자세한 내용은 eDiscovery 권한 할당을 참조하세요.

  참고

  조직 관리 역할 그룹은 Exchange Online Microsoft Purview 포털에 모두 있습니다. 이들은 서로 다른 권한을 부여하는 별도의 역할 그룹입니다. Exchange Online에서 조직 관리의 구성원이 된다고 해서 전자 메일 메시지를 삭제하는 데 필요한 권한이 부여되지는 않습니다. Microsoft Purview 포털에서 직접 또는 조직 관리와 같은 역할 그룹을 통해 검색 및 제거 역할이 할당되지 않은 경우 3단계에서 "매개 변수 이름 'Purge'와 일치하는 매개 변수를 찾을 수 없습니다."라는 메시지와 함께 New-ComplianceSearchAction cmdlet을 실행할 때 오류가 발생합니다.

• 보안 & 준수 PowerShell을 사용하여 메시지를 삭제해야 합니다. 연결 방법에 대한 지침은 1단계: Security & Compliance PowerShell에 연결을 참조하세요.

• 사서함당 최대 10개의 항목을 한 번에 제거할 수 있습니다. 메시지를 검색하고 제거하는 기능은 이벤트 응답 도구이므로 이 제한은 메시지가 사서함에서 신속하게 제거되도록 하는 데 도움이 됩니다. 이 기능은 사용자 사서함을 정리하기 위한 것이 아닙니다.

• 콘텐츠 검색에서 검색 및 삭제 작업을 사용하여 항목을 삭제할 수 있는 최대 사서함 수는 50,000개입니다. 2단계에서 만든 검색이 50,000개 이상의 사서함을 검색하는 경우 3단계에서 만든 제거 작업이 실패합니다. 단일 검색에서 50,000개 이상의 사서함을 검색하는 것은 일반적으로 organization 모든 사서함을 포함하도록 검색을 구성할 때 발생할 수 있습니다. 이 제한은 50,000개 미만의 사서함에 검색 쿼리와 일치하는 항목이 포함된 경우에도 계속 적용됩니다. 50,000개 이상의 사서함에서 검색 권한 필터를 사용하여 항목을 검색하고 제거하는 방법에 대한 지침은 자세한 정보 색션을 참조하세요.
• 이 문서의 절차만 사용하여 Exchange Online 사서함 및 공용 폴더의 항목을 삭제할 수 있습니다. SharePoint 또는 OneDrive 사이트에서 콘텐츠를 삭제하는 데 사용할 수 없습니다.
• 이 문서의 절차를 사용하여 eDiscovery 사례의 검토 집합에서 전자 메일 항목을 삭제할 수 없습니다. 검토 집합의 항목이 실제 서비스가 아닌 Azure Storage 위치에 저장되기 때문입니다. 즉, 1단계에서 만든 콘텐츠 검색에서 반환되지 않습니다. 검토 집합에서 항목을 삭제하려면 검토 집합이 포함된 eDiscovery 사례를 삭제해야 합니다.

1단계: Security & Compliance PowerShell에 연결

먼저 보안 & 준수 PowerShell에 연결하여 organization. 단계별 지침은 Security & Compliance PowerShell에 연결을 참조하세요.

2단계: 삭제할 메시지를 찾는 검색 쿼리 만들기

다음으로, 검색을 만들고 실행하여 organization 사서함에서 제거할 메시지를 찾습니다. Microsoft Purview 포털을 사용하거나 Security & Compliance PowerShell에서 New-ComplianceSearch 및 Start-ComplianceSearch cmdlet을 실행하여 검색을 만들 수 있습니다. 이 검색에 대한 쿼리와 일치하는 메시지는 3단계에서 New-ComplianceSearchAction -Purge 명령을 실행하여 삭제됩니다. 검색 쿼리를 만들고 구성하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.

• 검색 쿼리 만들기
• 조건 작성기 사용
• New-ComplianceSearch
• Start-ComplianceSearch

제거할 메시지를 찾기 위한 팁

검색 쿼리의 목표는 제거하려는 메시지로만 결과의 범위를 좁히는 것입니다. 다음 팁을 참조하세요.

• 메시지의 제목 줄에 사용된 정확한 텍스트나 구를 알고 있으면 검색 쿼리에 Subject 속성을 사용합니다.
• 메시지의 정확한 날짜 또는 날짜 범위를 알고 있는 경우 검색 쿼리에 Received 속성을 포함합니다.
• 메시지를 보낸 사람을 알고 있으면 검색 쿼리에 From 속성을 포함합니다.
• 검색 결과를 미리 보고 검색에서 삭제하려는 메시지만 반환되는지 확인합니다.
• Microsoft Purview 포털에서 검색의 세부 정보 창에 표시되는 검색 예상 통계를 사용하거나 Get-ComplianceSearch cmdlet을 사용하여 총 결과 수를 가져옵니다.

다음은 의심스러운 전자 메일 메시지를 찾는 쿼리의 두 가지 예입니다.

• 이 쿼리는 사용자가 2024년 4월 13일부터 2024년 4월 14일 사이에 받은 메시지와 제목 줄에 "action" 및 "required"라는 단어가 포함된 메시지를 반환합니다.

  (Received:4/13/2024..4/14/2024) AND (Subject:'Action required')
  

• 이 쿼리는 제목 줄에 user@contoso.com "계정 정보 업데이트"라는 정확한 문구가 포함된 및 에서 보낸 메시지를 반환합니다.

  (From:user@contoso.com) AND (Subject:"Update your account information")
  

다음은 사용할 쿼리를 만들고 New-ComplianceSearch 및 Start-ComplianceSearch cmdlet을 실행하여 검색을 시작하고 조직의 모든 사서함을 검색하는 예제입니다.

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2016..4/14/2016) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

3단계: 메시지 삭제

제거하려는 메시지를 반환하기 위해 검색 쿼리를 만들고 구체화한 후 보안 & 준수 PowerShell에서 New-ComplianceSearchAction -Purge 명령을 실행하여 메시지를 삭제합니다.

메시지를 일시 삭제하거나 영구 삭제할 수 있습니다. 일시 삭제된 메시지는 사용자의 복구 가능한 항목 폴더로 이동하고 삭제된 항목 보존 기간이 만료될 때까지 보존됩니다. 영구 삭제된 메시지는 사서함에서 영구적으로 제거된 것으로 표시되며 다음에 관리되는 폴더 도우미에서 사서함을 처리할 때 영구적으로 제거됩니다. 사서함에 대해 단일 항목 복구를 사용하도록 설정하면 삭제된 항목 보존 기간이 만료된 후 영구 삭제된 항목이 영구적으로 제거됩니다. 사서함이 보류 중인 경우 항목에 대한 보존 기간이 만료되거나 사서함에서 보류가 제거될 때까지 삭제된 메시지가 보존됩니다.

다음 명령을 실행하여 메시지를 삭제하려면 보안 & 준수 PowerShell에 연결되어 있는지 확인합니다.

일시 삭제 메시지

다음 예제에서 명령은 "피싱 메시지 제거"라는 검색 쿼리에서 반환된 검색 결과를 일시 삭제합니다.

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

메시지 영구 삭제

"피싱 메시지 제거" 콘텐츠 검색에서 반환된 항목을 하드 삭제하려면 다음 명령을 실행합니다.

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

이전 명령을 실행하여 메시지를 일시 삭제하거나 하드 삭제하는 경우 SearchName 매개 변수로 지정된 검색은 1단계에서 만든 검색 쿼리입니다.

자세한 내용은 New-ComplianceSearchAction을 참조하세요.

질문과 대답

• 검색, 확인 및 제거를 위해 이 문서의 단계를 수행했지만 사서함에서 항목을 삭제하지는 않습니다.

  경우에 따라 검색 쿼리와 일치하는 항목이 사서함에 대해 10개 이상의 항목(또는 Microsoft Graph를 사용하는 경우 100개 항목)입니다. PowerShell cmdlet을 사용하여 제거를 실행하고 10개 항목만 삭제하거나 Microsoft Graph를 사용하여 제거를 실행하고 100개 항목만 삭제하는 경우 이 동작은 정상입니다. 사서함당 10개(또는 100개) 이상의 항목을 삭제하려는 경우 프로세스를 여러 번 반복합니다. 제거 명령을 지속적으로 실행하여 이러한 제한을 해결하는 것이 좋습니다. 단일 위치에서 더 많은 데이터를 삭제해야 하는 경우 Office 365 전달된 악의적인 전자 메일 수정 또는 Office 365 Microsoft DefenderZAP(0시간 자동 제거)를 참조하세요.

  또 다른 이유는 사서함이 소송 보류 중일 수 있습니다. 검색에 연결된 내보내기 보고서가 2단계(또는 eDiscovery에서 수행됨)에서 항목이 복구 가능한 항목 폴더에 있음을 나타내는 경우 이 결과는 보류가 있지만 항목이 보기 밖으로 이동되었음을 의미합니다. 보류에서 항목을 제거하려면 우선 순위 정리를 사용하는 것이 좋습니다. 또는 보류를 해제하고 다시 제거해 볼 수 있습니다. Exchange PowerShell에서 다음 cmdlet을 실행하여 보류의 상태 확인합니다.

  Get-Mailbox (or MailUser) | fl *Hold*,*Recovery*
  

cmdlet 결과에서 다음 값을 확인합니다.

• InPlaceHolds는 비어 있거나 접두사 값만 있어야 합니다.

  • DelayHold는 false여야 합니다.
  • SingleItemRecovery는 false여야 합니다.

  다음 cmdlet을 실행하여 테넌트 수준 정책을 확인합니다.

  Get-OrganizationConfig | fl *Hold*
  

  테넌트 수준 정책이 있는 경우 제거에서 사서함을 제외해야 합니다.

• 사서함이 지연 보류 중입니다.

  • 관심 있는 항목은 복구 가능한 항목 폴더로 이동되었기 때문에 제거 후에도 여전히 찾을 수 있습니다.

• 항목이 복구 가능한 항목 폴더에 있는지 확인할 어떻게 할까요? 있나요?

  항목이 복구 가능한 항목 폴더에 있는지 확인하려면 검색에 대한 내보내기 보고서를 실행하고 CSV 보고서에 있는 항목의 파일 경로를 검토하여 항목이 복구 가능한 항목 폴더에 있는지 확인합니다. 그렇다면 New-ComplianceSearch cmdlet은 항목을 삭제하려고 시도하지 않습니다. CSV 보고서에 항목이 복구 가능한 항목 폴더에 있고 항목의 사서함이 보관되어 있음을 나타내는 경우 사서함의 크기가 조정됩니다. 이러한 백업 항목은 삭제할 수 없으며 결국 자동으로 제거됩니다.

• 검색 및 삭제 작업에 대한 상태를 어떻게 가져오나요?

  삭제 작업에 대한 상태를 가져오려면 Get-ComplianceSearchAction을 실행합니다. New-ComplianceSearchAction cmdlet을 실행할 때 생성되는 개체의 이름은 형식<name of Content Search>_Purge을 사용하여 지정됩니다.

• 메시지를 삭제하면 어떻게 되나요?

  명령을 사용하여 New-ComplianceSearchAction -Purge -PurgeType HardDelete 삭제된 메시지는 Purges 폴더로 이동되며 사용자가 액세스할 수 없습니다. 메시지가 제거 폴더로 이동되면 사서함에 대해 단일 항목 복구를 사용하도록 설정된 경우 삭제된 항목 보존 기간 동안 메시지가 유지됩니다. (Microsoft 365에서는 새 사서함을 만들 때 단일 항목 복구가 기본적으로 사용하도록 설정됩니다.) 삭제된 항목 보존 기간이 만료되면 메시지는 영구 삭제로 표시되고 다음에 관리되는 폴더 도우미 사서함을 처리할 때 Microsoft 365에서 제거됩니다.

  New-ComplianceSearchAction -Purge -PurgeType SoftDelete 명령을 사용하는 경우 사용자의 복구 가능한 항목 폴더에서 삭제 폴더로 메시지가 이동합니다. 메시지는 Microsoft 365에서 바로 제거되지 않습니다. 사용자는 사서함에 구성된 삭제된 항목 보존 기간에 따라 일정 기간 동안 삭제된 항목 폴더에서 메시지를 복구할 수 있습니다. 이 보존 기간이 만료되거나 만료되기 전에 사용자가 메시지를 제거하면 메시지는 제거 폴더로 이동되고 더 이상 액세스할 수 없습니다. 사서함에서 단일 항목 복구를 사용하는 경우 제거 폴더의 메시지는 사서함에 대해 구성된 삭제된 항목 보존 기간에 따라 일정 기간 동안 보존됩니다. (Microsoft 365에서는 새 사서함을 만들 때 단일 항목 복구가 기본적으로 사용하도록 설정됩니다.) 삭제된 항목 보존 기간이 만료되면 메시지는 영구 삭제로 표시되고 다음에 관리되는 폴더 도우미 사서함이 처리될 때 Microsoft 365에서 제거됩니다.

• 50,000개 이상의 사서함에서 메시지를 삭제해야 하는 경우 어떻게 해야 하나요?

  최대 50,000개의 사서함에서 검색 및 제거 작업을 수행할 수 있습니다(검색 쿼리와 일치하는 항목이 50,000개 미만인 경우에도). 50,000개 이상의 사서함에서 검색 및 제거 작업을 수행해야 하는 경우 50,000개 미만의 사서함으로 검색되는 사서함 수를 줄이는 임시 검색 권한 필터를 만드는 것이 좋습니다. 예를 들어 organization 다른 부서, 주 또는 다른 국가/지역에 사서함이 포함된 경우 해당 사서함 속성 중 하나를 기반으로 사서함 검색 권한 필터를 만들어 organization 사서함의 하위 집합을 검색할 수 있습니다. 검색 사용 권한 필터를 만든 후 1단계에서 설명한 대로 검색을 만든 후 3단계에서 설명한 대로 메시지를 삭제합니다. 그런 다음 필터를 편집하여 다른 사서함 집합에서 메시지를 검색한 후 삭제할 수 있습니다. 검색 권한 필터를 만드는 방법에 대한 자세한 내용은 eDiscovery에서 검색 권한 필터링 구성을 참조하세요.

• 검색 결과에 포함된 인덱싱되지 않은 항목이 삭제되나요?

  아니요, New-ComplianceSearchAction -Purge 명령은 인덱싱되지 않은 항목을 삭제하지 않습니다.

• 소송 보존에 배치되거나 Microsoft 365 보존 정책에 할당된 사서함에서 메시지가 삭제되면 어떻게 되나요?

  메시지가 삭제되고 제거 폴더로 이동된 후 보존 기간이 만료될 때까지 보존됩니다. 보존 기간에 제한이 없는 경우 보류를 제거하거나 보존 기간을 변경할 때까지 항목이 보존됩니다.

• 검색 및 제거 워크플로가 서로 다른 Microsoft Purview 포털 역할 그룹으로 나뉘는 이유는 무엇인가요?

  편지함을 검색하려면 eDiscovery Manager 역할 그룹의 구성원이거나 규정 준수 검색 관리 역할이 할당되어야 합니다. 메시지를 삭제하려면 사람이 조직 관리 역할 그룹의 구성원이거나 검색 및 제거 관리 역할이 할당되어야 합니다. 이 부서를 사용하면 organization 사서함을 검색할 수 있는 사용자와 메시지를 삭제할 수 있는 사용자를 제어할 수 있습니다.