電子情報開示でMicrosoft Teamsチャット メッセージを検索して削除する
電子情報開示と Microsoft Graph エクスプローラーを使用して、Microsoft Teamsでチャット メッセージを検索および削除できます。 この機能は、機密情報や不適切なコンテンツを見つけて削除するのに役立ちます。 この検索および削除ワークフローは、Teams チャット メッセージを通じて機密情報または悪意のある情報を含むコンテンツがリリースされたときに、データスピルイベントに対応するのに役立ちます。
ヒント
Microsoft Security Copilotの使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のMicrosoft Security Copilotの詳細については、こちらをご覧ください。
チャット メッセージを検索して削除する前に
電子情報開示ケースを作成してチャット メッセージを検索するには、Microsoft Purview ポータルの 電子情報開示マネージャー 役割グループのメンバーである必要があります。 チャット メッセージを削除するには、 検索および消去 ロールを割り当てる必要があります。 このロールは、既定で データ調査担当者 ロール グループと 組織管理 役割グループに割り当てられます。 詳細については、「電子情報開示のアクセス許可を割り当てる」を参照してください。電子情報開示のアクセス許可を割り当てる」を参照してください。
検索と消去は、organization内のほとんどの会話でサポートされています。 Teams Connect チャット (外部アクセスまたはフェデレーション) の会話の検索と消去はサポートされていません。
重要
自分とのチャット (またはユーザーが自分でチャットする) は、検索と削除はサポートされていません。
メールボックスごとに最大 10 個のアイテムを一度に削除できます。 チャット メッセージを検索および削除する機能はイベント応答ツールを目的としているため、この制限はチャット メッセージを迅速に削除するのに役立ちます。
手順 1: 電子情報開示でケースを作成する
最初の手順は、電子情報開示で ケースを作成 して、検索と削除のプロセスを管理することです。
手順 2: 検索クエリを作成する
ケースを作成した後、次の手順は、削除 する Teams チャット メッセージを検索 することです。 実行する削除プロセスは、手順 5 で検索で見つかったすべてのアイテムを削除します (場所ごとの 10 個のアイテムの制限内)。
チャット メッセージのデータ ソース
次の表を使用して、削除する必要があるチャット メッセージの種類に応じて、検索するデータ ソースを決定します。
| この種類のチャット... | このデータ ソースを検索します... |
|---|---|
| Teams 1:1 チャット | チャット参加者のメールボックス。 |
| Teams グループ チャット | チャット参加者のメールボックス。 |
| Teams チャネル (標準と共有) | 親チームに関連付けられているメールボックス。 |
| Teams プライベート チャネル | プライベート チャネル メンバーのメールボックス。 |
注:
手順 4 では、削除するチャット メッセージの種類を含むメールボックスに割り当てられている保留とアイテム保持ポリシーを特定して削除する必要もあります。
チャット メッセージを検索するためのヒント
Teams チャット会話 (1:1 やグループ チャット、標準チャット、共有チャット、プライベート チャットなど) を最も包括的に識別するには、[ 種類 ] 条件を使用し、検索クエリを作成するときに [ インスタント メッセージ ] オプションを選択します。 また、調査に関連するアイテムに検索の範囲を絞り込むには、日付範囲または複数のキーワードを含めることをお勧めします。
手順 3: 削除するチャット メッセージを確認して確認する
手順 5 の削除プロセスでは、検索によって返された項目が削除されます。 検索統計を確認して、削除するアイテムのみが検索によって返されるようにすることが重要です。 さらに、検索統計 (特に 上位の場所 の統計) を使用して、検索によって返される項目を含むデータ ソースの一覧を生成できます。 次の手順でこの一覧を使用して、検索結果を含むデータ ソースから保留ポリシーと保持ポリシーを削除します。
手順 4: データ ソースからすべての保留と保持ポリシーを削除する
メールボックスからチャット メッセージを削除するには、ターゲット メールボックスに割り当てられているすべてのorganization全体の保留、サイトホールド、またはアイテム保持ポリシーの保留を削除する必要があります。 そうでない場合、削除しようとしているチャットは保持されます。
削除するチャット メッセージを含むメールボックスの一覧を使用し、それらのメールボックスに保留またはアイテム保持ポリシーが割り当てられているかどうかを判断し、保留またはアイテム保持ポリシーを削除します。 手順 7 でメールボックスに再割り当てできるように、削除する保留またはアイテム保持ポリシーを必ず特定してください。
保留とアイテム保持ポリシーを識別および削除する方法については、「手順 3: メールボックスからすべての保留を削除する」を参照してください。「保留中 のクラウドベースのメールボックスの回復可能なアイテム フォルダー内のアイテムを削除する」を参照してください。
手順 5: Teams からチャット メッセージを削除する
注:
Microsoft Graph エクスプローラーは一部の米国政府機関向けクラウド (GCC High および DOD) では使用できないため、これらのタスクを実行するには PowerShell を使用する必要があります。 詳細については、「 PowerShell を使用してチャット メッセージを削除 する」を参照してください。
これで、Teams からチャット メッセージを実際に削除する準備ができました。 Microsoft Graph エクスプローラーを使用して、次の 3 つのタスクを実行します。
- 手順 1 で作成した電子情報開示ケースの ID を取得します。 これは、手順 2 で作成された検索結果を含むケースです。
- 手順 2 で作成し、手順 3 で検索結果を確認した検索の ID を取得します。 検索クエリは、削除されるチャット メッセージを返します。
- 検索によって返されたチャット メッセージを削除します。
Graph エクスプローラーの使用については、「Graph エクスプローラーを使用して Microsoft Graph API を試す」を参照してください。
重要
Graph エクスプローラーでこれらの 3 つのタスクを実行するには、電子情報開示.Read.All および eDiscovery.ReadWrite.All のアクセス許可に同意する必要がある場合があります。 詳細については、「Graph エクスプローラーの操作」の「アクセス許可に同意する」セクションを参照してください。
ケース ID を取得する
https://developer.microsoft.com/graph/graph-explorerに移動し、Microsoft Purview ポータルで検索および消去ロールが割り当てられているアカウントで Graph エクスプローラーにサインインします。
次の GET 要求を実行して、電子情報開示ケースの ID を取得します。 要求クエリのアドレス バーで
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases値を使用します。 [API バージョン] ドロップダウン リストで 必ず [v1.0 ] を選択してください。この要求は、[応答プレビュー] タブのorganizationのすべてのケースに関する情報を返します。
応答をスクロールして、電子情報開示ケースを見つけます。 displayName プロパティを使用して、ケースを識別します。
対応する ID をコピーします (または、コピーしてテキスト ファイルに貼り付けます)。 次のタスクでは、この ID を使用して検索 ID を取得します。
ヒント
前の手順を使用してケース ID を取得する代わりに、Microsoft Purview ポータルでケースを開き、URL からケース ID をコピーできます。
電子情報開示SearchID を取得する
Graph エクスプローラーで、次の GET 要求を実行して、手順 2 で作成した検索の ID を取得し、削除する項目が含まれています。 要求クエリのアドレス バーで
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches値を使用します。 {ediscoveryCaseID} は前の手順で取得した CaseID です。応答をスクロールして、削除する項目を含む検索を見つけます。 displayName プロパティを使用して、手順 3 で作成した検索を特定します。
応答では、検索からの検索クエリが contentQuery プロパティに表示されます。 このクエリによって返された項目は、次のタスクで削除されます。
対応する ID をコピーします (または、コピーしてテキスト ファイルに貼り付けます)。 次のタスクでは、この ID を使用してチャット メッセージを削除します。
チャット メッセージを削除する
Graph エクスプローラーで、次の POST 要求を実行して、手順 2 で作成した検索によって返された項目を削除します。 要求クエリのアドレス バーで
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData値を使用します。 {ediscoveryCaseID} と {ediscoverySearchID} は 、前の手順で取得した ID です。POST 要求が成功した場合は、要求が受け入れられたことを示す緑色のバナーに HTTP 応答コードが表示されます。
purgeData の詳細については、「 sourceCollection: purgeData」を参照してください。
PowerShell を使用してチャット メッセージを削除する
PowerShell を使用してチャット メッセージを削除することもできます。 たとえば、米国政府機関クラウド内のメッセージを削除するには、次のようなコマンドを使用できます。
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
PowerShell を使用してチャット メッセージを削除する方法の詳細については、「 電子情報開示検索: purgeData」を参照してください。
手順 6: チャット メッセージが削除されていることを確認する
POST 要求を実行してチャット メッセージを削除すると、これらのメッセージは Teams クライアントから削除され、管理者がメッセージを削除したことを示す自動的に生成された メッセージに置き換えられます。 このメッセージの例については、この記事の 「エンド ユーザー エクスペリエンス 」セクションを参照してください。
チャット メッセージが削除され、Teams のエンド ユーザー メッセージにアクセスできないことを確認する必要がある場合は、検索を再実行し、一致するメッセージが見つかったかどうかを確認します。 メッセージの結果がない場合、メッセージは削除されています。
削除されたチャット メッセージは、 SubstrateHolds フォルダー (非表示のメールボックス フォルダー) に移動されます。 削除されたチャット メッセージは少なくとも 1 日間そこに保存され、タイマー ジョブが次回実行されると (通常は 1 から 7 日間) 完全に削除されます。 詳細については、「 Microsoft Teamsの保持について」を参照してください。
注:
Microsoft Graph エクスプローラーは米国政府機関向けクラウド (GCC、GCC High、DOD) では使用できないため、これらのタスクを実行するには PowerShell を使用する必要があります。
手順 7: 保持ポリシーと保持ポリシーをデータ ソースに再適用する
チャット メッセージが Teams クライアントから削除および削除されることを確認したら、手順 4 で削除した保留ポリシーとアイテム保持ポリシーを再適用できます。
フェデレーション環境でのチャット メッセージの削除
管理者は、この記事の手順を使用して、フェデレーション環境で Teams チャット メッセージを検索および削除できます。 ただし、次のガイドラインに従う必要があります。 これらのガイドラインは、削除するメッセージを含む会話スレッドの組織の所有権に基づいています。 organizationは、そのorganization内のユーザーによって開始される会話スレッドの所有者です。 つまり、ユーザーがチャットを開始すると、ユーザーのorganizationが会話スレッドの所有者になります。
- 管理者は、organizationが所有するスレッド内のコンプライアンス コピーを削除できます。 つまり、手順 5 でチャット メッセージを削除する管理者が、削除されたメッセージを含む会話スレッドを開始したユーザーと同じorganizationにある場合、コンプライアンス コピーが削除されます。 会話スレッドに 2 つの組織のユーザーが含まれている場合、他のorganizationのコンプライアンス コピーは保持されます。
- 会話スレッドに 2 つの組織のユーザーが含まれている場合、削除されたチャット メッセージは両方の組織の Teams クライアントから削除されます。
- 別のorganizationが所有する会話スレッド内のチャット メッセージに対して、organization内のユーザー メールボックスからチャット メッセージを削除する唯一の方法は、Teams のアイテム保持ポリシーを使用することです。 詳細については、「 Microsoft Teamsの保持について」を参照してください。
エンドユーザーのエクスペリエンス
削除されたチャット メッセージの場合、ユーザーには、 管理者によってこのメッセージが削除されたことを示す自動的に生成されたメッセージが表示されます。
前のスクリーンショットのメッセージは、削除されたチャット メッセージに置き換えられます。
注:
エンド ユーザーでチャット メッセージが削除された場合は、管理者に問い合わせて詳細を確認してください。