Mener une enquête eDiscovery pour le contenu Teams

Effectué

eDiscovery est le processus d’identification et de remise d’informations électroniques qui peuvent être utilisées comme preuves dans des cas juridiques. Les grandes entreprises sont souvent exposées à des poursuites juridiques qui exigent la soumission de toutes les informations stockées électroniquement (ESI). Le contenu Microsoft Teams peut être recherché et utilisé pendant les investigations eDiscovery.

Emplacement du contenu Teams pour eDiscovery

Vous pouvez utiliser les outils eDiscovery pour rechercher du contenu Teams. Selon le type de contenu Teams, vous allez configurer différents emplacements dans eDiscovery.

Contenu Teams Emplacement du contenu
Microsoft Teams 1:1 ou conversations de groupe Boîtes aux lettres des utilisateurs
Messages de canal standard Boîte aux lettres de groupe représentant l’équipe
Messages de canal privé Boîte aux lettres des membres du canal privé
Fichiers chargés dans des canaux standard Site SharePoint utilisé par l’équipe
Fichiers chargés dans des canaux privés Site SharePoint utilisé par le canal
Contenu privé OneDrive des utilisateurs

Notes

Le placement d’un utilisateur en attente ne place pas automatiquement un groupe en conservation ou inversement.

Solutions eDiscovery

Il existe trois fonctionnalités clés d’eDiscovery.

Capture d’écran des fonctionnalités clés des outils eDiscovery Microsoft 365.

  • Recherche de contenu. Utilisez l’outil de recherche de contenu pour rechercher du contenu dans les sources de données Microsoft 365, puis exportez les résultats de recherche vers un ordinateur local.

  • eDiscovery (Standard). eDiscovery (Standard) s’appuie sur les fonctionnalités de recherche et d’exportation de base de la Recherche de contenu en vous permettant de créer des cas eDiscovery et d’affecter des gestionnaires eDiscovery à des cas spécifiques. Les gestionnaires eDiscovery ne peuvent accéder qu’aux cas dont ils sont membres. eDiscovery (Standard) vous permet également d’associer des recherches et des exportations à un cas et de placer une conservation eDiscovery sur les emplacements de contenu pertinents pour le cas.

  • eDiscovery (Premium). L’outil Advanced eDiscovery (Premium) s’appuie sur les fonctionnalités existantes de gestion, de conservation, de recherche et d’exportation dans eDiscovery (Standard). eDiscovery (Premium) fournit un flux de travail de bout en bout pour identifier, conserver, collecter, examiner, analyser et exporter du contenu qui répond aux investigations internes et externes de votre organisation. Il permet aux équipes juridiques de gérer les dépositaires et le flux de travail de notification de mise en suspens pour communiquer avec les dépositaires impliqués dans une affaire. Il vous permet de collecter et de copier des données à partir du service en direct dans des ensembles de révision, lorsque vous pouvez filtrer, rechercher et baliser du contenu pour éliminer le contenu non pertinent à partir d’une révision ultérieure afin que votre flux de travail puisse identifier et se concentrer sur le contenu le plus pertinent. eDiscovery (Premium) fournit des modèles de codage prédictif basés sur l’analytique et l’apprentissage automatique afin de limiter davantage l’étendue de votre examen au contenu le plus pertinent.

Pour vous permettre de commencer à utiliser eDiscovery (Standard), voici un flux de travail simple qui consiste à créer des conservations eDiscovery pour les personnes d'intérêt, à rechercher du contenu qui est pertinent pour votre enquête, puis à exporter ces données pour un examen plus approfondi.

Capture d’écran du flux de travail eDiscovery (Standard).

Attribution d’autorisations eDiscovery

Si vous souhaitez que les utilisateurs utilisent l’un des outils liés à eDiscovery dans le Portail de conformité Microsoft Purview, vous devez leur attribuer les autorisations appropriées. Le moyen le plus simple de le faire consiste à ajouter la personne au groupe de rôles approprié sur la page Autorisations dans le Portail de conformité.

Le groupe de rôles eDiscovery principal dans le Portail de conformité Microsoft Purview est appelé Gestionnaire eDiscovery. Ce groupe de rôles comprend deux sous-groupes.

  • Gestionnaires eDiscovery: un gestionnaire eDiscovery peut utiliser des outils de recherche eDiscovery pour rechercher des emplacements de contenu dans l’organisation et effectuer diverses actions liées à la recherche, telles que l’aperçu et l’exportation des résultats de recherche. Les membres peuvent également créer et gérer des cas dans eDiscovery (Standard) et eDiscovery (Premium), ajouter et supprimer des membres à un cas, créer des conservations de cas, exécuter des recherches associées à un cas et accéder aux données de cas. Les gestionnaires eDiscovery peuvent uniquement consulter et gérer les incidents qu’ils créent. Ils ne peuvent pas accéder aux cas créés par d’autres gestionnaires eDiscovery, ni les gérer.

  • Administrateurs eDiscovery: un administrateur eDiscovery est membre du groupe de rôles Gestionnaire eDiscovery et peut effectuer les mêmes tâches liées à la recherche de contenu et à la gestion de cas qu’un gestionnaire eDiscovery. En outre, un administrateur eDiscovery peut :

    • Accédez à tous les cas répertoriés dans les pages eDiscovery (Standard) et eDiscovery (Premium) dans le Portail de conformité Microsoft Purview.

    • Accéder à des données dans eDiscovery (Premium) pour tout cas au sein de l’organisation.

    • Gérer tous les cas eDiscovery après s’être ajouté en tant que membre du cas.

Créer un cas eDiscovery (Standard)

Procéder comme suit pour créer un cas et commencer à utiliser eDiscovery (Standard).

  1. Dans le Portail de conformité Microsoft Purview, sélectionnez eDiscovery > Standard.

  2. Dans la page eDiscovery (Standard), sélectionnez + Créer un cas.

  3. Dans le volet Nouveau cas à droite, entrez un nom de cas explicite et une description de cas indiquant l’objectif de ce cas. Sélectionnez Enregistrer.

Le cas que vous avez créé s’affiche désormais dans la liste des cas de la page eDiscovery, et il est prêt à ajouter des conservations et des recherches.

Créer une conservation eDiscovery pour le contenu Teams

Vous pouvez utiliser un cas eDiscovery (Standard) pour créer des conservations afin de conserver le contenu susceptible d’être pertinent pour le cas. Pour créer une conservation eDiscovery associée à un cas eDiscovery (Standard) :

  1. Dans le Portail de conformité Microsoft Purview, sélectionnez eDiscovery > Standard.

  2. Dans la page eDiscovery (Standard), sélectionnez le nom du cas dans lequel vous souhaitez créer la conservation.

  3. Dans la page d’accueil du cas, sélectionnez l’onglet Conservation.

  4. Sélectionnez + Créer pour créer une conservation.

  5. Dans la page Nommer votre conservation, entrez un nom explicite et une description qui explique l’objectif de cette conservation.

  6. Sélectionnez Suivant.

  7. Dans la page Choisir les emplacements, vous pouvez décider de conserver des emplacements individuels :

    • Boîtes aux lettres Exchange: définissez le bouton bascule sur Activé , puis sélectionnez Choisissez des utilisateurs, des groupes ou des équipes pour spécifier les boîtes aux lettres à mettre en attente.

    • Sites SharePoint: définissez le bouton bascule sur Activé, puis sélectionnez Choisir des sites pour spécifier les sites SharePoint et les comptes OneDrive à mettre en attente.

    • Dossiers publics Exchange : définissez la bascule sur Activé pour mettre tous les dossiers publics en attente dans votre organisation Exchange Online.

      Capture d’écran de Choisissez les emplacements de contenu à placer en conservation.

  8. Lorsque vous avez terminé d’ajouter des emplacements à la conservation, sélectionnez Suivant.

  9. Pour créer une conservation basée sur une requête à l’aide de mots clés ou de conditions, effectuez les étapes suivantes. Pour conserver tout le contenu dans les emplacements de contenu spécifiés, sélectionnez Suivant.

    1. Dans la zone sous Mots clés, tapez une requête pour conserver uniquement le contenu qui correspond aux critères de requête. Vous pouvez spécifier des mots clés, des propriétés de message électronique ou des propriétés de site, telles que des noms de fichiers. Vous pouvez également utiliser des requêtes plus complexes qui utilisent un opérateur booléen, tel que ET, OU ou NON.

    2. Sélectionnez Ajouter une condition pour ajouter une ou plusieurs conditions afin de limiter la requête pour la conservation. Chaque condition ajoute une clause à la requête de recherche KQL qui est créée et exécutée lorsque vous créez la conservation. Par exemple, vous pouvez spécifier une plage de dates afin que les e-mails ou les documents de site créés dans la plage de dates soient conservés. Une condition est connectée logiquement à la requête de mot clé (spécifiée dans la zone mots clés) et à d’autres conditions par l’opérateur ET. Cela signifie que les éléments doivent satisfaire à la fois à la requête de mot clé et à la condition à conserver.

  10. Après avoir configuré une conservation basée sur une requête, sélectionnez Suivant.

  11. Passez en revue vos paramètres (et modifiez-les si nécessaire), puis sélectionnez Envoyer.

Notes

Après avoir placé un emplacement de contenu en attente, l’activité de la conservation peut prendre jusqu’à 24 heures.

Rechercher du contenu dans un cas

Une fois qu’un cas eDiscovery (Standard) est créé et que les personnes concernées par le cas sont placées en conservation, vous pouvez créer et exécuter une ou plusieurs recherches de contenu pertinent pour le cas.

Pour créer un cas eDiscovery (Standard), recherchez :

  1. Dans le Portail de conformité Microsoft Purview, sélectionnez eDiscovery > Standard.

  2. Sélectionnez un cas. ‎

  3. Dans la page eDiscovery (Standard), sélectionnez l’onglet Recherches dans le volet supérieur.

  4. Sélectionnez la flèche déroulante vers la droite à partir de + Nouvelle recherche. ‎

  5. Dans la page Nommez votre recherche, entrez un nom explicite et une Description, qui indique l’objectif de cette recherche dans le contexte de ce cas eDiscovery.

  6. Sélectionnez Suivant.

  7. Dans la page Emplacements , sélectionnez les éléments suivants :

    • Emplacements spécifiques pour choisir un emplacement dans la liste.

    • Emplacements en attente pour rechercher uniquement les données protégées par une conservation contre le même cas.

  8. Après avoir choisi les emplacements souhaités, sélectionnez Suivant.

  9. Dans la page Définir votre condition de recherche , entrez des mots clés pour la recherche ou sélectionnez + Ajouter des conditions pour effectuer une recherche plus granulaire. Tout élément trouvé qui contient ces mots clés s’affiche dans le résultat de la recherche.

  10. Sélectionnez Envoyer pour créer la recherche dans le cas eDiscovery.

Une fois la recherche terminée, vous pouvez prévisualiser les résultats de recherche.

Exporter le contenu d’un cas

Après l’exécution d’une recherche associée à un cas eDiscovery (Standard), vous pouvez exporter les résultats de la recherche.

Pour exporter les résultats d’un contenu dans un cas eDiscovery, procédez comme suit :

  1. Dans le Portail de conformité Microsoft Purview, sélectionnez eDiscovery > Standard.

  2. Dans la page eDiscovery (Standard), sélectionnez le nom du cas dans lequel vous souhaitez créer la conservation.

  3. Sur la page d'accueil de l'affaire, sélectionnez l'onglet Recherches.

  4. Sélectionnez la recherche que vous souhaitez exporter.

  5. Dans le menu Actions en bas de la page de menu volant, sélectionnez Exporter les résultats.

    Le flux de travail pour exporter les résultats d’une recherche de contenu associée à un cas eDiscovery (Standard) est le même flux qui sert à exporter les résultats pour une recherche effectuée sur la page Recherche de contenu.

  6. Sélectionnez l’onglet Exportations dans le cas pour afficher la liste des travaux d’exportation.

    Vous devrez peut-être sélectionner Actualiser pour mettre à jour la liste des travaux d’exportation afin qu’elle affiche le travail d’exportation que vous avez créé. Les travaux d’exportation portent le même nom que la recherche correspondante avec _Export ajoutées au nom de recherche.

  7. Sélectionnez le travail d’exportation que vous avez créé pour afficher les informations d’état sur la page de menu volant. Ces informations incluent le pourcentage d’éléments qui ont été transférés vers l’emplacement de stockage Azure.

  8. Une fois tous les éléments transférés, sélectionnez Télécharger la liste pour télécharger les résultats de la recherche sur votre ordinateur local.

Pour plus d’informations, voir :