Cercare ed eliminare i dati copilot in eDiscovery (anteprima)
È possibile usare eDiscovery (anteprima) e Microsoft Graph Explorer per cercare ed eliminare richieste e Microsoft 365 Copilot e risposte Microsoft 365 Copilot Chat in applicazioni e servizi supportati. Questa funzionalità consente di trovare e rimuovere informazioni riservate o contenuti inappropriati inclusi nelle attività copilot. Questo flusso di lavoro di ricerca ed eliminazione può anche aiutare a rispondere a un evento imprevisto di spillage dei dati, quando il contenuto contenente informazioni riservate o dannose viene rilasciato tramite attività correlate a Copilot.
Consiglio
Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.
Prima di cercare ed eliminare i dati copilot
- Creare un caso di eDiscovery (anteprima) e cercare i dati dell'attività Copilot, è necessario essere membri del gruppo di ruoli di eDiscovery Manager . Per eliminare i dati di Copilot, è necessario assegnare il ruolo Ricerca ed eliminazione . Questo ruolo viene assegnato ai gruppi di ruoli Data Investigator e Organization Management per impostazione predefinita. Per altre informazioni, vedere Assegnare autorizzazioni di eDiscovery.
- È possibile rimuovere al massimo 10 elementi per ogni cassetta postale alla volta. Poiché la possibilità di cercare e rimuovere i dati copilot è destinata a essere uno strumento di risposta agli eventi imprevisti, questo limite consente di garantire che questi dati vengano rimossi rapidamente.
Passaggio 1: Creare un caso in eDiscovery (anteprima)
Il primo passaggio consiste nel creare un caso in eDiscovery (anteprima) per gestire il processo di ricerca ed eliminazione.
Passaggio 2: Creare una ricerca in eDiscovery (anteprima)
Dopo aver creato un caso, il passaggio successivo consiste nel cercare i dati copilot da eliminare. Il processo di eliminazione eseguito è Il passaggio 5 elimina tutti gli elementi correlati a Copilot presenti nella ricerca (entro il limite di 10 elementi per posizione).
Origini dati per i dati Copilot
La tabella seguente elenca le applicazioni e i servizi che sono origini per i dati Copilot. Tutte le richieste dell'utente a Copilot e le risposte di Copilot vengono archiviate nella cassetta postale di un utente.
| Per questo tipo di dati Microsoft Copilot... | Eseguire la ricerca in questa classe di elementi... |
|---|---|
| Excel | IPM. SkypeTeams.Message.Copilot.Excel |
| Loop | IPM. SkypeTeams.Message.Copilot. Loop |
| App di Microsoft 365 | IPM. SkypeTeams.Message.Copilot.M365App |
| Microsoft Copilot per Bing (Bizchat) | IPM. SkypeTeams.Message.Copilot.BizChat |
| Microsoft Forms | IPM. SkypeTeams.Message.Copilot. Forms |
| OneNote | IPM. SkypeTeams.Message.Copilot.OneNote |
| Outlook | IPM. SkypeTeams.Message.Copilot.Outlook |
| PowerPoint | IPM. SkypeTeams.Message.Copilot.Powerpoint |
| Note sull'intelligenza artificiale di Teams in Chat | IPM. SkypeTeams.Message.TeamCopilot.AiNotes.Teams |
| Canale teams | IPM. SkypeTeams.Message.Copilot.Teams |
| Teams Chat | IPM. SkypeTeams.Message.Copilot.Teams |
| Teams Copilot Chat (Bizchat) | IPM. SkypeTeams.Message.Copilot.BizChat |
| Riunione di Teams | IPM. SkypeTeams.Message.Copilot.Teams |
| Teams Microsoft 365 Chat (BF) | IPM. SkypeTeams.Message |
| WebChat | IPM. SkypeTeams.Message.Copilot.WebChat |
| Whiteboard | IPM. SkypeTeams.Message.Copilot. Whiteboard |
| Word | IPM. SkypeTeams.Message.Copilot. Word |
Nota
Nel passaggio 4 è anche necessario identificare e rimuovere eventuali blocchi e criteri di conservazione assegnati alla cassetta postale che contiene il tipo di dati Copilot che si desidera eliminare.
Suggerimenti per la ricerca di dati Copilot
Per garantire la raccolta più completa di dati Copilot, usare la condizione Tipo e selezionare l'opzione attività Copilot quando si compila la query di ricerca. È anche consigliabile includere un intervallo di date o diverse parole chiave per limitare l'ambito della ricerca agli elementi rilevanti per la ricerca e l'eliminazione dell'indagine.
Identificazione delle query Web nell'utilizzo Microsoft 365 Copilot
Con la ricerca Web abilitata per Microsoft 365 Copilot o Microsoft Copilot per includere i dati più recenti dal Web, le query di ricerca Web inviate a Microsoft Bing sono ricercabili in eDiscovery. Per altre informazioni sulla ricerca Web, vedere Dati, privacy e sicurezza per la ricerca Web in Microsoft 365 Copilot e Microsoft 365 Copilot Chat.
Completare i passaggi seguenti per trovare queste query Web:
- Usando il generatore di condizioni in eDiscovery, cercare l'attività Copilot usando il tipo di filtro, Uguale a qualsiasi attività e Copilot.
- Nei risultati della query scaricare qualsiasi singolo elemento.
- Aprire l'elemento scaricato in un editor di testo.
- Cercare WebSearchQuery
- Se l'attività Copilot è coinvolta in una query di ricerca Bing, WebSearchQuery è presente nel file scaricato. È seguita dalla query specifica inviata nella query di ricerca di Microsoft Bing.
Passaggio 3: Esaminare e verificare i dati copilot da eliminare in eDiscovery (anteprima)
Il processo di eliminazione nel passaggio 5 elimina gli elementi restituiti dalla ricerca. È importante esaminare i risultati della ricerca per assicurarsi che la ricerca restituisca solo gli elementi che si desidera eliminare.
Inoltre, è possibile usare le statistiche di ricerca (in particolare le statistiche posizioni principali ) per generare un elenco delle origini dati che contengono gli elementi restituiti dalla ricerca. Usare questo elenco nel passaggio successivo per rimuovere i criteri di blocco e conservazione dalle cassette postali utente che contengono i risultati della ricerca.
Passaggio 4: Rimuovere i criteri di conservazione e archiviazione dalle origini dati
Prima di poter eliminare i dati copilot da una cassetta postale, è necessario rimuovere eventuali criteri di conservazione o di blocco assegnati a una cassetta postale di destinazione. In caso contrario, i dati che si sta tentando di eliminare vengono conservati.
Usare l'elenco di cassette postali che contengono i dati copilot che si desidera eliminare e determinare se a tali cassette postali sono assegnati criteri di conservazione o di blocco, quindi rimuovere i criteri di conservazione o di blocco. Assicurarsi di identificare i criteri di conservazione o di blocco rimossi in modo che sia possibile riassegnare alle cassette postali nel passaggio 7.
Passaggio 5: Eliminare i dati copilot in Microsoft Graph Explorer
Nota
Poiché Microsoft Graph Explorer non è disponibile in alcuni cloud us government (GCC High e DOD), è necessario usare PowerShell per eseguire queste attività. Per informazioni dettagliate, vedere Eliminare i dati di Copilot con PowerShell .
A questo momento si è pronti per eliminare i dati copilot dalle cassette postali degli utenti. Usare Microsoft Graph Explorer per eseguire le tre attività seguenti:
- Ottenere l'ID del caso di eDiscovery creato nel passaggio 1. Questo è il caso che contiene la ricerca creata nel passaggio 2.
- Ottenere l'ID della ricerca creata nel passaggio 2 e verificare i risultati della ricerca nel passaggio 3. La query in questa ricerca restituisce i dati copilot da eliminare.
- Eliminare i dati copilot restituiti dalla ricerca.
Per informazioni sull'uso di Graph Explorer, vedere Usare Graph Explorer per provare le API di Microsoft Graph.
Importante
Per eseguire queste tre attività in Graph Explorer, potrebbe essere necessario concedere il consenso alle autorizzazioni eDiscovery.Read.All ed eDiscovery.ReadWrite.All. Per altre informazioni, vedere la sezione "Consenso alle autorizzazioni" in Uso di Graph Explorer.
Ottenere l'ID caso in Microsoft Graph Explorer
- Passare a https://developer.microsoft.com/graph/graph-explorer e accedere a Graph Explorer con un account a cui è stato assegnato il ruolo Cerca ed elimina nel portale di Microsoft Purview.
- Eseguire la richiesta GET seguente per recuperare l'ID per il caso di eDiscovery. Usare il valore
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCasesnella barra degli indirizzi della query di richiesta. Assicurarsi di selezionare v1.0 nell'elenco a discesa Versione API. Questa richiesta restituisce informazioni su tutti i casi nell'organizzazione nella scheda Anteprima risposta . - Scorrere la risposta per individuare il caso di eDiscovery. Utilizzare la proprietà displayName per identificare il caso.
- Copiare l'ID corrispondente (o copiarlo e incollarlo in un file di testo). Questo ID verrà usato nell'attività successiva per ottenere l'ID di ricerca.
Consiglio
Anziché usare la procedura precedente per ottenere l'ID caso, è possibile aprire il caso nel portale di Microsoft Purview e copiare l'ID case dall'URL.
Ottenere l'eDiscoverySearchID in Microsoft Graph Explorer
- In Graph Explorer eseguire la richiesta GET seguente per recuperare l'ID per la ricerca creata nel passaggio 2 e contiene gli elementi da eliminare. Usare il valore
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searchesnella barra degli indirizzi della query di richiesta, dove {ediscoveryCaseID} è il CaseID ottenuto nella procedura precedente. - Scorrere la risposta per individuare la ricerca che contiene gli elementi da eliminare. Utilizzare la proprietà displayName per identificare la ricerca creata nel passaggio 3. Nella risposta, la query di ricerca dalla ricerca viene visualizzata nella proprietà contentQuery . Gli elementi restituiti da questa query vengono eliminati nell'attività successiva
- Copiare l'ID corrispondente (o copiarlo e incollarlo in un file di testo). Questo ID verrà usato nell'attività successiva per eliminare i dati copilot.
Consiglio
Anziché usare la procedura precedente per ottenere l'ID di ricerca, è possibile aprire il caso nel portale di Microsoft Purview. Aprire il case e passare alla scheda Processi. Selezionare la ricerca pertinente e in Informazioni di supporto trovare l'ID processo (l'ID processo visualizzato qui è lo stesso dell'ID di ricerca).
Eliminare i dati copilot in Microsoft Graph Explorer
In Graph Explorer eseguire la richiesta POST seguente per eliminare gli elementi restituiti dalla ricerca creata nel passaggio 2. Usare il valore
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeDatanella barra degli indirizzi della query di richiesta, dove {ediscoveryCaseID} e {ediscoverySearchID} sono gli ID ottenuti nelle procedure precedenti.Se la richiesta POST ha esito positivo, un codice di risposta HTTP viene visualizzato in un banner verde che indica che la richiesta è stata accettata.
Per altre informazioni su purgeData, vedere sourceCollection: purgeData.
Eliminare i dati copilot con PowerShell
Nota
Poiché Microsoft Graph Explorer non è disponibile nel cloud us government (GCC, GCC High e DOD), è necessario usare PowerShell per eseguire queste attività.
È anche possibile eliminare i dati di Copilot usando PowerShell. Ad esempio, per eliminare i dati copilot nel cloud us government, è possibile usare un comando simile al seguente:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
Per altre informazioni sull'uso di PowerShell per eliminare i dati copilot, vedere ediscoverySearch: purgeData.
Passaggio 6: Verificare che i dati copilot siano stati eliminati
Dopo aver eseguito la richiesta POST per eliminare i dati copilot, questi dati vengono rimossi dalla cassetta postale dell'utente. Non è presente alcuna notifica visibile o conferma per l'utente che i dati sono stati eliminati.
I dati copilot eliminati vengono spostati nella cartella SubstrateHolds , che è una cartella cassetta postale nascosta. I dati copilot eliminati vengono archiviati per almeno 1 giorno e quindi vengono eliminati definitivamente la volta successiva in cui viene eseguito il processo timer (in genere da 1 a 7 giorni).
Passaggio 7: Riapplicare i criteri di conservazione e conservazione alle cassette postali degli utenti
Dopo aver verificato che i dati copilot vengano eliminati, è possibile riapplicare i criteri di conservazione e conservazione alle cassette postali utente rimosse nel passaggio 4.