Leggere in inglese

Condividi tramite


Trovare ed eliminare i messaggi di chat di Microsoft Teams in eDiscovery (anteprima)

È possibile usare eDiscovery (anteprima) e Microsoft Graph Explorer per cercare ed eliminare messaggi di chat in Microsoft Teams. Questa funzionalità consente di trovare e rimuovere informazioni riservate o contenuti inappropriati. Questo flusso di lavoro di ricerca ed eliminazione consente di rispondere a un evento imprevisto di spillage dei dati, quando il contenuto contenente informazioni riservate o dannose viene rilasciato tramite i messaggi di chat di Teams.

Suggerimento

Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.

Prima di cercare ed eliminare i messaggi di chat

  • Per creare un caso di eDiscovery e cercare messaggi di chat, è necessario essere membri del gruppo di ruoli eDiscovery Manager nel portale di Microsoft Purview. Per eliminare i messaggi di chat, è necessario assegnare il ruolo Cerca ed elimina . Questo ruolo viene assegnato ai gruppi di ruoli Data Investigator e Organization Management per impostazione predefinita. Per altre informazioni, vedere Assegnare autorizzazioni di eDiscovery.

  • La ricerca e l'eliminazione sono supportate per la maggior parte delle conversazioni all'interno dell'organizzazione. La ricerca e l'eliminazione di conversazioni Teams Connect chat (accesso esterno o federazione) non sono supportate.

    Importante

    Le chat con se stessi (o le chat degli utenti con se stessi) non sono supportate per la ricerca e l'eliminazione.

  • È possibile rimuovere al massimo 10 elementi per ogni cassetta postale alla volta. Poiché la funzionalità di ricerca e rimozione dei messaggi di chat è destinata a essere uno strumento di risposta agli eventi imprevisti, questo limite consente di garantire che i messaggi di chat vengano rimossi rapidamente.

Passaggio 1: Creare un caso in eDiscovery (anteprima)

Il primo passaggio consiste nel creare un caso in eDiscovery (anteprima) per gestire il processo di ricerca ed eliminazione.

Passaggio 2: Creare una query di ricerca

Dopo aver creato un caso, il passaggio successivo consiste nel cercare i messaggi di chat di Teams da eliminare. Il processo di eliminazione eseguito è Il passaggio 5 elimina tutti gli elementi presenti nella ricerca (entro il limite di 10 elementi per percorso).

Origini dati per i messaggi di chat

Usare la tabella seguente per determinare quali origini dati cercare in base al tipo di messaggio di chat che è necessario eliminare.

Per questo tipo di chat... Eseguire la ricerca in questa origine dati...
Chat di Teams 1:1 Cassetta postale dei partecipanti alla chat.
Chat di gruppo di Teams Cassette postali dei partecipanti alla chat.
Canali di Teams (standard e condivisi) Cassetta postale associata al team padre.
Canali privati di Teams Cassetta postale dei membri del canale privato.

Nota

Nel passaggio 4 è anche necessario identificare e rimuovere eventuali blocchi e criteri di conservazione assegnati alla cassetta postale che contiene il tipo di messaggi di chat che si desidera eliminare.

Suggerimenti per la ricerca di messaggi di chat

Per garantire l'identificazione più completa delle conversazioni di chat di Teams (incluse le chat di gruppo e 1:1 e le chat da chat standard, condivise e private), usare la condizione Tipo e selezionare l'opzione Messaggi istantanei quando si compila la query di ricerca. È anche consigliabile includere un intervallo di date o diverse parole chiave per limitare l'ambito della ricerca agli elementi rilevanti per l'indagine.

Passaggio 3: Esaminare e verificare i messaggi di chat da eliminare

Il processo di eliminazione nel passaggio 5 elimina gli elementi restituiti dalla ricerca. È importante esaminare le statistiche di ricerca per assicurarsi che la ricerca restituisca solo gli elementi da eliminare. Inoltre, è possibile usare le statistiche di ricerca (in particolare le statistiche posizioni principali ) per generare un elenco delle origini dati che contengono gli elementi restituiti dalla ricerca. Usare questo elenco nel passaggio successivo per rimuovere i criteri di conservazione e blocco dalle origini dati che contengono i risultati della ricerca.

Passaggio 4: Rimuovere tutti i criteri di conservazione e di conservazione dalle origini dati

Prima di eliminare i messaggi di chat da una cassetta postale, è necessario rimuovere tutti i blocchi, i blocchi del sito o i criteri di conservazione a livello di organizzazione assegnati a una cassetta postale di destinazione. In caso contrario, la chat che si sta tentando di eliminare viene mantenuta.

Usare l'elenco delle cassette postali che contengono i messaggi di chat che si desidera eliminare e determinare se sono stati assegnati criteri di conservazione o di blocco a tali cassette postali, quindi rimuovere i criteri di blocco o conservazione. Assicurarsi di identificare i criteri di conservazione o di blocco rimossi in modo che sia possibile riassegnare alle cassette postali nel passaggio 7.

Per istruzioni su come identificare e rimuovere blocchi e criteri di conservazione, vedere "Passaggio 3: Rimuovere tutti i blocchi dalla cassetta postale" in Elimina elementi nella cartella Elementi ripristinabili delle cassette postali basate sul cloud in attesa.

Passaggio 5: Eliminare i messaggi di chat da Teams

Nota

Poiché Microsoft Graph Explorer non è disponibile in alcuni cloud us government (GCC High e DOD), è necessario usare PowerShell per eseguire queste attività. Per informazioni dettagliate , vedere Eliminare i messaggi di chat con PowerShell .

A questo momento si è pronti per eliminare effettivamente i messaggi di chat da Teams. Usare Microsoft Graph Explorer per eseguire le tre attività seguenti:

  1. Ottenere l'ID del caso di eDiscovery creato nel passaggio 1. Questo è il caso che contiene i risultati della ricerca creati nel passaggio 2.
  2. Ottenere l'ID della ricerca creata nel passaggio 2 e verificare i risultati della ricerca nel passaggio 3. La quer di ricerca restituisce i messaggi di chat che verranno eliminati.
  3. Eliminare i messaggi di chat restituiti dalla ricerca.

Per informazioni sull'uso di Graph Explorer, vedere Usare Graph Explorer per provare le API di Microsoft Graph.

Importante

Per eseguire queste tre attività in Graph Explorer, potrebbe essere necessario concedere il consenso alle autorizzazioni eDiscovery.Read.All ed eDiscovery.ReadWrite.All. Per altre informazioni, vedere la sezione "Consenso alle autorizzazioni" in Uso di Graph Explorer.

Ottenere l'ID caso

  1. Passare a https://developer.microsoft.com/graph/graph-explorer e accedere a Graph Explorer con un account a cui è stato assegnato il ruolo Cerca ed elimina nel portale di Microsoft Purview.

  2. Eseguire la richiesta GET seguente per recuperare l'ID per il caso di eDiscovery. Usare il valore https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases nella barra degli indirizzi della query di richiesta. Assicurarsi di selezionare v1.0 nell'elenco a discesa Versione API.

    Questa richiesta restituisce informazioni su tutti i casi nell'organizzazione nella scheda Anteprima risposta .

  3. Scorrere la risposta per individuare il caso di eDiscovery. Utilizzare la proprietà displayName per identificare il caso.

  4. Copiare l'ID corrispondente (o copiarlo e incollarlo in un file di testo). Questo ID verrà usato nell'attività successiva per ottenere l'ID di ricerca.

Suggerimento

Anziché usare la procedura precedente per ottenere l'ID caso, è possibile aprire il caso nel portale di Microsoft Purview e copiare l'ID case dall'URL.

Ottenere l'eDiscoverySearchID

  1. In Graph Explorer eseguire la richiesta GET seguente per recuperare l'ID per la ricerca creata nel passaggio 2 e contiene gli elementi da eliminare. Usare il valore https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches nella barra degli indirizzi della query di richiesta, dove {ediscoveryCaseID} è il CaseID ottenuto nella procedura precedente.

  2. Scorrere la risposta per individuare la ricerca che contiene gli elementi da eliminare. Utilizzare la proprietà displayName per identificare la ricerca creata nel passaggio 3.

    Nella risposta, la query di ricerca dalla ricerca viene visualizzata nella proprietà contentQuery . Gli elementi restituiti da questa query vengono eliminati nell'attività successiva.

  3. Copiare l'ID corrispondente (o copiarlo e incollarlo in un file di testo). Questo ID verrà usato nell'attività successiva per eliminare i messaggi di chat.

Eliminare i messaggi di chat

  1. In Graph Explorer eseguire la richiesta POST seguente per eliminare gli elementi restituiti dalla ricerca creata nel passaggio 2. Usare il valore https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData nella barra degli indirizzi della query di richiesta, dove {ediscoveryCaseID} e {ediscoverySearchID} sono gli ID ottenuti nelle procedure precedenti.

    Se la richiesta POST ha esito positivo, un codice di risposta HTTP viene visualizzato in un banner verde che indica che la richiesta è stata accettata.

Per altre informazioni su purgeData, vedere sourceCollection: purgeData.

Eliminare i messaggi di chat con PowerShell

È anche possibile eliminare i messaggi di chat usando PowerShell. Ad esempio, per eliminare i messaggi nel cloud us government è possibile usare un comando simile al seguente:

Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov

Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'

Per altre informazioni sull'uso di PowerShell per eliminare i messaggi di chat, vedere ediscoverySearch: purgeData.

Passaggio 6: Verificare che i messaggi di chat vengano eliminati

Dopo aver eseguito la richiesta POST per eliminare i messaggi di chat, questi messaggi vengono rimossi dal client teams e sostituiti da un messaggio generato automaticamente che indica che un amministratore ha rimosso il messaggio. Per un esempio di questo messaggio, vedere la sezione Esperienza utente finale in questo articolo.

Se è necessario confermare che un messaggio di chat è stato rimosso e non è possibile accedere al messaggio dell'utente finale in Teams, eseguire di nuovo la ricerca e verificare se vengono trovati messaggi corrispondenti. Se non sono presenti risultati per il messaggio, il messaggio è stato rimosso.

I messaggi di chat eliminati vengono spostati nella cartella SubstrateHolds , che è una cartella cassetta postale nascosta. I messaggi di chat eliminati vengono archiviati per almeno 1 giorno e quindi vengono eliminati definitivamente la volta successiva in cui viene eseguito il processo timer (in genere tra 1-7 giorni). Per altre informazioni, vedere Informazioni sulla conservazione per Microsoft Teams.

Nota

Poiché Microsoft Graph Explorer non è disponibile nel cloud us government (GCC, GCC High e DOD), è necessario usare PowerShell per eseguire queste attività.

Passaggio 7: Riapplicare i criteri di conservazione e conservazione alle origini dati

Dopo aver verificato che i messaggi di chat vengano eliminati e rimossi dal client di Teams, è possibile riapplicare i criteri di conservazione e blocchi rimossi nel passaggio 4.

Eliminazione di messaggi di chat in ambienti federati

Gli amministratori possono usare le procedure descritte in questo articolo per cercare ed eliminare i messaggi di chat di Teams in ambienti federati. Tuttavia, è necessario attenersi alle linee guida seguenti. Queste linee guida si basano sulla proprietà dell'organizzazione del thread di conversazione che contiene i messaggi che si desidera eliminare. Un'organizzazione è il proprietario di un thread di conversazione avviato da un utente dell'organizzazione. In altre parole, quando un utente avvia una chat, l'organizzazione dell'utente diventa il proprietario del thread di conversazione.

  • Gli amministratori possono eliminare la copia di conformità nei thread di conversazione di proprietà dell'organizzazione. Ciò significa che le copie di conformità vengono eliminate quando l'amministratore che elimina i messaggi di chat nel passaggio 5 si trova nella stessa organizzazione dell'utente che ha avviato il thread di conversazione che contiene i messaggi eliminati. Se un thread di conversazione include utenti in due organizzazioni, le copie di conformità per l'altra organizzazione vengono mantenute.
  • Se un thread di conversazione include utenti in due organizzazioni, i messaggi di chat eliminati vengono rimossi dal client di Teams in entrambe le organizzazioni.
  • L'unico modo per eliminare i messaggi di chat dalle cassette postali degli utenti dell'organizzazione per i messaggi di chat nei thread di conversazione di proprietà di un'altra organizzazione consiste nell'usare i criteri di conservazione per Teams. Per altre informazioni, vedere Informazioni sulla conservazione per Microsoft Teams.

Esperienza dell'utente finale

Per i messaggi di chat eliminati, gli utenti visualizzano un messaggio generato automaticamente che indica che questo messaggio è stato eliminato da un amministratore.

Visualizzazione del messaggio di chat eliminato nel client di Teams.

Il messaggio nello screenshot precedente sostituisce il messaggio di chat eliminato.

Nota

Se si è un utente finale e un messaggio di chat è stato eliminato, contattare l'amministratore per altre informazioni.