Ricerca di contenuto in Microsoft Teams in eDiscovery (anteprima)
Questo articolo offre un set completo di procedure, linee guida e procedure consigliate per l'uso di eDiscovery (anteprima) per conservare, raccogliere, rivedere ed esportare contenuto da Microsoft Teams. L'obiettivo di questo articolo è semplificare l'ottimizzazione della ricerca di eDiscovery per il contenuto di Teams.
Suggerimento
Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.
Un prerequisito per la gestione del contenuto di Teams in eDiscovery è comprendere il tipo di contenuto di Teams che è possibile raccogliere, elaborare e rivedere in eDiscovery e dove tale contenuto è archiviato in Microsoft 365. I dati di Teams vengono archiviati in Azure Cosmos DB. I record di conformità di Teams acquisiti dal substrato sono in Exchange Online e sono disponibili per eDiscovery. I dati archiviati in Exchange Online sono nascosti ai client. eDiscovery non opera mai sui dati reali dei messaggi di Teams, che rimangono in Azure Cosmos DB.
La tabella seguente elenca il tipo di contenuto di Teams e la posizione in cui vengono archiviati per motivi di conformità.
Categoria Teams | Descrizione | Percorso messaggi/post di chat | Percorso file/allegati | Posizione delle registrazioni delle riunioni |
---|---|---|---|---|
Chat di Teams 1:1 | Messaggi di chat, post e allegati condivisi in una conversazione di Teams tra due persone. Le chat di Teams 1:1 sono chiamate anche conversazioni. | I messaggi nelle chat 1:1 vengono archiviati nella cassetta postale Exchange Online di tutti i partecipanti alla chat. | I file condivisi in una chat 1:1 vengono archiviati nell'account OneDrive della persona che ha condiviso il file. | N/D |
Chat di gruppo di Teams | Messaggi di chat, post e allegati condivisi in una conversazione di Teams tra tre o più persone. Chiamate anche chat 1:N o conversazioni di gruppo. | I messaggi nelle chat di gruppo vengono archiviati nella cassetta postale Exchange Online di tutti i partecipanti alla chat. | I file condivisi nelle chat di gruppo vengono archiviati nell'account OneDrive della persona che ha condiviso il file. | N/D |
Reazioni di Teams | Reazioni applicate a messaggi di chat, post e allegati in una conversazione di Teams. | I messaggi nelle chat di gruppo vengono archiviati nella cassetta postale Exchange Online di tutti i partecipanti alla chat. | I file condivisi nelle chat di gruppo vengono archiviati nell'account OneDrive della persona che ha condiviso il file. | N/D |
Canali di Teams | Messaggi di chat, post, risposte e allegati condivisi in un canale teams standard. | Tutti i messaggi e i post del canale vengono archiviati nella cassetta postale Exchange Online associata al team. | I file condivisi in un canale vengono archiviati nel sito di SharePoint associato al team. | N/D |
Riunioni di Teams | Audio e trascrizioni dalle riunioni di Teams registrate. | Le chat nelle riunioni registrate vengono archiviate nell'account di OneDrive per l'utente che registra la riunione di Teams. | I file e gli allegati condivisi nelle riunioni registrate vengono archiviati nell'account di OneDrive per l'utente che registra la riunione di Teams. | Le registrazioni delle riunioni vengono archiviate nell'account di OneDrive per l'utente che registra la riunione di Teams. |
Canali privati | Post di messaggi, risposte e allegati condivisi in un canale privato di Teams. | I messaggi inviati in un canale privato vengono archiviati nelle cassette postali Exchange Online di tutti i membri del canale privato. | I file condivisi in un canale privato vengono archiviati in un sito di SharePoint dedicato associato al canale privato. | N/D |
Canali condivisi | Post di messaggi, risposte e allegati condivisi in un canale di Teams condiviso. | I messaggi inviati in un canale condiviso vengono archiviati in una cassetta postale di sistema associata al canale condiviso. 1 | I file condivisi in un canale condiviso vengono archiviati in un sito di SharePoint dedicato associato al canale condiviso. | N/D |
Nota
1 Per cercare (e conservare) i messaggi inviati in un canale condiviso, è necessario cercare o specificare la cassetta postale Exchange Online per il team padre.
Tutte le chat di Microsoft Teams 1:1 o di gruppo vengono inviate tramite journal alle cassette postali dei rispettivi utenti. Tutti i messaggi del canale standard vengono inseriti nel journal nella cassetta postale del gruppo che rappresenta il team. I file caricati nei canali standard sono coperti dalla funzionalità eDiscovery per SharePoint Online e OneDrive.
eDiscovery di messaggi e file nei canali privati funziona in modo diverso rispetto ai canali standard. Per altre informazioni, vedere eDiscovery dei canali privati.
Le riunioni di Teams registrate vengono archiviate nell'account OneDrive dell'utente che registra la riunione. Inoltre, le informazioni di identificazione dei partecipanti quando si usa la funzionalità Nascondi nomi partecipanti per le riunioni di Teams vengono archiviate nella cassetta postale utente dell'organizzatore della riunione.
Non tutti i contenuti di Teams possono essere sottoposti a eDiscovery. La tabella seguente mostra i tipi di contenuto di Teams che è possibile cercare usando gli strumenti di Microsoft eDiscovery:
Tipo di contenuto | Note |
---|---|
Registrazioni audio | Chiamate audio tra l'utente di Teams e i contatti esterni |
Contenuto della scheda | Per altre informazioni, vedere Cercare il contenuto della scheda . |
Collegamenti alla chat | |
Messaggi della chat | Sono inclusi contenuti nei canali standard di Teams, chat 1:1, chat di gruppo 1:N, chat con te stesso e chat con gli ospiti. |
Frammenti di codice | |
Messaggi modificati | Se l'utente è in attesa, vengono mantenute anche le versioni precedenti dei messaggi modificati. |
Emoji, GIF e adesivi | |
Immagini incorporate | |
componenti Loop | Il contenuto in un componente ciclo viene salvato in un file con estensione fluid archiviato nell'account OneDrive dell'utente che invia il componente ciclo. Ciò significa che è necessario includere OneDrive come origine dati durante la ricerca di contenuto nei componenti del ciclo. |
Conversazioni di messaggistica istantanea delle riunioni | |
Metadati della riunione1 | |
Registrazioni e trascrizioni delle riunioni | Le trascrizioni dell'audio della riunione vengono estratte e fornite come file separato. Il numero massimo di riunioni registrate supportate .mp4 dimensioni del file è di 350 MB. Se le dimensioni del file di riunione registrato sono superiori a 350 MB, si verifica un errore di elaborazione e il file è disponibile per il download. |
Nome del canale | |
Citazioni | I contenuti tra virgolette sono disponibili per la ricerca. Tuttavia, i risultati della ricerca non indicano che i contenuti erano tra virgolette. |
Reazioni (come like, cuori e altre reazioni) | Le reazioni sono supportate per tutti i clienti commerciali dopo il 1° giugno 2022. Le reazioni precedenti a questa data non sono disponibili per eDiscovery. Le reazioni espanse sono ora supportate. Per comprendere la cronologia delle reazioni, il contenuto deve essere in attesa legale. |
Oggetto | |
Tabelle | |
Clip video di Teams (TVC) | Cercare TVC con la parola chiave "Video-Clip" e "salva con nome" un file .mp4 per ogni allegato TVC facendo clic con il pulsante destro del mouse sull'anteprima. I TVC vengono raccolti come allegati di conversazione di Teams (se inferiori a 200 MB) e separati .mp4 file. I dati dei file TVC sono individuabili nei set di revisione di eDiscovery e possono essere esportati. L'anteprima dei clip video non è attualmente supportata. |
1 I metadati di riunione (e chiamata) includono quanto segue:
- Ora di inizio e fine della riunione e durata
- Partecipare alla riunione e lasciare gli eventi per ogni partecipante
- Join/chiamate VOIP
- Join utenti federati
- Join guest
Importante
Gli utenti anonimi che partecipano a riunioni e chiamate non sono attualmente supportati nelle query di ricerca di eDiscovery.
I dati di Microsoft Teams vengono visualizzati come messaggistica istantanea o conversazioni nell'output di esportazione di Excel eDiscovery. È possibile aprire il .pst
file in Outlook per visualizzare i messaggi dopo averli esportati.
Quando si visualizza il file pst per il team, tutte le conversazioni si trovano nella cartella Team Chat in Cronologia conversazioni. Il titolo del messaggio contiene il nome del team e il nome del canale.
Le chat private nella cassetta postale di un utente vengono archiviate nella cartella Team Chat in Cronologia conversazioni.
Le copie di conformità dei messaggi in canali privati e condivisi vengono inviate a cassette postali diverse a seconda del tipo di canale. Ciò significa che è necessario eseguire ricerche in posizioni diverse delle cassette postali in base al tipo di canale di cui un utente è membro.
- Canali privati: le copie di conformità vengono inviate alla cassetta postale di tutti i membri dei membri del canale privato. Ciò significa che è necessario eseguire una ricerca nella cassetta postale dell'utente durante la ricerca di contenuto nei messaggi del canale privato.
- Canali condivisi: le copie di conformità vengono inviate a una cassetta postale di sistema associata al team padre. Poiché Teams non supporta una ricerca eDiscovery di una singola cassetta postale di sistema per un canale condiviso, è necessario cercare nella cassetta postale il team padre (selezionando il nome della cassetta postale del team) durante la ricerca del contenuto del messaggio nei canali condivisi.
Ogni canale privato e condiviso ha un proprio sito di SharePoint separato dal sito del team padre. Ciò significa che i file in canali privati e condivisi vengono archiviati nel proprio sito e gestiti in modo indipendente dal team padre. Ciò significa che è necessario identificare e cercare il sito specifico associato a un canale durante la ricerca di contenuto nei file e negli allegati dei messaggi del canale.
Usare le sezioni seguenti per identificare il canale privato o condiviso da includere nella ricerca di eDiscovery.
Usare la procedura descritta in questa sezione per identificare i membri di un canale privato in modo che sia possibile usare gli strumenti di eDiscovery per cercare il contenuto nei messaggi del canale privato nella cassetta postale del membro.
Prima di eseguire questi passaggi, assicurarsi di avere installato la versione più recente del modulo Teams PowerShell .
Eseguire il comando seguente per ottenere l'ID gruppo del team che contiene i canali condivisi di cui si vuole eseguire la ricerca.
Get-Team -DisplayName <display name of the the parent team>
Suggerimento
Eseguire il cmdlet Get-Team senza parametri per visualizzare un elenco di tutti i team dell'organizzazione. L'elenco contiene l'ID gruppo e DisplayName per ogni team.
Eseguire il comando seguente per ottenere un elenco di canali privati nel team padre. Usare l'ID gruppo per il team ottenuto nel passaggio 1.
Get-TeamChannel -GroupId <parent team GroupId> -MembershipType Private
Eseguire il comando seguente per ottenere un elenco di proprietari e membri del canale privato per un canale privato specifico.
Get-TeamChannelUser -GroupId <parent team GroupId> -DisplayName "Partner Shared Channel"
Includere le cassette postali dei proprietari e dei membri di un canale privato come parte della query di ricerca di eDiscovery.
È possibile usare gli strumenti di eDiscovery per cercare i contenuti di Teams correlati ai guest dell'organizzazione. Il contenuto della chat di Teams associato a un guest viene conservato in un percorso di archiviazione basato sul cloud e può essere cercato usando eDiscovery. Ciò include la ricerca di contenuto nelle conversazioni di chat 1:1 e 1:N in cui un guest è un partecipante con altri utenti dell'organizzazione. È anche possibile cercare i messaggi del canale privato in cui un guest è un partecipante e cercare contenuto nelle conversazioni guest:guest chat in cui gli unici partecipanti sono guest.
Per cercare contenuto per gli utenti guest:
Connettersi a Microsoft Graph PowerShell. Per altre informazioni, vedere Panoramica di PowerShell di Microsoft Graph. Assicurarsi di completare i passaggi 1 e 2 dell'articolo precedente.
Dopo aver eseguito correttamente la connessione a Microsoft Graph PowerShell, eseguire il comando seguente per visualizzare il nome dell'entità utente (UPN) per tutti i guest dell'organizzazione. È necessario usare l'UPN del guest quando si crea la ricerca nel passaggio 4.
Get-MgUser -Filter "userType eq 'Guest'" -All $true | FL UserPrincipalName
Suggerimento
Anziché visualizzare un elenco di nomi di entità utente sullo schermo del computer, è possibile reindirizzare l'output del comando a un file di testo. A tale scopo, aggiungere
> filename.txt
al comando precedente. Il file di testo con i nomi dell'entità utente verrà salvato nella cartella corrente.In un'altra finestra di Windows PowerShell connettersi a PowerShell sicurezza & conformità. Per istruzioni, vedere Connettersi a PowerShell per la sicurezza & conformità. È possibile connettersi con o senza usare l'autenticazione a più fattori.
Creare una query di ricerca che cerca tutto il contenuto, ad esempio messaggi di chat e messaggi di posta elettronica, in cui il guest specificato era un partecipante eseguendo il comando seguente.
New-ComplianceSearch <search name> -ExchangeLocation <guest UPN> -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
Ad esempio, per cercare il contenuto associato alla guest Sara Davis, eseguire il comando seguente.
New-ComplianceSearch "Sara Davis Guest" -ExchangeLocation "sara.davis_hotmail.com#EXT#@contoso.onmicrosoft.com" -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
Per altre informazioni sull'uso di PowerShell per creare ricerche, vedere New-ComplianceSearch.
Eseguire il comando seguente per avviare la ricerca creata nel passaggio 4:
Start-ComplianceSearch <search name>
Passare al portale di Microsoft Purview e accedere usando le credenziali per un account utente a cui sono assegnate le autorizzazioni di eDiscovery.
Selezionare la scheda della soluzione eDiscovery e quindi selezionare Case (anteprima) nel riquadro di spostamento a sinistra.
Selezionare un caso.
Nell'elenco delle ricerche nella scheda Ricerche selezionare la ricerca creata nel passaggio 4 per visualizzare la pagina del riquadro a comparsa.
Nella pagina a comparsa è possibile eseguire le operazioni seguenti:
- Selezionare Esempio per visualizzare i risultati della ricerca e visualizzare in anteprima il contenuto.
- Accanto al campo Query selezionare Modifica per modificare e quindi eseguire di nuovo la ricerca. Ad esempio, è possibile aggiungere una query di ricerca per limitare i risultati.
- Selezionare Esporta per esportare e scaricare i risultati della ricerca.
I contenuti delle schede generati dalle app nei canali di Teams, nelle chat 1:1 e nelle chat 1xN vengono archiviati nelle cassette postali e possono essere cercati. Una scheda è un contenitore di interfaccia utente per piccole parti di contenuto. Le schede possono avere più proprietà e allegati e possono includere elementi che attivano azioni della scheda. Per altre informazioni, vedere Schede.
Come nel caso di altri contenuti di Teams, il luogo di archiviazione del contenuto delle schede dipende da dove è stata usata la scheda. Il contenuto delle schede usate in un canale di Teams viene archiviato nella cassetta postale di gruppo di Teams. Il contenuto delle schede per chat tra due persone e 1xN viene archiviato nelle cassette postali dei partecipanti alla chat.
Per cercare contenuti delle schede, è possibile usare le condizioni di ricerca kind:microsoftteams
o itemclass:IPM.SkypeTeams.Message
. Quando si esaminano i risultati della ricerca, il contenuto della scheda generato dai bot in un canale di Teams ha la proprietà di posta elettronica mittente/autore come <appname>@teams.microsoft.com
, dove appname
è il nome dell'app che ha generato il contenuto della scheda. Se il contenuto della scheda è stato generato da un utente, il valore di Mittente/Autore identifica l'utente.
Quando si visualizza il contenuto della scheda nei risultati della ricerca, il contenuto viene visualizzato come allegato al messaggio. L’allegato è denominato appname.html
, dove appname
è il nome dell’app che ha generato il contenuto della scheda.
Nota
Per visualizzare le immagini dal contenuto della scheda nei risultati della ricerca in questo momento (ad esempio i segni di spunta nello screenshot precedente), è necessario accedere a Teams (in https://teams.microsoft.com) in una scheda diversa nella stessa sessione del browser usata per visualizzare i risultati della ricerca. In caso contrario, verranno visualizzati dei segnaposti per le immagini.
Gli amministratori possono cercare il contenuto della riunione di Teams in base alle date di inizio o fine della riunione. Per filtrare gli elementi del set di revisione in base a date di riunione specifiche di Teams, è possibile usare le proprietà Data inizio riunione e Data di fine riunione negli strumenti di ricerca eDiscovery (anteprima).
La funzionalità Nascondi nomi partecipanti in Microsoft Teams nasconde il nome dei partecipanti agli altri partecipanti in modo che solo gli organizzatori possano visualizzare i nomi dei partecipanti. Questa funzionalità può essere usata per riunioni o eventi con aziende esterne, fornitori, riunioni riservate o altre riunioni in cui la privacy personale tra i partecipanti è importante. Quando questa funzionalità è abilitata, i nomi dei partecipanti vengono nascosti nell'elenco di partecipanti, nelle chat delle riunioni e nelle registrazioni delle riunioni.
Per cercare i nomi dei partecipanti nelle riunioni di Teams in cui è stata abilitata la funzionalità Nascondi nomi partecipanti , è necessario includere la cassetta postale dell'organizzatore nell'ambito della ricerca. I nomi dei partecipanti nascosti sono disponibili solo nella cassetta postale dell'organizzatore.
Gli amministratori possono usare eDiscovery per cercare contenuto nei messaggi di chat in una riunione di Teams in ambienti di accesso esterno e accesso guest in base alle restrizioni seguenti:
- Accesso esterno: in una riunione di Teams con utenti dell'organizzazione e utenti di un'organizzazione esterna in cui i partecipanti esterni usano l'accesso esterno, gli amministratori di entrambe le organizzazioni possono cercare contenuto nei messaggi di chat della riunione.
- Guest: in una riunione di Teams con gli utenti dell'organizzazione e gli utenti guest, solo gli amministratori dell'organizzazione che ospitano la riunione di Teams possono cercare contenuto nei messaggi di chat della riunione.