Durchführen einer eDiscovery-Untersuchung für Teams-Inhalte

  • 8 Minuten

Als eDiscovery wird das Identifizieren und Bereitstellen elektronischer Informationen bezeichnet, die in Rechtsfällen als Beweismittel verwendet werden können. Große Unternehmen sind häufig der Möglichkeit von Gerichtsverfahren mit hohen Strafen ausgesetzt, die die Übermittlung aller elektronisch gespeicherten Informationen (Electronically Stored Information, ESI) verlangen. Microsoft Teams-Inhalte können durchsucht und im Rahmen von eDiscovery-Untersuchungen verwendet werden.

Inhaltsspeicherort für eDiscovery in Microsoft Teams

Sie können eDiscovery-Tools verwenden, um nach Microsoft Teams-Inhalten zu suchen. Abhängig vom Typ der Microsoft Teams-Inhalte konfigurieren Sie verschiedene Speicherorte in eDiscovery.

Microsoft Teams-Inhalte Speicherort des Inhalts
Microsoft Teams-1:1- oder -Gruppenchats Postfächer der Benutzer
Standardkanalnachrichten Gruppenpostfach, das das Team repräsentiert
Private Kanalnachrichten Postfach der Mitglieder eines privaten Kanals
In Standardkanälen hochgeladene Dateien Vom Team verwendete SharePoint-Site
In private Kanäle hochgeladene Dateien Vom Kanal verwendete SharePoint-Site
Private Inhalte OneDrive der Benutzer

Hinweis

Wenn für einen Benutzer die Aufbewahrung für juristische Zwecke aktiviert wird, gilt diese nicht automatisch auch für eine Gruppe oder umgekehrt.

eDiscovery-Lösungen

Es gibt drei eDiscovery-Schlüsselfunktionen.

Screenshot „Wichtigste Funktionen der Microsoft 365 eDiscovery-Tools“.

  • Inhaltssuche. Verwenden Sie das Tool für die Inhaltssuche, um nach Inhalten in Microsoft 365-Datenquellen zu suchen und die Suchergebnisse dann auf einen lokalen Computer zu exportieren.

  • eDiscovery (Standard). eDiscovery (Standard) baut auf der grundlegenden Such- und Exportfunktion der Inhaltssuche auf und ermöglicht es Ihnen, eDiscovery-Fälle zu erstellen und eDiscovery-Managern bestimmte Fälle zuzuweisen. eDiscovery-Manager können nur auf die Fälle zugreifen, in denen sie Mitglieder sind. Mit eDiscovery (Standard) können Sie auch Suchen und Exporte einem Fall zuordnen und einen eDiscovery-Haltebereich für Inhaltsspeicherorte festlegen, die für den Fall relevant sind.

  • eDiscovery (Premium). Das eDiscovery (Premium)-Tool baut auf den vorhandenen Funktionen für Fallverwaltung, Bewahrung, Suche und Export in eDiscovery (Standard) auf. eDiscovery (Premium) bietet einen End-to-End-Workflow zum Identifizieren, Bewahren, Sammeln, Überprüfen, Analysieren und Exportieren von Inhalten, die für interne und externe Ermittlungen Ihrer Organisation relevant sind. Außerdem können Rechtsteams Verwahrer und den Benachrichtigungs-Workflow zur Aufbewahrung für juristische Zwecke verwalten, und so mit den an einem Fall beteiligten Verwahrern kommunizieren. Es ermöglicht Ihnen, Daten aus dem Livedienst zu sammeln und in Überprüfungsgruppen zu kopieren, wo Sie Inhalte filtern, durchsuchen und markieren können, um nicht relevante Inhalte von der weiteren Überprüfung auszuschließen, damit Ihr Workflow die relevantesten Inhalte identifizieren und sich auf diese konzentrieren kann. eDiscovery (Premium) bietet Analyse- und Machine Learning-basierte Predictive Coding-Modelle, um den Bereich Ihrer Untersuchung weiter auf die relevantesten Inhalte einzugrenzen.

Für die ersten Schritte mit eDiscovery (Standard) finden Sie hier einen einfachen Workflow zum Erstellen von eDiscovery-Haltebereichen für Personen von Interesse, zum Suchen nach Inhalten, die für Ihre Untersuchung relevant sind, und um dann diese Daten zur weiteren Überprüfung zu exportieren.

Screenshot „eDiscovery (Standard)-Workflow“.

eDiscovery-Berechtigungen

Damit Ihre Benutzer eines der eDiscovery-bezogenen Tools im Microsoft Purview-Complianceportal verwenden können, müssen Sie ihnen die entsprechenden Berechtigungen zuweisen. Am einfachsten geht das, indem Sie im Complianceportal auf die Seite Berechtigungen gehen, und den Benutzer zur entsprechenden Rollengruppe hinzufügen.

Die primäre eDiscovery-bezogene Rollengruppe im Microsoft Purview-Complianceportal heißt eDiscovery-Manager*in. Es gibt zwei Untergruppen innerhalb dieser Rollengruppe.

  • eDiscovery-Manager: Ein eDiscovery-Manager kann eDiscovery-Suchtools verwenden, um Inhaltsspeicherorte in der Organisation zu durchsuchen und verschiedene suchbezogene Aktionen, z. B. Vorschau und Exportieren von Suchergebnissen, auszuführen. Mitglieder können ebenfalls Fälle in eDiscovery (Standard) und eDiscovery (Premium) erstellen und verwalten, Mitglieder einem Fall hinzufügen und daraus entfernen, Haltebereiche erstellen, einem Fall zugeordnete Suchen ausführen und auf Falldaten zugreifen. eDiscovery-Manager können nur auf die Fälle, die sie selbst erstellt haben, zugreifen und sie verwalten. Sie können nicht auf Fälle, die von anderen eDiscovery-Managern erstellt wurden, zugreifen oder diese verwalten.

  • eDiscovery Administratoren: Ein eDiscovery-Administrator ist Mitglied der Rollengruppe "eDiscovery-Manager" und kann die gleichen Aufgaben im Zusammenhang mit Inhaltssuche und Fallverwaltung ausführen wie ein eDiscovery-Manager. Außerdem kann ein eDiscovery-Administrator Folgendes:

    • Greifen Sie im Microsoft Purview-Complianceportal auf alle Fälle zu, die auf den Seiten eDiscovery (Standard) und eDiscovery (Premium) aufgelistet sind.

    • Greifen Sie auf Falldaten in eDiscovery (Premium) für jeden Fall in der Organisation zu.

    • Verwalten von eDiscovery-Fällen, nachdem sie sich selbst als Fallmitglied hinzugefügt haben.

Erstellen Sie einen eDiscovery (Standard)-Fall

Gehen Sie folgendermaßen vor, um einen Fall zu erstellen und mit der Verwendung von eDiscovery (Standard) zu beginnen.

  1. Wählen Sie im Microsoft Purview-Complianceportal die Option eDiscovery > Standard aus.

  2. Wählen Sie auf der Seite eDiscovery (Standard) + Fall erstellen aus.

  3. Geben Sie im Bereich "Neuer Fall" auf der rechten Seite einen aussagekräftigen Fallnamen und eine Fallbeschreibung ein, die den Zweck dieses Falls verdeutlicht. Klicken Sie dann auf Speichern.

Der von Ihnen erstellte Fall wird nun in der Liste der Fälle auf der eDiscovery-Seite angezeigt. Sie können nun Haltebereiche und Suchvorgänge hinzufügen.

Erstellen eines eDiscovery-Haltebereichs für Microsoft Teams-Inhalte

Sie können einen eDiscovery (Standard)-Fall verwenden, um Haltebereiche zum Bewahren von Inhalten zu erstellen, die für einen Fall relevant sein könnten. So erstellen Sie einen eDiscovery-Haltebereich für einen eDiscovery (Standard)-Fall:

  1. Wählen Sie im Microsoft Purview-Complianceportal die Option eDiscovery > Standard aus.

  2. Wählen Sie auf der Seite eDiscovery (Standard) den Namen des Falls aus, in dem Sie den Haltebereich erstellen möchten.

  3. Wählen Sie auf der Homepage des Falls die Registerkarte Halten aus.

  4. Klicken Sie auf Erstellen, um den neuen Haltebereich zu erstellen.

  5. Geben Sie auf der Seite "Name des Haltebereichs" einen aussagekräftigen Namen und eine Beschreibung ein, die den Zweck dieses Haltebereichs verdeutlicht.

  6. Wählen Sie Weiter aus.

  7. Auf der Seite Speicherorte auswählen können Sie einzelne Speicherorte auswählen, die in den Aufbewahrungsstatus versetzt werden sollen:

    • Exchange-Postfächer: Setzen Sie den Schalter auf Ein und klicken Sie dann auf Benutzer, Gruppen oder Teams auswählen, um die Postfächer anzugeben, die in den Aufbewahrungsstatus versetzt werden sollen.

    • SharePoint-Sites: Setzen Sie den Schalter auf Ein und klicken Sie dann auf Sites auswählen aus, um SharePoint-Sites und OneDrive-Konten anzugeben, die in den Aufbewahrungsstatus versetzt werden sollen.

    • Öffentliche Exchange-Ordner: Setzen Sie den Schalter auf Ein, um alle öffentlichen Ordner in Ihrer Exchange Online-Organisation in den Haltebereich zu versetzen.

      Screenshot „Wählen Sie Inhaltsspeicherorte aus, die in den Haltebereich versetzt werden sollen“

  8. Wenn Sie mit dem Hinzufügen von Speicherorten zum Haltebereich fertig sind, wählen Sie Weiter aus.

  9. Führen Sie die folgenden Schritte aus, um eine abfragebasierte Aufbewahrung mithilfe von Schlüsselwörtern oder Bedingungen zu erstellen. Um alle Inhalte in den angegebenen Inhaltsspeicherorten beizubehalten, wählen Sie Weiter aus.

    1. Geben Sie im Feld unter Schlüsselwörter eine Abfrage ein, um nur Inhalte beizubehalten, die den Abfragekriterien entsprechen. Sie können Schlüsselwörter, E-Mail-Nachrichteneigenschaften oder Siteeigenschaften wie Dateinamen angeben. Sie können auch komplexere Abfragen mit booleschen Operatoren wie AND, OR oder NOT verwenden.

    2. Wählen Sie Bedingung hinzufügen aus, um eine oder mehrere Bedingungen zum Eingrenzen der Suchabfrage für den Haltebereich hinzuzufügen. Mit jedem Kriterium wird eine Klausel zu der KQL-Suchabfrage hinzugefügt, die beim Erstellen des Haltebereichs erstellt und ausgeführt wird. So können Sie beispielsweise einen Datumsbereich angeben, damit E-Mails oder Sitedokumente, die innerhalb dieses Datumsbereichs erstellt wurden, in den Aufbewahrungsstatus versetzt werden. Eine Bedingung ist durch den AND-Operator logisch mit der (im Schlüsselwortfeld angegebenen) Schlüsselwortabfrage und anderen Bedingungen verbunden. Dies bedeutet, dass Elemente sowohl die Schlüsselwortabfrage als auch die Bedingung erfüllen müssen, um beibehalten zu werden.

  10. Klicken Sie nach dem Konfigurieren eines abfragebasierten Haltebereichs auf Weiter.

  11. Überprüfen Sie Ihre Einstellungen (und bearbeiten Sie sie bei Bedarf), und klicken Sie dann auf Absenden.

Hinweis

Nachdem ein Inhaltsspeicherort in den Aufbewahrungsstatus versetzt wurde, kann es bis zu 24 Stunden dauern, bis dies aktiv wird.

Suche nach Inhalten in einem Fall

Nachdem ein eDiscovery (Standard)-Fall erstellt wurde und Personen von Interesse in diesem Fall in den Haltebereich versetzt wurden, können Sie eine oder mehrere Suchvorgänge nach für den Fall relevanten Inhalten erstellen und ausführen.

So erstellen Sie einen eDiscovery (Standard)-Fall:

  1. Wählen Sie im Microsoft Purview-Complianceportal die Option eDiscovery > Standard aus.

  2. Wählen Sie einen Fall aus. ‎

  3. Wählen Sie auf der Seite eDiscovery (Standard) im oberen Bereich die Registerkarte Suchen aus.

  4. Wählen Sie den Dropdownpfeil rechts von + Neue Suche aus. ‎

  5. Geben Sie auf der Seite Name der Suche einen aussagekräftigen Namen und eine Beschreibung ein, die den Zweck dieser Suche im Kontext dieses eDiscovery-Falls verdeutlicht.

  6. Wählen Sie Weiter aus.

  7. Wählen Sie auf der Seite Speicherorte Folgendes aus:

    • Bestimmte Speicherorte, um einen Speicherort aus der Liste auszuwählen.

    • Speicherorte im Haltebereich, um nur die Daten zu durchsuchen, die durch einen Haltebereich im selben Fall geschützt sind.

  8. Nachdem Sie die gewünschten Speicherorte ausgewählt haben, klicken Sie auf Weiter.

  9. Geben Sie auf der Seite Suchbedingung definieren Schlüsselwörter für die Suche ein, oder wählen Sie + Bedingungen hinzufügen aus, um eine präzisere Suche durchzuführen. Jedes gefundene Element, das diese Schlüsselwörter enthält, wird in den Suchergebnissen angezeigt.

  10. Klicken Sie auf Absenden, um die Suche im eDiscovery-Fall zu erstellen.

Wenn die Suche abgeschlossen ist, können Sie eine Vorschau der Suchergebnisse anzeigen.

Exportieren von Inhalten aus einem Fall

Nachdem eine einem eDiscovery (Standard)-Fall zugeordnete Suche erfolgreich ausgeführt wurde, können Sie die Suchergebnisse exportieren.

Führen Sie die folgenden Schritte aus, um die Ergebnisse eines Inhaltssuche in einem eDiscovery-Fall zu exportieren:

  1. Wählen Sie im Microsoft Purview-Complianceportal die Option eDiscovery > Standard aus.

  2. Wählen Sie auf der Seite eDiscovery (Standard) den Namen des Falls aus, in dem Sie den Haltebereich erstellen möchten.

  3. Wählen Sie auf der Homepage des Falls die Registerkarte Suchen aus.

  4. Wählen Sie die Suche aus, die Sie exportieren möchten.

  5. Wählen Sie im Menü Aktionen am unteren Rand der Flyoutseite die Option Ergebnisse exportieren aus.

    Der Workflow zum Exportieren der Ergebnisse einer mit einem eDiscovery (Standard)-Fall verknüpften Suche ist derselbe wie beim Exportieren der Ergebnisse einer Suche auf der Seite Inhaltssuche.

  6. Wählen Sie die Registerkarte Exportieren aus, um die Liste der Exportaufträge für den Fall anzuzeigen.

    Möglicherweise müssen Sie auf Aktualisieren klicken, damit der von Ihnen erstellte Exportauftrag in der Liste der Exportaufträge angezeigt wird. Exportaufträge haben den gleichen Namen wie die zugehörige Inhaltssuche, wobei _Export an den Suchnamen angefügt wird.

  7. Wählen Sie den Exportauftrag aus, den Sie erstellt haben, um Statusinformationen auf der Flyoutseite anzuzeigen. Diese Informationen umfassen den Prozentsatz der Elemente, die an den Azure Storage-Speicherort übertragen wurden.

  8. Nachdem alle Elemente übertragen wurden, wählen Sie Liste herunterladen aus, um die Suchergebnisse auf Ihren lokalen Computer herunterzuladen.

Weitere Informationen finden Sie unter: