Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Elektronische Ermittlung oder eDiscovery ist der Prozess der Identifizierung und Übermittlung elektronisch gespeicherter Informationen (ESI), die Sie als Beweismittel in Ermittlungen und Gerichtsverfahren verwenden können. Verwenden Sie Microsoft Purview-eDiscovery, um Inhalte in Microsoft 365-Diensten zu identifizieren, zu überprüfen und zu verwalten, um Ihre Untersuchungen zu unterstützen. Zu den unterstützten Microsoft 365-Diensten gehören:
- Exchange Online:
- Microsoft Teams
- Microsoft 365-Gruppen
- OneDrive
- SharePoint
- Viva Engage
Sie können Postfächer und Websites in derselben eDiscovery-Suche durchsuchen und dann die Suchergebnisse exportieren. Verwenden Sie eDiscovery-Fälle, um Inhalte in Postfächern und Websites zu identifizieren, zu halten und zu exportieren. Wenn Ihr organization über ein Office 365 E5- oder Microsoft 365 E5-Abonnement (oder zugehörige E5-Add-On-Abonnements) verfügt, können Sie Fälle weiter verwalten und Inhalte mithilfe von Premium-eDiscovery-Features analysieren.
eDiscovery im Microsoft Purview-Portal
Abhängig von der Lizenzierung und den Abonnements für Ihre organization haben Sie Zugriff auf bestimmte eDiscovery- oder Premium-eDiscovery-Features im Microsoft Purview-Portal. Alle Funktionen der Inhaltssuche sind jetzt in der Suchoberfläche in eDiscovery enthalten, oder Sie können den Fall inhaltssuche in eDiscovery verwenden, um alle neuen und vorhandenen Inhaltssuchen zu verwalten.
Die neuesten Informationen zu geplanten eDiscovery-Features und -Funktionen sowie zu geschätzten Veröffentlichungsterminen finden Sie in der Microsoft 365-Roadmap.
Wichtig
Die klassischen eDiscovery-Erfahrungen wurden am 31. August 2025 eingestellt. Diese Einstellung umfasst die klassische Inhaltssuche, klassische eDiscovery (Standard) und klassische eDiscovery (Premium). Diese Optionen sind im Microsoft Purview-Portal nicht als Option verfügbar.
Wenn Sie nicht direkt mit Microsoft zusammenarbeiten, wenn Sie diese Legacyfeatures für bestimmte kurzfristige Übergangsszenarien verwenden, verwenden Sie die Anleitung für die neue eDiscovery-Benutzeroberfläche im Microsoft Purview-Portal.
Wichtige Änderungen in eDiscovery
Wenn Sie mit früheren Versionen von eDiscovery vertraut sind, können Sie bei der Verwendung von eDiscovery im Microsoft Purview-Portal einige Unterschiede feststellen:
Erweiterte Indizierung: Wenn Sie einem Fall in früheren Versionen von eDiscovery eine verwahrende oder nicht kundenbezogene Datenquelle hinzufügen, müssen Sie alle Inhalte neu indizieren, die teilweise indiziert sind oder Indizierungsfehler aufweisen. Die Neuindizierung bestimmt, ob der Inhalt für definierte Suchbedingungen relevant ist. Dieser Neuindizierungsprozess wird als erweiterte Indizierung bezeichnet. Wenn Datenquellen (Postfach des Benutzers, OneDrive-Konto usw.) mehr teilweise und nicht indizierte Elemente hinzugefügt werden, müssen Sie den Index für bestimmte verwahrte oder nicht kundenspezifische Datenquellen separat aktualisieren.
In eDiscovery wird die erweiterte Indizierung automatisch während jeder Suche ausgeführt, die auf Statistikergebnisse ausgerichtet ist, und wenn Sie Ergebnisse einem Überprüfungssatz hinzufügen oder Suchergebnisse exportieren, abhängig von den Indizierungsoptionen, die Sie für den Prozess auswählen. Sie müssen Datenquellen vor dem Suchvorgang nicht mehr separat neu indizieren. Dieser Just-in-Time-Indizierungsprozess trägt dazu bei, Probleme mit veralteten Indizes zu vermeiden, die dazu führen können, dass die Indizierung und Suche sequenziell und separat in der klassischen Benutzeroberfläche ausgeführt wird. Beim Ausführen (oder erneuten Ausführen) einer Suche werden automatisch alle Indizes aktualisiert.
Sammlungen: In früheren Versionen von eDiscovery lieferten Sammlungen Managern Schätzungen der Inhalte, die für Fälle relevant sein könnten. Diese Schätzungen ermöglichten es Managern, schnelle, fundierte Entscheidungen über die Größe und den Umfang der für die Fälle relevanten Inhalte zu treffen. Nach dem Hinzufügen zu einem Überprüfungssatz ist die Sammlung unveränderlich.
In eDiscovery ersetzen Statistiken in Suchvorgängen Sammlungen. Statistikergebnisse in Suchvorgängen ermöglichen es Managern jetzt, wichtige Erkenntnisse über die in den Ergebnissen enthaltenen Elemente und die Relevanz für den Fall zu überprüfen. Suchvorgänge sind in eDiscovery nicht unveränderlich, auch wenn die Ergebnisse einem Überprüfungssatz hinzugefügt wurden. Sie können Suchvorgänge jederzeit aktualisieren. Das Hinzufügen eines Beispiels der Sammlung zum Prüfsatz und das Löschen einer Suche wird in eDiscovery entfernt.
Inhaltssuche: Die Inhaltssuche im eingestellten Complianceportal war eine separate Lösung von eDiscovery, die für grundlegende Suche nach Inhalten verwendet wurde. Ergebnisse der Inhaltssuche waren geschätzte Anzahl von Speicherorten und Suchergebnissen, die Sie in der Vorschau anzeigen oder auf einen lokalen Computer exportieren konnten.
Im Microsoft Purview-Portal sind alle Funktionen für die Inhaltssuche jetzt standardmäßig in einem vom System generierten eDiscovery-Fall für alle Mitglieder der Rollengruppen "eDiscovery-Manager " und "Administrator " enthalten. Wenn Sie den Zugriff auf Inhaltssuchen einschränken müssen, verwenden Sie Falleinstellungen , um Mitglieder zu entfernen oder hinzuzufügen, um den Zugriff auf diese Suchvorgänge zu verwalten. Sie können auch die Inhaltssuche in eDiscovery auswählen, um einen Fall für die Inhaltssuche in Ihrem organization zu erstellen, der alle neuen und vorhandenen Inhaltssuchen enthält.
Der Fall "Inhaltssuche" verfügt über die gleiche Funktion wie andere vom Benutzer erstellte Fälle. Je nach Abonnement können Sie Haltebereiche, Überprüfungssätze und mehr im Inhaltssuchfall erstellen.
Weitere Informationen zu den Änderungen an der Inhaltssuche in eDiscovery finden Sie im folgenden Video:
Verwahrer: In früheren Versionen von eDiscovery waren Verwahrer (Benutzer) die primäre Komponente des eDiscovery-Workflows. Verwahrer waren potenzielle Personen, die an einer Untersuchung interessiert waren, die Sie den Fällen hinzugefügt haben.
In eDiscovery sind Fälle die primäre Komponente des eDiscovery-Workflows. Sie fügen weiterhin Personen, Gruppen und Datenquellen zu Fällen hinzu, aber der Fall ist die zentrale Organisationseinheit.
Exportupdates: Der neue Exportflow in eDiscovery unterstützt eine einheitliche Exportstruktur für Premium- und Nonpremium-Featureexporte, eine schnellere Exportleistung, detaillierte Berichterstellung und flexible Exportoptionen.
Aufträge: In früheren Versionen von eDiscovery wurden Aufgaben, Aktivitäten und Berichte, die Workflowkomponenten zugeordnet sind, als Aufträge bezeichnet. Diese Ereignisse und Berichte werden jetzt in eDiscovery als Prozesse bezeichnet.
Features und Funktionen
In der folgenden Tabelle werden wichtige eDiscovery-Funktionen und -Features verglichen:
| Funktion | Unterstützung von eDiscovery-Features | Unterstützung von Premium-eDiscovery-Features |
|---|---|---|
| Suchen nach Inhalten |
|
|
| Stichwortabfragen und Suchbedingungen |
|
|
| Suchstatistiken |
|
|
| Exportieren von Suchergebnissen |
|
|
| Rollenbasierte Berechtigungen |
|
|
| Fallverwaltung |
|
|
| Speichern von Inhaltsspeicherorten |
|
|
| Erweiterte Indizierung |
|
|
| Prüfdateisätze |
|
|
| Importieren externer Daten in Prüfsätze |
|
|
| Unterstützung für Cloudanlagen und SharePoint-Versionen |
|
|
| Optical Character Recognition (optische Zeichenerkennung) |
|
|
| Unterhaltungsthreading |
|
|
| Suchstatistiken und -berichte |
|
|
| Prüfdatensatz filtern |
|
|
| Tagging |
|
|
| Analyse |
|
|
| Berechnete Dokumentmetadaten |
|
|
| Transparenz von lang andauernden Prozessen |
|
|
| Vollständige Berichterstellung für alle Prozesse |
|
|
| Erweiterte Datenquellenzuordnung |
|
Hier finden Sie eine Beschreibung der einzelnen eDiscovery-Funktionen.
- Suchen nach Inhalten: Suchen Sie nach Inhalten, die in Exchange-Postfächern, OneDrive-Konten, SharePoint-Websites, Microsoft Teams, Microsoft 365-Gruppen und Viva Engage Teams gespeichert sind. Suchvorgänge umfassen Inhalte, die von anderen Microsoft 365-Apps generiert wurden, die Daten in Postfächern und Websites speichern.
- Schlüsselwortabfragen und Suchbedingungen: Erstellen Sie Keyword Query Language Suchabfragen (KeyQL), um nach Inhaltsstichwörtern zu suchen, die Abfragekriterien entsprechen. Sie können auch Bedingungen einschließen, um den Suchbereich einzugrenzen.
- Suchstatistiken und Beispiele: Nachdem Sie eine Suche ausgeführt haben, können Sie Statistiken der geschätzten Suchergebnisse anzeigen, z. B. die Anzahl und Gesamtgröße der Elemente, die Ihren Suchkriterien entsprechen. Sie können auch eine repräsentative Stichprobe der in den Suchergebnissen enthaltenen Elemente anzeigen.
- Exportieren von Suchergebnissen: Exportieren Sie Suchergebnisse auf einen lokalen Computer in Ihrem organization. Wenn Sie Suchergebnisse exportieren, werden Elemente von ihrem ursprünglichen Inhaltsspeicherort kopiert und verpackt. Anschließend können Sie diese Elemente im Exportpaket auf einen lokalen Computer herunterladen.
- Fallverwaltung: Ein eDiscovery-Fall enthält alle Such-, Halte- und Überprüfungssätze im Zusammenhang mit einer bestimmten Untersuchung. Sie können einem Fall auch Mitglieder zuweisen, um zu steuern, wer auf den Fall zugreifen und den Inhalt des Falls anzeigen kann.
- Rollenbasierte Berechtigungen: Verwenden Sie RBAC-Berechtigungen (Role-Based Access Control), um zu steuern, welche eDiscovery-bezogenen Aufgaben von verschiedenen Benutzern ausgeführt werden können. Sie können eine integrierte eDiscovery-bezogene Rollengruppe verwenden oder benutzerdefinierte Rollengruppen erstellen, die bestimmte eDiscovery-Berechtigungen zuweisen.
- Inhaltsspeicherorte in den Halteraum setzen: Behalten Sie für Ihre Untersuchung relevante Inhalte bei, indem Sie die Inhaltsspeicherorte in einem Fall aufbewahren . Mithilfe von Haltebereichen können Sie elektronisch gespeicherte Informationen vor versehentlicher (oder absichtlicher) Löschung während Ihrer Untersuchung schützen.
- Erweiterte Indizierung: Wenn ein Such-, Überprüfungssatz- oder Exportprozess ausgeführt wird, werden die zugeordneten Inhaltsspeicherorte, an denen Elemente teilweise indiziert werden, in einem Prozess namens Erweiterte Indizierung neu indiziert. Die erweiterte Indizierung stellt sicher, dass alle Inhalte, die als teilweise indiziert gelten, erneut verarbeitet werden, um sie vollständig durchsuchbar zu machen, wenn Sie Daten für eine Untersuchung sammeln.
- Prüfsätze: Fügen Sie einem Überprüfungssatz relevante Daten hinzu. Ein Prüfdateisatz ist ein sicherer, von Microsoft bereitgestellter Azure Storage Standort in der Microsoft-Cloud. Wenn Sie einem Überprüfungssatz Daten hinzufügen, werden die gesammelten Elemente von ihrem ursprünglichen Inhaltsspeicherort in den Überprüfungssatz kopiert. Überprüfungssätze stellen einen statischen, bekannten Satz von Inhalten bereit, den Sie mithilfe von Vorhersagecodierungsmodellen durchsuchen, filtern, markieren, analysieren und vorhersagen können. Sie können auch nachverfolgen und berichten, welche Inhalte dem Überprüfungssatz hinzugefügt werden.
- Importieren externer Daten in Prüfsätze: Nicht alle Dokumente, die Sie in eDiscovery analysieren müssen, befinden sich in Microsoft 365. Mit dem Feature zum Importieren externer Daten können Sie Dokumente, die nicht in Microsoft 365 enthalten sind, in einen Überprüfungssatz hochladen.
- Unterstützung für Cloudanlagen und SharePoint-Versionen: Wenn Sie inhalte zu einem Überprüfungssatz hinzufügen, können Sie Cloudanlagen oder verknüpfte Dateien einschließen. Die Zieldatei einer Cloudanlage oder verknüpften Datei wird dem Überprüfungssatz hinzugefügt. Sie können auch alle Versionen eines SharePoint-Dokuments zu einem Überprüfungssatz hinzufügen.
- Optische Zeichenerkennung (Optical Character Recognition, OCR): Wenn Inhalt zu einem Prüfbericht hinzugefügt wird, extrahiert die OCR-Funktion Text aus Bildern und schließt den Bildtext mit dem Inhalt ein, der einem Überprüfungssatz hinzugefügt wird. Mit diesem Feature können Sie nach Bildtext suchen, wenn Sie den Inhalt im Überprüfungssatz abfragen.
- Unterhaltungsthreading: Wenn Chatnachrichten aus Teams und Viva Engage Unterhaltungen einem Überprüfungssatz hinzugefügt werden, können Sie den gesamten Konversationsthread erfassen. Die gesamte Chatunterhaltung, die Elemente enthält, die den Suchkriterien entsprechen, wird dem Überprüfungssatz hinzugefügt. Mit diesem Feature können Sie Chatelemente im Kontext der Hin- und Herunterhaltung überprüfen.
- Suchstatistiken und -berichte: Nachdem Sie eine Suche erstellt oder die Suchergebnisse einem Überprüfungssatz hinzugefügt haben, können Sie einen umfangreichen Satz von Statistiken zu den abgerufenen Elementen anzeigen, z. B. die Inhaltsspeicherorte, die die meisten Elemente enthalten, die den Suchkriterien entsprechen, und die Anzahl der von der Suchabfrage zurückgegebenen Elemente. Sie können auch eine Vorschau einer Teilmenge der Ergebnisse anzeigen.
- Überprüfungssatzfilterung: Nachdem Inhalt zu einem Überprüfungssatz hinzugefügt wurde, können Sie Filter anwenden, um nur die Elemente anzuzeigen, die Ihren Filterkriterien entsprechen. Anschließend können Sie die Filtersätze als Abfrage speichern, sodass Sie die gespeicherten Filter schnell erneut anwenden können. Überprüfungssatzfilterung und gespeicherte Abfragen helfen Ihnen bei der schnellen Auswahl von Inhaltselementen, die für Ihre Untersuchung am relevantesten sind.
- Tagging: Tags helfen Ihnen auch dabei, nicht relevante Inhalte auszulassen und die relevantesten Inhalte zu identifizieren. Wenn Experten, Anwälte oder andere Benutzer Inhalte in einem Prüfdateisatz überprüfen, können ihre Ansichten über den Inhalt mithilfe von Tags erfasst werden. Wenn die Absicht beispielsweise darin besteht, unnötige Inhalte auszuschließen, kann ein Benutzer Dokumente mit einem Tag wie "nicht reagierend" markieren. Nachdem der Inhalt überprüft und markiert wurde, kann eine Überprüfungssatzabfrage erstellt werden, um alle Inhalte auszuschließen, die als "nicht reagierend" gekennzeichnet sind. Dadurch werden nicht reagierende Inhalte aus nachfolgenden Schritten im eDiscovery-Workflow entfernt.
- Analysen: Mit eDiscovery können Sie Überprüfungssatzdokumente analysieren , um die Dokumente auf kohärente Weise zu organisieren und die Menge der zu überprüfenden Dokumente zu reduzieren. Bei der Erkennung von Nahezu-Duplikaten werden textähnliche Dokumente gruppiert, damit Sie Ihren Überprüfungsprozess effizienter gestalten können. Email Threading identifiziert bestimmte E-Mail-Nachrichten, die einen vollständigen Kontext der Unterhaltung in einem E-Mail-Thread bereitstellen. Die Designs-Funktionalität versucht, Designs in Überprüfungssatzdokumenten zu analysieren und Dokumenten ein Design zuzuweisen, damit Sie Dokumente mit einem verwandten Design überprüfen können. Diese Analysefunktionen tragen dazu bei, ihren Überprüfungsprozess effizienter zu gestalten, sodass Prüfer einen Bruchteil der gesammelten Dokumente überprüfen können.
- Berechnete Dokumentmetadaten: Viele der Premium-Features von eDiscovery, z. B. Konversationsthreading und Analysen, fügen Metadateneigenschaften hinzu, um Festgelegte Dokumente zu überprüfen. Diese Metadaten enthalten Informationen im Zusammenhang mit der Funktion, die von einem bestimmten Feature ausgeführt wird. Beim Überprüfen von Dokumenten können Sie nach Metadateneigenschaften filtern, um Dokumente anzuzeigen, die Ihren Filterkriterien entsprechen. Diese Metadaten können in Überprüfungsanwendungen von Drittanbietern importiert werden, nachdem Prüfdateisatzdokumente exportiert wurden.
- Transparenz von Prozessen mit langer Ausführungsdauer: Prozesse in eDiscovery sind in der Regel Aktivitäten mit langer Ausführungszeit, die durch Benutzeraktionen ausgelöst werden, z. B. das Hinzufügen von Verwahrern zu einem Fall, das Hinzufügen von Inhalten zu einem Überprüfungssatz, das Ausführen von Analysen und das Erstellen von Suchabfragen. Sie können die status dieser Prozesse nachverfolgen und Supportinformationen abrufen, wenn Sie Probleme an Microsoft-Support eskalieren müssen.
- Vollständige Berichterstellung für alle Prozesse: Verwenden Sie den Prozessbericht , um Prozesse in Fällen, Suchvorgängen, Prüfsätzen und Haltebereichen anzuzeigen und zu verwalten.
- Erweiterte Datenquellenzuordnung: Durchsuchen Sie Standorte basierend auf Benutzern, durchsuchen Sie eine Website nach Gruppen, und ordnen Sie andere Standorte gruppen zu. Erkunden Sie häufige Mitarbeiter als Teil von Datenquellen. Enthält neue Speicherorte für Benutzer.
Integration in andere Lösungen
Insider-Risikomanagement
Sie können Fälle in Microsoft Purview Insider Risk Management schnell auf neue Fälle in eDiscovery eskalieren, wenn Sie eine zusätzliche rechtliche Überprüfung für potenziell riskante Benutzeraktivitäten benötigen. Die enge Integration dieser Lösungen hilft Ihren Risiko- und Rechtsteams, effizienter zu arbeiten und bietet eine vollständige End-to-End-Ansicht der zu überprüfenden Benutzeraktivitäten.
Weitere Informationen finden Sie unter Erste Schritte mit dem Insider-Risikomanagement und Eskalieren eines Insider-Risikomanagement-Falls in einen eDiscovery (Premium)-Fall.
Microsoft Security Copilot
In eDiscovery können Sie Microsoft Security Copilot Features verwenden, um KeyQL Suchabfragen in natürlicher Sprache zu entwerfen. Copilot übersetzt natürliche Sprache in KeyQL, ohne dass Sie lernen müssen, wie Sie eine KeyQL Abfrage erstellen, Operatoren kennen oder unterstützte Suchmetadatenfelder kennen.
Copilot kann auch eine kontextbezogene Zusammenfassung der meisten Elemente in einem Überprüfungssatz bereitstellen. Die Zusammenfassung befindet sich im Kontext von Text, der in einem ausgewählten Element enthalten ist. Diese Zusammenfassung spart den Prüfern Zeit, da schnell Informationen identifiziert werden, die beim Markieren oder Exportieren von Elementen hilfreich sind. Security Copilot fasst das gesamte Element zusammen, einschließlich aller Dokumente, Besprechungstranskripte oder Anlagen. Die meisten gängigen Dokumentdateitypen werden unterstützt.
Weitere Informationen zur Verwendung von Security Copilot mit Prüfsätzen finden Sie unter Zusammenfassen eines Elements mithilfe von Security Copilot.