Microsoft Purview: eDiscovery (Premium)

La soluzione di Microsoft Purview eDiscovery (Premium) si base sulle funzionalità di analisi e di eDiscovery (Standard) esistenti ed offre un flusso di lavoro end-to-end per conservare, raccogliere, analizzare, rivedere ed esportare contenuti che rispondano ad indagini internet ed esterne all’organizzazione in Microsoft 365.

E’ possibile utilizzare eDiscovery (Premium) per inserire un blocco di eDiscovery nei percorsi del contenuto come ad esempio:

  • Cassette postali di Exchange Online
  • Siti di Sharepoint Online
  • Account di OneDrive for Business
  • Siti di Microsoft Teams

La soluzione consente ai Team Legali di gestire il flusso di lavoro per le notifiche di blocco a fini giudiziari con i responsabili coinvolti del caso di ricerca.

Figura 1: Flusso di eDiscovery

Figura 2: Flusso di eDiscovery (Premium)

eDiscovery (Premium) può aiutare l’organizzazione a rispondere a questioni legali o indagini interne individuando i dati e capendo dove essi si trovino.

È possibile gestire facilmente i flussi di lavoro di eDiscovery identificando le persone di interesse e le relative origini di dati, applicare facilmente i blocchi per conservare i dati e quindi gestire il processo di comunicazione di blocco legale.

Raccogliendo dati dall’origine, è possibile eseguire ricerche nella piattaforma di Microsoft 365 live per trovare rapidamente ciò di cui si ha bisogno. Le funzionalità di AI (Artificial Intelligence) di Machine Learning, come ad esempio l’indicizzazione approfondita, il threading della posta elettronica e il rilevamento, consentono anche di ridurre grandi volumi di dati ad un set di dati molto pertinente.

È bene inoltre specificarvi che il flusso di lavoro di eDiscovery (Premium) in Microsoft 365 è allineato al processo di eDiscovery descritto da Electronic Discovery Reference Model (EDRM) Current EDRM Model – EDRM

Figura 3: Flusso di Electronic Discovery Reference Model (EDRM)

All’interno della community ho inoltre parlato delle altre due soluzioni di eDiscovery (di cui vi riporto i link degli articoli):

Quali sono le differenze tra eDiscovery (Standard) ed eDiscovery (Premium) ?

Capability eDiscovery (Standard) eDiscovery (Premium)
Search for content
Keyword queries and search conditions
Search statistics
Export search results
Role-based permissions
Case management
Place content locations on legal hold
Custodian management
Legal hold notifications
Advanced indexing
Error remediation
Review sets
Support for cloud attachments and SharePoint versions
Optical character recognition
Conversation threading
Collection statistics and reports
Review set filtering
Tagging
Analytics
Predictive coding models
Computed document metadata
Transparency of long-running jobs
Export to customer-owned Azure Storage location

Come avete potuto notare, le differenze tra la Standard e la Premium sono molte e vorrei darvi evidenza di una alla volta delle singole funzionalità:

  • Custodian management: Gestione delle persone che vengono identificate come “interessate” al caso (chiamate depositari) ogni operazione che viene eseguita all’interno del caso è tracciata da un identificativo univoco per mantenere appunto la “catena di custodia” è possibile inoltre comunicare con i membri del caso all’interno del caso stesso inserendo delle “note”
  • Legal hold notifications: Quando viene attivato un blocco sul contenuto dell’utente coinvolto in un caso il processo invia delle notifiche a fini giudiziari ai responsabili del caso e tutte queste notifiche (letture, invii ecc) vengono tracciati e mantenuti all’interno della catena di custodia.
  • Advanced indexing: Quando si aggiungono origini dati custodiali e non custodie a un caso, i percorsi di contenuto associati vengono reindicizzati in un processo denominato indicizzazione avanzata. L’indicizzazione avanzata garantisce che qualsiasi contenuto considerato parzialmente indicizzato venga rielaborato per renderlo completamente ricercabile quando si raccolgono i dati per un’indagine
  • Error remediation: questa funzionalità Premium è molto utile, in quanto se esistono dei dati protetti da Password durante la ricerca non possono essere letti, con questa funzione è possibile scaricare un report con i nomi dei file così da poter rimuovere la protezione ed successivamente essere scaricati senza problemi
  • Review sets: Aggiungi dati pertinenti a un set di revisioni. Un set di revisione è un percorso di archiviazione di Azure sicuro fornito da Microsoft nel cloud Microsoft. Quando si aggiungono dati a un set di revisione, gli elementi raccolti vengono copiati dalla posizione del contenuto originale al set di revisione. I set di recensioni forniscono un set di contenuto statico e noto in cui è possibile cercare, filtrare, etichettare, analizzare e prevedere la pertinenza utilizzando modelli di codifica predittiva. Puoi anche monitorare e segnalare quali contenuti vengono aggiunti al set di recensioni.
  • Support for cloud attachments and SharePoint versions: Quando si aggiunge contenuto a un set di revisione, è possibile includere allegati cloud o file collegati. Ciò significa che il file di destinazione di un allegato cloud o di un file collegato viene aggiunto al set di revisione. È inoltre possibile aggiungere tutte le versioni di un documento SharePoint a un set di revisione.
  • Optical character recognition: Quando il contenuto viene aggiunto a un set di revisione, la funzionalità OCR estrae il testo dalle immagini e include il testo dell’immagine con il contenuto aggiunto a un set di revisione. In questo modo è possibile cercare il testo dell’immagine quando si esegue una query sul contenuto del set di revisione.
  • Conversation threading: Quando i messaggi di chat delle conversazioni di Teams e Viva Engage vengono aggiunti a un set di revisione, è possibile raccogliere l’intero thread di conversazione. Ciò significa che l’intera conversazione in chat che contiene elementi che corrispondono ai criteri di raccolta viene aggiunta al set di recensioni. In questo modo è possibile rivedere gli elementi della chat nel contesto della conversazione avanti e indietro
  • Collection statistics and reports:
    Dopo aver creato una stima della raccolta o aver eseguito il commit di una raccolta in un set di revisione, è possibile visualizzare un set completo di statistiche sugli elementi recuperati, ad esempio i percorsi di contenuto che contengono il maggior numero di elementi che corrispondono ai criteri di ricerca e il numero di elementi restituiti dalla query di ricerca. È inoltre possibile visualizzare in anteprima un sottoinsieme dei risultati.
  • Review set filtering:
    Dopo aver aggiunto il contenuto a un set di revisione, è possibile applicare filtri per visualizzare solo il set di elementi che corrispondono ai criteri di filtro. È quindi possibile salvare i set di filtri come query, in modo da riapplicare rapidamente i filtri salvati. Le query Review, Set, Filtering e Saved consentono di selezionare rapidamente gli elementi di contenuto più rilevanti per l’indagine.
  • Tagging:
    I tag ti aiutano anche a omettere i contenuti non pertinenti e a identificare i contenuti più pertinenti. Quando esperti, avvocati o altri utenti esaminano i contenuti in un set di recensioni, le loro opinioni relative al contenuto possono essere acquisite utilizzando i tag. Ad esempio, se l’intento è quello di escludere il contenuto non necessario, un utente può contrassegnare i documenti con un tag come “non risponde”. Dopo che il contenuto è stato esaminato e contrassegnato, è possibile creare una query del set di revisione per escludere qualsiasi contenuto contrassegnato come “non reattivo”. Questo processo elimina il contenuto non reattivo dai passaggi successivi nel flusso di lavoro di eDiscovery.
  • Analytics:
    eDiscovery (Premium) fornisce strumenti per analizzare i documenti del set di revisione per organizzare i documenti in modo coerente e ridurre il volume dei documenti da esaminare. Il rilevamento quasi duplicato raggruppa documenti testualmente simili per aiutarti a rendere più efficiente il tuo processo di revisione. Il threading di posta elettronica identifica messaggi di posta elettronica specifici che forniscono un contesto completo della conversazione in un thread di posta elettronica. La funzionalità Temi tenta di analizzare i temi nei documenti del set di revisione e di assegnare un tema ai documenti in modo da poter rivedere i documenti con un tema correlato. Queste funzionalità di analisi aiutano a rendere più efficiente il processo di revisione in modo che i revisori possano rivedere una frazione dei documenti raccolti.
  • Predictive coding models:
    Utilizza i modelli di codifica predittiva per ridurre grandi volumi di contenuto del caso a un set pertinente di elementi a cui puoi dare priorità per la revisione. A tale scopo, è possibile creare e addestrare modelli di codifica predittiva personalizzati che consentono di assegnare priorità alla revisione degli elementi più rilevanti in un set di revisione. Il sistema utilizza il training per applicare i punteggi di stima a ogni elemento del set di revisione. In questo modo è possibile filtrare gli elementi in base al punteggio di stima, che consente di esaminare prima gli elementi più pertinenti (o non pertinenti).
  • Computed document metadata:
    Molte delle funzionalità di eDiscovery (Premium), ad esempio l’indicizzazione avanzata, il threading delle conversazioni, l’analisi e la codifica predittiva, aggiungono proprietà di metadati per rivedere i documenti impostati. Questi metadati contengono informazioni relative alla funzione svolta da una funzione specifica. Durante la revisione dei documenti, è possibile filtrare in base alle proprietà dei metadati per visualizzare i documenti che corrispondono ai criteri di filtro. Questi metadati possono essere importati in applicazioni di revisione di terze parti dopo l’esportazione dei documenti del set di revisione.
  • Transparency of long-running jobs:
    I processi in eDiscovery (Premium) sono in genere processi a esecuzione prolungata attivati dalle azioni dell’utente, ad esempio l’aggiunta di responsabili a un caso, l’aggiunta di contenuto a un set di revisione, l’esecuzione di analisi e il training di modelli di codifica predittiva. È possibile tenere traccia dello stato di questi processi e ottenere informazioni di supporto se è necessario inoltrare i problemi al supporto tecnico Microsoft.
  • Export to customer-owned Azure Storage location:
    Quando si esportano documenti da un set di revisione, è possibile esportarli in un account di archiviazione di Azure gestito dall’organizzazione. Inoltre, eDiscovery (Premium) consente di personalizzare i dati esportati. Ciò include l’esportazione di metadati di file, file nativi, file di testo, tag e documenti oscurati salvati in un file PDF.

Per eventuali approfondimenti vi lascio il link ufficiale Microsoft Microsoft Purview eDiscovery solutions | Microsoft Learn

Quali licenze sono necessarie per la funzionalità?

Feature Microsoft 365 E5 + Microsoft 365 Copilot Microsoft 365 E3 + Microsoft 365 Copilot Microsoft 365 E5 Compliance + Copilot 1 Microsoft 365 E5 eDiscovery & Audit + Copilot 1 E5/A5/F5/G5, Microsoft 365 E5/A5/F5/G5 Compliance, Microsoft 365 E5/A5/F5/G5 eDiscovery and Audit, Office 365 E5/A5/G5 Microsoft Office 365 E3/A3/G3/F3
eDiscovery (Premium) Yes No Yes Yes No
Premium search for Copilot interactions Yes No Yes No No

1 Requires Microsoft 365 E3.

Questa volta oltre al sito di Aaron Dinnage per le licenze Home | M365 Maps , visto l’argomento molto complesso vi rimando anche al link Microsoft ufficiale Microsoft Purview service description – Service Descriptions | Microsoft Learn

Per darvi evidenza di questa funzionalità di una ricerca di contenuto all’interno di una cassetta posta di Exchange Online e l’attivazione della funzionalità di “Blocco” con relative notifiche.

Utilizzerò per questa soluzione due utenti:

  • Demo User: Utente su cui andremo ad eseguire la ricerca del contenuto nella cassetta posta di Microsoft Exchange
  • Guido (il mio utente): utente a cui assegneremo i permessi di eDiscovery Administrator per amministrare il caso di eDiscovery Premium

Figura 4: Utenti che sono oggetto dell’attività di eDiscovery (Premium)

Figura 5: Licenze a disposizione per la funzionalità di eDiscovery (Premium)

Figura 6: Contenuto cassetta postale dell’utente Demo User

Ora possiamo accedere al portale di Microsoft Purview per assegnare il ruolo di eDiscovery Administrator

Figura 7: Accesso al portale di Microsoft Purview per assegnare il ruolo di eDiscovery Administrator

Figura 8: Ricerchiamo eDiscovery Manager

Figura 9: Editiamo il ruolo di eDiscovery Manager

Figura 10: Clicchiamo su Next in quanto io assegnerò il ruolo di Administrator, ma se per caso voleste assegnare il ruolo Manager basterò cliccare su “Choose Users” e selezionare il rispettivo utente

Figura 11: Selezioniamo l’utente a cui voler assegnare il ruolo di eDiscovery Administrator, nel mio caso il mio utente

Figura 12: Clicchiamo su Next per proseguire l’assegnazione del ruolo di eDiscovery Administrator

Figura 13: Review delle assegnazioni effettuate e salvataggio della configurazione dei ruoli effettuata

Figura 14: Assegnazione ruolo andata a buon fine e clicchiamo su “Done”

Ora possiamo procedere a creare un caso di eDiscovery (Premium)

Figura 15: Rechiamoci nella sezione di eDiscovery per procedere alla creazione del case

Figura 16: Verifica dei settings di eDiscovery (Premium)

Figura 17: Settings che potete impostare per la parte di eDiscovery (Premium) potremmo voler dare accesso ad utenti guest (legali) al caso di eDiscovery

Figura 18: Procediamo alla creazione di un case di eDiscovery (Premium)

Figura 19: Scegliamo un nome e una descrizione “parlante” un identificativo univoco e proseguiamo con la configurazione

Figura 20: Scegliamo gli utenti che devono avere accesso al case, abbiamo la possibilità di ridurre elementi duplicati ed aggiungere delle esclusioni sulla ricerca tramite una query

Figura 21: Overview del caso e salvataggio dello stesso

Figura 22: Caso creato con successo

Figura 23: Settings configurabili per il case di eDiscovery Premium

Figura 24: Inserimento di un “Custode” del caso nel mio caso inserirò sempre il mio utente

Figura 25: Selezioniamo il “custode” a cui verrà applicato il blocco “hold” della mailbox (nel mio caso proprio il mio utente)

Figura 26: Utente custode che abbiamo inserito correttamente all’interno del case

Figura 27: Overview della configurazione della “custodia” e salvataggio

Figura 28: Custode correttamente configurato

Ora potete procedere a configurare la ricerca del contenuto

Figura 29: Creiamo una nuova collection per dire quale contenuto estrapolare dalla ricerca

Figura 30: Creiamo un nome ed una descrizione per identificare la ricerca

Figura 31: Selezioniamo un Custode del caso, creato in precedenza, in modo tale che riceva le notifiche relative alla ricerca ed al caso

Figura 32: Selezioniamo l’utente e la location in cui eseguire la ricerca nel mio caso Exchange Online di Demo User

Figura 33: Non creiamo filtri nella query in quanto nel mio caso voglio procedere ad esportare tutto il contenuto della cassetta postale

Figura 34: Overview e creazione della ricerca

Figura 35: Collection creata che è in stato di processing

Ora dovrete attendere la fine, la stima purtroppo non è calcolabile in quanto dipende veramente da molti fattori, come ad esempio dimensione della casetta postale, numero di elementi.

Vi vorrei anche dare evidenza del fatto che è tutto tracciato, nella tab “Jobs” sono presenti le attività eseguite

Figura 36: Tab Jobs che identificata tutte le attività svolte all’interno del case

Figura 37: L’utente “custode” viene avvisato via e-mail dello “start” della ricerca nel caso di eDiscovery

Con eDiscovery (Premium) la ricerca in questione viene eseguita anche per gli utenti che sono “Custodi” infatti come è possibile vedere dalle statistiche di ricerca vediamo che è presente anche il mio utente

Figura 38: Statistiche di ricerca che includono il custode più l’utente oggetto della ricerca

Figura 39: Procediamo all’Export della ricerca del contenuto

Figura 40: Scegliamo di Esportare un file PST singolo per ogni Mailbox

Figura 41: export dei risultati iniziato

Figura 42: Export dei risultati in Progress

Figura 43: Export Completato

Ora dobbiamo procedere a “scaricare” il contenuto all’interno di un dispositivo locale

Figura 44: Selezioniamo il file ed eseguiamo il download

Figura 45: Download del report

Figura 46: File Presenti all’interno della cartella di Download

Ora per darvi evidenza dei risultati aprirò il file PST dell’utente [email protected]

Figura 47: In Outlook client selezioniamo apri file di dati (pst)

Figura 48: Contenuto Export all’interno del file pst

Conclusioni

Lo strumento di eDiscovery (Premium) offre alle organizzazioni qualcosa a mio avviso di straordinario in quanto permette di tenere traccia in caso di problemi “legali” di tutte le modifiche effettuate all’interno del caso e vi permette di avere un export puntuale dei dati che poi potete utilizzare anche per scopi legali in modo puntuale.

Questo strumento, come gli altri di eDiscovery è disponibile inoltre sotto un unico portale e questo permette agli IT Admin di gestire la compliance nel migliore dei modi con un notevole risparmio di tempo.