在电子数据展示 (预览) 中查找和删除Microsoft Teams 聊天消息

可以使用电子数据展示 (预览) 和Microsoft Graph 资源管理器在 Microsoft Teams 中搜索和删除聊天消息。 此功能可帮助你查找和删除敏感信息或不适当的内容。 当包含机密或恶意信息的内容通过 Teams 聊天消息发布时,此搜索和删除工作流可帮助你响应数据泄漏事件。

提示

开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot

搜索和删除聊天消息之前

  • 若要创建电子数据展示案例并搜索聊天消息,你必须是 Microsoft Purview 门户中 电子数据展示管理员 角色组的成员。 若要删除聊天消息,必须分配“ 搜索和清除” 角色。 默认情况下,此角色分配给数据调查员和组织管理角色组。 有关详细信息,请参阅分配电子数据展示权限

  • 组织内的大多数对话都支持搜索和清除。 不支持搜索和清除Teams Connect聊天 (外部访问或联合聊天) 对话。

    重要

    搜索和删除不支持与自己 (聊天或用户与自己) 聊天。

  • 一次最多可以删除每个邮箱的 10 封邮件。 由于搜索和删除聊天消息的功能旨在成为事件响应工具,因此此限制有助于确保快速删除聊天消息。

步骤 1:在电子数据展示 (预览) 中创建事例

第一步是在电子数据展示 (预览) 创建事例 ,以管理搜索和删除过程。

步骤 2:创建搜索查询

创建案例后,下一步是搜索要删除 的 Teams 聊天消息 。 您执行的删除过程是步骤 5 删除搜索 (在每个位置限制为 10 个项目) 内找到的所有项目。

聊天消息的数据源

根据需要删除的聊天消息类型,使用下表确定要搜索的数据源。

对于此类聊天... 搜索此数据源...
Teams 1:1 聊天 聊天参与者的邮箱。
Teams 群组聊天 聊天参与者的邮箱。
Teams 频道 (标准和共享) 与父团队关联的邮箱。
Teams 专用频道 专用频道成员的邮箱。

备注

在步骤 4 中,还必须标识并删除分配给包含要删除的聊天邮件类型的邮箱的任何保留和保留策略。

搜索聊天消息的提示

若要帮助确保最全面地识别 Teams 聊天对话 (包括 1:1 聊天和群组聊天,以及标准聊天、共享聊天和私人聊天) 在生成搜索查询时使用 “类型” 条件并选择“ 即时消息” 选项。 我们还建议包括日期范围或多个关键字,以将搜索范围缩小到与调查相关的项目。

步骤 3:查看并验证要删除的聊天消息

步骤 5 中的删除过程将删除搜索返回的项目。 请务必查看搜索统计信息,以确保搜索仅返回要删除的项目。 此外,可以使用搜索统计信息 (特别是 “热门位置 统计信息”) 来生成包含搜索返回的项的数据源列表。 在下一步中使用此列表从包含搜索结果的数据源中删除保留和保留策略。

步骤 4:删除数据源中的所有保留和保留策略

必须先删除分配给目标邮箱的所有组织范围的保留、站点保留或保留策略保留,然后才能从邮箱中删除聊天邮件。 否则,将保留你尝试删除的聊天。

使用包含要删除的聊天邮件的邮箱列表,确定是否为这些邮箱分配了保留或保留策略,然后删除保留或保留策略。 请务必确定删除的保留或保留策略,以便可以重新分配到步骤 7 中的邮箱。

有关如何识别和删除保留和保留策略的说明,请参阅 “删除基于云的邮箱的可恢复项目”文件夹中的“步骤 3:删除邮箱中的所有保留项”。

步骤 5:从 Teams 中删除聊天消息

备注

由于 Microsoft Graph Explorer 在某些美国政府云中不可用, (GCC High 和 DOD) ,因此必须使用 PowerShell 来完成这些任务。 有关详细信息 ,请参阅使用 PowerShell 删除聊天消息

现在,你已准备好从 Teams 中实际删除聊天消息。 使用 Microsoft Graph 资源管理器执行以下三项任务:

  1. 获取在步骤 1 中创建的电子数据展示事例的 ID。 这是包含步骤 2 中创建的搜索结果的情况。
  2. 获取在步骤 2 中创建的搜索的 ID,并在步骤 3 中验证了搜索结果。 搜索仲裁返回将删除的聊天消息。
  3. 删除搜索返回的聊天消息。

有关使用 Graph 资源管理器的信息,请参阅 使用 Graph 资源管理器尝试Microsoft Graph API

重要

若要在 Graph 资源管理器中执行这三个任务,可能需要同意电子数据展示.Read.All 和电子数据展示.ReadWrite.All 权限。 有关详细信息,请参阅 使用 Graph 资源管理器中的“同意权限”部分。

获取案例 ID

  1. 转到 https://developer.microsoft.com/graph/graph-explorer 并使用在 Microsoft Purview 门户中分配有 “搜索和清除” 角色的帐户登录到 Graph 资源管理器。

  2. 运行以下 GET 请求以检索电子数据展示事例的 ID。 使用请求查询的地址栏中的值 https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases 。 请务必在 API 版本下拉列表中选择 v1.0

    此请求在 “响应预览 ”选项卡上返回有关组织中所有案例的信息。

  3. 滚动浏览响应以找到电子数据展示事例。 使用 displayName 属性标识事例。

  4. 复制相应的 ID (或复制并粘贴到文本文件) 。 你将在下一个任务中使用此 ID 来获取搜索 ID。

提示

可以在 Microsoft Purview 门户中打开案例,并从 URL 复制案例 ID,而不是使用前面的过程来获取案例 ID。

获取电子数据展示SearchID

  1. 在 Graph 资源管理器中,运行以下 GET 请求以检索在步骤 2 中创建的搜索的 ID,并包含要删除的项目。 使用请求查询的地址栏中的值 https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches ,其中 {ediscoveryCaseID} 是在上一过程中获取的 CaseID。

  2. 滚动响应以找到包含要删除的项目的搜索。 使用 displayName 属性标识在步骤 3 中创建的搜索。

    在响应中,来自搜索的搜索查询显示在 contentQuery 属性中。 此查询返回的项将在下一个任务中删除。

  3. 复制相应的 ID (或复制并粘贴到文本文件) 。 在下一个任务中,你将使用此 ID 删除聊天消息。

删除聊天消息

  1. 在 Graph 资源管理器中,运行以下 POST 请求以删除在步骤 2 中创建的搜索返回的项目。 使用请求查询的地址栏中的值 https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData ,其中 {ediscoveryCaseID}{ediscoverySearchID} 是你在前面的过程中获取的 ID。

    如果 POST 请求成功,HTTP 响应代码会显示在绿色横幅中,指出请求已接受。

有关 purgeData 的详细信息,请参阅 sourceCollection: purgeData

使用 PowerShell 删除聊天消息

还可以使用 PowerShell 删除聊天消息。 例如,若要删除美国政府云中的邮件,可以使用类似于以下内容的命令:

Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov

Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'

有关使用 PowerShell 删除聊天消息的详细信息,请参阅 ediscoverySearch: purgeData

步骤 6:验证聊天消息是否已删除

运行 POST 请求以删除聊天消息后,这些消息将从 Teams 客户端中删除,并替换为自动生成的,指示管理员删除了该消息。 有关此消息的示例,请参阅本文中的 最终用户体验 部分。

如果需要确认已删除聊天消息并且无权访问 Teams 中的最终用户消息,请重新运行搜索并验证是否找到任何匹配的消息。 如果消息没有任何结果,则消息已被删除。

已删除的聊天邮件将移动到 SubstrateHolds 文件夹,该文件夹是隐藏的邮箱文件夹。 已删除的聊天消息将存储到该处至少 1 天,然后在下次运行计时器作业时永久删除 (通常在) 1-7 天之间。 有关详细信息,请参阅 了解 Microsoft Teams 的保留期

备注

由于 Microsoft Graph Explorer 在美国政府云 (GCC、GCC High 和 DOD) 中不可用,因此必须使用 PowerShell 来完成这些任务。

步骤 7:将保留和保留策略重新应用于数据源

验证聊天消息是否已从 Teams 客户端中删除和删除后,可以重新应用在步骤 4 中删除的保留和保留策略。

在联合环境中删除聊天消息

管理员可以使用本文中的过程在联合环境中搜索和删除 Teams 聊天消息。 但是,必须遵循以下准则。 这些准则基于包含要删除的消息的对话线程的组织所有权。 组织是该组织中的用户启动的会话线程的所有者。 换句话说,当用户启动聊天时,用户的组织将成为会话线程的所有者。

  • 管理员可以删除其组织拥有的对话线程中的符合性副本。 这意味着,当删除步骤 5 中聊天消息的管理员与发起包含已删除邮件的对话线程的用户位于同一组织中时,将删除符合性副本。 如果会话线程在两个组织中具有用户,则会保留另一个组织的符合性副本。
  • 如果会话线程在两个组织中具有用户,则已删除的聊天消息将从两个组织中的 Teams 客户端中删除。
  • 对于另一个组织拥有的聊天线程中的聊天邮件,从组织中的用户邮箱中删除聊天邮件的唯一方法是使用 Teams 的保留策略。 有关详细信息,请参阅 了解 Microsoft Teams 的保留期

最终用户体验

对于已删除的聊天消息,用户会看到自动生成的消息,指出 此消息已被管理员删除

Teams 客户端中已删除的聊天消息的视图。

上一屏幕截图中的消息将替换已删除的聊天消息。

备注

如果你是最终用户,并且聊天消息已删除,请联系管理员了解详细信息。