Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können eDiscovery und die Microsoft Graph-Explorer verwenden, um Benutzereingabeaufforderungen und Microsoft Copilot und andere KI-Lösungen in unterstützten Anwendungen und Diensten zu suchen und zu löschen. Dieses Feature kann Ihnen helfen, vertrauliche Informationen oder unangemessene Inhalte zu finden und zu entfernen, die in Copilot und anderen KI-Anwendungsaktivitäten enthalten sind. Dieser Such- und Löschworkflow kann Ihnen auch helfen, auf ein Datenleckereignis zu reagieren, wenn Inhalte mit vertraulichen oder schädlichen Informationen durch KI-bezogene Aktivitäten freigegeben werden.
Tipp
Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.
Vor dem Durchsuchen und Löschen von KI-Daten
- Um einen eDiscovery-Fall zu erstellen und nach KI-Aktivitätsdaten zu suchen, müssen Sie Mitglied der Rollengruppe eDiscovery-Manager sein. Zum Löschen von KI-Aktivitätsdaten muss Ihnen die Rolle Suchen und Bereinigen zugewiesen werden. Die Rollengruppen Datenermittler und Organisationsverwaltung verfügen standardmäßig über diese Rolle. Weitere Informationen finden Sie unter Zuweisen von eDiscovery-Berechtigungen.
- Sie können bis zu 10 Elemente pro Postfach gleichzeitig entfernen. Da die Funktion zum Suchen und Entfernen von KI-Daten ein Ereignis-Antwort-Tool sein soll, stellt dieser Grenzwert sicher, dass diese Daten schnell entfernt werden.
Schritt 1: Erstellen eines Falls in eDiscovery
Der erste Schritt besteht darin, einen Fall in eDiscovery zu erstellen, um den Such- und Löschvorgang zu verwalten.
Schritt 2: Erstellen einer Suche in eDiscovery
Nachdem Sie einen Fall erstellt haben, besteht der nächste Schritt darin, nach den KI-Anwendungsdaten zu suchen , die Sie löschen möchten. Der Löschvorgang, den Sie in Schritt 5 ausführen, löscht alle KI-bezogenen Elemente, die in der Suche gefunden werden (innerhalb des Grenzwerts von 10 Elementen pro Speicherort).
Datenquellen für KI-Daten
In der folgenden Tabelle sind die Anwendungs- und Dienstquellen für Copilot und andere KI-Daten aufgeführt. Alle Benutzereingabeaufforderungen und -antworten von KI-Anwendungen werden im Postfach eines Benutzers gespeichert.
| Für diese Art von Microsoft Copilot oder anderen KI-Daten... | Diese Elementklasse durchsuchen... |
|---|---|
| Microsoft Foundry | IPM.SkypeTeams.Message.ConnectedAIApp.AzureAI.<AzureResourceName> |
| ChatGPT Enterprise | - Interaktionen auf dem lokalen Computer: IPM.SkypeTeams.Message.ConnectedAIApp.Connector.<ChatGPTEnterprise> - Browserbasierte Interaktionen: IPM.SkypeTeams.Message.CloudAIApp.SaaS.<AppID> |
| Copilot in Fabric | IPM.SkypeTeams.Message.Copilot.Fabric.* |
| Copilot-Personalisierung und -Erinnerung | IPM.Contact Weitere Informationen finden Sie unter Copilot-Personalisierung und -Speicher. |
| Copilot Studio | IPM.SkypeTeams.Message.Copilot.Studio.* |
| Excel | IPM.SkypeTeams.Message.Copilot.Excel |
| Vermittler | IPM.SkypeTeams.Message |
| Hinweise zu KI-Vermittlern | IPM.SkypeTeams.Message.TeamCopilot.AiNotes.Teams |
| Loop | IPM.SkypeTeams.Message.Copilot.Loop |
| Microsoft 365-App | IPM.SkypeTeams.Message.Copilot.M365App |
| Microsoft 365 Copilot | IPM.SkypeTeams.Message.Copilot.* |
| Microsoft Copilot für Bing (Microsoft 365 Copilot Chat) | IPM.SkypeTeams.Message.Copilot.BizChat |
| Microsoft Entra-Apps | IPM.SkypeTeams.Message.ConnectedAIApp.Entra.<AppID> |
| Microsoft Forms | IPM.SkypeTeams.Message.Copilot.Forms |
| Microsoft Security Copilot | IPM.SkypeTeams.Message.Copilot.Security.SecurityCopilot |
| OneNote | IPM.SkypeTeams.Message.Copilot.OneNote |
| Andere KI-Apps | - Interaktionen auf dem lokalen Computer: IPM.SkypeTeams.Message.ConnectedAIApp.Connector.<AppName> - Browserbasierte Interaktionen: IPM.SkypeTeams.Message.CloudAIApp.SaaS.<AppID> |
| Outlook | IPM.SkypeTeams.Message.Copilot.Outlook |
| PowerPoint | IPM.SkypeTeams.Message.Copilot.Powerpoint |
| SharePoint | IPM.SkypeTeams.Message.Copilot.SharePoint |
| Teams KI-Notizen im Chat | IPM.SkypeTeams.Message.TeamCopilot.AiNotes.Teams |
| Teams-Kanal | IPM.SkypeTeams.Message.Copilot.Teams |
| Teams Chat | IPM.SkypeTeams.Message.Copilot.Teams |
| Teams Copilot Chat (Microsoft 365 Copilot Chat) | IPM.SkypeTeams.Message.Copilot.BizChat |
| Teams-Besprechung | IPM.SkypeTeams.Message.Copilot.Teams |
| Teams Microsoft 365 Chat (BF) | IPM.SkypeTeams.Message |
| WebChat | IPM.SkypeTeams.Message.Copilot.WebChat |
| Whiteboard | IPM.SkypeTeams.Message.Copilot.Whiteboard |
| Word | IPM.SkypeTeams.Message.Copilot.Word |
Hinweis
In Schritt 4 müssen Sie außerdem alle Aufbewahrungs- und Aufbewahrungsrichtlinien identifizieren und entfernen, die dem Postfach zugewiesen sind, das den Typ der Copilot- oder KI-Anwendungsdaten enthält, die Sie löschen möchten.
Tipps für die Suche nach Copilot- und anderen KI-Daten
Um den umfassendsten Satz von KI-Daten zu sammeln, verwenden Sie die Item-Klassenbedingung , und wählen Sie die Option Copilot-Aktivität aus, wenn Sie die Suchabfrage erstellen. Diese Bedingung umfasst alle Copilot- und anderen KI-Anwendungsdaten. Fügen Sie einen Datumsbereich oder mehrere Schlüsselwörter hinzu, um den Suchbereich auf elemente einzugrenzen, die für Ihre Suche relevant sind, und löschen Sie die Untersuchung.
Berücksichtigen Sie für Copilot-Speicherdaten folgendes, wenn Sie in eDiscovery arbeiten:
- Abgeleitete Speicher können zusammen mit anderen Postfachelementen mithilfe von Microsoft Graph gelöscht werden.
- Copilot-Speicher werden als IPM gespeichert. Kontaktelementklasse und übereinstimmen als Kontakte im eDiscovery-Bedingungs-Generator.
- Durch das Löschen einer Unterhaltung oder Nachricht aus Microsoft Purview oder eDiscovery wird der zugeordnete Copilot-Arbeitsspeicher nicht gelöscht.
Schritt 3: Überprüfen und Überprüfen von Copilot- und anderen KI-Daten, die in eDiscovery gelöscht werden sollen
Der Löschvorgang in Schritt 5 löscht die von der Suche zurückgegebenen Elemente. Überprüfen Sie die Suchergebnisse, um sicherzustellen, dass die Suche nur die Elemente zurückgibt, die Sie löschen möchten.
Sie können die Suchstatistiken (insbesondere die Statistiken der wichtigsten Standorte ) verwenden, um eine Liste der Datenquellen zu generieren, die von der Suche zurückgegebene Elemente enthalten. Verwenden Sie diese Liste im nächsten Schritt, um Aufbewahrungs- und Aufbewahrungsrichtlinien aus den Benutzerpostfächern zu entfernen, die Suchergebnisse enthalten.
Schritt 4: Entfernen von Aufbewahrungs- und Aufbewahrungsrichtlinien aus Datenquellen
Bevor Sie Copilot- oder andere KI-Anwendungsdaten aus einem Postfach löschen können, müssen Sie alle Aufbewahrungs - oder Aufbewahrungsrichtlinien entfernen, die einem Zielpostfach zugewiesen sind. Wenn Sie die Aufbewahrungs- oder Aufbewahrungsrichtlinie nicht entfernen, werden die Daten, die Sie löschen möchten, beibehalten.
Verwenden Sie die Liste der Postfächer, die die Zu löschenden Copilot- und KI-Daten enthalten, um zu ermitteln, ob diesen Postfächern eine Aufbewahrungs- oder Aufbewahrungsrichtlinie zugewiesen ist, und entfernen Sie dann die Aufbewahrungs- oder Aufbewahrungsrichtlinie. Identifizieren Sie die Aufbewahrungs- oder Aufbewahrungsrichtlinie, die Sie entfernen, damit Sie den Postfächern in Schritt 7 neu zuweisen können.
Schritt 5: Löschen von Copilot- und anderen KI-Daten in Microsoft Graph Explorer
Hinweis
Da Microsoft Graph Explorer in einigen Us-Government-Clouds (GCC High und DOD) nicht verfügbar ist, müssen Sie PowerShell verwenden, um diese Aufgaben auszuführen. Weitere Informationen finden Sie unter Löschen von Copilot- und anderen KI-Daten mit PowerShell.
Jetzt können Sie Copilot- und andere KI-Daten aus Benutzerpostfächern löschen. Verwenden Sie Microsoft Graph Explorer, um die folgenden drei Aufgaben auszuführen:
- Rufen Sie die ID des eDiscovery-Falls ab, den Sie in Schritt 1 erstellt haben. Dieser Fall enthält die in Schritt 2 erstellte Suche.
- Rufen Sie die ID der Suche ab, die Sie in Schritt 2 erstellt und die Suchergebnisse in Schritt 3 überprüft haben. Die Abfrage in dieser Suche gibt die zu löschenden Daten zurück.
- Löschen Sie die von der Suche zurückgegebenen Daten.
Informationen zur Verwendung von Graph Explorer finden Sie unter Verwenden von Graph Explorer zum Testen von Microsoft Graph-APIs.
Wichtig
Um diese drei Aufgaben in Graph Explorer auszuführen, müssen Sie möglicherweise den Berechtigungen eDiscovery.Read.All und eDiscovery.ReadWrite.All zustimmen. Weitere Informationen finden Sie im Abschnitt "Zustimmung zu Berechtigungen" unter Arbeiten mit Graph Explorer.
Abrufen der Fall-ID in Microsoft Graph Explorer
- Wechseln Sie zu https://developer.microsoft.com/graph/graph-explorer , und melden Sie sich bei Graph Explorer mit einem Konto an, dem die Rolle Suchen und Löschen im Microsoft Purview-Portal zugewiesen ist.
- Führen Sie die folgende GET-Anforderung aus, um die ID für den eDiscovery-Fall abzurufen. Verwenden Sie den Wert
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCasesin der Adressleiste der Anforderungsabfrage. Wählen Sie in der Dropdownliste API-Version die Option v1.0 aus. Diese Anforderung gibt Informationen zu allen Fällen in Ihrem organization auf der Registerkarte Antwortvorschau zurück. - Scrollen Sie durch die Antwort, um den eDiscovery-Fall zu suchen. Verwenden Sie die displayName-Eigenschaft , um den Fall zu identifizieren.
- Kopieren Sie die entsprechende ID (oder kopieren Sie sie, und fügen Sie sie in eine Textdatei ein). Verwenden Sie diese ID in der nächsten Aufgabe, um die Such-ID abzurufen.
Tipp
Anstatt das vorherige Verfahren zum Abrufen der Fall-ID zu verwenden, können Sie den Fall im Microsoft Purview-Portal öffnen und die Fall-ID aus der URL kopieren.
Abrufen der eDiscoverySearchID in Microsoft Graph Explorer
- Führen Sie in Graph Explorer die folgende GET-Anforderung aus, um die ID für die Suche abzurufen, die Sie in Schritt 2 erstellt haben, und enthält die Elemente, die Sie löschen möchten. Verwenden Sie den Wert
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searchesin der Adressleiste der Anforderungsabfrage, wobei {ediscoveryCaseID} die CaseID ist, die Sie im vorherigen Verfahren abgerufen haben. - Scrollen Sie durch die Antwort, um die Suche zu suchen, die die Elemente enthält, die Sie löschen möchten. Verwenden Sie die displayName-Eigenschaft , um die Suche zu identifizieren, die Sie in Schritt 3 erstellt haben. In der Antwort wird die Suchabfrage aus der Suche in der contentQuery-Eigenschaft angezeigt. Von dieser Abfrage zurückgegebene Elemente werden in der nächsten Aufgabe gelöscht.
- Kopieren Sie die entsprechende ID (oder kopieren Sie sie, und fügen Sie sie in eine Textdatei ein). Verwenden Sie diese ID in der nächsten Aufgabe, um Copilot und andere KI-Anwendungsdaten zu löschen.
Tipp
Anstatt das vorherige Verfahren zum Abrufen der Such-ID zu verwenden, können Sie den Fall im Microsoft Purview-Portal öffnen. Öffnen Sie den Fall, und wechseln Sie zur Registerkarte Aufträge. Wählen Sie die relevante Suche aus, und suchen Sie unter Supportinformationen die Auftrags-ID (die hier angezeigte Auftrags-ID entspricht der Such-ID).
Löschen von Copilot- und anderen KI-Daten in Microsoft Graph Explorer
Führen Sie in Graph Explorer die folgende POST-Anforderung aus, um die von der Suche zurückgegebenen Elemente zu löschen, die Sie in Schritt 2 erstellt haben. Verwenden Sie den Wert
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeDatain der Adressleiste der Anforderungsabfrage, wobei {ediscoveryCaseID} und {ediscoverySearchID} die IDs sind, die Sie in den vorherigen Verfahren abgerufen haben.Wenn die POST-Anforderung erfolgreich ist, wird ein HTTP-Antwortcode in einem grünen Banner mit dem Hinweis angezeigt, dass die Anforderung akzeptiert wurde.
Weitere Informationen zu purgeData finden Sie unter sourceCollection: purgeData.
Löschen von Copilot- und anderen KI-Daten mit PowerShell
Hinweis
Da Microsoft Graph Explorer in der US Government-Cloud (GCC, GCC High und DOD) nicht verfügbar ist, müssen Sie PowerShell verwenden, um diese Aufgaben auszuführen.
Sie können auch Copilot und andere KI-Daten mit PowerShell löschen. Verwenden Sie beispielsweise einen Befehl ähnlich dem folgenden Beispiel, um Copilot-Daten in der US Government-Cloud zu löschen:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
Weitere Informationen zur Verwendung von PowerShell zum Löschen von Copilot- und anderen KI-Daten finden Sie unter ediscoverySearch: purgeData.
Schritt 6: Überprüfen, ob Copilot- und andere KI-Daten gelöscht werden
Nachdem Sie die POST-Anforderung zum Löschen von Copilot- und anderen KI-Daten ausgeführt haben, werden diese Daten aus dem Postfach des Benutzers entfernt. Der Benutzer erhält keine sichtbare Benachrichtigung oder Bestätigung, dass die Daten gelöscht wurden.
Gelöschte Copilot- und andere KI-Daten werden in den Ordner SubstrateHolds verschoben, bei dem es sich um einen ausgeblendeten Postfachordner handelt. Gelöschte Daten verbleiben mindestens einen Tag in diesem Ordner. Bei der nächsten Ausführung des Zeitgeberauftrags (in der Regel zwischen 1 und 7 Tagen) werden die Daten endgültig gelöscht.
Schritt 7: Erneutes Anwenden von Aufbewahrungs- und Aufbewahrungsrichtlinien auf Benutzerpostfächer
Nachdem Sie überprüft haben, ob die Copilot- und andere KI-Daten gelöscht wurden, wenden Sie die Aufbewahrungs- und Aufbewahrungsrichtlinien erneut auf Benutzerpostfächer an, die Sie in Schritt 4 entfernt haben.