Microsoft Purview: Content Search
La serie di articolo inerenti a Microsoft Purview continua, oggi parleremo di Content Search una funzionalità già vista come parte integrante di eDiscovery (Standard), vi riporto a titolo informativo l’articolo in questione qualora vogliate approfondire Microsoft Purview: eDiscovery (Standard) – ICT Power
È possibile utilizzare la ricerca del contenuto direttamente dal portale di Microsoft Purview questo è un vantaggio non indifferente in quanto il portale offre tutti i servizi legati alla compliance.
Con Content Search è possibile ricercare il contenuto all’interno dei seguenti Workload di Microsoft 365:
Cassette postali di Exchange Online
- Siti di SharePoint Online e account di OneDrive for Business
- Microsoft Teams
- Gruppi di Microsoft 365
- Gruppi Viva Engage
Dopo aver eseguito una ricerca con questa funzionalità è possibile avere una serie di informazioni dettagliate ed utili come ad esempio il numero di risultati ottenuti, la dimensione degli stessi ed è possibile visualizzarne l’anteprima oppure eseguire il download dei risultati all’interno del computer locale.
Vi riporto a titolo informativo cosa è possibile fare nello specifico con questa funzionalità:
- Creare ed eseguire ricerca di Contenuto
- Creare delle query per “restringere” la ricerca
- Configurare dei filtri per la ricerca (es. Data ultima modifica, Sender ecc.)
- Cercare nelle cassette postali in hosting presso Exchange Online
- Visualizzare le statistiche prima dell’export
Ora vi starete chiedendo, ma allora quale differenza c’è tra Content Search ed eDiscovery (Standard)?
La risposta è molto semplice, e per darvi la risposta a questa domanda utilizzerò la sottostante tabella, che vi mostra le differenze:
Capability |
Content search |
eDiscovery (Standard) |
Search for content | ||
Keyword queries and search conditions | ||
Search statistics | ||
Export search results | ||
Role-based permissions | ||
Case management | ||
Place content locations on legal hold |
Come descritto nella tabella, le due differenze tra questi servizi sono:
- Case Management
- Place content locations on legal hold
Quindi con Content Search potrete solo ricercare il contenuto, ma senza poter creare Case e quindi dare accesso a Manager a quella ricerca specifica e non ci sarà la possibilità di “bloccare” il contenuto durante la ricerca.
Licenze
Per poter sfruttare questa funzionalità sono necessarie delle licenze specifiche:
- Microsoft 365 E3: per eseguire la ricerca del contenuto Microsoft 365 E3 | M365 Maps
- Microsoft 365 E5: per eseguire la ricerca del contenuto con i tools avanzati di eDiscovery Microsoft 365 E5 | M365 Maps
Per eventuali approfondimenti vi rimando all’articolo ufficiale di casa Redmond Microsoft Purview service description – Service Descriptions | Microsoft Learn
Limitazioni
Sono presenti alcune limitazioni per l’utilizzo del servizio:
- In una distribuzione Ibrida di Exchange non è possibile utilizzare lo strumento di ricerca, per eseguire eDiscovery nella cassette postali di Exchange, ma solo per le cassette postali di Exchange Online
- In una distribuzione Ibrida di Exchange è possibile cercare i dati nelle chat di Microsoft teams delle cassette postali locali
Ruoli
Per poter eseguire ricerche ed export all’interno del portale di Microsoft Purview per il servizio di Content Search è necessario che l’utente che esegue l’attività sia membro di uno dei seguenti ruoli:
- Organization Management
- eDiscovery Manager
- eDiscovery Administrator
Nel mio caso l’utente in questione è un eDiscovery Administrator.
Svolgimento
Prima di iniziare a descrivervi il processo con cui implementare questa funzionalità, vorrei mettervi al corrente che accedendo al portale di Microsoft Purview con il link diretto di https://compliance.microsoft.com avrete un avviso, che come indicato nei precedenti articoli, il portale in oggetto è stato “ritirato” in favore del nuovo portale di https://purview.microsoft.com
Figura 1: Avviso Microsoft in cui viene indicato che il portale legacy è stato “ritirato” a Novembre 2024
Per darvi evidenza di questa funzionalità, utilizzerò il mio utente che sarà un eDiscovery Manager ed un tenant Microsoft 365 con licenze Microsoft 365 E5 ed un utente Demo User in cui ricercheremo il contenuto dei seguenti Workload:
- Exchange Online
- Microsoft Teams
- OneDrive for Business
Ora procediamo ad assegnare il ruolo di eDiscovery Administrator al nostro utente che ci permetterà successivamente di poter eseguire l’Export della ricerca, accediamo quindi al portale di Microsoft Purview
Figura 2: Selezioniamo eDiscovery Manager e clicchiamo “edit” per modificare il ruolo ed aggiungere il nostro utente
Figura 3: Proseguiamo con la succesiva configurazione in quanto vogliamo assegnare il ruolo Administrator e non Manager
Figura 4: Selezioniamo l’utente a cui vogliamo assegnare il ruolo di eDiscovery Administrator, nel mio caso il mio utente
Figura 5: Assegnazione ruolo eDiscovery Administrator al mio utente
Figura 6: Review della configurazione e salvataggio
Figura 7: Configurazione effettuata in modo corretto
NB: Una volta assegnato il permesso, ci vorrà del tempo prima che si propaghi nel modo corretto, io ho dovuto attendere circa un’ora
Una volta che il permesso al ruolo si è correttamente propagato, potrete accedere alla sezione di eDiscovery del portale di Microsoft Purview
Figura 8: Accesso alla sezione di eDiscovery direttamente dal portale di Microsoft Purview
Figura 9: Creazione di una nuova ricerca con la funzionalità di Content Search
Figura 10: Compilare nome della ricerca e descrizione, vi consiglio di inserire questi due campi come “parlanti” per una veloce identificazione futura
Figura 11: Abilitazione della ricerca in Exchange Online e selezione dell’utente su cui eseguire la ricerca
Figura 12: Selezioniamo l’utente Demo User ed il Team su cui eseguire la ricerca
Figura 13: Selezioniamo a questo punto OneDrive e Teams Site (che include il contenuto dei file)
Figura 14: Selezioniamo il Sito relativo al Team e quello relativo a OneDrive for Business del nostro utente demo
Figura 15: Proseguiamo con l’attività cliccando su Next
Figura 16: Non inseriamo filtri in quanto vogliamo esportare tutti il contenuto, ma ci sarebbe la possibilità di filtrare per data, estensione file ecc…
Figura 17: Possibili filtri che potete applicare
Figura 18: Review della configurazione e facciamo il submit
Figura 19: Salvataggio della configurazione effettuato in modo corretto
Figura 20: Ricerca salvata presente nel portale di Microsoft Purview
Ora cliccando sul nome della ricerca avrete visibilità di molte statistiche
Figura 21: Statistiche “Condition Report”
Figura 22: Statistiche “Search Content”
Figura 23: Statistiche “Top Location” e Download Report
Figura 24: Report appena scaricato
Ora siete pronti per eseguire l’export dei risultati all’interno del computer locale, per farlo, direttamente dal portale di Microsoft Purview
Figura 25: Selezioniamo la ricerca ed esportiamo i risultati
Figura 26: Selezioniamo di esportare tutti gli elementi anche quelli eventualmente corrotti e di esportare le mailbox in un unico PST
Figura 27: Job di Export correttamente inizializzato
Figura 28: Job di Export correttamente presente a portale Purview
Ora dovremmo attendere il tempo in cui i risultati saranno pronti, nel mio caso con le numeriche che avete visto dai procedenti screen ci ha impiegato all’incirca un’oretta
Figura 29: Utente amministratore riceve una mail da Microsoft che lo avvisa del fatto dello start del Job di Export
Ora copiatevi la “Export Key”, che è una stringa di testo necessaria per validare il download nei passaggi successivi
Figura 30: Copiare la Export Key, il consiglio è quello di copiarla in modo momentaneo in un TXT
Figura 31: Premiamo “Download Results” per cominciare il download del contenuto
Figura 32: Richiesta di apertura di Export Tools
Figura 33: Installazione di Export Tools
Figura 34: Fase di installazione di eDiscovery Export Tools
Figura 35: Inserimento chiave di export copiata in precedenza e selezionare il percorso dove eseguire Export, nel mio caso “c:\service”
Figura 36: eDiscovery Export Tools in fase di Download
Figura 37: Export completato con successo
Ora rechiamoci all’interno del percorso di Export, nel mio caso C:\service
Figura 38: Cartella contenente tutto l’Export richiesto nel Content Search
Figura 39: Cartelle contenenti PST della cassetta postale (Exchange) e Sharepoint (Teams e OneDrive)
Figura 40: Contenuto di OneDrive correttamente esportato all’interno del computer Locale
Figura 41: Contenuto esportato relativo al Team SocTechCloud
Possiamo in questo modo aprire qualsiasi file senza alcun tipo di problema, è stata quindi fatta una copia del contenuto e scaricata all’interno del dispositivo Locale.
Per la parte relativa ad Exchange, bisogna accedere alla cartella “Exchange” e aprire il PST direttamente da Outlook
Figura 42: Apertura del File PST direttamente da Outlook
Figura 43: Apertura File PST dal percorso in cui lo abbiamo esportato
Figura 44: Contenuto del PST relativo all’utente e al gruppo di posta legato al Team SOC
Se la ricerca non è più necessaria è possibile rimuoverla direttamente dal portale di Microsoft Purview
Figura 45: Eliminazione della ricerca quando non più necessaria
Conclusioni
Uno strumento veramente utile e interessante in ottica di Compliance dei dati delle organizzazioni.
Con Content Search potete ricercare del contenuto all’interno di tutti i servizi Microsoft 365 senza dover “disturbare” gli utenti per eseguire export di contenuto, oltre a questo benefit, potete tener traccia di tutte le attività che vengono svolte durante la ricerca, in quanto qualsiasi attività è tracciata all’interno dei Log di Audit del sistema.
Compliance e Sicurezza vanno quindi di pari passo ed essere sempre aggiornati con gli ultimi standard di sicurezza ormai è una must delle organizzazioni.