Rechercher et supprimer des messages de conversation Microsoft Teams dans eDiscovery (préversion)
Vous pouvez utiliser eDiscovery (préversion) et l’Explorer Microsoft Graph pour rechercher et supprimer des messages de conversation dans Microsoft Teams. Cette fonctionnalité peut vous aider à trouver et à supprimer des informations sensibles ou du contenu inapproprié. Ce flux de travail de recherche et de suppression vous permet de répondre à un incident de déversement de données lorsque du contenu contenant des informations confidentielles ou malveillantes est publié via des messages de conversation Teams.
Conseil
Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.
Pour créer un cas eDiscovery et rechercher des messages de conversation, vous devez être membre du groupe de rôles Gestionnaire eDiscovery dans le portail Microsoft Purview. Pour supprimer les messages de conversation, vous devez disposer du rôle Rechercher et vider . Ce rôle est attribué aux groupes de rôles Enquêteur de données et Gestion de l’organisation par défaut. Pour plus d'informations, voir Attribution d'autorisations eDiscovery.
La recherche et le vidage sont pris en charge pour la plupart des conversations au sein de votre organization. La recherche et le vidage des conversations Teams Connect Conversation (accès externe ou fédération) ne sont pas pris en charge.
Important
Les conversations avec vous-même (ou les conversations par les utilisateurs avec eux-mêmes) ne sont pas prises en charge pour la recherche et la suppression.
Un maximum de 10 éléments par boîte aux lettres peuvent être supprimés à la fois. Étant donné que la possibilité de rechercher et de supprimer des messages de conversation est destinée à être un outil de réponse aux incidents, cette limite permet de garantir que les messages de conversation sont rapidement supprimés.
La première étape consiste à créer un cas dans eDiscovery (préversion) pour gérer le processus de recherche et de suppression.
Après avoir créé un cas, l’étape suivante consiste à rechercher les messages de conversation Teams que vous souhaitez supprimer. Le processus de suppression que vous effectuez à l’étape 5 supprime tous les éléments trouvés dans la recherche (dans la limite de 10 éléments par emplacement).
Utilisez le tableau suivant pour déterminer les sources de données à rechercher en fonction du type de message de conversation que vous devez supprimer.
Pour ce type de conversation... | Rechercher dans cette source de données... |
---|---|
Conversations Teams 1:1 | Boîte aux lettres des participants à la conversation. |
Conversations de groupe Teams | Boîtes aux lettres des participants à la conversation. |
Canaux Teams (standard et partagés) | Boîte aux lettres associée au équipe parente. |
Canaux privés Teams | Boîte aux lettres des membres du canal privé. |
Notes
À l’étape 4, vous devez également identifier et supprimer toutes les stratégies de conservation et de rétention affectées à la boîte aux lettres qui contient le type de messages de conversation que vous souhaitez supprimer.
Pour garantir l’identification la plus complète des conversations de conversation Teams (y compris les conversations 1:1 et de groupe, et les conversations à partir de conversations standard, partagées et privées), utilisez la condition Type et sélectionnez l’option Messages instantanés lorsque vous créez la requête de recherche. Nous vous recommandons également d’inclure une plage de dates ou plusieurs mots clés pour limiter l’étendue de la recherche aux éléments pertinents pour votre investigation.
Le processus de suppression de l’étape 5 supprime les éléments retournés par la recherche. Il est important de passer en revue les statistiques de recherche pour vous assurer que la recherche retourne uniquement les éléments que vous souhaitez supprimer. En outre, vous pouvez utiliser les statistiques de recherche (en particulier les statistiques top locations) pour générer une liste des sources de données qui contiennent les éléments retournés par la recherche. Utilisez cette liste à l’étape suivante pour supprimer les stratégies de conservation et de rétention des sources de données qui contiennent les résultats de la recherche.
Avant de pouvoir supprimer des messages de conversation d’une boîte aux lettres, vous devez supprimer toutes les conservations à l’échelle de l’organization, les conservations de site ou les conservations de stratégie de rétention qui sont affectées à une boîte aux lettres cible. Si ce n’est pas le cas, la conversation que vous essayez de supprimer est conservée.
Utilisez la liste des boîtes aux lettres qui contiennent les messages de conversation que vous souhaitez supprimer et déterminez si une stratégie de conservation ou de rétention est affectée à ces boîtes aux lettres, puis supprimez la mise en attente ou la stratégie de rétention. Veillez à identifier la stratégie de conservation ou de rétention que vous supprimez afin de pouvoir réaffecter aux boîtes aux lettres à l’étape 7.
Pour obtenir des instructions sur l’identification et la suppression des stratégies de conservation et de rétention, consultez « Étape 3 : Supprimer toutes les conservations de la boîte aux lettres » dans Supprimer les éléments du dossier Éléments récupérables des boîtes aux lettres cloud en attente.
Notes
Étant donné que Microsoft Graph Explorer n’est pas disponible dans certains clouds du gouvernement des États-Unis (GCC High et DOD), vous devez utiliser PowerShell pour accomplir ces tâches. Pour plus d’informations, consultez Supprimer les messages de conversation avec PowerShell .
Vous êtes maintenant prêt à supprimer les messages de conversation de Teams. Utilisez le Explorer Microsoft Graph pour effectuer les trois tâches suivantes :
- Obtenez l’ID du cas eDiscovery que vous avez créé à l’étape 1. C’est le cas qui contient les résultats de recherche créés à l’étape 2.
- Obtenez l’ID de la recherche que vous avez créée à l’étape 2 et vérifié les résultats de la recherche à l’étape 3. La recherche retourne les messages de conversation qui seront supprimés.
- Supprimez les messages de conversation retournés par la recherche.
Pour plus d’informations sur l’utilisation de Graph Explorer, consultez Utiliser graph Explorer pour essayer les API Microsoft Graph.
Important
Pour effectuer ces trois tâches dans Graph Explorer, vous devrez peut-être accepter les autorisations eDiscovery.Read.All et eDiscovery.ReadWrite.All. Pour plus d’informations, consultez la section « Consentement aux autorisations » dans Utilisation de Graph Explorer.
Accédez à https://developer.microsoft.com/graph/graph-explorer et connectez-vous à l’Explorer Graph avec un compte auquel le rôle Rechercher et vider est attribué dans le portail Microsoft Purview.
Exécutez la requête GET suivante pour récupérer l’ID du cas eDiscovery. Utilisez la valeur
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases
dans la barre d’adresse de la requête de requête. Veillez à sélectionner v1.0 dans la liste déroulante version de l’API.Cette requête retourne des informations sur tous les cas dans votre organization sous l’onglet Aperçu de la réponse.
Faites défiler la réponse pour localiser le cas eDiscovery. Utilisez la propriété displayName pour identifier le cas.
Copiez l’ID correspondant (ou copiez-le et collez-le dans un fichier texte). Vous utiliserez cet ID dans la tâche suivante pour obtenir l’ID de recherche.
Conseil
Au lieu d’utiliser la procédure précédente pour obtenir l’ID de cas, vous pouvez ouvrir le cas dans le portail Microsoft Purview et copier l’ID de cas à partir de l’URL.
Dans Graph Explorer, exécutez la requête GET suivante pour récupérer l’ID de la recherche que vous avez créée à l’étape 2 et contient les éléments à supprimer. Utilisez la valeur
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches
dans la barre d’adresse de la requête de requête, où {ediscoveryCaseID} est le CaseID que vous avez obtenu dans la procédure précédente.Faites défiler la réponse pour localiser la recherche qui contient les éléments à supprimer. Utilisez la propriété displayName pour identifier la recherche que vous avez créée à l’étape 3.
Dans la réponse, la requête de recherche de la recherche s’affiche dans la propriété contentQuery . Les éléments retournés par cette requête sont supprimés dans la tâche suivante.
Copiez l’ID correspondant (ou copiez-le et collez-le dans un fichier texte). Vous utiliserez cet ID dans la tâche suivante pour supprimer les messages de conversation.
Dans Graph Explorer, exécutez la requête POST suivante pour supprimer les éléments retournés par la recherche que vous avez créée à l’étape 2. Utilisez la valeur
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData
dans la barre d’adresse de la requête de requête, où {ediscoveryCaseID} et {ediscoverySearchID} sont les ID que vous avez obtenus dans les procédures précédentes.Si la requête POST réussit, un code de réponse HTTP s’affiche dans une bannière verte indiquant que la demande a été acceptée.
Pour plus d’informations sur purgeData, consultez sourceCollection : purgeData.
Vous pouvez également supprimer des messages de conversation à l’aide de PowerShell. Par exemple, pour supprimer des messages dans le cloud us Government, vous pouvez utiliser une commande similaire à :
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
Pour plus d’informations sur l’utilisation de PowerShell pour supprimer des messages de conversation, consultez ediscoverySearch : purgeData.
Après avoir exécuté la demande POST pour supprimer les messages de conversation, ces messages sont supprimés du client Teams et remplacés par un généré automatiquement indiquant qu’un administrateur a supprimé le message. Pour obtenir un exemple de ce message, consultez la section Expérience utilisateur final de cet article.
Si vous devez confirmer qu’un message de conversation a été supprimé et n’a pas accès au message de l’utilisateur final dans Teams, réexécutez la recherche et vérifiez si des messages correspondants sont trouvés. S’il n’y a pas de résultats pour le message, le message a été supprimé.
Les messages de conversation supprimés sont déplacés vers le dossier SubstrateHolds , qui est un dossier de boîte aux lettres masqué. Les messages de conversation supprimés y sont stockés pendant au moins 1 jour, puis supprimés définitivement la prochaine fois que le travail du minuteur s’exécute (généralement entre 1 et 7 jours). Pour plus d’informations, consultez En savoir plus sur la rétention pour Microsoft Teams.
Notes
Étant donné que Microsoft Graph Explorer n’est pas disponible dans le cloud du gouvernement des États-Unis (GCC, GCC High et DOD), vous devez utiliser PowerShell pour accomplir ces tâches.
Après avoir vérifié que les messages de conversation sont supprimés et supprimés du client Teams, vous pouvez réappliquer les stratégies de conservation et de rétention que vous avez supprimées à l’étape 4.
Les administrateurs peuvent utiliser les procédures décrites dans cet article pour rechercher et supprimer des messages de conversation Teams dans des environnements fédérés. Toutefois, vous devez respecter les instructions suivantes. Ces instructions sont basées sur la propriété organisationnelle du thread de conversation qui contient les messages que vous souhaitez supprimer. Un organization est le propriétaire d’un thread de conversation démarré par un utilisateur dans ce organization. En d’autres termes, lorsqu’un utilisateur démarre une conversation, le organization de l’utilisateur devient le propriétaire du thread de conversation.
- Les administrateurs peuvent supprimer la copie de conformité dans les threads de conversation appartenant à leur organization. Cela signifie que les copies de conformité sont supprimées lorsque l’administrateur qui supprime les messages de conversation à l’étape 5 est dans le même organization que l’utilisateur qui a lancé le thread de conversation qui contient les messages supprimés. Si un thread de conversation a des utilisateurs dans deux organisations, les copies de conformité pour l’autre organization sont conservées.
- Si un thread de conversation a des utilisateurs dans deux organisations, les messages de conversation supprimés sont supprimés du client Teams dans les deux organisations.
- La seule façon de supprimer les messages de conversation des boîtes aux lettres utilisateur dans votre organization pour les messages de conversation dans les threads de conversation appartenant à un autre organization consiste à utiliser des stratégies de rétention pour Teams. Pour plus d’informations, consultez En savoir plus sur la rétention pour Microsoft Teams.
Pour les messages de conversation supprimés, les utilisateurs voient un message généré automatiquement indiquant Ce message a été supprimé par un administrateur.
Le message de la capture d’écran précédente remplace le message de conversation qui a été supprimé.
Notes
Si vous êtes un utilisateur final et qu’un message de conversation a été supprimé, contactez votre administrateur pour plus d’informations.