了解电子数据展示工作流

电子数据展示工作流可帮助你更快速地识别、调查并针对组织中的 ESI) (电子存储的信息采取措施。 使用电子数据展示识别 ESI 项并采取措施使用以下改进的工作流：

步骤 1：从触发器事件升级

触发器事件是在组织中升级并开始在电子数据展示中创建新案例的活动。 这些事件可以是来自内部或外部合作伙伴的请求、与其他 Microsoft Purview 解决方案中的警报关联的集成事件， (例如 ，内部风险管理案例) ，或者可能受益于电子数据展示中包含的搜索、调查和缓解作的任何其他活动。

步骤 2：创建和管理案例

电子数据展示中的 案例 包含与特定调查相关的所有搜索、保留和审阅集。 案例可能包括响应监管、调查和诉讼请求。 还可以将成员分配到案例，以控制谁可以访问案例并查看案例的内容。 电子数据展示还支持与Microsoft Purview 内部风险管理案例的新案例创建集成。

步骤 3：搜索、评估结果和优化

创建事例后，使用电子数据展示中的内置搜索工具 搜索组织中的内容位置 。 可以创建并运行与案例关联的不同搜索。 使用条件 (（如关键字) ）生成多个搜索查询，以返回搜索结果，其中包含与案例最相关的数据。 还可以执行以下操作：

• 查看可能有助于优化搜索查询以缩小结果范围的搜索统计信息。
• 预览搜索结果以快速验证是否找到相关数据。
• 修改查询并重新运行搜索。

步骤 4a：搜索结果中的作

• 导出搜索结果：在电子数据展示事例中成功完成搜索后，可以 导出搜索结果。 导出搜索结果时，邮箱项目将下载到 PST 文件中或作为单个邮件下载。 从 SharePoint 和 OneDrive 网站导出内容时，将导出本机 Office 文档和其他文档的副本。
• 创建评审集： 评审集 是Microsoft云中Microsoft提供的安全的 Azure 存储位置。 将数据 添加到审阅集时，收集的项目将从其原始内容位置复制到审阅集。 审阅集提供一组静态的已知内容，你可以搜索、筛选、标记和分析这些内容。 还可以跟踪和报告将哪些内容添加到审阅集。

步骤 4b：创建保留

若要保留和保护与调查相关的数据，可以对与案例关联的数据源 设置电子数据展示保留 。 创建案例后，可以立即暂停调查中感兴趣的人员的内容位置。 如果需要，还可以创建基于查询的保留。 内容位置包括 Exchange 邮箱、SharePoint 网站、OneDrive 帐户以及与 Microsoft Teams 和 Microsoft 365 组 关联的邮箱和网站。 虽然保留是可选的，但创建保留会保留可能在调查期间与案例相关的内容。

创建保留时，可以保留特定内容位置中的所有内容，也可以创建基于查询的保留，以便仅保留与保留查询匹配的内容。 除了保留内容之外，创建保留的另一个好理由是快速搜索保留的内容位置 (而无需在下一步创建和运行搜索时选择每个位置来搜索) 。 完成调查后，可以释放创建的任何保留。 有关详细信息，请参阅 管理电子数据展示中的保留。

步骤 5：查看评审集并执行作

• 搜索内容：在大多数情况下，更深入地挖掘评审集中的内容并对其进行组织，以促进更高效的评审。 在审阅集中使用 筛选器和查询 有助于专注于满足审阅条件的一部分文档。
• 运行分析：电子数据展示提供集成的分析工具，可帮助你进一步从你确定与调查无关的评审集中剔除数据。 除了减少相关数据量外，电子数据展示还有助于通过组织内容来简化和更高效地审查过程，从而节省法律审查成本。 有关详细信息，请参阅 在电子数据展示中分析审阅集中的数据。
• 标记项目：在审阅集中组织内容对于完成电子数据展示过程中的各种工作流非常重要。 此组织通常包括识别相关内容、剔除不必要的内容以及识别需要专家或律师审查的内容。 当专家、律师或其他用户审阅审阅集中的内容时，可以使用标记捕获与内容相关的意见。 标记提供调查中包含的结构和组织项。 有关详细信息，请参阅 在电子数据展示的审阅集中标记文档。
• 创建查询报表 (预览) ：针对审阅集的多个查询生成和下载 合并报表 。 此报表可让你快速查看特定关键字 (keyword) 搜索或多个组合 KeyQL 查询上筛选项的总计数和数量。
• 将审阅集中的项目添加到另一个审阅集：在某些情况下，可能需要从一个审阅集中选择文档，并在 另一个审阅集中单独处理这些文档。
• 导出项目：搜索并找到与调查相关的数据后，可以将其导出到 Microsoft 365 组织，供调查团队外部的人员审阅。 除了导出的数据文件，导出包还包含导出报告、摘要报告和错误报告。 有关详细信息，请参阅 从电子数据展示中的审阅集导出文档。

工作流组件

例

案例包含与特定调查相关的所有搜索、保留和评审集。 这可能包括响应法规、调查和诉讼请求。 还可以将成员分配到案例，以控制谁可以访问案例并查看案例的内容。 电子数据展示还支持与Microsoft Purview 内部风险管理案例的新案例创建集成。

数据源

在 Microsoft 365 中，数据存储在三个平台上：Exchange、Teams 和 SharePoint。 这些平台充当组织和管理 Microsoft 365 应用程序中数据的主干。 大多数Microsoft 365 个应用将数据存储在以下一个或多个容器中：

• 用户：与单个用户关联的数据，例如其邮件、1：1 Teams 邮件和 OneDrive 文件。
• 组：组织或组织内的一组用户拥有的数据。 这些通常称为统一组或 Teams。

在电子数据展示中， 数据源 的概念简化了跨 Microsoft 365 平台标识和管理数据的过程。 电子数据展示用户选择创建数据源的用户或组，电子数据展示会自动识别和组织跨平台存储的相关数据。 数据源收集与用户或组 (邮箱、OneDrive 网站、SharePoint 网站) 相关的位置，并在数据源层次结构中添加位置。 电子数据展示用户根据需要选择或排除特定位置来优化范围。

用户数据源通常包括：

• 用户邮箱
• OneDrive 网站

统一组分为三种类型，每个类型涵盖特定的数据位置：

• Teams：包括 Teams 聊天和电子邮件的 Exchange 邮箱存储，以及频道和团队的所有相关 SharePoint 网站
• Yammer：包括 Yammer 邮件的 Exchange 邮箱存储。
• 经典：仅包括 SharePoint 网站。

电子数据展示用户还可以使用组织范围的源跨组织执行搜索。 组织范围的源包括：

• 所有用户和组：包括组织中的所有用户和所有组。
• 所有公用文件夹：包括 Exchange 公用文件夹 邮箱中的所有内容。

这是一种常见情况，即必须搜索一组用户邮箱，并将列表作为通讯组列表进行管理。 支持添加通讯组列表，并且仅搜索组中列出的 Exchange 邮箱。

可以使用用户或组的名称、邮箱简单邮件传输协议 (SMTP) 地址以及 OneDrive 或 SharePoint 网站 URL 搜索特定数据源或数据位置 。 使用特定数据源创建搜索时，仅搜索数据源中指定的位置。

如果使用组织范围的源 “所有人员和组 ”，则搜索将涵盖所有 Exchange 邮箱、OneDrive 和 SharePoint 网站。 如果电子数据展示用户只想搜索所有交换邮箱，请选择“ 所有人员和组 ”下的邮箱，然后取消选择网站。 如果需要仅搜索所有 SharePoint 和 OneDrive 网站，请在“ 所有人员和组 ”下选择“网站”，然后取消选择邮箱。

实时数据源同步有助于确保始终了解与用户和组关联的数据位置的最新更改。 可以查询是否将任何特定数据源添加到搜索、保留是否具有新预配的数据位置，或者是否删除了数据位置。

例如，如果为 Teams 组创建了专用频道，则数据源面板上的同步功能会向你发出新位置的警报，使你能够快速轻松地将其包含在搜索或保留中。 这可确保新数据不会被忽视，并包含在调查中。 此同步还有助于防止因位置更改而可能丢失数据。

浏览相关源

频繁的协作者

选择人员作为搜索的数据源时，可以快速查找经常与所选用户协作的其他用户。 频繁协作者 是与所选用户最相关的前 10 个用户，你可以选择这些用户的邮箱和网站作为搜索的数据源。

导出和下载

成功运行与电子数据展示事例关联的搜索后，可以 导出搜索结果。 导出搜索结果时，邮箱项目将下载到 PST 文件中或作为单个邮件下载。 从 SharePoint 和 OneDrive 网站导出内容时，将导出本机 Office 文档和其他文档的副本。

如果搜索结果从案例添加到审阅集，还可以 将审阅集内容导出 到下载包。 此包是可配置的，包括用于仅导出所选文档、所有筛选文档或审阅集中所有文档的选项。

保留和保留策略

可以使用电子数据展示案例创建 保留策略 ，以保留可能与电子数据展示保留的调查相关的内容。 你可以对正在调查此案的人员的 Exchange 邮箱和 OneDrive 帐户进行保留。 还可以对与 Microsoft Teams、Microsoft 365 个组和Viva Engage组关联的邮箱和网站进行保留。 将内容位置置于保留状态时，内容将保留到从保留中删除内容位置或删除保留为止。

如果需要，还可以将邮箱置于 诉讼保留 中，以保留所有邮箱内容，包括已删除邮件和修改项目的原始版本。 当你将邮箱置于诉讼保留状态时，用户的存档邮箱（如果已启用）也会置于保留状态。

权限

如果希望用户使用 Microsoft Purview 门户中与电子数据展示相关的任何功能，则必须为其分配适当的 权限。 分配角色的最简单方法是在 Microsoft Purview 门户的“ 角色组 ”页上添加相应角色组的人员。

流程

电子数据展示包括一个 进程报告 ，其中列出了在定义时间段内计入电子数据展示中事例并发和每日限制的所有活动。 eDsicovery (预览) 中的流程是与支持案例、搜索和审阅集的特定任务关联的活动。 使用这些组件时，用户作会触发进程。

电子数据展示管理员 和 电子数据展示管理员 (预览版) 可以访问此报表。 流程管理器 可帮助你查看自动限定为事例、搜索、审阅集和保留范围的信息。

审阅集

评审集是Microsoft云中Microsoft提供的一个安全的 Azure 存储位置。 将数据添加到审阅集时，收集的项目将从其原始内容位置复制到审阅集。 审阅集提供一组静态的已知内容，你可以使用预测编码模型搜索、筛选、标记、分析和预测相关性。 还可以跟踪和报告将哪些内容添加到审阅集。

搜索

使用 搜索 快速查找与案例相关的内容。 搜索可能包括 Exchange 邮箱中的电子邮件、SharePoint 网站和 OneDrive 位置中的文档，以及 Skype for Business 中的即时消息对话。 可以使用搜索工具在协作工具（如 Microsoft Teams 和 Microsoft 365 组）中搜索电子邮件、文档和即时消息对话。

可以创建并运行与案例关联的不同搜索。 使用条件 (（如关键字) ）生成搜索查询，以返回搜索结果，其中包含与案例最有可能相关的数据。

还可以执行以下操作：

• 查看可能有助于优化搜索查询以缩小结果范围的搜索统计信息和示例项。
• 预览搜索结果以快速验证是否找到相关数据。
• 修改查询并重新运行搜索。
• 导出搜索结果或将搜索结果添加到审阅集。

搜索示例

搜索中的示例提供定义的搜索条件返回的项的代表性示例。 查看有关各个项目的详细信息有助于确定是否需要优化搜索，或者代表性项目是否支持将搜索结果添加到审阅集或导出文件。

搜索统计信息

来自搜索的统计信息提供有关数据量、包含结果的内容位置以及搜索查询条件的命中次数等的见解。 这些见解有助于在继续查看和分析电子数据展示工作流的阶段之前，告知是否应修改搜索范围以缩小或扩大搜索范围。

触发器事件

触发器事件是在组织中升级并开始在电子数据展示中创建新案例的活动。 这些事件可以是来自内部或外部合作伙伴的请求、与其他Microsoft Purview 解决方案中的警报关联的集成事件， (例如，内部风险管理案例) ，或者可能受益于电子数据展示中包含的搜索、调查和缓解作的任何其他活动。

准备好开始了吗？

• 电子数据展示入门