Buscar y eliminar mensajes de chat de Microsoft Teams en eDiscovery (versión preliminar)
Puede usar eDiscovery (versión preliminar) y el Explorador de Microsoft Graph para buscar y eliminar mensajes de chat en Microsoft Teams. Esta característica puede ayudarle a buscar y quitar información confidencial o contenido inadecuado. Este flujo de trabajo de búsqueda y eliminación le ayuda a responder a un incidente de derrame de datos, cuando el contenido que contiene información confidencial o malintencionada se publica a través de mensajes de chat de Teams.
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
Para crear un caso de eDiscovery y buscar mensajes de chat, debe ser miembro del grupo de roles administrador de exhibición de documentos electrónicos en el portal de Microsoft Purview. Para eliminar mensajes de chat, debe tener asignado el rol Buscar y purgar . Este rol se asigna a los grupos de roles Investigador de datos y Administración de la organización de forma predeterminada. Para más información, consulte Asignar permisos de eDiscovery.
La búsqueda y purga son compatibles con la mayoría de las conversaciones dentro de la organización. No se admite la búsqueda y purga de conversaciones de Teams Connect Chat (acceso externo o federación).
Importante
Los chats con usted mismo (o los chats de los usuarios con ellos mismos) no son compatibles con la búsqueda y la eliminación.
Se puede eliminar un máximo de 10 elementos por buzón a la vez. Dado que la funcionalidad para buscar y quitar mensajes de chat está pensada para ser una herramienta de respuesta a incidentes, este límite ayuda a garantizar que los mensajes de chat se quiten rápidamente.
El primer paso consiste en crear un caso en eDiscovery (versión preliminar) para administrar el proceso de búsqueda y eliminación.
Después de crear un caso, el siguiente paso es buscar los mensajes de chat de Teams que desea eliminar. El proceso de eliminación que realiza es el paso 5 elimina todos los elementos que se encuentran en la búsqueda (dentro del límite de 10 elementos por ubicación).
Use la tabla siguiente para determinar qué orígenes de datos buscar en función del tipo de mensaje de chat que necesite eliminar.
Para este tipo de chat... | Buscar en este origen de datos... |
---|---|
Chats de Teams 1:1 | Buzón de correo de los participantes del chat. |
Chats de grupo de Teams | Buzones de los participantes del chat. |
Canales de Teams (estándar y compartidos) | Buzón asociado al equipo primario. |
Canales privados de Teams | Buzón de correo de los miembros del canal privado. |
Nota
En el paso 4, también tiene que identificar y quitar las directivas de retención y retención asignadas al buzón de correo que contenga el tipo de mensajes de chat que desea eliminar.
Para garantizar la identificación más completa de las conversaciones de chat de Teams (incluidos los chats 1:1 y grupales y los chats de chats estándar, compartidos y privados), use la condición Tipo y seleccione la opción Mensajes instantáneos al compilar la consulta de búsqueda. También se recomienda incluir un intervalo de fechas o varias palabras clave para restringir el ámbito de la búsqueda a elementos relevantes para la investigación.
El proceso de eliminación del paso 5 elimina los elementos devueltos por la búsqueda. Es importante que revise las estadísticas de búsqueda para asegurarse de que la búsqueda solo devuelve los elementos que desea eliminar. Además, puede usar las estadísticas de búsqueda (específicamente las estadísticas de ubicaciones principales ) para generar una lista de los orígenes de datos que contienen elementos devueltos por la búsqueda. Use esta lista en el paso siguiente para quitar las directivas de retención y suspensión de los orígenes de datos que contienen resultados de búsqueda.
Para poder eliminar mensajes de chat de un buzón de correo, debe quitar todas las retenciones de toda la organización, retenciones de sitio o retenciones de directivas de retención asignadas a un buzón de destino. Si no es así, se conserva el chat que intenta eliminar.
Use la lista de buzones que contienen los mensajes de chat que desea eliminar y determine si hay una directiva de retención o suspensión asignada a esos buzones y, a continuación, quite la directiva de retención o suspensión. Asegúrese de identificar la directiva de retención o retención que quite para poder reasignar a los buzones en el paso 7.
Para obtener instrucciones sobre cómo identificar y quitar las directivas de retención y retención, consulte "Paso 3: Quitar todas las retenciones del buzón" en Eliminar elementos en la carpeta Elementos recuperables de buzones basados en la nube en suspensión.
Nota
Dado que Microsoft Graph Explorer no está disponible en algunas nubes del Gobierno de EE. UU. (GCC High y DOD), debe usar PowerShell para realizar estas tareas. Consulte Eliminación de mensajes de chat con PowerShell para obtener más información.
Ahora ya está listo para eliminar realmente los mensajes de chat de Teams. Use el Explorador de Microsoft Graph para realizar las tres tareas siguientes:
- Obtenga el identificador del caso de exhibición de documentos electrónicos que creó en el paso 1. Este es el caso que contiene los resultados de búsqueda creados en el paso 2.
- Obtenga el identificador de la búsqueda que creó en el paso 2 y verificó los resultados de la búsqueda en el paso 3. El quer de búsqueda devuelve los mensajes de chat que se eliminarán.
- Elimine los mensajes de chat devueltos por la búsqueda.
Para obtener información sobre el uso del Explorador de Graph, consulte Uso del Explorador de Graph para probar las API de Microsoft Graph.
Importante
Para realizar estas tres tareas en el Explorador de Graph, es posible que tenga que dar su consentimiento a los permisos eDiscovery.Read.All y eDiscovery.ReadWrite.All. Para obtener más información, consulte la sección "Consentimiento para permisos" en Trabajar con el Explorador de Graph.
Vaya e https://developer.microsoft.com/graph/graph-explorer inicie sesión en el Explorador de Graph con una cuenta que tenga asignado el rol Buscar y purgar en el portal de Microsoft Purview.
Ejecute la siguiente solicitud GET para recuperar el identificador del caso de eDiscovery. Use el valor
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases
en la barra de direcciones de la consulta de solicitud. Asegúrese de seleccionar v1.0 en la lista desplegable Versión de API.Esta solicitud devuelve información sobre todos los casos de la organización en la pestaña Vista previa de respuesta.
Desplácese por la respuesta para buscar el caso de eDiscovery. Use la propiedad displayName para identificar el caso.
Copie el identificador correspondiente (o cópielo y péguelo en un archivo de texto). Usará este identificador en la siguiente tarea para obtener el identificador de búsqueda.
Sugerencia
En lugar de usar el procedimiento anterior para obtener el identificador de caso, puede abrir el caso en el portal de Microsoft Purview y copiar el identificador de caso de la dirección URL.
En el Explorador de Graph, ejecute la siguiente solicitud GET para recuperar el identificador de la búsqueda que creó en el paso 2 y contiene los elementos que desea eliminar. Use el valor
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches
de la barra de direcciones de la consulta de solicitud, donde {ediscoveryCaseID} es el CaseID que obtuvo en el procedimiento anterior.Desplácese por la respuesta para buscar la búsqueda que contiene los elementos que desea eliminar. Use la propiedad displayName para identificar la búsqueda que creó en el paso 3.
En la respuesta, la consulta de búsqueda de la búsqueda se muestra en la propiedad contentQuery . Los elementos devueltos por esta consulta se eliminan en la siguiente tarea.
Copie el identificador correspondiente (o cópielo y péguelo en un archivo de texto). Usará este identificador en la siguiente tarea para eliminar los mensajes de chat.
En el Explorador de Graph, ejecute la siguiente solicitud POST para eliminar los elementos devueltos por la búsqueda que creó en el paso 2. Use el valor
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData
de la barra de direcciones de la consulta de solicitud, donde {ediscoveryCaseID} y {ediscoverySearchID} son los identificadores que obtuvo en los procedimientos anteriores.Si la solicitud POST se realiza correctamente, se muestra un código de respuesta HTTP en un banner verde que indica que se ha aceptado la solicitud.
Para obtener más información sobre purgeData, vea sourceCollection: purgeData.
También puede eliminar mensajes de chat mediante PowerShell. Por ejemplo, para eliminar mensajes en la nube del Gobierno de EE. UU., podría usar un comando similar al siguiente:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
Para obtener más información sobre el uso de PowerShell para eliminar mensajes de chat, vea ediscoverySearch: purgeData.
Después de ejecutar la solicitud POST para eliminar mensajes de chat, estos mensajes se quitan del cliente de Teams y se reemplazan por un generado automáticamente que indica que un administrador ha quitado el mensaje. Para ver un ejemplo de este mensaje, consulte la sección Experiencia del usuario final de este artículo.
Si necesita confirmar que se ha quitado un mensaje de chat y no tiene acceso al mensaje del usuario final en Teams, vuelva a ejecutar la búsqueda y compruebe si se encuentra algún mensaje coincidente. Si no hay ningún resultado para el mensaje, el mensaje se ha quitado.
Los mensajes de chat eliminados se mueven a la carpeta SubstrateHolds , que es una carpeta de buzón oculta. Los mensajes de chat eliminados se almacenan allí durante al menos 1 día y, a continuación, se eliminan permanentemente la próxima vez que se ejecuta el trabajo del temporizador (normalmente entre 1 y 7 días). Para obtener más información, consulte Información sobre la retención para Microsoft Teams.
Nota
Dado que Microsoft Graph Explorer no está disponible en la nube del Gobierno de EE. UU. (GCC, GCC High y DOD), debe usar PowerShell para realizar estas tareas.
Después de comprobar que los mensajes de chat se eliminan y quitan del cliente de Teams, puede volver a aplicar las directivas de retención y retención que quitó en el paso 4.
Los administradores pueden usar los procedimientos de este artículo para buscar y eliminar mensajes de chat de Teams en entornos federados. Sin embargo, debe cumplir las siguientes directrices. Estas directrices se basan en la propiedad organizativa del subproceso de conversación que contiene los mensajes que desea eliminar. Una organización es el propietario de un subproceso de conversación iniciado por un usuario de esa organización. En otras palabras, cuando un usuario inicia un chat, la organización del usuario se convierte en el propietario del subproceso de conversación.
- Los administradores pueden eliminar la copia de cumplimiento en los subprocesos de conversación propiedad de su organización. Esto significa que las copias de cumplimiento se eliminan cuando el administrador que elimina los mensajes de chat en el paso 5 está en la misma organización que el usuario que inició el subproceso de conversación que contiene los mensajes eliminados. Si un subproceso de conversación tiene usuarios en dos organizaciones, se conservan las copias de cumplimiento de la otra organización.
- Si un subproceso de conversación tiene usuarios en dos organizaciones, los mensajes de chat eliminados se quitan del cliente de Teams en ambas organizaciones.
- La única manera de eliminar mensajes de chat de buzones de usuario de su organización para mensajes de chat en subprocesos de conversación propiedad de otra organización es usar directivas de retención para Teams. Para obtener más información, consulte Información sobre la retención para Microsoft Teams.
En el caso de los mensajes de chat eliminados, los usuarios ven un mensaje generado automáticamente que indica que un administrador eliminó este mensaje.
El mensaje de la captura de pantalla anterior reemplaza al mensaje de chat que se eliminó.
Nota
Si es un usuario final y se eliminó un mensaje de chat, póngase en contacto con el administrador para obtener más información.