Ta fram filer/mail/chattloggar från Microsoft 365

Ändrad den Lör, 13 juli vid 6:06 E.M.

Syfte

Ibland uppstår situationer då man behöver läsa ut information från andra användarkonton än ditt egna. Man kan då använda sig utav eDiscovery för att få ut mail, chattloggar från Teams, filer från SharePoint eller liknande.

Detta fungerar för

Exchange Mail
Teams
Yammer
SharePoint
OneDrive
mm

Krav

För att kunna göra detta måste man använda sig av IE eller Edge som webbläsare. Chrome och Firefox fungerar INTE!

Behörighet

För att kunna ta fram chattloggar måste man ha rätt behörighet. Det räcker inte att vara Global Admin utan man måste sätta upp relevanta behörigheter.

Gå till https://compliance.microsoft.com/permissions

Klicka på roller under Microsoft Purview-lösningar.

Välj eDiscovery Manager och klicka på Redigera.

Lägg till relevanta konton som hanterare samt

som administratörer.

Granska och slutför wizarden.

Tänk på att det kan ta 2-4 timmar innan behörigheterna träder ikraft och man kan gå vidare med nästa steg.

Skapa ett ärende

Nu går vi till eDiscovery standard: eDiscovery (Standard) – Microsoft Purview

Skapa ett nytt ärende - Ge ärendet ett namn och spara.

Öppna ärendet - Gå till Sökningar:

Skapa en ny sökning

Sökningen kan göras enkel eller avancerad. Information om söktermer hittar du i Microsofts dokumentation.
Några förslag från oss:

Om du söker efter chattloggar i Teams: Ange Keywords - kind:microsoftteams
Om du söker efter en viss bifogad fil i e-post: Ange Keywords - attachmentnames:annualreport.ppt
Om du söker efter e-post med en viss deltagare: Ange Keywords - participants:garthf@contoso.com

Klicka på ny sökning:

Fyll i Namn och Beskrivning

Nästa

Specificera vad du vill söka efter:

Exempelvis

Glöm inte att välja användare etc, annars kommer man söka allt och då drunknar man.

Nästa

Om man fyller i kind:microsoftteams så söker man efter teamschattar

Anteckning

När man söker efter e-postegenskaper är det inte möjligt att söka efter meddelandehuvuden. Header-informationen indexeras inte för samlingar. Dessutom är objekt där den angivna egenskapen är tom eller blank inte sökbara. Till exempel, att använda egenskapärde-paret ämne:"" för att söka efter e-postmeddelanden med en tom ämnesrad kommer att ge noll resultat. Detta gäller även när du söker efter webbplats- och kontaktegenskaper.
https://learn.microsoft.com/sv-se/purview/ediscovery-keyword-queries-and-search-conditions

Property	Property description	Examples	Search results returned by the examples
AttachmentNames	The names of files attached to an email message.	`attachmentnames:annualreport.ppt` `attachmentnames:annual*`	Messages that have an attached file named annualreport.ppt. In the second example, using the wildcard character ( * ) returns messages with the word annual in the file name of an attachment.¹
Bcc	The Bcc field of an email message.¹	`bcc:pilarp@contoso.com` `bcc:pilarp` `bcc:"Pilar Pinilla"`	All examples return messages with Pilar Pinilla included in the Bcc field. (See Recipient Expansion)
Category	The categories to search. Categories can be defined by users by using Outlook or Outlook on the web (formerly known as Outlook Web App). The possible values are: blue green orange purple red yellow	`category:"Red Category"`	Messages that have been assigned the red category in the source mailboxes.
Cc	The Cc field of an email message.¹	`cc:pilarp@contoso.com` `cc:"Pilar Pinilla"`	In both examples, messages with Pilar Pinilla specified in the Cc field. (See Recipient Expansion)
Folderid	The folder ID (GUID) of a specific mailbox folder in 48-character format. If you use this property, be sure to search the mailbox that the specified folder is located in. Only the specified folder is searched. Any subfolders in the folder won't be searched. To search subfolders, you need to use the Folderidproperty for the subfolder you want to search. For more information about searching for the Folderid property and using a script to obtain the folder IDs for a specific mailbox, see Use Content search for targeted collections.	`folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000` `folderid:2370FB455F82FC44BE31397F47B632A70000000001160000 AND participants:garthf@contoso.com`	The first example returns all items in the specified mailbox folder. The second example returns all items in the specified mailbox folder that were sent or received by garthf@contoso.com.
From	The sender of an email message.¹	`from:pilarp@contoso.com`	Messages sent by the specified user. (See Recipient Expansion)
HasAttachment	Indicates whether a message has an attachment. Use the values true or false.	`from:pilar@contoso.com AND hasattachment:true`	Messages sent by the specified user that have attachments.
Importance	The importance of an email message, which a sender can specify when sending a message. By default, messages are sent with normal importance, unless the sender sets the importance as high or low.	`importance:high` `importance:medium` `importance:low`	Messages that are marked as high importance, medium importance, or low importance.
IsRead	Indicates whether messages have been read. Use the values true or false.	`isread:true` `isread:false`	The first example returns messages with the IsRead property set to True. The second example returns messages with the IsRead property set to False.
ItemClass	Use this property to search specific third-party data types that your organization imported to Office 365. Use the following syntax for this property: `itemclass:ipm.externaldata.<third-party data type>*`	`itemclass:ipm.externaldata.Facebook* AND subject:contoso` `itemclass:ipm.externaldata.Twitter* AND from:"Ann Beebe" AND "Northwind Traders"`	The first example returns Facebook items that contain the word "contoso" in the Subject property. The second example returns Twitter items that were posted by Ann Beebe and that contain the keyword phrase "Northwind Traders". For a complete list of values to use for third-party data types for the ItemClass property, see Use Content search to search third-party data that was imported to Office 365.
Kind	The type of email message to search for. Possible values: contacts docs email externaldata faxes im journals meetings microsoftteams (returns items from chats, meetings, and calls in Microsoft Teams) notes posts rssfeeds tasks voicemail	`kind:email` `kind:email OR kind:im OR kind:voicemail` `kind:externaldata`	The first example returns email messages that meet the search criteria. The second example returns email messages, instant messaging conversations (including Skype for Business conversations and chats in Microsoft Teams), and voice messages that meet the search criteria. The third example returns items that were imported to mailboxes in Microsoft 365 from third-party data sources, such as Twitter, Facebook, and Cisco Jabber that meet the search criteria. For more information, see Archiving third-party data in Office 365.
Participants	All the people fields in an email message. These fields are From, To, Cc, and Bcc.¹	`participants:garthf@contoso.com` `participants:contoso.com`	Messages sent by or sent to garthf@contoso.com. The second example returns all messages sent by or sent to a user in the contoso.com domain. (See Recipient Expansion)
Received	The date that an email message was received by a recipient.	`received:2021-04-15` `received>=2021-01-01 AND received<=2021-03-31`	Messages that were received on April 15, 2021. The second example returns all messages received between January 1, 2021 and March 31, 2021.
Recipients	All recipient fields in an email message. These fields are To, Cc, and Bcc.¹	`recipients:garthf@contoso.com` `recipients:contoso.com`	Messages sent to garthf@contoso.com. The second example returns messages sent to any recipient in the contoso.com domain. (See Recipient Expansion)
Sent	The date that an email message was sent by the sender.	`sent:2021-07-01` `sent>=2021-06-01 AND sent<=2021-07-01`	Messages that were sent on the specified date or sent within the specified date range.
Size	The size of an item, in bytes.	`size>26214400` `size:1..1048567`	Messages larger than 25 MB. The second example returns messages from 1 through 1,048,567 bytes (1 MB) in size.
Subject	The text in the subject line of an email message. Note: When you use the Subject property in a query, the search returns all messages in which the subject line contains the text you're searching for. In other words, the query doesn't return only those messages that have an exact match. For example, if you search for `subject:"Quarterly Financials"`, your results include messages with the subject "Quarterly Financials 2018".	`subject:"Quarterly Financials"` `subject:northwind`	Messages that contain the phrase "Quarterly Financials" anywhere in the text of the subject line. The second example returns all messages that contain the word northwind in the subject line.
To	The To field of an email message.¹	`to:annb@contoso.com` `to:annb` `to:"Ann Beebe"`	All examples return messages where Ann Beebe is specified in the To: line.

Med hjälp av KQL (Keyword Query Language) kan du bygga kraftfulla sökfrågor för att hitta specifik information i Microsoft 365. Här är några grundläggande exempel på hur du kan använda KQL i redigeraren för att bygga sökfrågor:
https://learn.microsoft.com/sv-se/purview/ediscovery-kql-editor

Nästa

Kontrollera att du har gjort rätt innan du väljer Skicka.

Gå nu tillbaka till Sökningarna och klicka på din sökning:

Klicka på Åtgärder - Klicka på Exportera resultat och slutför exporten.

När exporten är klar hittas den under fliken Exporterat:

Klicka på aktuell sökning:

Dubbelkolla att du verkligen använder Internet Explorer eller Edge, annars fungerar inte nästa steg.

Klicka på "Kopiera till utklipp" (bild ovan) innan du börjar ladda ner resultaten.

Det kommer dialogrutor där du behöver klistra in koden och välja var du vill att datan skall sparas.

När du har laddat ner datan kan du gå in i mappen:

Läsa data

Data ligger nu i Exchangemappen som en pst-fil. Man kan använda Kernel PST Viewer men det finns andra program för att läsa pst-filer.

Med pst-läsaren kan man nu läsa personens chattkonversationer.

Eller kan man välja att exportera som en zippad map:

Kontrollerad 2024-07-13