Condividi tramite


Microsoft Teams で共有されたファイルや IM を確認する方法

こんばんは、Teams サポートチームのワトソンです。

先日リリースされました、Microsoft Teams では、ファイルや IM のやり取りを行う事ができます。
今日はコンプライアンス要件・ファイルの保存先や管理者からの確認方法についてお話をさせていただきます。

まず、Microsoft Teams ではデーターが以下のように保存され、対象のサービス (SPO/EXO) 側で、
インプレースの保持が可能です。

注意:インプレース保持ができるのは、Exchange Online をご利用いただいている場合のみとなります。
Exchange オンプレミスの場合はご利用いただけません。

[チャット] 画面のデーター

以下の画面からアクセス可能なチャット機能ですが
"IM"(Instant Messaging) は Microsoft Teams 側のユーザーデーターとして Microsoft Teams のデーターセンタ側で保存されます。
保持した場合には、ユーザーのメールボックス上でユーザーがアクセスできないフォルダーにも保持されます。

1:1 で他のユーザーに転送されたファイルはユーザーの個人の OneDrive に保存され、
共有相手にユーザーに共有権限が付与されます。

msteamschat

[チーム] 画面のデーター

新しいチームを作った場合メールが有効な Office 365 のグループが作られますが、それと同時に、
SharePoint オンラインでもサイトが作られます。

チーム内で行われた "IM" については、Microsoft Teams のデーターセンタ側で保存されます。
保持した場合には、Office 365 グループのメールボックス上でユーザーがアクセスできないフォルダーにも保持されます。

PPT ファイルや添付された写真やそのほかのファイルについては、Office 365 のグループが作られた際に
同時に作られた SharePoint サイトに保存されます。

msteamsgroup

[チームにアップロードされたファイルを管理者で確認する方法]

Microsoft Teams で作られるグループに紐づいているサイト内に保管されているコンテンツを、管理者側から閲覧させる場合 SharePoint Online 内の eDiscovery Center ではなく、Office 365 セキュリティ/コンプライアンス センターの電子情報開示ケースを作成して行う必要がございます。
SharePoint オンライン管理センターの eDiscovery センターから保持を行う事はできません。

これは グループを作成する際に同時に作成されるサイトに対してサイトコレクションがない事が関連しております。

参考情報
Title: Office 365 セキュリティ/コンプライアンス センターの電子情報開示ケースURL: https://support.office.com/ja-jp/article/Office-365-%e3%81%a7%e3%81%ae%e9%9b%bb%e5%ad%90%e6%83%85%e5%a0%b1%e9%96%8b%e7%a4%ba-143b3ab8-8cb0-4036-a5fc-6536d837bfce?ui=ja-JP&rs=ja-JP&ad=JP#ediscoverycases

Office 365 セキュリティ/コンプライアンス センターの電子情報開示ケースに関しましては上記参考情報をご参考に行っていただければ閲覧可能でございますが、

以下の簡単にまとめさせていただきました。

■ステップ 1グループにアップロードされたファイルを保持する

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

  1. Office 365 管理センターより、[セキュリティー] を選択して開きます。
  2. [検索と調査] から、[電子情報開示] を選択します。
  3. “+” マークをクリックし、eDiscovery のケースを追加します。
    edisconvercase
  1. 作られたケースをクリックし開きます。
  1. 保持リストを選択し、 “+” アイコンをクリックし、ルール/ポリシーリストを追加します。
    ediscoverpolicy
  1. [検索] を選択していただき、名前には検索しているものが分かる内容を指定し、

検索したい要件に合わせて、どこを調べますかの選択をしてください。

ediscoversearch

今回の場合は、[すべてのケースコンテンツ] を指定します。

  1. 次へを選択し、[検索] を選択します。

■ステップ 2 グループにアップロードされているファイルを確認

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

上記のステップでデーターの保持は完了しており、あとは検索を行いデーターを出力するだけです。

  1. 上記で作ったケースをクリックし、[検索] のタブを選択し、右側に表示される、[検索結果のプレビュー] を選択します。
    searchres
  2. OWA の画面が表示されますので、こちらから履歴の確認が可能です。
  3. [Type] の列にはファイルの拡張子が表示されます。
    fileresults以下の場合は、pptx (PowerPoint) およびに txt ファイル (txt) 及びにイメージが表示されます。
    *イメージにつきましてはファイルの保存のロジックにより、Type が .aspx となりますが、アイテムを選択し、 “This document type is not supported by preview. Please click here to download a copy.” を選択する事で、ファイルが確認可能です。pictureresultsなお、SharePoint サイト側のデーターからは、誰によってアップロードされたか、また、誰にだれによってダウンロードされているかについて、すぐに確認をする方法はございません。ただし、今回のように、eDiscovery の検索を行う際、グループのメールボックスおよびに SharePoint サイトを対象としていただいている場合、同じプレビュー画面にて Microsoft Teams 側からグループのメールボックスに対して保持された IM のデーターを確認する事により、
    添付された画像およびに、ヘッダーの情報を確認していたただく事が可能です。
    以下のイメージのように、ユーザーがコンテンツをアップロードした際と思われる IM を選択し、[Download Original Item]
    を選択していただければ、outlook で開ける EML 形式のファイルがダウンロードされ、だれが、
    アップロードしたファイルかを確認する事が可能です。confdata

[ユーザー同士で行われた P2P の IM およびにファイルを確認する方法]

ユーザー同士で P2p のファイルがファイルの転送を行った場合はユーザーの
OneDrive に保存され相手側はそのファイルパスを閲覧します。

"チャット" の機能を利用しユーザー同士で行われた IM に関しては Microsoft Teams のデーターセンターで
保存されますが、インプレース保持されている場合にはユーザーのメールボックス上でユーザーがアクセスできないフォルダーに保持されます。

この場合も、グループと同様に eDiscovery のタスクを作り、以下のような検索条件で確認が可能です。
onedrive

上記の方法については、Teams の SharePoint にアップロードした時と同様、誰が送ったかをファイルの詳細から確認をする事はできませんが、
チームのデーターを検索したときと同様に、ユーザーのメールボックスおよびに、OneDrive のサイトをを同時に検索しているような場合、
すぐ上や下に表示される、Type が IM のイベントを選択し、”Download Original Item” をする事でしか確認ができません。

onedrivediscoveryitem

なお、OneDrive にアプロードされたファイルに対してだれがアクセスを行ったかを確認する方法については
[監査ログの検索] をご利用いただけます。

[ユーザー同士で行われた P2P のファイルを確認する方法]

今回の調査例については、上記の例で利用されている、online08 が online10 に送信した Dessert.jpg に対し、online10 がアクセスを行ったかを確認します。

  1. 管理センターからセキュリテイーの管理センタ-にアクセスを行い、監査ログの検索を選択し、[ファイルとページの操作] の監査ログのイベントを選択します。

auditlogsearchcriteria

2. 次に、対象の期間を設定し、検索を実施し、[フィルターの表示] を選択し、詳細に "teams" と入力します。

 

 

auditlogonedriveres3. 上記の検索結果では、online10 が Dessert.jpg のファイルにアクセスを行った事が分かります。

auditevent

4. イベントの詳細をクリックし詳細を確認します。

 

auditlogdetails

上記の通り、OneDrive のパスのシェアも online08 のものとなり、Microsoft Teams チャットファイルのフォルダー内にあるコンテンツである事から Teams のファイルである事がわかります。

*現時点では Microsoft Teams のデーターの保持期間は無期限です。

引き続き、Microsoft Teams も、Skype for Business ともども、どうぞよろしくお願いいたします。