Suchen und Löschen von Copilot-Daten in eDiscovery (Vorschau)
Sie können eDiscovery (Vorschau) und die Microsoft Graph-Explorer verwenden, um benutzereingabeaufforderungen und Microsoft 365 Copilot und Microsoft Copilot Antworten in unterstützten Anwendungen und Diensten zu suchen und zu löschen. Dieses Feature kann Ihnen helfen, vertrauliche Informationen oder unangemessene Inhalte in Copilot-Aktivitäten zu finden und zu entfernen. Dieser Such- und Löschworkflow kann Ihnen auch dabei helfen, auf einen Datenleckfall zu reagieren, wenn Inhalte mit vertraulichen oder schädlichen Informationen durch Aktivitäten im Zusammenhang mit Copilot freigegeben werden.
Tipp
Beginnen Sie mit Microsoft Copilot für Sicherheit, um neue Möglichkeiten zu erkunden, um intelligenter und schneller mit der Leistungsfähigkeit von KI zu arbeiten. Erfahren Sie mehr über Microsoft Copilot für Sicherheit in Microsoft Purview.
Vor dem Suchen und Löschen von Copilot-Daten
- Erstellen Sie einen eDiscovery-Fall (Vorschau), und suchen Sie nach Copilot-Aktivitätsdaten. Sie müssen Mitglied der Rollengruppe eDiscovery-Manager sein. Zum Löschen von Copilot-Daten muss Ihnen die Rolle Suchen und Löschen zugewiesen werden. Diese Rolle wird standardmäßig den Rollengruppen Datenermittler und Organisationsverwaltung zugewiesen. Weitere Informationen finden Sie unter Zuweisen von eDiscovery-Berechtigungen.
- Aus jedem Postfach können maximal 10 Elemente gleichzeitig entfernt werden. Da die Funktion zum Suchen und Entfernen von Copilot-Daten ein Tool zur Reaktion auf Vorfälle sein soll, trägt dieser Grenzwert dazu bei, dass diese Daten schnell entfernt werden.
Schritt 1: Erstellen eines Falls in eDiscovery (Vorschau)
Der erste Schritt besteht darin, einen Fall in eDiscovery (Vorschau) zu erstellen, um den Such- und Löschvorgang zu verwalten.
Schritt 2: Erstellen einer Suche in eDiscovery (Vorschau)
Nachdem Sie einen Fall erstellt haben, besteht der nächste Schritt darin, nach den Copilot-Daten zu suchen , die Sie löschen möchten. Der Löschvorgang, den Sie ausführen, ist Schritt 5, löscht alle Copilot-bezogenen Elemente, die in der Suche gefunden werden (innerhalb des Grenzwerts von 10 Elementen pro Speicherort).
Datenquellen für Copilot-Daten
In der folgenden Tabelle sind die Anwendungen und Dienste aufgeführt, die Quellen für Copilot-Daten sind. Alle Benutzeraufforderungen an Copilot und Antworten von Copilot werden im Postfach eines Benutzers gespeichert.
| Für diese Art von Microsoft Copilot Daten... | Diese Elementklasse durchsuchen... |
|---|---|
| Excel | IPM. SkypeTeams.Message.Copilot.Excel |
| Loop | IPM. SkypeTeams.Message.Copilot. Loop |
| Microsoft 365-App | IPM. SkypeTeams.Message.Copilot.M365App |
| Microsoft Copilot für Bing (Bizchat) | IPM.SkypeTeams.Message.Copilot.BizChat |
| Microsoft Forms | IPM. SkypeTeams.Message.Copilot. Forms |
| OneNote | IPM. SkypeTeams.Message.Copilot.OneNote |
| Outlook | IPM. SkypeTeams.Message.Copilot.Outlook |
| PowerPoint | IPM. SkypeTeams.Message.Copilot.Powerpoint |
| Teams-Kanal | IPM.SkypeTeams.Message.Copilot.Teams |
| Teams Chat | IPM.SkypeTeams.Message.Copilot.Teams |
| Teams Copilot Chat (Bizchat) | IPM.SkypeTeams.Message.Copilot.BizChat |
| Teams-Besprechung | IPM.SkypeTeams.Message.Copilot.Teams |
| Teams Microsoft 365 Chat (BF) | IPM. SkypeTeams.Message |
| WebChat | IPM. SkypeTeams.Message.Copilot.WebChat |
| Whiteboard | IPM. SkypeTeams.Message.Copilot. Whiteboard |
| Word | IPM. SkypeTeams.Message.Copilot. Word |
Hinweis
In Schritt 4 müssen Sie auch alle Aufbewahrungs- und Aufbewahrungsrichtlinien identifizieren und entfernen, die dem Postfach zugewiesen sind, das den Typ der Copilot-Daten enthält, die Sie löschen möchten.
Tipps für die Suche nach Copilot-Daten
Um die umfassendste Sammlung von Copilot-Daten sicherzustellen, verwenden Sie die Type-Bedingung , und wählen Sie die Option Copilot-Aktivität aus, wenn Sie die Suchabfrage erstellen. Es wird auch empfohlen, einen Datumsbereich oder mehrere Schlüsselwörter einzugrenzen, um den Suchbereich auf Elemente einzugrenzen, die für Ihre Suche relevant sind, und die Untersuchung zu löschen.
Schritt 3: Überprüfen und Überprüfen der zu löschenden Copilot-Daten in eDiscovery (Vorschau)
Der Löschvorgang in Schritt 5 löscht die von der Suche zurückgegebenen Elemente. Es ist wichtig, dass Sie die Suchergebnisse überprüfen, um sicherzustellen, dass die Suche nur die Elemente zurückgibt, die Sie löschen möchten.
Darüber hinaus können Sie die Suchstatistiken (insbesondere die Statistiken der wichtigsten Standorte ) verwenden, um eine Liste der Datenquellen zu generieren, die von der Suche zurückgegebene Elemente enthalten. Verwenden Sie diese Liste im nächsten Schritt, um Aufbewahrungs- und Aufbewahrungsrichtlinien aus den Benutzerpostfächern zu entfernen, die Suchergebnisse enthalten.
Schritt 4: Entfernen von Aufbewahrungs- und Aufbewahrungsrichtlinien aus Datenquellen
Bevor Sie Copilot-Daten aus einem Postfach löschen können, müssen Sie alle Aufbewahrungs - oder Aufbewahrungsrichtlinien entfernen, die einem Zielpostfach zugewiesen sind. Wenn dies nicht der Fall ist, werden die Daten, die Sie löschen möchten, beibehalten.
Verwenden Sie die Liste der Postfächer, die die copilot-Daten enthalten, die Sie löschen möchten, und bestimmen Sie, ob diesen Postfächern eine Aufbewahrungs- oder Aufbewahrungsrichtlinie zugewiesen ist, und entfernen Sie dann die Aufbewahrungs- oder Aufbewahrungsrichtlinie. Stellen Sie sicher, dass Sie die Aufbewahrungs- oder Aufbewahrungsrichtlinie identifizieren, die Sie entfernen, damit Sie den Postfächern in Schritt 7 neu zuweisen können.
Schritt 5: Löschen von Copilot-Daten in Microsoft Graph Explorer
Hinweis
Da Microsoft Graph Explorer in einigen Us Government-Clouds (GCC High und DOD) nicht verfügbar ist, müssen Sie PowerShell verwenden, um diese Aufgaben auszuführen. Weitere Informationen finden Sie unter Löschen von Copilot-Daten mit PowerShell .
Jetzt können Sie Copilot-Daten aus Benutzerpostfächern löschen. Verwenden Sie die Microsoft Graph-Explorer, um die folgenden drei Aufgaben auszuführen:
- Rufen Sie die ID des eDiscovery-Falls ab, den Sie in Schritt 1 erstellt haben. Dies ist der Fall, der die in Schritt 2 erstellte Suche enthält.
- Rufen Sie die ID der Suche ab, die Sie in Schritt 2 erstellt und die Suchergebnisse in Schritt 3 überprüft haben. Die Abfrage in dieser Suche gibt die zu löschenden Copilot-Daten zurück.
- Löschen Sie die von der Suche zurückgegebenen Copilot-Daten.
Informationen zur Verwendung von Graph Explorer finden Sie unter Verwenden von Graph Explorer zum Testen von Microsoft Graph-APIs.
Wichtig
Um diese drei Aufgaben in Graph Explorer auszuführen, müssen Sie möglicherweise den Berechtigungen eDiscovery.Read.All und eDiscovery.ReadWrite.All zustimmen. Weitere Informationen finden Sie im Abschnitt "Zustimmung zu Berechtigungen" unter Arbeiten mit Graph Explorer.
Abrufen der Fall-ID in Microsoft Graph Explorer
- Wechseln Sie zu https://developer.microsoft.com/graph/graph-explorer , und melden Sie sich beim Graph-Explorer mit einem Konto an, dem die Rolle Suchen und Löschen im Microsoft Purview-Portal zugewiesen ist.
- Führen Sie die folgende GET-Anforderung aus, um die ID für den eDiscovery-Fall abzurufen. Verwenden Sie den Wert
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCasesin der Adressleiste der Anforderungsabfrage. Wählen Sie in der Dropdownliste API-Version die Option v1.0 aus. Diese Anforderung gibt Informationen zu allen Fällen in Ihrem organization auf der Registerkarte Antwortvorschau zurück. - Scrollen Sie durch die Antwort, um den eDiscovery-Fall zu suchen. Verwenden Sie die displayName-Eigenschaft , um den Fall zu identifizieren.
- Kopieren Sie die entsprechende ID (oder kopieren Sie sie, und fügen Sie sie in eine Textdatei ein). Sie verwenden diese ID in der nächsten Aufgabe, um die Such-ID abzurufen.
Tipp
Anstatt das vorherige Verfahren zum Abrufen der Fall-ID zu verwenden, können Sie den Fall im Microsoft Purview-Portal öffnen und die Fall-ID aus der URL kopieren.
Abrufen der eDiscoverySearchID in Microsoft Graph Explorer
- Führen Sie in Graph Explorer die folgende GET-Anforderung aus, um die ID für die Suche abzurufen, die Sie in Schritt 2 erstellt haben, und enthält die Elemente, die Sie löschen möchten. Verwenden Sie den Wert
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searchesin der Adressleiste der Anforderungsabfrage, wobei {ediscoveryCaseID} die CaseID ist, die Sie im vorherigen Verfahren abgerufen haben. - Scrollen Sie durch die Antwort, um die Suche zu suchen, die die Elemente enthält, die Sie löschen möchten. Verwenden Sie die displayName-Eigenschaft , um die Suche zu identifizieren, die Sie in Schritt 3 erstellt haben. In der Antwort wird die Suchabfrage aus der Suche in der contentQuery-Eigenschaft angezeigt. Von dieser Abfrage zurückgegebene Elemente werden in der nächsten Aufgabe gelöscht.
- Kopieren Sie die entsprechende ID (oder kopieren Sie sie, und fügen Sie sie in eine Textdatei ein). Sie verwenden diese ID in der nächsten Aufgabe, um Copilot-Daten zu löschen.
Tipp
Anstatt das vorherige Verfahren zum Abrufen der Such-ID zu verwenden, können Sie den Fall im Microsoft Purview-Portal öffnen. Öffnen Sie den Fall, und navigieren Sie zur Registerkarte Aufträge. Wählen Sie die relevante Suche aus, und suchen Sie unter Supportinformationen die Auftrags-ID (die hier angezeigte Auftrags-ID entspricht der Such-ID).
Löschen von Copilot-Daten in Microsoft Graph Explorer
Führen Sie in Graph Explorer die folgende POST-Anforderung aus, um die von der Suche zurückgegebenen Elemente zu löschen, die Sie in Schritt 2 erstellt haben. Verwenden Sie den Wert
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeDatain der Adressleiste der Anforderungsabfrage, wobei {ediscoveryCaseID} und {ediscoverySearchID} die IDs sind, die Sie in den vorherigen Verfahren abgerufen haben.Wenn die POST-Anforderung erfolgreich ist, wird ein HTTP-Antwortcode in einem grünen Banner mit dem Hinweis angezeigt, dass die Anforderung akzeptiert wurde.
Weitere Informationen zu purgeData finden Sie unter sourceCollection: purgeData.
Löschen von Copilot-Daten mit PowerShell
Hinweis
Da Microsoft Graph Explorer in der US Government-Cloud (GCC, GCC High und DOD) nicht verfügbar ist, müssen Sie PowerShell verwenden, um diese Aufgaben auszuführen.
Sie können Copilot-Daten auch mithilfe von PowerShell löschen. Zum Löschen von Copilot-Daten in der US Government-Cloud können Sie beispielsweise einen Befehl wie folgt verwenden:
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
Weitere Informationen zur Verwendung von PowerShell zum Löschen von Copilot-Daten finden Sie unter ediscoverySearch: purgeData.
Schritt 6: Überprüfen, ob Copilot-Daten gelöscht wurden
Nachdem Sie die POST-Anforderung zum Löschen von Copilot-Daten ausgeführt haben, werden diese Daten aus dem Postfach des Benutzers entfernt. Es gibt keine sichtbare Benachrichtigung oder Bestätigung für den Benutzer, dass die Daten gelöscht wurden.
Gelöschte Copilot-Daten werden in den Ordner SubstrateHolds verschoben, bei dem es sich um einen ausgeblendeten Postfachordner handelt. Gelöschte Copilot-Daten werden dort mindestens 1 Tag gespeichert und dann bei der nächsten Ausführung des Zeitgeberauftrags endgültig gelöscht (in der Regel zwischen 1 und 7 Tagen).
Schritt 7: Erneutes Anwenden von Aufbewahrungs- und Aufbewahrungsrichtlinien auf Benutzerpostfächer
Nachdem Sie überprüft haben, ob die Copilot-Daten gelöscht wurden, können Sie die Aufbewahrungs- und Aufbewahrungsrichtlinien erneut auf Benutzerpostfächer anwenden, die Sie in Schritt 4 entfernt haben.