Freigeben über

Informationen zu eDiscovery

Elektronische Ermittlung oder eDiscovery ist der Prozess der Identifizierung und Übermittlung elektronisch gespeicherter Informationen (ESI), die Sie als Beweismittel in Ermittlungen und Gerichtsverfahren verwenden können. Verwenden Sie Microsoft Purview-eDiscovery, um Inhalte in Microsoft 365-Diensten zu identifizieren, zu überprüfen und zu verwalten, um Ihre Untersuchungen zu unterstützen. Zu den unterstützten Microsoft 365-Diensten gehören:

  • Exchange Online:
  • Microsoft Teams
  • Microsoft 365-Gruppen
  • OneDrive
  • SharePoint
  • Viva Engage

Sie können Postfächer und Websites in derselben eDiscovery-Suche durchsuchen und dann die Suchergebnisse exportieren. Verwenden Sie eDiscovery-Fälle, um Inhalte in Postfächern und Websites zu identifizieren, zu halten und zu exportieren. Wenn Ihr organization über ein Office 365 E5- oder Microsoft 365 E5-Abonnement (oder zugehörige E5-Add-On-Abonnements) verfügt, können Sie Fälle weiter verwalten und Inhalte mithilfe von Premium-eDiscovery-Features analysieren.

eDiscovery im Microsoft Purview-Portal

Abhängig von der Lizenzierung und den Abonnements für Ihre organization haben Sie Zugriff auf bestimmte eDiscovery- oder Premium-eDiscovery-Features im Microsoft Purview-Portal. Alle Funktionen der Inhaltssuche sind jetzt in der Suchoberfläche in eDiscovery enthalten, oder Sie können den Fall inhaltssuche in eDiscovery verwenden, um alle neuen und vorhandenen Inhaltssuchen zu verwalten.

Die neuesten Informationen zu geplanten eDiscovery-Features und -Funktionen sowie zu geschätzten Veröffentlichungsterminen finden Sie in der Microsoft 365-Roadmap.

Wichtige Änderungen in eDiscovery

Wenn Sie mit früheren Versionen von eDiscovery vertraut sind, können Sie bei der Verwendung von eDiscovery im Microsoft Purview-Portal einige Unterschiede feststellen:

  • Erweiterte Indizierung: Wenn Sie in früheren Versionen von eDiscovery eine verwahrernde oder nicht benutzerdefinierte Datenquelle zu einem Fall hinzugefügt haben, mussten Sie alle Inhalte neu indizieren, die teilweise indiziert sind oder Indizierungsfehler aufweisen. Die Neuindizierung bestimmt, ob der Inhalt für definierte Suchbedingungen relevant ist. Dieser Neuindizierungsprozess wird als erweiterte Indizierung bezeichnet. Wenn Sie Datenquellen (Postfach des Benutzers, OneDrive-Konto usw.) weitere teilweise und nicht indizierte Elemente hinzufügen, müssen Sie den Index für bestimmte verwahrte oder nicht kundenspezifische Datenquellen separat aktualisieren.

    In eDiscovery wird die erweiterte Indizierung automatisch während jeder Suche ausgeführt, die auf Statistikergebnisse ausgerichtet ist, und wenn Sie Ergebnisse einem Überprüfungssatz hinzufügen oder Suchergebnisse exportieren, abhängig von den Indizierungsoptionen, die Sie für den Prozess auswählen. Sie müssen Datenquellen vor dem Suchvorgang nicht mehr separat neu indizieren. Dieser Just-in-Time-Indizierungsprozess trägt dazu bei, Probleme mit veralteten Indizes zu vermeiden, die dazu führen können, dass die Indizierung und Suche sequenziell und separat in der klassischen Benutzeroberfläche ausgeführt wird. Beim Ausführen (oder erneuten Ausführen) einer Suche werden automatisch alle Indizes aktualisiert.

  • Sammlungen: In früheren Versionen von eDiscovery lieferten Sammlungen Managern Schätzungen der Inhalte, die für Fälle relevant sein könnten. Diese Schätzungen ermöglichten es Managern, schnelle, fundierte Entscheidungen über die Größe und den Umfang der für die Fälle relevanten Inhalte zu treffen. Nach dem Hinzufügen zu einem Überprüfungssatz ist die Sammlung unveränderlich.

    In eDiscovery ersetzen Statistiken in Suchvorgängen Sammlungen. Statistikergebnisse in Suchvorgängen ermöglichen es Managern jetzt, wichtige Erkenntnisse über die in den Ergebnissen enthaltenen Elemente und die Relevanz für den Fall zu überprüfen. Suchvorgänge sind in eDiscovery nicht unveränderlich, auch wenn die Ergebnisse einem Überprüfungssatz hinzugefügt wurden. Sie können Suchvorgänge jederzeit aktualisieren. Das Hinzufügen eines Beispiels der Sammlung zum Prüfsatz und das Löschen einer Suche wird in eDiscovery entfernt.

  • Inhaltssuche: Die Inhaltssuche im eingestellten Complianceportal war eine separate Lösung von eDiscovery, die für grundlegende Suche nach Inhalten verwendet wurde. Ergebnisse der Inhaltssuche waren geschätzte Anzahl von Speicherorten und Suchergebnissen, die Sie in der Vorschau anzeigen oder auf einen lokalen Computer exportieren konnten.

    Im Microsoft Purview-Portal sind alle Funktionen für die Inhaltssuche jetzt standardmäßig in einem vom System generierten eDiscovery-Fall für alle Mitglieder der Rollengruppen "eDiscovery-Manager " und "Administrator " enthalten. Wenn Sie den Zugriff auf Inhaltssuchen einschränken müssen, verwenden Sie Falleinstellungen , um Mitglieder zu entfernen oder hinzuzufügen, um den Zugriff auf diese Suchvorgänge zu verwalten. Sie können auch die Inhaltssuche in eDiscovery auswählen, um einen Fall für die Inhaltssuche in Ihrem organization zu erstellen, der alle neuen und vorhandenen Inhaltssuchen enthält.

    Der Fall "Inhaltssuche" verfügt über die gleiche Funktion wie andere vom Benutzer erstellte Fälle. Je nach Abonnement können Sie Haltebereiche, Überprüfungssätze und mehr im Inhaltssuchfall erstellen.

    Weitere Informationen zu den Änderungen an der Inhaltssuche in eDiscovery finden Sie im folgenden Video:

  • Verwahrer: In früheren Versionen von eDiscovery waren Verwahrer (Benutzer) die primäre Komponente des eDiscovery-Workflows. Verwahrer waren potenzielle Personen, die an einer Untersuchung interessiert waren, die Sie den Fällen hinzugefügt haben.

    In eDiscovery sind Fälle die primäre Komponente des eDiscovery-Workflows. Sie fügen weiterhin Personen, Gruppen und Datenquellen zu Fällen hinzu, aber der Fall ist die zentrale Organisationseinheit.

  • Exportupdates: Der neue Exportflow in eDiscovery unterstützt eine einheitliche Exportstruktur für Premium- und Nonpremium-Featureexporte, eine schnellere Exportleistung, detaillierte Berichterstellung und flexible Exportoptionen.

  • Aufträge: In früheren Versionen von eDiscovery wurden Aufgaben, Aktivitäten und Berichte, die Workflowkomponenten zugeordnet sind, als Aufträge bezeichnet. Diese Ereignisse und Berichte werden jetzt in eDiscovery als Prozesse bezeichnet.

Features und Funktionen

In der folgenden Tabelle werden wichtige eDiscovery-Funktionen und -Features verglichen:

Funktion Unterstützung von eDiscovery-Features Unterstützung von Premium-eDiscovery-Features
Suchen nach Inhalten Unterstützt. Unterstützt.
Stichwortabfragen und Suchbedingungen Unterstützt. Unterstützt.
Suchstatistiken und Beispiele Unterstützt. Unterstützt.
Exportieren von Suchergebnissen Unterstützt. Unterstützt.
Rollenbasierte Berechtigungen Unterstützt. Unterstützt.
Fallverwaltung Unterstützt. Unterstützt.
Speichern von Inhaltsspeicherorten Unterstützt. Unterstützt.
Suchen und Löschen von Daten Unterstützt. Unterstützt.
Erweiterte Indizierung Unterstützt.
Prüfdateisätze Unterstützt.
Importieren externer Daten in Prüfsätze Unterstützt.
Unterstützung für Cloudanlagen und SharePoint-Versionen Unterstützt.
Optical Character Recognition (optische Zeichenerkennung) Unterstützt.
Unterhaltungsthreading Unterstützt.
Entschlüsselung Unterstützt.
Prüfdatensatz filtern Unterstützt.
Überprüfen von KQL-Abfragen (Vorschau) Unterstützt.
Abfragebericht (Vorschau) Unterstützt.
Tagging Unterstützt.
Analyse Unterstützt.
Berechnete Dokumentmetadaten Unterstützt.
Gastbenutzerzugriff (Vorschau) Unterstützt.
Security Copilot Unterstützt.
Transparenz von lang andauernden Prozessen Unterstützt.
Vollständige Berichterstellung für alle Prozesse Unterstützt.
Erweiterte Datenquellenzuordnung Unterstützt.

Hier finden Sie eine Beschreibung der einzelnen eDiscovery-Funktionen.

  • Suchen nach Inhalten: Suchen Sie nach Inhalten, die in Exchange-Postfächern, OneDrive-Konten, SharePoint-Websites, Microsoft Teams, Microsoft 365-Gruppen und Viva Engage Teams gespeichert sind. Suchvorgänge umfassen Inhalte, die von anderen Microsoft 365-Apps generiert wurden, die Daten in Postfächern und Websites speichern.
  • Schlüsselwortabfragen und Suchbedingungen: Erstellen Sie Keyword Query Language Suchabfragen (KeyQL), um nach Inhaltsstichwörtern zu suchen, die Abfragekriterien entsprechen. Sie können auch Bedingungen einschließen, um den Suchbereich einzugrenzen.
  • Suchstatistiken und Beispiele: Nachdem Sie eine Suche ausgeführt haben, können Sie Statistiken der geschätzten Suchergebnisse anzeigen, z. B. die Anzahl und Gesamtgröße der Elemente, die Ihren Suchkriterien entsprechen, die Inhaltsspeicherorte, die die meisten Elemente enthalten, und die Anzahl der von der Suchabfrage zurückgegebenen Elemente. Sie können auch eine repräsentative Stichprobe der in den Suchergebnissen enthaltenen Elemente anzeigen.
  • Exportieren von Suchergebnissen: Exportieren Sie Suchergebnisse auf einen lokalen Computer in Ihrem organization. Wenn Sie Suchergebnisse exportieren, werden Elemente von ihrem ursprünglichen Inhaltsspeicherort kopiert und verpackt. Anschließend können Sie diese Elemente im Exportpaket auf einen lokalen Computer herunterladen.
  • Rollenbasierte Berechtigungen: Verwenden Sie RBAC-Berechtigungen (Role-Based Access Control), um zu steuern, welche eDiscovery-bezogenen Aufgaben von verschiedenen Benutzern ausgeführt werden können. Sie können eine integrierte eDiscovery-bezogene Rollengruppe verwenden oder benutzerdefinierte Rollengruppen erstellen, die bestimmte eDiscovery-Berechtigungen zuweisen.
  • Fallverwaltung: Ein eDiscovery-Fall enthält alle Such-, Halte- und Überprüfungssätze im Zusammenhang mit einer bestimmten Untersuchung. Sie können einem Fall auch Mitglieder zuweisen, um zu steuern, wer auf den Fall zugreifen und den Inhalt des Falls anzeigen kann.
  • Inhaltsspeicherorte in den Halteraum setzen: Behalten Sie für Ihre Untersuchung relevante Inhalte bei, indem Sie die Inhaltsspeicherorte in einem Fall aufbewahren . Mithilfe von Haltebereichen können Sie elektronisch gespeicherte Informationen vor versehentlicher (oder absichtlicher) Löschung während Ihrer Untersuchung schützen.
  • Suchen und Löschen von Daten: Verwenden Sie eDiscovery, um E-Mail-Nachrichten, Microsoft Teams-Chatnachrichten und Copilot- und KI-Anwendungsdaten in Ihren organization zu suchen und zu löschen. Diese Funktion hilft Ihnen, potenziell schädliche oder risikoreiche Inhalte zu finden und zu entfernen.
  • Erweiterte Indizierung: Wenn ein Such-, Überprüfungssatz- oder Exportprozess ausgeführt wird, werden die zugeordneten Inhaltsspeicherorte, an denen Elemente teilweise indiziert sind, in einem Prozess namens Erweiterte Indizierung neu indiziert. Die erweiterte Indizierung stellt sicher, dass alle Inhalte, die als teilweise indiziert gelten, erneut verarbeitet werden, um sie vollständig durchsuchbar zu machen, wenn Sie Daten für eine Untersuchung sammeln.
  • Prüfsätze: Fügen Sie einem Überprüfungssatz relevante Daten hinzu. Ein Prüfdateisatz ist ein sicherer, von Microsoft bereitgestellter Azure Storage Standort in der Microsoft-Cloud. Wenn Sie einem Überprüfungssatz Daten hinzufügen, werden die gesammelten Elemente von ihrem ursprünglichen Inhaltsspeicherort in den Überprüfungssatz kopiert. Überprüfungssätze stellen einen statischen, bekannten Satz von Inhalten bereit, den Sie mithilfe von Vorhersagecodierungsmodellen durchsuchen, filtern, markieren, analysieren und vorhersagen können. Sie können auch nachverfolgen und berichten, welche Inhalte dem Überprüfungssatz hinzugefügt werden.
  • Importieren externer Daten in Prüfsätze: Nicht alle Dokumente, die Sie in eDiscovery analysieren müssen, befinden sich in Microsoft 365. Mithilfe des Features für den externen Datenimport können Sie Dokumente, die nicht in Microsoft 365 enthalten sind, in einen Überprüfungssatz hochladen.
  • Unterstützung für Cloudanlagen und SharePoint-Versionen: Wenn Sie inhalte zu einem Überprüfungssatz hinzufügen, können Sie Cloudanlagen oder verknüpfte Dateien einschließen. Die Zieldatei einer Cloudanlage oder verknüpften Datei wird dem Überprüfungssatz hinzugefügt. Sie können auch alle Versionen eines SharePoint-Dokuments zu einem Überprüfungssatz hinzufügen.
  • Optische Zeichenerkennung (Optical Character Recognition, OCR): Wenn Inhalt zu einem Prüfbericht hinzugefügt wird, extrahiert die OCR-Funktion Text aus Bildern und schließt den Bildtext mit dem Inhalt ein, der einem Überprüfungssatz hinzugefügt wird. Mit diesem Feature können Sie nach Bildtext suchen, wenn Sie den Inhalt im Überprüfungssatz abfragen.
  • Unterhaltungsthreading: Wenn Chatnachrichten aus Teams und Viva Engage Unterhaltungen einem Überprüfungssatz hinzugefügt werden, können Sie den gesamten Konversationsthread erfassen. Die gesamte Chatunterhaltung, die Elemente enthält, die den Suchkriterien entsprechen, wird dem Überprüfungssatz hinzugefügt. Mit diesem Feature können Sie Chatelemente im Kontext der Hin- und Herunterhaltung überprüfen.
  • Entschlüsselung: eDiscovery unterstützt die Entschlüsselung von Inhalten, die mit Microsoft-Verschlüsselungstechnologien geschützt sind. Email Nachrichten und Anlagen, die mit Microsoft Purview-Nachrichtenverschlüsselung verschlüsselt wurden, und Dokumente, die mit Vertraulichkeitsbezeichnungen oder Azure Rights Management geschützt sind, werden automatisch entschlüsselt, wenn sie Suchergebnissen oder Überprüfungssätzen hinzugefügt werden.
  • Überprüfungssatzfilterung: Nachdem Inhalt zu einem Überprüfungssatz hinzugefügt wurde, können Sie Filter anwenden, um nur die Elemente anzuzeigen, die Ihren Filterkriterien entsprechen. Anschließend können Sie die Filtersätze als Abfrage speichern, sodass Sie die gespeicherten Filter schnell erneut anwenden können. Überprüfungssatzfilterung und gespeicherte Abfragen helfen Ihnen bei der schnellen Auswahl von Inhaltselementen, die für Ihre Untersuchung am relevantesten sind.
  • Überprüfen von KQL-Abfragen (Vorschau): Verwenden Sie den Erweiterten Überprüfungssatz-Explorer (Vorschau), um Kusto-Abfragesprache -Abfragen (KQL) direkt für Reviewset-Daten auszuführen. Erstellen Sie komplexe Abfragen mit Filterung, Aggregation, Musterabgleich, RegEx und Datenvisualisierung, um wichtige Informationen im Überprüfungssatz zu analysieren und zu identifizieren.
  • Abfragebericht (Vorschau): Generieren und Herunterladen eines konsolidierten Abfrageberichts für mehrere Abfragen für einen Überprüfungssatz. Mit diesem Bericht können Sie schnell die Gesamtanzahl und das Volumen gefilterter Elemente für eine bestimmte Schlüsselwort (keyword) Suche oder mehrere zusammengesetzte KeyQL Abfragen anzeigen.
  • Tagging: Tags helfen Ihnen auch dabei, nicht relevante Inhalte auszulassen und die relevantesten Inhalte zu identifizieren. Wenn Experten, Anwälte oder andere Benutzer Inhalte in einem Prüfdateisatz überprüfen, können ihre Ansichten über den Inhalt mithilfe von Tags erfasst werden. Wenn die Absicht beispielsweise darin besteht, unnötige Inhalte auszuschließen, kann ein Benutzer Dokumente mit einem Tag wie "nicht reagierend" markieren. Nachdem der Inhalt überprüft und markiert wurde, kann eine Überprüfungssatzabfrage erstellt werden, um alle Inhalte auszuschließen, die als "nicht reagierend" gekennzeichnet sind. Dadurch werden nicht reagierende Inhalte aus nachfolgenden Schritten im eDiscovery-Workflow entfernt.
  • Analysen: Mit eDiscovery können Sie Überprüfungssatzdokumente analysieren , um die Dokumente auf kohärente Weise zu organisieren und die Menge der zu überprüfenden Dokumente zu reduzieren. Bei der Erkennung von Nahezu-Duplikaten werden textähnliche Dokumente gruppiert, damit Sie Ihren Überprüfungsprozess effizienter gestalten können. Email Threading identifiziert bestimmte E-Mail-Nachrichten, die einen vollständigen Kontext der Unterhaltung in einem E-Mail-Thread bereitstellen. Die Designs-Funktionalität versucht, Designs in Überprüfungssatzdokumenten zu analysieren und Dokumenten ein Design zuzuweisen, damit Sie Dokumente mit einem verwandten Design überprüfen können. Diese Analysefunktionen tragen dazu bei, ihren Überprüfungsprozess effizienter zu gestalten, sodass Prüfer einen Bruchteil der gesammelten Dokumente überprüfen können.
  • Berechnete Dokumentmetadaten: Viele der Premium-Features von eDiscovery, z. B. Konversationsthreading und Analysen, fügen Metadateneigenschaften hinzu, um Festgelegte Dokumente zu überprüfen. Diese Metadaten enthalten Informationen im Zusammenhang mit der Funktion, die von einem bestimmten Feature ausgeführt wird. Beim Überprüfen von Dokumenten können Sie nach Metadateneigenschaften filtern, um Dokumente anzuzeigen, die Ihren Filterkriterien entsprechen. Diese Metadaten können in Überprüfungsanwendungen von Drittanbietern importiert werden, nachdem Prüfdateisatzdokumente exportiert wurden.
  • Gastbenutzerzugriff (Vorschau): Laden Sie Gastbenutzer für die Zusammenarbeit mit externen Prüfern zum Zugriff auf eDiscovery-Fälle ein. Gastbenutzern wird die Berechtigung Reviewer-Rollengruppe zugewiesen und können für sie freigegebene Fallinhalte anzeigen und bearbeiten.
  • Security Copilot: Verwenden Sie Microsoft Security Copilot Features, um KeyQL Suchabfragen in natürlicher Sprache zu entwerfen und kontextbezogene Zusammenfassungen von Elementen in einem Überprüfungssatz zu generieren.
  • Transparenz von Prozessen mit langer Ausführungsdauer: Prozesse in eDiscovery sind in der Regel Aktivitäten mit langer Ausführungszeit, die durch Benutzeraktionen ausgelöst werden, z. B. das Hinzufügen von Verwahrern zu einem Fall, das Hinzufügen von Inhalten zu einem Überprüfungssatz, das Ausführen von Analysen und das Erstellen von Suchabfragen. Sie können die status dieser Prozesse nachverfolgen und Supportinformationen abrufen, wenn Sie Probleme an Microsoft-Support eskalieren müssen.
  • Vollständige Berichterstellung für alle Prozesse: Verwenden Sie den Prozessbericht , um Prozesse in Fällen, Suchvorgängen, Prüfsätzen und Haltebereichen anzuzeigen und zu verwalten.
  • Erweiterte Datenquellenzuordnung: Datenquellen optimieren den Prozess der Identifizierung und Verwaltung von Daten. Sie können Standorte basierend auf Benutzern durchsuchen, eine Website nach Gruppen durchsuchen und andere Standorte mit Gruppen zuordnen. Sie können auch häufige Projektmitarbeiter als Teil von Datenquellen untersuchen.

Integration in andere Lösungen

Insider-Risikomanagement

In Microsoft Purview Insider Risk Management können Sie Fälle schnell auf neue Fälle in eDiscovery eskalieren, wenn Sie eine zusätzliche rechtliche Überprüfung für potenziell riskante Benutzeraktivitäten benötigen. Die enge Integration dieser Lösungen hilft Ihren Risiko- und Rechtsteams, effizienter zu arbeiten und bietet eine vollständige End-to-End-Ansicht der zu überprüfenden Benutzeraktivitäten.

Weitere Informationen finden Sie unter Erste Schritte mit dem Insider-Risikomanagement und Eskalieren eines Insider-Risikomanagement-Falls in einen eDiscovery (Premium)-Fall.

Microsoft Security Copilot

In eDiscovery können Sie Microsoft Security Copilot Features verwenden, um KeyQL Suchabfragen in natürlicher Sprache zu entwerfen. Copilot übersetzt natürliche Sprache in KeyQL, ohne dass Sie lernen müssen, wie Sie eine KeyQL Abfrage erstellen, Operatoren kennen oder unterstützte Suchmetadatenfelder kennen.

Copilot kann auch eine kontextbezogene Zusammenfassung der meisten Elemente in einem Überprüfungssatz bereitstellen. Die Zusammenfassung befindet sich im Kontext von Text, der in einem ausgewählten Element enthalten ist. Diese Zusammenfassung spart den Prüfern Zeit, da schnell Informationen identifiziert werden, die beim Markieren oder Exportieren von Elementen hilfreich sind. Security Copilot fasst das gesamte Element zusammen, einschließlich aller Dokumente, Besprechungstranskripte oder Anlagen. Die meisten gängigen Dokumentdateitypen werden unterstützt.

Weitere Informationen zur Verwendung von Security Copilot mit Prüfsätzen finden Sie unter Zusammenfassen eines Elements mithilfe von Security Copilot.

Sind Sie bereit loszulegen?

  • Last updated on