Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Cree retenciones para conservar el contenido que podría ser relevante para un caso de exhibición de documentos electrónicos. Coloque una suspensión en los buzones de Exchange y las cuentas de OneDrive de las personas que está investigando en el caso. También puede colocar una suspensión en los buzones y sitios asociados a Microsoft Teams, grupos de Microsoft 365 y grupos de Viva Engage. Cuando coloca las ubicaciones de contenido en espera, conserva el contenido hasta que quita la ubicación del contenido de la suspensión o hasta que elimina o libera la suspensión.
Importante
Después de crear una suspensión de eDiscovery, la suspensión puede tardar hasta 24 horas en surtir efecto. Para la retención de datos a largo plazo no relacionada con las investigaciones de eDiscovery, use directivas de retención y etiquetas de retención. Para obtener más información, consulte Información sobre las etiquetas y directivas de retención.
Al crear una suspensión, tiene las siguientes opciones para limitar el contenido que se conserva en las ubicaciones de contenido especificadas:
- Crear una suspensión infinita donde todo el contenido de las ubicaciones especificadas se retiene. Como alternativa, cree una suspensión basada en consultas en la que solo el contenido de las ubicaciones especificadas que coincida con una consulta de búsqueda se coloca en suspensión.
- Especifique un intervalo de fechas para conservar solo el contenido que se envió, recibió o creó dentro de ese intervalo. Como alternativa, mantenga todo el contenido en ubicaciones especificadas independientemente de cuándo se envió, recibió o creó.
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
Crear una retención
Sugerencia
¿Prefiere una experiencia de guía de configuración interactiva? Consulte la guía Aplicar una suspensión .
Para crear una suspensión de eDiscovery asociada a un caso de exhibición de documentos electrónicos, siga estos pasos:
Vaya al portal de Microsoft Purview e inicie sesión con las credenciales de los permisos de exhibición de documentos electrónicos asignados a una cuenta de usuario.
Seleccione la tarjeta de solución eDiscovery y, a continuación, seleccione Casos (versión preliminar) en el panel de navegación izquierdo.
Seleccione un caso y, a continuación, seleccione la pestaña Directivas de suspensión .
En el panel Detención de directivas , seleccione Crear directiva.
En la página Escribir detalles para empezar , complete los campos siguientes:
- Nombre de directiva: asigne un nombre a la directiva de suspensión (obligatorio). El nombre de la directiva de suspensión debe ser único en su organización.
- Descripción de la directiva: agregue una descripción opcional para ayudar a otros usuarios a comprender esta directiva de suspensión.
Seleccione Crear para crear la nueva directiva de suspensión e iniciar la suspensión en los datos pertinentes para el caso.
Para agregar orígenes de datos a una directiva de suspensión, consulte Orígenes de datos en eDiscovery para obtener instrucciones paso a paso.
En el panel flotante Administrar orígenes de datos , agregue o quite orígenes de datos para la directiva de suspensión. Puede elegir uno o varios usuarios, grupos o ubicaciones de la organización.
Debe seleccionar al menos un origen de datos para crear una directiva de suspensión.
Escriba los usuarios, grupos u ubicaciones de organización específicos que desea agregar a la directiva de suspensión.
Grupos de distribución: al crear una suspensión y seleccionar un grupo de distribución como origen de datos, se enumeran todos los miembros actuales del grupo de distribución. Puede seleccionar todos los buzones de correo o sitios para que cada usuario lo incluya en la suspensión.
Importante
Al seleccionar una lista de distribución que se va a colocar en espera, la lista de distribución se expande a los miembros de la lista de distribución. Puede elegir colocar todos los buzones de correo y sitios de todos los miembros en espera o un subconjunto o combinación de estos orígenes de datos en espera. Los cambios posteriores en la pertenencia a la lista de distribución no cambian ni actualizan las retenciones ni la directiva. Debe volver a agregar la lista de distribución al origen de datos para asegurarse de que la pertenencia más reciente se refleja y expande.
Buzones de Exchange: las casillas aplicables se seleccionan para los buzones que están en espera. Use Editar para buscar buzones de usuario y grupos de distribución (los buzones de los miembros del grupo) para colocarlos en espera. También puede colocar una suspensión en el buzón asociado para un equipo de Microsoft, un grupo de Microsoft 365 y un grupo de Viva Engage. Para obtener más información sobre los datos de la aplicación que se conservan cuando se coloca un buzón en espera, vea Contenido almacenado en buzones para eDiscovery.
Sitios de SharePoint: las casillas aplicables están seleccionadas para los sitios de SharePoint y las cuentas de OneDrive en espera. Use Editar para escribir la dirección URL de los sitios adicionales que desea colocar en espera. También puede agregar la dirección URL del sitio de SharePoint para un equipo de Microsoft, un grupo de Microsoft 365 o un grupo de Yammer. Para evitar posibles truncamientos de direcciones URL, se recomienda que los nombres de sitio de SharePoint permanezcan por debajo de 70 caracteres. Es posible que las directivas de suspensión no puedan buscar sitios para direcciones URL de sitio truncadas y que tengan errores de acceso. No se permite colocar una suspensión en el subsitio aunque se muestre el subsitio en el selector de ubicación. Si el subsitio está seleccionado, la suspensión se coloca en el sitio general de SharePoint.
Importante
La papelera de reciclaje de los sitios de SharePoint no está indexada y, por tanto, no está disponible para la búsqueda. Como resultado, las búsquedas de eDiscovery no pueden encontrar ningún contenido de papelera de reciclaje para colocar retenciones.
Haga clic en Guardar. Ahora ha limitado los orígenes de datos de la directiva de suspensión.
Para definir los parámetros de la directiva de suspensión, elija entre las siguientes opciones en la pestaña Directiva de suspensión :
Generador de condiciones: la opción generador de condiciones de la búsqueda proporciona una experiencia de filtrado visual al compilar directivas de suspensión. Cada condición agrega una cláusula que se crea y ejecuta al crear la suspensión. Por ejemplo, puede especificar un intervalo de fechas para que se conserven los documentos de correo electrónico o de sitio que se crearon dentro del intervalo de fechas. Para obtener información detallada sobre el uso de la opción generador de condiciones, consulte Uso del generador de condiciones para crear consultas de búsqueda en eDiscovery.
Lenguaje de consulta por palabra clave (KeyQL): la opción de consulta Lenguaje de consulta por palabra clave (KeyQL) en la búsqueda proporciona instrucciones y le permite pegar rápidamente consultas largas y complejas directamente en el editor. Para obtener información detallada sobre cómo crear consultas de búsqueda con la opción KeyQL, consulte Uso de Lenguaje de consulta por palabra clave para crear consultas de búsqueda en eDiscovery.
También puede crear rápidamente consultas de KeyQL para la búsqueda mediante Microsoft Security Copilot. Para obtener más información, consulte Creación de una consulta de búsqueda de KeyQL con Microsoft Copilot (versión preliminar).
Importante
Para obtener los mejores resultados al tratar con elementos cifrados o parcialmente indexados, limite las condiciones a Fecha, Participantes y Tipo en retenciones basadas en consultas. Las consultas no son eficaces en otras condiciones dentro de elementos cifrados o parcialmente indexados y es posible que las retenciones no se apliquen a estos elementos.
Seleccione Aplicar suspensión.
Importante
Para aplicar una suspensión a un sitio de SharePoint, el sitio debe tener un título.
Después de crear una suspensión, compruebe que la suspensión se aplica correctamente; para ello, vaya a la pestaña Detalles de la directiva de suspensión. Puede revisar la siguiente información para la directiva de suspensión:
- Nombre: nombre del origen de datos.
- Ubicación: ubicación específica (como la dirección SMTP del buzón o la dirección URL del sitio) de los orígenes de datos incluidos en la directiva de suspensión.
- Estado de suspensión: estado de retención de la ubicación. Indica si la ubicación está en espera, no en espera o si hay un error con la suspensión.
- Tipo de origen: muestra si el tipo de origen de datos está Personas o Group.
- Tipo de ubicación: muestra si la ubicación es Buzón o Sitio.
Nota:
Al crear una suspensión basada en consultas, inicialmente coloca todo el contenido de las ubicaciones seleccionadas en suspensión. Más adelante, el sistema borra cualquier contenido que no coincida con la consulta especificada de la suspensión cada siete a 14 días. Sin embargo, una retención basada en consultas no borra el contenido si aplica más de cinco retenciones de cualquier tipo a una ubicación de contenido. La suspensión siempre incluye elementos parcial o no indizados de una ubicación con una suspensión basada en consultas.
Creación de una suspensión a partir de una búsqueda
Puede crear una suspensión de eDiscovery directamente desde la búsqueda. Sin embargo, la creación de una retención directamente desde una búsqueda tiene las siguientes restricciones:
La suspensión quita los orígenes de datos de todo el inquilino contenidos en la búsqueda. Las retenciones no admiten orígenes de datos de todo el inquilino.
La suspensión expande las listas de distribución contenidas en la búsqueda. Puede elegir colocar todos los buzones de correo y sitios de todos los miembros en espera, o un subconjunto o combinación de estos orígenes de datos en espera. Los cambios posteriores en la pertenencia a la lista de distribución no cambian ni actualizan las retenciones ni la directiva. Si la lista de distribución está vacía, se quita de la suspensión porque no hay nada que expandir.
La consulta usada en la búsqueda no se incorpora a la directiva de suspensión. Los orígenes de datos en el ámbito de la búsqueda se incluyen en la directiva de suspensión.
Para crear una suspensión de eDiscovery a partir de una búsqueda, complete los pasos siguientes:
- Complete los pasos para crear una consulta de búsqueda.
- Seleccione Crear una suspensión en la barra de comandos para la búsqueda.
- Vea la nueva directiva de suspensión y actualice según sea necesario.
Administrador de procesos
El Administrador de procesos muestra información sobre los procesos realizados en la directiva de suspensión.
- Tipo de proceso: tipo de proceso.
- Estado: estado del proceso.
- Creado: fecha y hora en que se creó el proceso.
- Completado: fecha y hora en que se completó el proceso.
- Duración: duración del proceso.
- Creado por: el usuario que creó el proceso.
Para descargar la lista de procesos y la información de columna, seleccione Descargar lista para crear un archivo .csv que contenga esta información.
Para ver información sobre todos los procesos de exhibición de documentos electrónicos, vea Usar el informe de procesos en eDiscovery.
Retenciones basadas en consultas colocadas en sitios
Tenga en cuenta los siguientes puntos al colocar una suspensión de exhibición de documentos electrónicos basada en consultas en documentos ubicados en sitios de SharePoint:
- Una retención basada en consultas conserva inicialmente todos los documentos de un sitio durante un breve período de tiempo después de eliminarlos. Al eliminar un documento, lo mueve a la biblioteca de suspensión de conservación aunque no coincida con los criterios de la retención basada en consultas. Sin embargo, un trabajo de temporizador quita los documentos eliminados que no coinciden con una suspensión basada en consultas. El trabajo del temporizador se ejecuta periódicamente y compara todos los documentos de la biblioteca de suspensión de conservación con las retenciones de exhibición de documentos electrónicos basadas en consultas (y otros tipos de retenciones y directivas de retención). El trabajo del temporizador elimina los documentos que no coinciden con una retención basada en consultas y conserva los documentos que lo hacen.
- Use retenciones basadas en consultas para realizar la conservación de destino, como palabras clave, intervalos de fechas u otras propiedades de documento para conservar los documentos del sitio.
Conservación del contenido en Microsoft Teams
Las conversaciones que forman parte de un canal de Microsoft Teams se almacenan en el buzón asociado al equipo de Microsoft. Asimismo, los archivos que los miembros del equipo comparten en un canal se almacenan en el sitio de SharePoint del equipo. Por lo tanto, debe colocar el buzón de equipo y el sitio de SharePoint en suspensión de eDiscovery para conservar conversaciones y archivos en un canal.
Como alternativa, las conversaciones que forman parte de la lista chat en Teams ( llamadas chats 1:1 o chats de grupo 1:N) se almacenan en los buzones de los usuarios que participan en el chat. Los archivos que los usuarios comparten en las conversaciones de chat se almacenan en la cuenta de OneDrive del usuario que comparte el archivo. Por lo tanto, debe agregar los buzones de usuario individuales y las cuentas de OneDrive a una suspensión de eDiscovery para conservar las conversaciones y los archivos de la lista de chat. Es una buena idea colocar una suspensión en los buzones de los miembros de un equipo de Microsoft, además de colocar el buzón de equipo y el sitio en espera.
Nota:
Si su organización tiene una implementación híbrida de Exchange (o su organización sincroniza una organización de Exchange local con Office 365) y ha habilitado Microsoft Teams, los usuarios locales pueden usar la aplicación de chat de Teams y participar en chats 1:1 y chats de grupo 1:N. Estas conversaciones se almacenan en un almacenamiento basado en la nube asociado a un usuario local. Si coloca un usuario local en una suspensión de eDiscovery, se conserva el contenido de chat de Teams en el almacenamiento basado en la nube. Para obtener más información, consulte Buscar los datos de chat de Teams de usuarios locales.
Conservar el contenido de la tarjeta
El contenido de tarjeta generado por las aplicaciones en los canales de Teams, los chats 1:1 y los chats de grupo 1:N se almacenan en buzones de correo y se conservan al colocar un buzón en una suspensión de eDiscovery. Una tarjeta es un contenedor de IU para pequeños fragmentos de contenido. Las tarjetas pueden tener varias propiedades y datos adjuntos, y pueden incluir elementos que desencadenan acciones de tarjeta. Para obtener más información, vea Tarjetas. Igual que el resto de contenido de Teams, el lugar donde se almacena el contenido de las tarjetas depende de dónde se haya usado. El contenido de tarjetas usado en un canal de Teams se almacena en el buzón del grupo de Teams. El contenido de tarjetas de los chats 1x1 y 1xN se almacena en los buzones de los participantes de los chats.
Conservación de la información de reuniones y llamadas
La información de resumen de las reuniones y llamadas en un canal de Teams también se almacena en los buzones de los usuarios que llamaron a la reunión o llamada. Este contenido también se conserva cuando se coloca una suspensión de eDiscovery en los buzones de usuario.
Conservación del contenido en canales privados
También puede conservar el contenido en canales privados. Los chats de canales privados se almacenan en un buzón de canal privado dedicado. Los datos de mensajes de canal privado del buzón de cada usuario se mueven al buzón del canal privado y las modificaciones de mensajes y los mensajes eliminados no se copian en el buzón. En el caso de los usuarios en espera, las copias de las ediciones de mensajes y los mensajes eliminados permanecen en la carpeta de biblioteca conservada del usuario hasta que expire la suspensión, mientras que la versión más reciente de los datos de mensajes del canal privado del buzón de cada usuario se copia en el buzón del canal privado.
Conservación del contenido wiki
Cada equipo o canal de equipo también contiene una wiki para tomar notas y colaborar. El contenido de esta se guarda automáticamente en un archivo con un formato .mht. Este archivo se almacena en la biblioteca de documentos de Datos Wiki de Teams en el sitio de SharePoint del equipo. Puede conservar el contenido de la wiki agregando el sitio de SharePoint del equipo a una suspensión de eDiscovery.
Nota:
La funcionalidad para conservar el contenido wiki de un canal de equipo o equipo (cuando se coloca el sitio de SharePoint del equipo en espera) se publicó el 22 de junio de 2017. Si un sitio de equipo está en espera, el contenido wiki se conserva a partir de esa fecha. Sin embargo, si un sitio de equipo está en espera y el contenido wiki se eliminó antes del 22 de junio de 2017, el contenido wiki no se conserva.
Grupos de Microsoft 365
Teams se basa en grupos de Microsoft 365. Por lo tanto, colocar grupos de Microsoft 365 en suspensión de eDiscovery es similar a colocar contenido de Teams en espera.
Tenga en cuenta lo siguiente al colocar los grupos de Teams y Microsoft 365 en una suspensión de exhibición de documentos electrónicos:
Para colocar contenido ubicado en grupos de Teams y Microsoft 365 en espera, debe especificar el buzón de correo y el sitio de SharePoint asociados a un grupo o equipo.
Ejecute el cmdlet Get-UnifiedGroup en Exchange Online PowerShell para ver las propiedades de los grupos de Teams y Microsoft 365. Esta es una buena manera de obtener la dirección URL del sitio asociado a un grupo de Team o Microsoft 365. Por ejemplo, el siguiente comando muestra las propiedades seleccionadas para un grupo de Microsoft 365 denominado Equipo de liderazgo sénior:
Get-UnifiedGroup "Senior Leadership Team" | FL DisplayName,Alias,PrimarySmtpAddress,SharePointSiteUrl DisplayName : Senior Leadership Team Alias : seniorleadershipteam PrimarySmtpAddress : seniorleadershipteam@contoso.onmicrosoft.com SharePointSiteUrl : https://contoso.sharepoint.com/sites/seniorleadershipteamNota:
Para ejecutar el cmdlet Get-UnifiedGroup, necesita el rol destinatarios de View-Only en Exchange Online o pertenencia a un grupo de roles al que se haya asignado el rol destinatarios de View-Only.
Cuando se busca en el buzón de un usuario, no se busca en ningún grupo de Team o Microsoft 365 del que el usuario sea miembro. De forma similar, cuando coloca un grupo de Team o Microsoft 365 en suspensión de eDiscovery, solo el buzón de grupo y el sitio de grupo se colocan en espera. Los buzones de correo y los sitios de OneDrive de los miembros del grupo no se colocan en espera a menos que los agregue explícitamente a la suspensión de eDiscovery. Por lo tanto, si tiene que poner un grupo de Equipo o Microsoft 365 en espera por un motivo legal, considere la posibilidad de agregar los buzones de correo y las cuentas de OneDrive de los miembros del equipo o grupo en la misma suspensión.
Para obtener una lista de los miembros de un grupo de Team o Microsoft 365, puede ver las propiedades en la página Grupos de la Centro de administración de Microsoft 365. Además, puede ejecutar el comando siguiente en PowerShell de Exchange Online:
Get-UnifiedGroupLinks <group or team name> -LinkType Members | FL DisplayName,PrimarySmtpAddressNota:
Para ejecutar el cmdlet Get-UnifiedGroupLinks, necesita el rol destinatarios de View-Only en Exchange Online o pertenencia a un grupo de roles al que se haya asignado el rol destinatarios de View-Only.
Conservación del contenido en cuentas de OneDrive
Importante
El período de retención de las cuentas de OneDrive eliminadas es diferente del período de retención de los buzones. Para obtener más información sobre el período de retención de las cuentas de OneDrive eliminadas, consulte Retención y eliminación de OneDrive.
Para recopilar una lista de las direcciones URL de los sitios de OneDrive de su organización para que pueda agregarlas a una suspensión o búsqueda asociada a un caso de exhibición de documentos electrónicos, consulte Creación de una lista de todas las ubicaciones de OneDrive en su organización.
El script de este artículo crea un archivo de texto que contiene una lista de todos los sitios de OneDrive de la organización. Para ejecutar este script, debe instalar y usar el Shell de administración de SharePoint Online. Asegúrese de anexar la dirección URL para el dominio MiSitio de su organización a cada sitio de OneDrive que quiera buscar. Este dominio contiene todos los sitios de OneDrive; por ejemplo, https://contoso-my.sharepoint.com. Este es un ejemplo de una dirección URL para el sitio de OneDrive de un usuario: https://contoso-my.sharepoint.com/personal/sarad_contoso_onmicrosoft.com.
Importante
La dirección URL de la cuenta de OneDrive de un usuario incluye su nombre principal de usuario (UPN) (por ejemplo, https://alpinehouse-my.sharepoint.com/personal/sarad_alpinehouse_onmicrosoft_com). En el caso poco frecuente de que se cambie el UPN de una persona, su dirección URL de OneDrive también cambia para incorporar el nuevo UPN. Si la cuenta de OneDrive de un usuario forma parte de una suspensión de eDiscovery y su UPN cambia, debe actualizar la suspensión agregando la nueva dirección URL de OneDrive del usuario y quitando la anterior. Si cambia la dirección URL del sitio de OneDrive, las retenciones colocadas anteriormente en el sitio seguirán siendo eficaces y se conservará el contenido. Para más información, consulte Cómo afectan los cambios de UPN a la dirección URL de OneDrive.
Quitar ubicaciones de contenido de una suspensión de eDiscovery
Después de quitar un buzón, un sitio de SharePoint o una cuenta de OneDrive de una suspensión de eDiscovery, se aplica una suspensión de retraso . Esta suspensión retrasa la eliminación real de la suspensión durante 30 días para evitar que los datos se eliminen (purguen) de forma permanente desde una ubicación de contenido. Este retraso ofrece a los administradores la oportunidad de buscar o recuperar contenido que se purga después de quitar una suspensión de eDiscovery. Los detalles de cómo funciona la retención de retraso para los buzones y sitios son diferentes.
Buzones: Una suspensión de retraso se coloca en un buzón la próxima vez que el Asistente para carpetas administradas procesa el buzón y detecta que se quitó una suspensión de eDiscovery. En concreto, se aplica una suspensión retrasada a un buzón cuando el Asistente para carpetas administradas establece una de las siguientes propiedades de buzón como True:
- DelayHoldApplied: Esta propiedad se aplica al contenido relacionado con el correo electrónico (generado por personas que usan Outlook y Outlook en la Web) que se almacena en el buzón de un usuario.
- DelayReleaseHoldApplied: Esta propiedad se aplica al contenido basado en la nube (generado por aplicaciones que no son de Outlook, como Microsoft Teams, Microsoft Forms y Microsoft Yammer) que se almacena en el buzón de un usuario. Los datos en la nube generados por una aplicación de Microsoft normalmente se almacenan en una carpeta oculta en el buzón de un usuario.
Cuando se coloca una suspensión de retraso en el buzón (cuando cualquiera de las propiedades anteriores se establece en True), el buzón sigue considerándose que está en espera durante una duración de suspensión ilimitada, como si el buzón estuviera en suspensión por juicio. Después de 30 días, la suspensión de retraso expira y Microsoft 365 intenta quitar automáticamente la suspensión de retraso (estableciendo la propiedad DelayHoldApplied o DelayReleaseHoldApplied en False) para que se quite la suspensión. Después de establecer cualquiera de estas propiedades en False, los elementos correspondientes marcados para la eliminación se purgan la próxima vez que el Asistente para carpetas administradas procese el buzón.
Sitios de SharePoint y OneDrive: Cualquier contenido de SharePoint o OneDrive que se conserve en la biblioteca de suspensión de conservación no se elimina durante el período de retención de retraso de 30 días después de que un sitio se quite de una suspensión de eDiscovery. Este comportamiento es similar a lo que ocurre cuando un sitio se libera de una directiva de retención. Además, no puede eliminar manualmente este contenido en la biblioteca de conservación de documentos durante el período de retención de retraso de 30 días. Para liberar un sitio de la suspensión o período de gracia de retraso de 30 días, consulte el artículo No se puede eliminar un sitio debido a una directiva de retención o a una solución de problemas de suspensión de eDiscovery no válida .
Para obtener más información, vea Liberar una directiva para la retención.
También se aplica una suspensión de retraso a las ubicaciones de contenido en espera cuando se cierra un caso de exhibición de documentos electrónicos porque las retenciones se desactivan cuando se cierra un caso. Para obtener más información sobre cómo cerrar un caso, vea Información sobre la configuración de casos en eDiscovery.