Búsqueda y eliminar mensajes de chat en Teams
Puede usar eDiscovery (Premium) y el Explorador de Microsoft Graph para buscar y eliminar mensajes de chat en Microsoft Teams. Esta característica puede ayudarle a buscar y quitar información confidencial o contenido inadecuado. Este flujo de trabajo de búsqueda y eliminación también le ayudará a responder a un incidente de derrame de datos, cuando el contenido que contiene información confidencial o malintencionada se publica a través de mensajes de chat de Teams.
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Antes de buscar y eliminar mensajes de chat
Para crear un caso de eDiscovery (Premium) y usar colecciones para buscar mensajes de chat, debe ser miembro del grupo de roles administrador de eDiscovery en el portal de cumplimiento Microsoft Purview. Para eliminar mensajes de chat, debe tener asignado el rol Búsqueda Y purgar. Este rol se asigna a los grupos de roles Investigador de datos y Administración de la organización de forma predeterminada. Para más información, consulte Asignar permisos de eDiscovery.
Búsqueda y purga son compatibles con la mayoría de las conversaciones dentro del inquilino. no se admiten Búsqueda y purgar para las conversaciones de chat de Teams Connect (acceso externo o federación).
Importante
Los chats con usted mismo (o los chats de los usuarios con ellos mismos) no son compatibles con la búsqueda y la eliminación.
Se puede eliminar un máximo de 10 elementos por buzón a la vez. Dado que la funcionalidad para buscar y quitar mensajes de chat está pensada para ser una herramienta de respuesta a incidentes, este límite ayuda a garantizar que los mensajes de chat se quiten rápidamente.
Búsqueda y eliminar flujo de trabajo
Este es el proceso para buscar y eliminar mensajes de chat de Teams:
Paso 1: Crear un caso en eDiscovery (Premium)
El primer paso es crear un caso en eDiscovery (Premium) para administrar el proceso de búsqueda y eliminación. Para obtener información sobre cómo crear un caso, consulte Uso del nuevo formato de caso.
Paso 2: Creación de una estimación de colección
Después de crear un caso, el siguiente paso es crear una estimación de recopilación para buscar los mensajes de chat de Teams que desea eliminar. El proceso de eliminación que realiza es el paso 5 elimina todos los elementos que se encuentran en la estimación de la colección (dentro del límite de 10 elementos por ubicación).
En eDiscovery (Premium), una colección es una búsqueda de exhibición de documentos electrónicos de las ubicaciones de contenido de Teams que contienen los mensajes de chat que desea eliminar. Cree la estimación de la colección en el caso que creó en el paso anterior. Para obtener más información, consulte Creación de una estimación de recopilación.
Orígenes de datos para mensajes de chat
Use la tabla siguiente para determinar qué orígenes de datos buscar en función del tipo de mensaje de chat que necesite eliminar.
| Para este tipo de chat... | Búsqueda este origen de datos... |
|---|---|
| Chats de Teams 1:1 | Buzón de correo de los participantes del chat. |
| Chats de grupo de Teams | Buzones de los participantes del chat. |
| Canales de Teams (estándar y compartidos) | Buzón asociado al equipo primario. |
| Canales privados de Teams | Buzón de correo de los miembros del canal privado. |
Nota:
En el paso 4, también tiene que identificar y quitar las directivas de retención y retención asignadas al buzón de correo que contenga el tipo de mensajes de chat que desea eliminar.
Sugerencias para buscar mensajes de chat
Para garantizar la recopilación más completa de conversaciones de chat de Teams (incluidos chats de grupo y 1:1, y chats de chats estándar, compartidos y privados), use la condición Tipo y seleccione la opción Mensajes instantáneos al compilar la consulta de búsqueda para la estimación de la recopilación. También se recomienda incluir un intervalo de fechas o varias palabras clave para restringir el ámbito de la colección a elementos relevantes para la búsqueda de una investigación de eliminación.
Este es un ejemplo de una consulta de ejemplo con las opciones Tipo y Fecha :
Para obtener más información, consulte Compilación de consultas de búsqueda para colecciones.
Paso 3: Revisar y comprobar los mensajes de chat que se van a eliminar
El proceso de eliminación del paso 5 elimina los elementos devueltos por la colección. Es importante que revise los resultados de la estimación de la colección para asegurarse de que la colección solo devuelve los elementos que desea eliminar. Para revisar un ejemplo de elementos de una estimación de colección, consulte la sección "Pasos siguientes después de completar una estimación de recopilación" en Creación de una estimación de recopilación.
Además, puede usar las estadísticas de recopilación (en concreto, las estadísticas de ubicaciones principales) para generar una lista de los orígenes de datos que contienen elementos devueltos por la colección. Use esta lista en el paso siguiente para quitar las directivas de retención y suspensión de los orígenes de datos que contienen resultados de búsqueda. Para obtener más información, consulte Estadísticas e informes de recopilación.
Paso 4: Quitar todas las retenciones y directivas de retención de orígenes de datos
Para poder eliminar mensajes de chat de un buzón de correo, debe quitar todas las retenciones de toda la organización, retenciones de sitio o retenciones de directivas de retención asignadas a un buzón de destino. Si no es así, se conserva el chat que intenta eliminar.
Use la lista de buzones que contienen los mensajes de chat que desea eliminar y determine si hay una directiva de retención o suspensión asignada a esos buzones y, a continuación, quite la directiva de retención o suspensión. Asegúrese de identificar la directiva de retención o retención que quite para poder reasignar a los buzones en el paso 7.
Para obtener instrucciones sobre cómo identificar y quitar las directivas de retención y retención, consulte "Paso 3: Quitar todas las retenciones del buzón" en Eliminar elementos en la carpeta Elementos recuperables de buzones basados en la nube en suspensión.
Paso 5: Eliminar mensajes de chat de Teams
Nota:
Dado que Microsoft Graph Explorer no está disponible en algunas nubes del Gobierno de EE. UU. (GCC High y DOD), debe usar PowerShell para realizar estas tareas. Consulte Eliminar mensajes de chat con PowerShell para obtener más información.
Ahora ya está listo para eliminar realmente los mensajes de chat de Teams. Use el Explorador de Microsoft Graph para realizar las tres tareas siguientes:
- Obtenga el identificador del caso de eDiscovery (Premium) que creó en el paso 1. Este es el caso que contiene la colección creada en el paso 2.
- Obtenga el identificador de la colección que creó en el paso 2 y comprobó los resultados de la búsqueda en el paso 3. La consulta de búsqueda de esta colección devuelve los mensajes de chat que se eliminarán.
- Elimine los mensajes de chat devueltos por la colección.
Para obtener información sobre el uso del Explorador de Graph, consulte Uso del Explorador de Graph para probar las API de Microsoft Graph.
Importante
Para realizar estas tres tareas en el Explorador de Graph, es posible que tenga que dar su consentimiento a los permisos eDiscovery.Read.All y eDiscovery.ReadWrite.All. Para obtener más información, consulte la sección "Consentimiento para permisos" en Trabajar con el Explorador de Graph.
Obtención del identificador del caso
Vaya e https://developer.microsoft.com/graph/graph-explorer inicie sesión en el Explorador de Graph con una cuenta que tenga asignado el rol Búsqueda Y purgar en el portal de cumplimiento Microsoft Purview.
Ejecute la siguiente solicitud GET para recuperar el identificador del caso de eDiscovery (Premium). Use el valor
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCasesen la barra de direcciones de la consulta de solicitud. Asegúrese de seleccionar v1.0 en la lista desplegable Versión de API.Esta solicitud devuelve información sobre todos los casos de la organización en la pestaña Vista previa de respuesta.
Desplácese por la respuesta para buscar el caso de eDiscovery (Premium). Use la propiedad displayName para identificar el caso.
Copie el identificador correspondiente (o cópielo y péguelo en un archivo de texto). Usará este identificador en la siguiente tarea para obtener el identificador de colección.
Sugerencia
En lugar de usar el procedimiento anterior para obtener el identificador de caso, puede abrir el caso en el portal de cumplimiento Microsoft Purview y copiar el identificador de caso de la dirección URL.
Obtener eDiscoverySearchID
En el Explorador de Graph, ejecute la siguiente solicitud GET para recuperar el identificador de la colección que creó en el paso 2 y contiene los elementos que desea eliminar. Use el valor
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searchesde la barra de direcciones de la consulta de solicitud, donde {ediscoveryCaseID} es el CaseID que obtuvo en el procedimiento anterior.Desplácese por la respuesta para buscar la colección que contiene los elementos que desea eliminar. Use la propiedad displayName para identificar la colección que creó en el paso 3.
En la respuesta, la consulta de búsqueda de la colección se muestra en la propiedad contentQuery . Los elementos devueltos por esta consulta se eliminan en la siguiente tarea.
Copie el identificador correspondiente (o cópielo y péguelo en un archivo de texto). Usará este identificador en la siguiente tarea para eliminar los mensajes de chat.
Sugerencia
En lugar de usar el procedimiento anterior para obtener el identificador de búsqueda, puede abrir el caso en el portal de cumplimiento Microsoft Purview. Abra el caso y vaya a la pestaña Trabajos. Seleccione la recopilación correspondiente y, en Información de soporte técnico, busque el identificador de trabajo (el identificador de trabajo que se muestra aquí es el mismo que el identificador de recopilación).
Eliminación de los mensajes de chat
En el Explorador de Graph, ejecute la siguiente solicitud POST para eliminar los elementos devueltos por la colección que creó en el paso 2. Use el valor
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeDatade la barra de direcciones de la consulta de solicitud, donde {ediscoveryCaseID} y {ediscoverySearchID} son los identificadores que obtuvo en los procedimientos anteriores.Si la solicitud POST se realiza correctamente, se muestra un código de respuesta HTTP en un banner verde que indica que se ha aceptado la solicitud.
Para obtener más información sobre purgeData, vea sourceCollection: purgeData.
Eliminación de mensajes de chat con PowerShell
También puede eliminar mensajes de chat mediante PowerShell. Por ejemplo, para eliminar mensajes en la nube del Gobierno de EE. UU., podría usar un comando similar al siguiente:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
Para obtener más información sobre el uso de PowerShell para eliminar mensajes de chat, vea ediscoverySearch: purgeData.
Paso 6: Comprobar que se eliminan los mensajes de chat
Después de ejecutar la solicitud POST para eliminar mensajes de chat, estos mensajes se quitan del cliente de Teams y se reemplazan por un generado automáticamente que indica que un administrador ha quitado el mensaje. Para ver un ejemplo de este mensaje, consulte la sección Experiencia del usuario final de este artículo.
Si necesita confirmar que se ha quitado un mensaje de chat y no tiene acceso al mensaje del usuario final en Teams, vuelva a ejecutar la búsqueda y compruebe si se encuentra algún mensaje coincidente. Si no hay ningún resultado para el mensaje, el mensaje se ha quitado.
Los mensajes de chat eliminados se mueven a la carpeta SubstrateHolds , que es una carpeta de buzón oculta. Los mensajes de chat eliminados se almacenan allí durante al menos 1 día y, a continuación, se eliminan permanentemente la próxima vez que se ejecuta el trabajo del temporizador (normalmente entre 1 y 7 días). Para obtener más información, consulte Información sobre la retención para Microsoft Teams.
Nota:
Dado que Microsoft Graph Explorer no está disponible en la nube del Gobierno de EE. UU. (GCC, GCC High y DOD), debe usar PowerShell para realizar estas tareas.
Paso 7: Volver a aplicar las directivas de retención y retención a orígenes de datos
Después de comprobar que los mensajes de chat se eliminan y quitan del cliente de Teams, puede volver a aplicar las directivas de retención y retención que quitó en el paso 4.
Eliminación de mensajes de chat en entornos federados
Los administradores pueden usar los procedimientos de este artículo para buscar y eliminar mensajes de chat de Teams en entornos federados. Sin embargo, debe cumplir las siguientes directrices. Estas directrices se basan en la propiedad organizativa del subproceso de conversación que contiene los mensajes que desea eliminar. Una organización es el propietario de un subproceso de conversación iniciado por un usuario de esa organización. En otras palabras, cuando un usuario inicia un chat, la organización del usuario se convierte en el propietario del subproceso de conversación.
- Los administradores pueden eliminar la copia de cumplimiento en los subprocesos de conversación propiedad de su organización. Esto significa que las copias de cumplimiento se eliminan cuando el administrador que elimina los mensajes de chat en el paso 5 está en la misma organización que el usuario que inició el subproceso de conversación que contiene los mensajes eliminados. Si un subproceso de conversación tiene usuarios en dos organizaciones, se conservan las copias de cumplimiento de la otra organización.
- Si un subproceso de conversación tiene usuarios en dos organizaciones, los mensajes de chat eliminados se quitan del cliente de Teams en ambas organizaciones.
- La única manera de eliminar mensajes de chat de buzones de usuario de su organización para mensajes de chat en subprocesos de conversación propiedad de otra organización es usar directivas de retención para Teams. Para obtener más información, consulte Información sobre la retención para Microsoft Teams.
Experiencia del usuario final
Para los mensajes de chat eliminados, los usuarios ven un mensaje generado automáticamente que indica "Este mensaje fue eliminado por un administrador".
El mensaje de la captura de pantalla anterior reemplaza al mensaje de chat que se eliminó.
Nota:
Si es un usuario final y se eliminó un mensaje de chat, póngase en contacto con el administrador para obtener más información.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de