Condurre un'indagine eDiscovery sul contenuto in Microsoft Teams

Le grandi imprese sono spesso esposte a procedimenti giudiziari con sanzioni elevate che richiedono l'invio di tutte le informazioni archiviate elettronicamente (ESI). I contenuti di Microsoft Teams possono essere cercati e usati durante le indagini di eDiscovery.

Panoramica

Tutte le chat 1:1 o di gruppo di Microsoft Teams vengono inviate tramite journal alle cassette postali dei rispettivi utenti. Tutti i messaggi standard del canale vengono inseriti nel journal nella cassetta postale del gruppo che rappresenta il team. I file caricati nei canali standard sono coperti dalla funzionalità eDiscovery per SharePoint Online e OneDrive for Business.

La eDiscovery dei messaggi e dei file nei canali privati funziona in modo diverso rispetto ai canali standard. Per altre informazioni, vedere eDiscovery dei canali privati.

Non tutti i contenuti di Teams sono eDiscoverable. La tabella seguente mostra i tipi di contenuto che è possibile cercare con gli strumenti di Microsoft eDiscovery:

Tipo di contenuto eDiscoverable Note
Registrazioni audio
Contenuto della scheda Per altre informazioni, vedere Cercare contenuto della scheda .
Collegamenti chat
Messaggi in chat Sono inclusi i contenuti nei canali standard di Teams, le chat 1:1, le chat di gruppo 1:N e le chat con i partecipanti degli utenti guest.
Frammenti di codice No
Messaggi modificati Se l'utente ha un blocco, vengono mantenute anche le versioni precedenti dei messaggi modificati.
Emoji, GIF e adesivi
Notifiche di feed No
Immagini incorporate
Componenti a ciclo continuo Il contenuto di un componente di ciclo viene salvato in un file .fluid archiviato nell'account OneDrive for Business dell'utente che invia il componente di ciclo. Questo significa che è necessario includere OneDrive come origine dati durante la ricerca di contenuto nei componenti di ciclo.
Conversazioni istantanee della riunione
Metadati della riunione1
Nome del canale
Citazioni Il contenuto tra virgolette è ricercabile. Tuttavia, i risultati della ricerca non indicano che il contenuto è stato citato.
Reazioni (come Mi piace, cuori e altre reazioni) Le reazioni sono supportate per tutti i clienti commerciali dopo il 1° giugno 2022. Le reazioni precedenti a questa data non sono disponibili per eDiscovery. È previsto il supporto per il cloud per enti pubblici. Non esiste alcun supporto legale per le reazioni.
Oggetto
Tabelle

1 I metadati di una riunione (e chiamata) includono quanto segue:

  • Inizio e ora di fine della riunione e durata
  • Partecipare a una riunione e uscire da eventi per ogni partecipante
  • Partecipa/chiamate VOIP
  • Join anonimi
  • Aggiunta di utenti federati
  • Partecipazione di utenti guest

Ecco un esempio di conversazione in chat tra partecipanti durante una riunione.

Conversazione tra partecipanti in Teams.

Ecco un esempio della copia di conformità della stessa conversazione in chat visualizzata in uno strumento eDiscovery.

Conversazione tra partecipanti nei risultati della ricerca eDiscovery.

Ecco un esempio dei metadati della riunione.

Metadati della riunione dalla copia di conformità.

Per altre informazioni su come condurre un'indagine di eDiscovery, vedere Introduzione a eDiscovery (Standard).For more information about conducting an eDiscovery investigation, see Get started with eDiscovery (Standard).

I dati di Microsoft Teams verranno visualizzati come messaggistica istantanea o conversazioni nell'output di esportazione di Excel eDiscovery. È possibile aprire il .pst file in Outlook per visualizzare i messaggi dopo averli esportati.

Quando si visualizza il file PST per il team, tutte le conversazioni si trovano nella cartella Chat del team in Cronologia conversazioni. Il titolo del messaggio contiene il nome del team e il nome del canale. Ad esempio, l'immagine seguente mostra un messaggio inviato da Davide che ha inviato un messaggio al canale standard di Project 7 del team Specifiche di produzione.

Screenshot di una cartella Chat del team nella cassetta postale di un utente in Outlook.

Le chat private nella cassetta postale di un utente vengono archiviate nella cartella Chat del team in Cronologia conversazioni.

eDiscovery dei canali privati e condivisi

Le copie di conformità dei messaggi nei canali privati e condivisi vengono inviate a cassette postali diverse a seconda del tipo di canale. Questo significa che è necessario eseguire ricerche in posizioni diverse della cassetta postale in base al tipo di canale di cui un utente è membro.

  • Canali privati. Le copie di conformità vengono inviate alla cassetta postale di tutti i membri dei membri del canale privato. Questo significa che è necessario eseguire una ricerca nella cassetta postale dell'utente durante la ricerca di contenuto nei messaggi del canale privato.

  • Canali condivisi. Le copie di conformità vengono inviate a una cassetta postale di sistema associata al team padre. Poiché Teams non supporta una ricerca eDiscovery di una singola cassetta postale di sistema per un canale condiviso, è necessario cercare nella cassetta postale il team padre (selezionando il nome della cassetta postale del team) durante la ricerca del contenuto del messaggio nei canali condivisi.

Ogni canale privato e condiviso ha un proprio sito di SharePoint separato dal sito del team padre. Ciò significa che i file in canali privati e condivisi vengono archiviati nel proprio sito e gestiti in modo indipendente dal team padre. Questo significa che è necessario identificare ed eseguire ricerche nel sito specifico associato a un canale quando si cercano contenuti nei file e negli allegati dei messaggi del canale.

Usare le sezioni seguenti per identificare il canale privato o condiviso da includere nella ricerca di eDiscovery.

Identificare i membri di un canale privato

Usare la procedura descritta in questa sezione per identificare i membri di un canale privato in modo da poter usare gli strumenti di eDiscovery per cercare contenuto nei messaggi del canale privato nella cassetta postale del membro.

Prima di eseguire questa procedura, assicurarsi di avere installato la versione più recente del modulo PowerShell di Teams .

  1. Eseguire il comando seguente per ottenere l'ID gruppo del team che contiene i canali condivisi in cui eseguire la ricerca.

    Get-Team -DisplayName <display name of the the parent team>
    

    Suggerimento

    Eseguire il cmdlet Get-Team senza parametri per visualizzare un elenco di tutti i team dell'organizzazione. L'elenco contiene l'ID del gruppo e DisplayName per ogni team.

  2. Eseguire il comando seguente per ottenere un elenco di canali privati nel team padre. Usare l'ID gruppo per il team ottenuto nel passaggio 1.

     Get-TeamChannel -GroupId <parent team GroupId> -MembershipType Private
    
  3. Eseguire il comando seguente per ottenere un elenco di membri e proprietari di canali privati per uno specifico canale privato.

     Get-TeamChannelUser -GroupId <parent team GroupId> -DisplayName "Partner Shared Channel"
    
  4. Includere le cassette postali dei proprietari e dei membri di un canale privato come parte della query di ricerca di eDiscovery in eDiscovery (Standard) o durante l'identificazione e la raccolta di contenuti responsabili in eDiscovery (Premium).Include the mailboxes of owners and members of a private channel as part of your eDiscovery search query in eDiscovery (Standard) or when identifying and collectn content in eDiscovery (Premium).

Identificazione del sito di SharePoint per i canali privati e condivisi

Come spiegato in precedenza, i file condivisi in canali privati e condivisi (e i file allegati ai messaggi del canale) vengono archiviati nella raccolta siti associata al canale. Usare la procedura descritta in questa sezione per identificare l'URL del sito associato a un canale privato o condiviso specifico. È quindi possibile usare gli strumenti di eDiscovery per cercare contenuto nel sito.

Prima di eseguire questa procedura, installare SharePoint Online Management Shell e connettersi a SharePoint Online.

  1. Facoltativamente, eseguire la procedura seguente per ottenere un elenco di tutte le raccolte siti di SharePoint associate ai canali condivisi nel team padre.

     Get-SPOSite
    

    Suggerimento

    La convenzione di denominazione dell'URL per un sito associato a canali privati e condivisi è [SharePoint domain]/sites/[Name of parent team]-[Name of private or shared channel]. Ad esempio, l'URL del canale condiviso denominato "Collaborazione partner", che si trova nel team padre "Team tecnico" nell'organizzazione Contoso è https://contoso.sharepoint.com/sites/EngineeringTeam-PartnerCollaboration.

  2. Eseguire i comandi di PowerShell seguenti per visualizzare l'URL di tutti i siti di SharePoint associati ai canali privati e condivisi dell'organizzazione. L'output dello script include anche l'ID gruppo del team padre, che è necessario eseguire i comandi nel passaggio 3.

    $sites = Get-SPOSite -Template "TEAMCHANNEL#1"
    foreach ($site in $sites) {$x= Get-SPOSite -Identity $site.url -Detail; $x.relatedgroupID; $x.url}
    

    Nota

    I siti di SharePoint per i canali privati creati prima del 28 giugno 2021 usano il valore "TEAMCHANNEL#0" per l'ID modello personalizzato. Per visualizzare i canali privati creati dopo questa data, usare il valore "TEAMCHANNEL#1" quando si eseguono i due script precedenti. I canali condivisi usano solo il valore di "TEAMCHANNEL#1".

  3. Per ogni team padre, eseguire i comandi di PowerShell seguenti per identificare i siti del canale privato e condiviso, dove $groupID si trova l'ID gruppo del team padre.

    $sites = Get-SPOSite -Template "TEAMCHANNEL#1"
    $groupID = "<group ID of parent team)"
    foreach ($site in $sites) {$x= Get-SpoSite -Identity $site.url -Detail; if ($x.RelatedGroupId -eq $groupID) {$x.RelatedGroupId;$x.url}}
    
  4. Includere il sito associato a un canale privato o condiviso come parte della query di ricerca di eDiscovery in eDiscovery (Standard) o durante l'identificazione e la raccolta di contenuti responsabili in eDiscovery (Premium).Include the site associated with a private or shared channel as part of your eDiscovery search query in eDiscovery (Standard) or when identifying and collectn content in eDiscovery (Premium).

Cercare contenuto per gli utenti guest

È possibile usare gli strumenti di eDiscovery per cercare contenuti di Teams correlati agli utenti guest nell'organizzazione. Il contenuto della chat di Teams associato a un utente guest viene mantenuto in una posizione di archiviazione basata sul cloud e può essere cercato usando eDiscovery. È inclusa la ricerca di contenuto nelle conversazioni di chat 1:1 e 1:N in cui un utente guest è un partecipante con altri utenti dell'organizzazione. È anche possibile cercare i messaggi del canale privato in cui un utente guest è un partecipante e cercare contenuti nelle conversazioni di chat guest:guest in cui gli unici partecipanti sono utenti guest.

Per cercare contenuto per gli utenti guest:

  1. Connettersi ad Azure AD PowerShell. Per istruzioni, vedere la sezione "Connettersi con Azure Active Directory PowerShell" in Connettersi a Microsoft 365 con PowerShell. Assicurarsi di completare i passaggi 1 e 2 dell'articolo precedente.

  2. Dopo la connessione a PowerShell di Azure AD, eseguire il comando seguente per visualizzare il nome dell'entità utente (UPN) per tutti gli utenti guest dell'organizzazione. È necessario usare l'UPN dell'utente guest quando si crea la ricerca nel passaggio 4.

    Get-AzureADUser -Filter "userType eq 'Guest'" -All $true | FL UserPrincipalName
    

    Suggerimento

    Invece di visualizzare un elenco di nomi delle entità utente sullo schermo del computer, è possibile reindirizzare l'output del comando a un file di testo. A tale scopo, aggiungere > filename.txt il comando precedente. Il file di testo con i nomi delle entità utente verrà salvato nella cartella corrente.

  3. In una finestra di Windows PowerShell diversa, connettersi a PowerShell del Centro sicurezza & conformità. Per istruzioni, vedere PowerShell di Connect to Security & Compliance Center. È possibile connettersi con o senza l'autenticazione a più fattori.

  4. Creare una ricerca di contenuto che cerchi tutto il contenuto, ad esempio i messaggi di chat e i messaggi di posta elettronica, in cui l'utente guest specificato era un partecipante eseguendo il comando seguente.

    New-ComplianceSearch <search name> -ExchangeLocation <guest user UPN>  -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
    

    Ad esempio, per cercare il contenuto associato all'utente guest Sara Davis, eseguire il comando seguente.

    New-ComplianceSearch "Sara Davis Guest User" -ExchangeLocation "sara.davis_hotmail.com#EXT#@contoso.onmicrosoft.com" -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true
    

    Per altre informazioni sull'uso di PowerShell per creare ricerche di contenuto, vedere New-ComplianceSearch.

  5. Eseguire il comando seguente per avviare la ricerca di contenuto creata nel passaggio 4:

    Start-ComplianceSearch <search name>
    
  6. Passare a https://compliance.microsoft.com e quindi fare clic su Mostra tutta la > ricerca contenuto.

  7. Nell'elenco delle ricerche selezionare la ricerca creata nel passaggio 4 per visualizzare la pagina a comparsa.

  8. Nella pagina a comparsa è possibile eseguire le operazioni seguenti:

    • Fare clic su Visualizza risultati per visualizzare i risultati della ricerca e visualizzare in anteprima il contenuto.

    • Accanto al campo Query fare clic su Modifica per modificare e quindi eseguire di nuovo la ricerca. Ad esempio, è possibile aggiungere una query di ricerca per limitare i risultati.

    • Fare clic su Esporta risultati per esportare e scaricare i risultati della ricerca.

Cercare il contenuto della scheda

I contenuti delle schede generati dalle app nei canali di Teams, nelle chat 1:1 e nelle chat 1xN vengono archiviati nelle cassette postali e possono essere cercati. Una scheda è un contenitore di interfaccia utente per brevi parti di contenuto. Le schede possono avere più proprietà e allegati e possono includere pulsanti che possono attivare azioni della scheda. Per altre informazioni, vedere Schede

Come gli altri contenuti di Teams, il contenuto della scheda è archiviato in base alla posizione in cui è stata usata la scheda. Il contenuto delle schede usate in un canale di Teams viene archiviato nella cassetta postale del gruppo di Teams. Il contenuto della scheda per le chat 1:1 e 1xN viene archiviato nelle cassette postali dei partecipanti alla chat.

Per cercare il contenuto della scheda, è possibile usare le kind:microsoftteams condizioni di ricerca o itemclass:IPM.SkypeTeams.Message . Durante la revisione dei risultati della ricerca, il contenuto della scheda generato dai bot in un canale di Teams ha la proprietà di posta elettronica Mittente/Autore come <appname>@teams.microsoft.com, dove appname è il nome dell'app che ha generato il contenuto della scheda. Se il contenuto della scheda è stato generato da un utente, il valore Mittente/Autore identifica l'utente.

Quando si visualizza il contenuto della scheda nei risultati della ricerca contenuto, il contenuto viene visualizzato come allegato al messaggio. L'allegato è denominato appname.html, dove appname è il nome dell'app che ha generato il contenuto della scheda. Gli screenshot seguenti mostrano come il contenuto della scheda (per un'app denominata Asana) viene visualizzato in Teams e nei risultati di una ricerca.

Contenuto della scheda in Teams

Contenuto della scheda nel messaggio del canale di Teams.

Contenuto della scheda nei risultati della ricerca

Stesso contenuto della scheda nei risultati di una ricerca contenuto.

Nota

Per visualizzare immagini dal contenuto della scheda nei risultati della ricerca in questo momento (ad esempio i segni di spunta nello screenshot precedente), è necessario accedere a Teams (in https://teams.microsoft.com) in una scheda diversa nella stessa sessione del browser che si usa per visualizzare i risultati della ricerca. In caso contrario, vengono visualizzati i segnaposto per le immagini.

eDiscovery in ambienti federati e non federati

Gli amministratori possono usare eDiscovery per cercare contenuti nei messaggi di chat in una riunione di Teams in ambienti federati (denominati accesso esterno) e non federati (accesso guest) in base alle restrizioni seguenti:

  • Federato: in una riunione di Teams con utenti dell'organizzazione e utenti di un'organizzazione esterna (che hanno accesso esterno all'interno dell'organizzazione), gli amministratori di entrambe le organizzazioni possono cercare contenuto nei messaggi di chat della riunione.

  • Non federato: in una riunione di Teams con utenti dell'organizzazione e utenti guest, solo gli amministratori dell'organizzazione che ospitano la riunione di Teams possono cercare contenuti nei messaggi di chat della riunione.