Creación de retenciones en eDiscovery (versión preliminar)
Puede crear retenciones para conservar el contenido que podría ser relevante para un caso de exhibición de documentos electrónicos. Puede colocar una suspensión en los buzones de Exchange y las cuentas de OneDrive de las personas que está investigando en el caso. También puede colocar una suspensión en los buzones y sitios asociados a Microsoft Teams, grupos de Microsoft 365 y Viva Engage Grupos. Cuando coloca ubicaciones de contenido en espera, el contenido se conserva hasta que quita la ubicación del contenido de la suspensión o hasta que elimina o libera la suspensión.
Importante
Después de crear una suspensión de eDiscovery, la suspensión puede tardar hasta 24 horas en surtir efecto. Para la retención de datos a largo plazo no relacionada con las investigaciones de exhibición de documentos electrónicos, se recomienda encarecidamente usar directivas de retención y etiquetas de retención. Para obtener más información, consulte Información sobre las etiquetas y directivas de retención.
Al crear una suspensión, tiene las siguientes opciones para limitar el contenido que se conserva en las ubicaciones de contenido especificadas:
- Crear una suspensión infinita donde todo el contenido de las ubicaciones especificadas se retiene. Como alternativa, puede crear una suspensión basada en consultas en la que solo se mantenga en espera el contenido de las ubicaciones especificadas que coincida con una consulta de búsqueda.
- Especifique un intervalo de fechas para conservar solo el contenido que se envió, recibió o creó dentro de ese intervalode fechas. Como alternativa, puede contener todo el contenido en ubicaciones especificadas, independientemente de cuándo se envíe, reciba o cree.
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
Crear un caso de retención de eDiscovery
Sugerencia
¿Prefiere una experiencia de guía de configuración interactiva? Consulte la guía Aplicar una suspensión .
Para crear una suspensión de eDiscovery asociada a un caso de exhibición de documentos electrónicos, siga estos pasos:
Vaya al portal de Microsoft Purview e inicie sesión con las credenciales de los permisos de exhibición de documentos electrónicos asignados a una cuenta de usuario.
Seleccione la tarjeta de solución eDiscovery y, a continuación, seleccione Casos (versión preliminar) en el panel de navegación izquierdo.
Seleccione un caso y, a continuación, seleccione la pestaña Directivas de suspensión .
En el panel Detención de directivas , seleccione Crear directiva.
En la página Escribir detalles para empezar , complete los campos siguientes:
- Nombre de directiva: asigne un nombre a la directiva de suspensión (obligatorio). El nombre de la directiva de suspensión debe ser único en su organización.
- Descripción de la directiva: agregue una descripción opcional para ayudar a otros usuarios a comprender esta directiva de suspensión.
Seleccione Crear para crear la nueva directiva de suspensión e iniciar la suspensión en los datos pertinentes para el caso.
Seleccione Agregar orígenes de datos en la pestaña Directiva de suspensión .
En el panel flotante Administrar orígenes de datos , agregará o quitará orígenes de datos para la directiva de suspensión. Puede elegir uno o varios usuarios, grupos o ubicaciones de la organización.
- Debe seleccionar al menos un origen de fecha para crear una directiva de suspensión.
- Escriba los usuarios, grupos u ubicaciones de organización específicos que desea agregar a la directiva de suspensión.
Buzones de Exchange: las casillas aplicables se seleccionan para los buzones que están en espera. Use Editar para buscar buzones de usuario y grupos de distribución (los buzones de los miembros del grupo) para colocarlos en espera. También puede colocar una suspensión en el buzón asociado para un equipo de Microsoft, un grupo de Microsoft 365 y un grupo de Viva Engage. Para obtener más información sobre los datos de la aplicación que se conservan cuando se coloca un buzón en espera, vea Contenido almacenado en buzones para eDiscovery.
Importante
Al seleccionar una lista de distribución que se va a poner en espera, la lista de distribución se expande a los miembros de la lista de distribución. Los usuarios pueden elegir colocar todos los buzones de correo de todos los miembros y OneDrive en espera o un subconjunto o combinación de estos orígenes de datos en espera. Los cambios posteriores en la pertenencia a la lista de distribución no cambian ni actualizan las retenciones ni la directiva. Los usuarios deben volver a agregar la lista de distribución al origen de datos para asegurarse de que la pertenencia más reciente se refleja y expande.
Sitios de SharePoint: las casillas aplicables están seleccionadas para los sitios de SharePoint y las cuentas de OneDrive en espera. Use Editar para escribir la dirección URL de los sitios adicionales que desea colocar en espera. También puede agregar la dirección URL del sitio de SharePoint para un equipo de Microsoft, un grupo de Microsoft 365 o un grupo de Yammer.
Importante
La papelera de reciclaje de los sitios de SharePoint no está indexada y, por tanto, no está disponible para la búsqueda. Como resultado, las búsquedas de eDiscovery no pueden encontrar ningún contenido de papelera de reciclaje para colocar retenciones.
Haga clic en Guardar. Ahora ha limitado los orígenes de datos de la directiva de suspensión.
Para definir los parámetros de la directiva de suspensión, puede elegir entre las siguientes opciones en la pestaña Directiva de suspensión :
Generador de condiciones: la opción generador de condiciones de la búsqueda proporciona una experiencia de filtrado visual al compilar directivas de suspensión. Cada condición agrega una cláusula que se crea y ejecuta al crear la suspensión. Por ejemplo, puede especificar un intervalo de fechas para que se conserven los documentos de correo electrónico o de sitio que se crearon dentro del intervalo de fechas. Para obtener información detallada sobre el uso de la opción generador de condiciones, consulte Uso del generador de condiciones para crear consultas de búsqueda en eDiscovery (versión preliminar).
Lenguaje de consulta de palabras clave (KeyQL): la opción de consulta Lenguaje de consulta de palabras clave (KeyQL) en la búsqueda proporciona instrucciones y le permite pegar rápidamente consultas largas y complejas directamente en el editor. Para obtener información detallada sobre cómo crear consultas de búsqueda con la opción KeyQL, consulte Uso del lenguaje de consulta de palabras clave para crear consultas de búsqueda en eDiscovery (versión preliminar).
También puede crear rápidamente consultas de KeyQL para la búsqueda mediante Microsoft Security Copilot. Para obtener más información, consulte Creación de una consulta de búsqueda de KeyQL con Microsoft Copilot (versión preliminar).
Seleccione Aplicar suspensión.
Después de crear una suspensión, compruebe que la suspensión se aplica correctamente; para ello, vaya a la pestaña Detalles de la directiva de suspensión. Puede revisar la siguiente información para la directiva de suspensión:
- Nombre: nombre del origen de datos.
- Ubicación: ubicación específica (como la dirección SMTP del buzón o la dirección URL del sitio) de los orígenes de datos incluidos en la directiva de suspensión.
- Estado de suspensión: estado de retención de la ubicación. Indica si la ubicación está en espera, no en espera o si hay un error con la suspensión.
- Tipo de origen: muestra si el tipo de origen de datos está Personas o Group.
- Tipo de ubicación: muestra si la ubicación es Buzón o Sitio.
Nota:
Al crear una suspensión basada en consultas, todo el contenido de las ubicaciones seleccionadas se coloca inicialmente en espera. Posteriormente, cualquier contenido que no coincida con la consulta especificada se borra de la suspensión cada siete a 14 días. Sin embargo, una retención basada en consultas no borrará el contenido si se aplican más de cinco retenciones de cualquier tipo a una ubicación de contenido o si algún elemento tiene problemas de indexación.
Administrador de procesos
El Administrador de procesos muestra información sobre los procesos realizados en la directiva de suspensión.
- Tipo de proceso: tipo de proceso.
- Estado: estado del proceso.
- Creado: fecha y hora en que se creó el proceso.
- Completado: fecha y hora en que se completó el proceso.
- Duración: duración del proceso.
- Creado por: el usuario que creó el proceso.
Para descargar la lista de procesos y la información de columna, seleccione Descargar lista para crear un archivo .csv que contenga esta información.
Para ver información sobre todos los procesos de eDiscovery, vea Usar el informe Proceso en eDiscovery (versión preliminar).
Retenciones basadas en consultas colocadas en sitios
Tenga en cuenta lo siguiente al colocar una suspensión de exhibición de documentos electrónicos basada en consultas en documentos ubicados en sitios de SharePoint:
- Una suspensión basada en consultas conserva inicialmente todos los documentos de un sitio durante un breve período de tiempo después de su eliminación. Esto significa que cuando se elimina un documento, se mueve a la biblioteca de suspensión de conservación aunque no coincida con los criterios de la retención basada en consultas. Sin embargo, los documentos eliminados que no coinciden con una retención basada en consultas se quitan mediante un trabajo de temporizador que procesa la biblioteca de suspensión de conservación. El trabajo del temporizador se ejecuta periódicamente y compara todos los documentos de la biblioteca de suspensión de conservación con las retenciones de exhibición de documentos electrónicos basadas en consultas (y otros tipos de retenciones y directivas de retención). El trabajo del temporizador elimina los documentos que no coinciden con una retención basada en consultas y conserva los documentos que lo hacen.
- Las retenciones basadas en consultas deben usarse para realizar la conservación de destino, como palabras clave, intervalos de fechas u otras propiedades de documento para conservar los documentos del sitio.
Conservación del contenido en Microsoft Teams
Las conversaciones que forman parte de un canal de Microsoft Teams se almacenan en el buzón asociado al equipo de Microsoft. Asimismo, los archivos que los miembros del equipo comparten en un canal se almacenan en el sitio de SharePoint del equipo. Por lo tanto, debe colocar el buzón de equipo y el sitio de SharePoint en suspensión de eDiscovery para conservar conversaciones y archivos en un canal.
Como alternativa, las conversaciones que forman parte de la lista chat en Teams ( llamadas chats 1:1 o chats de grupo 1:N) se almacenan en los buzones de los usuarios que participan en el chat. Y los archivos que los usuarios comparten en conversaciones de chat se almacenan en la cuenta de OneDrive del usuario que comparte el archivo. Por lo tanto, debe agregar los buzones de usuario individuales y las cuentas de OneDrive a una suspensión de eDiscovery para conservar las conversaciones y los archivos de la lista de chat. Es una buena idea colocar una suspensión en los buzones de los miembros de un equipo de Microsoft, además de colocar el buzón de equipo y el sitio en espera.
Nota:
Si su organización tiene una implementación híbrida de Exchange (o su organización sincroniza una organización de Exchange local con Office 365) y ha habilitado Microsoft Teams, los usuarios locales pueden usar la aplicación de chat de Teams y participar en chats 1:1 y chats de grupo 1:N. Estas conversaciones se almacenan en un almacenamiento basado en la nube asociado a un usuario local. Si un usuario local se coloca en una suspensión de eDiscovery, se conserva el contenido de chat de Teams en el almacenamiento basado en la nube. Para obtener más información, consulte Buscar los datos de chat de Teams de usuarios locales.
Conservar el contenido de la tarjeta
De forma similar, el contenido de tarjeta generado por las aplicaciones en canales de Teams, chats 1:1 y chats de grupo 1:N se almacena en buzones y se conserva cuando un buzón se coloca en una suspensión de eDiscovery. Una tarjeta es un contenedor de IU para pequeños fragmentos de contenido. Las tarjetas pueden tener varias propiedades y datos adjuntos, y pueden incluir elementos que desencadenan acciones de tarjeta. Para obtener más información, vea Tarjetas. Igual que el resto de contenido de Teams, el lugar donde se almacena el contenido de las tarjetas depende de dónde se haya usado. El contenido de tarjetas usado en un canal de Teams se almacena en el buzón del grupo de Teams. El contenido de tarjetas de los chats 1x1 y 1xN se almacena en los buzones de los participantes de los chats.
Conservación de la información de reuniones y llamadas
La información de resumen de las reuniones y llamadas en un canal de Teams también se almacena en los buzones de los usuarios que llamaron a la reunión o llamada. Este contenido también se conserva cuando se coloca una suspensión de eDiscovery en los buzones de usuario.
Conservación del contenido en canales privados
A partir de febrero de 2020, también activamos la capacidad de conservar contenido en canales privados. Dado que los chats de canales privados se almacenan en los buzones de los participantes del chat, la colocación de un buzón de usuario en la suspensión de eDiscovery conserva los chats del canal privado. Además, si un buzón de usuario se colocó en una suspensión de eDiscovery antes de febrero de 2020, la suspensión ahora se aplicará automáticamente a los mensajes de canal privado almacenados en ese buzón. También se admite la conservación de archivos compartidos en canales privados.
Conservación del contenido wiki
Cada canal de equipo o equipo también contiene una wiki para tomar notas y colaborar. El contenido de esta se guarda automáticamente en un archivo con un formato .mht. Este archivo se almacena en la biblioteca de documentos de Datos Wiki de Teams en el sitio de SharePoint del equipo. Puede conservar el contenido de la wiki agregando el sitio de SharePoint del equipo a una suspensión de eDiscovery.
Nota:
La funcionalidad para conservar el contenido wiki de un canal de equipo o equipo (cuando se coloca el sitio de SharePoint del equipo en espera) se publicó el 22 de junio de 2017. Si un sitio de equipo está en espera, el contenido wiki se conserva a partir de esa fecha. Sin embargo, si un sitio de equipo está en espera y el contenido wiki se eliminó antes del 22 de junio de 2017, el contenido wiki no se conservaba.
Grupos de Microsoft 365
Teams se basa en grupos de Microsoft 365. Por lo tanto, colocar grupos de Microsoft 365 en suspensión de eDiscovery es similar colocando contenido de Teams en espera.
Tenga en cuenta lo siguiente al colocar los grupos de Teams y Microsoft 365 en una suspensión de exhibición de documentos electrónicos:
Para colocar contenido ubicado en grupos de Teams y Microsoft 365 en espera, debe especificar el buzón de correo y el sitio de SharePoint asociados a un grupo o equipo.
Ejecute el cmdlet Get-UnifiedGroup en Exchange Online PowerShell para ver las propiedades de los grupos de Teams y Microsoft 365. Esta es una buena manera de obtener la dirección URL del sitio asociado a un grupo de Team o Microsoft 365. Por ejemplo, el siguiente comando muestra las propiedades seleccionadas para un grupo de Microsoft 365 denominado Equipo de liderazgo sénior:
Get-UnifiedGroup "Senior Leadership Team" | FL DisplayName,Alias,PrimarySmtpAddress,SharePointSiteUrl DisplayName : Senior Leadership Team Alias : seniorleadershipteam PrimarySmtpAddress : seniorleadershipteam@contoso.onmicrosoft.com SharePointSiteUrl : https://contoso.sharepoint.com/sites/seniorleadershipteamNota:
Para ejecutar el cmdlet Get-UnifiedGroup debe tener asignado el rol de destinatarios con permiso de vista en Exchange Online o ser un miembro de un grupo de roles que tenga asignado el rol de destinatarios con permiso de vista.
Cuando se busca el buzón de un usuario, no se buscará en ningún grupo de Team o Microsoft 365 del que sea miembro el usuario. De forma similar, cuando coloca un grupo de Team o Microsoft 365 en suspensión de eDiscovery, solo el buzón de grupo y el sitio de grupo se colocan en espera. Los buzones de correo y los sitios de OneDrive de los miembros del grupo no se colocan en espera a menos que los agregue explícitamente a la suspensión de eDiscovery. Por lo tanto, si tiene que poner un grupo de Equipo o Microsoft 365 en espera por un motivo legal, considere la posibilidad de agregar los buzones de correo y las cuentas de OneDrive de los miembros del equipo o grupo en la misma suspensión.
Para obtener una lista de los miembros de un grupo de Team o Microsoft 365, puede ver las propiedades en la página Grupos del Centro de administración de Microsoft 365. Además, puede ejecutar el comando siguiente en PowerShell de Exchange Online:
Get-UnifiedGroupLinks <group or team name> -LinkType Members | FL DisplayName,PrimarySmtpAddressNota:
Para ejecutar el cmdlet Get-UnifiedGroupLinks debe tener asignado el rol de destinatarios con permiso de vista en Exchange Online o ser un miembro de un grupo de roles que tenga asignado el rol de destinatarios con permiso de vista.
Conservación del contenido en cuentas de OneDrive
Para recopilar una lista de las direcciones URL de los sitios de OneDrive de su organización para que pueda agregarlas a una suspensión o búsqueda asociada a un caso de exhibición de documentos electrónicos, consulte Creación de una lista de todas las ubicaciones de OneDrive en su organización. El script de este artículo crea un archivo de texto que contiene una lista de todos los sitios de OneDrive de la organización. Para ejecutar este script, tiene que instalar y usar el Shell de SharePoint Online Management. Asegúrese de anexar la dirección URL para el dominio MiSitio de su organización a cada sitio de OneDrive que quiera buscar. Este es el dominio que contiene todo el OneDrive; por ejemplo, https://contoso-my.sharepoint.com. Este es un ejemplo de una dirección URL para el sitio de OneDrive de un usuario: https://contoso-my.sharepoint.com/personal/sarad_contoso_onmicrosoft.com.
Importante
La dirección URL de la cuenta de OneDrive de un usuario incluye su nombre principal de usuario (UPN) (por ejemplo, https://alpinehouse-my.sharepoint.com/personal/sarad_alpinehouse_onmicrosoft_com). En el caso poco frecuente de que se cambie el UPN de una persona, su dirección URL de OneDrive también cambiará para incorporar el nuevo UPN. Si la cuenta de OneDrive de un usuario forma parte de una suspensión de eDiscovery y su UPN cambia, debe actualizar la suspensión agregando la nueva dirección URL de OneDrive del usuario y quitando la anterior. Si cambia la dirección URL del sitio de OneDrive, las retenciones colocadas anteriormente en el sitio seguirán siendo eficaces y se conservará el contenido. Para más información, consulte Cómo afectan los cambios de UPN a la dirección URL de OneDrive.
Quitar ubicaciones de contenido de una suspensión de eDiscovery
Después de quitar un buzón, un sitio de SharePoint o una cuenta de OneDrive de una suspensión de eDiscovery, se aplica una retención de retraso. Esto significa que la eliminación real de la suspensión se retrasa durante 30 días para evitar que los datos se eliminen (purguen) de forma permanente desde una ubicación de contenido. Esto ofrece a los administradores la oportunidad de buscar o recuperar contenido que se purga después de quitar una suspensión de eDiscovery. Los detalles de cómo funciona la retención de retraso para los buzones y sitios son diferentes.
Buzones: Una suspensión de retraso se coloca en un buzón la próxima vez que el Asistente para carpetas administradas procesa el buzón y detecta que se quitó una suspensión de eDiscovery. En concreto, se aplica una suspensión retrasada a un buzón cuando el Asistente para carpetas administradas establece una de las siguientes propiedades de buzón como True:
- DelayHoldApplied: Esta propiedad se aplica al contenido relacionado con el correo electrónico (generado por personas que usan Outlook y Outlook en la Web) que se almacena en el buzón de un usuario.
- DelayReleaseHoldApplied: Esta propiedad se aplica al contenido basado en la nube (generado por aplicaciones que no son de Outlook, como Microsoft Teams, Microsoft Forms y Microsoft Yammer) que se almacena en el buzón de un usuario. Los datos en la nube generados por una aplicación de Microsoft normalmente se almacenan en una carpeta oculta en el buzón de un usuario.
Cuando se coloca una suspensión de retraso en el buzón (cuando cualquiera de las propiedades anteriores se establece en True), el buzón sigue considerándose que está en espera durante una duración de suspensión ilimitada, como si el buzón estuviera en suspensión por juicio. Después de 30 días, la suspensión de retraso expira y Microsoft 365 intentará quitar automáticamente la suspensión de retraso (estableciendo la propiedad DelayHoldApplied o DelayReleaseHoldApplied en False) para que se quite la suspensión. Después de establecer cualquiera de estas propiedades en False, los elementos correspondientes marcados para la eliminación se purgan la próxima vez que el Asistente para carpetas administradas procese el buzón.
Sitios de SharePoint y OneDrive: Cualquier contenido de SharePoint o OneDrive que se conserve en la biblioteca de suspensión de conservación no se elimina durante el período de retención de retraso de 30 días después de que un sitio se quite de una suspensión de eDiscovery. Esto es similar a lo que ocurre cuando un sitio se libera de una directiva de retención. Además, no puede eliminar manualmente este contenido en la biblioteca de conservación de documentos durante el período de retención de retraso de 30 días. Para liberar un sitio de la suspensión o período de gracia de retraso de 30 días, consulte el artículo No se puede eliminar un sitio debido a una directiva de retención o a una solución de problemas de suspensión de eDiscovery no válida .
Para obtener más información, vea Liberar una directiva para la retención.
También se aplica una suspensión de retraso a las ubicaciones de contenido en espera al cerrar un caso de exhibición de documentos electrónicos porque las retenciones se desactivan cuando se cierra un caso. Para obtener más información sobre cómo cerrar un caso, vea Información sobre la configuración de casos en eDiscovery (versión preliminar).
Límites de suspensión de eDiscovery
En la tabla siguiente se enumeran los límites de los casos de eDiscovery y las retenciones de mayúsculas y minúsculas.
| Descripción del límite | Límite |
|---|---|
| Número máximo de casos para una organización. | Sin límite |
| Número máximo de directivas de suspensión de eDiscovery para una organización. Este límite incluye el total combinado de directivas de suspensión en casos de exhibición de documentos electrónicos. | 10 0001 |
| Número máximo de buzones en una única suspensión de eDiscovery. Este límite incluye el total combinado de buzones de usuario y los buzones asociados a grupos de Microsoft 365, Microsoft Teams y Viva Engage Grupos. | 1,000 |
| Número máximo de sitios en una única suspensión de eDiscovery. Este límite incluye el total combinado de sitios de OneDrive, sitios de SharePoint y los sitios asociados a grupos de Microsoft 365, Microsoft Teams y Viva Engage Grupos. <Br/ | 100 |
| Número máximo de casos que se muestran en la página principal de eDiscovery y el número máximo de elementos que se muestran en las pestañas Holds, Searches y Export dentro de un caso. | 10001 |
| Límites de suspensión para sitios de SharePoint y OneDrive | Para obtener más información, vea Límites de SharePoint. |
Nota:
1 Para ver una lista de más de 1000 casos, retenciones, búsquedas o exportaciones, puede usar el cmdlet de PowerShell security & compliance correspondiente: