Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Вы также можете использовать функцию очистки в Исследования по безопасности данных для поиска и окончательного удаления элементов Microsoft Teams в организации. Исследования по безопасности данных предоставляет встроенный рабочий процесс поиска и очистки с панелью мониторинга очереди очистки, которая помогает управлять запросами очистки и отслеживать их. Дополнительные сведения см. в разделе Очистка в Исследования по безопасности данных.
Вы можете использовать обнаружение электронных данных и Обозреватель Microsoft Graph для поиска и удаления сообщений чата в Microsoft Teams. Эта функция помогает находить и удалять конфиденциальную информацию или нежелательное содержимое. Этот рабочий процесс поиска и удаления помогает реагировать на событие утечки данных, когда содержимое, содержащее конфиденциальную или вредную информацию, освобождается через сообщения чата Teams.
Данные чата Microsoft Teams хранятся в отдельных копиях: одна для обеспечения соответствия требованиям (используется такими средствами, как обнаружение электронных данных), а другая — для доступа конечных пользователей.
Операции обратимого удаления или жесткого удаления удаляют копию конечного пользователя безвозвратно и не могут быть восстановлены для использования пользователем.
Очистка сообщений Teams на основе командлетов может удалить копию сообщений Teams, но копия конечного пользователя остается видимой. После удаления копии соответствия обнаружению электронных данных больше не удастся удалить сообщение, видимое конечным пользователем. Тщательно проверяйте сообщения Teams перед очисткой и избегайте использования командлетов для очистки сообщений Teams (копия конечного пользователя не удаляется).
- Если вы используете командлеты, просмотрите отчет об экспорте и исключите элементы Teams. Удаление выполняется только для копии соответствия требованиям и не удаляет копии из просмотра пользователем. Это действие также предотвращает удаление в будущем при использовании API Microsoft Graph.
- Если вы используете Microsoft Graph для проверки отчета и убедитесь, что элементы Teams удаляются намеренно, восстановление элементов после завершения удаления не будет.
Чтобы обеспечить полное удаление элементов, тщательно спланируйте стратегию очистки и поймите, какая копия целевых объектов действий.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Перед поиском и удалением сообщений чата
Важно!
Внимательно ознакомьтесь со следующими рекомендациями, прежде чем приступать к поиску и очистке сообщений электронной почты.
В зависимости от подписки eDiscovery для вашей организации можно включить варианты для функций уровня "Премиум" или нет. Проверьте уровень поддержки функций для случая, чтобы определить, следует ли выполнять поиск и очистку с помощью PowerShell или Microsoft Graph. Варианты, не настроенные для функций premium, могут использовать PowerShell только для поиска и удаления сообщений электронной почты , а варианты, настроенные для функций premium, могут использовать PowerShell или Microsoft Graph для поиска и удаления сообщений электронной почты. Не используйте сочетание PowerShell и Microsoft Graph для очистки сообщений электронной почты и чатов.
После окончательного удаления данных их невозможно восстановить. Внимательно следуйте указаниям, приведенным в этой статье, и проверьте область поиска перед выполнением команды очистки. После выполнения команды очистки вы не сможете отменить ее, и сообщения электронной почты и чаты не удастся восстановить.
Запустите отчет об экспорте, чтобы просмотреть все элементы, соответствующие условиям поиска, перед очисткой. Использование функции поиска и экспорта на портале Microsoft Purview и экспорт результатов в формате только отчета позволяет изучить подробные метаданные перед удалением. Такой подход помогает уточнить область поиска и обеспечивает более целевую и точную очистку.
Чтобы создать дело об обнаружении электронных данных и найти сообщения чата, необходимо быть членом группы ролей диспетчера электронных данных на портале Microsoft Purview. Чтобы удалить сообщения чата, вам должна быть назначена роль поиска и очистки . По умолчанию эта роль назначается группам ролей "Следователь данных" и "Управление организацией". Дополнительные сведения см. в статье Назначение разрешений на обнаружение электронных данных.
Поиск и очистка поддерживаются для большинства бесед в организации. Поиск и очистка бесед чата Teams Связи (внешний доступ или федерация) не поддерживаются.
Важно!
Чаты с самим собой (или чаты пользователей с самими собой) не поддерживаются для поиска и удаления.
Одновременно можно удалить до 100 элементов на один почтовый ящик. Так как возможность поиска и удаления сообщений чата предназначена для использования средства реагирования на события, это ограничение помогает обеспечить быстрое удаление сообщений чата.
Шаг 1. Создание дела в обнаружении электронных данных
Первым шагом является создание дела в обнаружении электронных данных для управления процессом поиска и удаления.
Шаг 2. Создание поискового запроса
После создания дела следующим шагом будет поиск сообщений чата Teams , которые нужно удалить. Процесс удаления, выполняемый на шаге 5, удаляет все элементы, найденные в поиске (в пределах 10 элементов на расположение).
Источники данных для сообщений чата
Используйте следующую таблицу, чтобы определить источники данных для поиска в зависимости от типа сообщения чата, которое необходимо удалить.
| Для этого типа чата... | Поиск в этом источнике данных... |
|---|---|
| Чаты Teams 1:1 | Почтовый ящик участников чата. |
| Групповые чаты Teams | Почтовые ящики участников чата. |
| Каналы Teams (стандартные и общие) | Почтовый ящик, связанный с родительская команда. |
| Частные каналы Teams | Выделенный почтовый ящик для каждого частного канала. |
Примечание.
На шаге 4 также необходимо определить и удалить все удержания и политики хранения, назначенные почтовому ящику, который содержит тип сообщений чата, которые вы хотите удалить.
Советы по поиску сообщений чата
Чтобы обеспечить наиболее полное определение бесед в чате Teams (включая чаты 1:1 и групповые чаты, а также чаты из стандартных, общих и частных чатов), используйте условие Тип и выберите параметр Мгновенные сообщения при создании поискового запроса. Добавьте диапазон дат или несколько ключевых слов, чтобы сузить область поиска до элементов, относящихся к вашему исследованию.
Шаг 3. Просмотр и проверка сообщений чата для удаления
Процесс удаления на шаге 5 удаляет элементы, возвращенные поиском. Важно просмотреть статистику поиска, чтобы убедиться, что поиск возвращает только элементы, которые требуется удалить. Кроме того, можно использовать статистику поиска (в частности, статистику основных расположений ) для создания списка источников данных, содержащих элементы, возвращаемые поиском. Используйте этот список на следующем шаге, чтобы удалить политики удержания и хранения из источников данных, содержащих результаты поиска.
Шаг 4. Удаление всех удержаний и политик хранения из источников данных
Прежде чем удалять сообщения чата из почтового ящика, необходимо удалить все удержания в масштабах всей организации, удержания сайта или удержания политики хранения, назначенные целевому почтовому ящику. Если вы не удалите эти удержания, сообщения чата, которые вы пытаетесь удалить, будут сохранены.
Используйте список почтовых ящиков, содержащих сообщения чата, которые нужно удалить, чтобы определить, назначена ли им политика удержания или хранения, а затем удалите политику удержания или хранения. Обязательно определите удаляемую политику удержания или хранения, чтобы вы могли переназначить ее почтовым ящикам на шаге 7.
Инструкции по идентификации и удалению удержаний и политик хранения см. в разделе Шаг 3. Удаление всех удержаний из почтового ящика в статье Удаление элементов в папке "Элементы с возможностью восстановления" облачных почтовых ящиков при удержании.
Шаг 5. Удаление сообщений чата из Teams
Примечание.
Так как Microsoft Graph Обозреватель недоступна в некоторых облаках для государственных организаций США (GCC High и DOD), для выполнения этих задач необходимо использовать PowerShell. Дополнительные сведения см. в статье Удаление сообщений чата с помощью PowerShell .
Теперь вы можете удалять сообщения чата из Teams. Используйте Обозреватель Microsoft Graph для выполнения следующих задач:
- Получите идентификатор дела обнаружения электронных данных, созданного на шаге 1. Этот случай содержит результаты поиска, созданные на шаге 2.
- Получите идентификатор поиска, созданного на шаге 2 и проверенного результата поиска на шаге 3. Поисковый запрос возвращает сообщения чата, которые нужно удалить.
- Удалите сообщения чата, возвращенные поиском.
Сведения об использовании Обозреватель Graph см. в статье Использование Обозреватель Graph для пробных интерфейсов API Microsoft Graph.
Важно!
Для выполнения этих трех задач в Graph Обозреватель может потребоваться согласие на разрешения eDiscovery.Read.All и eDiscovery.ReadWrite.All. Дополнительные сведения см. в разделе "Согласие на разрешения" статьи Работа с Обозреватель Graph.
Получение идентификатора обращения
Перейдите на страницу https://developer.microsoft.com/graph/graph-explorer и войдите в Обозреватель Graph с учетной записью, которому назначена роль поиска и очистки на портале Microsoft Purview.
Выполните следующий запрос GET, чтобы получить идентификатор для дела обнаружения электронных данных. Используйте значение
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCasesв адресной строке запроса. Обязательно выберите версию 1.0 в раскрывающемся списке Версия API.Этот запрос возвращает сведения обо всех случаях в организации на вкладке Предварительный просмотр ответа .
Прокрутите ответ, чтобы найти дело обнаружения электронных данных. Используйте свойство displayName для идентификации варианта.
Скопируйте соответствующий идентификатор (или скопируйте и вставьте его в текстовый файл). Используйте этот идентификатор в следующей задаче, чтобы получить идентификатор поиска.
Совет
Вместо того, чтобы использовать предыдущую процедуру для получения идентификатора дела, можно открыть дело на портале Microsoft Purview и скопировать идентификатор дела из URL-адреса.
Получение идентификатора обнаружения электронных данных
В Graph Обозреватель выполните следующий запрос GET, чтобы получить идентификатор для поиска, созданного на шаге 2, и содержит элементы, которые нужно удалить. Используйте значение
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searchesв адресной строке запроса, где {ediscoveryCaseID} — это идентификатор CaseID, полученный в предыдущей процедуре.Прокрутите ответ, чтобы найти поиск, содержащий элементы, которые нужно удалить. Используйте свойство displayName для идентификации поиска, созданного на шаге 3.
В ответе поисковый запрос из поиска отображается в свойстве contentQuery . Элементы, возвращаемые этим запросом, удаляются в следующей задаче.
Скопируйте соответствующий идентификатор (или скопируйте и вставьте его в текстовый файл). Используйте этот идентификатор в следующей задаче, чтобы удалить сообщения чата.
Удаление сообщений чата
В Graph Обозреватель выполните следующий запрос POST, чтобы удалить элементы, возвращенные поиском, созданным на шаге 2. Используйте значение
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeDataв адресной строке запроса, где {ediscoveryCaseID} и {ediscoverySearchID} — это идентификаторы, полученные в предыдущих процедурах.Если запрос POST выполнен успешно, в зеленом баннере отображается код ответа HTTP, указывающий, что запрос принят.
Дополнительные сведения о purgeData см. в разделе sourceCollection: purgeData.
Удаление сообщений чата с помощью PowerShell
Вы также можете удалять сообщения чата с помощью PowerShell. Например, чтобы удалить сообщения в облаке для государственных организаций США, можно использовать команду, аналогичную следующему примеру:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
Дополнительные сведения об использовании PowerShell для удаления сообщений чата см. в статье ediscoverySearch: purgeData.
Шаг 6. Проверка удаления сообщений чата
При выполнении запроса POST на удаление сообщений чата клиент Teams удаляет эти сообщения и заменяет их автоматически созданным сообщением о том, что администратор удалил сообщение. Пример этого сообщения см. в разделе Взаимодействие с пользователем этой статьи.
Если вам нужно убедиться, что сообщение чата удалено, но у вас нет доступа к сообщению конечного пользователя в Teams, повторно запустите поиск и проверка, если появятся соответствующие сообщения. Если для сообщения нет результатов, сообщение удаляется.
При выполнении очистки:
- Пользовательская копия сообщения удаляется немедленно и не может быть восстановлена пользователем.
- Копия соответствия требованиям (хранится в папке SubstrateHolds почтового ящика) хранится не менее 24 часов до окончательного удаления заданием фонового таймера (обычно в течение 1–7 дней). Если удержание удаляется, а затем повторно применяется в течение этого 24-часового периода, копия соответствия может быть сохранена новым удержанием.
Дополнительные сведения см. в статье Сведения о хранении для Microsoft Teams.
Примечание.
Так как microsoft Graph Обозреватель недоступна в облаке для государственных организаций США (GCC, GCC High и DOD), для выполнения этих задач необходимо использовать PowerShell.
Шаг 7. Повторное применение политик хранения и хранения к источникам данных
Убедившись, что сообщения чата удалены и удалены из клиента Teams, повторно примените политики удержания и хранения, удаленные на шаге 4.
Характер работы пользователей
Для удаленных сообщений чата пользователи видят автоматически созданное сообщение о том, что это сообщение было удалено администратором.
Сообщение на предыдущем снимке экрана заменяет удаленное сообщение чата.
Примечание.
Если вы являетесь конечным пользователем и сообщение чата было удалено, обратитесь к администратору за дополнительными сведениями.
Вопросы и ответы
Часто задаваемые вопросы о поиске и очистке см. в статье Поиск и удаление сообщений электронной почты в eDiscovery.