通过

在 Teams 中搜索和删除聊天消息

  • 项目

提示

电子数据展示 (预览) 现已在新的 Microsoft Purview 门户中提供。 若要详细了解如何使用新的电子数据展示体验,请参阅 了解电子数据展示 (预览版)

可以使用电子数据展示 (Premium) 和 Microsoft Graph 资源管理器在 Microsoft Teams 中搜索和删除聊天消息。 此功能可帮助你查找和删除敏感信息或不适当的内容。 当包含机密或恶意信息的内容通过 Teams 聊天消息发布时,此搜索和删除工作流还有助于响应数据泄漏事件。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从 Microsoft Purview 合规性门户试用中心开始。 了解有关 注册和试用条款的详细信息。

搜索和删除聊天消息之前

  • 若要创建电子数据展示 (Premium) 案例并使用集合搜索聊天消息,你必须是 Microsoft Purview 合规性门户中 电子数据展示管理员 角色组的成员。 若要删除聊天消息,必须分配“ 搜索和清除” 角色。 默认情况下,此角色分配给数据调查员和组织管理角色组。 有关详细信息,请参阅分配电子数据展示权限

  • 租户中的大多数对话都支持搜索和清除。 不支持搜索和清除 Teams Connect 聊天 (外部访问或联合) 对话。

    重要

    搜索和删除不支持与自己 (聊天或用户与自己) 聊天。

  • 一次最多可以删除每个邮箱的 10 封邮件。 由于搜索和删除聊天消息的功能旨在成为事件响应工具,因此此限制有助于确保快速删除聊天消息。

搜索和删除工作流

下面是搜索和删除 Teams 聊天消息的过程:

用于搜索和删除 Teams 聊天消息的工作流。

步骤 1:在电子数据展示 (高级版) 中创建事例

第一步是在电子数据展示 (Premium) 中创建事例,以管理搜索和删除过程。 有关创建案例的信息,请参阅 使用新的案例格式

步骤 2:创建集合估算

创建案例后,下一步是创建集合估算,以搜索要删除的 Teams 聊天消息。 您执行的删除过程是步骤 5 删除集合估计 (在每个位置限制 10 个项目) 内找到的所有项。

在电子数据展示 (Premium) 中, 集合 是包含要删除的聊天消息的 Teams 内容位置的电子数据展示搜索。 在上一步中创建的情况下创建集合估计值。 有关详细信息,请参阅 创建集合估算

聊天消息的数据源

根据需要删除的聊天消息类型,使用下表确定要搜索的数据源。

对于此类聊天... 搜索此数据源...
Teams 1:1 聊天 聊天参与者的邮箱。
Teams 群组聊天 聊天参与者的邮箱。
Teams 频道 (标准和共享) 与父团队关联的邮箱。
Teams 专用频道 专用频道成员的邮箱。

注意

在步骤 4 中,还必须标识并删除分配给包含要删除的聊天邮件类型的邮箱的任何保留和保留策略。

搜索聊天消息的提示

若要帮助确保最全面的 Teams 聊天聊天集合 (包括 1:1 聊天和群组聊天,以及标准聊天、共享聊天和私人聊天) 在为集合估计生成搜索查询时使用 “类型 ”条件并选择“ 即时消息” 选项。 我们还建议包括日期范围或多个关键字,以将集合范围缩小到与搜索删除调查相关的项目。

下面是使用 “类型 ”和“ 日期 ”选项的示例查询示例:

用于收集 Teams 内容的查询。

有关详细信息,请参阅 生成集合的搜索查询

步骤 3:查看并验证要删除的聊天消息

步骤 5 中的删除过程将删除集合返回的项。 请务必查看集合估计结果,以确保集合仅返回要删除的项。 若要查看集合估算中的项示例,请参阅 创建集合估算中的“集合估计完成后的后续步骤”部分。

此外,可以使用集合统计信息 (特别是“Top Locations 统计信息) 来生成包含集合返回的项的数据源列表。 在下一步中使用此列表从包含搜索结果的数据源中删除保留和保留策略。 有关详细信息,请参阅 集合统计信息和报表

步骤 4:删除数据源中的所有保留和保留策略

必须先删除分配给目标邮箱的所有组织范围的保留、站点保留或保留策略保留,然后才能从邮箱中删除聊天邮件。 否则,将保留你尝试删除的聊天。

使用包含要删除的聊天邮件的邮箱列表,确定是否为这些邮箱分配了保留或保留策略,然后删除保留或保留策略。 请务必确定删除的保留或保留策略,以便可以重新分配到步骤 7 中的邮箱。

有关如何识别和删除保留和保留策略的说明,请参阅 “删除基于云的邮箱的可恢复项目”文件夹中的“步骤 3:删除邮箱中的所有保留项”。

步骤 5:从 Teams 中删除聊天消息

注意

由于 Microsoft Graph Explorer 在某些美国政府云中不可用, (GCC High 和 DOD) ,因此必须使用 PowerShell 来完成这些任务。 有关详细信息,请参阅 使用 PowerShell 删除聊天消息

现在,你已准备好从 Teams 中实际删除聊天消息。 使用 Microsoft Graph 资源管理器执行以下三项任务:

  1. 获取在步骤 1 中创建的电子数据展示 (Premium) 事例的 ID。 这是包含步骤 2 中创建的集合的情况。
  2. 获取在步骤 2 中创建的集合的 ID,并在步骤 3 中验证了搜索结果。 此集合中的搜索查询返回将删除的聊天消息。
  3. 删除集合返回的聊天消息。

有关使用 Graph 资源管理器的信息,请参阅 使用 Graph 资源管理器尝试Microsoft Graph API

重要

若要在 Graph 资源管理器中执行这三个任务,可能需要同意电子数据展示.Read.All 和电子数据展示.ReadWrite.All 权限。 有关详细信息,请参阅 使用 Graph 资源管理器中的“同意权限”部分。

获取案例 ID

  1. 转到 https://developer.microsoft.com/graph/graph-explorer ,并使用在 Microsoft Purview 合规门户中分配有 “搜索和清除” 角色的帐户登录 Graph 资源管理器。

  2. 运行以下 GET 请求,检索电子数据展示 (Premium) 事例的 ID。 使用请求查询的地址栏中的值 https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases 。 请务必在 API 版本下拉列表中选择 v1.0

    此请求在 “响应预览 ”选项卡上返回有关组织中所有案例的信息。

  3. 滚动浏览响应,找到电子数据展示 (高级版) 事例。 使用 displayName 属性标识事例。

  4. 复制相应的 ID (或复制并粘贴到文本文件) 。 你将在下一个任务中使用此 ID 来获取集合 ID。

提示

可以在 Microsoft Purview 合规性门户中打开案例,并从 URL 复制案例 ID,而不是使用前面的过程来获取案例 ID。

获取电子数据展示SearchID

  1. 在 Graph 资源管理器中,运行以下 GET 请求以检索在步骤 2 中创建的集合的 ID,并包含要删除的项目。 使用请求查询的地址栏中的值 https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches ,其中 {ediscoveryCaseID} 是在上一过程中获取的 CaseID。

  2. 滚动响应以找到包含要删除的项的集合。 使用 displayName 属性标识在步骤 3 中创建的集合。

    在响应中,集合中的搜索查询显示在 contentQuery 属性中。 此查询返回的项将在下一个任务中删除。

  3. 复制相应的 ID (或复制并粘贴到文本文件) 。 在下一个任务中,你将使用此 ID 删除聊天消息。

提示

可以在 Microsoft Purview 合规性门户中打开事例,而不是使用前面的过程来获取搜索 ID。 打开事例并导航到“作业”选项卡。选择相关集合,然后在“支持信息”下找到作业 ID, (此处显示的作业 ID 与集合 ID) 相同。

删除聊天消息

  1. 在 Graph 资源管理器中,运行以下 POST 请求以删除在步骤 2 中创建的集合返回的项目。 使用请求查询的地址栏中的值 https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData ,其中 {ediscoveryCaseID}{ediscoverySearchID} 是你在前面的过程中获取的 ID。

    如果 POST 请求成功,HTTP 响应代码会显示在绿色横幅中,指出请求已接受。

有关 purgeData 的详细信息,请参阅 sourceCollection: purgeData

使用 PowerShell 删除聊天消息

还可以使用 PowerShell 删除聊天消息。 例如,若要删除美国政府云中的邮件,可以使用类似于以下内容的命令:

Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov

Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'

有关使用 PowerShell 删除聊天消息的详细信息,请参阅 ediscoverySearch: purgeData

步骤 6:验证聊天消息是否已删除

运行 POST 请求以删除聊天消息后,这些消息将从 Teams 客户端中删除,并替换为自动生成的,指示管理员删除了该消息。 有关此消息的示例,请参阅本文中的 最终用户体验 部分。

如果需要确认聊天消息已删除且无权访问 Teams 中的最终用户消息,请重新运行搜索并验证是否找到任何匹配的消息。 如果消息没有任何结果,则消息已被删除。

已删除的聊天邮件将移动到 SubstrateHolds 文件夹,该文件夹是隐藏的邮箱文件夹。 已删除的聊天消息将存储到该处至少 1 天,然后在下次运行计时器作业时永久删除 (通常在) 1-7 天之间。 有关详细信息,请参阅 了解 Microsoft Teams 的保留期

注意

由于 Microsoft Graph Explorer 在美国政府云 (GCC、GCC High 和 DOD) 中不可用,因此必须使用 PowerShell 来完成这些任务。

步骤 7:将保留和保留策略重新应用于数据源

验证聊天消息是否已从 Teams 客户端中删除和删除后,可以重新应用在步骤 4 中删除的保留和保留策略。

在联合环境中删除聊天消息

管理员可以使用本文中的过程在联合环境中搜索和删除 Teams 聊天消息。 但是,必须遵循以下准则。 这些准则基于包含要删除的消息的对话线程的组织所有权。 组织是该组织中的用户启动的会话线程的所有者。 换句话说,当用户启动聊天时,用户的组织将成为会话线程的所有者。

  • 管理员可以删除其组织拥有的对话线程中的符合性副本。 这意味着,当删除步骤 5 中聊天消息的管理员与发起包含已删除邮件的对话线程的用户位于同一组织中时,将删除符合性副本。 如果会话线程在两个组织中具有用户,则会保留另一个组织的符合性副本。
  • 如果会话线程在两个组织中具有用户,则已删除的聊天消息将从两个组织中的 Teams 客户端中删除。
  • 对于另一个组织拥有的聊天线程中的聊天邮件,从组织中的用户邮箱中删除聊天邮件的唯一方法是使用 Teams 的保留策略。 有关详细信息,请参阅 了解 Microsoft Teams 的保留期

最终用户体验

对于已删除的聊天消息,用户会看到自动生成的消息,指出“此消息已被管理员删除”。

Teams 客户端中已删除的聊天消息的视图。

上一屏幕截图中的消息将替换已删除的聊天消息。

注意

如果你是最终用户,并且聊天消息已删除,请联系管理员了解详细信息。