Creare blocchi in eDiscovery (anteprima)
È possibile creare blocchi per mantenere il contenuto che potrebbe essere rilevante per un caso di eDiscovery. È possibile inserire un blocco nelle cassette postali di Exchange e negli account di OneDrive delle persone in cui si sta analizzando il caso. È anche possibile inserire un blocco nelle cassette postali e nei siti associati a Microsoft Teams, ai gruppi di Microsoft 365 e Viva Engage Gruppi. Quando si inseriscono i percorsi del contenuto in attesa, il contenuto viene mantenuto fino a quando non si rimuove il percorso del contenuto dal blocco o fino a quando non si elimina/rilascia il blocco.
Importante
Dopo aver creato un blocco di eDiscovery, potrebbero essere richieste fino a 24 ore prima che il blocco dia effetto. Per la conservazione dei dati a lungo termine non correlata alle indagini di eDiscovery, è consigliabile usare criteri di conservazione ed etichette di conservazione. Per altre informazioni, vedere Informazioni sui criteri e sulle etichette di conservazione.
Quando si crea un blocco, sono disponibili le opzioni seguenti per definire l'ambito del contenuto conservato nei percorsi di contenuto specificati:
- Creare una sospensione infinita in cui tutti i contenuti nelle posizioni specificate vengono messi in attesa. In alternativa, è possibile creare una sospensione basata su una query, in cui vengono messi in attesa solo i contenuti nelle posizioni specificate che corrispondono a una query di ricerca.
- Specificare un intervallo di date per conservare solo i contenuti inviati, ricevuti o creati in quell'intervallo di date. In alternativa, è possibile contenere tutto il contenuto in posizioni specificate, indipendentemente da quando è stato inviato, ricevuto o creato.
Consiglio
Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.
Creare un blocco di eDiscovery
Consiglio
Si preferisce un'esperienza interattiva di guida alla configurazione? Consultare la guida Applica un blocco .
Per creare un blocco di eDiscovery associato a un caso di eDiscovery, seguire questa procedura:
Passare al portale di Microsoft Purview e accedere usando le credenziali per un account utente a cui sono assegnate le autorizzazioni di eDiscovery.
Selezionare la scheda della soluzione eDiscovery e quindi selezionare Case (anteprima) nel riquadro di spostamento a sinistra.
Selezionare un caso e quindi selezionare la scheda Criteri di blocco .
Nel dashboard Criteri di blocco selezionare Crea criterio.
Nella pagina Immettere i dettagli per iniziare completare i campi seguenti:
- Nome criterio: assegnare un nome al criterio di blocco (obbligatorio). Il nome del criterio di blocco deve essere univoco nell'organizzazione
- Descrizione dei criteri: aggiungere una descrizione facoltativa per consentire ad altri utenti di comprendere questo criterio di blocco.
Selezionare Crea per creare i nuovi criteri di blocco e avviare il blocco dei dati rilevanti per il caso.
Selezionare Aggiungi origini dati nella scheda Criteri di blocco .
Nel riquadro a comparsa Gestisci origini dati si aggiungeranno o si rimuoveranno le origini dati per i criteri di blocco. È possibile scegliere uno o più utenti, gruppi o posizioni dell'organizzazione.
- È necessario selezionare almeno un'origine data per creare un criterio di blocco.
- Immettere gli utenti, i gruppi o i percorsi dell'organizzazione specifici da aggiungere ai criteri di blocco.
Cassette postali di Exchange: le caselle di controllo applicabili sono selezionate per le cassette postali bloccate. Usare Modifica per trovare le cassette postali degli utenti e i gruppi di distribuzione (le cassette postali dei membri del gruppo) da mettere in attesa. È anche possibile inserire un blocco nella cassetta postale associata per un team Microsoft, un gruppo di Microsoft 365 e un gruppo di Viva Engage. Per altre informazioni sui dati dell'applicazione conservati quando una cassetta postale viene messa in attesa, vedere Contenuto archiviato nelle cassette postali per eDiscovery.
Importante
Quando si seleziona una lista di distribuzione da mettere in attesa, la lista di distribuzione si espande nei membri della lista di distribuzione. Gli utenti possono scegliere di mettere in attesa tutte le cassette postali di tutti i membri e OneDrive oppure un subset/combinazione di queste origini dati in attesa. Le modifiche successive nell'appartenenza alla lista di distribuzione non cambiano o aggiornano i blocchi o i criteri. Gli utenti devono aggiungere nuovamente la lista di distribuzione all'origine dati per assicurarsi che l'appartenenza più recente venga riflessa ed espansa.
Siti di SharePoint: le caselle di controllo applicabili sono selezionate per i siti di SharePoint e gli account OneDrive messi in attesa. Usare Modifica per immettere l'URL per altri siti da mettere in attesa. È anche possibile aggiungere l'URL per il sito di SharePoint per un team Microsoft, un gruppo di Microsoft 365 o un gruppo di Yammer.
Importante
Il Cestino nei siti di SharePoint non è indicizzato e pertanto non è disponibile per la ricerca. Di conseguenza, le ricerche di eDiscovery non riescono a trovare alcun contenuto del Cestino da inserire.
Seleziona Salva. Sono state ora incluse nell'ambito le origini dati per i criteri di blocco.
Per definire i parametri dei criteri di blocco, è possibile scegliere tra le opzioni seguenti nella scheda Criteri di blocco :
Generatore di condizioni: l'opzione generatore di condizioni nella ricerca offre un'esperienza di filtro visivo durante la compilazione di criteri di blocco. Ogni condizione aggiunge una clausola creata ed eseguita quando si crea il blocco. Ad esempio, è possibile specificare un intervallo di date in modo da preservare le e-mail o i documenti del sito creati entro tale intervallo. Per informazioni dettagliate sull'uso dell'opzione generatore di condizioni, vedere Usare il generatore di condizioni per creare query di ricerca in eDiscovery (anteprima).
Keyword Query Language (KeyQL): l'opzione di query KeyQL (Keyword Query Language) nella ricerca fornisce indicazioni e consente di incollare rapidamente query lunghe e complesse direttamente nell'editor. Per informazioni dettagliate sulla compilazione di query di ricerca con l'opzione KeyQL, vedere Use Keyword Query Language to create search queries in eDiscovery (anteprima).
È anche possibile compilare rapidamente query KeyQL per la ricerca usando Microsoft Security Copilot. Per altre informazioni, vedere Creare una query di ricerca KeyQL con Microsoft Copilot (anteprima).
Selezionare Applica blocco.
Dopo aver creato un blocco, verificare che il blocco venga applicato correttamente passando alla scheda Dettagli per i criteri di blocco. È possibile esaminare le informazioni seguenti per i criteri di blocco:
- Nome: nome dell'origine dati.
- Posizione: percorso specifico, ad esempio l'indirizzo SMTP della cassetta postale o l'URL del sito, delle origini dati incluse nei criteri di blocco.
- Stato di blocco: stato di blocco della posizione. Indica se la posizione è in attesa, non in attesa o se si è verificato un errore con il blocco.
- Tipo di origine: indica se il tipo di origine dati è Persone o Group.
- Tipo di percorso: indica se il percorso è Cassetta postale o Sito.
Nota
Quando si crea un blocco basato su una query, tutti i contenuti delle posizioni selezionate vengono inizialmente messi in attesa. Successivamente, tutti i contenuti che non corrispondono alla query specificata vengono cancellati dal blocco ogni sette-14 giorni. Tuttavia, una trattenuta basata su una query non cancellerà il contenuto se a una posizione del contenuto sono applicate più di cinque trattenute di qualsiasi tipo o se un elemento ha problemi di indicizzazione.
Responsabile del processo
Gestione processi visualizza informazioni sui processi eseguiti nei criteri di blocco.
- Tipo di processo: tipo di processo.
- Stato: stato del processo.
- Creato: data e ora di creazione del processo.
- Completato: data e ora di completamento del processo.
- Durata: durata del processo.
- Creato da: l'utente che ha creato il processo.
Per scaricare l'elenco dei processi e le informazioni sulla colonna, selezionare Scarica elenco per creare un file .csv contenente queste informazioni.
Per visualizzare informazioni su tutti i processi di eDiscovery, vedere Usare il report Processo in eDiscovery (anteprima).
Blocchi basati su query inseriti nei siti
Quando si inserisce un blocco di eDiscovery basato su query nei documenti che si trovano nei siti di SharePoint, tenere presente quanto segue:Keep the following things in mind when you place a query-based eDiscovery hold on documents located in SharePoint sites:
- Un blocco basato su query conserva inizialmente tutti i documenti di un sito per un breve periodo di tempo dopo la loro eliminazione. Ciò significa che quando un documento viene eliminato, viene spostato nella raccolta di archiviazione anche se non corrisponde ai criteri del blocco basato su query. Tuttavia, i documenti eliminati che non corrispondono a un blocco basato su query vengono rimossi da un processo timer che elabora la raccolta di archiviazione. Il processo timer viene eseguito periodicamente e confronta tutti i documenti nella raccolta di archiviazione con i blocchi di eDiscovery basati su query (e altri tipi di blocchi e criteri di conservazione). Il processo timer elimina i documenti che non corrispondono a un blocco basato su query e mantiene i documenti che lo fanno.
- I blocchi basati su query devono essere usati per eseguire la conservazione mirata, ad esempio parole chiave, intervalli di date o altre proprietà dei documenti per conservare i documenti del sito.
Mantenere il contenuto in Microsoft Teams
Le conversazioni che fanno parte di un canale di Microsoft Teams vengono archiviate nella cassetta postale associata al team Microsoft. Allo stesso modo, i file che i membri del team condividono in un canale vengono archiviati nel sito di SharePoint del team. Pertanto, è necessario posizionare la cassetta postale del team e il sito di SharePoint in eDiscovery per mantenere conversazioni e file in un canale.
In alternativa, le conversazioni che fanno parte dell'elenco chat in Teams (chiamate chat 1:1 o chat di gruppo 1:N) vengono archiviate nelle cassette postali degli utenti che partecipano alla chat. I file condivisi dagli utenti nelle conversazioni di chat vengono archiviati nell'account OneDrive dell'utente che condivide il file. Pertanto, è necessario aggiungere le singole cassette postali utente e gli account OneDrive a un blocco di eDiscovery per mantenere le conversazioni e i file nell'elenco di chat. È consigliabile tenere in attesa le cassette postali dei membri di un team Microsoft, oltre a mettere in attesa la cassetta postale e il sito del team.
Nota
Se l'organizzazione dispone di una distribuzione ibrida di Exchange (o l'organizzazione sincronizza un'organizzazione di Exchange locale con Office 365) e ha abilitato Microsoft Teams, gli utenti locali possono usare l'applicazione di chat di Teams e partecipare a chat di gruppo 1:1 e 1:N. Queste conversazioni vengono archiviate in un archivio basato sul cloud associato a un utente locale. Se un utente locale viene inserito in un blocco di eDiscovery, il contenuto della chat di Teams nell'archiviazione basata sul cloud viene mantenuto. Per altre informazioni, vedere Cercare i dati delle chat di Teams degli utenti locali.
Mantenere il contenuto della scheda
Analogamente, il contenuto della scheda generato dalle app nei canali di Teams, nelle chat 1:1 e nelle chat di gruppo 1:N viene archiviato nelle cassette postali e viene conservato quando una cassetta postale viene inserita in un blocco di eDiscovery. Una scheda è un contenitore di interfaccia utente per piccole parti di contenuto. Le schede possono avere più proprietà e allegati e possono includere elementi che attivano azioni della scheda. Per altre informazioni, vedere Schede. Come nel caso di altri contenuti di Teams, il luogo di archiviazione del contenuto delle schede dipende da dove è stata usata la scheda. Il contenuto delle schede usate in un canale di Teams viene archiviato nella cassetta postale di gruppo di Teams. Il contenuto delle schede per chat tra due persone e 1xN viene archiviato nelle cassette postali dei partecipanti alla chat.
Mantenere le informazioni su riunioni e chiamate
Le informazioni di riepilogo per le riunioni e le chiamate in un canale di Teams vengono archiviate anche nelle cassette postali degli utenti che hanno partecipato alla riunione o alla chiamata. Questo contenuto viene conservato anche quando viene inserito un blocco di eDiscovery nelle cassette postali degli utenti.
Mantenere il contenuto nei canali privati
A partire da febbraio 2020, è stata inoltre attivata la possibilità di mantenere i contenuti nei canali privati. Poiché le chat del canale privato vengono archiviate nelle cassette postali dei partecipanti alla chat, l'inserimento di una cassetta postale utente nel blocco di eDiscovery mantiene le chat del canale privato. Inoltre, se una cassetta postale utente è stata inserita in un blocco di eDiscovery prima di febbraio 2020, il blocco verrà ora applicato automaticamente ai messaggi del canale privato archiviati in tale cassetta postale. È supportato anche il mantenimento dei file condivisi nei canali privati.
Mantenere il contenuto wiki
Ogni canale team o team contiene anche un wiki per prendere appunti e collaborare. Il contenuto Wiki viene salvato automaticamente in un file con formato MHT. Il file è archiviato nella raccolta documenti di dati Wiki di Teams nel sito di SharePoint del team. È possibile mantenere il contenuto wiki aggiungendo il sito di SharePoint del team a un blocco di eDiscovery.
Nota
La possibilità di mantenere il contenuto wiki per un canale team o team (quando si posiziona il sito di SharePoint del team in attesa) è stata rilasciata il 22 giugno 2017. Se un sito del team è in attesa, il contenuto wiki viene mantenuto a partire da tale data. Tuttavia, se un sito del team è in attesa e il contenuto wiki è stato eliminato prima del 22 giugno 2017, il contenuto wiki non è stato conservato.
Gruppi di Microsoft 365
Teams è basato su gruppi di Microsoft 365. Pertanto, l'inserimento di gruppi di Microsoft 365 nel blocco di eDiscovery è simile al blocco del contenuto di Teams.
Quando si posizionano i gruppi di Teams e Microsoft 365 in un blocco di eDiscovery, tenere presente quanto segue:
Per inserire il contenuto in Teams e nei gruppi di Microsoft 365 in attesa, è necessario specificare la cassetta postale e il sito di SharePoint associati a un gruppo o a un team.
Eseguire il cmdlet Get-UnifiedGroup in Exchange Online PowerShell per visualizzare le proprietà per i gruppi di Teams e Microsoft 365. Questo è un buon modo per ottenere l'URL per il sito associato a un team o a un gruppo di Microsoft 365. Ad esempio, il comando seguente visualizza le proprietà selezionate per un gruppo di Microsoft 365 denominato Senior Leadership Team:
Get-UnifiedGroup "Senior Leadership Team" | FL DisplayName,Alias,PrimarySmtpAddress,SharePointSiteUrl DisplayName : Senior Leadership Team Alias : seniorleadershipteam PrimarySmtpAddress : seniorleadershipteam@contoso.onmicrosoft.com SharePointSiteUrl : https://contoso.sharepoint.com/sites/seniorleadershipteamNota
Per eseguire il cmdlet Get-UnifiedGroup, è necessario avere il ruolo Destinatari di sola lettura in Exchange Online o essere membri di un gruppo di ruoli assegnato al ruolo Destinatari di sola lettura.
Quando viene eseguita la ricerca nella cassetta postale di un utente, qualsiasi gruppo di Team o Microsoft 365 di cui l'utente è membro non verrà cercato. Analogamente, quando si inserisce un gruppo team o Microsoft 365 in un blocco di eDiscovery, vengono sospesi solo la cassetta postale del gruppo e il sito del gruppo. Le cassette postali e i siti di OneDrive dei membri del gruppo non vengono sospesi a meno che non vengano aggiunti in modo esplicito al blocco di eDiscovery. Pertanto, se è necessario mettere in attesa un team o un gruppo di Microsoft 365 per un motivo legale, provare ad aggiungere le cassette postali e gli account OneDrive dei membri del team o del gruppo nello stesso blocco.
Per ottenere un elenco dei membri di un team o di un gruppo di Microsoft 365, è possibile visualizzare le proprietà nella pagina Gruppi nella interfaccia di amministrazione di Microsoft 365. In alternativa, è possibile eseguire il comando seguente in PowerShell di Exchange Online:
Get-UnifiedGroupLinks <group or team name> -LinkType Members | FL DisplayName,PrimarySmtpAddressNota
Per eseguire il cmdlet Get-UnifiedGroupLinks, è necessario avere il ruolo Destinatari di sola lettura in Exchange Online o essere membri di un gruppo di ruoli assegnato al ruolo Destinatari di sola lettura.
Mantenere il contenuto negli account di OneDrive
Per raccogliere un elenco degli URL per i siti di OneDrive nell'organizzazione in modo da poterli aggiungere a un blocco o a una ricerca associata a un caso di eDiscovery, vedere Creare un elenco di tutte le posizioni di OneDrive nell'organizzazione. Lo script in questo articolo crea un file di testo che contiene un elenco di tutti i siti di OneDrive nell'organizzazione. Per eseguire questo script, è necessario installare e usare SharePoint Online Management Shell. Assicurarsi di aggiungere l'URL del dominio MySite dell'organizzazione a ogni sito OneDrive che si desidera includere nella ricerca. Questo è il dominio che contiene tutti i onedrive; Ad esempio, https://contoso-my.sharepoint.com. Ecco un esempio di URL per il sito di OneDrive di un utente: https://contoso-my.sharepoint.com/personal/sarad_contoso_onmicrosoft.com.
Importante
L'URL per l'account OneDrive di un utente include il nome dell'entità utente (UPN), ad esempio https://alpinehouse-my.sharepoint.com/personal/sarad_alpinehouse_onmicrosoft_com. Nel raro caso in cui l'UPN di una persona venga modificato, anche l'URL di OneDrive cambia per incorporare il nuovo UPN. Se l'account OneDrive di un utente fa parte di un blocco di eDiscovery e il relativo UPN viene modificato, è necessario aggiornare il blocco aggiungendo il nuovo URL di OneDrive dell'utente e rimuovendo quello precedente. Se l'URL del sito di OneDrive viene modificato, i blocchi inseriti in precedenza nel sito rimangono effettivi e il contenuto viene mantenuto. Per altre informazioni, vedere Come le modifiche UPN influiscono sull'URL di OneDrive.
Rimozione di percorsi di contenuto da un blocco di eDiscovery
Dopo che una casella postale, un sito SharePoint o un account OneDrive sono stati rimossi da un blocco di eDiscovery, viene applicato un blocco di ritardo. Ciò significa che la rimozione effettiva del blocco viene ritardata di 30 giorni per evitare che i dati vengano eliminati definitivamente (eliminati) da un percorso di contenuto. In questo modo gli amministratori hanno la possibilità di cercare o recuperare il contenuto eliminato dopo la rimozione di un blocco di eDiscovery. I dettagli sul funzionamento del ritardo per le caselle postali e i siti sono diversi.
Cassette postali: Un blocco di ritardo viene inserito in una cassetta postale la volta successiva che Managed Folder Assistant elabora la cassetta postale e rileva che è stato rimosso un blocco di eDiscovery. In particolare, un blocco di ritardo viene applicato a una cassetta postale quando Managed Folder Assistant imposta una delle proprietà seguenti della cassetta postale su True:
- DelayHoldApplied: Questa proprietà si applica al contenuto correlato alla posta elettronica (generato da utenti che usano Outlook e Outlook sul web) archiviato nella cassetta postale di un utente.
- DelayReleaseHoldApplied: Questa proprietà si applica al contenuto basato sul cloud (generato da app non Outlook come Microsoft Teams, Microsoft Forms e Microsoft Yammer) archiviato nella cassetta postale di un utente. I dati cloud generati da un'applicazione Microsoft sono in genere archiviati in una cartella nascosta nella casella di posta elettronica dell'utente.
Quando nella cassetta postale viene inserito un blocco di ritardo (quando una delle proprietà precedenti è impostata su True), la cassetta postale viene ancora considerata in attesa per una durata di blocco illimitata, come se la cassetta postale fosse in blocco per controversia legale. Dopo 30 giorni, il blocco di ritardo scade e Microsoft 365 tenterà automaticamente di rimuovere il blocco di ritardo impostando la proprietà DelayHoldApplied o DelayReleaseHoldApplied su False, in modo che il blocco venga rimosso. Dopo che una di queste proprietà è impostata su False, gli elementi corrispondenti contrassegnati per la rimozione vengono eliminati la volta successiva in cui la cassetta postale viene elaborata da Managed Folder Assistant.
Siti di SharePoint e OneDrive: Qualsiasi contenuto di SharePoint o OneDrive conservato nella raccolta di archiviazione non viene eliminato durante il periodo di attesa di 30 giorni dopo la rimozione di un sito da un blocco di eDiscovery. Questo comportamento è simile a quello che accade quando un sito viene rilasciato da un criterio di conservazione. Inoltre, non è possibile eliminare manualmente questo contenuto nella libreria Preservation Hold durante il periodo di ritardo di 30 giorni. Per rilasciare un sito dal periodo di attesa/periodo di tolleranza di 30 giorni, vedere l'articolo Non è possibile eliminare un sito a causa di criteri di conservazione non validi o della risoluzione dei problemi di blocco di eDiscovery.
Per altre informazioni, vedere Rilascio di un criterio per la conservazione.
Un blocco di ritardo viene applicato anche alle posizioni del contenuto in attesa quando si chiude un caso di eDiscovery perché i blocchi vengono disattivati quando un caso viene chiuso. Per altre informazioni sulla chiusura di un caso, vedere Informazioni sulle impostazioni del caso in eDiscovery (anteprima).For more information about closing a case, see Learn about case settings in eDiscovery (preview).
Limiti di blocco di eDiscovery
Nella tabella seguente sono elencati i limiti per i casi e i blocchi di maiuscole e minuscole di eDiscovery.
| Descrizione del limite | Limite |
|---|---|
| Numero massimo di casi per un'organizzazione. | Nessun limite |
| Numero massimo di criteri di blocco di eDiscovery per un'organizzazione. Questo limite include il totale combinato dei criteri di blocco nei casi di eDiscovery. | 10.0001 |
| Numero massimo di cassette postali in un singolo blocco di eDiscovery. Questo limite include il totale combinato delle cassette postali degli utenti e le cassette postali associate ai gruppi di Microsoft 365, Microsoft Teams e Viva Engage Gruppi. | 1,000 |
| Numero massimo di siti in un singolo blocco di eDiscovery. Questo limite include il totale combinato di siti di OneDrive, siti di SharePoint e siti associati a gruppi di Microsoft 365, Microsoft Teams e Viva Engage Gruppi. <Br/ | 100 |
| Numero massimo di case visualizzati nella home page di eDiscovery e numero massimo di elementi visualizzati nelle schede Blocchi, Ricerche ed Esporta in un caso. | 1.0001 |
| Limiti di blocco per i siti di SharePoint e OneDrive | Per informazioni dettagliate, vedere Limiti di SharePoint. |
Nota
1 Per visualizzare un elenco di più di 1.000 casi, blocchi, ricerche o esportazioni, è possibile usare il cmdlet PowerShell Security & Compliance corrispondente: