共用方式為


在 eDiscovery (Premium) 中建立集合估計

提示

新的 Microsoft Purview 入口網站現已提供電子檔探索 (預覽) 。 若要深入瞭解如何使用新的電子檔探索體驗,請參閱 瞭解電子檔探索 (預覽)

在您識別出案例的監管人和任何非監管人數據源之後,就可以使用 集合 工具來搜尋相關內容的數據源,以識別並找出一組相關的檔。 您可以建立集合來搜尋指定的數據源,以尋找符合搜尋準則的內容。 您必須建立 集合估計值,這是所找到項目的估計值。

當您建立集合估計值時,可以檢視與搜尋查詢相符之估計結果的相關信息,例如找到的專案總數和大小、找到專案的不同數據源,以及搜尋查詢的相關統計數據。 您也可以檢閱集合所傳回專案的範例。 使用這些統計數據,您可以變更搜尋查詢並重新執行集合估計值,以縮小結果範圍。 一旦您滿意集合結果,就可以將集合認可至檢閱集。 當您認可集合估計值時,集合所傳回的專案會新增至檢閱集以供檢閱、分析和匯出。

提示

如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

建立集合估計值時的建議

  • 建立集合估計值之前,請考慮將監管人和非監管數據源新增至案例。 新增這些來源可讓您在工作流程中建立集合估計時,快速選取數據源。 如果您選擇略過新增監管人或非監管數據源,您可以搜尋這些來源和任何其他數據源, (尚未新增至案例的來源,做為可能與案例相關之內容的集合估計值中) 的監管或非監管位置。 這些數據源可能包括信箱、SharePoint 網站和 Teams。 如果這種情況適用於您的案例,請使用其他位置將這些來源新增至您的集合。
  • 確認您有權 可建立案例的集合估計值。
  • 設定新的集合時,您可以將工作流程中的進度儲存為草稿集合,並視需要稍後完成。 只要在集合工作流程中的任何頁面上選取 [ 儲存並關閉 ],即可將進度儲存為草稿。 集合會新增至狀態為 Draft 的集合清單。 若要繼續處理集合,請選取草稿集合,選取 [ 動作],然後選取 [ 編輯集合]

建立集合估計

注意事項

在有限的時間內,此傳統電子檔探索體驗也可在新的 Microsoft Purview 入口網站中使用。 在電子檔探索 (預覽) 體驗設定中啟用合規性入口網站傳統電子檔探索體驗,以在新的 Microsoft Purview 入口網站中顯示傳統體驗。

  1. Microsoft Purview 合規性入口網站 中,流覽至 eDiscovery>Premium

  2. 選取 [ 案例 ] 索引標籤,然後開啟 eDiscovery (Premium) 案例,然後選取 [ 集合] 索引卷 標。

  3. 在 [ 集合] 頁面上,選取 [ 新增集合]

  4. 在 [ 名稱和描述 ] 頁面上,輸入集合選擇性) (所需的名稱) 和描述 (。 建立集合之後,您無法變更名稱,但可以修改描述。

  5. 在 [監管 數據源 ] 頁面上,選取下列其中一個選項來識別要從中收集內容的監管數據源:

    • 取 [選取監管人 ] 以搜尋新增至案例的特定監管人。 如果您使用此選項,則會顯示案例監管人清單。 選取一或多個監管人。 選取並新增監管人之後,您也可以選取特定的數據源來搜尋每個監管人。 將監管人新增至案例時,會指定顯示的數據源。

    • 選取 [ 全選 ] 切換以搜尋已新增至案例的所有監管人。 當您選取此選項時,會搜尋所有監管人的所有數據源。

  6. [非監管數據源 ] 頁面上,選取下列其中一個選項來識別要從中收集內容的非監管數據源:

    • 取 [選取非監管數據源] ,以選取已新增至案例的特定非監管數據源。 如果您使用此選項,則會顯示資料源清單。 選取其中一或多個數據源。

    • 選取 [ 全選 ] 切換以選取已新增至案例的所有非監管數據源。

  7. 在 [ 其他位置 ] 頁面上,您可以選取要在集合中搜尋的其他信箱和網站。 您也可以選擇其他搜尋位置的其他搜尋選項, (在電子檔探索設定中定義,) 包含在集合中。

    使用 [ 其他位置 ] 選項來選擇在案例中不會新增為監管或非監管數據位置的數據源類型。 搜尋其他資料來源時,您也有兩個選項:

    • 若要在 Exchange 信箱、SharePoint 和 OneDrive 網站或 Exchange 公用資料夾) (搜尋特定服務的所有內容位置,請在 [狀態] 資料行中選取對應的 [全選] 切換。 此選項會搜尋所選服務中的所有內容位置。
  8. 在 [ 搜尋查詢 ] 頁面上,您可以建立用來從先前工作流程頁面中識別的數據源收集專案的搜尋查詢。 您可以搜尋關鍵詞、property:value 組,或使用關鍵詞清單。 您也可以新增各種搜尋條件來縮小集合範圍,或將查詢產生器提供給使用者,以定義查詢運算符、篩選條件和條件。 如需詳細資訊,請參閱:

    使用 [其他搜尋選項] 選項 可包含其他搜尋位置。 此處提供的選項是由您的系統管理員在電子檔探索全域設定中設定。 無法選取或無法選取電子檔案探索系統管理員未定義的搜尋選項。 您可以視需要選取並包含在集合中,以選取您的電子檔案探索系統管理員所啟用的搜尋選項。 您有兩個其他搜尋選項的選擇:

    • 來賓信箱:選取即可在全租用戶搜尋期間包含來賓信箱。
    • 共用 Teams 頻道:選取以在全租用戶搜尋期間包含共用頻道。
  9. 在 [ 條件] 頁面上,您可以建立搜尋查詢,用來從您在先前工作流程頁面中識別的數據源收集專案。 您可以搜尋關鍵詞、屬性/值組,或使用關鍵詞清單。 您也可以新增各種搜尋條件來縮小集合的範圍。 如需詳細資訊,請參閱 建置集合的搜尋查詢

  10. 在 [ 檢閱您的集合並取得估計值 ] 頁面上,您會看到集合估計程式的摘要。 集合估計會儲存以供進一步檢閱和精簡,但結果不會自動認可至檢閱集。 您稍後必須決定認可至檢閱集。

  11. 在 [ 檢閱您的集合] 頁面上,您可以檢閱並更新您在先前頁面上設定的集合選取範圍、數據源和條件。 針對任何選取項目選取 [ 編輯 ],並視需要更新。

  12. 取 [提交 ] 以建立集合估計值。 隨即顯示確認已建立集合的頁面。

建立集合估計之後會發生什麼事

建立集合預估之後,它會列在案例的 [ 集合 ] 頁面上,而狀態會顯示它正在進行中。 在此案例中,也會建立名為 準備搜尋預覽和估計 值的作業,並顯示在 [ 作業 ] 頁面上。 在集合估計程式期間,eDiscovery (Premium) 會使用您在集合中指定的搜尋準則和數據源來執行搜尋估計。 eDiscovery (Premium) 也會準備您可以預覽的項目取樣。

此外,您現在可以監視預估的進度,此預估會顯示建置估計時已完成多少來源和專案。 在估計進度中,您可以看到下列區域的統計數據:

  • 狀態:估計的狀態。 值為 「進行中」、「 成功」或「 不成功的值」?
  • 搜尋的來源:估計中搜尋的來源數目。
    • 具有點擊的來源:估計值中符合為集合設定之條件的來源。
    • 沒有叫用的來源:估計值中沒有任何專案符合集合設定條件的來源。
    • 來源無法使用:預估進行期間無法使用的來源。
  • 集合估計專案和大小:集合估計的項目數和大小。

集合估計的進行中資訊。

當集合完成時,會更新 [ 集合 ] 頁面上的下列數據行和對應值:

集合估計值的狀態狀態。

  • 狀態:指出集合的狀態和類型。 Estimated 值表示 集合估計已完成。 這個相同的值也表示集合是集合估計值,而且尚未新增至檢閱集。 [狀態] 數據行中的 [已認可] 值表示集合已新增至檢閱集。
  • 估計狀態:指出估計搜尋結果的狀態,以及搜尋估計值和統計數據是否準備好供檢閱。 [ 成功 ] 值表示集合估計的結果已準備好供檢閱。 第一次提交集合估計值之後,會顯示 [ 進行中 ] 的值,以指出集合仍在執行中
  • 預覽狀態:指出您可以預覽之範例項目的狀態。 [ 成功 ] 值表示專案已準備好進行預覽。 第一次提交集合估計值之後,會顯示 [ 進行中 ] 的值,表示集合估計仍在執行中。

集合估計完成後的後續步驟

成功完成集合估計之後,您可以執行各種工作。 若要執行大部分的工作,請移至 [ 集合] 索引標籤 ,然後選取集合估計值的名稱以顯示飛出視窗頁面。

集合估計值的飛出視窗頁面。

注意事項

您可能會看到叫 用位置 數目與搜尋的 Exchange 信箱、SharePoint 和 OneDrive 網站或 Exchange 公用資料夾總數之間的差異。 系統會搜尋空的封存信箱,但不會包含在 叫用總數的位置 中。

以下是您可以從集合飛出視窗頁面執行的動作清單:

  • 選取 [ 摘要] 索 引標籤以檢視集合的摘要資訊,以及集合所傳回的估計搜尋結果。 這包括:

    • 集合概觀 一節:本節包含具有點擊小節 的位置 ,提供所搜尋位置總數的數據,以及包含造成點擊之專案的位置數目。 例如,範圍設為 Exchange Online 信箱和 SharePoint 網站的集合,可以摘要說明搜尋的信箱和網站數目,以及已叫用的信箱和網站的合併數目。 本節也包含 集合前估計 小節,其中顯示專案總數和估計搜尋結果的大小。 您可以選擇將這些專案新增至檢閱集進行檢查。
    • 集合參數 區段:本節包含建立和修改集合時的其他位置相關信息,以及估計專案、大小,以及任何未編製索引專案和大小的摘要。
  • 選取 [ 數據源] 索引標籤,以檢視在集合中搜尋的監管人和非監管數據源) 清單。 搜尋的任何其他內容位置都會列在 [摘要] 索引標籤的 [位置] 下。

  • 選取 [ 搜尋統計數據] 索引標籤以檢視集合的相關統計數據。 這包括在每個服務 (中找到的項目總數和大小,例如 Exchange 信箱或 SharePoint 網站) ,以及顯示集合所使用之搜尋查詢之不同元件所傳回之專案數的相關統計數據的條件報表。 如需詳細資訊,請參閱 集合統計數據和報表

  • 選取 [ 集合選項] 索引 標籤,以檢視包含之集合選項的相關信息。 這包括集合工作流程中所選擇之其他位置和擷取選項的摘要。

  • 位於飛出視窗頁面底部) 檢閱範例 (,以預覽集合所傳回專案的範例。

  • 選取 [動作] 功能表中的選項,對集合估計採取 動作 。 如需詳細資訊,請參閱下列有關可用管理選項的章節。

管理集合估計

您可以使用集合預估之飛出視窗頁面上的 [ 動作 ] 選單中的選項來執行各種管理工作。

集合估計的 [動作] 功能表上的選項。

以下是預先收集估計管理選項的描述。

  • 編輯集合:變更集合估計值的設定。 進行變更之後,您可以重新執行集合,並更新搜尋估計值和統計數據。 如先前所述,您可以使用此選項將集合估計認可至檢閱集。

  • 認可集合:將集合認可至檢閱集。 這表示您會使用目前的設定重新執行集合 () ,並將集合傳回的專案新增至檢閱集。 如先前所述,當您將集合新增至檢閱集時,您也可以 (設定其他設定,例如交談線程和雲端式附件) 。 如需詳細資訊和逐步指示,請參閱將 集合估計認可至檢閱集

  • 匯出專案報表:類似於 內容搜尋中的匯出專案,您可以選擇此選項,以根據可從來源擷取的實際專案匯出報表結果。 選取之後,您有下列所收集項目的匯出選項:

    • 要包含在匯出中的已收集專案類型:選擇匯出具有搜尋叫用的已收集專案、具有搜尋叫用的專案,以及沒有點擊的部分索引專案,或只匯出沒有搜尋點擊的部分索引專案。 您也可以選擇下列一或多個所收集項目的選項:

      • 包含Microsoft Teams 和 Viva Engage 交談
      • 包含雲端附件
      • 在 SharePoint 上包含所有現有的 Microsoft 365 檔版本
      • 包含相符資料夾 (測試人員子資料夾的子資料夾內容)
      • 在 SharePoint 清單中包含檔案 (及其子專案)
  • 匯出收集的專案:匯出收集的專案,而不將專案新增至檢閱集。 此選項適用於與數據記憶體相關聯的數據落地需求可能很禁止,而且您需要在下載時收集數據的情況。 選取之後,您有下列所收集項目的匯出選項:

    • 要包含在匯出中的已收集專案類型:選擇匯出具有搜尋叫用的已收集專案、具有搜尋叫用的專案,以及沒有點擊的部分索引專案,或只匯出沒有搜尋點擊的部分索引專案。 您也可以選擇下列一或多個所收集項目的選項:

      • 包含Microsoft Teams 和 Viva Engage 交談
      • 包含雲端附件
      • 在 SharePoint 上包含所有現有的 Microsoft 365 檔版本
      • 在相符資料夾的子資料夾內 (包含子資料夾內容)
      • 在 SharePoint 清單中包含檔案 (及其子專案)

      若要在匯出收集的專案時將 Teams 訊息匯出為個別訊息,請取消選取 Teams 和 Yammer 交談。 這會將交談導出為個別訊息,而不是交談線程。

      注意事項

      默認會選取 Teams和Yammer交談 設定。 如果選取,導出的專案會包含與相符搜尋相關的Teams交談線程。

    • 如何格式化電子郵件:選擇應如何格式化收集的電子郵件選項:

      • 每個信箱的個別 .pst 檔案
      • 每個訊息的個別.msg檔案
      • 每個訊息的個別.eml檔案
  • 刪除集合:刪除集合估計值。 將集合估計認可至檢閱集之後,就無法刪除它。

  • 重新整理估計值:針對集合估計值中指定) 的數據源重新執行查詢 (,以更新搜尋估計值和統計數據。

  • 匯出為報表:將集合估計值的相關信息匯出至您可以下載到本機計算機的 CSV 檔案。 匯出報表包含下列資訊:

    • 每個內容位置的身分識別,其中包含符合集合估計值中搜尋查詢的專案。 這些位置通常是信箱或網站。
    • 每個內容位置中的項目總數。
    • 大小總計 (以位元組為單位,) 每個內容位置中的專案。
    • 服務 (例如內容位置所在的 Exchange 或 SharePoint) 。

    如需匯出 為報表限制的詳細資訊,請參閱 集合限制

  • 複製集合:從現有集合複製設定來建立新的集合估計值。 您必須為新集合使用不同的名稱。 您也可以選擇在提交新集合之前修改設定。 提交之後,會執行搜尋查詢,併產生新的估計值和統計數據。 這是快速建立其他集合估計值,然後視需要修改選取設定,同時仍保留原始集合中資訊的好方法。 這也可讓您輕鬆地比較兩個類似集合的結果。

注意事項

將集合估計認可至檢閱集之後,您只能選取 [ 複製集合] 和 [ 匯出為報表]