Compartilhar via

Conduzir uma investigação eDiscovery de conteúdo no Microsoft Teams

  • Artigo
  • Aplica-se a:
    Microsoft Teams

Dica

A Deteção de Dados Eletrónicos (pré-visualização) está agora disponível no novo portal do Microsoft Purview. Para saber mais sobre como utilizar a nova experiência de Deteção de Dados Eletrónicos, veja Saiba mais sobre a Deteção de Dados Eletrónicos (pré-visualização).

As grandes empresas são frequentemente expostas a processos judiciais de elevada sanção que exigem a submissão de todas as Informações Armazenadas Eletronicamente (ESI). O conteúdo do Microsoft Teams pode ser pesquisado e usado durante as investigações de Descoberta Eletrônica.

Visão Geral

Todas as conversas do Microsoft Teams 1:1 ou de grupo são enviadas em diário para as caixas de correio dos respetivos utilizadores. Todas as mensagens de canal padrão são enviadas em diário para a caixa de correio de grupo que representa a equipa. Os ficheiros carregados em canais padrão são abrangidos pela funcionalidade de Deteção de Dados Eletrónicos do SharePoint Online e OneDrive for Business.

A Deteção de Dados Eletrónicos de mensagens e ficheiros em canais privados funciona de forma diferente dos canais padrão. Para saber mais, veja Deteção de Dados Eletrónicos de canais privados.

As reuniões gravadas do Teams são armazenadas na conta OneDrive for Business do utilizador que está a gravar a reunião. Além disso, as informações de identificação dos participantes ao utilizar a funcionalidade Ocultar Nomes de Participantes para reuniões do Teams são armazenadas na caixa de correio do utilizador do organizador da reunião. Para saber mais, veja Fluxo de trabalho da Deteção de Dados Eletrónicos (Premium) para conteúdos no Microsoft Teams.

Nem todo o conteúdo do Teams é Descoberta Eletível. A tabela seguinte mostra os tipos de conteúdo do Teams que pode procurar com as ferramentas de Deteção de Dados Eletrónicos da Microsoft:

Tipo de conteúdo Observações
Gravações de áudio Chamadas de áudio entre o utilizador do Teams e os contactos externos
Conteúdo do cartão Consulte Procurar conteúdo card para obter mais informações.
Links de chat
Mensagens de chat Isto inclui conteúdos em canais padrão do Teams, conversas de 1:1, conversas de grupo 1:N, conversas consigo mesmo e conversas com convidados.
Trechos de código
Mensagens editadas Se o utilizador estiver suspenso, as versões anteriores das mensagens editadas também serão preservadas.
Emojis, GIFs e autocolantes
Imagens em linha
componentes de Loop O conteúdo num componente de ciclo é guardado num ficheiro .fluid armazenado na conta OneDrive for Business do utilizador que envia o componente de ciclo. Isto significa que tem de incluir o OneDrive como uma origem de dados ao procurar conteúdos em componentes de ciclo.
Conversações de MI de reunião
Metadados da reunião1
Gravações e transcrições de reuniões As transcrições do áudio da reunião são extraídas e fornecidas como um ficheiro separado. O tamanho máximo de ficheiros registados para reuniões .mp4 é de 350 MB. Se o tamanho do ficheiro de reunião registado for superior a 350 MB, ocorrerá um erro de processamento e o ficheiro estará disponível para transferência.
Nome do canal
Cotações O conteúdo entre aspas é pesquisável. No entanto, os resultados da pesquisa não indicam que o conteúdo foi cotado.
Reações (como gostos, corações e outras reações) As reações são suportadas para todos os clientes comerciais após 1 de junho de 2022. As reações antes desta data não estão disponíveis para Deteção de Dados Eletrónicos. As reações expandidas são agora suportadas. Para compreender o histórico de reações, o conteúdo tem de estar em suspensão legal.
Assunto
Tabelas
Clip de Vídeo do Teams (TVC) Pesquise TVC com "Video-Clip" palavra-chave e "guarde como" um ficheiro de .mp4 para cada anexo TVC ao clicar com o botão direito do rato na pré-visualização.

As TVCs são recolhidas como anexos de conversação do Teams (se forem inferiores a 200 MB) e ficheiros de .mp4 separados. Os dados de ficheiros TVC são detetáveis nos conjuntos de revisão de Deteção de Dados Eletrónicos e podem ser exportados. A pré-visualização de clips de vídeo não é atualmente suportada.

1 Os metadados de reunião (e chamada) incluem o seguinte:

  • Hora de início e término da reunião e duração
  • Ingressar na reunião e deixar eventos para cada participante
  • Associações/chamadas VOIP
  • Associações de utilizador federados
  • Associações de convidados

Importante

Os utilizadores anónimos que participem em reuniões e chamadas não são atualmente suportados em consultas de pesquisa de Deteção de Dados Eletrónicos.

Eis um exemplo de uma conversa entre participantes durante uma reunião.

Conversação entre participantes no Teams.

Eis um exemplo da cópia de conformidade da mesma conversação de chat vista numa ferramenta de Deteção de Dados Eletrónicos.

Conversação entre participantes nos resultados da pesquisa de Deteção de Dados Eletrónicos.

Eis um exemplo dos metadados da reunião.

Os metadados da reunião da cópia de conformidade.

Para obter mais informações sobre a realização de uma investigação de Deteção de Dados Eletrónicos, veja Introdução à Deteção de Dados Eletrónicos (Standard).

Os dados do Microsoft Teams são apresentados como MI ou Conversações na saída de exportação da Deteção de Dados Eletrónicos do Excel. Pode abrir o .pst ficheiro no Outlook para ver essas mensagens depois de as exportar.

Ao ver o ficheiro .pst da equipa, todas as conversações estão localizadas na pasta Chat de Equipa, em Histórico de Conversações. O título da mensagem contém o nome da equipa e o nome do canal. Por exemplo, a imagem abaixo mostra uma mensagem de Bob que enviava uma mensagem ao canal padrão do Project 7 da equipa de Especificações de Fabrico.

Captura de ecrã a mostrar uma pasta de Chat de Equipa na caixa de correio de um utilizador no Outlook.

As conversas privadas na caixa de correio de um utilizador são armazenadas na pasta Chat de Equipa, em Histórico de Conversações.

Deteção de Dados Eletrónicos de canais privados e partilhados

As cópias de conformidade de mensagens em canais privados e partilhados são enviadas para diferentes caixas de correio, consoante o tipo de canal. Isto significa que tem de procurar em localizações de caixas de correio diferentes com base no tipo de canal do qual um utilizador é membro.

  • Canais privados. As cópias de conformidade são enviadas para a caixa de correio de todos os membros do canal privado. Isto significa que tem de procurar na caixa de correio do utilizador ao procurar conteúdos em mensagens de canal privado.
  • Canais partilhados. As cópias de conformidade são enviadas para uma caixa de correio do sistema associada à equipe principal. Uma vez que o Teams não suporta uma pesquisa de Deteção de Dados Eletrónicos de uma única caixa de correio do sistema para um canal partilhado, tem de procurar na caixa de correio o equipe principal (ao selecionar o nome da caixa de correio equipa) ao procurar conteúdos de mensagens em canais partilhados.

Cada canal privado e partilhado tem o seu próprio site do SharePoint separado do equipe principal site. Isto significa que os ficheiros em canais privados e partilhados são armazenados no seu próprio site e geridos independentemente do equipe principal. Isto significa que tem de identificar e pesquisar o site específico associado a um canal ao procurar conteúdo em ficheiros e anexos de mensagens de canal.

Utilize as secções seguintes para ajudar a identificar o canal privado ou partilhado a incluir na pesquisa de Deteção de Dados Eletrónicos.

Identificar os membros de um canal privado

Utilize o procedimento nesta secção para identificar membros de um canal privado para que possa utilizar ferramentas de Deteção de Dados Eletrónicos para procurar conteúdo na caixa de correio do membro em mensagens de canal privado.

Antes de efetuar estes passos, certifique-se de que tem instalada a versão mais recente do módulo do PowerShell do Teams .

  1. Execute o seguinte comando para obter o ID de grupo da equipa que contém os canais partilhados que pretende pesquisar.

    Get-Team -DisplayName <display name of the the parent team>

    Dica

    Execute o cmdlet Get-Team sem parâmetros para apresentar uma lista de todas as Equipas na sua organização. A lista contém o ID de grupo e DisplayName para cada equipa.

  2. Execute o seguinte comando para obter uma lista de canais privados no equipe principal. Utilize o ID de grupo para a equipa que obteve no passo 1.

     Get-TeamChannel -GroupId <parent team GroupId> -MembershipType Private

  3. Execute o seguinte comando para obter uma lista de proprietários e membros de canais privados para um canal privado específico.

     Get-TeamChannelUser -GroupId <parent team GroupId> -DisplayName "Partner Shared Channel"

  4. Inclua as caixas de correio dos proprietários e membros de um canal privado como parte da sua consulta de pesquisa de Deteção de Dados Eletrónicos na Deteção de Dados Eletrónicos (Standard) ou ao identificar e recolher conteúdos de depositário na Deteção de Dados Eletrónicos (Premium).

Identificar o site do SharePoint para canais privados e partilhados

Conforme explicado anteriormente, os ficheiros partilhados em canais privados e partilhados (e ficheiros anexados a mensagens de canal) são armazenados na coleção de sites associada ao canal. Utilize o procedimento nesta secção para identificar o URL do site associado a um canal privado ou partilhado específico. Em seguida, pode utilizar as ferramentas de Deteção de Dados Eletrónicos para procurar conteúdos no site.

Antes de efetuar estes passos, instale o Shell de Gerenciamento do SharePoint Online e ligue-se ao SharePoint Online.

  1. Opcionalmente, execute o seguinte para obter uma lista de todas as coleções de sites do SharePoint associadas a canais partilhados no equipe principal.

     Get-SPOSite

    Dica

    A convenção de nomenclatura do URL de um site associado a canais privados e partilhados é [SharePoint domain]/sites/[Name of parent team]-[Name of private or shared channel]. Por exemplo, o URL do canal partilhado com o nome "Colaboração de Parceiros", que está localizado na equipe principal "Equipa de Engenheiros" na organização contoso é https://contoso.sharepoint.com/sites/EngineeringTeam-PartnerCollaboration.

  2. Execute os seguintes comandos do PowerShell para apresentar o URL de todos os sites do SharePoint associados aos canais privados e partilhados na sua organização. O resultado do script também inclui o ID de grupo do equipe principal, que tem de executar os comandos no passo 3.

    $sites = Get-SPOSite -Template "TEAMCHANNEL#1"
foreach ($site in $sites) {$x= Get-SPOSite -Identity $site.url -Detail; $x.relatedgroupID; $x.url}

    Observação

    Os sites do SharePoint para canais privados criados antes de 28 de junho de 2021 utilizam o valor "TEAMCHANNEL#0" do ID de modelo personalizado. Para apresentar canais privados criados após esta data, utilize o valor "TEAMCHANNEL#1" ao executar os dois scripts anteriores. Os canais partilhados utilizam apenas o valor de "TEAMCHANNEL#1".

  3. Para cada equipe principal, execute os seguintes comandos do PowerShell para identificar os sites de canais privados e partilhados, onde $groupID está o ID de grupo do equipe principal.

    $sites = Get-SPOSite -Template "TEAMCHANNEL#1"
$groupID = "<group ID of parent team)"
foreach ($site in $sites) {$x= Get-SpoSite -Identity $site.url -Detail; if ($x.RelatedGroupId -eq $groupID) {$x.RelatedGroupId;$x.url}}

  4. Inclua o site associado a um canal privado ou partilhado como parte da sua consulta de pesquisa de Deteção de Dados Eletrónicos na Deteção de Dados Eletrónicos (Standard) ou ao identificar e recolher conteúdos de depositário na Deteção de Dados Eletrónicos (Premium).

Procurar conteúdo para convidados

Pode utilizar ferramentas de Deteção de Dados Eletrónicos para procurar conteúdos do Teams relacionados com convidados na sua organização. Os conteúdos de chat do Teams associados a um convidado são preservados numa localização de armazenamento baseada na nuvem e podem ser procurados através da Deteção de Dados Eletrónicos. Isto inclui procurar conteúdo em conversações de chat 1:1 e 1:N em que um convidado é um participante com outros utilizadores na sua organização. Também pode procurar mensagens de canal privado nas quais um convidado é um participante e procurar conteúdos em conversações de chat convidado:convidado onde os únicos participantes são convidados.

Para procurar conteúdos para convidados:

  1. Ligue-se ao PowerShell do Microsoft Graph. Para obter mais informações, veja Microsoft Graph PowerShell overview (Descrição geral do PowerShell do Microsoft Graph). Certifique-se de que conclui os Passos 1 e 2 no artigo anterior.

  2. Depois de ligar com êxito ao Microsoft Graph PowerShell, execute o seguinte comando para apresentar o nome principal de utilizador (UPN) de todos os convidados na sua organização. Tem de utilizar o UPN do convidado quando criar a pesquisa no passo 4.

    Get-MgUser -Filter "userType eq 'Guest'" -All $true | FL UserPrincipalName

    Dica

    Em vez de apresentar uma lista de nomes principais de utilizador no ecrã do computador, pode redirecionar a saída do comando para um ficheiro de texto. Pode fazê-lo ao acrescentar > filename.txt ao comando anterior. O ficheiro de texto com os nomes principais de utilizador será guardado na pasta atual.

  3. Numa janela de Windows PowerShell diferente, ligue-se ao PowerShell de Conformidade & de Segurança. Para obter instruções, veja Connect to Security & Compliance PowerShell (Ligar ao PowerShell de Conformidade do & de Segurança). Pode ligar com ou sem utilizar a autenticação multifator.

  4. Crie uma pesquisa de conteúdo que pesquise todo o conteúdo (como mensagens de chat e mensagens de e-mail) em que o convidado especificado foi um participante ao executar o seguinte comando.

    New-ComplianceSearch <search name> -ExchangeLocation <guest UPN>  -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true

    Por exemplo, para procurar conteúdos associados à convidada Sara Davis, execute o seguinte comando.

    New-ComplianceSearch "Sara Davis Guest" -ExchangeLocation "sara.davis_hotmail.com#EXT#@contoso.onmicrosoft.com" -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true

    Para obter mais informações sobre como utilizar o PowerShell para criar pesquisas de conteúdos, veja New-ComplianceSearch.

  5. Execute o seguinte comando para iniciar a pesquisa de conteúdos que criou no passo 4:

    Start-ComplianceSearch <search name>

  6. Aceda a https://compliance.microsoft.com e, em seguida, selecione Mostrar toda> apesquisa de Conteúdo.

  7. Na lista de pesquisas, selecione a pesquisa que criou no passo 4 para apresentar a página de lista de opções.

  8. Na página de lista de opções, pode efetuar as seguintes ações:

    • Selecione Ver resultados para ver os resultados da pesquisa e pré-visualizar o conteúdo.
    • Junto ao campo Consulta , selecione Editar para editar e, em seguida, execute novamente a pesquisa. Por exemplo, pode adicionar uma consulta de pesquisa para restringir os resultados.
    • Selecione Exportar resultados para exportar e transferir os resultados da pesquisa.

Procurar conteúdo card

Os conteúdos dos cartões gerados por aplicações em canais do Teams, conversas de 1:1 e chats 1xN são armazenados em caixas de correio e podem ser pesquisados. Um cartão é um contêiner de interface de usuário para pequenos pedaços de conteúdo. Os cartões podem ter várias propriedades e anexos e podem incluir itens que podem acionar card ações. Para obter mais informações, confira Cartões

Como outros conteúdos de equipes, onde o conteúdo do cartão é armazenado é baseado em onde o cartão foi usado. O conteúdo dos cartões usados em um canal Teams é armazenado na caixa de correio do grupo Teams. O conteúdo do cartão para bate-papos individuais e 1xN é armazenado nas caixas de correio dos participantes do bate-papo.

Para pesquisar o conteúdo do cartão, você pode usar as condições de pesquisa kind:microsoftteams ou itemclass:IPM.SkypeTeams.Message. Ao rever os resultados da pesquisa, card conteúdo gerado por bots num canal do Teams tem a propriedade de e-mail Remetente/Autor como <appname>@teams.microsoft.com, em appname que é o nome da aplicação que gerou o conteúdo card. Se o conteúdo do cartão foi gerado por um usuário, o valor de Remetente/Autor identifica o usuário.

Ao exibir o conteúdo do cartão nos resultados da pesquisa de conteúdo, o conteúdo aparece como um anexo da mensagem. O anexo é denominado appname.html, onde appname é o nome do aplicativo que gerou o conteúdo do cartão. As capturas de tela a seguir mostram como o conteúdo do cartão (para um aplicativo chamado Asana) aparece no Teams e nos resultados de uma pesquisa.

Conteúdo do cartão no Teams

Conteúdo do cartão na mensagem do canal Teams.

Conteúdo do cartão nos resultados de pesquisa

Mesmo conteúdo do cartão nos resultados de uma Pesquisa de conteúdo.

Observação

Para apresentar imagens de card conteúdo nos resultados da pesquisa neste momento (como as marcas de verificação na captura de ecrã anterior), tem de ter sessão iniciada no Teams (em https://teams.microsoft.com) num separador diferente na mesma sessão do browser que utiliza para ver os resultados da pesquisa. Caso contrário, serão exibidos espaços reservados para imagens.

Procurar reuniões do Teams por data

Os administradores podem procurar conteúdos de reunião do Teams com base nas datas de início ou de fim da reunião. Para filtrar os itens definidos pela revisão por datas de reunião específicas do Teams, pode utilizar as propriedades Data de início da reunião e Data de fim da reunião nas opções de filtragem avançadas na Deteção de Dados Eletrónicos (Premium).

Exemplo de filtragem avançada por datas de reunião do Teams.

Procurar participantes ocultos em reuniões do Teams

A funcionalidade Ocultar Nomes de Participantes no Microsoft Teams oculta o nome dos participantes de outros participantes para que apenas os organizadores possam ver os nomes dos participantes. Esta funcionalidade pode ser utilizada para reuniões ou eventos com empresas externas, fornecedores, reuniões confidenciais ou outras reuniões em que a privacidade pessoal entre participantes é importante. Quando esta funcionalidade está ativada, os nomes dos participantes estão ocultos na lista da reunião, no chat da reunião e nas gravações da reunião.

Para procurar os nomes dos participantes em reuniões do Teams onde a funcionalidade Ocultar Nomes de Participantes foi ativada, tem de incluir a caixa de correio do organizador no âmbito da pesquisa. Os nomes dos participantes ocultos só estão disponíveis na caixa de correio do organizador.

Deteção de Dados Eletrónicos em ambientes de convidado e acesso externo

Os administradores podem utilizar a Deteção de Dados Eletrónicos para procurar conteúdos em mensagens de chat numa reunião do Teams em ambientes de acesso externo e acesso de convidado com base nas seguintes restrições:

  • Acesso externo: numa reunião do Teams com utilizadores da sua organização e utilizadores de uma organização externa onde os participantes externos estão a utilizar o acesso externo, os administradores de ambas as organizações podem procurar conteúdos em mensagens de chat da reunião.
  • Convidado: numa reunião do Teams com utilizadores da sua organização e convidados, apenas os administradores na organização que aloja a reunião do Teams podem procurar conteúdos em mensagens de chat da reunião.