共用方式為

檢閱電子檔探索中檢閱Microsoft檢閱集中的Teams內容

將Microsoft Teams內容新增至檢閱集之後,下一個步驟是檢閱內容,以瞭解其與您的調查相關性,並在必要時予以消除。 檢閱Teams內容的一個重要必要條件是瞭解電子檔探索在將Teams會議、聊天交談和附件新增至檢閱集時如何處理這些內容。 下列 Teams 內容處理方式如下:

  • 群組:訊息、文章和回復Teams交談會分組在一起,並呈現在檢閱集中。 此處理也包含在交談中擷取並分組交談中的附件。
  • 交談文字記錄線程:電子檔探索會決定要從交談收集哪些其他內容,以提供符合集合準則之項目的內容。
  • 重複資料刪除:電子檔探索程式和管理重複的Teams內容。
  • 元數據:電子檔探索會在內容新增至檢閱集之後,新增Teams內容的元數據內容。

注意事項

Teams 中所有交談的日期和時間會顯示在國際標準時間 (UTC) 中。

瞭解群組、交談線程、重複數據刪除和Teams元數據,以協助您優化Teams內容的檢閱和分析。 本節也有 在檢閱集中檢視 Teams 內容的秘訣

分組

當 Teams 聊天交談的內容 新增至檢閱集時,當選取 [將交談組織成 HTML 文字記錄] 的設定時,會在 HTML 文字記錄檔案中匯總來自交談的訊息、貼文和回復。 單一聊天交談可以有多個文字記錄檔。 這些文字記錄檔的重要功能是將 Teams 內容呈現為連續交談,而不是個別 (或個別) 訊息。 這有助於提供符合上一個步驟中集合搜尋準則的項目內容,並減少收集到檢閱集的項目數目。 依 家庭交談群組文字記錄和相關聯的專案。 相同系列中的專案具有相同的 FamilyId 或**GroupId“ 元數據屬性值。 視選取的群組組態而定,相同交談中的專案具有相同的 ConversationId 或 **ThreadId“ 元數據屬性值。

下表描述不同類型的Teams內容如何依系列和交談分組。

Teams 內容類型 依系列分組 依交談分組
Teams 1:1 和群組聊天 文字記錄及其所有附件和擷取的項目會共用相同的 FamilyId。 每個文字記錄都有唯一的 FamilyId 相同交談中的所有文字記錄檔及其系列專案都會共用相同的 ConversationId。 其中包括下列項目:

共用相同 ConversationId 的所有擷取專案和所有文字記錄附件。
  • 相同聊天交談的所有文字記錄
  • 每個文字記錄的所有監管人複本
  • 來自相同聊天交談之後續集合的文字記錄

    • 對於 Teams 1:1 和群組聊天交談,您可能會有多個文字記錄檔,每個記錄檔都對應至交談中不同的時間範圍。 由於這些文字記錄檔來自與相同參與者的相同交談,因此會共用相同的 ConversationId
    Standard、私人和共用頻道聊天 每個貼文和所有回復和附件都會儲存到自己的文字記錄。 此文字記錄及其所有附件和擷取的項目會共用相同的 FamilyId 每個貼文及其附件和擷取的專案都有唯一的 ConversationId。 如果有來自相同文章的後續集合或新回復,這些集合所產生的差異文字記錄也會具有相同的 ConversationId
    Teams 會議 每個會議

    使用檢視中的 [群組 ] 控件,檢視依家庭或交談分組的Teams內容。

    • 取 [群組系列附件] 以檢視依系列分組的 Teams 內容。 每個文字記錄檔都會顯示在檢閱集項目清單中的一行上。 附件會以巢狀方式放在專案底下。
    • 取 [群組 Teams] 或 [Viva Engage 交談],以檢視依交談分組的 Teams 內容。 每個交談都會顯示在檢閱集項目清單中的一行上。 文字記錄檔和附件會巢狀於最上層對話底下。

    注意事項

    雲端附件會以其顯示的交談分組。 此群組的完成方式是指派與檔案所附加之訊息的文字記錄檔相同的 FamilyId ,以及與訊息出現的交談相同的 ConversationId 。 這表示,如果雲端附件附加到不同的交談,則可能會將多個雲端附件複本新增至檢閱集。

    檢視錄製的會議記錄

    錄製會議的音訊文字記錄會擷取為個別檔案,並自動編製索引以供搜尋。 檢閱集中錄製的會議會儲存為包含下列檔案的 .zip 檔案:

    • 以 .txt 格式顯示會議音訊的文字記錄
    • 以 .mp4 格式錄製會議的影片
    • 會議的縮圖影像,格式 .jpg
    • 會議元數據和會議章節 (.json 格式的適用)

    若要檢視檢視的會議音訊文字記錄檔,請在會議詳細資料窗格上選取會議和 文字記錄 查看器。 下列螢幕快照顯示 Teams 用戶端中的會議範例,以及檢閱集中相同會議的會議文字記錄檔。

    Teams 用戶端中的會議

    Teams 用戶端中顯示的小組會議。

    檢閱集中的會議記錄檔

    檢閱集中會議文字記錄檔中顯示的會議。

    檢視交談文字記錄檔

    檢視集中的文字記錄檔時,某些訊息會以紫色醒目提示。 反白顯示的訊息取決於您正在檢視的文字記錄監管人複本。 例如,在User4和User2之間的1:1聊天中,當您檢視從User4的信箱收集到的文字記錄時,User4 張貼的郵件會以紫色醒目提示。 當您檢視相同交談的User2文字記錄時,User2 所張貼的訊息會以紫色醒目提示。 此醒目提示行為是以相同的 Teams 用戶端體驗為基礎,其中使用者的文章會在 Teams 用戶端中以紫色醒目提示。

    下列螢幕快照顯示 Teams 用戶端中的交談範例,以及檢閱集中相同交談的文字記錄檔。 文字記錄檔中的紫色醒目提示表示文字記錄是從 User2 的信箱收集而來。

    Teams 用戶端中的交談

    Teams 用戶端中顯示的交談。

    文字記錄檔中的交談

    檢閱集中文字記錄檔中顯示的交談。

    包含 Teams 聊天訊息的內容交談

    如果您在新增至檢閱集程式期間選取 [包含 Teams 和 Viva Engage 交談] 設定,電子檔探索可協助您識別可能與調查相關之專案的內容相關內容。 此功能會產生不同的交談檢視,其中包含在集合期間與搜尋查詢相符的專案之前和後面的聊天訊息。 這項功能可讓您檢閱 Microsoft Teams 中的完整聊天交談。 這項功能與 HTML 線程無關,而且只會影響內容對話是否包含在將專案新增至檢閱集的程式中。

    以下是電子檔探索用來包含其他訊息和回復的邏輯,這些訊息和回復會提供專案相關內容,以符合搜尋查詢 (稱為 回應式專案 ,) 您將 Teams 內容新增至檢閱集時使用。 不同的行為是以聊天類型和用來收集回應式專案的搜尋查詢為基礎。 有兩個常見的搜尋案例:

    • 使用搜尋參數的查詢,例如關鍵詞和 property:value 組
    • 僅使用日期範圍的查詢
    Teams 內容類型 具有搜尋參數的查詢 具有日期範圍的查詢
    Teams 1:1 和群組聊天 包含回應式專案前12小時和12小時後張貼的訊息 包含位於數據範圍和24小時期間內任何內容相關訊息之間的訊息。
    Standard、私人和共用的Teams頻道聊天 每個包含回應專案和所有對應回復的貼文都會包含在內。 每個包含回應專案和所有對應回復的貼文都會包含在內。

    重複資料刪除Teams內容

    下列清單描述當使用者選擇在 HTML 文字記錄中組織交談時,將 Teams 內容收集到檢閱集中時的重複資料刪除 (和重複資料刪除) 行為。

    • 每個新增至檢閱集的文字記錄檔都應該是儲存在數據位置之內容的一對一對應。 這表示電子檔探索不會收集任何已新增至檢閱集的Teams內容。 如果已在檢閱集中收集聊天訊息,eDiscovery 不會從相同的數據位置將相同的訊息新增至後續集合中的檢閱集。

    • 對於 1:1 和群組聊天,訊息複本會儲存在每個交談參與者的信箱中。 存在於不同參與者信箱中的相同交談複本會使用不同的元數據收集。 因此,交談的每個實例都會被視為唯一的,並帶入個別文字記錄檔中的檢閱集。 因此,如果在案例中將 1:1 或群組聊天的所有參與者新增為監管人,並包含在集合範圍中,則會將相同交談) 的每個文字記錄 (複本新增至檢閱集,並與相同的 ConversationIdThreadId 一起分組。 這些複本中的每一個都會與對應的數據源相關聯。

    • 在後續的「加入至檢閱集」程式中,有來自相同交談的專案,只有先前未新增的差異內容會新增至檢閱集,並透過與先前從相同交談新增的項目共用相同的 ConversationIdThreadId) ,將 (群組。 以下是此行為的範例:

      1. 處理 A 會將 User1 和 User2 之間交談中的訊息新增至檢閱集。
      2. 進程 B 會新增來自相同交談的訊息,但自進程 A 執行以來,User1 與 User2 之間有新的訊息。
      3. 只有進程 B 中的新訊息會新增至檢閱集。 這些訊息會新增至個別的文字記錄檔,但新的文字記錄會以相同 ConversationId 的處理 A 文字記錄分組。

      此行為適用於所有類型的 Teams 聊天。

    Teams 內容的元數據

    在包含數千或數百萬個專案的大型檢閱集中,可能很難將檢閱的範圍縮小為Teams內容。 為了協助您將檢閱焦點放在 Teams 內容上,有 Teams 內容專屬的元數據屬性。 您可以使用這些屬性來組織檢閱清單中的數據行,並 設定篩選和查詢 ,以優化Teams內容的檢閱。 當您從電子檔探索匯出 Teams 內容時,也會包含這些元數據屬性,以協助您在匯出後或非Microsoft電子檔探索工具中組織和檢視內容。

    下表描述 Teams 內容的元資料屬性。

    元數據屬性 描述
    ContainsDeletedMessage 指出文字記錄檔是否包含已刪除的訊息。 檢視文字記錄檔時,會識別已刪除的訊息。
    ContainsEditedMessage 指出文字記錄檔是否包含已編輯的訊息。 檢視文字記錄檔時,會識別已編輯的訊息。
    ConversationId GUID,識別與專案相關聯的交談。 來自相同交談的文字記錄檔和附件對此屬性具有相同的值。
    交談名稱 與文字記錄檔或附件相關聯的交談名稱。 對於 Teams 1:1 和群組聊天,此屬性的值是串連交談所有參與者 (UPN) 用戶主體名稱。 例如,User3 <User3@contoso.onmicrosoft.com>,User4 <User4@contoso.onmicrosoft.com>,User2 <User2@contoso.onmicrosoft.com>。 Teams 頻道 (標準、私人和共用) 聊天使用下列交談名稱格式: <Team name>,<Channel name>。 例如,eDiscovery vNext, General
    ConversationType 指出小組聊天的類型。 對於 Teams 1:1 和群組聊天,此屬性的值為 Group。 針對標準、私人和共用頻道聊天,其值為 Channel
    Date UTC 文字記錄檔中第一則訊息的時間戳。
    FamilyId 識別聊天交談文字記錄檔的 GUID。 附件的這個屬性值與包含檔案所附加訊息的文字記錄檔相同。
    FileClass 表示內容的類型。 來自 Teams 聊天的專案具有 值 Conversation。 相反地,Exchange 電子郵件訊息的值 Email為 。
    MessageKind 訊息種類屬性。 Teams 內容具有 值 microsoftteams , im
    參與者 參與聊天的所有人員清單,包括交談中的寄件人和收件者。
    收件者 在文字記錄交談中收到訊息的所有用戶清單。
    TeamsChannelName 文字記錄的Teams頻道名稱。

    如需其他電子檔探索元數據屬性的描述,請參閱 Document metadata fields in eDiscovery>

    匯出Teams內容

    在檢閱和挑選檢閱集中的 Teams 內容之後,您可以匯出適用於調查的所有專案。 Teams 內容沒有任何特定的匯出設定。 如果將內容新增到檢閱集做為文字記錄檔,則每個文字記錄都會匯出為 HTML 訊息檔案。 匯出Teams內容時,會包含上一節所討論的元數據屬性。

    每個匯出專案 (文字記錄或個別訊息) 會在 items.csv 報 表中參考,而且可以使用報表中的目標路徑字段找到。 文字記錄檔位於根匯出資料夾的 [交談] 資料夾中。

    檢視檢視

    以下是在檢視 Teams 內容的一些秘訣和最佳做法。

    • 使用命令行中的 [自定義數據 行] 控制項來新增及組織數據行,以優化 Teams 內容的檢閱。 您可以新增和移除適用於 Teams 內容的數據行。 您也可以在 [ 編輯 資料行] 飛出視窗頁面中拖放數據行,以排序數據行的順序。 您也可以排序數據行,以針對您排序的數據行使用類似的值將Teams內容分組。
    • 可協助您檢閱Teams內容的實用資料行包括 參與者收件者檔類型郵件種類
    • 使用 Teams 相關屬性 的篩選 來快速顯示 Teams 內容。 上一節所述的大部分元數據屬性都有篩選條件。

    刪除 Teams 聊天訊息

    當包含機密或惡意資訊的內容透過 Teams 聊天訊息發行時,您可以使用電子檔探索和 Microsoft Graph 總管來回應資料洩漏事件。 組織中的系統管理員可以在 Microsoft Teams 中搜尋和刪除聊天訊息。 此功能可協助您移除 Teams 聊天訊息中的敏感性資訊或不適當的內容。 如需詳細資訊,請 參閱在Teams中搜尋和清除聊天訊息