電子發現工作流程幫助您快速識別、調查並採取行動,處理組織內電子儲存 (ESI) 資訊。 利用電子發現識別並採取行動ESI項目,採用以下改良的工作流程:
步驟一:從觸發事件升級
觸發事件是指在組織中逐步升級,並啟動電子證據發現中新案件建立的活動。 這些事件可以是來自內部或外部合作夥伴的請求、與其他 Microsoft Purview (解決方案中警示相關的整合事件,例如內部 風險管理案件) ,或任何其他可能受益於 eDiscovery 所包含搜尋、調查與緩解措施的活動。
步驟二:建立並管理案件
電子發現中的 案件 包含與特定調查相關的所有搜尋、保留及審查集。 案件可能包括回應監管、調查及訴訟請求。 你也可以指派成員到案件,以控制誰能存取案件並查看案件內容。 電子發現也支援與 Microsoft Purview 內部風險管理案件的新案件建立整合。
步驟三:搜尋、評估結果並精進
建立案件後,利用 eDiscovery 內建的搜尋工具搜尋組織內 的內容位置 。 你可以建立並執行與案件相關的各種搜尋。 利用條件 (如關鍵字) 來建立多個搜尋查詢,回傳最可能與案件相關的資料。 您也可以:
- 查看搜尋統計數據,可能幫助你精細搜尋關鍵字以縮小搜尋範圍。
- 預覽搜尋結果以快速驗證是否找到相關資料。
- 修訂查詢並重跑搜尋。
步驟 4a:搜尋結果中的操作
- 匯出搜尋結果:在電子發現案件中成功完成搜尋後,您可以 匯出搜尋結果。 匯出搜尋結果時,信箱項目會以 PST 檔案或個別訊息形式下載。 當你從 SharePoint 和 OneDrive 網站匯出內容時,會匯出原生 Office 文件及其他文件的副本。 搜尋匯出會在建立後 14 天到期,所以請在匯出套件自動刪除前下載。
- 建立審查集:審查集是 Microsoft 雲端中安全且由 Microsoft 提供的 Azure 儲存裝置位置。 當你 將資料加入審查集時,收集到的項目會從原始內容位置複製到審查集。 評論集提供一套靜態且已知的內容,供你搜尋、篩選、標籤和分析。 你也可以追蹤並報告新增到審查集的內容。
步驟 4b:建立暫停
為了保存和保護與調查相關的資料,請對與案件相關的資料來源 設置電子發現暫停(eDiscovery hold )。 建立案件後,你可以立即暫停調查中相關人物的內容位置。 如果需要,也可以建立基於查詢的暫停。 內容位置包括 Exchange 信箱、SharePoint 網站、OneDrive 帳號,以及與 Microsoft Teams 和 Microsoft 365 群組相關的信箱和網站。 雖然保留是可選的,但建立保留則保留了可能與案件相關的內容。
當你建立暫停時,你可以將所有內容保留在特定內容位置,或者建立基於查詢的保留,只保留與保留查詢相符的內容。 除了保留內容外,另一個建立暫停的好理由是快速搜尋暫停 (的內容位置,而不是在建立並執行搜尋時必須逐個選擇) 位置。 調查完成後,你可以解除你所設立的任何扣押。 欲了解更多資訊,請參閱 電子發現中的「管理保留」。
步驟五:審查並採取行動檢視集
- 搜尋內容:在大多數情況下,深入檢視內容並組織起來有助於更有效率的審查。 在審查集中使用 篩選器和查詢 ,有助於你聚焦於符合審查標準的文件子集。
- 執行分析:電子發現提供整合分析工具,幫助您進一步篩選與調查無關的資料。 除了減少相關資料量外,電子發現還能幫助你節省法律審查成本,讓你能組織內容,使審查過程更輕鬆高效。 欲了解更多資訊,請參閱 電子發現中的「分析審查集資料」。
- 標籤項目:將內容整理成審查集,對於完成電子發現流程中的各種工作流程非常重要。 這種組織通常包括識別相關內容、剔除不必要的內容,以及識別需要專家或律師審查的內容。 當專家、律師或其他用戶在評論集中審閱內容時,他們可以透過標籤捕捉與內容相關的意見。 標籤為調查中包含的項目提供結構與組織。 欲了解更多資訊,請參閱 電子發現中審查集中的標籤文件。
- 建立查詢報告 (預覽) :產生並下載多個查詢的 綜合報告 ,供檢視集使用。 此報告讓您能快速查看特定關鍵字搜尋或多個複合 KeyQL 查詢中篩選項目的總數與數量。
- 將審查集的項目加入另一個審查集:在某些情況下,可能需要從一個審查集中挑選文件,並在 另一組審查集中單獨處理。
- 匯出項目:當您搜尋並找到與調查相關的資料後,可以將其匯出 Microsoft 365 組織,供調查團隊外的人員審查。 除了匯出的資料檔案之外,匯出套件還包含匯出報告、摘要報告和錯誤報告。 欲了解更多資訊,請參閱 eDiscovery 中的「從審查集匯出文件」。