Localizar e eliminar mensagens de chat do Microsoft Teams na Deteção de Dados Eletrónicos (pré-visualização)
Pode utilizar a Deteção de Dados Eletrónicos (pré-visualização) e a Explorer do Microsoft Graph para procurar e eliminar mensagens de chat no Microsoft Teams. Esta funcionalidade pode ajudá-lo a localizar e remover informações confidenciais ou conteúdo inapropriado. Este fluxo de trabalho de pesquisa e eliminação ajuda-o a responder a um incidente de transposição de dados, quando os conteúdos que contêm informações confidenciais ou maliciosas são divulgados através de mensagens de chat do Teams.
Dica
Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.
Para criar um caso de Deteção de Dados Eletrónicos e procurar mensagens de chat, tem de ser membro do grupo de funções Gestor de Deteção de Dados Eletrónicos no portal do Microsoft Purview. Para eliminar mensagens de chat, tem de lhe ser atribuída a função Procurar e Remover . Por predefinição, esta função é atribuída aos grupos de funções Investigador de Dados e Gestão da Organização . Para obter mais informações, confira Atribuir permissões de Descoberta eletrônica.
A pesquisa e remoção são suportadas para a maioria das conversações na sua organização. A pesquisa e remoção de conversações Conexão Teams Chat (Acesso Externo ou Federação) não são suportadas.
Importante
As conversas consigo próprias (ou conversas por utilizadores consigo próprios) não são suportadas para pesquisa e eliminação.
Só é possível remover no máximo dez itens de cada vez por caixa de correio. Uma vez que a capacidade de procurar e remover mensagens de chat se destina a ser uma ferramenta de resposta a incidentes, este limite ajuda a garantir que as mensagens de chat são rapidamente removidas.
O primeiro passo é criar um caso na Deteção de Dados Eletrónicos (pré-visualização) para gerir o processo de pesquisa e eliminação.
Depois de criar um caso, o próximo passo consiste em procurar as mensagens de chat do Teams que pretende eliminar. O processo de eliminação que efetua é o Passo 5 elimina todos os itens encontrados na pesquisa (dentro do limite de 10 itens por localização).
Utilize a tabela seguinte para determinar quais as origens de dados a procurar consoante o tipo de mensagem de chat que precisa de eliminar.
Para este tipo de chat... | Procurar nesta origem de dados... |
---|---|
Conversas do Teams 1:1 | A caixa de correio dos participantes do chat. |
Conversas de grupo do Teams | As caixas de correio dos participantes do chat. |
Canais do Teams (padrão e partilhado) | A caixa de correio associada à equipe principal. |
Canais privados do Teams | A caixa de correio dos membros do canal privado. |
Observação
No Passo 4, também tem de identificar e remover quaisquer políticas de retenção e retenção atribuídas à caixa de correio que contém o tipo de mensagens de chat que pretende eliminar.
Para ajudar a garantir a identificação mais abrangente das conversações de chat do Teams (incluindo chats de grupo e 1:1 e chats a partir de conversas padrão, partilhadas e privadas), utilize a condição Tipo e selecione a opção Mensagens instantâneas quando criar a consulta de pesquisa. Também recomendamos incluir um intervalo de datas ou várias palavras-chave para restringir o âmbito da pesquisa a itens relevantes para a sua investigação.
O processo de eliminação no Passo 5 elimina os itens devolvidos pela pesquisa. É importante que reveja as estatísticas de pesquisa para garantir que a pesquisa devolve apenas os itens que pretende eliminar. Além disso, pode utilizar as estatísticas de pesquisa (especificamente as estatísticas das Principais Localizações ) para gerar uma lista das origens de dados que contêm itens devolvidos pela pesquisa. Utilize esta lista no passo seguinte para remover políticas de retenção e retenção das origens de dados que contêm resultados de pesquisa.
Antes de poder eliminar mensagens de chat de uma caixa de correio, tem de remover todas as retenções de toda a organização, retenções de sites ou retenção que estão atribuídas a uma caixa de correio de destino. Caso contrário, a conversa que está a tentar eliminar é mantida.
Utilize a lista de caixas de correio que contêm as mensagens de chat que pretende eliminar e determine se existe uma política de retenção ou retenção atribuída a essas caixas de correio e, em seguida, remova a política de retenção ou retenção. Certifique-se de que identifica a política de retenção ou retenção que remove para que possa reatribuir às caixas de correio no Passo 7.
Para obter instruções sobre como identificar e remover suspensões e políticas de retenção, consulte "Passo 3: Remover todas as retenções da caixa de correio" em Eliminar itens na pasta Itens Recuperáveis de caixas de correio baseadas na nuvem em suspensão.
Observação
Uma vez que o Microsoft Graph Explorer não está disponível em algumas clouds do Governo norte-americano (GCC High e DOD), tem de utilizar o PowerShell para realizar estas tarefas. Consulte Eliminar mensagens de chat com o PowerShell para obter detalhes.
Agora, está pronto para eliminar mensagens de chat do Teams. Utilize a Explorer do Microsoft Graph para realizar as três tarefas seguintes:
- Obtenha o ID do caso de Deteção de Dados Eletrónicos que criou no Passo 1. Este é o caso que contém os resultados da pesquisa criados no Passo 2.
- Obtenha o ID da pesquisa que criou no Passo 2 e verifique os resultados da pesquisa no Passo 3. A pesquisa quer devolve as mensagens de chat que serão eliminadas.
- Elimine as mensagens de chat devolvidas pela pesquisa.
Para obter informações sobre como utilizar o Graph Explorer, consulte Utilizar o Graph Explorer para experimentar as APIs do Microsoft Graph.
Importante
Para efetuar estas três tarefas no Graph Explorer, poderá ter de consentir as permissões de Deteção de Dados Eletrónicos.Read.All e Deteção de Dados Eletrónicos.ReadWrite.All. Para obter mais informações, veja a secção "Consentimento para permissões" em Trabalhar com o Graph Explorer.
Aceda a https://developer.microsoft.com/graph/graph-explorer e inicie sessão no Graph Explorer com uma conta que tenha atribuída a função Procurar e Remover no portal do Microsoft Purview.
Execute o seguinte pedido GET para obter o ID do caso de Deteção de Dados Eletrónicos. Utilize o valor
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases
na barra de endereço da consulta do pedido. Certifique-se de que seleciona v1.0 na lista pendente versão da API.Este pedido devolve informações sobre todos os casos na sua organização no separador Pré-visualização da resposta .
Percorra a resposta para localizar o caso de Deteção de Dados Eletrónicos. Utilize a propriedade displayName para identificar o caso.
Copie o ID correspondente (ou copie e cole-o num ficheiro de texto). Irá utilizar este ID na próxima tarefa para obter o ID de pesquisa.
Dica
Em vez de utilizar o procedimento anterior para obter o ID do caso, pode abrir o caso no portal do Microsoft Purview e copiar o ID do caso do URL.
No Graph Explorer, execute o seguinte pedido GET para obter o ID da pesquisa que criou no Passo 2 e contém os itens que pretende eliminar. Utilize o valor
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches
na barra de endereço da consulta do pedido, em que {ediscoveryCaseID} é o CaseID que obteve no procedimento anterior.Percorra a resposta para localizar a pesquisa que contém os itens que pretende eliminar. Utilize a propriedade displayName para identificar a pesquisa que criou no Passo 3.
Na resposta, a consulta de pesquisa da pesquisa é apresentada na propriedade contentQuery . Os itens devolvidos por esta consulta são eliminados na tarefa seguinte.
Copie o ID correspondente (ou copie e cole-o num ficheiro de texto). Irá utilizar este ID na próxima tarefa para eliminar as mensagens de chat.
No Graph Explorer, execute o seguinte pedido POST para eliminar os itens devolvidos pela pesquisa que criou no Passo 2. Utilize o valor
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData
na barra de endereço da consulta do pedido, em que {ediscoveryCaseID} e {ediscoverySearchID} são os IDs que obteve nos procedimentos anteriores.Se o pedido POST for bem-sucedido, é apresentado um código de resposta HTTP numa faixa verde a indicar que o pedido foi aceite.
Para obter mais informações sobre purgeData, veja sourceCollection: purgeData.
Também pode eliminar mensagens de chat com o PowerShell. Por exemplo, para eliminar mensagens na cloud da Administração Pública dos EUA, pode utilizar um comando semelhante a:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
Para obter mais informações sobre como utilizar o PowerShell para eliminar mensagens de chat, consulte ediscoverySearch: purgeData.
Depois de executar o pedido POST para eliminar mensagens de chat, estas mensagens são removidas do cliente do Teams e substituídas por um gerado automaticamente a indicar que um administrador removeu a mensagem. Para obter um exemplo desta mensagem, consulte a secção Experiência do utilizador final neste artigo.
Se precisar de confirmar que uma mensagem de chat foi removida e não tiver acesso à mensagem do utilizador final no Teams, execute novamente a pesquisa e verifique se foram encontradas mensagens correspondentes. Se não existirem resultados para a mensagem, a mensagem foi removida.
As mensagens de chat eliminadas são movidas para a pasta SubstrateHolds , que é uma pasta de caixa de correio oculta. As mensagens de chat eliminadas são aí armazenadas durante, pelo menos, 1 dia e, em seguida, são eliminadas permanentemente da próxima vez que a tarefa de temporizador for executada (normalmente entre 1 e 7 dias). Para obter mais informações, consulte Saiba mais sobre a retenção do Microsoft Teams.
Observação
Uma vez que o Microsoft Graph Explorer não está disponível na cloud do Us Government (GCC, GCC High e DOD), tem de utilizar o PowerShell para realizar estas tarefas.
Depois de verificar se as mensagens de chat são eliminadas e removidas do cliente do Teams, pode reaplicar as políticas de retenção e retenção que removeu no Passo 4.
Os administradores podem utilizar os procedimentos neste artigo para procurar e eliminar mensagens de chat do Teams em ambientes federados. No entanto, tem de cumprir as seguintes diretrizes. Estas diretrizes baseiam-se na propriedade organizacional do thread de conversação que contém as mensagens que pretende eliminar. Uma organização é o proprietário de um tópico de conversação iniciado por um utilizador nessa organização. Por outras palavras, quando um utilizador inicia uma conversa, a organização do utilizador torna-se o proprietário do tópico de conversação.
- Os administradores podem eliminar a cópia de conformidade em threads de conversação pertencentes à respetiva organização. Isto significa que as cópias de conformidade são eliminadas quando o administrador que elimina as mensagens de chat no Passo 5 está na mesma organização que o utilizador que iniciou o tópico de conversação que contém as mensagens eliminadas. Se um tópico de conversação tiver utilizadores em duas organizações, as cópias de conformidade da outra organização serão mantidas.
- Se um tópico de conversação tiver utilizadores em duas organizações, as mensagens de chat eliminadas são removidas do cliente do Teams em ambas as organizações.
- A única forma de eliminar mensagens de chat de caixas de correio de utilizadores na sua organização para mensagens de chat em tópicos de conversação pertencentes a outra organização é utilizar políticas de retenção para o Teams. Para obter mais informações, consulte Saiba mais sobre a retenção do Microsoft Teams.
Para mensagens de chat eliminadas, os utilizadores veem uma mensagem gerada automaticamente a indicar Que esta mensagem foi eliminada por um administrador.
A mensagem na captura de ecrã anterior substitui a mensagem de chat que foi eliminada.
Observação
Se for um utilizador final e uma mensagem de chat tiver sido eliminada, contacte o seu administrador para obter mais informações.