在電子檔探索 (預覽) 中尋找和刪除Microsoft Teams 聊天訊息
您可以使用電子檔探索 (預覽) 和 Microsoft Graph 總管,在 Microsoft Teams 中搜尋和刪除聊天訊息。 此功能可協助您尋找和移除敏感性資訊或不適當的內容。 此搜尋和刪除工作流程可協助您在包含機密或惡意資訊的內容透過Teams聊天訊息發行時,回應數據外洩事件。
提示
開始使用 Microsoft Security Copilot,以探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot。
若要建立電子檔探索案例並搜尋聊天訊息,您必須是 Microsoft Purview 入口網站中 電子檔探索 管理員角色群組的成員。 若要刪除聊天訊息,您必須獲派 搜尋和清除 角色。 根據預設,此角色會指派給 數據 管理和 組織管理 角色群組。 如需詳細資訊,請參閱指派電子文件探索權限。
組織內大部分的交談都支持搜尋和清除。 不支援搜尋和清除 Teams Connect 聊天 (外部存取或同盟) 交談。
重要
不支援與您自己 (聊天,或使用者自行) 聊天,以進行搜尋和刪除。
每個信箱一次可以移除最多 10 個項目。 因為搜尋和移除聊天訊息的功能是事件回應工具,所以此限制有助於確保聊天訊息會快速移除。
第 一個 步驟是在電子檔探索 (預覽) 中建立案例,以管理搜尋和刪除程式。
建立案例之後,下一個步驟是搜尋您想要刪除 的Teams聊天訊息 。 您執行的刪除程式是步驟 5 刪除搜尋 (中每個位置限制) 10 個專案內找到的所有專案。
根據您需要刪除的聊天訊息類型,使用下表來判斷要搜尋的數據源。
對於這種聊天類型... | 搜尋此資料來源... |
---|---|
Teams 1:1 聊天 | 聊天參與者的信箱。 |
Teams 群組聊天 | 聊天參與者的信箱。 |
Teams 頻道 (標準和共用) | 與父小組相關聯的信箱。 |
Teams 私人頻道 | 私人頻道成員的信箱。 |
注意
在步驟 4 中,您也必須識別並移除指派給信箱的任何保留和保留原則,其中包含您想要刪除的聊天訊息類型。
為了協助確保最完整的 Teams 聊天交談識別 (包括 1:1 和群組聊天,以及來自標準、共用和私人聊天的聊天) 使用 [類型 ] 條件,並在建置搜尋查詢時選取 [ 立即訊息 ] 選項。 我們也建議包含日期範圍或數個關鍵詞,以將搜尋範圍縮小為與調查相關的專案。
步驟 5 中的刪除程式會刪除搜尋所傳回的專案。 請務必檢閱搜尋統計數據,以確保搜尋只會傳回您想要刪除的專案。 此外,您可以使用搜尋統計數據 (特別使用 [最上層位置 ] 統計數據) 來產生包含搜尋所傳回之專案的數據源清單。 在下一個步驟中使用此清單,從包含搜尋結果的數據源中移除保留和保留原則。
您必須先移除指派給目標信箱的所有全組織保留、網站保留或保留原則保留,才能從信箱中刪除聊天訊息。 如果沒有,則會保留您嘗試刪除的聊天。
使用包含您想要刪除之聊天訊息的信箱清單,並判斷是否有指派給這些信箱的保留或保留原則,然後移除保留或保留原則。 請務必識別您移除的保留或保留原則,以便重新指派給步驟 7 中的信箱。
For instructions about how to identify and remove holds and retention policies, see "Step 3: Remove all holds from the mailbox" in Delete items in the Recoverable Items folder of cloud-based mailboxes on hold.
注意
由於 Microsoft Graph 總管無法在 GCC High 和 DOD) (某些美國政府雲端中使用,因此您必須使用 PowerShell 來完成這些工作。 如需詳細資訊,請參閱 使用PowerShell刪除聊天訊息 。
現在您已準備好實際刪除 Teams 中的聊天訊息。 使用 Microsoft Graph 總管執行下列三項工作:
- 取得您在步驟 1 中建立之電子檔探索案例的識別碼。 這是包含在步驟 2 中建立之搜尋結果的案例。
- 取得您在步驟 2 中建立的搜尋標識碼,並在步驟 3 中驗證搜尋結果。 搜尋查詢會傳回將會刪除的聊天訊息。
- 刪除搜尋所傳回的聊天訊息。
如需使用 Graph 總管的相關信息,請參閱 使用 Graph 總管來嘗試Microsoft圖形 API。
重要
若要在 Graph 總管中執行這三項工作,您可能必須同意 eDiscovery.Read.All 和 eDiscovery.ReadWrite.All 許可權。 如需詳細資訊,請參閱 使用 Graph 總管中的一節。
移至 https://developer.microsoft.com/graph/graph-explorer ,並使用已在 Microsoft Purview 入口網站中指派 搜尋和清除 角色的帳戶登入 Graph 總管。
執行下列 GET 要求,以擷取電子檔探索案例的標識碼。 使用要求查詢之網址列中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases
。 請務必在 [API 版本] 下拉式清單中選取 v1.0 。此要求會在 [ 回應預覽 ] 索引標籤上傳回貴組織中所有案例的相關信息。
捲動回應以找出電子檔探索案例。 使用 displayName 屬性來識別案例。
將對應的識別碼複製 (或複製並貼到文字檔) 。 您將在下一個工作中使用此標識碼來取得搜尋標識碼。
提示
您可以在 Microsoft Purview 入口網站中開啟案例,並從 URL 複製案例識別碼,而不是使用先前的程式來取得案例識別碼。
在 Graph 總管中,執行下列 GET 要求,以擷取您在步驟 2 中建立的搜尋標識碼,並包含您想要刪除的專案。 使用要求查詢之網址列中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches
,其中 {ediscoveryCaseID} 是您在上一個程式中取得的 CaseID。捲動回應以找出包含您要刪除之專案的搜尋。 使用 displayName 屬性來識別您在步驟 3 中建立的搜尋。
在回應中,來自搜尋的搜尋查詢會顯示在 contentQuery 屬性中。 此查詢傳回的專案會在下一個工作中刪除。
將對應的識別碼複製 (或複製並貼到文字檔) 。 您將在下一個工作中使用此識別碼來刪除聊天訊息。
在 Graph 總管中,執行下列 POST 要求,以刪除您在步驟 2 中建立的搜尋所傳回的專案。 使用要求查詢之網址列中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData
,其中 {ediscoveryCaseID} 和 {ediscoverySearchID} 是您在先前程式中取得的標識符。如果 POST 要求成功,HTTP 回應碼會顯示在綠色橫幅中,指出已接受要求。
如需 purgeData 的詳細資訊,請參閱 sourceCollection:purgeData。
您也可以使用 PowerShell 刪除聊天訊息。 例如,若要刪除美國政府雲端中的訊息,您可以使用類似下列的命令:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
如需使用PowerShell刪除聊天訊息的詳細資訊,請參閱 ediscoverySearch:purgeData。
執行 POST 要求以刪除聊天訊息之後,這些訊息會從 Teams 用戶端中移除,並取代為自動產生的 ,指出系統管理員已移除訊息。 如需此訊息的範例,請參閱本文中的 用戶體驗 一節。
如果您需要確認聊天訊息已移除,且無法存取Teams中的使用者訊息,請重新執行搜尋,並確認是否找到任何相符的訊息。 如果訊息沒有任何結果,則已移除訊息。
已刪除的聊天訊息會移至 SubstrateHolds 資料夾,這是隱藏的信箱資料夾。 已刪除的聊天訊息會在該處儲存至少 1 天,然後在下次定時器工作執行時永久刪除 (通常介於 1-7 天) 。 如需詳細資訊,請 參閱瞭解 Microsoft Teams 的保留期。
注意
由於 Microsoft Graph 總管不適用於美國政府雲端 (GCC、GCC High 和 DOD) ,因此您必須使用 PowerShell 來完成這些工作。
確認聊天訊息已從 Teams 用戶端刪除並移除之後,您可以重新套用您在步驟 4 中移除的保留和保留原則。
系統管理員可以使用本文中的程式,在同盟環境中搜尋和刪除Teams聊天訊息。 不過,您必須遵守下列指導方針。 這些指導方針是以包含您想要刪除之訊息之交談線程的組織擁有權為基礎。 組織是該組織中用戶啟動之交談對話的擁有者。 換句話說,當用戶開始聊天時,用戶的組織會成為交談對話的擁有者。
- 系統管理員可以在其組織所擁有的交談對話中刪除合規性複本。 這表示當在步驟 5 中刪除聊天訊息的系統管理員與起始包含已刪除訊息之交談對話的用戶位於相同的組織中時,就會刪除合規性複本。 如果交談線程有兩個組織中的使用者,則會保留另一個組織的合規性複本。
- 如果交談對話有兩個組織中的使用者,則會從兩個組織的Teams用戶端移除已刪除的聊天訊息。
- 將聊天訊息從組織中使用者信箱中刪除為另一個組織所擁有的交談對話中的聊天訊息,唯一的方法是使用Teams的保留原則。 如需詳細資訊,請 參閱瞭解 Microsoft Teams 的保留期。
對於已刪除的聊天訊息,使用者會看到自動產生的訊息,指出 系統管理員已刪除此訊息。
上一個螢幕快照中的訊息會取代已刪除的聊天訊息。
注意
如果您是使用者,且已刪除聊天訊息,請連絡您的系統管理員以取得詳細資訊。