Crear retenciones de eDiscovery

Completado

Una organización puede usar un caso de eDiscovery de Microsoft Purview (estándar) para crear suspensiones. Conserva el contenido que puede ser relevante para un caso. Por ejemplo, puede poner una suspensión en:

  • Los buzones de Exchange y las cuentas de OneDrive para la Empresa de las personas que está investigando en un caso.
  • Los buzones y sitios asociados a Microsoft Teams, Grupos de Microsoft 365 y grupos de Yammer.

Nota:

Una vez que una organización crea una suspensión de eDiscovery, la suspensión puede tardar hasta 24 horas en surtir efecto.

Cuando una organización coloca ubicaciones de contenido en espera, el contenido se conserva hasta que la organización:

  • Quita la ubicación del contenido de la suspensión.
  • Elimina la suspensión.

Cuando una organización crea una suspensión, tiene las siguientes opciones para definir el ámbito del contenido que se conserva en las ubicaciones de contenido especificadas:

  • Crear una suspensión infinita donde todo el contenido de las ubicaciones especificadas se retiene. Como alternativa, puede crear una suspensión basada en consultas en la que solo se mantenga en espera el contenido de las ubicaciones especificadas que coincida con una consulta de búsqueda.
  • Especifique un intervalo de fechas para conservar solo el contenido que se envió, recibió o creó dentro de ese intervalode fechas. Como alternativa, puede almacenar todo el contenido en ubicaciones especificadas, independientemente de cuándo se haya enviado, recibido o creado.

Cómo crear una retención de eDiscovery

Complete los pasos siguientes para crear una suspensión de eDiscovery asociada a un caso de eDiscovery (estándar):

  1. En el portal de cumplimiento de Microsoft Purview, seleccione eDiscovery en el panel de navegación. En el grupo eDiscovery, seleccione Estándar.

  2. En la página eDiscovery (Estándar), seleccione el nombre del caso en el que quiere crear la suspensión.

  3. En la ventana de detalles del caso, la pestaña Inicio se muestra de forma predeterminada. Seleccione la pestaña Suspensión .

  4. En la pestaña Suspensión , seleccione +Crear. Al hacerlo, se inicia el Asistente para nueva suspensión .

  5. En el Asistente para nueva suspensión , en la página Nombre de la suspensión , escriba un nombre para la suspensión. Opcionalmente, agregue una descripcióny, a continuación, seleccione Siguiente. El nombre de la suspensión debe ser exclusivo en la organización.

  6. En la página Elegir ubicaciones , seleccione las ubicaciones de contenido que desea colocar en espera. Puede retener buzones, sitios y carpetas públicas.

    Captura de pantalla de la página Elegir ubicaciones en el Asistente para nueva suspensión, con cada una de las tres ubicaciones resaltadas.

    1. Buzones de Exchange Coloque el conmutador en Activado y, a continuación, seleccione Elegir usuarios, grupos o equipos para especificar los buzones que se pondrán en espera. Use el cuadro de búsqueda para encontrar buzones de usuario y grupos de distribución (para colocar una suspensión en los buzones de miembros de grupo) para suspenderlos. También puede colocar una suspensión en el buzón asociado para un equipo de Microsoft, un grupo de Microsoft 365 y un grupo de Yammer. Para obtener más información sobre los datos de la aplicación que se conservan cuando un buzón se coloca en suspensión, vea Contenido almacenado en buzones para eDiscovery.
    2. Sitios de SharePoint. Establezca el conmutador en Activado y, a continuación, seleccione Elegir sitios para especificar los sitios de SharePoint y las cuentas de OneDrive que desea poner en espera. Escriba la dirección URL de cada sitio que quiere colocar en suspensión. También puede agregar la dirección URL del sitio de SharePoint para un equipo de Microsoft, un grupo de Microsoft 365 o un grupo de Yammer.
    3. Carpetas públicas de Exchange. Active esta opción para poner en espera todas las carpetas públicas de su organización de Exchange Online. No puede elegir carpetas públicas específicas para poner en suspensión. Deje el botón de alternancia desactivado si no quiere establecer una suspensión en las carpetas públicas.

    Importante

    Al agregar buzones de Exchange o sitios de SharePoint a una suspensión, debe agregar explícitamente al menos una ubicación de contenido a la suspensión. En otras palabras, si establece el botón de alternancia en Activado para buzones o sitios, debe seleccionar buzones o sitios específicos para agregarlos a la suspensión. De lo contrario, se creará la suspensión de eDiscovery, pero no se agregarán buzones ni sitios a la suspensión.

  7. Cuando haya terminado de agregar ubicaciones a la suspensión, seleccione Siguiente.

  8. En la página Consulta, cree una suspensión basada en consultas mediante palabras clave o condiciones. Para ello, realice los siguientes pasos:

    Captura de pantalla de la página Consulta en el Asistente para nueva suspensión, con el campo Palabras clave y la opción Agregar condición resaltadas.

    1. En el cuadro de Palabras clave, escriba una consulta para conservar solo el contenido que coincida con los criterios de consulta. Puede especificar palabras clave, propiedades de mensaje de correo electrónico o propiedades de sitio, como nombres de archivo. También puede usar consultas más complejas que usan un operador booleano, como AND, OR o NOT.
    2. Seleccione +Agregar condición para agregar una o más condiciones con la finalidad de restringir la consulta para la suspensión. Cada condición agrega una cláusula a la consulta de búsqueda KQL que se crea y se ejecuta cuando se creala suspensión. Por ejemplo, puede especificar un intervalo de fechas para que se conserven los documentos de correo electrónico o de sitio que se crearon dentro del intervalo de fechas. Una condición se conecta lógicamente a la consulta de palabras clave (especificada en el cuadro Palabras clave) y a otras condiciones mediante el operador AND. Esto significa que los elementos deben satisfacer la consulta de palabra clave y la condición que se va a conservar.

    Para obtener más información sobre cómo crear una consulta de búsqueda y usar condiciones, vea Consultas de palabras clave y condiciones de búsqueda para eDiscovery.

  9. Después de configurar una suspensión basada en consultas, seleccione Siguiente.

  10. En la página Revisar la configuración , compruebe que la configuración es correcta. Seleccione la opción Editar adecuada para editar cualquier configuración que requiera modificación. Una vez que toda la configuración sea correcta, seleccione Enviar.

Nota:

Al crear una suspensión basada en consultas, todo el contenido de las ubicaciones seleccionadas se coloca inicialmente en espera. Después de crear la suspensión, cualquier contenido que no coincida con la consulta especificada se borra de la suspensión cada siete a 14 días. Sin embargo, una retención basada en consultas no borrará el contenido si se aplican más de cinco retenciones de cualquier tipo a una ubicación de contenido o si algún elemento tiene problemas de indexación.

Retenciones basadas en consultas colocadas en sitios

Las organizaciones deben tener en cuenta las siguientes consideraciones cuando colocan una suspensión de eDiscovery basada en consultas en documentos ubicados en sitios de SharePoint:

  • Conservación del contenido una vez que se quita una suspensión. Una suspensión basada en consultas conserva inicialmente todos los documentos de un sitio durante un breve período de tiempo después de su eliminación. Esto significa que, cuando se elimina un documento, se moverá a la biblioteca de conservación de documentos aunque no coincida con los criterios de la suspensión basada en consultas. Sin embargo, los documentos eliminados que no coincidan con una suspensión basada en consultas se quitarán mediante un trabajo de temporizador que procese la biblioteca de conservación de documentos. El trabajo del temporizador se ejecuta periódicamente. Compara todos los documentos de la biblioteca de suspensión para conservación con las retenciones de eDiscovery basadas en consultas de la organización (y otros tipos de retenciones y directivas de retención). El trabajo del temporizador elimina los documentos que no coinciden con una suspensión basada en consultas, pero conserva los documentos que sí lo hacen.
  • Evite la conservación dirigida. Las suspensiones basadas en consultas no deben usarse para realizar la conservación dirigida. Por ejemplo, conservar documentos en una carpeta o sitio específicos o mediante otros criterios de suspensión basados en la ubicación. Si lo hace, es posible que tenga resultados no deseados. Se recomienda que las organizaciones usen criterios de suspensión no basados en la ubicación, como palabras clave, intervalos de fechas u otras propiedades de documento, para conservar los documentos del sitio.

Buscar ubicaciones en suspensión de eDiscovery

Cuando una organización busca contenido en un caso de eDiscovery (estándar), puede configurar rápidamente la búsqueda para buscar solo las ubicaciones de contenido que se han colocado en una suspensión asociada con el caso.

Seleccione la opción Ubicaciones en espera para buscar todas las ubicaciones de contenido que se han colocado en espera. Si el caso contiene varias retenciones de eDiscovery, se buscará en las ubicaciones de contenido de todas las suspensiones cuando se seleccione esta opción.

Además, si se ha colocado una ubicación de contenido en una suspensión basada en consultas, solo se buscarán los elementos que coincidan con la consulta de suspensión cuando se ejecute la búsqueda. En otras palabras, solo se devuelve el contenido que coincide con los criterios de suspensión Y los criterios de búsqueda con los resultados de la búsqueda. Por ejemplo, si un usuario se colocaba en una suspensión de casos basada en consultas que conserva los elementos que se enviaron o crearon antes de una fecha específica, solo se buscarían esos elementos. Este resultado se logra conectando la consulta de suspensión de casos y la consulta de búsqueda mediante un operador AND.

Las organizaciones deben tener en cuenta las siguientes recomendaciones al buscar ubicaciones en la suspensión de eDiscovery en los escenarios siguientes:

  • Una ubicación de contenido forma parte de varias retenciones dentro del mismo caso. En esta situación, los operadores OR combinan las consultas de suspensión cuando se busca en esa ubicación de contenido mediante la opción de contenido de todos los casos. Del mismo modo, si una ubicación de contenido forma parte de dos retenciones diferentes, donde una está basada en consultas y la otra es una suspensión infinita (donde todo el contenido se coloca en retención), se busca todo el contenido debido a la suspensión infinita.
  • Una búsqueda se configura para buscar ubicaciones en espera y, a continuación, cambia una suspensión de eDiscovery en el caso agregando o quitando una ubicación, o cambiando una consulta de suspensión. En este escenario, la configuración de búsqueda se actualiza con esos cambios. Sin embargo, tendrá que volver a ejecutar la búsqueda después de cambiar la suspensión para actualizar los resultados de la búsqueda.
  • Se colocan varias retenciones de eDiscovery en una sola ubicación en un caso de eDiscovery y se selecciona buscar ubicaciones en espera. En esta situación, el número máximo de palabras clave para esa consulta de búsqueda es 500. ¿Por qué? Dado que la búsqueda combina todas las suspensiones basadas en consultas mediante el operador OR. Si hay más de 500 palabras clave en las consultas de suspensión combinadas y la consulta de búsqueda, se busca en todo el contenido del buzón, no solo en el contenido que coincida con las retenciones de casos basadas en consultas.
  • Una suspensión de eDiscovery tiene el estado Activado (Pendiente). En este escenario, todavía puede buscar en las ubicaciones en espera mientras se activa la suspensión.

Quitar ubicaciones de contenido de una suspensión de eDiscovery

Después de quitar un buzón, un sitio de SharePoint o una cuenta de OneDrive de una suspensión de eDiscovery, se aplica una retención de retraso. Al hacerlo, la eliminación real de la suspensión se retrasa durante 30 días para evitar que los datos se eliminen permanentemente (purguen) de una ubicación de contenido. Este retraso ofrece a los administradores la oportunidad de buscar o recuperar contenido que se purgará después de quitar una suspensión de eDiscovery.

Los detalles de cómo funciona la retención de retraso para los buzones y sitios son diferentes.

  • Buzones. Una retención de retraso se coloca en un buzón la próxima vez que el Asistente para carpetas administradas procesa el buzón y detecta que se ha quitado una suspensión de eDiscovery. En concreto, se aplica una suspensión retrasada a un buzón cuando el Asistente para carpetas administradas establece una de las siguientes propiedades de buzón como True:

    • DelayHoldApplied. Esta propiedad se aplica al contenido relacionado con el correo electrónico (generado por personas que usan Outlook y Outlook en la Web) que se almacena en el buzón de un usuario.
    • DelayReleaseHoldApplied. Esta propiedad se aplica al contenido basado en la nube (generado por aplicaciones que no son de Outlook, como Microsoft Teams, Microsoft Forms y Microsoft Yammer) que se almacena en el buzón de un usuario. Los datos en la nube generados por una aplicación de Microsoft normalmente se almacenan en una carpeta oculta en el buzón de un usuario.

    Cuando se coloca una retención de retraso en el buzón (cuando cualquiera de las propiedades anteriores se establece como True), el buzón se considera en espera durante una duración de retención ilimitada, como si el buzón estuviera en retención por juicio. Después de 30 días, la suspensión de retraso expira. En ese momento, Microsoft 365 intentará quitar automáticamente la suspensión retrasada (estableciendo la propiedad DelayHoldApplied o DelayReleaseHoldApplied en False) para que se quite la suspensión. Una vez que cualquiera de estas propiedades se establece en False, los elementos correspondientes marcados para su eliminación se purgan la próxima vez que el Asistente para carpetas administradas procese el buzón.

    Para obtener más información, consulte Gestionar buzón con una retención de retraso.

  • Sitio s de SharePoint y OneDrive. Cualquier contenido de SharePoint o OneDrive que se retenga en la biblioteca de conservación de documentos no se elimina durante el período de retención de retraso de 30 días después de quitar un sitio de una suspensión de eDiscovery. Este proceso es similar a lo que sucede cuando se libera un sitio de una directiva de retención. Además, no puede eliminar manualmente este contenido en la biblioteca de conservación de documentos durante el período de retención de retraso de 30 días.

    Para obtener más información, vea Liberar una directiva para la retención.

También se aplica una suspensión retrasada a las ubicaciones de contenido en espera al cerrar un caso de eDiscovery (estándar). ¿Por qué? Dado que las suspensiones se desactivan cuando se cierra un caso.

Comprobación de conocimientos

Elija la mejor respuesta para cada una de las siguientes preguntas.

Compruebe sus conocimientos

1.

Después de que una organización cree una suspensión de eDiscovery, ¿cuánto tiempo suele tardar la suspensión en surtir efecto?