В условиях этой непрерывной пандемии многие организации по всему миру требуют от своих сотрудников работать из дома, используя приложения, например, Microsoft Teams, что приводит к увеличению объема контента в Office 365. Microsoft Teams хранит данные в различных местах, что затрудняет задачу администраторов по полному проведению электронного обнаружения.
В данной статье мы рассмотрим, какие инструменты электронного обнаружения Teams доступны для IT-администраторов, как собирать данные из Teams с использованием электронного обнаружения и каковы текущие ограничения для рабочих процессов электронного обнаружения.
Где хранятся данные Microsoft Teams?
Предварительно изучим различные места хранения данных Microsoft Teams, поскольку приложение использует несколько служб Office 365 для обработки своих данных.
Сообщения чата и канала
Сообщения чата и канала Microsoft Teams хранятся в Exchange Online. Когда пользователь размещает сообщения в чате или канале, Microsoft 365 сохраняет запись о соответствии сообщений в Exchange Online. Записи соответствия для чатов находятся в почтовых ящиках пользователей всех участников чата. Когда пользователи отправляют сообщения в канал, записи соответствия отправляются в почтовый ящик команды, которой принадлежит этот канал.
Файлы
Каждая команда имеет сайт команды SharePoint, и внутри этого сайта находится библиотека документов команды с папками, представляющими каждый канал. Файлы Microsoft Teams хранятся в OneDrive for Business или SharePoint Online.
Когда пользователь отправляет файл через чат Teams, появляется папка в их OneDrive с названием «Files Chat Files», содержащая их файлы. Файлы, передаваемые через чаты Teams, хранятся в OneDrive for Business.
Записи собраний
Записи собраний Teams хранятся либо в OneDrive, либо в SharePoint в зависимости от типа собрания. Папка с названием «Recordings» в OneDrive for Business хранит записи собраний Teams ad hoc, а SharePoint Online хранит любые канальные собрания.
Что такое eDiscovery?
Электронное обнаружение или eDiscovery — это процесс идентификации, сбора и предоставления электронной информации в ответ на запрос о предоставлении в юридическом деле или расследовании. Это могут быть электронные письма, файлы, чаты, видео, голосовые сообщения и т. д.
Требования к лицензированию
Существуют два типа eDiscovery в Microsoft 365:
- Core eDiscovery, который идет в составе лицензии Microsoft 365 E3 или Office 365 E3 SKU
- Advanced eDiscovery, который идет в составе лицензии Microsoft 365 E5 или Office 365 E5 SKU. Advanced eDiscovery также входит в дополнение Майкрософт 365 E5 Compliance.
Эта статья сосредоточена на функциях Core eDiscovery, но полезно понимать, что предоставляет версия E5. Advanced eDiscovery предоставляет управление кураторами, что позволяет вам идентифицировать пользователей, которые являются кураторами данных в ваших расследованиях и добавлять их и их местоположения контента. Вы можете указать местоположения содержимого команд для быстрого помещения их в юридическое удержание.
Для выполнения поисков по пользователям у них должна быть лицензия Office 365, включающая почтовый ящик, SharePoint Online, OneDrive и Teams. В результатах поиска есть группировка бесед, которая группирует каналы и чаты для помощи в определении контекста, который может быть значимым для вашего расследования. Advanced eDiscovery также предоставляет глубокую индексацию и возможность редактировать контент.
Что вы получаете в инструменте eDiscovery?
С каждым инструментом eDiscovery вы получите набор функций для поиска и удержания организационных данных в Office 365.
Поиск содержимого
Поиск контента в Microsoft 365 позволяет выполнять поиски по ключевым словам, конкретным пользователям или конкретным местоположениям в Office 365. Для выполнения поиска контента для данных Teams необходимо ограничить поиск до сайта SharePoint команды, учетной записи OneDrive и почтового ящика Exchange, так как Office 365 сохраняет данные Teams в разных местах, как мы объяснили ранее.
Основные функции электронного документооборота
Администраторы могут использовать основные функции электронного документооборота для наложения удержания электронного документооборота на местоположения контента в Office 365. С помощью основных функций электронного документооборота можно создавать удержания для сохранения контента, имеющего отношение к делу.
Если вы проводите расследование кого-либо, вы можете сохранить их почтовые ящики Exchange и учетные записи OneDrive для бизнеса. Кроме того, вы можете наложить удержание на почтовые ящики и сайты, связанные с Microsoft Teams, группами Office 365 и группами Yammer. Удержание сохраняет контент до тех пор, пока администратор или менеджер электронного документооборота не удалит местоположение или не удалит удержание.
Разрешения
Прежде чем начать работу с электронным документооборотом, убедитесь, что у вас есть правильно назначенные разрешения. В группе ролей менеджера электронного документооборота доступны две значимые роли:
- Rоль Менеджер электронного документооборота позволяет пользователям использовать поиск контента, экспортировать результаты и создавать дела и удержания. Пользователи могут получить доступ только к делам, которые они создали.
- Rоль Администратор электронного документооборота является типом разрешения со всеми доступными областями. Администраторы могут получить доступ ко всем делам и данным в электронном документообороте.
Эти разрешения можно назначить в разделе Разрешения Центра администрирования соответствия Microsoft 365.
Используйте eDiscovery для сбора данных Teams
Шаг 1: Создайте дело
Чтобы использовать eDiscovery для сбора данных Teams, сначала вам необходимо создать дело. Перейдите в раздел eDiscovery Центра администрирования соответствия и создайте новое дело.
Шаг 2: Создайте удержание
В каждом деле вы можете создать несколько удержаний для сохранения данных Teams в eDiscovery. Удержание сохраняет содержимое до его удаления и также будет сохранять данные даже после истечения срока их хранения в Microsoft 365.
Чтобы создать удержание, откройте дело и выберите вкладку Удержания. Оттуда мы можем создать новое удержание.
eDiscovery призывает вас ввести имя и описание для вашего удержания. Затем выберите местоположения для удержания.
Если вы хотите удерживать данные Teams, вам необходимо определить групповую почту и сайт SharePoint. Вы можете сделать это, выполнив поиск по имени команды.
Если вы хотите создать удержание eDiscovery на основе запроса, вам необходимо указать условие запроса. Вы можете выбрать ключевое слово и дополнительные условия, такие как отправитель, дата и тема.
Вы можете создать удержание без условия, поэтому нажмите Далее, а затем Отправить, чтобы создать новое удержание. Удержание может занять до 24 часов, чтобы вступить в силу.
Шаг 3: Создайте поиск
После создания удержания выберите вкладку Поиски, чтобы создать новый поиск. Следуйте подсказкам, чтобы назвать ваш поиск, выберите местоположения в Exchange и SharePoint. Снова ищите почтовый ящик группы и сайт команды SharePoint для команды, которую вы хотите найти. Вы можете добавить условия, такие как ключевые слова, а затем нажать Сохранить.
Поиск появится на вкладке Поиски, и вы сможете выбрать его, чтобы просмотреть результаты поиска и пример предварительного просмотра данных.
Шаг 4. Экспортировать результаты
Вы можете экспортировать результаты поиска eDiscovery в файл .pst, используя инструмент экспорта. Вернитесь к вашему поиску и выберите Действия, затем Экспортировать результаты.
Вы можете определить параметры вывода в результатах вашего экспорта, такие как исключение зашифрованных элементов, а затем выбрать способ экспорта данных.
Прокрутите вниз, чтобы выбрать параметры версионности и дублирования в SharePoint, а также числовой вид результатов.
После нажатия кнопки «Экспорт» вы увидите результаты на вкладке Экспорты внутри дела. По завершении экспорта вы сможете загрузить результаты.
Коллекция данных в файлах PST обычно не организована и неструктурирована, а канал и сообщения в чатах не отображаются один за другим в определенном порядке. Вместо этого вы получите коллекцию отдельных сообщений, которые трудно перевести.
Если вы не хотите заниматься неорганизованными данными Teams, вам, возможно, стоит рассмотреть покупку расширенного eDiscovery, который предоставляет группировку бесед. Это значительно облегчает интерпретацию данных и позволяет видеть соответствующий контекст беседы.
Ограничения Core eDiscovery
Экспорт неструктурированных данных заставляет меня обсудить различные ограничения инструмента Core eDiscovery. Во-первых, поиск контента не очень практичен для Microsoft Teams eDiscovery: как менеджер eDiscovery, вам нужно выполнить поиск контента для всех местоположений Office 365 для конкретной команды. Нет возможности выполнить поиск по команде и получить все данные в ней, потому что Office 365 хранит данные Teams в разных местах.
Кроме того, не весь контент Teams доступен для обнаружения: аудиозаписи, названия каналов и фрагменты кода – все это предметы, которые нельзя обнаружить в eDiscovery. Вы также должны быть в курсе ограничений на удержание дела, которые, вероятно, повлияют на крупные организации.
| Description of Limit | Limit |
| Maximum number of case holds for an organization. | 10,000 |
| Maximum number of mailboxes in a single case hold. | 1,000 |
| Maximum number of sites in a single case hold. | 100 |
| Maximum number of cases displayed on the core eDiscovery home page and the maximum number of items displayed on the Holds, Searches, and Export tabs within a case. | 1,000 |
Инструменты eDiscovery от Microsoft работают только с Microsoft 365 на нативном уровне, что означает, что они не будут работать с данными, хранящимися в инструментах сторонних разработчиков. Это может вызвать беспокойство у организаций, которые не полностью перешли на использование Microsoft 365 и все еще хранят данные в другом месте.
Резюме
Для организаций, которые занимаются несколькими активными судебными разбирательствами и стремятся повысить уровень своих усилий по управлению информацией, вероятно, лучше всего выбрать Advanced eDiscovery. Инструменты Core eDiscovery в вашей стандартной лицензии Office 365 или Microsoft 365 E3 обеспечивают вас возможностью искать, удерживать и экспортировать результаты. С Advanced eDiscovery вы можете фильтровать, помечать и просматривать ветвящиеся разговоры в результатах, что облегчает интерпретацию экспортированных данных. Если вы хотите иметь план и политику Microsoft Teams eDiscovery, Advanced eDiscovery определенно стоит вложенных в него средств.
Связанная статья:
Source:
https://petri.com/ultimate-guide-to-microsoft-teams-ediscovery/