電子情報開示と Microsoft Graph エクスプローラーを使用して、Microsoft Teamsでチャット メッセージを検索および削除できます。 この機能は、機密情報や不適切なコンテンツを見つけて削除するのに役立ちます。 この検索および削除ワークフローは、Teams チャット メッセージを通じて機密情報または悪意のある情報を含むコンテンツがリリースされたときに、データスピルイベントに対応するのに役立ちます。
Microsoft Teamsチャット データは、コンプライアンス目的 (電子情報開示などのツールで使用) 用とエンド ユーザー アクセス用の 1 つの個別のコピーに格納されます。
論理的な削除操作またはハード削除操作 では、エンド ユーザーのコピーを完全に削除し、ユーザーが使用するために回復することはできません。
Teams メッセージのコマンドレットベースの消去は、Teams メッセージのコンプライアンス コピーを削除できますが、エンド ユーザーのコピーは表示されたままです。 コンプライアンス コピーが削除されると、電子情報開示はエンド ユーザーに表示されるメッセージを削除できなくなります。 削除する前に Teams メッセージを慎重に確認し、コマンドレットを使用して Teams メッセージを消去しないようにします (エンド ユーザーのコピーは削除されません)。
- コマンドレットを使用する場合は、エクスポート レポートを確認し、Teams アイテムを除外します。 削除はコンプライアンス コピーに対してのみ実行され、エンド ユーザーの表示からコピーは削除されません。 このアクションにより、Microsoft Graph API を使用する際の今後の削除も防止されます。
- Microsoft Graph を使用してレポートを確認し、削除されている Teams アイテムが意図的であることを確認する場合、削除が完了するとアイテムの回復は行われません。
アイテムを確実に削除するには、消去戦略を慎重に計画し、アクション ターゲットをコピーする方法を理解します。
ヒント
Microsoft Security Copilot の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を発見しましょう。 Microsoft Purview の Microsoft Security Copilot に関する詳細情報をご覧ください。
チャット メッセージを検索して削除する前に
重要
電子メール メッセージの検索と消去の手順を開始する前に、次のガイダンスを慎重に確認してください。
organizationの電子情報開示サブスクリプションに応じて、ケースは Premium 機能に対して有効にすることも有効にすることもできません。 ケースの機能サポートのレベルを確認して、検索と消去を PowerShell または Microsoft Graph を使用して実行する必要があるかどうかを判断します。 Premium 機能用に構成されていないケースでは 、PowerShell を使用して電子メール メッセージを検索および削除 することしかできません。Premium 機能用に構成されたケースでは、PowerShell または Microsoft Graph を使用して電子メール メッセージを検索および削除できます。 PowerShell と Microsoft Graph の組み合わせを使用して、メール メッセージとチャットを消去しないでください。
データが完全に削除されると、復旧できません。 この記事のガイダンスに注意深く従い、purge コマンドを発行する前に検索の範囲を検証します。 消去コマンドを実行すると、元に戻すことができません。メール メッセージとチャットは復元できません。
エクスポート レポートを実行して、消去の前に検索条件に一致するすべてのアイテムを確認します。 Microsoft Purview ポータルで検索とエクスポートのエクスペリエンスを使用し、 レポートのみの形式で結果をエクスポート すると、削除前に詳細なメタデータを調べることができます。 この方法は、検索範囲を絞り込むのに役立ち、よりターゲットを絞った正確な消去を保証します。
電子情報開示ケースを作成し、チャット メッセージを検索するには、Microsoft Purview ポータルの 電子情報開示マネージャー 役割グループのメンバーである必要があります。 チャット メッセージを削除するには、 検索および消去 ロールを割り当てる必要があります。 このロールは、既定で データ調査担当者 ロール グループと 組織管理 役割グループに割り当てられます。 詳細については、「電子情報開示のアクセス許可を割り当てる」を参照してください。電子情報開示のアクセス許可を割り当てる」を参照してください。
検索と消去は、organization内のほとんどの会話でサポートされています。 Teams Connect チャット (外部アクセスまたはフェデレーション) の会話の検索と消去はサポートされていません。
重要
自分とのチャット (またはユーザーが自分でチャットする) は、検索と削除はサポートされていません。
メールボックスごとに一度に最大 100 個のアイテムを削除できます。 チャット メッセージを検索および削除する機能はイベント応答ツールを目的としているため、この制限はチャット メッセージを迅速に削除するのに役立ちます。
手順 1: 電子情報開示でケースを作成する
最初の手順は、電子情報開示で ケースを作成 して、検索と削除のプロセスを管理することです。
手順 2: 検索クエリを作成する
ケースを作成した後、次の手順は、削除 する Teams チャット メッセージを検索 することです。 手順 5 で実行した削除プロセスでは、検索で見つかったすべてのアイテムが削除されます (場所ごとの 10 個のアイテムの制限内)。
チャット メッセージのデータ ソース
次の表を使用して、削除する必要があるチャット メッセージの種類に応じて、検索するデータ ソースを決定します。
| この種類のチャット... | このデータ ソースを検索します... |
|---|---|
| Teams 1:1 チャット | チャット参加者のメールボックス。 |
| Teams グループ チャット | チャット参加者のメールボックス。 |
| Teams チャネル (標準と共有) | 親チームに関連付けられているメールボックス。 |
| Teams プライベート チャネル | プライベート チャネル メンバーのメールボックス。 |
注:
手順 4 では、削除するチャット メッセージの種類を含むメールボックスに割り当てられている保留と保持ポリシーを特定して削除する必要もあります。
チャット メッセージを検索するためのヒント
Teams チャット会話 (1:1 やグループ チャット、標準チャット、共有チャット、プライベート チャットなど) を最も包括的に識別するには、[ 種類 ] 条件を使用し、検索クエリを作成するときに [ インスタント メッセージ ] オプションを選択します。 調査に関連するアイテムに検索の範囲を絞り込むには、日付範囲または複数のキーワードを含めます。
手順 3: 削除するチャット メッセージを確認して確認する
手順 5 の削除プロセスでは、検索によって返された項目が削除されます。 検索統計を確認して、削除するアイテムのみが検索によって返されるようにすることが重要です。 さらに、検索統計 (特に 上位の場所 の統計) を使用して、検索によって返される項目を含むデータ ソースの一覧を生成できます。 次の手順でこの一覧を使用して、検索結果を含むデータ ソースから保留ポリシーと保持ポリシーを削除します。
手順 4: データ ソースからすべての保留と保持ポリシーを削除する
メールボックスからチャット メッセージを削除するには、ターゲット メールボックスに割り当てられているすべてのorganization全体の保留、サイトホールド、またはアイテム保持ポリシーの保留を削除する必要があります。 これらの保留を削除しない場合、削除しようとしているチャット メッセージは保持されます。
削除するチャット メッセージを含むメールボックスの一覧を使用して、それらのメールボックスに保留またはアイテム保持ポリシーが割り当てられているかどうかを判断し、保留またはアイテム保持ポリシーを削除します。 手順 7 でメールボックスに再割り当てできるように、削除する保留ポリシーまたはアイテム保持ポリシーを必ず特定してください。
保留とアイテム保持ポリシーを識別および削除する方法については、「手順 3: メールボックスからすべての保留を削除する」を参照してください。「保留中 のクラウドベースのメールボックスの回復可能なアイテム フォルダー内のアイテムを削除する」を参照してください。
手順 5: Teams からチャット メッセージを削除する
注:
Microsoft Graph エクスプローラーは一部の米国政府機関向けクラウド (GCC High および DOD) では使用できないため、これらのタスクを実行するには PowerShell を使用する必要があります。 詳細については、「 PowerShell を使用してチャット メッセージを削除 する」を参照してください。
これで、Teams からチャット メッセージを削除する準備ができました。 Microsoft Graph エクスプローラーを使用して、次のタスクを実行します。
- 手順 1 で作成した電子情報開示ケースの ID を取得します。 これは、手順 2 で作成された検索結果を含むケースです。
- 手順 2 で作成し、手順 3 で検索結果を確認した検索の ID を取得します。 検索クエリは、削除するチャット メッセージを返します。
- 検索によって返されたチャット メッセージを削除します。
Graph エクスプローラーの使用については、「Graph エクスプローラーを使用して Microsoft Graph API を試す」を参照してください。
重要
Graph エクスプローラーでこれらの 3 つのタスクを実行するには、電子情報開示.Read.All および eDiscovery.ReadWrite.All のアクセス許可に同意する必要がある場合があります。 詳細については、「Graph エクスプローラーの操作」の「アクセス許可に同意する」セクションを参照してください。
ケース ID を取得する
https://developer.microsoft.com/graph/graph-explorerに移動し、Microsoft Purview ポータルで検索および消去ロールが割り当てられているアカウントで Graph エクスプローラーにサインインします。
次の GET 要求を実行して、電子情報開示ケースの ID を取得します。 要求クエリのアドレス バーで
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases値を使用します。 [API バージョン] ドロップダウン リストで 必ず [v1.0 ] を選択してください。この要求は、[応答プレビュー] タブのorganizationのすべてのケースに関する情報を返します。
応答をスクロールして、電子情報開示ケースを見つけます。 displayName プロパティを使用して、ケースを識別します。
対応する ID をコピーします (または、コピーしてテキスト ファイルに貼り付けます)。 次のタスクでこの ID を使用して、検索 ID を取得します。
ヒント
前の手順を使用してケース ID を取得する代わりに、Microsoft Purview ポータルでケースを開き、URL からケース ID をコピーできます。
電子情報開示SearchID を取得する
Graph エクスプローラーで、次の GET 要求を実行して、手順 2 で作成した検索の ID を取得し、削除する項目が含まれています。 要求クエリのアドレス バーで
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches値を使用します。 {ediscoveryCaseID} は前の手順で取得した CaseID です。応答をスクロールして、削除する項目を含む検索を見つけます。 displayName プロパティを使用して、手順 3 で作成した検索を特定します。
応答では、検索からの検索クエリが contentQuery プロパティに表示されます。 このクエリによって返された項目は、次のタスクで削除されます。
対応する ID をコピーします (または、コピーしてテキスト ファイルに貼り付けます)。 次のタスクでこの ID を使用して、チャット メッセージを削除します。
チャット メッセージを削除する
Graph エクスプローラーで、次の POST 要求を実行して、手順 2 で作成した検索によって返された項目を削除します。 要求クエリのアドレス バーで
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData値を使用します。 {ediscoveryCaseID} と {ediscoverySearchID} は 、前の手順で取得した ID です。POST 要求が成功した場合は、要求が受け入れられたことを示す緑色のバナーに HTTP 応答コードが表示されます。
purgeData の詳細については、「 sourceCollection: purgeData」を参照してください。
PowerShell を使用してチャット メッセージを削除する
PowerShell を使用してチャット メッセージを削除することもできます。 たとえば、US Government クラウド内のメッセージを削除するには、次の例のようなコマンドを使用できます。
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
PowerShell を使用してチャット メッセージを削除する方法の詳細については、「 電子情報開示検索: purgeData」を参照してください。
手順 6: チャット メッセージが削除されていることを確認する
チャット メッセージを削除する POST 要求を実行すると、Teams クライアントはこれらのメッセージを削除し、管理者がメッセージを削除したことを示す自動的に生成されたメッセージに置き換えます。 このメッセージの例については、この記事の 「エンド ユーザー エクスペリエンス 」セクションを参照してください。
チャット メッセージが削除されたことを確認する必要があるが、Teams のエンド ユーザー メッセージにアクセスできない場合は、検索を再実行し、一致するメッセージが表示された場合はチェックします。 メッセージの結果がない場合、メッセージは削除されます。
消去を発行する場合:
- メッセージ のエンド ユーザー のコピー はすぐに削除され、ユーザーが回復することはできません。
- コンプライアンス コピー (メールボックスの SubstrateHolds フォルダーに格納) は、バックグラウンド タイマー ジョブによって完全に削除されるまで少なくとも 24 時間保持されます (通常は 1 から 7 日以内)。 保留が削除され、その 24 時間以内に再適用された場合、コンプライアンス コピーは新しい保留によって保持される可能性があります。
詳細については、「 Microsoft Teamsの保持について」を参照してください。
注:
Microsoft Graph エクスプローラーは米国政府機関向けクラウド (GCC、GCC High、DOD) では使用できないため、これらのタスクを実行するには PowerShell を使用する必要があります。
手順 7: 保持ポリシーと保持ポリシーをデータ ソースに再適用する
チャット メッセージが Teams クライアントから削除および削除されたことを確認したら、手順 4 で削除した保留ポリシーと保持ポリシーを再適用します。
エンドユーザーのエクスペリエンス
削除されたチャット メッセージの場合、ユーザーには、 管理者によってこのメッセージが削除されたことを示す自動的に生成されたメッセージが表示されます。
前のスクリーンショットのメッセージは、削除されたチャット メッセージに置き換えられます。
注:
エンド ユーザーでチャット メッセージが削除された場合は、管理者に問い合わせて詳細を確認してください。
よく寄せられる質問
検索と消去についてよく寄せられる質問については、「 電子情報開示で電子メール メッセージを検索および削除する」を参照してください。