電子發現中的資料來源

在 Microsoft 365 中，資料儲存在三個平台：Exchange、Teams 和 SharePoint。 這些平台是組織和管理 Microsoft 365 應用程式資料的骨幹。 大多數 Microsoft 365 應用程式將資料儲存在以下一個或多個容器中：

• 使用者：與個別使用者相關的資料，例如郵件、1：1 Teams 訊息及 OneDrive 檔案。
• 群組：由組織或組織內一群使用者擁有的資料。 這些群組通常被稱為統一群組或團隊。

在電子發現中， 資料來源 的概念簡化了跨 Microsoft 365 平台識別和管理資料的流程。 電子發現使用者選擇使用者或群組，建立資料來源，電子發現會自動識別並組織跨平台儲存的相關資料。 資料來源會收集與使用者或群組相關的位置 (信箱、OneDrive 網站、SharePoint 網站) ，並將這些位置加入資料來源階層中。 電子發現使用者可根據需要選擇或排除特定地點來細化範圍。

使用者資料來源通常包括：

• 使用者信箱
• OneDrive 網站

統一群組分為三種類型，每種類型涵蓋特定的資料位置：

• Teams：包含 Exchange 信箱儲存空間，用於 Teams 聊天和電子郵件，以及所有相關的 SharePoint 網站，涵蓋頻道和團隊。
• Yammer：包含 Exchange 信箱儲存空間，用於存放 Yammer 郵件。
• 經典版：僅包含 SharePoint 網站。

電子發現使用者也可以使用全組織的來源，在整個組織內進行搜尋。 全組織性來源包括：

• 所有人員與群組：包含組織中所有使用者及所有群組。
• 所有公共資料夾：包含 Exchange 公共資料夾 、信箱中的所有內容。

這是常見的情況，必須搜尋一組使用者信箱，並將該清單作為分發名單來管理。 支援新增發行清單，且僅搜尋群組中列出的 Exchange 信箱。

你可以利用使用者或群組名稱、信箱簡易郵件傳輸協定 (SMTP) 地址，以及 OneDrive 或 SharePoint 網站網址， 搜尋特定的資料來源或資料位置 。 當你使用特定資料來源建立搜尋時，只會搜尋資料來源中指定的位置。

如果你使用全組織的「 所有人員與群組」搜尋，搜尋涵蓋所有 Exchange 信箱、OneDrive 和 SharePoint 網站。 如果你只想搜尋所有 Exchange 信箱，請選擇 「所有人與群組 」中的信箱，並取消選擇網站。 如果你只需要搜尋所有 SharePoint 和 OneDrive 網站，請選擇 「所有人員與群組 」中的網站，並取消選擇信箱。

即時資料來源同步有助於確保你隨時掌握與使用者及群組相關的資料位置最新變動。 你可以查詢是否有特定資料來源加入搜尋，或保留是否包含新配置的資料位置，或是否移除資料位置。

例如，如果為 Teams 群組建立了私人頻道，資料來源面板上的同步功能會提醒你新位置，讓你能快速且輕鬆地將其納入搜尋或等待。 這種同步確保新資料不會被忽略，並納入你的調查中。 這種同步也有助於防止因位置變更而可能遺失的資料。

想了解如何有效運用資料來源，請觀看以下影片：

為案例新增資料來源

啟用案件高級電子發現功能後，請使用以下選項將資料來源加入案件：

批量匯入資料庫到案件

在電子發現案件中，您可以透過新增 SMTP 地址或網址清單，將多個資料來源加入案件中。 匯入功能會在新增來源前驗證條目，讓你能修正任何潛在問題，例如打字錯誤。 這種簡化的流程能幫助您節省時間，並更有效率地為案件新增更多資料來源。

在匯入資料來源前，請先檢視以下考量事項：

• 你一次最多可以匯入 500 個資料來源。 為了縮短搜尋和新增地點的處理時間，建議將匯入拆分成多個匯入，而不是一次匯入最多資料來源。

• 您必須在 SMTP 地址或網址清單中使用 ; 分隔符。 你的清單應遵循以下範例的格式：

  abh784@contoso.ms;https://contosodemos2.sharepoint.com/sites/Logistics;https://contosodemos2.sharepoint.com/sites/Mark8Project-UETConference;https://contosodemos2.sharepoint.com/sites/WG-ProjectObsidian;maib31@contoso.ms;rma230@contoso.ms;sva561@contoso.ms;mmz776@contoso.ms;LogisticsDSIGoldenSetDataToloka1@contoso.ms;jka132@contoso.ms;shafar929@contoso.ms;ika636@contoso.ms;brobet@contoso.ms;koka81@contoso.ms;rash95@contoso.ms;mvga66@contoso.ms;mra715@contoso.ms;abe543@contoso.ms;kto888@contoso.ms;moba80@contoso.ms;mian41@contoso.ms;inch48@contoso.ms;Mario.Smith_0803@contoso.ms;yape61@contoso.ms;mwo365@contoso.ms;fasi19@contoso.ms;HumanResourcesDugoPlannerTest@contoso.ms;kamo78@contoso.ms;bga844@contoso.ms;salesteam@contoso.ms;cko475@contoso.ms;ProjectZ@contoso.ms;TalentSourcingDanieltest5@contoso.ms;las450@contoso.ms;elfl69@contoso.ms;jch952@contoso.ms;asch81@contoso.ms;gmu955@contoso.ms;okbo68@contoso.ms

• 匯入過程中，分發群組不會擴展到個別成員。

• 要匯入非活躍信箱作為資料來源，請在該非活躍信箱的電子郵件地址前加上 . 前綴。 例如，.sarad@contoso.onmmicrosoft.com。

• 未驗證的 SMTP 位址不會被加入，但支援未驗證的 URL。 未驗證的網址表示該資料來源無法與處於鎖定狀態的有效 SharePoint 網站進行驗證。

若要批量匯入資料來源至案件，請完成以下步驟：

1. 前往 Microsoft Purview 入口網站 ，使用已分配 eDiscovery 權限的使用者帳號憑證登入。
2. 選擇 電子發現 解決方案卡片，然後在左側導覽中選擇 案件 。
3. 選擇一個案例，然後選擇 「資料來源 」標籤，將資料來源加入案件。 一旦你將資料來源加入這個分頁，這些資料來源就能在所有搜尋和案件等待中選擇。
4. 選擇 批量匯入。
5. 在 新增資料來源時，輸入或複製一份以分號分隔的 SMTP 地址或網址清單。
6. 選取 [下一步]。
7. 在 確認資料來源時，會驗證資料來源清單並顯示驗證狀態。
8. 資料來源驗證完成後，未驗證來源會以紅色標示並標記為 未驗證 ，供您檢視。 如果你需要更新未經驗證的來源，請在資料來源旁勾選方塊，然後選擇 編輯 以更新資料來源資訊。 你可以修正任何錯字、路徑或格式錯誤。 編輯選取來源後，選擇 儲存 ，更新後的資料來源會自動重新驗證。
9. 任何多重匹配的輸入都會以 (重複) 顯示在前面。 你可以根據需求加入一部分重複的配對來源。
10. 如果你需要從匯入中移除任何資料來源，請選擇資料來源並選擇 刪除。
11. 當你準備加入任何列出的資料來源時，請先勾選每個項目的勾選框，然後選擇 新增。 根據所選來源的數量，處理並將資料來源加入案件可能需要一些時間。

在案件中新增一個或多個資料來源

1. 前往 Microsoft Purview 入口網站 ，使用已分配 eDiscovery 權限的使用者帳號憑證登入。

2. 選擇 電子發現 解決方案卡片，然後在左側導覽中選擇 案件 。

3. 選擇一個案例，然後選擇 「資料來源 」標籤，將資料來源加入案件。 一旦你將資料來源加入這個分頁，這些資料來源就能在所有搜尋和案件等待中選擇。

4. 選擇 新增 並從以下資料來源區域中選擇選項：

   注意事項

   在搜尋來源時，有些來源可能會在來源前加上 一個「？ 」標示 為未驗證。 這些來源 (網站或信箱) 選擇後無法驗證為有效來源。 這些信箱或網站是外部的，或是網站是私人或 鎖定的。 支援將未經驗證來源加入搜尋或保留，且在搜尋執行時會再次嘗試驗證這些來源。 最終搜尋與保留結果會包含在流程報告中的地點 .csv 檔案中。

   1. 面板左側顯示來源的 篩選 選項。

   2. 在「 按範圍項目」 區塊中，只有租 戶中的所有來源 (預設) 可用。 選擇你組織內可用的任何資料來源。

      注意事項

      預設名單顯示的是 100 個隨機的人或團體，而不是你組織裡所有的人或團體。 要搜尋特定資料來源，請使用搜尋欄。

   3. 在 「顯示篩選 」中，請使用以下選項之一，協助你在 搜尋 區塊中鎖定你的資料來源範圍：

      • 所有的人和團體 (預設)
      • 僅限人員
      • 僅限團體

   4. 如適用，請選擇 排除非活躍使用者 ，以將來源範圍縮小至僅限於組織中目前活躍的使用者。

   5. 篩選完資料來源後，請使用 搜尋 控制項和搜尋區的選擇器，將特定的資料來源、使用者和群組加入搜尋查詢。 在搜尋欄輸入你想新增的具體使用者、群組或組織地點，並選擇 搜尋。 你可以用「;」作為分隔符，同時觸發多個搜尋。 例如，輸入 john@contoso.com;david@contoso.com 可以讓你同時搜尋並找到兩個信箱的匹配。 分 ; 隔符不支援網站網址。

      使用以下數值搜尋人員：

      • 使用者顯示名稱的姓氏及家族名稱 (例如，John Smith)
      • 只有名字
      • 使用者 SMTP 位址
      • 使用者別名
      • 交換 GUID
      • 使用者 OneDrive 網站的網址

      使用以下數值搜尋群組：

      • 群組信箱 SMTP 位址

      • 群組網站網址。 Teams 頻道網站的網址會解析該 Teams 群組作為資料來源。

        如果你新增一個分發群組，群組成員的清單就不會被列出，群組會被加入搜尋時作為資料來源信箱。 搜尋執行時，分發群組成員的信箱會展開並完整搜尋。

        若要確認搜尋的分發群組成員信箱，請在搜尋完成後，使用流程報告中的報告資訊Locations_日期/時間）。 在搜尋前確認群組成員資格，請選擇群組與 成員的橢圓選單。

5. 選擇 新增 以將資料來源加入所選案件。 此資料來源現可於新增案件搜尋及保留資料來源時取得。

將資料來源加入搜尋與保留

完成以下步驟，將資料來源加入特定的搜尋或保留：

1. 在新搜尋或長按中，選擇新增來源，或在下拉選單中選擇+並選擇新增資料來源。 你可以搜尋並選擇特定資料來源來搜尋或保留。

   如果你需要對全組織的信箱或網站進行搜尋，請在 空白搜尋中選擇「新增租戶端來源 」，或在下拉選單中點選 + 按鈕並選擇全組織來源。

   注意事項

   組織範圍的來源僅能在搜尋中取得，無法保留。

2. 面板左側顯示來源的 篩選 選項。 使用篩選器來範圍資料來源，包括：

   • 租戶中的所有來源 (預設) ： 使用此選項從您組織內可用的資料來源中搜尋。

   注意事項

   預設名單顯示的是 100 個隨機的人或團體，而不是你組織裡所有的人或團體。 要搜尋特定資料來源，請使用搜尋欄。

   • 本案中所有資料來源：使用此選項從新增的案例層級資料來源中選擇。 此選項讓您能快速使用新增到案件中的資料來源，進行搜尋或保留，無需在整個組織中搜尋。

   • 在 「顯示篩選 」中，請使用以下選項之一，協助你在 搜尋 區塊中鎖定你的資料來源範圍：

     • 所有的人和團體 (預設)
     • 僅限人員
     • 僅限團體

   • 如適用，請選擇 「排除非活躍使用者 」，以將來源範圍縮小為僅限目前活躍使用者。

   • 使用 「地點」來包含控制權 ，以指定新增到搜尋或保留的資料來源是否包括：

     • 信箱與網站 (預設) ：選取的個人或群組來源將信箱與網站納入搜尋或保留。 這表示選擇使用者時，會同時包含該使用者的信箱和 OneDrive。 選擇 Microsoft 365 群組時，包含群組信箱及所有相關的群組站點。
     • 僅限信箱：僅包含與特定使用者或群組相關的信箱。 OneDrive 和 SharePoint 網站不包含在內。
     • 僅限網站：僅包含與特定使用者或群組相關的網站。 信箱不包含在內。

3. 篩選完資料來源後，使用 搜尋 控制項和搜尋區的選擇器，將特定的資料來源、使用者和群組加入搜尋查詢。 在搜尋欄輸入你想新增的具體使用者、群組或組織地點，並選擇 搜尋。 同時用分號作為分隔符，方便多次搜尋。 例如， john@contoso.com;david@contoso.com 會同時搜尋並找到兩個信箱的匹配。 分號分隔符不支援網站網址。

4. 選擇 「儲存並關閉 」以將資料來源加入目前搜尋，或長按。

5. 或者，選擇 「管理 」以微調所選來源下的相關信箱與網站。 管理檢視提供與每個來源相關的所有信箱與站點的詳細檢視，顯示如信箱 SMTP 地址與站點網址等細節。 對於 Teams 來源，還包含對應的頻道名稱和類型資訊。

其他考量事項

• 在 「管理 來源」檢視中，部分選定來源可能不會顯示相關網站。 這個問題可能有幾個原因：

  • OneDrive 未設定、設定延遲或同步問題：如果使用者沒有設定 OneDrive，他們的來源只會包含信箱，而非 OneDrive 網站。 OneDrive 網站存在，但因為配置延遲，它沒有同步到合規目錄。
  • 刪除的使用者：如果你從目錄中移除使用者，他們的 OneDrive 網站可能仍然存在，但不會連結到使用者物件。 它在 管理 檢視中不會顯示在他們的來源下。
  • 離開用戶：該用戶離開組織，且其帳號處於軟刪除或非活躍狀態。
  • 被取消授權的使用者：該用戶的 Microsoft 365 授權已被移除。 這個動作會斷開連結到他們的 OneDrive 網站。
  • 信箱轉換：使用者的信箱被轉換成共享信箱或郵件使用者。 這項變更可能會影響系統如何與 OneDrive 關聯。
  • 多個網站集合管理員：如果 OneDrive 網站有多個管理員且所有權不明確，系統可能無法將它映射到原始使用者。
  • 保留或僅保留狀態：使用者信箱處於非活躍或僅保留狀態，OneDrive 可能會依保留政策進行清理。
  • 未經驗證來源：在搜尋資料來源時，有些信箱或網站可能會顯示「 ？ 」圖示及「 未驗證」標籤。 此狀態表示系統無法在選擇時確認來源為有效——通常是因為信箱或網站為外部、私人或 鎖定。 你仍然可以將未經驗證的來源加入搜尋或保留。 搜尋執行時會再次嘗試驗證，最終狀態會反映在程序報告中的 location.csv 檔案中。

• 當你新增一個分發群組時，群組成員的清單不會顯示。 分發群組會被加入搜尋，作為資料來源信箱。 執行搜尋時，系統會展開並完整搜尋分發群組成員的信箱。 要確認搜尋到的分發群組成員信箱，搜尋完成後可使用Locations_*the date/time of the report*程序報告中的資訊。 在搜尋前要確認群組成員資格，請選擇群組與成員的省略選單。

  如果將分發群組加入搜尋資料來源後，其成員身份改變，請再次執行搜尋，以包含目前群組成員的項目。 每次搜尋時，現任成員都會被納入，前成員則被排除。

非使用中的信箱

你可以在 eDiscovery 中搜尋、審查並匯出組織中儲存的非活躍信箱。 要保留非活躍信箱內容，先對活躍信箱套用保留政策，確認成功，然後將信箱改為非活躍。

在使用非活躍信箱進行電子發現搜尋與保留時，請考慮以下幾點：

• 在電子發現搜尋中搜尋非活躍的信箱。 若要查詢組織中非活躍信箱的清單，請在 Exchange Online PowerShell 中執行Get-Mailbox -InactiveMailboxOnly。 或者，在 Microsoft Purview 入口網站中，Microsoft >365>保留，選擇「更多」 (導覽欄的省略號) 。

• 如果現有的搜尋包含使用者信箱，且你將該信箱更新為非活躍，當你重新執行搜尋時，搜尋仍會繼續搜尋該非活躍信箱。

• 有些使用者可能有一個活躍的信箱和一個非活躍的信箱，且這些信箱的 SMTP 地址不同。 在這種情況下，只會搜尋你選擇作為搜尋地點的特定信箱。 如果你將使用者的信箱加入搜尋，不能假設同時搜尋活躍與非活躍的信箱。 只有你明確加入搜尋的信箱會被搜尋。

• 使用 Security & Compliance PowerShell 來建立一個非活躍信箱的搜尋。 您必須在非活躍信箱的電子郵件地址後加上句點。 例如，以下指令會建立一個內容搜尋，搜尋一個不活躍的信箱，地址為 pavelb@contoso.onmicrosoft.com：

  New-ComplianceSearch -Name InactiveMailboxSearch -ExchangeLocation .pavelb@contoso.onmicrosoft.com -AllowNotFoundExchangeLocationsEnabled $true

• 避免同時出現同一 SMTP 地址的活躍與非活躍信箱。 若您需要重複使用分配給非活躍信箱的 SMTP 位址，請恢復該非活躍信箱或將其內容還原為活躍信箱 (或存檔) ，然後刪除該非活躍信箱。 如需詳細資訊，請參閱下列文章：

  • 在 Office 365 中復原非作用中的信箱
  • 在 Office 365 中還原非作用中的信箱
  • 在 Office 365 中刪除非作用中的信箱

• 保留政策不支援非活躍信箱。 您必須在郵件箱被刪除前對有效信箱設定保留。 欲了解更多資訊，請參閱 建立與管理非活躍信箱。

資料來源選項

在你將來源加入搜尋或保留後，可以編輯來源或探索相關來源。 選擇你想編輯或移除來源旁的 省略 號。

以下選項可選擇 使用者或群組選項：

• 管理資料來源
• 包含或移除信箱
• 包含或移除網站

探索相關資料來源

你可以在搜尋或暫停時，從現有來源中探索並新增相關來源。 這些選項讓你能夠調查可能相關的來源，並為特定搜尋或保留帶入更多資料。

對於你在 資料來源 欄目新增的使用者，你可以探索以下連結：

• 管理員
• 直屬報告
• 經常合作的夥伴
• 使用者擁有的群組
• 使用者所屬的群組

探索這些關係能幫助你快速識別並將相關個人與資料來源納入搜尋範圍。 使用 Manage 微調搜尋或保留時，是只包含郵箱、網站，或是同時包含相關來源。

管理員

這個選項讓你能在報告鏈中向上探索。 選擇使用者的管理者有助於在調查中納入監督或決策背景。

直屬報告

在使用者的組織階層中向下探索。 當所選使用者是經理或團隊主管，且你想包含他們團隊成員的通訊或內容時，這個選項非常有用。

經常合作的夥伴

尋找經常與該使用者合作的其他使用者。 頻繁協作 者是指與所選使用者最相關的前十名使用者。 你可以選擇這些使用者的信箱和網站作為搜尋的資料來源。

使用者擁有的群組

此選項顯示所選使用者被列為擁有者群組。 這些群組可能包含與調查相關的共享內容或通訊。

使用者所屬的群組

這個選項包含使用者所屬的所有群組，即使他們不是擁有者。 這些團體可能會提供額外的背景資訊或共享資料來源。

團體成員

當你在 資料來源 窗格新增群組時，可以探索並展開該群組以查看其成員。 此功能允許您：

• 識別群組中可能持有相關資料的個別使用者。
• 選擇特定成員作為目標搜尋的額外資料來源。

此功能有助於調查來自協作群組（如 Microsoft 365 群組、Teams 或分發清單）的共享內容或通訊。