Search und Löschen von Chatnachrichten in Teams

Sie können eDiscovery (Premium) und die Microsoft Graph-Explorer verwenden, um in Microsoft Teams nach Chatnachrichten zu suchen und diese zu löschen. Dieses Feature kann Ihnen helfen, vertrauliche Informationen oder unangemessene Inhalte zu finden und zu entfernen. Dieser Such- und Löschworkflow hilft Ihnen auch dabei, auf einen Datenleckfall zu reagieren, wenn Inhalte mit vertraulichen oder schädlichen Informationen über Teams-Chatnachrichten veröffentlicht werden.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Vor dem Suchen und Löschen von Chatnachrichten

• Um einen eDiscovery (Premium)-Fall zu erstellen und Sammlungen zum Suchen nach Chatnachrichten zu verwenden, müssen Sie Mitglied der Rollengruppe eDiscovery-Manager im Microsoft Purview-Complianceportal sein. Zum Löschen von Chatnachrichten muss Ihnen die Rolle "Search Und löschen" zugewiesen werden. Diese Rolle wird standardmäßig den Rollengruppen Datenermittler und Organisationsverwaltung zugewiesen. Weitere Informationen finden Sie unter Zuweisen von eDiscovery-Berechtigungen.

• Search und Bereinigen werden für die meisten Unterhaltungen innerhalb Ihres Mandanten unterstützt. Search und Bereinigen für Teams Connect Chatunterhaltungen (externer Zugriff oder Verbund) wird nicht unterstützt.

  Wichtig

  Chats mit sich selbst (oder Chats von Benutzern mit sich selbst) werden für das Suchen und Löschen nicht unterstützt.

• Aus jedem Postfach können maximal 10 Elemente gleichzeitig entfernt werden. Da die Funktion zum Suchen und Entfernen von Chatnachrichten ein Tool zur Reaktion auf Vorfälle sein soll, hilft dieser Grenzwert sicherzustellen, dass Chatnachrichten schnell entfernt werden.

workflow Search und löschen

Hier sehen Sie den Prozess zum Suchen und Löschen von Teams-Chatnachrichten:

Schritt 1: Erstellen eines Falls in eDiscovery (Premium)

Der erste Schritt besteht darin, einen Fall in eDiscovery (Premium) zu erstellen, um den Such- und Löschvorgang zu verwalten. Informationen zum Erstellen eines Falls finden Sie unter Verwenden des neuen Fallformats.

Schritt 2: Erstellen einer Sammlungsschätzung

Nachdem Sie einen Fall erstellt haben, besteht der nächste Schritt darin, eine Sammlungsschätzung zu erstellen, um nach den Teams-Chatnachrichten zu suchen, die Sie löschen möchten. Der Löschvorgang, den Sie ausführen, ist Schritt 5, löscht alle Elemente, die in der Sammlungsschätzung gefunden werden (innerhalb des Grenzwerts von 10 Elementen pro Speicherort).

In eDiscovery (Premium) ist eine Sammlung eine eDiscovery-Suche der Teams-Inhaltsspeicherorte, die die Chatnachrichten enthalten, die Sie löschen möchten. Erstellen Sie die Sammlungsschätzung für den Fall, dass Sie im vorherigen Schritt erstellt haben. Weitere Informationen finden Sie unter Erstellen einer Sammlungsschätzung.

Datenquellen für Chatnachrichten

Verwenden Sie die folgende Tabelle, um zu bestimmen, welche Datenquellen je nach Art der Chatnachricht, die Sie löschen müssen, durchsucht werden sollen.

Für diese Art von Chat...	Search diese Datenquelle...
Teams 1:1-Chats	Das Postfach der Chatteilnehmer.
Teams-Gruppenchats	Die Postfächer von Chatteilnehmern.
Teams-Kanäle (Standard und freigegeben)	Das Postfach, das dem übergeordnetes Team zugeordnet ist.
Private Teams-Kanäle	Das Postfach der Mitglieder des privaten Kanals.

Hinweis

In Schritt 4 müssen Sie auch alle Haltebereiche und Aufbewahrungsrichtlinien identifizieren und entfernen, die dem Postfach zugewiesen sind, das den Typ der Chatnachrichten enthält, die Sie löschen möchten.

Tipps für die Suche nach Chatnachrichten

Um die umfassendste Sammlung von Teams-Chatunterhaltungen (einschließlich 1:1- und Gruppenchats sowie Chats aus Standard-, freigegebenen und privaten Chats) sicherzustellen, verwenden Sie die Bedingung Typ , und wählen Sie die Option Chatnachrichten aus, wenn Sie die Suchabfrage für die Sammlungsschätzung erstellen. Es wird auch empfohlen, einen Datumsbereich oder mehrere Schlüsselwörter anzugeben, um den Bereich der Sammlung auf Elemente einzugrenzen, die für Ihre Suche und eine Löschuntersuchung relevant sind.

Hier sehen Sie ein Beispiel für eine Beispielabfrage mit den Optionen Typ und Datum :

Weitere Informationen finden Sie unter Erstellen von Suchabfragen für Sammlungen.

Schritt 3: Überprüfen und Überprüfen der zu löschenden Chatnachrichten

Beim Löschvorgang in Schritt 5 werden die von der Auflistung zurückgegebenen Elemente gelöscht. Es ist wichtig, dass Sie die Ergebnisse der Sammlungsschätzung überprüfen, um sicherzustellen, dass die Sammlung nur die Elemente zurückgibt, die Sie löschen möchten. Informationen zum Überprüfen einer Stichprobe von Elementen in einer Sammlungsschätzung finden Sie im Abschnitt "Nächste Schritte nach Abschluss einer Sammlungsschätzung" unter Erstellen einer Sammlungsschätzung.

Darüber hinaus können Sie die Sammlungsstatistiken (insbesondere die Statistiken der wichtigsten Speicherorte) verwenden, um eine Liste der Datenquellen zu generieren, die von der Sammlung zurückgegebene Elemente enthalten. Verwenden Sie diese Liste im nächsten Schritt, um Aufbewahrungs- und Aufbewahrungsrichtlinien aus den Datenquellen zu entfernen, die Suchergebnisse enthalten. Weitere Informationen finden Sie unter Sammlungsstatistiken und -berichte.

Schritt 4: Entfernen aller Aufbewahrungs- und Aufbewahrungsrichtlinien aus Datenquellen

Bevor Sie Chatnachrichten aus einem Postfach löschen können, müssen Sie alle organization breiten Haltebereiche, Websitespeicher oder Aufbewahrungsrichtlinien entfernen, die einem Zielpostfach zugewiesen sind. Andernfalls wird der Chat, den Sie löschen möchten, beibehalten.

Verwenden Sie die Liste der Postfächer, die die Chatnachrichten enthalten, die Sie löschen möchten, und bestimmen Sie, ob diesen Postfächern eine Aufbewahrungs- oder Aufbewahrungsrichtlinie zugewiesen ist, und entfernen Sie dann die Aufbewahrungs- oder Aufbewahrungsrichtlinie. Stellen Sie sicher, dass Sie die Aufbewahrungs- oder Aufbewahrungsrichtlinie identifizieren, die Sie entfernen, damit Sie den Postfächern in Schritt 7 neu zuweisen können.

Anweisungen zum Identifizieren und Entfernen von Aufbewahrungs- und Aufbewahrungsrichtlinien finden Sie unter "Schritt 3: Entfernen aller Haltebereiche aus dem Postfach" unter Löschen von Elementen im Ordner "Wiederherstellbare Elemente" von cloudbasierten Postfächern im Halteraum.

Schritt 5: Löschen von Chatnachrichten aus Teams

Hinweis

Da Microsoft Graph Explorer in einigen Us Government-Clouds (GCC High und DOD) nicht verfügbar ist, müssen Sie PowerShell verwenden, um diese Aufgaben auszuführen. Weitere Informationen finden Sie unter Löschen von Chatnachrichten mit PowerShell .

Jetzt können Sie Chatnachrichten tatsächlich aus Teams löschen. Verwenden Sie die Microsoft Graph-Explorer, um die folgenden drei Aufgaben auszuführen:

1. Rufen Sie die ID des eDiscovery (Premium)-Falls ab, den Sie in Schritt 1 erstellt haben. Dies ist der Fall, der die in Schritt 2 erstellte Auflistung enthält.
2. Rufen Sie die ID der Sammlung ab, die Sie in Schritt 2 erstellt und die Suchergebnisse in Schritt 3 überprüft haben. Die Suchabfrage in dieser Sammlung gibt die Chatnachrichten zurück, die gelöscht werden.
3. Löschen Sie die von der Sammlung zurückgegebenen Chatnachrichten.

Informationen zur Verwendung von Graph Explorer finden Sie unter Verwenden von Graph Explorer zum Testen von Microsoft Graph-APIs.

Wichtig

Um diese drei Aufgaben in Graph Explorer auszuführen, müssen Sie möglicherweise den Berechtigungen eDiscovery.Read.All und eDiscovery.ReadWrite.All zustimmen. Weitere Informationen finden Sie im Abschnitt "Zustimmung zu Berechtigungen" unter Arbeiten mit Graph Explorer.

Abrufen der Fall-ID

1. Wechseln Sie zu https://developer.microsoft.com/graph/graph-explorer , und melden Sie sich beim Graph-Explorer mit einem Konto an, dem im Microsoft Purview-Complianceportal die Rolle "Search Und bereinigen" zugewiesen ist.

2. Führen Sie die folgende GET-Anforderung aus, um die ID für den eDiscovery (Premium)-Fall abzurufen. Verwenden Sie den Wert https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases in der Adressleiste der Anforderungsabfrage. Wählen Sie in der Dropdownliste API-Version die Option v1.0 aus.

   Diese Anforderung gibt Informationen zu allen Fällen in Ihrem organization auf der Registerkarte Antwortvorschau zurück.

3. Scrollen Sie durch die Antwort, um den eDiscovery (Premium)-Fall zu suchen. Verwenden Sie die displayName-Eigenschaft , um den Fall zu identifizieren.

4. Kopieren Sie die entsprechende ID (oder kopieren Sie sie, und fügen Sie sie in eine Textdatei ein). Sie verwenden diese ID in der nächsten Aufgabe, um die Sammlungs-ID abzurufen.

Tipp

Anstatt das vorherige Verfahren zum Abrufen der Fall-ID zu verwenden, können Sie den Fall im Microsoft Purview-Complianceportal öffnen und die Fall-ID aus der URL kopieren.

Abrufen der eDiscoverySearchID

1. Führen Sie in Graph Explorer die folgende GET-Anforderung aus, um die ID für die Sammlung abzurufen, die Sie in Schritt 2 erstellt haben, und enthält die Elemente, die Sie löschen möchten. Verwenden Sie den Wert https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches in der Adressleiste der Anforderungsabfrage, wobei {ediscoveryCaseID} die CaseID ist, die Sie im vorherigen Verfahren abgerufen haben.

2. Scrollen Sie durch die Antwort, um die Sammlung zu suchen, die die Elemente enthält, die Sie löschen möchten. Verwenden Sie die displayName-Eigenschaft , um die Sammlung zu identifizieren, die Sie in Schritt 3 erstellt haben.

   In der Antwort wird die Suchabfrage aus der Auflistung in der contentQuery-Eigenschaft angezeigt. Von dieser Abfrage zurückgegebene Elemente werden in der nächsten Aufgabe gelöscht.

3. Kopieren Sie die entsprechende ID (oder kopieren Sie sie, und fügen Sie sie in eine Textdatei ein). Sie verwenden diese ID in der nächsten Aufgabe, um die Chatnachrichten zu löschen.

Tipp

Anstatt das vorherige Verfahren zum Abrufen der Such-ID zu verwenden, können Sie den Fall im Microsoft Purview-Complianceportal öffnen. Öffnen Sie den Fall, und navigieren Sie zur Registerkarte Aufträge. Wählen Sie die relevante Sammlung aus, und suchen Sie unter Supportinformationen die Auftrags-ID (die hier angezeigte Auftrags-ID entspricht der Sammlungs-ID).

Löschen der Chatnachrichten

1. Führen Sie in Graph Explorer die folgende POST-Anforderung aus, um die von der Sammlung zurückgegebenen Elemente zu löschen, die Sie in Schritt 2 erstellt haben. Verwenden Sie den Wert https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData in der Adressleiste der Anforderungsabfrage, wobei {ediscoveryCaseID} und {ediscoverySearchID} die IDs sind, die Sie in den vorherigen Verfahren abgerufen haben.

   Wenn die POST-Anforderung erfolgreich ist, wird ein HTTP-Antwortcode in einem grünen Banner mit dem Hinweis angezeigt, dass die Anforderung akzeptiert wurde.

Weitere Informationen zu purgeData finden Sie unter sourceCollection: purgeData.

Löschen von Chatnachrichten mit PowerShell

Sie können Chatnachrichten auch mithilfe von PowerShell löschen. Zum Löschen von Nachrichten in der Cloud für US-Behörden können Sie beispielsweise einen Befehl wie den folgenden verwenden:

Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov

Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'

Weitere Informationen zur Verwendung von PowerShell zum Löschen von Chatnachrichten finden Sie unter ediscoverySearch: purgeData.

Schritt 6: Überprüfen, ob Chatnachrichten gelöscht werden

Nachdem Sie die POST-Anforderung zum Löschen von Chatnachrichten ausgeführt haben, werden diese Nachrichten aus dem Teams-Client entfernt und durch einen automatisch generierten ersetzt, der besagt, dass ein Administrator die Nachricht entfernt hat. Ein Beispiel für diese Meldung finden Sie im Abschnitt Endbenutzererfahrung in diesem Artikel.

Wenn Sie bestätigen müssen, dass eine Chatnachricht entfernt wurde und sie keinen Zugriff auf die Endbenutzernachricht in Teams haben, führen Sie die Suche erneut aus, und überprüfen Sie, ob übereinstimmende Nachrichten gefunden wurden. Wenn keine Ergebnisse für die Nachricht vorliegen, wurde die Nachricht entfernt.

Gelöschte Chatnachrichten werden in den Ordner SubstrateHolds verschoben, der ein ausgeblendeter Postfachordner ist. Gelöschte Chatnachrichten werden dort mindestens 1 Tag gespeichert und dann bei der nächsten Ausführung des Zeitgeberauftrags endgültig gelöscht (in der Regel zwischen 1 und 7 Tagen). Weitere Informationen finden Sie unter Informationen zur Aufbewahrung für Microsoft Teams.

Hinweis

Da Microsoft Graph Explorer in der US Government-Cloud (GCC, GCC High und DOD) nicht verfügbar ist, müssen Sie PowerShell verwenden, um diese Aufgaben auszuführen.

Schritt 7: Erneutes Anwenden von Aufbewahrungs- und Aufbewahrungsrichtlinien auf Datenquellen

Nachdem Sie überprüft haben, ob Chatnachrichten gelöscht und vom Teams-Client entfernt wurden, können Sie die Aufbewahrungs- und Aufbewahrungsrichtlinien, die Sie in Schritt 4 entfernt haben, erneut anwenden.

Löschen von Chatnachrichten in Verbundumgebungen

Administratoren können die Verfahren in diesem Artikel verwenden, um Teams-Chatnachrichten in Verbundumgebungen zu durchsuchen und zu löschen. Sie müssen sich jedoch an die folgenden Richtlinien halten. Diese Richtlinien basieren auf dem Organisationsbesitz des Konversationsthreads, der die Nachrichten enthält, die Sie löschen möchten. Ein organization ist der Besitzer eines Konversationsthreads, der von einem Benutzer in diesem organization gestartet wird. Anders ausgedrückt: Wenn ein Benutzer einen Chat startet, wird der organization des Benutzers zum Besitzer des Unterhaltungsthreads.

• Administratoren können die Konformitätskopie in Unterhaltungsthreads löschen, die ihrem organization gehören. Das bedeutet, dass Konformitätskopien gelöscht werden, wenn sich der Administrator, der die Chatnachrichten in Schritt 5 löscht, im gleichen organization wie der Benutzer befindet, der den Konversationsthread initiiert hat, der die gelöschten Nachrichten enthält. Wenn ein Konversationsthread Über Benutzer in zwei Organisationen verfügt, werden Konformitätskopien für die anderen organization beibehalten.
• Wenn ein Unterhaltungsthread Benutzer in zwei Organisationen enthält, werden gelöschte Chatnachrichten in beiden Organisationen aus dem Teams-Client entfernt.
• Die einzige Möglichkeit zum Löschen von Chatnachrichten aus Benutzerpostfächern in Ihrem organization für Chatnachrichten in Unterhaltungsthreads, die einem anderen organization gehören, ist die Verwendung von Aufbewahrungsrichtlinien für Teams. Weitere Informationen finden Sie unter Informationen zur Aufbewahrung für Microsoft Teams.

Endbenutzererfahrung

Für gelöschte Chatnachrichten wird Benutzern eine automatisch generierte Nachricht mit der Meldung "Diese Nachricht wurde von einem Administrator gelöscht" angezeigt.

Die Nachricht im vorherigen Screenshot ersetzt die Chatnachricht, die gelöscht wurde.

Hinweis

Wenn Sie ein Endbenutzer sind und eine Chatnachricht gelöscht wurde, wenden Sie sich an Ihren Administrator, um weitere Informationen zu erhalten.