Создание удержаний в обнаружении электронных данных (предварительная версия)
Вы можете создать удержания, чтобы сохранить содержимое, которое может иметь отношение к делу обнаружения электронных данных. Вы можете разместить удержание в почтовых ящиках Exchange и учетных записях OneDrive людей, которые вы расследуете в данном случае. Вы также можете удерживать почтовые ящики и сайты, связанные с Microsoft Teams, группами Microsoft 365 и Viva Engage Группы. При размещении расположений содержимого на удержание содержимое сохраняется до тех пор, пока вы не удалите его из удержания или пока не удалите или не освободите удержание.
Важно!
После создания удержания обнаружения электронных данных может потребоваться до 24 часов. Для долгосрочного хранения данных, не связанных с исследованиями обнаружения электронных данных, настоятельно рекомендуется использовать политики хранения и метки хранения. Дополнительные сведения см. в статье Сведения о политиках и метках хранения.
При создании удержания вы можете область содержимое, сохраненное в указанных расположениях содержимого:
- Создать бесконечное удержание, при котором весь контент в указанных местах помещается на удержание . Кроме того, вы можете создать удержание на основе запроса, при котором на удержание помещается только содержимое в указанных местоположениях, соответствующее поисковому запросу.
- Укажите диапазон дат, чтобы сохранить только то содержимое, которое было отправлено, получено или создано в пределах этого диапазона дат . Кроме того, можно хранить все содержимое в указанных расположениях независимо от того, когда отправлено, получено или создано.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Создание запроса на удержание в случае обнаружения электронных данных
Совет
Предпочитаете ли вы интерактивное руководство по настройке? Ознакомьтесь с руководством по применению удержания .
Чтобы создать удержание eDiscovery, связанное с делом обнаружения электронных данных, выполните следующие действия.
Перейдите на портал Microsoft Purview и выполните вход, используя учетные данные для учетной записи пользователя, назначенной разрешениями на обнаружение электронных данных.
Выберите решение eDiscovery карта, а затем выберите Варианты (предварительная версия) на панели навигации слева.
Выберите случай, а затем перейдите на вкладку Политики удержания .
На панели мониторинга Политики удержания выберите Создать политику.
На странице Ввод сведений для начала работы заполните следующие поля:
- Имя политики: присвойте политике удержания имя (обязательно). Имя политики удержания должно быть уникальным в вашей организации.
- Описание политики. Добавьте необязательное описание, чтобы помочь другим пользователям понять эту политику удержания.
Нажмите кнопку Создать , чтобы создать новую политику удержания и начать удержание соответствующих данных для дела.
Выберите Добавить источники данных на вкладке Политика удержания .
Во всплывающей области Управление источниками данных вы добавите или удалите источники данных для политики удержания. Вы можете выбрать одного или нескольких пользователей, групп или расположений организации.
- Чтобы создать политику удержания, необходимо выбрать хотя бы один источник даты.
- Введите пользователей, группы или расположения организации, которые вы хотите добавить в политику удержания.
Почтовые ящики Exchange. Для почтовых ящиков, помещенных на удержание, установлены применимые флажки. Используйте команду Изменить , чтобы найти почтовые ящики пользователей и группы рассылки (почтовые ящики участников группы) для удержания. Вы также можете удерживать связанный почтовый ящик для группы Майкрософт, группы Microsoft 365 и группы Viva Engage. Дополнительные сведения о данных приложения, которые сохраняются при удержании почтового ящика, см. в разделе Содержимое, хранящееся в почтовых ящиках для обнаружения электронных данных.
Важно!
При выборе списка рассылки, который будет помещен на удержание, список рассылки расширяется до членов списка рассылки. Пользователи могут поместить все почтовые ящики участников и OneDrive на удержание или подмножество или сочетание этих источников данных на удержание. Последующие изменения в членстве в списке рассылки не изменяют или не обновляют удержания или политику. Пользователи должны снова добавить список рассылки в источник данных, чтобы обеспечить отражение и расширение последнего членства.
Сайты SharePoint. Для сайтов SharePoint и учетных записей OneDrive, помещенных на удержание, установлены применимые флажки. Используйте команду Изменить , чтобы ввести URL-адрес для дополнительных сайтов, которые нужно поместить на удержание. Вы также можете добавить URL-адрес сайта SharePoint для группы Microsoft Team, Microsoft 365 или группы Yammer.
Важно!
Корзина на сайтах SharePoint не индексируется и поэтому недоступна для поиска. В результате поиск электронных данных не может найти содержимое корзины для размещения удержаний.
Выберите Сохранить. Теперь вы определили область источников данных для политики удержания.
Чтобы определить параметры политики удержания, на вкладке Политика удержания можно выбрать один из следующих параметров:
Построитель условий. Параметр построителя условий в поиске обеспечивает визуальную фильтрацию при создании политик удержания. Каждое условие добавляет предложение, которое создается и выполняется при создании удержания. Например, вы можете указать диапазон дат, чтобы сохранить электронные письма или документы сайта, созданные в этот диапазон дат. Подробные сведения об использовании параметра построителя условий см. в разделе Использование построителя условий для создания поисковых запросов в eDiscovery (предварительная версия).
Язык запросов ключевых слов (KeyQL): параметр запроса KeyQL в поиске предоставляет рекомендации и позволяет быстро вставлять длинные сложные запросы непосредственно в редактор. Подробные сведения о создании поисковых запросов с параметром KeyQL см. в статье Использование языка запросов ключевых слов для создания поисковых запросов в eDiscovery (предварительная версия).
Вы также можете быстро создавать запросы KeyQL для поиска с помощью Microsoft Security Copilot. Дополнительные сведения см. в статье Создание поискового запроса KeyQL с помощью Microsoft Copilot (предварительная версия).
Выберите Применить удержание.
После создания удержания проверка, что удержание успешно применено, перейдя на вкладку Сведения для политики удержания. Для политики удержания можно просмотреть следующие сведения:
- Имя: имя источника данных.
- Расположение: конкретное расположение (например, SMTP-адрес почтового ящика или URL-адрес сайта) источников данных, включенных в политику удержания.
- Состояние удержания: состояние удержания расположения. Указывает, находится ли расположение на удержании, а не на удержании или возникла ошибка при удержании.
- Тип источника. Показывает, является ли тип источника данных Люди или Group.
- Тип расположения: показывает, является ли расположение почтовым ящиком или сайтом.
Примечание.
Когда вы создаете удержание на основе запроса, весь контент из выбранных местоположений изначально помещается на удержание. Впоследствии все содержимое, которое не соответствует указанному запросу, удаляется из удержания каждые семь–14 дней. Однако удержание на основе запроса не очистит содержимое, если к расположению содержимого применено более пяти удержаний любого типа или если какой-либо элемент имеет проблемы с индексацией.
Диспетчер процессов
Диспетчер процессов отображает сведения о процессах, выполняемых в политике удержания.
- Тип процесса: тип процесса.
- Состояние: состояние процесса.
- Создано: дата и время создания процесса.
- Завершено: дата и время завершения процесса.
- Длительность: длительность процесса.
- Создано: пользователь, создавший процесс.
Чтобы скачать список процессов и сведения о столбце, выберите Скачать список , чтобы создать файл .csv, содержащий эти сведения.
Сведения обо всех процессах обнаружения электронных данных см. в статье Использование отчета об обработке в eDiscovery (предварительная версия).
Запреты на основе запросов, размещенные на сайтах
При удержании обнаружения электронных данных на основе запросов в документах, расположенных на сайтах SharePoint, помните следующее:
- Удержание на основе запроса первоначально сохраняет все документы на сайте в течение короткого периода времени после их удаления. Это означает, что при удалении документ перемещается в библиотеку хранения, даже если он не соответствует критериям удержания на основе запроса. Однако удаленные документы, которые не соответствуют удержанию на основе запросов, удаляются заданием таймера, обрабатывающим библиотеку удержания сохранения. Задание таймера выполняется периодически и сравнивает все документы в библиотеке хранения с удержанием электронных данных на основе запросов (и другими типами удержаний и политиками хранения). Задание таймера удаляет документы, которые не соответствуют удержанию на основе запросов, и сохраняет документы, которые делают.
- Удержания на основе запросов должны использоваться для целевого сохранения, например ключевых слов, диапазонов дат или других свойств документа, для сохранения документов сайта.
Сохранение содержимого в Microsoft Teams
Беседы, которые являются частью канала Microsoft Teams, хранятся в почтовом ящике, связанном с командой Майкрософт. Файлы, которыми обмениваются участники команды, также сохраняются на сайте команды SharePoint. Поэтому необходимо поместить почтовый ящик Группы и сайт SharePoint в удержание обнаружения электронных данных, чтобы сохранить беседы и файлы в канале.
Кроме того, беседы, входящие в список чатов в Teams ( чаты 1:1 или чаты группы 1:N), хранятся в почтовых ящиках пользователей, участвующих в чате. Файлы, которыми пользователи делятся в беседах чата, хранятся в учетной записи OneDrive пользователя, который предоставляет общий доступ к файлу. Поэтому необходимо добавить отдельные почтовые ящики пользователей и учетные записи OneDrive в удержание обнаружения электронных данных, чтобы сохранить беседы и файлы в списке чатов. Рекомендуется разместить удержание на почтовых ящиках членов команды Майкрософт в дополнение к удержанию почтового ящика группы и сайта группы.
Примечание.
Если в вашей организации есть гибридное развертывание Exchange (или ваша организация синхронизирует локальную организацию Exchange с Office 365) и включила Microsoft Teams, локальные пользователи могут использовать приложение чата Teams и участвовать в чатах 1:1 и в групповых чатах 1:N. Эти беседы хранятся в облачном хранилище, связанном с локальным пользователем. Если локальный пользователь помещается в удержание eDiscovery, содержимое чата Teams в облачном хранилище сохраняется. Дополнительные сведения см. в статье Поиск данных в чате Teams для локальных пользователей.
Сохранение содержимого карта
Аналогичным образом, карта содержимое, созданное приложениями в каналах Teams, чаты 1:1 и чаты группы 1:N хранятся в почтовых ящиках и сохраняются, когда почтовый ящик помещается в удержание обнаружения электронных данных. Карточка — это контейнер пользовательского интерфейса для коротких фрагментов контента. Карточки могут иметь несколько свойств и вложений, а также могут содержать элементы, которые активируют действия карта. Дополнительные сведения см. в разделе Карточки. Как и другое содержимое Teams, место хранения содержимого карточки зависит от того, где она была использована. Содержимое карточек, используемых в канале Teams, хранится в почтовом ящике группы Teams. Содержимое карточек для чатов 1:1 и 1xN хранится в почтовых ящиках участников беседы.
Сохранение сведений о собрании и звонках
Сводные сведения о собраниях и звонках в канале Teams также хранятся в почтовых ящиках пользователей, набравших звонок или собрание. Это содержимое также сохраняется, когда удержание eDiscovery помещается в почтовые ящики пользователей.
Сохранение содержимого в частных каналах
Начиная с февраля 2020 года, мы также включили возможность сохранения содержимого в частных каналах. Так как чаты приватного канала хранятся в почтовых ящиках участников чата, размещение почтового ящика пользователя в удержании eDiscovery сохраняет чаты частного канала. Кроме того, если почтовый ящик пользователя был помещен в удержание eDiscovery до февраля 2020 г., удержание будет автоматически применяться к сообщениям частного канала, хранящимся в этом почтовом ящике. Также поддерживается сохранение файлов, к которым предоставлен общий доступ в частных каналах.
Сохранение вики-содержимого
Каждый канал команды или команды также содержит вики-сайт для создания заметок и совместной работы. Содержимое вики-сайта автоматически сохраняется в файле формата MHT. Этот файл хранится в библиотеке документов Teams Wiki Data на сайте команды в SharePoint. Вы можете сохранить вики-содержимое, добавив сайт SharePoint команды в удержание eDiscovery.
Примечание.
22 июня 2017 г. была выпущена возможность сохранения вики-содержимого для команды или канала команды (при удержании сайта SharePoint группы). Если сайт группы находится на удержании, вики-содержимое сохраняется начиная с этой даты. Однако если сайт группы находится на удержании и содержимое вики-сайта было удалено до 22 июня 2017 г., содержимое вики-сайта не было сохранено.
Группы Microsoft 365
Teams основана на группах Microsoft 365. Поэтому размещение групп Microsoft 365 в удержании обнаружения электронных данных аналогично удержанию содержимого Teams.
При размещении групп Teams и Microsoft 365 в удержании обнаружения электронных данных учитывайте следующие моменты:
Чтобы поместить содержимое, расположенное в группах Teams и Microsoft 365, на удержание, необходимо указать почтовый ящик и сайт SharePoint, связанные с группой или группой.
Выполните командлет Get-UnifiedGroup в Exchange Online PowerShell, чтобы просмотреть свойства teams и групп Microsoft 365. Это хороший способ получить URL-адрес сайта, связанного с группой team или группой Microsoft 365. Например, следующая команда отображает выбранные свойства для группы Microsoft 365 с именем Senior Leadership Team:
Get-UnifiedGroup "Senior Leadership Team" | FL DisplayName,Alias,PrimarySmtpAddress,SharePointSiteUrl DisplayName : Senior Leadership Team Alias : seniorleadershipteam PrimarySmtpAddress : seniorleadershipteam@contoso.onmicrosoft.com SharePointSiteUrl : https://contoso.sharepoint.com/sites/seniorleadershipteamПримечание.
Чтобы запустить командлет Get-UnifiedGroup, в Exchange Online вам должна быть назначена роль "получатели только для чтения" или вы должны входить в группу пользователей, которым она назначена.
Когда выполняется поиск в почтовом ящике пользователя, поиск в любой группе Team или группе Microsoft 365, участником в которую входит пользователь, не будет. Аналогичным образом, при размещении группы Team или Microsoft 365 на удержание обнаружения электронных данных только почтовый ящик группы и сайт группы помещаются на удержание. Почтовые ящики и сайты участников группы в OneDrive не помещаются на удержание, если вы явно не добавите их в удержание eDiscovery. Поэтому, если вам нужно поместить группу Team или Группу Microsoft 365 на удержание по юридическим причинам, рассмотрите возможность добавления почтовых ящиков и учетных записей OneDrive участников группы или участников группы на одном удержании.
Чтобы получить список участников группы или группы Microsoft 365, можно просмотреть свойства на странице Группы в Центр администрирования Microsoft 365. Или можно выполнить следующую команду в Exchange Online PowerShell:
Get-UnifiedGroupLinks <group or team name> -LinkType Members | FL DisplayName,PrimarySmtpAddressПримечание.
Чтобы запустить командлет Get-UnifiedGroupLinks, в Exchange Online вам должна быть назначена роль "получатели только для чтения" или вы должны входить в группу пользователей, которым она назначена.
Сохранение содержимого в учетных записях OneDrive
Чтобы собрать список URL-адресов для сайтов OneDrive в вашей организации, чтобы добавить их в удержание или поиск, связанный с делом об обнаружении электронных данных, см. статью Создание списка всех расположений OneDrive в вашей организации. Скрипт, приведенный в этой статье, создает текстовый файл, содержащий список всех сайтов OneDrive в вашей организации. Чтобы запустить этот скрипт, требуется установить и использовать командную консоль SharePoint Online. Не забудьте добавить URL-адрес домена личного сайта вашей организации к каждому сайту OneDrive, на котором нужно выполнить поиск. Это домен, содержащий все ваши oneDrive; например, https://contoso-my.sharepoint.com. Ниже приведен пример URL-адреса для сайта OneDrive пользователя: https://contoso-my.sharepoint.com/personal/sarad_contoso_onmicrosoft.com.
Важно!
URL-адрес учетной записи OneDrive пользователя включает имя участника-пользователя (UPN) (например, https://alpinehouse-my.sharepoint.com/personal/sarad_alpinehouse_onmicrosoft_com). В редких случаях, когда имя участника-пользователя изменяется, его URL-адрес OneDrive также будет изменен, чтобы включить новое имя участника-пользователя. Если учетная запись OneDrive пользователя является частью удержания обнаружения электронных данных, а имя участника-пользователя изменено, необходимо обновить удержание, добавив новый URL-адрес OneDrive пользователя и удалив старый. Если URL-адрес сайта OneDrive изменяется, ранее размещенные удержания на сайте остаются в силе, а содержимое сохраняется. Дополнительные сведения см. в разделе Как изменения UPN влияют на URL-адрес OneDrive.
Удаление местоположений контента из-под запрета на обнаружение электронных данных
После удаления почтового ящика, сайта SharePoint или учетной записи OneDrive из-под запрета на обнаружение электронных данных применяется отложенное удержание . Это означает, что фактическое удаление удержания задерживается на 30 дней, чтобы предотвратить окончательное удаление данных из расположения содержимого. Это дает администраторам возможность искать или восстанавливать содержимое, которое очищается после удаления удержания обнаружения электронных данных. Детали того, как отложенное удержание работает для почтовых ящиков и сайтов, различаются.
Почтовых ящиков: Задержка помещается в почтовый ящик в следующий раз, когда помощник по управляемым папкам обрабатывает почтовый ящик и обнаруживает, что удержание eDiscovery было удалено. В частности, отложенное удержание применяется к почтовому ящику, когда помощник для управляемых папок устанавливает для одного из следующих свойств почтового ящика значение True :
- DelayHoldApplied: Это свойство применяется к содержимому, связанному с электронной почтой (созданному пользователями Outlook и Outlook в Интернете), хранящейся в почтовом ящике пользователя.
- DelayReleaseHoldApplied: Это свойство применяется к облачному содержимому (созданному не outlook-приложениями, такими как Microsoft Teams, Microsoft Forms и Microsoft Yammer), которое хранится в почтовом ящике пользователя. Облачные данные, созданные приложением Майкрософт, обычно хранятся в скрытой папке в почтовом ящике пользователя.
Если в почтовом ящике помещается задержка (если для любого из предыдущих свойств задано значение True), почтовый ящик по-прежнему считается на удержании в течение неограниченного срока хранения, как если бы почтовый ящик находился на удержании для судебного разбирательства. Через 30 дней срок удержания задержки истечет, и Microsoft 365 автоматически попытается удалить удержание задержки (установив для свойства DelayHoldApplied или DelayReleaseHoldApplied значение False), чтобы удержание было удалено. После того как для любого из этих свойств задано значение False, соответствующие элементы, помеченные для удаления, очищаются при следующей обработке почтового ящика помощником по управляемым папкам.
Сайты SharePoint и OneDrive: Все содержимое SharePoint или OneDrive, которое хранится в архивной библиотеке, не удаляется в течение 30-дневного периода удержания после удаления сайта из удержания eDiscovery. Это похоже на то, что происходит при освобождении сайта из политики хранения. Кроме того, вы не можете вручную удалить этот контент из библиотеки Preservation Hold в течение 30-дневного периода отложенного хранения. Сведения об освобождении сайта от 30-дневного удержания или отсрочки в период отсрочки см. в статье Не удается удалить сайт из-за недопустимой политики хранения или удержания электронных данных .
Дополнительные сведения см. в разделе Выпуск политики для хранения .
Задержка удержания также применяется к местам хранения содержимого при закрытии дела обнаружения электронных данных, так как удержания отключаются при закрытии дела. Дополнительные сведения о закрытии дела см. в статье Сведения о параметрах случаев в eDiscovery (предварительная версия).
Ограничения удержания обнаружения электронных данных
В следующей таблице перечислены ограничения для случаев обнаружения электронных данных и удержания случаев.
| Описание ограничения | Ограничение |
|---|---|
| Максимальное количество дел для организации. | Не ограничено |
| Максимальное количество политик хранения электронных данных для организации. Это ограничение включает совокупное количество политик удержания в случаях обнаружения электронных данных. | 10 0001 |
| Максимальное количество почтовых ящиков в одном удержании обнаружения электронных данных. Это ограничение включает общее количество почтовых ящиков пользователей и почтовых ящиков, связанных с группами Microsoft 365, Microsoft Teams и Viva Engage Группы. | 1,000 |
| Максимальное количество сайтов в одном удержании обнаружения электронных данных. Это ограничение включает общее количество сайтов OneDrive, сайтов SharePoint и сайтов, связанных с группами Microsoft 365, Microsoft Teams и Viva Engage Группы. <br/ | 100 |
| Максимальное число случаев, отображаемых на домашней странице обнаружения электронных данных, и максимальное количество элементов, отображаемых на вкладках Удержание, Поиск и Экспорт в деле. | 10001 |
| Ограничения удержания для сайтов SharePoint и OneDrive | Дополнительные сведения см. в разделе Ограничения SharePoint. |
Примечание.
1 Чтобы просмотреть список из более чем 1000 случаев, удержаний, поисков или экспорта, можно использовать соответствующий командлет PowerShell для обеспечения соответствия требованиям безопасности &: