Поделиться через

Сведения об обнаружении электронных данных

Электронное обнаружение, или обнаружение электронных данных, — это процесс идентификации и доставки информации, хранящейся в электронном виде (ESI), которую можно использовать в качестве доказательства в расследованиях и судебных делах. Используйте Microsoft Purview eDiscovery для выявления, просмотра и управления содержимым в службах Microsoft 365 для поддержки расследований. Поддерживаемые службы Microsoft 365:

  • Exchange Online.
  • Microsoft Teams
  • Группы Microsoft 365
  • OneDrive
  • SharePoint;
  • Viva Engage

Вы можете искать почтовые ящики и сайты в одном поиске eDiscovery, а затем экспортировать результаты поиска. Используйте случаи обнаружения электронных данных для идентификации, хранения и экспорта содержимого, найденного в почтовых ящиках и на сайтах. Если в вашей организации есть подписка на Office 365 E5 или Microsoft 365 E5 (или связанные подписки на надстройки E5), вы можете дополнительно управлять обращениями и анализировать содержимое с помощью функций обнаружения электронных данных уровня "Премиум".

Обнаружение электронных данных на портале Microsoft Purview

В зависимости от лицензирования и подписок для вашей организации у вас есть доступ к определенным функциям обнаружения электронных данных или премиум-класса на портале Microsoft Purview. Все функции поиска контента теперь включены в интерфейс поиска в eDiscovery, или вы можете использовать вариант поиска контента в eDiscovery для управления всеми новыми и существующими поисками контента.

Последние сведения о запланированных функциях и возможностях обнаружения электронных данных и предполагаемых датах выпуска см. в статье Стратегия развития Microsoft 365.

Важно!

Классические возможности обнаружения электронных данных были прекращены 31 августа 2025 г. Это прекращение включает классический поиск контента, классическое обнаружение электронных данных (Standard) и классическое обнаружение электронных данных (премиум). Эти параметры недоступны как вариант взаимодействия на портале Microsoft Purview.

Если вы не работаете напрямую с корпорацией Майкрософт при использовании этих устаревших функций для конкретных краткосрочных сценариев перехода, используйте руководство по новому интерфейсу обнаружения электронных данных на портале Microsoft Purview.

Заметные изменения в обнаружении электронных данных

Если вы знакомы с предыдущими версиями eDiscovery, вы можете заметить несколько различий при использовании обнаружения электронных данных на портале Microsoft Purview:

  • Расширенное индексирование. При добавлении хранимого или ненастроенного источника данных в дело в предыдущих версиях обнаружения электронных данных необходимо повторно индексировать все содержимое, которое частично индексировано или имеет ошибки индексирования. При повторной индексации определяется, относится ли содержимое к определенным условиям поиска. Этот процесс повторной индексации называется расширенным индексированием. По мере добавления в источники данных (почтовый ящик пользователя, учетная запись OneDrive и т. д.), необходимо отдельно обновлять индекс для конкретных хранимых или ненастояемых источников данных.

    В eDiscovery расширенное индексирование выполняется автоматически во время каждого поиска, в котором задана область для статистических результатов, и при добавлении результатов в набор проверки или экспорте результатов поиска в зависимости от параметров индексирования, которые вы выберете для процесса. Вам больше не нужно отдельно переиндексировать источники данных перед процессом поиска. Этот простой процесс индексирования помогает избежать проблем с устаревшими индексами, которые могут привести к индексации и поиску, выполняющимся последовательно и отдельно в классическом интерфейсе. При выполнении (или повторном запуске) поиск автоматически обновляется все индексы.

  • Коллекции. В предыдущих версиях обнаружения электронных данных коллекции предоставляли менеджерам оценки содержимого, которое может иметь отношение к случаям. Эти оценки позволили руководителям принимать быстрые и обоснованные решения о размере и область содержимого, относягося к делам. После добавления в набор для проверки коллекция становится неизменяемой.

    В обнаружении электронных данных статистические данные в поисковых запросах заменяют коллекции. Статистические результаты поиска теперь позволяют менеджерам просматривать важные аналитические сведения о элементах, включенных в результаты, и релевантности для дела. Поиск не является неизменяемым в eDiscovery даже после добавления результатов в набор для проверки. Вы можете обновить поисковые запросы в любое время. Добавление только примера коллекции в набор проверки и удаление поиска удаляется в eDiscovery.

  • Поиск содержимого. Поиск контента на портале соответствия требованиям, снятом с учета, — это отдельное решение от обнаружения электронных данных, используемое для простого поиска контента. Результаты поиска контента — это предполагаемое количество расположений и результатов поиска, которые можно просмотреть или экспортировать на локальный компьютер.

    На портале Microsoft Purview все функции поиска контента теперь включены в созданное системой дело обнаружения электронных данных по умолчанию для всех членов групп ролей диспетчера электронных данных и администратора . Если вам нужно ограничить доступ к поиску контента, используйте параметры обращения , чтобы удалить или добавить участников в дело для управления доступом к этим поискам. Вы также можете выбрать Поиск контента в eDiscovery, чтобы создать в вашей организации дело поиска контента, содержащее все новые и существующие поисковые запросы контента.

    Вариант поиска контента имеет те же возможности, что и другие пользовательские варианты. Вы можете создавать удержания, наборы для проверки и многое другое в случае поиска контента в зависимости от подписки.

    Чтобы узнать больше об изменениях в поиске контента в eDiscovery, проверка следующее видео:

  • Хранители. В предыдущих версиях обнаружения электронных данных хранимые ( пользователи) были основным компонентом рабочего процесса обнаружения электронных данных. Хранители были потенциальными лицами, заинтересованными в расследовании, которое вы добавили к делам.

    В обнаружении электронных данных случаи являются основным компонентом рабочего процесса обнаружения электронных данных. Вы по-прежнему добавляете людей, группы и источники данных в дела, но дело является центральным организационным блоком.

  • Экспорт обновлений. Новый поток экспорта в обнаружении электронных данных поддерживает единую структуру экспорта для экспорта функций premium и nonpremium, более высокую производительность экспорта, подробные отчеты и гибкие варианты экспорта.

  • Задания. В предыдущих версиях обнаружения электронных данных задачи, действия и отчеты, связанные с компонентами рабочего процесса, назывались заданиями. Эти события и отчеты теперь называются процессами в обнаружении электронных данных.

Функции и возможности

В следующей таблице сравниваются основные возможности и функции обнаружения электронных данных:

Возможность Поддержка функций обнаружения электронных данных Поддержка функций обнаружения электронных данных уровня "Премиум"
Поиск содержимого Поддержанный. Поддержанный.
Запросы ключевых слов и условия поиска Поддержанный. Поддержанный.
Статистика поиска Поддержанный. Поддержанный.
Экспорт результатов поиска Поддержанный. Поддержанный.
Разрешения на основе ролей Поддержанный. Поддержанный.
Управление случаями Поддержанный. Поддержанный.
Размещение расположений содержимого на удержание Поддержанный. Поддержанный.
Расширенная индексация Поддержанный.
Наборы для проверки Поддержанный.
Импорт внешних данных для проверки наборов Поддержанный.
Поддержка облачных вложений и версий SharePoint Поддержанный.
Распознавание текста Поддержанный.
Создание цепочки беседы Поддержанный.
Статистика поиска и отчеты Поддержанный.
Фильтрация наборов для проверки Поддержанный.
Расстановка тегов Поддержанный.
Аналитика Поддержанный.
Вычисляемые метаданные документа Поддержанный.
Прозрачность длительных процессов Поддержанный.
Полный отчет по всем процессам Поддержанный.
Расширенное сопоставление источников данных Поддержанный.

Ниже приведено описание каждой возможности обнаружения электронных данных.

  • Поиск содержимого. Поиск содержимого, хранящегося в почтовых ящиках Exchange, учетных записях OneDrive, сайтах SharePoint, Microsoft Teams, Группы Microsoft 365 и Viva Engage Teams. Поиск включает содержимое, созданное другими приложениями Microsoft 365, которые хранят данные в почтовых ящиках и на сайтах.
  • Запросы по ключевым словам и условия поиска. Создайте поисковые запросы язык KeyQL (KeyQL) для поиска ключевых слов контента, соответствующих критериям запроса. Вы также можете включить условия, чтобы сузить область поиска.
  • Статистика поиска и примеры. После выполнения поиска можно просмотреть статистику предполагаемых результатов поиска, например количество и общий размер элементов, соответствующих условиям поиска. Вы также можете просмотреть репрезентативную выборку элементов, включенных в результаты поиска.
  • Экспорт результатов поиска. Экспорт результатов поиска на локальный компьютер в организации. При экспорте результатов поиска элементы копируются из исходного расположения содержимого и упаковываются. Затем вы можете скачать эти элементы в пакете экспорта на локальный компьютер.
  • Управление делами. Дело обнаружения электронных данных содержит все наборы поиска, удержания и проверки, связанные с конкретным исследованием. Вы также можете назначить участникам дело, чтобы контролировать, кто может получить доступ к делу и просматривать его содержимое.
  • Разрешения на основе ролей. Используйте разрешения управления доступом на основе ролей (RBAC) для управления задачами, связанными с обнаружением электронных данных, которые могут выполнять разные пользователи. Вы можете использовать встроенную группу ролей, связанную с обнаружением электронных данных, или создать настраиваемые группы ролей, которые назначают определенные разрешения на обнаружение электронных данных.
  • Помещение расположений контента на удержание. Сохраните содержимое, соответствующее вашему расследованию, установив удержание в расположениях содержимого в случае. Удержания позволяют защитить данные, хранящиеся в электронном виде, от случайного (или намеренного) удаления во время исследования.
  • Расширенное индексирование. При выполнении процесса поиска, проверки или экспорта связанные расположения содержимого, в которых элементы частично индексируются, переиндексируются в процессе расширенного индексирования. Расширенное индексирование обеспечивает повторную обработку любого содержимого, которое считается частично индексируемым, чтобы сделать его полностью пригодным для поиска при сборе данных для исследования.
  • Наборы проверки. Добавление релевантных данных в набор для проверки. Набор для проверки — это безопасное, предоставленное корпорацией Майкрософт хранилище Azure в облаке Майкрософт. При добавлении данных в набор для проверки собранные элементы копируются из исходного расположения содержимого в набор для проверки. Наборы проверки предоставляют статический известный набор содержимого, который можно искать, фильтровать, помечать тегами, анализировать и прогнозировать релевантность с помощью прогнозных моделей кодирования. Вы также можете отслеживать и сообщать о том, какое содержимое добавляется в набор для проверки.
  • Импорт внешних данных для проверки наборов. Не все документы, которые необходимо проанализировать в eDiscovery, находятся в Microsoft 365. С помощью функции импорта внешних данных можно отправлять документы, которые не в Microsoft 365, в набор для проверки.
  • Поддержка облачных вложений и версий SharePoint. При добавлении содержимого в набор для проверки можно включать облачные вложения или связанные файлы. Целевой файл облачного вложения или связанного файла добавляется в набор для проверки. Вы также можете добавить все версии документа SharePoint в набор для проверки.
  • Оптическое распознавание символов (OCR): при добавлении содержимого в набор для проверки функция OCR извлекает текст из изображений и включает текст изображения с содержимым, добавленным в набор для проверки. Эта функция позволяет искать текст изображения при запросе содержимого в наборе для проверки.
  • Потоковая беседа. Когда сообщения чата из Teams и Viva Engage бесед добавляются в набор для проверки, можно собрать весь поток беседы. В набор для проверки добавляется вся беседа чата, содержащая элементы, соответствующие условиям поиска. Эта функция позволяет просматривать элементы чата в контексте беседы назад и вперед.
  • Статистика поиска и отчеты. После создания поиска или добавления результатов поиска в набор для проверки можно просмотреть обширный набор статистических данных по извлеченным элементам, например расположение контента, содержащее большинство элементов, соответствующих условиям поиска, и количество элементов, возвращаемых поисковым запросом. Вы также можете просмотреть подмножество результатов.
  • Фильтрация наборов проверки. После добавления содержимого в набор проверки можно применить фильтры для отображения только набора элементов, соответствующих условиям фильтрации. Затем можно сохранить наборы фильтров в виде запроса, что позволяет быстро повторно применить сохраненные фильтры. Проверка настройки фильтрации и сохраненных запросов помогает быстро выбирать элементы содержимого, наиболее важные для исследования.
  • Теги. Теги также помогают опустить нерелевантное содержимое и определить наиболее релевантное содержимое. Когда эксперты, юристы или другие пользователи просматривают содержимое набора для проверки, их мнение по поводу содержимого может быть зафиксировано с помощью тегов. Например, если цель заключается в исключении ненужного содержимого, пользователь может пометить документы тегом, например "nonresponsive". После проверки содержимого и добавления тегов можно создать запрос набора проверки, чтобы исключить любое содержимое, помеченное как "не отвечающее". Этот процесс устраняет содержимое, не отвечающее на последующие действия в рабочем процессе обнаружения электронных данных.
  • Аналитика: обнаружение электронных данных позволяет анализировать документы набора для проверки, чтобы упорядочить документы согласованно и уменьшить объем проверяемых документов. Рядом с обнаружением повторяющихся групп текстуально похожи документы, чтобы сделать процесс проверки более эффективным. Email потоки определяют определенные сообщения электронной почты, которые дают полный контекст беседы в потоке электронной почты. Функция тем пытается проанализировать темы в документах набора для проверки и назначить тему документам, чтобы можно было просматривать документы со связанной темой. Эти возможности аналитики помогают повысить эффективность процесса проверки, чтобы рецензенты могли просматривать часть собранных документов.
  • Метаданные вычисляемых документов. Многие функции eDiscovery premium, такие как потоки бесед и аналитика, добавляют свойства метаданных для проверки документов набора. Эти метаданные содержат сведения, связанные с функцией, выполняемой определенной функцией. При просмотре документов можно фильтровать свойства метаданных для отображения документов, соответствующих условиям фильтра. Эти метаданные можно импортировать в сторонние приложения для проверки после экспорта документов набора для проверки.
  • Прозрачность длительных процессов. Процессы в обнаружении электронных данных обычно являются длительными действиями, которые активируются действиями пользователя, такими как добавление хранителей в дело, добавление содержимого в набор для проверки, выполнение аналитики и создание поисковых запросов. Вы можете отслеживать состояние этих процессов и получать сведения о поддержке, если вам нужно сообщить о проблемах до служба поддержки Майкрософт.
  • Полный отчет по всем процессам. Используйте отчет о процессе для просмотра процессов и управления ими в случаях, поиске, проверке наборов и удержаний.
  • Расширенное сопоставление источников данных. Поиск расположений на основе пользователей, поиск групп на одном сайте и сопоставление других расположений с группами. Изучение частых участников совместной работы в рамках источников данных. Включает новые расположения для пользователей.

Интеграция с другими решениями

Управление внутренними рисками

Вы можете быстро передавать дела в Управление внутренними рисками Microsoft Purview на новые случаи в обнаружении электронных данных, когда вам требуется дополнительная юридическая проверка на потенциально рискованные действия пользователей. Тесная интеграция между этими решениями помогает группам по вопросам риска и юристов работать более эффективно и предоставляет полное представление о действиях пользователей, которые рассматриваются.

Дополнительные сведения см. в статье Начало работы с управлением внутренними рисками и передача дела по управлению внутренними рисками в дело обнаружения электронных данных (премиум).

Microsoft Security Copilot

В eDiscovery можно использовать функции Microsoft Security Copilot для составления KeyQL поисковых запросов с помощью естественного языка. Copilot переводит естественный язык в KeyQL, не требуя от вас научиться создавать KeyQL запрос, знать операторы или знать поддерживаемые поля метаданных поиска.

Copilot также может предоставить контекстную сводку по большинству элементов в наборе для проверки. Сводка находится в контексте текста, включенного в выбранный элемент. Эта сводка экономит время для рецензентов, быстро выявляя полезные сведения при добавлении тегов или экспорте элементов. Security Copilot суммирует весь элемент, включая все документы, стенограммы собраний или вложения. Поддерживаются большинство распространенных типов файлов документов.

Дополнительные сведения об использовании Security Copilot с наборами проверки см. в разделе Сводка элементов с помощью Security Copilot.

Готовы приступить к работе?

  • Last updated on