Прочитать на английском

Поделиться через


Поиск содержимого в Microsoft Teams в eDiscovery (предварительная версия)

В этой статье представлен полный набор процедур, рекомендаций и рекомендаций по использованию обнаружения электронных данных (предварительная версия) для сохранения, сбора, просмотра и экспорта содержимого из Microsoft Teams. Цель этой статьи — помочь вам оптимизировать поиск содержимого Teams для обнаружения электронных данных.

Совет

Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.

Где хранится содержимое Teams

Необходимым условием для управления содержимым Teams в обнаружении электронных данных является понимание типа содержимого Teams, которое можно собирать, обрабатывать и просматривать в обнаружении электронных данных, и где это содержимое хранится в Microsoft 365. Данные Teams хранятся в Azure Cosmos DB. Записи соответствия требованиям Teams, захваченные субстратом, находятся в Exchange Online и доступны для обнаружения электронных данных. Данные, хранящиеся в Exchange Online, скрыты от клиентов. Обнаружение электронных данных никогда не работает с реальными данными сообщений Teams, которые остаются в Azure Cosmos DB.

В следующей таблице перечислены типы контента Teams и каждый из них хранится в целях соответствия требованиям.

Категория Teams Описание Расположение сообщений и сообщений чата Расположение файлов и вложений Расположение записей собраний
Чаты Teams 1:1 Сообщения чата, записи и вложения, к которым предоставлен общий доступ в беседе Teams между двумя людьми. Чаты Teams 1:1 также называются беседами. Сообщения в чатах 1:1 хранятся в Exchange Online почтовом ящике всех участников чата. Файлы, к которым предоставлен общий доступ в чате 1:1, хранятся в учетной записи OneDrive пользователя, который предоставил общий доступ к файлу. Н/Д
Групповые чаты Teams Сообщения чата, записи и вложения, которыми обменивается в беседе Teams между тремя или более людьми. Также называются чатами 1:N или групповыми беседами. Сообщения в групповых чатах хранятся в Exchange Online почтовом ящике всех участников чата. Файлы, к которым предоставлен общий доступ в групповых чатах, хранятся в учетной записи OneDrive пользователя, который предоставил общий доступ к файлу. Н/Д
Реакции Teams Реакции, применяемые к сообщениям чата, публикациям и вложениям в беседе Teams. Сообщения в групповых чатах хранятся в Exchange Online почтовом ящике всех участников чата. Файлы, к которым предоставлен общий доступ в групповых чатах, хранятся в учетной записи OneDrive пользователя, который предоставил общий доступ к файлу. Н/Д
Каналы Teams Сообщения чата, сообщения, ответы и вложения, к которым предоставлен общий доступ в стандартном канале Teams. Все сообщения и записи канала хранятся в почтовом ящике Exchange Online, связанном с командой. Файлы, к которым предоставлен общий доступ в канале, хранятся на сайте SharePoint, связанном с командой. Н/Д
Собрания Teams Аудио и стенограммы записанных собраний Teams. Чаты в записанных собраниях хранятся в учетной записи OneDrive для пользователя, записываемого на собрание Teams. Файлы и вложения, к которым предоставлен доступ на записанных собраниях, хранятся в учетной записи OneDrive для пользователя, записываемого на собрание Teams. Записи собраний хранятся в учетной записи OneDrive для пользователя, записываемого на собрание Teams.
Закрытые каналы Сообщения, ответы и вложения, к которым предоставлен общий доступ в частном канале Teams. Сообщения, отправленные в частном канале, хранятся в Exchange Online почтовых ящиках всех участников частного канала. Файлы, к которым предоставлен общий доступ в частном канале, хранятся на выделенном сайте SharePoint, связанном с частным каналом. Н/Д
Общие каналы Сообщения, ответы и вложения, к которым предоставлен общий доступ в общем канале Teams. Сообщения, отправленные в общем канале, хранятся в системном почтовом ящике, связанном с общим каналом. 1 Файлы, к которым предоставлен общий доступ в общем канале, хранятся на выделенном сайте SharePoint, связанном с общим каналом. Н/Д

Примечание

1 Чтобы найти (и сохранить) сообщения, отправленные в общем канале, необходимо найти или указать почтовый ящик Exchange Online для родительской команды.

Типы контента Teams

Все чаты Microsoft Teams 1:1 или групповые чаты регистрируются в почтовых ящиках соответствующих пользователей. Все сообщения стандартного канала регистрируются в почтовом ящике группы, представляющего команду. Файлы, передаваемые в стандартных каналах, охватываются функцией обнаружения электронных данных для SharePoint Online и OneDrive.

Обнаружение электронных сообщений и файлов в частных каналах работает иначе, чем в стандартных каналах. Дополнительные сведения см. в статье Обнаружение электронных данных частных каналов.

Записанные собрания Teams хранятся в учетной записи OneDrive пользователя, записывающего собрание. Кроме того, сведения об идентификации участников при использовании функции Скрыть имена участников для собраний Teams хранятся в почтовом ящике пользователя организатора собрания.

Не все содержимое Teams доступно для электронного обнаружения. В следующей таблице показаны типы контента Teams, которые можно искать с помощью средств microsoft eDiscovery.

Тип содержимого Примечания
Аудиозаписи Аудиозвонки между пользователем Teams и внешними контактами
Содержимое карточки Дополнительные сведения см. в разделе Поиск содержимого карта.
Ссылки чата
Сообщения чата Сюда входит содержимое в стандартных каналах Teams, чатах 1:1, групповых чатах 1:N, чатах с самим собой и чатах с гостями.
Фрагменты кода
Сообщения, доступные для редактирования Если пользователь находится на удержании, предыдущие версии измененных сообщений также сохраняются.
Эмодзи, GIF-файлы и наклейки
Встроенные изображения
компоненты Loop Содержимое в компоненте цикла сохраняется в жидком файле, который хранится в учетной записи OneDrive пользователя, отправившего компонент цикла. Это означает, что при поиске содержимого в компонентах цикла необходимо включить OneDrive в качестве источника данных.
Беседы для обмена мгновенными сообщениями на собраниях
Метаданные собрания1
Записи и расшифровки собраний Расшифровки звука собрания извлекаются и предоставляются в виде отдельного файла. Максимальный поддерживаемый размер файла для записанных собраний .mp4 составляет 350 МБ. Если размер записанного файла собрания превышает 350 МБ, возникает ошибка обработки и файл доступен для скачивания.
Название канала
Цитаты Содержимое в кавычках доступно для поиска. Однако результаты поиска не указывают на то, что содержимое было указано в кавычках.
Реакции (например, нравится, сердца и другие реакции) Реакции поддерживаются для всех коммерческих клиентов после 1 июня 2022 г. Реакции до этой даты недоступны для обнаружения электронных данных. Теперь поддерживаются расширенные реакции. Чтобы понять историю реакции, содержимое должно находиться на удержании по закону.
Subject
Таблицы
Видеоклип Teams (TVC) Выполните поиск в TVC с помощью ключевое слово Video-Clip и сохраните файл .mp4 для каждого вложения TVC, щелкнув правой кнопкой мыши предварительный просмотр.

TVC собираются в виде вложений бесед Teams (если меньше 200 МБ) и отдельных .mp4 файлов. Данные файлов TVC можно обнаружить в наборах проверки обнаружения электронных данных и их можно экспортировать. Предварительный просмотр видеоклипов в настоящее время не поддерживается.

1 Метаданные собрания (и звонка) включают в себя следующее:

  • Время начала и окончания собрания, а также продолжительность
  • События присоединения и выхода для каждого участника собрания
  • Соединения и вызовы VOIP
  • Присоединение федеративных пользователей
  • Гостевые соединения

Важно!

Анонимные пользователи, присоединяясь к собраниям и звонкам, в настоящее время не поддерживаются в поисковых запросах eDiscovery.

Данные Microsoft Teams отображаются в виде мгновенных сообщений или бесед в выходных данных экспорта excel eDiscovery. Вы можете открыть .pst файл в Outlook, чтобы просмотреть эти сообщения после их экспорта.

При просмотре PST-файла для команды все беседы находятся в папке Team Chat в разделе Журнал бесед. Заголовок сообщения содержит имя команды и имя канала.

Личные чаты в почтовом ящике пользователя хранятся в папке Team Chat в разделе Журнал бесед.

Обнаружение электронных данных частных и общих каналов

Копии сообщений в личных и общих каналах отправляются в разные почтовые ящики в зависимости от типа канала. Это означает, что вам придется выполнять поиск в разных расположениях почтовых ящиков в зависимости от типа канала, в который входит пользователь.

  • Частные каналы. Копии соответствия отправляются в почтовый ящик всех участников частного канала. Это означает, что при поиске содержимого в сообщениях приватного канала необходимо выполнять поиск в почтовом ящике пользователя.
  • Общие каналы. Копии соответствия отправляются в системный почтовый ящик, связанный с родительская команда. Так как Teams не поддерживает поиск по обнаружению электронных данных в одном системном почтовом ящике для общего канала, при поиске содержимого сообщений в общих каналах необходимо выполнить поиск в почтовом ящике родительская команда (выбрав имя почтового ящика Группы).

Каждый частный и общий канал имеет свой собственный сайт SharePoint, который отделен от родительская команда сайта. Это означает, что файлы в частных и общих каналах хранятся на собственном сайте и управляются независимо от родительская команда. Это означает, что при поиске содержимого в файлах и вложениях сообщений канала необходимо определить и найти конкретный сайт, связанный с каналом.

Используйте следующие разделы, чтобы определить частный или общий канал для включения в поиск eDiscovery.

Определение членов частного канала

Используйте процедуру, описанную в этом разделе, чтобы определить участников частного канала, чтобы использовать средства обнаружения электронных данных для поиска содержимого в сообщениях приватного канала в почтовом ящике участника.

Перед выполнением этих действий убедитесь, что установлена последняя версия модуля Teams PowerShell .

  1. Выполните следующую команду, чтобы получить идентификатор группы, содержащей общие каналы, которые требуется найти.

    Get-Team -DisplayName <display name of the the parent team>
    

    Совет

    Выполните командлет Get-Team без параметров, чтобы отобразить список всех Teams в организации. Список содержит идентификатор группы и displayName для каждой команды.

  2. Выполните следующую команду, чтобы получить список частных каналов в родительская команда. Используйте идентификатор группы для команды, полученной на шаге 1.

     Get-TeamChannel -GroupId <parent team GroupId> -MembershipType Private
    
  3. Выполните следующую команду, чтобы получить список владельцев и участников частного канала для определенного частного канала.

     Get-TeamChannelUser -GroupId <parent team GroupId> -DisplayName "Partner Shared Channel"
    
  4. Включите почтовые ящики владельцев и участников частного канала в составе поискового запроса eDiscovery.

Поиск содержимого для гостей

Средства обнаружения электронных данных можно использовать для поиска содержимого Teams, связанного с гостями в вашей организации. Содержимое чата Teams, связанное с гостем, сохраняется в облачном хранилище, и его можно искать с помощью обнаружения электронных данных. Это включает поиск содержимого в беседах чата 1:1 и 1:N, в которых гость является участником с другими пользователями в вашей организации. Вы также можете искать сообщения приватного канала, в которых гость является участником, и искать содержимое в беседах гостевого чата, где только участники являются гостями.

Чтобы найти содержимое для гостей, выполните приведенные далее действия.

  1. Подключитесь к Microsoft Graph PowerShell. Дополнительные сведения см. в обзоре Microsoft Graph PowerShell. Обязательно выполните шаги 1 и 2 в предыдущей статье.

  2. После успешного подключения к Microsoft Graph PowerShell выполните следующую команду, чтобы отобразить имя участника-пользователя (UPN) для всех гостей в вашей организации. При создании поиска на шаге 4 необходимо использовать имя участника-пользователя.

    Get-MgUser -Filter "userType eq 'Guest'" -All $true | FL UserPrincipalName
    

    Совет

    Вместо отображения списка имен субъектов-пользователей на экране компьютера можно перенаправить выходные данные команды в текстовый файл. Это можно сделать, добавив > filename.txt к предыдущей команде. Текстовый файл с именами субъекта-пользователя будет сохранен в текущей папке.

  3. В другом окне Windows PowerShell подключитесь к PowerShell соответствия требованиям безопасности &. Инструкции см. в разделе Подключение к PowerShell для обеспечения безопасности & соответствия требованиям. Вы можете подключиться с помощью многофакторной проверки подлинности или без нее.

  4. Создайте поисковый запрос, который ищет все содержимое (например, сообщения чата и сообщения электронной почты), участником которого был указанный гость, выполнив следующую команду.

    New-ComplianceSearch <search name> -ExchangeLocation <guest UPN>  -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
    

    Например, чтобы найти содержимое, связанное с гостевой Сарой Дэвис, выполните следующую команду.

    New-ComplianceSearch "Sara Davis Guest" -ExchangeLocation "sara.davis_hotmail.com#EXT#@contoso.onmicrosoft.com" -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
    

    Дополнительные сведения об использовании PowerShell для создания поисковых запросов см. в статье New-ComplianceSearch.

  5. Выполните следующую команду, чтобы начать поиск, созданный на шаге 4:

    Start-ComplianceSearch <search name>
    
  6. Перейдите на портал Microsoft Purview и выполните вход, используя учетные данные для учетной записи пользователя, назначенной разрешениями на обнаружение электронных данных.

  7. Выберите решение eDiscovery карта, а затем выберите Варианты (предварительная версия) на панели навигации слева.

  8. Выберите дело.

  9. В списке поисковых запросов на вкладке Поиск выберите поиск, созданный на шаге 4, чтобы отобразить всплывающее меню.

  10. На всплывающей странице можно выполнить следующие действия:

    • Выберите Пример , чтобы просмотреть результаты поиска и просмотреть содержимое.
    • Рядом с полем Запрос выберите Изменить , чтобы изменить, а затем повторно выполните поиск. Например, можно добавить поисковый запрос, чтобы сузить результаты.
    • Выберите Экспорт , чтобы экспортировать и скачать результаты поиска.

Поиск содержимого карта

Содержимое карточек, созданное приложениями в каналах Teams, чатах 1:1 и чатах 1xN, хранится в почтовых ящиках и может выполняться поиск. Карточка — это контейнер пользовательского интерфейса для коротких фрагментов контента. Карточки могут иметь несколько свойств и вложений, а также могут содержать элементы, которые активируют действия карта. Дополнительные сведения см. в разделе Карточки.

Как и другое содержимое Teams, место хранения содержимого карточки зависит от того, где она была использована. Содержимое карточек, используемых в канале Teams, хранится в почтовом ящике группы Teams. Содержимое карточек для чатов 1:1 и 1xN хранится в почтовых ящиках участников беседы.

Чтобы найти содержимое карточки, можно использовать условие поиска kind:microsoftteams или itemclass:IPM.SkypeTeams.Message. При просмотре результатов поиска карта содержимое, созданное ботами в канале Teams, имеет свойство Sender/Author email (Отправитель или Автор сообщения электронной почты) как <appname>@teams.microsoft.com, где appname — это имя приложения, создающего карта содержимое. Если содержимое карточки было создано пользователем, значение отправителей и авторов идентифицирует пользователя.

При просмотре карта содержимого в результатах поиска содержимое отображается как вложение к сообщению. Вложение называется appname.html, где appname — название приложения, создавшего содержимое карточки.

Примечание

Для отображения изображений из карта содержимого в результатах поиска в настоящее время (например, флажки на предыдущем снимке экрана), необходимо войти в Teams (в ) https://teams.microsoft.comна другой вкладке в том же сеансе браузера, который используется для просмотра результатов поиска. В противном случае отображаются заполнители изображения.

Поиск собраний Teams по дате

Администраторы могут искать содержимое собрания Teams в зависимости от дат начала или окончания собрания. Чтобы отфильтровать элементы набора проверки по определенным датам собрания Teams, можно использовать свойства даты начала собрания и даты окончания собрания в средствах поиска eDiscovery (предварительная версия).

Поиск скрытых участников в собраниях Teams

Функция Скрыть имена участников в Microsoft Teams скрывает имена участников от других участников, чтобы только организаторы могли видеть имена участников. Эта функция может использоваться для собраний или мероприятий с внешними организациями, поставщиками, конфиденциальными собраниями или другими собраниями, где важна личная конфиденциальность участников. Если эта функция включена, имена участников скрыты в списке собраний, чате и записях собрания.

Чтобы найти имена участников в собраниях Teams, где была включена функция Скрыть имена участников, необходимо включить почтовый ящик организатора в область для поиска. Скрытые имена участников доступны только в почтовом ящике организатора.

Обнаружение электронных данных во внешних и гостевых средах

Администраторы могут использовать обнаружение электронных данных для поиска содержимого в сообщениях чатов на собрании Teams во внешних и гостевых средах доступа на основе следующих ограничений:

  • Внешний доступ. На собрании Teams с пользователями из вашей организации и пользователями из внешней организации, где внешние участники используют внешний доступ, администраторы обеих организаций могут искать содержимое в сообщениях чата собрания.
  • Гость. На собрании Teams с пользователями из вашей организации и гостями только администраторы организации, которые размещают собрание Teams, могут искать содержимое в сообщениях чата с собрания.