了解电子数据展示(预览版)工作流
电子数据展示 (预览) 工作流可帮助你更快地识别、调查和处理组织中 ESI) (电子存储的信息。 使用电子数据展示 (预览) 识别 ESI 项并采取操作,使用以下改进的工作流:
步骤 1:从触发器事件升级
触发器事件是在组织中升级并提示在电子数据展示 (预览版) 创建新案例的活动。 这些事件可以是来自内部或外部合作伙伴的请求、与其他Microsoft Purview 解决方案中的警报关联的集成事件, (例如 ,内部风险管理案例) ,或者可能受益于电子数据展示 (预览版) 中包含的搜索、调查和缓解操作的任何其他活动。
步骤 2:创建和管理案例
电子数据展示 (预览) 中的 事例 包含与特定调查相关的所有搜索、保留和审阅集。 这可能包括响应法规、调查和诉讼请求。 还可以将成员分配到案例,以控制谁可以访问案例并查看案例的内容。 电子数据展示 (预览版) 还支持与Microsoft Purview 内部风险管理案例的新案例创建集成。
步骤 3:搜索、评估结果和优化
创建案例后,使用电子数据展示 (预览版中的内置搜索工具) 搜索组织中的 内容位置 。 可以创建并运行与案例关联的不同搜索。 使用条件 ((如关键字) )生成多个搜索查询,以返回搜索结果,其中包含与案例最相关的数据。 还可以执行以下操作:
- 查看可能有助于优化搜索查询以缩小结果范围的搜索统计信息。
- 预览搜索结果以快速验证是否找到相关数据。
- 修改查询并重新运行搜索。
步骤 4a:搜索结果中的操作
- 导出搜索结果:在电子数据展示事例中成功完成搜索后,可以 导出搜索结果。 导出搜索结果时,邮箱项目将下载到 PST 文件中或作为单个邮件下载。 从 SharePoint 和 OneDrive 网站导出内容时,将导出本机 Office 文档和其他文档的副本。
- 创建评审集: 评审集 是Microsoft云中Microsoft提供的安全的 Azure 存储位置。 将数据 添加到审阅集时,收集的项目将从其原始内容位置复制到审阅集。 审阅集提供一组静态的已知内容,你可以搜索、筛选、标记和分析这些内容。 还可以跟踪和报告将哪些内容添加到审阅集。
步骤 4b:创建保留
若要保留和保护与调查相关的数据,可以对与案例关联的数据源 设置电子数据展示保留 。 高级电子数据展示功能也将很快包括内置的通信工作流,以便你可以向用户发送保留通知并跟踪其确认。
创建案例后,可以立即暂停调查中感兴趣的人员的内容位置。 如果需要,还可以创建基于查询的保留。 内容位置包括 Exchange 邮箱、SharePoint 网站、OneDrive 帐户以及与 Microsoft Teams 和 Microsoft 365 组 关联的邮箱和网站。 虽然保留是可选的,但创建保留会保留在调查期间可能与案例相关的内容。
创建保留时,可以保留特定内容位置中的所有内容,也可以创建基于查询的保留,以便仅保留与保留查询匹配的内容。 除了保留内容之外,创建保留的另一个好理由是快速搜索保留的内容位置 (而无需在下一步创建和运行搜索时选择每个位置来搜索) 。 完成调查后,可以释放创建的任何保留。 有关详细信息,请参阅 管理电子数据展示中的保留。
步骤 5:查看评审集并执行操作
- 搜索内容:在大多数情况下,更深入地挖掘评审集中的内容并对其进行组织,以促进更高效的评审。 在审阅集中使用 筛选器和查询 有助于专注于满足审阅条件的一部分文档。
- 运行分析:电子数据展示提供集成的分析工具,可帮助你进一步从你确定与调查无关的评审集中剔除数据。 除了减少相关数据量外,电子数据展示还有助于通过组织内容来简化和更高效地审查过程,从而节省法律审查成本。 有关详细信息,请参阅 在电子数据展示中分析审阅集中的数据。
- 标记项目:在审阅集中组织内容对于完成电子数据展示过程中的各种工作流非常重要。 此组织通常包括识别相关内容、剔除不必要的内容,以及识别必须由专家或律师审查的内容。 当专家、律师或其他用户审阅审阅集中的内容时,可以使用标记捕获与内容相关的意见。 标记提供调查中包含的结构和组织项。 有关详细信息,请参阅 在电子数据展示的审阅集中标记文档。
- 创建查询报表 (预览) :针对审阅集的多个查询生成和下载 合并报表 。 此报表可让你快速查看特定关键字 (keyword) 搜索或多个组合 KeyQL 查询上筛选项的总计数和数量。
- 将审阅集中的项目添加到另一个审阅集:在某些情况下,可能需要从一个审阅集中选择文档,并在 另一个审阅集中单独处理这些文档。
- 导出项目:搜索并找到与调查相关的数据后,可以将其导出到 Microsoft 365 组织,供调查团队外部的人员审阅。 除了导出的数据文件,导出包还包含导出报告、摘要报告和错误报告。 有关详细信息,请参阅 从电子数据展示中的审阅集导出文档。
工作流组件
例
案例包含与特定调查相关的所有搜索、保留和评审集。 这可能包括响应法规、调查和诉讼请求。 还可以将成员分配到案例,以控制谁可以访问案例并查看案例的内容。 电子数据展示 (预览版) 还支持与Microsoft Purview 内部风险管理案例的新案例创建集成。
数据源
数据源定义执行 搜索 的位置以及可以应用 保留 的位置。 数据源在具有两个级别的分层树结构中组织数据位置。 例如,对于用户或组,用户或组将是顶级,邮箱、OneDrive 网站和其他网站将是第二级,因为它们与用户或组相关。 对于Microsoft Teams 组,第二个级别包括组邮箱、组网站、共享频道/网站、专用频道/网站以及与 Teams 组相关的其他频道或网站。
电子数据展示 (预览版) 中的数据源分为三个单独的组:
用户:用户是组织中拥有 Microsoft 365 个帐户的人员,包括任何邮箱、OneDrive 站点或与单个用户关联的任何其他网站。
组:组包括组邮箱、组网站以及共享和专用 Teams 以及 SharePoint 网站或频道。
组织范围的源:组织范围的源包括:
- 所有用户和组:包括组织中的所有用户和所有组。
- 所有公用文件夹:包括 Exchange 公用文件夹 邮箱中的所有内容。
可以使用输入(例如用户或组的名称、邮箱 SMTP 地址以及 OneDrive 或 SharePoint 网站 URL) 搜索特定数据源或数据位置 。 使用特定数据源创建搜索时,仅搜索数据源中指定的位置。 如果使用组织范围的源 “所有人员和组 ”,则搜索将涵盖所有 Exchange 邮箱、OneDrive 和 SharePoint 网站。
实时数据源同步有助于确保始终了解与用户和组关联的数据位置的最新更改。 可以查询是否将任何特定数据源添加到搜索、保留是否具有新预配的数据位置,或者是否删除了数据位置。
例如,如果为 Teams 组创建了专用频道,则数据源面板上的同步功能会向你发出新位置的警报,使你能够快速轻松地将其包含在搜索或保留中。 这可确保新数据不会被忽视,并包含在调查中。 这也有助于防止因位置更改而可能丢失数据。
浏览相关源
频繁的协作者
选择人员作为搜索的数据源时,可以快速查找经常与所选用户协作的其他用户。 频繁协作者 是与所选用户最相关的前十个用户,你可以选择这些用户的邮箱和网站作为搜索的数据源。
导出和下载
成功运行与电子数据展示 (预览) 事例关联的搜索后,可以 导出搜索结果。 导出搜索结果时,邮箱项目将下载到 PST 文件中或作为单个邮件下载。 从 SharePoint 和 OneDrive 网站导出内容时,将导出本机 Office 文档和其他文档的副本。
如果已将搜索结果添加到案例中的审阅集,还可以 将审阅集内容导出 到下载包。 此包是可配置的,包括用于仅导出所选文档、所有筛选文档或审阅集中所有文档的选项。
保留和保留策略
可以使用电子数据展示 (预览版) 案例创建 保留策略 ,以保留可能与电子数据展示保留的调查相关的内容。 你可以对正在调查此案的人员的 Exchange 邮箱和 OneDrive 帐户进行保留。 还可以对与 Microsoft Teams 关联的邮箱和网站、Microsoft 365 个组和Viva Engage 组进行保留。 将内容位置置于保留状态时,内容将保留到从保留中删除内容位置或删除保留为止。
如果需要,还可以将邮箱置于 诉讼保留 中,以保留所有邮箱内容,包括已删除邮件和修改项目的原始版本。 当你将邮箱置于诉讼保留状态时,用户的存档邮箱(如果已启用)也会置于保留状态。
权限
如果希望用户使用 Microsoft Purview 门户中与电子数据展示相关的任何功能,则必须为其分配适当的 权限。 分配角色的最简单方法是在 Microsoft Purview 门户的“ 角色组 ”页上添加相应角色组的人员。
提示
可以在 Microsoft Purview 门户中的电子数据展示 (预览) 概述页上查看自己的权限。 必须至少分配一个角色才能显示权限。
流程
电子数据展示 (预览) 包括一个 流程报告 ,其中列出了在定义的时间段内计入电子数据展示中事例并发性和每日限制的所有活动。 eDsicovery (预览) 中的流程是与支持案例、搜索和审阅集的特定任务关联的活动。 使用这些组件时,用户操作会触发进程。
电子数据展示管理员 和 电子数据展示管理员 (预览版) 可以访问此报表。 流程管理器 可帮助你查看自动限定为事例、搜索、审阅集和保留范围的信息。
审阅集
评审集是Microsoft云中Microsoft提供的一个安全的 Azure 存储位置。 将数据添加到审阅集时,收集的项目将从其原始内容位置复制到审阅集。 审阅集提供一组静态的已知内容,你可以使用预测编码模型搜索、筛选、标记、分析和预测相关性。 还可以跟踪和报告将哪些内容添加到审阅集。
搜索
使用 搜索 快速查找与案例相关的内容。 这包括 Exchange 邮箱中的电子邮件、SharePoint 网站和 OneDrive 位置中的文档,以及 Skype for Business 中的即时消息对话。 可以使用搜索工具在协作工具(如 Microsoft Teams 和 Microsoft 365 组)中搜索电子邮件、文档和即时消息对话。
可以创建并运行与案例关联的不同搜索。 使用条件 ((如关键字) )生成搜索查询,以返回搜索结果,其中包含与案例最有可能相关的数据。
还可以执行以下操作:
- 查看可帮助你优化搜索查询以缩小结果范围的搜索统计信息和示例项。
- 预览搜索结果以快速验证是否找到相关数据。
- 修改查询并重新运行搜索。
- 导出搜索结果或将搜索结果添加到审阅集。
搜索示例
搜索中的示例提供定义的搜索条件返回的项的代表性示例。 查看有关各个项目的详细信息有助于确定是否需要优化搜索,或者代表性项目是否支持将搜索结果添加到审阅集或导出文件。
搜索统计信息
来自搜索的统计信息提供有关数据量、包含结果的内容位置以及搜索查询条件的命中次数等的见解。 这些见解有助于在继续查看和分析电子数据展示工作流的阶段之前,告知是否应修改搜索范围以缩小或扩大搜索范围。
触发器事件
触发器事件是在组织中升级并提示在电子数据展示 (预览版) 创建新案例的活动。 这些事件可以是来自内部或外部合作伙伴的请求、与其他Microsoft Purview 解决方案中的警报关联的集成事件, (例如,内部风险管理案例) ,或者可能受益于电子数据展示 (预览版) 中包含的搜索、调查和缓解操作的任何其他活动。