Compartir a través de

Realizar una investigación eDiscovery de contenido en Microsoft Teams

  • Artículo
  • Se aplica a:
    Microsoft Teams

Sugerencia

eDiscovery (versión preliminar) ya está disponible en el nuevo portal de Microsoft Purview. Para obtener más información sobre el uso de la nueva experiencia de exhibición de documentos electrónicos, consulte Información sobre eDiscovery (versión preliminar).

A menudo, las grandes empresas están expuestas a procedimientos judiciales de alta sanción que exigen la presentación de toda la información almacenada electrónicamente (ESI). El contenido de Microsoft Teams se puede buscar y usar durante las investigaciones de eDiscovery.

Información general

Todos los chats de grupo o Microsoft Teams 1:1 se registran en diario en los buzones de los usuarios respectivos. Todos los mensajes de canal estándar se registran en diario en el buzón de grupo que representa al equipo. Los archivos cargados en canales estándar se tratan en la funcionalidad de exhibición de documentos electrónicos para SharePoint Online y OneDrive para la Empresa.

eDiscovery de mensajes y archivos en canales privados funciona de forma diferente que en canales estándar. Para obtener más información, consulte eDiscovery of private channels (Exhibición de documentos electrónicos de canales privados).

Las reuniones grabadas de Teams se almacenan en la cuenta OneDrive para la Empresa del usuario que registra la reunión. Además, la información de identificación de los asistentes cuando se usa la funcionalidad Ocultar nombres de asistentes para reuniones de Teams se almacena en el buzón de usuario del organizador de la reunión. Para obtener más información, consulte Flujo de trabajo de eDiscovery (Premium) para obtener contenido en Microsoft Teams.

No se puede aplicar eDiscovery a todo el contenido de Teams. En la tabla siguiente se muestran los tipos de contenido de Teams que puede buscar mediante las herramientas de Exhibición de documentos electrónicos de Microsoft:

Tipo de contenido Notas
Grabaciones de audio Llamadas de audio entre usuarios de Teams y contactos externos
Contenido de la tarjeta Consulte Búsqueda de contenido de tarjeta para obtener más información.
Vínculos de chat
Mensajes de chat Esto incluye contenido en canales estándar de Teams, chats 1:1, chats de grupo 1:N, chats con usted mismo y chats con invitados.
Fragmentos de código
Mensajes editados Si el usuario está en espera, también se conservan las versiones anteriores de los mensajes editados.
Emojis, GIF y pegatinas
Imágenes en línea
componentes de Loop El contenido de un componente de bucle se guarda en un archivo .fluid que se almacena en la cuenta de OneDrive para la Empresa del usuario que envía el componente de bucle. Esto significa que tiene que incluir OneDrive como origen de datos al buscar contenido en componentes de bucle.
Conversaciones de mensajería instantánea de reunión
Metadatosde reunión 1
Grabaciones y transcripciones de reuniones Las transcripciones del audio de la reunión se extraen y se proporcionan como un archivo independiente. El tamaño máximo de archivo de .mp4 reunión admitida es de 350 MB. Si el tamaño del archivo de reunión registrado es mayor que 350 MB, se produce un error de procesamiento y el archivo está disponible para su descarga.
Nombre del canal
Ofertas El contenido ofertado se puede buscar. Sin embargo, los resultados de búsqueda no indican que el contenido se oferte.
Reacciones (como me gusta, corazones y otras reacciones) Las reacciones son compatibles con todos los clientes comerciales después del 1 de junio de 2022. Las reacciones anteriores a esta fecha no están disponibles para eDiscovery. Ahora se admiten las reacciones expandidas. Para comprender el historial de reacciones, el contenido debe estar en suspensión legal.
Asunto
Tables
Clip de vídeo de Teams (TVC) Busque TVC con la palabra clave "Video-Clip" y "guardar como" un archivo .mp4 para cada archivo adjunto de TVC haciendo clic con el botón derecho en la vista previa.

Los TVC se recopilan como datos adjuntos de conversación de Teams (si son menores que 200 MB) y archivos .mp4 independientes. Los datos del archivo TVC se pueden detectar en conjuntos de revisión de exhibición de documentos electrónicos y se pueden exportar. Actualmente no se admite la vista previa de clips de vídeo.

1 Los metadatos de reunión (y llamada) incluyen lo siguiente:

  • Hora de inicio y finalización de la reunión, y duración
  • Unirse a la reunión y dejar eventos para cada participante
  • Combinaciones o llamadas VOIP
  • Combinaciones de usuarios federados
  • Combinaciones de invitados

Importante

Los usuarios anónimos que se unen a reuniones y llamadas no se admiten actualmente en las consultas de búsqueda de exhibición de documentos electrónicos.

Este es un ejemplo de una conversación de chat entre participantes durante una reunión.

Conversación entre participantes en Teams.

Este es un ejemplo de la copia de cumplimiento de la misma conversación de chat vista en una herramienta de exhibición de documentos electrónicos.

Conversación entre participantes en los resultados de búsqueda de eDiscovery.

Este es un ejemplo de los metadatos de la reunión.

Metadatos de reunión de la copia de cumplimiento.

Para obtener más información sobre cómo llevar a cabo una investigación de exhibición de documentos electrónicos, vea Introducción a eDiscovery (Standard).

Los datos de Microsoft Teams aparecen como mensajería instantánea o conversaciones en la salida de exportación de exhibición de documentos electrónicos de Excel. Puede abrir el .pst archivo en Outlook para ver esos mensajes después de exportarlos.

Al ver el archivo .pst del equipo, todas las conversaciones se encuentran en la carpeta Chat en equipo en Historial de conversaciones. El título del mensaje contiene el nombre del equipo y el nombre del canal. Por ejemplo, en la imagen siguiente se muestra un mensaje de Bob que ha enviado un mensaje al canal estándar de Project 7 del equipo de especificaciones de fabricación.

Captura de pantalla de una carpeta de Chat en equipo en el buzón de un usuario en Outlook.

Los chats privados en el buzón de un usuario se almacenan en la carpeta Chat en equipo en Historial de conversaciones.

Exhibición de documentos electrónicos de canales privados y compartidos

Las copias de cumplimiento de mensajes en canales privados y compartidos se envían a diferentes buzones en función del tipo de canal. Esto significa que tiene que buscar en diferentes ubicaciones de buzón en función del tipo de canal del que un usuario es miembro.

  • Canales privados. Las copias de cumplimiento se envían al buzón de todos los miembros del canal privado. Esto significa que tiene que buscar en el buzón de usuario al buscar contenido en mensajes de canal privado.
  • Canales compartidos. Las copias de cumplimiento se envían a un buzón del sistema asociado al equipo primario. Dado que Teams no admite una búsqueda de exhibición de documentos electrónicos de un único buzón de sistema para un canal compartido, debe buscar en el buzón el equipo primario (seleccionando el nombre del buzón de equipo) al buscar contenido de mensaje en canales compartidos.

Cada canal privado y compartido tiene su propio sitio de SharePoint que es independiente del sitio del equipo primario. Esto significa que los archivos en canales privados y compartidos se almacenan en su propio sitio y se administran independientemente del equipo primario. Esto significa que debe identificar y buscar en el sitio específico asociado a un canal al buscar contenido en archivos y datos adjuntos de mensajes de canal.

Use las secciones siguientes para ayudar a identificar el canal privado o compartido que se va a incluir en la búsqueda de exhibición de documentos electrónicos.

Identificación de los miembros de un canal privado

Use el procedimiento de esta sección para identificar los miembros de un canal privado de modo que pueda usar herramientas de exhibición de documentos electrónicos para buscar contenido en los mensajes de canal privado en el buzón del miembro.

Antes de realizar estos pasos, asegúrese de que tiene instalada la versión más reciente del módulo de PowerShell de Teams .

  1. Ejecute el siguiente comando para obtener el identificador de grupo del equipo que contiene los canales compartidos que desea buscar.

    Get-Team -DisplayName <display name of the the parent team>

    Sugerencia

    Ejecute el cmdlet Get-Team sin parámetros para mostrar una lista de todos los equipos de su organización. La lista contiene el id. de grupo y displayName para cada equipo.

  2. Ejecute el siguiente comando para obtener una lista de canales privados en el equipo primario. Use el identificador de grupo para el equipo que obtuvo en el paso 1.

     Get-TeamChannel -GroupId <parent team GroupId> -MembershipType Private

  3. Ejecute el siguiente comando para obtener una lista de propietarios y miembros de canales privados para un canal privado específico.

     Get-TeamChannelUser -GroupId <parent team GroupId> -DisplayName "Partner Shared Channel"

  4. Incluya los buzones de los propietarios y los miembros de un canal privado como parte de la consulta de búsqueda de exhibición de documentos electrónicos en eDiscovery (Standard) o al identificar y recopilar contenido de custodio en eDiscovery (Premium).

Identificación del sitio de SharePoint para canales privados y compartidos

Como se explicó anteriormente, los archivos compartidos en canales privados y compartidos (y los archivos adjuntos a mensajes de canal) se almacenan en la colección de sitios asociada al canal. Use el procedimiento de esta sección para identificar la dirección URL del sitio asociado a un canal privado o compartido específico. A continuación, puede usar las herramientas de exhibición de documentos electrónicos para buscar contenido en el sitio.

Antes de realizar estos pasos, instale el Shell de administración de SharePoint Online y conéctese a SharePoint Online.

  1. Opcionalmente, ejecute lo siguiente para obtener una lista de todas las colecciones de sitios de SharePoint asociadas a canales compartidos en el equipo primario.

     Get-SPOSite

    Sugerencia

    La convención de nomenclatura de la dirección URL de un sitio asociado a canales privados y compartidos es [SharePoint domain]/sites/[Name of parent team]-[Name of private or shared channel]. Por ejemplo, la dirección URL del canal compartido denominado "Colaboración de asociados", que se encuentra en el equipo primario "Equipo de ingenieros" de la organización contoso es https://contoso.sharepoint.com/sites/EngineeringTeam-PartnerCollaboration.

  2. Ejecute los siguientes comandos de PowerShell para mostrar la dirección URL de todos los sitios de SharePoint asociados a los canales privados y compartidos de su organización. La salida del script también incluye el identificador de grupo del equipo primario, que debe ejecutar los comandos en el paso 3.

    $sites = Get-SPOSite -Template "TEAMCHANNEL#1"
foreach ($site in $sites) {$x= Get-SPOSite -Identity $site.url -Detail; $x.relatedgroupID; $x.url}

    Nota:

    Los sitios de SharePoint para canales privados creados antes del 28 de junio de 2021 usan el valor "TEAMCHANNEL#0" para el identificador de plantilla personalizado. Para mostrar los canales privados creados después de esta fecha, use el valor "TEAMCHANNEL#1" al ejecutar los dos scripts anteriores. Los canales compartidos solo usan el valor de "TEAMCHANNEL#1".

  3. Para cada equipo primario, ejecute los siguientes comandos de PowerShell para identificar los sitios de canal privado y compartido, donde $groupID es el identificador de grupo del equipo primario.

    $sites = Get-SPOSite -Template "TEAMCHANNEL#1"
$groupID = "<group ID of parent team)"
foreach ($site in $sites) {$x= Get-SpoSite -Identity $site.url -Detail; if ($x.RelatedGroupId -eq $groupID) {$x.RelatedGroupId;$x.url}}

  4. Incluya el sitio asociado a un canal privado o compartido como parte de la consulta de búsqueda de exhibición de documentos electrónicos en eDiscovery (Standard) o al identificar y recopilar contenido del custodio en eDiscovery (Premium).

Búsqueda de contenido para invitados

Puede usar herramientas de exhibición de documentos electrónicos para buscar contenido de Teams relacionado con invitados de su organización. El contenido de chat de Teams asociado a un invitado se conserva en una ubicación de almacenamiento basada en la nube y se puede buscar mediante eDiscovery. Esto incluye la búsqueda de contenido en conversaciones de chat 1:1 y 1:N en las que un invitado es un participante con otros usuarios de su organización. También puede buscar mensajes de canal privado en los que un invitado sea un participante y buscar contenido en las conversaciones de chat invitado:invitado donde los únicos participantes son invitados.

Para buscar contenido para invitados:

  1. Conéctese a PowerShell de Microsoft Graph. Para obtener más información, consulte la introducción a PowerShell de Microsoft Graph. Asegúrese de completar los pasos 1 y 2 del artículo anterior.

  2. Después de conectarse correctamente a Microsoft Graph PowerShell, ejecute el siguiente comando para mostrar el nombre principal de usuario (UPN) para todos los invitados de la organización. Debe usar el UPN del invitado al crear la búsqueda en el paso 4.

    Get-MgUser -Filter "userType eq 'Guest'" -All $true | FL UserPrincipalName

    Sugerencia

    En lugar de mostrar una lista de nombres principales de usuario en la pantalla del equipo, puede redirigir la salida del comando a un archivo de texto. Para ello, anexe > filename.txt al comando anterior. El archivo de texto con los nombres principales de usuario se guardará en la carpeta actual.

  3. En otra ventana de Windows PowerShell, conéctese a PowerShell de cumplimiento de seguridad &. Para obtener instrucciones, consulte Conexión a PowerShell de cumplimiento de & seguridad. Puede conectarse con o sin usar la autenticación multifactor.

  4. Cree una búsqueda de contenido que busque todo el contenido (como mensajes de chat y mensajes de correo electrónico) en el que el invitado especificado era un participante mediante la ejecución del siguiente comando.

    New-ComplianceSearch <search name> -ExchangeLocation <guest UPN>  -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true

    Por ejemplo, para buscar contenido asociado a la invitada Sara Davis, ejecutaría el siguiente comando.

    New-ComplianceSearch "Sara Davis Guest" -ExchangeLocation "sara.davis_hotmail.com#EXT#@contoso.onmicrosoft.com" -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true

    Para obtener más información sobre el uso de PowerShell para crear búsquedas de contenido, consulte New-ComplianceSearch.

  5. Ejecute el siguiente comando para iniciar la búsqueda de contenido que creó en el paso 4:

    Start-ComplianceSearch <search name>

  6. Vaya a y, a https://compliance.microsoft.com continuación, seleccione Mostrar toda la>búsqueda de contenido.

  7. En la lista de búsquedas, seleccione la búsqueda que creó en el paso 4 para mostrar la página de control flotante.

  8. En la página de control flotante, puede hacer lo siguiente:

    • Seleccione Ver resultados para ver los resultados de la búsqueda y obtener una vista previa del contenido.
    • Junto al campo Consulta , seleccione Editar para editar y, a continuación, vuelva a ejecutar la búsqueda. Por ejemplo, puede agregar una consulta de búsqueda para restringir los resultados.
    • Seleccione Exportar resultados para exportar y descargar los resultados de la búsqueda.

Búsqueda de contenido de tarjeta

El contenido de tarjeta generado por las aplicaciones en canales de Teams, chats 1:1 y chats 1xN se almacena en buzones y se puede buscar. Una tarjeta es un contenedor de IU para pequeños fragmentos de contenido. Las tarjetas pueden tener varias propiedades y datos adjuntos, y pueden incluir elementos que pueden desencadenar acciones de tarjeta. Para obtener más información, consulte Tarjetas.

Igual que el resto de contenido de Teams, el lugar donde se almacena el contenido de las tarjetas depende de dónde se haya usado. El contenido de tarjetas usado en un canal de Teams se almacena en el buzón del grupo de Teams. El contenido de tarjetas de los chats 1x1 y 1xN se almacena en los buzones de los participantes de los chats.

Para buscar el contenido de tarjetas, puede usar las condiciones de búsqueda kind:microsoftteams y itemclass:IPM.SkypeTeams.Message. Al revisar los resultados de la búsqueda, el contenido de la tarjeta generado por los bots en un canal de Teams tiene la propiedad de correo electrónico Sender/Author como <appname>@teams.microsoft.com, donde appname es el nombre de la aplicación que generó el contenido de la tarjeta. Si el contenido de la tarjeta lo generó un usuario, el valor mostrado en Remitente/autor identificará al usuario.

Para ver el contenido de tarjetas en los resultados de búsquedas de contenido, el contenido aparece como dato adjunto al mensaje. El dato adjunto se denomina appname.html, donde appname es el nombre de la aplicación que generó el contenido de la tarjeta. La siguiente captura de pantalla muestra cómo aparece el contenido de tarjetas (para una aplicación denominada Asana) en Teams y en los resultados de una búsqueda.

Contenido de tarjetas en Teams

Contenido de tarjetas en un mensaje de canal de Teams.

Contenido de tarjetas en resultados de la búsqueda

Mismo contenido de tarjetas en los resultados de una búsqueda de contenido.

Nota:

Para mostrar imágenes del contenido de la tarjeta en los resultados de búsqueda en este momento (como las marcas de verificación de la captura de pantalla anterior), debe iniciar sesión en Teams (en https://teams.microsoft.com) en una pestaña diferente en la misma sesión del explorador que usa para ver los resultados de la búsqueda. De lo contrario, se mostrarán marcadores de posición de las imágenes.

Búsqueda de reuniones de Teams por fecha

Los administradores pueden buscar contenido de reunión de Teams en función de las fechas de inicio o finalización de la reunión. Para filtrar los elementos establecidos de revisión por fechas de reunión específicas de Teams, puede usar las propiedades Fecha de inicio de la reunión y Fecha de finalización de la reunión en las opciones avanzadas de filtrado en eDiscovery (Premium).

Ejemplo de filtrado avanzado por fechas de reunión de Teams.

Búsqueda de asistentes ocultos en reuniones de Teams

La característica Ocultar nombres de asistentes de Microsoft Teams oculta el nombre de los asistentes a otros asistentes para que solo los organizadores puedan ver los nombres de los asistentes. Esta característica se puede usar para reuniones o eventos con empresas externas, proveedores, reuniones confidenciales u otras reuniones en las que es importante la privacidad personal entre los asistentes. Cuando esta característica está habilitada, los nombres de los asistentes se ocultan en la lista de reuniones, el chat de reuniones y las grabaciones de reuniones.

Para buscar los nombres de los asistentes en las reuniones de Teams en las que se ha habilitado la característica Ocultar nombres de asistentes , debe incluir el buzón del organizador en el ámbito de la búsqueda. Los nombres de asistentes ocultos solo están disponibles en el buzón del organizador.

eDiscovery en entornos de acceso externo y invitado

Los administradores pueden usar eDiscovery para buscar contenido en mensajes de chat en una reunión de Teams en entornos de acceso externo y de acceso de invitado en función de las siguientes restricciones:

  • Acceso externo: en una reunión de Teams con usuarios de su organización y usuarios de una organización externa donde los asistentes externos usan el acceso externo, los administradores de ambas organizaciones pueden buscar contenido en los mensajes de chat de la reunión.
  • Invitado: en una reunión de Teams con usuarios de su organización e invitados, solo los administradores de la organización que hospeda la reunión de Teams pueden buscar contenido en los mensajes de chat de la reunión.