Rechercher et supprimer des données Copilot
Conseil
eDiscovery (préversion) est désormais disponible dans le nouveau portail Microsoft Purview. Pour en savoir plus sur l’utilisation de la nouvelle expérience eDiscovery, consultez En savoir plus sur eDiscovery (préversion).
Vous pouvez utiliser eDiscovery (Premium) et l’Explorer Microsoft Graph pour rechercher et supprimer des invites utilisateur et Microsoft 365 Copilot et Microsoft Copilot réponses dans les applications et services pris en charge. Cette fonctionnalité peut vous aider à trouver et à supprimer des informations sensibles ou du contenu inapproprié inclus dans les activités Copilot. Ce workflow de recherche et de suppression peut également vous aider à répondre à un incident de déversement de données, lorsque du contenu contenant des informations confidentielles ou malveillantes est publié via une activité liée à Copilot.
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Avant de rechercher et de supprimer des données Copilot
Pour créer un cas eDiscovery (Premium) et utiliser des collections pour rechercher des données d’activité Copilot, vous devez être membre du groupe de rôles Gestionnaire eDiscovery dans le portail de conformité Microsoft Purview. Pour supprimer des données Copilot, vous devez disposer du rôle Rechercher et vider . Ce rôle est attribué aux groupes de rôles Enquêteur de données et Gestion de l’organisation par défaut. Pour plus d'informations, voir Attribution d'autorisations eDiscovery.
Un maximum de 100 éléments par boîte aux lettres peut être supprimé en même temps. Étant donné que la possibilité de rechercher et de supprimer des données Copilot est destinée à être un outil de réponse aux incidents, cette limite permet de garantir que ces données sont rapidement supprimées.
Étape 1 : Créer un cas dans eDiscovery (Premium)
La première étape consiste à créer un cas dans eDiscovery (Premium) pour gérer le processus de recherche et de suppression. Pour plus d’informations sur la création d’un cas, consultez Utiliser le nouveau format de cas.
Étape 2 : Créer une estimation de collection
Après avoir créé un cas, l’étape suivante consiste à créer une estimation de collection pour rechercher les données Copilot que vous souhaitez supprimer. Le processus de suppression que vous effectuez à l’étape 5 supprime tous les éléments liés à Copilot qui se trouvent dans l’estimation de la collection (dans la limite de 10 éléments par emplacement).
Dans eDiscovery (Premium), une collection est une recherche eDiscovery des emplacements de contenu qui contiennent des données Copilot que vous souhaitez supprimer. Créez l’estimation de la collection dans le cas où vous avez créé à l’étape précédente. Pour plus d’informations, consultez Créer une estimation de collection.
Sources de données pour les données Copilot
Le tableau suivant répertorie les applications et services qui sont des sources de données Copilot. Toutes les invites utilisateur à Copilot et les réponses de Copilot sont stockées dans la boîte aux lettres d’un utilisateur.
Pour ce type de données Microsoft Copilot... | Rechercher dans cette classe d’élément... |
---|---|
Excel | IPM. SkypeTeams.Message.Copilot.Excel |
Loop | IPM. SkypeTeams.Message.Copilot. Loop |
Application Microsoft 365 | IPM. SkypeTeams.Message.Copilot.M365App |
Microsoft Copilot pour Bing (Bizchat) | IPM. SkypeTeams.Message.Copilot. BizChat |
Microsoft Forms | IPM. SkypeTeams.Message.Copilot. Forms |
OneNote | IPM. SkypeTeams.Message.Copilot.OneNote |
Outlook | IPM. SkypeTeams.Message.Copilot.Outlook |
PowerPoint | IPM. SkypeTeams.Message.Copilot.Powerpoint |
Notes d’IA Teams dans la conversation | IPM. SkypeTeams.Message.TeamCopilot.AiNotes.Teams |
Canal Teams | IPM. SkypeTeams.Message.Copilot.Teams |
Conversation Teams | IPM. SkypeTeams.Message.Copilot.Teams |
Teams Copilot Chat (Bizchat) | IPM. SkypeTeams.Message.Copilot. BizChat |
Réunions Teams | IPM. SkypeTeams.Message.Copilot.Teams |
Teams Microsoft 365 Chat (BF) | IPM. SkypeTeams.Message |
WebChat | IPM. SkypeTeams.Message.Copilot.WebChat |
Whiteboard | IPM. SkypeTeams.Message.Copilot. Whiteboard |
Word | IPM. SkypeTeams.Message.Copilot. Word |
Remarque
À l’étape 4, vous devez également identifier et supprimer les stratégies de conservation et de rétention affectées à la boîte aux lettres qui contiennent le type de données Copilot que vous souhaitez supprimer.
Conseils pour la recherche de données Copilot
Pour garantir la collection de données Copilot la plus complète, utilisez la condition Type et sélectionnez l’option Activité Copilot lorsque vous générez la requête de recherche pour l’estimation de la collection. Nous vous recommandons également d’inclure une plage de dates ou plusieurs mots clés pour limiter l’étendue de la collection aux éléments pertinents pour votre recherche et votre investigation de suppression.
Pour plus d’informations, consultez Générer des requêtes de recherche pour les collections.
Identification des requêtes web dans l’utilisation de Microsoft 365 Copilot
Une fois la recherche web activée pour Microsoft 365 Copilot ou Microsoft Copilot pour inclure les données les plus récentes du web, les requêtes de recherche web envoyées à Microsoft Bing peuvent faire l’objet d’une recherche dans eDiscovery. Pour plus d’informations sur la recherche web, consultez Données, confidentialité et sécurité pour la recherche web dans Microsoft 365 Copilot et Microsoft Copilot.
Effectuez les étapes suivantes pour rechercher ces requêtes web :
- À l’aide du Générateur de conditions dans eDiscovery, recherchez l’activité Copilot à l’aide du filtre Type, Égal à n’importe quel et Activité Copilot.
- Dans les résultats de la requête, téléchargez n’importe quel élément unique.
- Ouvrez l’élément téléchargé dans un éditeur de texte.
- Rechercher WebSearchQuery
- Si l’activité Copilot est impliquée dans une requête de recherche Bing, WebSearchQuery est présent dans le fichier téléchargé. Elle est suivie de la requête spécifique envoyée dans la requête de recherche Microsoft Bing.
Étape 3 : Examiner et vérifier les données Copilot à supprimer
Le processus de suppression de l’étape 5 supprime les éléments retournés par la collection. Il est important que vous examiniez les résultats de l’estimation de la collection pour vous assurer que la collection retourne uniquement les éléments que vous souhaitez supprimer. Pour passer en revue un exemple d’éléments dans une estimation de collection, consultez la section Étapes suivantes après l’estimation d’une collection dans Créer une estimation de collection.
En outre, vous pouvez utiliser les statistiques de collection (en particulier les statistiques top locations ) pour générer une liste des sources de données qui contiennent des éléments retournés par la collection. Utilisez cette liste à l’étape suivante pour supprimer les stratégies de conservation et de rétention des boîtes aux lettres utilisateur qui contiennent des résultats de recherche. Pour plus d’informations, consultez Statistiques et rapports de collecte.
Étape 4 : Supprimer les stratégies de conservation et de rétention des sources de données
Avant de pouvoir supprimer des données Copilot d’une boîte aux lettres, vous devez supprimer toute stratégie de conservation ou de rétention affectée à une boîte aux lettres cible. Si ce n’est pas le cas, les données que vous essayez de supprimer sont conservées.
Utilisez la liste des boîtes aux lettres qui contiennent les données Copilot que vous souhaitez supprimer et déterminez si une stratégie de conservation ou de rétention est affectée à ces boîtes aux lettres, puis supprimez la stratégie de conservation ou de rétention. Veillez à identifier la stratégie de conservation ou de rétention que vous supprimez afin de pouvoir réaffecter aux boîtes aux lettres à l’étape 7.
Pour obtenir des instructions sur l’identification et la suppression des stratégies de conservation et de rétention, consultez Étape 3 : Supprimer toutes les conservations de la boîte aux lettres dans Supprimer les éléments du dossier Éléments récupérables des boîtes aux lettres cloud en attente.
Étape 5 : Supprimer les données Copilot
Remarque
Étant donné que Microsoft Graph Explorer n’est pas disponible dans certains clouds du gouvernement des États-Unis (GCC High et DOD), vous devez utiliser PowerShell pour accomplir ces tâches. Pour plus d’informations, consultez Supprimer des données Copilot avec PowerShell .
Vous êtes maintenant prêt à supprimer les données Copilot des mailboex utilisateur. Utilisez le Explorer Microsoft Graph pour effectuer les trois tâches suivantes :
- Obtenez l’ID du cas eDiscovery (Premium) que vous avez créé à l’étape 1. C’est le cas qui contient la collection créée à l’étape 2.
- Obtenez l’ID de la collection que vous avez créée à l’étape 2 et vérifié les résultats de la recherche à l’étape 3. La requête de recherche de cette collection retourne les données Copilot à supprimer.
- Supprimez les données Copilot retournées par la collection.
Pour plus d’informations sur l’utilisation de Graph Explorer, consultez Utiliser graph Explorer pour essayer les API Microsoft Graph.
Importante
Pour effectuer ces trois tâches dans Graph Explorer, vous devrez peut-être accepter les autorisations eDiscovery.Read.All et eDiscovery.ReadWrite.All. Pour plus d’informations, consultez la section « Consentement aux autorisations » dans Utilisation de Graph Explorer.
Obtenir l’ID de cas
Accédez à https://developer.microsoft.com/graph/graph-explorer et connectez-vous à l’Explorer Graph avec un compte auquel le rôle Rechercher et vider est attribué dans le portail de conformité Microsoft Purview.
Exécutez la requête GET suivante pour récupérer l’ID du cas eDiscovery (Premium). Utilisez la valeur
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases
dans la barre d’adresse de la requête de requête. Veillez à sélectionner v1.0 dans la liste déroulante version de l’API.Cette requête retourne des informations sur tous les cas dans votre organization sous l’onglet Aperçu de la réponse.
Faites défiler la réponse pour localiser le cas eDiscovery (Premium). Utilisez la propriété displayName pour identifier le cas.
Copiez l’ID correspondant (ou copiez-le et collez-le dans un fichier texte). Vous utiliserez cet ID dans la tâche suivante pour obtenir l’ID de collection.
Conseil
Au lieu d’utiliser la procédure précédente pour obtenir l’ID de cas, vous pouvez ouvrir le cas dans le portail de conformité Microsoft Purview et copier l’ID de cas à partir de l’URL.
Obtenir l’eDiscoverySearchID
Dans Graph Explorer, exécutez la requête GET suivante pour récupérer l’ID de la collection que vous avez créée à l’étape 2 et contient les éléments à supprimer. Utilisez la valeur
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches
dans la barre d’adresse de la requête de requête, où {ediscoveryCaseID} est le CaseID que vous avez obtenu dans la procédure précédente.Faites défiler la réponse pour localiser la collection qui contient les éléments à supprimer. Utilisez la propriété displayName pour identifier la collection que vous avez créée à l’étape 3.
Dans la réponse, la requête de recherche de la collection s’affiche dans la propriété contentQuery . Les éléments retournés par cette requête sont supprimés dans la tâche suivante.
Copiez l’ID correspondant (ou copiez-le et collez-le dans un fichier texte). Vous utiliserez cet ID dans la tâche suivante pour supprimer les données Copilot.
Conseil
Au lieu d’utiliser la procédure précédente pour obtenir l’ID de recherche, vous pouvez ouvrir le cas dans le portail de conformité Microsoft Purview. Ouvrez le cas et accédez à l’onglet Travaux. Sélectionnez la collection appropriée et, sous Informations de support, recherchez l’ID du travail (l’ID de travail affiché ici est identique à l’ID de collection).
Supprimer des données Copilot
Dans Graph Explorer, exécutez la requête POST suivante pour supprimer les éléments retournés par la collection que vous avez créée à l’étape 2. Utilisez la valeur
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData
dans la barre d’adresse de la requête de requête, où {ediscoveryCaseID} et {ediscoverySearchID} sont les ID que vous avez obtenus dans les procédures précédentes.Si la requête POST réussit, un code de réponse HTTP s’affiche dans une bannière verte indiquant que la demande a été acceptée.
Pour plus d’informations sur purgeData, consultez sourceCollection : purgeData.
Supprimer des données Copilot avec PowerShell
Remarque
Étant donné que Microsoft Graph Explorer n’est pas disponible dans le cloud du gouvernement des États-Unis (GCC, GCC High et DOD), vous devez utiliser PowerShell pour accomplir ces tâches.
Vous pouvez également supprimer des données Copilot à l’aide de PowerShell. Par exemple, pour supprimer des données Copilot dans le cloud us Government, vous pouvez utiliser une commande similaire à :
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
Pour plus d’informations sur l’utilisation de PowerShell pour supprimer des données Copilot, consultez ediscoverySearch : purgeData.
Étape 6 : Vérifier que les données Copilot sont supprimées
Une fois que vous avez exécuté la demande POST pour supprimer des données Copilot, ces données sont supprimées de la boîte aux lettres de l’utilisateur. Il n’y a pas de notification ou de confirmation visible pour l’utilisateur que les données ont été supprimées.
Les données Copilot supprimées sont déplacées vers le dossier SubstrateHolds , qui est un dossier de boîte aux lettres masqué. Les données Copilot supprimées y sont stockées pendant au moins 1 jour, puis supprimées définitivement la prochaine fois que le travail du minuteur s’exécute (généralement entre 1 et 7 jours).
Étape 7 : Réappliquer les stratégies de conservation et de rétention aux boîtes aux lettres utilisateur
Après avoir vérifié que les données Copilot sont supprimées, vous pouvez réappliquer les stratégies de conservation et de rétention aux boîtes aux lettres utilisateur que vous avez supprimées à l’étape 4.