您可以使用電子檔探索和 Microsoft Graph 總管在 Microsoft Teams 中搜尋和刪除聊天訊息。 此功能可協助您尋找並刪除敏感資訊或不當內容。 此搜尋和刪除工作流程可協助您回應資料外洩事件,當包含機密或惡意資訊的內容透過 Teams 聊天訊息發行時。
Microsoft Teams 聊天數據存儲在單獨的副本中,一個用於合規性目的 (電子檔探索) 等工具使用,另一個用於最終用戶訪問。
虛刪除或硬刪除作業 會永久移除使用者複本,而且無法復原以供使用者使用。
以 Cmdlet 為基礎的清除 Teams 訊息可以移除 Teams 訊息的合規性複本,但使用者複本仍會顯示。 刪除合規性複本之後,電子檔探索就無法再移除使用者可見的訊息。 清除之前請仔細驗證 Teams 訊息,並避免使用 Cmdlet 來清除 Teams 訊息 (使用者複本不會) 刪除。
- 如果您使用 Cmdlet,請檢閱匯出報告並排除 Teams 專案。 刪除只會在合規性複本上執行,不會從使用者檢視中移除複本。 此動作也會防止未來使用 Microsoft Graph API 時刪除任何內容。
- 如果您使用 Microsoft Graph 來檢閱報表,並確定刪除的 Teams 專案是有意的,則刪除完成後就不會復原專案。
為確保完全移除項目,請仔細規劃您的清除策略,並瞭解您的動作目標副本。
提示
開始使用 Microsoft Security Copilot,探索使用 AI 的力量更聰明、更快速地工作的新方法。 深入了解 Microsoft Purview 中的 Microsoft Security Copilot。
搜尋和刪除聊天訊息之前
重要事項
在開始搜尋和清除電子郵件訊息的步驟之前,請仔細檢閱下列指引。
視您組織的電子檔探索訂用帳戶而定,可以或不啟用進階功能的案例。 確認案例的功能支援層級,以判斷是否應該使用 PowerShell 或 Microsoft Graph 來執行搜尋和清除。 未針對進階功能設定的案例只能使用 PowerShell 來搜尋和刪除電子郵件訊息 ,而針對進階功能設定的案例可以使用 PowerShell 或 Microsoft Graph 來搜尋和刪除電子郵件訊息。 請勿使用 PowerShell 和 Microsoft Graph 的組合來清除電子郵件訊息和聊天。
資料一旦被永久刪除,就無法復原。 請仔細遵循本文中的指引,並在發出清除命令之前驗證搜尋範圍。 清除命令執行後,就無法復原,也無法還原電子郵件和聊天。
執行匯出報告,以在清除之前檢閱符合搜尋條件的所有項目。 使用 Microsoft Purview 入口網站中的搜尋和匯出體驗,並 以僅限報表格式匯出結果 ,可讓您在刪除之前檢查詳細的中繼資料。 這種方法有助於細化您的搜尋範圍並確保更有針對性和更準確的清除。
若要建立電子檔探索案例並搜尋聊天訊息,您必須是 Microsoft Purview 入口網站中 電子檔探索管理員 角色群組的成員。 若要刪除聊天訊息,您需要被指派「 搜尋和清除 」角色。 依預設,此角色會指派給 [資料調查者 ] 和 [組織管理 ] 角色群組。 如需詳細資訊,請參閱指派電子文件探索權限。
組織內的大部分交談都支援搜尋和清除。 不支援搜尋和清除 Teams Connect Chat (外部存取或聯合) 對話。
重要事項
與自己 (的聊天,或使用者與自己的聊天) 不支援搜尋和刪除。
每個信箱一次最多可以移除 100 個項目。 因為搜尋和移除聊天訊息的功能是作為事件回應工具,所以此限制有助於確保快速移除聊天訊息。
步驟 1:在電子檔探索中建立案例
第一個步驟是在電子檔探索中 建立案例 ,以管理搜尋和刪除程式。
步驟 2:建立搜尋查詢
建立案例之後,下一個步驟是搜尋您要刪除 的 Teams 聊天訊息 。 您在步驟 5 中執行的刪除程序會刪除在每個位置限制) 內 (搜尋中找到的所有項目。
聊天訊息的資料來源
使用下表來決定要搜尋的資料來源,具體取決於您需要刪除的聊天訊息類型。
| 對於這種類型的聊天... | 搜尋此資料來源... |
|---|---|
| Teams 1:1 聊天 | 聊天參與者的信箱。 |
| Teams 群組聊天 | 聊天參與者的信箱。 |
| Teams 頻道 (標準和共用) | 與父小組相關聯的信箱。 |
| Teams 私人頻道 | 私人頻道成員的信箱。 |
注意事項
在步驟 4 中,您也必須識別並移除指派給包含您要刪除之聊天訊息類型的信箱的任何保留和保留原則。
搜尋聊天訊息的提示
為了協助確保最全面的 Teams 聊天 (交談識別,包括 1:1 和群組聊天,以及來自標準、共用和私人聊天的聊天,) 使用 [ 類型 ] 條件,並在建置搜尋查詢時選取 [立即訊息] 選項。 包含日期範圍或數個關鍵字,以將搜尋範圍縮小到與調查相關的項目。
步驟 3:查看並驗證要刪除的聊天訊息
步驟 5 中的刪除程序會刪除搜尋傳回的專案。 請務必檢閱搜尋統計資料,以確保搜尋只會傳回您要刪除的項目。 此外,您可以使用搜尋統計資料 (特別是 「排名靠前的位置」 統計資料) ,以產生包含搜尋所傳回項目的資料來源清單。 在下一個步驟中使用此清單,從包含搜尋結果的資料來源中移除保留和保留原則。
步驟 4:從資料來源移除所有保留和保留原則
您必須先移除指派給目標信箱的所有組織範圍的保留、網站保留或保留原則保留,才能從信箱中刪除聊天訊息。 如果您未移除這些保留,系統會保留您嘗試刪除的聊天訊息。
使用包含您要刪除之聊天訊息的信箱清單,判斷是否有指派給這些信箱的保留或保留原則,然後移除保留或保留原則。 請務必識別您移除的保留或保留原則,以便在步驟 7 中將它重新指派給信箱。
如需如何識別和移除保留和保留原則的指示,請參閱刪除保留 雲端信箱之 [可復原郵件] 資料夾中的專案中的「步驟 3:從信箱移除所有保留」。
步驟 5:從 Teams 刪除聊天訊息
注意事項
由於 Microsoft Graph 總管無法在某些美國政府雲端 (GCC High 和 DOD) 中使用,因此您必須使用 PowerShell 來完成這些工作。 如需詳細資訊,請參閱 使用 PowerShell 刪除聊天訊息 。
現在您已準備好從 Teams 刪除聊天訊息。 使用 Microsoft Graph 總管來執行下列工作:
- 取得您在步驟 1 中建立的電子檔探索案例識別碼。 這是包含步驟 2 中建立的搜尋結果的情況。
- 取得您在步驟 2 中建立的搜尋識別碼,並在步驟 3 中驗證搜尋結果。 搜尋查詢會傳回您要刪除的聊天訊息。
- 刪除搜尋傳回的聊天訊息。
如需使用 Graph 總管的相關資訊,請參閱 使用 Graph 總管來嘗試 Microsoft Graph API。
重要事項
若要在 Graph 總管中執行這三項工作,您可能必須同意 eDiscovery.Read.All 和 eDiscovery.ReadWrite.All 許可權。 如需詳細資訊,請參閱使用 Graph Explorer 中的「同意許可權」一節。
取得案例 ID
移至 https://developer.microsoft.com/graph/graph-explorer Graph 總管,並使用在 Microsoft Purview 入口網站中獲指派 [ 搜尋和清除 ] 角色的帳戶登入 Graph 總管。
執行下列 GET 要求,以擷取電子檔探索案例的識別碼。 使用請求查詢網址列中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases。 請務必在 [API 版本] 下拉式清單中選取 v1.0 。此要求會在 回應預覽 索引標籤上傳回組織中所有案例的相關資訊。
捲動回應以找出電子檔探索案例。 使用 displayName 屬性來識別案例。
複製對應的 ID (或將其複製並貼上到文字檔案) 。 在下一個工作中使用此 ID 來取得搜尋 ID。
提示
您可以在 Microsoft Purview 入口網站中開啟案例,並從 URL 複製案例識別碼,而不是使用上一個程式來取得案例識別碼。
取得 eDiscoverySearchID
在 Graph 總管中,執行下列 GET 要求,以擷取您在步驟 2 中建立之搜尋的識別碼,並包含您要刪除的專案。 使用要求查詢網址列中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches,其中 {ediscoveryCaseID} 是您在上一個程式中取得的 CaseID。捲動回應以找出包含您要刪除之項目的搜尋。 使用 displayName 屬性來識別您在步驟 3 中建立的搜尋。
在回應中,來自搜尋的搜尋查詢會顯示在 contentQuery 屬性中。 此查詢傳回的項目會在下一個工作中刪除。
複製對應的 ID (或將其複製並貼上到文字檔案) 。 在下一個工作中使用此 ID 來刪除聊天訊息。
刪除聊天訊息
在 Graph Explorer 中,執行下列 POST 要求,以刪除您在步驟 2 中建立的搜尋所傳回的專案。 使用要求查詢網址列中的值
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData,其中 {ediscoveryCaseID} 和 {ediscoverySearchID} 是您在先前程式中取得的識別碼。如果 POST 要求成功,則會以綠色橫幅顯示 HTTP 回應碼,指出已接受要求。
如需 purgeData 的詳細資訊,請參閱 sourceCollection: purgeData。
使用 PowerShell 刪除聊天訊息
您也可以使用 PowerShell 刪除聊天訊息。 例如,若要刪除美國政府雲端中的訊息,您可以使用類似下列範例的命令:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
如需使用 PowerShell 刪除聊天訊息的詳細資訊,請參閱 ediscoverySearch:purgeData。
步驟 6:確認聊天訊息已刪除
當您執行 POST 要求來刪除聊天訊息時,Teams 用戶端會移除這些訊息,並將其取代為自動產生的訊息,指出系統管理員已移除訊息。 如需此訊息的範例,請參閱本文中的 使用者體驗 一節。
如果您需要確認聊天訊息已移除,但無法存取 Teams 中的使用者訊息,請重新執行搜尋,並檢查是否出現任何相符的訊息。 如果訊息沒有任何結果,則會移除訊息。
當您發出清除時:
- 訊息的 終端使用者複本 會立即刪除,而且使用者無法復原。
- 合規性複本 (儲存在信箱的 SubstrateHolds 資料夾中) 保留至少 24 小時,然後背景計時器作業 (通常會在 1-7 天內) 永久刪除。 如果移除保留,然後在該 24 小時期間內重新套用,則新的保留可能會保留合規性複本。
如需詳細資訊,請參閱 瞭解 Microsoft Teams 的保留。
注意事項
由於 Graph 總管Microsoft無法在美國政府雲端 (GCC、GCC High 和 DOD) 中使用,因此您必須使用 PowerShell 來完成這些工作。
步驟 7:將保留和保留原則重新套用至資料來源
確認聊天訊息已從 Teams 用戶端刪除並移除之後,請重新套用您在步驟 4 中移除的保留和保留原則。
使用者體驗
對於已刪除的聊天訊息,使用者會看到自動產生的訊息,指出 此訊息已被管理員刪除。
上一個螢幕截圖中的訊息取代了已刪除的聊天訊息。
注意事項
如果您是使用者,且聊天訊息已刪除,請聯絡您的管理員以取得更多資訊。
常見問題集
如需搜尋和清除的常見問題,請參閱 在 電子檔探索中尋找和刪除電子郵件訊息。