Creare blocchi di eDiscovery

  • 3 minuti

Un'organizzazione può usare un caso di Microsoft Purview eDiscovery (Standard) per creare blocchi. Conserva il contenuto che può essere rilevante per un caso. Ad esempio, è possibile inserire un blocco su:

  • Le caselle di posta elettronica di Exchange e gli account OneDrive for Business delle persone su cui si sta indagando in un caso.
  • Le caselle di posta e i siti associati a Microsoft Teams, Microsoft 365 Groups e Yammer Groups.

Nota

Dopo che un'organizzazione ha creato un blocco di eDiscovery, possono essere necessarie fino a 24 ore perché il blocco diventi effettivo.

Quando un'organizzazione mette in attesa le posizioni dei contenuti, questi vengono conservati fino a quando l'organizzazione non li mette in attesa:

  • Rimuove la posizione del contenuto dal blocco.
  • Elimina il blocco.

Quando un'organizzazione crea una presa in carico, ha a disposizione le seguenti opzioni per l'estensione dei contenuti conservati nelle ubicazioni dei contenuti specificate:

  • Creare una sospensione infinita in cui tutti i contenuti nelle posizioni specificate vengono messi in attesa. In alternativa, è possibile creare una sospensione basata su una query, in cui vengono messi in attesa solo i contenuti nelle posizioni specificate che corrispondono a una query di ricerca.
  • Specificare un intervallo di date per conservare solo i contenuti inviati, ricevuti o creati in quell'intervallo di date. In alternativa, è possibile conservare tutti i contenuti in posizioni specifiche, indipendentemente dal momento in cui sono stati inviati, ricevuti o creati.

Come creare un blocco di eDiscovery

Completare i seguenti passaggi per creare una presa di sicurezza eDiscovery associata a un caso eDiscovery (standard):

  1. Nel portale di conformità di Microsoft Purview selezionare eDiscovery nel riquadro di spostamento. Nel gruppo eDiscovery selezionare Standard.

  2. Nella pagina eDiscovery (Standard), selezionare il nome del caso in cui si desidera creare il blocco.

  3. Nella finestra dei dettagli per il caso, la scheda Home viene visualizzata per impostazione predefinita. Selezionare la scheda Blocco.

  4. Nella scheda Blocco selezionare +Crea. In questo modo viene avviata la procedura guidata Nuovo blocco.

  5. Nella procedura guidata Nuovo blocco, nella pagina Assegnare un nome al blocco, inserire un Nome per il blocco. Facoltativamente, aggiungere una Descrizione e quindi selezionare Avanti. Il nome del blocco deve essere univoco nell'organizzazione.

  6. Nella pagina Scegli percorsi selezionare i percorsi del contenuto da mettere in attesa. È possibile piazzare un blocco per cassette postali, siti e cartelle pubbliche.

    Screenshot della pagina Scegli le sedi nella procedura guidata Nuovo blocco, con ciascuna delle tre sedi evidenziate.

    1. Cassette postali di Exchange. Cassette postali di Exchange: impostare l'interruttore su Attivato quindi selezionare Scegliere utenti, gruppi o team per specificare le cassette postali da bloccare. Utilizzare la casella di ricerca per trovare le cassette postali degli utenti e i gruppi di distribuzione da mettere in attesa (per mettere in attesa le cassette postali dei membri del gruppo). È inoltre possibile bloccare la casella di posta elettronica associata a un Microsoft Team, a un Gruppo Microsoft 365 e a un Gruppo Yammer. Per altre informazioni sui dati dell'applicazione conservati quando una cassetta postale viene messa in attesa, vedere Contenuto archiviato nelle cassette postali per eDiscovery.
    2. Siti di SharePoint. Impostare la levetta su On e selezionare Scegli siti per specificare i siti SharePoint e gli account OneDrive da mettere in attesa. Digitare l'URL per ogni sito che si desidera mettere in blocco. È inoltre possibile aggiungere l'URL del sito SharePoint per un Microsoft Team, un gruppo Microsoft 365 o un gruppo Yammer.
    3. Cartelle pubbliche di Exchange. Impostare l'interruttore su On per mettere in attesa tutte le cartelle pubbliche dell'organizzazione di Exchange Online. Non è possibile scegliere cartelle pubbliche specifiche da mettere in blocco. Lasciare l'interruttore su Off se non si desidera bloccare le cartelle pubbliche.

    Importante

    Quando si aggiungono caselle postali di Exchange o siti di SharePoint a una sospensione, è necessario aggiungere esplicitamente almeno una posizione di contenuto alla sospensione. In altre parole, se si imposta la levetta su On per le caselle postali o i siti, è necessario selezionare caselle postali o siti specifici da aggiungere alla sospensione. In caso contrario, il blocco di eDiscovery verrà creato ma non verranno aggiunte caselle di posta o siti al blocco.

  7. Al termine dell'aggiunta di posizioni al blocco, selezionare Avanti.

  8. Nella pagina Query creare un blocco basato su query usando parole chiave o condizioni. A tale scopo, completare i passaggi seguenti.

    Schermata della pagina Query nella procedura guidata New Hold, con il campo Keywords e l'opzione Add condition (Aggiungi condizione) evidenziati.

    1. Nella casella Parole chiavedigitare una query per mantenere solo il contenuto corrispondente ai criteri della query. È possibile specificare parole chiave, proprietà dei messaggi di posta elettronica o proprietà del sito, ad esempio i nomi di file. È anche possibile usare query più complesse, che usano un operatore booleano, ad esempio AND, OR, o NOT.
    2. Selezionare +Aggiungi condizione per aggiungere una o più condizioni per restringere la query per la stiva. Ogni condizione aggiunge una clausola alla query di ricerca KQL che viene creata ed eseguita quando si crea l'azienda. Ad esempio, è possibile specificare un intervallo di date in modo da preservare le e-mail o i documenti del sito creati entro tale intervallo. Una condizione è collegata logicamente alla query con parola chiave (specificata nella relativa casellaparola chiave) e altre condizioni dall'operatore AND. In questo modo, gli elementi devono soddisfare sia la parola chiave che la condizione da preservare.

    Per ulteriori informazioni sulla creazione di una query di ricerca e sull'uso delle condizioni, vedere Query di parole chiave e condizioni di ricerca per eDiscovery.

  9. Dopo aver configurato un blocco basato su query, selezionare Avanti.

  10. Nella pagina Rivedi le impostazioni verificare che le impostazioni siano corrette. Selezionare l'opzione Modifica appropriata per modificare qualsiasi impostazione che richiede modifiche. Dopo aver corretto tutte le impostazioni, selezionare Invia.

Nota

Quando si crea un blocco basato su una query, tutti i contenuti delle posizioni selezionate vengono inizialmente messi in attesa. Dopo la creazione del blocco, ogni contenuto che non corrisponde alla query specificata viene cancellato dal blocco ogni sette o 14 giorni. Tuttavia, una trattenuta basata su una query non cancellerà il contenuto se a una posizione del contenuto sono applicate più di cinque trattenute di qualsiasi tipo o se un elemento ha problemi di indicizzazione.

Blocchi basati su query inseriti nei siti

Le organizzazioni devono tenere presente le seguenti considerazioni quando inseriscono un blocco di eDiscovery basato su query per i documenti situati nei siti SharePoint:

  • Conservazione del contenuto dopo la rimozione di un blocco. Un blocco basato su query conserva inizialmente tutti i documenti di un sito per un breve periodo di tempo dopo la loro eliminazione. Ciò significa che quando un documento viene eliminato, viene spostato nella libreria dei depositi di conservazione, anche se non corrisponde ai criteri del deposito basato sulla query. Tuttavia, i documenti eliminati che non corrispondono a una richiesta di conservazione saranno rimossi da un lavoro temporizzato che elabora la libreria di conservazione. Il processo timer viene eseguito periodicamente. Confronta tutti i documenti della raccolta di Preservation Hold con i criteri di eDiscovery basati su query dell'organizzazione (e con altri tipi di criteri di conservazione). Il lavoro di temporizzazione elimina i documenti che non corrispondono a un hold basato su una query, ma conserva i documenti che invece corrispondono.
  • Evitare la conservazione mirata. I blocchi basati su query non devono essere usati per eseguire la conservazione mirata. Ad esempio, conservando i documenti in una cartella o in un sito specifico o utilizzando altri criteri di conservazione basati sulla posizione. Questa operazione potrebbe avere risultati imprevisti. Si consiglia alle organizzazioni di utilizzare criteri di conservazione non basati sulla posizione, come parole chiave, intervalli di date o altre proprietà dei documenti per conservare i documenti del sito.

Percorsi di ricerca nel blocco di eDiscovery

Quando un'organizzazione cerca contenuti in un caso di eDiscovery (Standard), può configurare rapidamente la ricerca per cercare solo le posizioni di contenuto che sono state messe in attesa associate al caso.

Selezionare l'opzione Posizioni in attesa per cercare tutti i percorsi di contenuto che sono stati messi in attesa. Se il caso contiene più registrazioni di eDiscovery, quando si seleziona questa opzione vengono ricercate le posizioni dei contenuti di tutte le registrazioni.

Inoltre, se una posizione di contenuto è stata messa in attesa in base a una query, quando viene eseguita la ricerca verranno cercati solo gli elementi che corrispondono alla query di attesa. In altre parole, i risultati della ricerca vengono restituiti solo ai contenuti che corrispondono sia ai criteri di attesa sia ai criteri di ricerca. Ad esempio, se un utente è stato messo in attesa di un caso basato su una query che conserva gli elementi inviati o creati prima di una data specifica, solo questi elementi saranno ricercati. Questo risultato si ottiene collegando la query di case hold e la query di ricerca con un operatore AND.

Le organizzazioni devono tenere a mente le seguenti raccomandazioni quando ricercano posizioni in attesa di eDiscovery nei seguenti scenari:

  • Una posizione di contenuto fa parte di più prese all'interno dello stesso caso. In questo caso, le query di attesa vengono combinate con gli operatori OR quando si cerca la posizione del contenuto utilizzando l'opzione Tutti i casi. Allo stesso modo, se la posizione di un contenuto fa parte di due diverse hold, una delle quali è basata su una query e l'altra è una hold infinita (in cui tutti i contenuti sono messi in attesa), allora tutti i contenuti vengono cercati a causa della hold infinita.
  • Una ricerca è configurata per cercare i luoghi in attesa e poi si modifica il blocco di eDiscovery nel caso aggiungendo o rimuovendo un luogo o modificando una query di blocco. In questo scenario, la configurazione della ricerca viene aggiornata con tali modifiche. Tuttavia, è necessario eseguire di nuovo la ricerca dopo la modifica del blocco per aggiornare i risultati della ricerca.
  • In un caso di eDiscovery vengono inserite più registrazioni di eDiscovery in un'unica posizione e si sceglie di cercare le posizioni in attesa. In questo caso, il numero massimo di parole chiave per la query di ricerca è 500. Perché? Poiché la ricerca combina tutti i blocchi basati su query usando l'operatore OR. Se sono presenti più di 500 parole chiave nelle query di blocco combinate e nella query di ricerca, viene eseguita la ricerca di tutto il contenuto nella cassetta postale, non solo del contenuto corrispondente ai blocchi di maiuscole e minuscole basati su query.
  • Lo stato di un blocco di eDiscovery è Attivato (in sospeso). In questo scenario, è comunque possibile cercare i percorsi in attesa mentre il blocco è attivato.

Rimozione di percorsi di contenuto da un blocco di eDiscovery

Dopo che una casella postale, un sito SharePoint o un account OneDrive sono stati rimossi da un blocco di eDiscovery, viene applicato un blocco di ritardo. In questo modo, l'effettiva rimozione del blocco viene ritardata di 30 giorni per evitare che i dati vengano eliminati definitivamente (purged) da una posizione di contenuto. Questo ritardo offre agli amministratori l'opportunità di cercare o recuperare i contenuti che verranno eliminati dopo la rimozione di un blocco di eDiscovery.

I dettagli sul funzionamento del ritardo per le caselle postali e i siti sono diversi.

  • Cassette postali. La casella di posta elettronica viene sottoposta a una sospensione differita la volta successiva che l'Assistente cartelle gestite elabora la casella di posta elettronica e rileva che è stata rimossa una sospensione di eDiscovery. In particolare, un blocco di ritardo viene applicato a una cassetta postale quando Managed Folder Assistant imposta una delle proprietà seguenti della cassetta postale su True:

    • DelayHoldApplied. Questa proprietà si applica al contenuto relativo alla posta elettronica (generato da persone che utilizzano Outlook e Outlook sul Web) che viene memorizzato nella casella di posta di un utente.
    • DelayReleaseHoldApplied. Questa proprietà si applica ai contenuti basati sul cloud (generati da applicazioni diverse da Outlook, come Microsoft Teams, Microsoft Forms e Microsoft Yammer) archiviati nella casella di posta elettronica di un utente. I dati cloud generati da un'applicazione Microsoft sono in genere archiviati in una cartella nascosta nella casella di posta elettronica dell'utente.

    Quando nella cassetta postale viene inserito un blocco di ritardo (quando una delle proprietà precedenti è impostata su True), la cassetta postale è ancora considerata in attesa per una durata illimitata, come se la casella fosse in Attesa di contenzioso. Dopo 30 giorni, il blocco di ritardo scade. In quel momento, Microsoft 365 tenterà automaticamente di rimuovere il blocco di ritardo impostando la proprietà DelayHoldApplied o DelayReleaseHoldAppliedsu False, in modo che il blocco venga rimosso. Dopo che una di queste proprietà è impostata su False, gli elementi corrispondenti contrassegnati per la rimozione vengono eliminati la volta successiva in cui la cassetta postale viene elaborata da Managed Folder Assistant.

    Per altre informazioni, vedere Gestione della permanenza nelle cassette postali .

  • Siti di SharePoint e OneDrive. Qualsiasi contenuto di SharePoint o OneDrive conservato nella libreria di conservazione non viene eliminato durante il periodo di ritardo di 30 giorni dopo la rimozione di un sito da un blocco di eDiscovery. Questo processo è simile a quello che avviene quando un sito viene rilasciato da un criterio di conservazione. Inoltre, non è possibile eliminare manualmente questo contenuto nella libreria Preservation Hold durante il periodo di ritardo di 30 giorni.

    Per altre informazioni, vedere Rilascio di un criterio per la conservazione.

Una sospensione differita viene applicata anche alle posizioni di contenuto in attesa quando si chiude un caso di eDiscovery (Standard). Perché? Poiché i blocchi vengono disattivati quando un caso viene chiuso.

Verifica delle conoscenze

Scegliere la risposta migliore per ognuna delle domande seguenti.

Verificare le conoscenze

1.

Dopo che un'organizzazione ha creato un blocco di eDiscovery, quanto tempo occorre di solito perché il blocco abbia effetto?