Microsoft Purview: Content Search

La serie di articolo inerenti a Microsoft Purview continua, oggi parleremo di Content Search una funzionalità già vista come parte integrante di eDiscovery (Standard), vi riporto a titolo informativo l’articolo in questione qualora vogliate approfondire Microsoft Purview: eDiscovery (Standard) – ICT Power

È possibile utilizzare la ricerca del contenuto direttamente dal portale di Microsoft Purview questo è un vantaggio non indifferente in quanto il portale offre tutti i servizi legati alla compliance.

Con Content Search è possibile ricercare il contenuto all’interno dei seguenti Workload di Microsoft 365:

Cassette postali di Exchange Online

  • Siti di SharePoint Online e account di OneDrive for Business
  • Microsoft Teams
  • Gruppi di Microsoft 365
  • Gruppi Viva Engage

Dopo aver eseguito una ricerca con questa funzionalità è possibile avere una serie di informazioni dettagliate ed utili come ad esempio il numero di risultati ottenuti, la dimensione degli stessi ed è possibile visualizzarne l’anteprima oppure eseguire il download dei risultati all’interno del computer locale.

Vi riporto a titolo informativo cosa è possibile fare nello specifico con questa funzionalità:

  • Creare ed eseguire ricerca di Contenuto
  • Creare delle query per “restringere” la ricerca
  • Configurare dei filtri per la ricerca (es. Data ultima modifica, Sender ecc.)
  • Cercare nelle cassette postali in hosting presso Exchange Online
  • Visualizzare le statistiche prima dell’export

Ora vi starete chiedendo, ma allora quale differenza c’è tra Content Search ed eDiscovery (Standard)?

La risposta è molto semplice, e per darvi la risposta a questa domanda utilizzerò la sottostante tabella, che vi mostra le differenze:

Capability

Content search

eDiscovery (Standard)

Search for content

Keyword queries and search conditions

Search statistics

Export search results

Role-based permissions

Case management

Place content locations on legal hold

Come descritto nella tabella, le due differenze tra questi servizi sono:

  • Case Management
  • Place content locations on legal hold

Quindi con Content Search potrete solo ricercare il contenuto, ma senza poter creare Case e quindi dare accesso a Manager a quella ricerca specifica e non ci sarà la possibilità di “bloccare” il contenuto durante la ricerca.

Licenze

Per poter sfruttare questa funzionalità sono necessarie delle licenze specifiche:

Per eventuali approfondimenti vi rimando all’articolo ufficiale di casa Redmond Microsoft Purview service description – Service Descriptions | Microsoft Learn

Limitazioni

Sono presenti alcune limitazioni per l’utilizzo del servizio:

  • In una distribuzione Ibrida di Exchange non è possibile utilizzare lo strumento di ricerca, per eseguire eDiscovery nella cassette postali di Exchange, ma solo per le cassette postali di Exchange Online
  • In una distribuzione Ibrida di Exchange è possibile cercare i dati nelle chat di Microsoft teams delle cassette postali locali

Ruoli

Per poter eseguire ricerche ed export all’interno del portale di Microsoft Purview per il servizio di Content Search è necessario che l’utente che esegue l’attività sia membro di uno dei seguenti ruoli:

  • Organization Management
  • eDiscovery Manager
  • eDiscovery Administrator

Nel mio caso l’utente in questione è un eDiscovery Administrator.

Svolgimento

Prima di iniziare a descrivervi il processo con cui implementare questa funzionalità, vorrei mettervi al corrente che accedendo al portale di Microsoft Purview con il link diretto di https://compliance.microsoft.com avrete un avviso, che come indicato nei precedenti articoli, il portale in oggetto è stato “ritirato” in favore del nuovo portale di https://purview.microsoft.com

Figura 1: Avviso Microsoft in cui viene indicato che il portale legacy è stato “ritirato” a Novembre 2024

Per darvi evidenza di questa funzionalità, utilizzerò il mio utente che sarà un eDiscovery Manager ed un tenant Microsoft 365 con licenze Microsoft 365 E5 ed un utente Demo User in cui ricercheremo il contenuto dei seguenti Workload:

  • Exchange Online
  • Microsoft Teams
  • OneDrive for Business

Ora procediamo ad assegnare il ruolo di eDiscovery Administrator al nostro utente che ci permetterà successivamente di poter eseguire l’Export della ricerca, accediamo quindi al portale di Microsoft Purview

Figura 2: Selezioniamo eDiscovery Manager e clicchiamo “edit” per modificare il ruolo ed aggiungere il nostro utente

Figura 3: Proseguiamo con la succesiva configurazione in quanto vogliamo assegnare il ruolo Administrator e non Manager

Figura 4: Selezioniamo l’utente a cui vogliamo assegnare il ruolo di eDiscovery Administrator, nel mio caso il mio utente

Figura 5: Assegnazione ruolo eDiscovery Administrator al mio utente

Figura 6: Review della configurazione e salvataggio

Figura 7: Configurazione effettuata in modo corretto

NB: Una volta assegnato il permesso, ci vorrà del tempo prima che si propaghi nel modo corretto, io ho dovuto attendere circa un’ora

Una volta che il permesso al ruolo si è correttamente propagato, potrete accedere alla sezione di eDiscovery del portale di Microsoft Purview

Figura 8: Accesso alla sezione di eDiscovery direttamente dal portale di Microsoft Purview

Figura 9: Creazione di una nuova ricerca con la funzionalità di Content Search

Figura 10: Compilare nome della ricerca e descrizione, vi consiglio di inserire questi due campi come “parlanti” per una veloce identificazione futura

Figura 11: Abilitazione della ricerca in Exchange Online e selezione dell’utente su cui eseguire la ricerca

Figura 12: Selezioniamo l’utente Demo User ed il Team su cui eseguire la ricerca

Figura 13: Selezioniamo a questo punto OneDrive e Teams Site (che include il contenuto dei file)

Figura 14: Selezioniamo il Sito relativo al Team e quello relativo a OneDrive for Business del nostro utente demo

Figura 15: Proseguiamo con l’attività cliccando su Next

Figura 16: Non inseriamo filtri in quanto vogliamo esportare tutti il contenuto, ma ci sarebbe la possibilità di filtrare per data, estensione file ecc…

Figura 17: Possibili filtri che potete applicare

Figura 18: Review della configurazione e facciamo il submit

Figura 19: Salvataggio della configurazione effettuato in modo corretto

Figura 20: Ricerca salvata presente nel portale di Microsoft Purview

Ora cliccando sul nome della ricerca avrete visibilità di molte statistiche

Figura 21: Statistiche “Condition Report”

Figura 22: Statistiche “Search Content”

Figura 23: Statistiche “Top Location” e Download Report

Figura 24: Report appena scaricato

Ora siete pronti per eseguire l’export dei risultati all’interno del computer locale, per farlo, direttamente dal portale di Microsoft Purview

Figura 25: Selezioniamo la ricerca ed esportiamo i risultati

Figura 26: Selezioniamo di esportare tutti gli elementi anche quelli eventualmente corrotti e di esportare le mailbox in un unico PST

Figura 27: Job di Export correttamente inizializzato

Figura 28: Job di Export correttamente presente a portale Purview

Ora dovremmo attendere il tempo in cui i risultati saranno pronti, nel mio caso con le numeriche che avete visto dai procedenti screen ci ha impiegato all’incirca un’oretta

Figura 29: Utente amministratore riceve una mail da Microsoft che lo avvisa del fatto dello start del Job di Export

Ora copiatevi la “Export Key”, che è una stringa di testo necessaria per validare il download nei passaggi successivi

Figura 30: Copiare la Export Key, il consiglio è quello di copiarla in modo momentaneo in un TXT

Figura 31: Premiamo “Download Results” per cominciare il download del contenuto

Figura 32: Richiesta di apertura di Export Tools

Figura 33: Installazione di Export Tools

Figura 34: Fase di installazione di eDiscovery Export Tools

Figura 35: Inserimento chiave di export copiata in precedenza e selezionare il percorso dove eseguire Export, nel mio caso “c:\service”

Figura 36: eDiscovery Export Tools in fase di Download

Figura 37: Export completato con successo

Ora rechiamoci all’interno del percorso di Export, nel mio caso C:\service

Figura 38: Cartella contenente tutto l’Export richiesto nel Content Search

Figura 39: Cartelle contenenti PST della cassetta postale (Exchange) e Sharepoint (Teams e OneDrive)

Figura 40: Contenuto di OneDrive correttamente esportato all’interno del computer Locale

Figura 41: Contenuto esportato relativo al Team SocTechCloud

Possiamo in questo modo aprire qualsiasi file senza alcun tipo di problema, è stata quindi fatta una copia del contenuto e scaricata all’interno del dispositivo Locale.

Per la parte relativa ad Exchange, bisogna accedere alla cartella “Exchange” e aprire il PST direttamente da Outlook

Figura 42: Apertura del File PST direttamente da Outlook

Figura 43: Apertura File PST dal percorso in cui lo abbiamo esportato

Figura 44: Contenuto del PST relativo all’utente e al gruppo di posta legato al Team SOC

Se la ricerca non è più necessaria è possibile rimuoverla direttamente dal portale di Microsoft Purview

Figura 45: Eliminazione della ricerca quando non più necessaria

Conclusioni

Uno strumento veramente utile e interessante in ottica di Compliance dei dati delle organizzazioni.

Con Content Search potete ricercare del contenuto all’interno di tutti i servizi Microsoft 365 senza dover “disturbare” gli utenti per eseguire export di contenuto, oltre a questo benefit, potete tener traccia di tutte le attività che vengono svolte durante la ricerca, in quanto qualsiasi attività è tracciata all’interno dei Log di Audit del sistema.

Compliance e Sicurezza vanno quindi di pari passo ed essere sempre aggiornati con gli ultimi standard di sicurezza ormai è una must delle organizzazioni.