搜索和删除 Microsoft Copilot 以获取 Microsoft 365 数据
可以使用电子数据展示 (Premium) 和 Microsoft Graph 资源管理器在受支持的应用程序和服务中搜索和删除用户提示以及适用于 Microsoft 365 的 Microsoft Copilot响应。 此功能可帮助你查找和删除 Copilot 活动中包含的敏感信息或不适当的内容。 当包含机密或恶意信息的内容通过 Copilot 相关活动发布时,此搜索和删除工作流还有助于响应数据泄漏事件。
提示
如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
在搜索和删除 Copilot 数据之前
若要创建电子数据展示 (Premium) 案例并使用集合搜索 Copilot 活动数据,你必须是 Microsoft Purview 合规门户 中的电子数据展示管理员角色组的成员。 若要删除 Copilot 数据,必须分配搜索和清除角色。 默认情况下,此角色分配给数据调查员和组织管理角色组。 有关详细信息,请参阅分配电子数据展示权限。
一次最多可以删除每个邮箱的 10 封邮件。 由于搜索和删除 Copilot 数据的功能旨在成为事件响应工具,因此此限制有助于确保快速删除此数据。
步骤 1:Create电子数据展示 (Premium)
第一步是在电子数据展示 (Premium) 中创建事例,以管理搜索和删除过程。 有关创建案例的信息,请参阅 使用新的案例格式。
步骤 2:Create集合估算
创建事例后,下一步是创建集合估计值,以搜索要删除的 Copilot 数据。 您执行的删除过程是步骤 5 删除集合估计 (在每个位置限制) 10 个项目内找到的所有与 Copilot 相关的项目。
在电子数据展示 (Premium) 中, 集合 是包含要删除的 Copilot 数据的内容位置的电子数据展示搜索。 Create在上一步中创建的情况下的集合估计值。 有关详细信息,请参阅Create集合估计值。
Copilot 数据的数据源
下表列出了属于 Copilot 数据源的应用程序和服务。 所有用户对 Copilot 的提示和来自 Copilot 的响应都存储在用户的邮箱中。
| 对于这种类型的 Microsoft Copilot 数据... | 搜索此项类... |
|---|---|
| Excel | Ipm。SkypeTeams.Message.Copilot.Excel |
| Loop | Ipm。SkypeTeams.Message.Copilot.Loop |
| Microsoft 365 应用版 | Ipm。SkypeTeams.Message.Copilot.M365App |
| Microsoft Copilot for Bing (Bizchat) | Ipm。SkypeTeams.Message.Copilot.BizChat |
| Microsoft Forms | Ipm。SkypeTeams.Message.Copilot。Forms |
| OneNote | Ipm。SkypeTeams.Message.Copilot.OneNote |
| Outlook | Ipm。SkypeTeams.Message.Copilot.Outlook |
| PowerPoint | Ipm。SkypeTeams.Message.Copilot.Powerpoint |
| Teams 频道 | Ipm。SkypeTeams.Message.Copilot.Teams |
| Teams 聊天 | Ipm。SkypeTeams.Message.Copilot.Teams |
| Teams Copilot Chat (Bizchat) | Ipm。SkypeTeams.Message.Copilot.BizChat |
| Teams 会议 | Ipm。SkypeTeams.Message.Copilot.Teams |
| Teams Microsoft 365 Chat (BF) | Ipm。SkypeTeams.Message |
| Whiteboard | Ipm。SkypeTeams.Message.Copilot。Whiteboard |
| Word | Ipm。SkypeTeams.Message.Copilot。Word |
注意
在步骤 4 中,还必须标识并删除分配给邮箱的任何保留和保留策略,该邮箱包含要删除的 Copilot 数据类型。
有关搜索 Copilot 数据的提示
若要帮助确保最全面的 Copilot 数据收集,请在为集合估计生成搜索查询时使用 “类型 ”条件并选择“ Copilot 活动 ”选项。 我们还建议包括日期范围或多个关键字,以将集合范围缩小到与搜索和删除调查相关的项目。
有关详细信息,请参阅 生成集合的搜索查询。
步骤 3:查看并验证要删除的 Copilot 数据
步骤 5 中的删除过程将删除集合返回的项。 请务必查看集合估计结果,以确保集合仅返回要删除的项。 若要查看集合估算中的项示例,请参阅集合估计Create中的集合估计完成后的后续步骤部分。
此外,可以使用集合统计信息 (特别是 “Top Locations 统计信息”) 来生成包含集合返回的项的数据源列表。 在下一步中使用此列表从包含搜索结果的用户邮箱中删除保留和保留策略。 有关详细信息,请参阅 集合统计信息和报表。
步骤 4:从数据源中删除保留和保留策略
必须先删除分配给目标邮箱的任何保留或保留策略,然后才能从邮箱中删除 Copilot 数据。 否则,将保留你尝试删除的数据。
使用包含要删除的 Copilot 数据的邮箱列表,确定是否为这些邮箱分配了保留或保留策略,然后删除保留或保留策略。 请务必确定删除的保留或保留策略,以便可以重新分配到步骤 7 中的邮箱。
有关如何识别和删除保留和保留策略的说明,请参阅删除基于云的邮箱的“可恢复邮件”文件夹中的“删除所有保留项”中的步骤 3:从邮箱中删除所有保留项。
步骤 5:删除 Copilot 数据
注意
由于 Microsoft Graph 资源管理器在某些美国政府云中不可用, (GCC High 和 DOD) ,因此必须使用 PowerShell 来完成这些任务。 有关详细信息,请参阅 使用 PowerShell 删除 Copilot 数据 。
现在,你已准备好从用户 mailboex 中删除 Copilot 数据。 使用 Microsoft Graph 资源管理器执行以下三项任务:
- 获取在步骤 1 中创建的电子数据展示 (Premium) 事例的 ID。 这是包含步骤 2 中创建的集合的情况。
- 获取在步骤 2 中创建的集合的 ID,并在步骤 3 中验证了搜索结果。 此集合中的搜索查询返回要删除的 Copilot 数据。
- 删除集合返回的 Copilot 数据。
有关使用 Graph 资源管理器的信息,请参阅 使用 Graph 资源管理器尝试 Microsoft Graph API。
重要
若要在 Graph 资源管理器中执行这三个任务,可能需要同意电子数据展示.Read.All 和电子数据展示.ReadWrite.All 权限。 有关详细信息,请参阅 使用 Graph 资源管理器中的“同意权限”部分。
获取案例 ID
转到https://developer.microsoft.com/graph/graph-explorer,并使用在 Microsoft Purview 合规门户 中分配有搜索和清除角色的帐户登录到 Graph 资源管理器。
运行以下 GET 请求,检索电子数据展示 (Premium) 事例的 ID。 使用请求查询的地址栏中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases。 请务必在 API 版本下拉列表中选择 v1.0 。此请求在 “响应预览 ”选项卡上返回有关组织中所有案例的信息。
滚动浏览响应,找到电子数据展示 (高级版) 事例。 使用 displayName 属性标识事例。
复制相应的 ID (或复制并粘贴到文本文件) 。 你将在下一个任务中使用此 ID 来获取集合 ID。
提示
可以在 Microsoft Purview 合规门户中打开事例,并从 URL 复制案例 ID,而不是使用前面的过程来获取案例 ID。
获取电子数据展示SearchID
在 Graph 资源管理器中,运行以下 GET 请求以检索在步骤 2 中创建的集合的 ID,并包含要删除的项目。 使用请求查询的地址栏中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches,其中 {ediscoveryCaseID} 是在上一过程中获取的 CaseID。滚动响应以找到包含要删除的项的集合。 使用 displayName 属性标识在步骤 3 中创建的集合。
在响应中,集合中的搜索查询显示在 contentQuery 属性中。 此查询返回的项将在下一个任务中删除。
复制相应的 ID (或复制并粘贴到文本文件) 。 在下一个任务中,你将使用此 ID 删除 Copilot 数据。
提示
可以在 Microsoft Purview 合规门户中打开事例,而不是使用前面的过程来获取搜索 ID。 打开事例并导航到“作业”选项卡。选择相关集合,然后在“支持信息”下找到作业 ID, (此处显示的作业 ID 与集合 ID) 相同。
删除 Copilot 数据
在 Graph 资源管理器中,运行以下 POST 请求以删除在步骤 2 中创建的集合返回的项目。 使用请求查询的地址栏中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData,其中 {ediscoveryCaseID} 和 {ediscoverySearchID} 是你在前面的过程中获取的 ID。如果 POST 请求成功,HTTP 响应代码会显示在绿色横幅中,指出请求已接受。
有关 purgeData 的详细信息,请参阅 sourceCollection: purgeData。
使用 PowerShell 删除 Copilot 数据
注意
由于 Microsoft Graph Explorer 在美国政府云 (GCC、GCC High 和 DOD) 中不可用,因此必须使用 PowerShell 来完成这些任务。
还可以使用 PowerShell 删除 Copilot 数据。 例如,若要删除美国政府云中的 Copilot 数据,可以使用如下所示的命令:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
有关使用 PowerShell 删除 Copilot 数据的详细信息,请参阅 ediscoverySearch: purgeData。
步骤 6:验证是否已删除 Copilot 数据
运行 POST 请求以删除 Copilot 数据后,将从用户的邮箱中删除此数据。 用户没有任何可见的通知或确认数据已被删除。
已删除的 Copilot 数据将移动到 SubstrateHolds 文件夹,该文件夹是隐藏的邮箱文件夹。 已删除的 Copilot 数据将存储在其中至少 1 天,然后在下次运行计时器作业时永久删除, (通常在) 1-7 天之间。
步骤 7:将保留和保留策略重新应用于用户邮箱
验证是否已删除 Copilot 数据后,可以将保留和保留策略重新应用到步骤 4 中删除的用户邮箱。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈