La guida definitiva alla scoperta eDiscovery di Microsoft Teams

Tutorial

In mezzo a questa pandemia in corso, molte organizzazioni in tutto il mondo hanno richiesto ai propri dipendenti di lavorare da casa utilizzando app come Microsoft Teams, il che genera più contenuti che mai in Office 365. Microsoft Teams memorizza i dati in vari luoghi, rendendo più difficile per gli amministratori eseguire una eDiscovery completa.

In questo articolo, esploreremo quali diverse strumenti di Teams eDiscovery sono disponibili per gli amministratori IT, come raccogliere dati da Teams utilizzando l’eDiscovery e quali sono le attuali limitazioni per i flussi di lavoro dell’eDiscovery.

Dove vengono memorizzati i dati di Microsoft Teams?

Prima di iniziare ad utilizzare l’eDiscovery, è essenziale comprendere le diverse posizioni di archiviazione di Microsoft Teams poiché l’app utilizza più servizi di Office 365 per gestire i suoi dati.

Messaggi di chat e canale

I messaggi di chat e canale di Microsoft Teams vengono memorizzati con Exchange Online. Quando un utente invia messaggi a una conversazione in chat o canale, il substrato Microsoft 365 memorizza un record di conformità per quei messaggi in Exchange Online. I record di conformità per le chat sono nelle caselle di posta degli utenti di tutti i partecipanti alla chat. Quando gli utenti inviano messaggi di canale, i record di conformità vengono inviati alla casella di posta del team che possiede quel canale.

File

Ogni team ha un sito del team SharePoint, e all’interno di quel sito c’è la libreria documenti del team con cartelle che rappresentano ciascun canale. I file di Microsoft Teams risiedono in OneDrive for Business o in SharePoint Online.

Quando un utente invia un file tramite una chat di Teams, comparirà una cartella nel loro OneDrive chiamata “File chat Teams”, contenente i loro file. I file condivisi tramite le chat di Teams vengono archiviati in OneDrive for Business.

Registrazioni delle riunioni

Le registrazioni delle riunioni Teams vengono archiviate in OneDrive o SharePoint, a seconda del tipo di riunione. Una cartella chiamata “Registrazioni” in OneDrive for Business archivia le registrazioni delle riunioni ad hoc di Teams, mentre SharePoint online archivia qualsiasi riunione di canale.

Cos’è l’eDiscovery?

La scoperta elettronica, o eDiscovery, è il processo di identificazione, raccolta e produzione di informazioni elettroniche in risposta a una richiesta di produzione in un caso legale o di indagine. Possono essere email, file, messaggi chat, video, messaggi vocali, ecc.

Requisiti di licenza

Ci sono due tipi di eDiscovery in Microsoft 365:

  • Core eDiscovery, che fa parte del pacchetto di licenze Microsoft 365 E3 o Office 365 E3
  • Advanced eDiscovery, che fa parte del pacchetto di licenze Microsoft 365 E5 o Office 365 E5. Advanced eDiscovery è anche incluso nell’Microsoft 365 E5 Compliance add-on.

Questo articolo si concentrerà sulle funzionalità di Core eDiscovery, ma è utile comprendere cosa offre la versione E5. Advanced eDiscovery fornisce la gestione dei custodi, che consente di identificare gli utenti che sono i custodi dei dati nelle indagini e aggiungerli insieme alle loro posizioni dei contenuti. È possibile specificare le posizioni dei contenuti del team per metterli rapidamente in conservazione legale.

Per eseguire ricerche per gli utenti, devono avere una licenza Office 365 che contenga una casella di posta, SharePoint Online, OneDrive e Teams. Nei risultati della ricerca, è presente la normalizzazione delle conversazioni, che raggruppa le conversazioni dei canali e delle chat per aiutare a identificare il contesto che potrebbe essere rilevante per la tua indagine. Advanced eDiscovery fornisce anche un’indicizzazione approfondita e la possibilità di omettere i contenuti.

Cosa ottieni con lo strumento eDiscovery?

Con ciascuno strumento eDiscovery, otterrai un insieme di funzionalità per cercare e conservare i dati organizzativi in Office 365.

Ricerca Contenuti

La Ricerca contenuti in Microsoft 365 consente di eseguire ricerche per parole chiave, utenti specifici o posizioni specifiche in Office 365. Per eseguire ricerche dei contenuti per i dati di Teams, è necessario restringere la ricerca al sito SharePoint del Team, all’account OneDrive e alla casella di posta di Exchange perché Office 365 archivia i dati di Teams in posizioni diverse, come abbiamo spiegato in precedenza.

Core eDiscovery

Gli amministratori possono utilizzare Core eDiscovery per inserire un blocco di eDiscovery su posizioni dei contenuti in Office 365. I casi di Core eDiscovery possono creare blocchi per preservare i contenuti rilevanti per il caso.

Se stai investigando su qualcuno, puoi mettere in blocco le loro caselle di posta di Exchange e gli account di OneDrive for Business. Inoltre, puoi inserire un blocco sulle caselle di posta e sui siti associati a Microsoft Teams, Gruppi di Office 365 e Gruppi Yammer. Il blocco preserva i contenuti fino a quando un amministratore o un responsabile di eDiscovery non rimuove la posizione o elimina il blocco.

Permessi

Prima di iniziare con l’eDiscovery, è necessario assicurarsi di avere le autorizzazioni corrette assegnate. Ci sono due ruoli significativi disponibili nel gruppo di ruoli del gestore di eDiscovery:

  • Il ruolo Gestore di eDiscovery consente agli utenti di utilizzare la ricerca dei contenuti, esportare i risultati e creare casi e blocchi. Gli utenti possono accedere solo ai casi che creano.
  • Il Admin di eDiscovery è un tipo di permesso con accesso a tutte le aree. Gli amministratori possono accedere a tutti i casi e ai dati in eDiscovery.

È possibile assegnare queste autorizzazioni nella sezione Permessi del Centro amministrativo della conformità di Microsoft 365.

Usa eDiscovery per raccogliere i dati di Teams

Passo 1: Crea un caso

Per utilizzare eDiscovery per raccogliere i dati di Teams, prima devi creare un caso. Vai alla sezione eDiscovery del centro di amministrazione della conformità e crea un nuovo caso.

Figure 1: Creating a new case in Core eDiscovery

Passo 2: Crea una conservazione

All’interno di ogni caso, puoi creare più conservazioni per preservare i dati di Teams in eDiscovery. La conservazione preserva il contenuto fino a quando non viene eliminato e conserverà anche i dati anche se raggiunge il periodo di conservazione in Microsoft 365.

Per creare una conservazione, apri il caso e scegli la scheda Conservazioni. Da lì, possiamo creare una nuova conservazione.

Figure 2: Create a new hold under eDiscovery case

eDiscovery ti chiede di inserire un nome e una descrizione per la tua conservazione. Successivamente, scegli le posizioni per la conservazione.

Se desideri conservare i dati di Teams, devi definire la casella di posta di Gruppo e il sito di SharePoint. Puoi farlo cercando il nome del Team.

Figure 3: Choose hold locations in Office 365

Se desideri creare una conservazione basata su query di eDiscovery, devi inserire la condizione della query. Puoi scegliere una parola chiave e condizioni aggiuntive come mittente, data e oggetto.

Figure 4: Query and condition options within the hold

Puoi creare una conservazione senza condizione, quindi clicca su Avanti e quindi Invia per creare la tua nuova conservazione. La conservazione potrebbe richiedere fino a 24 ore per avere effetto.

Passo 3: Crea una ricerca

Dopo aver creato la conservazione, seleziona la scheda Ricerche per creare una nuova Ricerca. Segui le istruzioni per nominare la tua ricerca, scegliere le posizioni in Exchange e SharePoint. Di nuovo, cerca la casella di posta di Gruppo e il sito del team di SharePoint per il Team che desideri cercare. Puoi aggiungere condizioni come parole chiave e poi fare clic su Salva.

Figure 5: New search in eDiscovery case

La ricerca apparirà sotto la scheda Ricerche e potrai selezionarla per visualizzare i risultati della ricerca e un’anteprima dei dati.

Figure 6: Search preview in eDiscovery case

Passaggio 4. Esporta i risultati

Puoi esportare i risultati della ricerca eDiscovery in un file .pst utilizzando lo strumento di esportazione. Torna alla tua ricerca e seleziona Azioni, quindi Esporta risultati.

Figure 7: Under Actions, export results

Puoi definire le opzioni di output nei tuoi risultati di esportazione, come escludere gli elementi crittografati, e poi scegliere come esportare i dati.

Figure 8: Customise export results

Scorri verso il basso per scegliere le opzioni di versionamento e duplicazione di SharePoint, così come una visualizzazione numerica dei risultati.

Figure 9: View total items to export

Dopo aver cliccato su Esporta, vedrai i risultati sotto la scheda Esportazioni all’interno del caso. Una volta completata l’esportazione, scaricherai i risultati.

Figure 10: Exporting results under Export tab in eDiscovery case

La raccolta dei dati nei file PST è generalmente disorganizzata e non strutturata, e i messaggi di canale e chat non vengono visualizzati uno dopo l’altro in ordine. Invece, otterrai una raccolta di singoli messaggi che sono difficili da tradurre.

Se non vuoi occuparti dei dati disorganizzati di Teams, potresti considerare l’acquisto di Advanced eDiscovery, che fornisce il raggruppamento delle conversazioni. Questo rende molto più facile interpretare i dati e vedere il contesto rilevante della conversazione.

Limitazioni di Core eDiscovery

L’esportazione dei dati non strutturati mi porta a discutere le varie limitazioni dello strumento Core eDiscovery. Prima di tutto, la ricerca dei contenuti non è molto pratica per l’eDiscovery di Microsoft Teams: Come responsabile dell’eDiscovery, è necessario effettuare una ricerca dei contenuti per tutte le posizioni di Office 365 per quel team specifico. Non c’è l’opzione di cercare un team e ottenere tutti i dati al suo interno, e questo perché Office 365 memorizza i dati di Teams in posizioni diverse.

Inoltre, non tutto il contenuto di Teams è scopribile: Le registrazioni audio, i nomi dei canali e i frammenti di codice sono tutti elementi non scopribili nell’eDiscovery. È inoltre necessario essere consapevoli che le restrizioni per la conservazione delle custodie potrebbero influire significativamente sulle organizzazioni più grandi.

Description of Limit Limit
Maximum number of case holds for an organization. 10,000
Maximum number of mailboxes in a single case hold. 1,000
Maximum number of sites in a single case hold. 100
Maximum number of cases displayed on the core eDiscovery home page and the maximum number of items displayed on the Holds, Searches, and Export tabs within a case. 1,000

Gli strumenti di eDiscovery di Microsoft funzionano nativamente solo con Microsoft 365, il che significa che non funzioneranno con i dati memorizzati in strumenti di terze parti. Questo può essere motivo di preoccupazione per le organizzazioni che non hanno abbracciato completamente Microsoft 365 e che hanno ancora dati memorizzati altrove.

Riassunto

Per le organizzazioni che si occupano di molteplici contenziosi attivi e che cercano di potenziare i propri sforzi in materia di governance delle informazioni, Advanced eDiscovery è probabilmente la strada da percorrere. Gli strumenti Core eDiscovery inclusi nella tua licenza standard di Office 365 o Microsoft 365 E3 ti forniscono la capacità di cercare, conservare e esportare i risultati. Con Advanced eDiscovery, puoi filtrare, contrassegnare e visualizzare conversazioni in thread nei risultati, rendendo più facile interpretare i dati esportati. Se desideri avere un piano e una politica di eDiscovery per Microsoft Teams, Advanced eDiscovery merita sicuramente l’investimento.

Articolo correlato:

Source:
https://petri.com/ultimate-guide-to-microsoft-teams-ediscovery/