Microsoft Purview: eDiscovery (Premium)
La soluzione di Microsoft Purview eDiscovery (Premium) si base sulle funzionalità di analisi e di eDiscovery (Standard) esistenti ed offre un flusso di lavoro end-to-end per conservare, raccogliere, analizzare, rivedere ed esportare contenuti che rispondano ad indagini internet ed esterne all’organizzazione in Microsoft 365.
E’ possibile utilizzare eDiscovery (Premium) per inserire un blocco di eDiscovery nei percorsi del contenuto come ad esempio:
- Cassette postali di Exchange Online
- Siti di Sharepoint Online
- Account di OneDrive for Business
- Siti di Microsoft Teams
La soluzione consente ai Team Legali di gestire il flusso di lavoro per le notifiche di blocco a fini giudiziari con i responsabili coinvolti del caso di ricerca.
Figura 1: Flusso di eDiscovery
Figura 2: Flusso di eDiscovery (Premium)
eDiscovery (Premium) può aiutare l’organizzazione a rispondere a questioni legali o indagini interne individuando i dati e capendo dove essi si trovino.
È possibile gestire facilmente i flussi di lavoro di eDiscovery identificando le persone di interesse e le relative origini di dati, applicare facilmente i blocchi per conservare i dati e quindi gestire il processo di comunicazione di blocco legale.
Raccogliendo dati dall’origine, è possibile eseguire ricerche nella piattaforma di Microsoft 365 live per trovare rapidamente ciò di cui si ha bisogno. Le funzionalità di AI (Artificial Intelligence) di Machine Learning, come ad esempio l’indicizzazione approfondita, il threading della posta elettronica e il rilevamento, consentono anche di ridurre grandi volumi di dati ad un set di dati molto pertinente.
È bene inoltre specificarvi che il flusso di lavoro di eDiscovery (Premium) in Microsoft 365 è allineato al processo di eDiscovery descritto da Electronic Discovery Reference Model (EDRM) Current EDRM Model – EDRM
Figura 3: Flusso di Electronic Discovery Reference Model (EDRM)
All’interno della community ho inoltre parlato delle altre due soluzioni di eDiscovery (di cui vi riporto i link degli articoli):
- Content Search Microsoft Purview: Content Search – ICT Power
- eDiscovery (Standard) Microsoft Purview: eDiscovery (Standard) – ICT Power
Quali sono le differenze tra eDiscovery (Standard) ed eDiscovery (Premium) ?
Capability | eDiscovery (Standard) | eDiscovery (Premium) |
Search for content | ||
Keyword queries and search conditions | ||
Search statistics | ||
Export search results | ||
Role-based permissions | ||
Case management | ||
Place content locations on legal hold | ||
Custodian management | ||
Legal hold notifications | ||
Advanced indexing | ||
Error remediation | ||
Review sets | ||
Support for cloud attachments and SharePoint versions | ||
Optical character recognition | ||
Conversation threading | ||
Collection statistics and reports | ||
Review set filtering | ||
Tagging | ||
Analytics | ||
Predictive coding models | ||
Computed document metadata | ||
Transparency of long-running jobs | ||
Export to customer-owned Azure Storage location |
Come avete potuto notare, le differenze tra la Standard e la Premium sono molte e vorrei darvi evidenza di una alla volta delle singole funzionalità:
- Custodian management: Gestione delle persone che vengono identificate come “interessate” al caso (chiamate depositari) ogni operazione che viene eseguita all’interno del caso è tracciata da un identificativo univoco per mantenere appunto la “catena di custodia” è possibile inoltre comunicare con i membri del caso all’interno del caso stesso inserendo delle “note”
- Legal hold notifications: Quando viene attivato un blocco sul contenuto dell’utente coinvolto in un caso il processo invia delle notifiche a fini giudiziari ai responsabili del caso e tutte queste notifiche (letture, invii ecc) vengono tracciati e mantenuti all’interno della catena di custodia.
- Advanced indexing: Quando si aggiungono origini dati custodiali e non custodie a un caso, i percorsi di contenuto associati vengono reindicizzati in un processo denominato indicizzazione avanzata. L’indicizzazione avanzata garantisce che qualsiasi contenuto considerato parzialmente indicizzato venga rielaborato per renderlo completamente ricercabile quando si raccolgono i dati per un’indagine
- Error remediation: questa funzionalità Premium è molto utile, in quanto se esistono dei dati protetti da Password durante la ricerca non possono essere letti, con questa funzione è possibile scaricare un report con i nomi dei file così da poter rimuovere la protezione ed successivamente essere scaricati senza problemi
- Review sets: Aggiungi dati pertinenti a un set di revisioni. Un set di revisione è un percorso di archiviazione di Azure sicuro fornito da Microsoft nel cloud Microsoft. Quando si aggiungono dati a un set di revisione, gli elementi raccolti vengono copiati dalla posizione del contenuto originale al set di revisione. I set di recensioni forniscono un set di contenuto statico e noto in cui è possibile cercare, filtrare, etichettare, analizzare e prevedere la pertinenza utilizzando modelli di codifica predittiva. Puoi anche monitorare e segnalare quali contenuti vengono aggiunti al set di recensioni.
- Support for cloud attachments and SharePoint versions: Quando si aggiunge contenuto a un set di revisione, è possibile includere allegati cloud o file collegati. Ciò significa che il file di destinazione di un allegato cloud o di un file collegato viene aggiunto al set di revisione. È inoltre possibile aggiungere tutte le versioni di un documento SharePoint a un set di revisione.
- Optical character recognition: Quando il contenuto viene aggiunto a un set di revisione, la funzionalità OCR estrae il testo dalle immagini e include il testo dell’immagine con il contenuto aggiunto a un set di revisione. In questo modo è possibile cercare il testo dell’immagine quando si esegue una query sul contenuto del set di revisione.
- Conversation threading: Quando i messaggi di chat delle conversazioni di Teams e Viva Engage vengono aggiunti a un set di revisione, è possibile raccogliere l’intero thread di conversazione. Ciò significa che l’intera conversazione in chat che contiene elementi che corrispondono ai criteri di raccolta viene aggiunta al set di recensioni. In questo modo è possibile rivedere gli elementi della chat nel contesto della conversazione avanti e indietro
- Collection statistics and reports:
Dopo aver creato una stima della raccolta o aver eseguito il commit di una raccolta in un set di revisione, è possibile visualizzare un set completo di statistiche sugli elementi recuperati, ad esempio i percorsi di contenuto che contengono il maggior numero di elementi che corrispondono ai criteri di ricerca e il numero di elementi restituiti dalla query di ricerca. È inoltre possibile visualizzare in anteprima un sottoinsieme dei risultati.
- Review set filtering:
Dopo aver aggiunto il contenuto a un set di revisione, è possibile applicare filtri per visualizzare solo il set di elementi che corrispondono ai criteri di filtro. È quindi possibile salvare i set di filtri come query, in modo da riapplicare rapidamente i filtri salvati. Le query Review, Set, Filtering e Saved consentono di selezionare rapidamente gli elementi di contenuto più rilevanti per l’indagine.
- Tagging:
I tag ti aiutano anche a omettere i contenuti non pertinenti e a identificare i contenuti più pertinenti. Quando esperti, avvocati o altri utenti esaminano i contenuti in un set di recensioni, le loro opinioni relative al contenuto possono essere acquisite utilizzando i tag. Ad esempio, se l’intento è quello di escludere il contenuto non necessario, un utente può contrassegnare i documenti con un tag come “non risponde”. Dopo che il contenuto è stato esaminato e contrassegnato, è possibile creare una query del set di revisione per escludere qualsiasi contenuto contrassegnato come “non reattivo”. Questo processo elimina il contenuto non reattivo dai passaggi successivi nel flusso di lavoro di eDiscovery. - Analytics:
eDiscovery (Premium) fornisce strumenti per analizzare i documenti del set di revisione per organizzare i documenti in modo coerente e ridurre il volume dei documenti da esaminare. Il rilevamento quasi duplicato raggruppa documenti testualmente simili per aiutarti a rendere più efficiente il tuo processo di revisione. Il threading di posta elettronica identifica messaggi di posta elettronica specifici che forniscono un contesto completo della conversazione in un thread di posta elettronica. La funzionalità Temi tenta di analizzare i temi nei documenti del set di revisione e di assegnare un tema ai documenti in modo da poter rivedere i documenti con un tema correlato. Queste funzionalità di analisi aiutano a rendere più efficiente il processo di revisione in modo che i revisori possano rivedere una frazione dei documenti raccolti. - Predictive coding models:
Utilizza i modelli di codifica predittiva per ridurre grandi volumi di contenuto del caso a un set pertinente di elementi a cui puoi dare priorità per la revisione. A tale scopo, è possibile creare e addestrare modelli di codifica predittiva personalizzati che consentono di assegnare priorità alla revisione degli elementi più rilevanti in un set di revisione. Il sistema utilizza il training per applicare i punteggi di stima a ogni elemento del set di revisione. In questo modo è possibile filtrare gli elementi in base al punteggio di stima, che consente di esaminare prima gli elementi più pertinenti (o non pertinenti). - Computed document metadata:
Molte delle funzionalità di eDiscovery (Premium), ad esempio l’indicizzazione avanzata, il threading delle conversazioni, l’analisi e la codifica predittiva, aggiungono proprietà di metadati per rivedere i documenti impostati. Questi metadati contengono informazioni relative alla funzione svolta da una funzione specifica. Durante la revisione dei documenti, è possibile filtrare in base alle proprietà dei metadati per visualizzare i documenti che corrispondono ai criteri di filtro. Questi metadati possono essere importati in applicazioni di revisione di terze parti dopo l’esportazione dei documenti del set di revisione. - Transparency of long-running jobs:
I processi in eDiscovery (Premium) sono in genere processi a esecuzione prolungata attivati dalle azioni dell’utente, ad esempio l’aggiunta di responsabili a un caso, l’aggiunta di contenuto a un set di revisione, l’esecuzione di analisi e il training di modelli di codifica predittiva. È possibile tenere traccia dello stato di questi processi e ottenere informazioni di supporto se è necessario inoltrare i problemi al supporto tecnico Microsoft. - Export to customer-owned Azure Storage location:
Quando si esportano documenti da un set di revisione, è possibile esportarli in un account di archiviazione di Azure gestito dall’organizzazione. Inoltre, eDiscovery (Premium) consente di personalizzare i dati esportati. Ciò include l’esportazione di metadati di file, file nativi, file di testo, tag e documenti oscurati salvati in un file PDF.
Per eventuali approfondimenti vi lascio il link ufficiale Microsoft Microsoft Purview eDiscovery solutions | Microsoft Learn
Quali licenze sono necessarie per la funzionalità?
Feature | Microsoft 365 E5 + Microsoft 365 Copilot | Microsoft 365 E3 + Microsoft 365 Copilot | Microsoft 365 E5 Compliance + Copilot 1 Microsoft 365 E5 eDiscovery & Audit + Copilot 1 | E5/A5/F5/G5, Microsoft 365 E5/A5/F5/G5 Compliance, Microsoft 365 E5/A5/F5/G5 eDiscovery and Audit, Office 365 E5/A5/G5 | Microsoft Office 365 E3/A3/G3/F3 |
eDiscovery (Premium) | Yes | No | Yes | Yes | No |
Premium search for Copilot interactions | Yes | No | Yes | No | No |
1 Requires Microsoft 365 E3.
Questa volta oltre al sito di Aaron Dinnage per le licenze Home | M365 Maps , visto l’argomento molto complesso vi rimando anche al link Microsoft ufficiale Microsoft Purview service description – Service Descriptions | Microsoft Learn
Per darvi evidenza di questa funzionalità di una ricerca di contenuto all’interno di una cassetta posta di Exchange Online e l’attivazione della funzionalità di “Blocco” con relative notifiche.
Utilizzerò per questa soluzione due utenti:
- Demo User: Utente su cui andremo ad eseguire la ricerca del contenuto nella cassetta posta di Microsoft Exchange
- Guido (il mio utente): utente a cui assegneremo i permessi di eDiscovery Administrator per amministrare il caso di eDiscovery Premium
Figura 4: Utenti che sono oggetto dell’attività di eDiscovery (Premium)
Figura 5: Licenze a disposizione per la funzionalità di eDiscovery (Premium)
Figura 6: Contenuto cassetta postale dell’utente Demo User
Ora possiamo accedere al portale di Microsoft Purview per assegnare il ruolo di eDiscovery Administrator
Figura 7: Accesso al portale di Microsoft Purview per assegnare il ruolo di eDiscovery Administrator
Figura 8: Ricerchiamo eDiscovery Manager
Figura 9: Editiamo il ruolo di eDiscovery Manager
Figura 10: Clicchiamo su Next in quanto io assegnerò il ruolo di Administrator, ma se per caso voleste assegnare il ruolo Manager basterò cliccare su “Choose Users” e selezionare il rispettivo utente
Figura 11: Selezioniamo l’utente a cui voler assegnare il ruolo di eDiscovery Administrator, nel mio caso il mio utente
Figura 12: Clicchiamo su Next per proseguire l’assegnazione del ruolo di eDiscovery Administrator
Figura 13: Review delle assegnazioni effettuate e salvataggio della configurazione dei ruoli effettuata
Figura 14: Assegnazione ruolo andata a buon fine e clicchiamo su “Done”
Ora possiamo procedere a creare un caso di eDiscovery (Premium)
Figura 15: Rechiamoci nella sezione di eDiscovery per procedere alla creazione del case
Figura 16: Verifica dei settings di eDiscovery (Premium)
Figura 17: Settings che potete impostare per la parte di eDiscovery (Premium) potremmo voler dare accesso ad utenti guest (legali) al caso di eDiscovery
Figura 18: Procediamo alla creazione di un case di eDiscovery (Premium)
Figura 19: Scegliamo un nome e una descrizione “parlante” un identificativo univoco e proseguiamo con la configurazione
Figura 20: Scegliamo gli utenti che devono avere accesso al case, abbiamo la possibilità di ridurre elementi duplicati ed aggiungere delle esclusioni sulla ricerca tramite una query
Figura 21: Overview del caso e salvataggio dello stesso
Figura 22: Caso creato con successo
Figura 23: Settings configurabili per il case di eDiscovery Premium
Figura 24: Inserimento di un “Custode” del caso nel mio caso inserirò sempre il mio utente
Figura 25: Selezioniamo il “custode” a cui verrà applicato il blocco “hold” della mailbox (nel mio caso proprio il mio utente)
Figura 26: Utente custode che abbiamo inserito correttamente all’interno del case
Figura 27: Overview della configurazione della “custodia” e salvataggio
Figura 28: Custode correttamente configurato
Ora potete procedere a configurare la ricerca del contenuto
Figura 29: Creiamo una nuova collection per dire quale contenuto estrapolare dalla ricerca
Figura 30: Creiamo un nome ed una descrizione per identificare la ricerca
Figura 31: Selezioniamo un Custode del caso, creato in precedenza, in modo tale che riceva le notifiche relative alla ricerca ed al caso
Figura 32: Selezioniamo l’utente e la location in cui eseguire la ricerca nel mio caso Exchange Online di Demo User
Figura 33: Non creiamo filtri nella query in quanto nel mio caso voglio procedere ad esportare tutto il contenuto della cassetta postale
Figura 34: Overview e creazione della ricerca
Figura 35: Collection creata che è in stato di processing
Ora dovrete attendere la fine, la stima purtroppo non è calcolabile in quanto dipende veramente da molti fattori, come ad esempio dimensione della casetta postale, numero di elementi.
Vi vorrei anche dare evidenza del fatto che è tutto tracciato, nella tab “Jobs” sono presenti le attività eseguite
Figura 36: Tab Jobs che identificata tutte le attività svolte all’interno del case
Figura 37: L’utente “custode” viene avvisato via e-mail dello “start” della ricerca nel caso di eDiscovery
Con eDiscovery (Premium) la ricerca in questione viene eseguita anche per gli utenti che sono “Custodi” infatti come è possibile vedere dalle statistiche di ricerca vediamo che è presente anche il mio utente
Figura 38: Statistiche di ricerca che includono il custode più l’utente oggetto della ricerca
Figura 39: Procediamo all’Export della ricerca del contenuto
Figura 40: Scegliamo di Esportare un file PST singolo per ogni Mailbox
Figura 41: export dei risultati iniziato
Figura 42: Export dei risultati in Progress
Figura 43: Export Completato
Ora dobbiamo procedere a “scaricare” il contenuto all’interno di un dispositivo locale
Figura 44: Selezioniamo il file ed eseguiamo il download
Figura 45: Download del report
Figura 46: File Presenti all’interno della cartella di Download
Ora per darvi evidenza dei risultati aprirò il file PST dell’utente [email protected]
Figura 47: In Outlook client selezioniamo apri file di dati (pst)
Figura 48: Contenuto Export all’interno del file pst
Conclusioni
Lo strumento di eDiscovery (Premium) offre alle organizzazioni qualcosa a mio avviso di straordinario in quanto permette di tenere traccia in caso di problemi “legali” di tutte le modifiche effettuate all’interno del caso e vi permette di avere un export puntuale dei dati che poi potete utilizzare anche per scopi legali in modo puntuale.
Questo strumento, come gli altri di eDiscovery è disponibile inoltre sotto un unico portale e questo permette agli IT Admin di gestire la compliance nel migliore dei modi con un notevole risparmio di tempo.