Бөлісу құралы:


Создание удержаний обнаружения электронных данных в случае обнаружения электронных данных

Совет

Обнаружение электронных данных (предварительная версия) теперь доступно на новом портале Microsoft Purview. Дополнительные сведения об использовании нового интерфейса обнаружения электронных данных см. в статье Сведения об обнаружении электронных данных (предварительная версия).

Вы можете использовать Microsoft Purview eDiscovery (премиум) или (стандартный) для создания удержаний для сохранения содержимого, которое может иметь отношение к этому делу. Вы можете разместить удержание в почтовых ящиках Exchange и OneDrive для бизнеса учетных записях людей, которые вы расследуете в данном случае. Вы также можете удерживать почтовые ящики и сайты, связанные с Microsoft Teams, группами Microsoft 365 и Viva Engage Группы. При размещении расположений содержимого на удержание содержимое сохраняется до тех пор, пока вы не удалите его из удержания или пока не удалите удержание.

Важно!

Для долгосрочного хранения данных, не связанных с исследованиями обнаружения электронных данных, настоятельно рекомендуется использовать политики хранения и метки хранения. Дополнительные сведения см. в статье Сведения о политиках и метках хранения.

После создания удержания обнаружения электронных данных может потребоваться до 24 часов.

При создании удержания вы можете область содержимое, сохраненное в указанных расположениях содержимого:

  • Создать бесконечное удержание, при котором весь контент в указанных местах помещается на удержание . Кроме того, вы можете создать удержание на основе запроса, при котором на удержание помещается только содержимое в указанных местоположениях, соответствующее поисковому запросу.
  • Укажите диапазон дат, чтобы сохранить только то содержимое, которое было отправлено, получено или создано в пределах этого диапазона дат . Кроме того, можно хранить все содержимое в указанных расположениях независимо от того, когда отправлено, получено или создано.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Как создать удержание для обнаружения электронных данных

Чтобы создать удержание eDiscovery, связанное с делом eDiscovery (Премиум) или (Стандартный), выполните приведенные ниже действия.

Примечание.

В течение ограниченного времени этот классический интерфейс обнаружения электронных данных также доступен на новом портале Microsoft Purview. Включите классический интерфейс eDiscovery портала соответствия требованиям в параметрах интерфейса обнаружения электронных данных (предварительная версия) для отображения классического интерфейса на новом портале Microsoft Purview.

  1. Перейдите в Портал соответствия требованиям Microsoft Purview и выполните вход, используя учетные данные для учетной записи пользователя с соответствующими разрешениями на обнаружение электронных данных.

  2. В области навигации слева выберите Показать все, а затем выберите eDiscovery > Premium или eDiscovery > Standard.

  3. На странице eDiscovery > Premium или eDiscovery (стандартный) выберите имя дела, в который вы хотите создать удержание.

  4. На домашней странице дела выберите вкладку Удержание .

  5. На странице Удержание выберите Создать.

  6. На странице Мастера имен удержания присвойте ему имя и добавьте необязательное описание, а затем нажмите кнопку Далее. Имя удержания должно быть уникальным в пределах организации.

  7. На странице мастера выбора расположений выберите расположения содержимого, которые нужно разместить на удержании. Вы можете поместить на удержание почтовые ящики, сайты и общедоступные папки.

    Выбор расположения контента для постановки на удержание.

    1. Почтовые ящики Exchange: установите переключатель Вкл. и нажмите Выбрать пользователей, группы или команды, чтобы указать почтовые ящики для удержания. Для поиска почтовых ящиков пользователей и групп рассылки, которые необходимо поставить на удержание (чтобы поставить почтовые ящики членов групп на удержание), воспользуйтесь полем поиска. Вы также можете удерживать связанный почтовый ящик для группы Майкрософт, группы Microsoft 365 и группы Viva Engage. Дополнительные сведения о данных приложения, которые сохраняются при удержании почтового ящика, см. в разделе Содержимое, хранящееся в почтовых ящиках для обнаружения электронных данных.

    Важно!

    При выборе списка рассылки, который будет помещен на удержание, удержание помещается в каждый из почтовых ящиков участников в списке рассылки при создании политики. Последующие изменения в списке рассылки не изменяют и не обновляют удержание или политику.

    1. Сайты SharePoint: установите переключатель Вкл. и нажмите Выбрать сайты, чтобы указать сайты SharePoint и учетные записи OneDrive для удержания. Укажите URL-адрес каждого сайта, который вы хотите поставить на удержание. Вы также можете добавить URL-адрес сайта SharePoint для группы Microsoft Team, Microsoft 365 или группы Yammer.

    Важно!

    Чтобы создать удержание для дочернего сайта, связанного с сайтом SharePoint Online, необходимо использовать свойство Path в фильтре запросов, чтобы выбрать конкретный дочерний сайт.

    1. Общедоступные папки Exchange: установите переключатель Вкл., чтобы поместить все общедоступные папки в организации Exchange Online на удержание. Вы не можете выбрать определенные общедоступные папки для удержания. Оставьте переключатель выключенным, если вы не хотите помещать на удержание общедоступные папки.

    Важно!

    При добавлении почтовых ящиков Exchange или сайтов SharePoint в удержание необходимо явным образом добавить хотя бы одно расположение содержимого в удержание. Другими словами, если для почтовых ящиков или сайтов задано значение Вкл. , необходимо выбрать определенные почтовые ящики или сайты для добавления в удержание. В противном случае будет создано удержание eDiscovery, но в него не будут добавлены почтовые ящики или сайты.

  8. Завершив добавление расположений в удержание, нажмите кнопку Далее.

  9. Чтобы создать удержание на основе запросов с помощью ключевых слов или условий, выполните следующие действия. Чтобы сохранить все содержимое в указанных расположениях содержимого, выберите Далее.

    Создайте удержание на основе запросов с ключевое слово и условиями.

    1. В поле Ключевые слова введите запрос, чтобы сохранить только содержимое, которое соответствует критериям запроса. Можно указать ключевые слова, свойства сообщений электронной почты или сайта, например имена файлов. Также можно создавать более сложные запросы, включающие логические операторы, например AND, OR или NOT.
    2. Выберите Добавить условие, чтобы добавить одно или несколько условий, позволяющих сузить запрос для удержания. Каждое условие добавляет выражение к поисковому запросу KQL, который формируется и выполняется при создании удержания. Например, вы можете указать диапазон дат, чтобы сохранить электронные письма или документы сайта, созданные в этот диапазон дат. Условие логически соединяется с запросом по ключевому слову (указанному в соответствующемполе) и другими условиями с помощью оператора AND. Это означает, что элементы сохраняются только в том случае, если они соответствуют как запросу по ключевому слову, так и условию.

    Дополнительные сведения о создании поискового запроса и использовании условий см. в разделе Запросы по ключевым словам и условия поиска для обнаружения электронных данных .

  10. После настройки удержания на основе запросов выберите Далее.

  11. Просмотрите параметры (и при необходимости измените их), а затем выберите Отправить.

После создания удержания проверка, что удержание успешно применено, перейдя на вкладку Удержание в случае и выбрав политику удержания. Дополнительные сведения об устранении ошибок при удержании см. в статье Устранение ошибок хранения eDiscovery.

Примечание.

Когда вы создаете удержание на основе запроса, весь контент из выбранных местоположений изначально помещается на удержание. Впоследствии все содержимое, которое не соответствует указанному запросу, удаляется из удержания каждые семь–14 дней. Однако удержание на основе запроса не очистит содержимое, если к расположению содержимого применено более пяти удержаний любого типа или если какой-либо элемент имеет проблемы с индексацией.

Запреты на основе запросов, размещенные на сайтах

При удержании обнаружения электронных данных на основе запросов в документах, расположенных на сайтах SharePoint, помните следующее:

  • Удержание на основе запроса первоначально сохраняет все документы на сайте в течение короткого периода времени после их удаления. Это означает, что при удалении документ перемещается в библиотеку хранения, даже если он не соответствует критериям удержания на основе запроса. Однако удаленные документы, которые не соответствуют удержанию на основе запроса, будут удалены заданием таймера, которое обрабатывает библиотеку удержаний для сохранения. Задание таймера выполняется периодически и сравнивает все документы в библиотеке хранения с удержанием электронных данных на основе запросов (и другими типами удержаний и политиками хранения). Задание таймера удаляет документы, которые не соответствуют удержанию на основе запросов, и сохраняет документы, которые делают.
  • Хранение на основе запросов не должно использоваться для целевого сохранения, например для сохранения документов в определенной папке или на сайте или с помощью других условий хранения на основе расположения. Это может привести к непредвиденным результатам. Для сохранения документов сайта рекомендуется использовать критерии хранения, не основанные на расположении, такие как ключевые слова, диапазоны дат или другие свойства документа.

Местоположения поиска на удержании для обнаружения электронных данных

При поиске содержимого в случае обнаружения электронных данных (стандартный) можно быстро настроить поиск только в расположениях контента, которые были помещены на удержание, связанное с делом.

Выберите параметр Заблокированные местоположения для поиска всех заблокированных местоположений контента. Если случай содержит несколько удержаний eDiscovery, при выборе этого параметра выполняется поиск по расположению содержимого из всех удержаний. Кроме того, если расположение содержимого было помещено в удержание на основе запроса, при выполнении поиска выполняется поиск только элементов, соответствующих запросу на удержание. Иными словами, с результатами поиска возвращается только содержимое, соответствующее как условиям удержания, так и критерию поиска. Например, если пользователь был помещен в режим удержания на основе запроса, который сохраняет элементы, отправленные или созданные до определенной даты, поиск будет осуществляться только по этим элементам. Это достигается путем подключения запроса удержания регистра и поискового запроса с помощью оператора AND .

Ниже приведены некоторые другие моменты, которые следует учитывать при поиске расположений в удержании eDiscovery:

  • Если расположение содержимого является частью нескольких удержаний в одном случае, запросы на удержание объединяются операторами OR при поиске в этом расположении контента с помощью параметра содержимого "Все варианты". Аналогичным образом, если расположение содержимого является частью двух разных удержаний, где одно из них основано на запросах, а другое — на бесконечное хранение (когда все содержимое помещается на удержание), все содержимое выполняется поиск из-за бесконечного удержания.
  • Если поиск настроен для поиска в местах удержания, а затем вы изменяете удержание eDiscovery в случае (путем добавления или удаления расположения или изменения запроса на удержание), конфигурация поиска обновляется с учетом этих изменений. Однако вам придется повторно запустить поиск после изменения удержания, чтобы обновить результаты поиска.
  • Если несколько удержаний eDiscovery помещаются в одно место в случае обнаружения электронных данных и вы выбираете поиск в местах удержания, максимальное количество ключевых слов для этого поискового запроса составляет 500. Это связано с тем, что поиск объединяет все удержания на основе запроса с помощью оператора OR . Если в комбинированных запросах на удержание и поисковом запросе содержится более 500 ключевых слов, поиск выполняется по всему содержимому почтового ящика, а не только по тому содержимому, которое соответствует удержанию на основе запроса.
  • Если удержание обнаружения электронных данных имеет состояние Включено (ожидание), вы по-прежнему можете выполнять поиск в местах удержания, пока удержание включено.

Сохранение содержимого в Microsoft Teams

Беседы, которые являются частью канала Microsoft Teams, хранятся в почтовом ящике, связанном с командой Майкрософт. Файлы, которыми обмениваются участники команды, также сохраняются на сайте команды SharePoint. Поэтому необходимо поместить почтовый ящик Группы и сайт SharePoint в удержание обнаружения электронных данных, чтобы сохранить беседы и файлы в канале.

Кроме того, беседы, входящие в список чатов в Teams ( чаты 1:1 или чаты группы 1:N), хранятся в почтовых ящиках пользователей, участвующих в чате. Файлы, которыми пользователи делятся в беседах чата, хранятся в учетной записи OneDrive пользователя, который предоставляет общий доступ к файлу. Поэтому необходимо добавить отдельные почтовые ящики пользователей и учетные записи OneDrive в удержание обнаружения электронных данных, чтобы сохранить беседы и файлы в списке чатов. Рекомендуется разместить удержание на почтовых ящиках членов команды Майкрософт в дополнение к удержанию почтового ящика группы и сайта группы.

Примечание.

Если в вашей организации есть гибридное развертывание Exchange (или ваша организация синхронизирует локальную организацию Exchange с Office 365) и включила Microsoft Teams, локальные пользователи могут использовать приложение чата Teams и участвовать в чатах 1:1 и в групповых чатах 1:N. Эти беседы хранятся в облачном хранилище, связанном с локальным пользователем. Если локальный пользователь помещается в удержание обнаружения электронных данных, содержимое чата Teams в облачном хранилище будет сохранено. Дополнительные сведения см. в статье Поиск данных в чате Teams для локальных пользователей.

Дополнительные сведения о сохранении содержимого Teams см. в разделе Удержание пользователя или команды Microsoft Teams по закону.

Сохранение содержимого карта

Аналогичным образом, карта содержимое, созданное приложениями в каналах Teams, чаты 1:1 и чаты группы 1:N хранятся в почтовых ящиках и сохраняются, когда почтовый ящик помещается в удержание обнаружения электронных данных. Карточка — это контейнер пользовательского интерфейса для коротких фрагментов контента. Карточки могут иметь несколько свойств и вложений, а также могут содержать элементы, которые активируют действия карта. Дополнительные сведения см. в разделе Карточки. Как и другое содержимое Teams, место хранения содержимого карточки зависит от того, где она была использована. Содержимое карточек, используемых в канале Teams, хранится в почтовом ящике группы Teams. Содержимое карточек для чатов 1:1 и 1xN хранится в почтовых ящиках участников беседы.

Сохранение сведений о собрании и звонках

Сводные сведения о собраниях и звонках в канале Teams также хранятся в почтовых ящиках пользователей, набравших звонок или собрание. Это содержимое также сохраняется, когда удержание eDiscovery помещается в почтовые ящики пользователей.

Сохранение содержимого в частных каналах

Начиная с февраля 2020 года, мы также включили возможность сохранения содержимого в частных каналах. Так как чаты приватного канала хранятся в почтовых ящиках участников чата, размещение почтового ящика пользователя в удержании eDiscovery сохраняет чаты частного канала. Кроме того, если почтовый ящик пользователя был помещен в удержание eDiscovery до февраля 2020 г., удержание будет автоматически применяться к сообщениям частного канала, хранящимся в этом почтовом ящике. Также поддерживается сохранение файлов, к которым предоставлен общий доступ в частных каналах.

Сохранение вики-содержимого

Каждый канал команды или команды также содержит вики-сайт для создания заметок и совместной работы. Содержимое вики-сайта автоматически сохраняется в файле формата MHT. Этот файл хранится в библиотеке документов Teams Wiki Data на сайте команды в SharePoint. Вы можете сохранить вики-содержимое, добавив сайт SharePoint команды в удержание eDiscovery.

Примечание.

22 июня 2017 г. была выпущена возможность сохранения вики-содержимого для команды или канала команды (при удержании сайта SharePoint группы). Если сайт группы находится на удержании, содержимое вики-сайта будет храниться начиная с этой даты. Однако если сайт группы находится на удержании и содержимое вики-сайта было удалено до 22 июня 2017 г., содержимое вики-сайта не было сохранено.

Группы Microsoft 365

Teams основана на группах Microsoft 365. Поэтому размещение групп Microsoft 365 в удержании обнаружения электронных данных аналогично удержанию содержимого Teams.

При размещении групп Teams и Microsoft 365 в удержании обнаружения электронных данных учитывайте следующие моменты:

  • Как уже говорилось ранее, чтобы поместить содержимое, расположенное в группах Teams и Microsoft 365, на удержание, необходимо указать почтовый ящик и сайт SharePoint, связанные с группой или командой.

  • Выполните командлет Get-UnifiedGroup в Exchange Online PowerShell, чтобы просмотреть свойства teams и групп Microsoft 365. Это хороший способ получить URL-адрес сайта, связанного с группой team или группой Microsoft 365. Например, следующая команда отображает выбранные свойства для группы Microsoft 365 с именем Senior Leadership Team:

    Get-UnifiedGroup "Senior Leadership Team" | FL DisplayName,Alias,PrimarySmtpAddress,SharePointSiteUrl
    
    DisplayName            : Senior Leadership Team
    Alias                  : seniorleadershipteam
    PrimarySmtpAddress     : seniorleadershipteam@contoso.onmicrosoft.com
    SharePointSiteUrl      : https://contoso.sharepoint.com/sites/seniorleadershipteam
    

    Примечание.

    Чтобы запустить командлет Get-UnifiedGroup, в Exchange Online вам должна быть назначена роль "получатели только для чтения" или вы должны входить в группу пользователей, которым она назначена.

  • Когда выполняется поиск в почтовом ящике пользователя, поиск в любой группе Team или группе Microsoft 365, участником в которую входит пользователь, не будет. Аналогичным образом, при размещении группы Team или Microsoft 365 на удержание обнаружения электронных данных только почтовый ящик группы и сайт группы помещаются на удержание. Почтовые ящики и OneDrive для бизнеса сайты участников группы не помещаются на удержание, если вы явно не добавите их в удержание eDiscovery. Поэтому, если вам нужно поместить группу Team или Группу Microsoft 365 на удержание по юридическим причинам, рассмотрите возможность добавления почтовых ящиков и учетных записей OneDrive участников группы или участников группы на одном удержании.

  • Чтобы получить список участников группы или группы Microsoft 365, можно просмотреть свойства на странице Группы в Центр администрирования Microsoft 365. Или можно выполнить следующую команду в Exchange Online PowerShell:

    Get-UnifiedGroupLinks <group or team name> -LinkType Members | FL DisplayName,PrimarySmtpAddress
    

    Примечание.

    Чтобы запустить командлет Get-UnifiedGroupLinks, в Exchange Online вам должна быть назначена роль "получатели только для чтения" или вы должны входить в группу пользователей, которым она назначена.

Сохранение содержимого в учетных записях OneDrive

Чтобы собрать список URL-адресов для OneDrive для бизнеса сайтов в вашей организации, чтобы добавить их в удержание или поиск, связанный с делом об обнаружении электронных данных, см. статью Создание списка всех расположений OneDrive в организации. Скрипт, приведенный в этой статье, создает текстовый файл, содержащий список всех сайтов OneDrive в вашей организации. Чтобы запустить этот скрипт, требуется установить и использовать командную консоль SharePoint Online. Не забудьте добавить URL-адрес домена личного сайта вашей организации к каждому сайту OneDrive, на котором нужно выполнить поиск. Это домен, содержащий все ваши oneDrive; например, https://contoso-my.sharepoint.com. Ниже приведен пример URL-адреса для сайта OneDrive пользователя: https://contoso-my.sharepoint.com/personal/sarad_contoso_onmicrosoft.com.

Важно!

URL-адрес учетной записи OneDrive пользователя включает имя участника-пользователя (UPN) (например, https://alpinehouse-my.sharepoint.com/personal/sarad_alpinehouse_onmicrosoft_com). В редких случаях, когда имя участника-пользователя изменяется, его URL-адрес OneDrive также будет изменен, чтобы включить новое имя участника-пользователя. Если учетная запись OneDrive пользователя является частью удержания обнаружения электронных данных, а имя участника-пользователя изменено, необходимо обновить удержание, добавив новый URL-адрес OneDrive пользователя и удалив старый. Если URL-адрес сайта OneDrive изменяется, ранее размещенные удержания на сайте остаются в силе, а содержимое сохраняется. Дополнительные сведения см. в разделе Как изменения UPN влияют на URL-адрес OneDrive.

Удаление местоположений контента из-под запрета на обнаружение электронных данных

После удаления почтового ящика, сайта SharePoint или учетной записи OneDrive из-под запрета на обнаружение электронных данных применяется отложенное удержание . Это означает, что фактическое удаление удержания задерживается на 30 дней, чтобы предотвратить окончательное удаление данных из расположения содержимого. Это дает администраторам возможность искать или восстанавливать содержимое, которое будет очищено после удаления удержания обнаружения электронных данных. Детали того, как отложенное удержание работает для почтовых ящиков и сайтов, различаются.

  • Почтовых ящиков: Задержка помещается в почтовый ящик в следующий раз, когда помощник по управляемым папкам обрабатывает почтовый ящик и обнаруживает, что удержание eDiscovery было удалено. В частности, отложенное удержание применяется к почтовому ящику, когда помощник для управляемых папок устанавливает для одного из следующих свойств почтового ящика значение True :

    • DelayHoldApplied: Это свойство применяется к содержимому, связанному с электронной почтой (созданному пользователями Outlook и Outlook в Интернете), хранящейся в почтовом ящике пользователя.
    • DelayReleaseHoldApplied: Это свойство применяется к облачному содержимому (созданному не outlook-приложениями, такими как Microsoft Teams, Microsoft Forms и Microsoft Yammer), которое хранится в почтовом ящике пользователя. Облачные данные, созданные приложением Майкрософт, обычно хранятся в скрытой папке в почтовом ящике пользователя.

    Когда для почтового ящика применяется отложенное удержание (если для любого из предыдущих свойств задано значение True ), почтовый ящик по-прежнему считается задержанным на неограниченный срок, как если бы почтовый ящик был поставлен на удержание для судебного разбирательства. Через 30 дней срок удержания задержки истечет, и Microsoft 365 автоматически попытается удалить удержание задержки (установив для свойства DelayHoldApplied или DelayReleaseHoldApplied значение False), чтобы удержание было удалено. После того как для любого из этих свойств задано значение False, соответствующие элементы, помеченные для удаления, очищаются при следующей обработке почтового ящика помощником по управляемым папкам.

    Дополнительные сведения см. в разделе Управление почтовыми ящиками при удержании с задержкой.

  • Сайты SharePoint и OneDrive: Все содержимое SharePoint или OneDrive, которое хранится в архивной библиотеке, не удаляется в течение 30-дневного периода удержания после удаления сайта из удержания eDiscovery. Это похоже на то, что происходит при освобождении сайта из политики хранения. Кроме того, вы не можете вручную удалить этот контент из библиотеки Preservation Hold в течение 30-дневного периода отложенного хранения. Сведения об освобождении сайта от 30-дневного удержания или отсрочки в период отсрочки см. в статье Не удается удалить сайт из-за недопустимой политики хранения или удержания электронных данных .

    Дополнительные сведения см. в разделе Выпуск политики для хранения .

Задержка удержания также применяется к местам хранения содержимого при закрытии дела обнаружения электронных данных (стандартный), так как удержания отключаются при закрытии дела. Дополнительные сведения о закрытии дела см. в разделе Закрытие, повторное открытие и удаление дела обнаружения электронных данных (стандартный).

Ограничения удержания обнаружения электронных данных

В следующей таблице перечислены ограничения для случаев обнаружения электронных данных и удержания случаев.

Описание ограничения Ограничение
Максимальное количество дел для организации. Не ограничено
Максимальное количество политик хранения электронных данных для организации. Это ограничение включает совокупное количество политик удержания в случаях обнаружения электронных данных (стандартный) и eDiscovery (премиум). 10 0001
Максимальное количество почтовых ящиков в одном удержании обнаружения электронных данных. Это ограничение включает общее количество почтовых ящиков пользователей и почтовых ящиков, связанных с группами Microsoft 365, Microsoft Teams и Viva Engage Группы. 1,000
Максимальное количество сайтов в одном удержании обнаружения электронных данных. Это ограничение включает общее количество OneDrive для бизнеса сайтов, сайтов SharePoint и сайтов, связанных с группами Microsoft 365, Microsoft Teams и Viva Engage Группы. <br/ 100
Максимальное число случаев, отображаемых на домашней странице обнаружения электронных данных, и максимальное количество элементов, отображаемых на вкладках Удержание, Поиск и Экспорт в деле. 10001
Ограничения удержания для сайтов SharePoint и OneDrive Дополнительные сведения см. в разделе Ограничения SharePoint.

Примечание.

1 Чтобы просмотреть список из более чем 1000 случаев, удержаний, поисков или экспорта, можно использовать соответствующий командлет PowerShell для обеспечения соответствия требованиям безопасности &: