你可以使用 eDiscovery 和 Microsoft Graph Explorer 搜尋並刪除使用者提示,以及支援的應用程式和服務中的 Microsoft Copilot 和其他 AI 解決方案。 此功能能協助你尋找並移除 Copilot 及其他 AI 應用程式活動中包含的敏感資訊或不當內容。 此搜尋與刪除流程也能協助你應對資料外洩事件,當包含機密或惡意資訊的內容透過 AI 相關活動被釋出時。
提示
立即開始使用 Microsoft Security Copilot,探索利用 AI 力量更聰明、更快速地工作的新方法。 在 Microsoft Purview 中了解更多關於 Microsoft Security Copilot 的資訊。
在你搜尋並刪除 AI 資料之前
- 要建立電子證據案件並搜尋 AI 活動資料,您需要加入 電子發現經理 角色群組。 要刪除 AI 活動資料,你需要被指派搜尋 與清除 角色。 資料調查員與組織管理角色群組預設擁有此角色。 如需詳細資訊,請參閱指派電子文件探索權限。
- 你一次最多可以移除一個信箱 10 件物品。 由於搜尋與移除 AI 資料的功能是作為事件回應工具,此限制有助於確保資料能迅速被移除。
步驟一:在電子發現中建立案件
第一步是在電子發現中 建立案件 ,以管理搜尋與刪除流程。
步驟 2:在 eDiscovery 中建立搜尋
建立案件後,下一步是 搜尋 你想刪除的 AI 應用程式資料。 步驟5中的刪除程序會刪除搜尋 (中所有與 AI 相關的物品,且在每個地點限制內) 10件物品。
AI 資料的資料來源
下表列出 Copilot 及其他 AI 資料的應用與服務來源。 所有來自 AI 應用程式的使用者提示與回應都會儲存在使用者的信箱中。
| 對於這類 Microsoft Copilot 或其他 AI 資料...... | 搜尋這個物品類別...... |
|---|---|
| Microsoft Foundry | IPM.SkypeTeams.Message.ConnectedAIApp.AzureAI.<AzureResourceName> |
| ChatGPT 企業版 | - 本地機器互動: IPM.SkypeTeams.Message.ConnectedAIApp.Connector.<ChatGPTEnterprise> - 基於瀏覽器的互動: IPM.SkypeTeams.Message.CloudAIApp.SaaS.<AppID> |
| Fabric 副駕駛 | IPM.SkypeTeams.Message.Copilot.Fabric.* |
| 副駕駛個人化與記憶 | IPM.Contact 欲了解更多資訊,請參閱 副駕駛個人化與記憶體。 |
| Copilot Studio | IPM.SkypeTeams.Message.Copilot.Studio.* |
| Excel | IPM.SkypeTeams.Message.Copilot.Excel |
| 促進者 | IPM.SkypeTeams.Message |
| 主持人 AI 筆記 | IPM.SkypeTeams.Message.TeamCopilot.AiNotes.Teams |
| Loop | IPM.SkypeTeams.Message.Copilot.Loop |
| Microsoft 365 應用程式 | IPM.SkypeTeams.Message.Copilot.M365App |
| Microsoft 365 Copilot | IPM.SkypeTeams.Message.Copilot.* |
| Microsoft Copilot 為 Bing 提供 (Microsoft 365 Copilot Chat) | IPM.SkypeTeams.Message.Copilot.BizChat |
| Microsoft Entra 應用程式 | IPM.SkypeTeams.Message.ConnectedAIApp.Entra.<AppID> |
| Microsoft 表單 | IPM.SkypeTeams.Message.Copilot.Forms |
| Microsoft Security Copilot | IPM.SkypeTeams.Message.Copilot.Security.SecurityCopilot |
| OneNote | IPM.SkypeTeams.Message.Copilot.OneNote |
| 其他 AI 應用程式 | - 本地機器互動: IPM.SkypeTeams.Message.ConnectedAIApp.Connector.<AppName> - 基於瀏覽器的互動: IPM.SkypeTeams.Message.CloudAIApp.SaaS.<AppID> |
| Outlook | IPM.SkypeTeams.Message.Copilot.Outlook |
| PowerPoint | IPM.SkypeTeams.Message.Copilot.Powerpoint |
| SharePoint | IPM.SkypeTeams.Message.Copilot.SharePoint |
| Teams AI 筆記在聊天中 | IPM.SkypeTeams.Message.TeamCopilot.AiNotes.Teams |
| 團隊頻道 | IPM.SkypeTeams.Message.Copilot.Teams |
| Teams 聊天 | IPM.SkypeTeams.Message.Copilot.Teams |
| 球隊Copilot Chat (Microsoft 365 Copilot Chat) | IPM.SkypeTeams.Message.Copilot.BizChat |
| 團隊會議 | IPM.SkypeTeams.Message.Copilot.Teams |
| 隊伍Microsoft 365 Chat (BF) | IPM.SkypeTeams.Message |
| 網路聊天 | IPM.SkypeTeams.Message.Copilot.WebChat |
| Whiteboard | IPM.SkypeTeams.Message.Copilot.Whiteboard |
| Word | IPM.SkypeTeams.Message.Copilot.Word |
注意事項
在第四步,你還需要識別並移除所有分配到包含你想刪除的 Copilot 或 AI 應用程式資料類型的信箱上的保留與保留政策。
搜尋 Copilot 及其他 AI 資料的技巧
要收集最完整的 AI 資料集,請使用 項目類別 條件,並在建立搜尋查詢時選擇 Copilot 活動 選項。 此條件包含所有 Copilot 及其他 AI 應用程式資料。 新增日期範圍或多個關鍵字,以縮小搜尋範圍至與你的搜尋相關項目,並刪除調查。
關於 Copilot 記憶體資料,在 eDiscovery 工作時請考慮以下事項:
- 推斷記憶可透過 Microsoft Graph 刪除其他信箱項目。
- 副駕駛的記憶會儲存在 IPM。聯絡項目類別 ,並且他們在電子發現 條件建置器中匹配成聯絡人。
- 刪除 Microsoft Purview 或 eDiscovery 的對話或訊息,並不會刪除相關的 Copilot 記憶體。
步驟 3:審查並驗證 Copilot 及其他 AI 資料,以便在 eDiscovery 中刪除
步驟 5 中的刪除程序會刪除搜尋回傳的項目。 檢查搜尋結果,確保搜尋只回傳你想刪除的項目。
你可以使用搜尋統計 (特別是 熱門地點 統計) ,產生包含搜尋回傳項目的資料來源清單。 下一步請使用此清單移除包含搜尋結果的使用者信箱中的保留與保留政策。
步驟 4:從資料來源中移除保留與保留政策
在你從信箱中刪除 Copilot 或其他 AI 應用程式資料之前,必須先移除分配給目標信箱 的任何保留 或保留政策。 如果你沒有移除保留或保留政策,你想刪除的資料就會被保留。
使用包含你想刪除的 Copilot 和 AI 資料的信箱清單,判斷這些信箱是否有保留或保留政策,然後移除保留或保留政策。 找出你移除的保留或保留政策,以便在第 7 步重新指派到信箱。
步驟 5:刪除 Copilot 及其他 Microsoft Graph Explorer 中的 AI 資料
注意事項
由於Microsoft圖探索器在部分美國政府雲端 (GCC High和DOD) 中無法使用,因此必須使用 PowerShell 來完成這些任務。 欲了解更多資訊,請參閱 使用 PowerShell 刪除 Copilot 及其他 AI 資料。
現在你準備好從使用者信箱刪除 Copilot 及其他 AI 資料了。 使用 Microsoft Graph Explorer 執行以下三項任務:
- 取得你在第一步建立的電子發現案件的ID。 本案件包含步驟2中建立的搜尋。
- 在步驟2取得你建立的搜尋ID,並在步驟3驗證搜尋結果。 此搜尋中的查詢會回傳要刪除的資料。
- 刪除搜尋回傳的資料。
關於使用 Graph Explorer 的資訊,請參閱「使用 Graph Explorer 嘗試 Microsoft Graph API」。
重要事項
要在圖譜探索器中執行這三項任務,你可能需要同意 eDiscovery.Read.All 和 eDiscovery.ReadWrite.All 權限。 欲了解更多資訊,請參閱 「使用 Graph Explorer 的「同意權限」章節。
在 Microsoft Graph Explorer 取得案件 ID
- 請使用 https://developer.microsoft.com/graph/graph-explorer 一個在 Microsoft Purview 入口網站中被指定為 搜尋與清除 角色的帳號登入 Graph Explorer。
- 執行以下 GET 請求以取得 eDiscovery 案件的 ID。 請使用請求查詢網址列中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases。 請務必在 API 版本下拉選單中選擇 v1.0 。 此請求會在 回應預覽 標籤中回傳您組織內所有案件的資訊。 - 請滑動回應以找到電子發現案件。 使用 displayName 屬性來識別案件。
- 複製對應的 ID (,或複製貼上到文字檔) 。 在下一個任務中使用這個 ID 來取得搜尋 ID。
提示
你可以不用之前的程序取得案件 ID,而是在 Microsoft Purview 入口網站開啟案件,並從網址複製案件 ID。
在 Microsoft Graph Explorer 取得 eDiscoverySearchID
- 在 Graph Explorer 中,執行以下 GET 請求,取得你在第 2 步建立的搜尋 ID,並包含你想刪除的項目。 請使用請求查詢網址列中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches,其中 {ediscoveryCaseID} 是你在前一個程序中取得的 CaseID。 - 滑動回應,找到包含你想刪除項目的搜尋結果。 使用 displayName 屬性來識別你在步驟 3 建立的搜尋。 在回應中,搜尋結果的查詢會顯示在 contentQuery 屬性中。 此查詢回傳的項目會在下一個任務中被刪除。
- 複製對應的 ID (,或複製貼上到文字檔) 。 在下一個任務中使用這個 ID 來刪除 Copilot 和其他 AI 應用程式的資料。
提示
您可以不使用先前的程序取得搜尋 ID,而是在 Microsoft Purview 入口網站開啟案件。 打開案件,進入工作頁面。選擇相關搜尋,在支援資訊中找到職缺 ID, (顯示的職缺 ID 與搜尋 ID) 相同。
刪除 Microsoft Graph Explorer 中的 Copilot 及其他 AI 資料
在圖總管中,執行以下 POST 請求,刪除你在第 2 步建立的搜尋回傳的項目。 請使用請求查詢地址列中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData,其中 {ediscoveryCaseID} 和 {ediscoverySearchID} 是你在前述程序中取得的 ID。若 POST 請求成功,會以綠色橫幅顯示 HTTP 回應代碼,表示請求已被接受。
欲了解更多關於 purgeData 的資訊,請參閱 sourceCollection: purgeData。
使用 PowerShell 刪除 Copilot 及其他 AI 資料
注意事項
由於 Microsoft Graph Explorer 無法在美國政府的雲端服務中 (GCC、GCC High 和 DOD) 上使用,因此你必須使用 PowerShell 來完成這些任務。
你也可以用 PowerShell 刪除 Copilot 和其他 AI 資料。 例如,要刪除美國政府雲端中的 Copilot 資料,請使用類似以下範例的指令:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
欲了解更多使用 PowerShell 刪除 Copilot 及其他 AI 資料的資訊,請參閱 ediscoverySearch: purgeData。
步驟 6:確認 Copilot 及其他 AI 資料已被刪除
當你執行刪除 Copilot 及其他 AI 資料的 POST 請求後,該程序會從使用者的信箱移除這些資料。 使用者不會收到任何可見的通知或資料已被刪除的確認。
刪除的 Copilot 和其他 AI 資料會移到 SubstrateHolds 資料夾,這是一個隱藏的信箱資料夾。 刪除的資料會在這個資料夾中保留至少一天。 下一次計時器工作執行時,通常 (1 到 7 天) ,會永久刪除該資料。
步驟7:重新套用保留與保留政策給使用者信箱
確認 Copilot 和其他 AI 資料被刪除後,請重新套用你在第 4 步移除的使用者信箱的保留與保留政策。