Источники данных в обнаружении электронных данных

В Microsoft 365 данные хранятся на трех платформах: Exchange, Teams и SharePoint. Эти платформы служат основой для организации данных в приложениях Microsoft 365 и управления ими. Большинство приложений Microsoft 365 хранят данные в одном или нескольких из следующих контейнеров:

• Пользователи: данные, связанные с отдельными пользователями, такие как их почта, сообщения Teams 1:1 и файлы OneDrive.
• Группы: данные, принадлежащие организации или группе пользователей в организации. Эти группы часто называются объединенными группами или Teams.

В обнаружении электронных данных концепция источника данных упрощает процесс идентификации данных и управления ими на платформах Microsoft 365. Пользователи eDiscovery выбирают пользователя или группу, которая создает источник данных, а обнаружение электронных данных автоматически определяет и упорядочивает соответствующие данные, хранящиеся на разных платформах. Источник данных собирает расположения, связанные с пользователем или группой (почтовые ящики, сайты OneDrive, сайты SharePoint), и добавляет расположения в иерархию источников данных. Пользователи обнаружения электронных данных уточняют область путем выбора или исключения определенных расположений по мере необходимости.

Источник данных пользователя обычно включает в себя:

• Почтовый ящик пользователя
• Сайт OneDrive

Объединенные группы делятся на три типа, каждый из которых охватывает определенные расположения данных:

• Teams: включает хранилище почтовых ящиков Exchange для чатов и сообщений электронной почты Teams, а также все связанные сайты SharePoint для каналов и команды.
• Yammer: включает хранилище почтовых ящиков Exchange для сообщений Yammer.
• Классический: включает только сайты SharePoint.

Пользователи eDiscovery также могут использовать источники на уровне организации для выполнения поиска в организации. Источники в масштабах всей организации:

• Все люди и группы. Включает всех пользователей и все группы в вашей организации.
• Все общедоступные папки. Включает все содержимое в почтовых ящиках общедоступных папок Exchange.

Важно!

В крупных организациях поиск на уровне клиента по всем почтовым ящикам Exchange и сайтам SharePoint является длительным процессом, на который может повлиять регулирование служб, учитывая количество почтовых ящиков и сайтов для поиска. Прежде чем выполнять эти поисковые запросы на уровне клиента, ознакомьтесь с рекомендациями по ограничениям масштабирования и пропускной способности в разделе Ограничения в обнаружении электронных данных и планируйте выполнение поиска в пакетах, если это применимо. Чтобы повысить производительность и работоспособность, разбейте поиск на запуски с заданной областью с помощью границ соответствия требованиям (например, по регионам, подразделениям или отделам), чтобы каждый поиск был нацелен на подмножество почтовых ящиков и сайтов.

Это распространенный случай, когда необходимо выполнить поиск в наборе почтовых ящиков пользователей, а список управляется как список рассылки. Добавление списков рассылки поддерживается, и поиск выполняется только в почтовых ящиках Exchange, перечисленных в группе.

Вы можете искать определенные источники данных или расположения данных , используя имена пользователей или групп, SMTP-адреса почтовых ящиков и URL-адреса сайтов OneDrive или SharePoint. При создании поиска с использованием определенных источников данных выполняется поиск только в расположениях, указанных в источнике данных.

Если вы используете источник для всей организации Все люди и группы, поиск охватывает все почтовые ящики Exchange, OneDrive и сайты SharePoint. Если вы хотите выполнить поиск по всем почтовым ящикам Exchange, выберите почтовые ящики в разделе Все люди и группы и снимите флажок сайты. Если вам нужно выполнить поиск по всем сайтам SharePoint и OneDrive, выберите сайты в разделе Все люди и группы и снимите флажок почтовых ящиков.

Синхронизация источников данных в режиме реального времени гарантирует, что вы всегда будете получать сведения о последних изменениях в расположениях данных, связанных с пользователями и группами. Вы можете запрашивать, добавляются ли в поиск определенные источники данных, содержатся ли в удержании только что подготовленные расположения данных или удаляются ли расположения данных.

Например, если для группы Teams создан закрытый канал, функция синхронизации на панели источника данных оповещает вас о новом расположении, что позволяет быстро и легко включить его в поиск или удержание. Такая синхронизация гарантирует, что новые данные не будут незамеченными и будут включены в исследования. Эта синхронизация также помогает предотвратить потенциальную потерю данных из-за изменения расположения.

Чтобы узнать больше о эффективном использовании источников данных, проверка следующее видео:

Добавление источников данных в варианты

Важно!

Источники данных в классическом интерфейсе обработки случаев обнаружения электронных данных (Premium) не синхронизируются с тем же делом в новом интерфейсе обнаружения электронных данных. Необходимо снова добавить источники данных в случае в новом интерфейсе обнаружения электронных данных на портале Microsoft Purview.

После включения функций обнаружения электронных данных уровня "Премиум" в случае используйте следующие параметры, чтобы добавить в дело источники данных:

Совет

Хотите попробовать функции обнаружения электронных данных уровня "Премиум"? См. требования к подписке для лицензирования Microsoft 365 корпоративный E5.

Массовый импорт источников данных в дело

В случае обнаружения электронных данных в дело можно добавить несколько источников данных, добавив список SMTP-адресов или URL-адресов. Функция импорта проверяет записи перед добавлением источников, чтобы можно было устранить любые потенциальные проблемы, например опечатки. Этот упрощенный процесс помогает сэкономить время и более эффективно добавить в дела множество источников данных.

Перед импортом источников данных ознакомьтесь со следующими рекомендациями.

• Одновременно можно импортировать до 500 источников данных. Чтобы свести к минимуму время обработки поиска и добавления расположений, разделите импорт на несколько операций импорта вместо импорта максимального количества источников данных за один раз.

• Разделитель ; необходимо использовать в списке SMTP-адресов или URL-адресов. Список должен соответствовать форматированию в следующем примере:

  abh784@contoso.ms;https://contosodemos2.sharepoint.com/sites/Logistics;https://contosodemos2.sharepoint.com/sites/Mark8Project-UETConference;https://contosodemos2.sharepoint.com/sites/WG-ProjectObsidian;maib31@contoso.ms;rma230@contoso.ms;sva561@contoso.ms;mmz776@contoso.ms;LogisticsDSIGoldenSetDataToloka1@contoso.ms;jka132@contoso.ms;shafar929@contoso.ms;ika636@contoso.ms;brobet@contoso.ms;koka81@contoso.ms;rash95@contoso.ms;mvga66@contoso.ms;mra715@contoso.ms;abe543@contoso.ms;kto888@contoso.ms;moba80@contoso.ms;mian41@contoso.ms;inch48@contoso.ms;Mario.Smith_0803@contoso.ms;yape61@contoso.ms;mwo365@contoso.ms;fasi19@contoso.ms;HumanResourcesDugoPlannerTest@contoso.ms;kamo78@contoso.ms;bga844@contoso.ms;salesteam@contoso.ms;cko475@contoso.ms;ProjectZ@contoso.ms;TalentSourcingDanieltest5@contoso.ms;las450@contoso.ms;elfl69@contoso.ms;jch952@contoso.ms;asch81@contoso.ms;gmu955@contoso.ms;okbo68@contoso.ms

• Группы рассылки не развертываются на отдельных членов в процессе импорта.

• Чтобы импортировать неактивный почтовый ящик в качестве источника данных, добавьте . префикс на адрес электронной почты неактивного почтового ящика. Например, .sarad@contoso.onmmicrosoft.com.

• Непроверенные SMTP-адреса не добавляются, но поддерживаются непроверенные URL-адреса. Непроверенный URL-адрес означает, что источник данных не может быть проверен на допустимом сайте SharePoint, который находится в заблокированном состоянии.

Чтобы выполнить массовый импорт источников данных в дело, выполните следующие действия.

1. Перейдите на портал Microsoft Purview и выполните вход, используя учетные данные для учетной записи пользователя, назначенной разрешениями на обнаружение электронных данных.

2. Выберите решение eDiscovery карта, а затем выберите Варианты на панели навигации слева.

3. Выберите случай, а затем перейдите на вкладку Источники данных , чтобы добавить источники данных в дело. При добавлении источников на эту вкладку вы делаете эти источники данных доступными на выбор во всех поисках и удержаниях в деле.

4. Выберите Массовый импорт.

5. На странице Добавление источников данных введите или скопируйте список SMTP-адресов или URL-адресов, разделенных точкой с запятой.

6. Нажмите кнопку Далее.

7. В разделе Подтверждение источников данных проверяется список источников данных и отображается состояние проверки.

8. После завершения проверки источников данных непроверенные источники выделяются красным цветом и помечаются как непроверенные для проверки.

   • Если необходимо обновить непроверенные источники, выберите поле проверка рядом с источником данных и нажмите кнопку Изменить, чтобы обновить сведения об источнике данных. Вы можете исправить любые ошибки опечатки, пути или формата. После редактирования выбранного источника нажмите кнопку Сохранить , и обновленные источники данных будут автоматически возвращены.
   • Если необходимо экспортировать список источников данных, выберите Экспорт списка. Действие создает файл .csv, содержащий входные данные пользователя, соответствующие источники и состояние источников.
   • Все входные данные с несколькими совпадениями отображаются с передней частью (Дубликат). Вы можете включить подмножество дублированных совпадающих источников в зависимости от ваших потребностей.
   • Если вам нужно удалить какие-либо источники данных из импорта, выберите источник данных и нажмите кнопку Удалить.

9. Когда вы будете готовы добавить любой из перечисленных источников данных, выберите все источники данных, которые нужно добавить, выбрав поле проверка для каждого элемента, а затем нажмите кнопку Добавить.

   Примечание.

   В зависимости от количества выбранных источников обработка и добавление источников данных в дело может занять некоторое время.

Добавление одного или нескольких источников данных в дело

1. Перейдите на портал Microsoft Purview и выполните вход, используя учетные данные для учетной записи пользователя, назначенной разрешениями на обнаружение электронных данных.

2. Выберите решение eDiscovery карта, а затем выберите Варианты на панели навигации слева.

3. Выберите случай, а затем перейдите на вкладку Источники данных , чтобы добавить источники данных в дело. При добавлении источников на эту вкладку эти источники данных доступны на выбор во всех поисках и удержаниях в деле.

4. Выберите Добавить и выберите варианты из следующих областей источника данных:

   Примечание.

   При поиске источников некоторые источники могут отображаться с ? перед источником и помечены как непроверенные. Эти источники (сайты или почтовые ящики) нельзя проверить как допустимые при выборе. Эти почтовые ящики или сайты являются внешними, либо сайт является частным или заблокированным. Вы можете добавить непроверенные источники для поиска или удержания, и система снова попытается проверить эти источники при выполнении поиска. Окончательные результаты поиска и удержания включаются в расположение .csv файла в отчете о процессе.

   1. В левой части панели отображаются параметры фильтра для источников.

   2. В разделе Область элементов по доступны только все источники в клиенте (по умолчанию). Выберите любой источник данных, доступный в вашей организации.

   3. Используйте один из следующих параметров в разделе Показать для фильтра, чтобы помочь область источников в разделе Поиск.

      • Все люди и группы (по умолчанию)
      • Только Люди
      • Только группы

   4. Если применимо, выберите Исключить неактивных пользователей, чтобы уменьшить область источников до только текущих активных пользователей в вашей организации.

   5. После фильтрации источников данных используйте элемент управления поиска и селекторы в разделе Поиск , чтобы добавить в поисковый запрос определенные источники данных, пользователей и группы. Введите пользователей, группы или расположения организации, которые вы хотите добавить, в поле поиска и выберите Поиск. Вы можете использовать ";" в качестве разделителя для одновременного запуска нескольких поисковых запросов. Например, input john@contoso.com;david@contoso.com позволяет одновременно искать и находить совпадения для обоих почтовых ящиков. Разделитель ; не поддерживает URL-адреса сайтов.

      Найдите людей, используя следующие значения:

      • Имя и фамилия отображаемого имени пользователя (например, John Smith)
      • Только имя
      • SMTP-адрес пользователя
      • Псевдоним пользователя
      • Exchange GUID
      • URL-адрес сайта Пользователя в OneDrive

      Найдите группы, используя следующие значения:

      • SMTP-адрес почтового ящика группы

      • URL-адрес сайта группы. URL-адрес сайта канала Teams разрешает группу Teams в качестве источника данных.

        При добавлении группы рассылки список участников группы не отображается, а группа добавляется в поиск в качестве почтового ящика источника данных. При выполнении поиска почтовые ящики участников группы рассылки разворачиваются и полностью выполняются поиск.

        Чтобы подтвердить, что почтовые ящики искали участников группы рассылки, используйте Locations_ даты и времени сведений отчета в отчете об обработке после завершения поиска. Чтобы подтвердить членство в группе перед выполнением поиска, выберите меню с многоточием для группы и Участники.

5. Нажмите кнопку Добавить , чтобы добавить источник данных в выбранный вариант. Этот источник данных теперь доступен при добавлении источников данных для поиска и удержания в случае.

Важно!

Управлять отдельными ресурсами данных для источника данных можно только при добавлении источника данных уровня регистра в отдельный поиск и удержании в случае. Например, чтобы включить или исключить почтовые ящики или сайты в поиске или удержании источника данных, настроенного на уровне обращения, добавьте источник данных на уровне регистра в поиск или удержание, а затем выберите Управление.

Добавление источников данных для поиска и удержания

Выполните следующие действия, чтобы добавить источники данных в определенный поиск или удержание.

1. В новом поиске или удержании выберите Добавить источники или выберите + Добавить источники данных в раскрывающемся списке. Вы можете искать и выбирать определенные источники данных для поиска или удержания.

   Если вам нужно выполнить поиск по почтовым ящикам или сайтам в масштабах организации, выберите Добавить источники на стороне клиента в пустом поиске или нажмите + кнопку и выберите в раскрывающемся списке источник для всей организации.

   Примечание.

   Источники в масштабах организации доступны только в поисковых запросах, а не в удержании.

2. В левой части панели отображаются параметры фильтра для источников. Используйте фильтры для область источников данных с помощью следующих способов:

   • Все источники в клиенте (по умолчанию): Используйте этот параметр для поиска из источников данных, доступных в вашей организации.

   • Все источники в этом случае. Используйте этот параметр, чтобы выбрать один из источников данных, добавленных на уровне варианта. Этот параметр позволяет быстро использовать источники данных, добавленные в дело, в поиске или удержании без необходимости выполнять поиск по всей организации.

   • Используйте один из следующих параметров в разделе Показать для фильтра, чтобы помочь область источников в разделе Поиск.

     • Все люди и группы (по умолчанию)
     • Только Люди
     • Только группы

   • Если применимо, выберите Исключить неактивных пользователей, чтобы уменьшить область источников до только текущих активных пользователей.

   • Используйте команду Расположения, чтобы включить элемент управления , чтобы указать, включают ли выбранные источники данных, добавленные в поиск или удержание:

     • Почтовые ящики и сайты (по умолчанию). Выбранные источники людей или групп включают почтовый ящик и сайт для поиска или удержания. Это означает, что выбор пользователя включает в себя почтовый ящик и OneDrive для пользователя. Выбор группы Microsoft 365 включает почтовый ящик группы и все связанные сайты групп.
     • Только почтовые ящики. Включается только почтовый ящик, связанный с выбранной пользователем или группой. Сайты OneDrive и SharePoint не включены.
     • Только сайты. Включаются только сайты, связанные с избранным пользователем или группой. Почтовые ящики не включены.

3. После фильтрации источников данных используйте элемент управления поиска и селекторы в разделе Поиск , чтобы добавить в поисковый запрос определенные источники данных, пользователей и группы. Введите пользователей, группы или расположения организации, которые вы хотите добавить, в поле поиска и выберите Поиск. Используйте точку с запятой в качестве разделителя для нескольких поисков одновременно. Например, john@contoso.com;david@contoso.com выполняет поиск и находит совпадения для обоих почтовых ящиков одновременно. Разделитель с запятой не поддерживает URL-адреса сайта.

4. Нажмите кнопку Сохранить и закрыть , чтобы добавить источник данных в текущий поиск или удержание.

5. Кроме того, выберите Управление , чтобы настроить соответствующие почтовые ящики и сайты в выбранных источниках. Представление Управление предоставляет подробное представление всех почтовых ящиков и сайтов, связанных с каждым источником, с такими сведениями, как SMTP-адрес почтового ящика и URL-адрес сайта. Для источников Teams он также включает соответствующие имена каналов и сведения о типе.

Другие особенности

• В представлении Управление источниками некоторые выбранные источники могут не отображать связанные сайты. Эта проблема может возникнуть по нескольким причинам:

  • OneDrive не подготовлен, задержка подготовки или проблемы с синхронизацией. Если у пользователя нет подготовки OneDrive, его источник включает только почтовый ящик, а не сайт OneDrive. Сайт OneDrive существует, но он не синхронизируется в каталоге соответствия из-за задержки подготовки.
  • Удаленные пользователи. Если удалить пользователя из каталога, его сайт OneDrive может по-прежнему существовать, но не связан с объектом пользователя. Он не отображается в их источнике в представлении Управление .
  • Ушедший пользователь: пользователь покинул организацию, и его учетная запись находится в обратимом или неактивном состоянии.
  • Удаленный пользователь: лицензия пользователя на Microsoft 365 удалена. Это действие разрывает ссылку на сайт OneDrive.
  • Почтовый ящик преобразован: почтовый ящик пользователя был преобразован в общий почтовый ящик или почтовый пользователь. Это изменение может повлиять на то, как система связывает OneDrive.
  • Несколько администраторов семейства веб-сайтов. Если на сайте OneDrive есть несколько администраторов, а права владения неясны, система может не сопоставить его с исходным пользователем.
  • Состояние хранения или только удержание. Пользователь имеет неактивный почтовый ящик или состояние только для удержания, и OneDrive может быть очищен для каждой политики хранения.
  • Непроверенный источник. При поиске источников данных некоторые почтовые ящики или сайты могут отображаться со значком ? и меткой Непроверено. Это состояние означает, что системе не удалось подтвердить источник как допустимый во время выбора. Часто это происходит из-за того, что почтовый ящик или сайт является внешним, частным или заблокированным. Вы по-прежнему можете добавлять непроверенные источники для поиска или удержания. При выполнении поиска выполняется повторная попытка проверки, а окончательное состояние отражается в location.csv файле в отчете о процессе.

Примечание.

Если сайты отображаются как недоступные, вручную добавьте URL-адреса в источники данных поиска или удержания.

• При добавлении группы рассылки список участников группы не отображается. Группа рассылки добавляется в поиск в качестве почтового ящика источника данных. При выполнении поиска система расширяет и полностью выполняет поиск в почтовых ящиках участников группы рассылки. Чтобы подтвердить, что почтовые ящики искали членов группы рассылки Locations_*the date/time of the report* , используйте сведения в отчете Об обработке после завершения поиска. Чтобы подтвердить членство в группе перед выполнением поиска, выберите меню с многоточием для группы и участников.

  Если членство в группе рассылки изменится после добавления ее в качестве источника данных в поиске, запустите поиск еще раз, чтобы включить элементы для текущих членов группы. При каждом запуске поиска включаются текущие члены, а бывшие участники исключаются.

Неактивные почтовые ящики

Вы можете искать, просматривать и экспортировать неактивные почтовые ящики, хранящиеся в вашей организации, в службе eDiscovery. Чтобы сохранить неактивное содержимое почтового ящика, сначала примените политику удержания к активному почтовому ящику, проверьте успешность, а затем измените почтовый ящик на неактивный.

При использовании неактивных почтовых ящиков в поиске и удержании электронных данных учитывайте следующие моменты:

• Поиск неактивных почтовых ящиков в поиске eDiscovery. Чтобы получить список неактивных почтовых ящиков в организации, запустите Get-Mailbox -InactiveMailboxOnly в Exchange Online PowerShell. Кроме того, перейдите в раздел Управление жизненным циклом> данныхMicrosoft 365>Хранение на портале Microsoft Purview и выберите Дополнительно (многоточие панели навигации).

• Если существующий поиск включает в себя почтовый ящик пользователя и вы обновляете его до неактивного, поиск продолжит поиск в неактивном почтовом ящике при повторном запуске поиска.

• У некоторых пользователей могут быть активные и неактивные почтовые ящики с разными SMTP-адресами. В этом случае выполняется поиск только в конкретном почтовом ящике, выбранном в качестве расположения для поиска. При добавлении почтового ящика пользователя в поиск нельзя предположить, что выполняется поиск как активных, так и неактивных почтовых ящиков. Выполняется поиск только в почтовом ящике, который вы явно добавляете в поиск.

• Используйте PowerShell для обеспечения соответствия требованиям безопасности &, чтобы создать поиск неактивного почтового ящика. Необходимо добавить точку к адресу электронной почты неактивного почтового ящика. Например, следующая команда создает поиск контента, который выполняет поиск в неактивном почтовом ящике с адресом pavelb@contoso.onmicrosoft.comэлектронной почты :

  New-ComplianceSearch -Name InactiveMailboxSearch -ExchangeLocation .pavelb@contoso.onmicrosoft.com -AllowNotFoundExchangeLocationsEnabled $true

• Избегайте наличия активного почтового ящика и неактивного почтового ящика с одинаковым SMTP-адресом. Если необходимо повторно использовать SMTP-адрес, назначенный неактивным почтовым ящикам, восстановите неактивный почтовый ящик или восстановите содержимое неактивного почтового ящика в активный почтовый ящик (или архив активного почтового ящика), а затем удалите неактивный почтовый ящик. Дополнительные сведения см. в следующих статьях:

  • Возврат неактивного почтового ящика в Office 365
  • Восстановление неактивного почтового ящика в Office 365
  • Удаление неактивного почтового ящика в Office 365

• Политики удержания не поддерживаются для неактивных почтовых ящиков. Перед удалением почтового ящика необходимо разместить удержания в активных почтовых ящиках. Дополнительные сведения см. в статье Создание неактивных почтовых ящиков и управление ими.

Параметры источника данных

После добавления источников в поиск или удержание можно изменить источники или просмотреть связанные источники по мере необходимости. Нажмите кнопку с многоточием рядом с источником, который нужно изменить или удалить.

В параметрах пользователя или группы доступны следующие параметры:

• Управление источником данных
• Включение или удаление почтового ящика
• Включение и удаление сайтов

Изучение связанных источников

Вы можете просматривать и добавлять связанные источники из существующих источников в поиске или удержании. Эти параметры позволяют исследовать потенциально релевантные источники и использовать дополнительные источники для определенного поиска или удержания.

Для пользователей, добавленных в область Источники данных , можно просмотреть следующие подключения:

• Директор
• Подчиненные
• Частые участники совместной работы
• Группы, принадлежащие пользователю
• Группы, в которые входит пользователь

Изучение этих связей поможет быстро определить и включить соответствующих лиц и источники данных в область поиска. Используйте управление , чтобы точно настроить включение в поиск или удержание только почтовых ящиков, только сайтов или обоих связанных источников.

Директор

Этот параметр позволяет исследовать цепочку отчетов вверх. Выбор руководителя пользователя помогает включить в исследование контекст надзора или принятия решений.

Подчиненные

Изучите нисходящую иерархию организации для пользователя. Этот параметр полезен, если выбранный пользователь является руководителем или руководителем команды, и вы хотите включить сообщения или содержимое участников команды.

Частые участники совместной работы

Найдите других пользователей, которые часто сотрудничают с выбранным пользователем. Частые участники совместной работы — это первые 10 пользователей, которые наиболее актуальны для выбранного пользователя. Вы можете выбрать почтовые ящики и сайты для этих пользователей в качестве источников данных для поиска.

Группы, принадлежащие пользователю

Этот параметр показывает группы, которые выбранный пользователь указан в качестве владельца. Эти группы могут содержать общее содержимое или сообщения, относящиеся к расследованию.

Группы, в которые входит пользователь

Этот параметр включает все группы, членом которых является пользователь, даже если они не являются владельцами. Эти группы могут предоставлять дополнительные контекстные или общие источники данных.

Члены группы

При добавлении группы в области Источники данных можно просмотреть и развернуть группу, чтобы просмотреть ее участников. Эта функция позволяет следующее:

• Определите отдельных пользователей в группе, которые могут содержать соответствующие данные.
• Выберите определенные члены в качестве дополнительных источников данных для целевого поиска.

Эта функция помогает при изучении общего содержимого или сообщений, исходящих из групп совместной работы, таких как Группы Microsoft 365, Teams или списки рассылки.

Примечание.

Список участников и групп, в которые входит (или которыми владеет пользователь), ограничен 100. Если пользователь входит в более чем 100 групп, владеет более чем 100 группами или если группа содержит более 100 участников, отображаются только первые 100 участников.