Поделиться через


Поиск и удаление данных Copilot

Совет

Обнаружение электронных данных (предварительная версия) теперь доступно на новом портале Microsoft Purview. Дополнительные сведения об использовании нового интерфейса обнаружения электронных данных см. в статье Сведения об обнаружении электронных данных (предварительная версия).

Вы можете использовать обнаружение электронных данных (премиум) и microsoft Graph Обозреватель для поиска и удаления запросов пользователей, а также Microsoft 365 Copilot и ответов Microsoft Copilot в поддерживаемых приложениях и службах. Эта функция помогает находить и удалять конфиденциальную информацию или неприемлемое содержимое, включенное в действия Copilot. Этот рабочий процесс поиска и удаления также может помочь вам реагировать на инцидент утечки данных, когда содержимое, содержащее конфиденциальную или вредную информацию, освобождается через действия, связанные с Copilot.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Перед поиском и удалением данных Copilot

  • Чтобы создать дело eDiscovery (Premium) и использовать коллекции для поиска данных о действиях Copilot, необходимо быть членом группы ролей диспетчера обнаружения электронных данных в Портал соответствия требованиям Microsoft Purview. Чтобы удалить данные Copilot, вам должна быть назначена роль поиска и очистки . По умолчанию эта роль назначается группам ролей "Следователь данных" и "Управление организацией". Дополнительные сведения см. в статье Назначение разрешений на обнаружение электронных данных.

  • Одновременно можно удалить не более 100 элементов на каждый почтовый ящик. Так как возможность поиска и удаления данных Copilot предназначена для реагирования на инциденты, это ограничение помогает обеспечить быстрое удаление этих данных.

Шаг 1. Создание дела в eDiscovery (премиум)

Первым шагом является создание дела в eDiscovery (премиум) для управления процессом поиска и удаления. Сведения о создании варианта см. в разделе Использование нового формата регистра.

Шаг 2. Создание оценки коллекции

После создания дела следующим шагом является создание оценки коллекции для поиска данных Copilot, которые необходимо удалить. В процессе удаления выполняется шаг 5, при этом удаляются все связанные с Copilot элементы, которые находятся в оценке коллекции (в пределах 10 элементов на расположение).

В eDiscovery (Премиум) коллекция — это поиск электронных данных в расположениях содержимого, содержащих данные Copilot, которые требуется удалить. Создайте оценку коллекции в случае, созданном на предыдущем шаге. Дополнительные сведения см. в статье Создание оценки коллекции.

Источники данных для данных Copilot

В следующей таблице перечислены приложения и службы, которые являются источниками данных Copilot. Все запросы пользователя к Copilot и ответы от Copilot хранятся в почтовом ящике пользователя.

Для этого типа данных Microsoft Copilot... Поиск по этому классу элементов...
Excel IPM. SkypeTeams.Message.Copilot.Excel
Loop IPM. SkypeTeams.Message.Copilot. Loop
Приложение Microsoft 365 IPM. SkypeTeams.Message.Copilot.M365App
Microsoft Copilot для Bing (Bizchat) IPM. SkypeTeams.Message.Copilot. BizChat
Microsoft Forms IPM. SkypeTeams.Message.Copilot. Forms
OneNote IPM. SkypeTeams.Message.Copilot.OneNote
Outlook IPM. SkypeTeams.Message.Copilot.Outlook
PowerPoint IPM. SkypeTeams.Message.Copilot.Powerpoint
Заметки по ИИ Teams в чате IPM. SkypeTeams.Message.TeamCopilot.AiNotes.Teams
Канал Teams IPM. SkypeTeams.Message.Copilot.Teams
Чат Teams IPM. SkypeTeams.Message.Copilot.Teams
Чат Copilot Teams (Bizchat) IPM. SkypeTeams.Message.Copilot. BizChat
Собрание Teams IPM. SkypeTeams.Message.Copilot.Teams
Teams Microsoft 365 Chat (BF) IPM. SkypeTeams.Message
WebChat IPM. SkypeTeams.Message.Copilot.WebChat
Whiteboard IPM. SkypeTeams.Message.Copilot. Whiteboard
Word IPM. SkypeTeams.Message.Copilot. Word

Примечание.

На шаге 4 необходимо также определить и удалить все политики удержания и хранения, назначенные почтовому ящику, который содержит тип данных Copilot, которые требуется удалить.

Советы по поиску данных Copilot

Чтобы обеспечить наиболее полный сбор данных Copilot, используйте условие Тип и выберите параметр Действия Copilot при создании поискового запроса для оценки коллекции. Мы также рекомендуем включить диапазон дат или несколько ключевых слов, чтобы сузить область коллекции до элементов, относящихся к результатам поиска и удаления.

Дополнительные сведения см. в разделе Создание поисковых запросов для коллекций.

Определение веб-запросов в использовании Microsoft 365 Copilot

Если для поиска в Интернете включен Microsoft 365 Copilot или Microsoft Copilot для включения последних данных из Интернета, поисковые запросы, отправляемые в Microsoft Bing, доступны для поиска в eDiscovery. Дополнительные сведения о поиске в Интернете см. в статье Данные, конфиденциальность и безопасность для поиска в Интернете в Microsoft 365 Copilot и Microsoft Copilot.

Выполните следующие действия для поиска этих веб-запросов.

  1. С помощью построителя условий в обнаружении электронных данных найдите действие Copilot с помощью фильтра Тип, Равно любому из и Действие Copilot.
  2. В результатах запроса скачайте любой отдельный элемент.
  3. Откройте скачанный элемент в текстовом редакторе.
  4. Поиск WebSearchQuery
  5. Если действие Copilot участвует в поисковом запросе Bing, webSearchQuery присутствует в скачанном файле. За ним следует конкретный запрос, отправленный в поисковом запросе Microsoft Bing.

Шаг 3. Проверка и проверка данных Copilot для удаления

Процесс удаления на шаге 5 приведет к удалению элементов, возвращенных коллекцией. Важно проверить результаты оценки коллекции, чтобы убедиться, что коллекция возвращает только элементы, которые требуется удалить. Чтобы просмотреть выборку элементов в оценке коллекции, см. раздел Дальнейшие действия после завершения оценки коллекциистатьи Создание оценки коллекции.

Кроме того, можно использовать статистику сбора (в частности, статистику основных расположений ) для создания списка источников данных, содержащих элементы, возвращаемые коллекцией. Используйте этот список на следующем шаге, чтобы удалить политики удержания и хранения из почтовых ящиков пользователей, содержащих результаты поиска. Дополнительные сведения см. в разделе Статистика сбора и отчеты.

Шаг 4. Удаление политик удержания и хранения из источников данных

Перед удалением данных Copilot из почтового ящика необходимо удалить любую политику удержания или хранения, назначенную целевому почтовому ящику. Если нет, данные, которые вы пытаетесь удалить, сохраняются.

Используйте список почтовых ящиков, содержащих данные Copilot, которые необходимо удалить, и определите, назначена ли им политика удержания или хранения, а затем удалите политику удержания или хранения. Обязательно определите удаляемую политику удержания или хранения, чтобы можно было переназначить почтовым ящикам на шаге 7.

Инструкции по идентификации и удалению удержаний и политик хранения см. в разделе Шаг 3. Удаление всех удержаний из почтового ящикастатьи Удаление элементов в папке "Элементы с возможностью восстановления" облачных почтовых ящиков на удержании.

Шаг 5. Удаление данных Copilot

Примечание.

Так как Microsoft Graph Обозреватель недоступна в некоторых облаках для государственных организаций США (GCC High и DOD), для выполнения этих задач необходимо использовать PowerShell. Дополнительные сведения см. в статье Удаление данных Copilot с помощью PowerShell .

Теперь вы готовы удалить данные Copilot из пользовательских mailboexes. Используйте Обозреватель Microsoft Graph для выполнения следующих трех задач:

  1. Получите идентификатор дела eDiscovery (Премиум), созданного на шаге 1. В этом случае содержится коллекция, созданная на шаге 2.
  2. Получите идентификатор коллекции, созданной на шаге 2 и проверенной результатами поиска на шаге 3. Поисковый запрос в этой коллекции возвращает данные Copilot, которые необходимо удалить.
  3. Удалите данные Copilot, возвращенные коллекцией.

Сведения об использовании Обозреватель Graph см. в статье Использование Обозреватель Graph для пробных интерфейсов API Microsoft Graph.

Важно!

Для выполнения этих трех задач в Graph Обозреватель может потребоваться согласие на разрешения eDiscovery.Read.All и eDiscovery.ReadWrite.All. Дополнительные сведения см. в разделе "Согласие на разрешения" статьи Работа с Обозреватель Graph.

Получение идентификатора обращения

  1. Перейдите на страницу https://developer.microsoft.com/graph/graph-explorer и войдите в Обозреватель Graph с учетной записью, которому назначена роль поиска и очистки в Портал соответствия требованиям Microsoft Purview.

  2. Выполните следующий запрос GET, чтобы получить идентификатор для дела обнаружения электронных данных (премиум). Используйте значение https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases в адресной строке запроса. Обязательно выберите версию 1.0 в раскрывающемся списке Версия API.

    Этот запрос возвращает сведения обо всех случаях в организации на вкладке Предварительный просмотр ответа .

  3. Прокрутите ответ, чтобы найти дело обнаружения электронных данных (премиум). Используйте свойство displayName для идентификации варианта.

  4. Скопируйте соответствующий идентификатор (или скопируйте и вставьте его в текстовый файл). Этот идентификатор будет использоваться в следующей задаче, чтобы получить идентификатор коллекции.

Совет

Вместо того, чтобы использовать предыдущую процедуру для получения идентификатора обращения, можно открыть дело в Портал соответствия требованиям Microsoft Purview и скопировать идентификатор дела из URL-адреса.

Получение идентификатора обнаружения электронных данных

  1. В graph Обозреватель выполните следующий запрос GET, чтобы получить идентификатор коллекции, созданной на шаге 2, и содержит элементы, которые нужно удалить. Используйте значение https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches в адресной строке запроса, где {ediscoveryCaseID} — это идентификатор CaseID, полученный в предыдущей процедуре.

  2. Прокрутите ответ, чтобы найти коллекцию, содержащую элементы, которые нужно удалить. Используйте свойство displayName для идентификации коллекции, созданной на шаге 3.

    В ответе поисковый запрос из коллекции отображается в свойстве contentQuery . Элементы, возвращаемые этим запросом, удаляются в следующей задаче.

  3. Скопируйте соответствующий идентификатор (или скопируйте и вставьте его в текстовый файл). Этот идентификатор будет использоваться в следующей задаче для удаления данных Copilot.

Совет

Вместо того, чтобы использовать предыдущую процедуру для получения идентификатора поиска, можно открыть дело в Портал соответствия требованиям Microsoft Purview. Откройте дело и перейдите на вкладку Задания. Выберите соответствующую коллекцию и в разделе Сведения о поддержке найдите идентификатор задания (идентификатор задания, отображаемый здесь, совпадает с идентификатором коллекции).

Удаление данных Copilot

  1. В Graph Обозреватель выполните следующий запрос POST, чтобы удалить элементы, возвращенные коллекцией, созданной на шаге 2. Используйте значение https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData в адресной строке запроса, где {ediscoveryCaseID} и {ediscoverySearchID} — это идентификаторы, полученные в предыдущих процедурах.

    Если запрос POST выполнен успешно, в зеленом баннере отображается код ответа HTTP, указывающий, что запрос принят.

Дополнительные сведения о purgeData см. в разделе sourceCollection: purgeData.

Удаление данных Copilot с помощью PowerShell

Примечание.

Так как Microsoft Graph Обозреватель недоступна в облаке для государственных организаций США (GCC, GCC High и DOD), для выполнения этих задач необходимо использовать PowerShell.

Вы также можете удалить данные Copilot с помощью PowerShell. Например, чтобы удалить данные Copilot в облаке для государственных организаций США, можно использовать команду, аналогичную следующей:

Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov

Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'

Дополнительные сведения об использовании PowerShell для удаления данных Copilot см. в статье ediscoverySearch: purgeData.

Шаг 6. Проверка удаления данных Copilot

После выполнения запроса POST на удаление данных Copilot эти данные удаляются из почтового ящика пользователя. Нет видимого уведомления или подтверждения для пользователя о том, что данные были удалены.

Удаленные данные Copilot перемещаются в папку SubstrateHolds , которая является скрытой папкой почтового ящика. Удаленные данные Copilot хранятся там не менее 1 дня, а затем окончательно удаляются при следующем запуске задания таймера (обычно в течение 1–7 дней).

Шаг 7. Повторное применение политик хранения и хранения к почтовым ящикам пользователей

Убедившись, что данные Copilot удалены, вы можете повторно применить политики удержания и хранения к почтовым ящикам пользователей, удаленным на шаге 4.