Compartir a través de


Búsqueda y eliminación de mensajes de chat de Microsoft Teams en eDiscovery

Puede usar eDiscovery y el Explorador de Microsoft Graph para buscar y eliminar mensajes de chat en Microsoft Teams. Esta característica puede ayudarle a buscar y quitar información confidencial o contenido inadecuado. Este flujo de trabajo de búsqueda y eliminación le ayuda a responder a un evento de desbordamiento de datos, cuando el contenido que contiene información confidencial o malintencionada se publica a través de mensajes de chat de Teams.

Los datos de chat de Microsoft Teams se almacenan en copias independientes, una con fines de cumplimiento (que usan herramientas como eDiscovery) y otra para el acceso del usuario final.

  • Las operaciones de eliminación temporal o eliminación rígida quitan la copia del usuario final de forma permanente y no se pueden recuperar para su uso por parte del usuario.

  • Las purgas basadas en cmdlets de mensajes de Teams pueden quitar la copia de cumplimiento de los mensajes de Teams, pero la copia del usuario final permanece visible. Una vez eliminada la copia de cumplimiento, eDiscovery ya no puede quitar el mensaje visible para el usuario final. Se recomienda comprobar cuidadosamente los mensajes de Teams antes de purgar y evitar el uso de cmdlets para purgar mensajes de Teams (la copia del usuario final no se elimina).

    • Si el uso de cmdlets revisa el informe de exportación y excluye elementos de teams, las eliminaciones solo se realizan en la copia de cumplimiento y no quitan copias de la visualización del usuario final. Esto también evita cualquier eliminación futura al usar las API de Microsoft Graph.
    • Si usa Microsoft Graph para revisar el informe y asegurarse de que los elementos de los equipos que se eliminan son intencionados, no hay recuperación de los elementos una vez completada la eliminación.

Para garantizar la eliminación completa de los elementos, planee cuidadosamente la estrategia de purga y comprenda qué copiar los destinos de acción.

Sugerencia

Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.

Antes de buscar y eliminar mensajes de chat

Importante

Revise detenidamente las siguientes instrucciones antes de iniciar los pasos de búsqueda y purga de mensajes de correo electrónico.

  • En función de la suscripción de eDiscovery de su organización, los casos se pueden habilitar para las características premium o no. Compruebe el nivel de compatibilidad de características para el caso para determinar si la búsqueda y purga deben realizarse mediante PowerShell o Microsoft Graph. Los casos no configurados para las características premium solo pueden usar PowerShell para buscar y eliminar mensajes de correo electrónico y los casos configurados para las características Premium pueden usar PowerShell o Microsoft Graph para buscar y eliminar mensajes de correo electrónico. No use una combinación de PowerShell y Microsoft Graph para purgar mensajes de correo electrónico y chats.

  • Una vez que los datos se eliminan permanentemente, no se pueden recuperar. Siga atentamente las instrucciones de este artículo y valide el ámbito de la búsqueda antes de emitir el comando de purga. Una vez que se ejecuta el comando de purga, no se puede deshacer y los mensajes de correo electrónico y los chats no se pueden restaurar.

  • Ejecute un informe de exportación para revisar todos los elementos que coincidan con los criterios de búsqueda antes de la purga. El uso de la experiencia de búsqueda y exportación en el portal de Microsoft Purview y la exportación de los resultados en formato de solo informe le permite examinar metadatos detallados antes de la eliminación. Esto ayuda a refinar el ámbito de búsqueda y garantiza una purga más precisa y dirigida.

  • Para crear un caso de eDiscovery y buscar mensajes de chat, debe ser miembro del grupo de roles administrador de exhibición de documentos electrónicos en el portal de Microsoft Purview. Para eliminar mensajes de chat, debe tener asignado el rol Buscar y purgar . Este rol se asigna a los grupos de roles Investigador de datos y Administración de la organización de forma predeterminada. Para más información, consulte Asignar permisos de eDiscovery.

  • La búsqueda y purga son compatibles con la mayoría de las conversaciones dentro de la organización. No se admite la búsqueda y purga de conversaciones de Teams Connect Chat (acceso externo o federación).

    Importante

    Los chats con usted mismo (o los chats de los usuarios con ellos mismos) no son compatibles con la búsqueda y la eliminación.

  • Un máximo de 100 elementos por buzón se puede quitar al mismo tiempo. Dado que la funcionalidad para buscar y quitar mensajes de chat está pensada para ser una herramienta de respuesta a eventos, este límite ayuda a garantizar que los mensajes de chat se quiten rápidamente.

Paso 1: Crear un caso en eDiscovery

El primer paso consiste en crear un caso en eDiscovery para administrar el proceso de búsqueda y eliminación.

Paso 2: Creación de una consulta de búsqueda

Después de crear un caso, el siguiente paso es buscar los mensajes de chat de Teams que desea eliminar. El proceso de eliminación que realiza es el paso 5 elimina todos los elementos que se encuentran en la búsqueda (dentro del límite de 10 elementos por ubicación).

Orígenes de datos para mensajes de chat

Use la tabla siguiente para determinar qué orígenes de datos buscar en función del tipo de mensaje de chat que necesite eliminar.

Para este tipo de chat... Buscar en este origen de datos...
Chats de Teams 1:1 Buzón de correo de los participantes del chat.
Chats de grupo de Teams Buzones de los participantes del chat.
Canales de Teams (estándar y compartidos) Buzón asociado al equipo primario.
Canales privados de Teams Buzón de correo de los miembros del canal privado.

Nota:

En el paso 4, también tiene que identificar y quitar las directivas de retención y retención asignadas al buzón de correo que contenga el tipo de mensajes de chat que desea eliminar.

Sugerencias para buscar mensajes de chat

Para garantizar la identificación más completa de las conversaciones de chat de Teams (incluidos los chats 1:1 y grupales y los chats de chats estándar, compartidos y privados), use la condición Tipo y seleccione la opción Mensajes instantáneos al compilar la consulta de búsqueda. También se recomienda incluir un intervalo de fechas o varias palabras clave para restringir el ámbito de la búsqueda a elementos relevantes para la investigación.

Paso 3: Revisar y comprobar los mensajes de chat que se van a eliminar

El proceso de eliminación del paso 5 elimina los elementos devueltos por la búsqueda. Es importante que revise las estadísticas de búsqueda para asegurarse de que la búsqueda solo devuelve los elementos que desea eliminar. Además, puede usar las estadísticas de búsqueda (específicamente las estadísticas de ubicaciones principales ) para generar una lista de los orígenes de datos que contienen elementos devueltos por la búsqueda. Use esta lista en el paso siguiente para quitar las directivas de retención y suspensión de los orígenes de datos que contienen resultados de búsqueda.

Paso 4: Quitar todas las retenciones y directivas de retención de orígenes de datos

Para poder eliminar mensajes de chat de un buzón de correo, debe quitar todas las retenciones de toda la organización, retenciones de sitio o retenciones de directivas de retención asignadas a un buzón de destino. Si no es así, se conserva el chat que intenta eliminar.

Use la lista de buzones que contienen los mensajes de chat que desea eliminar y determine si hay una directiva de retención o suspensión asignada a esos buzones y, a continuación, quite la directiva de retención o suspensión. Asegúrese de identificar la directiva de retención o retención que quite para poder reasignar a los buzones en el paso 7.

Para obtener instrucciones sobre cómo identificar y quitar las directivas de retención y retención, consulte "Paso 3: Quitar todas las retenciones del buzón" en Eliminar elementos en la carpeta Elementos recuperables de buzones basados en la nube en suspensión.

Paso 5: Eliminar mensajes de chat de Teams

Nota:

Dado que Microsoft Graph Explorer no está disponible en algunas nubes del Gobierno de EE. UU. (GCC High y DOD), debe usar PowerShell para realizar estas tareas. Consulte Eliminación de mensajes de chat con PowerShell para obtener más información.

Ahora ya está listo para eliminar mensajes de chat de Teams. Use el Explorador de Microsoft Graph para realizar las siguientes tareas:

  1. Obtenga el identificador del caso de exhibición de documentos electrónicos que creó en el paso 1. Este es el caso que contiene los resultados de búsqueda creados en el paso 2.
  2. Obtenga el identificador de la búsqueda que creó en el paso 2 y verificó los resultados de la búsqueda en el paso 3. La consulta de búsqueda devuelve los mensajes de chat que se eliminarán.
  3. Elimine los mensajes de chat devueltos por la búsqueda.

Para obtener información sobre el uso del Explorador de Graph, consulte Uso del Explorador de Graph para probar las API de Microsoft Graph.

Importante

Para realizar estas tres tareas en el Explorador de Graph, es posible que tenga que dar su consentimiento a los permisos eDiscovery.Read.All y eDiscovery.ReadWrite.All. Para obtener más información, consulte la sección "Consentimiento para permisos" en Trabajar con el Explorador de Graph.

Obtención del identificador del caso

  1. Vaya e https://developer.microsoft.com/graph/graph-explorer inicie sesión en el Explorador de Graph con una cuenta que tenga asignado el rol Buscar y purgar en el portal de Microsoft Purview.

  2. Ejecute la siguiente solicitud GET para recuperar el identificador del caso de eDiscovery. Use el valor https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases en la barra de direcciones de la consulta de solicitud. Asegúrese de seleccionar v1.0 en la lista desplegable Versión de API.

    Esta solicitud devuelve información sobre todos los casos de la organización en la pestaña Vista previa de respuesta.

  3. Desplácese por la respuesta para buscar el caso de eDiscovery. Use la propiedad displayName para identificar el caso.

  4. Copie el identificador correspondiente (o cópielo y péguelo en un archivo de texto). Usará este identificador en la siguiente tarea para obtener el identificador de búsqueda.

Sugerencia

En lugar de usar el procedimiento anterior para obtener el identificador de caso, puede abrir el caso en el portal de Microsoft Purview y copiar el identificador de caso desde la dirección URL.

Obtener eDiscoverySearchID

  1. En el Explorador de Graph, ejecute la siguiente solicitud GET para recuperar el identificador de la búsqueda que creó en el paso 2 y contiene los elementos que desea eliminar. Use el valor https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches de la barra de direcciones de la consulta de solicitud, donde {ediscoveryCaseID} es el CaseID que obtuvo en el procedimiento anterior.

  2. Desplácese por la respuesta para buscar la búsqueda que contiene los elementos que desea eliminar. Use la propiedad displayName para identificar la búsqueda que creó en el paso 3.

    En la respuesta, la consulta de búsqueda de la búsqueda se muestra en la propiedad contentQuery . Los elementos devueltos por esta consulta se eliminan en la siguiente tarea.

  3. Copie el identificador correspondiente (o cópielo y péguelo en un archivo de texto). Usará este identificador en la siguiente tarea para eliminar los mensajes de chat.

Eliminación de los mensajes de chat

  1. En el Explorador de Graph, ejecute la siguiente solicitud POST para eliminar los elementos devueltos por la búsqueda que creó en el paso 2. Use el valor https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData de la barra de direcciones de la consulta de solicitud, donde {ediscoveryCaseID} y {ediscoverySearchID} son los identificadores que obtuvo en los procedimientos anteriores.

    Si la solicitud POST se realiza correctamente, se muestra un código de respuesta HTTP en un banner verde que indica que se ha aceptado la solicitud.

Para obtener más información sobre purgeData, vea sourceCollection: purgeData.

Eliminación de mensajes de chat con PowerShell

También puede eliminar mensajes de chat mediante PowerShell. Por ejemplo, para eliminar mensajes en la nube del Gobierno de EE. UU., podría usar un comando similar al siguiente:

Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov

Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'

Para obtener más información sobre el uso de PowerShell para eliminar mensajes de chat, vea ediscoverySearch: purgeData.

Paso 6: Comprobar que se eliminan los mensajes de chat

Después de ejecutar la solicitud POST para eliminar mensajes de chat, estos mensajes se quitan del cliente de Teams y se reemplazan por un generado automáticamente que indica que un administrador ha quitado el mensaje. Para ver un ejemplo de este mensaje, consulte la sección Experiencia del usuario final de este artículo.

Si necesita confirmar que se ha quitado un mensaje de chat y no tiene acceso al mensaje del usuario final en Teams, vuelva a ejecutar la búsqueda y compruebe si se encuentra algún mensaje coincidente. Si no hay ningún resultado para el mensaje, el mensaje se ha quitado.

Es importante recordar que cuando se emite una purga:

  • La copia del usuario final de ese mensaje se elimina inmediatamente y el usuario no puede recuperarla.
  • La copia de cumplimiento (almacenada en la carpeta SubstrateHolds del buzón) se conserva durante al menos 24 horas antes de la eliminación permanente por parte de un trabajo del temporizador en segundo plano (normalmente en un plazo de 1 a 7 días). Si se quita una suspensión y, a continuación, se vuelve a aplicar en ese período de 24 horas, la nueva suspensión podría conservar la copia de cumplimiento.

Para obtener más información, consulte Información sobre la retención para Microsoft Teams.

Nota:

Dado que Microsoft Graph Explorer no está disponible en la nube del Gobierno de EE. UU. (GCC, GCC High y DOD), debe usar PowerShell para realizar estas tareas.

Paso 7: Volver a aplicar las directivas de retención y retención a orígenes de datos

Después de comprobar que los mensajes de chat se eliminan y quitan del cliente de Teams, puede volver a aplicar las directivas de retención y retención que quitó en el paso 4.

Eliminación de mensajes de chat en entornos federados

Los administradores pueden usar los procedimientos de este artículo para buscar y eliminar mensajes de chat de Teams en entornos federados. Sin embargo, debe cumplir las siguientes directrices. Estas directrices se basan en la propiedad organizativa del subproceso de conversación que contiene los mensajes que desea eliminar. Una organización es el propietario de un subproceso de conversación iniciado por un usuario de esa organización. En otras palabras, cuando un usuario inicia un chat, la organización del usuario se convierte en el propietario del subproceso de conversación.

  • Los administradores pueden eliminar la copia de cumplimiento en los subprocesos de conversación propiedad de su organización. Esto significa que las copias de cumplimiento se eliminan cuando el administrador que elimina los mensajes de chat en el paso 5 está en la misma organización que el usuario que inició el subproceso de conversación que contiene los mensajes eliminados. Si un subproceso de conversación tiene usuarios en dos organizaciones, se conservan las copias de cumplimiento de la otra organización.
  • Si un subproceso de conversación tiene usuarios en dos organizaciones, los mensajes de chat eliminados se quitan del cliente de Teams en ambas organizaciones.
  • La única manera de eliminar mensajes de chat de buzones de usuario de su organización para mensajes de chat en subprocesos de conversación propiedad de otra organización es usar directivas de retención para Teams. Para obtener más información, consulte Información sobre la retención para Microsoft Teams.

Experiencia del usuario final

En el caso de los mensajes de chat eliminados, los usuarios ven un mensaje generado automáticamente que indica que un administrador eliminó este mensaje.

Visualización del mensaje de chat eliminado en el cliente de Teams.

El mensaje de la captura de pantalla anterior reemplaza al mensaje de chat que se eliminó.

Nota:

Si es un usuario final y se eliminó un mensaje de chat, póngase en contacto con el administrador para obtener más información.

Preguntas frecuentes

Para ver las preguntas más frecuentes sobre búsqueda y purga, consulte Buscar y eliminar mensajes de correo electrónico en eDiscovery.