Suchen und Löschen von Chatnachrichten in Teams
Tipp
eDiscovery (Vorschauversion) ist jetzt im neuen Microsoft Purview-Portal verfügbar. Weitere Informationen zur Verwendung der neuen eDiscovery-Benutzeroberfläche finden Sie unter Informationen zu eDiscovery (Vorschauversion).
Sie können eDiscovery (Premium) und den Microsoft Graph-Explorer verwenden, um nach Chatnachrichten in Microsoft Teams zu suchen und zu löschen. Dieses Feature kann Ihnen helfen, vertrauliche Informationen oder unangemessene Inhalte zu finden und zu entfernen. Dieser Such- und Löschworkflow hilft Ihnen auch dabei, auf einen Datenleckfall zu reagieren, wenn Inhalte mit vertraulichen oder schädlichen Informationen über Teams-Chatnachrichten veröffentlicht werden.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Vor dem Suchen und Löschen von Chatnachrichten
Um einen eDiscovery (Premium)-Fall zu erstellen und Sammlungen zum Suchen nach Chatnachrichten zu verwenden, müssen Sie Mitglied der Rollengruppe eDiscovery Manager im Microsoft Purview-Complianceportal sein. Zum Löschen von Chatnachrichten muss Ihnen die Rolle Suchen und Löschen zugewiesen werden. Diese Rolle wird standardmäßig den Rollengruppen Datenermittler und Organisationsverwaltung zugewiesen. Weitere Informationen finden Sie unter Zuweisen von eDiscovery-Berechtigungen.
Suchen und Bereinigen werden für die meisten Unterhaltungen in Ihrem Mandanten unterstützt. Das Suchen und Bereinigen für Teams Connect Chat-Unterhaltungen (externer Zugriff oder Verbund) wird nicht unterstützt.
Wichtig
Chats mit sich selbst (oder Chats von Benutzern mit sich selbst) werden für das Suchen und Löschen nicht unterstützt.
Aus jedem Postfach können maximal 10 Elemente gleichzeitig entfernt werden. Da die Funktion zum Suchen und Entfernen von Chatnachrichten ein Tool zur Reaktion auf Vorfälle sein soll, hilft dieser Grenzwert sicherzustellen, dass Chatnachrichten schnell entfernt werden.
Such- und Löschworkflow
Hier sehen Sie den Prozess zum Suchen und Löschen von Teams-Chatnachrichten:
Schritt 1: Erstellen eines Falls in eDiscovery (Premium)
Der erste Schritt besteht darin, einen Fall in eDiscovery (Premium) zu erstellen, um den Such- und Löschvorgang zu verwalten. Informationen zum Erstellen eines Falls finden Sie unter Verwenden des neuen Fallformats.
Schritt 2: Erstellen einer Sammlungsschätzung
Nachdem Sie einen Fall erstellt haben, besteht der nächste Schritt darin, eine Sammlungsschätzung zu erstellen, um nach den Teams-Chatnachrichten zu suchen, die Sie löschen möchten. Der Löschvorgang, den Sie ausführen, ist Schritt 5, löscht alle Elemente, die in der Sammlungsschätzung gefunden werden (innerhalb des Grenzwerts von 10 Elementen pro Speicherort).
In eDiscovery (Premium) ist eine Sammlung eine eDiscovery-Suche der Teams-Inhaltsspeicherorte, die die Chatnachrichten enthalten, die Sie löschen möchten. Erstellen Sie die Sammlungsschätzung für den Fall, dass Sie im vorherigen Schritt erstellt haben. Weitere Informationen finden Sie unter Erstellen einer Sammlungsschätzung.
Datenquellen für Chatnachrichten
Verwenden Sie die folgende Tabelle, um zu bestimmen, welche Datenquellen je nach Art der Chatnachricht, die Sie löschen müssen, durchsucht werden sollen.
Für diese Art von Chat... | Diese Datenquelle durchsuchen... |
---|---|
Teams 1:1-Chats | Das Postfach der Chatteilnehmer. |
Teams-Gruppenchats | Die Postfächer von Chatteilnehmern. |
Teams-Kanäle (Standard und freigegeben) | Das Postfach, das dem übergeordneten Team zugeordnet ist. |
Private Teams-Kanäle | Das Postfach der Mitglieder des privaten Kanals. |
Hinweis
In Schritt 4 müssen Sie auch alle Haltebereiche und Aufbewahrungsrichtlinien identifizieren und entfernen, die dem Postfach zugewiesen sind, das den Typ der Chatnachrichten enthält, die Sie löschen möchten.
Tipps für die Suche nach Chatnachrichten
Um die umfassendste Sammlung von Teams-Chatunterhaltungen (einschließlich 1:1- und Gruppenchats sowie Chats aus Standard-, freigegebenen und privaten Chats) sicherzustellen, verwenden Sie die Bedingung Typ , und wählen Sie die Option Chatnachrichten aus, wenn Sie die Suchabfrage für die Sammlungsschätzung erstellen. Es wird auch empfohlen, einen Datumsbereich oder mehrere Schlüsselwörter anzugeben, um den Bereich der Sammlung auf Elemente einzugrenzen, die für Ihre Suche und eine Löschuntersuchung relevant sind.
Hier sehen Sie ein Beispiel für eine Beispielabfrage mit den Optionen Typ und Datum :
Weitere Informationen finden Sie unter Erstellen von Suchabfragen für Sammlungen.
Schritt 3: Überprüfen und Überprüfen der zu löschenden Chatnachrichten
Beim Löschvorgang in Schritt 5 werden die von der Auflistung zurückgegebenen Elemente gelöscht. Es ist wichtig, dass Sie die Ergebnisse der Sammlungsschätzung überprüfen, um sicherzustellen, dass die Sammlung nur die Elemente zurückgibt, die Sie löschen möchten. Informationen zum Überprüfen einer Stichprobe von Elementen in einer Sammlungsschätzung finden Sie im Abschnitt "Nächste Schritte nach Abschluss einer Sammlungsschätzung" unter Erstellen einer Sammlungsschätzung.
Darüber hinaus können Sie die Sammlungsstatistiken (insbesondere die Statistiken der wichtigsten Speicherorte) verwenden, um eine Liste der Datenquellen zu generieren, die von der Sammlung zurückgegebene Elemente enthalten. Verwenden Sie diese Liste im nächsten Schritt, um Aufbewahrungs- und Aufbewahrungsrichtlinien aus den Datenquellen zu entfernen, die Suchergebnisse enthalten. Weitere Informationen finden Sie unter Sammlungsstatistiken und -berichte.
Schritt 4: Entfernen aller Aufbewahrungs- und Aufbewahrungsrichtlinien aus Datenquellen
Bevor Sie Chatnachrichten aus einem Postfach löschen können, müssen Sie alle organisationsweiten Haltebereiche, Websitesperren oder Aufbewahrungsrichtlinien entfernen, die einem Zielpostfach zugewiesen sind. Andernfalls wird der Chat, den Sie löschen möchten, beibehalten.
Verwenden Sie die Liste der Postfächer, die die Chatnachrichten enthalten, die Sie löschen möchten, und bestimmen Sie, ob diesen Postfächern eine Aufbewahrungs- oder Aufbewahrungsrichtlinie zugewiesen ist, und entfernen Sie dann die Aufbewahrungs- oder Aufbewahrungsrichtlinie. Stellen Sie sicher, dass Sie die Aufbewahrungs- oder Aufbewahrungsrichtlinie identifizieren, die Sie entfernen, damit Sie den Postfächern in Schritt 7 neu zuweisen können.
Anweisungen zum Identifizieren und Entfernen von Aufbewahrungs- und Aufbewahrungsrichtlinien finden Sie unter "Schritt 3: Entfernen aller Haltebereiche aus dem Postfach" unter Löschen von Elementen im Ordner "Wiederherstellbare Elemente" von cloudbasierten Postfächern im Halteraum.
Schritt 5: Löschen von Chatnachrichten aus Teams
Hinweis
Da Microsoft Graph-Explorer in einigen US Government-Clouds (GCC High und DOD) nicht verfügbar ist, müssen Sie PowerShell verwenden, um diese Aufgaben auszuführen. Weitere Informationen finden Sie unter Löschen von Chatnachrichten mit PowerShell .
Jetzt können Sie Chatnachrichten tatsächlich aus Teams löschen. Verwenden Sie den Microsoft Graph-Explorer, um die folgenden drei Aufgaben auszuführen:
- Rufen Sie die ID des eDiscovery (Premium)-Falls ab, den Sie in Schritt 1 erstellt haben. Dies ist der Fall, der die in Schritt 2 erstellte Auflistung enthält.
- Rufen Sie die ID der Sammlung ab, die Sie in Schritt 2 erstellt und die Suchergebnisse in Schritt 3 überprüft haben. Die Suchabfrage in dieser Sammlung gibt die Chatnachrichten zurück, die gelöscht werden.
- Löschen Sie die von der Sammlung zurückgegebenen Chatnachrichten.
Informationen zur Verwendung des Graph-Explorers finden Sie unter Verwenden des Graph-Explorers zum Testen von Microsoft Graph-APIs.
Wichtig
Um diese drei Aufgaben im Graph-Explorer auszuführen, müssen Sie möglicherweise den Berechtigungen eDiscovery.Read.All und eDiscovery.ReadWrite.All zustimmen. Weitere Informationen finden Sie im Abschnitt "Zustimmung zu Berechtigungen" unter Arbeiten mit Graph-Explorer.
Abrufen der Fall-ID
Wechseln Sie zu https://developer.microsoft.com/graph/graph-explorer , und melden Sie sich beim Graph-Explorer mit einem Konto an, dem die Rolle Suchen und Löschen im Microsoft Purview-Complianceportal zugewiesen ist.
Führen Sie die folgende GET-Anforderung aus, um die ID für den eDiscovery (Premium)-Fall abzurufen. Verwenden Sie den Wert
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases
in der Adressleiste der Anforderungsabfrage. Wählen Sie in der Dropdownliste API-Version die Option v1.0 aus.Diese Anforderung gibt Informationen zu allen Fällen in Ihrer Organisation auf der Registerkarte Antwortvorschau zurück.
Scrollen Sie durch die Antwort, um den eDiscovery (Premium)-Fall zu suchen. Verwenden Sie die displayName-Eigenschaft , um den Fall zu identifizieren.
Kopieren Sie die entsprechende ID (oder kopieren Sie sie, und fügen Sie sie in eine Textdatei ein). Sie verwenden diese ID in der nächsten Aufgabe, um die Sammlungs-ID abzurufen.
Tipp
Anstatt das vorherige Verfahren zum Abrufen der Fall-ID zu verwenden, können Sie den Fall im Microsoft Purview-Complianceportal öffnen und die Fall-ID aus der URL kopieren.
Abrufen der eDiscoverySearchID
Führen Sie im Graph-Explorer die folgende GET-Anforderung aus, um die ID für die Sammlung abzurufen, die Sie in Schritt 2 erstellt haben, und enthält die Elemente, die Sie löschen möchten. Verwenden Sie den Wert
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches
in der Adressleiste der Anforderungsabfrage, wobei {ediscoveryCaseID} die CaseID ist, die Sie im vorherigen Verfahren abgerufen haben.Scrollen Sie durch die Antwort, um die Sammlung zu suchen, die die Elemente enthält, die Sie löschen möchten. Verwenden Sie die displayName-Eigenschaft , um die Sammlung zu identifizieren, die Sie in Schritt 3 erstellt haben.
In der Antwort wird die Suchabfrage aus der Auflistung in der contentQuery-Eigenschaft angezeigt. Von dieser Abfrage zurückgegebene Elemente werden in der nächsten Aufgabe gelöscht.
Kopieren Sie die entsprechende ID (oder kopieren Sie sie, und fügen Sie sie in eine Textdatei ein). Sie verwenden diese ID in der nächsten Aufgabe, um die Chatnachrichten zu löschen.
Tipp
Anstatt das vorherige Verfahren zum Abrufen der Such-ID zu verwenden, können Sie den Fall im Microsoft Purview-Complianceportal öffnen. Öffnen Sie den Fall, und navigieren Sie zur Registerkarte Aufträge. Wählen Sie die relevante Sammlung aus, und suchen Sie unter Supportinformationen die Auftrags-ID (die hier angezeigte Auftrags-ID entspricht der Sammlungs-ID).
Löschen der Chatnachrichten
Führen Sie im Graph-Explorer die folgende POST-Anforderung aus, um die von der Sammlung zurückgegebenen Elemente zu löschen, die Sie in Schritt 2 erstellt haben. Verwenden Sie den Wert
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData
in der Adressleiste der Anforderungsabfrage, wobei {ediscoveryCaseID} und {ediscoverySearchID} die IDs sind, die Sie in den vorherigen Verfahren abgerufen haben.Wenn die POST-Anforderung erfolgreich ist, wird ein HTTP-Antwortcode in einem grünen Banner mit dem Hinweis angezeigt, dass die Anforderung akzeptiert wurde.
Weitere Informationen zu purgeData finden Sie unter sourceCollection: purgeData.
Löschen von Chatnachrichten mit PowerShell
Sie können Chatnachrichten auch mithilfe von PowerShell löschen. Zum Löschen von Nachrichten in der Cloud für US-Behörden können Sie beispielsweise einen Befehl wie den folgenden verwenden:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
Weitere Informationen zur Verwendung von PowerShell zum Löschen von Chatnachrichten finden Sie unter ediscoverySearch: purgeData.
Schritt 6: Überprüfen, ob Chatnachrichten gelöscht werden
Nachdem Sie die POST-Anforderung zum Löschen von Chatnachrichten ausgeführt haben, werden diese Nachrichten aus dem Teams-Client entfernt und durch einen automatisch generierten ersetzt, der besagt, dass ein Administrator die Nachricht entfernt hat. Ein Beispiel für diese Meldung finden Sie im Abschnitt Endbenutzererfahrung in diesem Artikel.
Wenn Sie bestätigen müssen, dass eine Chatnachricht entfernt wurde und sie keinen Zugriff auf die Endbenutzernachricht in Teams haben, führen Sie die Suche erneut aus, und überprüfen Sie, ob übereinstimmende Nachrichten gefunden wurden. Wenn keine Ergebnisse für die Nachricht vorliegen, wurde die Nachricht entfernt.
Gelöschte Chatnachrichten werden in den Ordner SubstrateHolds verschoben, der ein ausgeblendeter Postfachordner ist. Gelöschte Chatnachrichten werden dort mindestens 1 Tag gespeichert und dann bei der nächsten Ausführung des Zeitgeberauftrags endgültig gelöscht (in der Regel zwischen 1 und 7 Tagen). Weitere Informationen finden Sie unter Informationen zur Aufbewahrung für Microsoft Teams.
Hinweis
Da Microsoft Graph-Explorer in der US Government-Cloud (GCC, GCC High und DOD) nicht verfügbar ist, müssen Sie PowerShell verwenden, um diese Aufgaben auszuführen.
Schritt 7: Erneutes Anwenden von Aufbewahrungs- und Aufbewahrungsrichtlinien auf Datenquellen
Nachdem Sie überprüft haben, ob Chatnachrichten gelöscht und vom Teams-Client entfernt wurden, können Sie die Aufbewahrungs- und Aufbewahrungsrichtlinien, die Sie in Schritt 4 entfernt haben, erneut anwenden.
Löschen von Chatnachrichten in Verbundumgebungen
Administratoren können die Verfahren in diesem Artikel verwenden, um Teams-Chatnachrichten in Verbundumgebungen zu durchsuchen und zu löschen. Sie müssen sich jedoch an die folgenden Richtlinien halten. Diese Richtlinien basieren auf dem Organisationsbesitz des Konversationsthreads, der die Nachrichten enthält, die Sie löschen möchten. Eine Organisation ist der Besitzer eines Konversationsthreads, der von einem Benutzer in dieser Organisation gestartet wird. Anders ausgedrückt: Wenn ein Benutzer einen Chat startet, wird die Organisation des Benutzers zum Besitzer des Unterhaltungsthreads.
- Administratoren können die Konformitätskopie in Unterhaltungsthreads löschen, die sich im Besitz ihrer Organisation befinden. Das bedeutet, dass Konformitätskopien gelöscht werden, wenn sich der Administrator, der die Chatnachrichten in Schritt 5 löscht, in derselben Organisation befindet wie der Benutzer, der den Konversationsthread initiiert hat, der die gelöschten Nachrichten enthält. Wenn ein Unterhaltungsthread Benutzer in zwei Organisationen enthält, werden Konformitätskopien für die andere Organisation beibehalten.
- Wenn ein Unterhaltungsthread Benutzer in zwei Organisationen enthält, werden gelöschte Chatnachrichten in beiden Organisationen aus dem Teams-Client entfernt.
- Die einzige Möglichkeit zum Löschen von Chatnachrichten aus Benutzerpostfächern in Ihrer Organisation für Chatnachrichten in Unterhaltungsthreads im Besitz einer anderen Organisation ist die Verwendung von Aufbewahrungsrichtlinien für Teams. Weitere Informationen finden Sie unter Informationen zur Aufbewahrung für Microsoft Teams.
Endbenutzererfahrung
Für gelöschte Chatnachrichten wird Benutzern eine automatisch generierte Nachricht mit der Meldung "Diese Nachricht wurde von einem Administrator gelöscht" angezeigt.
Die Nachricht im vorherigen Screenshot ersetzt die Chatnachricht, die gelöscht wurde.
Hinweis
Wenn Sie ein Endbenutzer sind und eine Chatnachricht gelöscht wurde, wenden Sie sich an Ihren Administrator, um weitere Informationen zu erhalten.