Использование отчета о удержании (предварительная версия) в обнаружении электронных данных

Отчет о удержании (предварительная версия) в eDiscovery позволяет пользователям с разрешениями администратора обнаружения электронных данных или диспетчера обнаружения электронных данных (предварительная версия) получить доступ к встроенному отчету со сведениями обо всех удержаниях, связанных с случаями обнаружения электронных данных на портале Microsoft Purview. Этот отчет включает удержания обнаружения электронных данных, связанные с случаями обнаружения электронных данных. В отчете о удержании отображаются расположения данных и отчеты обо всех политиках удержания в клиенте. В нем перечислены все расположения, которые являются частью этих политик удержания, независимо от того, включены ли они или отключены.

Важно!

Отчет о удержании находится в общедоступной предварительной версии и содержит сводку политик удержания на уровне клиента для всех случаев обнаружения электронных данных. Отчет синхронизирует состояние политики и расположения не чаще одного раза в семь дней, поэтому отображаемая информация может не отражать последние изменения политик удержания. Чтобы узнать текущее состояние конкретной политики удержания и ее расположения, перейдите на страницу сведений о политике удержания в Microsoft Purview eDiscovery случае. Дополнительные сведения см. в статье Управление удержаниями в обнаружении электронных данных.

Совет

Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.

Шаг 1. Проверка подписки и разрешений

• Ваша организация должна иметь подписку организации , которая поддерживает функции обнаружения электронных данных уровня "Премиум" для создания отчета о удержании и доступа к ней.
• Пользователям, обращаюющимся к отчету о удержании, должна быть назначена роль администратора обнаружения электронных данных или диспетчера обнаружения электронных данных (предварительная версия). Все администраторы обнаружения электронных данных и менеджеры по обнаружению электронных данных в вашей организации могут просматривать отчет о удержании. Диспетчеры обнаружения электронных данных могут просматривать только отчеты о удержании, связанные с делами, в которых они входят. Дополнительные сведения о разрешениях eDiscovery и роли администратора обнаружения электронных данных и диспетчера обнаружения электронных данных см. в разделе Назначение разрешений на обнаружение электронных данных.

Шаг 2. Просмотр отчета о удержании

1. Перейдите к отчету о удержаниипанелей мониторинга>eDiscovery(предварительная версия), чтобы просмотреть отчет о удержании>.
2. Сортируйте, фильтруйте, группируйте по столбцам и настраивайте столбцы для настройки отчета о удержании.
3. Скачайте отчет о удержании в файл .csv для дальнейшего анализа. Весь отчет загружается независимо от того, какой параметр фильтрации или группировки вы применяете к отчету. Вы также можете использовать сценарий PowerShell для создания отчета о удержании для автоматической отчетности.

Количество элементов в верхней части отчета о удержании — это общее количество расположений в политиках удержания в клиенте. Если одно и то же расположение помещается на удержание в разных политиках, то одно и то же расположение появляется в отчете несколько раз в соответствии с соответствующим делом и политикой удержания и приводит к подсчету нескольких элементов.

При поиске в отчете выполняются только столбцы Имя варианта и Расположение . Например, при поиске ключевое слово Test поиск возвращает только элементы, связанные с вариантом или расположением, содержащим слово Test.

Столбцы отчета о удержании по умолчанию

• Имя варианта: имя дела, с которым связана политика удержания. Если имя обращения изменяется и вы обновляете политику удержания, связанную с делом, отчет сразу же отражает изменение имени обращения для связанной строки. При полной синхронизации отчета (в настоящее время каждые три-семь дней) имя случая также обновляется.

• Имя удержания: имя политики удержания, содержащей связанные расположения.

• Последнее изменение: дата последнего обновления политики удержания обнаружения электронных данных.

• Расположение: почтовый ящик Exchange или сайт SharePoint в политике удержания. Если в этом поле отображается значение Нет, это означает, что в политике удержания нет активных расположений. Все предыдущие расположения, которые были частью политики, освобождаются от удержания и удаляются из политики.

• Ошибка расположения. Отображает сообщение об ошибке, связанное с расположением в политике удержания. Если в этом поле отображается значение Нет, это означает, что в связанном расположении нет ошибок, даже если оно является частью частично примененной или освобожденной политики.

• Тип расположения. Указывает, является ли расположение сайтом SharePoint или почтовым ящиком Exchange.

• Состояние политики. Доступны следующие значения состояния политики:

  • Успешно применено. Указывает, что политика удержания включена (включена), для политики включено правило и политика успешно применяется. Это состояние означает, что расположение находится на удержании.
  • Применение. Указывает, что политика удержания, частью которой является расположение, включена и выполняется применение удержаний к расположениям в ней. Это задание является асинхронным, что означает, что некоторые расположения могут быть помещены на удержание, а другие могут по-прежнему выполняться. Дождитесь завершения задания удержания, чтобы проверить окончательное состояние.
  • Частично применено: указывает, что политика удержания, частью которой является расположение, включена и имеет некоторые расположения, в которых удержание может не применяться. Проверьте столбец "Ошибка расположения". Если связанный результат — "Нет", расположение помещается на удержание. Если возникает связанная ошибка, расположение не помещается на удержание, и здесь отображается сообщение об ошибке. Проверьте политику удержания для получения дополнительных сведений, чтобы исправить и повторить удержание.
  • Выпущено успешно. Указывает, что политика удержания, частью которого является расположение, отключена и успешно завершена. Это состояние означает, что связанное расположение успешно освобождено из удержания.
  • Выпуск. Указывает, что политика удержания, частью которой является расположение, отключена и выполняется освобождение удержаний из расположений в ней. Это задание является асинхронным, что означает, что некоторые расположения могут быть удалены из удержания, в то время как другие еще могут выполняться. Дождитесь завершения задания удержания, чтобы проверить окончательное состояние.
  • Частично освобождено. Указывает, что политика удержания, частью которой является расположение, отключена и имеет некоторые расположения, в которых удержание может не быть освобождено. Проверьте столбец "Ошибка расположения". Если связанный результат — "Нет", расположение успешно освобождается из удержания. Если возникает связанная ошибка, расположение не удаляется из удержания, и здесь отображается сообщение об ошибке. Дополнительные сведения см. в политике удержания, чтобы исправить и повторить действие.
  • Сбой политики. Указывает, что политика настроена неправильно. Политика не имеет правила или была настроена с отключенным. Эти политики не применяются, даже если состояние политики успешно. Чтобы обеспечить применение этих политик, создайте правило и повторно схроните политику. Дополнительные сведения см. в разделе New-CaseHoldRule.

Примечание.

При удалении учетной записи пользователя в то время как в почтовом ящике активна удержание eDiscovery, почтовый ящик становится неактивным. В отчете о удержании по-прежнему отображаются расположение и состояние удержания. Если после удаления учетной записи в расположении отображается ошибка, эта ошибка может указывать на то, что удержание еще не на месте, так как вы удалили учетную запись до ее применения системой или что переход почтового ящика все еще обрабатывается. Чтобы убедиться, что удержание на месте перед удалением учетной записи, см. статью Определение типов удержания почтовых ящиков Exchange в обнаружении электронных данных.

Другие доступные столбцы отчета о удержании

• Тип обращения. Указывает, является ли дело обнаружением электронных данных или делом eDiscovery с функциями уровня "Премиум".
• Состояние обращения: отображает состояние дела. Значения : Активный, Закрывающий, Закрытый с ошибкой, Ожидающий удаления или Закрытый. Если состояние обращения меняется и вы обновляете политику удержания, связанную с делом, отчет сразу же отражает изменение состояния обращения для связанной строки. При полной синхронизации отчета (в настоящее время каждые три-семь дней) также обновляются все изменения состояния случая.
• Политика, созданная. Отображает пользователя, создавшего начальную политику удержания.
• Политика последнее изменение: отображает пользователя, который последний раз изменял политику удержания.
• Политика последнего изменения: показывает дату последнего обновления политики. Эта дата является датой обновления политики и не обязательно совпадает с датой, в которую расположение было помещено или освобождено из удержания.
• Отчет о последней выборке: отображает метку даты и времени последней выборки сведений о состоянии и расположении политики в отчете для конкретной политики.
• Дата создания политики. Показывает первую дату создания политики. Эта дата является датой создания политики и не обязательно совпадает с датой размещения или освобождения от удержания.
• Идентификатор удержания: уникальный идентификатор политики удержания.
• Идентификатор обращения: уникальный идентификатор дела, связанного с политикой удержания.
• Запрос правила. Отображает любой запрос на соответствие содержимого, применяемый к политике. Если к политике не применяется запрос на сопоставление содержимого, это поле будет пустым.
• Идентификатор правила: уникальный идентификатор правила, связанного с политикой удержания. Это состояние полезно для отправки сведений в корпорацию Майкрософт при отправке сообщений об ошибках удержания. Если с политикой нет правила, в этом поле отображается правило недоступно . Политики, в которых правило недоступно, настроены неправильно и не применяются. Создание правил и повторная синхронизация политики. Дополнительные сведения см. в разделе New-CaseHoldRule.