電子檔探索工作流程可協助您快速識別、調查並對組織中 ESI) (電子儲存資訊採取動作。 使用電子檔探索識別 ESI 專案並採取動作會使用下列改善的工作流程:
步驟 1:從觸發事件呈報
觸發事件是在組織中呈報的活動,並開始在電子檔探索中建立新案例。 這些事件可以是來自內部或外部合作夥伴的要求、與其他 Microsoft Purview 解決方案中警示相關聯 (整合事件,例如測試 人員風險管理案例) ,或可能受益於電子檔探索所包含的搜尋、調查和風險降低動作的任何其他活動。
步驟 2:建立和管理案例
電子檔探索中的 案例 包含與特定調查相關的所有搜尋、保留和檢閱集。 案件可能包括回應監管、調查和訴訟請求。 您也可以將成員指派給案例,以控制誰可以存取案例並檢視案例的內容。 電子檔探索也支援與 Microsoft Purview 內部風險管理案例的新案例建立整合。
步驟 3:搜尋、評估結果並精煉
建立案例之後,請使用電子檔探索中的內建搜尋工具來搜尋組織中 的內容位置 。 您可以建立並執行與案例相關聯的不同搜尋。 使用關鍵字) 等條件 (來建立多個搜尋查詢,以傳回搜尋結果,其中包含最有可能與案例相關的資料。 您也可以:
- 檢視搜尋統計資料,以協助您精簡搜尋查詢以縮小結果範圍。
- 預覽搜尋結果以快速驗證是否找到相關資料。
- 修改查詢並重新執行搜尋。
步驟 4a:搜尋結果中的動作
- 匯出搜尋結果:成功完成電子檔探索案例中的搜尋之後,您可以 匯出搜尋結果。 當您匯出搜尋結果時,信箱項目會以 PST 檔案或個別郵件的形式下載。 當您從 SharePoint 和 OneDrive 網站匯出內容時,會匯出原生 Office 文件和其他文件的複本。
- 建立檢閱集: 檢閱集 是 Microsoft 雲端中 Microsoft 提供的安全 Azure 儲存體位置。 當您 將資料新增至檢閱集時,收集的專案會從其原始內容位置複製到檢閱集。 檢閱集提供一組靜態的已知內容,您可以搜尋、篩選、標記和分析。 您也可以追蹤並報告哪些內容已新增至檢閱集。
步驟 4b:建立訴訟保留
若要保留和保護與調查相關的數據,您可以在與案例相關聯的資料來源上 放置電子檔探索保留 。 建立案例之後,您可以立即保留調查中感興趣人員的內容位置。 如有需要,您也可以建立查詢型保留。 內容位置包括 Exchange 信箱、SharePoint 網站、OneDrive 帳戶,以及與 Microsoft Teams 和 Microsoft 365 群組相關聯的信箱和網站。 雖然保留是選擇性的,但建立保留會保留調查期間可能與案例相關的內容。
建立保留時,您可以保留特定內容位置中的所有內容,也可以建立查詢型保留,以只保留符合保留查詢的內容。 除了保留內容之外,建立保留的另一個好理由是快速搜尋保留 (的內容位置,而不是在下一個步驟中建立和執行搜尋時,必須選取每個位置來搜尋) 。 完成調查之後,您可以釋放您建立的任何保留。 如需詳細資訊,請參閱 管理電子檔探索中的保留。
步驟 5:檢閱並從檢閱集採取動作
- 搜尋內容:在大部分情況下,深入瞭解檢閱集中的內容並組織它,以促進更有效率的檢閱很有用。 在檢閱集中使用 篩選和查詢 可協助您專注於符合檢閱準則的文件子集。
- 執行分析:電子檔探索提供整合式分析工具,可協助您從判斷與調查無關的檢閱集中進一步剔除數據。 除了減少相關資料量外,電子取證還可讓您組織內容,使審查過程更輕鬆、更有效率,從而幫助您節省法律審查成本。 如需詳細資訊,請參閱 分析電子檔探索中檢閱集中的數據。
- 標記專案:組織檢閱集中的內容對於完成電子檔探索程式中的各種工作流程非常重要。 該組織通常包括識別相關內容、剔除不必要的內容以及識別需要專家或律師審查的內容。 專家、律師或其他使用者在檢閱檢閱集內的內容時,可以使用標籤來擷取他們對於該內容的意見。 標籤提供調查中包含的結構和組織項目。 如需詳細資訊,請參閱 在電子檔探索中標記檢閱集中的檔。
- 建立查詢報表 (預覽) :產生並下載檢閱集多個查詢的 合併報表 。 此報表可讓您快速查看特定關鍵字搜尋或多個複合 KeyQL 查詢中篩選項目的總計數和數量。
- 將檢閱集中的專案新增至另一個檢閱集:在某些情況下,可能需要從一個檢閱集中選取檔,並在 另一個檢閱集中個別使用它們。
- 匯出專案:搜尋並尋找與調查相關的數據之後,您可以將它匯出 Microsoft 365 組織,以供調查小組外部的人員檢閱。 除了匯出的資料檔案之外,匯出套件還包含匯出報告、摘要報告和錯誤報告。 如需詳細資訊,請參閱 從電子檔探索中的檢閱集匯出檔。