Freigeben über


Informationen zum Workflow in eDiscovery (Vorschau)

Der eDiscovery-Workflow (Vorschauversion) hilft Ihnen, in Ihrem organization schneller zu identifizieren, zu untersuchen und Maßnahmen für elektronisch gespeicherte Informationen (ESI) zu ergreifen. Das Identifizieren und Ausführen von Aktionen für ESI-Elemente mit eDiscovery (Vorschau) verwendet den folgenden verbesserten Workflow:

eDiscovery-Workflowdiagramm.

Schritt 1: Eskalieren aus dem Triggerereignis

Triggerereignisse sind Aktivitäten, die in Ihrem organization eskaliert werden und zur Erstellung eines neuen Falls in eDiscovery (Vorschau) auffordern. Bei diesen Ereignissen kann es sich um Anforderungen interner oder externer Partner, um integrierte Ereignisse im Zusammenhang mit Warnungen in anderen Microsoft Purview-Lösungen (z. B. Insider-Risikomanagementfälle) oder um andere Aktivitäten handeln, die von den in eDiscovery enthaltenen Such-, Untersuchungs- und Entschärfungsaktionen profitieren können.

Schritt 2: Erstellen und Verwalten von Fällen

Ein Fall in eDiscovery (Vorschau) enthält alle Such-, Halte- und Überprüfungssätze im Zusammenhang mit einer bestimmten Untersuchung. Dies kann die Reaktion auf behördliche, Untersuchungs- und Rechtsstreitigkeitsanforderungen umfassen. Sie können einem Fall auch Mitglieder zuweisen, um zu steuern, wer auf den Fall zugreifen und den Inhalt des Falls anzeigen kann. eDiscovery (Vorschauversion) unterstützt auch die Integration neuer Fälle mit Microsoft Purview Insider Risk Management Fällen.

Schritt 3: Suchen, Auswerten von Ergebnissen und Verfeinern

Nachdem Sie einen Fall erstellt haben, verwenden Sie die integrierten Suchtools in eDiscovery (Vorschau), um die Inhaltsspeicherorte in Ihrem organization zu durchsuchen. Sie können verschiedene Suchvorgänge erstellen und ausführen, die dem Fall zugeordnet sind. Sie verwenden Bedingungen (z. B. Schlüsselwörter), um mehrere Suchabfragen zu erstellen, die Suchergebnisse mit den Daten zurückgeben, die wahrscheinlich für den Fall relevant sind. Sie können auch folgende Aktionen ausführen:

  • Zeigen Sie Suchstatistiken an, die Ihnen helfen können, eine Suchabfrage zu verfeinern, um die Ergebnisse einzugrenzen.
  • Anzeigen einer Vorschau der Suchergebnisse, um schnell zu überprüfen, ob die relevanten Daten gefunden werden.
  • Überarbeiten Sie Abfragen, und führen Sie Suchvorgänge erneut aus.

Schritt 4a: Aktionen aus Suchergebnissen

  • Suchergebnisse exportieren: Nachdem eine Suche in einem eDiscovery-Fall erfolgreich abgeschlossen wurde, können Sie die Suchergebnisse exportieren. Wenn Sie Suchergebnisse exportieren, werden Postfachelemente in PST-Dateien oder als einzelne Nachrichten heruntergeladen. Wenn Sie Inhalte von SharePoint- und OneDrive-Websites exportieren, werden Kopien nativer Office-Dokumente und anderer Dokumente exportiert.
  • Erstellen von Überprüfungssätzen: Ein Überprüfungssatz ist ein sicherer, von Microsoft bereitgestellter Azure Storage-Speicherort in der Microsoft-Cloud. Wenn Sie einem Überprüfungssatz Daten hinzufügen, werden die gesammelten Elemente von ihrem ursprünglichen Inhaltsspeicherort in den Überprüfungssatz kopiert. Überprüfungssätze stellen einen statischen, bekannten Satz von Inhalten bereit, die Sie durchsuchen, filtern, markieren und analysieren können. Sie können auch nachverfolgen und berichten, welche Inhalte dem Überprüfungssatz hinzugefügt werden.

Schritt 4b: Erstellen von Haltebereichen

Um daten, die für eine Untersuchung relevant sind, beizubehalten und zu schützen, können Sie einen eDiscovery-Halteraum für die Datenquellen platzieren, die einem Fall zugeordnet sind. Premium eDiscovery-Features werden in Kürze auch einen integrierten Kommunikationsworkflow enthalten, mit dem Sie Haltebenachrichtigungen an Benutzer senden und ihre Bestätigungen nachverfolgen können.

Nachdem Sie einen Fall erstellt haben, können Sie sofort die Inhaltsspeicherorte der Personen, die für Ihre Untersuchung von Interesse sind, speichern. Sie können bei Bedarf auch abfragebasierte Haltebereiche erstellen. Zu den Inhaltsspeicherorten gehören Exchange-Postfächer, SharePoint-Websites, OneDrive-Konten sowie Postfächer und Websites, die Microsoft Teams und Microsoft 365-Gruppen zugeordnet sind. Während das Platzieren eines Halteraums optional ist, behält das Erstellen eines Halteraums Inhalte bei, die während der Untersuchung für den Fall relevant sein können.

Wenn Sie einen Halteraum erstellen, können Sie alle Inhalte an bestimmten Inhaltsspeicherorten beibehalten, oder Sie können einen abfragebasierten Halteraum erstellen, um nur den Inhalt beizubehalten, der einer Halteabfrage entspricht. Neben dem Beibehalten von Inhalten besteht ein weiterer guter Grund zum Erstellen von Haltebereichen darin, beim Erstellen und Ausführen von Suchvorgängen im nächsten Schritt schnell die Speicherorte im Halteraum zu durchsuchen (anstatt jeden zu durchsuchenden Speicherort auswählen zu müssen). Nachdem Sie die Untersuchung abgeschlossen haben, können Sie alle von Ihnen erstellten Haltehaltestellen freigeben. Weitere Informationen finden Sie unter Verwalten von Haltebereichen in eDiscovery.

Schritt 5: Überprüfen und Ergreifen von Maßnahmen aus Überprüfungssätzen

  • Suchen nach Inhalten: In den meisten Fällen ist es hilfreich, den Inhalt eines Überprüfungssatzes genauer zu untersuchen und zu organisieren, um eine effizientere Überprüfung zu ermöglichen. Mithilfe von Filtern und Abfragen in einem Überprüfungssatz können Sie sich auf eine Teilmenge von Dokumenten konzentrieren, die die Kriterien Ihrer Überprüfung erfüllen.
  • Ausführen von Analysen: eDiscovery bietet ein integriertes Analysetool, mit dem Sie Daten aus dem Überprüfungssatz, den Sie als nicht relevant für die Untersuchung ermitteln, weiter filtern können. Neben der Reduzierung der Menge relevanter Daten hilft Ihnen eDiscovery auch, Kosten für rechtliche Überprüfungen zu sparen, indem Sie Inhalte organisieren können, um den Überprüfungsprozess einfacher und effizienter zu gestalten. Weitere Informationen finden Sie unter Analysieren von Daten in einem Überprüfungssatz in eDiscovery.
  • Tagelemente: Das Organisieren von Inhalten in einem Überprüfungssatz ist wichtig, um verschiedene Workflows im eDiscovery-Prozess abzuschließen. Diese organization umfasst häufig das Identifizieren relevanter Inhalte, das Ausklingen unnötiger Inhalte und das Identifizieren von Inhalten, die von einem Experten oder Anwalt überprüft werden müssen. Wenn Experten, Anwälte oder andere Benutzer Inhalte in einem Prüfdateisatz überprüfen, können ihre Ansichten über den Inhalt mithilfe von Tags erfasst werden. Tags bieten Struktur und organization Elemente, die in einer Untersuchung enthalten sind. Weitere Informationen finden Sie unter Markieren von Dokumenten in einem Überprüfungssatz in eDiscovery.
  • Erstellen eines Abfrageberichts (Vorschau): Generieren und Herunterladen eines konsolidierten Berichts für mehrere Abfragen für einen Überprüfungssatz. Mit diesem Bericht können Sie schnell die Gesamtanzahl und das Volumen gefilterter Elemente für eine bestimmte Schlüsselwort (keyword) Suche oder mehrere zusammengesetzte KeyQL-Abfragen anzeigen.
  • Hinzufügen von Elementen aus dem Überprüfungssatz zu einem anderen Überprüfungssatz: In einigen Fällen kann es erforderlich sein, Dokumente aus einem Überprüfungssatz auszuwählen und einzeln mit ihnen in einem anderen Überprüfungssatz zu arbeiten.
  • Elemente exportieren: Nachdem Sie daten gesucht und gefunden haben, die für Ihre Untersuchung relevant sind, können Sie sie aus Ihrem Microsoft 365-organization exportieren, um sie von Personen außerhalb des Untersuchungsteams zu überprüfen. Neben den exportierten Datendateien enthält das Exportpaket einen Exportbericht, einen Zusammenfassungsbericht und einen Fehlerbericht. Weitere Informationen finden Sie unter Exportieren von Dokumenten aus einem Überprüfungssatz in eDiscovery.

Workflowkomponenten

Etuis

Ein Fall enthält alle Such-, Halte- und Überprüfungssätze im Zusammenhang mit einer bestimmten Untersuchung. Dies kann die Reaktion auf behördliche, Untersuchungs- und Rechtsstreitigkeitsanforderungen umfassen. Sie können einem Fall auch Mitglieder zuweisen, um zu steuern, wer auf den Fall zugreifen und den Inhalt des Falls anzeigen kann. eDiscovery (Vorschauversion) unterstützt auch die Integration neuer Fälle mit Microsoft Purview Insider Risk Management Fällen.

Datenquellen

Datenquellen definieren, wo Suchvorgänge ausgeführt werden und wo Haltebereiche angewendet werden können. Datenquellen organisieren Datenspeicherorte in einer hierarchischen Struktur mit zwei Ebenen. Für einen Benutzer oder eine Gruppe wäre der Benutzer oder die Gruppe beispielsweise die oberste Ebene, und Postfächer, OneDrive-Websites und andere Websites wären die zweite Ebene, da sie sich auf den Benutzer oder die Gruppe beziehen. Für eine Microsoft Teams-Gruppe besteht die zweite Ebene aus dem Gruppenpostfach, der Gruppenwebsite, freigegebenen Kanälen/Websites, privaten Kanälen/Websites und anderen Kanälen oder Websites, die sich auf die Teams-Gruppe beziehen.

Datenquellen in eDiscovery (Vorschau) sind in drei separate Gruppen unterteilt:

  • Benutzer: Benutzer sind Personen in Ihrem organization mit Microsoft 365-Konten und umfassen alle Postfächer, OneDrive-Websites oder andere Websites, die dem einzelnen Benutzer zugeordnet sind.

  • Gruppen: Gruppen Gruppenpostfächer, Gruppenwebsites sowie freigegebene und private Teams- und SharePoint-Websites oder -Kanäle umfassen.

  • Organisationsweite Quellen: Zu den organisationsweiten Quellen gehören:

Sie können nach bestimmten Datenquellen oder Datenspeicherorten suchen , indem Sie Eingaben wie den Namen eines Benutzers oder einer Gruppe, die SMTP-Adresse des Postfachs und die OneDrive- oder SharePoint-Website-URL verwenden. Wenn die Suche mit bestimmten Datenquellen erstellt wird, werden nur die in der Datenquelle angegebenen Speicherorte durchsucht. Wenn die organization quelle Alle Personen und Gruppen verwendet wird, deckt die Suche alle Exchange-Postfächer, OneDrive und SharePoint-Websites ab.

Durch die Synchronisierung von Datenquellen in Echtzeit können Sie sicherstellen, dass Sie immer über die neuesten Änderungen an Den Datenspeicherorten informiert sind, die Benutzern und Gruppen zugeordnet sind. Sie können abfragen, ob einer Suche bestimmte Datenquellen hinzugefügt werden, ob ein Halteraum über neu bereitgestellte Datenspeicherorte verfügt oder ob Datenspeicherorte entfernt werden.

Wenn beispielsweise ein privater Kanal für eine Teams-Gruppe erstellt wird, benachrichtigt Sie das Synchronisierungsfeature im Datenquellenbereich über den neuen Standort, sodass Sie ihn schnell und einfach in Such- oder Haltebereiche einschließen können. Dadurch wird sichergestellt, dass neue Daten nicht unbemerkt bleiben und in Ihre Untersuchungen einbezogen werden. Dies trägt auch dazu bei, potenzielle Datenverluste durch Standortänderungen zu verhindern.

Häufige Mitarbeiter

Wenn Sie Personen als Datenquelle für Suchvorgänge auswählen, können Sie schnell andere Benutzer finden, die häufig mit dem ausgewählten Benutzer zusammenarbeiten. Häufige Mitarbeiter sind die zehn wichtigsten Benutzer, die für den ausgewählten Benutzer am relevantesten sind, und Sie können die Postfächer und Websites für diese Benutzer als Datenquellen für Suchvorgänge auswählen.

Exporte und Downloads

Nachdem eine Suche, die einem eDiscovery -Fall (Vorschau) zugeordnet ist, erfolgreich ausgeführt wurde, können Sie die Suchergebnisse exportieren. Wenn Sie Suchergebnisse exportieren, werden Postfachelemente in PST-Dateien oder als einzelne Nachrichten heruntergeladen. Wenn Sie Inhalte von SharePoint- und OneDrive-Websites exportieren, werden Kopien nativer Office-Dokumente und anderer Dokumente exportiert.

Wenn Sie die Suchergebnisse einem Überprüfungssatz aus einem Fall hinzugefügt haben, können Sie auch Inhalt von Überprüfungssatzen in ein Downloadpaket exportieren. Dieses Paket ist konfigurierbar und enthält Optionen zum Exportieren nur ausgewählter Dokumente, aller gefilterten Dokumente oder aller Dokumente im Überprüfungssatz.

Halte- und Aufbewahrungsrichtlinien

Sie können einen eDiscovery-Fall (Vorschauversion) verwenden, um Aufbewahrungsrichtlinien zu erstellen, um Inhalte beizubehalten, die für die Untersuchung mit einem eDiscovery-Haltepunkt relevant sein könnten. Sie können die Exchange-Postfächer und OneDrive-Konten von Personen, die Sie in dem Fall untersuchen, speichern. Sie können auch die Postfächer und Websites, die Microsoft Teams, Microsoft 365-Gruppen und Viva Engage Gruppen zugeordnet sind, halte. Wenn Sie Inhaltsspeicherorte in den Halteraum setzen, werden inhalte so lange beibehalten, bis Sie den Inhaltsspeicherort aus dem Halteraum entfernen oder den Halteraum löschen.

Bei Bedarf können Sie ein Postfach auch im Beweissicherungsverfahren platzieren, um den gesamten Postfachinhalt, einschließlich gelöschter Elemente und originaler Versionen geänderter Elemente, beizubehalten. Wenn Sie für das Postfach das Beweissicherungsverfahren aktivieren, wird auch das Archivpostfach des Benutzers archiviert, wenn dieses aktiviert ist.

Berechtigungen

Wenn Sie möchten, dass Benutzer eines der eDiscovery-bezogenen Features im Microsoft Purview-Portal verwenden, müssen Sie ihnen die entsprechenden Berechtigungen zuweisen. Die einfachste Möglichkeit zum Zuweisen von Rollen besteht darin, der Person die entsprechende Rollengruppe auf der Seite Rollengruppen im Microsoft Purview-Portal hinzuzufügen.

Tipp

Sie können Ihre eigenen Berechtigungen auf der Übersichtsseite für eDiscovery (Vorschau) im Microsoft Purview-Portal anzeigen. Sie müssen mindestens eine Rolle zugewiesen haben, damit Ihre Berechtigungen angezeigt werden können.

Prozesse

eDiscovery (Vorschau) enthält einen Prozessbericht , in dem alle Aktivitäten aufgelistet sind, die für die Parallelität von Fällen und tagesaktuellen Grenzwerten in eDiscovery für einen definierten Zeitraum angerechnet werden. Prozesse in eDsicovery (Vorschau) sind Aktivitäten, die bestimmten Aufgaben zugeordnet sind, die Fälle, Suchvorgänge und Überprüfungssätze unterstützen. Prozesse werden durch Benutzeraktionen ausgelöst, wenn diese Komponenten verwendet werden.

eDiscovery-Administratoren und eDiscovery-Manager (Vorschau) können auf diesen Bericht zugreifen. Prozess-Manager unterstützen Sie beim Anzeigen von Informationen, die automatisch auf Fälle, Suchvorgänge, Überprüfungssätze und Haltebereiche ausgerichtet sind.

Prüfdateisätze

Ein Überprüfungssatz ist ein sicherer, von Microsoft bereitgestellter Azure Storage-Standort in der Microsoft-Cloud. Wenn Sie einem Überprüfungssatz Daten hinzufügen, werden die gesammelten Elemente von ihrem ursprünglichen Inhaltsspeicherort in den Überprüfungssatz kopiert. Überprüfungssätze stellen einen statischen, bekannten Satz von Inhalten bereit, den Sie mithilfe von Vorhersagecodierungsmodellen durchsuchen, filtern, markieren, analysieren und vorhersagen können. Sie können auch nachverfolgen und berichten, welche Inhalte dem Überprüfungssatz hinzugefügt werden.

Suchvorgänge

Verwenden Sie die Suche , um schnell relevante Inhalte für einen Fall zu finden. Dazu gehören E-Mails in Exchange-Postfächern, Dokumente in SharePoint-Websites und OneDrive-Speicherorten sowie Chatunterhaltungen in Skype for Business. Sie können die Suchtools verwenden, um in Tools für die Zusammenarbeit wie Microsoft Teams und Microsoft 365-Gruppen nach E-Mails, Dokumenten und Chatunterhaltungen zu suchen.

Sie können verschiedene Suchvorgänge erstellen und ausführen, die dem Fall zugeordnet sind. Sie verwenden Bedingungen (z. B. Schlüsselwörter), um Suchabfragen zu erstellen, die Suchergebnisse mit den Daten zurückgeben, die wahrscheinlich für den Fall relevant sind.

Sie können auch folgende Aktionen ausführen:

  • Zeigen Sie Suchstatistiken und Beispielelemente an, die Ihnen helfen können, eine Suchabfrage zu verfeinern, um die Ergebnisse einzugrenzen.
  • Anzeigen einer Vorschau der Suchergebnisse, um schnell zu überprüfen, ob die relevanten Daten gefunden werden.
  • Überarbeiten einer Abfrage, und die Suche erneut ausführen.
  • Exportieren Sie die Suchergebnisse, oder fügen Sie die Suchergebnisse einem Überprüfungssatz hinzu.

Suchbeispiele

Beispiele aus einer Suche stellen eine repräsentative Stichprobe von Elementen bereit, die von den definierten Suchkriterien zurückgegeben werden. Das Anzeigen von Details zu einzelnen Elementen kann Ihnen helfen, festzustellen, ob die Suche optimiert werden muss oder ob die repräsentativen Elemente das Hinzufügen der Suchergebnisse zu einem Überprüfungssatz oder einer Exportdatei unterstützen.

Suchstatistiken

Statistiken aus einer Suche bieten Einblicke in das Datenvolumen, die Inhaltsspeicherorte, die Ergebnisse enthalten, die Anzahl der Treffer für die Suchabfragebedingung und vieles mehr. Diese Erkenntnisse können helfen, zu informieren, ob die Suche überarbeitet werden soll, um den Umfang der Suche einzugrenzen oder zu erweitern, bevor sie mit den Überprüfungs- und Analysephasen im eDiscovery-Workflow fortfahren.

Auslösen von Ereignissen

Triggerereignisse sind Aktivitäten, die in Ihrem organization eskaliert werden und zur Erstellung eines neuen Falls in eDiscovery (Vorschau) auffordern. Bei diesen Ereignissen kann es sich um Anforderungen interner oder externer Partner, um integrierte Ereignisse im Zusammenhang mit Warnungen in anderen Microsoft Purview-Lösungen (z. B. Insider-Risikomanagementfälle) oder um andere Aktivitäten handeln, die von den in eDiscovery enthaltenen Such-, Untersuchungs- und Entschärfungsaktionen profitieren können.

Sind Sie bereit loszulegen?