Поделиться через

Поиск и удаление сообщений чата Microsoft Teams в eDiscovery (предварительная версия)

  • Статья

Вы можете использовать обнаружение электронных данных (предварительная версия) и Обозреватель Microsoft Graph для поиска и удаления сообщений чата в Microsoft Teams. Эта функция помогает находить и удалять конфиденциальную информацию или нежелательное содержимое. Этот рабочий процесс поиска и удаления помогает реагировать на инцидент утечки данных, когда содержимое, содержащее конфиденциальную или вредную информацию, освобождается через сообщения чата Teams.

Совет

Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.

Перед поиском и удалением сообщений чата

  • Чтобы создать дело об обнаружении электронных данных и найти сообщения чата, необходимо быть участником группы ролей диспетчера электронных данных на портале Microsoft Purview. Чтобы удалить сообщения чата, вам должна быть назначена роль поиска и очистки . По умолчанию эта роль назначается группам ролей "Следователь данных" и "Управление организацией". Дополнительные сведения см. в статье Назначение разрешений на обнаружение электронных данных.

  • Поиск и очистка поддерживаются для большинства бесед в организации. Поиск и очистка бесед чата Teams Связи (внешний доступ или федерация) не поддерживаются.

    Важно!

    Чаты с самим собой (или чаты пользователей с самими собой) не поддерживаются для поиска и удаления.

  • За один раз можно удалить не более 10 элементов из одного почтового ящика. Так как возможность поиска и удаления сообщений чата предназначена для реагирования на инциденты, это ограничение помогает гарантировать быстрое удаление сообщений чата.

Шаг 1. Создание дела в обнаружении электронных данных (предварительная версия)

Первым шагом является создание дела в обнаружении электронных данных (предварительная версия) для управления процессом поиска и удаления.

Шаг 2. Создание поискового запроса

После создания дела следующим шагом будет поиск сообщений чата Teams , которые нужно удалить. Выполняется процесс удаления: шаг 5 удаляет все элементы, найденные в поиске (в пределах 10 элементов на расположение).

Источники данных для сообщений чата

Используйте следующую таблицу, чтобы определить источники данных для поиска в зависимости от типа сообщения чата, которое необходимо удалить.

Для этого типа чата... Поиск в этом источнике данных...
Чаты Teams 1:1 Почтовый ящик участников чата.
Групповые чаты Teams Почтовые ящики участников чата.
Каналы Teams (стандартные и общие) Почтовый ящик, связанный с родительская команда.
Частные каналы Teams Почтовый ящик членов частного канала.

Примечание.

На шаге 4 также необходимо определить и удалить все удержания и политики хранения, назначенные почтовому ящику, который содержит тип сообщений чата, которые вы хотите удалить.

Советы по поиску сообщений чата

Чтобы обеспечить наиболее полное определение бесед в чате Teams (включая чаты 1:1 и групповые чаты, а также чаты из стандартных, общих и частных чатов), используйте условие Тип и выберите параметр Мгновенные сообщения при создании поискового запроса. Мы также рекомендуем включить диапазон дат или несколько ключевых слов, чтобы сузить область поиска до элементов, относящихся к вашему исследованию.

Шаг 3. Просмотр и проверка сообщений чата для удаления

Процесс удаления на шаге 5 удаляет элементы, возвращенные поиском. Важно просмотреть статистику поиска, чтобы убедиться, что поиск возвращает только элементы, которые требуется удалить. Кроме того, можно использовать статистику поиска (в частности, статистику основных расположений ) для создания списка источников данных, содержащих элементы, возвращаемые поиском. Используйте этот список на следующем шаге, чтобы удалить политики удержания и хранения из источников данных, содержащих результаты поиска.

Шаг 4. Удаление всех удержаний и политик хранения из источников данных

Прежде чем удалять сообщения чата из почтового ящика, необходимо удалить все удержания в масштабах всей организации, удержания сайта или удержания политики хранения, назначенные целевому почтовому ящику. Если нет, чат, который вы пытаетесь удалить, сохраняется.

Используйте список почтовых ящиков, содержащих сообщения чата, которые вы хотите удалить, и определите, назначена ли им политика удержания или хранения, а затем удалите политику удержания или хранения. Обязательно определите удаляемую политику удержания или хранения, чтобы можно было переназначить почтовым ящикам на шаге 7.

Инструкции по идентификации и удалению удержаний и политик хранения см. в разделе Шаг 3. Удаление всех удержаний из почтового ящика в статье Удаление элементов в папке "Элементы с возможностью восстановления" облачных почтовых ящиков при удержании.

Шаг 5. Удаление сообщений чата из Teams

Примечание.

Так как Microsoft Graph Обозреватель недоступна в некоторых облаках для государственных организаций США (GCC High и DOD), для выполнения этих задач необходимо использовать PowerShell. Дополнительные сведения см. в статье Удаление сообщений чата с помощью PowerShell .

Теперь вы готовы к фактическому удалению сообщений чата из Teams. Используйте Обозреватель Microsoft Graph для выполнения следующих трех задач:

  1. Получите идентификатор дела обнаружения электронных данных, созданного на шаге 1. Это тот случай, который содержит результаты поиска, созданные на шаге 2.
  2. Получите идентификатор поиска, созданного на шаге 2 и проверенного результата поиска на шаге 3. Поисковый запрос возвращает сообщения чата, которые будут удалены.
  3. Удалите сообщения чата, возвращенные поиском.

Сведения об использовании Обозреватель Graph см. в статье Использование Обозреватель Graph для пробных интерфейсов API Microsoft Graph.

Важно!

Для выполнения этих трех задач в Graph Обозреватель может потребоваться согласие на разрешения eDiscovery.Read.All и eDiscovery.ReadWrite.All. Дополнительные сведения см. в разделе "Согласие на разрешения" статьи Работа с Обозреватель Graph.

Получение идентификатора обращения

  1. Перейдите на страницу https://developer.microsoft.com/graph/graph-explorer и войдите в Обозреватель Graph с учетной записью, которому назначена роль поиска и очистки на портале Microsoft Purview.

  2. Выполните следующий запрос GET, чтобы получить идентификатор для дела обнаружения электронных данных. Используйте значение https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases в адресной строке запроса. Обязательно выберите версию 1.0 в раскрывающемся списке Версия API.

    Этот запрос возвращает сведения обо всех случаях в организации на вкладке Предварительный просмотр ответа .

  3. Прокрутите ответ, чтобы найти дело обнаружения электронных данных. Используйте свойство displayName для идентификации варианта.

  4. Скопируйте соответствующий идентификатор (или скопируйте и вставьте его в текстовый файл). Этот идентификатор будет использоваться в следующей задаче, чтобы получить идентификатор поиска.

Совет

Вместо того, чтобы использовать предыдущую процедуру для получения идентификатора дела, можно открыть дело на портале Microsoft Purview и скопировать идентификатор дела из URL-адреса.

Получение идентификатора обнаружения электронных данных

  1. В Graph Обозреватель выполните следующий запрос GET, чтобы получить идентификатор для поиска, созданного на шаге 2, и содержит элементы, которые нужно удалить. Используйте значение https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches в адресной строке запроса, где {ediscoveryCaseID} — это идентификатор CaseID, полученный в предыдущей процедуре.

  2. Прокрутите ответ, чтобы найти поиск, содержащий элементы, которые нужно удалить. Используйте свойство displayName для идентификации поиска, созданного на шаге 3.

    В ответе поисковый запрос из поиска отображается в свойстве contentQuery . Элементы, возвращаемые этим запросом, удаляются в следующей задаче.

  3. Скопируйте соответствующий идентификатор (или скопируйте и вставьте его в текстовый файл). Этот идентификатор будет использоваться в следующей задаче для удаления сообщений чата.

Удаление сообщений чата

  1. В Graph Обозреватель выполните следующий запрос POST, чтобы удалить элементы, возвращенные поиском, созданным на шаге 2. Используйте значение https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData в адресной строке запроса, где {ediscoveryCaseID} и {ediscoverySearchID} — это идентификаторы, полученные в предыдущих процедурах.

    Если запрос POST выполнен успешно, в зеленом баннере отображается код ответа HTTP, указывающий, что запрос принят.

Дополнительные сведения о purgeData см. в разделе sourceCollection: purgeData.

Удаление сообщений чата с помощью PowerShell

Вы также можете удалять сообщения чата с помощью PowerShell. Например, чтобы удалить сообщения в облаке для государственных организаций США, можно использовать команду, аналогичную следующей:

Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov

Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'

Дополнительные сведения об использовании PowerShell для удаления сообщений чата см. в статье ediscoverySearch: purgeData.

Шаг 6. Проверка удаления сообщений чата

После выполнения запроса POST на удаление сообщений чата эти сообщения удаляются из клиента Teams и заменяются автоматически созданным сообщением о том, что администратор удалил сообщение. Пример этого сообщения см. в разделе Взаимодействие с пользователем этой статьи.

Если вам нужно убедиться, что сообщение чата удалено и у вас нет доступа к сообщению конечного пользователя в Teams, повторно запустите поиск и проверьте, найдены ли соответствующие сообщения. Если для сообщения нет результатов, сообщение было удалено.

Удаленные сообщения чата перемещаются в папку SubstrateHolds , которая является скрытой папкой почтового ящика. Удаленные сообщения чата хранятся там не менее 1 дня, а затем окончательно удаляются при следующем запуске задания таймера (обычно в течение 1–7 дней). Дополнительные сведения см. в статье Сведения о хранении для Microsoft Teams.

Примечание.

Так как Microsoft Graph Обозреватель недоступна в облаке для государственных организаций США (GCC, GCC High и DOD), для выполнения этих задач необходимо использовать PowerShell.

Шаг 7. Повторное применение политик хранения и хранения к источникам данных

Убедившись, что сообщения чата удалены и удалены из клиента Teams, можно повторно применить политики удержания и хранения, удаленные на шаге 4.

Удаление сообщений чата в федеративных средах

Администраторы могут использовать процедуры, описанные в этой статье, для поиска и удаления сообщений чата Teams в федеративных средах. Однако необходимо придерживаться следующих рекомендаций. Эти рекомендации основаны на собственности организации на поток беседы, содержащий сообщения, которые требуется удалить. Организация является владельцем потока беседы, который запускается пользователем в этой организации. Другими словами, когда пользователь запускает чат, его организация становится владельцем потока беседы.

  • Администраторы могут удалить копию соответствия в потоках бесед, принадлежащих их организации. Это означает, что копии соответствия требованиям удаляются, когда администратор, удаляющий сообщения чата на шаге 5, находится в той же организации, что и пользователь, который инициировал поток беседы, содержащий удаленные сообщения. Если в потоке беседы есть пользователи в двух организациях, копии соответствия для другой организации сохраняются.
  • Если в потоке беседы есть пользователи в двух организациях, удаленные сообщения чата удаляются из клиента Teams в обеих организациях.
  • Единственный способ удалить сообщения чата из почтовых ящиков пользователей в организации для сообщений чата в потоках бесед, принадлежащих другой организации, — использовать политики хранения для Teams. Дополнительные сведения см. в статье Сведения о хранении для Microsoft Teams.

Характер работы пользователей

Для удаленных сообщений чата пользователи видят автоматически созданное сообщение о том, что это сообщение было удалено администратором.

Просмотр удаленного сообщения чата в клиенте Teams.

Сообщение на предыдущем снимке экрана заменяет удаленное сообщение чата.

Примечание.

Если вы являетесь конечным пользователем и сообщение чата было удалено, обратитесь к администратору за дополнительными сведениями.