Durchführen einer eDiscovery-Untersuchung von Inhalt in Microsoft Teams

Große Unternehmen sind häufig hohen Strafprozessen ausgesetzt, die die Einreichung aller elektronisch gespeicherten Informationen (ESI) verlangen. Microsoft Teams-Inhalte können während eDiscovery-Untersuchungen durchsucht und verwendet werden.

Übersicht

Alle Microsoft Teams 1:1- oder Gruppenchats werden in den Postfächern der jeweiligen Benutzer erfasst. Alle Standardkanalnachrichten werden in das Gruppenpostfach aufgezeichnet, das das Team darstellt. Dateien, die in Standardkanälen hochgeladen werden, werden unter der eDiscovery-Funktionalität für SharePoint Online und OneDrive for Business behandelt.

eDiscovery von Nachrichten und Dateien in privaten Kanälen funktioniert anders als in Standardkanälen. Weitere Informationen finden Sie unter eDiscovery von privaten Kanälen.

Nicht alle Teams-Inhalte sind eDiscoverable. In der folgenden Tabelle sind die Inhaltstypen aufgeführt, nach denen Sie mithilfe von Microsoft eDiscovery-Tools suchen können:

Inhaltstyp Hinweise
Audioaufnahmen
Karteninhalt Weitere Informationen finden Sie unter Suchen nach Karteninhalten .
Chatlinks
Chatnachrichten Dies umfasst Inhalte in Standardmäßigen Teams-Kanälen, 1:1-Chats, 1:N-Gruppenchats und Chats mit Gastbenutzerteilnehmern.
Codeausschnitte
Bearbeitete Nachrichten Wenn sich der Benutzer im Haltefeld befindet, werden frühere Versionen von bearbeiteten Nachrichten ebenfalls beibehalten.
Emojis, GIFs und Aufkleber
Inlinebilder
Schleifenkomponenten Inhalte in einer Schleifenkomponente werden in einer FLUID-Datei gespeichert, die im OneDrive for Business Konto des Benutzers gespeichert ist, der die Schleifenkomponente sendet. Das bedeutet, dass Sie OneDrive als Datenquelle einschließen müssen, wenn Sie nach Inhalten in Schleifenkomponenten suchen.
Besprechungsnachrichtenunterhaltungen
Besprechungsmetadaten1
Name des Kanals
Zitate Inhalte in Anführungszeichen können durchsucht werden. Die Suchergebnisse geben jedoch nicht an, dass der Inhalt in Anführungszeichen gesetzt wurde.
Reaktionen (z. B. Likes, Herzen und andere Reaktionen) Reaktionen werden für alle kommerziellen Kunden nach dem 1. Juni 2022 unterstützt. Reaktionen vor diesem Datum sind für eDiscovery nicht verfügbar. Erweiterte Reaktionen werden jetzt unterstützt. Um den Reaktionsverlauf zu verstehen, muss der Inhalt gesetzlich vorgeschrieben sein.
Betreff
Tabellen
Teams-Videoclip (TVC) Suchen Sie TVC mit dem Schlüsselwort "Video-Clip" und "speichern unter" einer .mp4-Datei für jede TVC-Anlage, indem Sie mit der rechten Maustaste auf die Vorschau klicken (die Suche nach Schlüsselwort ist im Oktober 2022 verfügbar). TVC-Daten sind in eDiscovery-Prüfsätzen auffindbar.

1 Besprechungs- (und Anruf-) Metadaten umfassen Folgendes:

  • Start- und Endzeit und Dauer der Besprechung
  • Besprechungsbeitritts- und Austrittsereignisse für jeden Teilnehmer
  • VOIP-Joins/-Anrufe
  • Anonyme Joins
  • Verbundbenutzerbeitritte
  • Gastbenutzerbeitritte

Hier sehen Sie ein Beispiel für eine Chatunterhaltung zwischen Teilnehmern während einer Besprechung.

Unterhaltung zwischen Teilnehmern in Teams.

Hier sehen Sie ein Beispiel für die Konformitätskopie der gleichen Chatunterhaltung, die in einem eDiscovery-Tool angezeigt wird.

Unterhaltung zwischen Teilnehmern in eDiscovery-Suchergebnissen.

Hier sehen Sie ein Beispiel für die Besprechungsmetadaten.

Die Besprechungsmetadaten aus der Konformitätskopie.

Weitere Informationen zum Durchführen einer eDiscovery-Untersuchung finden Sie unter Erste Schritte mit eDiscovery (Standard).

Microsoft Teams-Daten werden als Chatnachrichten oder Unterhaltungen in der Excel eDiscovery-Exportausgabe angezeigt. Sie können die .pst Datei in Outlook öffnen, um diese Nachrichten anzuzeigen, nachdem Sie sie exportiert haben.

Beim Anzeigen der PST-Datei für das Team befinden sich alle Unterhaltungen im Ordner Teamchat unter Unterhaltungsverlauf. Der Titel der Nachricht enthält den Teamnamen und den Kanalnamen. Die folgende Abbildung zeigt z. B. eine Nachricht von Bob, der eine Nachricht an den Project 7-Standardkanal des Manufacturing Specs-Teams gesendet hat.

Screenshot eines Teamchatordners im Postfach eines Benutzers in Outlook.

Private Chats im Postfach eines Benutzers werden im Ordner Teamchat unter Unterhaltungsverlauf gespeichert.

eDiscovery von privaten und freigegebenen Kanälen

Konformitätskopien von Nachrichten in privaten und freigegebenen Kanälen werden je nach Kanaltyp an verschiedene Postfächer gesendet. Dies bedeutet, dass Sie verschiedene Postfachspeicherorte basierend auf dem Kanaltyp durchsuchen müssen, in dem ein Benutzer Mitglied ist.

  • Private Kanäle. Konformitätskopien werden an das Postfach aller Mitglieder der Mitglieder des privaten Kanals gesendet. Das bedeutet, dass Sie das Benutzerpostfach durchsuchen müssen, wenn Sie nach Inhalten in privaten Kanalnachrichten suchen.

  • Freigegebene Kanäle. Konformitätskopien werden an ein Systempostfach gesendet, das dem übergeordneten Team zugeordnet ist. Da Teams die eDiscovery-Suche eines einzelnen Systempostfachs für einen freigegebenen Kanal nicht unterstützt, müssen Sie das Postfach nach dem übergeordneten Team durchsuchen (indem Sie den Namen des Teampostfachs auswählen), wenn Sie in freigegebenen Kanälen nach Nachrichteninhalten suchen.

Jeder private und freigegebene Kanal verfügt über eine eigene SharePoint-Website, die von der übergeordneten Teamwebsite getrennt ist. Das bedeutet, dass Dateien in privaten und freigegebenen Kanälen auf einer eigenen Website gespeichert und unabhängig vom übergeordneten Team verwaltet werden. Dies bedeutet, dass Sie die spezifische Website identifizieren und durchsuchen müssen, die einem Kanal zugeordnet ist, wenn Sie nach Inhalten in Dateien und Kanalnachrichtenanlagen suchen.

Verwenden Sie die folgenden Abschnitte, um den privaten oder freigegebenen Kanal zu identifizieren, der in Ihre eDiscovery-Suche aufgenommen werden soll.

Identifizieren der Mitglieder eines privaten Kanals

Verwenden Sie das Verfahren in diesem Abschnitt, um Mitglieder eines privaten Kanals zu identifizieren, damit Sie eDiscovery-Tools verwenden können, um das Postfach des Mitglieds nach Inhalten in Privaten Kanalnachrichten zu durchsuchen.

Bevor Sie diese Schritte ausführen, stellen Sie sicher, dass sie die neueste Version des Teams PowerShell-Moduls installiert haben.

  1. Führen Sie den folgenden Befehl aus, um die Gruppen-ID des Teams abzurufen, das die freigegebenen Kanäle enthält, die Sie durchsuchen möchten.

    Get-Team -DisplayName <display name of the the parent team>
    

    Tipp

    Führen Sie das Cmdlet Get-Team ohne Parameter aus, um eine Liste aller Teams in Ihrer Organisation anzuzeigen. Die Liste enthält die Gruppen-ID und DisplayName für jedes Team.

  2. Führen Sie den folgenden Befehl aus, um eine Liste der privaten Kanäle im übergeordneten Team abzurufen. Verwenden Sie die Gruppen-ID für das Team, das Sie in Schritt 1 erhalten haben.

     Get-TeamChannel -GroupId <parent team GroupId> -MembershipType Private
    
  3. Führen Sie den folgenden Befehl aus, um eine Liste der Besitzer und Mitglieder des privaten Kanals für einen bestimmten privaten Kanal abzurufen.

     Get-TeamChannelUser -GroupId <parent team GroupId> -DisplayName "Partner Shared Channel"
    
  4. Schließen Sie die Postfächer von Besitzern und Mitgliedern eines privaten Kanals als Teil Ihrer eDiscovery-Suchabfrage in eDiscovery (Standard) oder beim Identifizieren und Sammeln von verwahrten Inhalten in eDiscovery (Premium) ein.

Identifizieren der SharePoint-Website für private und freigegebene Kanäle

Wie bereits erläutert, werden Dateien, die in privaten und freigegebenen Kanälen (und an Kanalnachrichten angefügte Dateien) freigegeben sind, in der Websitesammlung gespeichert, die dem Kanal zugeordnet ist. Verwenden Sie das Verfahren in diesem Abschnitt, um die URL für die Website zu identifizieren, die einem bestimmten privaten oder freigegebenen Kanal zugeordnet ist. Anschließend können Sie eDiscovery-Tools verwenden, um nach Inhalten auf der Website zu suchen.

Bevor Sie diese Schritte ausführen, installieren Sie die SharePoint Online-Verwaltungsshell, und stellen Sie eine Verbindung mit SharePoint Online her.

  1. Führen Sie optional den folgenden Befehl aus, um eine Liste aller SharePoint-Websitesammlungen abzurufen, die freigegebenen Kanälen im übergeordneten Team zugeordnet sind.

     Get-SPOSite
    

    Tipp

    Die Namenskonvention der URL für eine Website, die privaten und freigegebenen Kanälen zugeordnet ist, lautet [SharePoint domain]/sites/[Name of parent team]-[Name of private or shared channel]. Beispielsweise lautet https://contoso.sharepoint.com/sites/EngineeringTeam-PartnerCollaborationdie URL für den freigegebenen Kanal namens "Partner Collaboration", der sich im übergeordneten Team "Engineer Team" in der Contoso-Organisation befindet.

  2. Führen Sie die folgenden PowerShell-Befehle aus, um die URL für alle SharePoint-Websites anzuzeigen, die den privaten und freigegebenen Kanälen in Ihrer Organisation zugeordnet sind. Die Ausgabe des Skripts enthält auch die Gruppen-ID des übergeordneten Teams, die Sie zum Ausführen der Befehle in Schritt 3 benötigen.

    $sites = Get-SPOSite -Template "TEAMCHANNEL#1"
    foreach ($site in $sites) {$x= Get-SPOSite -Identity $site.url -Detail; $x.relatedgroupID; $x.url}
    

    Hinweis

    SharePoint-Websites für private Kanäle, die vor dem 28. Juni 2021 erstellt wurden, verwenden den Wert "TEAMCHANNEL#0" für die benutzerdefinierte Vorlagen-ID. Um private Kanäle anzuzeigen, die nach diesem Datum erstellt wurden, verwenden Sie den Wert "TEAMCHANNEL#1" , wenn Sie die vorherigen beiden Skripts ausführen. Freigegebene Kanäle verwenden nur den Wert von "TEAMCHANNEL#1".

  3. Führen Sie für jedes übergeordnete Team die folgenden PowerShell-Befehle aus, um die privaten und freigegebenen Kanalwebsites zu identifizieren, wobei $groupID die Gruppen-ID des übergeordneten Teams ist.

    $sites = Get-SPOSite -Template "TEAMCHANNEL#1"
    $groupID = "<group ID of parent team)"
    foreach ($site in $sites) {$x= Get-SpoSite -Identity $site.url -Detail; if ($x.RelatedGroupId -eq $groupID) {$x.RelatedGroupId;$x.url}}
    
  4. Fügen Sie die Website, die einem privaten oder freigegebenen Kanal zugeordnet ist, als Teil Ihrer eDiscovery-Suchabfrage in eDiscovery (Standard) oder beim Identifizieren und Sammeln von verwahrten Inhalten in eDiscovery (Premium) ein.

Suchen nach Inhalten für Gastbenutzer

Sie können eDiscovery-Tools verwenden, um nach Teams-Inhalten zu Gastbenutzern in Ihrer Organisation zu suchen. Teams-Chatinhalte, die einem Gastbenutzer zugeordnet sind, werden an einem cloudbasierten Speicherort aufbewahrt und können mithilfe von eDiscovery gesucht werden. Dies schließt die Suche nach Inhalten in 1:1- und 1:N-Chatunterhaltungen ein, an denen ein Gastbenutzer teilnehmer mit anderen Benutzern in Ihrer Organisation ist. Sie können auch nach privaten Kanalnachrichten suchen, in denen ein Gastbenutzer ein Teilnehmer ist, und nach Inhalten in Gast-: Gast-Chatunterhaltungen suchen, bei denen die einzigen Teilnehmer Gastbenutzer sind.

So suchen Sie nach Inhalten für Gastbenutzer:

  1. Stellen Sie eine Verbindung mit Azure AD PowerShell her. Anweisungen finden Sie im Abschnitt "Herstellen einer Verbindung mit Azure Active Directory PowerShell" unter Herstellen einer Verbindung mit Microsoft 365 mit PowerShell. Stellen Sie sicher, dass Sie Schritt 1 und Schritt 2 im vorherigen Artikel ausführen.

  2. Nachdem Sie erfolgreich eine Verbindung mit Azure AD PowerShell hergestellt haben, führen Sie den folgenden Befehl aus, um den Benutzerprinzipalnamen (User Principal Name, UPN) für alle Gastbenutzer in Ihrer Organisation anzuzeigen. Sie müssen den UPN des Gastbenutzers verwenden, wenn Sie die Suche in Schritt 4 erstellen.

    Get-AzureADUser -Filter "userType eq 'Guest'" -All $true | FL UserPrincipalName
    

    Tipp

    Anstatt eine Liste von Benutzerprinzipalnamen auf dem Computerbildschirm anzuzeigen, können Sie die Ausgabe des Befehls an eine Textdatei umleiten. Sie können dies tun, indem Sie an den vorherigen Befehl anfügen > filename.txt . Die Textdatei mit den Benutzerprinzipalnamen wird im aktuellen Ordner gespeichert.

  3. Stellen Sie in einem anderen Windows PowerShell Fenster eine Verbindung mit Security & Compliance Center PowerShell her. Anweisungen finden Sie unter Herstellen einer Verbindung mit Security & Compliance Center PowerShell. Sie können eine Verbindung mit oder ohne Verwendung der mehrstufigen Authentifizierung herstellen.

  4. Erstellen Sie eine Inhaltssuche, die nach allen Inhalten (z. B. Chatnachrichten und E-Mail-Nachrichten) sucht, an denen der angegebene Gastbenutzer teilnehmer war, indem Sie den folgenden Befehl ausführen.

    New-ComplianceSearch <search name> -ExchangeLocation <guest user UPN>  -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
    

    Um beispielsweise nach Inhalten zu suchen, die dem Gastbenutzer Sara Davis zugeordnet sind, führen Sie den folgenden Befehl aus.

    New-ComplianceSearch "Sara Davis Guest User" -ExchangeLocation "sara.davis_hotmail.com#EXT#@contoso.onmicrosoft.com" -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
    

    Weitere Informationen zur Verwendung von PowerShell zum Erstellen von Inhaltssuchen finden Sie unter New-ComplianceSearch.

  5. Führen Sie den folgenden Befehl aus, um die Inhaltssuche zu starten, die Sie in Schritt 4 erstellt haben:

    Start-ComplianceSearch <search name>
    
  6. Wechseln Sie zu https://compliance.microsoft.com , und wählen Sie dann Alle>Inhaltssuche anzeigen aus.

  7. Wählen Sie in der Liste der Suchvorgänge die Suche aus, die Sie in Schritt 4 erstellt haben, um die Flyoutseite anzuzeigen.

  8. Auf der Flyoutseite können Sie die folgenden Schritte ausführen:

    • Wählen Sie Ergebnisse anzeigen aus, um die Suchergebnisse anzuzeigen und eine Vorschau des Inhalts anzuzeigen.

    • Wählen Sie neben dem Feld Abfrage die Option Bearbeiten aus, um sie zu bearbeiten, und führen Sie die Suche dann erneut aus. Sie können beispielsweise eine Suchabfrage hinzufügen, um die Ergebnisse einzugrenzen.

    • Wählen Sie Ergebnisse exportieren aus, um die Suchergebnisse zu exportieren und herunterzuladen.

Suchen nach Karteninhalten

Karteninhalte, die von Apps in Teams-Kanälen, 1:1-Chats und 1xN-Chats generiert werden, werden in Postfächern gespeichert und können durchsucht werden. Eine Karte ist ein Benutzeroberflächencontainer für kurze Inhalte. Karten können über mehrere Eigenschaften und Anlagen verfügen und Schaltflächen enthalten, die Kartenaktionen auslösen können. Weitere Informationen finden Sie unter Karten.

Wie bei anderen Teams-Inhalten basiert die Speicherung von Karteninhalten darauf, wo die Karte verwendet wurde. Inhalte für Karten, die in einem Teams-Kanal verwendet werden, werden im Teams-Gruppenpostfach gespeichert. Karteninhalte für 1:1- und 1xN-Chats werden in den Postfächern der Chatteilnehmer gespeichert.

Um nach Karteninhalten zu suchen, können Sie die kind:microsoftteams Suchbedingungen oder itemclass:IPM.SkypeTeams.Message verwenden. Beim Überprüfen von Suchergebnissen weist Karteninhalte, die von Bots in einem Teams-Kanal generiert werden, die E-Mail-Eigenschaft Absender/Autor als <appname>@teams.microsoft.comauf, wobei appname der Name der App ist, die den Karteninhalt generiert hat. Wenn Karteninhalte von einem Benutzer generiert wurden, identifiziert der Wert Absender/Autor den Benutzer.

Beim Anzeigen von Karteninhalten in Inhaltssuchergebnissen wird der Inhalt als Anlage zur Nachricht angezeigt. Die Anlage heißt appname.html, wobei appname der Name der App ist, die den Karteninhalt generiert hat. Die folgenden Screenshots zeigen, wie Karteninhalte (für eine App mit dem Namen Asana) in Teams und in den Ergebnissen einer Suche angezeigt werden.

Karteninhalte in Teams

Karteninhalte in der Teams-Kanalnachricht.

Karteninhalt in Suchergebnissen

Derselbe Karteninhalt in den Ergebnissen einer Inhaltssuche.

Hinweis

Zum Anzeigen von Bildern aus Karteninhalten in Suchergebnissen (z. B. die Häkchen im vorherigen Screenshot) müssen Sie auf einer anderen Registerkarte in derselben Browsersitzung, die Sie zum Anzeigen der Suchergebnisse verwenden, auf einer anderen Registerkarte bei Teams (at https://teams.microsoft.com) angemeldet sein. Andernfalls werden Bildplatzhalter angezeigt.

eDiscovery in Verbund- und Nicht-Verbundumgebungen

Administratoren können eDiscovery verwenden, um nach Inhalten in Chatnachrichten in einer Teams-Besprechung in Verbundumgebungen (als externer Zugriff bezeichnet) und Nicht-Verbundumgebungen ( gastzugriff) zu suchen, basierend auf den folgenden Einschränkungen:

  • Verbund: In einer Teams-Besprechung mit Benutzern aus Ihrer Organisation und Benutzern aus einer externen Organisation (die externen Zugriff in Ihrer Organisation haben) können Administratoren in beiden Organisationen nach Inhalten in Chatnachrichten aus der Besprechung suchen.

  • Nicht im Verbund: In einer Teams-Besprechung mit Benutzern aus Ihrer Organisation und Gastbenutzern können nur Administratoren in der Organisation, die die Teams-Besprechung hostet, nach Inhalten in Chatnachrichten aus der Besprechung suchen.