Создание оценки коллекции в eDiscovery (премиум)
Совет
Обнаружение электронных данных (предварительная версия) теперь доступно на новом портале Microsoft Purview. Дополнительные сведения об использовании нового интерфейса обнаружения электронных данных см. в статье Сведения об обнаружении электронных данных (предварительная версия).
После того как вы определили хранителей и любые источники данных, не относящиеся к хранению для дела, вы можете определить и найти набор документов, которые являются релевантными, с помощью средства Коллекции для поиска соответствующего содержимого в источниках данных. Вы можете создать коллекцию, которая будет искать в указанных источниках данных содержимое, соответствующее вашим условиям поиска. Необходимо создать оценку коллекции, которая представляет собой оценку найденных элементов.
При создании оценки коллекции можно просмотреть сведения о предполагаемых результатах, соответствующих поисковому запросу, например общее количество и размер найденных элементов, различные источники данных для найденных элементов и статистику по поисковому запросу. Вы также можете просмотреть пример элементов, возвращенных коллекцией. Используя эту статистику, можно изменить поисковый запрос и повторно запустить оценку коллекции, чтобы сузить результаты. Когда вы будете удовлетворены результатами сбора, вы можете зафиксировать коллекцию в наборе для проверки. При фиксации оценки коллекции элементы, возвращаемые коллекцией, добавляются в набор для проверки, анализа и экспорта.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Рекомендации при создании оценок коллекции
- Прежде чем создавать оценку сбора, рекомендуется добавить в дело хранителей и источники данных, не относящиеся к хранению. Добавление этих источников позволяет быстро выбрать источники данных при создании оценки коллекции в мастере. Если вы решили пропустить добавление хранителей или источников данных, не относящихся к хранению, вы можете выполнить поиск этих источников и любых дополнительных источников данных (тех, которые еще не были добавлены в дело в качестве хранимых или нерепациональных расположений) в оценке сбора содержимого, которое может иметь отношение к делу. Эти источники данных могут включать почтовые ящики, сайты SharePoint и Teams. Если эта ситуация применима к вашему случаю, используйте дополнительные расположения, чтобы добавить эти источники в коллекцию.
- Убедитесь, что у вас есть разрешения на создание оценки коллекции для дела.
- При настройке новой коллекции можно сохранить ход выполнения в мастере в виде черновика коллекции и завершить его позже, если потребуется. Просто нажмите кнопку Сохранить и закройте на любой странице мастера коллекций, чтобы сохранить ход выполнения в виде черновика. Коллекция добавляется в список коллекций с состоянием Черновик. Чтобы возобновить работу с коллекцией, выберите черновую коллекцию, выберите Действия, а затем — Изменить коллекцию.
Создание оценки коллекции
Примечание.
В течение ограниченного времени этот классический интерфейс обнаружения электронных данных также доступен на новом портале Microsoft Purview. Включите классический интерфейс eDiscovery портала соответствия требованиям в параметрах интерфейса обнаружения электронных данных (предварительная версия) для отображения классического интерфейса на новом портале Microsoft Purview.
В Портал соответствия требованиям Microsoft Purview перейдите к eDiscovery>Premium.
Перейдите на вкладку Варианты и откройте дело обнаружения электронных данных (премиум), а затем перейдите на вкладку Коллекции .
На странице Коллекции выберите Создать коллекцию.
На странице Имя и описание введите имя (обязательно) и описание (необязательно) для коллекции. После создания коллекции вы не сможете изменить имя, но можете изменить описание.
На странице Источники хранимых данных выберите один из следующих параметров, чтобы определить источники хранимых данных для сбора содержимого:
Выберите Выбрать хранителей для поиска конкретных хранителей, которые были добавлены в дело. Если вы используете этот параметр, отобразится список хранителей случаев. Выберите одного или нескольких хранителей. После выбора и добавления хранителей можно также выбрать конкретные источники данных для поиска каждого хранителя. Отображаемые источники данных указываются при добавлении хранителя в дело.
Выберите переключатель Выбрать все , чтобы найти всех хранителей, добавленных в дело. При выборе этого параметра выполняется поиск по всем источникам данных для всех хранителей.
На странице Источники данных, не относящиеся к хранению, выберите один из следующих параметров, чтобы определить источники данных, не относящиеся к хранению для сбора содержимого:
Выберите Выбрать источники данных, не относящиеся к хранению, чтобы выбрать конкретные источники данных, не относящиеся к хранению, которые были добавлены в дело. Если вы используете этот параметр, отобразится список источников данных. Выберите один или несколько из этих источников данных.
Выберите переключатель Выбрать все , чтобы выбрать все источники данных, не относящиеся к хранению, которые были добавлены в дело.
На странице Дополнительные расположения можно выбрать другие почтовые ящики и сайты для поиска в коллекции. Вы также можете выбрать дополнительные параметры поиска для дополнительных расположений поиска (определенных в параметрах обнаружения электронных данных), которые будут включены в коллекцию.
Используйте параметры Дополнительные расположения , чтобы выбрать типы источников данных, которые не были добавлены в качестве хранилищ или не-хранилищ данных в случае. При поиске дополнительных источников данных также есть два варианта:
- Чтобы найти все расположения контента для определенной службы (почтовые ящики Exchange, сайты SharePoint и OneDrive или общедоступные папки Exchange), выберите соответствующий переключатель Выбрать все в столбце Состояние . Этот параметр будет выполнять поиск по всем расположениям содержимого в выбранной службе.
На странице Поисковый запрос можно создать поисковый запрос, который используется для сбора элементов из источников данных, определенных на предыдущих страницах мастера. Вы можете искать ключевые слова, пары "свойство:значение" или использовать список ключевое слово. Можно также добавить различные условия поиска, чтобы сузить область коллекции, или использовать построитель запросов для определения операторов запросов, фильтров и условий. Дополнительные сведения см. в разделе:
- Создание поисковых запросов с использованием ключевых слов и условий для коллекций
- Создание поисковых запросов с помощью редактора KQL
- Создание поисковых запросов с помощью построителя запросов
- Создание поисковых запросов с помощью построителя запросов на естественном языке (предварительная версия)
Используйте дополнительные параметры поиска , чтобы включить другие расположения поиска. Доступные здесь параметры задаются администратором в глобальных параметрах обнаружения электронных данных. Параметры поиска, которые не определены администратором обнаружения электронных данных, недоступны или доступны. Параметры поиска, включенные администратором eDiscovery, можно выбрать и включить в коллекцию, если применимо. У вас есть два варианта дополнительных параметров поиска:
- Гостевые почтовые ящики. Выберите, чтобы включить гостевые почтовые ящики во время поиска на уровне клиента.
- Общие каналы Teams. Выберите, чтобы включить общие каналы во время поиска на уровне клиента.
На странице Условия можно создать поисковый запрос, который используется для сбора элементов из источников данных, определенных на предыдущих страницах мастера. Вы можете искать ключевые слова, пары "свойство-значение" или использовать список ключевое слово. Можно также добавить различные условия поиска, чтобы сузить область коллекции. Дополнительные сведения см. в разделе Создание поисковых запросов для коллекций.
На странице Просмотр коллекции и получение оценок вы увидите сводку процесса оценки сбора. Оценка сбора сохраняется для дальнейшей проверки и уточнения, но результаты не будут автоматически зафиксированы в наборе для проверки. Позже вам потребуется принять решение о фиксации в наборе для проверки.
На странице Просмотр коллекции можно просмотреть и обновить выбранные элементы сбора, источники данных и условия, настроенные на предыдущих страницах. Выберите Изменить для любого из выбранных вариантов и при необходимости обновите его.
Нажмите кнопку Отправить , чтобы создать оценку коллекции. Отобразится страница с подтверждением создания коллекции.
Что происходит после создания оценки коллекции
После создания оценки коллекции она отображается на странице Коллекции в случае, и состояние показывает, что она выполняется. Задание с именем Подготовка предварительного просмотра поиска и оценок также создается и отображается на странице Задания в случае. В процессе оценки сбора обнаружение электронных данных (премиум) выполняет оценку поиска с использованием условий поиска и источников данных, указанных в коллекции. Обнаружение электронных данных (премиум) также подготавливает выборку элементов, которые можно просмотреть.
Кроме того, теперь можно отслеживать ход выполнения оценки, которая показывает, сколько источников и элементов было завершено при построении оценки. В рамках оценки хода выполнения можно просмотреть статистику по следующим областям:
- Состояние: состояние оценки. Значения: Выполняется, Успешно или НЕУДАЧНО?
-
Источники, в которых выполняется поиск: количество источников, которые искали в оценке.
- Источники с хитами: источники в оценке, которые соответствуют условиям, настроенным для коллекции.
- Источники без попаданий: источники в оценке, которые не содержат элементов, соответствующих условиям, настроенным для коллекции.
- Источники Недоступны: источники, которые были недоступны в течение периода выполнения оценки.
- Оценка элементов и размер коллекции: количество элементов и размер оценки коллекции.
После завершения сбора обновляются следующие столбцы и соответствующие значения на странице Коллекция :
- Состояние: указывает состояние и тип коллекции. Значение Estimated указывает, что оценка коллекции завершена. Это же значение также указывает на то, что коллекция является оценкой коллекции и что она не была добавлена в набор для проверки. Значение Зафиксировано в столбце Состояние указывает, что коллекция была добавлена в набор для проверки.
- Состояние оценки. Указывает состояние предполагаемых результатов поиска и то, готовы ли оценки поиска и статистика к просмотру. Значение Успешно указывает, что результаты оценки сбора готовы к проверке. После отправки оценки коллекции отображается значение Выполняется , указывающее, что коллекция по-прежнему выполняется.
- Состояние предварительного просмотра. Указывает состояние примеров элементов, которые можно просмотреть. Значение Успешно указывает, что элементы готовы к предварительной версии. После отправки оценки коллекции отображается значение Выполняется , указывающее, что оценка сбора все еще выполняется.
Дальнейшие действия после завершения оценки коллекции
После успешного завершения оценки сбора можно выполнять различные задачи. Чтобы выполнить большинство этих задач, перейдите на вкладку Коллекции и выберите имя оценки коллекции, чтобы отобразить всплывающее окно.
Примечание.
Вы можете увидеть разницу между количеством расположений с попаданиями и общим количеством почтовых ящиков Exchange, сайтов SharePoint и OneDrive или общедоступных папок Exchange. Поиск по пустым архивным почтовым ящикам выполняется, но не включается в расположение с общим числом попаданий .
Ниже приведен список действий, которые можно выполнить на всплывающей странице коллекции:
Перейдите на вкладку Сводка , чтобы просмотреть сводные сведения о коллекции и предполагаемые результаты поиска, возвращенные коллекцией. К ним относятся:
- Раздел "Обзор коллекции". Этот раздел содержит подраздел Расположения с попаданиями, в котором содержатся данные об общем количестве мест поиска и количестве расположений, в которых содержатся элементы, которые приводят к попаданиям. Например, коллекция, ограниченная Exchange Online почтовыми ящиками и сайтами SharePoint, может суммировать результаты по количеству почтовых ящиков и сайтов, для которых выполнен поиск, а также по объединенному количеству почтовых ящиков и сайтов, в которых произошло попадание. В этом разделе также содержится подраздел Оценка перед сбором , в котором отображается общее количество элементов и размер предполагаемых результатов поиска. Вы можете добавить эти элементы в набор проверки для проверки.
- Раздел параметров коллекции. В этом разделе содержатся сведения о дополнительных расположениях, когда коллекция была создана и изменена, а также сводка элементов оценки, размера и всех неиндексированных элементов и размера.
Перейдите на вкладку Источники данных , чтобы просмотреть список хранителей и источников данных, не относящихся к хранению), которые были искомы в коллекции. Все дополнительные расположения содержимого, в которых был выполнен поиск, перечислены в разделе Расположения на вкладке Сводка .
Перейдите на вкладку Поиск статистики , чтобы просмотреть статистику по коллекции. Сюда входят общее количество и размер элементов, найденных в каждой службе (например, в почтовых ящиках Exchange или на сайтах SharePoint), а также отчет о состоянии, отображающий статистику о количестве элементов, возвращаемых разными компонентами поискового запроса, используемых коллекцией. Дополнительные сведения см. в разделе Статистика сбора и отчеты.
Перейдите на вкладку Параметры коллекции , чтобы просмотреть сведения о включенных параметрах коллекции. Сюда входит сводка по дополнительным расположениям и параметрам извлечения, выбранным в мастере сбора.
Выберите Просмотреть пример (расположенный в нижней части всплывающей страницы), чтобы просмотреть пример элементов, возвращенных коллекцией.
Выполните действия с оценкой коллекции, выбрав варианты в меню Действия . Дополнительные сведения см. в следующем разделе о доступных параметрах управления.
Управление оценкой коллекции
Параметры в меню Действия на всплывающей странице оценки коллекции можно использовать для выполнения различных задач управления.
Ниже приведены описания параметров управления предварительной оценкой.
Изменить коллекцию. Измените параметры оценки коллекции. После внесения изменений можно повторно запустить коллекцию и обновить оценки поиска и статистику. Как уже говорилось ранее, этот параметр используется для фиксации оценки коллекции в наборе для проверки.
Фиксация сбора. Фиксация коллекции в наборе для проверки. Это означает, что вы повторно запустите коллекцию (используя текущие параметры) и добавляете элементы, возвращаемые коллекцией, в набор для проверки. Как уже говорилось ранее, можно также настроить дополнительные параметры (например, потоки бесед и облачные вложения) при добавлении коллекции в набор для проверки. Дополнительные сведения и пошаговые инструкции см. в разделе Фиксация оценки коллекции в наборе для проверки.
Отчет об экспорте элементов. Как и при экспорте элементов в поиске контента, этот параметр можно выбрать для экспорта результатов отчета, основанного на фактических элементах, которые можно извлечь из источника. После выбора у вас есть следующие параметры экспорта для собранных элементов:
Типы собранных элементов для включения в экспорт. Выберите экспорт собранных элементов с поисковыми хитами, элементов с поисковыми хитами и частично индексированных элементов без попаданий или только частично индексированных элементов без попаданий в поиск. Вы также можете выбрать один или несколько из следующих параметров для собранных элементов:
- Включение Microsoft Teams и бесед Viva Engage
- Включение облачных вложений
- Включение всех существующих версий документов Microsoft 365 в SharePoint
- Включить содержимое вложенных папок (вложенные папки программы предварительной оценки для соответствующей папки)
- Включение файлов в списки SharePoint (и их дочерние элементы)
Экспорт собранных элементов. Экспорт собранных элементов без добавления элементов в набор для проверки. Этот параметр удобен в сценариях, когда требования к размещению данных, связанные с хранилищем данных, могут быть недопустимыми, и вам потребуется собирать данные для скачивания. После выбора у вас есть следующие параметры экспорта для собранных элементов:
Типы собранных элементов для включения в экспорт. Выберите экспорт собранных элементов с поисковыми хитами, элементов с поисковыми хитами и частично индексированных элементов без попаданий или только частично индексированных элементов без попаданий в поиск. Вы также можете выбрать один или несколько из следующих параметров для собранных элементов:
- Включение Microsoft Teams и бесед Viva Engage
- Включение облачных вложений
- Включение всех существующих версий документов Microsoft 365 в SharePoint
- Включить содержимое вложенных папок (внутри вложенных папок соответствующей папки)
- Включение файлов в списки SharePoint (и их дочерние элементы)
Чтобы экспортировать сообщения Teams в виде отдельных сообщений при экспорте собранных элементов, снимите флажок Беседы Teams и Yammer. При этом беседы экспортируются как отдельные сообщения, а не как потоки диалога.
Примечание.
Параметры Беседы Teams и Yammer выбраны по умолчанию. Если выбран параметр, экспортированные элементы содержат потоки бесед Teams, связанные с соответствующим поиском.
Форматирование сообщений электронной почты. Выберите способ форматирования собранных сообщений электронной почты:
- Отдельные PST-файлы для каждого почтового ящика
- Отдельные файлы .msg для каждого сообщения
- Отдельные файлы .eml для каждого сообщения
Удаление коллекции. Удаление оценки коллекции. После фиксации оценки коллекции в наборе для проверки ее невозможно удалить.
Обновить оценки. Повторно выполните запрос (к источникам данных), указанным в оценке сбора, чтобы обновить оценки поиска и статистику.
Экспорт как отчет. Экспорт сведений о оценке коллекции в CSV-файл, который можно скачать на локальный компьютер. Отчет об экспорте содержит следующие сведения:
- Удостоверение каждого расположения содержимого, содержащего элементы, которые соответствуют поисковому запросу в оценке коллекции. Обычно это почтовые ящики или сайты.
- Общее количество элементов в каждом расположении содержимого.
- Общий размер (в байтах) элементов в каждом расположении содержимого.
- Служба (например, Exchange или SharePoint), в которой расположено содержимое.
Дополнительные сведения об ограничениях для экспорта в отчет см. в разделе Ограничения коллекции.
Копирование коллекции. Создайте новую оценку коллекции, скопировав параметры из существующей коллекции. Для новой коллекции необходимо использовать другое имя. Вы также можете изменить параметры перед отправкой новой коллекции. После его отправки выполняется поисковый запрос и создаются новые оценки и статистика. Это хороший способ быстро создать дополнительную оценку коллекции, а затем изменить выбранные параметры при необходимости, сохраняя при этом сведения в исходной коллекции. Это также позволяет легко сравнивать результаты двух похожих коллекций.
Примечание.
После фиксации оценки коллекции в наборе для проверки можно выбрать только Копировать коллекцию и Экспортировать как отчет.