在 Teams 中 搜尋 和刪除聊天訊息
您可以使用電子檔探索 (進階) 和 Microsoft Graph 總管,在 Microsoft Teams 中搜尋和刪除聊天訊息。 此功能可協助您尋找和移除敏感性資訊或不適當的內容。 當包含機密或惡意資訊的內容透過 Teams 聊天訊息發行時,此搜尋和刪除工作流程也可協助您回應資料外洩事件。
提示
如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
搜尋和刪除聊天訊息之前
若要建立 eDiscovery (Premium) 案例,並使用集合來搜尋聊天訊息,您必須是 Microsoft Purview 合規性入口網站 中電子檔探索管理員角色群組的成員。 若要刪除聊天訊息,您必須獲派 搜尋 和清除角色。 根據預設,此角色會指派給 數據 管理和 組織管理 角色群組。 如需詳細資訊,請參閱指派電子文件探索權限。
租使用者內大部分的交談都支援 搜尋 和清除。 不支援 搜尋 和清除 Teams Connect 聊天 (外部存取或同盟) 交談。
重要事項
不支援與您自己 (聊天,或使用者自行) 聊天,以進行搜尋和刪除。
每個信箱一次可以移除最多 10 個項目。 因為搜尋和移除聊天訊息的功能是事件回應工具,所以此限制有助於確保聊天訊息會快速移除。
搜尋和刪除工作流程
以下是搜尋和刪除 Teams 聊天訊息的程式:
步驟 1:在 eDiscovery (Premium) 中建立案例
第一個步驟是在 eDiscovery (Premium) 中建立案例,以管理搜尋和刪除程式。 如需建立案例的相關信息,請 參閱使用新的案例格式。
步驟 2:建立集合估計
建立案例之後,下一個步驟是建立集合估計值,以搜尋您想要刪除的Teams聊天訊息。 您執行的刪除程式是步驟 5 刪除集合估計值中找到的所有專案, (在每個位置限制的 10 個專案內) 。
在 eDiscovery (Premium) 中, 集合 是 Teams 內容位置的電子檔探索搜尋,其中包含您想要刪除的聊天訊息。 在您於上一個步驟中建立的案例中建立集合估計值。 如需詳細資訊,請 參閱建立集合估計值。
聊天訊息的數據源
根據您需要刪除的聊天訊息類型,使用下表來判斷要搜尋的數據源。
| 對於這種聊天類型... | 搜尋 此資料來源... |
|---|---|
| Teams 1:1 聊天 | 聊天參與者的信箱。 |
| Teams 群組聊天 | 聊天參與者的信箱。 |
| Teams 頻道 (標準和共用) | 與父小組相關聯的信箱。 |
| Teams 私人頻道 | 私人頻道成員的信箱。 |
注意事項
在步驟 4 中,您也必須識別並移除指派給信箱的任何保留和保留原則,其中包含您想要刪除的聊天訊息類型。
搜尋聊天訊息的秘訣
為了協助確保最完整的 Teams 聊天交談集合 (包括 1:1 和群組聊天,以及來自標準、共用和私人聊天的聊天) 使用 [類型 ] 條件,並在建置集合估計值的搜尋查詢時選取 [ 立即訊息 ] 選項。 我們也建議包含日期範圍或數個關鍵詞,以將集合的範圍縮小為與您搜尋相關的專案刪除調查。
以下是使用 [類型 ] 和 [ 日期 ] 選項的範例查詢範例:
如需詳細資訊,請參閱 建置集合的搜尋查詢。
步驟 3:檢閱並確認要刪除的聊天訊息
步驟 5 中的刪除程式會刪除集合傳回的專案。 請務必檢閱集合估計結果,以確保集合只會傳回您想要刪除的專案。 若要檢閱集合估計中的專案範例,請參閱 建立集合估計中的一節。
此外,您可以使用集合統計數據 (特別使用 Top Locations 統計數據) 來產生包含集合所傳回之專案的數據源清單。 在下一個步驟中使用此清單,從包含搜尋結果的數據源中移除保留和保留原則。 如需詳細資訊,請參閱 集合統計數據和報表。
步驟 4:從數據源移除所有保留和保留原則
您必須先移除指派給目標信箱的所有全組織保留、網站保留或保留原則保留,才能從信箱中刪除聊天訊息。 如果沒有,則會保留您嘗試刪除的聊天。
使用包含您想要刪除之聊天訊息的信箱清單,並判斷是否有指派給這些信箱的保留或保留原則,然後移除保留或保留原則。 請務必識別您移除的保留或保留原則,以便重新指派給步驟 7 中的信箱。
For instructions about how to identify and remove holds and retention policies, see "Step 3: Remove all holds from the mailbox" in Delete items in the Recoverable Items folder of cloud-based mailboxes on hold.
步驟 5:從 Teams 刪除聊天訊息
注意事項
由於某些美國政府雲端 (GCC High 和 DOD) 無法使用 Microsoft Graph 總管,因此您必須使用 PowerShell 來完成這些工作。 如需詳細資訊,請參閱 使用PowerShell刪除聊天訊息 。
現在您已準備好實際刪除 Teams 中的聊天訊息。 使用 Microsoft Graph 總管執行下列三項工作:
- 取得您在步驟 1 中建立的 eDiscovery (Premium) 案例的標識符。 這是包含在步驟 2 中建立之集合的案例。
- 取得您在步驟 2 中建立的集合標識碼,並在步驟 3 中驗證搜尋結果。 此集合中的搜尋查詢會傳回將會刪除的聊天訊息。
- 刪除集合所傳回的聊天訊息。
如需使用 Graph 總管的相關信息,請參閱 使用 Graph 總管試用 Microsoft Graph API。
重要事項
若要在 Graph 總管中執行這三項工作,您可能必須同意 eDiscovery.Read.All 和 eDiscovery.ReadWrite.All 許可權。 如需詳細資訊,請參閱 使用 Graph 總管中的一節。
取得案例標識碼
移至 https://developer.microsoft.com/graph/graph-explorer ,並使用已在 Microsoft Purview 合規性入口網站 中指派 搜尋 和清除角色的帳戶登入 Graph 總管。
執行下列 GET 要求,以擷取 eDiscovery (Premium) 案例的識別碼。 使用要求查詢之網址列中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases。 請務必在 [API 版本] 下拉式清單中選取 v1.0 。此要求會在 [ 回應預覽 ] 索引標籤上傳回貴組織中所有案例的相關信息。
捲動回應以找出 eDiscovery (Premium) 案例。 使用 displayName 屬性來識別案例。
將對應的識別碼複製 (或複製並貼到文字檔) 。 您將在下一個工作中使用此識別碼來取得集合標識碼。
提示
您可以在 Microsoft Purview 合規性入口網站 中開啟案例,並從 URL 複製案例識別碼,而不是使用先前的程式來取得案例標識碼。
取得 eDiscoverySearchID
在 Graph 總管中,執行下列 GET 要求,以擷取您在步驟 2 中建立之集合的識別碼,並包含您想要刪除的專案。 使用要求查詢之網址列中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches,其中 {ediscoveryCaseID} 是您在上一個程式中取得的 CaseID。捲動回應以找出包含您要刪除之專案的集合。 使用 displayName 屬性來識別您在步驟 3 中建立的集合。
在回應中,來自集合的搜尋查詢會顯示在 contentQuery 屬性中。 此查詢傳回的專案會在下一個工作中刪除。
將對應的識別碼複製 (或複製並貼到文字檔) 。 您將在下一個工作中使用此識別碼來刪除聊天訊息。
提示
您可以在 Microsoft Purview 合規性入口網站 中開啟案例,而不是使用先前的程式來取得搜尋標識碼。 開啟案例並流覽至 [作業] 索引標籤。選取相關的集合,然後在 [支持資訊] 底下尋找作業標識符, (此處顯示的作業標識碼與集合標識符) 相同。
刪除聊天訊息
在 Graph 總管中,執行下列 POST 要求,以刪除您在步驟 2 中建立的集合所傳回的專案。 使用要求查詢之網址列中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData,其中 {ediscoveryCaseID} 和 {ediscoverySearchID} 是您在先前程式中取得的標識符。如果 POST 要求成功,HTTP 回應碼會顯示在綠色橫幅中,指出已接受要求。
如需 purgeData 的詳細資訊,請參閱 sourceCollection:purgeData。
使用 PowerShell 刪除聊天訊息
您也可以使用 PowerShell 刪除聊天訊息。 例如,若要刪除美國政府雲端中的訊息,您可以使用類似下列的命令:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
如需使用PowerShell刪除聊天訊息的詳細資訊,請參閱 ediscoverySearch:purgeData。
步驟 6:確認已刪除聊天訊息
執行 POST 要求以刪除聊天訊息之後,這些訊息會從 Teams 用戶端中移除,並取代為自動產生的 ,指出系統管理員已移除訊息。 如需此訊息的範例,請參閱本文中的 用戶體驗 一節。
如果您需要確認聊天訊息已移除,且無法存取Teams中的使用者訊息,請重新執行搜尋,並確認是否找到任何相符的訊息。 如果訊息沒有任何結果,則已移除訊息。
已刪除的聊天訊息會移至 SubstrateHolds 資料夾,這是隱藏的信箱資料夾。 已刪除的聊天訊息會在該處儲存至少 1 天,然後在下次定時器工作執行時永久刪除 (通常介於 1-7 天) 。 如需詳細資訊,請 參閱瞭解 Microsoft Teams 的保留期。
注意事項
由於美國政府雲端 (GCC、GCC High 和 DOD) 無法使用 Microsoft Graph 總管,因此您必須使用 PowerShell 來完成這些工作。
步驟 7:將保留和保留原則重新套用至數據源
確認聊天訊息已從 Teams 用戶端刪除並移除之後,您可以重新套用您在步驟 4 中移除的保留和保留原則。
刪除同盟環境中的聊天訊息
系統管理員可以使用本文中的程式,在同盟環境中搜尋和刪除Teams聊天訊息。 不過,您必須遵守下列指導方針。 這些指導方針是以包含您想要刪除之訊息之交談線程的組織擁有權為基礎。 組織是該組織中用戶啟動之交談對話的擁有者。 換句話說,當用戶開始聊天時,用戶的組織會成為交談對話的擁有者。
- 系統管理員可以在其組織所擁有的交談對話中刪除合規性複本。 這表示當在步驟 5 中刪除聊天訊息的系統管理員與起始包含已刪除訊息之交談對話的用戶位於相同的組織中時,就會刪除合規性複本。 如果交談線程有兩個組織中的使用者,則會保留另一個組織的合規性複本。
- 如果交談對話有兩個組織中的使用者,則會從兩個組織的Teams用戶端移除已刪除的聊天訊息。
- 將聊天訊息從組織中使用者信箱中刪除為另一個組織所擁有的交談對話中的聊天訊息,唯一的方法是使用Teams的保留原則。 如需詳細資訊,請 參閱瞭解 Microsoft Teams 的保留期。
使用者體驗
對於已刪除的聊天訊息,使用者會看到自動產生的訊息,指出「此訊息已由系統管理員刪除」。
上一個螢幕快照中的訊息會取代已刪除的聊天訊息。
注意事項
如果您是使用者,且已刪除聊天訊息,請連絡您的系統管理員以取得詳細資訊。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: