Freigeben über


Suchen und Löschen von Copilot-Daten in eDiscovery (Vorschau)

Sie können eDiscovery (Vorschau) und die Microsoft Graph-Explorer verwenden, um benutzereingabeaufforderungen und Microsoft 365 Copilot und Microsoft Copilot Antworten in unterstützten Anwendungen und Diensten zu suchen und zu löschen. Dieses Feature kann Ihnen helfen, vertrauliche Informationen oder unangemessene Inhalte in Copilot-Aktivitäten zu finden und zu entfernen. Dieser Such- und Löschworkflow kann Ihnen auch dabei helfen, auf einen Datenleckfall zu reagieren, wenn Inhalte mit vertraulichen oder schädlichen Informationen durch Aktivitäten im Zusammenhang mit Copilot freigegeben werden.

Tipp

Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.

Vor dem Suchen und Löschen von Copilot-Daten

  • Erstellen Sie einen eDiscovery-Fall (Vorschau), und suchen Sie nach Copilot-Aktivitätsdaten. Sie müssen Mitglied der Rollengruppe eDiscovery-Manager sein. Zum Löschen von Copilot-Daten muss Ihnen die Rolle Suchen und Löschen zugewiesen werden. Diese Rolle wird standardmäßig den Rollengruppen Datenermittler und Organisationsverwaltung zugewiesen. Weitere Informationen finden Sie unter Zuweisen von eDiscovery-Berechtigungen.
  • Aus jedem Postfach können maximal 10 Elemente gleichzeitig entfernt werden. Da die Funktion zum Suchen und Entfernen von Copilot-Daten ein Tool zur Reaktion auf Vorfälle sein soll, trägt dieser Grenzwert dazu bei, dass diese Daten schnell entfernt werden.

Schritt 1: Erstellen eines Falls in eDiscovery (Vorschau)

Der erste Schritt besteht darin, einen Fall in eDiscovery (Vorschau) zu erstellen, um den Such- und Löschvorgang zu verwalten.

Schritt 2: Erstellen einer Suche in eDiscovery (Vorschau)

Nachdem Sie einen Fall erstellt haben, besteht der nächste Schritt darin, nach den Copilot-Daten zu suchen , die Sie löschen möchten. Der Löschvorgang, den Sie ausführen, ist Schritt 5, löscht alle Copilot-bezogenen Elemente, die in der Suche gefunden werden (innerhalb des Grenzwerts von 10 Elementen pro Speicherort).

Datenquellen für Copilot-Daten

In der folgenden Tabelle sind die Anwendungen und Dienste aufgeführt, die Quellen für Copilot-Daten sind. Alle Benutzeraufforderungen an Copilot und Antworten von Copilot werden im Postfach eines Benutzers gespeichert.

Für diese Art von Microsoft Copilot Daten... Diese Elementklasse durchsuchen...
Excel IPM. SkypeTeams.Message.Copilot.Excel
Loop IPM. SkypeTeams.Message.Copilot. Loop
Microsoft 365-App IPM. SkypeTeams.Message.Copilot.M365App
Microsoft Copilot für Bing (Bizchat) IPM.SkypeTeams.Message.Copilot.BizChat
Microsoft Forms IPM. SkypeTeams.Message.Copilot. Forms
OneNote IPM. SkypeTeams.Message.Copilot.OneNote
Outlook IPM. SkypeTeams.Message.Copilot.Outlook
PowerPoint IPM. SkypeTeams.Message.Copilot.Powerpoint
Teams KI-Notizen im Chat IPM. SkypeTeams.Message.TeamCopilot.AiNotes.Teams
Teams-Kanal IPM.SkypeTeams.Message.Copilot.Teams
Teams Chat IPM.SkypeTeams.Message.Copilot.Teams
Teams Copilot Chat (Bizchat) IPM.SkypeTeams.Message.Copilot.BizChat
Teams-Besprechung IPM.SkypeTeams.Message.Copilot.Teams
Teams Microsoft 365 Chat (BF) IPM. SkypeTeams.Message
WebChat IPM. SkypeTeams.Message.Copilot.WebChat
Whiteboard IPM. SkypeTeams.Message.Copilot. Whiteboard
Word IPM. SkypeTeams.Message.Copilot. Word

Hinweis

In Schritt 4 müssen Sie auch alle Aufbewahrungs- und Aufbewahrungsrichtlinien identifizieren und entfernen, die dem Postfach zugewiesen sind, das den Typ der Copilot-Daten enthält, die Sie löschen möchten.

Tipps für die Suche nach Copilot-Daten

Um die umfassendste Sammlung von Copilot-Daten sicherzustellen, verwenden Sie die Type-Bedingung , und wählen Sie die Option Copilot-Aktivität aus, wenn Sie die Suchabfrage erstellen. Es wird auch empfohlen, einen Datumsbereich oder mehrere Schlüsselwörter einzugrenzen, um den Suchbereich auf Elemente einzugrenzen, die für Ihre Suche relevant sind, und die Untersuchung zu löschen.

Identifizieren von Webabfragen in Microsoft 365 Copilot Nutzung

Wenn die Websuche für Microsoft 365 Copilot oder Microsoft Copilot aktiviert ist, um die neuesten Daten aus dem Web einzuschließen, sind die an Microsoft Bing gesendeten Websuchabfragen in eDiscovery durchsuchbar. Weitere Informationen zur Websuche finden Sie unter Daten, Datenschutz und Sicherheit für die Websuche in Microsoft 365 Copilot und Microsoft Copilot.

Führen Sie die folgenden Schritte aus, um diese Webabfragen zu finden:

  1. Suchen Sie mithilfe des Bedingungs-Generators in eDiscovery nach der Copilot-Aktivität, indem Sie die Filtertyp-, Gleich-, und Copilot-Aktivität verwenden.
  2. Laden Sie in den Abfrageergebnissen ein beliebiges einzelnes Element herunter.
  3. Öffnen Sie das heruntergeladene Element in einem Text-Editor.
  4. Suchen nach WebSearchQuery
  5. Wenn die Copilot-Aktivität an einer Bing-Suchabfrage beteiligt ist, ist WebSearchQuery in der heruntergeladenen Datei vorhanden. Darauf folgt die spezifische Abfrage, die in der Microsoft Bing-Suchabfrage gesendet wird.

Schritt 3: Überprüfen und Überprüfen der zu löschenden Copilot-Daten in eDiscovery (Vorschau)

Der Löschvorgang in Schritt 5 löscht die von der Suche zurückgegebenen Elemente. Es ist wichtig, dass Sie die Suchergebnisse überprüfen, um sicherzustellen, dass die Suche nur die Elemente zurückgibt, die Sie löschen möchten.

Darüber hinaus können Sie die Suchstatistiken (insbesondere die Statistiken der wichtigsten Standorte ) verwenden, um eine Liste der Datenquellen zu generieren, die von der Suche zurückgegebene Elemente enthalten. Verwenden Sie diese Liste im nächsten Schritt, um Aufbewahrungs- und Aufbewahrungsrichtlinien aus den Benutzerpostfächern zu entfernen, die Suchergebnisse enthalten.

Schritt 4: Entfernen von Aufbewahrungs- und Aufbewahrungsrichtlinien aus Datenquellen

Bevor Sie Copilot-Daten aus einem Postfach löschen können, müssen Sie alle Aufbewahrungs - oder Aufbewahrungsrichtlinien entfernen, die einem Zielpostfach zugewiesen sind. Wenn dies nicht der Fall ist, werden die Daten, die Sie löschen möchten, beibehalten.

Verwenden Sie die Liste der Postfächer, die die copilot-Daten enthalten, die Sie löschen möchten, und bestimmen Sie, ob diesen Postfächern eine Aufbewahrungs- oder Aufbewahrungsrichtlinie zugewiesen ist, und entfernen Sie dann die Aufbewahrungs- oder Aufbewahrungsrichtlinie. Stellen Sie sicher, dass Sie die Aufbewahrungs- oder Aufbewahrungsrichtlinie identifizieren, die Sie entfernen, damit Sie den Postfächern in Schritt 7 neu zuweisen können.

Schritt 5: Löschen von Copilot-Daten in Microsoft Graph Explorer

Hinweis

Da Microsoft Graph Explorer in einigen Us Government-Clouds (GCC High und DOD) nicht verfügbar ist, müssen Sie PowerShell verwenden, um diese Aufgaben auszuführen. Weitere Informationen finden Sie unter Löschen von Copilot-Daten mit PowerShell .

Jetzt können Sie Copilot-Daten aus Benutzerpostfächern löschen. Verwenden Sie die Microsoft Graph-Explorer, um die folgenden drei Aufgaben auszuführen:

  1. Rufen Sie die ID des eDiscovery-Falls ab, den Sie in Schritt 1 erstellt haben. Dies ist der Fall, der die in Schritt 2 erstellte Suche enthält.
  2. Rufen Sie die ID der Suche ab, die Sie in Schritt 2 erstellt und die Suchergebnisse in Schritt 3 überprüft haben. Die Abfrage in dieser Suche gibt die zu löschenden Copilot-Daten zurück.
  3. Löschen Sie die von der Suche zurückgegebenen Copilot-Daten.

Informationen zur Verwendung von Graph Explorer finden Sie unter Verwenden von Graph Explorer zum Testen von Microsoft Graph-APIs.

Wichtig

Um diese drei Aufgaben in Graph Explorer auszuführen, müssen Sie möglicherweise den Berechtigungen eDiscovery.Read.All und eDiscovery.ReadWrite.All zustimmen. Weitere Informationen finden Sie im Abschnitt "Zustimmung zu Berechtigungen" unter Arbeiten mit Graph Explorer.

Abrufen der Fall-ID in Microsoft Graph Explorer

  1. Wechseln Sie zu https://developer.microsoft.com/graph/graph-explorer , und melden Sie sich beim Graph-Explorer mit einem Konto an, dem die Rolle Suchen und Löschen im Microsoft Purview-Portal zugewiesen ist.
  2. Führen Sie die folgende GET-Anforderung aus, um die ID für den eDiscovery-Fall abzurufen. Verwenden Sie den Wert https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases in der Adressleiste der Anforderungsabfrage. Wählen Sie in der Dropdownliste API-Version die Option v1.0 aus. Diese Anforderung gibt Informationen zu allen Fällen in Ihrem organization auf der Registerkarte Antwortvorschau zurück.
  3. Scrollen Sie durch die Antwort, um den eDiscovery-Fall zu suchen. Verwenden Sie die displayName-Eigenschaft , um den Fall zu identifizieren.
  4. Kopieren Sie die entsprechende ID (oder kopieren Sie sie, und fügen Sie sie in eine Textdatei ein). Sie verwenden diese ID in der nächsten Aufgabe, um die Such-ID abzurufen.

Tipp

Anstatt das vorherige Verfahren zum Abrufen der Fall-ID zu verwenden, können Sie den Fall im Microsoft Purview-Portal öffnen und die Fall-ID aus der URL kopieren.

Abrufen der eDiscoverySearchID in Microsoft Graph Explorer

  1. Führen Sie in Graph Explorer die folgende GET-Anforderung aus, um die ID für die Suche abzurufen, die Sie in Schritt 2 erstellt haben, und enthält die Elemente, die Sie löschen möchten. Verwenden Sie den Wert https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches in der Adressleiste der Anforderungsabfrage, wobei {ediscoveryCaseID} die CaseID ist, die Sie im vorherigen Verfahren abgerufen haben.
  2. Scrollen Sie durch die Antwort, um die Suche zu suchen, die die Elemente enthält, die Sie löschen möchten. Verwenden Sie die displayName-Eigenschaft , um die Suche zu identifizieren, die Sie in Schritt 3 erstellt haben. In der Antwort wird die Suchabfrage aus der Suche in der contentQuery-Eigenschaft angezeigt. Von dieser Abfrage zurückgegebene Elemente werden in der nächsten Aufgabe gelöscht.
  3. Kopieren Sie die entsprechende ID (oder kopieren Sie sie, und fügen Sie sie in eine Textdatei ein). Sie verwenden diese ID in der nächsten Aufgabe, um Copilot-Daten zu löschen.

Tipp

Anstatt das vorherige Verfahren zum Abrufen der Such-ID zu verwenden, können Sie den Fall im Microsoft Purview-Portal öffnen. Öffnen Sie den Fall, und navigieren Sie zur Registerkarte Aufträge. Wählen Sie die relevante Suche aus, und suchen Sie unter Supportinformationen die Auftrags-ID (die hier angezeigte Auftrags-ID entspricht der Such-ID).

Löschen von Copilot-Daten in Microsoft Graph Explorer

  1. Führen Sie in Graph Explorer die folgende POST-Anforderung aus, um die von der Suche zurückgegebenen Elemente zu löschen, die Sie in Schritt 2 erstellt haben. Verwenden Sie den Wert https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData in der Adressleiste der Anforderungsabfrage, wobei {ediscoveryCaseID} und {ediscoverySearchID} die IDs sind, die Sie in den vorherigen Verfahren abgerufen haben.

    Wenn die POST-Anforderung erfolgreich ist, wird ein HTTP-Antwortcode in einem grünen Banner mit dem Hinweis angezeigt, dass die Anforderung akzeptiert wurde.

Weitere Informationen zu purgeData finden Sie unter sourceCollection: purgeData.

Löschen von Copilot-Daten mit PowerShell

Hinweis

Da Microsoft Graph Explorer in der US Government-Cloud (GCC, GCC High und DOD) nicht verfügbar ist, müssen Sie PowerShell verwenden, um diese Aufgaben auszuführen.

Sie können Copilot-Daten auch mithilfe von PowerShell löschen. Zum Löschen von Copilot-Daten in der US Government-Cloud können Sie beispielsweise einen Befehl wie folgt verwenden:

Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov

Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'

Weitere Informationen zur Verwendung von PowerShell zum Löschen von Copilot-Daten finden Sie unter ediscoverySearch: purgeData.

Schritt 6: Überprüfen, ob Copilot-Daten gelöscht wurden

Nachdem Sie die POST-Anforderung zum Löschen von Copilot-Daten ausgeführt haben, werden diese Daten aus dem Postfach des Benutzers entfernt. Es gibt keine sichtbare Benachrichtigung oder Bestätigung für den Benutzer, dass die Daten gelöscht wurden.

Gelöschte Copilot-Daten werden in den Ordner SubstrateHolds verschoben, bei dem es sich um einen ausgeblendeten Postfachordner handelt. Gelöschte Copilot-Daten werden dort mindestens 1 Tag gespeichert und dann bei der nächsten Ausführung des Zeitgeberauftrags endgültig gelöscht (in der Regel zwischen 1 und 7 Tagen).

Schritt 7: Erneutes Anwenden von Aufbewahrungs- und Aufbewahrungsrichtlinien auf Benutzerpostfächer

Nachdem Sie überprüft haben, ob die Copilot-Daten gelöscht wurden, können Sie die Aufbewahrungs- und Aufbewahrungsrichtlinien erneut auf Benutzerpostfächer anwenden, die Sie in Schritt 4 entfernt haben.