Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
После добавления содержимого Microsoft Teams в набор для проверки проверьте его релевантность для исследования и удалите любое ненужное содержимое. Чтобы просмотреть содержимое Teams, необходимо понять, как обнаружение электронных данных обрабатывает собрания Teams, беседы чата и вложения при их добавлении в набор для проверки. Выполняется следующая обработка содержимого Teams:
- Группирование. Обнаружение электронных данных группирует сообщения, записи и ответы в беседах Teams и представляет их в наборе для проверки. Эта обработка также включает извлечение и группирование вложений в беседах чата в беседах.
- Потоки расшифровки бесед. Обнаружение электронных данных определяет, какое дополнительное содержимое из беседы требуется собрать, чтобы обеспечить контекст вокруг элементов, соответствующих критериям сбора.
- Дедупликация: обнаружение электронных данных обрабатывает и управляет повторяющимся содержимым Teams.
- Метаданные: обнаружение электронных данных добавляет содержимое метаданных для содержимого Teams после добавления содержимого в набор для проверки.
Примечание.
Дата и время всех бесед в Teams отображаются в формате UTC.
Общие сведения о группировке, потоков беседах, дедупликации и метаданных Teams помогают оптимизировать проверку и анализ содержимого Teams. В этом разделе также содержатся советы по просмотру содержимого Teams в наборе для проверки.
Группирование
При добавлении содержимого из бесед чата Teams в набор для проверки вы собираете сообщения, записи и ответы из бесед в файлах расшифровки HTML, если выбран параметр Упорядочить беседы в расшифровке HTML . В одной беседе чата может быть несколько файлов расшифровки. Эти файлы расшифровки представляют содержимое Teams как непрерывные беседы, а не как отдельные или отдельные сообщения. Этот подход предоставляет контекст для элементов, которые соответствуют критериям поиска коллекций на предыдущем шаге, и уменьшает количество элементов, собранных в наборе для проверки. Группирование расшифровок и связанных элементов по семье или беседе. Элементы в одном семействе имеют одно и то же значение для свойства метаданных FamilyId или GroupId . Элементы в одном диалоге имеют одно и то же значение для свойства метаданных ConversationId или ThreadId в зависимости от выбранной конфигурации группирования.
В следующей таблице описано, как различные типы содержимого Teams группироваться по семье и беседе.
| Тип контента Teams | Группировка по семье | Группирование по беседе |
|---|---|---|
| Teams 1:1 и групповые чаты | Расшифровка и все его вложения и извлеченные элементы используют один и тот же FamilyId. Каждая расшифровка имеет уникальный FamilyId. | Все файлы расшифровки и их семейные элементы в одной беседе используют один и тот же идентификатор ConversationId. Содержит следующие элементы: Все извлеченные элементы и вложения всех расшифровок, которые используют один и тот же ConversationId. Для бесед Teams 1:1 и групповых чатов может быть несколько файлов расшифровки, каждый из которых соответствует разным временным интервалам в беседе. Так как эти файлы расшифровки относятся к одной беседе с теми же участниками, они используют один и тот же Идентификатор ConversationId. |
| чаты Standard, личные и общие каналы | Каждая запись и все ответы и вложения сохраняются в собственной расшифровки. Эта расшифровка и все его вложения и извлеченные элементы используют один и тот же FamilyId. | Каждая запись, ее вложения и извлеченные элементы имеют уникальный Идентификатор ConversationId. Если есть последующие коллекции или новые ответы из той же записи, разностные расшифровки, полученные из этих коллекций, также имеют тот же ConversationId. |
| Собрания Teams | Каждое собрание |
Используйте элемент управления Группа на панели команд набора для просмотра содержимого Teams, сгруппированного по семье или беседе.
- Выберите Группировать семейные вложения , чтобы просмотреть содержимое Teams, сгруппированное по семействам. Каждый файл расшифровки отображается в строке списка элементов набора для проверки. Вложения вложены в элемент.
- Выберите Группировать Teams или Viva Engage беседы, чтобы просмотреть содержимое Teams, сгруппированное по беседам. Каждая беседа отображается в строке списка элементов набора для проверки. Файлы расшифровки и вложения вложены в беседу верхнего уровня.
Примечание.
Облачные вложения группируются с беседами, в которые они отображаются. Это группирование происходит путем назначения того же идентификатора GroupID , что и файл расшифровки сообщения, к которому был присоединен файл, и тот же ConversationId , что и беседа, в которую появилось сообщение. Эта настройка означает, что несколько копий облачных вложений могут быть добавлены в набор для проверки, если вы присоединяете их к разным беседам.
Просмотр записанных расшифровок собраний
Запись записанного звука собрания записывается как отдельный файл и автоматически индексируется для поиска. Записанные собрания в наборе для проверки хранятся в виде файла .zip, содержащего следующие файлы:
- Расшифровка звука собрания в .txt формате
- Видеозапись собрания в формате .mp4
- Эскиз собрания в .jpg формате
- Метаданные собрания и главы собрания (при необходимости) в формате .json
Чтобы просмотреть файлы аудиозаписи собрания в наборе для проверки, выберите собрание и средство просмотра стенограммы в области сведений о собрании. На следующих снимках экрана показан пример собрания в клиенте Teams и файл расшифровки собрания того же собрания в наборе для проверки.
Собрание в клиенте Teams
Файл расшифровки собрания в наборе для проверки
Просмотр файлов расшифровки беседы
При просмотре файлов расшифровки в наборе для проверки некоторые сообщения выделены фиолетовым цветом. Выделенные сообщения зависят от того, какую копию расшифровки вы просматриваете. Например, в чате 1:1 между User4 и User2 сообщения, опубликованные User4, выделяются фиолетовым цветом при просмотре расшифровки, полученной из почтового ящика Пользователя4. При просмотре расшифровки одной беседы пользователя User2 сообщения, опубликованные User2, выделяются фиолетовым цветом. Это поведение выделения основано на том же интерфейсе клиента Teams, где записи пользователя выделены фиолетовым цветом в клиенте Teams.
На следующих снимках экрана показан пример беседы в клиенте Teams и файл расшифровки той же беседы в наборе для проверки. Выделение сиреневым цветом в файле расшифровки указывает, что расшифровка была собрана из почтового ящика User2.
Беседа в клиенте Teams
Беседа в файле расшифровки
Включение контекстных бесед для сообщений чата Teams
Если выбрать включить Teams и Viva Engage беседы во время процесса добавления в набор проверки, обнаружение электронных данных поможет определить контекстное содержимое, связанное с элементами, которые могут иметь отношение к вашему исследованию. Эта функция создает отдельные представления беседы, которые включают сообщения чата, которые предшествуют и следуют за элементами, соответствующими поисковому запросу во время сбора. Эта возможность позволяет просматривать все беседы в чате в Microsoft Teams. Эта возможность не зависит от потоков HTML и влияет только на то, включаются ли контекстные беседы в процесс добавления элементов в набор для проверки.
Ниже приведена логика, используемая обнаружением электронных данных для включения дополнительных сообщений и ответов, которые предоставляют контекст вокруг элементов, соответствующих поисковому запросу (так называемым адаптивным элементам), который вы использовали при добавлении содержимого Teams в набор для проверки. Различные варианты поведения основаны на типах чатов и поисковом запросе, используемом для сбора адаптивных элементов. Существует два распространенных сценария поиска:
- Запросы, использующие параметры поиска, такие как ключевые слова и пары "свойство:значение"
- Запросы, использующие только диапазоны дат
| Тип контента Teams | Запросы с параметрами поиска | Запросы с диапазонами дат |
|---|---|---|
| Teams 1:1 и групповые чаты | Сообщения, которые были размещены за 12 часов до и через 12 часов после адаптивных элементов, включены | Включаются сообщения, которые находятся между диапазоном данных и любыми контекстными сообщениями в течение 24-часового окна. |
| Standard, частные и общие чаты teams | Каждая запись, содержащая адаптивные элементы и все соответствующие ответы, включаются. | Каждая запись, содержащая адаптивные элементы и все соответствующие ответы, включаются. |
Дедупликация содержимого Teams
В следующем списке описывается поведение дедупликации (и дублирования) при сборе содержимого Teams в набор для проверки, когда пользователь решает упорядочить беседы в html-расшифровке.
Каждый файл расшифровки, добавляемый в набор для проверки, сопоставляется один к одному с содержимым, хранящимся в расположениях данных. Это означает, что обнаружение электронных данных не собирает содержимое Teams, которое вы уже добавили в набор для проверки. Если вы уже собрали сообщение чата в наборе для проверки, обнаружение электронных данных не добавляет одно и то же сообщение из того же расположения данных в набор для проверки в последующих коллекциях.
Для чаты 1:1 и групповых чатов копии сообщений хранятся в почтовом ящике каждого участника беседы. Копии одной беседы, существующие в почтовых ящиках разных участников, собираются с разными метаданными. В результате каждый экземпляр беседы обрабатывается как уникальный и добавляется в набор для проверки в отдельных файлах расшифровки. Если добавить всех участников 1:1 или группового чата в качестве хранителей в деле и включить их в область коллекции, вы добавите копии каждой расшифровки (для того же сохранения) в набор для проверки и группируете их вместе с тем же ConversationId или ThreadId. Каждая из этих копий связана с соответствующим источником данных.
В последующих процессах add to review set , в которых есть элементы из одной беседы, в набор проверки добавляется только разностное содержимое, которое вы ранее не добавляли, и группируется (путем совместного использования того же ConversationId или ThreadId) с ранее добавленными элементами из той же беседы. Ниже приведен пример такого поведения:
- Процесс A добавляет сообщения в беседе между User1 и User2 в набор для проверки.
- Процесс Б добавляет сообщения из одной беседы, но с момента запуска процесса A между User1 и User2 появляются новые сообщения.
- В набор проверки добавляются только новые сообщения в процессе B. Эти сообщения добавляются в отдельный файл расшифровки, но новая расшифровка сгруппирована с расшифровками из процесса A по тому же идентификатору ConversationId.
Это поведение применяется ко всем типам чатов Teams.
Метаданные для содержимого Teams
В больших наборах отзывов с тысячами или миллионами элементов может быть трудно сузить область рецензии до содержимого Teams. Чтобы помочь вам сосредоточиться на содержимом Teams, используйте свойства метаданных, относящиеся к содержимому Teams. Используйте эти свойства, чтобы упорядочить столбцы в списке проверки и настроить фильтры и запросы для оптимизации проверки содержимого Teams. Эти свойства метаданных также включаются при экспорте содержимого Teams из eDiscovery, что помогает упорядочивать и просматривать содержимое после экспорта или в средствах обнаружения электронных данных сторонних разработчиков.
В следующей таблице описаны свойства метаданных для содержимого Teams.
| Свойство метаданных | Описание |
|---|---|
| ContainsDeletedMessage | Указывает, содержит ли файл расшифровки удаленное сообщение. Удаленные сообщения определяются при просмотре файла расшифровки. |
| СодержитEditedMessage | Указывает, содержит ли файл расшифровки измененное сообщение. Измененные сообщения определяются при просмотре файла расшифровки. |
| ConversationId | Идентификатор GUID, определяющий беседу, с которым связан элемент. Файлы расшифровки и вложения из одной беседы имеют одинаковое значение для этого свойства. |
| Имя беседы | Имя беседы, с которым связан файл расшифровки или вложение. Для Teams 1:1 и групповых чатов значением этого свойства является имя участника-пользователя (UPN) всех участников беседы, которые объединяются. Например, User3 <User3@contoso.onmicrosoft.com>,User4 <User4@contoso.onmicrosoft.com>,User2 <User2@contoso.onmicrosoft.com>. Чаты канала Teams (стандартные, частные и общие) используют следующий формат для имени беседы: <Team name>,<Channel name>. Например, eDiscovery vNext, General. |
| ConversationType | Указывает тип командного чата. Для Teams 1:1 и групповых чатов это свойство имеет Groupзначение . Для стандартных, частных и общих чатов канала значение равно Channel. |
| Date | Метка времени первого сообщения в файле расшифровки в формате UTC. |
| FamilyId | ИДЕНТИФИКАТОР GUID, определяющий файл расшифровки для беседы в чате. Вложения имеют то же значение для этого свойства, что и файл расшифровки, содержащий сообщение, к которому был присоединен файл. |
| FileClass | Указывает, что тип содержимого. Элементы из чатов Teams имеют значение Conversation. В отличие от этого, сообщения электронной почты Exchange имеют значение Email. |
| MessageKind | Свойство типа сообщения. Содержимое Teams имеет значение microsoftteams , im. |
| Участники | Список всех пользователей, участвующих в чате, включает как отправителей, так и получателей в беседе. |
| Recipients | Список всех пользователей, которые получили сообщение в беседе расшифровки. |
| TeamsChannelName | Имя канала Teams для расшифровки. |
Описание других свойств метаданных обнаружения электронных данных см. в разделе Поля метаданных документа в eDiscovery.
Экспорт содержимого Teams
После просмотра и отвыкания содержимого Teams в наборе для проверки можно экспортировать все элементы, применимые к расследованию. Для содержимого Teams нет конкретных параметров экспорта. Если добавить содержимое в набор для проверки в виде файла расшифровки, каждая расшифровка будет экспортирована в виде HTML-файла сообщения. Свойства метаданных, рассмотренные в предыдущем разделе, включаются при экспорте содержимого Teams.
На каждый элемент экспорта (расшифровку или отдельные сообщения) ссылаются в отчетеitems.csv , и его можно найти с помощью поля целевого пути в отчете. Файлы расшифровки находятся в папке Беседы в корневой папке экспорта.
Советы по просмотру содержимого Teams в наборе для проверки
Ниже приведены некоторые советы и рекомендации по просмотру содержимого Teams в наборе для проверки.
- Используйте элемент управления Настройка столбцов на панели команд, чтобы добавлять и упорядочивать столбцы для оптимизации проверки содержимого Teams. Вы можете добавлять и удалять столбцы, полезные для содержимого Teams. Вы также можете упорядочить столбцы, перетащив их на всплывающей странице Изменение столбца . Вы также можете сортировать по столбцам, чтобы сгруппировать содержимое Teams со схожими значениями для столбца, по которым выполняется сортировка.
- Полезные столбцы, помогающие просматривать содержимое Teams: Участники, Получатели, Тип файла или Тип сообщения.
- Используйте фильтры для свойств, связанных с Teams, чтобы быстро отобразить содержимое Teams. Существуют фильтры для большинства свойств метаданных, описанных в предыдущем разделе.
Удаление сообщений чата Teams
Вы можете использовать обнаружение электронных данных и microsoft Graph Обозреватель для реагирования на инциденты утечки данных, когда содержимое, содержащее конфиденциальную или вредную информацию, освобождается через сообщения чата Teams. Администраторы в вашей организации могут искать и удалять сообщения чата в Microsoft Teams. Эта функция может помочь вам удалить конфиденциальную информацию или неприемлемое содержимое в сообщениях чата Teams. Дополнительные сведения см. в статье Поиск и очистка сообщений чата в Teams.