Поделиться через

Сведения об обнаружении электронных данных

  • Статья

Электронное обнаружение, или обнаружение электронных данных, — это процесс идентификации и доставки электронной хранимой информации (ESI), которая может использоваться в качестве доказательства в ходе расследований и судебных дел. Вы можете использовать Microsoft Purview eDiscovery для выявления, просмотра и управления содержимым в службах Microsoft 365 для поддержки расследований. Поддерживаемые службы Microsoft 365:

  • Exchange Online.
  • Microsoft Teams
  • Группы Microsoft 365
  • OneDrive
  • SharePoint;
  • Viva Engage

Вы можете искать почтовые ящики и сайты в одном поиске eDiscovery, а затем экспортировать результаты поиска. Вы можете использовать случаи обнаружения электронных данных для идентификации, хранения и экспорта содержимого, найденного в почтовых ящиках и на сайтах. Если в вашей организации есть подписка на Office 365 E5 или Microsoft 365 E5 (или связанные подписки на надстройки E5), вы можете управлять обращениями и анализировать содержимое с помощью функций обнаружения электронных данных уровня "Премиум".

Портал Microsoft Purview & предыдущие возможности портала

Обнаружение электронных данных доступно на портале Microsoft Purview. Классический интерфейс обнаружения электронных данных доступен как на портале Microsoft Purview (в течение ограниченного времени), так и в Портал соответствия требованиям Microsoft Purview.

Прекращение Портал соответствия требованиям Microsoft Purview запланировано на 13 декабря 2024 г., а поддержка классического опыта обнаружения электронных данных на портале Microsoft Purview будет завершена в 2025 году.

Обнаружение электронных данных на портале Microsoft Purview

В зависимости от лицензирования и подписок для вашей организации у вас есть доступ к определенным функциям обнаружения электронных данных или премиум-класса на портале Microsoft Purview. Все функции поиска контента теперь включены в интерфейс поиска в рамках обнаружения электронных данных. Однако в настоящее время обнаружение электронных данных поддерживает не все функции, доступные в eDiscovery (Standard) и eDiscovery (премиум) на портале соответствия требованиям.

Общие сведения о функциях обнаружения электронных данных, поддерживаемых только на портале соответствия требованиям, или при включении классического интерфейса обнаружения электронных данных в обнаружении электронных данных см. в разделе Портал соответствия требованиям Microsoft Purview функций обнаружения электронных данных далее в этой статье.

Классический интерфейс обнаружения электронных данных на портале Microsoft Purview

Важно!

Классический интерфейс обнаружения электронных данных будет прекращен в августе 2025 г. и не будет доступен в качестве возможности на портале Microsoft Purview после прекращения использования.

Рекомендуется планировать этот переход рано и использовать новый интерфейс обнаружения электронных данных на портале Microsoft Purview.

В течение ограниченного времени вы можете включить классический интерфейс обнаружения электронных данных в Портал соответствия требованиям Microsoft Purview на портале Microsoft Purview. Выбор этого параметра взаимодействия с пользователем позволяет настроить исследования обнаружения электронных данных и управлять ими с помощью рабочего процесса и средств, с которыми вы уже знакомы при переходе на обновленный рабочий процесс и новые средства управления и интерфейс на портале Microsoft Purview.

Эти параметры определяют рабочий процесс, средства и сведения, которые вы видите при работе с обнаружением электронных данных. Эти параметры доступны в течение ограниченного времени и применяются только к интерфейсу обнаружения электронных данных на портале Microsoft Purview.

Обнаружение электронных данных в Портал соответствия требованиям Microsoft Purview

В зависимости от подписки или региона некоторые клиенты eDiscovery могут продолжать использовать существующие функции поиска контента, обнаружения электронных данных (Standard) и обнаружения электронных данных (премиум) и управлять ими на портале соответствия требованиям. Изменения, внесенные на портале Microsoft Purview и на портале соответствия требованиям для поиска, обращений, наборов отзывов и удержаний в одной организации, видны на обоих порталах. Однако в зависимости от поддерживаемых в настоящее время функций , лицензий и подписок вашей организации, а также пользовательского интерфейса, настроенного для обнаружения электронных данных на портале Microsoft Purview, у вас может быть доступ к этим функциям на портале Microsoft Purview.

Чтобы продолжить использовать портал соответствия требованиям в исходном автономном интерфейсе, отключите переключатель Новый портал Microsoft Purview на портале Microsoft Purview или войдите непосредственно на следующие страницы решения для обнаружения электронных данных на портале соответствия требованиям:

  • Обнаружение электронных данных (Standard): compliance.microsoft.com/classicediscovery
  • Обнаружение электронных данных (премиум): compliance.microsoft.com/advancedediscovery

Важно!

Портал соответствия требованиям Microsoft Purview планируется выйти на пенсию в апреле 2025 года.

Заметные изменения в обнаружении электронных данных

Для клиентов, которые уже знакомы с предыдущими версиями обнаружения электронных данных, существует несколько заметных различий при использовании обнаружения электронных данных на портале Microsoft Purview:

  • Расширенное индексирование. При добавлении к делу в предыдущих версиях обнаружения электронных данных хранитель или источник ненастояемых данных необходимо переиндексировать все содержимое, которое считается частично индексируемым или с ошибками индексирования, чтобы определить, соответствует ли содержимое определенным условиям поиска. Процесс повторной индексации называется расширенным индексированием. По мере добавления более частично и неиндексированных элементов в источники данных (почтовый ящик пользователя, учетная запись OneDrive и т. д.), необходимо отдельно обновить индекс для конкретных хранимых или ненастроенных источников данных.

    В обнаружении электронных данных расширенное индексирование выполняется автоматически во время каждого поиска, заданного для результатов статистики, и при добавлении результатов в набор для проверки или экспорта результатов поиска в зависимости от параметров индексирования, выбранных для процесса. Отдельная повторная индексация источников данных до процесса поиска больше не требуется. Этот простой процесс индексирования помогает избежать проблем с устаревшими индексами, которые могут привести к последовательному и отдельному выполнению индексирования и поиска в классическом интерфейсе. При выполнении (или повторном запуске) поиск автоматически обновляется все индексы.

  • Коллекции. В предыдущих версиях обнаружения электронных данных коллекции предоставляли менеджерам оценки содержимого, которое может иметь отношение к случаям. Эти оценки позволили руководителям принимать быстрые и обоснованные решения о размере и область содержимого, относягося к делам. После добавления в набор проверки на портале соответствия коллекция становится неизменяемой.

    В eDiscovery статистические данные в поисковых запросах заменили коллекции. Статистические результаты поиска теперь позволяют менеджерам просматривать важные аналитические сведения о элементах, включенных в результаты, и релевантности для дела. Поиск не является неизменяемым в eDiscovery даже после добавления результатов в набор для проверки. Поиск можно обновить в любое время. Добавление только образца коллекции в набор проверки и удаление поиска было удалено в eDiscovery.

  • Поиск контента. Поиск контента на портале соответствия был отдельным решением от обнаружения электронных данных, используемым для базового поиска контента. Результаты поиска контента — это предполагаемое количество расположений и результатов поиска, которые можно просмотреть или экспортировать на локальный компьютер.

    На портале Microsoft Purview все функции поиска содержимого теперь включены в созданное системой дело обнаружения электронных данных по умолчанию для всех членов групп ролей диспетчера электронных данных и администратора . Если вам нужно ограничить доступ к поиску контента, используйте параметры обращения , чтобы удалить или добавить участников в дело для управления доступом к этим поискам.

    Вариант поиска контента имеет те же возможности, что и другие созданные пользователем варианты. Вы можете создавать удержания, наборы для проверки и многое другое в случае поиска контента в зависимости от подписки.

  • Хранители. В предыдущих версиях обнаружения электронных данных хранимые ( пользователи) были основным компонентом рабочего процесса обнаружения электронных данных. Хранители были потенциальными лицами, заинтересованными в расследовании, которое вы добавили к делам.

    В обнаружении электронных данных случаи являются основным компонентом рабочего процесса обнаружения электронных данных. Люди, группы и источники данных по-прежнему добавляются в дела, но дело является центральной единицей организации.

  • Экспорт обновлений. Новый поток экспорта в обнаружении электронных данных поддерживает единую структуру экспорта для экспорта функций premium и nonpremium, более высокую производительность экспорта, подробные отчеты и гибкие варианты экспорта.

  • Задания. В предыдущих версиях обнаружения электронных данных задачи, действия и отчеты, связанные с компонентами рабочего процесса, назывались заданиями. Эти события и отчеты теперь называются процессами в обнаружении электронных данных.

Функции и возможности

В следующей таблице сравниваются основные возможности и функции обнаружения электронных данных:

Возможность Поддержка функций обнаружения электронных данных Поддержка функций обнаружения электронных данных уровня "Премиум"
Поиск содержимого Поддержанный. Поддержанный.
Запросы ключевых слов и условия поиска Поддержанный. Поддержанный.
Статистика поиска Поддержанный. Поддержанный.
Экспорт результатов поиска Поддержанный. Поддержанный.
Разрешения на основе ролей Поддержанный. Поддержанный.
Управление случаями Поддержанный. Поддержанный.
Размещение расположений содержимого на удержание Поддержанный. Поддержанный.
Расширенная индексация Поддержанный.
Наборы для проверки Поддержанный.
Поддержка облачных вложений и версий SharePoint Поддержанный.
Распознавание текста Поддержанный.
Создание цепочки беседы Поддержанный.
Статистика поиска и отчеты Поддержанный.
Фильтрация наборов для проверки Поддержанный.
Расстановка тегов Поддержанный.
Аналитика Поддержанный.
Вычисляемые метаданные документа Поддержанный.
Прозрачность длительных процессов Поддержанный.
Полный отчет по всем процессам Поддержанный.
Расширенное сопоставление источников данных Поддержанный.

Ниже приведено описание каждой возможности обнаружения электронных данных.

  • Поиск содержимого. Поиск содержимого, хранящегося в почтовых ящиках Exchange, учетных записях OneDrive, сайтах SharePoint, Microsoft Teams, Группы Microsoft 365 и Viva Engage Teams. Поиск включает содержимое, созданное другими приложениями Microsoft 365, которые хранят данные в почтовых ящиках и на сайтах.
  • Запросы ключевых слов и условия поиска. Создайте поисковые запросы на языке запросов ключевых слов (KeyQL) для поиска ключевых слов контента, соответствующих критериям запроса. Вы также можете включить условия, чтобы сузить область поиска.
  • Статистика поиска и примеры. После выполнения поиска можно просмотреть статистику предполагаемых результатов поиска, например количество и общий размер элементов, соответствующих условиям поиска. Вы также можете просмотреть репрезентативную выборку элементов, включенных в результаты поиска.
  • Экспорт результатов поиска. Экспорт результатов поиска на локальный компьютер в организации. При экспорте результатов поиска элементы копируются из исходного расположения содержимого и упаковываются. Затем вы можете скачать эти элементы в пакете экспорта на локальный компьютер.
  • Управление делами Дело обнаружения электронных данных содержит все наборы поиска, удержания и проверки, связанные с конкретным расследованием. Вы также можете назначить участникам дело, чтобы контролировать, кто может получить доступ к делу и просматривать его содержимое.
  • Разрешения на основе ролей. Используйте разрешения управления доступом на основе ролей (RBAC) для управления задачами, связанными с обнаружением электронных данных, которые могут выполнять разные пользователи. Вы можете использовать встроенную группу ролей, связанную с обнаружением электронных данных, или создать настраиваемые группы ролей, которые назначают определенные разрешения на обнаружение электронных данных.
  • Помещение расположений контента на удержание. Сохраните содержимое, соответствующее вашему расследованию, установив удержание в расположениях содержимого в случае. Удержания позволяют защитить данные, хранящиеся в электронном виде, от случайного (или намеренного) удаления во время исследования.
  • Расширенное индексирование. При выполнении процесса поиска, проверки или экспорта связанные расположения содержимого, в которых элементы частично индексируются, переиндексируются в процессе расширенного индексирования. Расширенное индексирование обеспечивает повторную обработку любого содержимого, которое считается частично индексируемым, чтобы сделать его полностью пригодным для поиска при сборе данных для исследования.
  • Наборы проверки. Добавление релевантных данных в набор для проверки. Набор для проверки — это безопасное, предоставленное корпорацией Майкрософт хранилище Azure в облаке Майкрософт. При добавлении данных в набор для проверки собранные элементы копируются из исходного расположения содержимого в набор для проверки. Наборы проверки предоставляют статический известный набор содержимого, который можно искать, фильтровать, помечать тегами, анализировать и прогнозировать релевантность с помощью прогнозных моделей кодирования. Вы также можете отслеживать и сообщать о том, какое содержимое добавляется в набор для проверки.
  • Поддержка облачных вложений и версий SharePoint. При добавлении содержимого в набор для проверки можно включать облачные вложения или связанные файлы. Целевой файл облачного вложения или связанного файла добавляется в набор для проверки. Вы также можете добавить все версии документа SharePoint в набор для проверки.
  • Оптическое распознавание символов (OCR): при добавлении содержимого в набор для проверки функция OCR извлекает текст из изображений и включает текст изображения с содержимым, добавленным в набор для проверки. Это позволяет искать текст изображения при запросе содержимого в наборе для проверки.
  • Потоковая беседа. Когда сообщения чата из Teams и Viva Engage бесед добавляются в набор для проверки, можно собрать весь поток беседы. В набор для проверки добавляется вся беседа чата, содержащая элементы, соответствующие условиям поиска. Это позволяет просматривать элементы чата в контексте беседы назад и вперед.
  • Статистика поиска и отчеты. После создания поиска или добавления результатов поиска в набор для проверки можно просмотреть обширный набор статистических данных по извлеченным элементам, например расположение контента, содержащее большинство элементов, соответствующих условиям поиска, и количество элементов, возвращаемых поисковым запросом. Вы также можете просмотреть подмножество результатов.
  • Фильтрация наборов проверки. После добавления содержимого в набор проверки можно применить фильтры для отображения только набора элементов, соответствующих условиям фильтрации. Затем можно сохранить наборы фильтров в виде запроса, что позволяет быстро повторно применить сохраненные фильтры. Проверка настройки фильтрации и сохраненных запросов помогает быстро выбирать элементы содержимого, наиболее важные для исследования.
  • Теги. Теги также помогают опустить нерелевантное содержимое и определить наиболее релевантное содержимое. Когда эксперты, юристы или другие пользователи просматривают содержимое набора для проверки, их мнение по поводу содержимого может быть зафиксировано с помощью тегов. Например, если цель заключается в исключении ненужного содержимого, пользователь может пометить документы тегом, например "nonresponsive". После проверки содержимого и добавления тегов можно создать запрос набора проверки, чтобы исключить любое содержимое, помеченное как "не отвечающее". Этот процесс устраняет содержимое, не отвечающее на последующие действия в рабочем процессе обнаружения электронных данных.
  • Аналитика: обнаружение электронных данных позволяет анализировать документы набора для проверки, чтобы упорядочить документы согласованно и уменьшить объем проверяемых документов. Рядом с обнаружением повторяющихся групп текстуально похожи документы, чтобы сделать процесс проверки более эффективным. Email потоки определяют определенные сообщения электронной почты, которые дают полный контекст беседы в потоке электронной почты. Функция тем пытается проанализировать темы в документах набора для проверки и назначить тему документам, чтобы можно было просматривать документы со связанной темой. Эти возможности аналитики помогают повысить эффективность процесса проверки, чтобы рецензенты могли просматривать часть собранных документов.
  • Метаданные вычисляемых документов. Многие функции eDiscovery premium, такие как потоки бесед и аналитика, добавляют свойства метаданных для проверки документов набора. Эти метаданные содержат сведения, связанные с функцией, выполняемой определенной функцией. При просмотре документов можно фильтровать свойства метаданных для отображения документов, соответствующих условиям фильтра. Эти метаданные можно импортировать в сторонние приложения для проверки после экспорта документов набора для проверки.
  • Прозрачность длительных процессов. Процессы в обнаружении электронных данных обычно являются длительными действиями, которые активируются действиями пользователя, такими как добавление хранителей в дело, добавление содержимого в набор для проверки, выполнение аналитики и создание поисковых запросов. Вы можете отслеживать состояние этих процессов и получать сведения о поддержке, если вам нужно сообщить о проблемах до служба поддержки Майкрософт.
  • Полный отчет по всем процессам. Используйте отчет о процессе для просмотра процессов и управления ими в случаях, поиске, проверке наборов и удержаний.
  • Расширенное сопоставление источников данных. Поиск расположений на основе пользователей, поиск групп на одном сайте и сопоставление других расположений с группами. Изучение частых участников совместной работы в рамках источников данных. Включает новые расположения для пользователей.

Классические функции обнаружения электронных данных

Некоторые функции обнаружения электронных данных в настоящее время поддерживаются только в Портал соответствия требованиям Microsoft Purview или классическом интерфейсе обнаружения электронных данных. Необходимо использовать эти функции и управлять ими на портале соответствия требованиям или включить классический интерфейс обнаружения электронных данных в eDiscovery.

Эти функции в настоящее время доступны только в классическом интерфейсе обнаружения электронных данных и скоро станут доступны в новом интерфейсе обнаружения электронных данных:

  • Управление источниками данных на уровне регистра. Управление людьми и группами, которые вы идентифицируете в качестве интересующего вас источника данных . При добавлении источников данных в дело эти источники данных можно повторно использовать при поиске и удержании в деле без повторного их добавления.

  • Импорт не Office 365 данных. Не все документы, которые необходимо проанализировать в eDiscovery (премиум), находятся в Office 365. С помощью функции импорта данных без Office 365 в обнаружении электронных данных (премиум) вы можете отправлять документы, которые не Office 365, в набор для проверки.

Эти функции в настоящее время доступны только в классическом интерфейсе обнаружения электронных данных и рассматриваются для перехода на новый интерфейс обнаружения электронных данных:

  • Связывание источников данных с хранителем. Свяжите все источники данных с заинтересованными людьми (хранителями) в данном случае.

  • Исправление массовых ошибок. Исправление ошибок обработки при добавлении в набор проверки в пакетном режиме. Исправление ошибок позволяет устранить проблемы, которые препятствуют правильной обработке содержимого при обнаружении электронных данных. Например, файлы, защищенные паролем, невозможно обрабатывать, так как они заблокированы или зашифрованы. Хотя исправление одного файла уже поддерживается в новом интерфейсе, массовое исправление ошибок при одновременном обращении к нескольким файлам с ошибками обработки пока недоступно.

  • Юридические удержания и коммуникации. Организации могут управлять своим рабочим процессом для удержания связи с хранителями путем отправки, подтверждения и отслеживания уведомлений о удержании по юридическим причинам. Уведомления о удержании по юридическим причинам предписывают хранителям сохранять содержимое, соответствующее делу, а рабочий процесс коммуникации позволяет юридическим группам создавать и отправлять первоначальные уведомления, напоминания и эскалации, если хранители не могут подтвердить уведомление о удержании.

После августа 2025 г. эти функции будут окончательно выведены из эксплуатации и недоступны:

  • Экспорт в принадлежащей клиенту службе хранилища Azure. При экспорте документов из набора для проверки можно экспортировать их в учетную запись хранения Azure , управляемую вашей организацией. Кроме того, обнаружение электронных данных (премиум) позволяет настроить экспортируемые данные. Сюда входит экспорт метаданных файлов, собственных файлов, текстовых файлов, тегов и отредактированных документов, сохраненных в PDF-файле.

  • Модели прогнозного кодирования. Используйте модели прогнозного кодирования , чтобы сократить большие объемы содержимого вариантов до соответствующего набора элементов, которые можно приоритизировать для проверки. Вы можете создавать и обучать собственные модели прогнозного кодирования, которые помогут определить приоритет при проверке наиболее релевантных элементов в наборе для проверки. Система использует обучение для применения прогнозных оценок к каждому элементу набора для проверки. Это позволяет фильтровать элементы на основе оценки прогнозирования, что позволяет сначала просмотреть наиболее релевантные (или нерелевантные) элементы.

    Важно!

    Прогнозное кодирование прекращено с 31 марта 2024 г. и недоступно в новых случаях обнаружения электронных данных. Для существующих случаев с обученными моделями прогнозного кодирования можно продолжать применять существующие фильтры оценки для проверки наборов. Однако вы не можете создавать или обучать новые модели. После августа 2025 г. эта функция будет окончательно прекращена и недоступна.

Интеграция с другими решениями

Управление внутренними рисками

Случаи в Управление внутренними рисками Microsoft Purview могут быть быстро переданы в новые случаи обнаружения электронных данных, если требуется дополнительная правовая проверка для потенциально рискованных действий пользователей. Тесная интеграция между этими решениями может помочь вашим группам по вопросам риска и юристов работать более эффективно, а также обеспечить полное комплексное представление о действиях пользователей, на которые ведется проверка.

Узнайте, как приступить к работе с управлением внутренними рисками и как легко передать дело по управлению внутренними рисками в дело обнаружения электронных данных (премиум).

Microsoft Security Copilot

Вы можете использовать функции Microsoft Security Copilot в eDiscovery, чтобы использовать естественный язык для составления поисковых запросов KeyQL. Copilot переводит естественный язык в KeyQL, не требуя, чтобы вы узнали, как создавать запрос KeyQL, знать операторы и знать поддерживаемые поля метаданных поиска. Copilot также может предоставить контекстную сводку по большинству элементов в наборе для проверки. Предоставляемая сводка находится в контексте текста, включенного в выбранный элемент. Эта сводка позволяет сэкономить время для рецензентов, быстро определяя полезные сведения при добавлении тегов или экспорте элементов. Security Copilot суммирует весь элемент, включая все документы, стенограммы собраний или вложения. Поддерживаются большинство распространенных типов файлов документов.

Дополнительные сведения об использовании Security Copilot с наборами проверки см. в разделе Сводка элементов с помощью Security Copilot.

Готовы приступить к работе?