Informazioni sul flusso di lavoro di eDiscovery (anteprima)

  • Articolo

Il flusso di lavoro eDiscovery (anteprima) consente di identificare, analizzare e intervenire più rapidamente sulle informazioni archiviate elettroniche (ESI) nell'organizzazione. L'identificazione e l'azione sugli elementi ESI con eDiscovery (anteprima) usa il flusso di lavoro migliorato seguente:

Diagramma del flusso di lavoro di eDiscovery.

Passaggio 1: Eseguire l'escalation dall'evento trigger

Gli eventi trigger sono attività che vengono inoltrate nell'organizzazione e richiedono la creazione di un nuovo caso in eDiscovery (anteprima). Questi eventi possono essere richieste da partner interni o esterni, eventi integrati associati ad avvisi in altre soluzioni Microsoft Purview (ad esempio, casi di gestione dei rischi Insider) o qualsiasi altra attività che può trarre vantaggio dalle azioni di ricerca, analisi e mitigazione incluse in eDiscovery (anteprima).

Passaggio 2: Creare e gestire i casi

Un caso in eDiscovery (anteprima) contiene tutte le ricerche, i blocchi e i set di revisione correlati a un'indagine specifica. Ciò può includere la risposta alle richieste di normative, indagini e controversie legali. È anche possibile assegnare membri a un caso per controllare chi può accedere al caso e visualizzare il contenuto del caso. eDiscovery (anteprima) supporta anche l'integrazione della creazione di nuovi case con Gestione dei rischi Insider Microsoft Purview case.

Passaggio 3: Cercare, valutare i risultati e perfezionare

Dopo aver creato un caso, usare gli strumenti di ricerca predefiniti in eDiscovery (anteprima) per cercare i percorsi del contenuto nell'organizzazione. È possibile creare ed eseguire ricerche diverse associate al caso. Si usano condizioni , ad esempio parole chiave, per compilare più query di ricerca che restituiscono i risultati della ricerca con i dati più probabilmente rilevanti per il caso. È inoltre possibile:

  • Visualizzare le statistiche di ricerca che possono aiutare a perfezionare una query di ricerca per limitare i risultati.
  • Visualizzare in anteprima i risultati della ricerca per verificare rapidamente se vengono trovati i dati pertinenti.
  • Rivedere le query ed eseguire di nuovo le ricerche.

Passaggio 4a: Azioni dai risultati della ricerca

  • Esportare i risultati della ricerca: dopo aver completato una ricerca in un caso di eDiscovery, è possibile esportare i risultati della ricerca. Quando si esportano i risultati della ricerca, gli elementi della cassetta postale vengono scaricati in file PST o come singoli messaggi. Quando si esporta contenuto da siti di SharePoint e OneDrive, vengono esportate copie di documenti di Office nativi e di altri documenti.
  • Creare set di revisioni: un set di revisione è una posizione sicura di Archiviazione di Azure fornita da Microsoft nel cloud Microsoft. Quando si aggiungono dati a un set di revisione, gli elementi raccolti vengono copiati dal percorso del contenuto originale al set di revisione. I set di revisione forniscono un set di contenuto statico noto che è possibile cercare, filtrare, contrassegna e analizzare. È anche possibile tenere traccia e segnalare il contenuto aggiunto al set di revisione.

Passaggio 4b: Creare blocchi

Per mantenere e proteggere i dati rilevanti per un'indagine, è possibile inserire un blocco di eDiscovery sulle origini dati associate a un caso. Le funzionalità premium di eDiscovery includeranno anche un flusso di lavoro di comunicazione predefinito a breve, in modo da poter inviare notifiche di blocco agli utenti e tenere traccia dei loro riconoscimenti.

Dopo aver creato un caso, è possibile bloccare immediatamente le posizioni del contenuto delle persone interessate all'indagine. Se necessario, è anche possibile creare blocchi basati su query. Le posizioni del contenuto includono cassette postali di Exchange, siti di SharePoint, account OneDrive e cassette postali e siti associati a Microsoft Teams e Gruppi di Microsoft 365. Mentre l'inserimento di un blocco è facoltativo, la creazione di un blocco mantiene il contenuto che potrebbe essere rilevante per il caso durante l'indagine.

Quando si crea un blocco, è possibile mantenere tutto il contenuto in percorsi di contenuto specifici oppure creare un blocco basato su query per mantenere solo il contenuto corrispondente a una query di blocco. Oltre a conservare il contenuto, un altro buon motivo per creare blocchi consiste nel cercare rapidamente i percorsi del contenuto in attesa (invece di dover selezionare ogni percorso in cui eseguire la ricerca) quando si creano ed eseguono ricerche nel passaggio successivo. Dopo aver completato l'indagine, è possibile rilasciare qualsiasi blocco creato. Per altre informazioni, vedere Gestire i blocchi in eDiscovery.

Passaggio 5: Esaminare ed eseguire azioni dai set di revisione

  • Cerca contenuto: nella maggior parte dei casi, è utile approfondire il contenuto in un set di revisione e organizzarlo per facilitare una revisione più efficiente. L'uso di filtri e query in un set di revisione consente di concentrarsi su un subset di documenti che soddisfano i criteri della revisione.
  • Eseguire l'analisi: eDiscovery offre uno strumento di analisi integrato che consente di eliminare ulteriormente i dati dal set di revisione determinato non è rilevante per l'indagine. Oltre a ridurre il volume dei dati rilevanti, eDiscovery consente anche di risparmiare sui costi di revisione legale consentendo di organizzare il contenuto per rendere il processo di revisione più semplice ed efficiente. Per altre informazioni, vedere Analizzare i dati in un set di revisione in eDiscovery.
  • Aggiungere tag agli elementi: organizzare il contenuto in un set di revisione è importante per completare vari flussi di lavoro nel processo di eDiscovery. Questa organizzazione include spesso l'identificazione del contenuto pertinente, l'eliminazione di contenuti non necessari e l'identificazione dei contenuti che devono essere esaminati da un esperto o un avvocato. Quando responsabili della conformità, legali o altri utenti esaminano il contenuto in un insieme da rivedere, è possibile acquisire le relative opinioni riguardo al contenuto usando tag. I tag forniscono elementi della struttura e dell'organizzazione inclusi in un'indagine. Per altre informazioni, vedere Tag documents in a review set in eDiscovery.For more information, see Tag documents in a review set in eDiscovery.
  • Creare un report di query (anteprima): generare e scaricare un report consolidato su più query per un set di revisione. Questo report consente di visualizzare rapidamente il numero totale e il volume di elementi filtrati in una particolare ricerca di parole chiave o in più query KeyQL composte.
  • Aggiungere elementi dal set di revisione a un altro set di revisione: in alcuni casi, potrebbe essere necessario selezionare i documenti da un set di revisione e usarli singolarmente in un altro set di revisione.
  • Esporta elementi: dopo aver cercato e trovato dati rilevanti per l'indagine, è possibile esportarli dall'organizzazione di Microsoft 365 per la revisione da parte di persone esterne al team di indagine. Oltre ai file di dati esportati, il pacchetto di esportazione contiene un report di esportazione, un report di riepilogo e un report degli errori. Per altre informazioni, vedere Esportare documenti da un set di revisione in eDiscovery.

Componenti del flusso di lavoro

Casi

Un caso contiene tutte le ricerche, i blocchi e i set di revisione correlati a un'indagine specifica. Ciò può includere la risposta alle richieste di normative, indagini e controversie legali. È anche possibile assegnare membri a un caso per controllare chi può accedere al caso e visualizzare il contenuto del caso. eDiscovery (anteprima) supporta anche l'integrazione della creazione di nuovi case con Gestione dei rischi Insider Microsoft Purview case.

Origini dati

Le origini dati definiscono dove vengono eseguite le ricerche e dove è possibile applicare i blocchi. Le origini dati organizzano le posizioni dei dati in una struttura ad albero gerarchica con due livelli. Ad esempio, per un utente o un gruppo, l'utente o il gruppo sarebbe il primo livello e le cassette postali, i siti di OneDrive e altri siti sarebbero il secondo livello in relazione all'utente o al gruppo. Per un gruppo di Microsoft Teams, il secondo livello è costituito dalla cassetta postale del gruppo, dal sito del gruppo, dai canali/siti condivisi, dai canali/siti privati e da altri canali o siti correlati al gruppo teams.

Le origini dati in eDiscovery (anteprima) sono suddivise in tre gruppi separati:

  • Utenti: gli utenti sono persone dell'organizzazione con account Microsoft 365 e includono qualsiasi cassetta postale, sito di OneDrive o qualsiasi altro sito associato al singolo utente.

  • Gruppi: Gruppi includere cassette postali di gruppo, siti di gruppo e siti o canali condivisi e privati di Teams e SharePoint.

  • Origini a livello di organizzazione: le origini a livello di organizzazione includono:

    • Tutti gli utenti e i gruppi: include tutti gli utenti e tutti i gruppi dell'organizzazione.
    • Tutte le cartelle pubbliche: include tutto il contenuto nelle cassette postali delle cartelle pubbliche di Exchange.

È possibile cercare origini dati o percorsi dati specifici usando input come il nome di un utente o gruppo, l'indirizzo SMTP della cassetta postale e l'URL del sito di OneDrive o SharePoint. Quando la ricerca viene creata usando origini dati specifiche, viene eseguita la ricerca solo nelle posizioni specificate nell'origine dati. Se viene usata l'origine a livello di organizzazione Tutti gli utenti e i gruppi , la ricerca copre tutte le cassette postali di Exchange, OneDrive e i siti di SharePoint.

La sincronizzazione dell'origine dati in tempo reale consente di essere sempre informati sulle modifiche più recenti nelle posizioni dei dati associate a utenti e gruppi. È possibile eseguire query se a una ricerca vengono aggiunte origini dati specifiche, se un blocco dispone di percorsi dati di cui è stato appena effettuato il provisioning o se i percorsi dei dati vengono rimossi. Ad esempio, se viene creato un canale privato per un gruppo di Teams, la funzionalità di sincronizzazione nel pannello dell'origine dati avvisa l'utente della nuova posizione, consentendo di includerlo rapidamente e facilmente nelle ricerche o nei blocchi. In questo modo si garantisce che i nuovi dati non vengano inosservati e che siano inclusi nelle indagini. Ciò consente anche di evitare potenziali perdite di dati da modifiche della posizione.

Collaboratori frequenti

Quando si selezionano le persone come origine dati per le ricerche, è possibile trovare rapidamente altri utenti che collaborano spesso con l'utente selezionato. I collaboratori frequenti sono i primi dieci utenti più rilevanti per l'utente selezionato ed è possibile selezionare le cassette postali e i siti per questi utenti come origini dati per le ricerche.

Esportazioni e download

Dopo aver eseguito correttamente una ricerca associata a un caso di eDiscovery (anteprima), è possibile esportare i risultati della ricerca. Quando si esportano i risultati della ricerca, gli elementi della cassetta postale vengono scaricati in file PST o come singoli messaggi. Quando si esporta contenuto da siti di SharePoint e OneDrive, vengono esportate copie di documenti di Office nativi e di altri documenti.

Se i risultati della ricerca sono stati aggiunti a un set di revisioni da un caso, è anche possibile esportare il contenuto del set di revisione in un pacchetto di download. Questo pacchetto è configurabile e include opzioni per esportare solo documenti selezionati, tutti i documenti filtrati o tutti i documenti nel set di revisione.

Blocchi e criteri di blocco

È possibile usare un caso di eDiscovery (anteprima) per creare criteri di blocco per mantenere il contenuto che potrebbe essere rilevante per l'indagine con un blocco di eDiscovery. È possibile inserire un blocco nelle cassette postali di Exchange e negli account di OneDrive delle persone in cui si sta analizzando il caso. È anche possibile inserire un blocco nelle cassette postali e nei siti associati a Microsoft Teams, ai gruppi di Microsoft 365 e Viva Engage Gruppi. Quando si posizionano i percorsi del contenuto in attesa, il contenuto viene mantenuto fino a quando non si rimuove il percorso del contenuto dal blocco o fino a quando non si elimina il blocco.

Se necessario, è anche possibile inserire una cassetta postale nel blocco per controversia legale per mantenere tutto il contenuto della cassetta postale, inclusi gli elementi eliminati e le versioni originali degli elementi modificati. Quando si inserisce una cassetta postale in Blocco per controversia legale, anche la cassetta postale di archiviazione dell'utente (se abilitata) viene messa in attesa.

Autorizzazioni

Se si vuole che gli utenti usino una delle funzionalità correlate a eDiscovery nel portale di Microsoft Purview, è necessario assegnare loro le autorizzazioni appropriate. Il modo più semplice per assegnare i ruoli consiste nell'aggiungere alla persona il gruppo di ruoli appropriato nella pagina Gruppi di ruoli nel portale di Microsoft Purview.

Consiglio

È possibile visualizzare le proprie autorizzazioni nella pagina di panoramica di eDiscovery (anteprima) nel portale di Microsoft Purview. Per visualizzare le autorizzazioni, è necessario avere almeno un ruolo assegnato.

Processi

eDiscovery (anteprima) include un report processo che elenca tutte le attività che vengono conteggiate per la concorrenza dei casi e i limiti giornalieri in eDiscovery per un periodo di tempo definito. I processi in eDsicovery (anteprima) sono attività associate a attività specifiche che supportano case, ricerche e set di revisione. I processi vengono attivati dalle azioni dell'utente quando si usano questi componenti.

Gli amministratori di eDiscovery e i manager di eDiscovery (anteprima) possono accedere a questo report. I responsabili dei processi consentono di visualizzare informazioni con ambito automatico per casi, ricerche, set di revisione e blocchi.

Set per la revisione

Un set di revisione è una posizione sicura di Archiviazione di Azure fornita da Microsoft nel cloud Microsoft. Quando si aggiungono dati a un set di revisione, gli elementi raccolti vengono copiati dal percorso del contenuto originale al set di revisione. I set di revisione forniscono un set noto di contenuto statico che è possibile cercare, filtrare, contrassegnare, analizzare e stimare la pertinenza usando modelli di codifica predittiva. È anche possibile tenere traccia e segnalare il contenuto aggiunto al set di revisione.

Ricerche

Usare la ricerca per trovare rapidamente il contenuto pertinente a un caso. Sono inclusi i messaggi di posta elettronica nelle cassette postali di Exchange, i documenti nei siti di SharePoint e nei percorsi di OneDrive e le conversazioni di messaggistica istantanea in Skype for Business. È possibile usare gli strumenti di ricerca per cercare messaggi di posta elettronica, documenti e conversazioni di messaggistica istantanea in strumenti di collaborazione come Microsoft Teams e Gruppi di Microsoft 365.

È possibile creare ed eseguire ricerche diverse associate al caso. Si usano condizioni , ad esempio parole chiave, per compilare query di ricerca che restituiscono i risultati della ricerca con i dati più probabilmente rilevanti per il caso.

È inoltre possibile:

  • Visualizzare le statistiche di ricerca e gli elementi di esempio che possono aiutare a perfezionare una query di ricerca per limitare i risultati.
  • Visualizzare in anteprima i risultati della ricerca per verificare rapidamente se vengono trovati i dati pertinenti.
  • Rivedere una query ed eseguire di nuovo la ricerca.
  • Esportare i risultati della ricerca o aggiungere i risultati della ricerca a un set di revisione.

Esempi di ricerca

Gli esempi di una ricerca forniscono un esempio rappresentativo di elementi restituiti dai criteri di ricerca definiti. La visualizzazione dei dettagli sui singoli elementi consente di determinare se la ricerca deve essere perfezionata o se gli elementi rappresentativi supportano l'aggiunta dei risultati della ricerca a un set di revisione o a un file di esportazione.

Statistiche della ricerca

Le statistiche di una ricerca forniscono informazioni dettagliate per il volume di dati, i percorsi del contenuto che contengono i risultati e il numero di riscontri per la condizione della query di ricerca e altro ancora. Queste informazioni dettagliate consentono di informare se la ricerca deve essere rivista per restringere o espandere l'ambito della ricerca prima di passare alle fasi di revisione e analisi nel flusso di lavoro di eDiscovery.

Attivare eventi

Gli eventi trigger sono attività che vengono inoltrate nell'organizzazione e richiedono la creazione di un nuovo caso in eDiscovery (anteprima). Questi eventi possono essere richieste da partner interni o esterni, eventi integrati associati ad avvisi in altre soluzioni Microsoft Purview (ad esempio, casi di gestione dei rischi Insider) o qualsiasi altra attività che può trarre vantaggio dalle azioni di ricerca, analisi e mitigazione incluse in eDiscovery (anteprima).

Pronti per iniziare?