Freigeben über

Durchführen einer eDiscovery-Untersuchung von Inhalten in Microsoft Teams

  • Artikel
  • Gilt für::
    Microsoft Teams

Tipp

eDiscovery (Vorschauversion) ist jetzt im neuen Microsoft Purview-Portal verfügbar. Weitere Informationen zur Verwendung der neuen eDiscovery-Benutzeroberfläche finden Sie unter Informationen zu eDiscovery (Vorschauversion).

Große Unternehmen sind häufig hohen Strafprozessen ausgesetzt, die die Einreichung aller elektronisch gespeicherten Informationen (ESI) verlangen. Microsoft Teams-Inhalte können durchsucht und im Rahmen von eDiscovery-Untersuchungen verwendet werden.

Übersicht

Alle Microsoft Teams 1:1- oder Gruppenchats werden in den Postfächern der jeweiligen Benutzer erfasst. Alle Standardkanalnachrichten werden in das Gruppenpostfach aufgezeichnet, das das Team darstellt. Dateien, die in Standardkanälen hochgeladen werden, werden unter der eDiscovery-Funktionalität für SharePoint Online und OneDrive for Business behandelt.

eDiscovery von Nachrichten und Dateien in privaten Kanälen funktioniert anders als in Standardkanälen. Weitere Informationen finden Sie unter eDiscovery von privaten Kanälen.

Aufgezeichnete Teams-Besprechungen werden im OneDrive for Business Konto des Benutzers gespeichert, der die Besprechung aufzeichnet. Darüber hinaus werden Informationen zur Teilnehmeridentifikation bei Verwendung der Funktion "Teilnehmernamen ausblenden " für Teams-Besprechungen im Benutzerpostfach des Besprechungsorganisators gespeichert. Weitere Informationen finden Sie unter eDiscovery (Premium)-Workflow für Inhalte in Microsoft Teams.

Nicht alle Microsoft Teams-Inhalte können im Rahmen einer eDiscovery-Suche ermittelt werden. In der folgenden Tabelle sind die Teams-Inhaltstypen aufgeführt, nach denen Sie mithilfe von Microsoft eDiscovery-Tools suchen können:

Inhaltstyp Hinweise
Audioaufnahmen Audioanrufe zwischen Teams-Benutzern und externen Kontakten
Karteninhalt Weitere Informationen finden Sie unter Suchen nach Karte Inhalt.
Chatlinks
Chat-Nachrichten Dazu gehören Inhalte in Standardmäßigen Teams-Kanälen, 1:1-Chats, 1:N-Gruppenchats, Chats mit sich selbst und Chats mit Gästen.
Codeausschnitte
Bearbeitete Nachrichten Wenn sich der Benutzer im Haltefeld befindet, werden frühere Versionen von bearbeiteten Nachrichten ebenfalls beibehalten.
Emojis, GIFs und Aufkleber
Inlinebilder
Loop Komponenten Inhalte in einer Schleifenkomponente werden in einer FLUID-Datei gespeichert, die im OneDrive for Business Konto des Benutzers gespeichert ist, der die Schleifenkomponente sendet. Das bedeutet, dass Sie OneDrive als Datenquelle einschließen müssen, wenn Sie nach Inhalten in Schleifenkomponenten suchen.
Besprechungsnachrichtenunterhaltungen
Besprechungsmetadaten1
Besprechungsaufzeichnungen und Transkripte Transkripte der Besprechungsaudios werden extrahiert und als separate Datei bereitgestellt. Die maximal unterstützte aufgezeichnete Besprechung .mp4 Dateigröße beträgt 350 MB. Wenn die aufgezeichnete Besprechungsdatei größer als 350 MB ist, tritt ein Verarbeitungsfehler auf, und die Datei kann heruntergeladen werden.
Der Name des Kanals
Zitate Zitate können durchsucht werden. In den Suchergebnissen ist jedoch nicht angegeben, dass es sich bei den Inhalten um Zitate handelt.
Reaktionen (z. B. Likes, Herzen und andere Reaktionen) Reaktionen werden für alle kommerziellen Kunden nach dem 1. Juni 2022 unterstützt. Reaktionen vor diesem Datum sind für eDiscovery nicht verfügbar. Erweiterte Reaktionen werden jetzt unterstützt. Um den Reaktionsverlauf zu verstehen, muss der Inhalt gesetzlich vorgeschrieben sein.
Betreff
Tabellen
Teams-Videoclip (TVC) Durchsuchen Sie TVC mit "Video-Clip" Schlüsselwort (keyword) und "speichern unter" eine .mp4 Datei für jede TVC-Anlage, indem Sie mit der rechten Maustaste auf die Vorschau klicken.

TVCs werden als Teams-Unterhaltungsanlagen (wenn kleiner als 200 MB) und separate .mp4-Dateien gesammelt. TVC-Dateidaten sind in eDiscovery-Prüfsätzen auffindbar und können exportiert werden. Die Vorschau von Videoclips wird derzeit nicht unterstützt.

1 Besprechungs- (und Anruf-) Metadaten umfassen Folgendes:

  • Start- und Endzeit sowie Dauer der Besprechung
  • Ereignisse bezüglich der Teilnahme an und dem Verlassen einer Besprechung für jeden Teilnehmer
  • VOIP-Joins/-Anrufe
  • Verbundbenutzerbeitritte
  • Gastbeitritte

Wichtig

Anonyme Benutzer, die an Besprechungen und Anrufen teilnehmen, werden in eDiscovery-Suchabfragen derzeit nicht unterstützt.

Hier sehen Sie ein Beispiel für eine Chatunterhaltung zwischen Teilnehmern während einer Besprechung.

Unterhaltung zwischen Teilnehmern in Teams.

Hier sehen Sie ein Beispiel für die Konformitätskopie der gleichen Chatunterhaltung, die in einem eDiscovery-Tool angezeigt wird.

Unterhaltung zwischen Teilnehmern in eDiscovery-Suchergebnissen.

Hier sehen Sie ein Beispiel für die Besprechungsmetadaten.

Die Besprechungsmetadaten aus der Konformitätskopie.

Weitere Informationen zum Durchführen einer eDiscovery-Untersuchung finden Sie unter Erste Schritte mit eDiscovery (Standard).

Microsoft Teams-Daten werden in der Excel eDiscovery-Exportausgabe als Chatnachrichten oder Unterhaltungen angezeigt. Sie können die .pst Datei in Outlook öffnen, um diese Nachrichten anzuzeigen, nachdem Sie sie exportiert haben.

Beim Anzeigen der PST-Datei für das Team befinden sich alle Unterhaltungen im Ordner Teamchat unter Unterhaltungsverlauf. Der Titel der Nachricht enthält den Teamnamen und den Kanalnamen. Die folgende Abbildung zeigt z. B. eine Nachricht von Bob, der eine Nachricht an den Project 7-Standardkanal des Manufacturing Specs-Teams gesendet hat.

Screenshot eines Teamchatordners im Postfach eines Benutzers in Outlook.

Private Chats im Postfach eines Benutzers werden im Ordner Teamchat unter Unterhaltungsverlauf gespeichert.

eDiscovery von privaten und freigegebenen Kanälen

Konformitätskopien von Nachrichten in privaten und freigegebenen Kanälen werden je nach Kanaltyp an verschiedene Postfächer gesendet. Dies bedeutet, dass Sie verschiedene Postfachspeicherorte basierend auf dem Kanaltyp durchsuchen müssen, in dem ein Benutzer Mitglied ist.

  • Private Kanäle. Konformitätskopien werden an das Postfach aller Mitglieder der Mitglieder des privaten Kanals gesendet. Das bedeutet, dass Sie das Benutzerpostfach durchsuchen müssen, wenn Sie nach Inhalten in privaten Kanalnachrichten suchen.
  • Freigegebene Kanäle. Konformitätskopien werden an ein Systempostfach gesendet, das dem übergeordnetes Team zugeordnet ist. Da Teams die eDiscovery-Suche eines einzelnen Systempostfachs für einen freigegebenen Kanal nicht unterstützt, müssen Sie das Postfach nach dem übergeordnetes Team durchsuchen (indem Sie den Namen des Teampostfachs auswählen), wenn Sie in freigegebenen Kanälen nach Nachrichteninhalten suchen.

Jeder private und freigegebene Kanal verfügt über eine eigene SharePoint-Website, die von der übergeordnetes Team Website getrennt ist. Das bedeutet, dass Dateien in privaten und freigegebenen Kanälen auf einer eigenen Website gespeichert und unabhängig vom übergeordnetes Team verwaltet werden. Dies bedeutet, dass Sie die spezifische Website identifizieren und durchsuchen müssen, die einem Kanal zugeordnet ist, wenn Sie nach Inhalten in Dateien und Kanalnachrichtenanlagen suchen.

Verwenden Sie die folgenden Abschnitte, um den privaten oder freigegebenen Kanal zu identifizieren, der in Ihre eDiscovery-Suche aufgenommen werden soll.

Identifizieren der Mitglieder eines privaten Kanals

Verwenden Sie das Verfahren in diesem Abschnitt, um Mitglieder eines privaten Kanals zu identifizieren, damit Sie eDiscovery-Tools verwenden können, um das Postfach des Mitglieds nach Inhalten in privaten Kanalnachrichten zu durchsuchen.

Bevor Sie diese Schritte ausführen, stellen Sie sicher, dass sie die neueste Version des Teams PowerShell-Moduls installiert haben.

  1. Führen Sie den folgenden Befehl aus, um die Gruppen-ID des Teams abzurufen, das die freigegebenen Kanäle enthält, die Sie durchsuchen möchten.

    Get-Team -DisplayName <display name of the the parent team>

    Tipp

    Führen Sie das Cmdlet Get-Team ohne Parameter aus, um eine Liste aller Teams in Ihrem organization anzuzeigen. Die Liste enthält die Gruppen-ID und DisplayName für jedes Team.

  2. Führen Sie den folgenden Befehl aus, um eine Liste der privaten Kanäle im übergeordnetes Team abzurufen. Verwenden Sie die Gruppen-ID für das Team, das Sie in Schritt 1 erhalten haben.

     Get-TeamChannel -GroupId <parent team GroupId> -MembershipType Private

  3. Führen Sie den folgenden Befehl aus, um eine Liste der Besitzer und Mitglieder privater Kanäle für einen bestimmten privaten Kanal abzurufen.

     Get-TeamChannelUser -GroupId <parent team GroupId> -DisplayName "Partner Shared Channel"

  4. Schließen Sie die Postfächer von Besitzern und Mitgliedern eines privaten Kanals als Teil Ihrer eDiscovery-Suchabfrage in eDiscovery (Standard) oder beim Identifizieren und Sammeln von verwahrten Inhalten in eDiscovery (Premium) ein.

Identifizieren der SharePoint-Website für private und freigegebene Kanäle

Wie bereits erläutert, werden Dateien, die in privaten und freigegebenen Kanälen (und an Kanalnachrichten angefügte Dateien) freigegeben sind, in der Websitesammlung gespeichert, die dem Kanal zugeordnet ist. Verwenden Sie das Verfahren in diesem Abschnitt, um die URL für die Website zu identifizieren, die einem bestimmten privaten oder freigegebenen Kanal zugeordnet ist. Anschließend können Sie eDiscovery-Tools verwenden, um nach Inhalten auf der Website zu suchen.

Bevor Sie diese Schritte ausführen, installieren Sie die SharePoint Online-Verwaltungsshell, und stellen Sie eine Verbindung mit SharePoint Online her.

  1. Führen Sie optional folgendes aus, um eine Liste aller SharePoint-Websitesammlungen abzurufen, die freigegebenen Kanälen im übergeordnetes Team zugeordnet sind.

     Get-SPOSite

    Tipp

    Die Namenskonvention der URL für eine Website, die privaten und freigegebenen Kanälen zugeordnet ist, lautet [SharePoint domain]/sites/[Name of parent team]-[Name of private or shared channel]. Beispielsweise lautet https://contoso.sharepoint.com/sites/EngineeringTeam-PartnerCollaborationdie URL für den freigegebenen Kanal "Partner Collaboration", der sich im übergeordnetes Team "Engineer Team" im Contoso-organization befindet.

  2. Führen Sie die folgenden PowerShell-Befehle aus, um die URL für alle SharePoint-Websites anzuzeigen, die den privaten und freigegebenen Kanälen in Ihrem organization zugeordnet sind. Die Ausgabe des Skripts enthält auch die Gruppen-ID des übergeordnetes Team, die Sie zum Ausführen der Befehle in Schritt 3 benötigen.

    $sites = Get-SPOSite -Template "TEAMCHANNEL#1"
foreach ($site in $sites) {$x= Get-SPOSite -Identity $site.url -Detail; $x.relatedgroupID; $x.url}

    Hinweis

    SharePoint-Websites für private Kanäle, die vor dem 28. Juni 2021 erstellt wurden, verwenden den Wert "TEAMCHANNEL#0" für die benutzerdefinierte Vorlagen-ID. Um private Kanäle anzuzeigen, die nach diesem Datum erstellt wurden, verwenden Sie den Wert "TEAMCHANNEL#1" , wenn Sie die vorherigen beiden Skripts ausführen. Freigegebene Kanäle verwenden nur den Wert von "TEAMCHANNEL#1".

  3. Führen Sie für jede übergeordnetes Team die folgenden PowerShell-Befehle aus, um die privaten und freigegebenen Kanalwebsites zu identifizieren, wobei $groupID die Gruppen-ID des übergeordnetes Team ist.

    $sites = Get-SPOSite -Template "TEAMCHANNEL#1"
$groupID = "<group ID of parent team)"
foreach ($site in $sites) {$x= Get-SpoSite -Identity $site.url -Detail; if ($x.RelatedGroupId -eq $groupID) {$x.RelatedGroupId;$x.url}}

  4. Schließen Sie die website, die einem privaten oder freigegebenen Kanal zugeordnet ist, als Teil Ihrer eDiscovery-Suchabfrage in eDiscovery (Standard) oder beim Identifizieren und Sammeln von verwahrten Inhalten in eDiscovery (Premium) ein.

Suchen nach Inhalten für Gäste

Sie können eDiscovery-Tools verwenden, um in Ihrem organization nach Teams-Inhalten im Zusammenhang mit Gästen zu suchen. Teams-Chatinhalte, die einem Gast zugeordnet sind, werden an einem cloudbasierten Speicherort aufbewahrt und können mithilfe von eDiscovery gesucht werden. Dies umfasst die Suche nach Inhalten in 1:1- und 1:N-Chatunterhaltungen, an denen ein Gast mit anderen Benutzern in Ihrem organization. Sie können auch nach privaten Kanalnachrichten suchen, in denen ein Gast ein Teilnehmer ist, und nach Inhalten in Gast-: Gast-Chatunterhaltungen suchen, bei denen die einzigen Teilnehmer Gäste sind.

So suchen Sie nach Inhalten für Gäste:

  1. Stellen Sie eine Verbindung mit Microsoft Graph PowerShell her. Weitere Informationen finden Sie in der Übersicht über Microsoft Graph PowerShell. Stellen Sie sicher, dass Sie Schritt 1 und Schritt 2 im vorherigen Artikel ausführen.

  2. Nachdem Sie erfolgreich eine Verbindung mit Microsoft Graph PowerShell hergestellt haben, führen Sie den folgenden Befehl aus, um den Benutzerprinzipalnamen (User Principal Name, UPN) für alle Gäste in Ihrem organization anzuzeigen. Sie müssen den UPN des Gasts verwenden, wenn Sie die Suche in Schritt 4 erstellen.

    Get-MgUser -Filter "userType eq 'Guest'" -All $true | FL UserPrincipalName

    Tipp

    Anstatt eine Liste von Benutzerprinzipalnamen auf dem Computerbildschirm anzuzeigen, können Sie die Ausgabe des Befehls an eine Textdatei umleiten. Sie können dies tun, indem Sie an den vorherigen Befehl anfügen > filename.txt . Die Textdatei mit den Benutzerprinzipalnamen wird im aktuellen Ordner gespeichert.

  3. Stellen Sie in einem anderen Windows PowerShell Fenster eine Verbindung mit Security & Compliance PowerShell her. Anweisungen finden Sie unter Herstellen einer Verbindung mit Security & Compliance PowerShell. Sie können eine Verbindung mit oder ohne Verwendung der mehrstufigen Authentifizierung herstellen.

  4. Erstellen Sie eine Inhaltssuche, die nach allen Inhalten (z. B. Chatnachrichten und E-Mail-Nachrichten) sucht, an denen der angegebene Gast beteiligt war, indem Sie den folgenden Befehl ausführen.

    New-ComplianceSearch <search name> -ExchangeLocation <guest UPN>  -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true

    Um beispielsweise nach Inhalten zu suchen, die dem Gast Sara Davis zugeordnet sind, führen Sie den folgenden Befehl aus.

    New-ComplianceSearch "Sara Davis Guest" -ExchangeLocation "sara.davis_hotmail.com#EXT#@contoso.onmicrosoft.com" -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true

    Weitere Informationen zur Verwendung von PowerShell zum Erstellen von Inhaltssuchen finden Sie unter New-ComplianceSearch.

  5. Führen Sie den folgenden Befehl aus, um die Inhaltssuche zu starten, die Sie in Schritt 4 erstellt haben:

    Start-ComplianceSearch <search name>

  6. Wechseln Sie zu https://compliance.microsoft.com , und wählen Sie dann Alle>Inhaltssuche anzeigen aus.

  7. Wählen Sie in der Liste der Suchvorgänge die Suche aus, die Sie in Schritt 4 erstellt haben, um die Flyoutseite anzuzeigen.

  8. Auf der Flyoutseite können Sie die folgenden Schritte ausführen:

    • Wählen Sie Ergebnisse anzeigen aus, um die Suchergebnisse anzuzeigen und eine Vorschau des Inhalts anzuzeigen.
    • Wählen Sie neben dem Feld Abfrage die Option Bearbeiten aus, um sie zu bearbeiten, und führen Sie die Suche dann erneut aus. Sie können beispielsweise eine Suchabfrage hinzufügen, um die Ergebnisse einzugrenzen.
    • Wählen Sie Ergebnisse exportieren aus, um die Suchergebnisse zu exportieren und herunterzuladen.

Suchen nach Karte Inhalten

Karteninhalte, die von Apps in Teams-Kanälen, 1:1-Chats und 1xN-Chats generiert werden, werden in Postfächern gespeichert und können durchsucht werden. Eine Karte ist ein UI-Container für kurze Inhaltsteile. Karten können mehrere Eigenschaften und Anlagen aufweisen und Elemente enthalten, die Karte Aktionen auslösen können. Weitere Informationen finden Sie unter:Karten

Wie bei anderen Teams-Inhalten hängt der Speicherort der Karteninhalte davon ab, wo die Karte verwendet wurde. Inhalte für Karten, die in einem Teams-Kanal verwendet werden, werden im Postfach der Teams-Gruppe gespeichert. Karteninhalte für 1:1- und 1xN-Chats werden in den Postfächern der Chat-Teilnehmer gespeichert.

Um nach Karteninhalten zu suchen, können Sie die Suchbedingungen kind:microsoftteams oder itemclass:IPM.SkypeTeams.Message verwenden. Beim Überprüfen von Suchergebnissen weist Karte Von Bots in einem Teams-Kanal generierten Inhalt die E-Mail-Eigenschaft Absender/Autor als <appname>@teams.microsoft.comauf, wobei appname der Name der App ist, die den Karte Inhalt generiert hat. Wenn der Karteninhalt von einem Benutzer erzeugt wurde, identifiziert der Wert Sender/Autor den Benutzer.

Wenn Sie den Karteninhalt in den Ergebnissen der Inhaltssuche anzeigen, erscheint der Inhalt als Anhang der Nachricht. Der Anhang trägt den Namen appname.html, wobei appname der Name der App ist, die den Karteninhalt erzeugt hat. Die folgenden Screenshots zeigen, wie Karteninhalte (für eine App namens Asana) in Teams und in den Suchergebnissen erscheinen.

Karteninhalt in Teams

Karteninhalt in Teams-Kanal-Nachricht.

Karteninhalt in den Suchergebnissen

Gleicher Karteninhalt in den Ergebnissen einer Inhaltssuche.

Hinweis

Um Bilder aus Karte Inhalten in Suchergebnissen anzuzeigen (z. B. die Häkchen im vorherigen Screenshot), müssen Sie in derselben Browsersitzung, die Sie zum Anzeigen der Suchergebnisse verwenden, auf einer anderen Registerkarte bei Teams (at https://teams.microsoft.com) angemeldet sein. Andernfalls werden Bildplatzhalter angezeigt.

Suchen nach Teams-Besprechungen nach Datum

Administratoren können basierend auf dem Start- oder Enddatum der Besprechung nach Teams-Besprechungsinhalten suchen. Um Überprüfungssatzelemente nach bestimmten Teams-Besprechungsterminen zu filtern, können Sie die Eigenschaften Besprechungsanfangsdatum und Besprechungsenddatum in den erweiterten Filteroptionen in eDiscovery (Premium) verwenden.

Beispiel für eine erweiterte Filterung nach Teams-Besprechungsterminen.

Suchen nach ausgeblendeten Teilnehmern in Teams-Besprechungen

Das Feature "Teilnehmernamen ausblenden " in Microsoft Teams blendet den Namen der Teilnehmer vor anderen Teilnehmern aus, sodass nur Organisatoren die Namen der Teilnehmer sehen können. Dieses Feature kann für Besprechungen oder Ereignisse mit externen Unternehmen, Lieferanten, vertraulichen Besprechungen oder anderen Besprechungen verwendet werden, bei denen der persönliche Datenschutz zwischen Teilnehmern wichtig ist. Wenn dieses Feature aktiviert ist, werden die Namen der Teilnehmer in der Besprechungsliste, im Besprechungschat und in besprechungsaufzeichnungen ausgeblendet.

Um nach den Namen von Teilnehmern in Teams-Besprechungen zu suchen, in denen das Feature "Teilnehmernamen ausblenden " aktiviert war, müssen Sie das Postfach des Organisators in den Bereich für die Suche einschließen. Ausgeblendete Teilnehmernamen sind nur im Postfach des Organisators verfügbar.

eDiscovery in externen Zugriffs- und Gastumgebungen

Administratoren können eDiscovery verwenden, um nach Inhalten in Chatnachrichten in einer Teams-Besprechung in Umgebungen mit externem Zugriff und Gastzugriff zu suchen, basierend auf den folgenden Einschränkungen:

  • Externer Zugriff: In einer Teams-Besprechung mit Benutzern aus Ihrem organization und Benutzern aus einer externen organization, in der externe Teilnehmer externen Zugriff verwenden, können Administratoren in beiden Organisationen nach Inhalten in Chatnachrichten aus der Besprechung suchen.
  • Gast: In einer Teams-Besprechung mit Benutzern aus Ihrem organization und Gästen können nur Administratoren im organization, die die Teams-Besprechung hosten, nach Inhalten in Chatnachrichten aus der Besprechung suchen.