„Nur mal eben schnell“ einen Teams-Chat durchsuchen – das klingt so einfach wie „nur mal eben kurz bei Ikea rein“. Ergebnis: drei Stunden später liegt der halbe Tenant auf dem Tisch und im Einkaufswagen steht plötzlich eine Datenschutzverletzung.
Denn wer in Purview nach Teams-Nachrichten sucht, gräbt nicht in einem aufgeräumten Archiv, sondern stolpert durch ein Labyrinth. Plötzlich mischen sich Copilot-Spuren aus Word, Meeting-Artefakte, Call-Reste und Chatfetzen, die niemand auf der Liste hatte. Klingt chaotisch? Ist es auch.
Genau hier zeigt sich: eDiscovery ist kein bequemer Export-Button, sondern ein Ermittlungswerkzeug mit juristischem Sprengstoff. „Mal eben schnell“ wird im Kontext von Teams sehr schnell zu „mal eben massiv in Persönlichkeitsrechte eingreifen“.
Die Frage ist also nicht, wo die Nachrichten gespeichert sind – das wissen wir inzwischen. Die spannende Frage ist: Was macht Purview mit all den Nachrichten, wenn eine gezielte Suche startet?
Alles eine Frage der ItemClass 🎭
Eine Abfrage mit kind:microsoftteams liefert nicht nur klassische Chats, sondern auch Copilot-Artefakte und Meeting-Fragmente. Die ItemClass verrät, worum es wirklich geht:
IPM.SkypeTeams.Message→ klassische Chats und KanalpostsIPM.SkypeTeams.Message.Copilot.*→ Copilot-Spuren aus Word, Outlook, BizChat, StudioIPM.SkypeTeams.Message.Call*→ Calls und Meetings
Gezielt wird die Suche mit:
itemclass:IPM.SkypeTeams.Message
Location, Location, Location 🗺️
Die ItemClass verrät nicht, ob es ein 1:1-, Gruppen- oder Kanalchat ist. Hier entscheidet die Location.
- Usermailboxen enthalten 1:1- und Gruppenchats
- Gruppenmailboxen (M365 Groups) enthalten Kanalposts
Wer also präzise sucht, wählt die richtigen Mailboxen aus – sonst verschwimmen die Grenzen.
Quick-Reference-Tabelle 📊
| Nachrichtenart | ItemClass | Speicherort | KQL-Filter |
|---|---|---|---|
| 1:1-Chat | IPM.SkypeTeams.Message | User-Mailbox aller Teilnehmer | kind:microsoftteams AND itemclass:IPM.SkypeTeams.Message |
| Gruppenchat (1:n) | IPM.SkypeTeams.Message | User-Mailbox aller Teilnehmer | gleich wie 1:1, Unterschied nur per Location |
| Kanalpost (Standard) | IPM.SkypeTeams.Message | Gruppen-Mailbox (M365 Group) | gleich, aber Location: Gruppen-Mailbox |
| Copilot-Interaktion | IPM.SkypeTeams.Message.Copilot.* | User-Mailbox des Users | kind:microsoftteams AND itemclass:IPM.SkypeTeams.Message.Copilot* |
| Call oder Meeting | IPM.SkypeTeams.Message.Call* | User- oder Gruppen-Mailboxen | kind:microsoftteams AND itemclass:IPM.SkypeTeams.Message.Call* |
Kontext ist nicht gleich Kontext 🧩
Der Content Viewer liefert keine Teams-UI, sondern eine reduzierte Sicht: einzelne Treffer plus etwas Kontext. Wer einen vollständigen Verlauf rekonstruieren will, muss mehrere Suchläufe starten. Jeder Suchlauf ist dabei nicht nur technischer Aufwand, sondern auch ein rechtlicher Balanceakt – ein Klick zu viel kann schnell zum Eingriff in private Kommunikation werden.
Copilot als Störenfried und Schatz zugleich 🤖
Copilot hat längst seine Finger in jedem Workload. Auch in eDiscovery tauchen die Spuren auf. Einerseits hilfreich, um Prompts und Antworten zu analysieren. Andererseits stören sie, wenn eigentlich nur Chats gesucht werden. Getrennte Collections bringen hier deutlich mehr Übersicht.
Fazit 🎯
Purview eDiscovery ist für Teams unverzichtbar – aber alles andere als trivial.
- ItemClass nutzen, um Chats, Copilot und Calls auseinanderzuhalten
- Locations einsetzen, um zwischen Chats und Kanalposts zu unterscheiden
- Ergebnisse im Kontext lesen und die rechtliche Dimension immer im Blick behalten
„Nur mal eben schnell“ einen Chat durchsuchen ist keine Kleinigkeit. Wer eDiscovery einsetzt, agiert als Ermittler im digitalen Raum. Elementary, dear Investigator – die Spuren sind alle da, die Verantwortung allerdings auch.
Schreibe einen Kommentar