Suchen von Inhalten in Microsoft Teams in eDiscovery (Vorschau)
Dieser Artikel enthält eine umfassende Reihe von Verfahren, Richtlinien und bewährten Methoden für die Verwendung von eDiscovery (Vorschauversion) zum Aufbewahren, Sammeln, Überprüfen und Exportieren von Inhalten aus Microsoft Teams. Das Ziel dieses Artikels ist es, Ihnen zu helfen, Ihre eDiscovery-Suche nach Teams-Inhalten zu optimieren.
Tipp
Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.
Eine Voraussetzung für die Verwaltung von Teams-Inhalten in eDiscovery ist das Verständnis der Art von Teams-Inhalten, die Sie in eDiscovery sammeln, verarbeiten und überprüfen können und wo diese Inhalte in Microsoft 365 gespeichert werden. Teams-Daten werden in Azure Cosmos DB gespeichert. Vom Substrat erfasste Teams-Compliancedatensätze befinden sich in Exchange Online und sind für eDiscovery verfügbar. Die in Exchange Online gespeicherten Daten sind für Clients ausgeblendet. eDiscovery arbeitet niemals mit den echten Teams-Nachrichtendaten zusammen, die in Azure Cosmos DB verbleiben.
In der folgenden Tabelle sind der Teams-Inhaltstyp und deren Speicherung für Compliancezwecke aufgeführt.
Teams-Kategorie | Beschreibung | Speicherort von Chatnachrichten/Beiträgen | Speicherort für Dateien/Anlagen | Ort der Besprechungsaufzeichnungen |
---|---|---|---|---|
Teams 1:1-Chats | Chatnachrichten, Beiträge und Anlagen, die in einer Teams-Unterhaltung zwischen zwei Personen geteilt wurden. Teams 1:1-Chats werden auch als Unterhaltungen bezeichnet. | Nachrichten in 1:1-Chats werden im Exchange Online Postfach aller Chatteilnehmer gespeichert. | In einem 1:1-Chat freigegebene Dateien werden im OneDrive-Konto der Person gespeichert, die die Datei freigegeben hat. | Nicht zutreffend |
Teams-Gruppenchats | Chatnachrichten, Beiträge und Anlagen, die in einer Teams-Unterhaltung zwischen drei oder mehr Personen geteilt wurden. Auch als 1:N-Chats oder Gruppenunterhaltungen bezeichnet. | Nachrichten in Gruppenchats werden im Exchange Online Postfach aller Chatteilnehmer gespeichert. | In Gruppenchats freigegebene Dateien werden im OneDrive-Konto der Person gespeichert, die die Datei freigegeben hat. | Nicht zutreffend |
Teams-Reaktionen | Reaktionen, die auf Chatnachrichten, Beiträge und Anlagen in einer Teams-Unterhaltung angewendet werden. | Nachrichten in Gruppenchats werden im Exchange Online Postfach aller Chatteilnehmer gespeichert. | In Gruppenchats freigegebene Dateien werden im OneDrive-Konto der Person gespeichert, die die Datei freigegeben hat. | Nicht zutreffend |
Teams-Kanäle | Chatnachrichten, Beiträge, Antworten und Anlagen, die in einem Standardmäßigen Teams-Kanal geteilt werden. | Alle Kanalnachrichten und Beiträge werden im Exchange Online Postfach gespeichert, das dem Team zugeordnet ist. | In einem Kanal freigegebene Dateien werden auf der SharePoint-Website gespeichert, die dem Team zugeordnet ist. | Nicht zutreffend |
Teams-Besprechungen | Audio und Transkripte aus aufgezeichneten Teams-Besprechungen. | Chats in aufgezeichneten Besprechungen werden im OneDrive-Konto für den Benutzer gespeichert, der die Teams-Besprechung aufzeichnet. | Dateien und Anlagen, die in aufgezeichneten Besprechungen freigegeben wurden, werden im OneDrive-Konto des Benutzers gespeichert, der die Teams-Besprechung aufzeichnet. | Besprechungsaufzeichnungen werden im OneDrive-Konto für den Benutzer gespeichert, der die Teams-Besprechung aufzeichnet. |
Private Kanäle | Nachrichtenbeiträge, Antworten und Anlagen, die in einem privaten Teams-Kanal freigegeben sind. | Nachrichten, die in einem privaten Kanal gesendet werden, werden in den Exchange Online Postfächern aller Mitglieder des privaten Kanals gespeichert. | In einem privaten Kanal freigegebene Dateien werden auf einer dedizierten SharePoint-Website gespeichert, die dem privaten Kanal zugeordnet ist. | Nicht zutreffend |
Freigegebene Kanäle | Nachrichtenbeiträge, Antworten und Anlagen, die in einem freigegebenen Teams-Kanal freigegeben wurden. | Nachrichten, die in einem freigegebenen Kanal gesendet werden, werden in einem Systempostfach gespeichert, das dem freigegebenen Kanal zugeordnet ist. 1 | In einem freigegebenen Kanal freigegebene Dateien werden auf einer dedizierten SharePoint-Website gespeichert, die dem freigegebenen Kanal zugeordnet ist. | Nicht zutreffend |
Hinweis
1 Zum Suchen (und Beibehalten) von Nachrichten, die in einem freigegebenen Kanal gesendet werden, müssen Sie das Exchange Online Postfach für das übergeordnete Team durchsuchen oder angeben.
Alle Microsoft Teams 1:1- oder Gruppenchats werden in den Postfächern der jeweiligen Benutzer erfasst. Alle Standardkanalnachrichten werden in das Gruppenpostfach aufgezeichnet, das das Team darstellt. Dateien, die in Standardkanälen hochgeladen werden, werden unter der eDiscovery-Funktionalität für SharePoint Online und OneDrive abgedeckt.
eDiscovery von Nachrichten und Dateien in privaten Kanälen funktioniert anders als in Standardkanälen. Weitere Informationen finden Sie unter eDiscovery von privaten Kanälen.
Aufgezeichnete Teams-Besprechungen werden im OneDrive-Konto des Benutzers gespeichert, der die Besprechung aufzeichnet. Darüber hinaus werden Informationen zur Teilnehmeridentifikation bei Verwendung der Funktion "Teilnehmernamen ausblenden " für Teams-Besprechungen im Benutzerpostfach des Besprechungsorganisators gespeichert.
Nicht alle Microsoft Teams-Inhalte können im Rahmen einer eDiscovery-Suche ermittelt werden. In der folgenden Tabelle sind die Teams-Inhaltstypen aufgeführt, nach denen Sie mithilfe von Microsoft eDiscovery-Tools suchen können:
Inhaltstyp | Hinweise |
---|---|
Audioaufnahmen | Audioanrufe zwischen Teams-Benutzern und externen Kontakten |
Karteninhalt | Weitere Informationen finden Sie unter Suchen nach Karte Inhalt. |
Chatlinks | |
Chat-Nachrichten | Dazu gehören Inhalte in Standardmäßigen Teams-Kanälen, 1:1-Chats, 1:N-Gruppenchats, Chats mit sich selbst und Chats mit Gästen. |
Codeausschnitte | |
Bearbeitete Nachrichten | Wenn sich der Benutzer im Haltefeld befindet, werden frühere Versionen von bearbeiteten Nachrichten ebenfalls beibehalten. |
Emojis, GIFs und Aufkleber | |
Inlinebilder | |
Loop Komponenten | Inhalte in einer Schleifenkomponente werden in einer FLUID-Datei gespeichert, die im OneDrive-Konto des Benutzers gespeichert ist, der die Schleifenkomponente sendet. Das bedeutet, dass Sie OneDrive als Datenquelle einschließen müssen, wenn Sie nach Inhalten in Schleifenkomponenten suchen. |
Besprechungsnachrichtenunterhaltungen | |
Besprechungsmetadaten1 | |
Besprechungsaufzeichnungen und Transkripte | Transkripte der Besprechungsaudios werden extrahiert und als separate Datei bereitgestellt. Die maximal unterstützte aufgezeichnete Besprechung .mp4 Dateigröße beträgt 350 MB. Wenn die Größe der aufgezeichneten Besprechungsdatei über 350 MB liegt, tritt ein Verarbeitungsfehler auf, und die Datei kann heruntergeladen werden. |
Der Name des Kanals | |
Zitate | Zitate können durchsucht werden. In den Suchergebnissen ist jedoch nicht angegeben, dass es sich bei den Inhalten um Zitate handelt. |
Reaktionen (z. B. Likes, Herzen und andere Reaktionen) | Reaktionen werden für alle kommerziellen Kunden nach dem 1. Juni 2022 unterstützt. Reaktionen vor diesem Datum sind für eDiscovery nicht verfügbar. Erweiterte Reaktionen werden jetzt unterstützt. Um den Reaktionsverlauf zu verstehen, muss der Inhalt gesetzlich vorgeschrieben sein. |
Betreff | |
Tabellen | |
Teams-Videoclip (TVC) | Durchsuchen Sie TVC mit "Video-Clip" Schlüsselwort (keyword) und "speichern unter" eine .mp4 Datei für jede TVC-Anlage, indem Sie mit der rechten Maustaste auf die Vorschau klicken. TVCs werden als Teams-Unterhaltungsanlagen (wenn kleiner als 200 MB) und separate .mp4-Dateien gesammelt. TVC-Dateidaten sind in eDiscovery-Prüfsätzen auffindbar und können exportiert werden. Die Vorschau von Videoclips wird derzeit nicht unterstützt. |
1 Besprechungs- (und Anruf-) Metadaten umfassen Folgendes:
- Start- und Endzeit sowie Dauer der Besprechung
- Ereignisse bezüglich der Teilnahme an und dem Verlassen einer Besprechung für jeden Teilnehmer
- VOIP-Joins/-Anrufe
- Verbundbenutzerbeitritte
- Gastbeitritte
Wichtig
Anonyme Benutzer, die an Besprechungen und Anrufen teilnehmen, werden in eDiscovery-Suchabfragen derzeit nicht unterstützt.
Microsoft Teams-Daten werden in der Excel eDiscovery-Exportausgabe als Chatnachrichten oder Unterhaltungen angezeigt. Sie können die .pst
Datei in Outlook öffnen, um diese Nachrichten anzuzeigen, nachdem Sie sie exportiert haben.
Beim Anzeigen der PST-Datei für das Team befinden sich alle Unterhaltungen im Ordner Teamchat unter Unterhaltungsverlauf. Der Titel der Nachricht enthält den Teamnamen und den Kanalnamen.
Private Chats im Postfach eines Benutzers werden im Ordner Teamchat unter Unterhaltungsverlauf gespeichert.
Konformitätskopien von Nachrichten in privaten und freigegebenen Kanälen werden je nach Kanaltyp an verschiedene Postfächer gesendet. Dies bedeutet, dass Sie verschiedene Postfachspeicherorte basierend auf dem Kanaltyp durchsuchen müssen, in dem ein Benutzer Mitglied ist.
- Private Kanäle: Konformitätskopien werden an das Postfach aller Mitglieder der Mitglieder des privaten Kanals gesendet. Das bedeutet, dass Sie das Benutzerpostfach durchsuchen müssen, wenn Sie nach Inhalten in privaten Kanalnachrichten suchen.
- Freigegebene Kanäle: Konformitätskopien werden an ein Systempostfach gesendet, das dem übergeordnetes Team zugeordnet ist. Da Teams die eDiscovery-Suche eines einzelnen Systempostfachs für einen freigegebenen Kanal nicht unterstützt, müssen Sie das Postfach nach dem übergeordnetes Team durchsuchen (indem Sie den Namen des Teampostfachs auswählen), wenn Sie in freigegebenen Kanälen nach Nachrichteninhalten suchen.
Jeder private und freigegebene Kanal verfügt über eine eigene SharePoint-Website, die von der übergeordnetes Team Website getrennt ist. Das bedeutet, dass Dateien in privaten und freigegebenen Kanälen auf einer eigenen Website gespeichert und unabhängig vom übergeordnetes Team verwaltet werden. Dies bedeutet, dass Sie die spezifische Website identifizieren und durchsuchen müssen, die einem Kanal zugeordnet ist, wenn Sie nach Inhalten in Dateien und Kanalnachrichtenanlagen suchen.
Verwenden Sie die folgenden Abschnitte, um den privaten oder freigegebenen Kanal zu identifizieren, der in Ihre eDiscovery-Suche aufgenommen werden soll.
Verwenden Sie das Verfahren in diesem Abschnitt, um Mitglieder eines privaten Kanals zu identifizieren, damit Sie eDiscovery-Tools verwenden können, um das Postfach des Mitglieds nach Inhalten in privaten Kanalnachrichten zu durchsuchen.
Bevor Sie diese Schritte ausführen, stellen Sie sicher, dass sie die neueste Version des Teams PowerShell-Moduls installiert haben.
Führen Sie den folgenden Befehl aus, um die Gruppen-ID des Teams abzurufen, das die freigegebenen Kanäle enthält, die Sie durchsuchen möchten.
Get-Team -DisplayName <display name of the the parent team>
Tipp
Führen Sie das Cmdlet Get-Team ohne Parameter aus, um eine Liste aller Teams in Ihrem organization anzuzeigen. Die Liste enthält die Gruppen-ID und DisplayName für jedes Team.
Führen Sie den folgenden Befehl aus, um eine Liste der privaten Kanäle im übergeordnetes Team abzurufen. Verwenden Sie die Gruppen-ID für das Team, das Sie in Schritt 1 erhalten haben.
Get-TeamChannel -GroupId <parent team GroupId> -MembershipType Private
Führen Sie den folgenden Befehl aus, um eine Liste der Besitzer und Mitglieder privater Kanäle für einen bestimmten privaten Kanal abzurufen.
Get-TeamChannelUser -GroupId <parent team GroupId> -DisplayName "Partner Shared Channel"
Schließen Sie die Postfächer von Besitzern und Mitgliedern eines privaten Kanals als Teil Ihrer eDiscovery-Suchabfrage ein.
Sie können eDiscovery-Tools verwenden, um in Ihrem organization nach Teams-Inhalten im Zusammenhang mit Gästen zu suchen. Teams-Chatinhalte, die einem Gast zugeordnet sind, werden an einem cloudbasierten Speicherort aufbewahrt und können mithilfe von eDiscovery gesucht werden. Dies umfasst die Suche nach Inhalten in 1:1- und 1:N-Chatunterhaltungen, an denen ein Gast mit anderen Benutzern in Ihrem organization. Sie können auch nach privaten Kanalnachrichten suchen, in denen ein Gast ein Teilnehmer ist, und nach Inhalten in Gast-: Gast-Chatunterhaltungen suchen, bei denen die einzigen Teilnehmer Gäste sind.
So suchen Sie nach Inhalten für Gäste:
Stellen Sie eine Verbindung mit Microsoft Graph PowerShell her. Weitere Informationen finden Sie in der Übersicht über Microsoft Graph PowerShell. Stellen Sie sicher, dass Sie Schritt 1 und Schritt 2 im vorherigen Artikel ausführen.
Nachdem Sie erfolgreich eine Verbindung mit Microsoft Graph PowerShell hergestellt haben, führen Sie den folgenden Befehl aus, um den Benutzerprinzipalnamen (User Principal Name, UPN) für alle Gäste in Ihrem organization anzuzeigen. Sie müssen den UPN des Gasts verwenden, wenn Sie die Suche in Schritt 4 erstellen.
Get-MgUser -Filter "userType eq 'Guest'" -All $true | FL UserPrincipalName
Tipp
Anstatt eine Liste von Benutzerprinzipalnamen auf dem Computerbildschirm anzuzeigen, können Sie die Ausgabe des Befehls an eine Textdatei umleiten. Sie können dies tun, indem Sie an den vorherigen Befehl anfügen
> filename.txt
. Die Textdatei mit den Benutzerprinzipalnamen wird im aktuellen Ordner gespeichert.Stellen Sie in einem anderen Windows PowerShell Fenster eine Verbindung mit Security & Compliance PowerShell her. Anweisungen finden Sie unter Herstellen einer Verbindung mit Security & Compliance PowerShell. Sie können eine Verbindung mit oder ohne Mehr-Faktor-Authentifizierung herstellen.
Erstellen Sie eine Suchabfrage, die nach allen Inhalten (z. B. Chatnachrichten und E-Mail-Nachrichten) sucht, an denen der angegebene Gast beteiligt war, indem Sie den folgenden Befehl ausführen.
New-ComplianceSearch <search name> -ExchangeLocation <guest UPN> -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
Um beispielsweise nach Inhalten zu suchen, die dem Gast Sara Davis zugeordnet sind, führen Sie den folgenden Befehl aus.
New-ComplianceSearch "Sara Davis Guest" -ExchangeLocation "sara.davis_hotmail.com#EXT#@contoso.onmicrosoft.com" -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
Weitere Informationen zur Verwendung von PowerShell zum Erstellen von Suchvorgängen finden Sie unter New-ComplianceSearch.
Führen Sie den folgenden Befehl aus, um die Suche zu starten, die Sie in Schritt 4 erstellt haben:
Start-ComplianceSearch <search name>
Wechseln Sie zum Microsoft Purview-Portal , und melden Sie sich mit den Anmeldeinformationen für ein Benutzerkonto an, dem eDiscovery-Berechtigungen zugewiesen sind.
Wählen Sie die eDiscovery-Lösung Karte und dann im linken Navigationsbereich Fälle (Vorschau) aus.
Wählen Sie einen Fall aus.
Wählen Sie in der Liste der Suchvorgänge auf der Registerkarte Suchen die Suche aus, die Sie in Schritt 4 erstellt haben, um die Flyoutseite anzuzeigen.
Auf der Flyoutseite können Sie die folgenden Schritte ausführen:
- Wählen Sie Beispiel aus, um die Suchergebnisse anzuzeigen und eine Vorschau des Inhalts anzuzeigen.
- Wählen Sie neben dem Feld Abfrage die Option Bearbeiten aus, um sie zu bearbeiten, und führen Sie die Suche dann erneut aus. Sie können beispielsweise eine Suchabfrage hinzufügen, um die Ergebnisse einzugrenzen.
- Wählen Sie Exportieren aus, um die Suchergebnisse zu exportieren und herunterzuladen.
Karteninhalte, die von Apps in Teams-Kanälen, 1:1-Chats und 1xN-Chats generiert werden, werden in Postfächern gespeichert und können durchsucht werden. Eine Karte ist ein UI-Container für kurze Inhaltsteile. Karten können über mehrere Eigenschaften und Anlagen verfügen und Elemente enthalten, die Karte Aktionen auslösen. Weitere Informationen finden Sie unter:Karten
Wie bei anderen Teams-Inhalten hängt der Speicherort der Karteninhalte davon ab, wo die Karte verwendet wurde. Inhalte für Karten, die in einem Teams-Kanal verwendet werden, werden im Postfach der Teams-Gruppe gespeichert. Karteninhalte für 1:1- und 1xN-Chats werden in den Postfächern der Chat-Teilnehmer gespeichert.
Um nach Karteninhalten zu suchen, können Sie die Suchbedingungen kind:microsoftteams
oder itemclass:IPM.SkypeTeams.Message
verwenden. Beim Überprüfen von Suchergebnissen weist Karte Von Bots in einem Teams-Kanal generierten Inhalt die E-Mail-Eigenschaft Absender/Autor als <appname>@teams.microsoft.com
auf, wobei appname
der Name der App ist, die den Karte Inhalt generiert hat. Wenn der Karteninhalt von einem Benutzer erzeugt wurde, identifiziert der Wert Sender/Autor den Benutzer.
Beim Anzeigen Karte Inhaltes in Suchergebnissen wird der Inhalt als Anlage zur Nachricht angezeigt. Der Anhang trägt den Namen appname.html
, wobei appname
der Name der App ist, die den Karteninhalt erzeugt hat.
Hinweis
Um Bilder aus Karte Inhalten in Suchergebnissen anzuzeigen (z. B. die Häkchen im vorherigen Screenshot), müssen Sie in derselben Browsersitzung, die Sie zum Anzeigen der Suchergebnisse verwenden, auf einer anderen Registerkarte bei Teams (at https://teams.microsoft.com) angemeldet sein. Andernfalls werden Bildplatzhalter angezeigt.
Administratoren können basierend auf dem Start- oder Enddatum der Besprechung nach Teams-Besprechungsinhalten suchen. Zum Filtern von Überprüfungssatzelementen nach bestimmten Teams-Besprechungsterminen können Sie die Eigenschaften Besprechungsanfangsdatum und Besprechungsenddatum in den Suchtools eDiscovery (Vorschau) verwenden.
Das Feature "Teilnehmernamen ausblenden " in Microsoft Teams blendet den Namen der Teilnehmer vor anderen Teilnehmern aus, sodass nur Organisatoren die Namen der Teilnehmer sehen können. Dieses Feature kann für Besprechungen oder Ereignisse mit externen Unternehmen, Lieferanten, vertraulichen Besprechungen oder anderen Besprechungen verwendet werden, bei denen der persönliche Datenschutz zwischen Teilnehmern wichtig ist. Wenn dieses Feature aktiviert ist, werden die Namen der Teilnehmer in der Besprechungsliste, im Besprechungschat und in besprechungsaufzeichnungen ausgeblendet.
Um nach den Namen von Teilnehmern in Teams-Besprechungen zu suchen, in denen das Feature "Teilnehmernamen ausblenden " aktiviert war, müssen Sie das Postfach des Organisators in den Bereich für die Suche einschließen. Ausgeblendete Teilnehmernamen sind nur im Postfach des Organisators verfügbar.
Administratoren können eDiscovery verwenden, um nach Inhalten in Chatnachrichten in einer Teams-Besprechung in Umgebungen mit externem Zugriff und Gastzugriff zu suchen, basierend auf den folgenden Einschränkungen:
- Externer Zugriff: In einer Teams-Besprechung mit Benutzern aus Ihrem organization und Benutzern aus einer externen organization, in der externe Teilnehmer externen Zugriff verwenden, können Administratoren in beiden Organisationen nach Inhalten in Chatnachrichten aus der Besprechung suchen.
- Gast: In einer Teams-Besprechung mit Benutzern aus Ihrem organization und Gästen können nur Administratoren im organization, die die Teams-Besprechung hosten, nach Inhalten in Chatnachrichten aus der Besprechung suchen.