監査レコードに取り込まれたチームの反応

プレミアム電子情報開示は反応を明らかにし、PowerShellでも利用可能

7 月 5 日、メッセージ センター通知 MC397444 は、 Purview Premium eDiscovery でのチームの反応.Teams では、一連の反応 (親指を立てる、驚いた、悲しい、怒っている、心、笑うアイコン) をサポートしており、ユーザーはチャットやチャネルの会話に投稿されたメッセージについてどう思うかを示すことができます。

電子情報開示の結果に反応を含めることは、反応が会話の重要なコンテキストを提供できるため、重要です。たとえば、チャットで誰かに不正な取引を提案し、その人が親指を立てる反応を使用してアイデアに同意した場合などです。調査担当者がメッセージと反応の両方を見ることができる場合、メッセージしか見ることができない場合よりも、何が起こるかについてはるかに優れた洞察を得ることができます。マイクロソフトがMC397444で言っているように、この詳細により、ユーザーのセンチメントがさらに高まることがあります…"

2022年7月、マイクロソフトは、Office 365有料シートの約12%がE5を使用しているため、Purviewプレミアム電子情報開示にアクセスできると述べた。残りは電子情報開示にアクセスできず、Office 365 E3 に含まれる標準の電子情報開示も使用できません。

標準の電子情報開示とチームの反応

標準電子情報開示は、Microsoft 365 基板によってキャプチャされ、Exchange Online のユーザー メールボックスに格納されている Teams コンプライアンス レコードを検索します。オンラインで読むこともありますが、実際のデータは常に Azure Cosmos DB の Teams メッセージストアに保持されます。Exchange Online は、コンプライアンスの目的で設計されたメッセージのカットダウン バージョンのみを保持します。

標準の電子情報開示検索の結果には、コンプライアンス レコードにこの情報がないため、反応は含まれません。基質はチャットやチャネル会話のメッセージに対する編集をキャプチャしますが、これらの変更には反応は含まれません。

監査ログ内のチームの反応

2022 年 8 月下旬、Teams が統合監査ログにメッセージ応答のレコードをキャプチャし始めたことに気付きました。テナント管理者には、監査ログを随時スキャンして、どのような新しいイベントが存在するかを確認する価値があることを常に思い出させています。ここに私がやっていることがあります(簡潔にするために編集された結果):

$AuditRecords = Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date).AddDays(1) -Formatted -ResultSize 5000
$AuditRecords | Group Operations | Sort Name | Format-Table Name, Count

Name                                          Count
----                                          -----
Add app role assignment grant to user.            2
Add app role assignment to service principal.     2
Add group.                                        5
Add member to group.                              2
Add member to role.                               1
Add owner to group.                               2
Add service principal.                            9
Add user.                                         1

リストをスキャンすると、新しい監査イベントや、多くのアクティビティを生成するイベントの存在がすぐにわかります。たとえば、私のテナントでは、私は多くを見ます ファイル変更済み SharePoint Online または OneDrive for Business で更新されたファイルの詳細をログに記録するイベント。いずれにせよ、これは私が見つけた方法です ReactedToMessage 出来事。

ReactedToMessage イベントの解釈

イベントを調査したところ、チャットとチャネルの会話の両方の反応を捉えていることがわかりました。ご想像のとおり、 監査データ イベントのプロパティは、チャットとチャネル会話で異なります。チャットの反応のためにキャプチャされた情報は、簡単に処理できます。チャネル会話の反応のためにキャプチャされた監査レコードの内容は、もう少し複雑です。次に例を示します。

CreationTime        : 2022-08-25T10:28:10
Id                  : cdc580a1-16bf-5b3b-9ab7-4773c78fa833
Operation           : ReactedToMessage
OrganizationId      : a662313f-14fc-43a2-9a7a-d2e27f4f3478
RecordType          : MicrosoftTeams
UserKey             : aff4cd58-1bb8-4899-94de-795f656b4a18
UserType            : Regular
Version             : 1
Workload            : MicrosoftTeams
ClientIP            : ::ffff:10.60.2.150
UserId              : Kim.Akers@office365itpros.com
AADGroupId          : 33b07753-efc6-47f5-90b5-13bef01e25a6
ChannelGuid         : 19:f2cb1f5540f54e06b7a45e90af446ebb@thread.skype
ExtraProperties     : {@{Key=TimeZone; Value=Europe/Dublin}, @{Key=OsName; Value=windows}, @{Key=OsVersion; Value=10},
                      @{Key=Country; Value=ie}...}
MessageId           : 1661368101750
MessageReactionType : like
MessageVersion      : 1661423290212
ParentMessageId     : 1659278677696
TeamGuid            : 19:0571b31b8d1b4bd0b31e4069743b9d35@thread.skype
ChannelName         : ?‍☠️2023 Edition (9th)
TeamName            : Ultimate Guide to Office 365

チームの GUID を解決するには、少しの作業が必要です (AADGroupId) をクリックして表示し、反応が属するチャネルの名前を検出します。その問題を解決するために、私は Get-MgTeamChannel コマンドレットを使用してチーム内のすべてのチャネルを取得し、リストをフィルター処理してチャネルの表示名を見つけます。つまり、出力が見栄えがよくなります (図 1)。

  Teams の反応の監査レコード
図 1: Teams の反応の監査レコード

完全なスクリプトは次のとおりです。 GitHub から入手可能.

メッセージの検索

リアクションが属するメッセージを見つける必要がある場合は、メッセージ ID を使用できます。このコードでは、 グラフチャットメッセージAPI をクリックして、メッセージとそのすべての返信を取得し、スレッド内のどのメッセージにリアクションがあるかをチェックし、メッセージの詳細、作成者、投稿日、テキスト、およびリアクションを出力します。Microsoft Graph には、 ChannelMessage.Read.All この要求を行うためのアクセス許可。

$uri = "https://graph.microsoft.com/v1.0/teams/33b07753-efc6-47f5-90b5-13bef01e25a6/channels/19:f2cb1f5540f54e06b7a45e90af446ebb@thread.skype/messages/1659278677696/replies"
$Messages = Invoke-MgGraphRequest -uri $Uri -Method Get
ForEach ($Message in $Messages.Value) {
  If ($Message.reactions.count -gt 0) {
    $From = $Message.from.user.displayname
    $Date = $Message.lastModifiedDateTime
    $Text = $Message.body.content
    $Reactions = $Message.reactions.reactionType -join ", " 
    Write-Host ("Message from {0} date {1}" -f $from, $date)
    Write-Host ("Text {0}" -f $text)
    Write-Host ("Reactions: {0}" -f $reactions) -foregroundcolor Red
  }
}
Message from Tony Redmond date 30/08/2022 14:29:59
Text I really wouldn't worry until next month
Reactions: like

アカウントがチームのメンバーである場合は、 ウェブル メッセージを表示するために Teams を開くためのメッセージに対して返されます。weburl は次のようになります。

https://teams.microsoft.com/l/message/19%3Af2cb1f5540f54e06b7a45e90af446ebb%40thread.skype/1661696215025?groupId=33b07753-efc6-47f5-90b5-13bef01e25a6&tenantId=a662313f-14fc-43a2-9a7a-d2e27f4f3478&createdTime=1661696215025&parentメッセージ ID = 1659278677696

チーム反応の使用

この演習では、Teams の反応のためにキャプチャされた監査レコードがさまざまな目的で悪用される可能性があることを示しました。スペクトルの一方の端では、データを使用して、人々が反応を効果的に使用しているかどうかを発見できます(たとえば、最も人気のある反応は何ですか?もう一方の端では、監査レコードを標準の電子情報開示と共に使用して、検索によって検出された問題のあるメッセージに対する反応が存在するかどうかを検出できます。監査ログは、データを探すのに本当に興味深い場所です。


このような洞察は簡単には得られません。テクノロジーを知り、舞台裏を見る方法を理解する必要があります。の知識と経験から利益を得る IT プロフェッショナル向け Office 365 Office 365 とより広範な Microsoft 365 エコシステムをカバーする最高の電子ブックを購読してチームを組む。

未分類

Posted by admin