Freigeben über

eDiscovery-Lösungsreihe: Szenario für Datenüberlauf – Suchen und Bereinigen

  • Artikel

Tipp

eDiscovery (Vorschauversion) ist jetzt im neuen Microsoft Purview-Portal verfügbar. Weitere Informationen zur Verwendung der neuen eDiscovery-Benutzeroberfläche finden Sie unter Informationen zu eDiscovery (Vorschauversion).

Was ist Datenleck und warum sollten Sie sich darum kümmern? Ein Datenleck liegt vor, wenn ein vertrauliches Dokument in einer nicht vertrauenswürdigen Umgebung freigegeben wird. Wenn ein Datenleckfall erkannt wird, ist es wichtig, die Größe und die Standorte des Überlaufs schnell zu bewerten, Benutzeraktivitäten um ihn herum zu untersuchen und dann die übergelaufenen Daten dauerhaft aus dem System zu löschen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Szenario für Datenlecks

Sie sind leitender Informationssicherheitsbeauftragter bei Contoso. Sie werden über eine Situation informiert, in der ein Mitarbeiter unwissentlich ein streng vertrauliches Dokument mit mehreren Personen per E-Mail geteilt hat. Sie möchten schnell bewerten, wer dieses Dokument intern und extern erhalten hat. Nach der Identifizierung möchten Sie die Fallergebnisse für andere Prüfer freigeben und die Daten endgültig aus Office 365 entfernen. Nachdem die Untersuchung abgeschlossen ist, möchten Sie einen Bericht mit dem Nachweis der endgültigen Entfernung und den anderen Einzelheiten zu dem Fall für etwaige zukünftige Bezugnahme erstellen.

Umfang dieses Artikels

Dieses Dokument enthält eine Liste mit Anweisungen zum endgültigen Entfernen einer Nachricht aus Microsoft 365, sodass sie nicht zugänglich oder wiederherstellbar ist. Informationen zum Löschen einer Nachricht und zur Wiederherstellung bis zum Ablauf des Aufbewahrungszeitraums für gelöschte Elemente finden Sie unter Suchen und Löschen von E-Mail-Nachrichten in Ihrem organization.

Workflow zum Verwalten von Datenlecks-Vorfällen

Hier erfahren Sie, wie Sie einen Datenleckfall verwalten:

Der 8-stufige Workflow zum Verwalten von Datenlecksvorfällen.

Schritt 1: Verwalten, wer auf den Fall zugreifen kann, und Festlegen von Konformitätsgrenzen (optional)
Schritt 2: Erstellen eines eDiscovery-Falls
Schritt 3: Suchen nach den übergelaufenen Daten
Schritt 4: Überprüfen und Überprüfen von Fallergebnissen
Schritt 5: Verwenden des Nachrichtenablaufverfolgungsprotokolls, um zu überprüfen, wie übergelaufene Daten freigegeben wurden
Schritt 6: Vorbereiten der Postfächer
Schritt 7: Dauerhaftes Löschen der übergelaufenen Daten
Schritt 8: Überprüfen, Bereitstellen eines Löschnachweises und Überwachen

Dinge, die Sie wissen sollten, bevor Sie beginnen

  • Der in diesem Artikel beschriebene Datenleckworkflow löscht keine Chatnachrichten in Microsoft Teams. Informationen zum Suchen und Löschen von Teams-Chatnachrichten finden Sie unter Suchen und Bereinigen von Chatnachrichten in Teams.
  • Wenn sich ein Postfach in der Warteschleife befindet, verbleibt eine gelöschte Nachricht im Ordner "Wiederherstellbare Elemente", bis der Aufbewahrungszeitraum abläuft oder der Aufbewahrungszeitraum freigegeben wird. In Schritt 6 wird beschrieben, wie Sie den Halteraum aus den Postfächern entfernen. Wenden Sie sich an Die Datensatzverwaltung oder die Rechtsabteilung, bevor Sie den Haltebereich entfernen. Ihr organization verfügt möglicherweise über eine Richtlinie, die definiert, ob ein Postfach im Haltespeicher oder ein Datenleck Priorität hat.
  • Um zu steuern, welche Benutzerpostfächer ein Datenüberlauf-Ermittler durchsuchen und verwalten kann, wer auf den Fall zugreifen kann, können Sie Compliancegrenzen einrichten und eine benutzerdefinierte Rollengruppe erstellen, die in Schritt 1 beschrieben wird. Dazu müssen Sie Mitglied der Rollengruppe Organisationsverwaltung sein oder die Rollenverwaltungsrolle zugewiesen werden. Wenn Sie oder ein Administrator in Ihrem organization bereits Konformitätsgrenzen festgelegt hat, können Sie Schritt 1 überspringen.
  • Um einen Fall zu erstellen, müssen Sie Mitglied der Rollengruppe eDiscovery-Manager oder Mitglied einer benutzerdefinierten Rollengruppe sein, der die Rolle "Fallverwaltung" zugewiesen ist. Wenn Sie kein Mitglied sind, bitten Sie einen Microsoft 365-Administrator, Sie der Rollengruppe eDiscovery-Manager hinzuzufügen.
  • Zum Erstellen und Ausführen einer Inhaltssuche müssen Sie Mitglied der Rollengruppe für eDiscovery-Manager sein, oder Ihnen muss die Compliancesuche-Verwaltungsrolle zugewiesen sein. Um Nachrichten löschen zu können, müssen Sie Mitglied der Rollengruppe „Organisationsverwaltung“ sein, oder Ihnen muss die Verwaltungsrolle zum Suchen und Löschen zugewiesen sein. Informationen zum Hinzufügen von Benutzern zu einer Rollengruppe finden Sie unter Zuweisen von eDiscovery-Berechtigungen.
  • Zum Durchsuchen der eDiscovery-Aktivitäten im Überwachungsprotokoll in Schritt 8 muss die Überwachung für Ihre organization aktiviert sein. Sie können nach Aktivitäten suchen, die innerhalb der letzten 90 Tage ausgeführt wurden. Weitere Informationen zum Aktivieren und Verwenden der Überwachung finden Sie im Abschnitt Überwachen des Untersuchungsprozesses für Datenlecks in Schritt 8.

(Optional) Schritt 1: Verwalten, wer auf den Fall zugreifen kann, und Festlegen von Compliancegrenzen

Abhängig von Ihrer Organisation müssen Sie steuern, wer auf den eDiscovery-Fall zugreifen kann, der zur Untersuchung eines Datenlecks und zum Einrichten von Compliancegrenzen verwendet wird. Die einfachste Möglichkeit besteht darin, Ermittler als Mitglieder einer vorhandenen Rollengruppe im Microsoft Purview-Complianceportal hinzuzufügen und dann die Rollengruppe als Mitglied des eDiscovery-Falls hinzuzufügen. Informationen zu den integrierten eDiscovery-Rollengruppen und wie Sie Mitglieder zu einem eDiscovery-Fall hinzufügen, finden Sie unter Zuweisen von eDiscovery-Berechtigungen.

Sie können auch eine neue Rollengruppe erstellen, die den Anforderungen Ihrer Organisation entspricht. Sie können z. B. eine Gruppe von Ermittlern für Datenlecks im organization auf alle Fälle von Datenüberläufen zugreifen und daran zusammenarbeiten. Dazu können Sie eine Rollengruppe "Ermittler für Datenüberlauf" erstellen, die entsprechenden Rollen (Export, RMS Decrypt, Review, Preview, Compliance Search und Case Management) zuweisen, die Ermittler für Datenlecks zur Rollengruppe hinzufügen und dann die Rollengruppe als Mitglied des eDiscovery-Falls für Datenlecks hinzufügen. Ausführliche Anweisungen dazu finden Sie unter Einrichten von Compliancegrenzen für eDiscovery-Untersuchungen in Office 365.

Schritt 2: Erstellen eines eDiscovery-Falls

Ein eDiscovery-Fall bietet eine effektive Möglichkeit, Ihre Untersuchung von Datenlecks zu verwalten. Sie können der Rollengruppe, die Sie in Schritt 1 erstellt haben, Mitglieder hinzufügen, die Rollengruppe als Mitglied eines neuen eDiscovery-Falls hinzufügen, iterative Suchvorgänge durchführen, um die übergelaufenen Daten zu finden, einen Bericht zur Freigabe exportieren, die status des Falls nachverfolgen und dann bei Bedarf auf die Details des Falls verweisen. Erwägen Sie die Einrichtung einer Benennungskonvention für eDiscovery-Fälle, die für Datenleck-Vorfälle verwendet werden, und geben Sie so viele Informationen wie möglich im Fallnamen und der Beschreibung an, damit Sie bei Bedarf in Zukunft suchen und darauf verweisen können.

Um einen neuen Fall zu erstellen, können Sie eDiscovery im Microsoft Purview-Complianceportal verwenden. Weitere Informationen finden Sie unter "Erstellen eines neuen Falls" unter Erste Schritte mit eDiscovery (Standard).

Schritt 3: Suchen nach den übergelaufenen Daten

Nachdem Sie nun einen Fall erstellt und den Zugriff verwaltet haben, können Sie den Fall verwenden, um iterativ nach den übergelaufenen Daten zu suchen und die Postfächer zu identifizieren, die die übergelaufenen Daten enthalten. Sie verwenden dieselbe Suchabfrage, die Sie zum Suchen der E-Mail-Nachrichten zum Löschen derselben Nachrichten in Schritt 7 verwendet haben.

Informationen zum Erstellen einer Inhaltssuche, die einem eDiscovery-Fall zugeordnet ist, finden Sie unter Suchen nach Inhalten in einem eDiscovery-Fall (Standard).

Wichtig

Die Schlüsselwörter, die Sie in der Suchabfrage verwenden, können die tatsächlich durchgesickerten Daten enthalten, nach denen Sie suchen. Wenn Sie z. B. nach Dokumenten suchen, die eine Sozialversicherungsnummer enthalten, und sie als Such-Schlüsselwort (keyword) verwenden, müssen Sie die Abfrage anschließend löschen, um weitere Überläufe zu vermeiden. Weitere Informationen finden Sie unter Löschen der Suchabfrage in Schritt 8.

Schritt 4: Überprüfen und Überprüfen von Fallergebnissen

Nachdem Sie eine Inhaltssuche erstellt haben, müssen Sie überprüfen und überprüfen, ob die Suchergebnisse nur aus den E-Mail-Nachrichten bestehen, die gelöscht werden müssen. Bei einer Inhaltssuche können Sie eine Vorschau einer zufälligen Stichprobenentnahme von 1.000 E-Mail-Nachrichten anzeigen, ohne die Suchergebnisse zu exportieren, um so ein weiteres Datenleck zu vermeiden. Weitere Informationen zu den Einschränkungen der Vorschau finden Sie unter Grenzwerte für die Inhaltssuche.

Wenn Sie mehr als 1.000 Postfächer oder mehr als 100 E-Mail-Nachrichten pro Postfach überprüfen müssen, können Sie die anfängliche Suche in mehrere Suchvorgänge aufteilen, indem Sie zusätzliche Schlüsselwörter oder Bedingungen wie Datumsbereich oder Absender/Empfänger verwenden und die Ergebnisse jeder Suche einzeln überprüfen. Notieren Sie sich unbedingt alle Suchabfragen, die beim Löschen von Nachrichten in Schritt 7 verwendet werden sollen.

Wenn Sie eine E-Mail-Nachricht finden, die durchgesickerte Daten enthält, überprüfen Sie die Empfänger der Nachricht, um festzustellen, ob sie extern freigegeben wurde. Um eine Nachricht weiter zu verfolgen, können Sie Absenderinformationen und Datumsbereiche sammeln, sodass Sie die Protokolle der Nachrichtenablaufverfolgung verwenden können. Dieser Prozess wird in Schritt 5 beschrieben.

Nachdem Sie die Suchergebnisse überprüft haben, möchten Sie Ihre Ergebnisse möglicherweise für eine zweite Überprüfung an andere Personen weitergeben. Personen, die Sie in Schritt 1 dem Fall zugewiesen haben, können den Fallinhalt sowohl in eDiscovery als auch in Microsoft Purview eDiscovery (Premium) überprüfen und Fallergebnisse genehmigen. Sie können auch einen Bericht erstellen, ohne den tatsächlichen Inhalt zu exportieren. Sie können diesen Bericht auch als Löschnachweis verwenden, der in Schritt 8 beschrieben wird.

So generieren Sie einen statistischen Bericht:

  1. Wechseln Sie im eDiscovery-Fall zur Seite Suchen , und wählen Sie die Suche aus, für die Sie einen Bericht generieren möchten.

  2. Wählen Sie auf der Flyoutseite Weitere > Bericht exportieren aus.

    Die Seite Bericht exportieren wird angezeigt.

    Wählen Sie die Suche aus, und wählen Sie dann auf der Flyoutseite weitere > Exportbericht aus.

  3. Wählen Sie Alle Elemente aus, einschließlich der Elemente, die nicht erkannt wurden, verschlüsselt sind oder aus anderen Gründen nicht indiziert wurden, und wählen Sie dann Bericht generieren aus.

  4. Wählen Sie im eDiscovery-Fall Exportieren aus, um die Liste der Exportaufträge anzuzeigen. Möglicherweise müssen Sie Aktualisieren auswählen, um die Liste so zu aktualisieren, dass der von Ihnen erstellte Exportauftrag angezeigt wird.

  5. Wählen Sie den Exportauftrag und dann auf der Flyoutseite Bericht herunterladen aus.

    Wählen Sie auf der Seite Exportieren den Export und dann

Der Bericht Exportzusammenfassung enthält die Anzahl der Speicherorte, die mit den Ergebnissen gefunden wurden, und die Größe der Suchergebnisse. Sie können dies verwenden, um mit dem nach dem Löschen generierten Bericht zu vergleichen und als Löschnachweis anzugeben. Der Ergebnisbericht enthält eine detailliertere Zusammenfassung der Suchergebnisse, einschließlich Betreff, Absender, Empfänger, ob die E-Mail gelesen wurde, Datumsangaben und Größe der einzelnen Nachrichten. Wenn eines der Details in diesem Bericht diese tatsächlich übergelaufenen Daten enthält, stellen Sie sicher, dass Sie die Results.csv-Datei nach Abschluss der Untersuchung endgültig löschen.

Weitere Informationen zum Exportieren von Berichten finden Sie unter Exportieren eines Inhaltssuchberichts.

Schritt 5: Verwenden des Nachrichtenablaufverfolgungsprotokolls, um zu überprüfen, wie übergelaufene Daten freigegeben wurden

Um weiter zu untersuchen, ob E-Mails mit übergelaufenen Daten freigegeben wurden, können Sie optional die Ablaufverfolgungsprotokolle mit den Absenderinformationen und den Datumsbereichsinformationen abfragen, die Sie in Schritt 4 gesammelt haben. Der Aufbewahrungszeitraum für die Nachrichtenablaufverfolgung beträgt 30 Tage für Echtzeitdaten und 90 Tage für Verlaufsdaten.

Sie können die Nachrichtenablaufverfolgung im Microsoft Purview-Complianceportal oder die entsprechenden Cmdlets in Exchange Online PowerShell verwenden. Es ist wichtig zu beachten, dass die Nachrichtenablaufverfolgung keine volle Garantie für die Vollständigkeit der zurückgegebenen Daten bietet. Weitere Informationen zur Verwendung der Nachrichtenablaufverfolgung finden Sie unter:

Schritt 6: Vorbereiten der Postfächer

Nachdem Sie überprüft und überprüft haben, dass die Suchergebnisse nur die Nachrichten enthalten, die gelöscht werden müssen, müssen Sie eine Liste der E-Mail-Adressen der betroffenen Postfächer sammeln, die in Schritt 7 beim Löschen der übergelaufenen Daten verwendet werden sollen. Möglicherweise müssen Sie die Postfächer auch vorbereiten, bevor Sie E-Mail-Nachrichten endgültig löschen können, je nachdem, ob die Wiederherstellung einzelner Elemente für die Postfächer aktiviert ist, die die übergelaufenen Daten enthalten, oder ob eines dieser Postfächer im Halteraum ist.

Abrufen einer Liste der Adressen von Postfächern mit übergelaufenen Daten

Hinweis

Für eine begrenzte Zeit ist diese klassische eDiscovery-Erfahrung auch im neuen Microsoft Purview-Portal verfügbar. Aktivieren Sie die klassische eDiscovery-Benutzeroberfläche des Complianceportals in den Einstellungen für die eDiscovery-Benutzeroberfläche (Vorschau), um die klassische Benutzeroberfläche im neuen Microsoft Purview-Portal anzuzeigen.

Es gibt zwei Möglichkeiten, eine Liste der E-Mail-Adressen von Postfächern mit übergelaufenen Daten zu sammeln.

Option 1: Abrufen einer Liste der Adressen von Postfächern mit übergelaufenen Daten

  1. Öffnen Sie den eDiscovery-Fall, wechseln Sie zur Seite Suchen, und wählen Sie die entsprechende Inhaltssuche aus.

  2. Wählen Sie auf der Flyoutseite Ergebnisse anzeigen aus.

  3. Wählen Sie in der Dropdownliste Einzelne Ergebnissedie Option Suchstatistik aus.

  4. Wählen Sie in der Dropdownliste Typ die Option Top locations (Top locations) aus.

    Rufen Sie eine Liste der Postfächer ab, die Suchergebnisse auf der Seite Top locations in der Suchstatistik enthalten.

    Eine Liste von Postfächern, die Suchergebnisse enthalten, wird angezeigt. Die Anzahl der Elemente in jedem Postfach, die der Suchabfrage entsprechen, wird ebenfalls angezeigt.

  5. Kopieren Sie die Informationen in der Liste, und speichern Sie sie in einer Datei, oder wählen Sie Herunterladen aus, um die Informationen in eine CSV-Datei herunterzuladen.

Option 2: Abrufen von Postfachspeicherorten aus dem Exportbericht

Öffnen Sie den Bericht "Zusammenfassung exportieren", den Sie in Schritt 4 heruntergeladen haben. In der ersten Spalte des Berichts wird die E-Mail-Adresse jedes Postfachs unter Speicherorte aufgeführt.

Vorbereiten der Postfächer, damit Sie die übergelaufenen Daten löschen können

Wenn die Wiederherstellung einzelner Elemente aktiviert ist oder ein Postfach in den Halteraum versetzt wird, wird eine dauerhaft gelöschte (gelöschte) Nachricht im Ordner "Wiederherstellbare Elemente" beibehalten. Bevor Sie übergelaufene Daten bereinigen können, müssen Sie also die vorhandenen Postfachkonfigurationen überprüfen und die Wiederherstellung einzelner Elemente deaktivieren und alle Aufbewahrungs- oder Aufbewahrungsrichtlinien entfernen. Denken Sie daran, dass Sie jeweils ein Postfach vorbereiten und dann denselben Befehl für verschiedene Postfächer ausführen oder ein PowerShell-Skript erstellen können, um mehrere Postfächer gleichzeitig vorzubereiten.

Wichtig

Wenden Sie sich an Ihre Datensatzverwaltung oder Rechtsabteilung, bevor Sie eine Aufbewahrungs- oder Aufbewahrungsrichtlinie entfernen. Ihr organization verfügt möglicherweise über eine Richtlinie, die definiert, ob ein Postfach im Halte- oder ein Datenleck Vorrang hat.

Stellen Sie sicher, dass Sie das Postfach zu früheren Konfigurationen rückgängig machen, nachdem Sie sich vergewissert haben, dass die übergelaufenen Daten endgültig gelöscht wurden. Weitere Informationen finden Sie in Schritt 7.

Schritt 7: Dauerhaftes Löschen der übergelaufenen Daten

Mithilfe der Postfachspeicherorte, die Sie in Schritt 6 gesammelt und vorbereitet haben, und der Suchabfrage, die in Schritt 3 erstellt und optimiert wurde, um E-Mail-Nachrichten zu finden, die die übergelaufenen Daten enthalten, können Sie die übergelaufenen Daten jetzt endgültig löschen. Wie bereits erläutert, müssen Sie zum Löschen von Nachrichten Mitglied der Rollengruppe Organisationsverwaltung sein oder der Verwaltungsrolle Suchen und Bereinigen zugewiesen sein. Informationen zum Hinzufügen von Benutzern zu einer Rollengruppe finden Sie unter Zuweisen von eDiscovery-Berechtigungen.

Informationen zum Löschen der übergelaufenen Nachrichten finden Sie unter Suchen und Löschen von E-Mail-Nachrichten.

Beachten Sie beim Löschen übergelaufener Daten die folgenden Grenzwerte:

  • Die maximale Anzahl von Postfächern in einer Suche, die Sie zum Löschen von Elementen verwenden können, indem Sie eine Such- und Bereinigungsaktion ausführen, beträgt 50.000. Wenn die in Schritt 3 erstellte Suche mehr als 50.000 Postfächer durchsucht, schlägt die Bereinigungsaktion fehl. Zum Durchsuchen von mehr als 50.000 Postfächern in einer einzigen Suche kann es typischerweise kommen, wenn Sie die Suche so konfigurieren, dass alle Postfächer in Ihrer Organisation durchsucht werden. Diese Einschränkung gilt auch dann, wenn weniger als 50.000 Postfächer Elemente enthalten, die der Suchabfrage entsprechen.

  • Aus jedem Postfach können maximal 10 Elemente gleichzeitig entfernt werden. Da die Funktion zum Suchen und Entfernen von Nachrichten ein Tool zur Reaktion auf Vorfälle sein soll, stellt dieser Höchstwert sicher, dass Nachrichten schnell aus Postfächern entfernt werden können. Das Feature ist nicht zum Bereinigen von Benutzerpostfächern vorgesehen.

Wichtig

E-Mail-Elemente in einem Prüfdateisatz in einem eDiscovery (Premium)-Fall können nicht mithilfe der in diesem Artikel beschriebenen Verfahren gelöscht werden. Das liegt daran, dass Elemente in einem Überprüfungssatz Kopien von Elementen im live-Dienst sind, die an einem Azure Storage-Speicherort kopiert und gespeichert werden. Dies bedeutet, dass sie nicht von einer Inhaltssuche zurückgegeben werden, die Sie in Schritt 3 erstellen. Wenn Sie Elemente in einem Prüfdateisatz löschen möchten, müssen Sie den eDiscovery (Premium)-Fall löschen, der den Prüfdateisatz enthält. Weitere Informationen finden Sie unter Schließen oder Löschen eines eDiscovery (Premium)-Falls.

Schritt 8: Überprüfen, Bereitstellen eines Löschnachweises und Überwachen

Der letzte Schritt im Workflow zum Verwalten eines Datenlecks besteht darin, zu überprüfen, ob die übergelaufenen Daten dauerhaft aus dem Postfach entfernt wurden, indem Sie zum eDiscovery-Fall wechseln und die gleiche Suchabfrage erneut ausführen, die zum Löschen dieser Daten verwendet wurde, um zu bestätigen, dass keine Ergebnisse zurückgegeben werden. Nachdem Sie sich vergewissert haben, dass die durchgesickerten Daten endgültig entfernt worden sind, können Sie einen Bericht exportieren und ihn (zusammen mit dem ursprünglichen Bericht) als Löschnachweis beifügen. Dann können Sie den Fall schließen , sodass Sie ihn erneut öffnen können, wenn Sie in Zukunft darauf verweisen müssen. Darüber hinaus können Sie Postfächer auch in ihren vorherigen Zustand rückgängig machen, die Suchabfrage löschen, die zum Suchen der übergelaufenen Daten verwendet wird, und nach Überwachungsdatensätzen von Aufgaben suchen, die beim Verwalten des Datenlecks ausgeführt wurden.

Wiederherstellen des vorherigen Zustands der Postfächer

Wenn Sie eine Postfachkonfiguration in Schritt 6 geändert haben, um die Postfächer vorzubereiten, bevor die übergelaufenen Daten gelöscht wurden, müssen Sie sie in ihren vorherigen Zustand rückgängig machen. Weitere Informationen finden Sie unter "Schritt 6: Zurücksetzen des Postfachs in den vorherigen Zustand" unter Löschen von Elementen im Ordner "Wiederherstellbare Elemente" von cloudbasierten Postfächern im Haltezustand.

Löschen der Suchabfrage

Wenn die Schlüsselwörter in der Suchabfrage, die Sie in Schritt 3 erstellt und verwendet haben, einige der tatsächlich übergelaufenen Daten enthalten, sollten Sie die Suchabfrage löschen, um ein weiteres Datenleck zu verhindern.

Hinweis

Für eine begrenzte Zeit ist diese klassische eDiscovery-Erfahrung auch im neuen Microsoft Purview-Portal verfügbar. Aktivieren Sie die klassische eDiscovery-Benutzeroberfläche des Complianceportals in den Einstellungen für die eDiscovery-Benutzeroberfläche (Vorschau), um die klassische Benutzeroberfläche im neuen Microsoft Purview-Portal anzuzeigen.

  1. Öffnen Sie im Microsoft Purview-Complianceportal den eDiscovery-Fall, wechseln Sie zur Seite Suchen, und wählen Sie die entsprechende Inhaltssuche aus.

  2. Wählen Sie auf der Flyoutseite Löschen aus.

    Wählen Sie die Suche und dann auf der Flyoutseite Löschen aus.

Überwachen des Untersuchungsprozesses für Datenlecks

Sie können das Überwachungsprotokoll nach den eDiscovery-Aktivitäten durchsuchen, die während der Untersuchung ausgeführt wurden. Sie können auch das Überwachungsprotokoll durchsuchen, um die Überwachungsdatensätze für den Befehl New-ComplianceSearchAction -Purge zurückzugeben, den Sie in Schritt 7 ausgeführt haben, um die übergelaufenen Daten zu löschen. Weitere Informationen finden Sie unter: