可以使用电子数据展示和 Microsoft Graph 资源管理器在受支持的应用程序和服务中搜索和删除用户提示以及Microsoft Copilot和其他 AI 解决方案。 此功能可帮助你查找和删除 Copilot 和其他 AI 应用程序活动中包含的敏感信息或不适当的内容。 当通过 AI 相关活动发布包含机密或恶意信息的内容时,此搜索和删除工作流还可以帮助你响应数据溢出事件。
提示
开始使用智能 Microsoft Security Copilot 副驾驶®,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的智能 Microsoft Security Copilot 副驾驶®。
搜索和删除 AI 数据之前
- 若要创建电子数据展示案例并搜索 AI 活动数据,需要是 电子数据展示管理员 角色组的成员。 若要删除 AI 活动数据,需要分配“ 搜索和清除” 角色。 默认情况下,数据调查员和组织管理角色组具有此角色。 有关详细信息,请参阅分配电子数据展示权限。
- 一次最多可以删除每个邮箱 10 个项目。 由于搜索和删除 AI 数据的功能旨在成为事件响应工具,因此此限制有助于确保快速删除此数据。
步骤 1:在电子数据展示中创建事例
第一步是在电子数据展示 中创建事例 来管理搜索和删除过程。
步骤 2:在电子数据展示中创建搜索
创建事例后,下一步是 搜索 要删除的 AI 应用程序数据。 在步骤 5 中执行的删除过程将删除搜索 (中找到的所有与 AI 相关的项目,这些项在每个位置限制为 10 项) 。
AI 数据的数据源
下表列出了 Copilot 和其他 AI 数据的应用程序和服务源。 来自 AI 应用程序的所有用户提示和响应都存储在用户的邮箱中。
| 对于这种类型的Microsoft Copilot或其他 AI 数据... | 搜索此项类... |
|---|---|
| Microsoft铸造厂 | IPM.SkypeTeams.Message.ConnectedAIApp.AzureAI.<AzureResourceName> |
| ChatGPT Enterprise | - 本地计算机交互: IPM.SkypeTeams.Message.ConnectedAIApp.Connector.<ChatGPTEnterprise> - 基于浏览器的交互: IPM.SkypeTeams.Message.CloudAIApp.SaaS.<AppID> |
| Fabric 中的 Copilot | IPM.SkypeTeams.Message.Copilot.Fabric.* |
| Copilot 个性化设置和内存 | IPM.Contact 有关详细信息,请参阅 Copilot 个性化设置和内存。 |
| Copilot Studio | IPM.SkypeTeams.Message.Copilot.Studio.* |
| Excel | IPM.SkypeTeams.Message.Copilot.Excel |
| 主持人 | IPM.SkypeTeams.Message |
| 主持人 AI 说明 | IPM.SkypeTeams.Message.TeamCopilot.AiNotes.Teams |
| Loop | IPM.SkypeTeams.Message.Copilot.Loop |
| Microsoft 365 应用版 | IPM.SkypeTeams.Message.Copilot.M365App |
| Microsoft 365 Copilot | IPM.SkypeTeams.Message.Copilot.* |
| 必应 (智能 Microsoft 365 Copilot 副驾驶® 对话助手) Microsoft Copilot | IPM.SkypeTeams.Message.Copilot.BizChat |
| Microsoft Entra应用 | IPM.SkypeTeams.Message.ConnectedAIApp.Entra.<AppID> |
| Microsoft Forms | IPM.SkypeTeams.Message.Copilot.Forms |
| 智能 Microsoft Security Copilot 副驾驶® | IPM.SkypeTeams.Message.Copilot.Security.SecurityCopilot |
| OneNote | IPM.SkypeTeams.Message.Copilot.OneNote |
| 其他 AI 应用 | - 本地计算机交互: IPM.SkypeTeams.Message.ConnectedAIApp.Connector.<AppName> - 基于浏览器的交互: IPM.SkypeTeams.Message.CloudAIApp.SaaS.<AppID> |
| Outlook | IPM.SkypeTeams.Message.Copilot.Outlook |
| PowerPoint | IPM.SkypeTeams.Message.Copilot.Powerpoint |
| SharePoint | IPM.SkypeTeams.Message.Copilot.SharePoint |
| 聊天中的 Teams AI 笔记 | IPM.SkypeTeams.Message.TeamCopilot.AiNotes.Teams |
| Teams 频道 | IPM.SkypeTeams.Message.Copilot.Teams |
| Teams 聊天 | IPM.SkypeTeams.Message.Copilot.Teams |
| Teams Copilot 对话助手 (智能 Microsoft 365 Copilot 副驾驶® 对话助手) | IPM.SkypeTeams.Message.Copilot.BizChat |
| Teams 会议 | IPM.SkypeTeams.Message.Copilot.Teams |
| Teams Microsoft 365 Chat (BF) | IPM.SkypeTeams.Message |
| WebChat | IPM.SkypeTeams.Message.Copilot.WebChat |
| Whiteboard | IPM.SkypeTeams.Message.Copilot.Whiteboard |
| Word | IPM.SkypeTeams.Message.Copilot.Word |
注意
在步骤 4 中,还需要标识并删除分配给邮箱的任何保留和保留策略,该邮箱包含要删除的 Copilot 或 AI 应用程序数据类型。
有关搜索 Copilot 和其他 AI 数据的提示
若要收集最全面的 AI 数据集,请使用 Item 类 条件,并在生成搜索查询时选择 Copilot 活动 选项。 此条件包括所有 Copilot 和其他 AI 应用程序数据。 添加日期范围或多个关键字,以将搜索范围缩小到与搜索和删除调查相关的项目。
对于 Copilot 内存数据,在电子数据展示中工作时,请考虑以下事项:
- 可以使用 Microsoft Graph 删除推断的内存和其他邮箱项目。
- Copilot 内存存储为 IPM。联系人 项类和它们匹配为电子数据展示 条件生成器中的联系人。
- 从 Microsoft Purview 或电子数据展示中删除对话或消息不会删除关联的 Copilot 内存。
步骤 3:查看并验证在电子数据展示中删除的 Copilot 和其他 AI 数据
步骤 5 中的删除过程将删除搜索返回的项目。 查看搜索结果,确保搜索仅返回要删除的项目。
可以使用搜索统计信息 (特别是 “热门位置 统计信息”) 来生成包含搜索返回的项的数据源列表。 在下一步中使用此列表从包含搜索结果的用户邮箱中删除保留和保留策略。
步骤 4:从数据源中删除保留和保留策略
必须先删除分配给目标邮箱 的任何保留 或保留策略,然后才能从邮箱中删除 Copilot 或其他 AI 应用程序数据。 如果不删除保留或保留策略,则会保留尝试删除的数据。
使用包含要删除的 Copilot 和 AI 数据的邮箱列表来确定是否为这些邮箱分配了保留或保留策略,然后删除保留或保留策略。 确定删除的保留或保留策略,以便可以重新分配到步骤 7 中的邮箱。
步骤 5:删除 Microsoft Graph 资源管理器中的 Copilot 和其他 AI 数据
注意
由于 Microsoft Graph 资源管理器在某些美国政府云中不可用, (GCC High 和 DOD) ,因此必须使用 PowerShell 来完成这些任务。 有关详细信息,请参阅 使用 PowerShell 删除 Copilot 和其他 AI 数据。
现在,你已准备好从用户邮箱中删除 Copilot 和其他 AI 数据。 使用 Microsoft Graph 资源管理器执行以下三个任务:
- 获取在步骤 1 中创建的电子数据展示事例的 ID。 此案例包含步骤 2 中创建的搜索。
- 获取在步骤 2 中创建的搜索的 ID,并在步骤 3 中验证了搜索结果。 此搜索中的查询返回要删除的数据。
- 删除搜索返回的数据。
有关使用 Graph 资源管理器的信息,请参阅 使用 Graph 资源管理器尝试Microsoft Graph API。
重要
若要在 Graph 资源管理器中执行这三项任务,可能需要同意电子数据展示.Read.All 和电子数据展示.ReadWrite.All 权限。 有关详细信息,请参阅 使用 Graph 资源管理器中的“同意权限”部分。
在 Microsoft Graph 资源管理器中获取案例 ID
- 转到 https://developer.microsoft.com/graph/graph-explorer ,并使用在 Purview 门户中分配有 “搜索和清除 Microsoft” 角色的帐户登录 Graph 资源管理器。
- 运行以下 GET 请求以检索电子数据展示事例的 ID。 使用请求查询的地址栏中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases。 请务必在 API 版本下拉列表中选择 v1.0 。 此请求在 “响应预览 ”选项卡上返回有关组织中所有案例的信息。 - 滚动浏览响应以找到电子数据展示事例。 使用 displayName 属性标识事例。
- 复制相应的 ID (或复制并粘贴到文本文件) 。 在下一个任务中使用此 ID 获取搜索 ID。
提示
可以在 Microsoft Purview 门户中打开案例,并从 URL 复制案例 ID,而不是使用前面的过程来获取案例 ID。
在 Microsoft Graph 资源管理器中获取 eDiscoverySearchID
- 在 Graph 资源管理器中,运行以下 GET 请求以检索在步骤 2 中创建的搜索的 ID,并包含要删除的项目。 使用请求查询的地址栏中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches,其中 {ediscoveryCaseID} 是在上一过程中获取的 CaseID。 - 滚动响应以找到包含要删除的项目的搜索。 使用 displayName 属性标识在步骤 3 中创建的搜索。 在响应中,来自搜索的搜索查询显示在 contentQuery 属性中。 此查询返回的项将在下一个任务中删除。
- 复制相应的 ID (或复制并粘贴到文本文件) 。 在下一个任务中使用此 ID 删除 Copilot 和其他 AI 应用程序数据。
提示
可以在 Microsoft Purview 门户中打开事例,而不是使用前面的过程来获取搜索 ID。 打开事例并转到“作业”选项卡。选择相关搜索,然后在“支持信息”下找到作业 ID, (此处显示的作业 ID 与搜索 ID) 相同。
删除 Microsoft Graph 资源管理器中的 Copilot 和其他 AI 数据
在 Graph 资源管理器中,运行以下 POST 请求以删除在步骤 2 中创建的搜索返回的项目。 使用请求查询的地址栏中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData,其中 {ediscoveryCaseID} 和 {ediscoverySearchID} 是你在前面的过程中获取的 ID。如果 POST 请求成功,HTTP 响应代码会显示在绿色横幅中,指出请求已接受。
有关 purgeData 的详细信息,请参阅 sourceCollection: purgeData。
使用 PowerShell 删除 Copilot 和其他 AI 数据
注意
由于 Microsoft Graph Explorer 在美国政府云 (GCC、GCC High 和 DOD) 中不可用,因此必须使用 PowerShell 来完成这些任务。
还可以使用 PowerShell 删除 Copilot 和其他 AI 数据。 例如,若要删除美国政府云中的 Copilot 数据,请使用类似于以下示例的命令:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
有关使用 PowerShell 删除 Copilot 和其他 AI 数据的详细信息,请参阅 ediscoverySearch: purgeData。
步骤 6:验证是否删除 Copilot 和其他 AI 数据
运行 POST 请求以删除 Copilot 和其他 AI 数据后,该过程将从用户的邮箱中删除此数据。 用户不会收到任何可见的通知或确认删除数据。
已删除的 Copilot 和其他 AI 数据将移动到 SubstrateHolds 文件夹,该文件夹是隐藏的邮箱文件夹。 已删除的数据将在此文件夹中保留至少一天。 计时器作业下次运行 (通常在) 1-7 天之间时,它会永久删除数据。
步骤 7:将保留和保留策略重新应用于用户邮箱
验证 Copilot 和其他 AI 数据已删除后,将保留和保留策略重新应用到步骤 4 中删除的用户邮箱。