電子情報開示で Copilot データを検索して削除する (プレビュー)
電子情報開示 (プレビュー) と Microsoft Graph エクスプローラーを使用して、サポートされているアプリケーションとサービスでユーザー プロンプトとMicrosoft 365 Copilot応答とMicrosoft Copilot応答を検索および削除できます。 この機能は、Copilot アクティビティに含まれる機密情報や不適切なコンテンツを見つけて削除するのに役立ちます。 この検索および削除ワークフローは、機密情報または悪意のある情報を含むコンテンツが Copilot 関連のアクティビティを通じてリリースされた場合に、データ流出インシデントに対応するのにも役立ちます。
ヒント
Microsoft Security Copilotの使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のMicrosoft Security Copilotの詳細については、こちらをご覧ください。
Copilot データを検索して削除する前に
- 電子情報開示 (プレビュー) ケースを作成し、Copilot アクティビティ データを検索するには、 電子情報開示マネージャー の役割グループのメンバーである必要があります。 Copilot データを削除するには、 Search and Purge ロールを割り当てる必要があります。 このロールは、既定で データ調査担当者 ロール グループと 組織管理 役割グループに割り当てられます。 詳細については、「電子情報開示のアクセス許可を割り当てる」を参照してください。電子情報開示のアクセス許可を割り当てる」を参照してください。
- メールボックスごとに最大 10 個のアイテムを一度に削除できます。 Copilot データを検索および削除する機能はインシデント対応ツールを目的としているため、この制限は、このデータを迅速に削除するのに役立ちます。
手順 1: 電子情報開示でケースを作成する (プレビュー)
最初の手順では、電子情報開示 (プレビュー) で ケースを作成 し、検索と削除のプロセスを管理します。
手順 2: 電子情報開示で検索を作成する (プレビュー)
ケースを作成したら、次に削除する Copilot データを 検索 します。 実行する削除プロセスは、手順 5 で、検索で見つかったすべての Copilot 関連アイテムを削除します (場所ごとの 10 個のアイテムの制限内)。
Copilot データのデータ ソース
次の表に、Copilot データのソースであるアプリケーションとサービスを示します。 Copilot に対するすべてのユーザー プロンプトと Copilot からの応答は、ユーザーのメールボックスに格納されます。
この種類の Microsoft Copilot data... | このアイテム クラスを検索します... |
---|---|
Excel | IPM。SkypeTeams.Message.Copilot.Excel |
Loop | IPM。SkypeTeams.Message.Copilot。Loop |
Microsoft 365 アプリ | IPM。SkypeTeams.Message.Copilot.M365App |
BingのMicrosoft Copilot (Bizchat) | IPM。SkypeTeams.Message.Copilot。BizChat |
Microsoft Forms | IPM。SkypeTeams.Message.Copilot。Forms |
OneNote | IPM。SkypeTeams.Message.Copilot.OneNote |
Outlook | IPM。SkypeTeams.Message.Copilot.Outlook |
PowerPoint | IPM。SkypeTeams.Message.Copilot.Powerpoint |
チャットでの Teams AI ノート | IPM。SkypeTeams.Message.TeamCopilot.AiNotes.Teams |
Teams チャネル | IPM。SkypeTeams.Message.Copilot.Teams |
Teams チャット | IPM。SkypeTeams.Message.Copilot.Teams |
Teams Copilot Chat (Bizchat) | IPM。SkypeTeams.Message.Copilot。BizChat |
Teams 会議 | IPM。SkypeTeams.Message.Copilot.Teams |
Teams Microsoft 365 Chat (BF) | IPM。SkypeTeams.Message |
WebChat | IPM。SkypeTeams.Message.Copilot.WebChat |
Whiteboard | IPM。SkypeTeams.Message.Copilot。Whiteboard |
Word | IPM。SkypeTeams.Message.Copilot。Word |
注:
手順 4 では、削除する Copilot データの種類を含むメールボックスに割り当てられている保留とアイテム保持ポリシーを特定して削除する必要もあります。
Copilot データを検索するためのヒント
Copilot データの最も包括的なコレクションを確保するには、[ 型 ] 条件を使用し、検索クエリを作成するときに [Copilot アクティビティ ] オプションを選択します。 また、検索範囲または複数のキーワードを含めて、検索の範囲を検索および削除調査に関連する項目に絞り込むこともできます。
Microsoft 365 Copilot使用状況での Web クエリの識別
Web 検索で web からの最新のデータを含めるためにMicrosoft 365 CopilotまたはMicrosoft Copilotが有効になっていると、Microsoft Bingに送信された Web 検索クエリは電子情報開示で検索できます。 Web 検索の詳細については、「Microsoft 365 CopilotとMicrosoft Copilotでの Web 検索のデータ、プライバシー、セキュリティ」を参照してください。
これらの Web クエリを見つけるには、次の手順を実行します。
- 電子情報開示で条件ビルダーを使用して、フィルター の種類、 等しいいずれかのアクティビティ、 Copilot アクティビティを使用して Copilot アクティビティを検索します。
- クエリ結果で、任意の 1 つの項目をダウンロードします。
- テキスト エディターでダウンロードした項目を開きます。
- WebSearchQuery を探す
- Copilot アクティビティがBing検索クエリに含まれている場合、ダウンロードしたファイルに WebSearchQuery が存在します。 その後に、Microsoft Bing 検索クエリで送信された特定のクエリが続きます。
手順 3: 電子情報開示で削除する Copilot データを確認して確認する (プレビュー)
手順 5 の削除プロセスでは、検索によって返された項目が削除されます。 検索結果を確認して、削除するアイテムのみが検索で返されるようにすることが重要です。
さらに、検索統計 (特に 上位の場所 の統計) を使用して、検索によって返される項目を含むデータ ソースの一覧を生成できます。 次の手順でこの一覧を使用して、検索結果を含むユーザー メールボックスから保留ポリシーとアイテム保持ポリシーを削除します。
手順 4: データ ソースから保留と保持ポリシーを削除する
メールボックスから Copilot データを削除する前に、ターゲット メールボックスに割り当てられている保持ポリシーまたはアイテム保持ポリシーを 削除 する必要があります。 そうでない場合、削除しようとしているデータは保持されます。
削除する Copilot データを含むメールボックスの一覧を使用し、それらのメールボックスに保留またはアイテム保持ポリシーが割り当てられているかどうかを判断してから、保留またはアイテム保持ポリシーを削除します。 手順 7 でメールボックスに再割り当てできるように、削除する保留またはアイテム保持ポリシーを必ず特定してください。
手順 5: Microsoft Graph エクスプローラーで Copilot データを削除する
注:
Microsoft Graph エクスプローラーは一部の米国政府機関向けクラウド (GCC High および DOD) では使用できないため、これらのタスクを実行するには PowerShell を使用する必要があります。 詳細については、「 PowerShell を使用して Copilot データを削除 する」を参照してください。
これで、ユーザー メールボックスから Copilot データを削除する準備ができました。 Microsoft Graph エクスプローラーを使用して、次の 3 つのタスクを実行します。
- 手順 1 で作成した電子情報開示ケースの ID を取得します。 これは、手順 2 で作成した検索を含むケースです。
- 手順 2 で作成し、手順 3 で検索結果を確認した検索の ID を取得します。 この検索のクエリは、削除する Copilot データを返します。
- 検索によって返された Copilot データを削除します。
Graph エクスプローラーの使用については、「Graph エクスプローラーを使用して Microsoft Graph API を試す」を参照してください。
重要
Graph エクスプローラーでこれらの 3 つのタスクを実行するには、電子情報開示.Read.All および eDiscovery.ReadWrite.All のアクセス許可に同意する必要があります。 詳細については、「Graph エクスプローラーの操作」の「アクセス許可に同意する」セクションを参照してください。
Microsoft Graph エクスプローラーでケース ID を取得する
- https://developer.microsoft.com/graph/graph-explorerに移動し、Microsoft Purview ポータルで検索および消去ロールが割り当てられているアカウントで Graph エクスプローラーにサインインします。
- 次の GET 要求を実行して、電子情報開示ケースの ID を取得します。 要求クエリのアドレス バーで
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases
値を使用します。 [API バージョン] ドロップダウン リストで 必ず [v1.0 ] を選択してください。 この要求は、[応答プレビュー] タブのorganizationのすべてのケースに関する情報を返します。 - 応答をスクロールして、電子情報開示ケースを見つけます。 displayName プロパティを使用して、ケースを識別します。
- 対応する ID をコピーします (または、コピーしてテキスト ファイルに貼り付けます)。 次のタスクでは、この ID を使用して検索 ID を取得します。
ヒント
前の手順を使用してケース ID を取得する代わりに、Microsoft Purview ポータルでケースを開き、URL からケース ID をコピーできます。
Microsoft Graph エクスプローラーで電子情報開示SearchID を取得する
- Graph エクスプローラーで、次の GET 要求を実行して、手順 2 で作成した検索の ID を取得し、削除する項目が含まれています。 要求クエリのアドレス バーで
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches
値を使用します。 {ediscoveryCaseID} は前の手順で取得した CaseID です。 - 応答をスクロールして、削除する項目を含む検索を見つけます。 displayName プロパティを使用して、手順 3 で作成した検索を特定します。 応答では、検索からの検索クエリが contentQuery プロパティに表示されます。 このクエリによって返された項目は、次のタスクで削除されます
- 対応する ID をコピーします (または、コピーしてテキスト ファイルに貼り付けます)。 次のタスクでは、この ID を使用して Copilot データを削除します。
ヒント
前の手順を使用して検索 ID を取得する代わりに、Microsoft Purview ポータルでケースを開くことができます。 ケースを開き、[ジョブ] タブに移動します。関連する検索を選択し、[サポート情報] でジョブ ID を見つけます (ここに表示されるジョブ ID は検索 ID と同じです)。
Microsoft Graph エクスプローラーで Copilot データを削除する
Graph エクスプローラーで、次の POST 要求を実行して、手順 2 で作成した検索によって返された項目を削除します。 要求クエリのアドレス バーで
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData
値を使用します。 {ediscoveryCaseID} と {ediscoverySearchID} は 、前の手順で取得した ID です。POST 要求が成功した場合は、要求が受け入れられたことを示す緑色のバナーに HTTP 応答コードが表示されます。
purgeData の詳細については、「 sourceCollection: purgeData」を参照してください。
PowerShell を使用して Copilot データを削除する
注:
Microsoft Graph エクスプローラーは米国政府機関向けクラウド (GCC、GCC High、DOD) では使用できないため、これらのタスクを実行するには PowerShell を使用する必要があります。
PowerShell を使用して Copilot データを削除することもできます。 たとえば、米国政府機関クラウドで Copilot データを削除するには、次のようなコマンドを使用できます。
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
PowerShell を使用して Copilot データを削除する方法の詳細については、「 電子情報開示検索: purgeData」を参照してください。
手順 6: Copilot データが削除されていることを確認する
POST 要求を実行して Copilot データを削除すると、このデータはユーザーのメールボックスから削除されます。 ユーザーに対して、データが削除されたことを示す通知や確認はありません。
削除された Copilot データは、 SubstrateHolds フォルダー (非表示のメールボックス フォルダー) に移動されます。 削除された Copilot データは、少なくとも 1 日間そこに格納され、タイマー ジョブが次回実行されるときに (通常は 1 日から 7 日間) 完全に削除されます。
手順 7: ユーザー メールボックスに保持ポリシーとアイテム保持ポリシーを再適用する
Copilot データが削除されたことを確認したら、手順 4 で削除したユーザー メールボックスに保留ポリシーと保持ポリシーを再適用できます。