Поиск и удаление сообщений чата в Teams
Вы можете использовать обнаружение электронных данных (премиум) и Обозреватель Microsoft Graph для поиска и удаления сообщений чата в Microsoft Teams. Эта функция помогает находить и удалять конфиденциальную информацию или нежелательное содержимое. Этот рабочий процесс поиска и удаления также поможет вам реагировать на инцидент утечки данных, когда содержимое, содержащее конфиденциальную или вредную информацию, освобождается через сообщения чата Teams.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Перед поиском и удалением сообщений чата
Чтобы создать дело eDiscovery (Premium) и использовать коллекции для поиска сообщений чата, необходимо быть членом группы ролей диспетчера обнаружения электронных данных в Портал соответствия требованиям Microsoft Purview. Чтобы удалить сообщения чата, вам должна быть назначена роль Поиск и очистки. По умолчанию эта роль назначается группам ролей "Следователь данных" и "Управление организацией". Дополнительные сведения см. в статье Назначение разрешений на обнаружение электронных данных.
Поиск и очистка поддерживаются для большинства бесед в клиенте. Поиск и очистка для бесед чата Teams Связи (внешний доступ или федерация) не поддерживается.
Важно!
Чаты с самим собой (или чаты пользователей с самими собой) не поддерживаются для поиска и удаления.
За один раз можно удалить не более 10 элементов из одного почтового ящика. Так как возможность поиска и удаления сообщений чата предназначена для реагирования на инциденты, это ограничение помогает гарантировать быстрое удаление сообщений чата.
рабочий процесс Поиск и удаления
Вот процесс поиска и удаления сообщений чата Teams:
Шаг 1. Создание дела в eDiscovery (премиум)
Первым шагом является создание дела в eDiscovery (премиум) для управления процессом поиска и удаления. Сведения о создании варианта см. в разделе Использование нового формата регистра.
Шаг 2. Создание оценки коллекции
После создания дела следующим шагом является создание оценки коллекции для поиска сообщений чата Teams, которые вы хотите удалить. Выполняется процесс удаления: шаг 5 удаляет все элементы, найденные в оценке коллекции (в пределах 10 элементов на расположение).
В eDiscovery (Премиум) коллекция — это поиск электронных данных в расположениях содержимого Teams, содержащих сообщения чата, которые нужно удалить. Создайте оценку коллекции в случае, созданном на предыдущем шаге. Дополнительные сведения см. в статье Создание оценки коллекции.
Источники данных для сообщений чата
Используйте следующую таблицу, чтобы определить источники данных для поиска в зависимости от типа сообщения чата, которое необходимо удалить.
| Для этого типа чата... | Поиск этот источник данных... |
|---|---|
| Чаты Teams 1:1 | Почтовый ящик участников чата. |
| Групповые чаты Teams | Почтовые ящики участников чата. |
| Каналы Teams (стандартные и общие) | Почтовый ящик, связанный с родительская команда. |
| Частные каналы Teams | Почтовый ящик членов частного канала. |
Примечание.
На шаге 4 также необходимо определить и удалить все удержания и политики хранения, назначенные почтовому ящику, который содержит тип сообщений чата, которые вы хотите удалить.
Советы по поиску сообщений чата
Чтобы обеспечить наиболее полный набор бесед в чате Teams (включая чаты 1:1 и групповые чаты, а также чаты из стандартных, общих и частных чатов), используйте условие Тип и выберите параметр Мгновенные сообщения при создании поискового запроса для оценки сбора. Мы также рекомендуем включить диапазон дат или несколько ключевых слов, чтобы сузить область коллекции до элементов, относящихся к поиску и расследованию удаления.
Ниже приведен пример запроса с параметрами Тип и Дата .
Дополнительные сведения см. в разделе Создание поисковых запросов для коллекций.
Шаг 3. Просмотр и проверка сообщений чата для удаления
Процесс удаления на шаге 5 удаляет элементы, возвращенные коллекцией. Важно проверить результаты оценки коллекции, чтобы убедиться, что коллекция возвращает только элементы, которые требуется удалить. Чтобы просмотреть выборку элементов в оценке коллекции, см. раздел "Дальнейшие действия после завершения оценки коллекции" статьи Создание оценки коллекции.
Кроме того, можно использовать статистику сбора (в частности, статистику основных расположений) для создания списка источников данных, содержащих элементы, возвращаемые коллекцией. Используйте этот список на следующем шаге, чтобы удалить политики удержания и хранения из источников данных, содержащих результаты поиска. Дополнительные сведения см. в разделе Статистика сбора и отчеты.
Шаг 4. Удаление всех удержаний и политик хранения из источников данных
Прежде чем удалять сообщения чата из почтового ящика, необходимо удалить все удержания в масштабах всей организации, удержания сайта или удержания политики хранения, назначенные целевому почтовому ящику. Если нет, чат, который вы пытаетесь удалить, сохраняется.
Используйте список почтовых ящиков, содержащих сообщения чата, которые вы хотите удалить, и определите, назначена ли им политика удержания или хранения, а затем удалите политику удержания или хранения. Обязательно определите удаляемую политику удержания или хранения, чтобы можно было переназначить почтовым ящикам на шаге 7.
Инструкции по идентификации и удалению удержаний и политик хранения см. в разделе Шаг 3. Удаление всех удержаний из почтового ящика в статье Удаление элементов в папке "Элементы с возможностью восстановления" облачных почтовых ящиков при удержании.
Шаг 5. Удаление сообщений чата из Teams
Примечание.
Так как Microsoft Graph Обозреватель недоступна в некоторых облаках для государственных организаций США (GCC High и DOD), для выполнения этих задач необходимо использовать PowerShell. Дополнительные сведения см. в статье Удаление сообщений чата с помощью PowerShell .
Теперь вы готовы к фактическому удалению сообщений чата из Teams. Используйте Обозреватель Microsoft Graph для выполнения следующих трех задач:
- Получите идентификатор дела eDiscovery (Премиум), созданного на шаге 1. В этом случае содержится коллекция, созданная на шаге 2.
- Получите идентификатор коллекции, созданной на шаге 2 и проверенной результатами поиска на шаге 3. Поисковый запрос в этой коллекции возвращает сообщения чата, которые будут удалены.
- Удалите сообщения чата, возвращенные коллекцией.
Сведения об использовании Обозреватель Graph см. в статье Использование Обозреватель Graph для пробных интерфейсов API Microsoft Graph.
Важно!
Для выполнения этих трех задач в Graph Обозреватель может потребоваться согласие на разрешения eDiscovery.Read.All и eDiscovery.ReadWrite.All. Дополнительные сведения см. в разделе "Согласие на разрешения" статьи Работа с Обозреватель Graph.
Получение идентификатора обращения
Перейдите по адресу https://developer.microsoft.com/graph/graph-explorer и войдите в Обозреватель Graph с учетной записью, которому назначена роль Поиск And Purge в Портал соответствия требованиям Microsoft Purview.
Выполните следующий запрос GET, чтобы получить идентификатор для дела обнаружения электронных данных (премиум). Используйте значение
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCasesв адресной строке запроса. Обязательно выберите версию 1.0 в раскрывающемся списке Версия API.Этот запрос возвращает сведения обо всех случаях в организации на вкладке Предварительный просмотр ответа .
Прокрутите ответ, чтобы найти дело обнаружения электронных данных (премиум). Используйте свойство displayName для идентификации варианта.
Скопируйте соответствующий идентификатор (или скопируйте и вставьте его в текстовый файл). Этот идентификатор будет использоваться в следующей задаче, чтобы получить идентификатор коллекции.
Совет
Вместо того, чтобы использовать предыдущую процедуру для получения идентификатора обращения, можно открыть дело в Портал соответствия требованиям Microsoft Purview и скопировать идентификатор дела из URL-адреса.
Получение идентификатора обнаружения электронных данных
В graph Обозреватель выполните следующий запрос GET, чтобы получить идентификатор коллекции, созданной на шаге 2, и содержит элементы, которые нужно удалить. Используйте значение
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searchesв адресной строке запроса, где {ediscoveryCaseID} — это идентификатор CaseID, полученный в предыдущей процедуре.Прокрутите ответ, чтобы найти коллекцию, содержащую элементы, которые нужно удалить. Используйте свойство displayName для идентификации коллекции, созданной на шаге 3.
В ответе поисковый запрос из коллекции отображается в свойстве contentQuery . Элементы, возвращаемые этим запросом, удаляются в следующей задаче.
Скопируйте соответствующий идентификатор (или скопируйте и вставьте его в текстовый файл). Этот идентификатор будет использоваться в следующей задаче для удаления сообщений чата.
Совет
Вместо того, чтобы использовать предыдущую процедуру для получения идентификатора поиска, можно открыть дело в Портал соответствия требованиям Microsoft Purview. Откройте дело и перейдите на вкладку Задания. Выберите соответствующую коллекцию и в разделе Сведения о поддержке найдите идентификатор задания (идентификатор задания, отображаемый здесь, совпадает с идентификатором коллекции).
Удаление сообщений чата
В Graph Обозреватель выполните следующий запрос POST, чтобы удалить элементы, возвращенные коллекцией, созданной на шаге 2. Используйте значение
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeDataв адресной строке запроса, где {ediscoveryCaseID} и {ediscoverySearchID} — это идентификаторы, полученные в предыдущих процедурах.Если запрос POST выполнен успешно, в зеленом баннере отображается код ответа HTTP, указывающий, что запрос принят.
Дополнительные сведения о purgeData см. в разделе sourceCollection: purgeData.
Удаление сообщений чата с помощью PowerShell
Вы также можете удалять сообщения чата с помощью PowerShell. Например, чтобы удалить сообщения в облаке для государственных организаций США, можно использовать команду, аналогичную следующей:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
Дополнительные сведения об использовании PowerShell для удаления сообщений чата см. в статье ediscoverySearch: purgeData.
Шаг 6. Проверка удаления сообщений чата
После выполнения запроса POST на удаление сообщений чата эти сообщения удаляются из клиента Teams и заменяются автоматически созданным сообщением о том, что администратор удалил сообщение. Пример этого сообщения см. в разделе Взаимодействие с пользователем этой статьи.
Если вам нужно убедиться, что сообщение чата удалено и у вас нет доступа к сообщению конечного пользователя в Teams, повторно запустите поиск и проверьте, найдены ли соответствующие сообщения. Если для сообщения нет результатов, сообщение было удалено.
Удаленные сообщения чата перемещаются в папку SubstrateHolds , которая является скрытой папкой почтового ящика. Удаленные сообщения чата хранятся там не менее 1 дня, а затем окончательно удаляются при следующем запуске задания таймера (обычно в течение 1–7 дней). Дополнительные сведения см. в статье Сведения о хранении для Microsoft Teams.
Примечание.
Так как Microsoft Graph Обозреватель недоступна в облаке для государственных организаций США (GCC, GCC High и DOD), для выполнения этих задач необходимо использовать PowerShell.
Шаг 7. Повторное применение политик хранения и хранения к источникам данных
Убедившись, что сообщения чата удалены и удалены из клиента Teams, можно повторно применить политики удержания и хранения, удаленные на шаге 4.
Удаление сообщений чата в федеративных средах
Администраторы могут использовать процедуры, описанные в этой статье, для поиска и удаления сообщений чата Teams в федеративных средах. Однако необходимо придерживаться следующих рекомендаций. Эти рекомендации основаны на собственности организации на поток беседы, содержащий сообщения, которые требуется удалить. Организация является владельцем потока беседы, который запускается пользователем в этой организации. Другими словами, когда пользователь запускает чат, его организация становится владельцем потока беседы.
- Администраторы могут удалить копию соответствия в потоках бесед, принадлежащих их организации. Это означает, что копии соответствия требованиям удаляются, когда администратор, удаляющий сообщения чата на шаге 5, находится в той же организации, что и пользователь, который инициировал поток беседы, содержащий удаленные сообщения. Если в потоке беседы есть пользователи в двух организациях, копии соответствия для другой организации сохраняются.
- Если в потоке беседы есть пользователи в двух организациях, удаленные сообщения чата удаляются из клиента Teams в обеих организациях.
- Единственный способ удалить сообщения чата из почтовых ящиков пользователей в организации для сообщений чата в потоках бесед, принадлежащих другой организации, — использовать политики хранения для Teams. Дополнительные сведения см. в статье Сведения о хранении для Microsoft Teams.
Характер работы пользователей
Для удаленных сообщений чата пользователи видят автоматически созданное сообщение с сообщением "Это сообщение было удалено администратором".
Сообщение на предыдущем снимке экрана заменяет удаленное сообщение чата.
Примечание.
Если вы являетесь конечным пользователем и сообщение чата было удалено, обратитесь к администратору за дополнительными сведениями.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по