Recherche de contenu dans Microsoft Teams dans eDiscovery (préversion)
Cet article fournit un ensemble complet de procédures, de recommandations et de bonnes pratiques pour l’utilisation d’eDiscovery (préversion) pour conserver, collecter, examiner et exporter du contenu à partir de Microsoft Teams. L’objectif de cet article est de vous aider à optimiser votre recherche eDiscovery pour le contenu Teams.
Conseil
Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.
Une condition préalable à la gestion du contenu Teams dans eDiscovery consiste à comprendre le type de contenu Teams que vous pouvez collecter, traiter et examiner dans eDiscovery et où ce contenu est stocké dans Microsoft 365. Les données Teams sont stockées dans Azure Cosmos DB. Les enregistrements de conformité Teams capturés par le substrat sont en Exchange Online et sont disponibles pour eDiscovery. Les données stockées dans Exchange Online sont masquées aux clients. eDiscovery ne fonctionne jamais sur les données de message Teams réelles, qui restent dans Azure Cosmos DB.
Le tableau suivant répertorie le type de contenu Teams et l’emplacement où chacun est stocké à des fins de conformité.
Catégorie Teams | Description | Emplacement des messages/publications de conversation | Emplacement des fichiers/pièces jointes | Emplacement des enregistrements de réunion |
---|---|---|---|---|
Conversations Teams 1:1 | Messages de conversation, publications et pièces jointes partagés dans une conversation Teams entre deux personnes. Les conversations Teams 1:1 sont également appelées conversations. | Les messages dans les conversations 1:1 sont stockés dans la boîte aux lettres Exchange Online de tous les participants à la conversation. | Les fichiers partagés dans une conversation 1:1 sont stockés dans le compte OneDrive de la personne qui a partagé le fichier. | S/O |
Conversations de groupe Teams | Messages de conversation, publications et pièces jointes partagés dans une conversation Teams entre trois personnes ou plus. Également appelées conversations 1 :N ou conversations de groupe. | Les messages dans les conversations de groupe sont stockés dans la boîte aux lettres Exchange Online de tous les participants à la conversation. | Les fichiers partagés dans des conversations de groupe sont stockés dans le compte OneDrive de la personne qui a partagé le fichier. | S/O |
Réactions de Teams | Réactions appliquées aux messages de conversation, aux publications et aux pièces jointes dans une conversation Teams. | Les messages dans les conversations de groupe sont stockés dans la boîte aux lettres Exchange Online de tous les participants à la conversation. | Les fichiers partagés dans des conversations de groupe sont stockés dans le compte OneDrive de la personne qui a partagé le fichier. | S/O |
Teams et canaux | Messages de conversation, publications, réponses et pièces jointes partagés dans un canal Teams standard. | Tous les messages et publications de canal sont stockés dans la boîte aux lettres Exchange Online associée à l’équipe. | Les fichiers partagés dans un canal sont stockés dans le site SharePoint associé à l’équipe. | S/O |
Réunions Teams | Audio et transcriptions des réunions Teams enregistrées. | Les conversations dans les réunions enregistrées sont stockées dans le compte OneDrive de l’utilisateur qui enregistre la réunion Teams. | Les fichiers et pièces jointes partagés dans les réunions enregistrées sont stockés dans le compte OneDrive de l’utilisateur qui enregistre la réunion Teams. | Les enregistrements de réunion sont stockés dans le compte OneDrive de l’utilisateur qui enregistre la réunion Teams. |
Canaux privés | Messages, réponses et pièces jointes partagés dans un canal Teams privé. | Les messages envoyés dans un canal privé sont stockés dans les boîtes aux lettres Exchange Online de tous les membres du canal privé. | Les fichiers partagés dans un canal privé sont stockés dans un site SharePoint dédié associé au canal privé. | S/O |
Canaux partagés | Messages, réponses et pièces jointes partagés dans un canal Teams partagé. | Les messages envoyés dans un canal partagé sont stockés dans une boîte aux lettres système associée au canal partagé. 1 | Les fichiers partagés dans un canal partagé sont stockés dans un site SharePoint dédié associé au canal partagé. | S/O |
Notes
1 Pour rechercher (et conserver) les messages envoyés dans un canal partagé, vous devez rechercher ou spécifier la boîte aux lettres Exchange Online pour l’équipe parente.
Toutes les conversations microsoft Teams 1:1 ou de groupe sont journalisé dans les boîtes aux lettres des utilisateurs respectifs. Tous les messages de canal standard sont journalisé dans la boîte aux lettres de groupe représentant l’équipe. Les fichiers chargés dans les canaux standard sont couverts par la fonctionnalité eDiscovery pour SharePoint Online et OneDrive.
La découverte électronique des messages et des fichiers dans les canaux privés fonctionne différemment des canaux standard. Pour plus d’informations, consultez eDiscovery des canaux privés.
Les réunions Teams enregistrées sont stockées dans le compte OneDrive de l’utilisateur qui enregistre la réunion. En outre, les informations d’identification des participants lors de l’utilisation de la fonctionnalité Masquer les noms des participants pour les réunions Teams sont stockées dans la boîte aux lettres utilisateur de l’organisateur de la réunion.
Tous les contenus Teams ne sont pas accessibles en eDiscoverable. Le tableau suivant présente les types de contenu Teams que vous pouvez rechercher à l’aide des outils Microsoft eDiscovery :
Type de contenu | Notes |
---|---|
Enregistrements audio | Appels audio entre l’utilisateur Teams et les contacts externes |
Contenu de la carte | Pour plus d’informations, consultez Rechercher du contenu carte. |
Liens de conversation | |
Messages de conversation | Cela inclut le contenu des canaux Teams standard, des conversations 1:1, des conversations de groupe 1 :N, des conversations avec vous-même et des conversations avec des invités. |
Extraits de code | |
Messages modifiés | Si l’utilisateur est en attente, les versions précédentes des messages modifiés sont également conservées. |
Emojis, GIF et autocollants | |
Images incluses | |
Loop composants | Le contenu d’un composant de boucle est enregistré dans un fichier .fluid stocké dans le compte OneDrive de l’utilisateur qui envoie le composant de boucle. Cela signifie que vous devez inclure OneDrive comme source de données lors de la recherche de contenu dans des composants de boucle. |
Conversations de messagerie instantanée de réunion | |
Métadonnées de réunion1 | |
Enregistrements et transcriptions de réunion | Les transcriptions de l’audio de la réunion sont extraites et fournies sous la forme d’un fichier distinct. La taille maximale de fichier de réunion enregistrée .mp4 prise en charge est de 350 Mo. Si la taille du fichier de réunion enregistrée est supérieure à 350 Mo, une erreur de traitement se produit et le fichier est disponible en téléchargement. |
Nom du canal | |
Devis | Le contenu entre guillemets est utilisable dans une recherche. Toutefois, les résultats de la recherche n’indiquent pas que le contenu a été entre guillemets. |
Réactions (telles que des j’aime, des cœurs et d’autres réactions) | Les réactions sont prises en charge pour tous les clients commerciaux après le 1er juin 2022. Les réactions antérieures à cette date ne sont pas disponibles pour eDiscovery. Les réactions étendues sont désormais prises en charge. Pour comprendre l’historique des réactions, le contenu doit être en attente légale. |
Sujet | |
Tableaux | |
Clip vidéo Teams (TVC) | Recherchez TVC avec « Clip vidéo » mot clé et « enregistrer sous » un fichier .mp4 pour chaque pièce jointe TVC en cliquant avec le bouton droit sur l’aperçu. Les tvcs sont collectés sous forme de pièces jointes de conversation Teams (si inférieures à 200 Mo) et de fichiers .mp4 distincts. Les données du fichier TVC sont détectables dans les jeux de révision eDiscovery et peuvent être exportées. L’aperçu des clips vidéo n’est actuellement pas pris en charge. |
1 Les métadonnées de réunion (et d’appel) incluent les éléments suivants :
- Heure de début et de fin de la réunion, et durée
- Événements de participation et de départ à une réunion pour chaque participant
- Jointures/appels VOIP
- Jointures d’utilisateur fédérées
- Jointures d’invités
Important
Les utilisateurs anonymes qui rejoignent des réunions et des appels ne sont actuellement pas pris en charge dans les requêtes de recherche eDiscovery.
Les données Microsoft Teams apparaissent sous forme de messagerie instantanée ou conversations dans la sortie d’exportation Excel eDiscovery. Vous pouvez ouvrir le .pst
fichier dans Outlook pour afficher ces messages après les avoir exportés.
Lorsque vous affichez le fichier .pst de l’équipe, toutes les conversations se trouvent dans le dossier Conversation d’équipe sous Historique des conversations. Le titre du message contient le nom de l’équipe et le nom du canal.
Les conversations privées dans la boîte aux lettres d’un utilisateur sont stockées dans le dossier Conversation d’équipe sous Historique des conversations.
Les copies de conformité des messages dans les canaux privés et partagés sont envoyées à différentes boîtes aux lettres en fonction du type de canal. Cela signifie que vous devez rechercher différents emplacements de boîte aux lettres en fonction du type de canal dont un utilisateur est membre.
- Canaux privés : les copies de conformité sont envoyées à la boîte aux lettres de tous les membres des canaux privés. Cela signifie que vous devez effectuer une recherche dans la boîte aux lettres de l’utilisateur lors de la recherche de contenu dans les messages de canal privé.
- Canaux partagés : les copies de conformité sont envoyées à une boîte aux lettres système associée au équipe parente. Étant donné que Teams ne prend pas en charge la recherche eDiscovery d’une boîte aux lettres système unique pour un canal partagé, vous devez rechercher le équipe parente dans la boîte aux lettres (en sélectionnant le nom de la boîte aux lettres d’équipe) lors de la recherche de contenu de message dans les canaux partagés.
Chaque canal privé et partagé a son propre site SharePoint distinct du site équipe parente. Cela signifie que les fichiers dans les canaux privés et partagés sont stockés dans son propre site et gérés indépendamment du équipe parente. Cela signifie que vous devez identifier et rechercher le site spécifique associé à un canal lors de la recherche de contenu dans des fichiers et des pièces jointes de message de canal.
Utilisez les sections suivantes pour identifier le canal privé ou partagé à inclure dans votre recherche eDiscovery.
Utilisez la procédure décrite dans cette section pour identifier les membres d’un canal privé afin de pouvoir utiliser les outils eDiscovery pour rechercher dans la boîte aux lettres du membre du contenu dans les messages de canal privé.
Avant d’effectuer ces étapes, vérifiez que la dernière version du module PowerShell Teams est installée.
Exécutez la commande suivante pour obtenir l’ID de groupe de l’équipe qui contient les canaux partagés que vous souhaitez rechercher.
Get-Team -DisplayName <display name of the the parent team>
Conseil
Exécutez l’applet de commande Get-Team sans aucun paramètre pour afficher la liste de tous les teams dans votre organization. La liste contient l’ID de groupe et displayName pour chaque équipe.
Exécutez la commande suivante pour obtenir la liste des canaux privés dans le équipe parente. Utilisez l’ID de groupe de l’équipe que vous avez obtenu à l’étape 1.
Get-TeamChannel -GroupId <parent team GroupId> -MembershipType Private
Exécutez la commande suivante pour obtenir la liste des propriétaires de canaux privés et des membres d’un canal privé spécifique.
Get-TeamChannelUser -GroupId <parent team GroupId> -DisplayName "Partner Shared Channel"
Incluez les boîtes aux lettres des propriétaires et des membres d’un canal privé dans le cadre de votre requête de recherche eDiscovery.
Vous pouvez utiliser les outils eDiscovery pour rechercher du contenu Teams lié aux invités dans votre organization. Le contenu de conversation Teams associé à un invité est conservé dans un emplacement de stockage cloud et peut être recherché à l’aide d’eDiscovery. Cela inclut la recherche de contenu dans les conversations de conversation 1:1 et 1 :N dans lesquelles un invité est un participant avec d’autres utilisateurs de votre organization. Vous pouvez également rechercher des messages de canal privé dans lesquels un invité est un participant et rechercher du contenu dans les conversations de conversation invité :invité où les seuls participants sont des invités.
Pour rechercher du contenu pour les invités :
Connectez-vous à Microsoft Graph PowerShell. Pour plus d’informations, consultez vue d’ensemble de Microsoft Graph PowerShell. Veillez à effectuer les étapes 1 et 2 de l’article précédent.
Une fois que vous vous êtes connecté à Microsoft Graph PowerShell, exécutez la commande suivante pour afficher le nom d’utilisateur principal (UPN) de tous les invités de votre organization. Vous devez utiliser l’UPN de l’invité lorsque vous créez la recherche à l’étape 4.
Get-MgUser -Filter "userType eq 'Guest'" -All $true | FL UserPrincipalName
Conseil
Au lieu d’afficher une liste de noms d’utilisateur principal sur l’écran de l’ordinateur, vous pouvez rediriger la sortie de la commande vers un fichier texte. Pour ce faire,
> filename.txt
ajoutez à la commande précédente. Le fichier texte avec les noms d’utilisateur principal est enregistré dans le dossier actif.Dans une autre fenêtre Windows PowerShell, connectez-vous à Sécurité & Conformité PowerShell. Pour obtenir des instructions, consultez Se connecter à La sécurité & Conformité PowerShell. Vous pouvez vous connecter avec ou sans l’authentification multifacteur.
Créez une requête de recherche qui recherche tout le contenu (tel que les messages de conversation et les messages électroniques) dans lequel l’invité spécifié était un participant en exécutant la commande suivante.
New-ComplianceSearch <search name> -ExchangeLocation <guest UPN> -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
Par exemple, pour rechercher du contenu associé à l’invité Sara Davis, vous devez exécuter la commande suivante.
New-ComplianceSearch "Sara Davis Guest" -ExchangeLocation "sara.davis_hotmail.com#EXT#@contoso.onmicrosoft.com" -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
Pour plus d’informations sur l’utilisation de PowerShell pour créer des recherches, consultez New-ComplianceSearch.
Exécutez la commande suivante pour démarrer la recherche que vous avez créée à l’étape 4 :
Start-ComplianceSearch <search name>
Accédez au portail Microsoft Purview et connectez-vous à l’aide des informations d’identification d’un compte d’utilisateur affecté à des autorisations eDiscovery.
Sélectionnez la solution eDiscovery carte, puis sélectionnez Cas (préversion) dans la navigation de gauche.
Sélectionnez un cas.
Dans la liste des recherches sous l’onglet Recherches , sélectionnez la recherche que vous avez créée à l’étape 4 pour afficher la page de menu volant.
Dans la page de menu volant, vous pouvez effectuer les opérations suivantes :
- Sélectionnez Exemple pour afficher les résultats de la recherche et afficher un aperçu du contenu.
- En regard du champ Requête , sélectionnez Modifier pour modifier, puis réexécutez la recherche. Par exemple, vous pouvez ajouter une requête de recherche pour affiner les résultats.
- Sélectionnez Exporter pour exporter et télécharger les résultats de la recherche.
Le contenu de carte généré par les applications dans les canaux Teams, les conversations 1:1 et les conversations 1xN sont stockés dans des boîtes aux lettres et peuvent faire l’objet d’une recherche. Une carte est un conteneur de l'assurance-chômage pour de petits morceaux de contenu. Les cartes peuvent avoir plusieurs propriétés et pièces jointes, et peuvent inclure des éléments qui déclenchent carte actions. Pour plus d'informations, voir Cartes
Comme pour le contenu des autres Teams, le lieu de stockage du contenu de la carte est basé sur l'endroit où la carte a été utilisée. Le contenu des cartes utilisées dans un canal Teams est stocké dans la boîte aux lettres du groupe Teams. Le contenu des cartes pour les chats 1:1 et 1xN est stocké dans les boîtes aux lettres des participants au conversation.
Pour rechercher le contenu d'une carte, vous pouvez utiliser leskind:microsoftteams
conditionsitemclass:IPM.SkypeTeams.Message
de recherche. Lorsque vous examinez les résultats de la recherche, carte contenu généré par les bots dans un canal Teams a la propriété Sender/Author email as <appname>@teams.microsoft.com
, où appname
est le nom de l’application qui a généré le contenu carte. Si le contenu de la carte a été généré par un utilisateur, la valeur d'Expéditeur/Autorisateur permet d'identifier l'utilisateur.
Lorsque vous affichez carte contenu dans les résultats de la recherche, le contenu apparaît sous forme de pièce jointe au message. La pièce jointe est nommée appname.html
, oùappname
se trouve le nom de l'application qui a généré le contenu de la carte.
Notes
Pour afficher des images de carte contenu dans les résultats de la recherche à ce stade (comme les coches de la capture d’écran précédente), vous devez être connecté à Teams (à https://teams.microsoft.com) dans un onglet différent de la même session de navigateur que vous utilisez pour afficher les résultats de la recherche. Dans le cas contraire, des emplacements pour les images sont affichés.
Les administrateurs peuvent rechercher le contenu de réunion Teams en fonction des dates de début ou de fin de la réunion. Pour filtrer les éléments de l’ensemble de révision par des dates de réunion Teams spécifiques, vous pouvez utiliser les propriétés Date de début de la réunion et Date de fin de la réunion dans les outils de recherche eDiscovery (préversion).
La fonctionnalité Masquer les noms des participants dans Microsoft Teams masque le nom des participants aux autres participants afin que seuls les organisateurs puissent voir les noms des participants. Cette fonctionnalité peut être utilisée pour des réunions ou des événements avec des entreprises externes, des fournisseurs, des réunions confidentielles ou d’autres réunions où la confidentialité personnelle entre les participants est importante. Lorsque cette fonctionnalité est activée, les noms des participants sont masqués dans la liste de réunion, les conversations de réunion et les enregistrements de réunion.
Pour rechercher les noms des participants dans les réunions Teams où la fonctionnalité Masquer les noms des participants a été activée, vous devez inclure la boîte aux lettres de l’organisateur dans l’étendue de la recherche. Les noms des participants masqués sont uniquement disponibles dans la boîte aux lettres de l’organisateur.
Les administrateurs peuvent utiliser eDiscovery pour rechercher du contenu dans les messages de conversation dans une réunion Teams dans les environnements d’accès externe et d’accès invité en fonction des restrictions suivantes :
- Accès externe : dans une réunion Teams avec des utilisateurs de votre organization et des utilisateurs d’un organization externe où les participants externes utilisent l’accès externe, les administrateurs des deux organisations peuvent rechercher du contenu dans les messages de conversation de la réunion.
- Invité : dans une réunion Teams avec des utilisateurs de votre organization et des invités, seuls les administrateurs du organization qui hébergent la réunion Teams peuvent rechercher du contenu dans les messages de conversation de la réunion.