Microsoft Teams의 콘텐츠에 대한 eDiscovery 조사 수행

대기업은 종종 모든 전자 저장 정보 (ESI)의 제출을 요구하는 높은 처벌 법적 절차에 노출됩니다. eDiscovery 조사 중에 Microsoft Teams 콘텐츠를 검색하고 사용할 수 있습니다.

개요

모든 Microsoft Teams 1:1 또는 그룹 채팅은 각 사용자의 사서함으로 저널됩니다. 모든 표준 채널 메시지는 팀을 나타내는 그룹 사서함으로 저널링됩니다. 표준 채널에 업로드된 파일은 SharePoint Online 및 비즈니스용 OneDrive 대한 eDiscovery 기능에서 다룹니다.

개인 채널에서 메시지 및 파일의 eDiscovery 는 표준 채널 과 다르게 작동합니다. 자세한 내용은 개인 채널의 eDiscovery를 참조하세요.

기록된 Teams 모임은 모임을 녹음한 사용자의 비즈니스용 OneDrive 계정에 저장됩니다. 또한 Teams 모임에 참석자 이름 숨기기 기능을 사용할 때의 참석자 식별 정보는 모임 이끌이의 사용자 사서함에 저장됩니다. 자세한 내용은 Microsoft Teams의 콘텐츠에 대한 eDiscovery(프리미엄) 워크플로를 참조하세요.

일부 Teams 콘텐츠가 eDiscovery를 사용할 수 있는 것은 아닙니다. 다음 표에서는 Microsoft eDiscovery 도구를 사용하여 검색할 수 있는 Teams 콘텐츠 형식을 보여줍니다.

¹ 모임(및 통화) 메타데이터에는 다음이 포함됩니다.

• 모임 시작 및 종료 시간과 기간
• 각 참가자에 대한 모임 참가 및 종료 이벤트
• VOIP 조인/호출
• 페더레이션된 사용자 조인
• 게스트 조인

다음은 모임 중에 참가자 간의 채팅 대화의 예입니다.

다음은 eDiscovery 도구에서 볼 수 있는 동일한 채팅 대화의 규정 준수 복사본 예입니다.

다음은 모임 메타데이터의 예입니다.

eDiscovery 조사를 수행하는 방법에 대한 자세한 내용은 eDiscovery 시작(Standard)을 참조하세요.

Microsoft Teams 데이터는 Excel eDiscovery 내보내기 출력에서 메신저 대화 또는 대화로 표시됩니다. Outlook에서 파일을 열어 .pst 내보낸 후 해당 메시지를 볼 수 있습니다.

팀의 .pst 파일을 볼 때 모든 대화는 대화 기록 아래의 팀 채팅 폴더에 있습니다. 메시지 제목에는 팀 이름과 채널 이름이 포함됩니다. 예를 들어 아래 이미지는 제조 사양 팀의 Project 7 표준 채널에 메시지를 보낸 Bob의 메시지를 보여 줍니다.

사용자의 사서함에 있는 비공개 채팅은 대화 기록 아래의 팀 채팅 폴더에 저장됩니다.

개인 및 공유 채널의 eDiscovery

비공개 및 공유 채널의 메시지 준수 복사본은 채널 유형에 따라 다른 사서함으로 전송됩니다. 즉, 사용자가 구성원인 채널의 유형에 따라 다른 사서함 위치를 검색해야 합니다.

• 비공개 채널. 준수 복사본은 개인 채널 멤버의 모든 멤버 사서함으로 전송됩니다. 즉, 개인 채널 메시지에서 콘텐츠를 검색할 때 사용자 사서함을 검색해야 합니다.
• 공유 채널. 준수 복사본은 부모 팀 연결된 시스템 사서함으로 전송됩니다. Teams는 공유 채널에 대한 단일 시스템 사서함의 eDiscovery 검색을 지원하지 않으므로 공유 채널에서 메시지 콘텐츠를 검색할 때 사서함에서 부모 팀 검색해야 합니다(팀 사서함의 이름을 선택하여).

각 프라이빗 및 공유 채널에는 부모 팀 사이트와 별개인 자체 SharePoint 사이트가 있습니다. 즉, 프라이빗 및 공유 채널의 파일은 자체 사이트에 저장되고 부모 팀 독립적으로 관리됩니다. 즉, 파일 및 채널 메시지 첨부 파일에서 콘텐츠를 검색할 때 채널과 연결된 특정 사이트를 식별하고 검색해야 합니다.

다음 섹션을 사용하여 eDiscovery 검색에 포함할 프라이빗 또는 공유 채널을 식별할 수 있습니다.

비공개 채널의 멤버 식별

eDiscovery 도구를 사용하여 비공개 채널 메시지의 콘텐츠에 대한 구성원의 사서함을 검색할 수 있도록 이 섹션의 절차를 사용하여 비공개 채널의 멤버를 식별합니다.

이러한 단계를 수행하기 전에 최신 버전의 Teams PowerShell 모듈이 설치되어 있는지 확인합니다.

1. 다음 명령을 실행하여 검색하려는 공유 채널이 포함된 팀의 그룹 ID를 가져옵니다.

   Get-Team -DisplayName <display name of the the parent team>
   

   팁

   매개 변수 없이 Get-Team cmdlet을 실행하여 organization 모든 Teams 목록을 표시합니다. 목록에는 모든 팀의 그룹 ID 및 DisplayName이 포함됩니다.

2. 다음 명령을 실행하여 부모 팀 프라이빗 채널 목록을 가져옵니다. 1단계에서 얻은 팀의 그룹 ID를 사용합니다.

    Get-TeamChannel -GroupId <parent team GroupId> -MembershipType Private
   

3. 다음 명령을 실행하여 특정 프라이빗 채널에 대한 개인 채널 소유자 및 멤버 목록을 가져옵니다.

    Get-TeamChannelUser -GroupId <parent team GroupId> -DisplayName "Partner Shared Channel"
   

4. eDiscovery(Standard)에서 또는 eDiscovery(프리미엄)에서보유자 콘텐츠를 식별하고 수집할 때 eDiscovery 검색 쿼리의 일부로 개인 채널의 소유자 및 구성원 사서함을 포함합니다.

비공개 및 공유 채널에 대한 SharePoint 사이트 식별

앞서 설명한 것처럼 비공개 및 공유 채널에서 공유된 파일(및 채널 메시지에 첨부된 파일)은 채널과 연결된 사이트 모음에 저장됩니다. 이 섹션의 절차를 사용하여 특정 개인 또는 공유 채널과 연결된 사이트의 URL을 식별합니다. 그런 다음 eDiscovery 도구를 사용하여 사이트에서 콘텐츠를 검색할 수 있습니다.

이러한 단계를 수행하기 전에 SharePoint Online 관리 셸 설치하고 SharePoint Online에 연결합니다.

1. 필요에 따라 다음을 실행하여 부모 팀 공유 채널과 연결된 모든 SharePoint 사이트 모음 목록을 가져옵니다.

    Get-SPOSite
   

   팁

   비공개 및 공유 채널과 연결된 사이트에 대한 URL의 명명 규칙은 입니다 [SharePoint domain]/sites/[Name of parent team]-[Name of private or shared channel]. 예를 들어 Contoso organization "엔지니어 팀" 부모 팀 있는 "파트너 협업"이라는 공유 채널의 URL은 입니다https://contoso.sharepoint.com/sites/EngineeringTeam-PartnerCollaboration.

2. 다음 PowerShell 명령을 실행하여 organization 프라이빗 및 공유 채널과 연결된 모든 SharePoint 사이트의 URL을 표시합니다. 스크립트의 출력에는 3단계에서 명령을 실행해야 하는 부모 팀 그룹 ID도 포함됩니다.

   $sites = Get-SPOSite -Template "TEAMCHANNEL#1"
   foreach ($site in $sites) {$x= Get-SPOSite -Identity $site.url -Detail; $x.relatedgroupID; $x.url}
   

   참고

   2021년 6월 28일 이전에 만든 개인 채널에 대한 SharePoint 사이트는 사용자 지정 템플릿 ID 값을 사용합니다 "TEAMCHANNEL#0" . 이 날짜 이후에 만든 비공개 채널을 표시하려면 이전 두 스크립트를 실행할 때 값을 "TEAMCHANNEL#1" 사용합니다. 공유 채널은 의 "TEAMCHANNEL#1"값만 사용합니다.

3. 각 부모 팀 대해 다음 PowerShell 명령을 실행하여 프라이빗 및 공유 채널 사이트를 식별합니다. 여기서 $groupID 은 부모 팀 그룹 ID입니다.

   $sites = Get-SPOSite -Template "TEAMCHANNEL#1"
   $groupID = "<group ID of parent team)"
   foreach ($site in $sites) {$x= Get-SpoSite -Identity $site.url -Detail; if ($x.RelatedGroupId -eq $groupID) {$x.RelatedGroupId;$x.url}}
   

4. eDiscovery(Standard)에서 또는 eDiscovery(프리미엄)에서보유자 콘텐츠를 식별하고 수집할 때 eDiscovery 검색 쿼리의 일부로 개인 또는 공유 채널과 연결된 사이트를 포함합니다.

게스트에 대한 콘텐츠 검색

eDiscovery 도구를 사용하여 organization 게스트와 관련된 Teams 콘텐츠를 검색할 수 있습니다. 게스트와 연결된 Teams 채팅 콘텐츠는 클라우드 기반 스토리지 위치에 유지되며 eDiscovery를 사용하여 검색할 수 있습니다. 여기에는 게스트가 organization 다른 사용자와 함께 참여하는 1:1 및 1:N 채팅 대화에서 콘텐츠 검색이 포함됩니다. 게스트가 참가자인 비공개 채널 메시지를 검색하고 게스트 :게스트 채팅 대화에서 유일한 참가자가 게스트인 콘텐츠를 검색할 수도 있습니다.

게스트에 대한 콘텐츠를 검색하려면 다음을 수행합니다.

1. Microsoft Graph PowerShell에 연결합니다. 자세한 내용은 Microsoft Graph PowerShell 개요를 참조하세요. 이전 문서에서 1단계 및 2단계를 완료해야 합니다.

2. Microsoft Graph PowerShell에 성공적으로 연결한 후 다음 명령을 실행하여 organization 모든 게스트의 UPN(사용자 계정 이름)을 표시합니다. 4단계에서 검색을 만들 때 게스트의 UPN을 사용해야 합니다.

   Get-MgUser -Filter "userType eq 'Guest'" -All $true | FL UserPrincipalName
   

   팁

   컴퓨터 화면에 사용자 계정 이름 목록을 표시하는 대신 명령의 출력을 텍스트 파일로 리디렉션할 수 있습니다. 이 작업은 이전 명령에 추가하여 > filename.txt 수행할 수 있습니다. 사용자 계정 이름이 있는 텍스트 파일은 현재 폴더에 저장됩니다.

3. 다른 Windows PowerShell 창에서 보안 & 준수 PowerShell에 연결합니다. 자세한 내용은 보안 & 준수 PowerShell에 연결을 참조하세요. 다단계 인증을 사용하거나 사용하지 않고 연결할 수 있습니다.

4. 다음 명령을 실행하여 지정된 게스트가 참가자인 모든 콘텐츠(예: 채팅 메시지 및 전자 메일 메시지)를 검색하는 콘텐츠 검색을 만듭니다.

   New-ComplianceSearch <search name> -ExchangeLocation <guest UPN>  -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
   

   예를 들어 게스트 Sara Davis와 연결된 콘텐츠를 검색하려면 다음 명령을 실행합니다.

   New-ComplianceSearch "Sara Davis Guest" -ExchangeLocation "sara.davis_hotmail.com#EXT#@contoso.onmicrosoft.com" -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
   

   PowerShell을 사용하여 콘텐츠 검색을 만드는 방법에 대한 자세한 내용은 New-ComplianceSearch를 참조하세요.

5. 다음 명령을 실행하여 4단계에서 만든 콘텐츠 검색을 시작합니다.

   Start-ComplianceSearch <search name>
   

6. 로 https://compliance.microsoft.com 이동한 다음 모든>콘텐츠 검색 표시를 선택합니다.

7. 검색 목록에서 4단계에서 만든 검색을 선택하여 플라이아웃 페이지를 표시합니다.

8. 플라이아웃 페이지에서 다음 작업을 수행할 수 있습니다.

   • 결과 보기를 선택하여 검색 결과를 보고 콘텐츠를 미리 봅니다.
   • 쿼리 필드 옆에 있는 편집을 선택하여 편집한 다음 검색을 다시 실행합니다. 예를 들어 검색 쿼리를 추가하여 결과의 범위를 좁힐 수 있습니다.
   • 결과 내보내기를 선택하여 검색 결과를 내보내고 다운로드합니다.

카드 콘텐츠 검색

Teams 채널의 앱에서 생성된 카드 콘텐츠, 1:1 채팅 및 1xN 채팅은 사서함에 저장되며 검색할 수 있습니다. 카드는 짧은 내용의 UI 컨테이너입니다. 카드에는 여러 속성과 첨부 파일이 있을 수 있으며 카드 작업을 트리거할 수 있는 항목이 포함될 수 있습니다. 자세한 내용은 카드를 참조하세요.

다른 Teams 콘텐츠와 마찬가지로 카드 콘텐츠가 저장되는 위치는 카드가 사용된 위치를 기준으로 합니다. Teams 채널에 사용되는 카드의 내용은 Teams 그룹 사서함에 저장됩니다. 1:1 및 1xN 채팅의 카드 콘텐츠는 채팅 참가자의 우편함에 저장됩니다.

카드 내용을 검색하려면 kind:microsoftteams 또는 itemclass:IPM.SkypeTeams.Message 검색 조건을 사용할 수 있습니다. 검색 결과를 검토할 때 Teams 채널의 봇에서 생성된 카드 콘텐츠에는 보낸 사람/작성자 이메일 속성이 로 지정<appname>@teams.microsoft.com됩니다. 여기서 appname 은 카드 콘텐츠를 생성한 앱의 이름입니다. 사용자가 카드 내용을 생성한 경우 보낸 사람/작성자의 값이 사용자를 식별합니다.

내용 검색 결과에서 카드 내용을 볼 때 내용은 메시지에 첨부 파일로 나타납니다. 첨부 파일의 이름은 appname.html이며, 여기서 appname은 카드 콘텐츠를 생성한 앱의 이름입니다. 다음 스크린샷은 (Asana라는 이름의 앱의 경우) 카드 콘텐츠가 팀 및 검색 결과에 나타나는 방식을 보여 줍니다.

Teams의 카드 콘텐츠

검색 결과의 카드 콘텐츠

날짜별 Teams 모임 검색

관리자는 모임 시작 또는 종료 날짜에 따라 Teams 모임 콘텐츠를 검색할 수 있습니다. 특정 Teams 모임 날짜별로 검토 집합 항목을 필터링하려면 eDiscovery(프리미엄)의 고급 필터링 옵션에서 모임 시작 날짜 및 모임 종료 날짜 속성을 사용할 수 있습니다.

Teams 모임에서 숨겨진 참석자 검색

Microsoft Teams의 참석자 이름 숨기기 기능은 다른 참석자의 참석자 이름을 숨기므로 이끌이만 참석자 이름을 볼 수 있습니다. 이 기능은 외부 비즈니스, 공급업체, 기밀 모임 또는 참석자 간의 개인 정보 보호가 중요한 기타 모임이 있는 모임 또는 이벤트에 사용할 수 있습니다. 이 기능을 사용하도록 설정하면 모임 명단, 모임 채팅 및 모임 녹음/녹화에 참석자 이름이 숨겨집니다.

참석자 이름 숨기기 기능을 사용하도록 설정된 Teams 모임에서 참석자 이름을 검색하려면 검색을 위해 scope 이끌이의 사서함을 포함해야 합니다. 숨겨진 참석자 이름은 이끌이의 사서함에서만 사용할 수 있습니다.

외부 액세스 및 게스트 환경의 eDiscovery

관리자는 eDiscovery를 사용하여 다음 제한 사항에 따라 외부 액세스 및 게스트 액세스 환경에서 Teams 모임의 채팅 메시지에서 콘텐츠를 검색할 수 있습니다.

• 외부 액세스: 외부 참석자가 외부 액세스를 사용하는 외부 organization organization 사용자와 Teams 모임에서 두 조직의 관리자는 모임의 채팅 메시지에서 콘텐츠를 검색할 수 있습니다.
• 게스트: organization 및 게스트의 사용자와 Teams 모임에서 Teams 모임을 호스트하는 organization 관리자만 모임의 채팅 메시지에서 콘텐츠를 검색할 수 있습니다.

관련 문서

• Microsoft 365 eDiscovery 솔루션
• eDiscovery(표준) 시작
• eDiscovery의 Teams 워크플로(프리미엄)
• Teams PowerShell 개요