Compartir a través de


Flujo de trabajo de eDiscovery (Premium) para contenido en Microsoft Teams

Sugerencia

eDiscovery (versión preliminar) ya está disponible en el nuevo portal de Microsoft Purview. Para obtener más información sobre el uso de la nueva experiencia de exhibición de documentos electrónicos, consulte Información sobre eDiscovery (versión preliminar).

En este artículo se proporciona un conjunto completo de procedimientos, directrices y procedimientos recomendados para usar Microsoft Purview eDiscovery (Premium) para conservar, recopilar, revisar y exportar contenido de Microsoft Teams. El objetivo de este artículo es ayudarle a optimizar el flujo de trabajo de eDiscovery para el contenido de Teams.

Hay siete categorías de contenido de Teams que puede recopilar y procesar mediante eDiscovery (Premium):

  • Chats de Teams 1:1. Mensajes de chat, publicaciones y datos adjuntos compartidos en una conversación de Teams entre dos personas. Los chats de Teams 1:1 también se denominan conversaciones.
  • Chats de grupo de Teams. Mensajes de chat, publicaciones y datos adjuntos compartidos en una conversación de Teams entre tres o más personas. También se denomina chats 1:N o conversaciones grupales.
  • Reacciones de Teams. Reacciones aplicadas a mensajes de chat, publicaciones y datos adjuntos en una conversación de Teams.
  • Canales de Teams. Mensajes de chat, publicaciones, respuestas y datos adjuntos compartidos en un canal estándar de Teams.
  • Reuniones de Teams. Audio y transcripciones de las reuniones grabadas de Teams.
  • Canales privados. Mensajes, respuestas y datos adjuntos compartidos en un canal privado de Teams.
  • Canales compartidos. Mensajes, respuestas y datos adjuntos compartidos en un canal compartido de Teams.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Dónde se almacena el contenido de Teams

Un requisito previo para administrar el contenido de Teams en eDiscovery (Premium) es comprender el tipo de contenido de Teams que puede recopilar, procesar y revisar en eDiscovery (Premium) y dónde se almacena ese contenido en Microsoft 365.

Los datos de Teams se almacenan en Azure Cosmos DB. Los registros de cumplimiento de Teams capturados por el sustrato están en Exchange Online y están disponibles para ediscovery.

En la tabla siguiente se muestra el tipo de contenido de Teams y dónde se almacena cada uno con fines de cumplimiento. Los datos almacenados en Exchange Online están ocultos para los clientes. eDiscovery nunca funciona con los datos de mensajes reales de Teams, que permanecen en Azure Cosmos DB.

Categoría de Teams Ubicación de mensajes o publicaciones de chat Ubicación de archivos o datos adjuntos Ubicación de las grabaciones de reuniones
Chats de Teams 1:1 Los mensajes de los chats 1:1 se almacenan en el buzón Exchange Online de todos los participantes del chat. Los archivos compartidos en un chat 1:1 se almacenan en la cuenta de OneDrive para la Empresa de la persona que ha compartido el archivo. N/D
Chats de grupo de Teams Los mensajes de los chats de grupo se almacenan en el buzón de Exchange Online de todos los participantes del chat. Los archivos compartidos en los chats de grupo se almacenan en la cuenta OneDrive para la Empresa de la persona que ha compartido el archivo. N/D
Reacciones de Teams Los mensajes de los chats de grupo se almacenan en el buzón de Exchange Online de todos los participantes del chat. Los archivos compartidos en los chats de grupo se almacenan en la cuenta OneDrive para la Empresa de la persona que ha compartido el archivo. N/D
Canales de Teams Todos los mensajes y publicaciones del canal se almacenan en el buzón de Exchange Online asociado al equipo. Los archivos compartidos en un canal se almacenan en el sitio de SharePoint Online asociado al equipo. N/D
Reuniones de Teams Los chats en reuniones grabadas se almacenan en la cuenta de OneDrive para la Empresa del usuario que registra la reunión de Teams. Los archivos y datos adjuntos compartidos en reuniones grabadas se almacenan en la cuenta de OneDrive para la Empresa para el usuario que registra la reunión de Teams. Las grabaciones de reuniones se almacenan en la cuenta de OneDrive para la Empresa del usuario que registra la reunión de Teams.
Canales privados Los mensajes enviados en un canal privado se almacenan en los buzones de Exchange Online de todos los miembros del canal privado. Los archivos compartidos en un canal privado se almacenan en un sitio de SharePoint Online dedicado asociado al canal privado. N/D
Canales compartidos Los mensajes enviados en un canal compartido se almacenan en un buzón del sistema asociado al canal compartido. 1 Los archivos compartidos en un canal compartido se almacenan en un sitio de SharePoint Online dedicado asociado al canal compartido. N/D

Nota:

1 Para buscar (y conservar) los mensajes enviados en un canal compartido, tiene que buscar o especificar el buzón de Exchange Online para el equipo primario.

Creación de un caso para el contenido de Teams

El primer paso para administrar el contenido de Teams en eDiscovery (Premium) es crear un caso con el nuevo formato de caso optimizado para administrar el contenido de Teams. El nuevo formato de caso ayuda a dar cabida a aumentos significativos en el tamaño de los casos, tanto para el volumen total de datos como para el número total de elementos en casos.

Para obtener instrucciones paso a paso sobre cómo crear un caso, consulte Creación y administración de un caso de exhibición de documentos electrónicos (Premium).

Adición de orígenes de datos de custodia de Teams y conservación del contenido de Teams

El siguiente paso es identificar a los usuarios que son los custodios de datos de la investigación y agregarlos y sus ubicaciones de contenido como custodios al caso que creó en la sección anterior. Al agregar custodios, puede especificar su buzón de correo y su cuenta de OneDrive como orígenes de datos de custodia. También puede especificar ubicaciones de contenido de Teams como orígenes de datos custodios para colocar rápidamente estas ubicaciones en suspensión legal para conservar el contenido durante la investigación. También facilita la recopilación de contenido y su incorporación a un conjunto de revisión.

Para agregar custodios a un caso y conservar orígenes de datos de custodia:

Nota:

Por un tiempo limitado, esta experiencia clásica de exhibición de documentos electrónicos también está disponible en el nuevo portal de Microsoft Purview. Habilite la experiencia de exhibición de documentos electrónicos clásica del portal de cumplimiento en la configuración de la experiencia de eDiscovery (versión preliminar) para mostrar la experiencia clásica en el nuevo portal de Microsoft Purview.

  1. Vaya al caso de eDiscovery (Premium) que creó en la sección anterior y, a continuación, seleccione Orígenes de datos.

  2. En la página Orígenes de datos, seleccione Agregar origen de> datosAgregar nuevos custodios.

  3. En el flujo de trabajo Nuevo custodio , agregue uno o varios usuarios como custodios al caso escribiendo la primera parte del nombre o alias del usuario. Después de encontrar a la persona correcta, seleccione su nombre para agregarla a la lista.

  4. Expanda cada custodio para ver los orígenes de datos principales que se han asociado automáticamente al custodio y seleccionar otras ubicaciones para asociar al custodio.

    Orígenes de datos custodios.

  5. Siga estas instrucciones para agregar orígenes de datos de custodia para el contenido de Teams. Seleccione Editar para agregar una ubicación de datos.

    • Buzones. El buzón del custodio está seleccionado de forma predeterminada. Mantenga esta opción seleccionada para agregar (y conservar) chats 1:1, chats de grupo y chats de canales privados como datos de custodia.
    • OneDrives. La cuenta de OneDrive del custodio está seleccionada de forma predeterminada. Mantenga esta opción seleccionada para agregar (y conservar) archivos compartidos en chats 1:1, chats de grupo y reuniones de Teams como datos de custodia.
    • SharePoint. Agregue el sitio de SharePoint asociado a cualquier canal privado o compartido del que el custodio sea miembro para agregar (y conservar) como datos custodiales los archivos compartidos en un canal. Seleccione Editar y agregue la dirección URL del sitio de SharePoint asociado a un canal privado o compartido. Para obtener información sobre cómo localizar los canales privados y compartidos de los que un usuario es miembro, consulte eDiscovery of private and shared channels (Exhibición de documentos electrónicos de canales privados y compartidos).
    • Microsoft Teams. Agregue los equipos de los que es miembro el custodio para agregar (y conservar) como datos de custodia todos los mensajes de canal y todos los archivos compartidos en un canal de Teams. Esta recomendación incluye agregar el buzón para el equipo primario de un canal compartido del que es miembro el custodio. Al seleccionar Editar, el buzón de correo y el sitio asociados a cada equipo al que pertenece el custodio se muestran en una lista. Seleccione los equipos que desea asociar al custodio. Debe seleccionar el buzón y el sitio correspondientes para cada equipo.

    Nota:

    También puede agregar el buzón de correo y el sitio de Teams de los que los custodios no son miembros como ubicación de datos del custodio. Para ello, haga clic en Editar junto a Exchange y SharePoint y agregue el buzón y el sitio asociados al equipo.

  6. Después de agregar custodios y configurar los orígenes de datos de custodia, seleccione Siguiente para mostrar la página Configuración de suspensión . Se muestra una lista de los custodios y la casilla de la columna Detención está seleccionada de forma predeterminada. Esta casilla indica que se colocará una retención en los orígenes de datos asociados a cada custodio. Deje activadas estas casillas para conservar estos datos.

  7. En la página Configuración de suspensión , seleccione Siguiente para revisar la configuración de los custodios. Seleccione Enviar para agregar los custodios al caso.

Para obtener más información sobre cómo agregar y conservar orígenes de datos en casos de eDiscovery (Premium), vea:

Recopilación de contenido de Teams y adición para revisar conjunto

Después de agregar custodios al caso y conservar el contenido en los orígenes de datos del custodio, el siguiente paso del flujo de trabajo es buscar contenido de Teams que sea relevante para la investigación y agregarlo a un conjunto de revisión para su revisión y análisis adicionales. Aunque es habitual recopilar contenido de Teams junto con contenido de otros servicios de Microsoft 365, como correo electrónico en Exchange y documentos en SharePoint, esta sección se centrará específicamente en recopilar contenido de Teams en una colección. Puede crear colecciones adicionales que recopilen contenido que no sea de Teams para agregar a un conjunto de revisión.

Al recopilar contenido de Teams para un caso, hay dos pasos en el flujo de trabajo:

  1. Cree una estimación de colección. El primer paso es crear una estimación de colección, que es una estimación de los elementos que coinciden con los criterios de búsqueda. Puede ver información sobre los resultados que coincidieron con la consulta de búsqueda, como el número total y el tamaño de los elementos encontrados, los distintos orígenes de datos donde se encontraron y las estadísticas sobre la consulta de búsqueda. También puede obtener una vista previa de un ejemplo de elementos devueltos por la colección. Con estas estadísticas, puede cambiar la consulta de búsqueda y volver a ejecutar la estimación de recopilación tantas veces como sea necesario para restringir los resultados hasta que esté satisfecho de recopilar el contenido relevante para su caso.
  2. Confirme una estimación de recopilación en un conjunto de revisión. Una vez que esté satisfecho con los resultados de una estimación de la colección, puede confirmar la colección en un conjunto de revisión. Cuando se confirma una estimación de colección, los elementos devueltos por la colección se agregan a un conjunto de revisión para su revisión, análisis y exportación.

También tiene la opción de no ejecutar una estimación de colección y agregar los resultados de la colección directamente a un conjunto de revisión al crear y ejecutar la colección.

Para crear una colección de contenido de Teams:

Nota:

Por un tiempo limitado, esta experiencia clásica de exhibición de documentos electrónicos también está disponible en el nuevo portal de Microsoft Purview. Habilite la experiencia de exhibición de documentos electrónicos clásica del portal de cumplimiento en la configuración de la experiencia de eDiscovery (versión preliminar) para mostrar la experiencia clásica en el nuevo portal de Microsoft Purview.

  1. Vaya al caso de eDiscovery (Premium) al que agregó los custodios en la sección anterior y, a continuación, seleccione Colecciones.

  2. En la página Colecciones , seleccione Nueva colección.

  3. En la página Nombre y descripción , escriba un nombre (obligatorio) y una descripción (opcional) para la colección. Seleccione Siguiente.

  4. En la página Orígenes de datos custodiales , seleccione Seleccionar custodios para seleccionar los custodios que agregó al caso. La lista de los custodios del caso se muestra en la página desplegable Seleccionar custodios .

  5. Seleccione uno o varios custodios y, a continuación, seleccione Agregar. Después de agregar custodios específicos a la colección, se muestra una lista de orígenes de datos específicos para cada custodio. Estos orígenes de datos son los que configuró al agregar el custodio al caso. Todos los orígenes de datos del custodio se seleccionan de forma predeterminada. Esto incluye los equipos o canales asociados a un custodio.

    Se recomienda hacer lo siguiente al recopilar contenido de Teams:

    • Quite las cuentas de OneDrive de los custodios del ámbito de la colección (anulando la selección de la casilla de la columna OneDrive del custodio para cada custodio). Esto impide la recopilación de archivos duplicados que se asociaron a chats 1:1 y chats de grupo. Los datos adjuntos en la nube se recopilan automáticamente de cada conversación que se encuentra en la colección al confirmar la estimación de la colección en el conjunto de revisión. Mediante el uso de este método (en lugar de buscar cuentas de OneDrive como parte de la colección), los archivos adjuntos a 1:1 y los chats de grupo se agrupan en la conversación en la que se compartieron.
    • Anule la selección de la casilla de la columna Sitio adicional para quitar los sitios de SharePoint que contienen archivos compartidos en canales privados o compartidos. Esto elimina la recopilación de archivos duplicados que se asociaron a conversaciones de canales privados o compartidos, ya que estos datos adjuntos en la nube se agregan automáticamente al conjunto de revisión al confirmar la estimación de la colección y se agrupan en las conversaciones en las que se compartieron.
  6. Si anteriormente ha seguido los pasos para agregar contenido de Teams como orígenes de datos custodios, puede omitir este paso y seleccionar Siguiente. De lo contrario, en la página Orígenes de datos sin custodia , puede elegir orígenes de datos que no sean de custodia que contengan contenido de Teams que haya agregado al caso para buscar en la colección.

  7. Si anteriormente ha seguido los pasos para agregar contenido de Teams como orígenes de datos custodios, puede omitir este paso y seleccionar Siguiente. De lo contrario, en la página Ubicaciones adicionales , puede agregar otros orígenes de datos para buscar en la colección. Por ejemplo, podría agregar el buzón de correo y el sitio para un equipo que no se agregó como origen de datos custodio o no custodio. También puede seleccionar la opción Canales compartidos de Teams para incluir canales compartidos durante las búsquedas en todo el inquilino. De lo contrario, seleccione Siguiente y omita este paso.

  8. En la página Condiciones , configure la consulta de búsqueda para recopilar contenido de Teams de los orígenes de datos especificados en las páginas anteriores. Puede usar varias palabras clave y condiciones de búsqueda para restringir el ámbito de la colección. Para obtener más información, consulte Compilación de consultas de búsqueda para colecciones.

    • Para garantizar la recopilación más completa de conversaciones de chat de Teams (incluidos los chats de canal, grupo y 1:1) use la condición de filtro Tipo y seleccione la opción Mensajes instantáneos .
    • Para asegurarse de agregar información de reunión de Teams grabada a la colección, use la condición de filtro Tipo de archivo e incluya .mp4 como valor contenido.
    • También se recomienda incluir un intervalo de fechas o varias palabras clave para restringir el ámbito de la colección a elementos relevantes para la investigación.
  9. En la página Revisar la colección , revise la configuración de la colección y seleccione Enviar para crear una estimación de recopilación o Guardar y cerrar para guardar la configuración de la colección para completarla más adelante.

Cuando se completa el proceso de agregar la colección al conjunto de revisión, el valor Status de la colección de la pestaña Colecciones se establece en Estimado.

Consignar una estimación de cobro en un conjunto de revisión

Cuando esté satisfecho con los elementos que ha recopilado en una estimación de colección y esté listo para analizarlos, etiquetarlos y revisarlos, puede confirmar una colección en un conjunto de revisión en el caso.

Para obtener instrucciones paso a paso sobre cómo confirmar una colección, consulte Confirmación de una estimación de recopilación en un conjunto de revisión en eDiscovery (Premium).

Revisión del contenido de Teams en un conjunto de revisión

Después de agregar colecciones de contenido de Teams a un conjunto de revisión, el siguiente paso es revisar el contenido por su relevancia para la investigación y seleccionarlo si es necesario. Un requisito previo importante para revisar el contenido de Teams es comprender cómo eDiscovery (Premium) procesa reuniones, conversaciones de chat y datos adjuntos de Teams al agregarlos a un conjunto de revisión. Este procesamiento del contenido de Teams da como resultado las tres cosas siguientes:

  • Agrupación. Cómo se agrupan y presentan los mensajes, las publicaciones y las respuestas las conversaciones de Teams en el conjunto de revisión. Esto también incluye datos adjuntos en conversaciones de chat que se extraen y agrupan dentro de la conversación.
  • Subprocesos de transcripción de conversación. Cómo eDiscovery (Premium) determina qué contenido adicional de una conversación se va a recopilar para proporcionar contexto en torno a los elementos que coincidieron con los criterios de colección.
  • Desduplicación. Cómo eDiscovery (Premium) controla el contenido duplicado de Teams.
  • Metadatos. Propiedades de metadatos que eDiscovery (Premium) agrega al contenido de Teams después de recopilarlo y agregarlo a un conjunto de revisión.

Nota:

La fecha y hora de todas las conversaciones de Teams se muestran en Hora universal coordinada (UTC).

Comprender la agrupación, el subproceso de conversación, la desduplicación y los metadatos de Teams le ayudarán a optimizar la revisión y el análisis del contenido de Teams. Esta sección también tiene sugerencias para ver el contenido de Teams en un conjunto de revisión.

Agrupación

Cuando se agrega contenido de conversaciones de chat de Teams a un conjunto de revisión, los mensajes, las publicaciones y las respuestas de las conversaciones se agregan en archivos de transcripción HTML. Una sola conversación de chat puede tener varios archivos de transcripción. Una función importante de estos archivos de transcripción es presentar contenido de Teams como conversaciones continuas y no como mensajes individuales (o independientes). Esto ayuda a proporcionar contexto para los elementos que coincidieron con los criterios de búsqueda de las colecciones en el paso anterior y reduce el número de elementos recopilados en el conjunto de revisión. Las transcripciones y los elementos asociados se pueden agrupar por familia o conversación. Los elementos de la misma familia tendrán el mismo valor para la propiedad de metadatos FamilyId . Los elementos de la misma conversación tendrán el mismo valor para la propiedad de metadatos ConversationId .

En la tabla siguiente se describe cómo se agrupan los distintos tipos de contenido de Teams por familia y conversación.

Tipo de contenido de Teams Agrupar por familia Agrupar por conversación
Teams 1:1 y chats grupales Una transcripción y todos sus datos adjuntos y elementos extraídos comparten el mismo FamilyId. Cada transcripción tiene un FamilyId único. Todos los archivos de transcripción y sus elementos de familia dentro de la misma conversación comparten el mismo ConversationId. Esto incluye los siguientes elementos:
  • Todos los elementos y datos adjuntos extraídos de todas las transcripciones que comparten el mismo ConversationId.
  • Todas las transcripciones de la misma conversación de chat
  • Todas las copias custodios de cada transcripción
  • Transcripciones de colecciones posteriores de la misma conversación de chat

En el caso de teams 1:1 y conversaciones de chat en grupo, es posible que tenga varios archivos de transcripción, cada uno correspondiente a un período de tiempo diferente dentro de la conversación. Dado que estos archivos de transcripción proceden de la misma conversación con los mismos participantes, comparten el mismo ConversationId.
chats de canales Standard, privados y compartidos Cada publicación y todas las respuestas y datos adjuntos se guardan en su propia transcripción. Esta transcripción y todos sus datos adjuntos y elementos extraídos comparten el mismo FamilyId. Cada publicación y sus datos adjuntos y los elementos extraídos tienen un ConversationId único. Si hay colecciones posteriores o nuevas respuestas de la misma publicación, las transcripciones diferenciales resultantes de esas colecciones también tendrán el mismo ConversationId.
Reuniones de Teams Cada reunión

Use el control Grupo en la barra de comandos de un conjunto de revisión para ver el contenido de Teams agrupado por familia o conversación.

Control de grupo en la barra de comandos.

  • Seleccione Agrupar datos adjuntos de familia para ver el contenido de Teams agrupado por familia. Cada archivo de transcripción se muestra en una línea de la lista de elementos del conjunto de revisión. Los datos adjuntos se anidan en el elemento.
  • Seleccione Agrupar teams o Viva Engage conversaciones para ver el contenido de Teams agrupado por conversación. Cada conversación se muestra en una línea de la lista de elementos del conjunto de revisión. Los archivos de transcripción y los datos adjuntos se anidan en la conversación de nivel superior.

Nota:

Los datos adjuntos en la nube se agrupan con las conversaciones en las que aparecen. Esta agrupación se realiza asignando el mismo FamilyId que el archivo de transcripción del mensaje al que se ha adjuntado el archivo y el mismo ConversationId que la conversación en la que apareció el mensaje. Esto significa que se pueden agregar varias copias de datos adjuntos en la nube al conjunto de revisión si se asociaron a conversaciones diferentes.

Visualización de transcripciones de reuniones grabadas

La transcripción del audio de la reunión grabada se captura como un archivo independiente y se indexa automáticamente para la búsqueda. Las reuniones grabadas en un conjunto de revisión se almacenan como un archivo .zip que contiene los siguientes archivos:

  • Transcripción del audio de la reunión en formato .txt
  • Grabación de vídeo de la reunión en formato .mp4
  • Imagen en miniatura de la reunión en formato .jpg
  • Metadatos de reunión y capítulos de reunión (según corresponda) en formato .json

Para ver los archivos de transcripción de audio de reunión en un conjunto de revisión, seleccionará la reunión y el visor de transcripciones en el panel de detalles de la reunión. En las capturas de pantalla siguientes se muestra un ejemplo de una reunión en el cliente de Teams y el archivo de transcripción de la reunión de la misma reunión en el conjunto de revisión.

Reunión en el cliente de Teams

Reunión de equipo que se muestra en el cliente de Teams.

Archivo de transcripción de reunión en el conjunto de revisión

Reunión que se muestra en el archivo de transcripción de la reunión en el conjunto de revisión.

Visualización de archivos de transcripción de conversación

Al ver los archivos de transcripción en un conjunto de revisión, algunos de los mensajes se resaltan en color púrpura. Los mensajes resaltados dependen de la copia del custodio de la transcripción que esté viendo. Por ejemplo, en un chat 1:1 entre User4 y User2, los mensajes publicados por User4 se resaltan en color púrpura al ver la transcripción recopilada del buzón de User4. Al ver la transcripción de User2 de la misma conversación, los mensajes publicados por User2 se resaltan en color púrpura. Este comportamiento de resaltado se basa en la misma experiencia de cliente de Teams, donde las publicaciones de un usuario se resaltan en color púrpura en el cliente de Teams.

En las capturas de pantalla siguientes se muestra un ejemplo de conversación en el cliente de Teams y el archivo de transcripción de la misma conversación en el conjunto de revisión. El resaltado púrpura en el archivo de transcripción indica que la transcripción se recopiló del buzón de User2.

Conversación en el cliente de Teams

Conversación que se muestra en el cliente de Teams.

Conversación en el archivo de transcripción

Conversación que se muestra en el archivo de transcripción del conjunto de revisión.

Subprocesos de transcripción de conversación

La funcionalidad de subprocesos de conversación en el nuevo formato de caso en eDiscovery (Premium) le ayuda a identificar contenido contextual relacionado con elementos que pueden ser relevantes para la investigación. Esta característica genera distintas vistas de conversación que incluyen mensajes de chat que preceden y siguen los elementos que coinciden con la consulta de búsqueda durante la recopilación. Esta funcionalidad le permite revisar de forma eficaz y rápida las conversaciones de chat completas ( llamadas conversaciones en subprocesos) en Microsoft Teams. Como se explicó anteriormente, las conversaciones de chat se reconstruyen en archivos de transcripción HTML cuando eDiscovery (Premium) agrega contenido de Teams a un conjunto de revisión.

Esta es la lógica que usa eDiscovery (Premium) para incluir mensajes adicionales y archivos de transcripción de respuestas que proporcionan contexto alrededor de los elementos que coinciden con la consulta de colección (denominada elementos con capacidad de respuesta) que usó al recopilar contenido de Teams. Los distintos comportamientos de subprocesos se basan en los tipos de chats y en la consulta de búsqueda que se usa para recopilar los elementos con capacidad de respuesta. Hay dos escenarios comunes de recopilación:

  • Consultas que usan parámetros de búsqueda, como palabras clave y pares property:value
  • Consultas que solo usan intervalos de fechas
Tipo de contenido de Teams Consultas con parámetros de búsqueda Consultas con intervalos de fechas
Teams 1:1 y chats grupales Los mensajes que se publicaron 12 horas antes y 12 horas después de que los elementos con capacidad de respuesta se agrupan con el elemento dinámico en un único archivo de transcripción. Los mensajes de una ventana de 24 horas se agrupan en un único archivo de transcripción.
chats de canales de Teams Standard, privados y compartidos Cada publicación que contiene elementos con capacidad de respuesta y todas las respuestas correspondientes se agrupan en un único archivo de transcripción. Cada publicación que contiene elementos con capacidad de respuesta y todas las respuestas correspondientes se agrupan en un único archivo de transcripción.

Desduplicación del contenido de Teams

En la lista siguiente se describe el comportamiento de desduplicación (y duplicación) al recopilar contenido de Teams en un conjunto de revisión.

  • Cada archivo de transcripción agregado a un conjunto de revisión debe ser una asignación uno a uno al contenido almacenado en ubicaciones de datos. Esto significa que eDiscovery (Premium) no recopila ningún contenido de Teams que ya se haya agregado al conjunto de revisión. Si ya se recopila un mensaje de chat en un conjunto de revisión, eDiscovery (Premium) no agrega el mismo mensaje desde la misma ubicación de datos al conjunto de revisión en colecciones posteriores.

  • Para los chats de grupo y 1:1, las copias de los mensajes se almacenan en el buzón de cada participante de la conversación. Las copias de la misma conversación que existen en los buzones de los distintos participantes se recopilan con metadatos diferentes. Como resultado, cada instancia de la conversación se trata como única y se incluye en el conjunto de revisión en archivos de transcripción independientes. Por lo tanto, si todos los participantes de un chat de grupo o 1:1 se agregan como custodios en un caso y se incluyen en el ámbito de una colección, las copias de cada transcripción (para la misma conservación) se agregan al conjunto de revisión y se agruparán junto con el mismo ConversationId. Cada una de estas copias está asociada a un custodio correspondiente. Sugerencia: La columna Custodio de la lista de conjuntos de revisión identifica al custodio del archivo de transcripción correspondiente.

  • En colecciones posteriores de elementos de la misma conversación, solo el contenido delta que no se recopiló anteriormente se agrega al conjunto de revisión y se agrupa (compartiendo el mismo ConversationId) con las transcripciones recopiladas anteriormente de la misma conversación. Este es un ejemplo de este comportamiento:

    1. La colección A recopila mensajes en una conversación entre User1 y User2 y se agrega al conjunto de revisión.
    2. La colección B recopila mensajes de la misma conversación, pero hay nuevos mensajes entre User1 y User2 desde que se ejecutó la colección A.
    3. Solo los nuevos mensajes de la colección B se agregan al conjunto de revisión. Estos mensajes se agregan a un archivo de transcripción independiente, pero la nueva transcripción se agrupa con las transcripciones de la colección A por el mismo ConversationId.

    Este comportamiento se aplica a todos los tipos de chats de Teams.

Metadatos del contenido de Teams

En grandes conjuntos de revisiones con miles o millones de elementos, puede ser difícil restringir el ámbito de la revisión al contenido de Teams. Para ayudarle a centrar la revisión en el contenido de Teams, hay propiedades de metadatos específicas del contenido de Teams. Puede usar estas propiedades para organizar las columnas de la lista de revisión y configurar filtros y consultas para optimizar la revisión del contenido de Teams. Estas propiedades de metadatos también se incluyen al exportar contenido de Teams desde eDiscovery (Premium), para ayudarle a organizar y ver el contenido después de la exportación o en herramientas de eDiscovery de terceros.

En la tabla siguiente se describen las propiedades de metadatos del contenido de Teams.

Metadata (propiedad) Descripción
ContainsEditedMessage Indica si un archivo de transcripción contiene un mensaje editado. Los mensajes editados se identifican al ver el archivo de transcripción.
ConversationId GUID que identifica la conversación a la que está asociado el elemento. Los archivos de transcripción y los datos adjuntos de la misma conversación tienen el mismo valor para esta propiedad.
Nombre de la conversación Nombre de la conversación a la que está asociado el archivo de transcripción o los datos adjuntos. Para Teams 1:1 y los chats de grupo, el valor de esta propiedad es el UPN de todos los participantes de la conversación se concatenan. Por ejemplo, User3 <User3@contoso.onmicrosoft.com>,User4 <User4@contoso.onmicrosoft.com>,User2 <User2@contoso.onmicrosoft.com>. Los chats del canal de Teams (estándar, privado y compartido) usan el siguiente formato para el nombre de la conversación: <Team name>,<Channel name>. Por ejemplo, eDiscovery vNext, General.
ConversationType Indica el tipo de chat de equipo. Para Teams 1:1 y los chats de grupo, el valor de esta propiedad es Group. Para los chats de canales estándar, privados y compartidos, el valor es Channel.
Fecha Marca de tiempo del primer mensaje del archivo de transcripción en UTC.
FamilyId GUID que identifica el archivo de transcripción de una conversación de chat. Los datos adjuntos tendrán el mismo valor para esta propiedad que el archivo de transcripción que contiene el mensaje al que se ha adjuntado el archivo.
FileClass Indica ese tipo de contenido. Los elementos de los chats de Teams tienen el valor Conversation. Por el contrario, los mensajes de correo electrónico de Exchange tienen el valor Email.
MessageKind Propiedad de tipo de mensaje. El contenido de Teams tiene el valor microsoftteams , im.
Recipientes Lista de todos los usuarios que recibieron un mensaje dentro de la conversación de transcripción.
TeamsChannelName Nombre del canal de Teams de la transcripción.

Para obtener descripciones de otras propiedades de metadatos de eDiscovery (Premium ), vea Campos de metadatos del documento en eDiscovery (Premium)..

Exportación de contenido de Teams

Una vez que haya revisado y seleccionado el contenido de Teams en un conjunto de revisión, puede exportar los archivos de transcripción que contienen contenido que responde a la investigación. No hay ninguna configuración de exportación específica para el contenido de Teams. Cada archivo de transcripción se exporta como un archivo de mensaje HTML. Este archivo también contiene etiquetas CDATA ocultas con todos los metadatos de los mensajes de chat individuales. Las propiedades de metadatos descritas en la sección anterior se incluyen cuando se exporta el contenido de Teams.

Se hace referencia a cada archivo de transcripción en el archivo de carga y se puede encontrar mediante la ruta de acceso relativa en el campo Export_native_path del archivo de carga. Los archivos de transcripción se encuentran en la carpeta Conversaciones de la carpeta de exportación raíz.

Sugerencias para ver el contenido de Teams en un conjunto de revisión

Estas son algunas sugerencias y procedimientos recomendados para ver el contenido de Teams en un conjunto de revisión.

  • Use el control Personalizar columnas de la barra de comandos para agregar y organizar columnas con el fin de optimizar la revisión del contenido de Teams. Puede agregar y quitar columnas que sean útiles para el contenido de Teams. También puede secuenciar el orden de las columnas arrastrándolas y soltándolas en la página desplegable Editar columna . También puede ordenar las columnas para agrupar el contenido de Teams con valores similares para la columna en la que se ordena.
  • Las columnas útiles que le ayudarán a revisar el contenido de Teams incluyen Custodio, Destinatarios y Tipo de archivo o Tipo de mensaje.
  • Use filtros para las propiedades relacionadas con Teams para mostrar rápidamente el contenido de Teams. Hay filtros para la mayoría de las propiedades de metadatos descritas en la sección anterior.

Eliminación de mensajes de chat de Teams

Puede usar eDiscovery (Premium) y el Explorador de Microsoft Graph para responder a incidentes de derrame de datos, cuando el contenido que contiene información confidencial o malintencionada se publica a través de mensajes de chat de Teams. Los administradores de su organización pueden buscar y eliminar mensajes de chat en Microsoft Teams. Esta característica puede ayudarle a quitar información confidencial o contenido inadecuado en los mensajes de chat de Teams. Para obtener más información, consulte Buscar y purgar mensajes de chat en Teams.