Fluxo de trabalho de descoberta eletrônica (Premium) para conteúdo no Microsoft Teams

  • Artigo

Este artigo fornece um conjunto abrangente de procedimentos, diretrizes e práticas recomendadas para usar Descoberta Eletrônica do Microsoft Purview (Premium) para preservar, coletar, revisar e exportar conteúdo do Microsoft Teams. O objetivo deste artigo é ajudá-lo a otimizar seu fluxo de trabalho de descoberta eletrônica para o conteúdo do Teams.

Há sete categorias de conteúdo do Teams que você pode coletar e processar usando a descoberta eletrônica (Premium):

  • Chats do Teams 1:1. Mensagens de chat, postagens e anexos compartilhados em uma conversa do Teams entre duas pessoas. Os chats do Teams 1:1 também são chamados de conversas.
  • Chats de grupo do Teams. Mensagens de chat, postagens e anexos compartilhados em uma conversa do Teams entre três ou mais pessoas. Também chamado de chats 1:N ou conversas em grupo.
  • Reações do Teams. Reações aplicadas a mensagens de chat, postagens e anexos em uma conversa do Teams.
  • Canais do Teams. Mensagens de chat, postagens, respostas e anexos compartilhados em um canal padrão do Teams.
  • Reuniões do Teams. Áudio e transcrições de reuniões gravadas do Teams.
  • Canais privados. Mensagens, respostas e anexos compartilhados em um canal privado do Teams.
  • Canais compartilhados. Mensagens, respostas e anexos compartilhados em um canal compartilhado do Teams.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Onde o conteúdo do Teams é armazenado

Um pré-requisito para gerenciar o conteúdo do Teams na descoberta eletrônica (Premium) é entender o tipo de conteúdo do Teams que você pode coletar, processar e revisar na descoberta eletrônica (Premium) e onde esse conteúdo é armazenado no Microsoft 365.

Os dados do Teams são armazenados no Azure Cosmos DB. Os registros de conformidade do Teams capturados pelo substrato estão em Exchange Online e estão disponíveis para ediscovery.

A tabela a seguir lista o tipo de conteúdo do Teams e onde cada um é armazenado para fins de conformidade. Os dados armazenados no Exchange online estão ocultos dos clientes. A descoberta eletrônica nunca opera em relação aos dados de mensagens reais do Teams, que permanecem no Azure Cosmos DB.

Categoria Teams Local das mensagens/postagens de chat Localização de arquivos/anexos Local das gravações de reunião
Chats do Teams 1:1 As mensagens em chats 1:1 são armazenadas na caixa de correio Exchange Online de todos os participantes do chat. Os arquivos compartilhados em um chat 1:1 são armazenados na conta OneDrive for Business da pessoa que compartilhou o arquivo. N/D
Chats de grupo do Teams As mensagens em chats em grupo são armazenadas na caixa de correio Exchange Online de todos os participantes do chat. Os arquivos compartilhados em chats de grupo são armazenados na conta OneDrive for Business da pessoa que compartilhou o arquivo. N/D
Reações do Teams As mensagens em chats em grupo são armazenadas na caixa de correio Exchange Online de todos os participantes do chat. Os arquivos compartilhados em chats de grupo são armazenados na conta OneDrive for Business da pessoa que compartilhou o arquivo. N/D
Canais do Teams Todas as mensagens e postagens de canal são armazenadas na caixa de correio Exchange Online associada à equipe. Os arquivos compartilhados em um canal são armazenados no site do SharePoint Online associados à equipe. N/D
Reuniões de Teams Chats em reuniões gravadas são armazenados na conta OneDrive for Business para o usuário que grava a reunião do Teams. Arquivos e anexos compartilhados em reuniões gravadas são armazenados na conta OneDrive for Business para o usuário que grava a reunião do Teams. As gravações de reunião são armazenadas na conta OneDrive for Business para o usuário que grava a reunião do Teams.
Canais privados As mensagens enviadas em um canal privado são armazenadas nas caixas de correio Exchange Online de todos os membros do canal privado. Os arquivos compartilhados em um canal privado são armazenados em um site dedicado do SharePoint Online associado ao canal privado. N/D
Canais compartilhados As mensagens enviadas em um canal compartilhado são armazenadas em uma caixa de correio do sistema associada ao canal compartilhado. 1 Os arquivos compartilhados em um canal compartilhado são armazenados em um site dedicado do SharePoint Online associado ao canal compartilhado. N/D

Observação

1 Para pesquisar (e preservar) mensagens enviadas em um canal compartilhado, você precisa pesquisar ou especificar a caixa de correio Exchange Online para a equipe pai.

Criar um caso para o conteúdo do Teams

A primeira etapa para gerenciar o conteúdo do Teams na descoberta eletrônica (Premium) é criar um caso usando o novo formato de caso otimizado para gerenciar o conteúdo do Teams. O novo formato de caso ajuda a acomodar aumentos significativos no tamanho do caso, tanto para o volume total de dados quanto para o número total de itens em casos.

Para obter diretrizes passo a passo sobre como criar um caso, consulte Criar e gerenciar um caso de descoberta eletrônica (Premium).

Adicionar fontes de dados de custódia do Teams e preservar o conteúdo do Teams

A próxima etapa é identificar os usuários que são os guardiões de dados em sua investigação e adicioná-los e seus locais de conteúdo como guardiões ao caso que você criou na seção anterior. Ao adicionar custodiantes, você pode especificar a caixa de correio e a conta do OneDrive como fontes de dados de custódia. Você também pode especificar locais de conteúdo do Teams como fontes de dados custodiantes para colocar esses locais rapidamente em espera legal para preservar o conteúdo durante sua investigação. Também facilita a coleta de conteúdo e adicioná-lo a um conjunto de revisão.

Para adicionar custodiantes a um caso e preservar fontes de dados de custódia:

  1. Acesse o caso de descoberta eletrônica (Premium) que você criou na seção anterior e selecione Fontes de dados.

  2. Na página Fontes de dados, selecione Adicionar fonte> de dadosAdicionar novos custodiantes.

  3. No assistente novo custodiante , adicione um ou mais usuários como custodiantes ao caso digitando a primeira parte do nome ou alias do usuário. Depois de encontrar a pessoa correta, selecione o nome para adicioná-la à lista.

  4. Expanda cada custodiante para exibir as fontes de dados primárias que foram automaticamente associadas ao custodiante e selecionar outros locais para associar ao custodiante.

    Fontes de dados custodiantes.

  5. Siga estas diretrizes para adicionar fontes de dados de custódia para o conteúdo do Teams. Selecione Editar para adicionar um local de dados.

    • Caixas de correio. A caixa de correio do custodiante é selecionada por padrão. Mantenha isso selecionado para adicionar (e preservar) chats 1:1, chats em grupo e chats de canal privado como dados de custódia.
    • OneDrives. A conta do OneDrive do custodiante é selecionada por padrão. Mantenha isso selecionado para adicionar (e preservar) arquivos compartilhados em chats 1:1, chats em grupo e reuniões do Teams como dados de custódia.
    • SharePoint. Adicione o site do SharePoint associado a qualquer canal privado ou compartilhado do qual o custodiante é membro para adicionar (e preservar) como dados de custódia os arquivos compartilhados em um canal. Selecione Editar e adicione a URL para o site do SharePoint associado a um canal privado ou compartilhado. Para saber como localizar os canais privados e compartilhados dos quais um usuário é membro, consulte descoberta eletrônica de canais privados e compartilhados.
    • Teams. Adicione as equipes das quais o custodiante é membro para adicionar (e preservar) como dados de custódia todas as mensagens de canal e todos os arquivos compartilhados em um canal do Teams. Essa recomendação inclui adicionar a caixa de correio para o equipe principal de um canal compartilhado do qual o custodiante é membro. Quando você seleciona Editar, a caixa de correio e o site associados a cada equipe da qual o custodiante é membro são exibidos em uma lista. Selecione as equipes que você deseja associar ao custodiante. Você precisa selecionar a caixa de correio e o site correspondentes para cada equipe.

    Observação

    Você também pode adicionar a caixa de correio e o site do Teams dos quais os custodiantes não são membros como um local de dados do custodiante. Você faz isso clicando em Editar ao lado do Exchange e do SharePoint e adicionando a caixa de correio e o site associados à equipe.

  6. Depois de adicionar custodiantes e configurar as fontes de dados de custódia, selecione Avançar para exibir a página Desativar configurações . Uma lista dos custodiantes é exibida e a caixa de seleção na coluna Manter é selecionada por padrão. Essa caixa de seleção indica que uma retenção será colocada nas fontes de dados associadas a cada custodiante. Deixe essas caixas de seleção selecionadas para preservar esses dados.

  7. Na página Manter configurações , selecione Avançar para examinar as configurações de custodiantes. Selecione Enviar para adicionar os custodiantes ao caso.

Para obter mais informações sobre como adicionar e preservar fontes de dados em casos de descoberta eletrônica (Premium), confira:

Coletar conteúdo do Teams e adicionar ao conjunto de revisão

Depois de adicionar custodiantes ao caso e preservar conteúdo em fontes de dados custodiantes, a próxima etapa no fluxo de trabalho é pesquisar o conteúdo do Teams relevante para sua investigação e adicioná-lo a um conjunto de revisão para análise e revisão posteriores. Embora seja comum coletar conteúdo do Teams junto com o conteúdo de outros serviços do Microsoft 365, como email no Exchange e documentos no SharePoint, esta seção se concentrará especificamente na coleta de conteúdo do Teams em uma coleção. Você pode criar coleções adicionais que coletam conteúdo que não é do Teams para adicionar a um conjunto de revisão.

Quando você coleta conteúdo do Teams para um caso, há duas etapas no fluxo de trabalho:

  1. Crie uma estimativa de coleção. A primeira etapa é criar uma estimativa de coleção, que é uma estimativa dos itens que correspondem aos critérios de pesquisa. Você pode exibir informações sobre os resultados que corresponderam à consulta de pesquisa, como o número total e o tamanho dos itens encontrados, as diferentes fontes de dados em que foram encontrados e estatísticas sobre a consulta de pesquisa. Você também pode visualizar um exemplo de itens retornados pela coleção. Usando essas estatísticas, você pode alterar a consulta de pesquisa e executar novamente a estimativa de coleção quantas vezes for necessário para restringir os resultados até que você esteja satisfeito por estar coletando o conteúdo relevante para o seu caso.
  2. Confirme uma estimativa de coleção em um conjunto de revisão. Depois de estar satisfeito com os resultados de uma estimativa de coleção, você poderá confirmar a coleção em um conjunto de revisão. Quando você confirma uma estimativa de coleção, os itens retornados pela coleção são adicionados a um conjunto de revisão para revisão, análise e exportação.

Você também tem a opção de não executar uma estimativa de coleção e adicionar os resultados da coleção diretamente a um conjunto de revisão ao criar e executar a coleção.

Para criar uma coleção de conteúdo do Teams:

  1. Acesse o caso eDiscovery (Premium) ao qual você adicionou os custodiantes na seção anterior e selecione Coleções.

  2. Na página Coleções , selecione Nova coleção.

  3. Na página Nome e descrição , insira um nome (obrigatório) e uma descrição (opcional) para a coleção. Selecione Avançar.

  4. Na página Fontes de dados de custódia , selecione Selecionar custodiantes para selecionar os custodiantes adicionados ao caso. A lista dos guardiões do caso é exibida na página Selecionar custodiantes .

  5. Selecione um ou mais custodiantes e selecione Adicionar. Depois de adicionar custodiantes específicos à coleção, uma lista de fontes de dados específicas para cada custodiante é exibida. Essas fontes de dados são as que você configurou quando adicionou o custodiante ao caso. Todas as fontes de dados do custodiante são selecionadas por padrão. Isso inclui qualquer Equipe ou canais associados a um custodiante.

    Recomendamos fazer as seguintes coisas ao coletar conteúdo do Teams:

    • Remova as contas do OneDrive dos custodiantes do escopo de coleção (desmarcando a caixa de seleção na coluna OneDrive do Custodian para cada custodiante). Isso impede a coleção de arquivos duplicados que foram anexados a chats 1:1 e chats em grupo. Os anexos de nuvem são coletados automaticamente de cada conversa encontrada na coleção quando você confirma a estimativa de coleção para o conjunto de revisão. Usando esse método (em vez de pesquisar contas do OneDrive como parte da coleção), os arquivos anexados a 1:1 e chats em grupo são agrupados na conversa em que foram compartilhados.
    • Desmarque a caixa de seleção na coluna Do site adicional para remover os sites do SharePoint que contêm arquivos compartilhados em canais privados ou compartilhados. Fazer isso elimina a coleta de arquivos duplicados que foram anexados a conversas de canal privado ou compartilhado porque esses anexos de nuvem são adicionados automaticamente ao conjunto de revisão quando você confirma a estimativa de coleção e agrupado nas conversas em que foram compartilhados.

  6. Se você seguiu anteriormente as etapas para adicionar conteúdo do Teams como fontes de dados custodiantes, você poderá ignorar esta etapa e selecionar Avançar. Caso contrário, na página Fontes de dados não custodiais , você pode escolher fontes de dados não custodiadas que contêm o conteúdo do Teams que você pode ter adicionado ao caso para pesquisar na coleção.

  7. Se você seguiu anteriormente as etapas para adicionar conteúdo do Teams como fontes de dados custodiantes, você poderá ignorar esta etapa e selecionar Avançar. Caso contrário, na página Locais adicionais , você pode adicionar outras fontes de dados para pesquisar na coleção. Por exemplo, você pode adicionar a caixa de correio e o site para uma equipe que não foi adicionada como uma fonte de dados de custódia ou não custodiada. Você também pode selecionar a opção Canais compartilhados do Teams para incluir canais compartilhados durante pesquisas em todo o locatário. Caso contrário, selecione Avançar e ignore esta etapa.

  8. Na página Condições , configure a consulta de pesquisa para coletar conteúdo do Teams das fontes de dados especificadas nas páginas anteriores. Você pode usar várias palavras-chave e condições de pesquisa para restringir o escopo da coleção. Para obter mais informações, consulte Criar consultas de pesquisa para coleções.

    • Para ajudar a garantir que a coleção mais abrangente de conversas de chat do Teams (incluindo chats 1:1, grupo e canal) use a condição de filtro Tipo e selecione a opção Mensagens instantâneas .
    • Para ajudar a adicionar informações de reunião gravadas do Teams à coleção, use a condição de filtro tipo arquivo e inclua .mp4 como valor contido.
    • Também recomendamos incluir um intervalo de datas ou várias palavras-chave para restringir o escopo da coleção a itens relevantes para sua investigação.

  9. Na página Revisar sua coleção , examine as configurações de coleção e selecione Enviar para criar uma estimativa de coleção ou Salvar e fechar para salvar as configurações de coleção a serem concluídas posteriormente.

Quando o processo de adição da coleção ao conjunto de revisão é concluído, o valor Status da coleção na guia Coleções é definido como Estimado.

Confirmar uma estimativa de coleção para um conjunto de revisão

Quando você estiver satisfeito com os itens coletados em uma estimativa de coleção e estiver pronto para analisar, marcar e revisá-los, você pode confirmar uma coleção em um conjunto de revisão no caso.

Para obter diretrizes passo a passo sobre como confirmar uma coleção, consulte Confirmar uma estimativa de coleção para um conjunto de revisão no eDiscovery (Premium).

Examinar o conteúdo do Teams em um conjunto de revisão

Depois de adicionar coleções de conteúdo do Teams a um conjunto de revisão, a próxima etapa é examinar o conteúdo por sua relevância para sua investigação e abatê-lo, se necessário. Um pré-requisito importante para revisar o conteúdo do Teams é entender como a descoberta eletrônica (Premium) processa reuniões, conversas de chat e anexos do Teams ao adicioná-los a um conjunto de revisão. Esse processamento de conteúdo do Teams resulta nas três coisas a seguir:

  • Agrupamento. Como mensagens, postagens e respostas As conversas do Teams são agrupadas e apresentadas no conjunto de revisão. Isso também inclui anexos em conversas de chat que são extraídos e agrupam dentro da conversa.
  • Threading de transcrição de conversa. Como o eDiscovery (Premium) determina qual conteúdo adicional de uma conversa deve ser coletado para fornecer contexto em torno de itens que correspondam aos critérios de coleção.
  • Eliminação de eliminação. Como a descoberta eletrônica (Premium) lida com conteúdo duplicado do Teams.
  • Metadados. Propriedades de metadados que o eDiscovery (Premium) adiciona ao conteúdo do Teams depois que ele é coletado e adicionado a um conjunto de revisão.

Observação

A data e a hora de todas as conversas no Teams são mostradas em UTC (Tempo Universal Coordenado).

Entender agrupamento, threading de conversa, eliminação de eliminação e metadados do Teams ajudará você a otimizar a revisão e a análise do conteúdo do Teams. Esta seção também tem dicas para exibir o conteúdo do Teams em um conjunto de revisão.

Agrupamento

Quando o conteúdo das conversas de chat do Teams é adicionado a um conjunto de revisão, mensagens, postagens e respostas de conversas são agregadas em arquivos de transcrição HTML. Uma única conversa de chat pode ter vários arquivos de transcrição. Uma função importante desses arquivos de transcrição é apresentar o conteúdo do Teams como conversas contínuas e não como mensagens individuais (ou separadas). Isso ajuda a fornecer contexto para itens que corresponderam aos critérios de pesquisa de suas coleções na etapa anterior e reduzem o número de itens coletados no conjunto de revisão. Transcrições e itens associados podem ser agrupados por família ou conversa. Os itens da mesma família terão o mesmo valor para a propriedade de metadados FamilyId . Os itens na mesma conversa terão o mesmo valor para a propriedade de metadados ConversationId .

A tabela a seguir descreve como os diferentes tipos de conteúdo do Teams são agrupados por família e conversa.

Tipo de conteúdo do Teams Grupo por família Grupo por conversa
Teams 1:1 e chats em grupo Uma transcrição e todos os seus anexos e itens extraídos compartilham o mesmo FamilyId. Cada transcrição tem um FamilyId exclusivo. Todos os arquivos de transcrição e seus itens de família na mesma conversa compartilham o mesmo ConversationId. Isso inclui os seguintes itens:
  • Todos os itens e anexos extraídos de todas as transcrições que compartilham o mesmo ConversationId.
  • Todas as transcrições para a mesma conversa de chat
  • Todas as cópias do custodiante de cada transcrição
  • Transcrições de coleções subsequentes da mesma conversa de chat

Para o Teams 1:1 e conversas de chat em grupo, você pode ter vários arquivos de transcrição, cada um correspondente a um período de tempo diferente dentro da conversa. Como esses arquivos de transcrição são da mesma conversa com os mesmos participantes, eles compartilham o mesmo ConversationId.
Chats de canal padrão, privado e compartilhado Cada postagem e todas as respostas e anexos são salvos em sua própria transcrição. Essa transcrição e todos os seus anexos e itens extraídos compartilham o mesmo FamilyId. Cada postagem e seus anexos e itens extraídos têm um ConversationId exclusivo. Se houver coleções subsequentes ou novas respostas da mesma postagem, as transcrições delta resultantes dessas coleções também terão o mesmo ConversationId.
Reuniões de Teams Cada reunião

Use o controle Grupo na barra de comandos de um conjunto de revisão para exibir o conteúdo do Teams agrupado por família ou conversa.

Controle de grupo na barra de comandos.

  • Selecione Agrupar anexos da família para exibir o conteúdo do Teams agrupado por família. Cada arquivo de transcrição é exibido em uma linha na lista de itens de conjunto de revisão. Os anexos são aninhados no item.
  • Selecione Equipes de Grupo ou Viva Engage conversas para exibir o conteúdo do Teams agrupado por conversa. Cada conversa é exibida em uma linha na lista de itens de conjunto de revisão. Arquivos de transcrição e anexos são aninhados na conversa de nível superior.

Observação

Os anexos de nuvem são agrupados com as conversas em que aparecem. Esse agrupamento é realizado atribuindo o mesmo FamilyId que o arquivo de transcrição da mensagem à qual o arquivo foi anexado e o mesmo ConversationId da conversa em que a mensagem apareceu. Isso significa que várias cópias de anexos de nuvem podem ser adicionadas ao conjunto de revisão se forem anexadas a conversas diferentes.

Exibindo transcrições de reunião gravadas

A transcrição do áudio da reunião gravada é capturada como um arquivo separado e indexada automaticamente para pesquisa. As reuniões gravadas em um conjunto de revisão são armazenadas como um arquivo .zip que contém os seguintes arquivos:

  • A transcrição do áudio da reunião no formato .txt
  • A gravação de vídeo da reunião no formato .mp4
  • A imagem da miniatura da reunião no formato .jpg
  • Reunião de metadados e capítulos de reunião (conforme aplicável) no formato .json

Para exibir arquivos de transcrição de áudio da reunião em um conjunto de revisão, você selecionará a reunião e o visualizador de transcrição no painel de detalhes da reunião. As capturas de tela a seguir mostram um exemplo de uma reunião no cliente do Teams e o arquivo de transcrição da reunião da mesma reunião no conjunto de revisão.

Reunião no cliente do Teams

Reunião de equipe mostrada no cliente do Teams.

Arquivo de transcrição de reunião no conjunto de revisão

Reunião mostrada no arquivo de transcrição da reunião no conjunto de revisão.

Exibindo arquivos de transcrição de conversa

Ao exibir arquivos de transcrição em um conjunto de revisão, algumas das mensagens são realçadas em roxo. As mensagens realçadas dependem de qual cópia do custodiante da transcrição que você está exibindo. Por exemplo, em um chat 1:1 entre User4 e User2, as mensagens postadas pelo User4 são realçadas em roxo ao exibir a transcrição coletada da caixa de correio do User4. Ao exibir a transcrição do User2 da mesma conversa, as mensagens postadas pelo User2 são realçadas em roxo. Esse comportamento de realce baseia-se na mesma experiência do cliente do Teams, em que as postagens de um usuário são realçadas em roxo no cliente do Teams.

As capturas de tela a seguir mostram um exemplo de conversa no cliente do Teams e o arquivo de transcrição da mesma conversa no conjunto de revisão. O realce roxo no arquivo de transcrição indica que a transcrição foi coletada da caixa de correio do User2.

Conversa no cliente do Teams

Conversa mostrada no cliente do Teams.

Conversa no arquivo de transcrição

Conversa mostrada no arquivo de transcrição no conjunto de revisão.

Threading de transcrição de conversa

A funcionalidade de threading de conversa no novo formato de caso no eDiscovery (Premium) ajuda você a identificar conteúdo contextual relacionado a itens que podem ser relevantes para sua investigação. Esse recurso produz exibições de conversa distintas que incluem mensagens de chat que precedem e seguem os itens correspondem à consulta de pesquisa durante a coleção. Essa funcionalidade permite que você examine com eficiência e rapidez as conversas de chat completas (chamadas de conversas em thread) no Microsoft Teams. Como explicado anteriormente, as conversas de chat são reconstruídas em arquivos de transcrição HTML quando a descoberta eletrônica (Premium) adiciona conteúdo do Teams a um conjunto de revisão.

Aqui está a lógica usada pela descoberta eletrônica (Premium) para incluir mensagens adicionais e arquivos de transcrição de respostas que fornecem contexto em torno dos itens que correspondem à consulta de coleção ( chamados itens responsivos) que você usou ao coletar conteúdo do Teams. Diferentes comportamentos de threading são baseados nos tipos de chats e na consulta de pesquisa usada para coletar os itens responsivos. Há dois cenários de coleção comuns:

  • Consultas que usam parâmetros de pesquisa, como palavras-chave e pares property:value
  • Consultas que usam apenas intervalos de datas
Tipo de conteúdo do Teams Consultas com parâmetros de pesquisa Consultas com intervalos de datas
Teams 1:1 e chats em grupo Mensagens que foram postadas 12 horas antes e 12 horas após itens responsivos são agrupadas com o item responsivo em um único arquivo de transcrição. As mensagens em uma janela de 24 horas são agrupadas em um único arquivo de transcrição.
Chats de canal do Teams padrão, privado e compartilhado Cada postagem que contém itens responsivos e todas as respostas correspondentes são agrupadas em um único arquivo de transcrição. Cada postagem que contém itens responsivos e todas as respostas correspondentes são agrupadas em um único arquivo de transcrição.

Eliminação de eliminação de conteúdo do Teams

A lista a seguir descreve o comportamento de eliminação (e duplicação) ao coletar conteúdo do Teams em um conjunto de revisão.

  • Cada arquivo de transcrição adicionado a um conjunto de revisão deve ser um mapeamento um para um para o conteúdo armazenado em locais de dados. Isso significa que a descoberta eletrônica (Premium) não coleta nenhum conteúdo do Teams que já tenha sido adicionado ao conjunto de revisão. Se uma mensagem de chat já estiver coletada em um conjunto de revisão, a descoberta eletrônica (Premium) não adicionará a mesma mensagem do mesmo local de dados ao conjunto de revisão nas coleções subsequentes.

  • Para chats em grupo e 1:1, as cópias das mensagens são armazenadas na caixa de correio de cada participante da conversa. Cópias da mesma conversa que existem nas caixas de correio de diferentes participantes são coletadas com metadados diferentes. Como resultado, cada instância da conversa é tratada como exclusiva e trazida para o conjunto de revisão em arquivos de transcrição separados. Portanto, se todos os participantes de um chat 1:1 ou grupo forem adicionados como custodiantes em um caso e incluídos no escopo de uma coleção, as cópias de cada transcrição (para a mesma conservação) serão adicionadas ao conjunto de revisão e serão agrupadas com o mesmo ConversationId. Cada uma dessas cópias está associada a um custodiante correspondente. Dica: a coluna Custodian na lista de conjuntos de revisão identifica o custodiante para o arquivo de transcrição correspondente.

  • Nas coleções subsequentes de itens da mesma conversa, apenas o conteúdo delta que não foi coletado anteriormente é adicionado ao conjunto de revisão e agrupado (compartilhando o mesmo ConversationId) com as transcrições coletadas anteriormente da mesma conversa. Aqui está um exemplo desse comportamento:

    1. A coleção A coleta mensagens em uma conversa entre User1 e User2 e adiciona ao conjunto de revisão.
    2. A coleção B coleta mensagens da mesma conversa, mas há novas mensagens entre User1 e User2 desde que a Coleção A foi executada.
    3. Somente as novas mensagens na Coleção B são adicionadas ao conjunto de revisão. Essas mensagens são adicionadas a um arquivo de transcrição separado, mas a nova transcrição é agrupada com as transcrições da Coleção A pelo mesmo ConversationId.

    Esse comportamento se aplica a todos os tipos de chats do Teams.

Metadados para conteúdo do Teams

Em grandes conjuntos de revisão com milhares ou milhões de itens, pode ser difícil restringir o escopo de sua revisão ao conteúdo do Teams. Para ajudar você a concentrar sua revisão no conteúdo do Teams, há propriedades de metadados específicas para o conteúdo do Teams. Você pode usar essas propriedades para organizar as colunas na lista de revisão e configurar filtros e consultas para otimizar a revisão do conteúdo do Teams. Essas propriedades de metadados também são incluídas ao exportar conteúdo do Teams da descoberta eletrônica (Premium), para ajudar você a organizar e exibir conteúdo pós-exportação ou em ferramentas de descoberta eletrônica de terceiros.

A tabela a seguir descreve as propriedades de metadados para o conteúdo do Teams.

Propriedade Metadados Descrição
ContainsEditedMessage Indica se um arquivo de transcrição contém uma mensagem editada. As mensagens editadas são identificadas ao exibir o arquivo de transcrição.
ConversationId Um GUID que identifica a conversa com a qual o item está associado. Arquivos de transcrição e anexos da mesma conversa têm o mesmo valor para essa propriedade.
Nome da conversa O nome da conversa com o qual o arquivo ou anexo da transcrição está associado. Para o Teams 1:1 e chats em grupo, o valor dessa propriedade é a UPN de todos os participantes da conversa concatenados. Por exemplo, User3 <User3@contoso.onmicrosoft.com>,User4 <User4@contoso.onmicrosoft.com>,User2 <User2@contoso.onmicrosoft.com>. Os chats do canal do Teams (padrão, privado e compartilhado) usam o seguinte formato para o nome da conversa: <Team name>,<Channel name>. Por exemplo, eDiscovery vNext, General.
ConversationType Indica o tipo de chat da equipe. Para o Teams 1:1 e chats em grupo, o valor dessa propriedade é Group. Para chats de canal padrão, privado e compartilhado, o valor é Channel.
Data O carimbo de hora da primeira mensagem no arquivo de transcrição no UTC.
FamilyId Um GUID que identifica o arquivo de transcrição de uma conversa de chat. Os anexos terão o mesmo valor dessa propriedade que o arquivo de transcrição que contém a mensagem à qual o arquivo foi anexado.
FileClass Indica esse tipo de conteúdo. Itens de chats do Teams têm o valor Conversation. Em contraste, as mensagens de email do Exchange têm o valor Email.
Messagekind A propriedade tipo mensagem. O conteúdo do Teams tem o valor microsoftteams , im.
Destinatários Uma lista de todos os usuários que receberam uma mensagem na conversa de transcrição.
TeamsChannelName O nome do canal do Teams da transcrição.

Para obter descrições de outras propriedades de metadados premium (eDiscovery), consulte Campos de metadados de documento na descoberta eletrônica (Premium).

Exportar conteúdo do Teams

Depois de examinar e eliminar o conteúdo do Teams em um conjunto de revisão, você pode exportar os arquivos de transcrição que contêm conteúdo que responde à investigação. Não há configurações de exportação específicas para o conteúdo do Teams. Cada arquivo de transcrição é exportado como um arquivo de mensagem HTML. Esse arquivo também contém marcas CDATA ocultas com todos os metadados para as mensagens de chat individuais. As propriedades de metadados discutidas na seção anterior são incluídas quando o conteúdo do Teams é exportado.

Cada arquivo de transcrição é referenciado no arquivo de carga e pode ser localizado usando o caminho relativo no campo Export_native_path no arquivo de carga. Os arquivos de transcrição estão localizados na pasta Conversas na pasta de exportação raiz.

Dicas para exibir o conteúdo do Teams em um conjunto de revisão

Aqui estão algumas dicas e práticas recomendadas para exibir o conteúdo do Teams em um conjunto de revisão.

  • Use o controle Personalizar colunas na barra de comandos para adicionar e organizar colunas para otimizar a revisão do conteúdo do Teams. Você pode adicionar e remover colunas úteis para o conteúdo do Teams. Você também pode sequenciar a ordem das colunas arrastando-as e soltando-as na página Editar coluna flyout. Você também pode classificar colunas para agrupar o conteúdo do Teams com valores semelhantes para a coluna que você classifica.
  • Colunas úteis que ajudam você a revisar o conteúdo do Teams incluem Custodian, Destinatários e tipo de arquivo ou tipo de mensagem.
  • Use filtros para propriedades relacionadas ao Teams para exibir rapidamente o conteúdo do Teams. Há filtros para a maioria das propriedades de metadados descritas na seção anterior.

Excluir mensagens de chat do Teams

Você pode usar a descoberta eletrônica (Premium) e o Microsoft Graph Explorer para responder a incidentes de vazamento de dados, quando o conteúdo que contém informações confidenciais ou mal-intencionadas é liberado por meio de mensagens de chat do Teams. Os administradores da sua organização podem pesquisar e excluir mensagens de chat no Microsoft Teams. Esse recurso pode ajudá-lo a remover informações confidenciais ou conteúdo inadequado em mensagens de chat do Teams. Para obter mais informações, consulte Pesquisar e limpar mensagens de chat no Teams.