Рабочий процесс обнаружения электронных данных (премиум) для содержимого в Microsoft Teams

Совет

Обнаружение электронных данных (предварительная версия) теперь доступно на новом портале Microsoft Purview. Дополнительные сведения об использовании нового интерфейса обнаружения электронных данных см. в статье Сведения об обнаружении электронных данных (предварительная версия).

В этой статье представлен полный набор процедур, рекомендаций и рекомендаций по использованию Microsoft Purview eDiscovery (Премиум) для сохранения, сбора, просмотра и экспорта содержимого из Microsoft Teams. Цель этой статьи — помочь вам оптимизировать рабочий процесс обнаружения электронных данных для содержимого Teams.

Существует семь категорий содержимого Teams, которые можно собирать и обрабатывать с помощью обнаружения электронных данных (премиум):

  • Чаты Teams 1:1. Сообщения чата, записи и вложения, к которым предоставлен общий доступ в беседе Teams между двумя людьми. Чаты Teams 1:1 также называются беседами.
  • Групповые чаты Teams. Сообщения чата, записи и вложения, которыми обменивается в беседе Teams между тремя или более людьми. Также называются чатами 1:N или групповыми беседами.
  • Реакции команд. Реакции, применяемые к сообщениям чата, публикациям и вложениям в беседе Teams.
  • Каналы Teams. Сообщения чата, сообщения, ответы и вложения, к которым предоставлен общий доступ в стандартном канале Teams.
  • Собрания Teams. Аудио и стенограммы записанных собраний Teams.
  • Частные каналы. Сообщения, ответы и вложения, к которым предоставлен общий доступ в частном канале Teams.
  • Общие каналы. Сообщения, ответы и вложения, к которым предоставлен общий доступ в общем канале Teams.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Где хранится содержимое Teams

Необходимым условием для управления содержимым Teams в eDiscovery (премиум) является понимание типа содержимого Teams, которое можно собирать, обрабатывать и просматривать в eDiscovery (премиум) и где это содержимое хранится в Microsoft 365.

Данные Teams хранятся в Azure Cosmos DB. Записи соответствия требованиям Teams, захваченные субстратом, находятся в Exchange Online и доступны для обнаружения.

В следующей таблице перечислены типы контента Teams и каждый из них хранится в целях соответствия требованиям. Данные, хранящиеся в Exchange Online, скрыты от клиентов. Обнаружение электронных данных никогда не работает с реальными данными сообщений Teams, которые остаются в Azure Cosmos DB.

Категория Teams Расположение сообщений и сообщений чата Расположение файлов и вложений Расположение записей собраний
Чаты Teams 1:1 Сообщения в чатах 1:1 хранятся в Exchange Online почтовом ящике всех участников чата. Файлы, к которым предоставлен общий доступ в чате 1:1, хранятся в OneDrive для бизнеса учетной записи пользователя, который предоставил общий доступ к файлу. Н/Д
Групповые чаты Teams Сообщения в групповых чатах хранятся в Exchange Online почтовом ящике всех участников чата. Файлы, к которым предоставлен общий доступ в групповых чатах, хранятся в OneDrive для бизнеса учетной записи пользователя, который предоставил общий доступ к файлу. Недоступно
Реакции Teams Сообщения в групповых чатах хранятся в Exchange Online почтовом ящике всех участников чата. Файлы, к которым предоставлен общий доступ в групповых чатах, хранятся в OneDrive для бизнеса учетной записи пользователя, который предоставил общий доступ к файлу. Н/Д
Каналы Teams Все сообщения и записи канала хранятся в почтовом ящике Exchange Online, связанном с командой. Файлы, к которым предоставлен общий доступ в канале, хранятся на сайте SharePoint Online, связанном с командой. Н/Д
Собрания Teams Чаты в записанных собраниях хранятся в учетной записи OneDrive для бизнеса для пользователя, записываемого на собрание Teams. Файлы и вложения, к которым предоставлен общий доступ на записанных собраниях, хранятся в учетной записи OneDrive для бизнеса для пользователя, записываемого на собрание Teams. Записи собраний хранятся в учетной записи OneDrive для бизнеса для пользователя, записываемого на собрание Teams.
Закрытые каналы Сообщения, отправленные в частном канале, хранятся в Exchange Online почтовых ящиках всех участников частного канала. Файлы, к которым предоставлен общий доступ в частном канале, хранятся на выделенном сайте SharePoint Online, связанном с частным каналом. Недоступно
Общие каналы Сообщения, отправленные в общем канале, хранятся в системном почтовом ящике, связанном с общим каналом. 1 Файлы, к которым предоставлен общий доступ в общем канале, хранятся на выделенном сайте SharePoint Online, связанном с общим каналом. Н/Д

Примечание.

1 Чтобы найти (и сохранить) сообщения, отправленные в общем канале, необходимо найти или указать почтовый ящик Exchange Online для родительской команды.

Создание дела для содержимого Teams

Первым шагом к управлению содержимым Teams в eDiscovery (премиум) является создание дела с использованием нового формата, оптимизированного для управления содержимым Teams. Новый формат регистра позволяет значительно увеличить размер регистра как для общего объема данных, так и для общего количества элементов в случаях.

Пошаговые инструкции по созданию дела см. в статье Создание дела обнаружения электронных данных (премиум) и управление им.

Добавление источников данных хранения Teams и сохранение содержимого Teams

Следующим шагом является определение пользователей, которые являются хранителями данных в вашем расследовании, и добавление их и их расположения содержимого в качестве хранителей в дело, созданное в предыдущем разделе. При добавлении хранителей можно указать их почтовый ящик и учетную запись OneDrive в качестве источников данных хранения. Вы также можете указать расположения содержимого Teams в качестве источников данных хранителя, чтобы быстро поместить эти расположения на удержание по закону, чтобы сохранить содержимое во время исследования. Это также упрощает сбор содержимого и добавление его в набор для проверки.

Чтобы добавить хранителей в дело и сохранить источники данных хранения, выполните приведенные ниже действия.

Примечание.

В течение ограниченного времени этот классический интерфейс обнаружения электронных данных также доступен на новом портале Microsoft Purview. Включите классический интерфейс eDiscovery портала соответствия требованиям в параметрах интерфейса обнаружения электронных данных (предварительная версия) для отображения классического интерфейса на новом портале Microsoft Purview.

  1. Перейдите к делу eDiscovery (Премиум), созданному в предыдущем разделе, а затем выберите Источники данных.

  2. На странице Источники данных выберите Добавить источник данныхДобавить новых> хранителей.

  3. В мастере создания хранителя добавьте одного или нескольких пользователей в качестве хранителей в дело, введя первую часть имени или псевдонима пользователя. После того, как вы найдете нужного человека, выберите его имя, чтобы добавить его в список.

  4. Разверните каждого хранителя, чтобы просмотреть основные источники данных, которые были автоматически связаны с хранителем, и выбрать другие расположения для связывания с хранителем.

    Источники данных хранителя.

  5. Следуйте этим рекомендациям, чтобы добавить хранимые источники данных для содержимого Teams. Выберите Изменить , чтобы добавить расположение данных.

    • Почтовые ящики. Почтовый ящик хранителя выбран по умолчанию. Оставьте этот параметр выбранным, чтобы добавить (и сохранить) чаты 1:1, групповые чаты и чаты частного канала в качестве хранимых данных.
    • OneDrives. Учетная запись Хранителя OneDrive выбрана по умолчанию. Оставьте этот параметр выбранным, чтобы добавлять (и сохранять) файлы, к которым предоставлен общий доступ в чатах 1:1, групповых чатах и собраниях Teams в качестве хранимых данных.
    • SharePoint. Добавьте сайт SharePoint, связанный с любым частным или общим каналом, в который входит хранитель, чтобы добавить (и сохранить) в качестве хранимых данных файлы, к которым предоставлен общий доступ в канале. Выберите Изменить и добавьте URL-адрес сайта SharePoint, связанного с частным или общим каналом. Сведения о том, как найти частные и общие каналы, в которые входит пользователь, см. в статье Обнаружение электронных данных частных и общих каналов.
    • Teams. Добавьте команды, в которые входит хранитель, чтобы добавить (и сохранить) в качестве хранимых данных все сообщения канала и все файлы, к которым предоставлен общий доступ каналу Teams. Эта рекомендация включает добавление почтового ящика для родительская команда общего канала, членом которой является хранитель. При нажатии кнопки Изменить почтовый ящик и сайт, связанные с каждой командой, членом которых является хранитель, отображаются в списке. Выберите команды, которые нужно связать с хранителем. Необходимо выбрать соответствующий почтовый ящик и сайт для каждой команды.

    Примечание.

    Вы также можете добавить почтовый ящик и сайт Teams, участниками которых не являются хранители, в качестве расположения данных хранителя. Для этого щелкните Изменить рядом с exchange и SharePoint , а затем добавьте почтовый ящик и сайт, связанные с командой.

  6. После добавления хранителей и настройки источников хранимых данных нажмите кнопку Далее , чтобы отобразить страницу Параметры удержания . Отобразится список хранителей, и по умолчанию установлен флажок в столбце Удержание . Этот флажок указывает, что удержание будет помещено в источники данных, связанные с каждым хранителем. Не устанавливайте эти флажки, чтобы сохранить эти данные.

  7. На странице Параметры удержания нажмите кнопку Далее , чтобы просмотреть параметры хранителей. Нажмите кнопку Отправить , чтобы добавить хранителей в дело.

Дополнительные сведения о добавлении и сохранении источников данных в случаях обнаружения электронных данных (премиум) см. в следующих разделах:

Сбор содержимого Teams и добавление в набор для проверки

После добавления хранителей в дело и сохранения содержимого в источниках данных хранителя следующим шагом в рабочем процессе является поиск содержимого Teams, относящееся к вашему расследованию, и его добавление в набор для проверки для дальнейшей проверки и анализа. Хотя обычно собирается содержимое Teams вместе с контентом из других служб Microsoft 365, таких как электронная почта в Exchange и документы в SharePoint, в этом разделе особое внимание уделяется сбору содержимого Teams в коллекции. Вы можете создать дополнительные коллекции, которые собирают содержимое, отличное от Teams, для добавления в набор для проверки.

При сборе содержимого Teams для обращения в рабочий процесс выполняется два шага:

  1. Создайте оценку коллекции. Первым шагом является создание оценки коллекции, которая представляет собой оценку элементов, соответствующих условиям поиска. Вы можете просмотреть сведения о результатах, соответствующих поисковому запросу, например общее количество и размер найденных элементов, различные источники данных, в которых они были найдены, а также статистику по поисковому запросу. Вы также можете просмотреть пример элементов, возвращаемых коллекцией. Используя эту статистику, вы можете изменить поисковый запрос и повторно запустить оценку коллекции столько раз, сколько необходимо, чтобы сузить результаты, пока вы не будете удовлетворены сбором содержимого, относящегося к вашему делу.
  2. Зафиксируйте оценку коллекции в наборе для проверки. Когда вы будете удовлетворены результатами оценки коллекции, вы можете зафиксировать коллекцию в наборе для проверки. При фиксации оценки коллекции элементы, возвращаемые коллекцией, добавляются в набор для проверки, анализа и экспорта.

Вы также можете не запускать оценку коллекции и добавлять результаты коллекции непосредственно в набор для проверки при создании и запуске коллекции.

Чтобы создать коллекцию содержимого Teams, выполните приведенные далее действия.

Примечание.

В течение ограниченного времени этот классический интерфейс обнаружения электронных данных также доступен на новом портале Microsoft Purview. Включите классический интерфейс eDiscovery портала соответствия требованиям в параметрах интерфейса обнаружения электронных данных (предварительная версия) для отображения классического интерфейса на новом портале Microsoft Purview.

  1. Перейдите к делу eDiscovery (Премиум), к которому вы добавили хранителей в предыдущем разделе, а затем выберите Коллекции.

  2. На странице Коллекции выберите Создать коллекцию.

  3. На странице Имя и описание введите имя (обязательно) и описание (необязательно) для коллекции. Нажмите кнопку Далее.

  4. На странице Источники данных хранилища выберите Выбрать хранителей , чтобы выбрать хранителей, которые вы добавили в дело. Список хранителей дела отображается на всплывающей странице Выбор хранителей .

  5. Выберите одного или нескольких хранителей, а затем нажмите кнопку Добавить. После добавления определенных хранителей в коллекцию отображается список конкретных источников данных для каждого хранителя. Эти источники данных настроены при добавлении хранителя в дело. По умолчанию выбраны все источники данных хранителя. Сюда входят все Команды или каналы, связанные с хранителем.

    При сборе содержимого Teams рекомендуется выполнять следующие действия:

    • Удалите учетные записи Хранителей OneDrive из коллекции область (снимите флажок в столбце Хранителя OneDrive для каждого хранителя). Это предотвращает сбор повторяющихся файлов, присоединенных к чатам 1:1 и групповым чатам. Облачные вложения автоматически собираются из каждой беседы, найденной в коллекции, при фиксации оценки коллекции в наборе для проверки. С помощью этого метода (вместо поиска учетных записей OneDrive в коллекции) файлы, присоединенные к 1:1, и групповые чаты группируются в беседе, в которой они были переданы.
    • Снимите флажок в столбце Дополнительный сайт , чтобы удалить сайты SharePoint, содержащие файлы, к которым предоставлен общий доступ в частных или общих каналах. Это позволяет исключить сбор повторяющихся файлов, которые были присоединены к беседам частного или общего канала, так как эти облачные вложения автоматически добавляются в набор проверки при фиксации оценки сбора и группирования в беседах, в которых они были переданы.
  6. Если вы ранее выполняли действия по добавлению содержимого Teams в качестве источников данных хранителя, можно пропустить этот шаг и нажать кнопку Далее. В противном случае на странице Источники данных, не относящиеся к хранению, можно выбрать источники данных, не относящиеся к хранению, которые содержат содержимое Teams, которое вы, возможно, добавили в дело для поиска в коллекции.

  7. Если вы ранее выполняли действия по добавлению содержимого Teams в качестве источников данных хранителя, можно пропустить этот шаг и нажать кнопку Далее. В противном случае на странице Дополнительные расположения можно добавить другие источники данных для поиска в коллекции. Например, можно добавить почтовый ящик и сайт для команды, которая не была добавлена в качестве хранимого или нерепетиционного источника данных. Вы также можете выбрать параметр Общие каналы Teams , чтобы включить общие каналы во время поиска на уровне клиента. В противном случае нажмите кнопку Далее и пропустите этот шаг.

  8. На странице Условия настройте поисковый запрос для сбора содержимого Teams из источников данных, указанных на предыдущих страницах. Для сужения область коллекции можно использовать различные ключевые слова и условия поиска. Дополнительные сведения см. в разделе Создание поисковых запросов для коллекций.

    • Чтобы обеспечить самую полную коллекцию бесед в чате Teams (включая беседы 1:1, групповые и канальные чаты), используйте условие фильтра тип и выберите параметр Мгновенные сообщения .
    • Чтобы обеспечить добавление записанных сведений о собрании Teams в коллекцию, используйте условие фильтра типа файла и включите .mp4 в качестве содержащегося значения.
    • Мы также рекомендуем включить диапазон дат или несколько ключевых слов, чтобы сузить область коллекции до элементов, относящихся к вашему исследованию.
  9. На странице Просмотр коллекции просмотрите параметры коллекции и нажмите кнопку Отправить , чтобы создать оценку коллекции, или Сохранить и закрыть , чтобы сохранить параметры коллекции для завершения позже.

По завершении процесса добавления коллекции в набор проверки для параметра Состояние коллекции на вкладке Коллекции задается значение Estimated.

Фиксация оценки коллекции в наборе для проверки

Если вы удовлетворены элементами, собранными в оценке коллекции, и готовы к их анализу, добавлению тегов и просмотру, вы можете зафиксировать коллекцию в наборе для проверки в данном случае.

Пошаговые инструкции по фиксации коллекции см. в разделе Фиксация оценки коллекции в наборе для проверки в eDiscovery (Премиум).

Просмотр содержимого Teams в наборе для проверки

После добавления коллекций содержимого Teams в набор для проверки следующим шагом является проверка содержимого на его релевантность для исследования и его отсхивание при необходимости. Важной предпосылкой для просмотра содержимого Teams является понимание того, как обнаружение электронных данных (премиум) обрабатывает собрания Teams, беседы чата и вложения при добавлении их в набор для проверки. Обработка содержимого Teams приводит к следующим трем вещам:

  • Группирование. Как сообщения, записи и ответы беседы Teams группируются и отображаются в наборе для проверки. Сюда также входят вложения в беседах чата, которые извлекаются и группируются в беседе.
  • Потоковая расшифровка беседы. Как обнаружение электронных данных (премиум) определяет, какое дополнительное содержимое из беседы требуется собрать, чтобы обеспечить контекст вокруг элементов, соответствующих критериям сбора.
  • Дедупликация. Как обнаружение электронных данных (премиум) обрабатывает повторяющееся содержимое Teams.
  • Метаданные. Свойства метаданных, которые eDiscovery (премиум) добавляются в содержимое Teams после его сбора и добавления в набор для проверки.

Примечание.

Дата и время всех бесед в Teams отображаются в формате UTC.

Сведения о группированиях, потоков беседах, дедупликации и метаданных Teams помогут оптимизировать проверку и анализ содержимого Teams. В этом разделе также содержатся советы по просмотру содержимого Teams в наборе для проверки.

Группирование

Когда содержимое бесед чата Teams добавляется в набор для проверки, сообщения, записи и ответы из бесед агрегируются в файлах расшифровки HTML. В одной беседе чата может быть несколько файлов расшифровки. Важная функция этих файлов расшифровки заключается в представлении содержимого Teams в виде непрерывных бесед, а не в виде отдельных (или отдельных) сообщений. Это помогает обеспечить контекст для элементов, которые соответствовали критериям поиска коллекций на предыдущем шаге, и уменьшить количество элементов, собранных в набор для проверки. Стенограммы и связанные элементы можно группировать по семье или беседе. Элементы из одного семейства будут иметь одинаковое значение для свойства метаданных FamilyId . Элементы в одной беседе будут иметь то же значение для свойства метаданных ConversationId .

В следующей таблице описано, как различные типы содержимого Teams группируются по семье и беседе.

Тип контента Teams Группировка по семье Группирование по беседе
Teams 1:1 и групповые чаты Расшифровка и все его вложения и извлеченные элементы используют один и тот же FamilyId. Каждая расшифровка имеет уникальный FamilyId. Все файлы расшифровки и их семейные элементы в одной беседе используют один и тот же идентификатор ConversationId. Содержит следующие элементы:
  • Все извлеченные элементы и вложения всех расшифровок, которые используют один и тот же ConversationId.
  • Все расшифровки для одной беседы чата
  • Все копии хранителя каждой расшифровки
  • Расшифровки из последующих коллекций из той же беседы чата

Для бесед Teams 1:1 и групповых чатов может быть несколько файлов расшифровки, каждый из которых соответствует разным временным интервалам в беседе. Так как эти файлы расшифровки относятся к одной беседе с теми же участниками, они используют один и тот же Идентификатор ConversationId.
Чаты стандартных, частных и общих каналов Каждая запись и все ответы и вложения сохраняются в собственной расшифровки. Эта расшифровка и все его вложения и извлеченные элементы используют один и тот же FamilyId. Каждая запись, ее вложения и извлеченные элементы имеют уникальный Идентификатор ConversationId. Если есть последующие коллекции или новые ответы из той же записи, разностные расшифровки, полученные из этих коллекций, также будут иметь тот же ConversationId.
Собрания Teams Каждое собрание

Используйте элемент управления Группа на панели команд набора для просмотра содержимого Teams, сгруппированного по семье или беседе.

Элемент управления

  • Выберите Группировать семейные вложения , чтобы просмотреть содержимое Teams, сгруппированное по семействам. Каждый файл расшифровки отображается в строке списка элементов набора для проверки. Вложения вложены в элемент.
  • Выберите Группировать Teams или Viva Engage беседы, чтобы просмотреть содержимое Teams, сгруппированное по беседам. Каждая беседа отображается в строке списка элементов набора для проверки. Файлы расшифровки и вложения вложены в беседу верхнего уровня.

Примечание.

Облачные вложения группируются по беседам, в которых они отображаются. Это группирование выполняется путем назначения того же параметра FamilyId , что и файл расшифровки сообщения, к которому был присоединен файл, и тот же ConversationId , что и беседа, в которую появилось сообщение. Это означает, что в набор для проверки можно добавить несколько копий облачных вложений, если они были присоединены к разным беседам.

Просмотр записанных расшифровок собраний

Расшифровка аудиозаписи записанного собрания записывается как отдельный файл и автоматически индексируется для поиска. Записанные собрания в наборе для проверки хранятся в виде файла .zip, содержащего следующие файлы:

  • Расшифровка звука собрания в .txt формате
  • Видеозапись собрания в формате .mp4
  • Эскиз собрания в .jpg формате
  • Метаданные собрания и главы собрания (при необходимости) в формате .json

Чтобы просмотреть файлы аудиозаписи собрания в наборе для проверки, выберите собрание и средство просмотра стенограммы в области сведений о собрании. На следующих снимках экрана показан пример собрания в клиенте Teams и файл расшифровки собрания того же собрания в наборе для проверки.

Собрание в клиенте Teams

Собрание команды отображается в клиенте Teams.

Файл расшифровки собрания в наборе для проверки

Собрание отображается в файле расшифровки собрания в наборе для проверки.

Просмотр файлов расшифровки беседы

При просмотре файлов расшифровки в наборе для проверки некоторые сообщения выделяются фиолетовым цветом. Выделенные сообщения зависят от того, какую копию расшифровки вы просматриваете. Например, в чате 1:1 между User4 и User2 сообщения, опубликованные User4, выделяются фиолетовым цветом при просмотре расшифровки, полученной из почтового ящика Пользователя4. При просмотре расшифровки одной беседы пользователя User2 сообщения, опубликованные User2, выделяются фиолетовым цветом. Это поведение выделения основано на том же интерфейсе клиента Teams, где записи пользователя выделены фиолетовым цветом в клиенте Teams.

На следующих снимках экрана показан пример беседы в клиенте Teams и файл расшифровки той же беседы в наборе для проверки. Выделение сиреневым цветом в файле расшифровки указывает, что расшифровка была собрана из почтового ящика User2.

Беседа в клиенте Teams

Диалог отображается в клиенте Teams.

Беседа в файле расшифровки

Беседа показана в файле расшифровки в наборе для проверки.

Потоки расшифровки бесед

Функция потоков беседы в новом формате регистра в eDiscovery (премиум) помогает определить контекстное содержимое, связанное с элементами, которые могут иметь отношение к вашему расследованию. Эта функция создает отдельные представления беседы, которые включают сообщения чата, которые предшествуют и следуют за элементами, соответствующими поисковому запросу во время сбора. Эта возможность позволяет эффективно и быстро просматривать завершенные беседы в чате (называемые беседами с потоками) в Microsoft Teams. Как уже говорилось ранее, беседы чата восстанавливаются в файлах расшифровки HTML, когда обнаружение электронных данных (премиум) добавляет содержимое Teams в набор для проверки.

Ниже приведена логика, используемая обнаружением электронных данных (премиум) для включения дополнительных файлов расшифровки сообщений и ответов, которые предоставляют контекст вокруг элементов, соответствующих запросу коллекции (так называемые адаптивные элементы), который вы использовали при сборе содержимого Teams. Различные варианты поведения потоков основаны на типах чатов и поисковых запросах, используемых для сбора адаптивных элементов. Существует два распространенных сценария сбора:

  • Запросы, использующие параметры поиска, такие как ключевые слова и пары "свойство:значение"
  • Запросы, использующие только диапазоны дат
Тип контента Teams Запросы с параметрами поиска Запросы с диапазонами дат
Teams 1:1 и групповые чаты Сообщения, которые были размещены за 12 часов до и через 12 часов после адаптивных элементов, группируются с адаптивным элементом в одном файле расшифровки. Сообщения в 24-часовом окне группируются в одном файле расшифровки.
Стандартные, частные и общие чаты на каналах Teams Каждая запись, содержащая адаптивные элементы и все соответствующие ответы, группируются в один файл расшифровки. Каждая запись, содержащая адаптивные элементы и все соответствующие ответы, группируются в один файл расшифровки.

Дедупликация содержимого Teams

В следующем списке описывается поведение дедупликации (и дублирования) при сборе содержимого Teams в набор для проверки.

  • Каждый файл расшифровки, добавленный в набор для проверки, должен быть сопоставлением "один к одному" с содержимым, хранящимся в расположениях данных. Это означает, что обнаружение электронных данных (премиум) не собирает содержимое Teams, которое уже было добавлено в набор для проверки. Если сообщение чата уже собрано в наборе для проверки, обнаружение электронных данных (премиум) не добавляет одно и то же сообщение из того же расположения данных в набор для проверки в последующих коллекциях.

  • Для чаты 1:1 и групповых чатов копии сообщений хранятся в почтовом ящике каждого участника беседы. Копии одной беседы, существующие в почтовых ящиках разных участников, собираются с разными метаданными. В результате каждый экземпляр беседы обрабатывается как уникальный и добавляется в набор для проверки в отдельных файлах расшифровки. Таким образом, если все участники 1:1 или группового чата добавляются в качестве хранителей в случае и включаются в область коллекции, копии каждой расшифровки (для того же сохранения) добавляются в набор для проверки и будут группироваться вместе с тем же ConversationId. Каждая из этих копий связана с соответствующим хранителем. Совет. Столбец Хранителя в списке наборов для проверки идентифицирует хранителя для соответствующего файла расшифровки.

  • В последующих коллекциях элементов из той же беседы только разностное содержимое, которое ранее не было собрано, добавляется в набор проверки и группируется (путем совместного использования того же идентификатора ConversationId) с ранее собранными расшифровками из той же беседы. Ниже приведен пример такого поведения:

    1. Коллекция A собирает сообщения в беседе между User1 и User2 и добавляет в набор для проверки.
    2. Коллекция B собирает сообщения из одной беседы, но с момента запуска коллекции A между User1 и User2 появляются новые сообщения.
    3. В набор проверки добавляются только новые сообщения в коллекции B. Эти сообщения добавляются в отдельный файл расшифровки, но новая расшифровка сгруппирована с расшифровками из коллекции A по тому же идентификатору ConversationId.

    Это поведение применяется ко всем типам чатов Teams.

Метаданные для содержимого Teams

В больших наборах отзывов с тысячами или миллионами элементов может быть трудно сузить область рецензии до содержимого Teams. Чтобы помочь вам сосредоточиться на содержимом Teams, существуют свойства метаданных, относящиеся к содержимому Teams. Эти свойства можно использовать для организации столбцов в списке проверки и настройки фильтров и запросов для оптимизации проверки содержимого Teams. Эти свойства метаданных также включаются при экспорте содержимого Teams из eDiscovery (премиум) для организации и просмотра содержимого после экспорта или в сторонних средствах обнаружения электронных данных.

В следующей таблице описаны свойства метаданных для содержимого Teams.

Свойство метаданных Описание
СодержитEditedMessage Указывает, содержит ли файл расшифровки измененное сообщение. Измененные сообщения определяются при просмотре файла расшифровки.
ConversationId Идентификатор GUID, определяющий беседу, с которым связан элемент. Файлы расшифровки и вложения из одной беседы имеют одинаковое значение для этого свойства.
Имя беседы Имя беседы, с которым связан файл расшифровки или вложение. Для Teams 1:1 и групповых чатов значением этого свойства является имя участника-пользователя всех участников беседы, которые объединяются. Например, User3 <User3@contoso.onmicrosoft.com>,User4 <User4@contoso.onmicrosoft.com>,User2 <User2@contoso.onmicrosoft.com>. Чаты канала Teams (стандартные, частные и общие) используют следующий формат для имени беседы: <Team name>,<Channel name>. Например, eDiscovery vNext, General.
ConversationType Указывает тип командного чата. Для Teams 1:1 и групповых чатов это свойство имеет Groupзначение . Для стандартных, частных и общих чатов канала значение равно Channel.
Date Метка времени первого сообщения в файле расшифровки в формате UTC.
FamilyId ИДЕНТИФИКАТОР GUID, определяющий файл расшифровки для беседы в чате. Вложения будут иметь то же значение для этого свойства, что и файл расшифровки, содержащий сообщение, к которому был присоединен файл.
FileClass Указывает, что тип содержимого. Элементы из чатов Teams имеют значение Conversation. В отличие от этого, сообщения электронной почты Exchange имеют значение Email.
MessageKind Свойство типа сообщения. Содержимое Teams имеет значение microsoftteams , im.
Recipients Список всех пользователей, которые получили сообщение в беседе расшифровки.
TeamsChannelName Имя канала Teams для расшифровки.

Описание других свойств метаданных eDiscovery (Premium) см . в разделе Поля метаданных документа в eDiscovery (Премиум) .

Экспорт содержимого Teams

После проверки и выбраковки содержимого Teams в наборе для проверки можно экспортировать файлы расшифровки, содержащие содержимое, отвечающее вашим исследованиям. Для содержимого Teams нет конкретных параметров экспорта. Каждый файл расшифровки экспортируется как HTML-файл сообщения. Этот файл также содержит скрытые теги CDATA со всеми метаданными для отдельных сообщений чата. Свойства метаданных, рассмотренные в предыдущем разделе, включаются при экспорте содержимого Teams.

На каждый файл расшифровки ссылаются в файле загрузки, и его можно найти по относительному пути в поле Export_native_path в файле загрузки. Файлы расшифровки находятся в папке Беседы в корневой папке экспорта.

Советы по просмотру содержимого Teams в наборе для проверки

Ниже приведены некоторые советы и рекомендации по просмотру содержимого Teams в наборе для проверки.

  • Используйте элемент управления Настройка столбцов на панели команд, чтобы добавлять и упорядочивать столбцы для оптимизации проверки содержимого Teams. Вы можете добавлять и удалять столбцы, полезные для содержимого Teams. Вы также можете упорядочить столбцы, перетащив их на всплывающей странице Изменение столбца . Вы также можете сортировать по столбцам, чтобы сгруппировать содержимое Teams со схожими значениями для столбца, по которым выполняется сортировка.
  • Полезные столбцы, которые помогут вам просмотреть содержимое Teams: Хранитель, Получатели, Тип файла или Тип сообщения.
  • Используйте фильтры для свойств, связанных с Teams, чтобы быстро отобразить содержимое Teams. Существуют фильтры для большинства свойств метаданных, описанных в предыдущем разделе.

Удаление сообщений чата Teams

Вы можете использовать обнаружение электронных данных (премиум) и microsoft Graph Обозреватель для реагирования на инциденты утечки данных, когда содержимое, содержащее конфиденциальную или вредоносную информацию, освобождается через сообщения чата Teams. Администраторы в вашей организации могут искать и удалять сообщения чата в Microsoft Teams. Эта функция может помочь вам удалить конфиденциальную информацию или неприемлемое содержимое в сообщениях чата Teams. Дополнительные сведения см. в статье Поиск и очистка сообщений чата в Teams.