Compartir a través de

Búsqueda y eliminación de datos de Copilot en eDiscovery (versión preliminar)

  • Artículo

Puede usar eDiscovery (versión preliminar) y el Explorador de Microsoft Graph para buscar y eliminar mensajes de usuario y Microsoft 365 Copilot y Microsoft Copilot respuestas en aplicaciones y servicios admitidos. Esta característica puede ayudarle a encontrar y quitar información confidencial o contenido inadecuado incluido en las actividades de Copilot. Este flujo de trabajo de búsqueda y eliminación también puede ayudarle a responder a un incidente de derrame de datos, cuando el contenido que contiene información confidencial o malintencionada se publica a través de la actividad relacionada con Copilot.

Sugerencia

Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.

Antes de buscar y eliminar datos de Copilot

  • Cree un caso de exhibición de documentos electrónicos (versión preliminar) y busque datos de actividad de Copilot; debe ser miembro del grupo de roles del Administrador de exhibición de documentos electrónicos . Para eliminar los datos de Copilot, debe tener asignado el rol Buscar y purgar . Este rol se asigna a los grupos de roles Investigador de datos y Administración de la organización de forma predeterminada. Para más información, consulte Asignar permisos de eDiscovery.
  • Se puede eliminar un máximo de 10 elementos por buzón a la vez. Dado que la capacidad de buscar y quitar datos de Copilot está pensada para ser una herramienta de respuesta a incidentes, este límite ayuda a garantizar que estos datos se quiten rápidamente.

Paso 1: Crear un caso en eDiscovery (versión preliminar)

El primer paso consiste en crear un caso en eDiscovery (versión preliminar) para administrar el proceso de búsqueda y eliminación.

Paso 2: Crear una búsqueda en eDiscovery (versión preliminar)

Después de crear un caso, el siguiente paso es buscar los datos de Copilot que desea eliminar. El proceso de eliminación que realiza es el paso 5 elimina todos los elementos relacionados con Copilot que se encuentran en la búsqueda (dentro del límite de 10 elementos por ubicación).

Orígenes de datos para datos de Copilot

En la tabla siguiente se enumeran las aplicaciones y servicios que son orígenes de datos de Copilot. Todos los mensajes de usuario a Copilot y las respuestas de Copilot se almacenan en el buzón de un usuario.

Para este tipo de datos Microsoft Copilot... Buscar en esta clase de elemento...
Excel IPM. SkypeTeams.Message.Copilot.Excel
Loop IPM. SkypeTeams.Message.Copilot. Loop
Aplicación de Microsoft 365 IPM. SkypeTeams.Message.Copilot.M365App
Microsoft Copilot para Bing (Bizchat) IPM. SkypeTeams.Message.Copilot. BizChat
Microsoft Forms IPM. SkypeTeams.Message.Copilot. Forms
OneNote IPM. SkypeTeams.Message.Copilot.OneNote
Outlook IPM. SkypeTeams.Message.Copilot.Outlook
PowerPoint IPM. SkypeTeams.Message.Copilot.Powerpoint
Notas de IA de Teams en chat IPM. SkypeTeams.Message.TeamCopilot.AiNotes.Teams
Canal de Teams IPM. SkypeTeams.Message.Copilot.Teams
Teams Chat IPM. SkypeTeams.Message.Copilot.Teams
Chat de Copilot de Teams (Bizchat) IPM. SkypeTeams.Message.Copilot. BizChat
Reunión de Teams IPM. SkypeTeams.Message.Copilot.Teams
Teams Microsoft 365 Chat (BF) IPM. SkypeTeams.Message
WebChat IPM. SkypeTeams.Message.Copilot.WebChat
Whiteboard IPM. SkypeTeams.Message.Copilot. Whiteboard
Word IPM. SkypeTeams.Message.Copilot. Word

Nota:

En el paso 4, también tiene que identificar y quitar las directivas de retención y retención asignadas al buzón de correo que contenga el tipo de datos de Copilot que desea eliminar.

Sugerencias para buscar datos de Copilot

Para garantizar la recopilación más completa de datos de Copilot, use la condición Tipo y seleccione la opción Actividad de Copilot al compilar la consulta de búsqueda. También se recomienda incluir un intervalo de fechas o varias palabras clave para restringir el ámbito de la búsqueda a elementos relevantes para la investigación de búsqueda y eliminación.

Identificación de consultas web en Microsoft 365 Copilot uso

Con la búsqueda web habilitada para Microsoft 365 Copilot o Microsoft Copilot para incluir los datos más recientes de la web, las consultas de búsqueda web enviadas a Microsoft Bing se pueden buscar en eDiscovery. Para obtener más información sobre la búsqueda web, consulte Datos, privacidad y seguridad de la búsqueda web en Microsoft 365 Copilot y Microsoft Copilot.

Complete los pasos siguientes para buscar estas consultas web:

  1. Con el generador de condiciones en eDiscovery, busque la actividad Copilot con el tipo de filtro, es igual a cualquiera de y la actividad de Copilot.
  2. En los resultados de la consulta, descargue cualquier elemento único.
  3. Abra el elemento descargado en un editor de texto.
  4. Buscar WebSearchQuery
  5. Si la actividad Copilot está implicada en una consulta de búsqueda de Bing, WebSearchQuery está presente en el archivo descargado. Le sigue la consulta específica enviada en la consulta de búsqueda de Microsoft Bing.

Paso 3: Revisar y comprobar los datos de Copilot que se van a eliminar en eDiscovery (versión preliminar)

El proceso de eliminación del paso 5 elimina los elementos devueltos por la búsqueda. Es importante que revise los resultados de la búsqueda para asegurarse de que la búsqueda solo devuelve los elementos que desea eliminar.

Además, puede usar las estadísticas de búsqueda (específicamente las estadísticas de ubicaciones principales ) para generar una lista de los orígenes de datos que contienen elementos devueltos por la búsqueda. Use esta lista en el paso siguiente para quitar las directivas de retención y suspensión de los buzones de usuario que contienen resultados de búsqueda.

Paso 4: Quitar directivas de retención y retención de orígenes de datos

Para poder eliminar los datos de Copilot de un buzón, debe quitar cualquier directiva de retención o suspensión asignada a un buzón de destino. Si no es así, se conservan los datos que intenta eliminar.

Use la lista de buzones que contienen los datos de Copilot que desea eliminar y determine si hay una directiva de retención o suspensión asignada a esos buzones y, a continuación, quite la directiva de retención o suspensión. Asegúrese de identificar la directiva de retención o retención que quite para poder reasignar a los buzones en el paso 7.

Paso 5: Eliminación de datos de Copilot en Microsoft Graph Explorer

Nota:

Dado que Microsoft Graph Explorer no está disponible en algunas nubes del Gobierno de EE. UU. (GCC High y DOD), debe usar PowerShell para realizar estas tareas. Consulte Eliminación de datos de Copilot con PowerShell para obtener más información.

Ahora está listo para eliminar los datos de Copilot de los buzones de usuario. Use el Explorador de Microsoft Graph para realizar las tres tareas siguientes:

  1. Obtenga el identificador del caso de exhibición de documentos electrónicos que creó en el paso 1. Este es el caso que contiene la búsqueda creada en el paso 2.
  2. Obtenga el identificador de la búsqueda que creó en el paso 2 y verificó los resultados de la búsqueda en el paso 3. La consulta de esta búsqueda devuelve los datos de Copilot que se van a eliminar.
  3. Elimine los datos de Copilot devueltos por la búsqueda.

Para obtener información sobre el uso del Explorador de Graph, consulte Uso del Explorador de Graph para probar las API de Microsoft Graph.

Importante

Para realizar estas tres tareas en el Explorador de Graph, es posible que tenga que dar su consentimiento a los permisos eDiscovery.Read.All y eDiscovery.ReadWrite.All. Para obtener más información, consulte la sección "Consentimiento para permisos" en Trabajar con el Explorador de Graph.

Obtención del identificador de caso en el Explorador de Microsoft Graph

  1. Vaya e https://developer.microsoft.com/graph/graph-explorer inicie sesión en el Explorador de Graph con una cuenta que tenga asignado el rol Buscar y purgar en el portal de Microsoft Purview.
  2. Ejecute la siguiente solicitud GET para recuperar el identificador del caso de eDiscovery. Use el valor https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases en la barra de direcciones de la consulta de solicitud. Asegúrese de seleccionar v1.0 en la lista desplegable Versión de API. Esta solicitud devuelve información sobre todos los casos de la organización en la pestaña Vista previa de respuesta.
  3. Desplácese por la respuesta para buscar el caso de eDiscovery. Use la propiedad displayName para identificar el caso.
  4. Copie el identificador correspondiente (o cópielo y péguelo en un archivo de texto). Usará este identificador en la siguiente tarea para obtener el identificador de búsqueda.

Sugerencia

En lugar de usar el procedimiento anterior para obtener el identificador de caso, puede abrir el caso en el portal de Microsoft Purview y copiar el identificador de caso de la dirección URL.

Obtener eDiscoverySearchID en el Explorador de Microsoft Graph

  1. En el Explorador de Graph, ejecute la siguiente solicitud GET para recuperar el identificador de la búsqueda que creó en el paso 2 y contiene los elementos que desea eliminar. Use el valor https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches de la barra de direcciones de la consulta de solicitud, donde {ediscoveryCaseID} es el CaseID que obtuvo en el procedimiento anterior.
  2. Desplácese por la respuesta para buscar la búsqueda que contiene los elementos que desea eliminar. Use la propiedad displayName para identificar la búsqueda que creó en el paso 3. En la respuesta, la consulta de búsqueda de la búsqueda se muestra en la propiedad contentQuery . Los elementos devueltos por esta consulta se eliminan en la siguiente tarea.
  3. Copie el identificador correspondiente (o cópielo y péguelo en un archivo de texto). Usará este identificador en la siguiente tarea para eliminar los datos de Copilot.

Sugerencia

En lugar de usar el procedimiento anterior para obtener el identificador de búsqueda, puede abrir el caso en el portal de Microsoft Purview. Abra el caso y vaya a la pestaña Trabajos. Seleccione la búsqueda pertinente y, en Información de soporte técnico, busque el identificador de trabajo (el identificador de trabajo que se muestra aquí es el mismo que el identificador de búsqueda).

Eliminación de datos de Copilot en Microsoft Graph Explorer

  1. En el Explorador de Graph, ejecute la siguiente solicitud POST para eliminar los elementos devueltos por la búsqueda que creó en el paso 2. Use el valor https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData de la barra de direcciones de la consulta de solicitud, donde {ediscoveryCaseID} y {ediscoverySearchID} son los identificadores que obtuvo en los procedimientos anteriores.

    Si la solicitud POST se realiza correctamente, se muestra un código de respuesta HTTP en un banner verde que indica que se ha aceptado la solicitud.

Para obtener más información sobre purgeData, vea sourceCollection: purgeData.

Eliminación de datos de Copilot con PowerShell

Nota:

Dado que Microsoft Graph Explorer no está disponible en la nube del Gobierno de EE. UU. (GCC, GCC High y DOD), debe usar PowerShell para realizar estas tareas.

También puede eliminar datos de Copilot mediante PowerShell. Por ejemplo, para eliminar datos de Copilot en la nube del Gobierno de EE. UU., podría usar un comando similar al siguiente:

Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov

Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'

Para obtener más información sobre el uso de PowerShell para eliminar datos de Copilot, consulte ediscoverySearch: purgeData.

Paso 6: Comprobar que se han eliminado los datos de Copilot

Después de ejecutar la solicitud POST para eliminar los datos de Copilot, estos datos se quitan del buzón del usuario. No hay ninguna notificación o confirmación visible para el usuario de que los datos se han eliminado.

Los datos de Copilot eliminados se mueven a la carpeta SubstrateHolds , que es una carpeta de buzón oculta. Los datos de Copilot eliminados se almacenan allí durante al menos 1 día y, a continuación, se eliminan permanentemente la próxima vez que se ejecuta el trabajo del temporizador (normalmente entre 1 y 7 días).

Paso 7: Volver a aplicar las directivas de retención y retención a los buzones de usuario

Después de comprobar que se han eliminado los datos de Copilot, puede volver a aplicar las directivas de retención y retención a los buzones de usuario que quitó en el paso 4.