Rechercher et supprimer des messages de conversation dans Teams
Conseil
eDiscovery (préversion) est désormais disponible dans le nouveau portail Microsoft Purview. Pour en savoir plus sur l’utilisation de la nouvelle expérience eDiscovery, consultez En savoir plus sur eDiscovery (préversion).
Vous pouvez utiliser eDiscovery (Premium) et l’Explorer Microsoft Graph pour rechercher et supprimer des messages de conversation dans Microsoft Teams. Cette fonctionnalité peut vous aider à trouver et à supprimer des informations sensibles ou du contenu inapproprié. Ce flux de travail de recherche et de suppression vous aidera également à répondre à un incident de déversement de données, lorsque du contenu contenant des informations confidentielles ou malveillantes est publié via des messages de conversation Teams.
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’évaluation Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Avant de rechercher et de supprimer des messages de conversation
Pour créer un cas eDiscovery (Premium) et utiliser des collections pour rechercher des messages de conversation, vous devez être membre du groupe de rôles Gestionnaire eDiscovery dans le portail de conformité Microsoft Purview. Pour supprimer les messages de conversation, vous devez disposer du rôle Rechercher et vider . Ce rôle est attribué aux groupes de rôles Enquêteur de données et Gestion de l’organisation par défaut. Pour plus d'informations, voir Attribution d'autorisations eDiscovery.
La recherche et le vidage sont pris en charge pour la plupart des conversations au sein de votre locataire. La recherche et le vidage des conversations Teams Connect Conversation (accès externe ou fédération) ne sont pas pris en charge.
Importante
Les conversations avec vous-même (ou les conversations par les utilisateurs avec eux-mêmes) ne sont pas prises en charge pour la recherche et la suppression.
Un maximum de 100 éléments par boîte aux lettres peut être supprimé en même temps. Étant donné que la possibilité de rechercher et de supprimer des messages de conversation est destinée à être un outil de réponse aux incidents, cette limite permet de garantir que les messages de conversation sont rapidement supprimés.
Rechercher et supprimer un workflow
Voici le processus de recherche et de suppression des messages de conversation Teams :
Étape 1 : Créer un cas dans eDiscovery (Premium)
La première étape consiste à créer un cas dans eDiscovery (Premium) pour gérer le processus de recherche et de suppression. Pour plus d’informations sur la création d’un cas, consultez Utiliser le nouveau format de cas.
Étape 2 : Créer une estimation de collection
Après avoir créé un cas, l’étape suivante consiste à créer une estimation de collection pour rechercher les messages de conversation Teams que vous souhaitez supprimer. Le processus de suppression que vous effectuez à l’étape 5 supprime tous les éléments qui se trouvent dans l’estimation de la collection (dans la limite de 10 éléments par emplacement).
Dans eDiscovery (Premium), une collection est une recherche eDiscovery des emplacements de contenu Teams qui contiennent les messages de conversation que vous souhaitez supprimer. Créez l’estimation de la collection dans le cas où vous avez créé à l’étape précédente. Pour plus d’informations, consultez Créer une estimation de collection.
Sources de données pour les messages de conversation
Utilisez le tableau suivant pour déterminer les sources de données à rechercher en fonction du type de message de conversation que vous devez supprimer.
Pour ce type de conversation... | Rechercher dans cette source de données... |
---|---|
Conversations Teams 1:1 | Boîte aux lettres des participants à la conversation. |
Conversations de groupe Teams | Boîtes aux lettres des participants à la conversation. |
Canaux Teams (standard et partagés) | Boîte aux lettres associée au équipe parente. |
Canaux privés Teams | Boîte aux lettres des membres du canal privé. |
Remarque
À l’étape 4, vous devez également identifier et supprimer toutes les stratégies de conservation et de rétention affectées à la boîte aux lettres qui contient le type de messages de conversation que vous souhaitez supprimer.
Conseils pour la recherche de messages de conversation
Pour vous assurer que la collection la plus complète de conversations de conversation Teams (y compris les conversations 1:1 et de groupe, et les conversations à partir de conversations standard, partagées et privées), utilisez la condition Type et sélectionnez l’option Messages instantanés lorsque vous générez la requête de recherche pour l’estimation de la collection. Nous vous recommandons également d’inclure une plage de dates ou plusieurs mots clés pour limiter l’étendue de la collection aux éléments pertinents pour votre recherche d’une investigation de suppression.
Voici un exemple d’exemple de requête utilisant les options Type et Date :
Pour plus d’informations, consultez Générer des requêtes de recherche pour les collections.
Étape 3 : Examiner et vérifier les messages de conversation à supprimer
Le processus de suppression de l’étape 5 supprime les éléments retournés par la collection. Il est important que vous examiniez les résultats de l’estimation de la collection pour vous assurer que la collection retourne uniquement les éléments que vous souhaitez supprimer. Pour passer en revue un exemple d’éléments dans une estimation de collection, consultez la section « Étapes suivantes après l’estimation d’une collection » dans Créer une estimation de collection.
En outre, vous pouvez utiliser les statistiques de collection (en particulier les statistiques top locations) pour générer une liste des sources de données qui contiennent des éléments retournés par la collection. Utilisez cette liste à l’étape suivante pour supprimer les stratégies de conservation et de rétention des sources de données qui contiennent les résultats de la recherche. Pour plus d’informations, consultez Statistiques et rapports de collecte.
Étape 4 : Supprimer toutes les stratégies de conservation et de rétention des sources de données
Avant de pouvoir supprimer des messages de conversation d’une boîte aux lettres, vous devez supprimer toutes les conservations à l’échelle de l’organization, les conservations de site ou les conservations de stratégie de rétention qui sont affectées à une boîte aux lettres cible. Si ce n’est pas le cas, la conversation que vous essayez de supprimer est conservée.
Utilisez la liste des boîtes aux lettres qui contiennent les messages de conversation que vous souhaitez supprimer et déterminez si une stratégie de conservation ou de rétention est affectée à ces boîtes aux lettres, puis supprimez la mise en attente ou la stratégie de rétention. Veillez à identifier la stratégie de conservation ou de rétention que vous supprimez afin de pouvoir réaffecter aux boîtes aux lettres à l’étape 7.
Pour obtenir des instructions sur l’identification et la suppression des stratégies de conservation et de rétention, consultez « Étape 3 : Supprimer toutes les conservations de la boîte aux lettres » dans Supprimer les éléments du dossier Éléments récupérables des boîtes aux lettres cloud en attente.
Étape 5 : Supprimer les messages de conversation de Teams
Remarque
Étant donné que Microsoft Graph Explorer n’est pas disponible dans certains clouds du gouvernement des États-Unis (GCC High et DOD), vous devez utiliser PowerShell pour accomplir ces tâches. Pour plus d’informations, consultez Supprimer les messages de conversation avec PowerShell .
Vous êtes maintenant prêt à supprimer les messages de conversation de Teams. Utilisez le Explorer Microsoft Graph pour effectuer les trois tâches suivantes :
- Obtenez l’ID du cas eDiscovery (Premium) que vous avez créé à l’étape 1. C’est le cas qui contient la collection créée à l’étape 2.
- Obtenez l’ID de la collection que vous avez créée à l’étape 2 et vérifié les résultats de la recherche à l’étape 3. La requête de recherche de cette collection retourne les messages de conversation qui seront supprimés.
- Supprimez les messages de conversation retournés par la collection.
Pour plus d’informations sur l’utilisation de Graph Explorer, consultez Utiliser graph Explorer pour essayer les API Microsoft Graph.
Importante
Pour effectuer ces trois tâches dans Graph Explorer, vous devrez peut-être accepter les autorisations eDiscovery.Read.All et eDiscovery.ReadWrite.All. Pour plus d’informations, consultez la section « Consentement aux autorisations » dans Utilisation de Graph Explorer.
Obtenir l’ID de cas
Accédez à https://developer.microsoft.com/graph/graph-explorer et connectez-vous à l’Explorer Graph avec un compte auquel le rôle Rechercher et vider est attribué dans le portail de conformité Microsoft Purview.
Exécutez la requête GET suivante pour récupérer l’ID du cas eDiscovery (Premium). Utilisez la valeur
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases
dans la barre d’adresse de la requête de requête. Veillez à sélectionner v1.0 dans la liste déroulante version de l’API.Cette requête retourne des informations sur tous les cas dans votre organization sous l’onglet Aperçu de la réponse.
Faites défiler la réponse pour localiser le cas eDiscovery (Premium). Utilisez la propriété displayName pour identifier le cas.
Copiez l’ID correspondant (ou copiez-le et collez-le dans un fichier texte). Vous utiliserez cet ID dans la tâche suivante pour obtenir l’ID de collection.
Conseil
Au lieu d’utiliser la procédure précédente pour obtenir l’ID de cas, vous pouvez ouvrir le cas dans le portail de conformité Microsoft Purview et copier l’ID de cas à partir de l’URL.
Obtenir l’eDiscoverySearchID
Dans Graph Explorer, exécutez la requête GET suivante pour récupérer l’ID de la collection que vous avez créée à l’étape 2 et contient les éléments à supprimer. Utilisez la valeur
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches
dans la barre d’adresse de la requête de requête, où {ediscoveryCaseID} est le CaseID que vous avez obtenu dans la procédure précédente.Faites défiler la réponse pour localiser la collection qui contient les éléments à supprimer. Utilisez la propriété displayName pour identifier la collection que vous avez créée à l’étape 3.
Dans la réponse, la requête de recherche de la collection s’affiche dans la propriété contentQuery . Les éléments retournés par cette requête sont supprimés dans la tâche suivante.
Copiez l’ID correspondant (ou copiez-le et collez-le dans un fichier texte). Vous utiliserez cet ID dans la tâche suivante pour supprimer les messages de conversation.
Conseil
Au lieu d’utiliser la procédure précédente pour obtenir l’ID de recherche, vous pouvez ouvrir le cas dans le portail de conformité Microsoft Purview. Ouvrez le cas et accédez à l’onglet Travaux. Sélectionnez la collection appropriée et, sous Informations de support, recherchez l’ID du travail (l’ID de travail affiché ici est identique à l’ID de collection).
Supprimer les messages de conversation
Dans Graph Explorer, exécutez la requête POST suivante pour supprimer les éléments retournés par la collection que vous avez créée à l’étape 2. Utilisez la valeur
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData
dans la barre d’adresse de la requête de requête, où {ediscoveryCaseID} et {ediscoverySearchID} sont les ID que vous avez obtenus dans les procédures précédentes.Si la requête POST réussit, un code de réponse HTTP s’affiche dans une bannière verte indiquant que la demande a été acceptée.
Pour plus d’informations sur purgeData, consultez sourceCollection : purgeData.
Supprimer des messages de conversation avec PowerShell
Vous pouvez également supprimer des messages de conversation à l’aide de PowerShell. Par exemple, pour supprimer des messages dans le cloud us Government, vous pouvez utiliser une commande similaire à :
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
Pour plus d’informations sur l’utilisation de PowerShell pour supprimer des messages de conversation, consultez ediscoverySearch : purgeData.
Étape 6 : Vérifier que les messages de conversation sont supprimés
Après avoir exécuté la demande POST pour supprimer les messages de conversation, ces messages sont supprimés du client Teams et remplacés par un généré automatiquement indiquant qu’un administrateur a supprimé le message. Pour obtenir un exemple de ce message, consultez la section Expérience utilisateur final de cet article.
Si vous devez confirmer qu’un message de conversation a été supprimé et n’a pas accès au message de l’utilisateur final dans Teams, réexécutez la recherche et vérifiez si des messages correspondants sont trouvés. S’il n’y a pas de résultats pour le message, le message a été supprimé.
Les messages de conversation supprimés sont déplacés vers le dossier SubstrateHolds , qui est un dossier de boîte aux lettres masqué. Les messages de conversation supprimés y sont stockés pendant au moins 1 jour, puis supprimés définitivement la prochaine fois que le travail du minuteur s’exécute (généralement entre 1 et 7 jours). Pour plus d’informations, consultez En savoir plus sur la rétention pour Microsoft Teams.
Remarque
Étant donné que Microsoft Graph Explorer n’est pas disponible dans le cloud du gouvernement des États-Unis (GCC, GCC High et DOD), vous devez utiliser PowerShell pour accomplir ces tâches.
Étape 7 : Réappliquer les stratégies de conservation et de rétention aux sources de données
Après avoir vérifié que les messages de conversation sont supprimés et supprimés du client Teams, vous pouvez réappliquer les stratégies de conservation et de rétention que vous avez supprimées à l’étape 4.
Suppression des messages de conversation dans les environnements fédérés
Les administrateurs peuvent utiliser les procédures décrites dans cet article pour rechercher et supprimer des messages de conversation Teams dans des environnements fédérés. Toutefois, vous devez respecter les instructions suivantes. Ces instructions sont basées sur la propriété organisationnelle du thread de conversation qui contient les messages que vous souhaitez supprimer. Un organization est le propriétaire d’un thread de conversation démarré par un utilisateur dans ce organization. En d’autres termes, lorsqu’un utilisateur démarre une conversation, le organization de l’utilisateur devient le propriétaire du thread de conversation.
- Les administrateurs peuvent supprimer la copie de conformité dans les threads de conversation appartenant à leur organization. Cela signifie que les copies de conformité sont supprimées lorsque l’administrateur qui supprime les messages de conversation à l’étape 5 est dans le même organization que l’utilisateur qui a lancé le thread de conversation qui contient les messages supprimés. Si un thread de conversation a des utilisateurs dans deux organisations, les copies de conformité pour l’autre organization sont conservées.
- Si un thread de conversation a des utilisateurs dans deux organisations, les messages de conversation supprimés sont supprimés du client Teams dans les deux organisations.
- La seule façon de supprimer les messages de conversation des boîtes aux lettres utilisateur dans votre organization pour les messages de conversation dans les threads de conversation appartenant à un autre organization consiste à utiliser des stratégies de rétention pour Teams. Pour plus d’informations, consultez En savoir plus sur la rétention pour Microsoft Teams.
Expérience de l’utilisateur final
Pour les messages de conversation supprimés, les utilisateurs voient un message généré automatiquement indiquant « Ce message a été supprimé par un administrateur ».
Le message de la capture d’écran précédente remplace le message de conversation qui a été supprimé.
Remarque
Si vous êtes un utilisateur final et qu’un message de conversation a été supprimé, contactez votre administrateur pour plus d’informations.