搜尋和刪除適用於 Microsoft 365 的 Copilot 資料
您可以使用 eDiscovery (Premium) 和 Microsoft Graph 總管,在支援的應用程式和服務中搜尋和刪除使用者提示和 適用於 Microsoft 365 的 Microsoft Copilot 回應。 此功能可協助您尋找並移除 Copilot 活動中包含的敏感性資訊或不當內容。 當包含機密或惡意資訊的內容透過 Copilot 相關活動發行時,此搜尋和刪除工作流程也可協助您回應數據洩漏事件。
提示
如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
搜尋和刪除 Copilot 數據之前
若要建立 eDiscovery (Premium) 案例,並使用集合來搜尋 Copilot 活動數據,您必須是 Microsoft Purview 合規性入口網站 中電子檔探索管理員角色群組的成員。 若要刪除 Copilot 數據,您必須獲派 搜尋 和清除角色。 根據預設,此角色會指派給 數據 管理和 組織管理 角色群組。 如需詳細資訊,請參閱指派電子文件探索權限。
每個信箱一次可以移除最多 10 個項目。 因為搜尋和移除 Copilot 數據的功能是要做為事件回應工具,所以此限制有助於確保快速移除此數據。
步驟 1:在 eDiscovery (Premium) 中 Create 案例
第一個步驟是在 eDiscovery (Premium) 中建立案例,以管理搜尋和刪除程式。 如需建立案例的相關信息,請 參閱使用新的案例格式。
步驟 2:Create 集合估計
建立案例之後,下一個步驟是建立集合估計值,以搜尋您想要刪除的 Copilot 數據。 您執行的刪除程式是步驟 5 刪除集合估計 (每個位置限制) 10 個專案內找到的所有 Copilot 相關專案。
在 eDiscovery (Premium) 中, 集合 是包含您想要刪除之 Copilot 資料之內容位置的電子檔探索搜尋。 Create 您在上一個步驟中建立的案例中的集合估計值。 如需詳細資訊,請參閱 Create 集合估計值。
Copilot 數據的數據源
下表列出屬於 Copilot 資料來源的應用程式和服務。 所有使用者提示到 Copilot 和 Copilot 的回應都會儲存在使用者的信箱中。
| 針對這種類型的 Microsoft Copilot 資料... | 搜尋 這個項目類別... |
|---|---|
| Excel | Ipm。SkypeTeams.Message.Copilot.Excel |
| Loop | Ipm。SkypeTeams.Message.Copilot.Loop |
| Microsoft 365 應用程式 | Ipm。SkypeTeams.Message.Copilot.M365App |
| 適用於 Bing (Bizchat) 的 Microsoft Copilot | Ipm。SkypeTeams.Message.Copilot.BizChat |
| Microsoft 表單 | Ipm。SkypeTeams.Message.Copilot。Forms |
| OneNote | Ipm。SkypeTeams.Message.Copilot.OneNote |
| Outlook | Ipm。SkypeTeams.Message.Copilot.Outlook |
| PowerPoint | Ipm。SkypeTeams.Message.Copilot.Powerpoint |
| Teams 頻道 | Ipm。SkypeTeams.Message.Copilot.Teams |
| Teams 聊天 | Ipm。SkypeTeams.Message.Copilot.Teams |
| Teams Copilot Chat (Bizchat) | Ipm。SkypeTeams.Message.Copilot.BizChat |
| Teams 會議 | Ipm。SkypeTeams.Message.Copilot.Teams |
| Teams Microsoft 365 Chat (BF) | Ipm。SkypeTeams.Message |
| Whiteboard | Ipm。SkypeTeams.Message.Copilot。Whiteboard |
| Word | Ipm。SkypeTeams.Message.Copilot。Word |
注意事項
在步驟 4 中,您也必須識別並移除指派給信箱的任何保留和保留原則,其中包含您想要刪除的 Copilot 數據類型。
搜尋 Copilot 數據的秘訣
若要協助確保最完整的 Copilot 數據集合,請在建置集合估計值的搜尋查詢時,使用 [類型 條件] 並選取 [Copilot 活動 ] 選項。 我們也建議包含日期範圍或數個關鍵詞,以將集合的範圍縮小為與搜尋和刪除調查相關的專案。
如需詳細資訊,請參閱 建置集合的搜尋查詢。
步驟 3:檢閱並確認要刪除的 Copilot 數據
步驟 5 中的刪除程式會刪除集合傳回的專案。 請務必檢閱集合估計結果,以確保集合只會傳回您想要刪除的專案。 若要檢閱集合估計中的專案範例,請參閱集合估計完成後的後續步驟一節,Create 集合估計值。
此外,您可以使用集合統計數據 (特別使用 「最上層位置 」統計數據) 來產生包含集合所傳回之專案的數據源清單。 在下一個步驟中使用此清單,從包含搜尋結果的使用者信箱中移除保留和保留原則。 如需詳細資訊,請參閱 集合統計數據和報表。
步驟 4:從數據源移除保留和保留原則
您必須先移除指派給目標信箱的任何保留或保留原則,才能從信箱中刪除 Copilot 數據。 如果沒有,則會保留您嘗試刪除的數據。
使用包含您想要刪除之 Copilot 數據的信箱清單,並判斷是否有指派給這些信箱的保留或保留原則,然後移除保留或保留原則。 請務必識別您移除的保留或保留原則,以便重新指派給步驟 7 中的信箱。
如需有關如何識別及移除保留和保留原則的指示,請參閱 步驟 3:移除信箱中所有保留 ,位於 保留中雲端式信箱的 [可復原的專案] 資料夾中的 [刪除專案]。
步驟 5:刪除 Copilot 數據
注意事項
由於某些美國政府雲端 (GCC High 和 DOD) 無法使用 Microsoft Graph 總管,因此您必須使用 PowerShell 來完成這些工作。 如需詳細資訊,請參閱 使用PowerShell刪除 Copilot 資料 。
現在您已準備好從使用者mailboexes 刪除 Copilot 資料。 使用 Microsoft Graph 總管執行下列三項工作:
- 取得您在步驟 1 中建立的 eDiscovery (Premium) 案例的標識符。 這是包含在步驟 2 中建立之集合的案例。
- 取得您在步驟 2 中建立的集合標識碼,並在步驟 3 中驗證搜尋結果。 此集合中的搜尋查詢會傳回要刪除的 Copilot 數據。
- 刪除集合所傳回的 Copilot 數據。
如需使用 Graph 總管的相關信息,請參閱 使用 Graph 總管試用 Microsoft Graph API。
重要事項
若要在 Graph 總管中執行這三項工作,您可能必須同意 eDiscovery.Read.All 和 eDiscovery.ReadWrite.All 許可權。 如需詳細資訊,請參閱 使用 Graph 總管中的一節。
取得案例標識碼
移至 https://developer.microsoft.com/graph/graph-explorer ,並使用指派 Microsoft Purview 合規性入口網站 中 搜尋 和清除角色的帳戶登入 Graph 總管。
執行下列 GET 要求,以擷取 eDiscovery (Premium) 案例的識別碼。 使用要求查詢之網址列中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases。 請務必在 [API 版本] 下拉式清單中選取 v1.0 。此要求會在 [ 回應預覽 ] 索引標籤上傳回貴組織中所有案例的相關信息。
捲動回應以找出 eDiscovery (Premium) 案例。 使用 displayName 屬性來識別案例。
將對應的識別碼複製 (或複製並貼到文字檔) 。 您將在下一個工作中使用此識別碼來取得集合標識碼。
提示
您可以在 Microsoft Purview 合規性入口網站 中開啟案例,並從 URL 複製案例識別碼,而不是使用先前的程式來取得案例標識碼。
取得 eDiscoverySearchID
在 Graph 總管中,執行下列 GET 要求,以擷取您在步驟 2 中建立之集合的識別碼,並包含您想要刪除的專案。 使用要求查詢之網址列中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches,其中 {ediscoveryCaseID} 是您在上一個程式中取得的 CaseID。捲動回應以找出包含您要刪除之專案的集合。 使用 displayName 屬性來識別您在步驟 3 中建立的集合。
在回應中,來自集合的搜尋查詢會顯示在 contentQuery 屬性中。 此查詢傳回的專案會在下一個工作中刪除。
將對應的識別碼複製 (或複製並貼到文字檔) 。 您將在下一個工作中使用此識別碼來刪除 Copilot 數據。
提示
您可以在 Microsoft Purview 合規性入口網站 中開啟案例,而不是使用先前的程式來取得搜尋標識碼。 開啟案例並流覽至 [作業] 索引標籤。選取相關的集合,然後在 [支持資訊] 底下尋找作業標識符, (此處顯示的作業標識碼與集合標識符) 相同。
刪除 Copilot 數據
在 Graph 總管中,執行下列 POST 要求,以刪除您在步驟 2 中建立的集合所傳回的專案。 使用要求查詢之網址列中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData,其中 {ediscoveryCaseID} 和 {ediscoverySearchID} 是您在先前程式中取得的標識符。如果 POST 要求成功,HTTP 回應碼會顯示在綠色橫幅中,指出已接受要求。
如需 purgeData 的詳細資訊,請參閱 sourceCollection:purgeData。
使用 PowerShell 刪除 Copilot 資料
注意事項
由於美國政府雲端 (GCC、GCC High 和 DOD) 無法使用 Microsoft Graph 總管,因此您必須使用 PowerShell 來完成這些工作。
您也可以使用 PowerShell 刪除 Copilot 資料。 例如,若要刪除美國政府雲端中的 Copilot 資料,您可以使用類似下列的命令:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
如需使用PowerShell刪除 Copilot 資料的詳細資訊,請參閱 ediscoverySearch:purgeData。
步驟 6:確認已刪除 Copilot 數據
執行 POST 要求以刪除 Copilot 數據之後,系統會從使用者的信箱中移除此數據。 使用者不會看到任何數據已刪除的通知或確認。
已刪除的 Copilot 資料會移至 SubstrateHolds 資料夾,這是隱藏的信箱資料夾。 已刪除的 Copilot 資料會在該處儲存至少 1 天,然後在下次定時器工作執行時永久刪除 (通常介於 1-7 天) 。
步驟 7:將保留和保留原則重新套用至使用者信箱
確認 Copilot 資料已刪除之後,您可以將保留和保留原則重新套用至您在步驟 4 中移除的使用者信箱。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應