Поиск и удаление сообщений чата в Teams

Вы можете использовать обнаружение электронных данных (премиум) и Обозреватель Microsoft Graph для поиска и удаления сообщений чата в Microsoft Teams. Эта функция помогает находить и удалять конфиденциальную информацию или нежелательное содержимое. Этот рабочий процесс поиска и удаления также поможет вам реагировать на инцидент утечки данных, когда содержимое, содержащее конфиденциальную или вредную информацию, освобождается через сообщения чата Teams.

Перед поиском и удалением сообщений чата

• Чтобы создать дело eDiscovery (premium) и использовать коллекции для поиска сообщений чата, необходимо быть членом группы ролей диспетчера электронных данных на портале Microsoft Purview. Чтобы удалить сообщения чата, вам должна быть назначена роль поиска и очистки . По умолчанию эта роль назначается группам ролей "Следователь данных" и "Управление организацией". Дополнительные сведения см. в статье Назначение разрешений на обнаружение электронных данных.

• Поиск и очистка поддерживаются для большинства бесед в клиенте. Поиск и очистка бесед чата Teams Связи (внешний доступ или федерация) не поддерживаются.

  Важно!

  Чаты с самим собой (или чаты пользователей с самими собой) не поддерживаются для поиска и удаления.

• Одновременно можно удалить не более 100 элементов на каждый почтовый ящик. Так как возможность поиска и удаления сообщений чата предназначена для реагирования на инциденты, это ограничение помогает гарантировать быстрое удаление сообщений чата.

• Удаление сообщений чата в федеративных средах не поддерживается.

Рабочий процесс поиска и удаления

Вот процесс поиска и удаления сообщений чата Teams:

Шаг 1. Создание дела в eDiscovery (премиум)

Первым шагом является создание дела в eDiscovery (премиум) для управления процессом поиска и удаления. Сведения о создании варианта см. в разделе Использование нового формата регистра.

Шаг 2. Создание оценки коллекции

После создания дела следующим шагом является создание оценки коллекции для поиска сообщений чата Teams, которые вы хотите удалить. Выполняется процесс удаления: шаг 5 удаляет все элементы, найденные в оценке коллекции (в пределах 10 элементов на расположение).

В eDiscovery (Премиум) коллекция — это поиск электронных данных в расположениях содержимого Teams, содержащих сообщения чата, которые нужно удалить. Создайте оценку коллекции в случае, созданном на предыдущем шаге. Дополнительные сведения см. в статье Создание оценки коллекции.

Источники данных для сообщений чата

Используйте следующую таблицу, чтобы определить источники данных для поиска в зависимости от типа сообщения чата, которое необходимо удалить.

Советы по поиску сообщений чата

Чтобы обеспечить наиболее полный набор бесед в чате Teams (включая чаты 1:1 и групповые чаты, а также чаты из стандартных, общих и частных чатов), используйте условие Тип и выберите параметр Мгновенные сообщения при создании поискового запроса для оценки сбора. Мы также рекомендуем включить диапазон дат или несколько ключевых слов, чтобы сузить область коллекции до элементов, относящихся к поиску и расследованию удаления.

Ниже приведен пример запроса с параметрами Тип и Дата .

Дополнительные сведения см. в разделе Создание поисковых запросов для коллекций.

Шаг 3. Просмотр и проверка сообщений чата для удаления

Процесс удаления на шаге 5 удаляет элементы, возвращенные коллекцией. Важно проверить результаты оценки коллекции, чтобы убедиться, что коллекция возвращает только элементы, которые требуется удалить. Чтобы просмотреть выборку элементов в оценке коллекции, см. раздел "Дальнейшие действия после завершения оценки коллекции" статьи Создание оценки коллекции.

Кроме того, можно использовать статистику сбора (в частности, статистику основных расположений) для создания списка источников данных, содержащих элементы, возвращаемые коллекцией. Используйте этот список на следующем шаге, чтобы удалить политики удержания и хранения из источников данных, содержащих результаты поиска. Дополнительные сведения см. в разделе Статистика сбора и отчеты.

Шаг 4. Удаление всех удержаний и политик хранения из источников данных

Прежде чем удалять сообщения чата из почтового ящика, необходимо удалить все удержания в масштабах всей организации, удержания сайта или удержания политики хранения, назначенные целевому почтовому ящику. Если нет, чат, который вы пытаетесь удалить, сохраняется.

Используйте список почтовых ящиков, содержащих сообщения чата, которые вы хотите удалить, и определите, назначена ли им политика удержания или хранения, а затем удалите политику удержания или хранения. Обязательно определите удаляемую политику удержания или хранения, чтобы можно было переназначить почтовым ящикам на шаге 7.

Инструкции по идентификации и удалению удержаний и политик хранения см. в разделе Шаг 3. Удаление всех удержаний из почтового ящика в статье Удаление элементов в папке "Элементы с возможностью восстановления" облачных почтовых ящиков при удержании.

Шаг 5. Удаление сообщений чата из Teams

Теперь вы готовы к фактическому удалению сообщений чата из Teams. Используйте Обозреватель Microsoft Graph для выполнения следующих трех задач:

1. Получите идентификатор дела eDiscovery (Премиум), созданного на шаге 1. В этом случае содержится коллекция, созданная на шаге 2.
2. Получите идентификатор коллекции, созданной на шаге 2 и проверенной результатами поиска на шаге 3. Поисковый запрос в этой коллекции возвращает сообщения чата, которые будут удалены.
3. Удалите сообщения чата, возвращенные коллекцией.

Сведения об использовании Обозреватель Graph см. в статье Использование Обозреватель Graph для пробных интерфейсов API Microsoft Graph.

Получение идентификатора обращения

1. Перейдите на страницу https://developer.microsoft.com/graph/graph-explorer и войдите в Обозреватель Graph с учетной записью, которому назначена роль поиска и очистки на портале Microsoft Purview.

2. Выполните следующий запрос GET, чтобы получить идентификатор для дела обнаружения электронных данных (премиум). Используйте значение https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases в адресной строке запроса. Обязательно выберите версию 1.0 в раскрывающемся списке Версия API.

   Этот запрос возвращает сведения обо всех случаях в организации на вкладке Предварительный просмотр ответа .

3. Прокрутите ответ, чтобы найти дело обнаружения электронных данных (премиум). Используйте свойство displayName для идентификации варианта.

4. Скопируйте соответствующий идентификатор (или скопируйте и вставьте его в текстовый файл). Этот идентификатор будет использоваться в следующей задаче, чтобы получить идентификатор коллекции.

Получение идентификатора обнаружения электронных данных

1. В graph Обозреватель выполните следующий запрос GET, чтобы получить идентификатор коллекции, созданной на шаге 2, и содержит элементы, которые нужно удалить. Используйте значение https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches в адресной строке запроса, где {ediscoveryCaseID} — это идентификатор CaseID, полученный в предыдущей процедуре.

2. Прокрутите ответ, чтобы найти коллекцию, содержащую элементы, которые нужно удалить. Используйте свойство displayName для идентификации коллекции, созданной на шаге 3.

   В ответе поисковый запрос из коллекции отображается в свойстве contentQuery . Элементы, возвращаемые этим запросом, удаляются в следующей задаче.

3. Скопируйте соответствующий идентификатор (или скопируйте и вставьте его в текстовый файл). Этот идентификатор будет использоваться в следующей задаче для удаления сообщений чата.

Удаление сообщений чата

1. В Graph Обозреватель выполните следующий запрос POST, чтобы удалить элементы, возвращенные коллекцией, созданной на шаге 2. Используйте значение https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData в адресной строке запроса, где {ediscoveryCaseID} и {ediscoverySearchID} — это идентификаторы, полученные в предыдущих процедурах.

   Если запрос POST выполнен успешно, в зеленом баннере отображается код ответа HTTP, указывающий, что запрос принят.

Дополнительные сведения о purgeData см. в разделе sourceCollection: purgeData.

Удаление сообщений чата с помощью PowerShell

Вы также можете удалять сообщения чата с помощью PowerShell. Например, чтобы удалить сообщения в облаке для государственных организаций США, можно использовать команду, аналогичную следующей:

Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov

Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'

Дополнительные сведения об использовании PowerShell для удаления сообщений чата см. в статье ediscoverySearch: purgeData.

Шаг 6. Проверка удаления сообщений чата

После выполнения запроса POST на удаление сообщений чата эти сообщения удаляются из клиента Teams и заменяются автоматически созданным сообщением о том, что администратор удалил сообщение. Пример этого сообщения см. в разделе Взаимодействие с пользователем этой статьи.

Если вам нужно убедиться, что сообщение чата удалено и у вас нет доступа к сообщению конечного пользователя в Teams, повторно запустите поиск и проверьте, найдены ли соответствующие сообщения. Если для сообщения нет результатов, сообщение было удалено.

Удаленные сообщения чата перемещаются в папку SubstrateHolds , которая является скрытой папкой почтового ящика. Удаленные сообщения чата хранятся там не менее 1 дня, а затем окончательно удаляются при следующем запуске задания таймера (обычно в течение 1–7 дней). Дополнительные сведения см. в статье Сведения о хранении для Microsoft Teams.

Шаг 7. Повторное применение политик хранения и хранения к источникам данных

Убедившись, что сообщения чата удалены и удалены из клиента Teams, можно повторно применить политики удержания и хранения, удаленные на шаге 4.

Характер работы пользователей

Для удаленных сообщений чата пользователи видят автоматически созданное сообщение с сообщением "Это сообщение было удалено администратором".

Сообщение на предыдущем снимке экрана заменяет удаленное сообщение чата.