Microsoft Teams 电子数据发现的终极指南

教程

在这场持续的大流行期间,全球许多组织已要求他们的员工使用诸如Microsoft Teams等应用程序在家中工作,这导致了Office 365中产生比以往更多的内容。Microsoft Teams将数据存储在各种位置,这使得管理员更难以执行完整的 eDiscovery。

在本文中,我们将探讨 IT 管理员可以使用哪些不同的 Teams eDiscovery 工具,如何使用 eDiscovery 从 Teams 收集数据以及当前 eDiscovery 工作流的哪些限制。

Microsoft Teams 数据存储在哪里?

在开始使用 eDiscovery 之前,了解 Microsoft Teams 的不同存储位置至关重要,因为该应用程序使用多个 Office 365 服务来处理其数据。

聊天和频道消息

Microsoft Teams 的聊天和频道消息存储在Exchange Online中。当用户在聊天或频道对话中发布消息时,Microsoft 365 基底会在 Exchange Online 中为这些消息存储合规记录。聊天的合规记录位于所有聊天参与者的用户邮箱中。当用户发送频道消息时,合规记录会发送到拥有该频道的团队邮箱中。

文件

每个团队都有一个SharePoint团队网站,网站中有代表每个频道的文件夹的Team文档库。Microsoft Teams文件存放在OneDrive for Business或SharePoint Online中。

当用户通过Teams聊天发送文件时,在他们的OneDrive中会出现一个名为“Teams聊天文件”的文件夹,其中包含他们的文件。通过Teams聊天共享的文件存储在OneDrive for Business中。

会议录音

Teams会议录音存储在OneDrive或SharePoint中,取决于会议类型。OneDrive for Business中名为“录音”的文件夹存储临时Teams会议录音,而SharePoint在线则存储任何频道会议。

eDiscovery是什么?

电子发现,即eDiscovery,是根据法律案件或调查的制作请求,识别、收集和生成电子信息的过程。它可以是电子邮件、文件、聊天消息、视频、语音邮件等。

许可要求

在Microsoft 365中有两种类型的eDiscovery:

  • 核心电子发现,包含在Microsoft 365 E3或Office 365 E3许可SKU中
  • 高级电子发现,包含在Microsoft 365 E5或Office 365 E5许可SKU中。高级电子发现也作为Microsoft 365 E5合规性附加组件的一部分。

本文将重点关注核心电子发现功能,但了解E5版本提供的内容也是有帮助的。高级电子发现提供了托管人员管理,可以帮助您识别调查中的数据托管者,将他们及其内容位置添加进来。您可以指定团队内容位置以便快速将它们放置在法律保全中。

要为用户运行搜索,他们必须具有包含邮箱、SharePoint Online、OneDrive和Teams的Office 365许可。在搜索结果中,有对话分组功能,可将频道和聊天对话进行分组,以帮助识别可能与您的调查相关的上下文。高级电子发现还提供深度索引和内容打码的功能。

在电子发现工具中您会得到什么?

每个电子发现工具都会提供一套功能,用于在Office 365中搜索和保留组织数据。

内容搜索

Microsoft 365中的内容搜索允许您搜索Office 365中的关键字、特定用户或特定位置。要搜索Teams数据的内容,您必须将搜索范围缩小到Team SharePoint网站、OneDrive帐户和Exchange邮箱,因为Office 365在不同位置存储Teams数据,正如我们之前解释的那样。

核心eDiscovery

管理员可以使用核心eDiscovery在Office 365中的内容位置设置eDiscovery保留。核心eDiscovery案例可以创建保留以保留与案例相关的内容。

如果您正在调查某人,可以保留其Exchange邮箱和OneDrive for Business帐户。此外,您还可以对与Microsoft Teams、Office 365群组和Yammer群组相关的邮箱和站点设置保留。保留将保留内容,直到管理员或eDiscovery管理员删除位置或取消保留。

权限

在开始使用eDiscovery之前,您必须确保已分配了正确的权限。eDiscovery Manager角色组中有两个重要角色:

  • eDiscovery Manager角色使用户能够使用内容搜索,导出结果并创建案例和保留。用户只能访问他们创建的案例。
  • eDiscovery Admin是一种全访问权限。管理员可以访问eDiscovery中的所有案例和数据。

您可以在Microsoft 365合规性管理中心的权限部分分配这些权限。

使用 eDiscovery 收集 Teams 数据

步骤 1:创建案例

要使用 eDiscovery 收集 Teams 数据,首先需要创建一个案例。转到合规性管理员中心的 eDiscovery 部分并创建一个新案例。

Figure 1: Creating a new case in Core eDiscovery

步骤 2:创建保留

在每个案例中,您可以创建多个保留以保留 eDiscovery 中的 Teams 数据。保留内容直到您删除它,并且即使数据达到 Microsoft 365 的保留期限,它也会保留数据。

要创建保留,打开案例并选择“保留”选项卡。从那里,我们可以创建新的保留。

Figure 2: Create a new hold under eDiscovery case

eDiscovery 会提示您为保留输入名称和描述。接下来,选择保留的位置。

如果您想要保留 Teams 数据,您需要定义组邮箱和 SharePoint 站点。您可以通过搜索团队名称来执行此操作。

Figure 3: Choose hold locations in Office 365

如果您想创建基于查询的 eDiscovery 保留,您必须提供查询条件。您可以选择关键字和其他条件,如发件人、日期和主题。

Figure 4: Query and condition options within the hold

您可以无条件创建保留,因此点击“下一步”,然后提交以创建新的保留。保留可能需要长达 24 小时才能生效。

步骤 3:创建搜索

创建保留后,选择”搜索”选项卡创建新的搜索。按照提示命名您的搜索,选择在 Exchange 和 SharePoint 中的位置。再次搜索要搜索的团队的组邮箱和 SharePoint 团队站点。您可以添加关键词等条件,然后单击保存。

Figure 5: New search in eDiscovery case

搜索将显示在”搜索”选项卡下,您可以选择查看搜索结果和数据的示例预览。

Figure 6: Search preview in eDiscovery case

步骤 4. 导出结果

您可以使用导出工具将 eDiscovery 搜索结果导出为 .pst 文件。返回到您的搜索,选择”操作”,然后选择”导出结果”。

Figure 7: Under Actions, export results

您可以定义导出结果的输出选项,例如排除加密项目,然后选择如何导出数据。

Figure 8: Customise export results

向下滚动以选择 SharePoint 版本控制和重复项选项,以及结果的数字视图。

Figure 9: View total items to export

单击”导出”后,您将在案例中的”导出”选项卡下看到结果。导出完成后,您将下载结果。

Figure 10: Exporting results under Export tab in eDiscovery case

.pst 文件中的数据集通常是杂乱无章和无结构的,通道和聊天消息不是按顺序显示。相反,您将得到一系列难以翻译的单个消息。

如果您不想处理杂乱的 Teams 数据,您可能要考虑购买高级 eDiscovery,它提供了对话分组。这将大大简化解释数据并查看对话的相关上下文。

Core eDiscovery工具的限制

关于Core eDiscovery工具的各种限制,首先,非结构化数据导出使我开始讨论各种Core eDiscovery工具的限制。首先,对于Microsoft Teams eDiscovery来说,内容搜索对于电子数据发现管理人员来说并不是非常实用:您需要为该特定团队在所有Office 365位置进行内容搜索。没有选项可以搜索某个团队并获取其中的所有数据,这是因为Office 365将Teams数据存储在不同位置。

此外,并非所有Teams内容都是可发现的:音频记录、频道名称和代码片段都是电子发现中无法发现的项目。您还应该意识到案例保持存在一些限制,这可能会影响较大的组织。

Description of Limit Limit
Maximum number of case holds for an organization. 10,000
Maximum number of mailboxes in a single case hold. 1,000
Maximum number of sites in a single case hold. 100
Maximum number of cases displayed on the core eDiscovery home page and the maximum number of items displayed on the Holds, Searches, and Export tabs within a case. 1,000

Microsoft的电子发现工具仅与Microsoft 365原生兼容,这意味着它们无法与存储在第三方工具中的数据一起使用。对于那些未完全拥抱Microsoft 365且仍在其他地方储存数据的组织来说,这可能是一个令人担忧的问题。

总结

对于处理多个活跃诉讼并希望提升信息管理工作的组织来说,Advanced eDiscovery可能是一个值得选择的途径。您在标准Office 365或Microsoft 365 E3许可证中提供的Core eDiscovery工具为您提供了搜索、保留和导出结果的能力。通过使用Advanced eDiscovery,您可以过滤、标记和查看结果中的线程对话,从而更容易解释导出的数据。如果您希望拥有一个Microsoft Teams电子发现计划和策略,那么Advanced eDiscovery绝对是值得投资的。

相关文章:

Source:
https://petri.com/ultimate-guide-to-microsoft-teams-ediscovery/