Rechercher et supprimer des messages de conversation Microsoft Teams dans eDiscovery

Vous pouvez utiliser eDiscovery et le Explorer Microsoft Graph pour rechercher et supprimer des messages de conversation dans Microsoft Teams. Cette fonctionnalité vous permet de rechercher et de supprimer des informations sensibles ou du contenu inapproprié. Ce flux de travail de recherche et de suppression vous permet de répondre à un événement de déversement de données lorsque du contenu contenant des informations confidentielles ou malveillantes est publié via des messages de conversation Teams.

Les données de conversation Microsoft Teams sont stockées dans des copies distinctes, l’une à des fins de conformité (utilisée par des outils comme eDiscovery) et l’autre pour l’accès de l’utilisateur final.

• Les opérations de suppression réversible ou de suppression définitive suppriment définitivement la copie de l’utilisateur final et ne peuvent pas être récupérées pour une utilisation par l’utilisateur.

• Les vidages basés sur des applets de commande des messages Teams peuvent supprimer la copie de conformité des messages Teams, mais la copie de l’utilisateur final reste visible. Une fois la copie de conformité supprimée, eDiscovery ne peut plus supprimer le message visible par l’utilisateur final. Vérifiez soigneusement les messages Teams avant de purger et évitez d’utiliser des applets de commande pour vider les messages Teams (la copie de l’utilisateur final n’est pas supprimée).

  • Si vous utilisez des applets de commande, passez en revue le rapport d’exportation et excluez les éléments Teams. Les suppressions sont effectuées uniquement sur la copie de conformité et ne suppriment pas les copies de l’affichage de l’utilisateur final. Cette action empêche également toute suppression future lors de l’utilisation des API Microsoft Graph.
  • Si vous utilisez Microsoft Graph pour passer en revue le rapport et vous assurer que les éléments Teams supprimés sont intentionnels, il n’y a aucune récupération des éléments une fois la suppression terminée.

Pour garantir la suppression complète des éléments, planifiez soigneusement votre stratégie de vidage et comprenez quelle copie cible votre action.

Avant de rechercher et de supprimer des messages de conversation

• Selon l’abonnement eDiscovery pour votre organization, les cas peuvent être activés pour les fonctionnalités Premium ou non. Vérifiez le niveau de prise en charge des fonctionnalités pour le cas afin de déterminer si la recherche et le vidage doivent être effectués à l’aide de PowerShell ou de Microsoft Graph. Les cas non configurés pour les fonctionnalités Premium peuvent uniquement utiliser PowerShell pour rechercher et supprimer des messages électroniques et les cas configurés pour les fonctionnalités Premium peuvent utiliser PowerShell ou Microsoft Graph pour rechercher et supprimer des messages électroniques. N’utilisez pas une combinaison de PowerShell et de Microsoft Graph pour vider les messages électroniques et les conversations.

• Une fois les données définitivement supprimées, elles ne peuvent pas être récupérées. Suivez attentivement les instructions de cet article et validez l’étendue de la recherche avant d’émettre la commande de vidage. Une fois la commande de vidage exécutée, elle ne peut pas être annulée et les messages électroniques et les conversations ne peuvent pas être restaurés.

• Exécutez un rapport d’exportation pour passer en revue tous les éléments qui correspondent à vos critères de recherche avant le vidage. L’utilisation de l’expérience de recherche et d’exportation dans le portail Microsoft Purview et l’exportation des résultats au format rapport uniquement vous permettent d’examiner les métadonnées détaillées avant la suppression. Cette approche permet d’affiner votre étendue de recherche et garantit un vidage plus ciblé et précis.

• Pour créer un cas eDiscovery et rechercher des messages de conversation, vous devez être membre du groupe de rôles Gestionnaire eDiscovery dans le portail Microsoft Purview. Pour supprimer les messages de conversation, vous devez disposer du rôle Rechercher et vider . Ce rôle est attribué aux groupes de rôles Enquêteur de données et Gestion de l’organisation par défaut. Pour plus d'informations, voir Attribution d'autorisations eDiscovery.

• La recherche et le vidage sont pris en charge pour la plupart des conversations au sein de votre organization. La recherche et le vidage des conversations Teams Connect Conversation (accès externe ou fédération) ne sont pas pris en charge.

  Importante

  Les conversations avec vous-même (ou les conversations par les utilisateurs avec eux-mêmes) ne sont pas prises en charge pour la recherche et la suppression.

• Vous pouvez supprimer jusqu’à 100 éléments par boîte aux lettres à la fois. Étant donné que la possibilité de rechercher et de supprimer des messages de conversation est destinée à être un outil de réponse aux événements, cette limite permet de garantir que les messages de conversation sont rapidement supprimés.

Étape 1 : Créer un cas dans eDiscovery

La première étape consiste à créer un cas dans eDiscovery pour gérer le processus de recherche et de suppression.

Étape 2 : Créer une requête de recherche

Après avoir créé un cas, l’étape suivante consiste à rechercher les messages de conversation Teams que vous souhaitez supprimer. Le processus de suppression que vous effectuez à l’étape 5 supprime tous les éléments trouvés dans la recherche (dans la limite de 10 éléments par emplacement).

Sources de données pour les messages de conversation

Utilisez le tableau suivant pour déterminer les sources de données à rechercher en fonction du type de message de conversation que vous devez supprimer.

Conseils pour la recherche de messages de conversation

Pour garantir l’identification la plus complète des conversations de conversation Teams (y compris les conversations 1:1 et de groupe, et les conversations à partir de conversations standard, partagées et privées), utilisez la condition Type et sélectionnez l’option Messages instantanés lorsque vous créez la requête de recherche. Incluez une plage de dates ou plusieurs mots clés pour limiter l’étendue de la recherche aux éléments pertinents pour votre investigation.

Étape 3 : Examiner et vérifier les messages de conversation à supprimer

Le processus de suppression de l’étape 5 supprime les éléments retournés par la recherche. Il est important de passer en revue les statistiques de recherche pour vous assurer que la recherche retourne uniquement les éléments que vous souhaitez supprimer. En outre, vous pouvez utiliser les statistiques de recherche (en particulier les statistiques top locations) pour générer une liste des sources de données qui contiennent les éléments retournés par la recherche. Utilisez cette liste à l’étape suivante pour supprimer les stratégies de conservation et de rétention des sources de données qui contiennent les résultats de la recherche.

Étape 4 : Supprimer toutes les stratégies de conservation et de rétention des sources de données

Avant de pouvoir supprimer des messages de conversation d’une boîte aux lettres, vous devez supprimer toutes les conservations à l’échelle du organization, les conservations de site ou les conservations de stratégie de rétention qui sont affectées à une boîte aux lettres cible. Si vous ne supprimez pas ces conservations, les messages de conversation que vous essayez de supprimer sont conservés.

Utilisez la liste des boîtes aux lettres qui contiennent les messages de conversation que vous souhaitez supprimer pour déterminer si une stratégie de conservation ou de rétention est affectée à ces boîtes aux lettres, puis supprimez la mise en attente ou la stratégie de rétention. Veillez à identifier la stratégie de conservation ou de rétention que vous supprimez afin de pouvoir la réaffecter aux boîtes aux lettres à l’étape 7.

Pour obtenir des instructions sur l’identification et la suppression des stratégies de conservation et de rétention, consultez « Étape 3 : Supprimer toutes les conservations de la boîte aux lettres » dans Supprimer les éléments du dossier Éléments récupérables des boîtes aux lettres cloud en attente.

Étape 5 : Supprimer les messages de conversation de Teams

Vous êtes maintenant prêt à supprimer les messages de conversation de Teams. Utilisez le Explorer Microsoft Graph pour effectuer les tâches suivantes :

1. Obtenez l’ID du cas eDiscovery que vous avez créé à l’étape 1. C’est le cas qui contient les résultats de recherche créés à l’étape 2.
2. Obtenez l’ID de la recherche que vous avez créée à l’étape 2 et vérifié les résultats de la recherche à l’étape 3. La requête de recherche retourne les messages de conversation que vous souhaitez supprimer.
3. Supprimez les messages de conversation retournés par la recherche.

Pour plus d’informations sur l’utilisation de Graph Explorer, consultez Utiliser graph Explorer pour essayer les API Microsoft Graph.

Obtenir l’ID de cas

1. Accédez à https://developer.microsoft.com/graph/graph-explorer et connectez-vous à l’Explorer Graph avec un compte auquel le rôle Rechercher et vider est attribué dans le portail Microsoft Purview.

2. Exécutez la requête GET suivante pour récupérer l’ID du cas eDiscovery. Utilisez la valeur https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases dans la barre d’adresse de la requête de requête. Veillez à sélectionner v1.0 dans la liste déroulante version de l’API.

   Cette requête retourne des informations sur tous les cas dans votre organization sous l’onglet Aperçu de la réponse.

3. Faites défiler la réponse pour localiser le cas eDiscovery. Utilisez la propriété displayName pour identifier le cas.

4. Copiez l’ID correspondant (ou copiez-le et collez-le dans un fichier texte). Utilisez cet ID dans la tâche suivante pour obtenir l’ID de recherche.

Obtenir l’eDiscoverySearchID

1. Dans Graph Explorer, exécutez la requête GET suivante pour récupérer l’ID de la recherche que vous avez créée à l’étape 2 et contient les éléments à supprimer. Utilisez la valeur https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches dans la barre d’adresse de la requête de requête, où {ediscoveryCaseID} est le CaseID que vous avez obtenu dans la procédure précédente.

2. Faites défiler la réponse pour localiser la recherche qui contient les éléments que vous souhaitez supprimer. Utilisez la propriété displayName pour identifier la recherche que vous avez créée à l’étape 3.

   Dans la réponse, la requête de recherche de la recherche s’affiche dans la propriété contentQuery . Les éléments retournés par cette requête sont supprimés dans la tâche suivante.

3. Copiez l’ID correspondant (ou copiez-le et collez-le dans un fichier texte). Utilisez cet ID dans la tâche suivante pour supprimer les messages de conversation.

Supprimer les messages de conversation

1. Dans Graph Explorer, exécutez la requête POST suivante pour supprimer les éléments retournés par la recherche que vous avez créée à l’étape 2. Utilisez la valeur https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData dans la barre d’adresse de la requête de requête, où {ediscoveryCaseID} et {ediscoverySearchID} sont les ID que vous avez obtenus dans les procédures précédentes.

   Si la requête POST réussit, un code de réponse HTTP s’affiche dans une bannière verte indiquant que la demande a été acceptée.

Pour plus d’informations sur purgeData, consultez sourceCollection : purgeData.

Supprimer des messages de conversation avec PowerShell

Vous pouvez également supprimer des messages de conversation à l’aide de PowerShell. Par exemple, pour supprimer des messages dans le cloud us Government, vous pouvez utiliser une commande similaire à l’exemple suivant :

Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov

Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'

Pour plus d’informations sur l’utilisation de PowerShell pour supprimer des messages de conversation, consultez ediscoverySearch : purgeData.

Étape 6 : Vérifier que les messages de conversation sont supprimés

Lorsque vous exécutez la demande POST pour supprimer des messages de conversation, le client Teams supprime ces messages et les remplace par un message généré automatiquement indiquant qu’un administrateur a supprimé le message. Pour obtenir un exemple de ce message, consultez la section Expérience utilisateur final de cet article.

Si vous devez confirmer qu’un message de conversation est supprimé, mais que vous n’avez pas accès au message de l’utilisateur final dans Teams, réexécutez la recherche et case activée si des messages correspondants apparaissent. S’il n’y a aucun résultat pour le message, le message est supprimé.

Lorsque vous émettez un vidage :

• La copie du message de l’utilisateur final est supprimée immédiatement et ne peut pas être récupérée par l’utilisateur.
• La copie de conformité (stockée dans le dossier SubstrateHolds de la boîte aux lettres) est conservée pendant au moins 24 heures avant la suppression définitive par un travail du minuteur en arrière-plan (généralement dans un délai de 1 à 7 jours). Si une conservation est supprimée, puis réappulée dans cette fenêtre de 24 heures, la copie de conformité peut être conservée par la nouvelle conservation.

Pour plus d’informations, consultez En savoir plus sur la rétention pour Microsoft Teams.

Étape 7 : Réappliquer les stratégies de conservation et de rétention aux sources de données

Après avoir vérifié que les messages de conversation sont supprimés et supprimés du client Teams, réappliquez les stratégies de conservation et de rétention que vous avez supprimées à l’étape 4.

Expérience de l’utilisateur final

Pour les messages de conversation supprimés, les utilisateurs voient un message généré automatiquement indiquant Ce message a été supprimé par un administrateur.

Le message de la capture d’écran précédente remplace le message de conversation qui a été supprimé.

Foire aux questions

Pour les questions fréquemment posées sur la recherche et le vidage, consultez Rechercher et supprimer des messages électroniques dans eDiscovery.