Поделиться через

Поиск и удаление данных Copilot в eDiscovery (предварительная версия)

  • Статья

Вы можете использовать обнаружение электронных данных (предварительная версия) и Обозреватель Microsoft Graph для поиска и удаления запросов пользователей, а также Microsoft 365 Copilot и ответов Microsoft Copilot в поддерживаемых приложениях и службах. Эта функция помогает находить и удалять конфиденциальную информацию или неприемлемое содержимое, включенное в действия Copilot. Этот рабочий процесс поиска и удаления также может помочь вам реагировать на инцидент утечки данных, когда содержимое, содержащее конфиденциальную или вредную информацию, освобождается через действия, связанные с Copilot.

Совет

Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.

Перед поиском и удалением данных Copilot

  • Создайте дело обнаружения электронных данных (предварительная версия) и выполните поиск данных о действиях Copilot. Вы должны быть членом группы ролей диспетчера обнаружения электронных данных . Чтобы удалить данные Copilot, вам должна быть назначена роль поиска и очистки . По умолчанию эта роль назначается группам ролей "Следователь данных" и "Управление организацией". Дополнительные сведения см. в статье Назначение разрешений на обнаружение электронных данных.
  • За один раз можно удалить не более 10 элементов из одного почтового ящика. Так как возможность поиска и удаления данных Copilot предназначена для реагирования на инциденты, это ограничение помогает обеспечить быстрое удаление этих данных.

Шаг 1. Создание дела в обнаружении электронных данных (предварительная версия)

Первым шагом является создание дела в обнаружении электронных данных (предварительная версия) для управления процессом поиска и удаления.

Шаг 2. Создание поиска в eDiscovery (предварительная версия)

После создания дела следующим шагом будет поиск данных Copilot, которые требуется удалить. В процессе удаления выполняется шаг 5, при этом удаляются все связанные с Copilot элементы, найденные в поиске (в пределах 10 элементов на расположение).

Источники данных для данных Copilot

В следующей таблице перечислены приложения и службы, которые являются источниками данных Copilot. Все запросы пользователя к Copilot и ответы от Copilot хранятся в почтовом ящике пользователя.

Для этого типа данных Microsoft Copilot... Поиск по этому классу элементов...
Excel IPM. SkypeTeams.Message.Copilot.Excel
Loop IPM. SkypeTeams.Message.Copilot. Loop
Приложение Microsoft 365 IPM. SkypeTeams.Message.Copilot.M365App
Microsoft Copilot для Bing (Bizchat) IPM. SkypeTeams.Message.Copilot. BizChat
Microsoft Forms IPM. SkypeTeams.Message.Copilot. Forms
OneNote IPM. SkypeTeams.Message.Copilot.OneNote
Outlook IPM. SkypeTeams.Message.Copilot.Outlook
PowerPoint IPM. SkypeTeams.Message.Copilot.Powerpoint
Заметки по ИИ Teams в чате IPM. SkypeTeams.Message.TeamCopilot.AiNotes.Teams
Канал Teams IPM. SkypeTeams.Message.Copilot.Teams
Чат Teams IPM. SkypeTeams.Message.Copilot.Teams
Чат Copilot Teams (Bizchat) IPM. SkypeTeams.Message.Copilot. BizChat
Собрание Teams IPM. SkypeTeams.Message.Copilot.Teams
Teams Microsoft 365 Chat (BF) IPM. SkypeTeams.Message
WebChat IPM. SkypeTeams.Message.Copilot.WebChat
Whiteboard IPM. SkypeTeams.Message.Copilot. Whiteboard
Word IPM. SkypeTeams.Message.Copilot. Word

Примечание.

На шаге 4 необходимо также определить и удалить все политики удержания и хранения, назначенные почтовому ящику, который содержит тип данных Copilot, которые требуется удалить.

Советы по поиску данных Copilot

Чтобы обеспечить наиболее полный сбор данных Copilot, используйте условие Тип и выберите параметр Действия Copilot при создании поискового запроса. Мы также рекомендуем включить диапазон дат или несколько ключевых слов, чтобы сузить область поиска до элементов, относящихся к вашему поиску и удалению.

Определение веб-запросов в использовании Microsoft 365 Copilot

Если для поиска в Интернете включен Microsoft 365 Copilot или Microsoft Copilot для включения последних данных из Интернета, поисковые запросы, отправляемые в Microsoft Bing, доступны для поиска в eDiscovery. Дополнительные сведения о поиске в Интернете см. в статье Данные, конфиденциальность и безопасность для поиска в Интернете в Microsoft 365 Copilot и Microsoft Copilot.

Выполните следующие действия для поиска этих веб-запросов.

  1. С помощью построителя условий в обнаружении электронных данных найдите действие Copilot с помощью фильтра Тип, Равно любому из и Действие Copilot.
  2. В результатах запроса скачайте любой отдельный элемент.
  3. Откройте скачанный элемент в текстовом редакторе.
  4. Поиск WebSearchQuery
  5. Если действие Copilot участвует в поисковом запросе Bing, webSearchQuery присутствует в скачанном файле. За ним следует конкретный запрос, отправленный в поисковом запросе Microsoft Bing.

Шаг 3. Проверка и проверка данных Copilot для удаления в eDiscovery (предварительная версия)

Процесс удаления на шаге 5 удаляет элементы, возвращенные поиском. Важно просмотреть результаты поиска, чтобы убедиться, что поиск возвращает только элементы, которые требуется удалить.

Кроме того, можно использовать статистику поиска (в частности, статистику основных расположений ) для создания списка источников данных, содержащих элементы, возвращаемые поиском. Используйте этот список на следующем шаге, чтобы удалить политики удержания и хранения из почтовых ящиков пользователей, содержащих результаты поиска.

Шаг 4. Удаление политик удержания и хранения из источников данных

Перед удалением данных Copilot из почтового ящика необходимо удалить любую политику удержания или хранения, назначенную целевому почтовому ящику. Если нет, данные, которые вы пытаетесь удалить, сохраняются.

Используйте список почтовых ящиков, содержащих данные Copilot, которые необходимо удалить, и определите, назначена ли им политика удержания или хранения, а затем удалите политику удержания или хранения. Обязательно определите удаляемую политику удержания или хранения, чтобы можно было переназначить почтовым ящикам на шаге 7.

Шаг 5. Удаление данных Copilot в Microsoft Graph Обозреватель

Примечание.

Так как Microsoft Graph Обозреватель недоступна в некоторых облаках для государственных организаций США (GCC High и DOD), для выполнения этих задач необходимо использовать PowerShell. Дополнительные сведения см. в статье Удаление данных Copilot с помощью PowerShell .

Теперь все готово к удалению данных Copilot из почтовых ящиков пользователей. Используйте Обозреватель Microsoft Graph для выполнения следующих трех задач:

  1. Получите идентификатор дела обнаружения электронных данных, созданного на шаге 1. Это тот случай, который содержит поиск, созданный на шаге 2.
  2. Получите идентификатор поиска, созданного на шаге 2 и проверенного результата поиска на шаге 3. Запрос в этом поиске возвращает данные Copilot для удаления.
  3. Удалите данные Copilot, возвращенные поиском.

Сведения об использовании Обозреватель Graph см. в статье Использование Обозреватель Graph для пробных интерфейсов API Microsoft Graph.

Важно!

Для выполнения этих трех задач в Graph Обозреватель может потребоваться согласие на разрешения eDiscovery.Read.All и eDiscovery.ReadWrite.All. Дополнительные сведения см. в разделе "Согласие на разрешения" статьи Работа с Обозреватель Graph.

Получение идентификатора обращения в Microsoft Graph Обозреватель

  1. Перейдите на страницу https://developer.microsoft.com/graph/graph-explorer и войдите в Обозреватель Graph с учетной записью, которому назначена роль поиска и очистки на портале Microsoft Purview.
  2. Выполните следующий запрос GET, чтобы получить идентификатор для дела обнаружения электронных данных. Используйте значение https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases в адресной строке запроса. Обязательно выберите версию 1.0 в раскрывающемся списке Версия API. Этот запрос возвращает сведения обо всех случаях в организации на вкладке Предварительный просмотр ответа .
  3. Прокрутите ответ, чтобы найти дело обнаружения электронных данных. Используйте свойство displayName для идентификации варианта.
  4. Скопируйте соответствующий идентификатор (или скопируйте и вставьте его в текстовый файл). Этот идентификатор будет использоваться в следующей задаче, чтобы получить идентификатор поиска.

Совет

Вместо того, чтобы использовать предыдущую процедуру для получения идентификатора дела, можно открыть дело на портале Microsoft Purview и скопировать идентификатор дела из URL-адреса.

Получение идентификатора обнаружения электронных данных в Microsoft Graph Обозреватель

  1. В Graph Обозреватель выполните следующий запрос GET, чтобы получить идентификатор для поиска, созданного на шаге 2, и содержит элементы, которые нужно удалить. Используйте значение https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches в адресной строке запроса, где {ediscoveryCaseID} — это идентификатор CaseID, полученный в предыдущей процедуре.
  2. Прокрутите ответ, чтобы найти поиск, содержащий элементы, которые нужно удалить. Используйте свойство displayName для идентификации поиска, созданного на шаге 3. В ответе поисковый запрос из поиска отображается в свойстве contentQuery . Элементы, возвращаемые этим запросом, удаляются в следующей задаче
  3. Скопируйте соответствующий идентификатор (или скопируйте и вставьте его в текстовый файл). Этот идентификатор будет использоваться в следующей задаче для удаления данных Copilot.

Совет

Вместо того, чтобы использовать предыдущую процедуру для получения идентификатора поиска, можно открыть дело на портале Microsoft Purview. Откройте дело и перейдите на вкладку Задания. Выберите соответствующий поиск и в разделе Сведения о поддержке найдите идентификатор задания (идентификатор задания, отображаемый здесь, совпадает с идентификатором поиска).

Удаление данных Copilot в Microsoft Graph Обозреватель

  1. В Graph Обозреватель выполните следующий запрос POST, чтобы удалить элементы, возвращенные поиском, созданным на шаге 2. Используйте значение https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData в адресной строке запроса, где {ediscoveryCaseID} и {ediscoverySearchID} — это идентификаторы, полученные в предыдущих процедурах.

    Если запрос POST выполнен успешно, в зеленом баннере отображается код ответа HTTP, указывающий, что запрос принят.

Дополнительные сведения о purgeData см. в разделе sourceCollection: purgeData.

Удаление данных Copilot с помощью PowerShell

Примечание.

Так как Microsoft Graph Обозреватель недоступна в облаке для государственных организаций США (GCC, GCC High и DOD), для выполнения этих задач необходимо использовать PowerShell.

Вы также можете удалить данные Copilot с помощью PowerShell. Например, чтобы удалить данные Copilot в облаке для государственных организаций США, можно использовать команду, аналогичную следующей:

Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov

Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'

Дополнительные сведения об использовании PowerShell для удаления данных Copilot см. в статье ediscoverySearch: purgeData.

Шаг 6. Проверка удаления данных Copilot

После выполнения запроса POST на удаление данных Copilot эти данные удаляются из почтового ящика пользователя. Нет видимого уведомления или подтверждения для пользователя о том, что данные были удалены.

Удаленные данные Copilot перемещаются в папку SubstrateHolds , которая является скрытой папкой почтового ящика. Удаленные данные Copilot хранятся там не менее 1 дня, а затем окончательно удаляются при следующем запуске задания таймера (обычно в течение 1–7 дней).

Шаг 7. Повторное применение политик хранения и хранения к почтовым ящикам пользователей

Убедившись, что данные Copilot удалены, вы можете повторно применить политики удержания и хранения к почтовым ящикам пользователей, удаленным на шаге 4.