Rechercher et supprimer des données Copilot dans eDiscovery (préversion)
Vous pouvez utiliser eDiscovery (préversion) et l’Explorer Microsoft Graph pour rechercher et supprimer des invites utilisateur et des réponses Microsoft 365 Copilot et Microsoft Copilot dans les applications et services pris en charge. Cette fonctionnalité peut vous aider à trouver et à supprimer des informations sensibles ou du contenu inapproprié inclus dans les activités Copilot. Ce workflow de recherche et de suppression peut également vous aider à répondre à un incident de déversement de données, lorsque du contenu contenant des informations confidentielles ou malveillantes est publié via une activité liée à Copilot.
Conseil
Bien démarrer avec Microsoft Copilot pour la sécurité afin d’explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Copilot pour la sécurité dans Microsoft Purview.
Avant de rechercher et de supprimer des données Copilot
- Créez un cas eDiscovery (préversion) et recherchez les données d’activité Copilot. Vous devez être membre du groupe de rôles Gestionnaire eDiscovery . Pour supprimer des données Copilot, vous devez disposer du rôle Rechercher et vider . Ce rôle est attribué aux groupes de rôles Enquêteur de données et Gestion de l’organisation par défaut. Pour plus d'informations, voir Attribution d'autorisations eDiscovery.
- Un maximum de 10 éléments par boîte aux lettres peuvent être supprimés à la fois. Étant donné que la possibilité de rechercher et de supprimer des données Copilot est destinée à être un outil de réponse aux incidents, cette limite permet de garantir que ces données sont rapidement supprimées.
Étape 1 : Créer un cas dans eDiscovery (préversion)
La première étape consiste à créer un cas dans eDiscovery (préversion) pour gérer le processus de recherche et de suppression.
Étape 2 : Créer une recherche dans eDiscovery (préversion)
Après avoir créé un cas, l’étape suivante consiste à rechercher les données Copilot que vous souhaitez supprimer. Le processus de suppression que vous effectuez à l’étape 5 supprime tous les éléments liés à Copilot qui se trouvent dans la recherche (dans la limite de 10 éléments par emplacement).
Sources de données pour les données Copilot
Le tableau suivant répertorie les applications et services qui sont des sources de données Copilot. Toutes les invites utilisateur à Copilot et les réponses de Copilot sont stockées dans la boîte aux lettres d’un utilisateur.
Pour ce type de données Microsoft Copilot... | Rechercher dans cette classe d’élément... |
---|---|
Excel | IPM. SkypeTeams.Message.Copilot.Excel |
Loop | IPM. SkypeTeams.Message.Copilot. Loop |
Application Microsoft 365 | IPM. SkypeTeams.Message.Copilot.M365App |
Microsoft Copilot pour Bing (Bizchat) | IPM. SkypeTeams.Message.Copilot. BizChat |
Microsoft Forms | IPM. SkypeTeams.Message.Copilot. Forms |
OneNote | IPM. SkypeTeams.Message.Copilot.OneNote |
Outlook | IPM. SkypeTeams.Message.Copilot.Outlook |
PowerPoint | IPM. SkypeTeams.Message.Copilot.Powerpoint |
Canal Teams | IPM. SkypeTeams.Message.Copilot.Teams |
Conversation Teams | IPM. SkypeTeams.Message.Copilot.Teams |
Teams Copilot Chat (Bizchat) | IPM. SkypeTeams.Message.Copilot. BizChat |
Réunions Teams | IPM. SkypeTeams.Message.Copilot.Teams |
Teams Microsoft 365 Chat (BF) | IPM. SkypeTeams.Message |
WebChat | IPM. SkypeTeams.Message.Copilot.WebChat |
Whiteboard | IPM. SkypeTeams.Message.Copilot. Whiteboard |
Word | IPM. SkypeTeams.Message.Copilot. Word |
Remarque
À l’étape 4, vous devez également identifier et supprimer les stratégies de conservation et de rétention affectées à la boîte aux lettres qui contiennent le type de données Copilot que vous souhaitez supprimer.
Conseils pour la recherche de données Copilot
Pour garantir la collection de données Copilot la plus complète, utilisez la condition Type et sélectionnez l’option Activité Copilot lorsque vous créez la requête de recherche. Nous vous recommandons également d’inclure une plage de dates ou plusieurs mots clés pour limiter l’étendue de la recherche aux éléments pertinents pour votre recherche et votre investigation de suppression.
Étape 3 : Examiner et vérifier les données Copilot à supprimer dans eDiscovery (préversion)
Le processus de suppression de l’étape 5 supprime les éléments retournés par la recherche. Il est important de passer en revue les résultats de la recherche pour vous assurer que la recherche retourne uniquement les éléments que vous souhaitez supprimer.
En outre, vous pouvez utiliser les statistiques de recherche (en particulier les statistiques top locations) pour générer une liste des sources de données qui contiennent les éléments retournés par la recherche. Utilisez cette liste à l’étape suivante pour supprimer les stratégies de conservation et de rétention des boîtes aux lettres utilisateur qui contiennent des résultats de recherche.
Étape 4 : Supprimer les stratégies de conservation et de rétention des sources de données
Avant de pouvoir supprimer des données Copilot d’une boîte aux lettres, vous devez supprimer toute stratégie de conservation ou de rétention affectée à une boîte aux lettres cible. Si ce n’est pas le cas, les données que vous essayez de supprimer sont conservées.
Utilisez la liste des boîtes aux lettres qui contiennent les données Copilot que vous souhaitez supprimer et déterminez si une stratégie de conservation ou de rétention est affectée à ces boîtes aux lettres, puis supprimez la stratégie de conservation ou de rétention. Veillez à identifier la stratégie de conservation ou de rétention que vous supprimez afin de pouvoir réaffecter aux boîtes aux lettres à l’étape 7.
Étape 5 : Supprimer les données Copilot dans Microsoft Graph Explorer
Remarque
Étant donné que Microsoft Graph Explorer n’est pas disponible dans certains clouds du gouvernement des États-Unis (GCC High et DOD), vous devez utiliser PowerShell pour accomplir ces tâches. Pour plus d’informations, consultez Supprimer des données Copilot avec PowerShell .
Vous êtes maintenant prêt à supprimer les données Copilot des boîtes aux lettres utilisateur. Utilisez le Explorer Microsoft Graph pour effectuer les trois tâches suivantes :
- Obtenez l’ID du cas eDiscovery que vous avez créé à l’étape 1. C’est le cas qui contient la recherche créée à l’étape 2.
- Obtenez l’ID de la recherche que vous avez créée à l’étape 2 et vérifié les résultats de la recherche à l’étape 3. La requête dans cette recherche retourne les données Copilot à supprimer.
- Supprimez les données Copilot retournées par la recherche.
Pour plus d’informations sur l’utilisation de Graph Explorer, consultez Utiliser graph Explorer pour essayer les API Microsoft Graph.
Importante
Pour effectuer ces trois tâches dans Graph Explorer, vous devrez peut-être accepter les autorisations eDiscovery.Read.All et eDiscovery.ReadWrite.All. Pour plus d’informations, consultez la section « Consentement aux autorisations » dans Utilisation de Graph Explorer.
Obtenir l’ID de cas dans Microsoft Graph Explorer
- Accédez à https://developer.microsoft.com/graph/graph-explorer et connectez-vous à l’Explorer Graph avec un compte auquel le rôle Rechercher et vider est attribué dans le portail Microsoft Purview.
- Exécutez la requête GET suivante pour récupérer l’ID du cas eDiscovery. Utilisez la valeur
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases
dans la barre d’adresse de la requête de requête. Veillez à sélectionner v1.0 dans la liste déroulante version de l’API. Cette requête retourne des informations sur tous les cas dans votre organization sous l’onglet Aperçu de la réponse. - Faites défiler la réponse pour localiser le cas eDiscovery. Utilisez la propriété displayName pour identifier le cas.
- Copiez l’ID correspondant (ou copiez-le et collez-le dans un fichier texte). Vous utiliserez cet ID dans la tâche suivante pour obtenir l’ID de recherche.
Conseil
Au lieu d’utiliser la procédure précédente pour obtenir l’ID de cas, vous pouvez ouvrir le cas dans le portail Microsoft Purview et copier l’ID de cas à partir de l’URL.
Obtenir l’eDiscoverySearchID dans Microsoft Graph Explorer
- Dans Graph Explorer, exécutez la requête GET suivante pour récupérer l’ID de la recherche que vous avez créée à l’étape 2 et contient les éléments à supprimer. Utilisez la valeur
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches
dans la barre d’adresse de la requête de requête, où {ediscoveryCaseID} est le CaseID que vous avez obtenu dans la procédure précédente. - Faites défiler la réponse pour localiser la recherche qui contient les éléments à supprimer. Utilisez la propriété displayName pour identifier la recherche que vous avez créée à l’étape 3. Dans la réponse, la requête de recherche de la recherche s’affiche dans la propriété contentQuery . Les éléments retournés par cette requête sont supprimés dans la tâche suivante
- Copiez l’ID correspondant (ou copiez-le et collez-le dans un fichier texte). Vous utiliserez cet ID dans la tâche suivante pour supprimer les données Copilot.
Conseil
Au lieu d’utiliser la procédure précédente pour obtenir l’ID de recherche, vous pouvez ouvrir le cas dans le portail Microsoft Purview. Ouvrez le cas et accédez à l’onglet Travaux. Sélectionnez la recherche appropriée et, sous Informations de support, recherchez l’ID du travail (l’ID de travail affiché ici est identique à l’ID de recherche).
Supprimer des données Copilot dans Microsoft Graph Explorer
Dans Graph Explorer, exécutez la requête POST suivante pour supprimer les éléments retournés par la recherche que vous avez créée à l’étape 2. Utilisez la valeur
https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{ediscoveryCaseID}/searches/{ediscoverySearchID}/purgeData
dans la barre d’adresse de la requête de requête, où {ediscoveryCaseID} et {ediscoverySearchID} sont les ID que vous avez obtenus dans les procédures précédentes.Si la requête POST réussit, un code de réponse HTTP s’affiche dans une bannière verte indiquant que la demande a été acceptée.
Pour plus d’informations sur purgeData, consultez sourceCollection : purgeData.
Supprimer des données Copilot avec PowerShell
Remarque
Étant donné que Microsoft Graph Explorer n’est pas disponible dans le cloud du gouvernement des États-Unis (GCC, GCC High et DOD), vous devez utiliser PowerShell pour accomplir ces tâches.
Vous pouvez également supprimer des données Copilot à l’aide de PowerShell. Par exemple, pour supprimer des données Copilot dans le cloud us Government, vous pouvez utiliser une commande similaire à :
Connect-MgGraph -Scopes "ediscovery.ReadWrite.All" -Environment USGov
Invoke-MgGraphRequest -Method POST -Uri '/v1.0/security/cases/ediscoveryCases/<ediscoverySearchID>/searches/<search ID>/purgeData'
Pour plus d’informations sur l’utilisation de PowerShell pour supprimer des données Copilot, consultez ediscoverySearch : purgeData.
Étape 6 : Vérifier que les données Copilot sont supprimées
Une fois que vous avez exécuté la demande POST pour supprimer des données Copilot, ces données sont supprimées de la boîte aux lettres de l’utilisateur. Il n’y a pas de notification ou de confirmation visible pour l’utilisateur que les données ont été supprimées.
Les données Copilot supprimées sont déplacées vers le dossier SubstrateHolds , qui est un dossier de boîte aux lettres masqué. Les données Copilot supprimées y sont stockées pendant au moins 1 jour, puis supprimées définitivement la prochaine fois que le travail du minuteur s’exécute (généralement entre 1 et 7 jours).
Étape 7 : Réappliquer les stratégies de conservation et de rétention aux boîtes aux lettres utilisateur
Après avoir vérifié que les données Copilot sont supprimées, vous pouvez réappliquer les stratégies de conservation et de rétention aux boîtes aux lettres utilisateur que vous avez supprimées à l’étape 4.