Реализация Microsoft Purview eDiscovery (стандартная)

  • 3 мин

Microsoft Purview eDiscovery (Standard) предоставляет базовый инструмент обнаружения электронных данных, который организации могут использовать для поиска и экспорта контента в Microsoft 365. Организации также могут использовать обнаружение электронных данных (стандартная версия) для удержания электронных данных в местах расположения контента, например:

  • Почтовые ящики Exchange
  • Сайты SharePoint
  • Учетные записи OneDrive
  • Microsoft Teams

Для развертывания eDiscovery (стандарт) ничего не требуется. Однако есть некоторые предварительные задачи, которые ИТ-администратор и менеджер по обнаружению электронных данных должны выполнить, прежде чем организация сможет начать использовать обнаружение электронных данных (стандартный) для поиска, экспорта и сохранения содержимого.

В этом модуле рассматриваются шаги, необходимые для настройки обнаружения электронных данных (стандартный) и создания случая обнаружения электронных данных (стандартный). К этим действиям относятся:

  • Обеспечьте надлежащее лицензирование, необходимое для доступа к обнаружению электронных данных (стандартная версия), и поместите удержание для обнаружения электронных данных в расположениях контента.
  • Назначайте разрешения ИТ-, юридическим и следственным группам организации, чтобы они могли получать доступ к делам и управлять ими.
  • Создавайте обращения для поиска и экспорта контента.

Шаг 1. Проверьте и назначьте соответствующие лицензии

Лицензирование для обнаружения электронных данных (стандартное) требует подписки соответствующей организации и лицензирования для каждого пользователя.

  • Подписка организации . Чтобы получить доступ к eDiscovery (Standard) на портале соответствия Microsoft Purview и использовать функции хранения и экспорта, организация должна иметь:

    • Обмен онлайн План 2, ИЛИ
    • Подписка на Microsoft 365 E3 или Office 365 E3 или выше, ИЛИ
    • Организации Microsoft 365 Frontline должны иметь подписку F5.

  • Лицензирование на пользователя . Чтобы поместить удержание eDiscovery в почтовые ящики и сайты, пользователям должна быть назначена одна из следующих лицензий, в зависимости от подписки вашей организации:

    • Обмен онлайн-лицензией Plan 2, ИЛИ
    • Лицензия Microsoft 365 E3 или Office 365 E3 или выше, ИЛИ
    • Лицензия Office 365 E1 с лицензией на надстройку Exchange Online Plan 2 или Exchange Online Archiving, ИЛИ
    • Microsoft 365 Frontline F5 Compliance или F5 Security & compliance license and Office 365 E1 с лицензией надстройки SharePoint Online (план 2) или OneDrive для бизнеса (план 2)

    Сведения о том, как назначать лицензии, см. в разделе Назначение лицензий пользователям .

Дополнительные сведения. Для получения информации и рекомендаций по безопасности и соответствию требованиям:

Шаг 2. Назначьте разрешения на обнаружение электронных данных

Пользователю должны быть назначены соответствующие разрешения для доступа к Microsoft Purview eDiscovery (Standard) или для добавления в качестве участника дела eDiscovery (Standard). В частности, пользователь должен быть добавлен в качестве члена группы ролей eDiscovery Manager на портале соответствия требованиям Microsoft Purview. Члены этой группы ролей могут:

  • Создавать и управлять делами eDiscovery (Standard).
  • Добавлять и удалять участников в случае обнаружения электронных данных (стандартный).
  • Наложить на пользователей запрет на обнаружение электронных данных.
  • Создавать и редактировать запросы.
  • Экспортировать содержимого из дела обнаружения электронных данных (стандартный).

Выполните следующие шаги, чтобы добавить пользователей в группу ролей eDiscovery Manager:

  1. На портале соответствия требованиям Microsoft Purview в области навигации выберите Разрешения.
  2. На странице Разрешения в группе Решения Microsoft Purview выберите Роли.
  3. На странице Группы ролей для решений Microsoft Purview выберите группу ролей Менеджер по обнаружению электронных данных .
  4. На открывшейся панели сведений о менеджере по обнаружению электронных данных выберите Изменить рядом с разделом Менеджер по обнаружению электронных данных.
  5. На странице Выбор менеджера по обнаружению электронных данных в мастере редактирования группы ролей щелкните Выбрать менеджер по обнаружению.
  6. На странице Выбор менеджера по обнаружению электронных данных нажмите кнопку +Добавить . Будет показан список пользователей.
  7. Установите флажок для всех пользователей, которых нужно добавить в группу ролей, а затем нажмите кнопку Добавить в нижней части области.
  8. При необходимости воспользуйтесь кнопкамиДобавить и Удалить, чтобы изменить список выбранных пользователей. Выбрав нужных пользователей, нажмите Готово.
  9. Нажмите Сохранить, чтобы добавить пользователей в группу ролей, а затем Закрыть, чтобы завершить процесс.

Подробнее о группе ролей "Менеджер по обнаружению электронных данных"

В группе ролей "Менеджер по обнаружению электронных данных" есть две подгруппы. Разница между этими подгруппами заключается в области их действия.

  • Менеджер по обнаружению электронных данных. Пользователи, которым назначена эта роль, могут просматривать и управлять делами eDiscovery (Standard), которые они создают или участниками которых являются. Если другой диспетчер обнаружения электронных данных создает дело, но не добавляет второго диспетчера обнаружения электронных данных в качестве участника этого дела, второй менеджер обнаружения электронных данных не сможет просматривать или открывать дело в службе обнаружения электронных данных (стандартная ) на портале соответствия Microsoft Purview. Как правило, большинство людей в организации могут быть добавлены в подгруппу eDiscovery Manager.

  • Администратор обнаружения электронных данных. Пользователи, которым назначена эта роль, могут выполнять те же задачи по управлению делами, что и менеджер по обнаружению электронных данных. Однако администратор обнаружения электронных данных также может:

    • Просматривать все дела, перечисленные на странице eDiscovery (стандартная) .
    • Управлять любым делом в организации после того, как добавит себя в качестве его участника.
    • Получать доступ к данным любого дела в организации и экспортировать эти данные.
    • Удалите участников из дела обнаружения электронных данных. Только администратор обнаружения электронных данных может удалять участников из дела. Пользователь, являющийся членом подгруппы менеджеров по обнаружению электронных данных, не может удалять участников из дела, даже созданного им самим.

    Важно!

    Из-за широкой области доступа в организации должно быть только несколько администраторов, которые являются членами подгруппы администраторов обнаружения электронных данных.

Шаг 3. Создайте дело об обнаружении электронных данных (стандартное)

Следующий шаг — создать дело и начать использовать eDiscovery (стандарт). Пользователь, создавший обращение, автоматически добавляется в качестве участника.

Совет

Члены группы ролей «Управление организацией» также могут создавать случаи обнаружения электронных данных (стандартные).

Выполните следующие шаги, чтобы создать дело:

  1. На портале Соответствие Microsoft Purview выберите Обнаружение электронных данных на панели навигации. В группе eDiscovery выберите Standard .
  2. На странице eDiscovery (стандартная) выберите параметр + Создать обращение в строке меню.
  3. На появившейся панели Новое дело введите Имя для дела, при необходимости введите Описание , а затем выберите Сохранить . Имя обращения должно быть уникальным в вашей организации.
  4. Новое обращение создается и отображается на странице eDiscovery (стандартная) . Возможно, вам придется выбрать параметр Обновить в строке меню, чтобы отобразить новое дело.

Шаг 4 (необязательно): добавьте участников в дело eDiscovery (стандартный)

Если вы создали обращение на шаге 3 и вы единственный человек, который будет его использовать, вам не нужно выполнять этот шаг. Вы можете начать использовать дело для создания удержаний для обнаружения электронных данных, поиска содержимого и экспорта результатов поиска. Выполните этот шаг, если вы хотите предоставить другим пользователям (или группе ролей) доступ к делу.

  1. На портале Соответствие Microsoft Purview выберите Обнаружение электронных данных на панели навигации. В группе eDiscovery выберите Standard .

  2. На странице eDiscovery (стандартная) выберите имя дела, в которое вы хотите добавить участников.

  3. На появившейся странице сведений о обращении выберите вкладку Настройки .

  4. На вкладке Настройки отображаются две плитки: Информация о деле и Доступ и разрешения . Нажмите кнопку Выбрать на плитке Доступ и разрешения .

  5. В появившемся разделе Управление участниками в области Разрешения & доступа выберите +Добавить, чтобы добавить участников в дело.

    Примечание.

    Вы также можете добавить группы ролей в качестве участников дела. В разделе Управление группами ролей выберите + Добавить . Вы можете назначать делу только те группы ролей, участником которых вы являетесь. Это ограничение действует, поскольку группы ролей контролируют, кто может назначать участников для дела обнаружения электронных данных.

  6. На панели Добавить участников в списке пользователей или групп ролей, которых можно добавить в качестве участников обращения, выберите слева от имени людей или групп ролей, которых вы хотите добавить. При этом отображается флажок для пользователя или группы ролей. Если у вас есть большой список людей или групп ролей, которых можно добавить в качестве участников, используйте поле Поиск для поиска определенного человека или группы ролей в списке.

  7. На панели Access & разрешения нажмите кнопку Выйти в нижней части панели, которая возвращает вас на страницу сведений о варианте.

При добавлении участников в дело eDiscovery (Standard) организациям следует учитывать следующие соображения.

  • Если роль добавляется или удаляется из группы ролей, которую вы добавили в качестве участника дела, то группа ролей будет автоматически удалена как участник дела (или любого дела, членом которого является группа ролей). Причина этого действия — защитить организацию от непреднамеренного предоставления дополнительных разрешений участникам дела. Точно так же, если группа ролей удалена, она будет удалена из всех дел, в которых она была членом.
  • Как упоминалось ранее, только администратор обнаружения электронных данных может удалять участников из дела. Пользователи, являющиеся членами подгруппы диспетчера обнаружения электронных данных, не могут удалять участников из дела, даже если пользователь создал дело.

Изучите рабочий процесс обнаружения электронных данных (стандартный)

Следующая диаграмма предназначена для того, чтобы помочь организациям приступить к работе с обнаружением электронных данных (стандартная версия) после создания обращения. Краткое описание каждого шага, включенного в эту диаграмму, представлено ниже. В каждой сводке освещаются некоторые расширенные функции обнаружения электронных данных (стандарт), которые организации могут изучить.

На диаграмме показан стандартный рабочий процесс Microsoft Purview eDiscovery, состоящий из трех этапов.

  1. Создать запрет на обнаружение электронных данных . Первым шагом после создания дела является блокирование (также называемое блокированием обнаружения электронных данных ) местоположений контента людей, представляющих интерес для расследования. Расположение содержимого включает:

    • Почтовые ящики Exchange
    • Сайты SharePoint
    • Учетные записи OneDrive
    • почтовые ящики и сайты, связанные с Microsoft Teams и Microsoft 365 Groups

    Хотя этот шаг является необязательным, создание удержания для обнаружения электронных данных сохраняет содержимое, которое может иметь отношение к делу во время расследования. Когда организация создает удержание для обнаружения электронных данных, она может сохранять весь контент в определенных местах. Он также может создать удержание на основе запроса, чтобы сохранить только контент, соответствующий запросу на удержание. Помимо сохранения содержимого, удержание eDiscovery позволяет организациям быстро выполнять поиск хранимых расположений содержимого (вместо того, чтобы выбирать каждое расположение для поиска), когда они создают и запускают поиск на следующем этапе. После того, как организация завершит расследование, она может разблокировать любое созданное ею удержание.

  2. Поиск содержимого. После того как организация создаст удержание для обнаружения электронных данных, она может использовать встроенный инструмент поиска для поиска местоположений содержимого, находящегося на удержании. Он также может искать данные, которые могут иметь отношение к делу, в других местах содержимого. Организация может создавать и выполнять различные поиски, связанные с обращением. Вы можете использовать ключевые слова, свойства и условия для создания поисковых запросов. Запросы будут возвращать результаты поиска с данными, которые, скорее всего, имеют отношение к делу. Организация также может:

    • Просматривайте статистику поиска, которая может помочь уточнить поисковый запрос, чтобы сузить результаты.
    • Предварительно просмотрите результаты поиска, чтобы быстро проверить, найдены ли нужные данные.
    • Изменять запрос и повторять поиск.

  3. Экспорт и загрузка результатов поиска . После того как организация выполнит поиск и найдет данные, имеющие отношение к ее расследованию, она может экспортировать результаты поиска из Microsoft 365. Это позволяет людям, не входящим в группу по расследованию, просматривать результаты. Экспорт данных — это двухэтапный процесс.

    1. Экспорт результатов поиска из Microsoft 365. Этот шаг выполняется путем копирования результатов поиска в хранилище Azure, предоставленное корпорацией Майкрософт.
    2. Скачайте пакет экспорта на локальный компьютер. Используйте средство экспорта обнаружения электронных данных, чтобы скачать содержимое на локальный компьютер. В дополнение к экспортированным файлам данных пакет экспорта содержит отчет об экспорте, сводный отчет и отчет об ошибках.