Flux de travail eDiscovery (Premium) pour le contenu dans Microsoft Teams

Conseil

eDiscovery (préversion) est désormais disponible dans le nouveau portail Microsoft Purview. Pour en savoir plus sur l’utilisation de la nouvelle expérience eDiscovery, consultez En savoir plus sur eDiscovery (préversion).

Cet article fournit un ensemble complet de procédures, de recommandations et de bonnes pratiques pour l’utilisation de Microsoft Purview eDiscovery (Premium) pour conserver, collecter, examiner et exporter du contenu à partir de Microsoft Teams. L’objectif de cet article est de vous aider à optimiser votre flux de travail eDiscovery pour le contenu Teams.

Il existe sept catégories de contenu Teams que vous pouvez collecter et traiter à l’aide d’eDiscovery (Premium) :

  • Conversations Teams 1:1. Messages de conversation, publications et pièces jointes partagés dans une conversation Teams entre deux personnes. Les conversations Teams 1:1 sont également appelées conversations.
  • Conversations de groupe Teams. Messages de conversation, publications et pièces jointes partagés dans une conversation Teams entre trois personnes ou plus. Également appelées conversations 1 :N ou conversations de groupe.
  • Réactions des équipes. Réactions appliquées aux messages de conversation, aux publications et aux pièces jointes dans une conversation Teams.
  • Canaux Teams. Messages de conversation, publications, réponses et pièces jointes partagés dans un canal Teams standard.
  • Réunions Teams. Audio et transcriptions des réunions Teams enregistrées.
  • Canaux privés. Messages, réponses et pièces jointes partagés dans un canal Teams privé.
  • Canaux partagés. Messages, réponses et pièces jointes partagés dans un canal Teams partagé.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Emplacement de stockage du contenu Teams

Une condition préalable à la gestion du contenu Teams dans eDiscovery (Premium) est de comprendre le type de contenu Teams que vous pouvez collecter, traiter et examiner dans eDiscovery (Premium) et où ce contenu est stocké dans Microsoft 365.

Les données Teams sont stockées dans Azure Cosmos DB. Les enregistrements de conformité Teams capturés par le substrat sont en Exchange Online et sont disponibles pour la découverte électronique.

Le tableau suivant répertorie le type de contenu Teams et l’emplacement où chacun est stocké à des fins de conformité. Les données stockées dans Exchange Online sont masquées aux clients. eDiscovery ne fonctionne jamais sur les données de message Teams réelles, qui restent dans Azure Cosmos DB.

Catégorie Teams Emplacement des messages/publications de conversation Emplacement des fichiers/pièces jointes Emplacement des enregistrements de réunion
Conversations Teams 1:1 Les messages dans les conversations 1:1 sont stockés dans la boîte aux lettres Exchange Online de tous les participants à la conversation. Les fichiers partagés dans une conversation 1:1 sont stockés dans le compte OneDrive Entreprise de la personne qui a partagé le fichier. S/O
Conversations de groupe Teams Les messages dans les conversations de groupe sont stockés dans la boîte aux lettres Exchange Online de tous les participants à la conversation. Les fichiers partagés dans des conversations de groupe sont stockés dans le compte OneDrive Entreprise de la personne qui a partagé le fichier. S/O
Réactions de Teams Les messages dans les conversations de groupe sont stockés dans la boîte aux lettres Exchange Online de tous les participants à la conversation. Les fichiers partagés dans des conversations de groupe sont stockés dans le compte OneDrive Entreprise de la personne qui a partagé le fichier. S/O
Canaux Teams Tous les messages et publications de canal sont stockés dans la boîte aux lettres Exchange Online associée à l’équipe. Les fichiers partagés dans un canal sont stockés dans le site SharePoint Online associé à l’équipe. S/O
Réunions Teams Les conversations dans les réunions enregistrées sont stockées dans le compte OneDrive Entreprise de l’utilisateur qui enregistre la réunion Teams. Les fichiers et pièces jointes partagés dans les réunions enregistrées sont stockés dans le compte OneDrive Entreprise de l’utilisateur qui enregistre la réunion Teams. Les enregistrements de réunion sont stockés dans le compte OneDrive Entreprise de l’utilisateur qui enregistre la réunion Teams.
Canaux privés Les messages envoyés dans un canal privé sont stockés dans les boîtes aux lettres Exchange Online de tous les membres du canal privé. Les fichiers partagés dans un canal privé sont stockés dans un site SharePoint Online dédié associé au canal privé. S/O
Canaux partagés Les messages envoyés dans un canal partagé sont stockés dans une boîte aux lettres système associée au canal partagé. 1 Les fichiers partagés dans un canal partagé sont stockés dans un site SharePoint Online dédié associé au canal partagé. S/O

Remarque

1 Pour rechercher (et conserver) les messages envoyés dans un canal partagé, vous devez rechercher ou spécifier la boîte aux lettres Exchange Online pour l’équipe parente.

Créer un cas pour le contenu Teams

La première étape de la gestion du contenu Teams dans eDiscovery (Premium) consiste à créer un cas à l’aide du nouveau format de cas optimisé pour la gestion du contenu Teams. Le nouveau format de cas permet de prendre en charge des augmentations significatives de la taille des cas, à la fois pour le volume total de données et le nombre total d’éléments dans les cas.

Pour obtenir des instructions pas à pas sur la création d’un cas, consultez Créer et gérer un cas eDiscovery (Premium).

Ajouter des sources de données de garde Teams et conserver le contenu Teams

L’étape suivante consiste à identifier les utilisateurs qui sont les dépositaires de données dans votre enquête et à les ajouter, ainsi que leurs emplacements de contenu, en tant que dépositaires au cas que vous avez créé dans la section précédente. Lorsque vous ajoutez des consignataires, vous pouvez spécifier leur boîte aux lettres et leur compte OneDrive comme sources de données de garde. Vous pouvez également spécifier des emplacements de contenu Teams en tant que sources de données de consignataire pour placer rapidement ces emplacements en conservation légale afin de conserver le contenu pendant votre investigation. Il permet également de collecter facilement du contenu et de l’ajouter à un ensemble de révisions.

Pour ajouter des consignataires à un cas et préserver les sources de données de garde :

Remarque

Pendant une durée limitée, cette expérience eDiscovery classique est également disponible dans le nouveau portail Microsoft Purview. Activez l’expérience eDiscovery classique du portail de conformité dans les paramètres de l’expérience eDiscovery (préversion) pour afficher l’expérience classique dans le nouveau portail Microsoft Purview.

  1. Accédez au cas eDiscovery (Premium) que vous avez créé dans la section précédente, puis sélectionnez Sources de données.

  2. Dans la page Sources de données, sélectionnez Ajouter une source> de donnéesAjouter de nouveaux consignataires.

  3. Dans l’Assistant Nouveau consignataire , ajoutez un ou plusieurs utilisateurs en tant que consignataires au cas en tapant la première partie du nom ou de l’alias de l’utilisateur. Une fois que vous avez trouvé la personne appropriée, sélectionnez son nom pour l’ajouter à la liste.

  4. Développez chaque dépositaire pour afficher les sources de données principales qui ont été automatiquement associées au consignataire, et pour sélectionner d’autres emplacements à associer au dépositaire.

    Sources de données du consignataire.

  5. Suivez ces instructions pour ajouter des sources de données de garde pour le contenu Teams. Sélectionnez Modifier pour ajouter un emplacement de données.

    • boîtes aux lettres. La boîte aux lettres du consignataire est sélectionnée par défaut. Conservez cette sélection pour ajouter (et conserver) des conversations 1:1, des conversations de groupe et des conversations de canal privé en tant que données de conservation.
    • OneDrives. Le compte OneDrive du consignataire est sélectionné par défaut. Conservez cette sélection pour ajouter (et conserver) les fichiers partagés dans des conversations 1:1, des conversations de groupe et des réunions Teams en tant que données de conservation.
    • SharePoint. Ajoutez le site SharePoint associé à n’importe quel canal privé ou partagé dont le consignataire est membre pour ajouter (et conserver) en tant que données de garde les fichiers partagés dans un canal. Sélectionnez Modifier , puis ajoutez l’URL du site SharePoint associé à un canal privé ou partagé. Pour savoir comment localiser les canaux privés et partagés dont un utilisateur est membre, consultez eDiscovery des canaux privés et partagés.
    • Teams. Ajoutez les équipes dont le consignataire est membre pour ajouter (et conserver) en tant que données de garde tous les messages de canal et tous les fichiers partagés dans un canal Teams. Cette recommandation inclut l’ajout de la boîte aux lettres pour la équipe parente d’un canal partagé dont le consignataire est membre. Lorsque vous sélectionnez Modifier, la boîte aux lettres et le site associés à chaque équipe dont le consignataire est membre s’affichent dans une liste. Sélectionnez les équipes que vous souhaitez associer au consignataire. Vous devez sélectionner la boîte aux lettres et le site correspondants pour chaque équipe.

    Remarque

    Vous pouvez également ajouter la boîte aux lettres et le site de Teams dont les consignataires ne sont pas membres en tant qu’emplacement de données de consignataire. Pour ce faire, cliquez sur Modifier en regard d’Exchange et SharePoint , puis ajoutez la boîte aux lettres et le site associés à l’équipe.

  6. Après avoir ajouté des consignataires et configuré les sources de données de garde, sélectionnez Suivant pour afficher la page des paramètres De conservation . Une liste des consignataires s’affiche et la case à cocher dans la colonne Conservation est sélectionnée par défaut. Cette case à cocher indique qu’une conservation sera placée sur les sources de données que vous avez associées à chaque dépositaire. Laissez ces cases à cocher sélectionnées pour conserver ces données.

  7. Dans la page Paramètres de conservation , sélectionnez Suivant pour passer en revue les paramètres des consignataires. Sélectionnez Envoyer pour ajouter les consignataires au cas.

Pour plus d’informations sur l’ajout et la conservation de sources de données dans les cas eDiscovery (Premium), consultez :

Collecter du contenu Teams et ajouter à l’ensemble de révision

Après avoir ajouté des consignataires au cas et conservé le contenu dans les sources de données des consignataires, l’étape suivante du flux de travail consiste à rechercher le contenu Teams pertinent pour votre investigation et à l’ajouter à un jeu de révision pour une révision et une analyse plus approfondies. Bien qu’il soit courant de collecter du contenu Teams avec du contenu provenant d’autres services Microsoft 365, tels que le courrier électronique dans Exchange et les documents dans SharePoint, cette section se concentre spécifiquement sur la collecte de contenu Teams dans une collection. Vous pouvez créer des regroupements supplémentaires qui collectent du contenu non-Teams à ajouter à un ensemble de révisions.

Lorsque vous collectez du contenu Teams pour un cas, le flux de travail comporte deux étapes :

  1. Créer une estimation de collection. La première étape consiste à créer une estimation de collection, qui est une estimation des éléments qui correspondent à vos critères de recherche. Vous pouvez afficher des informations sur les résultats correspondant à la requête de recherche, telles que le nombre total et la taille des éléments trouvés, les différentes sources de données où ils ont été trouvés et les statistiques sur la requête de recherche. Vous pouvez également afficher un aperçu d’un exemple d’éléments retournés par la collection. À l’aide de ces statistiques, vous pouvez modifier la requête de recherche et réexécuter l’estimation de la collection autant de fois que nécessaire pour affiner les résultats jusqu’à ce que vous soyez satisfait de la collecte du contenu pertinent pour votre cas.
  2. Commitez une estimation de collection dans un jeu de révision. Une fois que vous êtes satisfait des résultats d’une estimation de collection, vous pouvez valider la collection dans un jeu de révision. Lorsque vous validez une estimation de collection, les éléments retournés par la collection sont ajoutés à un jeu de révision à des fins de révision, d’analyse et d’exportation.

Vous avez également la possibilité de ne pas exécuter une estimation de collection et d’ajouter les résultats de la collection directement à un jeu de révision lorsque vous créez et exécutez la collection.

Pour créer une collection de contenu Teams :

Remarque

Pendant une durée limitée, cette expérience eDiscovery classique est également disponible dans le nouveau portail Microsoft Purview. Activez l’expérience eDiscovery classique du portail de conformité dans les paramètres de l’expérience eDiscovery (préversion) pour afficher l’expérience classique dans le nouveau portail Microsoft Purview.

  1. Accédez au cas eDiscovery (Premium) auquel vous avez ajouté les consignataires dans la section précédente, puis sélectionnez Collections.

  2. Dans la page Collections , sélectionnez Nouvelle collection.

  3. Dans la page Nom et description , entrez un nom (obligatoire) et une description (facultatif) pour la collection. Sélectionnez Suivant.

  4. Dans la page Sources de données de garde , sélectionnez Sélectionner les consignataires pour sélectionner les dépositaires que vous avez ajoutés au cas. La liste des consignataires de cas s’affiche sur la page de menu volant Sélectionner les consignataires .

  5. Sélectionnez un ou plusieurs consignataires, puis sélectionnez Ajouter. Une fois que vous avez ajouté des consignataires spécifiques à la collection, une liste de sources de données spécifiques pour chaque dépositaire s’affiche. Ces sources de données sont celles que vous avez configurées lorsque vous avez ajouté le consignataire au cas. Toutes les sources de données du consignataire sont sélectionnées par défaut. Cela inclut les équipes ou les canaux que vous avez associés à un consignataire.

    Nous vous recommandons d’effectuer les opérations suivantes lors de la collecte de contenu Teams :

    • Supprimez les comptes OneDrive des consignataires de l’étendue de la collection (en désélectionnant la case à cocher dans la colonne OneDrive du consignataire pour chaque dépositaire). Cela empêche la collecte de fichiers en double qui ont été joints à des conversations 1:1 et des conversations de groupe. Les pièces jointes cloud sont collectées automatiquement à partir de chaque conversation trouvée dans la collection lorsque vous validez l’estimation du regroupement dans l’ensemble de révision. En utilisant cette méthode (au lieu de rechercher des comptes OneDrive dans le cadre de la collection), les fichiers joints à 1:1 et les conversations de groupe sont regroupés dans la conversation dans laquelle ils ont été partagés.
    • Décochez la case dans la colonne Site supplémentaire pour supprimer les sites SharePoint contenant des fichiers partagés dans des canaux privés ou partagés. Cela élimine la collecte des fichiers en double qui ont été attachés à des conversations de canal privé ou partagé, car ces pièces jointes cloud sont automatiquement ajoutées à l’ensemble de révision lorsque vous validez l’estimation du regroupement et regroupées dans les conversations dans lesquelles elles ont été partagées.
  6. Si vous avez déjà suivi les étapes pour ajouter du contenu Teams en tant que sources de données de consignataire, vous pouvez ignorer cette étape et sélectionner Suivant. Sinon, dans la page Sources de données non détenues , vous pouvez choisir des sources de données non détenues qui contiennent du contenu Teams que vous avez peut-être ajouté au cas pour effectuer une recherche dans la collection.

  7. Si vous avez déjà suivi les étapes pour ajouter du contenu Teams en tant que sources de données de consignataire, vous pouvez ignorer cette étape et sélectionner Suivant. Sinon, dans la page Emplacements supplémentaires , vous pouvez ajouter d’autres sources de données à rechercher dans la collection. Par exemple, vous pouvez ajouter la boîte aux lettres et le site d’une équipe qui n’a pas été ajouté en tant que source de données sous garde ou non. Vous pouvez également sélectionner l’option Canaux Teams partagés pour inclure des canaux partagés pendant les recherches à l’échelle du locataire. Sinon, sélectionnez Suivant et ignorez cette étape.

  8. Dans la page Conditions , configurez la requête de recherche pour collecter le contenu Teams à partir des sources de données que vous avez spécifiées dans les pages précédentes. Vous pouvez utiliser différents mots clés et conditions de recherche pour limiter l’étendue de la collection. Pour plus d’informations, consultez Générer des requêtes de recherche pour les collections.

    • Pour garantir la collecte la plus complète de conversations de conversation Teams (y compris les conversations 1:1, de groupe et de canal), utilisez la condition de filtre Type et sélectionnez l’option Messages instantanés .
    • Pour vous assurer d’ajouter des informations de réunion Teams enregistrées à la collection, utilisez la condition de filtre Type de fichier et incluez .mp4 comme valeur contenue.
    • Nous vous recommandons également d’inclure une plage de dates ou plusieurs mots clés pour limiter l’étendue de la collection aux éléments pertinents pour votre investigation.
  9. Dans la page Vérifier votre collection , passez en revue les paramètres de la collection et sélectionnez Envoyer pour créer une estimation de collection ou Enregistrer et fermer pour enregistrer les paramètres de la collection pour les terminer ultérieurement.

Une fois le processus d’ajout de la collection à l’ensemble de révision terminé, la valeur État de la collection sous l’onglet Collections est définie sur Estimé.

Valider une collection au brouillon vers un ensemble de révisions

Lorsque vous êtes satisfait des éléments que vous avez collectés dans une estimation de collection et que vous êtes prêt à les analyser, les étiqueter et les examiner, vous pouvez valider une collection dans un jeu de révision dans le cas.

Pour obtenir des instructions pas à pas sur la validation d’une collection, consultez Commit a collection estimate to a review set in eDiscovery (Premium).

Examiner le contenu Teams dans un jeu de révision

Une fois que vous avez ajouté des collections de contenu Teams à un ensemble de révisions, l’étape suivante consiste à examiner le contenu pour déterminer sa pertinence pour votre investigation et à l’éliminer si nécessaire. Un prérequis important pour examiner le contenu Teams est de comprendre comment eDiscovery (Premium) traite les réunions Teams, les conversations de conversation et les pièces jointes lors de leur ajout à un jeu de révision. Ce traitement du contenu Teams entraîne les trois éléments suivants :

  • Regroupement. Comment les messages, les publications et les réponses des conversations Teams sont regroupés et présentés dans l’ensemble de révision. Cela inclut également les pièces jointes dans les conversations de conversation qui sont extraites et groupées dans la conversation.
  • Threading de transcription de conversation. Comment eDiscovery (Premium) détermine le contenu supplémentaire d’une conversation à collecter pour fournir un contexte autour des éléments qui correspondent aux critères de la collection.
  • Déduplication. Comment eDiscovery (Premium) gère le contenu Teams en double.
  • Métadonnées. Propriétés de métadonnées qu’eDiscovery (Premium) ajoute au contenu Teams après sa collecte et son ajout à un jeu de révision.

Remarque

La date et l’heure de toutes les conversations dans Teams sont affichées en temps universel coordonné (UTC).

Comprendre le regroupement, les threads de conversation, la déduplication et les métadonnées Teams vous aideront à optimiser la révision et l’analyse du contenu Teams. Cette section contient également des conseils pour afficher le contenu Teams dans un ensemble de révisions.

Regroupement

Lorsque le contenu des conversations de conversation Teams est ajouté à un jeu de révision, les messages, les publications et les réponses des conversations sont agrégés dans des fichiers de transcription HTML. Une seule conversation peut avoir plusieurs fichiers de transcription. Une fonction importante de ces fichiers de transcription consiste à présenter le contenu Teams sous forme de conversations continues et non sous forme de messages individuels (ou distincts). Cela permet de fournir un contexte pour les éléments qui correspondent aux critères de recherche de vos collections à l’étape précédente et de réduire le nombre d’éléments collectés dans l’ensemble de révision. Les transcriptions et les éléments associés peuvent être regroupés par famille ou par conversation. Les éléments de la même famille auront la même valeur pour la propriété de métadonnées FamilyId . Les éléments de la même conversation auront la même valeur pour la propriété de métadonnées ConversationId .

Le tableau suivant décrit comment les différents types de contenu Teams sont regroupés par famille et conversation.

Type de contenu Teams Grouper par famille Grouper par conversation
Teams 1:1 et conversations de groupe Une transcription et toutes ses pièces jointes et éléments extraits partagent le même FamilyId. Chaque transcription a un FamilyId unique. Tous les fichiers de transcription et leurs éléments de famille dans la même conversation partagent le même ConversationId. Les éléments concernés sont, entre autres, les suivants :
  • Tous les éléments et pièces jointes extraits de toutes les transcriptions qui partagent le même ConversationId.
  • Toutes les transcriptions pour la même conversation de conversation
  • Toutes les copies du consignataire de chaque transcription
  • Transcriptions des collections suivantes de la même conversation de conversation

Pour teams 1:1 et les conversations de groupe, vous pouvez avoir plusieurs fichiers de transcription, chacun correspondant à une période différente au sein de la conversation. Étant donné que ces fichiers de transcription proviennent de la même conversation avec les mêmes participants, ils partagent le même ConversationId.
Conversations de canal standard, privé et partagé Chaque publication et toutes les réponses et pièces jointes sont enregistrées dans sa propre transcription. Cette transcription et toutes ses pièces jointes et éléments extraits partagent le même FamilyId. Chaque billet et ses pièces jointes et éléments extraits ont un ConversationId unique. S’il existe des collections ultérieures ou de nouvelles réponses du même billet, les transcriptions delta résultant de ces collections auront également le même ConversationId.
Réunions Teams Chaque réunion

Utilisez le contrôle Groupe dans la barre de commandes d’un jeu de révision pour afficher le contenu Teams regroupé par famille ou conversation.

Contrôle de groupe dans la barre de commandes.

  • Sélectionnez Grouper les pièces jointes de la famille pour afficher le contenu Teams regroupé par famille. Chaque fichier de transcription s’affiche sur une ligne dans la liste des éléments d’ensemble de révision. Les pièces jointes sont imbriquées sous l’élément.
  • Sélectionnez Grouper des équipes ou Viva Engage conversations pour afficher le contenu Teams regroupé par conversation. Chaque conversation est affichée sur une ligne dans la liste des éléments d’ensemble de révision. Les fichiers de transcription et les pièces jointes sont imbriqués sous la conversation de niveau supérieur.

Remarque

Les pièces jointes cloud sont regroupées avec les conversations dans lesquelles elles apparaissent. Ce regroupement est effectué en affectant le même FamilyId que le fichier de transcription du message auquel le fichier a été attaché et le même ConversationId que la conversation dans laquelle le message est apparu. Cela signifie que plusieurs copies des pièces jointes cloud peuvent être ajoutées à l’ensemble de révision si elles ont été attachées à différentes conversations.

Affichage des transcriptions de réunion enregistrées

La transcription audio de la réunion enregistrée est capturée sous la forme d’un fichier distinct et indexée automatiquement pour la recherche. Les réunions enregistrées dans un jeu de révision sont stockées sous la forme d’un fichier .zip qui contient les fichiers suivants :

  • Transcription de l’audio de la réunion au format .txt
  • L’enregistrement vidéo de la réunion au format .mp4
  • Image miniature de la réunion au format .jpg
  • Métadonnées de réunion et chapitres de réunion (le cas échéant) au format .json

Pour afficher les fichiers de transcription audio de réunion dans un ensemble de révisions, vous devez sélectionner la réunion et la visionneuse de transcription dans le volet des détails de la réunion. Les captures d’écran suivantes montrent un exemple de réunion dans le client Teams et le fichier de transcription de réunion de la même réunion dans le jeu de révision.

Réunion dans le client Teams

Réunion d’équipe affichée dans le client Teams.

Fichier de transcription de réunion dans le jeu de révision

Réunion affichée dans le fichier de transcription de la réunion dans le jeu de révision.

Affichage des fichiers de transcription de conversation

Lors de l’affichage des fichiers de transcription dans un jeu de révision, certains messages sont mis en surbrillance en violet. Les messages mis en surbrillance dépendent de la copie du dépositaire de la transcription que vous affichez. Par exemple, dans une conversation 1:1 entre User4 et User2, les messages publiés par User4 sont mis en surbrillance en violet lorsque vous affichez la transcription collectée à partir de la boîte aux lettres de User4. Lorsque vous affichez la transcription de User2 de la même conversation, les messages publiés par User2 sont mis en surbrillance en violet. Ce comportement de mise en surbrillance est basé sur la même expérience client Teams, où les publications d’un utilisateur sont mises en surbrillance en violet dans le client Teams.

Les captures d’écran suivantes montrent un exemple de conversation dans le client Teams et le fichier de transcription de la même conversation dans le jeu de révision. La mise en surbrillance violette dans le fichier de transcription indique que la transcription a été collectée à partir de la boîte aux lettres de User2.

Conversation dans le client Teams

Conversation affichée dans le client Teams.

Conversation dans le fichier de transcription

Conversation affichée dans le fichier de transcription dans le jeu de révision.

Threading de transcription de conversation

La fonctionnalité de thread de conversation dans le nouveau format de cas dans eDiscovery (Premium) vous aide à identifier le contenu contextuel lié aux éléments qui peuvent être pertinents pour votre investigation. Cette fonctionnalité produit des vues de conversation distinctes qui incluent des messages de conversation qui précèdent et suivent les éléments correspondant à la requête de recherche pendant la collecte. Cette fonctionnalité vous permet d’examiner efficacement et rapidement les conversations de conversation complètes ( appelées conversations à thread) dans Microsoft Teams. Comme expliqué précédemment, les conversations de conversation sont reconstruites dans des fichiers de transcription HTML lorsque eDiscovery (Premium) ajoute du contenu Teams à un jeu de révision.

Voici la logique utilisée par eDiscovery (Premium) pour inclure des fichiers de transcription de messages et de réponses supplémentaires qui fournissent un contexte autour des éléments correspondant à la requête de collection (appelée éléments réactifs) que vous avez utilisée lors de la collecte de contenu Teams. Différents comportements de thread sont basés sur les types de conversations et la requête de recherche utilisées pour collecter les éléments réactifs. Il existe deux scénarios de regroupement courants :

  • Requêtes qui utilisent des paramètres de recherche, tels que des mots clés et des paires property :value
  • Requêtes qui utilisent uniquement des plages de dates
Type de contenu Teams Requêtes avec des paramètres de recherche Requêtes avec des plages de dates
Teams 1:1 et conversations de groupe Les messages qui ont été publiés 12 heures avant et 12 heures après les éléments réactifs sont regroupés avec l’élément réactif dans un fichier de transcription unique. Les messages d’une fenêtre de 24 heures sont regroupés dans un fichier de transcription unique.
Conversations de canal Teams standard, privées et partagées Chaque publication contenant des éléments réactifs et toutes les réponses correspondantes sont regroupées dans un fichier de transcription unique. Chaque publication contenant des éléments réactifs et toutes les réponses correspondantes sont regroupées dans un fichier de transcription unique.

Déduplication du contenu Teams

La liste suivante décrit le comportement de déduplication (et de duplication) lors de la collecte de contenu Teams dans un jeu de révision.

  • Chaque fichier de transcription ajouté à un jeu de révision doit être un mappage un-à-un au contenu stocké dans des emplacements de données. Cela signifie qu’eDiscovery (Premium) ne collecte aucun contenu Teams qui a déjà été ajouté à l’ensemble de révision. Si un message de conversation est déjà collecté dans un jeu de révision, eDiscovery (Premium) n’ajoute pas le même message à partir du même emplacement de données au jeu de révision dans les regroupements suivants.

  • Pour les conversations 1:1 et de groupe, des copies des messages sont stockées dans la boîte aux lettres de chaque participant à la conversation. Les copies de la même conversation qui existent dans les boîtes aux lettres des différents participants sont collectées avec des métadonnées différentes. Par conséquent, chaque instance de la conversation est traitée comme unique et intégrée dans l’ensemble de révision dans des fichiers de transcription distincts. Par conséquent, si tous les participants d’une conversation 1:1 ou de groupe sont ajoutés en tant que consignataires dans un cas et inclus dans l’étendue d’une collection, des copies de chaque transcription (pour la même conservation) sont ajoutées à l’ensemble de révision et sont regroupées avec le même ConversationId. Chacune de ces copies est associée à un consignataire correspondant. Conseil : La colonne Consignataire dans la liste des ensembles de révision identifie le consignataire pour le fichier de transcription correspondant.

  • Dans les collections suivantes d’éléments de la même conversation, seul le contenu delta qui n’a pas été collecté précédemment est ajouté au jeu de révision et regroupé (en partageant le même ConversationId) avec les transcriptions précédemment collectées de la même conversation. Voici un exemple de ce comportement :

    1. La collection A collecte les messages dans une conversation entre User1 et User2 et ajoute à l’ensemble de révisions.
    2. La collection B collecte les messages de la même conversation, mais il existe de nouveaux messages entre User1 et User2 depuis l’exécution de la collection A.
    3. Seuls les nouveaux messages de la collection B sont ajoutés à l’ensemble de révision. Ces messages sont ajoutés à un fichier de transcription distinct, mais la nouvelle transcription est regroupée avec les transcriptions de la collection A par le même ConversationId.

    Ce comportement s’applique à tous les types de conversations Teams.

Métadonnées pour le contenu Teams

Dans les grands ensembles de révision contenant des milliers ou des millions d’éléments, il peut être difficile de limiter l’étendue de votre révision au contenu Teams. Pour vous aider à concentrer votre révision sur le contenu Teams, il existe des propriétés de métadonnées spécifiques au contenu Teams. Vous pouvez utiliser ces propriétés pour organiser les colonnes dans la liste de révision et configurer des filtres et des requêtes afin d’optimiser la révision du contenu Teams. Ces propriétés de métadonnées sont également incluses lorsque vous exportez du contenu Teams à partir d’eDiscovery (Premium), pour vous aider à organiser et à afficher le contenu après l’exportation ou dans des outils eDiscovery tiers.

Le tableau suivant décrit les propriétés de métadonnées pour le contenu Teams.

Propriété de métadonnées Description
ContainsEditedMessage Indique si un fichier de transcription contient un message modifié. Les messages modifiés sont identifiés lors de l’affichage du fichier de transcription.
ConversationId GUID qui identifie la conversation à laquelle l’élément est associé. Les fichiers de transcription et les pièces jointes de la même conversation ont la même valeur pour cette propriété.
Nom de la conversation Nom de la conversation à laquelle le fichier de transcription ou la pièce jointe est associé. Pour Teams 1:1 et les conversations de groupe, la valeur de cette propriété est l’UPN de tous les participants de la conversation sont concaténés. Par exemple : User3 <User3@contoso.onmicrosoft.com>,User4 <User4@contoso.onmicrosoft.com>,User2 <User2@contoso.onmicrosoft.com>. Les conversations de canal Teams (standard, privé et partagé) utilisent le format suivant pour le nom de conversation : <Team name>,<Channel name>. Par exemple : eDiscovery vNext, General.
ConversationType Indique le type de conversation d’équipe. Pour Teams 1:1 et les conversations de groupe, la valeur de cette propriété est Group. Pour les conversations de canal standard, privé et partagé, la valeur est Channel.
Date Horodatage du premier message dans le fichier de transcription au format UTC.
FamilyId GUID qui identifie le fichier de transcription pour une conversation de conversation. Les pièces jointes ont la même valeur pour cette propriété que le fichier de transcription qui contient le message auquel le fichier a été attaché.
FileClass Indique ce type de contenu. Les éléments des conversations Teams ont la valeur Conversation. En revanche, les messages électroniques Exchange ont la valeur Email.
MessageKind Propriété de type de message. Le contenu Teams a la valeur microsoftteams , im.
Recipients Liste de tous les utilisateurs qui ont reçu un message dans la conversation de transcription.
TeamsChannelName Nom du canal Teams de la transcription.

Pour obtenir une description des autres propriétés de métadonnées eDiscovery (Premium), consultez Champs de métadonnées de document dans eDiscovery (Premium).

Exporter le contenu de Teams

Une fois que vous avez examiné et éliminé le contenu Teams dans un ensemble de révisions, vous pouvez exporter les fichiers de transcription qui contiennent du contenu qui répond à votre examen. Il n’existe aucun paramètre d’exportation spécifique pour le contenu Teams. Chaque fichier de transcription est exporté en tant que fichier de message HTML. Ce fichier contient également des balises CDATA masquées avec toutes les métadonnées pour les messages de conversation individuels. Les propriétés de métadonnées décrites dans la section précédente sont incluses lors de l’exportation du contenu Teams.

Chaque fichier de transcription est référencé dans le fichier de chargement et peut être localisé à l’aide du chemin d’accès relatif dans le champ Export_native_path dans le fichier de chargement. Les fichiers de transcription se trouvent dans le dossier Conversations du dossier d’exportation racine.

Conseils pour afficher du contenu Teams dans un jeu de révision

Voici quelques conseils et meilleures pratiques pour afficher le contenu Teams dans un jeu de révision.

  • Utilisez le contrôle Personnaliser les colonnes dans la barre de commandes pour ajouter et organiser des colonnes afin d’optimiser la révision du contenu Teams. Vous pouvez ajouter et supprimer des colonnes utiles pour le contenu Teams. Vous pouvez également séquencer l’ordre des colonnes en les faisant glisser et en les déposant dans la page de menu volant Modifier la colonne . Vous pouvez également trier sur des colonnes pour regrouper le contenu Teams avec des valeurs similaires pour la colonne sur laquelle vous effectuez le tri.
  • Les colonnes utiles qui vous aideront à examiner le contenu teams incluent le consignataire, les destinataires et le type de fichier ou le type de message.
  • Utilisez des filtres pour les propriétés associées à Teams afin d’afficher rapidement le contenu Teams. Il existe des filtres pour la plupart des propriétés de métadonnées décrites dans la section précédente.

Suppression des messages de conversation Teams

Vous pouvez utiliser eDiscovery (Premium) et l’Explorer Microsoft Graph pour répondre aux incidents de déversement de données, lorsque du contenu contenant des informations confidentielles ou malveillantes est publié via des messages de conversation Teams. Les administrateurs de votre organization peuvent rechercher et supprimer des messages de conversation dans Microsoft Teams. Cette fonctionnalité peut vous aider à supprimer des informations sensibles ou du contenu inapproprié dans les messages de conversation Teams. Pour plus d’informations, consultez Rechercher et vider des messages de conversation dans Teams.