Restaurer des conversations Teams supprimées : eDiscovery, OneDrive, rétention et Graph API

Vous avez vidé par erreur un canal Teams ? Voici comment récupérer au mieux l’historique : eDiscovery, Corbeille OneDrive, restauration de canal/équipe, API Graph Export et sauvegardes tierces, avec étapes, limites et bonnes pratiques de rétention.

Récupération de l’historique de conversation Teams supprimé

Vue d’ensemble de la question

Un administrateur Microsoft 365 doit restaurer le contenu d’un canal Teams dont les conversations ont été effacées par erreur. L’objectif prioritaire est de récupérer des échanges critiques avec des clients. Cette situation soulève trois défis : retrouver le texte des messages, remettre à disposition les fichiers partagés, et prouver l’intégrité des données (conformité/audit).

Réponse & solution : panorama des voies de récupération

Voie	Quand l’utiliser	Étapes principales	Résultat obtenu
Recherche de contenu (eDiscovery) dans le Centre de conformité Microsoft 365	Messages supprimés ou inexistants dans Teams / aucune sauvegarde préalable	Ouvrir le Portail de conformité (Microsoft Purview) → Recherche de contenu. Lancer une Nouvelle recherche puis définir : Emplacements : activer Exchange (les messages Teams sont stockés dans les boîtes aux lettres d’équipes et d’utilisateurs). Filtres : mots‑clés, dates, participants ou identifiants de canal pour affiner. Exécuter la recherche, vérifier les résultats Type : IM (messages) ou Type : Call. Exporter les éléments au format PST et/ou CSV (rapport).	Récupération du texte et des métadonnées des conversations sous forme de fichiers exportés. Les messages ne sont pas réinjectés dans Teams ; lecture ou import manuel requis.
OneDrive → Microsoft Teams Chat Files → Corbeille	Récupérer les fichiers (pièces jointes) partagés dans la discussion	Dans Teams : Fichiers → OneDrive → Ouvrir dans OneDrive. Accéder à Mes fichiers → Microsoft Teams Chat Files. Ouvrir la Corbeille, sélectionner les éléments souhaités, cliquer Restaurer.	Les fichiers partagés dans le chat réapparaissent à leur emplacement d’origine et sont de nouveau visibles depuis Teams.
Restaurer un canal ou une équipe supprimée (< 30 jours)	Quand tout le canal/équipe a été supprimé (pas seulement les messages)	Centre d’administration Teams → Équipes → Gérer les équipes → Équipes supprimées → Restaurer.	Restauration complète du canal, incluant messages, fichiers et onglets, dans la limite de la période de rétention.
Graph API Export for Teams	Export automatisé/volumineux ou scénario de conformité avancé	Utiliser le point de terminaison /teams/getAllMessages (privilèges élevés exigés : rôles tels que Global Reader, Compliance Data Administrator ou eDiscovery Manager + consentement application).	Export en JSON (traitement/ETL, BI). Pour des PST, passer par l’export eDiscovery.
Solutions de sauvegarde tierces	Prévention / plan de reprise	Déployer une application Azure AD (App Registration) ou une solution SaaS de sauvegarde spécialisée pour Teams (granularité canal/message).	Sauvegarde/restauration sélective, y compris réinjection directe vers Teams selon le produit.

Informations complémentaires utiles

• Les messages Teams sont stockés dans des dossiers cachés TeamsMessagesData des boîtes aux lettres Exchange Online :
  • Canaux standard : boîte aux lettres du groupe M365 de l’équipe.
  • Chats 1:1 et groupes, canaux privés/partagés : boîtes aux lettres des utilisateurs participants (ou de l’hôte pour les canaux partagés).
• Si une rétention ou un litigation hold Exchange est activé, les messages supprimés restent disponibles dans Recoverable Items et restent accessibles via eDiscovery, même au‑delà de 30 jours.
• Aucune méthode native ne « remet » un message directement dans la discussion :
  • copiez‑collez le contenu exporté dans un nouveau message,
  • ou restaurez tout le canal (si supprimé) dans la fenêtre de rétention.
• Pensez à vérifier/ajuster les stratégies de rétention Teams/Exchange (Centre de conformité → Cycle de vie des données) avant toute suppression afin d’éviter la perte définitive.
• Pour la preuve d’intégrité en audit, privilégiez l’export eDiscovery qui inclut des métadonnées horodatées.

Procédure détaillée avec eDiscovery (recherche de contenu)

La recherche de contenu (Purview eDiscovery Standard) est la voie la plus sûre et la plus « compliance ». Elle fonctionne même si les messages n’apparaissent plus dans l’interface Teams, car elle interroge les boîtes aux lettres Exchange sous‑jacentes.

Prérequis

• Rôle eDiscovery Manager ou équivalent dans le Centre de conformité.
• Accès au portail de conformité Purview.
• Connaissance minimale des dates, participants et/ou du canal ciblé pour construire des filtres précis.

Étapes pas à pas

1. Ouvrez le Centre de conformité → eDiscovery > Recherche de contenu. Créez une Nouvelle recherche.
2. Dans Emplacements, activez Exchange. Pour un canal, vous pouvez cibler la boîte aux lettres du groupe de l’équipe (si connue) ou laisser Toutes les boîtes pour commencer.
3. Dans Conditions, filtrez :
   • Type : Kind:im pour les messages, Kind:call pour les appels.
   • Plage de dates de l’incident.
   • Mots‑clés (noms de clients, numéros de ticket, etc.).
   • Participants (from: / recipients:) si nécessaire.
   • Identifiant de canal si vous le connaissez (format 19:...) : ajoutez‑le comme mot‑clé exact "19:xxxxx@thread.tacv2" pour restreindre.
4. Exécutez la recherche et attendez l’indexation complète. Inspectez les résultats : vous devez voir des éléments avec Type : IM et les métadonnées (horodatage, conversationId, etc.).
5. Cliquez Exporter. Choisissez l’Export des résultats (PST pour les éléments Exchange + rapport CSV). Téléchargez via l’outil d’export fourni par le portail.

Astuce KQL rapide

Kind:im AND ("nom-du-client" OR "numéro-de-contrat")
AND (from:user1@exemple.com OR recipients:user2@exemple.com)
AND (sent>=2025-08-01 AND sent<=2025-08-31)

Adaptez les champs from:, recipients: et la plage de sent à votre contexte. Pour viser un canal précis, ajoutez son ID entre guillemets.

Ce que vous obtenez et comment l’exploiter

• PST (consultable dans Outlook) contenant les éléments de type IM ;
• CSV de rapport listant ID, timestamps, participants, etc.
• Pour réutiliser le contenu, ouvrez le PST, copiez le texte (et références) et collez dans un nouveau message Teams ou un document à partager avec le client.

Limites et pièges courants avec eDiscovery

• Il s’agit d’une récupération logique (vous récupérez la donnée, pas l’UI de la conversation).
• Si des rétentions n’ont jamais été définies et que les objets ont dépassé les fenêtres système, certains messages peuvent être irrécupérables.
• Les réactions, éditions et suppressions apparaissent sous forme de métadonnées ; ne vous attendez pas à une restitution « pixel‑par‑pixel » du fil.

Récupérer les pièces jointes via OneDrive

Les fichiers envoyés dans les chats 1:1 ou de groupe sont stockés dans le OneDrive de l’expéditeur, sous Microsoft Teams Chat Files. Même si le message a été supprimé, le fichier peut toujours exister (ou se trouver dans la Corbeille).

Étapes ciblées

1. Dans Teams → Fichiers → OneDrive → Ouvrir dans OneDrive.
2. Mes fichiers → Microsoft Teams Chat Files → recherchez par nom/date.
3. Consultez la Corbeille OneDrive : par défaut, les éléments supprimés y restent plusieurs semaines (typiquement ~93 jours) avant purge.
4. Sélectionnez → Restaurer. Les liens d’origine redeviennent fonctionnels si les autorisations n’ont pas changé.

Important

• Pour les canaux, les fichiers résident dans le site SharePoint de l’équipe (« Documents > <Canal> »). La logique de Corbeille est alors celle de SharePoint.
• La suppression du message ne supprime pas forcément le fichier. Vérifiez d’abord OneDrive/SharePoint.

Restaurer un canal ou une équipe supprimée

Lorsque l’intégralité d’une équipe (ou d’un canal) a été supprimée, une restauration globale est possible pendant une fenêtre limitée (généralement 30 jours).

Étapes d’administration

1. Ouvrez le Centre d’administration Teams.
2. Accédez à Équipes → Gérer les équipes → Équipes supprimées.
3. Sélectionnez l’équipe → Restaurer.

Cette opération restaure canaux, conversations, fichiers et onglets associés (dans la limite de la rétention disponible). Si la période est expirée, privilégiez eDiscovery pour récupérer les messages.

Export massif avec Graph API (protected export)

Pour des besoins d’audit, d’automatisation ou de forte volumétrie, l’API Graph Export for Teams permet d’extraire des messages au format JSON. L’accès est restrictif : application enregistrée (App Registration), consentement administrateur et rôles de conformité.

Flux général

1. Créez une application (App Registration) avec les autorisations d’application nécessaires pour Teams export.
2. Faites approuver le consentement administrateur et assignez des rôles tels que Compliance Data Administrator, eDiscovery Manager ou Global Reader (selon votre modèle de sécurité).
3. Interrogez l’endpoint /teams/getAllMessages avec des filtres de date/équipe/canal si disponibles.
4. Stockez et traitez le JSON (ETL, datalake, indexation). Pour un PST, utilisez l’export eDiscovery.

Exemple d’appel (pseudo‑requête)

GET https://graph.microsoft.com/v1.0/teams/getAllMessages?$top=200
Authorization: Bearer <token_application>

Adaptez la pagination ($top, @odata.nextLink) et les filtres temporels selon vos besoins. Respectez strictement la gouvernance (journalisation, chiffrement, conservation).

Solutions de sauvegarde tierces

Les plateformes de sauvegarde spécialisées pour Microsoft 365 offrent des restaurations granulaires (message, conversation, canal) et la réinjection directe dans Teams. Elles constituent la meilleure prévention contre les pertes accidentelles et les délais de rétention dépassés. Évaluez :

• La granularité de restauration (message/canal/équipe) et la conservation (illimitée vs. politique interne).
• La conformité (audit trails, WORM, intégration SIEM, résidence des données).
• La sécurité (stockage chiffré, BYOK, séparation des rôles, MFA).
• Les performances (SLA de restauration, débit, coût total).

Arbre de décision rapide

• Seuls des messages ont disparu ? → Lancez eDiscovery.
• Ce sont les fichiers qui manquent ? → Vérifiez OneDrive/SharePoint > Corbeille.
• Le canal/équipe a été supprimé et < 30 jours ? → Restaurer dans le centre d’admin Teams.
• Export légal/volumineux ? → Graph API Export.
• Prévention ? → Sauvegarde tierce.

Bonnes pratiques de rétention et de conformité

• Définissez des stratégies de rétention pour Teams et Exchange (par canal, équipe ou organisation) : rétention minimale pour éviter une purge prématurée, suppression automatique après une durée légale.
• Appliquez des litigation holds en cas de litige ou d’enquête : les contenus sont préservés même s’ils sont supprimés par les utilisateurs.
• Encadrez la suppression de messages via les politiques de messagerie Teams (qui peut supprimer ses messages ? les propriétaires peuvent‑ils supprimer ceux des autres ?).
• Activez l’audit unifié et conservez les logs suffisamment longtemps pour retracer les opérations sensibles (suppression, restauration, export).
• Documentez vos procédures d’escalade et conservez une chaîne de custody pour toute exportation à des fins probatoires.

Exemples concrets de filtres eDiscovery

Objectif	Exemple de requête	Commentaire
Messages IM d’une période	Kind:im AND (sent>=2025-08-01 AND sent<=2025-08-31)	Utilisez sent ou received selon votre logique de tri.
Filtrer par participants	Kind:im AND (from:conseiller@exemple.com OR recipients:client@exemple.com)	Pratique pour des échanges client ↔ conseiller.
Cibler un canal Teams	Kind:im AND "19:abc123@thread.tacv2"	Rechercher l’ID exact du canal et l’inclure entre guillemets.
Mots‑clés métier	Kind:im AND ("SOW" OR "Bon de commande" OR "NDA")	Combinez plusieurs langues/termes pour couvrir les variations.

Questions fréquentes

Peut‑on « réinsérer » les messages récupérés dans le fil d’origine ?

Non. Ni eDiscovery ni Graph API n’écrivent dans les conversations existantes. Vous pourrez reconstruire le contexte en collant le contenu exporté, ou restaurer l’équipe/le canal si supprimé et si la fenêtre de rétention le permet.

Et si la suppression date de plusieurs mois ?

Si aucune stratégie de rétention/hold n’était en place et que les délais système sont passés, la récupération peut être partielle voire impossible. Testez d’abord eDiscovery ; si les résultats sont insuffisants, examinez les sauvegardes tierces (si déployées).

Les messages édités/supprimés sont‑ils visibles ?

Oui, via eDiscovery/Graph : les métadonnées d’édition/suppression sont conservées à des fins de conformité. Le rendu toutefois n’est pas identique à l’interface Teams.

Quid des pièces jointes ?

Dans les chats, elles résident dans Microsoft Teams Chat Files du OneDrive de l’expéditeur ; dans les canaux, dans le site SharePoint de l’équipe. Vérifiez également les Corbeilles correspondantes.

Check‑list opérationnelle

• Identifier : période, participants, nom de l’équipe/canal, mots‑clés.
• Vérifier : rétentions/holds existants, statut de l’équipe/canal (supprimé ?).
• Réagir : lancer eDiscovery en priorité, puis rechercher les pièces jointes dans OneDrive/SharePoint.
• Restaurer : si canal/équipe supprimé < 30 jours, utiliser la restauration.
• Consolider : créer un dossier probatoire (export PST/CSV + notes d’enquête).
• Prévenir : formaliser politiques de rétention, limiter la suppression de messages, déployer une sauvegarde tierce.

Modèle de communication client après récupération

Après extraction et validation, informez le client avec transparence :

Bonjour,
Nous avons récupéré l’historique de vos échanges du <date‑début> au <date‑fin> via nos procédures de conformité. Vous trouverez ci‑joint un extrait horodaté et les pièces jointes restaurées. Les messages ont été reconstitués à partir d’une exportation eDiscovery (source officielle). N’hésitez pas à nous indiquer si des éléments manquent afin que nous poursuivions la recherche.

Référentiel des emplacements de données Teams

Type de conversation	Où sont stockés les messages ?	Où sont stockés les fichiers ?	Voie de récupération
Canal standard	Boîte aux lettres du groupe M365 (dossier caché TeamsMessagesData)	SharePoint de l’équipe (« Documents/<Canal> »)	eDiscovery pour messages, Corbeille SharePoint pour fichiers
Canal privé/partagé	Boîtes aux lettres des membres (ou hôte pour partagé) – TeamsMessagesData	Site SharePoint dédié du canal	eDiscovery + Corbeille du site associé
Chat 1:1 / groupe	Boîtes aux lettres des utilisateurs – TeamsMessagesData	OneDrive de l’expéditeur – Microsoft Teams Chat Files	eDiscovery + Corbeille OneDrive

Procédures PowerShell (optionnel, administrateurs avancés)

Pour automatiser la recherche/export depuis le Centre de conformité :

# Se connecter au Centre de conformité (PowerShell)
Connect-IPPSSession

# Créer la recherche

New-ComplianceSearch -Name "RecupTeams" -ExchangeLocation All \`
-ContentMatchQuery 'Kind\:im AND "19\:abc123\@thread.tacv2" AND (sent>=2025-08-01 AND sent<=2025-08-31)'

# Lancer la recherche

Start-ComplianceSearch -Identity "RecupTeams"

# Exporter (l’export réel se récupère via le portail)

New-ComplianceSearchAction -SearchName "RecupTeams" -Export 

Astuce : ajoutez des clauses from: / recipients: si vous connaissez les interlocuteurs clés. Centralisez ensuite le PST/CSV dans un espace sécurisé.

Limites à connaître

• Pas de restauration « in‑place » du fil (ni par eDiscovery ni par Graph). La restitution fidèle de l’interface n’est pas supportée.
• Fenêtres temporelles : restauration d’équipe/canal limitée (en général 30 jours) ; Corbeille OneDrive/SharePoint limitée (plusieurs semaines). Au‑delà, appuyez‑vous sur eDiscovery ou des sauvegardes tierces.
• Permissions : l’accès export Graph nécessite des autorisations élevées et un cadre de conformité strict.

Conclusion

Pour récupérer un historique de conversation Teams supprimé, commencez immédiatement par une recherche eDiscovery afin de capter le maximum d’éléments encore présents dans Exchange. Rétablissez ensuite l’accès aux fichiers via OneDrive/SharePoint et, si la suppression est globale et récente, restaurez l’équipe/le canal. Pour les besoins légaux ou à grande échelle, exploitez l’Export for Teams de l’API Graph. Enfin, consolidez votre posture en mettant en place des stratégies de rétention et une sauvegarde tierce afin de rendre la prochaine récupération banale plutôt qu’hasardeuse.

En résumé : eDiscovery pour le texte et les métadonnées, Corbeilles pour les fichiers, restauration d’équipe/canal si fenêtre < 30 jours, API Graph pour l’export massif, sauvegardes tierces pour la sérénité.