Condividi tramite

Informazioni sul flusso di lavoro di eDiscovery

  • Articolo

Il flusso di lavoro di eDiscovery consente di identificare, analizzare e intervenire più rapidamente sulle informazioni archiviate elettroniche (ESI) nell'organizzazione. L'identificazione e l'azione sugli elementi ESI con eDiscovery usa il flusso di lavoro migliorato seguente:

Diagramma del flusso di lavoro di eDiscovery.

Passaggio 1: Eseguire l'escalation dall'evento trigger

Gli eventi trigger sono attività che vengono inoltrate nell'organizzazione e avviano la creazione di un nuovo caso in eDiscovery. Questi eventi possono essere richieste da partner interni o esterni, eventi integrati associati ad avvisi in altre soluzioni Microsoft Purview (ad esempio, casi di Gestione dei rischi Insider) o qualsiasi altra attività che potrebbe trarre vantaggio dalle azioni di ricerca, analisi e mitigazione incluse in eDiscovery.

Passaggio 2: Creare e gestire i casi

Un caso in eDiscovery contiene tutte le ricerche, i blocchi e i set di revisione correlati a un'indagine specifica. I casi possono includere la risposta alle richieste di normative, indagini e controversie legali. È anche possibile assegnare membri a un caso per controllare chi può accedere al caso e visualizzare il contenuto del caso. eDiscovery supporta anche l'integrazione della creazione di nuovi casi con Gestione dei rischi Insider Microsoft Purview case.

Passaggio 3: Cercare, valutare i risultati e perfezionare

Dopo aver creato un caso, usare gli strumenti di ricerca predefiniti in eDiscovery per cercare i percorsi del contenuto nell'organizzazione. È possibile creare ed eseguire ricerche diverse associate al caso. Si usano condizioni , ad esempio parole chiave, per compilare più query di ricerca che restituiscono i risultati della ricerca con i dati più probabilmente rilevanti per il caso. È inoltre possibile:

  • Visualizzare le statistiche di ricerca che potrebbero aiutare a perfezionare una query di ricerca per limitare i risultati.
  • Visualizzare in anteprima i risultati della ricerca per verificare rapidamente se vengono trovati i dati pertinenti.
  • Rivedere le query ed eseguire di nuovo le ricerche.

Passaggio 4a: Azioni dai risultati della ricerca

  • Esportare i risultati della ricerca: dopo aver completato una ricerca in un caso di eDiscovery, è possibile esportare i risultati della ricerca. Quando si esportano i risultati della ricerca, gli elementi della cassetta postale vengono scaricati in file PST o come singoli messaggi. Quando si esporta contenuto da siti di SharePoint e OneDrive, vengono esportate copie di documenti di Office nativi e di altri documenti.
  • Creare set di revisioni: un set di revisione è una posizione sicura di Archiviazione di Azure fornita da Microsoft nel cloud Microsoft. Quando si aggiungono dati a un set di revisione, gli elementi raccolti vengono copiati dal percorso del contenuto originale al set di revisione. I set di revisione forniscono un set di contenuto statico noto che è possibile cercare, filtrare, contrassegna e analizzare. È anche possibile tenere traccia e segnalare il contenuto aggiunto al set di revisione.

Passaggio 4b: Creare blocchi

Per mantenere e proteggere i dati rilevanti per un'indagine, è possibile inserire un blocco di eDiscovery sulle origini dati associate a un caso. Dopo aver creato un caso, è possibile bloccare immediatamente le posizioni del contenuto delle persone interessate all'indagine. Se necessario, è anche possibile creare blocchi basati su query. Le posizioni del contenuto includono cassette postali di Exchange, siti di SharePoint, account OneDrive e cassette postali e siti associati a Microsoft Teams e Gruppi di Microsoft 365. Anche se l'inserimento di un blocco è facoltativo, la creazione di un blocco mantiene il contenuto che potrebbe essere rilevante per il caso durante l'indagine.

Quando si crea un blocco, è possibile mantenere tutto il contenuto in percorsi di contenuto specifici oppure creare un blocco basato su query per mantenere solo il contenuto corrispondente a una query di blocco. Oltre a conservare il contenuto, un altro buon motivo per creare blocchi consiste nel cercare rapidamente i percorsi del contenuto in attesa (invece di dover selezionare ogni percorso in cui eseguire la ricerca) quando si creano ed eseguono ricerche nel passaggio successivo. Dopo aver completato l'indagine, è possibile rilasciare qualsiasi blocco creato. Per altre informazioni, vedere Gestire i blocchi in eDiscovery.

Passaggio 5: Esaminare ed eseguire azioni dai set di revisione

  • Cerca contenuto: nella maggior parte dei casi, è utile approfondire il contenuto in un set di revisione e organizzarlo per facilitare una revisione più efficiente. L'uso di filtri e query in un set di revisione consente di concentrarsi su un subset di documenti che soddisfano i criteri della revisione.
  • Eseguire l'analisi: eDiscovery offre uno strumento di analisi integrato che consente di eliminare ulteriormente i dati dal set di revisione determinato non è rilevante per l'indagine. Oltre a ridurre il volume dei dati rilevanti, eDiscovery consente anche di risparmiare sui costi di revisione legale consentendo di organizzare il contenuto per rendere il processo di revisione più semplice ed efficiente. Per altre informazioni, vedere Analizzare i dati in un set di revisione in eDiscovery.
  • Aggiungere tag agli elementi: organizzare il contenuto in un set di revisione è importante per completare vari flussi di lavoro nel processo di eDiscovery. Questa organizzazione include spesso l'identificazione del contenuto pertinente, l'eliminazione di contenuti non necessari e l'identificazione del contenuto che deve essere esaminato da un esperto o un avvocato. Quando responsabili della conformità, legali o altri utenti esaminano il contenuto in un insieme da rivedere, è possibile acquisire le relative opinioni riguardo al contenuto usando tag. I tag forniscono elementi della struttura e dell'organizzazione inclusi in un'indagine. Per altre informazioni, vedere Tag documents in a review set in eDiscovery.For more information, see Tag documents in a review set in eDiscovery.
  • Creare un report di query (anteprima): generare e scaricare un report consolidato su più query per un set di revisione. Questo report consente di visualizzare rapidamente il numero totale e il volume di elementi filtrati in una particolare ricerca di parole chiave o in più query KeyQL composte.
  • Aggiungere elementi dal set di revisione a un altro set di revisione: in alcuni casi, potrebbe essere necessario selezionare i documenti da un set di revisione e usarli singolarmente in un altro set di revisione.
  • Esporta elementi: dopo aver cercato e trovato dati rilevanti per l'indagine, è possibile esportarli dall'organizzazione di Microsoft 365 per la revisione da parte di persone esterne al team di indagine. Oltre ai file di dati esportati, il pacchetto di esportazione contiene un report di esportazione, un report di riepilogo e un report degli errori. Per altre informazioni, vedere Esportare documenti da un set di revisione in eDiscovery.

Componenti del flusso di lavoro

Casi

Un caso contiene tutte le ricerche, i blocchi e i set di revisione correlati a un'indagine specifica. Ciò può includere la risposta alle richieste di normative, indagini e controversie legali. È anche possibile assegnare membri a un caso per controllare chi può accedere al caso e visualizzare il contenuto del caso. eDiscovery supporta anche l'integrazione della creazione di nuovi casi con Gestione dei rischi Insider Microsoft Purview case.

Origini dati

In Microsoft 365 i dati vengono archiviati in tre piattaforme: Exchange, Teams e SharePoint. Queste piattaforme fungono da backbone per l'organizzazione e la gestione dei dati all'interno delle applicazioni Microsoft 365. La maggior parte delle app di Microsoft 365 archivia i dati in uno o più dei contenitori seguenti:

  • Utenti: dati associati a singoli utenti, ad esempio la posta elettronica, i messaggi di Teams 1:1 e i file di OneDrive.
  • Gruppi: dati di proprietà dell'organizzazione o di un gruppo di utenti all'interno di un'organizzazione. Questi sono spesso definiti gruppi unificati o teams.

In eDiscovery, il concetto di origine dati semplifica il processo di identificazione e gestione dei dati nelle piattaforme Microsoft 365. Gli utenti di eDiscovery selezionano un utente o un gruppo che crea un'origine dati e eDiscovery identifica e organizza automaticamente i dati pertinenti archiviati tra piattaforme. L'origine dati raccoglie i percorsi correlati all'utente o al gruppo (cassette postali, siti di OneDrive, siti di SharePoint) e aggiunge i percorsi nella gerarchia dell'origine dati. Gli utenti di eDiscovery perfezionano l'ambito selezionando o escludendo posizioni specifiche in base alle esigenze.

Un'origine dati utente include in genere:

  • Cassetta postale utente
  • Sito di OneDrive

I gruppi unificati sono classificati in tre tipi, ognuno dei quali copre posizioni di dati specifiche:

  • Teams: include l'archiviazione delle cassette postali di Exchange per chat e messaggi di posta elettronica di Teams, nonché tutti i siti di SharePoint associati per i canali e il team
  • Yammer: include l'archiviazione delle cassette postali di Exchange per i messaggi di Yammer.
  • Classico: include solo siti di SharePoint.

Gli utenti di eDiscovery possono anche usare origini a livello di organizzazione per eseguire ricerche nell'intera organizzazione. Le origini a livello di organizzazione includono:

  • Tutti gli utenti e i gruppi: include tutti gli utenti e tutti i gruppi dell'organizzazione.
  • Tutte le cartelle pubbliche: include tutto il contenuto nelle cassette postali delle cartelle pubbliche di Exchange.

Si tratta di un caso comune in cui è necessario cercare un set di cassette postali utente e l'elenco viene gestito come una lista di distribuzione. L'aggiunta di liste di distribuzione è supportata e vengono eseguite ricerche solo nelle cassette postali di Exchange elencate nel gruppo.

È possibile cercare origini dati o percorsi dati specifici usando i nomi degli utenti o dei gruppi, gli indirizzi SMTP (Simple Mail Transfer Protocol) delle cassette postali e gli URL del sito di OneDrive o SharePoint. Quando viene creata una ricerca usando origini dati specifiche, viene eseguita la ricerca solo nelle posizioni specificate nell'origine dati.

Se viene usata l'origine a livello di organizzazione Tutti gli utenti e i gruppi , la ricerca copre tutte le cassette postali di Exchange, OneDrive e i siti di SharePoint. Se l'utente di eDiscovery vuole eseguire ricerche solo in tutte le cassette postali di Exchange, selezionare cassette postali in Tutti gli utenti e i gruppi e deselezionare i siti. Se è necessario cercare solo tutti i siti di SharePoint e OneDrive, selezionare siti in Tutti gli utenti e i gruppi e deselezionare le cassette postali.

La sincronizzazione dell'origine dati in tempo reale consente di essere sempre informati sulle modifiche più recenti nelle posizioni dei dati associate a utenti e gruppi. È possibile eseguire query se a una ricerca vengono aggiunte origini dati specifiche, se un blocco dispone di percorsi dati di cui è stato appena effettuato il provisioning o se i percorsi dei dati vengono rimossi.

Ad esempio, se viene creato un canale privato per un gruppo di Teams, la funzionalità di sincronizzazione nel pannello dell'origine dati avvisa l'utente della nuova posizione, consentendo di includerlo rapidamente e facilmente nelle ricerche o nei blocchi. In questo modo si garantisce che i nuovi dati non vengano inosservati e che siano inclusi nelle indagini. Questa sincronizzazione consente anche di evitare potenziali perdite di dati dalle modifiche alla posizione.

Collaboratori frequenti

Quando si selezionano le persone come origine dati per le ricerche, è possibile trovare rapidamente altri utenti che collaborano spesso con l'utente selezionato. I collaboratori frequenti sono i primi 10 utenti più rilevanti per l'utente selezionato ed è possibile selezionare le cassette postali e i siti per questi utenti come origini dati per le ricerche.

Esportazioni e download

Dopo aver eseguito correttamente una ricerca associata a un caso di eDiscovery, è possibile esportare i risultati della ricerca. Quando si esportano i risultati della ricerca, gli elementi della cassetta postale vengono scaricati in file PST o come singoli messaggi. Quando si esporta contenuto da siti di SharePoint e OneDrive, vengono esportate copie di documenti di Office nativi e di altri documenti.

Se i risultati della ricerca vengono aggiunti a un set di revisione da un caso, è anche possibile esportare il contenuto del set di revisione in un pacchetto di download. Questo pacchetto è configurabile e include opzioni per esportare solo documenti selezionati, tutti i documenti filtrati o tutti i documenti nel set di revisione.

Blocchi e criteri di blocco

È possibile usare un caso di eDiscovery per creare criteri di blocco per mantenere il contenuto che potrebbe essere rilevante per l'indagine con un blocco di eDiscovery. È possibile inserire un blocco nelle cassette postali di Exchange e negli account di OneDrive delle persone in cui si sta analizzando il caso. È anche possibile inserire un blocco nelle cassette postali e nei siti associati a Microsoft Teams, ai gruppi di Microsoft 365 e ai gruppi di Viva Engage. Quando si posizionano i percorsi del contenuto in attesa, il contenuto viene mantenuto fino a quando non si rimuove il percorso del contenuto dal blocco o fino a quando non si elimina il blocco.

Se necessario, è anche possibile inserire una cassetta postale nel blocco per controversia legale per mantenere tutto il contenuto della cassetta postale, inclusi gli elementi eliminati e le versioni originali degli elementi modificati. Quando si inserisce una cassetta postale in Blocco per controversia legale, anche la cassetta postale di archiviazione dell'utente (se abilitata) viene messa in attesa.

Autorizzazioni

Se si vuole che gli utenti usino una delle funzionalità correlate a eDiscovery nel portale di Microsoft Purview, è necessario assegnare loro le autorizzazioni appropriate. Il modo più semplice per assegnare i ruoli consiste nell'aggiungere alla persona il gruppo di ruoli appropriato nella pagina Gruppi di ruoli nel portale di Microsoft Purview.

Consiglio

È possibile visualizzare le proprie autorizzazioni nella pagina di panoramica di eDiscovery nel portale di Microsoft Purview. Per visualizzare le autorizzazioni, è necessario avere almeno un ruolo assegnato.

Processi

eDiscovery include un report processo che elenca tutte le attività che vengono conteggiate per la concorrenza dei casi e i limiti giornalieri in eDiscovery per un periodo di tempo definito. I processi in eDsicovery (anteprima) sono attività associate a attività specifiche che supportano case, ricerche e set di revisione. I processi vengono attivati dalle azioni dell'utente quando si usano questi componenti.

Gli amministratori di eDiscovery e i manager di eDiscovery (anteprima) possono accedere a questo report. I responsabili dei processi consentono di visualizzare informazioni con ambito automatico per casi, ricerche, set di revisione e blocchi.

Set per la revisione

Un set di revisione è una posizione sicura di Archiviazione di Azure fornita da Microsoft nel cloud Microsoft. Quando si aggiungono dati a un set di revisione, gli elementi raccolti vengono copiati dal percorso del contenuto originale al set di revisione. I set di revisione forniscono un set noto di contenuto statico che è possibile cercare, filtrare, contrassegnare, analizzare e stimare la pertinenza usando modelli di codifica predittiva. È anche possibile tenere traccia e segnalare il contenuto aggiunto al set di revisione.

Ricerche

Usare la ricerca per trovare rapidamente il contenuto pertinente a un caso. Le ricerche possono includere la posta elettronica nelle cassette postali di Exchange, i documenti nei siti di SharePoint e nei percorsi di OneDrive e le conversazioni di messaggistica istantanea in Skype for Business. È possibile usare gli strumenti di ricerca per cercare messaggi di posta elettronica, documenti e conversazioni di messaggistica istantanea in strumenti di collaborazione come Microsoft Teams e Gruppi di Microsoft 365.

È possibile creare ed eseguire ricerche diverse associate al caso. Si usano condizioni , ad esempio parole chiave, per compilare query di ricerca che restituiscono i risultati della ricerca con i dati più probabilmente rilevanti per il caso.

È inoltre possibile:

  • Visualizzare le statistiche di ricerca e gli elementi di esempio che potrebbero aiutare a perfezionare una query di ricerca per limitare i risultati.
  • Visualizzare in anteprima i risultati della ricerca per verificare rapidamente se vengono trovati i dati pertinenti.
  • Rivedere una query ed eseguire di nuovo la ricerca.
  • Esportare i risultati della ricerca o aggiungere i risultati della ricerca a un set di revisione.

Esempi di ricerca

Gli esempi di una ricerca forniscono un esempio rappresentativo di elementi restituiti dai criteri di ricerca definiti. La visualizzazione dei dettagli sui singoli elementi consente di determinare se la ricerca deve essere perfezionata o se gli elementi rappresentativi supportano l'aggiunta dei risultati della ricerca a un set di revisione o a un file di esportazione.

Statistiche della ricerca

Le statistiche di una ricerca forniscono informazioni dettagliate per il volume di dati, i percorsi del contenuto che contengono i risultati e il numero di riscontri per la condizione della query di ricerca e altro ancora. Queste informazioni dettagliate consentono di informare se la ricerca deve essere rivista per restringere o espandere l'ambito della ricerca prima di passare alle fasi di revisione e analisi nel flusso di lavoro di eDiscovery.

Attivare eventi

Gli eventi trigger sono attività che vengono inoltrate nell'organizzazione e avviano la creazione di un nuovo caso in eDiscovery. Questi eventi possono essere richieste da partner interni o esterni, eventi integrati associati ad avvisi in altre soluzioni Microsoft Purview (ad esempio, casi di Gestione dei rischi Insider) o qualsiasi altra attività che potrebbe trarre vantaggio dalle azioni di ricerca, analisi e mitigazione incluse in eDiscovery.

Pronti per iniziare?