Búsqueda de contenido en Microsoft Teams en eDiscovery (versión preliminar)
En este artículo se proporciona un conjunto completo de procedimientos, directrices y procedimientos recomendados para usar eDiscovery (versión preliminar) con el fin de conservar, recopilar, revisar y exportar contenido de Microsoft Teams. El objetivo de este artículo es ayudarle a optimizar la búsqueda de eDiscovery de contenido de Teams.
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
Un requisito previo para administrar el contenido de Teams en eDiscovery es comprender el tipo de contenido de Teams que puede recopilar, procesar y revisar en eDiscovery y dónde se almacena ese contenido en Microsoft 365. Los datos de Teams se almacenan en Azure Cosmos DB. Los registros de cumplimiento de Teams capturados por el sustrato están en Exchange Online y están disponibles para eDiscovery. Los datos almacenados en Exchange Online están ocultos para los clientes. eDiscovery nunca funciona con los datos de mensajes reales de Teams, que permanecen en Azure Cosmos DB.
En la tabla siguiente se muestra el tipo de contenido de Teams y dónde se almacena cada uno con fines de cumplimiento.
Categoría de Teams | Descripción | Ubicación de mensajes o publicaciones de chat | Ubicación de archivos o datos adjuntos | Ubicación de las grabaciones de reuniones |
---|---|---|---|---|
Chats de Teams 1:1 | Mensajes de chat, publicaciones y datos adjuntos compartidos en una conversación de Teams entre dos personas. Los chats de Teams 1:1 también se denominan conversaciones. | Los mensajes de los chats 1:1 se almacenan en el buzón Exchange Online de todos los participantes del chat. | Los archivos compartidos en un chat 1:1 se almacenan en la cuenta de OneDrive de la persona que ha compartido el archivo. | N/D |
Chats de grupo de Teams | Mensajes de chat, publicaciones y datos adjuntos compartidos en una conversación de Teams entre tres o más personas. También se denomina chats 1:N o conversaciones grupales. | Los mensajes de los chats de grupo se almacenan en el buzón de Exchange Online de todos los participantes del chat. | Los archivos compartidos en los chats de grupo se almacenan en la cuenta de OneDrive de la persona que ha compartido el archivo. | N/D |
Reacciones de Teams | Reacciones aplicadas a mensajes de chat, publicaciones y datos adjuntos en una conversación de Teams. | Los mensajes de los chats de grupo se almacenan en el buzón de Exchange Online de todos los participantes del chat. | Los archivos compartidos en los chats de grupo se almacenan en la cuenta de OneDrive de la persona que ha compartido el archivo. | N/D |
Canales de Teams | Mensajes de chat, publicaciones, respuestas y datos adjuntos compartidos en un canal estándar de Teams. | Todos los mensajes y publicaciones del canal se almacenan en el buzón de Exchange Online asociado al equipo. | Los archivos compartidos en un canal se almacenan en el sitio de SharePoint asociado al equipo. | N/D |
Reuniones de Teams | Audio y transcripciones de las reuniones grabadas de Teams. | Los chats en reuniones grabadas se almacenan en la cuenta de OneDrive para el usuario que registra la reunión de Teams. | Los archivos y datos adjuntos compartidos en reuniones grabadas se almacenan en la cuenta de OneDrive para el usuario que registra la reunión de Teams. | Las grabaciones de reuniones se almacenan en la cuenta de OneDrive para el usuario que registra la reunión de Teams. |
Canales privados | Mensajes, respuestas y datos adjuntos compartidos en un canal privado de Teams. | Los mensajes enviados en un canal privado se almacenan en los buzones de Exchange Online de todos los miembros del canal privado. | Los archivos compartidos en un canal privado se almacenan en un sitio de SharePoint dedicado asociado al canal privado. | N/D |
Canales compartidos | Mensajes, respuestas y datos adjuntos compartidos en un canal compartido de Teams. | Los mensajes enviados en un canal compartido se almacenan en un buzón del sistema asociado al canal compartido. 1 | Los archivos compartidos en un canal compartido se almacenan en un sitio de SharePoint dedicado asociado al canal compartido. | N/D |
Nota
1 Para buscar (y conservar) los mensajes enviados en un canal compartido, tiene que buscar o especificar el buzón de Exchange Online para el equipo primario.
Todos los chats de grupo o Microsoft Teams 1:1 se registran en diario en los buzones de los usuarios respectivos. Todos los mensajes de canal estándar se registran en diario en el buzón de grupo que representa al equipo. Los archivos cargados en canales estándar se tratan en la funcionalidad eDiscovery para SharePoint Online y OneDrive.
eDiscovery de mensajes y archivos en canales privados funciona de forma diferente que en canales estándar. Para obtener más información, consulte eDiscovery of private channels (Exhibición de documentos electrónicos de canales privados).
Las reuniones grabadas de Teams se almacenan en la cuenta de OneDrive del usuario que registra la reunión. Además, la información de identificación de los asistentes cuando se usa la funcionalidad Ocultar nombres de asistentes para reuniones de Teams se almacena en el buzón de usuario del organizador de la reunión.
No se puede aplicar eDiscovery a todo el contenido de Teams. En la tabla siguiente se muestran los tipos de contenido de Teams que puede buscar mediante las herramientas de Exhibición de documentos electrónicos de Microsoft:
Tipo de contenido | Notas |
---|---|
Grabaciones de audio | Llamadas de audio entre usuarios de Teams y contactos externos |
Contenido de la tarjeta | Consulte Búsqueda de contenido de tarjeta para obtener más información. |
Vínculos de chat | |
Mensajes de chat | Esto incluye contenido en canales estándar de Teams, chats 1:1, chats de grupo 1:N, chats con usted mismo y chats con invitados. |
Fragmentos de código | |
Mensajes editados | Si el usuario está en espera, también se conservan las versiones anteriores de los mensajes editados. |
Emojis, GIF y pegatinas | |
Imágenes en línea | |
componentes de Loop | El contenido de un componente de bucle se guarda en un archivo .fluid que se almacena en la cuenta de OneDrive del usuario que envía el componente de bucle. Esto significa que tiene que incluir OneDrive como origen de datos al buscar contenido en componentes de bucle. |
Conversaciones de mensajería instantánea de reunión | |
Metadatosde reunión 1 | |
Grabaciones y transcripciones de reuniones | Las transcripciones del audio de la reunión se extraen y se proporcionan como un archivo independiente. El tamaño máximo de archivo de .mp4 reunión admitida es de 350 MB. Si el tamaño del archivo de reunión registrado es superior a 350 MB, se produce un error de procesamiento y el archivo está disponible para su descarga. |
Nombre del canal | |
Ofertas | El contenido ofertado se puede buscar. Sin embargo, los resultados de búsqueda no indican que el contenido se oferte. |
Reacciones (como me gusta, corazones y otras reacciones) | Las reacciones son compatibles con todos los clientes comerciales después del 1 de junio de 2022. Las reacciones anteriores a esta fecha no están disponibles para eDiscovery. Ahora se admiten las reacciones expandidas. Para comprender el historial de reacciones, el contenido debe estar en suspensión legal. |
Asunto | |
Tables | |
Clip de vídeo de Teams (TVC) | Busque TVC con la palabra clave "Video-Clip" y "guardar como" un archivo .mp4 para cada archivo adjunto de TVC haciendo clic con el botón derecho en la vista previa. Los TVC se recopilan como datos adjuntos de conversación de Teams (si son menores que 200 MB) y archivos .mp4 independientes. Los datos del archivo TVC se pueden detectar en conjuntos de revisión de exhibición de documentos electrónicos y se pueden exportar. Actualmente no se admite la vista previa de clips de vídeo. |
1 Los metadatos de reunión (y llamada) incluyen lo siguiente:
- Hora de inicio y finalización de la reunión, y duración
- Unirse a la reunión y dejar eventos para cada participante
- Combinaciones o llamadas VOIP
- Combinaciones de usuarios federados
- Combinaciones de invitados
Importante
Los usuarios anónimos que se unen a reuniones y llamadas no se admiten actualmente en las consultas de búsqueda de exhibición de documentos electrónicos.
Los datos de Microsoft Teams aparecen como mensajería instantánea o conversaciones en la salida de exportación de exhibición de documentos electrónicos de Excel. Puede abrir el .pst
archivo en Outlook para ver esos mensajes después de exportarlos.
Al ver el archivo .pst del equipo, todas las conversaciones se encuentran en la carpeta Chat en equipo en Historial de conversaciones. El título del mensaje contiene el nombre del equipo y el nombre del canal.
Los chats privados en el buzón de un usuario se almacenan en la carpeta Chat en equipo en Historial de conversaciones.
Las copias de cumplimiento de mensajes en canales privados y compartidos se envían a diferentes buzones en función del tipo de canal. Esto significa que tiene que buscar en diferentes ubicaciones de buzón en función del tipo de canal del que un usuario es miembro.
- Canales privados: las copias de cumplimiento se envían al buzón de todos los miembros de los miembros del canal privado. Esto significa que tiene que buscar en el buzón de usuario al buscar contenido en mensajes de canal privado.
- Canales compartidos: las copias de cumplimiento se envían a un buzón del sistema asociado al equipo primario. Dado que Teams no admite una búsqueda de exhibición de documentos electrónicos de un único buzón de sistema para un canal compartido, debe buscar en el buzón el equipo primario (seleccionando el nombre del buzón de equipo) al buscar contenido de mensaje en canales compartidos.
Cada canal privado y compartido tiene su propio sitio de SharePoint que es independiente del sitio del equipo primario. Esto significa que los archivos en canales privados y compartidos se almacenan en su propio sitio y se administran independientemente del equipo primario. Esto significa que debe identificar y buscar en el sitio específico asociado a un canal al buscar contenido en archivos y datos adjuntos de mensajes de canal.
Use las secciones siguientes para ayudar a identificar el canal privado o compartido que se va a incluir en la búsqueda de exhibición de documentos electrónicos.
Use el procedimiento de esta sección para identificar los miembros de un canal privado de modo que pueda usar herramientas de exhibición de documentos electrónicos para buscar contenido en los mensajes de canal privado en el buzón del miembro.
Antes de realizar estos pasos, asegúrese de que tiene instalada la versión más reciente del módulo de PowerShell de Teams .
Ejecute el siguiente comando para obtener el identificador de grupo del equipo que contiene los canales compartidos que desea buscar.
Get-Team -DisplayName <display name of the the parent team>
Sugerencia
Ejecute el cmdlet Get-Team sin parámetros para mostrar una lista de todos los equipos de su organización. La lista contiene el id. de grupo y displayName para cada equipo.
Ejecute el siguiente comando para obtener una lista de canales privados en el equipo primario. Use el identificador de grupo para el equipo que obtuvo en el paso 1.
Get-TeamChannel -GroupId <parent team GroupId> -MembershipType Private
Ejecute el siguiente comando para obtener una lista de propietarios y miembros de canales privados para un canal privado específico.
Get-TeamChannelUser -GroupId <parent team GroupId> -DisplayName "Partner Shared Channel"
Incluya los buzones de los propietarios y miembros de un canal privado como parte de la consulta de búsqueda de exhibición de documentos electrónicos.
Puede usar herramientas de exhibición de documentos electrónicos para buscar contenido de Teams relacionado con invitados de su organización. El contenido de chat de Teams asociado a un invitado se conserva en una ubicación de almacenamiento basada en la nube y se puede buscar mediante eDiscovery. Esto incluye la búsqueda de contenido en conversaciones de chat 1:1 y 1:N en las que un invitado es un participante con otros usuarios de su organización. También puede buscar mensajes de canal privado en los que un invitado sea un participante y buscar contenido en las conversaciones de chat invitado:invitado donde los únicos participantes son invitados.
Para buscar contenido para invitados:
Conéctese a PowerShell de Microsoft Graph. Para obtener más información, consulte la introducción a PowerShell de Microsoft Graph. Asegúrese de completar los pasos 1 y 2 del artículo anterior.
Después de conectarse correctamente a Microsoft Graph PowerShell, ejecute el siguiente comando para mostrar el nombre principal de usuario (UPN) para todos los invitados de la organización. Debe usar el UPN del invitado al crear la búsqueda en el paso 4.
Get-MgUser -Filter "userType eq 'Guest'" -All $true | FL UserPrincipalName
Sugerencia
En lugar de mostrar una lista de nombres principales de usuario en la pantalla del equipo, puede redirigir la salida del comando a un archivo de texto. Para ello, anexe
> filename.txt
al comando anterior. El archivo de texto con los nombres principales de usuario se guardará en la carpeta actual.En otra ventana de Windows PowerShell, conéctese a PowerShell de cumplimiento de seguridad &. Para obtener instrucciones, consulte Conexión a PowerShell de cumplimiento de & seguridad. Puede conectarse con o sin usar la autenticación multifactor.
Cree una consulta de búsqueda que busque todo el contenido (como mensajes de chat y mensajes de correo electrónico) en el que el invitado especificado era un participante mediante la ejecución del siguiente comando.
New-ComplianceSearch <search name> -ExchangeLocation <guest UPN> -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
Por ejemplo, para buscar contenido asociado a la invitada Sara Davis, ejecutaría el siguiente comando.
New-ComplianceSearch "Sara Davis Guest" -ExchangeLocation "sara.davis_hotmail.com#EXT#@contoso.onmicrosoft.com" -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
Para obtener más información sobre el uso de PowerShell para crear búsquedas, consulte New-ComplianceSearch.
Ejecute el siguiente comando para iniciar la búsqueda que creó en el paso 4:
Start-ComplianceSearch <search name>
Vaya al portal de Microsoft Purview e inicie sesión con las credenciales de los permisos de exhibición de documentos electrónicos asignados a una cuenta de usuario.
Seleccione la tarjeta de solución eDiscovery y, a continuación, seleccione Casos (versión preliminar) en el panel de navegación izquierdo.
Seleccione un caso.
En la lista de búsquedas de la pestaña Búsquedas , seleccione la búsqueda que creó en el paso 4 para mostrar la página de control flotante.
En la página de control flotante, puede hacer lo siguiente:
- Seleccione Ejemplo para ver los resultados de la búsqueda y obtener una vista previa del contenido.
- Junto al campo Consulta , seleccione Editar para editar y, a continuación, vuelva a ejecutar la búsqueda. Por ejemplo, puede agregar una consulta de búsqueda para restringir los resultados.
- Seleccione Exportar para exportar y descargar los resultados de la búsqueda.
El contenido de tarjeta generado por las aplicaciones en canales de Teams, chats 1:1 y chats 1xN se almacena en buzones y se puede buscar. Una tarjeta es un contenedor de IU para pequeños fragmentos de contenido. Las tarjetas pueden tener varias propiedades y datos adjuntos, y pueden incluir elementos que desencadenan acciones de tarjeta. Para obtener más información, consulte Tarjetas.
Igual que el resto de contenido de Teams, el lugar donde se almacena el contenido de las tarjetas depende de dónde se haya usado. El contenido de tarjetas usado en un canal de Teams se almacena en el buzón del grupo de Teams. El contenido de tarjetas de los chats 1x1 y 1xN se almacena en los buzones de los participantes de los chats.
Para buscar el contenido de tarjetas, puede usar las condiciones de búsqueda kind:microsoftteams
y itemclass:IPM.SkypeTeams.Message
. Al revisar los resultados de la búsqueda, el contenido de la tarjeta generado por los bots en un canal de Teams tiene la propiedad de correo electrónico Sender/Author como <appname>@teams.microsoft.com
, donde appname
es el nombre de la aplicación que generó el contenido de la tarjeta. Si el contenido de la tarjeta lo generó un usuario, el valor mostrado en Remitente/autor identificará al usuario.
Al ver el contenido de la tarjeta en los resultados de búsqueda, el contenido aparece como datos adjuntos al mensaje. El dato adjunto se denomina appname.html
, donde appname
es el nombre de la aplicación que generó el contenido de la tarjeta.
Nota
Para mostrar imágenes del contenido de la tarjeta en los resultados de búsqueda en este momento (como las marcas de verificación de la captura de pantalla anterior), debe iniciar sesión en Teams (en https://teams.microsoft.com) en una pestaña diferente en la misma sesión del explorador que usa para ver los resultados de la búsqueda. De lo contrario, se mostrarán marcadores de posición de las imágenes.
Los administradores pueden buscar contenido de reunión de Teams en función de las fechas de inicio o finalización de la reunión. Para filtrar los elementos del conjunto de revisiones por fechas de reunión específicas de Teams, puede usar las propiedades Fecha de inicio de la reunión y Fecha de finalización de la reunión en las herramientas de búsqueda de eDiscovery (versión preliminar).
La característica Ocultar nombres de asistentes de Microsoft Teams oculta el nombre de los asistentes a otros asistentes para que solo los organizadores puedan ver los nombres de los asistentes. Esta característica se puede usar para reuniones o eventos con empresas externas, proveedores, reuniones confidenciales u otras reuniones en las que es importante la privacidad personal entre los asistentes. Cuando esta característica está habilitada, los nombres de los asistentes se ocultan en la lista de reuniones, el chat de reuniones y las grabaciones de reuniones.
Para buscar los nombres de los asistentes en las reuniones de Teams en las que se ha habilitado la característica Ocultar nombres de asistentes , debe incluir el buzón del organizador en el ámbito de la búsqueda. Los nombres de asistentes ocultos solo están disponibles en el buzón del organizador.
Los administradores pueden usar eDiscovery para buscar contenido en mensajes de chat en una reunión de Teams en entornos de acceso externo y de acceso de invitado en función de las siguientes restricciones:
- Acceso externo: en una reunión de Teams con usuarios de su organización y usuarios de una organización externa donde los asistentes externos usan el acceso externo, los administradores de ambas organizaciones pueden buscar contenido en los mensajes de chat de la reunión.
- Invitado: en una reunión de Teams con usuarios de su organización e invitados, solo los administradores de la organización que hospeda la reunión de Teams pueden buscar contenido en los mensajes de chat de la reunión.