Поделиться через

Обнаружение электронных данных в Microsoft Teams

  • Статья
  • Применяется к:
    Microsoft Teams

Совет

Обнаружение электронных данных (предварительная версия) теперь доступно на новом портале Microsoft Purview. Дополнительные сведения об использовании нового интерфейса обнаружения электронных данных см. в статье Сведения об обнаружении электронных данных (предварительная версия).

Крупные предприятия часто подвергаются судебному разбирательству с высоким штрафом, требующим представления всей информации, хранящейся в электронном виде (ESI). В ходе расследований на основе электронных данных можно выполнять поиск данных в Microsoft Teams и использовать их в процессе.

Обзор

Все чаты Microsoft Teams 1:1 или групповые чаты регистрируются в почтовых ящиках соответствующих пользователей. Все сообщения стандартного канала регистрируются в почтовом ящике группы, представляющего команду. Файлы, передаваемые в стандартных каналах, охватываются функцией обнаружения электронных данных для SharePoint Online и OneDrive для бизнеса.

Обнаружение электронных сообщений и файлов в частных каналах работает иначе, чем в стандартных каналах. Дополнительные сведения см. в статье Обнаружение электронных данных частных каналов.

Записанные собрания Teams хранятся в OneDrive для бизнеса учетной записи пользователя, записывающего собрание. Кроме того, сведения об идентификации участников при использовании функции Скрыть имена участников для собраний Teams хранятся в почтовом ящике пользователя организатора собрания. Дополнительные сведения см. в разделе Рабочий процесс обнаружения электронных данных (премиум) для содержимого в Microsoft Teams.

Не все содержимое Teams доступно для электронного обнаружения. В следующей таблице показаны типы контента Teams, которые можно искать с помощью средств microsoft eDiscovery.

Тип контента. Примечания.
Аудиозаписи Аудиозвонки между пользователем Teams и внешними контактами
Содержимое карточки Дополнительные сведения см. в разделе Поиск содержимого карта.
Ссылки чата
Сообщения чата Сюда входит содержимое в стандартных каналах Teams, чатах 1:1, групповых чатах 1:N, чатах с самим собой и чатах с гостями.
Фрагменты кода
Сообщения, доступные для редактирования Если пользователь находится на удержании, предыдущие версии измененных сообщений также сохраняются.
Эмодзи, GIF-файлы и наклейки
Встроенные изображения
компоненты Loop Содержимое компонента цикла сохраняется в жидком файле, который хранится в учетной записи OneDrive для бизнеса пользователя, отправляющего компонент цикла. Это означает, что при поиске содержимого в компонентах цикла необходимо включить OneDrive в качестве источника данных.
Беседы для обмена мгновенными сообщениями на собраниях
Метаданные собрания1
Записи и расшифровки собраний Расшифровки звука собрания извлекаются и предоставляются в виде отдельного файла. Максимальный поддерживаемый размер файла для записанных собраний .mp4 составляет 350 МБ. Если размер записанного файла собрания превышает 350 МБ, возникает ошибка обработки и файл доступен для скачивания.
Название канала
Цитаты Содержимое в кавычках доступно для поиска. Однако результаты поиска не указывают на то, что содержимое было указано в кавычках.
Реакции (например, нравится, сердца и другие реакции) Реакции поддерживаются для всех коммерческих клиентов после 1 июня 2022 г. Реакции до этой даты недоступны для обнаружения электронных данных. Теперь поддерживаются расширенные реакции. Чтобы понять историю реакции, содержимое должно находиться на удержании по закону.
Subject
Таблицы
Видеоклип Teams (TVC) Выполните поиск в TVC с помощью ключевое слово Video-Clip и сохраните файл .mp4 для каждого вложения TVC, щелкнув правой кнопкой мыши предварительный просмотр.

TVC собираются в виде вложений бесед Teams (если меньше 200 МБ) и отдельных .mp4 файлов. Данные файлов TVC можно обнаружить в наборах проверки обнаружения электронных данных и их можно экспортировать. Предварительный просмотр видеоклипов в настоящее время не поддерживается.

1 Метаданные собрания (и звонка) включают в себя следующее:

  • Время начала и окончания собрания, а также продолжительность
  • События присоединения и выхода для каждого участника собрания
  • Соединения и вызовы VOIP
  • Присоединение федеративных пользователей
  • Гостевые соединения

Важно!

Анонимные пользователи, присоединяясь к собраниям и звонкам, в настоящее время не поддерживаются в поисковых запросах eDiscovery.

Ниже приведен пример беседы в чате между участниками во время собрания.

Беседа между участниками в Teams.

Ниже приведен пример копии соответствия той же беседы чата, которую можно просмотреть в средстве обнаружения электронных данных.

Беседа между участниками в результатах поиска eDiscovery.

Ниже приведен пример метаданных собрания.

Метаданные собрания из копии соответствия требованиям.

Дополнительные сведения о проведении исследования обнаружения электронных данных см. в статье Начало работы с обнаружением электронных данных (Standard).

Данные Microsoft Teams отображаются в виде мгновенных сообщений или бесед в выходных данных экспорта excel eDiscovery. Вы можете открыть .pst файл в Outlook, чтобы просмотреть эти сообщения после их экспорта.

При просмотре PST-файла для команды все беседы находятся в папке Team Chat в разделе Журнал бесед. Заголовок сообщения содержит имя команды и имя канала. Например, на приведенном ниже рисунке показано сообщение от Боба, который направил сообщение о стандартном канале Project 7 команды производственных спецификаций.

Снимок экрана: папка

Личные чаты в почтовом ящике пользователя хранятся в папке Team Chat в разделе Журнал бесед.

Обнаружение электронных данных частных и общих каналов

Копии сообщений в личных и общих каналах отправляются в разные почтовые ящики в зависимости от типа канала. Это означает, что вам придется выполнять поиск в разных расположениях почтовых ящиков в зависимости от типа канала, в который входит пользователь.

  • Частные каналы. Копии соответствия отправляются в почтовый ящик всех участников закрытого канала. Это означает, что при поиске содержимого в сообщениях приватного канала необходимо выполнять поиск в почтовом ящике пользователя.
  • Общие каналы. Копии соответствия отправляются в системный почтовый ящик, связанный с родительская команда. Так как Teams не поддерживает поиск по обнаружению электронных данных в одном системном почтовом ящике для общего канала, при поиске содержимого сообщений в общих каналах необходимо выполнить поиск в почтовом ящике родительская команда (выбрав имя почтового ящика Группы).

Каждый частный и общий канал имеет свой собственный сайт SharePoint, который отделен от родительская команда сайта. Это означает, что файлы в частных и общих каналах хранятся на собственном сайте и управляются независимо от родительская команда. Это означает, что при поиске содержимого в файлах и вложениях сообщений канала необходимо определить и найти конкретный сайт, связанный с каналом.

Используйте следующие разделы, чтобы определить частный или общий канал для включения в поиск eDiscovery.

Определение членов частного канала

Используйте процедуру, описанную в этом разделе, чтобы определить участников частного канала, чтобы использовать средства обнаружения электронных данных для поиска содержимого в сообщениях приватного канала в почтовом ящике участника.

Перед выполнением этих действий убедитесь, что установлена последняя версия модуля Teams PowerShell .

  1. Выполните следующую команду, чтобы получить идентификатор группы, содержащей общие каналы, которые требуется найти.

    Get-Team -DisplayName <display name of the the parent team>

    Совет

    Выполните командлет Get-Team без параметров, чтобы отобразить список всех Teams в организации. Список содержит идентификатор группы и displayName для каждой команды.

  2. Выполните следующую команду, чтобы получить список частных каналов в родительская команда. Используйте идентификатор группы для команды, полученной на шаге 1.

     Get-TeamChannel -GroupId <parent team GroupId> -MembershipType Private

  3. Выполните следующую команду, чтобы получить список владельцев и участников частного канала для определенного частного канала.

     Get-TeamChannelUser -GroupId <parent team GroupId> -DisplayName "Partner Shared Channel"

  4. Включите почтовые ящики владельцев и участников частного канала как часть поискового запроса eDiscovery в eDiscovery (Standard) или при идентификации и сборе содержимого хранителя в eDiscovery (Премиум).

Определение сайта SharePoint для частных и общих каналов

Как уже говорилось ранее, файлы, к которым предоставлен общий доступ в частных и общих каналах (а также файлы, присоединенные к сообщениям канала), хранятся в семействе веб-сайтов, связанном с каналом. Используйте процедуру, описанную в этом разделе, чтобы определить URL-адрес сайта, связанного с определенным частным или общим каналом. Затем можно использовать средства обнаружения электронных данных для поиска содержимого на сайте.

Перед выполнением этих действий установите командная консоль SharePoint Online и подключитесь к SharePoint Online.

  1. При необходимости выполните следующую команду, чтобы получить список всех семейств веб-сайтов SharePoint, связанных с общими каналами в родительская команда.

     Get-SPOSite

    Совет

    Соглашение об именовании URL-адреса для сайта, связанного с частными и общими каналами, — .[SharePoint domain]/sites/[Name of parent team]-[Name of private or shared channel] Например, URL-адрес общего канала с именем "Совместная работа партнеров", который находится в родительская команда "Группа инженеров" в организации Contoso: https://contoso.sharepoint.com/sites/EngineeringTeam-PartnerCollaboration.

  2. Выполните следующие команды PowerShell, чтобы отобразить URL-адрес для всех сайтов SharePoint, связанных с частными и общими каналами в вашей организации. Выходные данные скрипта также включают идентификатор группы родительская команда, который требуется для выполнения команд на шаге 3.

    $sites = Get-SPOSite -Template "TEAMCHANNEL#1"
foreach ($site in $sites) {$x= Get-SPOSite -Identity $site.url -Detail; $x.relatedgroupID; $x.url}

    Примечание.

    Сайты SharePoint для частных каналов, созданные до 28 июня 2021 г., используют значение "TEAMCHANNEL#0" пользовательского идентификатора шаблона. Чтобы отобразить частные каналы, созданные после этой даты, используйте значение "TEAMCHANNEL#1" при выполнении двух предыдущих скриптов. Общие каналы используют только значение "TEAMCHANNEL#1".

  3. Для каждого родительская команда выполните следующие команды PowerShell, чтобы определить сайты частных и общих каналов, где $groupID — идентификатор группы родительская команда.

    $sites = Get-SPOSite -Template "TEAMCHANNEL#1"
$groupID = "<group ID of parent team)"
foreach ($site in $sites) {$x= Get-SpoSite -Identity $site.url -Detail; if ($x.RelatedGroupId -eq $groupID) {$x.RelatedGroupId;$x.url}}

  4. Включите сайт, связанный с частным или общим каналом, как часть поискового запроса обнаружения электронных данных в eDiscovery (Standard) или при идентификации и сборе содержимого хранителя в eDiscovery (премиум).

Поиск содержимого для гостей

Средства обнаружения электронных данных можно использовать для поиска содержимого Teams, связанного с гостями в вашей организации. Содержимое чата Teams, связанное с гостем, сохраняется в облачном хранилище, и его можно искать с помощью обнаружения электронных данных. Это включает поиск содержимого в беседах чата 1:1 и 1:N, в которых гость является участником с другими пользователями в вашей организации. Вы также можете искать сообщения приватного канала, в которых гость является участником, и искать содержимое в беседах гостевого чата, где только участники являются гостями.

Чтобы найти содержимое для гостей, выполните приведенные далее действия.

  1. Подключитесь к Microsoft Graph PowerShell. Дополнительные сведения см. в обзоре Microsoft Graph PowerShell. Обязательно выполните шаги 1 и 2 в предыдущей статье.

  2. После успешного подключения к Microsoft Graph PowerShell выполните следующую команду, чтобы отобразить имя участника-пользователя (UPN) для всех гостей в вашей организации. При создании поиска на шаге 4 необходимо использовать имя участника-пользователя.

    Get-MgUser -Filter "userType eq 'Guest'" -All $true | FL UserPrincipalName

    Совет

    Вместо отображения списка имен субъектов-пользователей на экране компьютера можно перенаправить выходные данные команды в текстовый файл. Это можно сделать, добавив > filename.txt к предыдущей команде. Текстовый файл с именами субъекта-пользователя будет сохранен в текущей папке.

  3. В другом окне Windows PowerShell подключитесь к PowerShell соответствия требованиям безопасности &. Инструкции см. в разделе Подключение к PowerShell для обеспечения безопасности & соответствия требованиям. Вы можете подключаться с использованием или без использования многофакторной проверки подлинности.

  4. Создайте поиск контента, который ищет все содержимое (например, сообщения чата и сообщения электронной почты), участником которого был указанный гость, выполнив следующую команду.

    New-ComplianceSearch <search name> -ExchangeLocation <guest UPN>  -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true

    Например, чтобы найти содержимое, связанное с гостевой Сарой Дэвис, выполните следующую команду.

    New-ComplianceSearch "Sara Davis Guest" -ExchangeLocation "sara.davis_hotmail.com#EXT#@contoso.onmicrosoft.com" -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true

    Дополнительные сведения об использовании PowerShell для поиска контента см. в статье New-ComplianceSearch.

  5. Выполните следующую команду, чтобы начать поиск контента, созданный на шаге 4:

    Start-ComplianceSearch <search name>

  6. Перейдите по и https://compliance.microsoft.com выберите Показать все>поиск контента.

  7. В списке поисковых запросов выберите поиск, созданный на шаге 4, чтобы отобразить всплывающее меню.

  8. На всплывающей странице можно выполнить следующие действия:

    • Выберите Просмотреть результаты , чтобы просмотреть результаты поиска и просмотреть содержимое.
    • Рядом с полем Запрос выберите Изменить , чтобы изменить, а затем повторно выполните поиск. Например, можно добавить поисковый запрос, чтобы сузить результаты.
    • Выберите Экспорт результатов , чтобы экспортировать и скачать результаты поиска.

Поиск содержимого карта

Содержимое карточек, созданное приложениями в каналах Teams, чатах 1:1 и чатах 1xN, хранится в почтовых ящиках и может выполняться поиск. Карточка — это контейнер пользовательского интерфейса для коротких фрагментов контента. Карточки могут иметь несколько свойств и вложений, а также могут содержать элементы, которые могут активировать действия карта. Дополнительные сведения см. в разделе Карточки.

Как и другое содержимое Teams, место хранения содержимого карточки зависит от того, где она была использована. Содержимое карточек, используемых в канале Teams, хранится в почтовом ящике группы Teams. Содержимое карточек для чатов 1:1 и 1xN хранится в почтовых ящиках участников беседы.

Чтобы найти содержимое карточки, можно использовать условие поиска kind:microsoftteams или itemclass:IPM.SkypeTeams.Message. При просмотре результатов поиска карта содержимое, созданное ботами в канале Teams, имеет свойство Sender/Author email (Отправитель или Автор сообщения электронной почты) как <appname>@teams.microsoft.com, где appname — это имя приложения, создающего карта содержимое. Если содержимое карточки было создано пользователем, значение отправителей и авторов идентифицирует пользователя.

При просмотре содержимого карточки в результатах поиска контента оно отображается в виде вложения в сообщение. Вложение называется appname.html, где appname — название приложения, создавшего содержимое карточки. На приведенных ниже снимках экрана показано, как содержимое карточки (на примере приложения Asana) отображается в Teams и результатах поиска.

Содержимое карточки в Teams

Содержимое карточки в сообщении из канала Teams.

Содержимое карточки в результатах поиска

То же содержимое карточки на странице результатов поиска контента.

Примечание.

Для отображения изображений из карта содержимого в результатах поиска в настоящее время (например, флажки на предыдущем снимке экрана), необходимо войти в Teams (в ) https://teams.microsoft.comна другой вкладке в том же сеансе браузера, который используется для просмотра результатов поиска. В противном случае отображаются заполнители изображения.

Поиск собраний Teams по дате

Администраторы могут искать содержимое собрания Teams в зависимости от дат начала или окончания собрания. Чтобы отфильтровать элементы набора проверки по определенным датам собрания Teams, можно использовать свойства даты начала собрания и даты окончания собрания в параметрах расширенной фильтрации в eDiscovery (Премиум).

Пример расширенной фильтрации по датам собраний Teams.

Поиск скрытых участников в собраниях Teams

Функция Скрыть имена участников в Microsoft Teams скрывает имена участников от других участников, чтобы только организаторы могли видеть имена участников. Эта функция может использоваться для собраний или мероприятий с внешними организациями, поставщиками, конфиденциальными собраниями или другими собраниями, где важна личная конфиденциальность участников. Если эта функция включена, имена участников скрыты в списке собраний, чате и записях собрания.

Чтобы найти имена участников в собраниях Teams, где была включена функция Скрыть имена участников, необходимо включить почтовый ящик организатора в область для поиска. Скрытые имена участников доступны только в почтовом ящике организатора.

Обнаружение электронных данных во внешних и гостевых средах

Администраторы могут использовать обнаружение электронных данных для поиска содержимого в сообщениях чатов на собрании Teams во внешних и гостевых средах доступа на основе следующих ограничений:

  • Внешний доступ. На собрании Teams с пользователями из вашей организации и пользователями из внешней организации, где внешние участники используют внешний доступ, администраторы обеих организаций могут искать содержимое в сообщениях чата собрания.
  • Гость. На собрании Teams с пользователями из вашей организации и гостями только администраторы организации, которые размещают собрание Teams, могут искать содержимое в сообщениях чата с собрания.