Teams でチャット メッセージを検索および削除する
ヒント
新しい Microsoft Purview ポータルで電子情報開示 (プレビュー) を使用できるようになりました。 新しい電子情報開示エクスペリエンスの使用の詳細については、「電子 情報開示 (プレビュー)」を参照してください。
電子情報開示 (Premium) と Microsoft Graph Explorer を使用して、Microsoft Teamsでチャット メッセージを検索および削除できます。 この機能は、機密情報や不適切なコンテンツを見つけて削除するのに役立ちます。 この検索および削除ワークフローは、Teams チャット メッセージを通じて機密情報や悪意のある情報を含むコンテンツがリリースされた場合のデータ流出インシデントへの対応にも役立ちます。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
チャット メッセージを検索して削除する前に
電子情報開示 (Premium) ケースを作成し、コレクションを使用してチャット メッセージを検索するには、Microsoft Purview コンプライアンス ポータルの 電子情報開示マネージャー 役割グループのメンバーである必要があります。 チャット メッセージを削除するには、 検索および消去 ロールを割り当てる必要があります。 このロールは、既定で データ調査担当者 ロール グループと 組織管理 役割グループに割り当てられます。 詳細については、「電子情報開示のアクセス許可を割り当てる」を参照してください。電子情報開示のアクセス許可を割り当てる」を参照してください。
テナント内のほとんどの会話では、検索と消去がサポートされています。 Teams Connect チャット (外部アクセスまたはフェデレーション) の会話の検索と消去はサポートされていません。
重要
自分とのチャット (またはユーザーが自分でチャットする) は、検索と削除はサポートされていません。
メールボックスごとに最大 10 個のアイテムを一度に削除できます。 チャット メッセージを検索および削除する機能はインシデント対応ツールを目的としているため、この制限はチャット メッセージを迅速に削除するのに役立ちます。
ワークフローの検索と削除
Teams チャット メッセージを検索および削除するプロセスを次に示します。
手順 1: 電子情報開示 (Premium) でケースを作成する
最初の手順は、電子情報開示 (Premium) でケースを作成して、検索と削除のプロセスを管理することです。 ケースの作成の詳細については、「 新しいケース形式を使用する」を参照してください。
手順 2: コレクション見積もりを作成する
ケースを作成した後、次の手順では、コレクションの見積もりを作成して、削除する Teams チャット メッセージを検索します。 実行する削除プロセスは、手順 5 で、コレクション見積もりで見つかったすべての項目を削除します (場所ごとの 10 個のアイテムの制限内)。
電子情報開示 (Premium) では、 コレクション は、削除するチャット メッセージを含む Teams コンテンツの場所の電子情報開示検索です。 前の手順で作成したケースでコレクション見積もりを作成します。 詳細については、「 コレクション見積もりの作成」を参照してください。
チャット メッセージのデータ ソース
次の表を使用して、削除する必要があるチャット メッセージの種類に応じて、検索するデータ ソースを決定します。
この種類のチャット... | このデータ ソースを検索します... |
---|---|
Teams 1:1 チャット | チャット参加者のメールボックス。 |
Teams グループ チャット | チャット参加者のメールボックス。 |
Teams チャネル (標準と共有) | 親チームに関連付けられているメールボックス。 |
Teams プライベート チャネル | プライベート チャネル メンバーのメールボックス。 |
注:
手順 4 では、削除するチャット メッセージの種類を含むメールボックスに割り当てられている保留とアイテム保持ポリシーを特定して削除する必要もあります。
チャット メッセージを検索するためのヒント
Teams チャット会話の最も包括的なコレクション (1:1 やグループ チャット、標準チャット、共有チャット、プライベート チャットなど) を確実に収集するには、[ 種類 ] 条件を使用し、コレクション見積もりの検索クエリを作成するときに [ インスタント メッセージ ] オプションを選択します。 また、日付範囲または複数のキーワードを含めて、コレクションの範囲を検索に関連する項目に絞り込み、削除調査を行うことをお勧めします。
[型] オプションと [日付] オプションを使用したサンプル クエリの例を次に示します。
詳細については、「 コレクションの検索クエリを作成する」を参照してください。
手順 3: 削除するチャット メッセージを確認して確認する
手順 5 の削除プロセスでは、コレクションから返された項目が削除されます。 コレクションの見積もり結果を確認して、コレクションが削除する項目のみを返すようにすることが重要です。 コレクション見積もりの項目のサンプルを確認するには、「コレクション見積もりの作成」の「コレクション見積もりが完了した後の次の手順」セクション を参照してください。
さらに、コレクション統計 (特に上位の場所の統計) を使用して、コレクションから返された項目を含むデータ ソースの一覧を生成できます。 次の手順でこの一覧を使用して、検索結果を含むデータ ソースから保留ポリシーと保持ポリシーを削除します。 詳細については、「 コレクションの統計情報とレポート」を参照してください。
手順 4: データ ソースからすべての保留と保持ポリシーを削除する
メールボックスからチャット メッセージを削除するには、ターゲット メールボックスに割り当てられている組織全体の保留、サイトの保留、またはアイテム保持ポリシーの保留をすべて削除する必要があります。 そうでない場合、削除しようとしているチャットは保持されます。
削除するチャット メッセージを含むメールボックスの一覧を使用し、それらのメールボックスに保留またはアイテム保持ポリシーが割り当てられているかどうかを判断し、保留またはアイテム保持ポリシーを削除します。 手順 7 でメールボックスに再割り当てできるように、削除する保留またはアイテム保持ポリシーを必ず特定してください。
保留とアイテム保持ポリシーを識別および削除する方法については、「手順 3: メールボックスからすべての保留を削除する」を参照してください。「保留中 のクラウドベースのメールボックスの回復可能なアイテム フォルダー内のアイテムを削除する」を参照してください。
手順 5: Teams からチャット メッセージを削除する
注:
Microsoft Graph Explorer は一部の米国政府機関向けクラウド (GCC High と DOD) では使用できないため、PowerShell を使用してこれらのタスクを実行する必要があります。 詳細については、「 PowerShell を使用してチャット メッセージを削除 する」を参照してください。
これで、Teams からチャット メッセージを実際に削除する準備ができました。 Microsoft Graph エクスプローラーを使用して、次の 3 つのタスクを実行します。
- 手順 1 で作成した電子情報開示 (Premium) ケースの ID を取得します。 これは、手順 2 で作成したコレクションを含む場合です。
- 手順 2 で作成し、手順 3 で検索結果を確認したコレクションの ID を取得します。 このコレクションの検索クエリは、削除されるチャット メッセージを返します。
- コレクションから返されたチャット メッセージを削除します。
Graph エクスプローラーの使用方法については、「 Graph Explorer を使用して Microsoft Graph API を試す」を参照してください。
重要
Graph Explorer でこれらの 3 つのタスクを実行するには、電子情報開示.Read.All および eDiscovery.ReadWrite.All のアクセス許可に同意する必要があります。 詳細については、「 Graph エクスプローラーの操作」の「アクセス許可に同意する」セクションを参照してください。
ケース ID を取得する
https://developer.microsoft.com/graph/graph-explorerに移動し、Microsoft Purview コンプライアンス ポータルで検索および消去ロールが割り当てられているアカウントで Graph エクスプローラーにサインインします。
次の GET 要求を実行して、電子情報開示 (Premium) ケースの ID を取得します。 要求クエリのアドレス バーで
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases
値を使用します。 [API バージョン] ドロップダウン リストで 必ず [v1.0 ] を選択してください。この要求は、[ 応答プレビュー ] タブで組織内のすべてのケースに関する情報を返します。
応答をスクロールして、電子情報開示 (Premium) ケースを見つけます。 displayName プロパティを使用して、ケースを識別します。
対応する ID をコピーします (または、コピーしてテキスト ファイルに貼り付けます)。 次のタスクでは、この ID を使用してコレクション ID を取得します。
ヒント
前の手順を使用してケース ID を取得する代わりに、Microsoft Purview コンプライアンス ポータルでケースを開き、URL からケース ID をコピーできます。
電子情報開示SearchID を取得する
Graph Explorer で、次の GET 要求を実行して、手順 2 で作成したコレクションの ID を取得し、削除する項目が含まれています。 要求クエリのアドレス バーで
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches
値を使用します。 {ediscoveryCaseID} は前の手順で取得した CaseID です。応答をスクロールして、削除する項目を含むコレクションを見つけます。 手順 3 で作成したコレクションを識別するには、 displayName プロパティを使用します。
応答では、コレクションの検索クエリが contentQuery プロパティに表示されます。 このクエリによって返された項目は、次のタスクで削除されます。
対応する ID をコピーします (または、コピーしてテキスト ファイルに貼り付けます)。 次のタスクでは、この ID を使用してチャット メッセージを削除します。
ヒント
前の手順を使用して検索 ID を取得する代わりに、Microsoft Purview コンプライアンス ポータルでケースを開くことができます。 ケースを開き、[ジョブ] タブに移動します。関連するコレクションを選択し、[サポート情報] でジョブ ID を見つけます (ここに表示されるジョブ ID はコレクション ID と同じです)。
チャット メッセージを削除する
Graph Explorer で、次の POST 要求を実行して、手順 2 で作成したコレクションから返された項目を削除します。 要求クエリのアドレス バーで
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData
値を使用します。 {ediscoveryCaseID} と {ediscoverySearchID} は 、前の手順で取得した ID です。POST 要求が成功した場合は、要求が受け入れられたことを示す緑色のバナーに HTTP 応答コードが表示されます。
purgeData の詳細については、「 sourceCollection: purgeData」を参照してください。
PowerShell を使用してチャット メッセージを削除する
PowerShell を使用してチャット メッセージを削除することもできます。 たとえば、米国政府機関クラウド内のメッセージを削除するには、次のようなコマンドを使用できます。
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
PowerShell を使用してチャット メッセージを削除する方法の詳細については、「 電子情報開示検索: purgeData」を参照してください。
手順 6: チャット メッセージが削除されていることを確認する
POST 要求を実行してチャット メッセージを削除すると、これらのメッセージは Teams クライアントから削除され、管理者がメッセージを削除したことを示す自動的に生成された メッセージに置き換えられます。 このメッセージの例については、この記事の 「エンド ユーザー エクスペリエンス 」セクションを参照してください。
チャット メッセージが削除され、Teams のエンド ユーザー メッセージにアクセスできないことを確認する必要がある場合は、検索を再実行し、一致するメッセージが見つかったかどうかを確認します。 メッセージの結果がない場合、メッセージは削除されています。
削除されたチャット メッセージは、 SubstrateHolds フォルダー (非表示のメールボックス フォルダー) に移動されます。 削除されたチャット メッセージは少なくとも 1 日間そこに保存され、タイマー ジョブが次回実行されると (通常は 1 から 7 日間) 完全に削除されます。 詳細については、「 Microsoft Teamsの保持について」を参照してください。
注:
Microsoft Graph Explorer は米国政府機関向けクラウド (GCC、GCC High、DOD) では使用できないため、PowerShell を使用してこれらのタスクを実行する必要があります。
手順 7: 保持ポリシーと保持ポリシーをデータ ソースに再適用する
チャット メッセージが Teams クライアントから削除および削除されることを確認したら、手順 4 で削除した保留ポリシーとアイテム保持ポリシーを再適用できます。
フェデレーション環境でのチャット メッセージの削除
管理者は、この記事の手順を使用して、フェデレーション環境で Teams チャット メッセージを検索および削除できます。 ただし、次のガイドラインに従う必要があります。 これらのガイドラインは、削除するメッセージを含む会話スレッドの組織の所有権に基づいています。 組織は、その組織内のユーザーによって開始される会話スレッドの所有者です。 つまり、ユーザーがチャットを開始すると、ユーザーの組織が会話スレッドの所有者になります。
- 管理者は、組織が所有する会話スレッドのコンプライアンス コピーを削除できます。 つまり、手順 5 でチャット メッセージを削除する管理者が、削除されたメッセージを含む会話スレッドを開始したユーザーと同じ組織にいる場合、コンプライアンス コピーが削除されます。 会話スレッドに 2 つの組織のユーザーが含まれている場合、他の組織のコンプライアンス コピーは保持されます。
- 会話スレッドに 2 つの組織のユーザーが含まれている場合、削除されたチャット メッセージは両方の組織の Teams クライアントから削除されます。
- 別の組織が所有する会話スレッド内のチャット メッセージに対して、組織内のユーザー メールボックスからチャット メッセージを削除する唯一の方法は、Teams のアイテム保持ポリシーを使用することです。 詳細については、「 Microsoft Teamsの保持について」を参照してください。
エンドユーザーのエクスペリエンス
削除されたチャット メッセージについては、"このメッセージは管理者によって削除されました" というメッセージが自動的に生成されます。
前のスクリーンショットのメッセージは、削除されたチャット メッセージに置き換えられます。
注:
エンド ユーザーでチャット メッセージが削除された場合は、管理者に問い合わせて詳細を確認してください。