Durchführen einer eDiscovery-Untersuchung von Inhalt in Microsoft Teams

Große Unternehmen werden häufig mit hohen Bußerforderungen rechnen müssen, die die Übermittlung aller elektronisch gespeicherten Informationen erfordern. Microsoft Teams können während eDiscovery-Untersuchungen durchsucht und verwendet werden.

Übersicht

Alle Microsoft Teams 1:1- oder Gruppenchats werden in den Postfächern der jeweiligen Benutzer journaliert. Alle Standardkanalnachrichten werden bis zum Gruppenpostfach, das das Team darstellt, journaliert. In Standardkanäle hochgeladene Dateien werden unter die eDiscovery-Funktionalität für SharePoint Online und OneDrive for Business.

eDiscovery von Nachrichten und Dateien in privaten Kanälen funktioniert anders als in Standardkanälen. Weitere Informationen finden Sie unter eDiscovery privater Kanäle.

Nicht alle Teams sind eDiscoverable. Die folgende Tabelle enthält die Inhaltstypen, nach der Sie mithilfe der Microsoft eDiscovery-Tools suchen können:

Inhaltstyp eDiscoverable Hinweise
Audioaufzeichnungen Nein
Karteninhalt Ja Weitere Informationen finden Sie unter Suchen nach Karteninhalten.
Chatlinks Ja
Chatnachrichten Ja Dies umfasst Inhalte in Teams Kanälen, 1:1-Chats, 1:N-Gruppenchats und Chats mit Gastbenutzerteilnehmern.
Codeausschnitte Nein
Bearbeitete Nachrichten Ja Wenn der Benutzer in der Warteschleife ist, bleiben auch frühere Versionen bearbeiteter Nachrichten erhalten.
Emojis, GIFs und Aufkleber Ja
Feedbenachrichtigungen Nein
Inlinebilder Ja
Chatunterhaltungen in Besprechungen Ja
Besprechungsmetadaten1 Ja
Name des Kanals Ja
Nachrichten in privaten Kanälen  Ja
Anführungszeichen Ja Inhalte, die in Anführungszeichen angegeben werden, können durchsucht werden. Die Suchergebnisse deuten jedoch nicht darauf hin, dass der Inhalt zitiert wurde.
Reaktionen (z. B. "Likes", "Herzen" und andere Reaktionen) Nein
Betreff Ja
Tabellen Ja

1 Besprechungs- (und Anruf-)Metadaten umfassen Folgendes:

  • Start- und Endzeit der Besprechung und Dauer der Besprechung

  • Teilnahme an Besprechungen und Verlassen von Ereignissen für jeden Teilnehmer

  • VOIP-Teilnahmen/-Anrufe

  • Anonyme Verknüpfungen

  • Partnerbenutzer-Joins

  • Gastbenutzer tritt bei

    Die Abbildung zeigt ein Beispiel für Besprechungsmetadaten.

    Bild der Metadaten der CVR-Datensatz-Besprechung.

Hier ist ein Beispiel für eine Unterhaltung im Zusammenhang mit einer Unterhaltung zwischen Teilnehmern während der Besprechung.

Unterhaltung zwischen Teilnehmern in Teams.

Unterhaltung zwischen Teilnehmern in eDiscovery-Suchergebnissen.

Weitere Informationen zum Durchführen einer eDiscovery-Untersuchung finden Sie unter Erste Schritte mit Core eDiscovery.

Microsoft Teams Daten werden als Chat oder Unterhaltungen in der eDiscovery-Excel angezeigt. Sie können die Datei .pst in Outlook, um diese Nachrichten nach dem Export anzeigen.

Wenn Sie die PST-Datei für das Team anzeigen, befinden sich alle Unterhaltungen im Ordner Teamchat unter Unterhaltungsverlauf. Der Titel der Nachricht enthält den Teamnamen und den Kanalnamen. Die folgende Abbildung zeigt beispielsweise eine Nachricht von Bob, der den Standardkanal Project Produktionsspezifikationen an das Team gesendet hat.

Screenshot eines Teamchatordners im Postfach eines Benutzers in Outlook.

Private Chats im Postfach eines Benutzers werden im Ordner Teamchat unter Unterhaltungsverlauf gespeichert.

eDiscovery von privaten Kanälen

Einträge für Nachrichten, die in einem privaten Kanal gesendet werden, werden an das Postfach aller Mitglieder des privaten Kanals und nicht an ein Gruppenpostfach übermittelt. Die Titel der Einträge sind so formatiert, dass sie angeben, von welchem privaten Kanal sie gesendet wurden.

Da jeder private Kanal über eine eigene SharePoint-Website verfügt, die von der übergeordneten Teamwebsite getrennt ist, werden Dateien in einem privaten Kanal unabhängig vom übergeordneten Team verwaltet.

Teams unterstützt die eDiscovery-Suche eines einzelnen Kanals innerhalb eines Teams nicht, daher muss das gesamte Team durchsucht werden. Um eine eDiscovery-Suche nach Inhalten in einem privaten Kanal durchzuführen, suchen Sie im gesamten Team, in der Websitesammlung, die dem privaten Kanal zugeordnet ist (um Dateien zu enthalten), und in Postfächern privater Kanalmitglieder (um Nachrichten zu enthalten).

Verwenden Sie die folgenden Schritte, um Dateien und Nachrichten in einem privaten Kanal zu identifizieren, die in Ihre eDiscovery-Suche enthalten sein sollen.

Bevor Sie diese Schritte ausführen, installieren Sie die SharePoint Online-Verwaltungsshell, und stellen Sie eine Verbindung mit SharePoint Online herzustellen.

  1. Führen Sie die folgenden Schritte aus, um eine Liste aller SharePoint, die privaten Kanälen im Team zugeordnet sind, zu erhalten.

    Get-SPOSite
    
  2. Führen Sie das folgende PowerShell-Skript aus, um eine Liste aller SharePoint-WEBSITEsammlungs-URLs zu erhalten, die privaten Kanälen im Team und der id der übergeordneten Teamgruppe zugeordnet sind.

    $sites = get-sposite -template "teamchannel#0"
    foreach ($site in $sites) {$x= get-sposite -identity $site.url -detail; $x.relatedgroupID; $x.url}
    
  3. Führen Sie für jedes Team oder jede Gruppen-ID das folgende PowerShell-Skript aus, um alle relevanten Websites privater Kanäle zu identifizieren, wobei die $groupID Gruppen-ID des Teams ist.

    $sites = get-sposite -template "teamchannel#0"
    $groupID = "e8195240-4a70-4830-9106-80193cf717cb"
    foreach ($site in $sites) {$x= Get-SpoSite -Identity $site.url -Detail; if ($x.RelatedGroupId -eq $groupID) {$x.RelatedGroupId;$x.url}}
    

Hinweis

SharePoint Für Websites privater Kanäle, die nach dem 28. Juni 2021 erstellt wurden, wird der Wert für teamchannel#1 die benutzerdefinierte Vorlagen-ID verwendet. Verwenden Sie also für private Kanäle, die nach diesem Datum erstellt wurden, den -Wert, teamchannel#1 wenn Sie die beiden vorherigen Skripts ausführen.

Stellen Sie vor dem Ausführen dieser Schritte sicher, dass Sie die neueste Version des Teams PowerShell-Moduls installiert haben.

  1. Führen Sie den folgenden Befehl aus, um die Gruppen-ID des Teams zu erhalten, das die privaten Kanäle enthält, die Sie durchsuchen möchten.

    Get-Team -MailNickName <mail alias of the associated Office 365 Group>
    

    Tipp

    Führen Sie das Cmdlet Get-Team ohne Parameter aus, um eine Liste aller Teams in Ihrer Organisation anzeigen. Die Liste enthält die Gruppen-ID und "MailNickName" für jedes Team.

  2. Führen Sie den folgenden Befehl aus, um eine Liste der privaten Kanäle im Team zu erhalten. Verwenden Sie die Gruppen-ID für das Team, das Sie in Schritt 1 erhalten haben.

    Get-TeamChannel -GroupId <GroupId> -MembershipType Private
    
  3. Führen Sie den folgenden Befehl aus, um eine Liste der Besitzer und Mitglieder privater Kanäle zu erhalten.

    Get-TeamChannelUser -GroupId <GroupId> -DisplayName "Engineering" 
    
  4. Fügen Sie die Postfächer aller Besitzer und Mitglieder aus jedem privaten Kanal im Team als Teil Ihrer eDiscovery-Suchabfrage ein.

Suchen nach Inhalten für Gastbenutzer

Sie können mithilfe von eDiscovery-Tools nach Inhalten Teams, die mit Gastbenutzern in Ihrer Organisation in Zusammenhang stehen. Teams Chatinhalt, der einem Gastbenutzer zugeordnet ist, wird in einem cloudbasierten Speicherort beibehalten und kann mithilfe von eDiscovery durchsucht werden. Dies schließt die Suche nach Inhalten in 1:1- und 1:N-Chatunterhaltungen ein, bei denen ein Gastbenutzer mit anderen Benutzern in Ihrer Organisation Teilnehmer ist. Sie können auch nach Nachrichten in privaten Kanälen suchen, bei denen ein Gastbenutzer Teilnehmer ist, und in Unterhaltungen mit Gastchats nach Inhalten suchen, bei denen nur Gastbenutzer die Teilnehmer sind.

So suchen Sie nach Inhalten für Gastbenutzer:

  1. Verbinden Sie Azure AD PowerShell. Anweisungen finden Sie im Abschnitt "Verbinden dem Azure Active Directory PowerShell" in Verbinden, Microsoft 365 mit PowerShell zu finden. Stellen Sie sicher, dass Sie die Schritte 1 und 2 im vorherigen Thema abgeschlossen haben.

  2. Nachdem Sie erfolgreich eine Verbindung mit Azure AD PowerShell hergestellt haben, führen Sie den folgenden Befehl aus, um den Benutzerprinzipalnamen (User Principal Name, UPN) für alle Gastbenutzer in Ihrer Organisation anzeigen. Sie müssen den UPN des Gastbenutzers verwenden, wenn Sie die Suche in Schritt 4 erstellen.

    Get-AzureADUser -Filter "userType eq 'Guest'" -All $true | FL UserPrincipalName
    

    Tipp

    Anstatt eine Liste der Benutzerprinzipalnamen auf dem Computerbildschirm anzuzeigen, können Sie die Ausgabe des Befehls an eine Textdatei umleiten. Sie können dies durch Anfügen > filename.txt an den vorherigen Befehl tun. Die Textdatei mit den Benutzerprinzipalnamen wird im aktuellen Ordner gespeichert.

  3. Stellen Sie in einem Windows PowerShell Fenster eine Verbindung mit Security & Compliance Center-PowerShell herstellen. Anweisungen finden Sie unter Verbinden Security & Compliance Center in PowerShell. Sie können eine Verbindung mit oder ohne mehrstufige Authentifizierung herstellen.

  4. Erstellen Sie eine Inhaltssuche, die nach allen Inhalten (wie Chatnachrichten und E-Mail-Nachrichten) sucht, an denen der angegebene Gastbenutzer Teilnehmer war, indem Sie den folgenden Befehl ausführen.

    New-ComplianceSearch <search name> -ExchangeLocation <guest user UPN>  -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
    

    Um beispielsweise nach Inhalten zu suchen, die der Gastbenutzerin Sara Davis zugeordnet sind, führen Sie den folgenden Befehl aus.

    New-ComplianceSearch "Sara Davis Guest User" -ExchangeLocation "sara.davis_hotmail.com#EXT#@contoso.onmicrosoft.com" -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
    

    Weitere Informationen zur Verwendung von PowerShell zum Erstellen von Inhaltssuchen finden Sie unter New-ComplianceSearch.

  5. Führen Sie den folgenden Befehl aus, um die in Schritt 4 erstellte Inhaltssuche zu starten:

    Start-ComplianceSearch <search name>
    
  6. Wechseln Sie zu https://compliance.microsoft.com , und klicken Sie dann auf Alle > Inhaltssuche anzeigen.

  7. Wählen Sie in der Liste der Suchbegriffe die Suche aus, die Sie in Schritt 4 erstellt haben, um die Flyoutseite anzeigen.

  8. Auf der Flyoutseite haben Sie folgende Optionen:

    • Klicken Sie auf Ergebnisse anzeigen, um die Suchergebnisse anzuzeigen und eine Vorschau des Inhalts anzuzeigen.

    • Klicken Sie neben dem Feld Abfrage auf Bearbeiten, um die Datei zu bearbeiten, und führen Sie die Suche dann erneut aus. Sie können z. B. eine Suchabfrage hinzufügen, um die Ergebnisse zu eindingen.

    • Klicken Sie auf Ergebnisse exportieren, um die Suchergebnisse zu exportieren und herunterzuladen.

Suchen nach Karteninhalten

Karteninhalte, die von Apps in Teams Kanälen, 1:1-Chats und 1xN-Chats generiert werden, werden in Postfächern gespeichert und können durchsucht werden. Eine Karte ist ein UI-Container für kurze Inhalte. Karten können mehrere Eigenschaften und Anlagen aufweisen, und sie können Schaltflächen enthalten, die Kartenaktionen auslösen können. Weitere Informationen finden Sie unter Karten

Wie bei Teams Inhalten, in denen Karteninhalte gespeichert werden, basierend auf dem Ort, an dem die Karte verwendet wurde. Der Inhalt für Karten, die in einem Teams Kanal verwendet werden, wird im Postfach Teams Gruppe gespeichert. Karteninhalte für 1:1- und 1xN-Chats werden in den Postfächern der Chatteilnehmer gespeichert.

Um nach Karteninhalten zu suchen, können Sie die kind:microsoftteams itemclass:IPM.SkypeTeams.Message Suchbedingungen oder verwenden. Bei der Überprüfung von Suchergebnissen haben Karteninhalte, die von Bots in einem Teams-Kanal generiert werden, die E-Mail-Eigenschaft Absender/Autor als . Dabei steht für den Namen der App, die den Karteninhalt <appname>@teams.microsoft.com appname generiert hat. Wenn Karteninhalte von einem Benutzer generiert wurden, wird der Benutzer durch den Wert Absender/Autor identifiziert.

Beim Anzeigen von Karteninhalten in den Ergebnissen der Inhaltssuche wird der Inhalt als Anlage der Nachricht angezeigt. Die Anlage hat den Namen appname.html . Dabei steht für den Namen der appname App, die den Karteninhalt generiert hat. Die folgenden Screenshots zeigen, wie Karteninhalte (für eine App mit dem Namen Asana) in Teams und in den Ergebnissen einer Suche angezeigt werden.

Karteninhalt in Teams

Karteninhalte in Teams Kanalnachricht.

Karteninhalt in Suchergebnissen

Gleicher Karteninhalt in den Ergebnissen einer Inhaltssuche.

Hinweis

Zum Anzeigen von Bildern aus Karteninhalten in den Suchergebnissen (z. B. die Häkchen im vorherigen Screenshot) müssen Sie bei Teams angemeldet sein (auf einer anderen Registerkarte in derselben Browsersitzung, die Sie zum Anzeigen der Suchergebnisse https://teams.microsoft.com) verwenden. Andernfalls werden Bildplatzhalter angezeigt.