Búsqueda y eliminación de datos de Copilot
Sugerencia
eDiscovery (versión preliminar) ya está disponible en el nuevo portal de Microsoft Purview. Para obtener más información sobre el uso de la nueva experiencia de exhibición de documentos electrónicos, consulte Información sobre eDiscovery (versión preliminar).
Puede usar eDiscovery (Premium) y el Explorador de Microsoft Graph para buscar y eliminar mensajes de usuario y Microsoft 365 Copilot y Microsoft Copilot respuestas en aplicaciones y servicios admitidos. Esta característica puede ayudarle a encontrar y quitar información confidencial o contenido inadecuado incluido en las actividades de Copilot. Este flujo de trabajo de búsqueda y eliminación también puede ayudarle a responder a un incidente de derrame de datos, cuando el contenido que contiene información confidencial o malintencionada se publica a través de la actividad relacionada con Copilot.
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Antes de buscar y eliminar datos de Copilot
Para crear un caso de eDiscovery (Premium) y usar colecciones para buscar datos de actividad de Copilot, debe ser miembro del grupo de roles administrador de eDiscovery en el portal de cumplimiento Microsoft Purview. Para eliminar los datos de Copilot, debe tener asignado el rol Buscar y purgar . Este rol se asigna a los grupos de roles Investigador de datos y Administración de la organización de forma predeterminada. Para más información, consulte Asignar permisos de eDiscovery.
Un máximo de 100 elementos por buzón se puede quitar al mismo tiempo. Dado que la capacidad de buscar y quitar datos de Copilot está pensada para ser una herramienta de respuesta a incidentes, este límite ayuda a garantizar que estos datos se quiten rápidamente.
Paso 1: Crear un caso en eDiscovery (Premium)
El primer paso es crear un caso en eDiscovery (Premium) para administrar el proceso de búsqueda y eliminación. Para obtener información sobre cómo crear un caso, consulte Uso del nuevo formato de caso.
Paso 2: Creación de una estimación de colección
Después de crear un caso, el siguiente paso es crear una estimación de recopilación para buscar los datos de Copilot que desea eliminar. El proceso de eliminación que realiza es el paso 5 elimina todos los elementos relacionados con Copilot que se encuentran en la estimación de la colección (dentro del límite de 10 elementos por ubicación).
En eDiscovery (Premium), una colección es una búsqueda de eDiscovery de las ubicaciones de contenido que contienen los datos de Copilot que desea eliminar. Cree la estimación de la colección en el caso que creó en el paso anterior. Para obtener más información, consulte Creación de una estimación de recopilación.
Orígenes de datos para datos de Copilot
En la tabla siguiente se enumeran las aplicaciones y servicios que son orígenes de datos de Copilot. Todos los mensajes de usuario a Copilot y las respuestas de Copilot se almacenan en el buzón de un usuario.
Para este tipo de datos Microsoft Copilot... | Buscar en esta clase de elemento... |
---|---|
Excel | IPM. SkypeTeams.Message.Copilot.Excel |
Loop | IPM. SkypeTeams.Message.Copilot. Loop |
Aplicación de Microsoft 365 | IPM. SkypeTeams.Message.Copilot.M365App |
Microsoft Copilot para Bing (Bizchat) | IPM. SkypeTeams.Message.Copilot. BizChat |
Microsoft Forms | IPM. SkypeTeams.Message.Copilot. Forms |
OneNote | IPM. SkypeTeams.Message.Copilot.OneNote |
Outlook | IPM. SkypeTeams.Message.Copilot.Outlook |
PowerPoint | IPM. SkypeTeams.Message.Copilot.Powerpoint |
Notas de IA de Teams en chat | IPM. SkypeTeams.Message.TeamCopilot.AiNotes.Teams |
Canal de Teams | IPM. SkypeTeams.Message.Copilot.Teams |
Teams Chat | IPM. SkypeTeams.Message.Copilot.Teams |
Chat de Copilot de Teams (Bizchat) | IPM. SkypeTeams.Message.Copilot. BizChat |
Reunión de Teams | IPM. SkypeTeams.Message.Copilot.Teams |
Teams Microsoft 365 Chat (BF) | IPM. SkypeTeams.Message |
WebChat | IPM. SkypeTeams.Message.Copilot.WebChat |
Whiteboard | IPM. SkypeTeams.Message.Copilot. Whiteboard |
Word | IPM. SkypeTeams.Message.Copilot. Word |
Nota:
En el paso 4, también tiene que identificar y quitar las directivas de retención y retención asignadas al buzón de correo que contenga el tipo de datos de Copilot que desea eliminar.
Sugerencias para buscar datos de Copilot
Para garantizar la recopilación más completa de datos de Copilot, use la condición Tipo y seleccione la opción Actividad de Copilot al compilar la consulta de búsqueda para la estimación de recopilación. También se recomienda incluir un intervalo de fechas o varias palabras clave para restringir el ámbito de la colección a elementos relevantes para la investigación de búsqueda y eliminación.
Para obtener más información, consulte Compilación de consultas de búsqueda para colecciones.
Identificación de consultas web en Microsoft 365 Copilot uso
Con la búsqueda web habilitada para Microsoft 365 Copilot o Microsoft Copilot para incluir los datos más recientes de la web, las consultas de búsqueda web enviadas a Microsoft Bing se pueden buscar en eDiscovery. Para obtener más información sobre la búsqueda web, consulte Datos, privacidad y seguridad de la búsqueda web en Microsoft 365 Copilot y Microsoft Copilot.
Complete los pasos siguientes para buscar estas consultas web:
- Con el generador de condiciones en eDiscovery, busque la actividad Copilot con el tipo de filtro, es igual a cualquiera de y la actividad de Copilot.
- En los resultados de la consulta, descargue cualquier elemento único.
- Abra el elemento descargado en un editor de texto.
- Buscar WebSearchQuery
- Si la actividad Copilot está implicada en una consulta de búsqueda de Bing, WebSearchQuery está presente en el archivo descargado. Le sigue la consulta específica enviada en la consulta de búsqueda de Microsoft Bing.
Paso 3: Revisar y comprobar los datos de Copilot que se van a eliminar
El proceso de eliminación del paso 5 eliminará los elementos devueltos por la colección. Es importante que revise los resultados de la estimación de la colección para asegurarse de que la colección solo devuelve los elementos que desea eliminar. Para revisar un ejemplo de elementos de una estimación de colección, consulte la sección Pasos siguientes después de completar una estimación de recopilación en Creación de una estimación de recopilación.
Además, puede usar las estadísticas de recopilación (en concreto, las estadísticas de ubicaciones principales ) para generar una lista de los orígenes de datos que contienen elementos devueltos por la colección. Use esta lista en el paso siguiente para quitar las directivas de retención y suspensión de los buzones de usuario que contienen resultados de búsqueda. Para obtener más información, consulte Estadísticas e informes de recopilación.
Paso 4: Quitar directivas de retención y retención de orígenes de datos
Para poder eliminar los datos de Copilot de un buzón, debe quitar cualquier directiva de retención o suspensión asignada a un buzón de destino. Si no es así, se conservan los datos que intenta eliminar.
Use la lista de buzones que contienen los datos de Copilot que desea eliminar y determine si hay una directiva de retención o suspensión asignada a esos buzones y, a continuación, quite la directiva de retención o suspensión. Asegúrese de identificar la directiva de retención o retención que quite para poder reasignar a los buzones en el paso 7.
Para obtener instrucciones sobre cómo identificar y quitar las directivas de retención y retención, consulte Paso 3: Quitar todas las retenciones del buzón en Eliminar elementos en la carpeta Elementos recuperables de buzones basados en la nube en suspensión.
Paso 5: Eliminar datos de Copilot
Nota:
Dado que Microsoft Graph Explorer no está disponible en algunas nubes del Gobierno de EE. UU. (GCC High y DOD), debe usar PowerShell para realizar estas tareas. Consulte Eliminación de datos de Copilot con PowerShell para obtener más información.
Ahora está listo para eliminar los datos de Copilot de mailboexes de usuario. Use el Explorador de Microsoft Graph para realizar las tres tareas siguientes:
- Obtenga el identificador del caso de eDiscovery (Premium) que creó en el paso 1. Este es el caso que contiene la colección creada en el paso 2.
- Obtenga el identificador de la colección que creó en el paso 2 y comprobó los resultados de la búsqueda en el paso 3. La consulta de búsqueda de esta colección devuelve los datos de Copilot que se van a eliminar.
- Elimine los datos de Copilot devueltos por la colección.
Para obtener información sobre el uso del Explorador de Graph, consulte Uso del Explorador de Graph para probar las API de Microsoft Graph.
Importante
Para realizar estas tres tareas en el Explorador de Graph, es posible que tenga que dar su consentimiento a los permisos eDiscovery.Read.All y eDiscovery.ReadWrite.All. Para obtener más información, consulte la sección "Consentimiento para permisos" en Trabajar con el Explorador de Graph.
Obtención del identificador del caso
Vaya e https://developer.microsoft.com/graph/graph-explorer inicie sesión en el Explorador de Graph con una cuenta que tenga asignado el rol Buscar y purgar en el portal de cumplimiento Microsoft Purview.
Ejecute la siguiente solicitud GET para recuperar el identificador del caso de eDiscovery (Premium). Use el valor
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases
en la barra de direcciones de la consulta de solicitud. Asegúrese de seleccionar v1.0 en la lista desplegable Versión de API.Esta solicitud devuelve información sobre todos los casos de la organización en la pestaña Vista previa de respuesta.
Desplácese por la respuesta para buscar el caso de eDiscovery (Premium). Use la propiedad displayName para identificar el caso.
Copie el identificador correspondiente (o cópielo y péguelo en un archivo de texto). Usará este identificador en la siguiente tarea para obtener el identificador de colección.
Sugerencia
En lugar de usar el procedimiento anterior para obtener el identificador de caso, puede abrir el caso en el portal de cumplimiento Microsoft Purview y copiar el identificador de caso de la dirección URL.
Obtener eDiscoverySearchID
En el Explorador de Graph, ejecute la siguiente solicitud GET para recuperar el identificador de la colección que creó en el paso 2 y contiene los elementos que desea eliminar. Use el valor
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches
de la barra de direcciones de la consulta de solicitud, donde {ediscoveryCaseID} es el CaseID que obtuvo en el procedimiento anterior.Desplácese por la respuesta para buscar la colección que contiene los elementos que desea eliminar. Use la propiedad displayName para identificar la colección que creó en el paso 3.
En la respuesta, la consulta de búsqueda de la colección se muestra en la propiedad contentQuery . Los elementos devueltos por esta consulta se eliminan en la siguiente tarea.
Copie el identificador correspondiente (o cópielo y péguelo en un archivo de texto). Usará este identificador en la siguiente tarea para eliminar los datos de Copilot.
Sugerencia
En lugar de usar el procedimiento anterior para obtener el identificador de búsqueda, puede abrir el caso en el portal de cumplimiento Microsoft Purview. Abra el caso y vaya a la pestaña Trabajos. Seleccione la recopilación correspondiente y, en Información de soporte técnico, busque el identificador de trabajo (el identificador de trabajo que se muestra aquí es el mismo que el identificador de recopilación).
Eliminación de datos de Copilot
En el Explorador de Graph, ejecute la siguiente solicitud POST para eliminar los elementos devueltos por la colección que creó en el paso 2. Use el valor
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData
de la barra de direcciones de la consulta de solicitud, donde {ediscoveryCaseID} y {ediscoverySearchID} son los identificadores que obtuvo en los procedimientos anteriores.Si la solicitud POST se realiza correctamente, se muestra un código de respuesta HTTP en un banner verde que indica que se ha aceptado la solicitud.
Para obtener más información sobre purgeData, vea sourceCollection: purgeData.
Eliminación de datos de Copilot con PowerShell
Nota:
Dado que Microsoft Graph Explorer no está disponible en la nube del Gobierno de EE. UU. (GCC, GCC High y DOD), debe usar PowerShell para realizar estas tareas.
También puede eliminar datos de Copilot mediante PowerShell. Por ejemplo, para eliminar datos de Copilot en la nube del Gobierno de EE. UU., podría usar un comando similar al siguiente:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
Para obtener más información sobre el uso de PowerShell para eliminar datos de Copilot, consulte ediscoverySearch: purgeData.
Paso 6: Comprobar que se han eliminado los datos de Copilot
Después de ejecutar la solicitud POST para eliminar los datos de Copilot, estos datos se quitan del buzón del usuario. No hay ninguna notificación o confirmación visible para el usuario de que los datos se han eliminado.
Los datos de Copilot eliminados se mueven a la carpeta SubstrateHolds , que es una carpeta de buzón oculta. Los datos de Copilot eliminados se almacenan allí durante al menos 1 día y, a continuación, se eliminan permanentemente la próxima vez que se ejecuta el trabajo del temporizador (normalmente entre 1 y 7 días).
Paso 7: Volver a aplicar las directivas de retención y retención a los buzones de usuario
Después de comprobar que se han eliminado los datos de Copilot, puede volver a aplicar las directivas de retención y retención a los buzones de usuario que quitó en el paso 4.