Microsoft Teams eDiscovery 终极指南

教學

在這場持續的流行病中,全球許多組織要求員工使用諸如 Microsoft Teams 這樣的應用程式在家工作,這在 Office 365 中產生了比以往更多的內容。Microsoft Teams 將數據存儲在各個地方,這使管理員更難進行完整的 eDiscovery。

本文將探討 IT 管理員可用的不同 Teams eDiscovery 工具、如何使用 eDiscovery 從 Teams 收集數據,以及目前的 eDiscovery 工作流程存在哪些限制。

Microsoft Teams 數據存儲在哪裡?

在我們開始使用 eDiscovery 之前,了解 Microsoft Teams 的不同存儲位置至關重要,因為此應用程式使用多個 Office 365 服務來處理其數據。

聊天和頻道訊息

Microsoft Teams 的聊天和頻道訊息存儲在 Exchange Online。當用戶發送訊息到聊天或頻道對話時,Microsoft 365 基板會在 Exchange Online 中爲這些訊息存儲合規記錄。聊天的合規記錄位於所有參與聊天的用戶信箱中。用戶發送頻道訊息時,合規記錄會發送到擁有該頻道的團隊信箱。

文件

每個團隊都有一個SharePoint團隊網站,在該網站中有代表每個頻道的文件庫。Microsoft Teams文件存放在OneDrive for Business或SharePoint Online中。

當使用者通過Teams聊天發送文件時,他們的OneDrive中將出現一個名為“Teams Chat Files”的文件夾,其中包含他們的文件。通過Teams聊天分享的文件存儲在OneDrive for Business中。

會議錄音

Teams會議錄音存儲在OneDrive或SharePoint中,具體取決於會議的類型。OneDrive for Business中的名為“Recordings”的文件夾存儲臨時的Teams會議錄音,而SharePoint Online則存儲任何頻道會議。

eDiscovery是什麼?

電子發現,或eDiscovery,是根據法律訴訟或調查中的生產請求,識別、收集和生成電子信息的過程。這可以是電子郵件、文件、聊天消息、視頻、語音郵件等。

授權要求

在Microsoft 365中存在兩種類型的eDiscovery

  • 核心 eDiscovery,包含在 Microsoft 365 E3 或 Office 365 E3 授權 SKU 中。
  • 高級 eDiscovery,包含在 Microsoft 365 E5 或 Office 365 E5 授權 SKU 中。高級 eDiscovery 也作為 Microsoft 365 E5 遵循補充套件 的一部分。

本文將聚焦於核心 eDiscovery 功能,但了解 E5 版本提供的功能也很有幫助。高級 eDiscovery 提供保管者管理功能,可幫助您識別調查中的數據保管者並將其添加到其中以及其內容位置。您可以指定團隊內容位置,以快速將其放置在法律保留中。

要為使用者運行搜索,他們必須擁有包含郵箱、SharePoint Online、OneDrive 和 Teams 的 Office 365 授權。在搜索結果中,有對話分組功能,可以將頻道和聊天對話分組,以幫助識別可能與您的調查相關的語境。高級 eDiscovery 還提供深度索引和遮蔽內容的能力。

您在 eDiscovery 工具中得到什麼?

每個 eDiscovery 工具都提供了一組功能,可搜索和保留 Office 365 中的組織數據。

內容搜索

在Microsoft 365中的内容搜索功能允许您搜索关键词、特定用户或Office 365中特定位置的内容。要搜索Teams数据的内容,您必须将搜索范围缩小到Team SharePoint网站、OneDrive帐户和Exchange邮箱,因为Office 365将Teams数据存储在不同位置,正如我们之前所解释的那样。

核心eDiscovery

管理员可以使用核心eDiscovery在Office 365中的内容位置上放置eDiscovery保留。核心eDiscovery案例可以创建保留以保留与案例相关的内容。

如果您正在调查某人,您可以保留其Exchange邮箱和OneDrive for Business帐户。此外,您还可以对与Microsoft Teams、Office 365群组和Yammer群组关联的邮箱和站点进行保留。保留内容直到管理员或eDiscovery管理员移除位置或删除保留为止。

权限

在开始使用eDiscovery之前,您必须确保已分配了正确的权限。在eDiscovery管理员角色组中有两个重要角色可用:

  • eDiscovery管理员角色允许用户使用内容搜索、导出结果以及创建案例和保留。用户只能访问他们创建的案例。
  • eDiscovery管理员是一种拥有全部权限的权限类型。管理员可以访问eDiscovery中的所有案例和数据。

您可以在Microsoft 365合规中心的Permissions部分分配这些权限。

使用eDiscovery收集Teams資料

步驟1:建立案例

要使用eDiscovery收集Teams數據,首先需要建立一個案例。前往合規管理中心的eDiscovery部分並創建一個新案例。

Figure 1: Creating a new case in Core eDiscovery

步驟2:建立保留

在每個案例中,您可以創建多個保留以保存eDiscovery中的Teams數據。保留會保存內容直到您刪除它,即使它在Microsoft 365中達到保留期限,它也會保留數據。

要創建一個保留,打開案例並選擇“保留”選項卡。從那裡,我們可以創建新的保留。

Figure 2: Create a new hold under eDiscovery case

eDiscovery提示您為您的保留輸入名稱和描述。接下來,選擇保留的位置。

如果您想保留Teams數據,您需要定義群組郵箱和SharePoint網站。您可以通過搜索團隊名來執行此操作。

Figure 3: Choose hold locations in Office 365

如果您想創建基於查詢的eDiscovery保留,您必須給出查詢條件。您可以選擇關鍵詞和其他條件,如發件人、日期和主題。

Figure 4: Query and condition options within the hold

您可以創建一個無條件的保留,點擊下一步然後提交以創建您的新保留。保留可能需要最多24小時才能生效。

步驟3:創建搜索

創建保留後,選擇“搜索”選項卡以創建新搜索。按照提示命名您的搜索,選擇在Exchange和SharePoint中的位置。再次搜尋要搜索的小組郵箱和SharePoint團隊網站。您可以添加關鍵字等條件,然後點擊保存。

Figure 5: New search in eDiscovery case

搜索將出現在“搜索”選項卡下,您可以選擇它查看搜索結果和數據的示例預覽。

Figure 6: Search preview in eDiscovery case

步驟4. 匯出結果

您可以使用匯出工具將電子發現搜索結果匯出到.pst文件。返回到您的搜索並選擇“操作”,然後選擇“匯出結果”。

Figure 7: Under Actions, export results

您可以定義匯出結果中的輸出選項,例如排除加密項,然後選擇如何匯出數據。

Figure 8: Customise export results

向下滾動以選擇SharePoint版本控制和重複選項,以及結果的數值視圖。

Figure 9: View total items to export

點擊“匯出”後,您將看到在案例中“匯出”選項卡下的結果。一旦匯出完成,您將下載結果。

Figure 10: Exporting results under Export tab in eDiscovery case

在PST文件中的數據集通常是無組織和無結構的,管道和聊天消息並沒有按順序顯示。相反,您將獲得一系列難以翻譯的獨立消息集合。

如果您不想處理無組織的Teams數據,您可能要考慮購買高級電子發現,該產品提供對話分組。這將使解釋數據和查看對話的相關內容變得更容易。

Core eDiscovery 的限制

非結構化數據導出使我們討論了 Core eDiscovery 工具的各種限制。首先,對於 Microsoft Teams eDiscovery 來說,內容搜索並不太實用:作為一名 eDiscovery 經理,您需要為該特定團隊在所有 Office 365 位置進行內容搜索。沒有搜索某個團隊並獲取其中所有數據的選項,這是因為 Office 365 將 Teams 數據存儲在不同位置。

此外,並非所有 Teams 內容都是可發現的:音頻錄製、頻道名稱和代碼片段都是在 eDiscovery 中不可發現的項目。您還應該意識到,案件保留存在一些限制,這可能會影響到較大的組織。

Description of Limit Limit
Maximum number of case holds for an organization. 10,000
Maximum number of mailboxes in a single case hold. 1,000
Maximum number of sites in a single case hold. 100
Maximum number of cases displayed on the core eDiscovery home page and the maximum number of items displayed on the Holds, Searches, and Export tabs within a case. 1,000

Microsoft 的 eDiscovery 工具僅與 Microsoft 365 原生配合運作,意味著它們不會與存儲在第三方工具中的數據配合運作。對於那些沒有完全采用 Microsoft 365 並仍在其他地方存儲數據的組織來說,這可能是一個值得關注的問題。

總結

對於處理多個活躍訴訟案件並希望提升信息治理工作的組織來說,進階 eDiscovery 可能是更好的選擇。標準 Office 365 或 Microsoft 365 E3 許可證中提供的 Core eDiscovery 工具讓您能夠搜索、保留和導出結果。有了進階 eDiscovery,您可以篩選、標記並查看結果中的串通對話,這樣更容易解釋導出的數據。如果您想擁有一個 Microsoft Teams eDiscovery 計劃和政策,那麼進階 eDiscovery 絕對是值得投資的。

相關文章:

Source:
https://petri.com/ultimate-guide-to-microsoft-teams-ediscovery/