Поиск содержимого в Microsoft Teams в eDiscovery (предварительная версия)
В этой статье представлен полный набор процедур, рекомендаций и рекомендаций по использованию обнаружения электронных данных (предварительная версия) для сохранения, сбора, просмотра и экспорта содержимого из Microsoft Teams. Цель этой статьи — помочь вам оптимизировать поиск содержимого Teams для обнаружения электронных данных.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Необходимым условием для управления содержимым Teams в обнаружении электронных данных является понимание типа содержимого Teams, которое можно собирать, обрабатывать и просматривать в обнаружении электронных данных, и где это содержимое хранится в Microsoft 365. Данные Teams хранятся в Azure Cosmos DB. Записи соответствия требованиям Teams, захваченные субстратом, находятся в Exchange Online и доступны для обнаружения электронных данных. Данные, хранящиеся в Exchange Online, скрыты от клиентов. Обнаружение электронных данных никогда не работает с реальными данными сообщений Teams, которые остаются в Azure Cosmos DB.
В следующей таблице перечислены типы контента Teams и каждый из них хранится в целях соответствия требованиям.
Категория Teams | Описание | Расположение сообщений и сообщений чата | Расположение файлов и вложений | Расположение записей собраний |
---|---|---|---|---|
Чаты Teams 1:1 | Сообщения чата, записи и вложения, к которым предоставлен общий доступ в беседе Teams между двумя людьми. Чаты Teams 1:1 также называются беседами. | Сообщения в чатах 1:1 хранятся в Exchange Online почтовом ящике всех участников чата. | Файлы, к которым предоставлен общий доступ в чате 1:1, хранятся в учетной записи OneDrive пользователя, который предоставил общий доступ к файлу. | Н/Д |
Групповые чаты Teams | Сообщения чата, записи и вложения, которыми обменивается в беседе Teams между тремя или более людьми. Также называются чатами 1:N или групповыми беседами. | Сообщения в групповых чатах хранятся в Exchange Online почтовом ящике всех участников чата. | Файлы, к которым предоставлен общий доступ в групповых чатах, хранятся в учетной записи OneDrive пользователя, который предоставил общий доступ к файлу. | Н/Д |
Реакции Teams | Реакции, применяемые к сообщениям чата, публикациям и вложениям в беседе Teams. | Сообщения в групповых чатах хранятся в Exchange Online почтовом ящике всех участников чата. | Файлы, к которым предоставлен общий доступ в групповых чатах, хранятся в учетной записи OneDrive пользователя, который предоставил общий доступ к файлу. | Н/Д |
Каналы Teams | Сообщения чата, сообщения, ответы и вложения, к которым предоставлен общий доступ в стандартном канале Teams. | Все сообщения и записи канала хранятся в почтовом ящике Exchange Online, связанном с командой. | Файлы, к которым предоставлен общий доступ в канале, хранятся на сайте SharePoint, связанном с командой. | Н/Д |
Собрания Teams | Аудио и стенограммы записанных собраний Teams. | Чаты в записанных собраниях хранятся в учетной записи OneDrive для пользователя, записываемого на собрание Teams. | Файлы и вложения, к которым предоставлен доступ на записанных собраниях, хранятся в учетной записи OneDrive для пользователя, записываемого на собрание Teams. | Записи собраний хранятся в учетной записи OneDrive для пользователя, записываемого на собрание Teams. |
Закрытые каналы | Сообщения, ответы и вложения, к которым предоставлен общий доступ в частном канале Teams. | Сообщения, отправленные в частном канале, хранятся в Exchange Online почтовых ящиках всех участников частного канала. | Файлы, к которым предоставлен общий доступ в частном канале, хранятся на выделенном сайте SharePoint, связанном с частным каналом. | Н/Д |
Общие каналы | Сообщения, ответы и вложения, к которым предоставлен общий доступ в общем канале Teams. | Сообщения, отправленные в общем канале, хранятся в системном почтовом ящике, связанном с общим каналом. 1 | Файлы, к которым предоставлен общий доступ в общем канале, хранятся на выделенном сайте SharePoint, связанном с общим каналом. | Н/Д |
Примечание
1 Чтобы найти (и сохранить) сообщения, отправленные в общем канале, необходимо найти или указать почтовый ящик Exchange Online для родительской команды.
Все чаты Microsoft Teams 1:1 или групповые чаты регистрируются в почтовых ящиках соответствующих пользователей. Все сообщения стандартного канала регистрируются в почтовом ящике группы, представляющего команду. Файлы, передаваемые в стандартных каналах, охватываются функцией обнаружения электронных данных для SharePoint Online и OneDrive.
Обнаружение электронных сообщений и файлов в частных каналах работает иначе, чем в стандартных каналах. Дополнительные сведения см. в статье Обнаружение электронных данных частных каналов.
Записанные собрания Teams хранятся в учетной записи OneDrive пользователя, записывающего собрание. Кроме того, сведения об идентификации участников при использовании функции Скрыть имена участников для собраний Teams хранятся в почтовом ящике пользователя организатора собрания.
Не все содержимое Teams доступно для электронного обнаружения. В следующей таблице показаны типы контента Teams, которые можно искать с помощью средств microsoft eDiscovery.
Тип содержимого | Примечания |
---|---|
Аудиозаписи | Аудиозвонки между пользователем Teams и внешними контактами |
Содержимое карточки | Дополнительные сведения см. в разделе Поиск содержимого карта. |
Ссылки чата | |
Сообщения чата | Сюда входит содержимое в стандартных каналах Teams, чатах 1:1, групповых чатах 1:N, чатах с самим собой и чатах с гостями. |
Фрагменты кода | |
Сообщения, доступные для редактирования | Если пользователь находится на удержании, предыдущие версии измененных сообщений также сохраняются. |
Эмодзи, GIF-файлы и наклейки | |
Встроенные изображения | |
компоненты Loop | Содержимое в компоненте цикла сохраняется в жидком файле, который хранится в учетной записи OneDrive пользователя, отправившего компонент цикла. Это означает, что при поиске содержимого в компонентах цикла необходимо включить OneDrive в качестве источника данных. |
Беседы для обмена мгновенными сообщениями на собраниях | |
Метаданные собрания1 | |
Записи и расшифровки собраний | Расшифровки звука собрания извлекаются и предоставляются в виде отдельного файла. Максимальный поддерживаемый размер файла для записанных собраний .mp4 составляет 350 МБ. Если размер записанного файла собрания превышает 350 МБ, возникает ошибка обработки и файл доступен для скачивания. |
Название канала | |
Цитаты | Содержимое в кавычках доступно для поиска. Однако результаты поиска не указывают на то, что содержимое было указано в кавычках. |
Реакции (например, нравится, сердца и другие реакции) | Реакции поддерживаются для всех коммерческих клиентов после 1 июня 2022 г. Реакции до этой даты недоступны для обнаружения электронных данных. Теперь поддерживаются расширенные реакции. Чтобы понять историю реакции, содержимое должно находиться на удержании по закону. |
Subject | |
Таблицы | |
Видеоклип Teams (TVC) | Выполните поиск в TVC с помощью ключевое слово Video-Clip и сохраните файл .mp4 для каждого вложения TVC, щелкнув правой кнопкой мыши предварительный просмотр. TVC собираются в виде вложений бесед Teams (если меньше 200 МБ) и отдельных .mp4 файлов. Данные файлов TVC можно обнаружить в наборах проверки обнаружения электронных данных и их можно экспортировать. Предварительный просмотр видеоклипов в настоящее время не поддерживается. |
1 Метаданные собрания (и звонка) включают в себя следующее:
- Время начала и окончания собрания, а также продолжительность
- События присоединения и выхода для каждого участника собрания
- Соединения и вызовы VOIP
- Присоединение федеративных пользователей
- Гостевые соединения
Важно!
Анонимные пользователи, присоединяясь к собраниям и звонкам, в настоящее время не поддерживаются в поисковых запросах eDiscovery.
Данные Microsoft Teams отображаются в виде мгновенных сообщений или бесед в выходных данных экспорта excel eDiscovery. Вы можете открыть .pst
файл в Outlook, чтобы просмотреть эти сообщения после их экспорта.
При просмотре PST-файла для команды все беседы находятся в папке Team Chat в разделе Журнал бесед. Заголовок сообщения содержит имя команды и имя канала.
Личные чаты в почтовом ящике пользователя хранятся в папке Team Chat в разделе Журнал бесед.
Копии сообщений в личных и общих каналах отправляются в разные почтовые ящики в зависимости от типа канала. Это означает, что вам придется выполнять поиск в разных расположениях почтовых ящиков в зависимости от типа канала, в который входит пользователь.
- Частные каналы. Копии соответствия отправляются в почтовый ящик всех участников частного канала. Это означает, что при поиске содержимого в сообщениях приватного канала необходимо выполнять поиск в почтовом ящике пользователя.
- Общие каналы. Копии соответствия отправляются в системный почтовый ящик, связанный с родительская команда. Так как Teams не поддерживает поиск по обнаружению электронных данных в одном системном почтовом ящике для общего канала, при поиске содержимого сообщений в общих каналах необходимо выполнить поиск в почтовом ящике родительская команда (выбрав имя почтового ящика Группы).
Каждый частный и общий канал имеет свой собственный сайт SharePoint, который отделен от родительская команда сайта. Это означает, что файлы в частных и общих каналах хранятся на собственном сайте и управляются независимо от родительская команда. Это означает, что при поиске содержимого в файлах и вложениях сообщений канала необходимо определить и найти конкретный сайт, связанный с каналом.
Используйте следующие разделы, чтобы определить частный или общий канал для включения в поиск eDiscovery.
Используйте процедуру, описанную в этом разделе, чтобы определить участников частного канала, чтобы использовать средства обнаружения электронных данных для поиска содержимого в сообщениях приватного канала в почтовом ящике участника.
Перед выполнением этих действий убедитесь, что установлена последняя версия модуля Teams PowerShell .
Выполните следующую команду, чтобы получить идентификатор группы, содержащей общие каналы, которые требуется найти.
Get-Team -DisplayName <display name of the the parent team>
Совет
Выполните командлет Get-Team без параметров, чтобы отобразить список всех Teams в организации. Список содержит идентификатор группы и displayName для каждой команды.
Выполните следующую команду, чтобы получить список частных каналов в родительская команда. Используйте идентификатор группы для команды, полученной на шаге 1.
Get-TeamChannel -GroupId <parent team GroupId> -MembershipType Private
Выполните следующую команду, чтобы получить список владельцев и участников частного канала для определенного частного канала.
Get-TeamChannelUser -GroupId <parent team GroupId> -DisplayName "Partner Shared Channel"
Включите почтовые ящики владельцев и участников частного канала в составе поискового запроса eDiscovery.
Средства обнаружения электронных данных можно использовать для поиска содержимого Teams, связанного с гостями в вашей организации. Содержимое чата Teams, связанное с гостем, сохраняется в облачном хранилище, и его можно искать с помощью обнаружения электронных данных. Это включает поиск содержимого в беседах чата 1:1 и 1:N, в которых гость является участником с другими пользователями в вашей организации. Вы также можете искать сообщения приватного канала, в которых гость является участником, и искать содержимое в беседах гостевого чата, где только участники являются гостями.
Чтобы найти содержимое для гостей, выполните приведенные далее действия.
Подключитесь к Microsoft Graph PowerShell. Дополнительные сведения см. в обзоре Microsoft Graph PowerShell. Обязательно выполните шаги 1 и 2 в предыдущей статье.
После успешного подключения к Microsoft Graph PowerShell выполните следующую команду, чтобы отобразить имя участника-пользователя (UPN) для всех гостей в вашей организации. При создании поиска на шаге 4 необходимо использовать имя участника-пользователя.
Get-MgUser -Filter "userType eq 'Guest'" -All $true | FL UserPrincipalName
Совет
Вместо отображения списка имен субъектов-пользователей на экране компьютера можно перенаправить выходные данные команды в текстовый файл. Это можно сделать, добавив
> filename.txt
к предыдущей команде. Текстовый файл с именами субъекта-пользователя будет сохранен в текущей папке.В другом окне Windows PowerShell подключитесь к PowerShell соответствия требованиям безопасности &. Инструкции см. в разделе Подключение к PowerShell для обеспечения безопасности & соответствия требованиям. Вы можете подключиться с помощью многофакторной проверки подлинности или без нее.
Создайте поисковый запрос, который ищет все содержимое (например, сообщения чата и сообщения электронной почты), участником которого был указанный гость, выполнив следующую команду.
New-ComplianceSearch <search name> -ExchangeLocation <guest UPN> -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
Например, чтобы найти содержимое, связанное с гостевой Сарой Дэвис, выполните следующую команду.
New-ComplianceSearch "Sara Davis Guest" -ExchangeLocation "sara.davis_hotmail.com#EXT#@contoso.onmicrosoft.com" -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
Дополнительные сведения об использовании PowerShell для создания поисковых запросов см. в статье New-ComplianceSearch.
Выполните следующую команду, чтобы начать поиск, созданный на шаге 4:
Start-ComplianceSearch <search name>
Перейдите на портал Microsoft Purview и выполните вход, используя учетные данные для учетной записи пользователя, назначенной разрешениями на обнаружение электронных данных.
Выберите решение eDiscovery карта, а затем выберите Варианты (предварительная версия) на панели навигации слева.
Выберите дело.
В списке поисковых запросов на вкладке Поиск выберите поиск, созданный на шаге 4, чтобы отобразить всплывающее меню.
На всплывающей странице можно выполнить следующие действия:
- Выберите Пример , чтобы просмотреть результаты поиска и просмотреть содержимое.
- Рядом с полем Запрос выберите Изменить , чтобы изменить, а затем повторно выполните поиск. Например, можно добавить поисковый запрос, чтобы сузить результаты.
- Выберите Экспорт , чтобы экспортировать и скачать результаты поиска.
Содержимое карточек, созданное приложениями в каналах Teams, чатах 1:1 и чатах 1xN, хранится в почтовых ящиках и может выполняться поиск. Карточка — это контейнер пользовательского интерфейса для коротких фрагментов контента. Карточки могут иметь несколько свойств и вложений, а также могут содержать элементы, которые активируют действия карта. Дополнительные сведения см. в разделе Карточки.
Как и другое содержимое Teams, место хранения содержимого карточки зависит от того, где она была использована. Содержимое карточек, используемых в канале Teams, хранится в почтовом ящике группы Teams. Содержимое карточек для чатов 1:1 и 1xN хранится в почтовых ящиках участников беседы.
Чтобы найти содержимое карточки, можно использовать условие поиска kind:microsoftteams
или itemclass:IPM.SkypeTeams.Message
. При просмотре результатов поиска карта содержимое, созданное ботами в канале Teams, имеет свойство Sender/Author email (Отправитель или Автор сообщения электронной почты) как <appname>@teams.microsoft.com
, где appname
— это имя приложения, создающего карта содержимое. Если содержимое карточки было создано пользователем, значение отправителей и авторов идентифицирует пользователя.
При просмотре карта содержимого в результатах поиска содержимое отображается как вложение к сообщению. Вложение называется appname.html
, где appname
— название приложения, создавшего содержимое карточки.
Примечание
Для отображения изображений из карта содержимого в результатах поиска в настоящее время (например, флажки на предыдущем снимке экрана), необходимо войти в Teams (в ) https://teams.microsoft.comна другой вкладке в том же сеансе браузера, который используется для просмотра результатов поиска. В противном случае отображаются заполнители изображения.
Администраторы могут искать содержимое собрания Teams в зависимости от дат начала или окончания собрания. Чтобы отфильтровать элементы набора проверки по определенным датам собрания Teams, можно использовать свойства даты начала собрания и даты окончания собрания в средствах поиска eDiscovery (предварительная версия).
Функция Скрыть имена участников в Microsoft Teams скрывает имена участников от других участников, чтобы только организаторы могли видеть имена участников. Эта функция может использоваться для собраний или мероприятий с внешними организациями, поставщиками, конфиденциальными собраниями или другими собраниями, где важна личная конфиденциальность участников. Если эта функция включена, имена участников скрыты в списке собраний, чате и записях собрания.
Чтобы найти имена участников в собраниях Teams, где была включена функция Скрыть имена участников, необходимо включить почтовый ящик организатора в область для поиска. Скрытые имена участников доступны только в почтовом ящике организатора.
Администраторы могут использовать обнаружение электронных данных для поиска содержимого в сообщениях чатов на собрании Teams во внешних и гостевых средах доступа на основе следующих ограничений:
- Внешний доступ. На собрании Teams с пользователями из вашей организации и пользователями из внешней организации, где внешние участники используют внешний доступ, администраторы обеих организаций могут искать содержимое в сообщениях чата собрания.
- Гость. На собрании Teams с пользователями из вашей организации и гостями только администраторы организации, которые размещают собрание Teams, могут искать содержимое в сообщениях чата с собрания.