Partager via


Mener une enquête eDiscovery du contenu dans Microsoft Teams

Conseil

eDiscovery (préversion) est désormais disponible dans le nouveau portail Microsoft Purview. Pour en savoir plus sur l’utilisation de la nouvelle expérience eDiscovery, consultez En savoir plus sur eDiscovery (préversion).

Les grandes entreprises sont souvent exposées à des procédures judiciaires à haute peine qui exigent la soumission de toutes les informations stockées par voie électronique (ESI). Le contenu Microsoft Teams peut être recherché et utilisé pendant les investigations eDiscovery.

Vue d’ensemble

Toutes les conversations microsoft Teams 1:1 ou de groupe sont journalisé dans les boîtes aux lettres des utilisateurs respectifs. Tous les messages de canal standard sont journalisé dans la boîte aux lettres de groupe représentant l’équipe. Les fichiers chargés dans des canaux standard sont couverts par la fonctionnalité eDiscovery pour SharePoint Online et OneDrive Entreprise.

La découverte électronique des messages et des fichiers dans les canaux privés fonctionne différemment des canaux standard. Pour plus d’informations, consultez eDiscovery des canaux privés.

Les réunions Teams enregistrées sont stockées dans le compte OneDrive Entreprise de l’utilisateur qui enregistre la réunion. En outre, les informations d’identification des participants lors de l’utilisation de la fonctionnalité Masquer les noms des participants pour les réunions Teams sont stockées dans la boîte aux lettres utilisateur de l’organisateur de la réunion. Pour plus d’informations, consultez Flux de travail eDiscovery (Premium) pour le contenu dans Microsoft Teams.

Tous les contenus Teams ne sont pas accessibles en eDiscoverable. Le tableau suivant présente les types de contenu Teams que vous pouvez rechercher à l’aide des outils Microsoft eDiscovery :

Type de contenu Remarques
Enregistrements audio Appels audio entre l’utilisateur Teams et les contacts externes
Contenu de la carte Pour plus d’informations, consultez Rechercher du contenu carte.
Liens de conversation
Messages de conversation Cela inclut le contenu des canaux Teams standard, des conversations 1:1, des conversations de groupe 1 :N, des conversations avec vous-même et des conversations avec des invités.
Extraits de code
Messages modifiés Si l’utilisateur est en attente, les versions précédentes des messages modifiés sont également conservées.
Emojis, GIF et autocollants
Images incluses
Loop composants Le contenu d’un composant de boucle est enregistré dans un fichier .fluid stocké dans le compte OneDrive Entreprise de l’utilisateur qui envoie le composant de boucle. Cela signifie que vous devez inclure OneDrive comme source de données lors de la recherche de contenu dans des composants de boucle.
Conversations de messagerie instantanée de réunion
Métadonnées de réunion1
Enregistrements et transcriptions de réunion Les transcriptions de l’audio de la réunion sont extraites et fournies sous la forme d’un fichier distinct. La taille maximale de fichier de réunion enregistrée .mp4 prise en charge est de 350 Mo. Si la taille du fichier de réunion enregistrée est supérieure à 350 Mo, une erreur de traitement se produit et le fichier est disponible en téléchargement.
Nom du canal
Devis Le contenu entre guillemets est utilisable dans une recherche. Toutefois, les résultats de la recherche n’indiquent pas que le contenu a été entre guillemets.
Réactions (telles que des j’aime, des cœurs et d’autres réactions) Les réactions sont prises en charge pour tous les clients commerciaux après le 1er juin 2022. Les réactions antérieures à cette date ne sont pas disponibles pour eDiscovery. Les réactions étendues sont désormais prises en charge. Pour comprendre l’historique des réactions, le contenu doit être en attente légale.
Sujet
Tables
Clip vidéo Teams (TVC) Recherchez TVC avec « Clip vidéo » mot clé et « enregistrer sous » un fichier .mp4 pour chaque pièce jointe TVC en cliquant avec le bouton droit sur l’aperçu.

Les tvcs sont collectés sous forme de pièces jointes de conversation Teams (si inférieures à 200 Mo) et de fichiers .mp4 distincts. Les données du fichier TVC sont détectables dans les jeux de révision eDiscovery et peuvent être exportées. L’aperçu des clips vidéo n’est actuellement pas pris en charge.

1 Les métadonnées de réunion (et d’appel) incluent les éléments suivants :

  • Heure de début et de fin de la réunion, et durée
  • Événements de participation et de départ à une réunion pour chaque participant
  • Jointures/appels VOIP
  • Jointures d’utilisateur fédérées
  • Jointures d’invités

Importante

Les utilisateurs anonymes qui rejoignent des réunions et des appels ne sont actuellement pas pris en charge dans les requêtes de recherche eDiscovery.

Voici un exemple de conversation entre participants pendant une réunion.

Conversation entre les participants dans Teams.

Voici un exemple de copie de conformité de la même conversation de conversation consultée dans un outil eDiscovery.

Conversation entre les participants dans les résultats de recherche eDiscovery.

Voici un exemple de métadonnées de réunion.

Métadonnées de réunion de la copie de conformité.

Pour plus d’informations sur la conduite d’une investigation eDiscovery, consultez Prise en main d’eDiscovery (Standard).

Les données Microsoft Teams apparaissent sous forme de messagerie instantanée ou conversations dans la sortie d’exportation Excel eDiscovery. Vous pouvez ouvrir le .pst fichier dans Outlook pour afficher ces messages après les avoir exportés.

Lorsque vous affichez le fichier .pst de l’équipe, toutes les conversations se trouvent dans le dossier Conversation d’équipe sous Historique des conversations. Le titre du message contient le nom de l’équipe et le nom du canal. Par exemple, l’image ci-dessous montre un message de Bob qui a envoyé un message sur le canal standard Project 7 de l’équipe Manufacturing Specs.

Capture d’écran d’un dossier De conversation d’équipe dans la boîte aux lettres d’un utilisateur dans Outlook.

Les conversations privées dans la boîte aux lettres d’un utilisateur sont stockées dans le dossier Conversation d’équipe sous Historique des conversations.

eDiscovery des canaux privés et partagés

Les copies de conformité des messages dans les canaux privés et partagés sont envoyées à différentes boîtes aux lettres en fonction du type de canal. Cela signifie que vous devez rechercher différents emplacements de boîte aux lettres en fonction du type de canal dont un utilisateur est membre.

  • Canaux privés. Les copies de conformité sont envoyées à la boîte aux lettres de tous les membres du canal privé. Cela signifie que vous devez effectuer une recherche dans la boîte aux lettres de l’utilisateur lors de la recherche de contenu dans les messages de canal privé.
  • Canaux partagés. Les copies de conformité sont envoyées à une boîte aux lettres système associée au équipe parente. Étant donné que Teams ne prend pas en charge la recherche eDiscovery d’une boîte aux lettres système unique pour un canal partagé, vous devez rechercher le équipe parente dans la boîte aux lettres (en sélectionnant le nom de la boîte aux lettres d’équipe) lors de la recherche de contenu de message dans les canaux partagés.

Chaque canal privé et partagé a son propre site SharePoint distinct du site équipe parente. Cela signifie que les fichiers dans les canaux privés et partagés sont stockés dans son propre site et gérés indépendamment du équipe parente. Cela signifie que vous devez identifier et rechercher le site spécifique associé à un canal lors de la recherche de contenu dans des fichiers et des pièces jointes de message de canal.

Utilisez les sections suivantes pour identifier le canal privé ou partagé à inclure dans votre recherche eDiscovery.

Identification des membres d’un canal privé

Utilisez la procédure décrite dans cette section pour identifier les membres d’un canal privé afin de pouvoir utiliser les outils eDiscovery pour rechercher dans la boîte aux lettres du membre du contenu dans les messages de canal privé.

Avant d’effectuer ces étapes, vérifiez que la dernière version du module PowerShell Teams est installée.

  1. Exécutez la commande suivante pour obtenir l’ID de groupe de l’équipe qui contient les canaux partagés que vous souhaitez rechercher.

    Get-Team -DisplayName <display name of the the parent team>
    

    Conseil

    Exécutez l’applet de commande Get-Team sans aucun paramètre pour afficher la liste de tous les teams dans votre organization. La liste contient l’ID de groupe et displayName pour chaque équipe.

  2. Exécutez la commande suivante pour obtenir la liste des canaux privés dans le équipe parente. Utilisez l’ID de groupe de l’équipe que vous avez obtenu à l’étape 1.

     Get-TeamChannel -GroupId <parent team GroupId> -MembershipType Private
    
  3. Exécutez la commande suivante pour obtenir la liste des propriétaires de canaux privés et des membres d’un canal privé spécifique.

     Get-TeamChannelUser -GroupId <parent team GroupId> -DisplayName "Partner Shared Channel"
    
  4. Incluez les boîtes aux lettres des propriétaires et des membres d’un canal privé dans le cadre de votre requête de recherche eDiscovery dans eDiscovery (Standard) ou lors de l’identification et de la collecte du contenu du consignataire dans eDiscovery (Premium).

Identification du site SharePoint pour les canaux privés et partagés

Comme expliqué précédemment, les fichiers partagés dans des canaux privés et partagés (et les fichiers joints aux messages de canal) sont stockés dans la collection de sites associée au canal. Utilisez la procédure de cette section pour identifier l’URL du site associé à un canal privé ou partagé spécifique. Vous pouvez ensuite utiliser les outils eDiscovery pour rechercher du contenu dans le site.

Avant d’effectuer ces étapes, installez le SharePoint Online Management Shell et connectez-vous à SharePoint Online.

  1. Si vous le souhaitez, exécutez la commande suivante pour obtenir la liste de toutes les collections de sites SharePoint associées aux canaux partagés dans le équipe parente.

     Get-SPOSite
    

    Conseil

    La convention de nommage de l’URL d’un site associé à des canaux privés et partagés est [SharePoint domain]/sites/[Name of parent team]-[Name of private or shared channel]. Par exemple, l’URL du canal partagé nommé « Partner Collaboration », qui se trouve dans le équipe parente « Équipe d’ingénieurs » dans le organization Contoso est https://contoso.sharepoint.com/sites/EngineeringTeam-PartnerCollaboration.

  2. Exécutez les commandes PowerShell suivantes pour afficher l’URL de tous les sites SharePoint associés aux canaux privés et partagés dans votre organization. La sortie du script inclut également l’ID de groupe du équipe parente, dont vous avez besoin pour exécuter les commandes à l’étape 3.

    $sites = Get-SPOSite -Template "TEAMCHANNEL#1"
    foreach ($site in $sites) {$x= Get-SPOSite -Identity $site.url -Detail; $x.relatedgroupID; $x.url}
    

    Remarque

    Les sites SharePoint pour les canaux privés créés avant le 28 juin 2021 utilisent la valeur "TEAMCHANNEL#0" pour l’ID de modèle personnalisé. Pour afficher les canaux privés créés après cette date, utilisez la valeur "TEAMCHANNEL#1" lors de l’exécution des deux scripts précédents. Les canaux partagés utilisent uniquement la valeur de "TEAMCHANNEL#1".

  3. Pour chaque équipe parente, exécutez les commandes PowerShell suivantes pour identifier les sites de canal privé et partagé, où $groupID est l’ID de groupe du équipe parente.

    $sites = Get-SPOSite -Template "TEAMCHANNEL#1"
    $groupID = "<group ID of parent team)"
    foreach ($site in $sites) {$x= Get-SpoSite -Identity $site.url -Detail; if ($x.RelatedGroupId -eq $groupID) {$x.RelatedGroupId;$x.url}}
    
  4. Incluez le site associé à un canal privé ou partagé dans le cadre de votre requête de recherche eDiscovery dans eDiscovery (Standard) ou lors de l’identification et de la collecte du contenu consignataire dans eDiscovery (Premium).

Rechercher du contenu pour les invités

Vous pouvez utiliser les outils eDiscovery pour rechercher du contenu Teams lié aux invités dans votre organization. Le contenu de conversation Teams associé à un invité est conservé dans un emplacement de stockage cloud et peut être recherché à l’aide d’eDiscovery. Cela inclut la recherche de contenu dans les conversations de conversation 1:1 et 1 :N dans lesquelles un invité est un participant avec d’autres utilisateurs de votre organization. Vous pouvez également rechercher des messages de canal privé dans lesquels un invité est un participant et rechercher du contenu dans les conversations de conversation invité :invité où les seuls participants sont des invités.

Pour rechercher du contenu pour les invités :

  1. Connectez-vous à Microsoft Graph PowerShell. Pour plus d’informations, consultez vue d’ensemble de Microsoft Graph PowerShell. Veillez à effectuer les étapes 1 et 2 de l’article précédent.

  2. Une fois que vous vous êtes connecté à Microsoft Graph PowerShell, exécutez la commande suivante pour afficher le nom d’utilisateur principal (UPN) de tous les invités de votre organization. Vous devez utiliser l’UPN de l’invité lorsque vous créez la recherche à l’étape 4.

    Get-MgUser -Filter "userType eq 'Guest'" -All $true | FL UserPrincipalName
    

    Conseil

    Au lieu d’afficher une liste de noms d’utilisateur principal sur l’écran de l’ordinateur, vous pouvez rediriger la sortie de la commande vers un fichier texte. Pour ce faire, > filename.txt ajoutez à la commande précédente. Le fichier texte avec les noms d’utilisateur principal est enregistré dans le dossier actif.

  3. Dans une autre fenêtre Windows PowerShell, connectez-vous à Sécurité & Conformité PowerShell. Pour obtenir des instructions, consultez Se connecter à La sécurité & Conformité PowerShell. Vous pouvez vous connecter avec ou sans l’authentification multifacteur.

  4. Créez une recherche de contenu qui recherche tout le contenu (tel que les messages de conversation et les messages électroniques) dans lequel l’invité spécifié était un participant en exécutant la commande suivante.

    New-ComplianceSearch <search name> -ExchangeLocation <guest UPN>  -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
    

    Par exemple, pour rechercher du contenu associé à l’invité Sara Davis, vous devez exécuter la commande suivante.

    New-ComplianceSearch "Sara Davis Guest" -ExchangeLocation "sara.davis_hotmail.com#EXT#@contoso.onmicrosoft.com" -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
    

    Pour plus d’informations sur l’utilisation de PowerShell pour créer des recherches de contenu, consultez New-ComplianceSearch.

  5. Exécutez la commande suivante pour démarrer la recherche de contenu que vous avez créée à l’étape 4 :

    Start-ComplianceSearch <search name>
    
  6. Accédez à https://compliance.microsoft.com , puis sélectionnez Afficher toute>la recherche de contenu.

  7. Dans la liste des recherches, sélectionnez la recherche que vous avez créée à l’étape 4 pour afficher la page de menu volant.

  8. Dans la page de menu volant, vous pouvez effectuer les opérations suivantes :

    • Sélectionnez Afficher les résultats pour afficher les résultats de la recherche et afficher un aperçu du contenu.
    • En regard du champ Requête , sélectionnez Modifier pour modifier, puis réexécutez la recherche. Par exemple, vous pouvez ajouter une requête de recherche pour affiner les résultats.
    • Sélectionnez Exporter les résultats pour exporter et télécharger les résultats de la recherche.

Rechercher du contenu carte

Le contenu de carte généré par les applications dans les canaux Teams, les conversations 1:1 et les conversations 1xN sont stockés dans des boîtes aux lettres et peuvent faire l’objet d’une recherche. Une carte est un conteneur de l'assurance-chômage pour de petits morceaux de contenu. Les cartes peuvent avoir plusieurs propriétés et pièces jointes, et peuvent inclure des éléments qui peuvent déclencher carte actions. Pour plus d'informations, voir Cartes

Comme pour le contenu des autres Teams, le lieu de stockage du contenu de la carte est basé sur l'endroit où la carte a été utilisée. Le contenu des cartes utilisées dans un canal Teams est stocké dans la boîte aux lettres du groupe Teams. Le contenu des cartes pour les chats 1:1 et 1xN est stocké dans les boîtes aux lettres des participants au conversation.

Pour rechercher le contenu d'une carte, vous pouvez utiliser leskind:microsoftteams conditionsitemclass:IPM.SkypeTeams.Message de recherche. Lorsque vous examinez les résultats de la recherche, carte contenu généré par les bots dans un canal Teams a la propriété Sender/Author email as <appname>@teams.microsoft.com, où appname est le nom de l’application qui a généré le contenu carte. Si le contenu de la carte a été généré par un utilisateur, la valeur d'Expéditeur/Autorisateur permet d'identifier l'utilisateur.

Lorsque vous consultez le contenu de la carte dans les résultats de la recherche de contenu, le contenu apparaît comme une pièce jointe au message. La pièce jointe est nommée appname.html, oùappname se trouve le nom de l'application qui a généré le contenu de la carte. Les captures d'écran suivantes montrent comment le contenu des cartes (pour une application nommée Asana) apparaît dans les équipes et dans les résultats d'une recherche.

Contenu de la carte dans Teams

Contenu de la carte dans le message de la chaîne Teams.

Contenu de la carte dans les résultats de recherche

Même contenu de carte dans les résultats d'une recherche de contenu

Remarque

Pour afficher des images de carte contenu dans les résultats de la recherche à ce stade (comme les coches de la capture d’écran précédente), vous devez être connecté à Teams (à https://teams.microsoft.com) dans un onglet différent de la même session de navigateur que vous utilisez pour afficher les résultats de la recherche. Dans le cas contraire, des emplacements pour les images sont affichés.

Rechercher les réunions Teams par date

Les administrateurs peuvent rechercher le contenu de réunion Teams en fonction des dates de début ou de fin de la réunion. Pour filtrer les éléments de l’ensemble de révision par des dates de réunion Teams spécifiques, vous pouvez utiliser les propriétés Date de début de la réunion et Date de fin de la réunion dans les options de filtrage avancé dans eDiscovery (Premium).

Exemple de filtrage avancé par dates de réunion Teams.

Rechercher des participants masqués dans les réunions Teams

La fonctionnalité Masquer les noms des participants dans Microsoft Teams masque le nom des participants aux autres participants afin que seuls les organisateurs puissent voir les noms des participants. Cette fonctionnalité peut être utilisée pour des réunions ou des événements avec des entreprises externes, des fournisseurs, des réunions confidentielles ou d’autres réunions où la confidentialité personnelle entre les participants est importante. Lorsque cette fonctionnalité est activée, les noms des participants sont masqués dans la liste de réunion, les conversations de réunion et les enregistrements de réunion.

Pour rechercher les noms des participants dans les réunions Teams où la fonctionnalité Masquer les noms des participants a été activée, vous devez inclure la boîte aux lettres de l’organisateur dans l’étendue de la recherche. Les noms des participants masqués sont uniquement disponibles dans la boîte aux lettres de l’organisateur.

eDiscovery dans les environnements d’accès externe et invités

Les administrateurs peuvent utiliser eDiscovery pour rechercher du contenu dans les messages de conversation dans une réunion Teams dans les environnements d’accès externe et d’accès invité en fonction des restrictions suivantes :

  • Accès externe : dans une réunion Teams avec des utilisateurs de votre organization et des utilisateurs d’un organization externe où les participants externes utilisent l’accès externe, les administrateurs des deux organisations peuvent rechercher du contenu dans les messages de conversation de la réunion.
  • Invité : dans une réunion Teams avec des utilisateurs de votre organization et des invités, seuls les administrateurs du organization qui hébergent la réunion Teams peuvent rechercher du contenu dans les messages de conversation de la réunion.