Создание удержаний eDiscovery

3 мин

Организация может использовать дело Microsoft Purview eDiscovery (Standard) для создания удержаний. Сохраняет содержимое, которое может иметь отношение к делу. Например, вы можете заблокировать:

Почтовые ящики Exchange и учетные записи OneDrive для бизнеса людей, которых вы расследуете по делу.
Почтовые ящики и сайты, связанные с Microsoft Teams, группами Microsoft 365 и группами Yammer.

Примечание.

После того как организация создаст удержание eDiscovery, удержание вступит в силу в течение 24 часов.

Когда организация приостанавливает размещение контента, контент сохраняется до тех пор, пока организация не:

Удаляет местоположение содержимого из удержания.
Удаляет удержание.

Когда организация создает удержание, у нее есть следующие параметры для охвата содержимого, которое сохраняется в указанных расположениях содержимого:

Создать бесконечное удержание, при котором весь контент в указанных местах помещается на удержание . Кроме того, вы можете создать удержание на основе запроса, при котором на удержание помещается только содержимое в указанных местоположениях, соответствующее поисковому запросу.
Укажите диапазон дат, чтобы сохранить только то содержимое, которое было отправлено, получено или создано в пределах этого диапазона дат . Кроме того, вы можете хранить все содержимое в указанных местах независимо от того, когда оно было отправлено, получено или создано.

Как создать удержание для обнаружения электронных данных

Выполните следующие шаги, чтобы создать удержание обнаружения электронных данных, связанное с делом обнаружения электронных данных (стандартный):

На портале Соответствие Microsoft Purview выберите Обнаружение электронных данных на панели навигации. В группе eDiscovery выберите Standard .
На странице обнаружения электронных данных (стандартная) выберите имя дела, в котором вы хотите создать удержание.
В окне сведений о деле по умолчанию отображается вкладка Главная . Выберите вкладку Удержание .
На вкладке Задержать выберите + Создать . При этом запускается мастер Новое удержание .
В мастере Новое удержание на странице Назовите удержание введите Имя для удержания. При необходимости добавьте Описание , а затем выберите Далее . Имя удержания должно быть уникальным в организации.
На странице Выбор местоположений выберите расположения контента, которые вы хотите заблокировать. Вы можете поместить на удержание почтовые ящики, сайты и общедоступные папки.
1. Почтовые ящики Exchange . Установите переключатель в положение Вкл. и нажмите Выбрать пользователей, группы или команды, чтобы указать почтовые ящики, которые необходимо поставить на удержание. Для поиска почтовых ящиков пользователей и групп рассылки, которые необходимо поставить на удержание (чтобы поставить почтовые ящики членов групп на удержание), воспользуйтесь полем поиска. Вы также можете заблокировать связанный почтовый ящик для группы Microsoft, группы Microsoft 365 и группы Yammer. Дополнительные сведения о данных приложения, которые сохраняются, когда почтовый ящик помещается на удержание, см. в разделе Содержимое, хранящееся в почтовых ящиках для обнаружения электронных данных .
2. Сайты SharePoint . Установите переключатель в положение Вкл. и нажмите Выбрать сайты , чтобы указать сайты SharePoint и учетные записи OneDrive, которые необходимо поставить на удержание. Укажите URL-адрес каждого сайта, который вы хотите поставить на удержание. Вы также можете добавить URL-адрес сайта SharePoint для группы Microsoft, группы Microsoft 365 или группы Yammer.
3. Общие папки Exchange . Установите переключатель в положение Вкл., чтобы поставить на удержание все общедоступные папки в организации Exchange Online. Вы не можете выбрать определенные общедоступные папки для удержания. Оставьте переключатель в положении Off , если вы не хотите блокировать общедоступные папки.
Важно!

При добавлении почтовых ящиков Exchange или сайтов SharePoint в удержание необходимо явным образом добавить хотя бы одно расположение содержимого в удержание. Другими словами, если вы установили переключатель в положение Вкл. для почтовых ящиков или сайтов, вы должны выбрать определенные почтовые ящики или сайты для добавления к удержанию. В противном случае будет создано удержание eDiscovery, но в него не будут добавлены почтовые ящики или сайты.
После добавления расположения в удержание выберите Далее.
На странице Запрос создайте удержание на основе запроса, используя ключевые слова или условия. Для этого выполните следующие шаги.
1. В поле Ключевые слова введите запрос, чтобы сохранить только содержимое, которое соответствует критериям запроса. Можно указать ключевые слова, свойства сообщений электронной почты или сайта, например имена файлов. Также можно создавать более сложные запросы, включающие логические операторы, например AND, OR или NOT.
2. Выберите + Добавить условие , чтобы добавить одно или несколько условий, чтобы сузить запрос для удержания. Каждое условие добавляет предложение в поисковый запрос KQL, который создается и запускается при создании удержания. Например, вы можете указать диапазон дат, чтобы сохранить электронные письма или документы сайта, созданные в этот диапазон дат. Условие логически соединяется с запросом по ключевому слову (указанному в соответствующемполе) и другими условиями с помощью оператора AND. При этом элементы должны удовлетворять как запросу ключевого слова, так и условию сохранения.
Дополнительные сведения о создании поискового запроса и использовании условий см. в разделе Запросы по ключевым словам и условия поиска для обнаружения электронных данных .
После настройки удержания на основе запросов выберите Далее.
На странице Просмотр настроек проверьте правильность настроек. Выберите соответствующий параметр Изменить , чтобы изменить любой параметр, требующий изменения. Когда все настройки будут правильными, выберите Отправить .

Примечание.

Когда вы создаете удержание на основе запроса, весь контент из выбранных местоположений изначально помещается на удержание. После создания удержания любое содержимое, не соответствующее указанному запросу, удаляется из удержания каждые 7–14 дней. Однако удержание на основе запроса не очистит содержимое, если к расположению содержимого применено более пяти удержаний любого типа или если какой-либо элемент имеет проблемы с индексацией.

Запреты на основе запросов, размещенные на сайтах

Организации должны учитывать следующие соображения, когда они размещают удержание обнаружения электронных данных на основе запроса для документов, расположенных на сайтах SharePoint:

Сохранение контента после снятия блокировки . Удержание на основе запроса первоначально сохраняет все документы на сайте в течение короткого периода времени после их удаления. Это означает, что при удалении документа он будет перемещен в библиотеку для хранения, даже если он не соответствует критериям удержания на основе запроса. Однако удаленные документы, которые не соответствуют удержанию на основе запроса, будут удалены заданием таймера, которое обрабатывает библиотеку удержаний для сохранения. Задание таймера запускается периодически. Он сравнивает все документы в библиотеке Preservation Hold с удержаниями обнаружения электронных данных на основе запросов организации (и другими типами удержаний и политик хранения). Задание таймера удаляет документы, не соответствующие удержанию на основе запроса, но сохраняет соответствующие документы.
Избегайте целевого сохранения . Удержания на основе запросов не следует использовать для целевого сохранения. Например, сохранение документов в определенной папке или на сайте или с использованием других критериев хранения на основе местоположения. Это может привести к непредвиденным результатам. Для сохранения документов сайта организациям рекомендуется использовать критерии хранения, не связанные с местоположением, такие как ключевые слова, диапазоны дат или другие свойства документа.

Местоположения поиска на удержании для обнаружения электронных данных

Когда организация ищет контент в случае обнаружения электронных данных (стандартный), она может быстро настроить поиск так, чтобы он выполнял поиск только в расположениях контента, которые были помещены на удержание, связанное с этим случаем.

Выберите параметр Заблокированные местоположения для поиска всех заблокированных местоположений контента. Если дело содержит несколько удержаний для обнаружения электронных данных, при выборе этого параметра будет выполняться поиск расположений содержимого из всех удержаний.

Кроме того, если расположение контента было помещено на удержание на основе запроса, при выполнении поиска будут выполняться поиски только тех элементов, которые соответствуют запросу на удержание. Другими словами, вместе с результатами поиска возвращается только тот контент, который соответствует как критериям удержания, так и критериям поиска. Например, если пользователь был помещен в режим удержания на основе запроса, который сохраняет элементы, отправленные или созданные до определенной даты, поиск будет осуществляться только по этим элементам. Этот результат достигается путем соединения запроса удержания дела и поискового запроса оператором И.

Организации должны помнить о следующих рекомендациях при поиске местоположений на удержание обнаружения электронных данных в следующих сценариях:

Местоположение контента является частью нескольких запретов на удаление в одном и том же деле . В этой ситуации запросы на удержание объединяются операторами ИЛИ, когда вы выполняете поиск в этом местоположении контента с помощью параметра содержимое всего дела . Аналогичным образом, если расположение контента является частью двух разных удержаний, одно из которых основано на запросе, а другое — бесконечное удержание (где весь контент помещается на удержание), то из-за бесконечного удержания выполняется поиск всего контента.
Поиск настроен на поиск местоположений на удержании, а затем вы изменяете удержание обнаружения электронных данных в случае, добавляя или удаляя расположение или изменяя запрос на удержание . В этом сценарии конфигурация поиска обновляется с учетом этих изменений. Однако вам придется повторно запустить поиск после изменения удержания, чтобы обновить результаты поиска.
Несколько удержаний для обнаружения электронных данных помещаются в одно место в случае обнаружения электронных данных, и вы выбираете поиск местоположений на удержании . В этом случае максимальное количество ключевых слов для этого поискового запроса равно 500. Почему? Потому что поиск объединяет все удержания на основе запроса с помощью оператора ИЛИ. Если в комбинированных запросах на удержание и поисковом запросе содержится более 500 ключевых слов, поиск выполняется по всему содержимому почтового ящика, а не только по тому содержимому, которое соответствует удержанию на основе запроса.
Удержание обнаружения электронных данных имеет статус Вкл. (ожидание) . В этом случае вы по-прежнему можете выполнять поиск местоположений, находящихся на удержании, пока удержание включено.

Удаление местоположений контента из-под запрета на обнаружение электронных данных

После удаления почтового ящика, сайта SharePoint или учетной записи OneDrive из-под запрета на обнаружение электронных данных применяется отложенное удержание . При этом фактическое снятие удержания откладывается на 30 дней, чтобы предотвратить окончательное удаление (очищение) данных из расположения содержимого. Эта задержка дает администраторам возможность искать или восстанавливать содержимое, которое будет удалено после снятия запрета на обнаружение электронных данных.

Детали того, как отложенное удержание работает для почтовых ящиков и сайтов, различаются.

Почтовые ящики. Удержание с задержкой применяется к почтовому ящику в следующий раз, когда помощник для управляемых папок обрабатывает почтовый ящик и обнаруживает, что удержание обнаружения электронных данных было снято. В частности, отложенное удержание применяется к почтовому ящику, когда помощник для управляемых папок устанавливает для одного из следующих свойств почтового ящика значение True :
- DelayHoldApplied. Это свойство применяется к содержимому электронной почты (созданному пользователями Outlook и Outlook в Интернете), которое хранится в почтовом ящике пользователя.
- DelayReleaseHoldApplied. Это свойство применяется к облачному содержимому (созданному приложениями, отличными от Outlook, такими как Microsoft Teams, Microsoft Forms и Microsoft Yammer), которое хранится в почтовом ящике пользователя. Облачные данные, созданные приложением Майкрософт, обычно хранятся в скрытой папке в почтовом ящике пользователя.
Когда для почтового ящика применяется отложенное удержание (если для любого из предыдущих свойств задано значение True ), почтовый ящик по-прежнему считается задержанным на неограниченный срок, как если бы почтовый ящик был поставлен на удержание для судебного разбирательства. По истечении 30 дней отложенное удержание истекает. В это время Microsoft 365 автоматически попытается снять отложенное удержание (установив для свойства DelayHoldApplied или DelayReleaseHoldApplied значение False ), чтобы снять удержание. Если для любого из этих свойств задано значение False , соответствующие элементы, помеченные для удаления, удаляются при следующей обработке почтового ящика помощником для управляемых папок.

Дополнительные сведения см. в разделе Управление почтовыми ящиками при удержании с задержкой.
Сайты SharePoint и OneDrive . Любое содержимое SharePoint или OneDrive, хранящееся в библиотеке Preservation Hold, не удаляется в течение 30-дневного периода задержки после удаления сайта из удержания eDiscovery. Этот процесс аналогичен тому, что происходит, когда сайт освобождается от политики хранения. Кроме того, вы не можете вручную удалить этот контент из библиотеки Preservation Hold в течение 30-дневного периода отложенного хранения.

Дополнительные сведения см. в разделе Выпуск политики для хранения .

Отложенное удержание также применяется к местоположениям содержимого, находящимся на удержании, когда вы закрываете дело об обнаружении электронных данных (стандартное). Почему? Потому что удержания отключаются при закрытии дела.

Проверка знаний

Выберите лучший ответ на каждый из приведенных ниже вопросов.