Cercare documenti ed e-mails in Microsoft 365 con il Content Search

I servizi cloud ospitano sempre più informazioni: alle più tradizionali e-mail ed ai file servers si stanno affiancando strumenti sempre più innovativi come i Microsoft 365 Groups, le funzionalità documentali delle Document Libraries di SharePoint Online e la collaborazione basata su chat di Microsoft Teams.

L’integrazione di questi strumenti, molto diversi tra di loro, all’interno di una singola piattaforma – Microsoft 365 – permette la creazione di componenti comuni trasversali ed una esperienza d’uso unificata.

Uno di questi componenti è il Content Search che permette la ricerca del contenuto di e-mails in Exchange Online, documenti all’interno di SharePoint Online oppure OneDrive for Business e messaggi chat all’interno di Teams. Il contenuto all’interno dei Microsoft 365 Groups (il nuovo nome dei Gruppi di Office 365) è anch’esso ricercabile ed esportabile.

La funzionalità del Content Search è disponibile in tutti i piani Business, dal Basic al Premium ed in tutti i piani Enterprise, dal E1 al E5.
Non ci sono limiti per il numero di mailbox o siti per i quali iniziare una ricerca, così come non ci sono limiti per il numero di Content Search in una organizzazione. Ogni amministratore può iniziare fino a 10 Content Search contemporaneamente. Una volta effettuata la Content Search non è possibile esportare più di 2 TB di dati al giorno, in non più di 10 export simultanei.

Assegnare i privilegi di eDiscovery

Per poter creare una Content Search ed esportare il contenuto è necessario avere specifici privilegi sul Security & Compliance Center:

  • eDiscovery Managers: possono accedere al Content Search per creare nuove ricerche e per esportare i dati di quelle già create. Hanno la possibilità di gestire solamente i casi creati da loro.
  • eDiscovery Administrators: hanno tutti i privilegi degli eDiscovery Managers ed in più possono gestire qualsiasi ricerca, anche quelle create da altri.

Attenzione: i ruoli all’interno del Security & Compliance Center sono esclusivamente di quest’ultimo e non sono presenti in Azure AD. È pertanto necessario che vengano assegnati direttamente dal portale Security & Compliance, anche se esistono ruoli con nomi simili negli altri workload in M365 (es. in Exchange Online).

Portarsi nel Security & Compliance Center https://protection.office.com/ e andare su Permissions -> eDiscovery Manager

Figura 1 – Permessi SCC

Premendo su Edit è possibile assegnare il privilegio desiderato.

Figura 2 – eDiscovery Managers in SCC

Una volta assegnato il privilegio è necessario attendere fino ad un’ora prima di poter utilizzare la funzionalità di Content Search.

 

Creare una ricerca

Per creare una nuova ricerca o gestire una ricerca precedentemente salvata andare su Search -> Content Search

Figura 3 – Portale SCC

In una tab separata si aprirà la nuova versione dello strumento Content Search che permette di gestire sia le ricerche che gli export del contenuto

Figura 4 – Content Search Tool

Premendo sul pulsante “+ New search” si verrà indirizzati all’interfaccia di ricerca la quale è abbastanza intuitiva: per sfruttarla appieno è però necessario comprendere alcuni concetti.

Figura 5 – Interfaccia di ricerca

  1. Keywords: qui va inserita la query che utilizzeremo. È possibile inserire un testo semplice oppure comporre query complesse utilizzando gli operatori booleani AND, OR, NOT oppure NEAR così come cercare proprietà specifiche di un documento quali ad esempio il nome del file, nome degli allegati di una e-mail oppure il titolo di un documento. Se vengono inseriti più parametri di ricerca nella “keyword list” essi vengono concatenati con un operatore logico (c:s) che è simile in funzionalità all’operatore OR.
  2. Conditions: aiutano a restringere i risultati di una ricerca. Ogni condizione aggiunge una clausola che gli elementi trovati devono rispettare per poter essere inseriti tra i risultati della ricerca. Un esempio di condition è la data; è possibile ad esempio cercare solo i documenti e le e-mail che sono stati modificati in un determinato periodo di tempo. Ogni condition viene concatenata alla query di ricerca tramite un operatore logico AND.
  3. Locations: Sono le posizioni in cui si desidera cercare il contenuto. È possibile includere mailbox, siti di SharePoint Online, Microsoft 365 Groups, chat di Microsoft Teams ed Exchange Public Folders.

In Figura 6 è possibile osservare il tipo più semplice di query che possiamo creare: una stringa di testo senza condizioni particolari all’interno di alcune mailbox e siti OneDrive, ritorna tutte le e-mail ed i documenti che contengono il parametro di ricerca.

Figura 6 – Ricerca semplice

Nella finestra di anteprima verranno visualizzati alcuni dei risultati, a patto che siano in formato supportato dall’interfaccia. Se vogliamo farci un’idea di quanto materiale è stato trovato si potranno consultare le Search statistics che offrono le seguenti viste:

Summary: visualizzano il numero totale di oggetti trovati ed una stima della loro dimensione.

Figura 7 – Search statistics: sommario

Queries: rappresenta la quantità di contenuto che è stato trovato per ogni singola query immessa. Ogni Keyword rappresenta una condizione separata, pertanto questa vista è utile per comprendere quanto sono impattanti i singoli termini della nostra ricerca.

Figura 8 – Search statistics: queries

Top locations: fornisce un elenco di quanto contenuto è stato trovato, dividendolo per sito o mailbox cercata, questo ci può aiutare a capire quali locations sono più rilevanti per la nostra ricerca.

Figura 9 – Search statistics: Top locations

Se si vuole cercare all’interno di alcune specifiche locations sarà sufficiente premere sul tasto Specific locations -> Modify e si aprirà una blade all’interno della quale sarà possibile aggiungerle

Figura 10 – Search locations

Il primo gruppo di locations sono ospitate su Exchange Online (direttamente o via journaling tramite l’Office 365 Substrate), pertanto si potranno aggiungere utenti e Gruppi di Microsoft 365 utilizzando il loro indirizzo e-mail, mentre nel secondo gruppo si ricerca all’interno di SharePoint Online; pertanto questi oggetti andranno aggiunti utilizzando gli url dei OneDrive for Business e dei SharePoint Sites.

Figura 11 – SharePoint Locations

È possibile creare query più avanzate: supponiamo ad esempio di voler cercare tutti i documenti ospitati su alcuni siti SharePoint Online e OneDrive for Business che contengono numeri di carte di credito. È possibile effettuare una ricerca simile utilizzando la query “SensitiveType:”Credit Card Number”” che ritorna tutti i documenti che la piattaforma di Data Loss Prevention ha identificato come contenenti numeri di carta di credito. Per maggiori informazioni sulle funzionalità di DLP e sulla definizione ed identificazione delle Sensitive Information Types potete consultare l’articolo Data Loss Prevention in Microsoft 365.

Attenzione: l’utilizzo di keyword queries avanzate richiede un minimo di pianificazione in quanto ognuno ha le sue particolarità, ad esempio, per il tipo “SensitiveType” è possibile cercare solo siti OneDrive for Business e SharePoint Online. Premendo sul link “click here” sotto a Search Query si verrà indirizzati alla pagina Keyword queries and search conditions for Content Search che mantiene un elenco sempre aggiornato dei tipi di informazione ricercabili e le loro caratteristiche.

In Figura 12 un esempio di query complessa, con operatori logici nelle Keywords e Conditions. Come potete osservare il motore di ricerca ha concatenato i termini della ricerca secondo le regole spiegate in precedenza.

Figura 12 – Query complessa

Esportazione dei risultati di una ricerca

Una volta che avete affinato a sufficienza la query utilizzando la Preview e le Search statistics si può procedere all’esportazione del contenuto.
Per fare ciò è sufficiente premere su More -> Export results

Figura 13 – Export results

Verranno quindi richiesti i parametri secondo quali esportare il contenuto:

  1. Cosa esportare
  • Tutti gli oggetti, esclusi quelli non indicizzabili
  • Tutti gli oggetti, inclusi quelli non indicizzabili
  • Solo gli oggetti non indicizzabili

Gli oggetti non indicizzabili sono files che la piattaforma di ricerca non è in grado di valutare, come ad esempio: immagini, emails crittografate con S/MIME o tecnologie non Microsoft, files di archivio protetti da password o files in formati non supportati. La piattaforma è però in grado di indicizzare il contenuto protetto da Azure Information Protection.

Per aiutarci nella decisione se esportare o meno gli oggetti non indicizzati la blade propone un riassunto di quanti oggetti non indicizzati sono presenti nelle locations in cui abbiamo cercato, alla voce Unsearchable items. È importante ricordare che sugli oggetti non indicizzati la piattaforma non può sapere se essi siano di qualche valore alla nostra ricerca, sarà necessario del lavoro manuale per determinare se essi sono rilevanti oppure no.

  1. Come esportarlo

Nella seconda parte della blade abbiamo la possibilità di scegliere come si desidera esportare il contenuto di Exchange Online:

  • Un PST per ogni mailbox
  • Un PST contente tutti i messaggi, dividendo le mailbox in cartelle separate
  • Un PST con tutti i messaggi in una singola cartella
  • I messaggi individuali, in formato *.msg

L’opzione di deduplica dei messaggi è utilizzabile solo ed esclusivamente quando si sceglie di esportare un PST singolo.

Per quanto riguarda SharePoint Online vi è la possibilità di esportare, oltre all’ultima versione di un documento, anche le sue versioni precedenti.

Premendo su Export verrà creato il job di export che copierà i dati su un Azure Blob Storage dal quale potremo scaricare i risultati.

Figura 14 – Export results

Una volta terminata la copia sul Azure Blob Storage sarà possibile procedere all’esportazione premendo su “Download results

Figura 15 – Export status

Verrà quindi lanciato l’eDiscovery Export Tool, un’applicazione ClickOnce, che chiederà la Export key generata nel pannello di Export ed una destinazione nella quale scaricare i files.

Figura 16 – eDiscovery Export Tool

Figura 17 – Download terminato

Al termine del download è possibile esaminare i files tramite il File Explorer.

Figura 18 – Files esportati

Poichè in questa ricerca si è scelto di esportare anche gli elementi non indicizzabili, sono presenti due file PST: uno con i risultati della ricerca ed un altro con gli elementi non indicizzabili.

Figura 19 – PST unsearchable

Lo stesso discorso vale per SharePoint Online.

Figura 20 – SPO unsearchable

Nel file results.csv sono disponibili molti dettagli utili inerenti agli oggetti esportati. La colonna “Duplicate to Item” è popolata con il “Document ID” dell’elemento duplicato (che non viene esportato) solo quando è attiva l’opzione di deduplica.

Alla pagina What’s included in the report trovate tutte le informazioni sui report che vengono prodotti durante l’esportazione di una ricerca.

Figura 21 – Export results CSV

Conclusioni

Con la funzione Content Search, Microsoft 365 permette di trovare rapidamente il contenuto all’interno del cloud, tramite una interfaccia intuitiva e facile da utilizzare. Questo permette alle aziende di rispondere con la rapidità del cloud alle richieste di dati, sia per motivi di compliance alle normative come il GDPR che per collezionare documenti per un dibattimento giudiziario. La funzione Content Search è la pietra angolare delle funzionalità di eDiscovery che approfondiremo prossimamente. Alla pagina Overview of content search trovate la documentazione ufficiale di questa funzionalità.