在電子檔探索 (預覽) 中搜尋和刪除 Copilot 數據
您可以使用電子檔探索 (預覽) 和 Microsoft Graph 總管,在支援的應用程式和服務中搜尋和刪除使用者提示,以及 Microsoft 365 Copilot 和 Microsoft Copilot 回應。 此功能可協助您尋找並移除 Copilot 活動中包含的敏感性資訊或不當內容。 當包含機密或惡意資訊的內容透過 Copilot 相關活動發行時,此搜尋和刪除工作流程也可協助您回應數據洩漏事件。
提示
開始使用 Microsoft Security Copilot,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot。
搜尋和刪除 Copilot 數據之前
- 建立電子檔探索 (預覽) 案例並搜尋 Copilot 活動數據,您必須是 電子檔探索 管理員角色群組的成員。 若要刪除 Copilot 數據,您必須獲派 搜尋和清除 角色。 根據預設,此角色會指派給 數據 管理和 組織管理 角色群組。 如需詳細資訊,請參閱指派電子文件探索權限。
- 每個信箱一次可以移除最多 10 個項目。 因為搜尋和移除 Copilot 數據的功能是要做為事件回應工具,所以此限制有助於確保快速移除此數據。
步驟 1:在電子檔探索 (預覽) 中建立案例
第 一個 步驟是在電子檔探索 (預覽) 中建立案例,以管理搜尋和刪除程式。
步驟 2:在電子檔探索 (預覽) 中建立搜尋
建立案例之後,下一個步驟是 搜尋 您想要刪除的 Copilot 數據。 您執行的刪除程式是步驟 5 刪除搜尋中找到的所有 Copilot 相關專案, (在每個位置限制的 10 個項目內) 。
Copilot 數據的數據源
下表列出屬於 Copilot 資料來源的應用程式和服務。 所有使用者提示到 Copilot 和 Copilot 的回應都會儲存在使用者的信箱中。
| 針對這種類型的 Microsoft Copilot 資料... | 搜尋此項目類別... |
|---|---|
| Excel | IPM。SkypeTeams.Message.Copilot.Excel |
| Loop | IPM。SkypeTeams.Message.Copilot。Loop |
| Microsoft 365 應用程式 | IPM。SkypeTeams.Message.Copilot.M365App |
| Bing (Bizchat) 的 Microsoft Copilot | IPM。SkypeTeams.Message.Copilot。BizChat |
| Microsoft 表單 | IPM。SkypeTeams.Message.Copilot。Forms |
| OneNote | IPM。SkypeTeams.Message.Copilot.OneNote |
| Outlook | IPM。SkypeTeams.Message.Copilot.Outlook |
| PowerPoint | IPM。SkypeTeams.Message.Copilot.Powerpoint |
| 聊天中的Teams AI筆記 | IPM。SkypeTeams.Message.TeamCopilot.AiNotes.Teams |
| Teams 頻道 | IPM。SkypeTeams.Message.Copilot.Teams |
| Teams 聊天 | IPM。SkypeTeams.Message.Copilot.Teams |
| Teams Copilot Chat (Bizchat) | IPM。SkypeTeams.Message.Copilot。BizChat |
| Teams 會議 | IPM。SkypeTeams.Message.Copilot.Teams |
| Teams Microsoft 365 Chat (BF) | IPM。SkypeTeams.Message |
| WebChat | IPM。SkypeTeams.Message.Copilot.WebChat |
| Whiteboard | IPM。SkypeTeams.Message.Copilot。Whiteboard |
| Word | IPM。SkypeTeams.Message.Copilot。Word |
注意事項
在步驟 4 中,您也必須識別並移除指派給信箱的任何保留和保留原則,其中包含您想要刪除的 Copilot 數據類型。
搜尋 Copilot 數據的秘訣
若要協助確保最完整的 Copilot 數據集合,請在建置搜尋查詢時,使用 [類型 條件] 並選取 [Copilot 活動 ] 選項。 我們也建議包含日期範圍或數個關鍵詞,以將搜尋範圍縮小為與您的搜尋和刪除調查相關的專案。
識別使用量中的 Web 查詢 Microsoft 365 Copilot
啟用 Web 搜尋,讓 Microsoft 365 Copilot 或 Microsoft Copilot 包含來自網路的最新數據,傳送至 Microsoft Bing 的 Web 搜尋查詢可在電子檔探索中搜尋。 如需 Web 搜尋的詳細資訊,請參閱 Microsoft 365 Copilot 和 Microsoft Copilot 中 Web 搜尋的數據、隱私權和安全性。
完成下列步驟以尋找這些 Web 查詢:
- 使用 eDiscovery 中的條件產生器,使用篩選 類型、 等於任何一個和 Copilot 活動來搜尋 Copilot 活動。
- 在查詢結果中,下載任何單一專案。
- 在文字編輯器中開啟下載的專案。
- 尋找 WebSearchQuery
- 如果 Copilot 活動涉及 Bing 搜尋查詢, 則 WebSearchQuery 會出現在下載的檔案中。 後面接著在 Microsoft Bing 搜尋查詢中傳送的特定查詢。
步驟 3:檢閱並確認要在電子檔探索中刪除的 Copilot 資料 (預覽)
步驟 5 中的刪除程式會刪除搜尋所傳回的專案。 請務必檢閱搜尋結果,以確保搜尋只會傳回您想要刪除的專案。
此外,您可以使用搜尋統計數據 (特別使用 [最上層位置 ] 統計數據) 來產生包含搜尋所傳回之專案的數據源清單。 在下一個步驟中使用此清單,從包含搜尋結果的使用者信箱中移除保留和保留原則。
步驟 4:從數據源移除保留和保留原則
您必須 先移除指 派給目標信箱的任何保留或保留原則,才能從信箱中刪除 Copilot 數據。 如果沒有,則會保留您嘗試刪除的數據。
使用包含您想要刪除之 Copilot 數據的信箱清單,並判斷是否有指派給這些信箱的保留或保留原則,然後移除保留或保留原則。 請務必識別您移除的保留或保留原則,以便重新指派給步驟 7 中的信箱。
步驟 5:刪除 Microsoft Graph 總管中的 Copilot 數據
注意事項
由於 Microsoft Graph 總管無法在 GCC High 和 DOD) (某些美國政府雲端中使用,因此您必須使用 PowerShell 來完成這些工作。 如需詳細資訊,請參閱 使用PowerShell刪除 Copilot 資料 。
現在您已準備好從使用者信箱刪除 Copilot 資料。 使用 Microsoft Graph 總管執行下列三項工作:
- 取得您在步驟 1 中建立之電子檔探索案例的識別碼。 這是包含在步驟 2 中建立之搜尋的情況。
- 取得您在步驟 2 中建立的搜尋標識碼,並在步驟 3 中驗證搜尋結果。 此搜尋中的查詢會傳回要刪除的 Copilot 資料。
- 刪除搜尋所傳回的 Copilot 數據。
如需使用 Graph 總管的相關信息,請參閱 使用 Graph 總管來嘗試Microsoft圖形 API。
重要事項
若要在 Graph 總管中執行這三項工作,您可能必須同意 eDiscovery.Read.All 和 eDiscovery.ReadWrite.All 許可權。 如需詳細資訊,請參閱 使用 Graph 總管中的一節。
在 Microsoft Graph 總管中取得案例標識碼
- 移至 https://developer.microsoft.com/graph/graph-explorer ,並使用已在 Microsoft Purview 入口網站中指派 搜尋和清除 角色的帳戶登入 Graph 總管。
- 執行下列 GET 要求,以擷取電子檔探索案例的標識碼。 使用要求查詢之網址列中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases。 請務必在 [API 版本] 下拉式清單中選取 v1.0 。 此要求會在 [ 回應預覽 ] 索引標籤上傳回貴組織中所有案例的相關信息。 - 捲動回應以找出電子檔探索案例。 使用 displayName 屬性來識別案例。
- 將對應的識別碼複製 (或複製並貼到文字檔) 。 您將在下一個工作中使用此標識碼來取得搜尋標識碼。
提示
您可以在 Microsoft Purview 入口網站中開啟案例,並從 URL 複製案例識別碼,而不是使用先前的程式來取得案例識別碼。
在 Microsoft Graph 總管中取得 eDiscoverySearchID
- 在 Graph 總管中,執行下列 GET 要求,以擷取您在步驟 2 中建立的搜尋標識碼,並包含您想要刪除的專案。 使用要求查詢之網址列中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches,其中 {ediscoveryCaseID} 是您在上一個程式中取得的 CaseID。 - 捲動回應以找出包含您要刪除之專案的搜尋。 使用 displayName 屬性來識別您在步驟 3 中建立的搜尋。 在回應中,來自搜尋的搜尋查詢會顯示在 contentQuery 屬性中。 此查詢傳回的專案會在下一個工作中刪除
- 將對應的識別碼複製 (或複製並貼到文字檔) 。 您將在下一個工作中使用此識別碼來刪除 Copilot 數據。
提示
您可以在 Microsoft Purview 入口網站中開啟案例,而不是使用先前的程式來取得搜尋標識碼。 開啟案例並流覽至 [作業] 索引標籤。選取相關的搜尋,然後在 [支持資訊] 底下尋找作業標識碼 (此處顯示的作業標識碼與搜尋標識符) 相同。
刪除 Microsoft Graph 總管中的 Copilot 數據
在 Graph 總管中,執行下列 POST 要求,以刪除您在步驟 2 中建立的搜尋所傳回的專案。 使用要求查詢之網址列中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData,其中 {ediscoveryCaseID} 和 {ediscoverySearchID} 是您在先前程式中取得的標識符。如果 POST 要求成功,HTTP 回應碼會顯示在綠色橫幅中,指出已接受要求。
如需 purgeData 的詳細資訊,請參閱 sourceCollection:purgeData。
使用 PowerShell 刪除 Copilot 資料
注意事項
由於 Microsoft Graph 總管不適用於美國政府雲端 (GCC、GCC High 和 DOD) ,因此您必須使用 PowerShell 來完成這些工作。
您也可以使用 PowerShell 刪除 Copilot 資料。 例如,若要刪除美國政府雲端中的 Copilot 資料,您可以使用類似下列的命令:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
如需使用PowerShell刪除 Copilot 資料的詳細資訊,請參閱 ediscoverySearch:purgeData。
步驟 6:確認已刪除 Copilot 數據
執行 POST 要求以刪除 Copilot 數據之後,系統會從使用者的信箱中移除此數據。 使用者不會看到任何數據已刪除的通知或確認。
已刪除的 Copilot 資料會移至 SubstrateHolds 資料夾,這是隱藏的信箱資料夾。 已刪除的 Copilot 資料會在該處儲存至少 1 天,然後在下次定時器工作執行時永久刪除 (通常介於 1-7 天) 。
步驟 7:將保留和保留原則重新套用至使用者信箱
確認 Copilot 資料已刪除之後,您可以將保留和保留原則重新套用至您在步驟 4 中移除的使用者信箱。