本文提供一套完整的程式、指導方針和最佳做法,以使用電子檔探索從 Microsoft Teams 保留、收集、檢閱和匯出內容。 本文的目標是協助您將 Teams 內容的電子檔探索搜尋優化。
若要深入瞭解如何使用電子檔探索在 Microsoft Teams 中尋找內容,請觀看下列影片:
提示
開始使用 Microsoft Security Copilot,探索使用 AI 的力量更聰明、更快速地工作的新方法。 深入了解 Microsoft Purview 中的 Microsoft Security Copilot。
Teams 內容的儲存位置
若要在電子檔探索中管理 Teams 內容,您必須瞭解您可以在電子檔探索中收集、處理和檢閱的 Teams 內容類型,以及 Microsoft 365 儲存該內容的位置。 Teams 資料會儲存在 Azure Cosmos DB 中。 Exchange Online 會儲存基質擷取的 Teams 合規性記錄,而電子檔探索可以存取這些記錄。 儲存在 Exchange Online 中的資料對用戶端隱藏。 電子檔探索絕不會針對保留在 Azure Cosmos DB 中的實際 Teams 訊息資料進行作業。
下表列出 Teams 內容類型,以及 Microsoft 365 儲存每個類型的位置,以符合規範之用。
| 團隊類別 | 描述 | 聊天消息/帖子位置 | 檔案/附件位置 | 會議錄製位置 |
|---|---|---|---|---|
| Events | 來自網路研討會和市政廳的所有資料都會儲存在 Cosmos DB 中。 Substrate (SCD) 可作為備援和電子取證目的的輔助存儲。 | 不適用 | 不適用 | 不適用 |
| 私人頻道 | 在私人 Teams 頻道中共用的訊息貼文、回覆和附件。 | 在私人通道中傳送的郵件會儲存在私人通道所有成員的 Exchange Online 信箱中。 | 私人頻道中共用的檔案會儲存在與私人頻道相關聯的專用 SharePoint 網站中。 | 不適用 |
| 共用頻道 | 在共用 Teams 頻道中共用的訊息貼文、回覆和附件。 | 在共用通道中傳送的郵件會儲存在與共用通道相關聯的系統信箱中。2 | 共用通道中共用的檔案會儲存在與共用通道相關聯的專用 SharePoint 網站中。 | 不適用 |
| Teams 1:1 聊天 | 在兩個人之間的 Teams 對話中共用的聊天訊息、貼文和附件。 Teams 1:1 聊天也稱為 交談。 | 1:1 聊天中的訊息會儲存在所有聊天參與者的 Exchange Online 信箱中。 | 在 1:1 聊天中共用的檔案會儲存在共用檔案之人的 OneDrive 帳戶中。 | 不適用 |
| Teams 頻道 | 在標準 Teams 頻道中共用的聊天訊息、貼文、回覆和附件。 | 所有頻道訊息和貼文都會儲存在與小組相關聯的 Exchange Online 信箱中。 | 頻道中共用的檔案會儲存在與小組相關聯的 SharePoint 網站中。 | 不適用 |
| Teams 群組聊天 | 在三個人或更多人之間的 Teams 對話中共享的聊天消息、帖子和附件。 也稱為 1:N 聊天或 群組對話。 | 群組聊天中的訊息會儲存在所有聊天參與者的 Exchange Online 信箱中。 | 在群組聊天中共用的檔案會儲存在共用檔案之人的 OneDrive 帳戶中。 | 不適用 |
| Teams 會議 | 錄製的 Teams 會議的音訊和文字記錄。 | 錄製會議中的聊天會儲存在 Exchange Online 信箱中。 對於標準會議,它會儲存在所有參與者的信箱中。 針對頻道會議,它會儲存在與小組相關聯的信箱中。 | 錄製會議中共用的檔案和附件會儲存在錄製 Teams 會議的使用者的 OneDrive 帳戶中。 | 會議錄製會儲存在錄製 Teams 會議的使用者的 OneDrive 帳戶中。1 |
| Teams 反應 | 套用至 Teams 交談中聊天訊息、貼文和附件的回應。 | 群組聊天中的訊息會儲存在所有聊天參與者的 Exchange Online 信箱中。 | 在群組聊天中共用的檔案會儲存在共用檔案之人的 OneDrive 帳戶中。 | 不適用 |
注意事項
1 若要尋找 Teams 會議音訊和文字記錄內容,請建立以召集人的 OneDrive 為目標的電子檔探索搜尋。 在查詢中包含日期範圍和副檔名。 搜尋完成時,請精簡檢閱集中的結果,並只選取相關的數據。 例如,日期範圍可能是 2025 年 3 月 17 日至 2025 年 3 月 18 日 ,副檔名可能是 mp4。
2 若要搜尋 (並保留在共用頻道中傳送的) 訊息,您必須搜尋或指定父團隊的Exchange Online信箱。
Teams 內容類型
所有 Microsoft Teams 1:1 或群組聊天都會記錄到個別使用者的信箱。 所有標準通道訊息都會記錄到代表小組的群組信箱。 在標準通道中上傳的檔案包含在 SharePoint 和 OneDrive 的電子檔探索功能下。
私人通道中訊息和檔案的電子檔探索運作方式與標準通道中的運作方式不同。 若要深入瞭解,請參閱 私人頻道的電子檔探索。
錄製的 Teams 會議會儲存在會議召集人或發起者的 OneDrive 帳戶中,視 MeetingRecordingOwnership 設定而定。 使用 Teams 會議的 隱藏出席者名稱 功能時,出席者識別資訊會儲存在 會議召集人的使用者信箱中。
並非所有 Teams 內容都可進行電子文件探索。 下表顯示您可以使用 Microsoft 電子檔探索工具搜尋的 Teams 內容類型:
| 內容類型 | 附註 |
|---|---|
| 音訊錄製內容 | Teams 使用者與外部連絡人之間的音訊通話 |
| 卡片內容 | 如需詳細資訊,請參閱 搜尋卡片內容 。 |
| 聊天連結 | |
| 聊天訊息 | 這包括標準 Teams 頻道中的內容、1:1 聊天、1:N 群組聊天、與自己聊天以及與來賓聊天。 |
| 程式碼片段 | |
| 已編輯訊息 | 如果使用者處於保留狀態,也會保留先前版本的已編輯訊息。 |
| 表情符號、GIF 和貼紙 | |
| 內嵌影像 | |
| Loop 元件 | 迴圈元件中的內容會儲存在 .fluid 檔案中,該檔案儲存在傳送迴圈元件之使用者的 OneDrive 帳戶中。 這表示您必須在迴圈元件中搜尋內容時,將 OneDrive 包含在數據來源中。 |
| 會議 IM 交談 | |
| 會議中繼資料1 | |
| 會議錄製檔和文字記錄 | 會議音訊的文字記錄會擷取並作為單獨的檔案提供。 支援的最大錄製會議 .mp4 檔案大小為 350 MB。 如果錄製的會議檔案大小大於 350 MB,則會發生處理錯誤,且檔案可供下載。 |
| 頻道名稱 | |
| 引號 | 引號括住的內容是可搜尋的。 不過,搜尋結果不會指出內容已用引號括住。 |
| 反應 (例如喜歡、愛心和其他反應) | 2022 年 6 月 1 日之後,所有商業客戶都支援反應。 此日期之前的反應不適用於電子檔探索。 現在支援擴充反應。 若要瞭解反應歷程記錄,內容必須處於法律保留狀態。 |
| 主旨 | |
| Tables | |
| Teams 視頻剪輯 (TVC) | 以「影片片段」關鍵字搜尋可扣稅性供款,並以滑鼠右鍵按一下預覽,為每個可扣稅性供款附件「另存為」一個 .mp4 檔案。 TVC 會收集為 Teams 交談附件, (如果小於 200 MB) ,則會收集為個別的 .mp4 檔案。 TVC 檔案數據可在電子檔探索 檢閱集中 探索,而且可以匯出。 目前不支援影片剪輯的預覽。 |
- 會議開始和結束時間以及持續時間
- 每個參與者的會議加入和離開事件
- VOIP 加入/通話
- 同盟使用者加入
- 嘉賓加入
重要事項
電子檔探索搜尋查詢目前不支援加入會議和通話的匿名使用者。
Microsoft Teams 數據會在 Excel 電子檔探索匯出輸出中顯示為 IM 或交談。 您可以在 Outlook 中開啟檔案 .pst ,以便在匯出這些郵件之後檢視這些郵件。
檢視小組的 .pst 檔案時,所有交談都位於 [交談歷程記錄] 底下的 [小組聊天] 資料夾中。 訊息的標題包含團隊名稱和頻道名稱。
使用者信箱中的私人聊天會儲存在 [交談歷程記錄] 底下的 [小組聊天] 資料夾中。
私人和共用頻道的電子探索
私人和共用通道中郵件的合規性複本會根據通道類型移至不同的信箱。 這種差異意味著您需要根據使用者所屬的通道類型搜尋不同的信箱位置。
- 私人通道:合規性複本會移至私人通道所有成員的信箱。 在私人頻道訊息中搜尋內容時,需要搜尋使用者信箱。
- 共用通道:合規性複本會移至與父小組相關聯的系統信箱。 由於 Teams 不支援共用頻道的單一系統信箱的電子檔探索搜尋,因此您必須在共用頻道中搜尋郵件內容時,選取小組信箱) 名稱,以搜尋父小組信箱 (。
每個私人和共用頻道都有自己的 SharePoint 網站,與父小組網站分開。 私人和共用頻道中的檔案會儲存在自己的網站中,並獨立於上層團隊進行管理。 在檔案和頻道訊息附件中搜尋內容時,您必須識別並搜尋與頻道相關聯的特定網站。
使用下列各節來協助識別要包含在電子檔探索搜尋中的私人或共用頻道。
識別私人通道的成員
使用下列程式來識別私人頻道的成員,以便您可以使用電子檔探索工具來搜尋成員的信箱,以取得私人頻道訊息中的內容。
執行這些步驟之前,請確定您已安裝 最新版本的 Teams PowerShell 模組 。
執行下列命令,以取得包含您要搜尋之共用頻道之小組的群組識別碼。
Get-Team -DisplayName <display name of the the parent team>提示
在沒有任何參數的情況下執行 Get-Team Cmdlet,以顯示組織中所有 Teams 的清單。 此清單包含每個小組的群組識別碼和 DisplayName。
執行下列命令,以取得父小組中的私人通道清單。 使用您在步驟 1 中取得之小組的群組 ID。
Get-TeamChannel -GroupId <parent team GroupId> -MembershipType Private執行下列命令,以取得特定私人頻道的私人頻道擁有者和成員清單。
Get-TeamChannelUser -GroupId <parent team GroupId> -DisplayName "Partner Shared Channel"將私人頻道擁有者和成員的信箱包含在電子檔探索搜尋查詢中。
搜尋來賓的內容
您可以使用電子檔探索工具來搜尋與組織中來賓相關的 Teams 內容。 與來賓相關聯的 Teams 聊天內容會保留在雲端式儲存位置中,您可以使用電子檔探索來搜尋它。 此內容包括 1:1 和 1:N 聊天對話,訪客與組織中的其他使用者一起參與。 您也可以搜尋訪客參與的私人頻道訊息,以及訪客 :訪客 聊天對話中唯一參與者為訪客的內容。
若要搜尋訪客的內容:
連線到 Microsoft Graph PowerShell。 如需詳細資訊,請參閱 Microsoft Graph PowerShell 概觀。 請務必完成上一篇文章中的步驟 1 和步驟 2。
成功連線到 Microsoft Graph PowerShell 之後,請執行下列命令,以顯示組織中所有來賓的使用者主體名稱 (UPN) 。 當您在步驟 4 中建立搜尋時,您必須使用客體的 UPN。
Get-MgUser -Filter "userType eq 'Guest'" -All $true | FL UserPrincipalName提示
您可以將命令的輸出重新導向至文字檔,而不是在電腦螢幕上顯示使用者主體名稱清單。 您可以附加至上一個命令來
> filename.txt執行此動作。 具有使用者主體名稱的文字檔會儲存至目前資料夾。在不同的Windows PowerShell視窗中,連線到安全性 & 合規性 PowerShell。 如需指示,請參閱 連線到安全性 & 合規性 PowerShell。 您可以使用或不使用多重要素驗證進行連線。
執行下列命令,建立搜尋所有內容 (,例如聊天訊息和電子郵件訊息,) 指定來賓是參與者。
New-ComplianceSearch <search name> -ExchangeLocation <guest UPN> -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true例如,若要搜尋與來賓 Sara Davis 相關聯的內容,請執行下列命令。
New-ComplianceSearch "Sara Davis Guest" -ExchangeLocation "sara.davis_hotmail.com#EXT#@contoso.onmicrosoft.com" -AllowNotFoundExchangeLocationsEnabled $true -IncludeUserAppContent $true如需使用 PowerShell 建立搜尋的詳細資訊,請參閱 New-ComplianceSearch。
執行下列命令,以啟動您在步驟 4 中建立的搜尋:
Start-ComplianceSearch <search name>移至 Microsoft Purview 入口網站 ,並使用獲指派電子檔探索許可權之使用者帳戶認證登入。
選取 電子檔探索 解決方案卡,然後在左側導覽中選取 [案例 (預覽) ]。
選取案例。
在 [ 搜尋 ] 索引標籤的搜尋清單中,選取您在步驟 4 中建立的搜尋,以顯示飛出視窗頁面。
在飛出視窗頁面上,您可以執行下列動作:
- 選取 範例 以檢視搜尋結果並預覽內容。
- 在 查詢 欄位旁邊,選取 編輯 進行 編輯,然後重新執行搜尋。 例如,您可以新增搜尋查詢來縮小結果範圍。
- 選取 [匯出] 以匯出並下載搜尋結果。
搜尋卡片內容
應用程式會在 Teams 頻道、1:1 聊天和 1xN 聊天中產生卡片內容。 內容儲存在信箱中,您可以搜尋它。 卡片是一個 UI 容器,用於儲存簡短的內容片段。 卡片可以有多個屬性和附件,並且可以包含觸發卡片動作的項目。 如需詳細資訊,請參閱 卡片。
與其他 Teams 內容一樣,您儲存卡片內容的位置取決於您使用卡片的位置。 Teams 群組信箱會儲存 Teams 頻道中使用的卡片內容。 聊天參與者的信箱會儲存 1:1 和 1xN 聊天的卡片內容。
若要搜尋卡片內容,請使用 kind:microsoftteams 或 itemclass:IPM.SkypeTeams.Message 搜尋條件。 當您檢閱搜尋結果時,您會看到 Bot 會在 Teams 頻道中產生卡片內容,而 [ 寄件者/作者] 電子郵件屬性是 <appname>@teams.microsoft.com,其中 appname 是產生卡片內容的應用程式名稱。 如果使用者產生卡片內容,則「 寄件者/作者 」值會識別使用者。
當您在搜尋結果中檢視卡片內容時,內容會顯示為郵件的附件。 附件名為 appname.html,其中 appname 是產生卡片內容之應用程式的名稱。
注意事項
若要在搜尋結果中顯示卡片內容的影像 (例如上一個螢幕擷取畫面) 中的核取記號,您必須在用來檢視搜尋結果的相同瀏覽器會話中) 不同索引標籤中登入 Teams (https://teams.microsoft.com 。 否則,將顯示影像預留位置。
依日期搜尋 Teams 會議
系統管理員可以根據會議開始或結束日期搜尋 Teams 會議內容。 若要依特定 Teams 會議日期篩選檢閱集專案,請使用電子檔探索搜尋工具中的 [會議開始日期] 和 [會議結束日期] 屬性。
在 Teams 會議中搜尋隱藏的出席者
Microsoft Teams 中的 隱藏出席者姓名 功能會向其他出席者隱藏與會者的姓名,因此只有組織者才能看到與會者姓名。 將此功能用於與外部企業、供應商的會議或活動、機密會議或其他出席者之間個人隱私很重要的會議。 啟用此功能時,出席者的姓名將隱藏在會議名冊、會議聊天和會議錄製檔中。
若要在啟用隱藏 出席者名稱 功能的 Teams 會議中搜尋出席者的名稱,您必須在搜尋範圍中包含召集人的信箱。 隱藏的出席者名稱僅在召集人的信箱中可用。
搜尋 Teams 事件資料
來自網路研討會和市政廳的所有資料都會儲存在 Cosmos DB 中。 Substrate (SCD) 可作為備援和電子取證目的的輔助存儲。 對於 2024 年 9 月之前建立的網路研討會,此資料會保留在網路研討會召集人的 SharePoint 儲存體中,以確保 V1 網路研討會的連續性。
電子檔探索會套用所有與活動相關的資訊,包括 活動標題、描述、出席者註冊資料、簡報者 和 主題。 活動註冊詳細數據,例如出席者清單和註冊者電子郵件地址,會擷取在電子檔探索記錄中。 不包括即時出勤資料。
針對法律案例,請使用 Microsoft Purview 入口網站 ,將 「Microsoft Teams 虛擬事件」 作為程式中的外部數據源。 建立案例並選取資料來源之後,請建立搜尋查詢,以收集相關的 Teams 事件數據,以滿足法律和合規性需求。
如需未來的更新,請參閱 訊息中心 以取得功能可用性和功能。
外部存取和客體環境中的電子檔探索
系統管理員可以使用電子檔探索,根據下列限制,在外部存取和來賓存取環境中的 Teams 會議中搜尋聊天訊息中的內容:
- 外部存取:在與組織使用者和外部出席者使用外部存取的外部組織使用者的 Teams 會議中,這兩個組織的系統管理員都可以搜尋會議聊天訊息中的內容。
- 來賓:在與組織使用者和來賓的 Teams 會議中,只有組織中主持 Teams 會議的系統管理員才能搜尋會議聊天訊息中的內容。
搜尋商務商務用 Skype 交談
您可以使用下列關鍵字查詢來專門搜尋商務商務用 Skype 交談中的內容:
kind:im
先前的搜尋查詢也會傳回來自 Microsoft Teams 的聊天記錄。 若要防止此問題,您可以使用下列關鍵字查詢,縮小搜尋結果範圍,只包含商務商務用 Skype 交談:
kind:im AND subject:conversation
先前的關鍵字查詢會排除 Microsoft Teams 中的聊天,因為商務商務用 Skype 交談會儲存為電子郵件訊息,其主旨行以「交談」一詞開頭。
若要搜尋特定日期範圍內發生的商務商務用 Skype 交談,請使用下列關鍵字查詢:
kind:im AND subject:conversation AND (received=startdate..enddate)