Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können eDiscovery und die Microsoft Graph-Explorer verwenden, um nach Chatnachrichten in Microsoft Teams zu suchen und zu löschen. Dieses Feature hilft Ihnen, vertrauliche Informationen oder unangemessene Inhalte zu finden und zu entfernen. Dieser Such- und Löschworkflow hilft Ihnen, auf ein Datenleckereignis zu reagieren, wenn Inhalte, die vertrauliche oder schädliche Informationen enthalten, über Teams-Chatnachrichten veröffentlicht werden.
Microsoft Teams-Chatdaten werden in separaten Kopien gespeichert, eine für Compliancezwecke (die von Tools wie eDiscovery verwendet werden) und eine für den Endbenutzerzugriff.
Vorgänge zum vorläufigen Löschen oder endgültigen Löschen entfernen die Kopie des Endbenutzers dauerhaft und können nicht für die Verwendung durch Den Benutzer wiederhergestellt werden.
Cmdlet-basierte Bereinigungen von Teams-Nachrichten können die Konformitätskopie von Teams-Nachrichten entfernen, aber die Kopie des Endbenutzers bleibt sichtbar. Nachdem die Konformitätskopie gelöscht wurde, kann eDiscovery die für Endbenutzer sichtbare Nachricht nicht mehr entfernen. Überprüfen Sie Teams-Nachrichten sorgfältig, bevor Sie sie bereinigen, und vermeiden Sie die Verwendung von Cmdlets zum Löschen von Teams-Nachrichten (die Kopie des Endbenutzers wird nicht gelöscht).
- Wenn Sie Cmdlets verwenden, überprüfen Sie den Exportbericht, und schließen Sie Teams-Elemente aus. Löschvorgänge werden nur für die Konformitätskopie ausgeführt und entfernen keine Kopien aus der Endbenutzeranzeige. Diese Aktion verhindert auch zukünftiges Löschen bei Verwendung von Microsoft Graph-APIs.
- Wenn Sie Microsoft Graph verwenden, um den Bericht zu überprüfen und sicherzustellen, dass Teams-Elemente, die gelöscht werden, absichtlich sind, wird die Wiederherstellung der Elemente nach Abschluss des Löschvorgangs nicht mehr durchgeführt.
Um sicherzustellen, dass Elemente vollständig entfernt werden, planen Sie Ihre Bereinigungsstrategie sorgfältig, und verstehen Sie, auf welche Kopie Ihre Aktion abzielt.
Tipp
Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.
Vor dem Suchen und Löschen von Chatnachrichten
Wichtig
Lesen Sie die folgenden Anleitungen sorgfältig durch, bevor Sie mit den Such- und Löschschritten für E-Mail-Nachrichten beginnen.
Abhängig vom eDiscovery-Abonnement für Ihre organization können Fälle entweder für Premium-Features aktiviert werden oder nicht. Überprüfen Sie die Ebene der Featureunterstützung für den Fall, um zu ermitteln, ob die Suche und Bereinigung mithilfe von PowerShell oder Microsoft Graph durchgeführt werden soll. Fälle, die nicht für Premium-Features konfiguriert sind, können PowerShell nur zum Suchen und Löschen von E-Mail-Nachrichten verwenden, und Fälle, die für Premium-Features konfiguriert sind, können PowerShell oder Microsoft Graph verwenden, um E-Mail-Nachrichten zu durchsuchen und zu löschen. Verwenden Sie keine Kombination aus PowerShell und Microsoft Graph, um E-Mail-Nachrichten und Chats zu bereinigen.
Sobald Daten endgültig gelöscht wurden, können sie nicht mehr wiederhergestellt werden. Befolgen Sie die Anleitungen in diesem Artikel sorgfältig, und überprüfen Sie den Umfang der Suche, bevor Sie den Löschbefehl ausgeben. Nachdem der Befehl zum Löschen ausgeführt wurde, kann er nicht rückgängig machen und E-Mail-Nachrichten und Chats können nicht wiederhergestellt werden.
Führen Sie vor der Bereinigung einen Exportbericht aus, um alle Elemente zu überprüfen, die Ihren Suchkriterien entsprechen. Wenn Sie die Such- und Exportumgebung im Microsoft Purview-Portal verwenden und die Ergebnisse im reinen Berichtsformat exportieren , können Sie vor dem Löschen detaillierte Metadaten untersuchen. Dieser Ansatz trägt dazu bei, Ihren Suchbereich zu verfeinern und eine gezieltere und genauere Bereinigung sicherzustellen.
Um einen eDiscovery-Fall zu erstellen und nach Chatnachrichten zu suchen, müssen Sie Mitglied der Rollengruppe eDiscovery-Manager im Microsoft Purview-Portal sein. Zum Löschen von Chatnachrichten muss Ihnen die Rolle Suchen und Löschen zugewiesen sein. Diese Rolle wird standardmäßig den Rollengruppen Datenermittler und Organisationsverwaltung zugewiesen. Weitere Informationen finden Sie unter Zuweisen von eDiscovery-Berechtigungen.
Suchen und Bereinigen werden für die meisten Unterhaltungen in Ihrem organization unterstützt. Das Suchen und Bereinigen nach Teams Connect Chatunterhaltungen (externer Zugriff oder Verbund) wird nicht unterstützt.
Wichtig
Chats mit sich selbst (oder Chats von Benutzern mit sich selbst) werden für das Suchen und Löschen nicht unterstützt.
Sie können bis zu 100 Elemente pro Postfach gleichzeitig entfernen. Da die Funktion zum Suchen und Entfernen von Chatnachrichten ein Ereignisantworttool sein soll, hilft dieser Grenzwert sicherzustellen, dass Chatnachrichten schnell entfernt werden.
Schritt 1: Erstellen eines Falls in eDiscovery
Der erste Schritt besteht darin, einen Fall in eDiscovery zu erstellen, um den Such- und Löschvorgang zu verwalten.
Schritt 2: Erstellen einer Suchabfrage
Nachdem Sie einen Fall erstellt haben, besteht der nächste Schritt darin, nach den Teams-Chatnachrichten zu suchen , die Sie löschen möchten. Der Löschvorgang, den Sie in Schritt 5 ausführen, löscht alle Elemente, die in der Suche gefunden werden (innerhalb des Grenzwerts von 10 Elementen pro Speicherort).
Datenquellen für Chatnachrichten
Verwenden Sie die folgende Tabelle, um zu bestimmen, welche Datenquellen je nach Art der Chatnachricht, die Sie löschen müssen, durchsucht werden sollen.
| Für diese Art von Chat... | Diese Datenquelle durchsuchen... |
|---|---|
| Teams 1:1-Chats | Das Postfach der Chatteilnehmer. |
| Teams-Gruppenchats | Die Postfächer von Chatteilnehmern. |
| Teams-Kanäle (Standard und freigegeben) | Das Postfach, das dem übergeordnetes Team zugeordnet ist. |
| Private Teams-Kanäle | Das Postfach der Mitglieder des privaten Kanals. |
Hinweis
In Schritt 4 müssen Sie auch alle Aufbewahrungs- und Aufbewahrungsrichtlinien identifizieren und entfernen, die dem Postfach zugewiesen sind, das den Typ der Chatnachrichten enthält, die Sie löschen möchten.
Tipps für die Suche nach Chatnachrichten
Um die umfassendste Identifizierung von Teams-Chatunterhaltungen (einschließlich 1:1- und Gruppenchats sowie Chats aus Standard-, freigegebenen und privaten Chats) sicherzustellen, verwenden Sie die Bedingung Typ , und wählen Sie beim Erstellen der Suchabfrage die Option Chatnachrichten aus. Fügen Sie einen Datumsbereich oder mehrere Schlüsselwörter ein, um den Suchbereich auf elemente einzugrenzen, die für Ihre Untersuchung relevant sind.
Schritt 3: Überprüfen und Überprüfen der zu löschenden Chatnachrichten
Der Löschvorgang in Schritt 5 löscht die von der Suche zurückgegebenen Elemente. Es ist wichtig, dass Sie die Suchstatistiken überprüfen, um sicherzustellen, dass die Suche nur die Elemente zurückgibt, die Sie löschen möchten. Darüber hinaus können Sie die Suchstatistiken (insbesondere die Statistiken der wichtigsten Standorte ) verwenden, um eine Liste der Datenquellen zu generieren, die von der Suche zurückgegebene Elemente enthalten. Verwenden Sie diese Liste im nächsten Schritt, um Aufbewahrungs- und Aufbewahrungsrichtlinien aus den Datenquellen zu entfernen, die Suchergebnisse enthalten.
Schritt 4: Entfernen aller Aufbewahrungs- und Aufbewahrungsrichtlinien aus Datenquellen
Bevor Sie Chatnachrichten aus einem Postfach löschen können, müssen Sie alle organization-weiten Haltebereiche, Websitespeicher oder Aufbewahrungsrichtlinien entfernen, die einem Zielpostfach zugewiesen sind. Wenn Sie diese Haltebereiche nicht entfernen, werden die Chatnachrichten, die Sie löschen möchten, beibehalten.
Verwenden Sie die Liste der Postfächer, die die Chatnachrichten enthalten, die Sie löschen möchten, um festzustellen, ob diesen Postfächern eine Aufbewahrungs- oder Aufbewahrungsrichtlinie zugewiesen ist, und entfernen Sie dann die Aufbewahrungs- oder Aufbewahrungsrichtlinie. Achten Sie darauf, die Aufbewahrungs- oder Aufbewahrungsrichtlinie zu identifizieren, die Sie entfernen, damit Sie sie den Postfächern in Schritt 7 neu zuweisen können.
Anweisungen zum Identifizieren und Entfernen von Aufbewahrungs- und Aufbewahrungsrichtlinien finden Sie unter "Schritt 3: Entfernen aller Haltebereiche aus dem Postfach" unter Löschen von Elementen im Ordner "Wiederherstellbare Elemente" von cloudbasierten Postfächern im Halteraum.
Schritt 5: Löschen von Chatnachrichten aus Teams
Hinweis
Da Microsoft Graph Explorer in einigen Us-Government-Clouds (GCC High und DOD) nicht verfügbar ist, müssen Sie PowerShell verwenden, um diese Aufgaben auszuführen. Weitere Informationen finden Sie unter Löschen von Chatnachrichten mit PowerShell .
Jetzt können Sie Chatnachrichten aus Teams löschen. Verwenden Sie die Microsoft Graph-Explorer, um die folgenden Aufgaben auszuführen:
- Rufen Sie die ID des eDiscovery-Falls ab, den Sie in Schritt 1 erstellt haben. Dies ist der Fall, der die in Schritt 2 erstellten Suchergebnisse enthält.
- Rufen Sie die ID der Suche ab, die Sie in Schritt 2 erstellt und die Suchergebnisse in Schritt 3 überprüft haben. Die Suchabfrage gibt die Chatnachrichten zurück, die Sie löschen möchten.
- Löschen Sie die von der Suche zurückgegebenen Chatnachrichten.
Informationen zur Verwendung von Graph Explorer finden Sie unter Verwenden von Graph Explorer zum Testen von Microsoft Graph-APIs.
Wichtig
Um diese drei Aufgaben in Graph Explorer auszuführen, müssen Sie möglicherweise den Berechtigungen eDiscovery.Read.All und eDiscovery.ReadWrite.All zustimmen. Weitere Informationen finden Sie im Abschnitt "Zustimmung zu Berechtigungen" unter Arbeiten mit Graph Explorer.
Abrufen der Fall-ID
Wechseln Sie zu https://developer.microsoft.com/graph/graph-explorer , und melden Sie sich beim Graph-Explorer mit einem Konto an, dem die Rolle Suchen und Löschen im Microsoft Purview-Portal zugewiesen ist.
Führen Sie die folgende GET-Anforderung aus, um die ID für den eDiscovery-Fall abzurufen. Verwenden Sie den Wert
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCasesin der Adressleiste der Anforderungsabfrage. Wählen Sie in der Dropdownliste API-Version die Option v1.0 aus.Diese Anforderung gibt Informationen zu allen Fällen in Ihrem organization auf der Registerkarte Antwortvorschau zurück.
Scrollen Sie durch die Antwort, um den eDiscovery-Fall zu suchen. Verwenden Sie die displayName-Eigenschaft , um den Fall zu identifizieren.
Kopieren Sie die entsprechende ID (oder kopieren Sie sie, und fügen Sie sie in eine Textdatei ein). Verwenden Sie diese ID in der nächsten Aufgabe, um die Such-ID abzurufen.
Tipp
Anstatt das vorherige Verfahren zum Abrufen der Fall-ID zu verwenden, können Sie den Fall im Microsoft Purview-Portal öffnen und die Fall-ID aus der URL kopieren.
Abrufen der eDiscoverySearchID
Führen Sie in Graph Explorer die folgende GET-Anforderung aus, um die ID für die Suche abzurufen, die Sie in Schritt 2 erstellt haben, und enthält die Elemente, die Sie löschen möchten. Verwenden Sie den Wert
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searchesin der Adressleiste der Anforderungsabfrage, wobei {ediscoveryCaseID} die CaseID ist, die Sie im vorherigen Verfahren abgerufen haben.Scrollen Sie durch die Antwort, um die Suche zu finden, die die Elemente enthält, die Sie löschen möchten. Verwenden Sie die displayName-Eigenschaft , um die Suche zu identifizieren, die Sie in Schritt 3 erstellt haben.
In der Antwort wird die Suchabfrage aus der Suche in der contentQuery-Eigenschaft angezeigt. Von dieser Abfrage zurückgegebene Elemente werden in der nächsten Aufgabe gelöscht.
Kopieren Sie die entsprechende ID (oder kopieren Sie sie, und fügen Sie sie in eine Textdatei ein). Verwenden Sie diese ID in der nächsten Aufgabe, um die Chatnachrichten zu löschen.
Löschen der Chatnachrichten
Führen Sie in Graph Explorer die folgende POST-Anforderung aus, um die von der Suche zurückgegebenen Elemente zu löschen, die Sie in Schritt 2 erstellt haben. Verwenden Sie den Wert
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeDatain der Adressleiste der Anforderungsabfrage, wobei {ediscoveryCaseID} und {ediscoverySearchID} die IDs sind, die Sie in den vorherigen Verfahren abgerufen haben.Wenn die POST-Anforderung erfolgreich ist, wird ein HTTP-Antwortcode in einem grünen Banner mit dem Hinweis angezeigt, dass die Anforderung akzeptiert wurde.
Weitere Informationen zu purgeData finden Sie unter sourceCollection: purgeData.
Löschen von Chatnachrichten mit PowerShell
Sie können Chatnachrichten auch mithilfe von PowerShell löschen. Zum Löschen von Nachrichten in der Cloud für US-Behörden können Sie beispielsweise einen Befehl verwenden, der dem folgenden Beispiel ähnelt:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
Weitere Informationen zur Verwendung von PowerShell zum Löschen von Chatnachrichten finden Sie unter ediscoverySearch: purgeData.
Schritt 6: Überprüfen, ob Chatnachrichten gelöscht werden
Wenn Sie die POST-Anforderung ausführen, um Chatnachrichten zu löschen, entfernt der Teams-Client diese Nachrichten und ersetzt sie durch eine automatisch generierte Nachricht, die besagt, dass ein Administrator die Nachricht entfernt hat. Ein Beispiel für diese Meldung finden Sie im Abschnitt Endbenutzererfahrung in diesem Artikel.
Wenn Sie bestätigen müssen, dass eine Chatnachricht entfernt wurde, aber keinen Zugriff auf die Endbenutzernachricht in Teams haben, führen Sie die Suche erneut aus, und überprüfen Sie, ob übereinstimmende Nachrichten angezeigt werden. Wenn keine Ergebnisse für die Nachricht vorliegen, wird die Nachricht entfernt.
Wenn Sie eine Bereinigung ausgeben:
- Die Endbenutzerkopie der Nachricht wird sofort gelöscht und kann vom Benutzer nicht wiederhergestellt werden.
- Die Konformitätskopie (gespeichert im Ordner SubstrateHolds des Postfachs) wird mindestens 24 Stunden lang aufbewahrt, bevor sie von einem Hintergrundtimerauftrag endgültig gelöscht wird (in der Regel innerhalb von 1 bis 7 Tagen). Wenn ein Haltezeichen entfernt und dann innerhalb dieses 24-Stunden-Zeitfensters erneut angewendet wird, wird die Konformitätskopie möglicherweise vom neuen Halteraum beibehalten.
Weitere Informationen finden Sie unter Informationen zur Aufbewahrung für Microsoft Teams.
Hinweis
Da Microsoft Graph Explorer in der US Government-Cloud (GCC, GCC High und DOD) nicht verfügbar ist, müssen Sie PowerShell verwenden, um diese Aufgaben auszuführen.
Schritt 7: Erneutes Anwenden von Aufbewahrungs- und Aufbewahrungsrichtlinien auf Datenquellen
Nachdem Sie überprüft haben, ob Chatnachrichten gelöscht und vom Teams-Client entfernt wurden, wenden Sie die Aufbewahrungs- und Aufbewahrungsrichtlinien, die Sie in Schritt 4 entfernt haben, erneut an.
Endbenutzererfahrung
Bei gelöschten Chatnachrichten wird Benutzern eine automatisch generierte Nachricht mit der Meldung Diese Nachricht wurde von einem Administrator gelöscht angezeigt.
Die Nachricht im vorherigen Screenshot ersetzt die Chatnachricht, die gelöscht wurde.
Hinweis
Wenn Sie ein Endbenutzer sind und eine Chatnachricht gelöscht wurde, wenden Sie sich an Ihren Administrator, um weitere Informationen zu erhalten.
Häufig gestellte Fragen
Häufig gestellte Fragen zum Suchen und Löschen finden Sie unter Suchen und Löschen von E-Mail-Nachrichten in eDiscovery.