Condividi tramite

Eseguire un'analisi eDiscovery dei contenuti in Microsoft Teams

  • Articolo
  • Si applica a:
    Microsoft Teams

Consiglio

eDiscovery (anteprima) è ora disponibile nel nuovo portale di Microsoft Purview. Per altre informazioni sull'uso della nuova esperienza di eDiscovery, vedere Informazioni su eDiscovery (anteprima).

Le grandi imprese sono spesso esposte a procedimenti giudiziari con sanzioni elevate che richiedono l'invio di tutte le informazioni archiviate elettronicamente (ESI). I contenuti di Microsoft Teams possono essere cercati e usati durante le indagini di eDiscovery.

Panoramica

Tutte le chat di Microsoft Teams 1:1 o di gruppo vengono inviate tramite journal alle cassette postali dei rispettivi utenti. Tutti i messaggi del canale standard vengono inseriti nel journal nella cassetta postale del gruppo che rappresenta il team. I file caricati nei canali standard sono coperti dalla funzionalità eDiscovery per SharePoint Online e OneDrive for Business.

eDiscovery di messaggi e file nei canali privati funziona in modo diverso rispetto ai canali standard. Per altre informazioni, vedere eDiscovery dei canali privati.

Le riunioni di Teams registrate vengono archiviate nell'account OneDrive for Business dell'utente che registra la riunione. Inoltre, le informazioni di identificazione dei partecipanti quando si usa la funzionalità Nascondi nomi partecipanti per le riunioni di Teams vengono archiviate nella cassetta postale utente dell'organizzatore della riunione. Per altre informazioni, vedere Flusso di lavoro di eDiscovery (Premium) per il contenuto in Microsoft Teams.

Non tutti i contenuti di Teams possono essere sottoposti a eDiscovery. La tabella seguente mostra i tipi di contenuto di Teams che è possibile cercare usando gli strumenti di Microsoft eDiscovery:

Tipo di contenuto Note
Registrazioni audio Chiamate audio tra l'utente di Teams e i contatti esterni
Contenuto della scheda Per altre informazioni, vedere Cercare il contenuto della scheda .
Collegamenti alla chat
Messaggi della chat Sono inclusi contenuti nei canali standard di Teams, chat 1:1, chat di gruppo 1:N, chat con te stesso e chat con gli ospiti.
Frammenti di codice
Messaggi modificati Se l'utente è in attesa, vengono mantenute anche le versioni precedenti dei messaggi modificati.
Emoji, GIF e adesivi
Immagini incorporate
componenti Loop Il contenuto in un componente ciclo viene salvato in un file con estensione fluid archiviato nell'account OneDrive for Business dell'utente che invia il componente ciclo. Ciò significa che è necessario includere OneDrive come origine dati durante la ricerca di contenuto nei componenti del ciclo.
Conversazioni di messaggistica istantanea delle riunioni
Metadati della riunione1
Registrazioni e trascrizioni delle riunioni Le trascrizioni dell'audio della riunione vengono estratte e fornite come file separato. Il numero massimo di riunioni registrate supportate .mp4 dimensioni del file è di 350 MB. Se le dimensioni del file di riunione registrato sono superiori a 350 MB, si verifica un errore di elaborazione e il file è disponibile per il download.
Nome del canale
Citazioni I contenuti tra virgolette sono disponibili per la ricerca. Tuttavia, i risultati della ricerca non indicano che i contenuti erano tra virgolette.
Reazioni (come like, cuori e altre reazioni) Le reazioni sono supportate per tutti i clienti commerciali dopo il 1° giugno 2022. Le reazioni precedenti a questa data non sono disponibili per eDiscovery. Le reazioni espanse sono ora supportate. Per comprendere la cronologia delle reazioni, il contenuto deve essere in attesa legale.
Oggetto
Tabelle
Clip video di Teams (TVC) Cercare TVC con la parola chiave "Video-Clip" e "salva con nome" un file .mp4 per ogni allegato TVC facendo clic con il pulsante destro del mouse sull'anteprima.

I TVC vengono raccolti come allegati di conversazione di Teams (se inferiori a 200 MB) e separati .mp4 file. I dati dei file TVC sono individuabili nei set di revisione di eDiscovery e possono essere esportati. L'anteprima dei clip video non è attualmente supportata.

1 I metadati di riunione (e chiamata) includono quanto segue:

  • Ora di inizio e fine della riunione e durata
  • Partecipare alla riunione e lasciare gli eventi per ogni partecipante
  • Join/chiamate VOIP
  • Join utenti federati
  • Join guest

Importante

Gli utenti anonimi che partecipano a riunioni e chiamate non sono attualmente supportati nelle query di ricerca di eDiscovery.

Ecco un esempio di conversazione di chat tra i partecipanti durante una riunione.

Conversazione tra i partecipanti in Teams.

Ecco un esempio della copia di conformità della stessa conversazione di chat visualizzata in uno strumento eDiscovery.

Conversazione tra i partecipanti nei risultati della ricerca di eDiscovery.

Ecco un esempio dei metadati della riunione.

Metadati della riunione dalla copia di conformità.

Per altre informazioni sull'esecuzione di un'indagine su eDiscovery, vedere Introduzione a eDiscovery (Standard).

I dati di Microsoft Teams vengono visualizzati come messaggistica istantanea o conversazioni nell'output di esportazione di Excel eDiscovery. È possibile aprire il .pst file in Outlook per visualizzare i messaggi dopo averli esportati.

Quando si visualizza il file pst per il team, tutte le conversazioni si trovano nella cartella Team Chat in Cronologia conversazioni. Il titolo del messaggio contiene il nome del team e il nome del canale. Ad esempio, l'immagine seguente mostra un messaggio di Bob che ha inviato un messaggio al canale standard di Project 7 del team Manufacturing Specs.

Screenshot di una cartella di Team Chat nella cassetta postale di un utente in Outlook.

Le chat private nella cassetta postale di un utente vengono archiviate nella cartella Team Chat in Cronologia conversazioni.

eDiscovery dei canali privati e condivisi

Le copie di conformità dei messaggi in canali privati e condivisi vengono inviate a cassette postali diverse a seconda del tipo di canale. Ciò significa che è necessario eseguire ricerche in posizioni diverse delle cassette postali in base al tipo di canale di cui un utente è membro.

  • Canali privati. Le copie di conformità vengono inviate alla cassetta postale di tutti i membri dei membri del canale privato. Ciò significa che è necessario eseguire una ricerca nella cassetta postale dell'utente durante la ricerca di contenuto nei messaggi del canale privato.
  • Canali condivisi. Le copie di conformità vengono inviate a una cassetta postale di sistema associata al team padre. Poiché Teams non supporta una ricerca eDiscovery di una singola cassetta postale di sistema per un canale condiviso, è necessario cercare nella cassetta postale il team padre (selezionando il nome della cassetta postale del team) durante la ricerca del contenuto del messaggio nei canali condivisi.

Ogni canale privato e condiviso ha un proprio sito di SharePoint separato dal sito del team padre. Ciò significa che i file in canali privati e condivisi vengono archiviati nel proprio sito e gestiti in modo indipendente dal team padre. Ciò significa che è necessario identificare e cercare il sito specifico associato a un canale durante la ricerca di contenuto nei file e negli allegati dei messaggi del canale.

Usare le sezioni seguenti per identificare il canale privato o condiviso da includere nella ricerca di eDiscovery.

Identificazione dei membri di un canale privato

Usare la procedura descritta in questa sezione per identificare i membri di un canale privato in modo che sia possibile usare gli strumenti di eDiscovery per cercare il contenuto nei messaggi del canale privato nella cassetta postale del membro.

Prima di eseguire questi passaggi, assicurarsi di avere installato la versione più recente del modulo Teams PowerShell .

  1. Eseguire il comando seguente per ottenere l'ID gruppo del team che contiene i canali condivisi di cui si vuole eseguire la ricerca.

    Get-Team -DisplayName <display name of the the parent team>

    Consiglio

    Eseguire il cmdlet Get-Team senza parametri per visualizzare un elenco di tutti i team dell'organizzazione. L'elenco contiene l'ID gruppo e DisplayName per ogni team.

  2. Eseguire il comando seguente per ottenere un elenco di canali privati nel team padre. Usare l'ID gruppo per il team ottenuto nel passaggio 1.

     Get-TeamChannel -GroupId <parent team GroupId> -MembershipType Private

  3. Eseguire il comando seguente per ottenere un elenco di proprietari e membri del canale privato per un canale privato specifico.

     Get-TeamChannelUser -GroupId <parent team GroupId> -DisplayName "Partner Shared Channel"

  4. Includere le cassette postali dei proprietari e dei membri di un canale privato come parte della query di ricerca di eDiscovery in eDiscovery (Standard) o durante l'identificazione e la raccolta di contenuto responsabile in eDiscovery (Premium).

Identificazione del sito di SharePoint per i canali privati e condivisi

Come spiegato in precedenza, i file condivisi in canali privati e condivisi (e i file collegati ai messaggi del canale) vengono archiviati nella raccolta siti associata al canale. Usare la procedura descritta in questa sezione per identificare l'URL del sito associato a un canale privato o condiviso specifico. È quindi possibile usare gli strumenti di eDiscovery per cercare contenuto nel sito.

Prima di eseguire questi passaggi, installare il SharePoint Online Management Shell e connettersi a SharePoint Online.

  1. Facoltativamente, eseguire quanto segue per ottenere un elenco di tutte le raccolte siti di SharePoint associate ai canali condivisi nel team padre.

     Get-SPOSite

    Consiglio

    La convenzione di denominazione dell'URL per un sito associato ai canali privati e condivisi è [SharePoint domain]/sites/[Name of parent team]-[Name of private or shared channel]. Ad esempio, l'URL per il canale condiviso denominato "Collaborazione partner", che si trova nel team padre "Team tecnico" nell'organizzazione Contoso è https://contoso.sharepoint.com/sites/EngineeringTeam-PartnerCollaboration.

  2. Eseguire i comandi di PowerShell seguenti per visualizzare l'URL per tutti i siti di SharePoint associati ai canali privati e condivisi nell'organizzazione. L'output dello script include anche l'ID gruppo del team padre, che è necessario eseguire i comandi nel passaggio 3.

    $sites = Get-SPOSite -Template "TEAMCHANNEL#1"
foreach ($site in $sites) {$x= Get-SPOSite -Identity $site.url -Detail; $x.relatedgroupID; $x.url}

    Nota

    I siti di SharePoint per i canali privati creati prima del 28 giugno 2021 usano il valore "TEAMCHANNEL#0" per l'ID modello personalizzato. Per visualizzare i canali privati creati dopo questa data, usare il valore "TEAMCHANNEL#1" quando si eseguono i due script precedenti. I canali condivisi usano solo il valore di "TEAMCHANNEL#1".

  3. Per ogni team padre, eseguire i comandi di PowerShell seguenti per identificare i siti del canale privato e condiviso, dove $groupID è l'ID gruppo del team padre.

    $sites = Get-SPOSite -Template "TEAMCHANNEL#1"
$groupID = "<group ID of parent team)"
foreach ($site in $sites) {$x= Get-SpoSite -Identity $site.url -Detail; if ($x.RelatedGroupId -eq $groupID) {$x.RelatedGroupId;$x.url}}

  4. Includere il sito associato a un canale privato o condiviso come parte della query di ricerca di eDiscovery in eDiscovery (Standard) o durante l'identificazione e la raccolta di contenuto responsabile in eDiscovery (Premium).Include the site associated with a private or shared channel as part of your eDiscovery search query in eDiscovery (Standard) or when identification and collectn custodian content in eDiscovery (Premium).

Cercare contenuto per gli utenti guest

È possibile usare gli strumenti di eDiscovery per cercare i contenuti di Teams correlati ai guest dell'organizzazione. Il contenuto della chat di Teams associato a un guest viene conservato in un percorso di archiviazione basato sul cloud e può essere cercato usando eDiscovery. Ciò include la ricerca di contenuto nelle conversazioni di chat 1:1 e 1:N in cui un guest è un partecipante con altri utenti dell'organizzazione. È anche possibile cercare i messaggi del canale privato in cui un guest è un partecipante e cercare contenuto nelle conversazioni guest:guest chat in cui gli unici partecipanti sono guest.

Per cercare contenuto per gli utenti guest:

  1. Connettersi a Microsoft Graph PowerShell. Per altre informazioni, vedere Panoramica di PowerShell di Microsoft Graph. Assicurarsi di completare i passaggi 1 e 2 dell'articolo precedente.

  2. Dopo aver eseguito correttamente la connessione a Microsoft Graph PowerShell, eseguire il comando seguente per visualizzare il nome dell'entità utente (UPN) per tutti i guest dell'organizzazione. È necessario usare l'UPN del guest quando si crea la ricerca nel passaggio 4.

    Get-MgUser -Filter "userType eq 'Guest'" -All $true | FL UserPrincipalName

    Consiglio

    Anziché visualizzare un elenco di nomi di entità utente sullo schermo del computer, è possibile reindirizzare l'output del comando a un file di testo. A tale scopo, aggiungere > filename.txt al comando precedente. Il file di testo con i nomi dell'entità utente verrà salvato nella cartella corrente.

  3. In un'altra finestra di Windows PowerShell connettersi a PowerShell sicurezza & conformità. Per istruzioni, vedere Connettersi a PowerShell per la sicurezza & conformità. È possibile connettersi con o senza l'autenticazione a più fattori.

  4. Creare una ricerca di contenuto che cerca tutto il contenuto (ad esempio messaggi di chat e messaggi di posta elettronica) in cui il guest specificato era un partecipante eseguendo il comando seguente.

    New-ComplianceSearch <search name> -ExchangeLocation <guest UPN>  -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true

    Ad esempio, per cercare il contenuto associato alla guest Sara Davis, eseguire il comando seguente.

    New-ComplianceSearch "Sara Davis Guest" -ExchangeLocation "sara.davis_hotmail.com#EXT#@contoso.onmicrosoft.com" -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true

    Per altre informazioni sull'uso di PowerShell per creare ricerche di contenuto, vedere New-ComplianceSearch.

  5. Eseguire il comando seguente per avviare la ricerca di contenuto creata nel passaggio 4:

    Start-ComplianceSearch <search name>

  6. Passare a https://compliance.microsoft.com e quindi selezionare Mostra tutta la>ricerca contenuto.

  7. Nell'elenco delle ricerche selezionare la ricerca creata nel passaggio 4 per visualizzare la pagina del riquadro a comparsa.

  8. Nella pagina a comparsa è possibile eseguire le operazioni seguenti:

    • Selezionare Visualizza risultati per visualizzare i risultati della ricerca e visualizzare in anteprima il contenuto.
    • Accanto al campo Query selezionare Modifica per modificare e quindi eseguire di nuovo la ricerca. Ad esempio, è possibile aggiungere una query di ricerca per limitare i risultati.
    • Selezionare Esporta risultati per esportare e scaricare i risultati della ricerca.

Cercare il contenuto della scheda

I contenuti delle schede generati dalle app nei canali di Teams, nelle chat 1:1 e nelle chat 1xN vengono archiviati nelle cassette postali e possono essere cercati. Una scheda è un contenitore di interfaccia utente per piccole parti di contenuto. Le schede possono avere più proprietà e allegati e possono includere elementi che possono attivare azioni della scheda. Per altre informazioni, vedere Schede.

Come nel caso di altri contenuti di Teams, il luogo di archiviazione del contenuto delle schede dipende da dove è stata usata la scheda. Il contenuto delle schede usate in un canale di Teams viene archiviato nella cassetta postale di gruppo di Teams. Il contenuto delle schede per chat tra due persone e 1xN viene archiviato nelle cassette postali dei partecipanti alla chat.

Per cercare contenuti delle schede, è possibile usare le condizioni di ricerca kind:microsoftteams o itemclass:IPM.SkypeTeams.Message. Quando si esaminano i risultati della ricerca, il contenuto della scheda generato dai bot in un canale di Teams ha la proprietà di posta elettronica mittente/autore come <appname>@teams.microsoft.com, dove appname è il nome dell'app che ha generato il contenuto della scheda. Se il contenuto della scheda è stato generato da un utente, il valore di Mittente/Autore identifica l'utente.

Quando si visualizza il contenuto della scheda nei risultati della Ricerca contenuto, questo appare come allegato al messaggio. L’allegato è denominato appname.html, dove appname è il nome dell’app che ha generato il contenuto della scheda. Gli screenshot seguenti mostrano come viene visualizzato il contenuto della scheda (per un’app chiamata Asana) in Teams e nei risultati di una ricerca.

Contenuto della scheda in Teams

Contenuto della scheda in un messaggio di canale di Teams.

Contenuto della scheda nei risultati di ricerca

Lo stesso contenuto della scheda nei risultati di una Ricerca contenuto.

Nota

Per visualizzare le immagini dal contenuto della scheda nei risultati della ricerca in questo momento (ad esempio i segni di spunta nello screenshot precedente), è necessario accedere a Teams (in https://teams.microsoft.com) in una scheda diversa nella stessa sessione del browser usata per visualizzare i risultati della ricerca. In caso contrario, verranno visualizzati dei segnaposti per le immagini.

Cercare le riunioni di Teams per data

Gli amministratori possono cercare il contenuto della riunione di Teams in base alle date di inizio o fine della riunione. Per filtrare gli elementi del set di revisioni in base a date di riunione specifiche di Teams, è possibile usare le proprietà Data di inizio riunione e Data di fine riunione nelle opzioni di filtro avanzate in eDiscovery (Premium).

Esempio di filtro avanzato in base alle date delle riunioni di Teams.

Cercare i partecipanti nascosti nelle riunioni di Teams

La funzionalità Nascondi nomi partecipanti in Microsoft Teams nasconde il nome dei partecipanti agli altri partecipanti in modo che solo gli organizzatori possano visualizzare i nomi dei partecipanti. Questa funzionalità può essere usata per riunioni o eventi con aziende esterne, fornitori, riunioni riservate o altre riunioni in cui la privacy personale tra i partecipanti è importante. Quando questa funzionalità è abilitata, i nomi dei partecipanti vengono nascosti nell'elenco di partecipanti, nelle chat delle riunioni e nelle registrazioni delle riunioni.

Per cercare i nomi dei partecipanti nelle riunioni di Teams in cui è stata abilitata la funzionalità Nascondi nomi partecipanti , è necessario includere la cassetta postale dell'organizzatore nell'ambito della ricerca. I nomi dei partecipanti nascosti sono disponibili solo nella cassetta postale dell'organizzatore.

eDiscovery negli ambienti guest e di accesso esterno

Gli amministratori possono usare eDiscovery per cercare contenuto nei messaggi di chat in una riunione di Teams in ambienti di accesso esterno e accesso guest in base alle restrizioni seguenti:

  • Accesso esterno: in una riunione di Teams con utenti dell'organizzazione e utenti di un'organizzazione esterna in cui i partecipanti esterni usano l'accesso esterno, gli amministratori di entrambe le organizzazioni possono cercare contenuto nei messaggi di chat della riunione.
  • Guest: in una riunione di Teams con gli utenti dell'organizzazione e gli utenti guest, solo gli amministratori dell'organizzazione che ospitano la riunione di Teams possono cercare contenuto nei messaggi di chat della riunione.