Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Создание удержаний для сохранения содержимого, которое может иметь отношение к делу обнаружения электронных данных. Поместите удержание в почтовых ящиках Exchange и учетных записях OneDrive пользователей, которые вы расследуете в данном случае. Вы также можете удерживать почтовые ящики и сайты, связанные с Microsoft Teams, группами Microsoft 365 и группами Viva Engage. При размещении расположений содержимого на удержание содержимое сохраняется до тех пор, пока вы не удалите его из удержания или пока не удалите или не освободите удержание.
Важно!
После создания удержания обнаружения электронных данных может потребоваться до 24 часов. Для долгосрочного хранения данных, не связанных с исследованиями обнаружения электронных данных, используйте политики хранения и метки хранения. Дополнительные сведения см. в статье Сведения о политиках и метках хранения.
При создании удержания используйте следующие параметры, чтобы область содержимое, сохраненное в указанных расположениях содержимого:
- Создать бесконечное удержание, при котором весь контент в указанных местах помещается на удержание . Кроме того, можно создать удержание на основе запроса, в котором на удержание помещается только содержимое в указанных расположениях, соответствующее поисковому запросу.
- Укажите диапазон дат, чтобы сохранить только содержимое, отправленное, полученное или созданное в этом диапазоне. Кроме того, можно хранить все содержимое в указанных расположениях независимо от того, когда оно было отправлено, получено или создано.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Создание удержания
Совет
Предпочитаете ли вы интерактивное руководство по настройке? Ознакомьтесь с руководством по применению удержания .
Чтобы создать удержание eDiscovery, связанное с делом обнаружения электронных данных, выполните следующие действия.
Перейдите на портал Microsoft Purview и войдите с учетными данными для учетной записи пользователя, назначенной разрешениями на обнаружение электронных данных.
Выберите решение eDiscovery карта, а затем выберите Варианты (предварительная версия) на панели навигации слева.
Выберите дело, а затем перейдите на вкладку Политики удержания .
На панели мониторинга Политики удержания выберите Создать политику.
На странице Ввод сведений для начала работы заполните следующие поля:
- Имя политики: присвойте политике удержания имя (обязательно). Имя политики удержания должно быть уникальным в вашей организации.
- Описание политики. Добавьте необязательное описание, чтобы помочь другим пользователям понять эту политику удержания.
Нажмите кнопку Создать , чтобы создать новую политику удержания и начать удержание соответствующих данных для дела.
Пошаговые инструкции по добавлению источников данных в политику удержания см. в статье Источники данных в eDiscovery .
Во всплывающей области Управление источниками данных добавьте или удалите источники данных для политики удержания. Вы можете выбрать одного или нескольких пользователей, групп или расположений организации.
Для создания политики удержания необходимо выбрать хотя бы один источник данных.
Введите пользователей, группы или расположения организации, которые вы хотите добавить в политику удержания.
Группы рассылки. При создании удержания и выборе группы рассылки в качестве источника данных отображаются все текущие члены группы рассылки. Вы можете выбрать все почтовые ящики или сайты для каждого пользователя для включения в удержание.
Важно!
При выборе списка рассылки для размещения на удержании список рассылки расширяется в члены списка рассылки. Вы можете поместить все почтовые ящики и сайты участников на удержание или подмножество или сочетание этих источников данных на удержание. Последующие изменения в членстве в списке рассылки не изменяют или не обновляют удержания или политику. Необходимо снова добавить список рассылки в источник данных, чтобы обеспечить отражение и расширение последнего членства.
Расширение списка рассылки ограничено не более чем 100 участниками. Если список рассылки содержит более 100 членов, расширение может завершиться ошибкой и список рассылки не будет успешно добавлен. В этом случае разделите список рассылки на более мелкие группы, прежде чем добавлять их в качестве источников данных.
Почтовые ящики Exchange. Для почтовых ящиков, помещенных на удержание, установлены применимые флажки. Используйте команду Изменить , чтобы найти почтовые ящики пользователей и группы рассылки (почтовые ящики участников группы) для удержания. Вы также можете удерживать связанный почтовый ящик для группы Майкрософт, группы Microsoft 365 и группы Viva Engage. Дополнительные сведения о данных приложения, которые сохраняются при удержании почтового ящика, см. в разделе Содержимое, хранящееся в почтовых ящиках для обнаружения электронных данных.
Сайты SharePoint. Для сайтов SharePoint и учетных записей OneDrive, помещенных на удержание, установлены применимые флажки. Используйте команду Изменить , чтобы ввести URL-адрес для дополнительных сайтов, которые нужно поместить на удержание. Вы также можете добавить URL-адрес сайта SharePoint для группы Microsoft Team, Microsoft 365 или группы Yammer. Чтобы избежать возможного усечения URL-адресов, рекомендуется использовать имена сайтов SharePoint не более 70 символов. Политики удержания могут не найти сайты для усеченных URL-адресов сайтов и могут иметь ошибки доступа. Размещение удержания на дочернем сайте не допускается, даже если дочерний сайт отображается в элементе выбора расположения. Если выбран дочерний сайт, удержание помещается на общий сайт SharePoint.
Важно!
Корзина на сайтах SharePoint не индексируется и поэтому недоступна для поиска. В результате поиск электронных данных не может найти содержимое корзины для размещения удержаний.
Выберите Сохранить. Теперь вы определили область источников данных для политики удержания.
Чтобы определить параметры политики удержания, выберите один из следующих параметров на вкладке Политика удержания :
Построитель условий. Параметр построителя условий в поиске обеспечивает визуальную фильтрацию при создании политик удержания. Каждое условие добавляет предложение, которое создается и выполняется при создании удержания. Например, можно указать диапазон дат, чтобы сохранить документы электронной почты или сайта, созданные в указанном диапазоне дат. Подробные сведения об использовании параметра построителя условий см . в статье Использование построителя условий для создания поисковых запросов в eDiscovery.
язык KeyQL (KeyQL): параметр запроса язык KeyQL (KeyQL) в поиске предоставляет рекомендации и позволяет быстро вставлять длинные сложные запросы непосредственно в редактор. Подробные сведения о создании поисковых запросов с параметром KeyQL см. в статье Использование язык KeyQL для создания поисковых запросов в eDiscovery.
Вы также можете быстро создавать KeyQL запросы для поиска с помощью Microsoft Security Copilot. Дополнительные сведения см. в статье Создание поискового запроса KeyQL с помощью Microsoft Copilot (предварительная версия).
Важно!
Чтобы получить наилучшие результаты при работе с зашифрованными или частично индексированных элементами, ограничьте условия датами, участниками и типом в удержаниях на основе запросов. Запросы не применяются к другим условиям в зашифрованных или частично индексированных элементах, и удержание может не применяться к этим элементам.
Выберите Применить удержание.
Важно!
Чтобы применить удержание к сайту SharePoint, сайт должен иметь заголовок.
После создания удержания проверка, что удержание успешно применено, перейдя на вкладку Сведения для политики удержания. Для политики удержания можно просмотреть следующие сведения:
- Имя: имя источника данных.
- Расположение: конкретное расположение (например, SMTP-адрес почтового ящика или URL-адрес сайта) источников данных, включенных в политику удержания.
- Состояние удержания: состояние удержания расположения. Указывает, находится ли расположение на удержании, а не на удержании или возникла ошибка при удержании.
- Тип источника. Показывает, является ли тип источника данных Люди или Group.
- Тип расположения: показывает, является ли расположение почтовым ящиком или сайтом.
Примечание.
При создании удержания на основе запросов все содержимое из выбранных расположений помещалось на удержание. Позже система удаляет все содержимое, которое не соответствует указанному запросу, из удержания каждые семь-14 дней. Однако удержание на основе запросов не очищает содержимое, если к расположению контента применяется более пяти удержаний любого типа. Удержание всегда включает частично или неиндексированные элементы из расположения с удержанием на основе запроса.
Создание удержания из поиска
Вы можете создать удержание eDiscovery непосредственно из поиска. Однако создание удержания непосредственно из поиска имеет следующие ограничения:
Удержание удаляет источники данных на уровне клиента, содержащиеся в поиске. Удержания не поддерживают источники данных на уровне клиента.
Удержание расширяет списки рассылки, содержащиеся в поиске. Вы можете поместить все почтовые ящики и сайты участников на удержание или подмножество или сочетание этих источников данных на удержание. Последующие изменения в членстве в списке рассылки не изменяют или не обновляют удержания или политику. Если список рассылки пуст, он удаляется из удержания, так как нечего развертывать.
Запрос, используемый в поиске, не включается в политику удержания. Источники данных в область для поиска включаются в политику удержания.
Чтобы создать удержание eDiscovery из поиска, выполните следующие действия.
- Выполните действия по созданию поискового запроса.
- Выберите Создать удержание на панели команд для поиска.
- Просмотрите новую политику удержания и при необходимости обновите ее.
Диспетчер процессов
Диспетчер процессов отображает сведения о процессах, выполняемых в политике удержания.
- Тип процесса: тип процесса.
- Состояние: состояние процесса.
- Создано: дата и время создания процесса.
- Завершено: дата и время завершения процесса.
- Длительность: длительность процесса.
- Создано: пользователь, создавший процесс.
Чтобы скачать список процессов и сведения о столбце, выберите Скачать список , чтобы создать файл .csv, содержащий эти сведения.
Сведения обо всех процессах обнаружения электронных данных см. в статье Использование отчета об обработке в обнаружении электронных данных.
Запреты на основе запросов, размещенные на сайтах
Учитывайте следующие моменты при удержании обнаружения электронных данных на основе запросов в документах, расположенных на сайтах SharePoint.
- Хранение на основе запросов изначально сохраняет все документы на сайте в течение короткого периода времени после их удаления. При удалении документа вы перемещаете его в библиотеку хранения, даже если он не соответствует критериям удержания на основе запроса. Однако задание таймера удаляет удаленные документы, которые не соответствуют удержанию на основе запроса. Задание таймера выполняется периодически и сравнивает все документы в библиотеке хранения с удержанием электронных данных на основе запросов (и другими типами удержаний и политиками хранения). Задание таймера удаляет документы, которые не соответствуют удержанию на основе запросов, и сохраняет документы, которые делают.
- Используйте удержания на основе запросов для целевого сохранения, например ключевых слов, диапазонов дат или других свойств документа, для сохранения документов сайта.
Сохранение содержимого в Microsoft Teams
Беседы, которые являются частью канала Microsoft Teams, хранятся в почтовом ящике, связанном с командой Майкрософт. Файлы, которыми обмениваются участники команды, также сохраняются на сайте команды SharePoint. Поэтому необходимо поместить почтовый ящик Группы и сайт SharePoint в удержание обнаружения электронных данных, чтобы сохранить беседы и файлы в канале.
Кроме того, беседы, входящие в список чатов в Teams ( чаты 1:1 или чаты группы 1:N), хранятся в почтовых ящиках пользователей, участвующих в чате. Файлы, которыми пользователи делятся в беседах чата, хранятся в учетной записи OneDrive пользователя, который предоставляет общий доступ к файлу. Поэтому необходимо добавить отдельные почтовые ящики пользователей и учетные записи OneDrive в удержание обнаружения электронных данных, чтобы сохранить беседы и файлы в списке чатов. Рекомендуется разместить удержание на почтовых ящиках членов команды Майкрософт в дополнение к удержанию почтового ящика группы и сайта группы.
Примечание.
Если в вашей организации есть гибридное развертывание Exchange (или ваша организация синхронизирует локальную организацию Exchange с Office 365) и включила Microsoft Teams, локальные пользователи могут использовать приложение чата Teams и участвовать в чатах 1:1 и в групповых чатах 1:N. Эти беседы хранятся в облачном хранилище, связанном с локальным пользователем. Если вы помещаете локального пользователя в удержание обнаружения электронных данных, содержимое чата Teams в облачном хранилище сохраняется. Дополнительные сведения см. в статье Поиск данных в чате Teams для локальных пользователей.
Сохранение содержимого карта
Содержимое карточек, созданное приложениями в каналах Teams, чатах 1:1 и групповых чатах 1:N, сохраняется в почтовых ящиках и сохраняется при хранении почтового ящика в хранилище eDiscovery. Карточка — это контейнер пользовательского интерфейса для коротких фрагментов контента. Карточки могут иметь несколько свойств и вложений, а также могут содержать элементы, которые активируют действия карта. Дополнительные сведения см. в разделе Карточки. Как и другое содержимое Teams, место хранения содержимого карточки зависит от того, где она была использована. Содержимое карточек, используемых в канале Teams, хранится в почтовом ящике группы Teams. Содержимое карточек для чатов 1:1 и 1xN хранится в почтовых ящиках участников беседы.
Сохранение сведений о собрании и звонках
Сводные сведения о собраниях и звонках в канале Teams также хранятся в почтовых ящиках пользователей, набравших звонок или собрание. Это содержимое также сохраняется, когда вы помещаете удержание eDiscovery в почтовые ящики пользователей.
Сохранение содержимого в частных каналах
Вы также можете сохранить содержимое в частных каналах. Чаты частного канала хранятся в выделенном почтовом ящике частного канала. Данные сообщений частного канала из почтового ящика каждого пользователя перемещаются в почтовый ящик частного канала, а изменения и удаленные сообщения не копируются в почтовый ящик. Для пользователей, удерживаемых на удержании, копии изменений сообщений и удаленных сообщений остаются в сохраненной папке библиотеки пользователя до истечения срока удержания, а последняя версия данных сообщений частного канала из почтового ящика каждого пользователя копируется в почтовый ящик частного канала.
Сохранение вики-содержимого
Каждая команда или канал команды также содержит вики-сайт для создания заметок и совместной работы. Содержимое вики-сайта автоматически сохраняется в файл в формате MHT. Этот файл хранится в библиотеке документов вики-данных Teams на сайте SharePoint команды. Вы можете сохранить вики-содержимое, добавив сайт SharePoint команды в удержание eDiscovery.
Примечание.
22 июня 2017 г. была выпущена возможность сохранения вики-содержимого для команды или канала команды (при удержании сайта SharePoint группы). Если сайт группы находится на удержании, вики-содержимое сохраняется начиная с этой даты. Однако если сайт группы находится на удержании и содержимое вики-сайта было удалено до 22 июня 2017 г., вики-содержимое не сохраняется.
Группы Microsoft 365
Teams основана на группах Microsoft 365. Поэтому размещение групп Microsoft 365 в удержании обнаружения электронных данных аналогично удержанию содержимого Teams.
При размещении групп Teams и Microsoft 365 в удержании обнаружения электронных данных учитывайте следующие моменты:
Чтобы поместить содержимое, размещенное в группах Teams и Microsoft 365, на удержание, необходимо указать почтовый ящик и сайт SharePoint, связанные с группой или группой.
Выполните командлет Get-UnifiedGroup в Exchange Online PowerShell, чтобы просмотреть свойства teams и групп Microsoft 365. Этот метод позволяет получить URL-адрес сайта, связанного с группой team или группой Microsoft 365. Например, следующая команда отображает выбранные свойства для группы Microsoft 365 с именем Senior Leadership Team:
Get-UnifiedGroup "Senior Leadership Team" | FL DisplayName,Alias,PrimarySmtpAddress,SharePointSiteUrl DisplayName : Senior Leadership Team Alias : seniorleadershipteam PrimarySmtpAddress : seniorleadershipteam@contoso.onmicrosoft.com SharePointSiteUrl : https://contoso.sharepoint.com/sites/seniorleadershipteamПримечание.
Чтобы запустить командлет Get-UnifiedGroup, вам потребуется роль View-Only Получатели в Exchange Online или членство в группе ролей, которой назначена роль View-Only Recipients.
При поиске в почтовом ящике пользователя поиск не включает группу Team или Группу Microsoft 365, членом которых является пользователь. Аналогичным образом, если вы размещаете группу Team или Microsoft 365 в хранилище eDiscovery, удержание применяется только к почтовому ящику группы и сайту группы. Почтовые ящики и сайты участников группы в OneDrive не помещаются на удержание, если вы явно не добавите их в удержание eDiscovery. Поэтому, если вам нужно поместить группу Team или Группу Microsoft 365 на удержание по юридическим причинам, рассмотрите возможность добавления почтовых ящиков и учетных записей OneDrive участников группы или участников группы на одном удержании.
Чтобы получить список участников группы или группы Microsoft 365, можно просмотреть свойства на странице Группы в Центр администрирования Microsoft 365. Или можно выполнить следующую команду в Exchange Online PowerShell:
Get-UnifiedGroupLinks <group or team name> -LinkType Members | FL DisplayName,PrimarySmtpAddressПримечание.
Чтобы запустить командлет Get-UnifiedGroupLinks, вам потребуется роль View-Only Recipients в Exchange Online или членство в группе ролей, которой назначена роль View-Only Recipients.
Сохранение содержимого в учетных записях OneDrive
Важно!
Срок хранения для удаленных учетных записей OneDrive отличается от срока хранения для почтовых ящиков. Дополнительные сведения о сроке хранения удаленных учетных записей OneDrive см. в статье Хранение и удаление OneDrive.
Чтобы собрать список URL-адресов для сайтов OneDrive в вашей организации, чтобы добавить их в удержание или поиск, связанный с делом об обнаружении электронных данных, см. статью Создание списка всех расположений OneDrive в вашей организации.
Скрипт, приведенный в этой статье, создает текстовый файл, содержащий список всех сайтов OneDrive в вашей организации. Чтобы запустить этот скрипт, необходимо установить и использовать командная консоль SharePoint Online. Не забудьте добавить URL-адрес домена личного сайта вашей организации к каждому сайту OneDrive, на котором нужно выполнить поиск. Этот домен содержит все сайты OneDrive; например, https://contoso-my.sharepoint.com. Ниже приведен пример URL-адреса для сайта OneDrive пользователя: https://contoso-my.sharepoint.com/personal/sarad_contoso_onmicrosoft.com.
Важно!
URL-адрес учетной записи OneDrive пользователя включает имя участника-пользователя (UPN) (например, https://alpinehouse-my.sharepoint.com/personal/sarad_alpinehouse_onmicrosoft_com). В редких случаях, когда имя участника-пользователя изменяется, его URL-адрес OneDrive также изменяется, чтобы включить новое имя участника-пользователя. Если учетная запись OneDrive пользователя является частью удержания обнаружения электронных данных, а имя участника-пользователя изменено, необходимо обновить удержание, добавив новый URL-адрес OneDrive пользователя и удалив старый. Если URL-адрес сайта OneDrive изменяется, ранее размещенные удержания на сайте остаются в силе, а содержимое сохраняется. Дополнительные сведения см. в разделе Как изменения UPN влияют на URL-адрес OneDrive.
Удаление местоположений контента из-под запрета на обнаружение электронных данных
После удаления почтового ящика, сайта SharePoint или учетной записи OneDrive из удержания обнаружения электронных данных применяется удержание с задержкой . Это задерживает фактическое удаление удержания на 30 дней, чтобы предотвратить окончательное удаление (очистку) данных из расположения содержимого. Эта задержка дает администраторам возможность искать или восстанавливать содержимое, которое очищается после удаления удержания обнаружения электронных данных. Детали того, как отложенное удержание работает для почтовых ящиков и сайтов, различаются.
Почтовых ящиков: Задержка помещается в почтовый ящик в следующий раз, когда помощник по управляемым папкам обрабатывает почтовый ящик и обнаруживает, что удержание eDiscovery было удалено. В частности, отложенное удержание применяется к почтовому ящику, когда помощник для управляемых папок устанавливает для одного из следующих свойств почтового ящика значение True :
- DelayHoldApplied: Это свойство применяется к содержимому, связанному с электронной почтой (созданному пользователями Outlook и Outlook в Интернете), хранящейся в почтовом ящике пользователя.
- DelayReleaseHoldApplied: Это свойство применяется к облачному содержимому (созданному не outlook-приложениями, такими как Microsoft Teams, Microsoft Forms и Microsoft Yammer), которое хранится в почтовом ящике пользователя. Облачные данные, созданные приложением Майкрософт, обычно хранятся в скрытой папке в почтовом ящике пользователя.
Если в почтовом ящике помещается задержка (если для любого из предыдущих свойств задано значение True), почтовый ящик по-прежнему считается на удержании в течение неограниченного срока хранения, как если бы почтовый ящик находился на удержании для судебного разбирательства. Через 30 дней срок удержания задержки истекает, и Microsoft 365 автоматически пытается удалить удержание задержки (задав для свойства DelayHoldApplied или DelayReleaseHoldApplied значение False), чтобы удалить удержание. После того как для любого из этих свойств задано значение False, соответствующие элементы, помеченные для удаления, очищаются при следующей обработке почтового ящика помощником по управляемым папкам.
Сайты SharePoint и OneDrive: Все содержимое SharePoint или OneDrive, которое хранится в архивной библиотеке, не удаляется в течение 30-дневного периода удержания после удаления сайта из удержания eDiscovery. Это поведение аналогично тому, что происходит при освобождении сайта из политики хранения. Кроме того, вы не можете вручную удалить этот контент из библиотеки Preservation Hold в течение 30-дневного периода отложенного хранения. Сведения об освобождении сайта от 30-дневного удержания или отсрочки в период отсрочки см. в статье Не удается удалить сайт из-за недопустимой политики хранения или удержания электронных данных .
Дополнительные сведения см. в разделе Выпуск политики для хранения .
Задержка удержания также применяется к расположениям содержимого при удержании при закрытии дела обнаружения электронных данных, так как удержания отключаются при закрытии дела. Дополнительные сведения о закрытии дела см . в статье Сведения о параметрах случаев в eDiscovery.