通过

Microsoft Teams 中内容的电子数据展示 (高级) 工作流

  • 项目

本文提供了使用 Microsoft Purview 电子数据展示 (Premium) 保留、收集、查看和导出 Microsoft Teams 内容的完整过程、指南和最佳做法。 本文的目的是帮助你优化 Teams 内容的电子数据展示工作流。

可以使用电子数据展示 (Premium) 收集和处理七类 Teams 内容:

  • Teams 1:1 聊天。 在两人之间的 Teams 对话中共享的聊天消息、帖子和附件。 Teams 1:1 聊天也称为 对话
  • Teams 群组聊天。 三个或更多人之间在 Teams 对话中共享的聊天消息、帖子和附件。 也称为 1:N 聊天或 组对话
  • 团队反应。 应用于 Teams 对话中的聊天消息、帖子和附件的反应。
  • Teams 频道。 标准 Teams 频道中共享的聊天消息、帖子、回复和附件。
  • Teams 会议。 录制的 Teams 会议的音频和脚本。
  • 专用频道。 在专用 Teams 频道中共享的邮件帖子、回复和附件。
  • 共享频道。 共享 Teams 频道中共享的邮件帖子、答复和附件。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

Teams 内容的存储位置

管理电子数据展示 (Premium) 中的 Teams 内容的先决条件是了解可以在电子数据展示 (Premium) 中收集、处理和查看的 Teams 内容类型,以及该内容在 Microsoft 365 中的存储位置。

Teams 数据存储在 Azure Cosmos DB 中。 基底捕获的 Teams 符合性记录处于Exchange Online状态,可用于发现。

下表列出了 Teams 内容类型以及每个内容类型的存储位置,以便符合性。 存储在 Exchange Online 中的数据对客户端是隐藏的。 电子数据展示永远不会对保留在 Azure Cosmos DB 中的实际 Teams 消息数据进行操作。

Teams 类别 聊天消息/帖子的位置 文件/附件的位置 会议录制的位置
Teams 1:1 聊天 1:1 聊天中的邮件存储在所有聊天参与者的Exchange Online邮箱中。 在 1:1 聊天中共享的文件存储在共享该文件的人员的 OneDrive for Business 帐户中。 不适用
Teams 群组聊天 群组聊天中的邮件存储在所有聊天参与者的Exchange Online邮箱中。 群组聊天中共享的文件存储在共享该文件的人员的 OneDrive for Business 帐户中。 不适用
Teams 反应 群组聊天中的邮件存储在所有聊天参与者的Exchange Online邮箱中。 群组聊天中共享的文件存储在共享该文件的人员的 OneDrive for Business 帐户中。 不适用
Teams 频道 所有频道邮件和帖子都存储在与团队关联的Exchange Online邮箱中。 频道中共享的文件存储在与团队关联的 SharePoint Online 网站中。 不适用
团队会议 录制的会议中的聊天存储在录制 Teams 会议的用户的 OneDrive for Business 帐户中。 录制的会议中共享的文件和附件存储在用户录制 Teams 会议的 OneDrive for Business 帐户中。 会议录制存储在用户录制 Teams 会议的 OneDrive for Business 帐户中。
专用频道 在专用频道中发送的邮件存储在专用频道所有成员的Exchange Online邮箱中。 在专用频道中共享的文件存储在与专用频道关联的专用 SharePoint Online 网站中。 不适用
共享频道 在共享频道中发送的邮件存储在与共享通道关联的系统邮箱中。1 共享频道中共享的文件存储在与共享频道关联的专用 SharePoint Online 网站中。 不适用

注意

1 若要搜索 (并保留) 在共享频道中发送的邮件,必须搜索或指定父团队的Exchange Online邮箱。

为 Teams 内容创建案例

在电子数据展示 (Premium) 中管理 Teams 内容的第一步是使用针对管理 Teams 内容进行优化 的新案例格式创建案例 。 新的案例格式有助于显著增加事例大小,包括总数据量和事例项总数。

有关如何创建案例的分步指南,请参阅 创建和管理电子数据展示 (高级) 案例

添加 Teams 保管数据源并保留 Teams 内容

下一步是确定调查中的数据保管人的用户,并将他们及其内容位置作为保管人添加到在上一部分创建的案例中。 添加保管人时,可以将他们的邮箱和 OneDrive 帐户指定为保管数据源。 还可以将 Teams 内容位置指定为保管人数据源,以快速将这些位置置于法定保留状态,以在调查期间保留内容。 它还可以轻松收集内容并将其添加到审阅集。

将保管人添加到案例并保留保管数据源:

  1. 转到在上一部分创建的电子数据展示 (Premium) 事例,然后选择“ 数据源”。

  2. 在“ 数据源 ”页上,选择“ 添加数据源>”“添加新保管人”。

  3. “新建保管人 ”向导中,通过键入用户名或别名的第一部分,将一个或多个用户作为保管人添加到案例中。 找到正确的人员后,选择其姓名以将其添加到列表中。

  4. 展开每个保管人以查看已自动关联到保管人的主要数据源,并选择要关联到保管人的其他位置。

    保管人数据源。

  5. 遵循这些准则为 Teams 内容添加保管数据源。 选择 “编辑” 以添加数据位置。

    • 邮箱。 默认情况下,会选择保管人的邮箱。 保持选中状态以添加 (并将) 1:1 聊天、群组聊天和私人频道聊天保留为保管数据。
    • OneDrives。 默认情况下,会选择保管人的 OneDrive 帐户。 保持选中状态以添加 (,并将在 1:1 聊天、群组聊天和 Teams 会议中共享的) 文件保留为保管数据。
    • SharePoint。 添加与保管人所属的任何专用或共享频道关联的 SharePoint 网站,以添加 (,并将) 保留为频道中共享的文件的保管数据。 选择 “编辑 ”,然后添加与专用或共享频道关联的 SharePoint 网站的 URL。 若要了解如何查找用户所属的专用频道和共享频道,请参阅 专用频道和共享频道的电子数据展示
    • Teams。 添加保管人所属的团队,以添加 (并保留) 作为保管数据的所有频道消息和共享到 Teams 频道的所有文件。 此建议包括为保管人所属的共享通道的父团队添加邮箱。 选择 “编辑”时,与其所属的每个团队关联的邮箱和网站将显示在列表中。 选择要与保管人关联的团队。 必须为每个团队选择相应的邮箱和站点。

    注意

    还可以将保管人不是其成员的 Teams 邮箱和站点添加为保管人数据位置。 为此,请单击 ExchangeSharePoint 旁边的“编辑”,然后添加与团队关联的邮箱和网站。

  6. 添加保管人并配置保管数据源后,选择“ 下一步 ”以显示 “保留设置” 页。 将显示保管人列表,并默认选中 “保留 ”列中的复选框。 此复选框指示将对与每个保管人关联的数据源进行保留。 保留选中这些复选框以保留此数据。

  7. 在“ 保留设置 ”页上,选择“ 下一步 ”查看保管人设置。 选择“ 提交 ”,将保管人添加到案例中。

有关在电子数据展示 (高级版) 案例中添加和保留数据源的详细信息,请参阅:

收集 Teams 内容并添加到审阅集

将保管人添加到案例并保留保管人数据源中的内容后,工作流中的下一步是搜索与调查相关的 Teams 内容,并将其添加到评审集中以供进一步审查和分析。 虽然通常将 Teams 内容与其他 Microsoft 365 服务(例如 Exchange 中的电子邮件和 SharePoint 中的文档)的内容一起收集,但本部分将特别侧重于收集集合中的 Teams 内容。 可以创建其他集合来收集要添加到审阅集的非 Teams 内容。

收集案例的 Teams 内容时,工作流中有两个步骤:

  1. 创建集合估算。 第一步是创建 集合估计值,这是与搜索条件匹配的项的估计值。 可以查看与搜索查询匹配的结果的相关信息,例如找到的项目的总数和大小、找到它们的不同数据源以及有关搜索查询的统计信息。 还可以预览集合返回的项的示例。 使用这些统计信息,可以更改搜索查询并根据需要多次重新运行集合估计,以缩小结果范围,直到你确信正在收集与案例相关的内容。
  2. 将集合估计提交到评审集。 对集合估计结果感到满意后,可以将集合提交到审阅集。 提交集合估算时,集合返回的项将添加到审阅集中以供审阅、分析和导出。

还可以选择在创建和运行集合时不运行集合估算并将收集结果直接添加到审阅集。

创建 Teams 内容的集合:

  1. 转到在上一部分中将保管人添加到的电子数据展示 (Premium) 事例,然后选择“ 集合”。

  2. “集合 ”页上,选择“ 新建集合”。

  3. “名称和说明 ”页上,输入集合 (可选) ) 和说明所需的名称 (。 选择“下一步”。

  4. 在“ 保管数据源 ”页上,选择“ 选择保管人 ”,选择添加到案例的保管人。 案例保管人列表显示在 “选择保管人” 浮出控件页上。

  5. 选择一个或多个保管人,然后选择“ 添加”。 将特定保管人添加到集合后,将显示每个保管人的特定数据源列表。 这些数据源是在将保管人添加到案例时配置的数据源。 默认情况下会选择所有保管人数据源。 这包括与保管人关联的任何 Teams 或频道。

    建议在收集 Teams 内容时执行以下操作:

    • 取消选中每个保管人) 的“ 保管人的 OneDrive ”列中的复选框,从集合范围 (中删除保管人的 OneDrive 帐户。 这可以防止收集附加到 1:1 聊天和群组聊天的重复文件。 将集合估计提交到审阅集时,会自动从集合中找到的每个对话中收集云附件。 通过使用此方法, (而不是在集合) 搜索 OneDrive 帐户,而是将附加到 1:1 的文件和群组聊天分组到共享的对话中。
    • 取消选中 “其他网站 ”列中的复选框,以删除包含专用或共享频道中共享的文件的 SharePoint 网站。 这样做可以消除收集附加到专用或共享频道对话的重复文件,因为在提交集合估计时,这些云附件会自动添加到审阅集,并在共享对话中分组。

  6. 如果之前已按照步骤将 Teams 内容添加为保管数据源,则可以跳过此步骤并选择“ 下一步”。 否则,在 “非保管数据源 ”页上,可以选择包含 Teams 内容的非保管数据源,这些内容可能已添加到案例中以在集合中搜索。

  7. 如果之前已按照步骤将 Teams 内容添加为保管数据源,则可以跳过此步骤并选择“ 下一步”。 否则,在“ 其他位置 ”页上,可以添加其他数据源以在集合中搜索。 例如,可以为未添加为保管或非托管数据源的团队添加邮箱和站点。 还可以选择 “共享 Teams 频道 ”选项,在租户范围的搜索期间包括共享频道。 否则,请选择“ 下一步 ”并跳过此步骤。

  8. 在“ 条件 ”页上,配置搜索查询,以从在上一页上指定的数据源收集 Teams 内容。 可以使用各种关键字和搜索条件来缩小集合的范围。 有关详细信息,请参阅 生成集合的搜索查询

    • 若要帮助确保最全面的 Teams 聊天对话集合 (包括 1:1、组聊天和频道聊天) 使用 类型 筛选条件并选择 “即时消息” 选项。
    • 若要帮助确保将录制的 Teams 会议信息添加到集合中,请使用 文件类型 筛选条件,并将 .mp4 作为包含的值包括在内。
    • 我们还建议包括日期范围或多个关键字,以将集合范围缩小到与调查相关的项目。

  9. 在“ 查看集合 ”页上,查看集合设置,然后选择“ 提交 ”以创建集合估计值,或选择 “保存并关闭 ”以保存收集设置以稍后完成。

完成将集合添加到审阅集的过程后,“集合”选项卡上集合的“状态”值将设置为“估计”。

将集合估计值提交到审阅集

如果你对集合估算中收集的项感到满意,并且已准备好分析、标记和审阅这些项,则可以将集合提交到事例中的审阅集。

有关如何提交集合的分步指南,请参阅 将集合估计提交到电子数据展示 (Premium) 中的评审集

评审集中的 Teams 内容

将 Teams 内容集合添加到评审集后,下一步是查看内容,了解其与调查的相关性,并在必要时将其剔除。 查看 Teams 内容的一个重要先决条件是了解电子数据展示 (Premium) 在将 Teams 会议、聊天对话和附件添加到审阅集时如何处理它们。 Teams 内容的这种处理会产生以下三个结果:

  • 分组。 邮件、帖子和答复 Teams 对话如何组合在一起并在审阅集中显示。 这还包括聊天对话中的附件被提取和聊天中的分组。
  • 对话脚本线程处理。 电子数据展示 (Premium) 如何确定要从对话中收集哪些其他内容,以提供与收集条件匹配的项目相关的上下文。
  • 重复数据删除。 电子数据展示 (Premium) 如何处理重复的 Teams 内容。
  • 元数据。 电子数据展示 (Premium) 在收集并添加到审阅集后添加到 Teams 内容的元数据属性。

注意

Teams 中所有对话的日期和时间均以协调世界时 (UTC) 显示。

了解分组、对话线程、重复数据删除和 Teams 元数据将有助于优化 Teams 内容的评审和分析。 本部分还提供了 在审阅集中查看 Teams 内容的提示

分组

将 Teams 聊天对话中的内容添加到审阅集时,来自对话的邮件、帖子和回复将聚合在 HTML 脚本文件中。 单个聊天对话可以有多个脚本文件。 这些脚本文件的一个重要功能是将 Teams 内容呈现为连续对话,而不是作为单独的 (或单独的) 消息。 这有助于为与上一步中集合的搜索条件匹配的项目提供上下文,并减少收集到审阅集中的项目数。 脚本和关联的项目可以按 家庭对话进行分组。 同一系列中的项将具有 FamilyId 元数据属性的相同值。 同一会话中的项将具有 ConversationId 元数据属性的相同值。

下表介绍了如何按家庭和对话对不同类型的 Teams 内容进行分组。

Teams 内容类型 按系列分组 按对话分组
Teams 1:1 和群组聊天 脚本及其所有附件和提取的项共享同一 FamilyId。 每个脚本都有唯一的 FamilyId 同一对话中的所有脚本文件及其家庭项目共享同一 ConversationId。 这包括以下项目:
  • 共享同一 ConversationId 的所有脚本的所有提取项目和附件。
  • 同一聊天对话的所有脚本
  • 每个脚本的所有保管人副本
  • 来自同一聊天对话的后续集合的脚本

对于 Teams 1:1 和群组聊天对话,你可能有多个脚本文件,每个脚本文件对应于对话中的不同时间范围。 由于这些脚本文件来自与同一参与者的同一对话,因此它们共享相同的 ConversationId
标准、专用和共享频道聊天 每个帖子以及所有答复和附件都保存到其自己的脚本中。 此脚本及其所有附件和提取的项共享同一 FamilyId 每个帖子及其附件和提取的项目都具有唯一 的 ConversationId。 如果有来自同一帖子的后续集合或新答复,则这些集合产生的增量脚本也将具有相同的 ConversationId
团队会议 每个会议

使用审阅集的命令栏中的 “组” 控件可查看按家庭或对话分组的 Teams 内容。

命令栏中的组控件。

  • 选择“ 组家庭附件” 以查看按家庭分组的 Teams 内容。 每个脚本文件显示在审阅集项列表中的一行上。 附件嵌套在项下。
  • 选择“组团队”或“Viva Engage对话”,查看按对话分组的 Teams 内容。 每个对话显示在审阅集项列表中的一行上。 脚本文件和附件嵌套在顶级对话下。

注意

云附件与它们显示的对话进行分组。 此分组是通过分配与文件所附加到的邮件的脚本文件相同的 FamilyId 和邮件出现的对话相同的 ConversationId 来实现的。 这意味着,如果云附件的多个副本附加到不同的对话,则可能会将其添加到审阅集。

查看录制的会议脚本

录制的会议音频脚本将捕获为单独的文件,并自动编制索引以供搜索。 审阅集中录制的会议存储为包含以下文件的 .zip 文件:

  • 以 .txt 格式的会议音频的脚本
  • 以 .mp4 格式录制会议的视频
  • 采用 .jpg 格式的会议缩略图
  • 会议元数据和会议章节 (.json格式的适用)

若要查看审阅集中的会议音频脚本文件,请在会议详细信息窗格中选择会议和 脚本 查看器。 以下屏幕截图显示了 Teams 客户端中的会议示例,以及审阅集中同一会议的会议脚本文件。

Teams 客户端中的会议

Teams 客户端中显示的团队会议。

审阅集中的会议脚本文件

会议显示在审阅集中的会议脚本文件中。

查看对话脚本文件

查看审阅集中的脚本文件时,某些邮件以紫色突出显示。 突出显示的消息取决于你正在查看的脚本的保管人副本。 例如,在 User4 和 User2 之间的 1:1 聊天中,查看从 User4 的邮箱收集的脚本时,User4 发布的邮件以紫色突出显示。 查看同一对话的 User2 脚本时,User2 发布的消息以紫色突出显示。 此突出显示行为基于相同的 Teams 客户端体验,其中用户的帖子在 Teams 客户端中以紫色突出显示。

以下屏幕截图显示了 Teams 客户端中的对话示例,以及审阅集中同一对话的脚本文件。 脚本文件中的紫色突出显示表示脚本是从 User2 的邮箱收集的。

Teams 客户端中的对话

Teams 客户端中显示的对话。

脚本文件中的对话

对话显示在审阅集中的脚本文件中。

对话脚本线程处理

电子数据展示 (Premium) 中采用新案例格式的对话线程功能可帮助你识别可能与调查相关的项相关的上下文内容。 此功能生成不同的对话视图,其中包括在收集期间与搜索查询匹配的项之前和后面的聊天消息。 此功能使你能够高效快速地查看 Microsoft Teams 中) (称为 线程对话的完整聊天 。 如前所述,电子数据展示 (高级版) 将 Teams 内容添加到审阅集时,将在 HTML 脚本文件中重建聊天对话。

以下是电子数据展示 (Premium) 使用的逻辑,用于包括附加的消息和答复脚本文件,这些文件围绕项目提供上下文,这些内容与收集 Teams 内容时使用的集合查询 (称为 响应式项目) 。 不同的线程行为基于聊天类型和用于收集响应项的搜索查询。 有两种常见的收集方案:

  • 使用搜索参数的查询,例如关键字和 property:value 对
  • 仅使用日期范围的查询
Teams 内容类型 具有搜索参数的查询 具有日期范围的查询
Teams 1:1 和群组聊天 在响应项之前 12 小时和 12 小时后发布的邮件与响应项分组到单个脚本文件中。 24 小时窗口中的邮件分组到单个脚本文件中。
标准、专用和共享 Teams 频道聊天 包含响应项目和所有相应答复的每个帖子都分组在一个脚本文件中。 包含响应项目和所有相应答复的每个帖子都分组在一个脚本文件中。

Teams 内容的重复数据删除

以下列表介绍了在将 Teams 内容收集到审阅集中时重复数据删除 (和重复) 行为。

  • 添加到审阅集的每个脚本文件都应是到存储在数据位置中的内容的一对一映射。 这意味着电子数据展示 (Premium) 不会收集任何已添加到审阅集的 Teams 内容。 如果已在审阅集中收集聊天消息,电子数据展示 (Premium) 不会将同一数据位置中的相同消息添加到后续集合中的审阅集。

  • 对于 1:1 和群组聊天,邮件副本存储在每个对话参与者的邮箱中。 使用不同的元数据收集存在于不同参与者邮箱中的同一对话的副本。 因此,会话的每个实例被视为唯一的,并被引入到单独的脚本文件中的审阅集中。 因此,如果 1:1 或群组聊天的所有参与者都作为案例的保管人添加并包含在集合范围内,则用于相同保护) 的每个脚本 (的副本将添加到审阅集,并将与相同的 ConversationId 分组在一起。 其中每个副本都与相应的保管人相关联。 提示:审阅集列表中的 “保管人 ”列标识相应脚本文件的保管人。

  • 在同一会话的后续项目集合中,仅以前未收集的增量内容添加到审阅集,并通过将同一 ConversationId) 与以前从同一会话收集的脚本共享来对 (进行分组。 下面是此行为的示例:

    1. 集合 A 收集 User1 和 User2 之间的对话中的消息,并添加到审阅集。
    2. 集合 B 从同一会话收集消息,但 User1 和 User2 之间有新消息,因为集合 A 已运行。
    3. 只有集合 B 中的新邮件才会添加到审阅集中。 这些消息将添加到单独的脚本文件中,但新脚本按同一 ConversationId 与集合 A 中的脚本分组。

    此行为适用于所有类型的 Teams 聊天。

Teams 内容的元数据

在具有数千项或数百万项的大型审阅集中,可能很难将评审范围缩小到 Teams 内容。 为了帮助你专注于 Teams 内容,有一些特定于 Teams 内容的元数据属性。 可以使用这些属性来组织审阅列表中的列,并 配置筛选器和查询 以优化 Teams 内容的评审。 从电子数据展示 (Premium) 导出 Teams 内容时,也会包含这些元数据属性,以帮助你在导出后或在第三方电子数据展示工具中组织和查看内容。

下表介绍了 Teams 内容的元数据属性。

元数据属性 说明
ContainsEditedMessage 指示脚本文件是否包含已编辑的消息。 查看脚本文件时会识别已编辑的邮件。
ConversationId 标识项目关联的对话的 GUID。 来自同一对话的脚本文件和附件对此属性具有相同的值。
对话名称 与脚本文件或附件关联的对话的名称。 对于 Teams 1:1 和群组聊天,此属性的值是连接对话的所有参与者的 UPN。 例如,User3 <User3@contoso.onmicrosoft.com>,User4 <User4@contoso.onmicrosoft.com>,User2 <User2@contoso.onmicrosoft.com>。 Teams 频道 (标准聊天、专用聊天和共享) 聊天使用以下格式进行对话名称: <Team name>,<Channel name>。 例如,eDiscovery vNext, General
ConversationType 指示团队聊天的类型。 对于 Teams 1:1 和群组聊天,此属性 Group的值为 。 对于标准、专用和共享频道聊天,值为 Channel
日期 脚本文件中第一封邮件的时间戳(UTC)。
FamilyId 标识聊天对话的脚本文件的 GUID。 此属性的附件与包含该文件所附加到的邮件的脚本文件具有相同的值。
FileClass 指示该内容类型。 Teams 聊天中的项具有 值 Conversation。 相反,Exchange 电子邮件具有 值 Email
MessageKind 消息类型属性。 Teams 内容具有 值 microsoftteams , im
收件人 在脚本对话中收到消息的所有用户的列表。
TeamsChannelName 脚本的 Teams 频道名称。

有关其他电子数据展示 (Premium) 元数据属性的说明,请参阅 电子数据展示 (Premium) 中的文档元数据字段

导出 Teams 内容

在审阅集中查看并剔除 Teams 内容后,可以导出包含对调查有响应的内容的脚本文件。 Teams 内容没有任何特定的导出设置。 每个脚本文件都导出为 HTML 消息文件。 此文件还包含隐藏的 CDATA 标记,其中包含单个聊天消息的所有元数据。 导出 Teams 内容时,将包含上一部分中讨论的元数据属性。

每个脚本文件在加载文件中引用,可以使用加载文件中Export_native_path字段中的相对路径进行定位。 脚本文件位于根导出文件夹中的 Conversations 文件夹中。

在审阅集中查看 Teams 内容的提示

下面是在审阅集中查看 Teams 内容的一些提示和最佳做法。

  • 使用命令栏中的 “自定义列” 控件添加和组织列,以优化 Teams 内容的评审。 可以添加和删除对 Teams 内容有用的列。 还可以通过在 “编辑 列浮出控件”页中拖放列来对列的顺序进行排序。 还可以对列进行排序,以便对 Teams 内容进行分组,这些内容与排序依据的列的值相似。
  • 有助于查看 Teams 内容的有用列包括 保管人收件人文件类型邮件类型
  • 使用 Teams 相关属性的 筛选器 快速显示 Teams 内容。 上一部分所述的大多数元数据属性都有筛选器。

删除 Teams 聊天消息

当包含机密或恶意信息的内容通过 Teams 聊天消息发布时,可以使用电子数据展示 (Premium) 和 Microsoft Graph 资源管理器来响应数据泄漏事件。 组织中的管理员可以在 Microsoft Teams 中搜索和删除聊天消息。 此功能可帮助你删除 Teams 聊天消息中的敏感信息或不适当的内容。 有关详细信息,请参阅 在 Teams 中搜索和清除聊天消息