Suchen und Löschen von Microsoft Copilot for Microsoft 365-Daten
Sie können eDiscovery (Premium) und die Microsoft Graph-Explorer verwenden, um benutzereingabeaufforderungen und Microsoft Copilot für Microsoft 365 Antworten in unterstützten Anwendungen und Diensten zu suchen und zu löschen. Dieses Feature kann Ihnen helfen, vertrauliche Informationen oder unangemessene Inhalte in Copilot-Aktivitäten zu finden und zu entfernen. Dieser Such- und Löschworkflow kann Ihnen auch dabei helfen, auf einen Datenleckfall zu reagieren, wenn Inhalte mit vertraulichen oder schädlichen Informationen durch Aktivitäten im Zusammenhang mit Copilot freigegeben werden.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Vor dem Suchen und Löschen von Copilot-Daten
Um einen eDiscovery (Premium)-Fall zu erstellen und Sammlungen zum Suchen nach Copilot-Aktivitätsdaten zu verwenden, müssen Sie Mitglied der Rollengruppe eDiscovery-Manager im Microsoft Purview-Complianceportal sein. Zum Löschen von Copilot-Daten muss Ihnen die Rolle "Search Und bereinigen" zugewiesen werden. Diese Rolle wird standardmäßig den Rollengruppen Datenermittler und Organisationsverwaltung zugewiesen. Weitere Informationen finden Sie unter Zuweisen von eDiscovery-Berechtigungen.
Aus jedem Postfach können maximal 10 Elemente gleichzeitig entfernt werden. Da die Funktion zum Suchen und Entfernen von Copilot-Daten ein Tool zur Reaktion auf Vorfälle sein soll, trägt dieser Grenzwert dazu bei, dass diese Daten schnell entfernt werden.
Schritt 1: Create eines Falls in eDiscovery (Premium)
Der erste Schritt besteht darin, einen Fall in eDiscovery (Premium) zu erstellen, um den Such- und Löschvorgang zu verwalten. Informationen zum Erstellen eines Falls finden Sie unter Verwenden des neuen Fallformats.
Schritt 2: Create einer Sammlungsschätzung
Nachdem Sie einen Fall erstellt haben, besteht der nächste Schritt darin, eine Sammlungsschätzung zu erstellen, um nach den Copilot-Daten zu suchen, die Sie löschen möchten. Der Löschvorgang, den Sie ausführen, ist Schritt 5, löscht alle Copilot-bezogenen Elemente, die in der Sammlungsschätzung gefunden werden (innerhalb des Grenzwerts von 10 Elementen pro Speicherort).
In eDiscovery (Premium) ist eine Sammlung eine eDiscovery-Suche der Inhaltsspeicherorte, die Copilot-Daten enthalten, die Sie löschen möchten. Create die Sammlungsschätzung in dem Fall, den Sie im vorherigen Schritt erstellt haben. Weitere Informationen finden Sie unter Create einer Sammlungsschätzung.
Datenquellen für Copilot-Daten
In der folgenden Tabelle sind die Anwendungen und Dienste aufgeführt, die Quellen für Copilot-Daten sind. Alle Benutzeraufforderungen an Copilot und Antworten von Copilot werden im Postfach eines Benutzers gespeichert.
| Für diese Art von Microsoft Copilot-Daten... | Search diese Elementklasse... |
|---|---|
| Excel | IPM. SkypeTeams.Message.Copilot.Excel |
| Loop | IPM. SkypeTeams.Message.Copilot.Loop |
| Microsoft 365-App | IPM. SkypeTeams.Message.Copilot.M365App |
| Microsoft Copilot für Bing (Bizchat) | IPM.SkypeTeams.Message.Copilot.BizChat |
| Microsoft Forms | IPM. SkypeTeams.Message.Copilot. Forms |
| OneNote | IPM. SkypeTeams.Message.Copilot.OneNote |
| Outlook | IPM. SkypeTeams.Message.Copilot.Outlook |
| PowerPoint | IPM. SkypeTeams.Message.Copilot.Powerpoint |
| Teams-Kanal | IPM.SkypeTeams.Message.Copilot.Teams |
| Teams Chat | IPM.SkypeTeams.Message.Copilot.Teams |
| Teams Copilot Chat (Bizchat) | IPM.SkypeTeams.Message.Copilot.BizChat |
| Teams-Besprechung | IPM.SkypeTeams.Message.Copilot.Teams |
| Teams Microsoft 365 Chat (BF) | IPM. SkypeTeams.Message |
| Whiteboard | IPM. SkypeTeams.Message.Copilot. Whiteboard |
| Word | IPM. SkypeTeams.Message.Copilot. Word |
Hinweis
In Schritt 4 müssen Sie auch alle Aufbewahrungs- und Aufbewahrungsrichtlinien identifizieren und entfernen, die dem Postfach zugewiesen sind, das den Typ der Copilot-Daten enthält, die Sie löschen möchten.
Tipps für die Suche nach Copilot-Daten
Um die umfassendste Sammlung von Copilot-Daten sicherzustellen, verwenden Sie die Typbedingung , und wählen Sie die Option Copilot-Aktivität aus, wenn Sie die Suchabfrage für die Sammlungsschätzung erstellen. Es wird auch empfohlen, einen Datumsbereich oder mehrere Schlüsselwörter einzugrenzen, um den Bereich der Sammlung auf Elemente einzugrenzen, die für Ihre Suche und Löschuntersuchung relevant sind.
Weitere Informationen finden Sie unter Erstellen von Suchabfragen für Sammlungen.
Schritt 3: Überprüfen und Überprüfen der zu löschenden Copilot-Daten
Der Löschvorgang in Schritt 5 löscht die von der Sammlung zurückgegebenen Elemente. Es ist wichtig, dass Sie die Ergebnisse der Sammlungsschätzung überprüfen, um sicherzustellen, dass die Sammlung nur die Elemente zurückgibt, die Sie löschen möchten. Informationen zum Überprüfen einer Stichprobe von Elementen in einer Sammlungsschätzung finden Sie im Abschnitt Nächste Schritte nach Abschluss einer Sammlungsschätzung in Create einer Sammlungsschätzung.
Darüber hinaus können Sie die Sammlungsstatistiken (insbesondere die Statistiken der wichtigsten Speicherorte ) verwenden, um eine Liste der Datenquellen zu generieren, die von der Sammlung zurückgegebene Elemente enthalten. Verwenden Sie diese Liste im nächsten Schritt, um Aufbewahrungs- und Aufbewahrungsrichtlinien aus den Benutzerpostfächern zu entfernen, die Suchergebnisse enthalten. Weitere Informationen finden Sie unter Sammlungsstatistiken und -berichte.
Schritt 4: Entfernen von Aufbewahrungs- und Aufbewahrungsrichtlinien aus Datenquellen
Bevor Sie Copilot-Daten aus einem Postfach löschen können, müssen Sie alle Aufbewahrungs- oder Aufbewahrungsrichtlinien entfernen, die einem Zielpostfach zugewiesen sind. Wenn dies nicht der Fall ist, werden die Daten, die Sie löschen möchten, beibehalten.
Verwenden Sie die Liste der Postfächer, die die copilot-Daten enthalten, die Sie löschen möchten, und bestimmen Sie, ob diesen Postfächern eine Aufbewahrungs- oder Aufbewahrungsrichtlinie zugewiesen ist, und entfernen Sie dann die Aufbewahrungs- oder Aufbewahrungsrichtlinie. Stellen Sie sicher, dass Sie die Aufbewahrungs- oder Aufbewahrungsrichtlinie identifizieren, die Sie entfernen, damit Sie den Postfächern in Schritt 7 neu zuweisen können.
Anweisungen zum Identifizieren und Entfernen von Aufbewahrungs- und Aufbewahrungsrichtlinien finden Sie unter Schritt 3: Entfernen aller Haltebereiche aus dem Postfach in Löschen von Elementen im Ordner "Wiederherstellbare Elemente" von cloudbasierten Postfächern im Halteraum.
Schritt 5: Löschen von Copilot-Daten
Hinweis
Da Microsoft Graph Explorer in einigen Us Government-Clouds (GCC High und DOD) nicht verfügbar ist, müssen Sie PowerShell verwenden, um diese Aufgaben auszuführen. Weitere Informationen finden Sie unter Löschen von Copilot-Daten mit PowerShell .
Jetzt können Sie Copilot-Daten aus mailboexes löschen. Verwenden Sie die Microsoft Graph-Explorer, um die folgenden drei Aufgaben auszuführen:
- Rufen Sie die ID des eDiscovery (Premium)-Falls ab, den Sie in Schritt 1 erstellt haben. Dies ist der Fall, der die in Schritt 2 erstellte Auflistung enthält.
- Rufen Sie die ID der Sammlung ab, die Sie in Schritt 2 erstellt und die Suchergebnisse in Schritt 3 überprüft haben. Die Suchabfrage in dieser Sammlung gibt die zu löschenden Copilot-Daten zurück.
- Löschen Sie die von der Sammlung zurückgegebenen Copilot-Daten.
Informationen zur Verwendung von Graph Explorer finden Sie unter Verwenden von Graph Explorer zum Testen von Microsoft Graph-APIs.
Wichtig
Um diese drei Aufgaben in Graph Explorer auszuführen, müssen Sie möglicherweise den Berechtigungen eDiscovery.Read.All und eDiscovery.ReadWrite.All zustimmen. Weitere Informationen finden Sie im Abschnitt "Zustimmung zu Berechtigungen" unter Arbeiten mit Graph Explorer.
Abrufen der Fall-ID
Wechseln Sie zu https://developer.microsoft.com/graph/graph-explorer , und melden Sie sich beim Graph-Explorer mit einem Konto an, dem im Microsoft Purview-Complianceportal die Rolle "Search Und bereinigen" zugewiesen ist.
Führen Sie die folgende GET-Anforderung aus, um die ID für den eDiscovery (Premium)-Fall abzurufen. Verwenden Sie den Wert
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCasesin der Adressleiste der Anforderungsabfrage. Wählen Sie in der Dropdownliste API-Version die Option v1.0 aus.Diese Anforderung gibt Informationen zu allen Fällen in Ihrem organization auf der Registerkarte Antwortvorschau zurück.
Scrollen Sie durch die Antwort, um den eDiscovery (Premium)-Fall zu suchen. Verwenden Sie die displayName-Eigenschaft , um den Fall zu identifizieren.
Kopieren Sie die entsprechende ID (oder kopieren Sie sie, und fügen Sie sie in eine Textdatei ein). Sie verwenden diese ID in der nächsten Aufgabe, um die Sammlungs-ID abzurufen.
Tipp
Anstatt das vorherige Verfahren zum Abrufen der Fall-ID zu verwenden, können Sie den Fall im Microsoft Purview-Complianceportal öffnen und die Fall-ID aus der URL kopieren.
Abrufen der eDiscoverySearchID
Führen Sie in Graph Explorer die folgende GET-Anforderung aus, um die ID für die Sammlung abzurufen, die Sie in Schritt 2 erstellt haben, und enthält die Elemente, die Sie löschen möchten. Verwenden Sie den Wert
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searchesin der Adressleiste der Anforderungsabfrage, wobei {ediscoveryCaseID} die CaseID ist, die Sie im vorherigen Verfahren abgerufen haben.Scrollen Sie durch die Antwort, um die Sammlung zu suchen, die die Elemente enthält, die Sie löschen möchten. Verwenden Sie die displayName-Eigenschaft , um die Sammlung zu identifizieren, die Sie in Schritt 3 erstellt haben.
In der Antwort wird die Suchabfrage aus der Auflistung in der contentQuery-Eigenschaft angezeigt. Von dieser Abfrage zurückgegebene Elemente werden in der nächsten Aufgabe gelöscht.
Kopieren Sie die entsprechende ID (oder kopieren Sie sie, und fügen Sie sie in eine Textdatei ein). Sie verwenden diese ID in der nächsten Aufgabe, um Copilot-Daten zu löschen.
Tipp
Anstatt das vorherige Verfahren zum Abrufen der Such-ID zu verwenden, können Sie den Fall im Microsoft Purview-Complianceportal öffnen. Öffnen Sie den Fall, und navigieren Sie zur Registerkarte Aufträge. Wählen Sie die relevante Sammlung aus, und suchen Sie unter Supportinformationen die Auftrags-ID (die hier angezeigte Auftrags-ID entspricht der Sammlungs-ID).
Löschen von Copilot-Daten
Führen Sie in Graph Explorer die folgende POST-Anforderung aus, um die von der Sammlung zurückgegebenen Elemente zu löschen, die Sie in Schritt 2 erstellt haben. Verwenden Sie den Wert
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeDatain der Adressleiste der Anforderungsabfrage, wobei {ediscoveryCaseID} und {ediscoverySearchID} die IDs sind, die Sie in den vorherigen Verfahren abgerufen haben.Wenn die POST-Anforderung erfolgreich ist, wird ein HTTP-Antwortcode in einem grünen Banner mit dem Hinweis angezeigt, dass die Anforderung akzeptiert wurde.
Weitere Informationen zu purgeData finden Sie unter sourceCollection: purgeData.
Löschen von Copilot-Daten mit PowerShell
Hinweis
Da Microsoft Graph Explorer in der US Government-Cloud (GCC, GCC High und DOD) nicht verfügbar ist, müssen Sie PowerShell verwenden, um diese Aufgaben auszuführen.
Sie können Copilot-Daten auch mithilfe von PowerShell löschen. Zum Löschen von Copilot-Daten in der US Government-Cloud können Sie beispielsweise einen Befehl wie folgt verwenden:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
Weitere Informationen zur Verwendung von PowerShell zum Löschen von Copilot-Daten finden Sie unter ediscoverySearch: purgeData.
Schritt 6: Überprüfen, ob Copilot-Daten gelöscht wurden
Nachdem Sie die POST-Anforderung zum Löschen von Copilot-Daten ausgeführt haben, werden diese Daten aus dem Postfach des Benutzers entfernt. Es gibt keine sichtbare Benachrichtigung oder Bestätigung für den Benutzer, dass die Daten gelöscht wurden.
Gelöschte Copilot-Daten werden in den Ordner SubstrateHolds verschoben, bei dem es sich um einen ausgeblendeten Postfachordner handelt. Gelöschte Copilot-Daten werden dort mindestens 1 Tag gespeichert und dann bei der nächsten Ausführung des Zeitgeberauftrags endgültig gelöscht (in der Regel zwischen 1 und 7 Tagen).
Schritt 7: Erneutes Anwenden von Aufbewahrungs- und Aufbewahrungsrichtlinien auf Benutzerpostfächer
Nachdem Sie überprüft haben, ob die Copilot-Daten gelöscht wurden, können Sie die Aufbewahrungs- und Aufbewahrungsrichtlinien erneut auf Benutzerpostfächer anwenden, die Sie in Schritt 4 entfernt haben.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für