共用方式為

在 Microsoft Teams 中舉辦內容的電子文件探索調查

  • 發行項
  • 適用於:
    Microsoft Teams

提示

新的 Microsoft Purview 入口網站現已提供電子檔探索 (預覽) 。 若要深入瞭解如何使用新的電子檔探索體驗,請參閱 瞭解電子檔探索 (預覽)

大型企業通常會受到高懲罰的法律訴訟,要求提交所有電子儲存資訊 (ESI) 。 您可以在電子文件探索調查期間,搜尋及使用 Microsoft Teams 內容。

概觀

所有Microsoft Teams 1:1 或群組聊天都會記錄到個別使用者的信箱。 所有標準通道訊息都會記錄到代表小組的群組信箱。 在標準通道中上傳的檔案涵蓋在 SharePoint Online 和 商務用 OneDrive 的電子檔探索功能之下。

私人通道中訊息和檔案的電子檔探索運作方式與標準通道不同。 若要深入瞭解,請參閱 私人頻道的電子檔探索

錄製的 Teams 會議會儲存在錄製會議之使用者的 商務用 OneDrive 帳戶中。 此外,使用Teams會議的 [隱藏出席者名稱 ] 功能時,出席者識別資訊會儲存在 會議召集人的使用者信箱中。 若要深入瞭解,請 參閱 Microsoft Teams 中內容的電子檔探索 (進階) 工作流程

並非所有 Teams 內容都可進行電子文件探索。 下表顯示您可以使用電子檔案探索工具Microsoft搜尋的 Teams 內容類型:

內容類型 附註
音訊錄製內容 Teams 使用者與外部聯繫人之間的音訊通話
卡片內容 如需詳細資訊,請參閱 搜尋卡片內容
聊天連結
聊天訊息 這包括標準 Teams 頻道中的內容、1 對 1 聊天、1:N 群組聊天、與您自己聊天,以及與來賓聊天。
程式碼片段
已編輯訊息 如果使用者處於保留狀態,也會保留舊版的已編輯訊息。
Emoji、GIF 和貼紙
內嵌影像
Loop元件 迴圈元件中的內容會儲存在 .fluid 檔案中,該檔案儲存在傳送迴圈元件之使用者的 商務用 OneDrive 帳戶中。 這表示在迴圈元件中搜尋內容時,您必須將 OneDrive 包含為數據來源。
會議IM交談
會議元數據1
會議錄製和文字記錄 會議音訊的文字記錄會擷取並以個別檔案的形式提供。 支援的錄製會議 .mp4 檔案大小上限為 350 MB。 如果錄製的會議檔案大小大於 350 MB,就會發生處理錯誤,且檔案可供下載。
頻道名稱
引號 引號括住的內容是可搜尋的。 不過,搜尋結果不會指出內容已用引號括住。
像是讚、心和其他反應等 (反應) 在 2022 年 6 月 1 日之後,所有商業客戶都支持反應。 此日期之前的反應不適用於電子檔探索。 現在支持展開的反應。 若要了解反應歷程記錄,內容必須受到法律保留。
主旨
Tables
Teams 影片剪輯 (TVC) 以 「Video-Clip」 關鍵詞搜尋 TVC,並以滑鼠右鍵按兩下預覽,以「另存新檔」來搜尋每個 TVC 附件的 .mp4 檔案。

如果小於 200 MB) 並將 .mp4 檔案分開,則會將 TVC 收集為 Teams 交談附件 (。 TVC 檔案數據可在電子檔探索檢 閱集中 探索,而且可以導出。 目前不支援影片剪輯的預覽。

1 會議 (和通話) 元數據包含下列專案:

  • 會議開始和結束時間以及持續時間
  • 每個參與者的會議加入和離開事件
  • VOIP 聯結/呼叫
  • 同盟使用者加入
  • 來賓加入

重要事項

電子檔探索搜尋查詢目前不支援匿名使用者加入會議和通話。

以下是參與者在會議期間聊天交談的範例。

Teams 中參與者之間的交談。

以下是在電子檔探索工具中檢視之相同聊天交談的合規性複本範例。

eDiscovery 搜尋結果中參與者之間的交談。

以下是會議元數據的範例。

合規性復本中的會議元數據。

如需進行電子檔探索調查的詳細資訊,請參閱開始使用電子檔探索 (Standard)

Microsoft在 Excel 電子檔探索匯出輸出中,Teams 數據會顯示為 IM 或交談。 您可以在 Outlook 中開啟檔案, .pst 以在匯出這些訊息之後檢視這些訊息。

檢視小組的 .pst 檔案時,所有交談都位於 [交談歷程記錄] 下的 [Team Chat] 資料夾中。 訊息的標題包含小組名稱和頻道名稱。 例如,下圖顯示Bob發給製造規格小組之 Project 7標準頻道的訊息。

Outlook 中使用者信箱中 Team Chat 資料夾的螢幕快照。

使用者信箱中的私人聊天會儲存在 [交談記錄] 下的 [Team Chat] 資料夾中。

私人和共用通道的電子檔探索

私人和共用通道中的郵件合規性複本會根據通道類型傳送至不同的信箱。 這表示您必須根據使用者所屬的通道類型來搜尋不同的信箱位置。

  • 私人頻道。 合規性復本會傳送至私人頻道成員之所有成員的信箱。 這表示在私人頻道訊息中搜尋內容時,您必須搜尋使用者信箱。
  • 共用通道。 合規性復本會傳送至與父小組相關聯的系統信箱。 由於 Teams 不支援對共用通道的單一系統信箱進行電子檔探索搜尋,因此您必須在共用通道中搜尋郵件內容時,選取小組信箱) 的名稱,以搜尋父小組 (的信箱。

每個私人和共用頻道都有自己的SharePoint網站,與父小組網站不同。 這表示私人和共用通道中的檔案會儲存在自己的網站中,並獨立於父小組中管理。 這表示在檔案和頻道訊息附件中搜尋內容時,您必須識別及搜尋與頻道相關聯的特定網站。

使用下列各節來協助識別要包含在電子檔探索搜尋中的私人或共用通道。

識別私人頻道的成員

使用本節中的程式來識別私人頻道的成員,讓您可以使用電子檔探索工具來搜尋成員的信箱,以取得私人頻道訊息中的內容。

執行這些步驟之前,請確定您已安裝 最新版的Teams PowerShell模組

  1. 執行下列命令,以取得包含您要搜尋之共用頻道的小組群組標識符。

    Get-Team -DisplayName <display name of the the parent team>

    提示

    執行不含任何參數 的 Get-Team Cmdlet,以顯示組織中所有 Teams 的清單。 此清單包含每個小組的群組標識碼和 DisplayName。

  2. 執行下列命令,以取得父小組中的私人頻道清單。 針對您在步驟 1 中取得的小組使用群組識別碼。

     Get-TeamChannel -GroupId <parent team GroupId> -MembershipType Private

  3. 執行下列命令,以取得特定私人頻道的私人頻道擁有者和成員清單。

     Get-TeamChannelUser -GroupId <parent team GroupId> -DisplayName "Partner Shared Channel"

  4. 將私人頻道擁有者和成員的信箱包含在電子檔探索 (Standard) 中,或在 eDiscovery (Premium) 中識別和收集監管人內容時的電子檔探索搜尋查詢。

識別私人和共用頻道的 SharePoint 網站

如先前所述,在私人和共用通道中共用的檔案 (和附加至通道訊息) 的檔案會儲存在與通道相關聯的網站集合中。 使用本節中的程序來識別與特定私人或共用通道相關聯之網站的 URL。 然後,您可以使用電子檔案探索工具來搜尋網站中的內容。

執行這些步驟之前,請先安裝 SharePoint Online 管理命令介面 並連線到 SharePoint Online

  1. 選擇性地執行下列命令,以取得與父小組中共用頻道相關聯的所有 SharePoint 網站集合清單。

     Get-SPOSite

    提示

    與私人和共用通道相關聯之網站的網址命名慣例為 [SharePoint domain]/sites/[Name of parent team]-[Name of private or shared channel]。 例如,名為「合作夥伴共同作業」的共用頻道 URL,位於 Contoso 組織中的「工程師小組」父小組中。https://contoso.sharepoint.com/sites/EngineeringTeam-PartnerCollaboration

  2. 執行下列 PowerShell 命令,以顯示與組織中私人和共用通道相關聯之所有 SharePoint 網站的 URL。 腳本的輸出也包含父團隊的群組標識符,您需要在步驟 3 中執行命令。

    $sites = Get-SPOSite -Template "TEAMCHANNEL#1"
foreach ($site in $sites) {$x= Get-SPOSite -Identity $site.url -Detail; $x.relatedgroupID; $x.url}

    注意事項

    在 2021 年 6 月 28 日之前建立之私人頻道的 SharePoint 網站會使用自定義範本標識碼的值 "TEAMCHANNEL#0" 。 若要顯示在此日期之後建立的私人通道,請在執行前兩個腳本時使用 值 "TEAMCHANNEL#1" 。 共用通道只會使用的 "TEAMCHANNEL#1"值。

  3. 針對每個父小組,執行下列PowerShell命令來識別私人和共用頻道網站,其中 $groupID 是父小組的群組標識碼。

    $sites = Get-SPOSite -Template "TEAMCHANNEL#1"
$groupID = "<group ID of parent team)"
foreach ($site in $sites) {$x= Get-SpoSite -Identity $site.url -Detail; if ($x.RelatedGroupId -eq $groupID) {$x.RelatedGroupId;$x.url}}

  4. 在電子檔探索中包含與私人或共用通道相關聯的網站,作為電子檔探索搜尋查詢的一部分, (Standard) ,或在 eDiscovery (Premium) 中識別和收集監管人內容時。

搜尋來賓的內容

您可以使用電子檔案探索工具來搜尋與組織中來賓相關的 Teams 內容。 與來賓相關聯的 Teams 聊天內容會保留在雲端式儲存位置,並可使用電子檔探索進行搜尋。 這包括搜尋 1:1 和 1:N 聊天交談中的內容,其中來賓是組織中其他用戶的參與者。 您也可以搜尋來賓是參與者的私人頻道訊息,並在只有參與者是 來賓的來賓交談中搜尋來賓:來賓 聊天交談中的內容。

若要搜尋來賓的內容:

  1. 線上到 Microsoft Graph PowerShell。 如需詳細資訊,請 參閱 Microsoft Graph PowerShell 概觀。 請務必完成上一篇文章中的步驟 1 和步驟 2。

  2. 成功連線到 Microsoft Graph PowerShell 之後,請執行下列命令,為組織中的所有來賓顯示使用者主體名稱 (UPN) 。 當您在步驟 4 中建立搜尋時,必須使用來賓的 UPN。

    Get-MgUser -Filter "userType eq 'Guest'" -All $true | FL UserPrincipalName

    提示

    您可以將命令的輸出重新導向至文字檔,而不是在電腦畫面上顯示使用者主體名稱清單。 您可以藉由附加 > filename.txt 至上一個命令來執行此動作。 具有用戶主體名稱的文字檔將會儲存至目前的資料夾。

  3. 在不同的 Windows PowerShell 視窗中,連線到安全性 & 合規性 PowerShell。 如需指示,請 參閱連線到安全性 & 合規性 PowerShell。 您可以使用或不使用多重要素驗證進行連線。

  4. 執行下列命令,建立搜尋所有內容搜尋 (,例如聊天訊息和電子郵件訊息,) 指定的來賓是參與者。

    New-ComplianceSearch <search name> -ExchangeLocation <guest UPN>  -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true

    例如,若要搜尋與來賓SarTens 相關聯的內容,您會執行下列命令。

    New-ComplianceSearch "Sara Davis Guest" -ExchangeLocation "sara.davis_hotmail.com#EXT#@contoso.onmicrosoft.com" -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true

    如需使用 PowerShell 建立內容搜尋的詳細資訊,請參閱 New-ComplianceSearch

  5. 執行下列命令以啟動您在步驟 4 中建立的內容搜尋:

    Start-ComplianceSearch <search name>

  6. 移至 https://compliance.microsoft.com ,然後選取 [顯示所有>內容搜尋]

  7. 在搜尋清單中,選取您在步驟 4 中建立的搜尋,以顯示飛出視窗頁面。

  8. 在飛出視窗頁面上,您可以執行下列動作:

    • 取 [檢視結果 ] 以檢視搜尋結果並預覽內容。
    • 在 [ 查詢] 欄位旁邊,選取 [ 編輯 ] 進行編輯,然後重新執行搜尋。 例如,您可以新增搜尋查詢來縮小結果範圍。
    • 取 [匯出結果 ] 以匯出並下載搜尋結果。

搜尋卡片內容

Teams 頻道、1:1 聊天和 1xN 聊天中應用程式所產生的卡片內容會儲存在信箱中,並可進行搜尋。 卡片是一個 UI 容器,用於儲存簡短的內容片段。 卡片可以有多個屬性和附件,而且可以包含可觸髮卡片動作的專案。 如需詳細資訊,請參閱 卡片

與其他 Teams 內容一樣,儲存卡片內容的位置取決於卡片的使用位置。 Teams 頻道中使用的卡片之內容儲存在 Teams 群組信箱中。 1:1 和 1xN 聊天的卡片內容儲存在聊天參與者的信箱中。

要搜尋卡片內容,可以使用 kind:microsoftteamsitemclass:IPM.SkypeTeams.Message 搜尋條件。 檢閱搜尋結果時,Teams 頻道中的 Bot 所產生的卡片內容會以 Sender/Author 電子郵件屬性作為 <appname>@teams.microsoft.com,其中 appname 是產生卡片內容的應用程式名稱。 如果卡片內容是由使用者生成的,則 寄件者/作者的值識別使用者。

在內容搜尋結果中檢視卡片內容時,內容顯示為訊息的附件。 附件名為 appname.html,其中 appname 是產生卡片內容之應用程式的名稱。 下方的螢幕擷取畫面顯示了卡片內容 (對於名為 Asana 的應用程式) 在Teams 和搜尋結果中的顯示方式。

Teams 中的卡片内容

Teams 頻道訊息中的卡片内容。

搜尋結果中的卡片内容

內容搜尋結果中的相同卡片內容。

注意事項

若要在搜尋結果中顯示來自卡片內容的影像, (例如上一個螢幕快照) 中的複選標記,您必須在您用來檢視搜尋結果的相同瀏覽器會話中,於不同索引卷標的) 登入 Teams https://teams.microsoft.com (。 否則,將顯示影像預留位置。

依日期搜尋Teams會議

系統管理員可以根據會議開始或結束日期來搜尋Teams會議內容。 若要依特定 Teams 會議日期篩選檢閱集專案,您可以在電子檔探索 (進階) 中的進階篩選選項中使用 [ 會議開始日期 ] 和 [ 會議結束日期 ] 屬性。

Teams 會議日期的進階篩選範例。

在 Teams 會議中搜尋隱藏的出席者

Microsoft Teams 中的 [隱藏出席者名稱 ] 功能會隱藏其他出席者的姓名,因此只有召集人可以看到出席者名稱。 這項功能可用於與外部企業、廠商、機密會議或其他會議的會議或活動,其中出席者之間的個人隱私權很重要。 啟用此功能時,出席者名稱會隱藏在會議名冊、會議聊天和會議錄製中。

若要在已啟用 [隱藏出席者名稱 ] 功能的 Teams 會議中搜尋出席者的名稱,您必須在搜尋範圍中包含召集人的信箱。 隱藏出席者名稱只能在召集人的信箱中使用。

外部存取和客體環境中的電子檔探索

系統管理員可以使用電子檔探索,根據下列限制,在外部存取和來賓存取環境中的Teams會議中搜尋聊天訊息中的內容:

  • 外部存取:在與貴組織使用者的Teams會議中,以及外部出席者使用外部存取的外部組織使用者,這兩個組織的系統管理員都可以在會議的聊天訊息中搜尋內容。
  • 來賓:在與貴組織使用者和來賓的Teams會議中,只有組織中裝載Teams會議的系統管理員可以搜尋會議中聊天訊息中的內容。