在电子数据展示 (预览) 中搜索和删除 Copilot 数据
可以使用电子数据展示 (预览版) 和Microsoft Graph 资源管理器在受支持的应用程序和服务中搜索和删除用户提示以及智能 Microsoft 365 Copilot 副驾驶®和Microsoft Copilot响应。 此功能可帮助你查找和删除 Copilot 活动中包含的敏感信息或不适当的内容。 当包含机密或恶意信息的内容通过 Copilot 相关活动发布时,此搜索和删除工作流还有助于响应数据泄漏事件。
提示
开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot。
在搜索和删除 Copilot 数据之前
- 创建电子数据展示 (预览) 案例并搜索 Copilot 活动数据,必须是 电子数据展示管理员 角色组的成员。 若要删除 Copilot 数据,必须分配“ 搜索和清除” 角色。 默认情况下,此角色分配给数据调查员和组织管理角色组。 有关详细信息,请参阅分配电子数据展示权限。
- 一次最多可以删除每个邮箱的 10 封邮件。 由于搜索和删除 Copilot 数据的功能旨在成为事件响应工具,因此此限制有助于确保快速删除此数据。
步骤 1:在电子数据展示 (预览) 中创建事例
第一步是在电子数据展示 (预览) 中创建事例 ,以管理搜索和删除过程。
步骤 2:在电子数据展示 (预览) 中创建搜索
创建案例后,下一步是 搜索 要删除的 Copilot 数据。 您执行的删除过程是步骤 5 删除搜索 (中找到的所有与 Copilot 相关的项目,每个位置限制为 10 项) 。
Copilot 数据的数据源
下表列出了属于 Copilot 数据源的应用程序和服务。 所有用户对 Copilot 的提示和来自 Copilot 的响应都存储在用户的邮箱中。
| 对于这种类型的Microsoft Copilot数据... | 搜索此项类... |
|---|---|
| Excel | IPM。SkypeTeams.Message.Copilot.Excel |
| Loop | IPM。SkypeTeams.Message.Copilot。Loop |
| Microsoft 365 应用版 | IPM。SkypeTeams.Message.Copilot.M365App |
| 必应 (Bizchat) Microsoft Copilot | IPM。SkypeTeams.Message.Copilot。BizChat |
| Microsoft Forms | IPM。SkypeTeams.Message.Copilot。Forms |
| OneNote | IPM。SkypeTeams.Message.Copilot.OneNote |
| Outlook | IPM。SkypeTeams.Message.Copilot.Outlook |
| PowerPoint | IPM。SkypeTeams.Message.Copilot.Powerpoint |
| 聊天中的 Teams AI 笔记 | IPM。SkypeTeams.Message.TeamCopilot.AiNotes.Teams |
| Teams 频道 | IPM。SkypeTeams.Message.Copilot.Teams |
| Teams 聊天 | IPM。SkypeTeams.Message.Copilot.Teams |
| Teams Copilot Chat (Bizchat) | IPM。SkypeTeams.Message.Copilot。BizChat |
| Teams 会议 | IPM。SkypeTeams.Message.Copilot.Teams |
| Teams Microsoft 365 Chat (BF) | IPM。SkypeTeams.Message |
| WebChat | IPM。SkypeTeams.Message.Copilot.WebChat |
| Whiteboard | IPM。SkypeTeams.Message.Copilot。Whiteboard |
| Word | IPM。SkypeTeams.Message.Copilot。Word |
注意
在步骤 4 中,还必须标识并删除分配给邮箱的任何保留和保留策略,该邮箱包含要删除的 Copilot 数据类型。
有关搜索 Copilot 数据的提示
若要帮助确保最全面的 Copilot 数据收集,请使用 类型 条件,并在生成搜索查询时选择 “Copilot 活动 ”选项。 我们还建议包括日期范围或多个关键字,以将搜索范围缩小到与搜索和删除调查相关的项目。
识别智能 Microsoft 365 Copilot 副驾驶®使用情况中的 Web 查询
为智能 Microsoft 365 Copilot 副驾驶®或Microsoft Copilot启用 Web 搜索以包含来自 Web 的最新数据后,发送到 Microsoft 必应的 Web 搜索查询可在电子数据展示中搜索。 有关 Web 搜索的详细信息,请参阅 智能 Microsoft 365 Copilot 副驾驶® 和 Microsoft Copilot 中 Web 搜索的数据、隐私和安全性。
完成以下步骤以查找这些 Web 查询:
- 使用电子数据展示中的条件生成器,使用筛选器 “类型”、“ 等于任意”和“ Copilot”活动搜索 Copilot 活动。
- 在查询结果中,下载任何单个项。
- 在文本编辑器中打开下载的项目。
- 查找 WebSearchQuery
- 如果必应搜索查询中涉及 Copilot 活动,则下载的文件中存在 WebSearchQuery 。 后跟Microsoft必应搜索查询中发送的特定查询。
步骤 3:查看并验证在电子数据展示 (预览版) 中删除的 Copilot 数据
步骤 5 中的删除过程将删除搜索返回的项目。 请务必查看搜索结果,以确保搜索仅返回要删除的项目。
此外,可以使用搜索统计信息 (特别是 “热门位置 统计信息”) 来生成包含搜索返回的项的数据源列表。 在下一步中使用此列表从包含搜索结果的用户邮箱中删除保留和保留策略。
步骤 4:从数据源中删除保留和保留策略
必须先删除分配给目标邮箱 的任何保留 或保留策略,然后才能从邮箱中删除 Copilot 数据。 否则,将保留你尝试删除的数据。
使用包含要删除的 Copilot 数据的邮箱列表,确定是否为这些邮箱分配了保留或保留策略,然后删除保留或保留策略。 请务必确定删除的保留或保留策略,以便可以重新分配到步骤 7 中的邮箱。
步骤 5:删除 Microsoft Graph 资源管理器中的 Copilot 数据
注意
由于 Microsoft Graph Explorer 在某些美国政府云中不可用, (GCC High 和 DOD) ,因此必须使用 PowerShell 来完成这些任务。 有关详细信息,请参阅 使用 PowerShell 删除 Copilot 数据 。
现在,你已准备好从用户邮箱中删除 Copilot 数据。 使用 Microsoft Graph 资源管理器执行以下三项任务:
- 获取在步骤 1 中创建的电子数据展示事例的 ID。 这是包含步骤 2 中创建的搜索的情况。
- 获取在步骤 2 中创建的搜索的 ID,并在步骤 3 中验证了搜索结果。 此搜索中的查询返回要删除的 Copilot 数据。
- 删除搜索返回的 Copilot 数据。
有关使用 Graph 资源管理器的信息,请参阅 使用 Graph 资源管理器尝试Microsoft Graph API。
重要
若要在 Graph 资源管理器中执行这三个任务,可能需要同意电子数据展示.Read.All 和电子数据展示.ReadWrite.All 权限。 有关详细信息,请参阅 使用 Graph 资源管理器中的“同意权限”部分。
在 Microsoft Graph 资源管理器中获取案例 ID
- 转到 https://developer.microsoft.com/graph/graph-explorer 并使用在 Microsoft Purview 门户中分配有 “搜索和清除” 角色的帐户登录到 Graph 资源管理器。
- 运行以下 GET 请求以检索电子数据展示事例的 ID。 使用请求查询的地址栏中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases。 请务必在 API 版本下拉列表中选择 v1.0 。 此请求在 “响应预览 ”选项卡上返回有关组织中所有案例的信息。 - 滚动浏览响应以找到电子数据展示事例。 使用 displayName 属性标识事例。
- 复制相应的 ID (或复制并粘贴到文本文件) 。 你将在下一个任务中使用此 ID 来获取搜索 ID。
提示
可以在 Microsoft Purview 门户中打开案例,并从 URL 复制案例 ID,而不是使用前面的过程来获取案例 ID。
在 Microsoft Graph 资源管理器中获取 eDiscoverySearchID
- 在 Graph 资源管理器中,运行以下 GET 请求以检索在步骤 2 中创建的搜索的 ID,并包含要删除的项目。 使用请求查询的地址栏中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches,其中 {ediscoveryCaseID} 是在上一过程中获取的 CaseID。 - 滚动响应以找到包含要删除的项目的搜索。 使用 displayName 属性标识在步骤 3 中创建的搜索。 在响应中,来自搜索的搜索查询显示在 contentQuery 属性中。 此查询返回的项在下一个任务中删除
- 复制相应的 ID (或复制并粘贴到文本文件) 。 在下一个任务中,你将使用此 ID 删除 Copilot 数据。
提示
可以在 Microsoft Purview 门户中打开事例,而不是使用前面的过程来获取搜索 ID。 打开事例并导航到“作业”选项卡。选择相关搜索,然后在“支持信息”下查找作业 ID, (此处显示的作业 ID 与搜索 ID) 相同。
删除 Microsoft Graph 资源管理器中的 Copilot 数据
在 Graph 资源管理器中,运行以下 POST 请求以删除在步骤 2 中创建的搜索返回的项目。 使用请求查询的地址栏中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData,其中 {ediscoveryCaseID} 和 {ediscoverySearchID} 是你在前面的过程中获取的 ID。如果 POST 请求成功,HTTP 响应代码会显示在绿色横幅中,指出请求已接受。
有关 purgeData 的详细信息,请参阅 sourceCollection: purgeData。
使用 PowerShell 删除 Copilot 数据
注意
由于 Microsoft Graph Explorer 在美国政府云 (GCC、GCC High 和 DOD) 中不可用,因此必须使用 PowerShell 来完成这些任务。
还可以使用 PowerShell 删除 Copilot 数据。 例如,若要删除美国政府云中的 Copilot 数据,可以使用如下所示的命令:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
有关使用 PowerShell 删除 Copilot 数据的详细信息,请参阅 ediscoverySearch: purgeData。
步骤 6:验证是否已删除 Copilot 数据
运行 POST 请求以删除 Copilot 数据后,将从用户的邮箱中删除此数据。 用户没有任何可见的通知或确认数据已被删除。
已删除的 Copilot 数据将移动到 SubstrateHolds 文件夹,该文件夹是隐藏的邮箱文件夹。 已删除的 Copilot 数据将存储在其中至少 1 天,然后在下次运行计时器作业时永久删除, (通常在) 1-7 天之间。
步骤 7:将保留和保留策略重新应用于用户邮箱
验证是否已删除 Copilot 数据后,可以将保留和保留策略重新应用到步骤 4 中删除的用户邮箱。