Microsoft Purview: eDiscovery (Standard)
Microsoft Purview eDiscovery (Standard) è un servizio della suite di Microsoft Purview, ed offre uno strumento versatile alle organizzazioni per eseguire Discovery di base per cercare ed esportare contenuti in Microsoft 365.
È possibile anche utilizzare questo strumento per inserire un “blocco” ovvero rendere i servizi oggetti di Discovery non modificabili come ad esempio:
- Cassette postali di Microsoft Exchange
- Siti di SharePoint Online
- Account di OneDrive
- Microsoft Teams
In questo articolo scopriremo insieme come configurare questo servizio offerto dalla casa di Redmond, quali licenze sono necessaire per implementarlo, i permessi necessari ed infine vedremo come assegnare le autorizzazioni, per esempio al reparto legal di vederne e gestirne il contenuto.
Il Workflow di eDiscovery (Standard) ha 3 punti fondamentali:
- Creare un caso di eDiscovery
- Ricerca del contenuto
- Export e Download dei risultati della ricerca
Figura 1: Workflow grafico di eDiscovery (Standard)
Microsoft Purview offre tre differenti tipologie di eDiscovery, in questo articolo tratteremo la eDiscovery Standard, ma per darvi un’overview completa vi riporto le tipologie
Content Search | eDiscovery (Standard) | eDiscovery (Premium) |
– Search for content – Keyword queries and search conditions – Export search results – Role-based permissions |
– Search and export – Case management – Legal hold |
– Custodian management – Legal hold notifications – Advanced indexing – Review set filtering – Tagging – Analytics – Predictive coding models |
Vi indico anche cosa possono fare le tre tipologie di Discovery
- Content Search: Permette di ricercare il contenuto nelle origini di Microsoft 365 e successivamente permette l’export dei risultati in un computer locale
- eDiscovery (Standard): questa funzionalità si basa su Content Search e consente di creare dei “case” che possono essere assegnati a utenti specifici, che possono naturalmente accedere solo a case a loro assegnati. Questa funzionalità permette di associare ricerche ed export a un case e di applicare un blocco di eDiscovery ai dati pertinenti al caso, in modo tale che essi non siano modificabili
- eDiscovery (Premium): questa funzionalità si basa sulle funzionalità esistenti di gestione, conservazione, ricerca ed esportazione dei casi in eDiscovery (Standard). La versione Premium offre un flusso di lavoro end-to-end per identificare, conservare, raccogliere, rivedere analizzare ed esportare il contenuto che risponde ad indagini interne ed esterne all’organizzazione. Inoltre permette ai Team Legal di gestire con un flusso chiamato “di custodia” per proteggere e firmare tutte le operazioni svolte.
Quali sono le differenze tra queste tre tipologie?
Per capire quale soluzione è adatta alle vostre esigenze vi riporto una tabella con un compare di funzionalità, veramente molto utile in fase di scelta del prodotto
Capability | Content search | eDiscovery (Standard) | eDiscovery (Premium) |
Search for content | |||
Keyword queries and search conditions | |||
Search statistics | |||
Export search results | |||
Role-based permissions | |||
Case management | |||
Place content locations on legal hold | |||
Custodian management | |||
Legal hold notifications | |||
Advanced indexing | |||
Error remediation | |||
Review sets | |||
Support for cloud attachments and SharePoint versions | |||
Optical character recognition | |||
Conversation threading | |||
Collection statistics and reports | |||
Review set filtering | |||
Tagging | |||
Analytics | |||
Predictive coding models | |||
Computed document metadata | |||
Transparency of long-running jobs | |||
Export to customer-owned Azure Storage location |
Non posso non spiegarvi le funzionalità indicate nella tabella:
- Search of Content: Ricerca il contenuto archiviato nelle cassette postali di Exchange, negli account di OneDrive for Business, nei siti di SharePoint Online, Microsoft Teams, Gruppi di Microsoft 365 e Viva Engage.
- Keyword queries and search conditions: permette la creazione di KQL (Kusto Query) per cercare parole chiave all’interno del contenuto che corrispondono ai criteri delle Query.
- Search Statistics: dopo aver eseguito una ricerca è possibile visualizzare le statistiche come ad esempio il numero di elementi trovi, la dimensione di un eventuale export dei risultati.
- Export search results: Funzionalità che permette di esportare i risultati della ricerca, i dati vengono copiati dal contenuto originale da Microsoft 365 in uno spazio di archiviazione Azure fornito da Microsoft e successivamente è possibile poi eseguire il download all’interno di un computer locale
- Role-based permissions: è possibile fornire dei permessi specifici per creare i casi di ricerca per essere più granulari nell’assegnazione degli stessi visto che si tratta di ricerca di contenuto in ottemperanza con i regolamenti delle nazioni dove si trova la nostra organizzazione
- Case management: con la versione Standard e Premium è possibile assegnare degli utenti per gestire i casi e prendere visione del contenuto solo dei casi che vengono assegnati
- Place content locations on legal hold: è possible in caso di indagini legali applicare dei “blocchi” sui dati oggetti della ricerca, questo per evitare che durante le indagini questi dati vengano cancellati (erroneamente o volontariamente)
- Custodian management: viene creata una catena di custodia, questo permette durante un caso di poter inserire comunicazioni inerenti al caso direttamente in eDiscovery per tenere tutto tracciato e non “rompere” appunto questa catena
- Legal hold notifications: notifiche durante il “blocco” legale, questa funzionalità permette di avere a disposizione delle notifiche verso i responsabili del caso su ogni avvenimento riguardante i dati oggetti del blocco
- Advanced indexing: è una funzionalità che permette quando l’indicizzazione di un dati è parziale o non completata di eseguire una nuova indicizzazione e questo permette di rendere il dati completamente ricercabile durante un’indagine
- Error remediation: questa funzionalità Premium è molto utile, in quanto se esistono dei dati protetti da Password durante la ricerca non possono essere letti, con questa funzione è possibile scaricare un report con i nomi dei file così da poter rimuovere la protezione ed successivamente essere scaricati senza problemi
- Review sets: Aggiungi dati pertinenti a un set di revisioni. Un set di revisione è un percorso di archiviazione di Azure sicuro fornito da Microsoft nel cloud Microsoft. Quando si aggiungono dati a un set di revisione, gli elementi raccolti vengono copiati dalla posizione del contenuto originale al set di revisione. I set di recensioni forniscono un set di contenuto statico e noto in cui è possibile cercare, filtrare, etichettare, analizzare e prevedere la pertinenza utilizzando modelli di codifica predittiva. Puoi anche monitorare e segnalare quali contenuti vengono aggiunti al set di recensioni.
- Support for cloud attachments and SharePoint versions: Quando si aggiunge contenuto a un set di revisione, è possibile includere allegati cloud o file collegati. Ciò significa che il file di destinazione di un allegato cloud o di un file collegato viene aggiunto al set di revisione. È inoltre possibile aggiungere tutte le versioni di un documento SharePoint a un set di revisione.
- Optical character recognition: Quando il contenuto viene aggiunto a un set di revisione, la funzionalità OCR estrae il testo dalle immagini e include il testo dell’immagine con il contenuto aggiunto a un set di revisione. In questo modo è possibile cercare il testo dell’immagine quando si esegue una query sul contenuto del set di revisione.
- Conversation threading: Quando i messaggi di chat delle conversazioni di Teams e Viva Engage vengono aggiunti a un set di revisione, è possibile raccogliere l’intero thread di conversazione. Ciò significa che l’intera conversazione in chat che contiene elementi che corrispondono ai criteri di raccolta viene aggiunta al set di recensioni. In questo modo è possibile rivedere gli elementi della chat nel contesto della conversazione avanti e indietro.
- Collection statistics and reports: Dopo aver creato una stima della raccolta o aver eseguito il commit di una raccolta in un set di revisione, è possibile visualizzare un set completo di statistiche sugli elementi recuperati, ad esempio i percorsi di contenuto che contengono il maggior numero di elementi che corrispondono ai criteri di ricerca e il numero di elementi restituiti dalla query di ricerca. È inoltre possibile visualizzare in anteprima un sottoinsieme dei risultati.
- Review set filtering: Dopo aver aggiunto il contenuto a un set di revisione, è possibile applicare filtri per visualizzare solo il set di elementi che corrispondono ai criteri di filtro. È quindi possibile salvare i set di filtri come query, in modo da riapplicare rapidamente i filtri salvati. Le query Review, Set, Filtering e Saved consentono di selezionare rapidamente gli elementi di contenuto più rilevanti per l’indagine.
- Tagging: I tag ti aiutano anche a omettere i contenuti non pertinenti e a identificare i contenuti più pertinenti. Quando esperti, avvocati o altri utenti esaminano i contenuti in un set di recensioni, le loro opinioni relative al contenuto possono essere acquisite utilizzando i tag. Ad esempio, se l’intento è quello di escludere il contenuto non necessario, un utente può contrassegnare i documenti con un tag come “non risponde”. Dopo che il contenuto è stato esaminato e contrassegnato, è possibile creare una query del set di revisione per escludere qualsiasi contenuto contrassegnato come “non reattivo”. Questo processo elimina il contenuto non reattivo dai passaggi successivi nel flusso di lavoro di eDiscovery.
- Analytics: eDiscovery (Premium) fornisce strumenti per analizzare i documenti del set di revisione per organizzare i documenti in modo coerente e ridurre il volume dei documenti da esaminare. Il rilevamento quasi duplicato raggruppa documenti testualmente simili per aiutarti a rendere più efficiente il tuo processo di revisione. Il threading di posta elettronica identifica messaggi di posta elettronica specifici che forniscono un contesto completo della conversazione in un thread di posta elettronica. La funzionalità Temi tenta di analizzare i temi nei documenti del set di revisione e di assegnare un tema ai documenti in modo da poter rivedere i documenti con un tema correlato. Queste funzionalità di analisi aiutano a rendere più efficiente il processo di revisione in modo che i revisori possano rivedere una frazione dei documenti raccolti.
- Predictive coding models: Utilizza i modelli di codifica predittiva per ridurre grandi volumi di contenuto del caso a un set pertinente di elementi a cui puoi dare priorità per la revisione. A tale scopo, è possibile creare e addestrare modelli di codifica predittiva personalizzati che consentono di assegnare priorità alla revisione degli elementi più rilevanti in un set di revisione. Il sistema utilizza il training per applicare i punteggi di stima a ogni elemento del set di revisione. In questo modo è possibile filtrare gli elementi in base al punteggio di stima, che consente di esaminare prima gli elementi più pertinenti (o non pertinenti).
- Computed document metadata: Molte delle funzionalità di eDiscovery (Premium), ad esempio l’indicizzazione avanzata, il threading delle conversazioni, l’analisi e la codifica predittiva, aggiungono proprietà di metadati per rivedere i documenti impostati. Questi metadati contengono informazioni relative alla funzione svolta da una funzione specifica. Durante la revisione dei documenti, è possibile filtrare in base alle proprietà dei metadati per visualizzare i documenti che corrispondono ai criteri di filtro. Questi metadati possono essere importati in applicazioni di revisione di terze parti dopo l’esportazione dei documenti del set di revisione.
- Transparency of long-running jobs: I processi in eDiscovery (Premium) sono in genere processi a esecuzione prolungata attivati dalle azioni dell’utente, ad esempio l’aggiunta di responsabili a un caso, l’aggiunta di contenuto a un set di revisione, l’esecuzione di analisi e il training di modelli di codifica predittiva. È possibile tenere traccia dello stato di questi processi e ottenere informazioni di supporto se è necessario inoltrare i problemi al supporto tecnico Microsoft.
- Export to customer-owned Azure Storage location: Quando si esportano documenti da un set di revisione, è possibile esportarli in un account di archiviazione di Azure gestito dall’organizzazione. Inoltre, eDiscovery (Premium) consente di personalizzare i dati esportati. Ciò include l’esportazione di metadati di file, file nativi, file di testo, tag e documenti oscurati salvati in un file PDF.
Per eventuali approfondimenti vi rimando al link ufficiale Microsoft Microsoft Purview eDiscovery solutions | Microsoft Learn
Quali licenze sono necessarie per utilizzare questa funzionalità?
Feature | Microsoft 365 E5 + Microsoft 365 Copilot | Microsoft 365 E3 + Microsoft 365 Copilot | Microsoft 365 E5 Compliance + Copilot 1 Microsoft 365 E5 eDiscovery & Audit + Copilot 1 | E5/A5/F5/G5, Microsoft 365 E5/A5/F5/G5 Compliance, Microsoft 365 E5/A5/F5/G5 eDiscovery and Audit, Office 365 E5/A5/G5 | Microsoft Office 365 E3/A3/G3/F3 |
eDiscovery (Premium) | Yes | No | Yes | Yes | No |
Premium search for Copilot interactions | Yes | No | Yes | No | No |
eDiscovery content search, legal hold, export search results for Copilot interactions | Yes | Yes | Yes | No | No |
eDiscovery (Standard) for sites and files | Yes | Yes | Yes | Yes | Yes |
eDiscovery (Standard) for email | Yes | Yes | Yes | Yes | Yes |
1 Requires Microsoft 365 E3.
Questa volta oltre al sito di Aaron Dinnage per le licenze Home | M365 Maps , visto l’argomento molto complesso vi rimando anche al link Microsoft ufficiale Microsoft Purview service description – Service Descriptions | Microsoft Learn
Quali ruoli sono necessari?
I ruoli per amministratore eDiscovery sono principalmente due eDiscovery Manager e eDiscovery Administrator
- eDiscovery Manager: un manager di eDiscovery può utilizzare gli strumenti di ricerca all’interno dei contenuti dell’organizzazione ed eseguire le varie azioni visualizzando anche l’anteprima dei dati. I membri di questo ruolo possono anche creare casi in Purview eDiscovery (Standard) e eDiscovery (Premium) aggiungere o rimuovere degli owner del caso, ma non possono vedere i casi creati da altri Manager.
-
eDiscovery Administrator: un Administrator è comunque membro di eDiscovery Manager e quindi può eseguire le stesse attività in più può:
- Accedere a tutti i casi presenti nelle pagine di eDiscovery Standard e Premium direttamente dal portale di Microsoft Purview
- Accedere ai dei casi in eDiscovery (Premium) per qualsiasi caso dell’organizzazione anche non creato da lui
- Gestire qualsiasi caso dopo che si è aggiunto come membro
- Rimuovere i membri da un caso di eDiscovery, è bene specificare che solo un amministratore di eDiscovery può rimuovere i membri da un caso i Manager non possono rimuovere membri neanche da un caso che loro stessi hanno creato
Nel mio caso vi mostrerò l’assegnazione del ruolo di eDiscovery Administrator, in quanto il procedimento è uguale cambia solo il ruolo da assegnare.
Svolgimento
Dopo tutta questa teoria che è fondamentale per capire un argomento così articolato, passiamo alla pratica, vorrei darvi evidenza di come poter creare un caso di eDiscovery (Standard) per la ricerca di contenuto all’interno di una cassetta postale di Microsoft Exchange Online, assegnato il caso ad un utente per permettergli di vederne il contenuto ed eseguire poi l’Export dei dati trovati durante il processo di discovery.
Utilizzerò due utenti:
- Demo User: Utente su cui andremo ad eseguire la ricerca all’interno della cassetta postale di Exchange Online
- Guido (mio utente): utente a cui assegneremo il caso per vederne il contenuto quindi gli assegneremo il ruolo di eDiscovery Administrator
Avremmo a disposizione le licenze Microsoft 365 E5 che hanno al proprio interno la funzionalità di eDiscovery (Standard)
Figura 2: Utenti oggetto della demo con relative licenze Microsoft 365 E5
Figura 3: Contenuto della cassetta postale di Demo User, utente che sarà soggetto a ricerca eDiscovery
Procediamo ora ad accedere al portale di Microsoft Purview
Figura 4: Accediamo al portale di Microsoft Purview nella sezione ruoli per assegnare i permessi al mio utente di eDiscovery Administrator
Figura 5: Cerchiamo eDiscovery Manager tra i ruoli disponibili
Figura 6: Editiamo il ruolo di eDiscovery Manager
Figura 7: Clicchiamo su Next in quanto io assegnerò il ruolo di Administrator, ma se per caso voleste assegnare il ruolo Manager basterò cliccare su “Choose Users” e selezionare il rispettivo utente
Figura 8: Selezioniamo l’utente a cui voler assegnare il ruolo di eDiscovery Administrator, nel mio caso il mio utente
Figura 9: Clicchiamo su Next per proseguire l’assegnazione del ruolo di eDiscovery Administrator
Figura 10: Review delle assegnazioni effettuate e salvataggio della configurazione dei ruoli effettuata
Figura 11: Assegnazione ruolo andata a buon fine e clicchiamo su “Done”
Ora abbiamo ultimato la configurazione del ruolo, quindi possiamo procedere a creare il caso di eDiscovery
Figura 12: Accediamo alla sezione di eDiscovery direttamente dal portale di Microsoft Purview
Ora all’interno del portale di eDiscovery ci sarà la possibilità di selezionare Case di eDiscovery Premium e Case di eDiscovery Standard, nel mio caso seleziono il secondo visto che l’articolo verte su questa funionalità
Figura 13: Selezioni di Classic eDiscovery, nel mio caso standard e procediamo alla creazione del caso
Figura 14: Inseriamo un nome ed una descrizione del caso, come sempre consiglio di creare nome e descrizione “parlanti” così da identificare in futuro in modo rapido cosa fà quel determinato Case
Figura 15: Case di eDiscovery Standard creato in modo corretto e presente nel portale di Microsoft Purview
Figura 16: Creiamo una nuova ricerca all’interno del case aperto in precedenza
Figura 17: Scegliamo un nome ed una descrizione per la ricerca, come indicato in precedenza il consiglio è di utilizzare nome e descrizione “parlanti”
Figura 18: Selezioniamo Exchange Online e l’utente in cui eseguire la ricerca
Figura 19: Abbiamo la possibilità di scegliere se creare una KQL personalizzata o la modalità Query Builder (guidata) io selezionerò la seconda
Figura 20: Selezioniamo i filtri, nel mio caso “Sender” visto che dovrò ricercare tutte le email provenienti dall’indirizzo [email protected]
Figura 21: Insieriamo il nostro indirizzo del mittente e premiamo invio e poi Next
Figura 22: Abbiamo a disposizione una Overview della ricerca e clicchiamo Submit per salvarla
Figura 23: Ricerca all’interno del case correttamente configurata
Figura 24: Ricerca che è in fase di “Starting”
Quando la ricerca partirà l’amministratore verrà avvisato direttamente via e-mail
Figura 25: E-Mail che informa i Global Admin che è stata generata una ricerca di eDiscovery
Eseguendo Click sulla ricerca all’interno del case, avrete a disposizione tutti i dettagli, il tempo di ricerca varia in base a diversi fattori quali, dimensioni Mailbox, numero di Mailbox in cui ricercare e numero di risultati quindi non è al momento stimabile la tempistica, ma nel mio caso per 24 elementi circa 5 minuti.
Figura 26: Ricerca completata e anteprima dei risultati con dimensione e numero di messaggi email trovati
Figura 27: Procediamo ora all’export dei contenuti trovati all’interno della ricerca
Figura 28: Scegliamo di voler esportare tutti i contenuti, anche quelli non leggibili e/o cifrati e tutti in un unico PST
Figura 29: Job di Export correttamente creato
Figura 30: Export dei risultati con schermata che ci permette di capire a che punto è il Job
Ora, una volta che il Job ha terminato nel modo corretto avrete a disposizione la Key necessarie per il Download
Figura 31: Copia della Key, il consiglio è quello di copiarvi momentaneamente la Key in un txt (mi raccomando non condividetela con nessuno)
NB: I risultati dell’export, e quindi i dati sono disponibili per 14 giorni dalla data di creazione del Job
Figura 32: Export dei risultati della ricerca, verrà scaricato il tools “eDiscovery Export Tools”
Figura 33: Download eDiscovery Export Tools
Figura 34: Installazione eDiscovery Export Tools
Figura 35: Stato avanzamento installazione eDiscovery Export Tools
Figura 36: Inseriamo la Key copiata in precedenza, selezioniamo il percorso in cui avere il file PST ed il nome del file stesso
Figura 37: Stato di avanzamento dell’Export dei risultati su repository locale
Figura 38: Processo di Download completato correttamente
Figura 39: Cartella con nome del case
Figura 40: Cartella Exchange che conterrà il file che abbiamo scaricato
Figura 41: File PST con i dati della nostra ricerca
Ora possiamo procedere ad aggiungere il PST in Outlook per vederne il contenuto
Figura 42: Scegliamo in Outlook di aprire un Data File
Figura 43: Selezioniamo il nostro file e clicchiamo su “ok”
Figura 44: PST aperto in Outlook che mostra tutti i risultati correttamente ottenuti, mail inviate dall’indirizzo che abbiamo configurato all’interno della ricerca
E se volessimo aggiungere i nostri Legal per vedere il case?
È possibile farlo, accedete a Microsoft Purview e accedete sempre alla sezione relativa ad eDiscovery
Figura 45: Scegliamo quale persona deve avere accesso a questo case specifico
Figura 46: Nel mio caso selezioni “Legal TechCloud” simulando l’account di un Membro del gruppo Legal dell’organizzazione
Figura 47: Membri del Case di eDiscovery
Assegniamo ora il ruolo di eDiscovery Manager all’utente Legal
Figura 48: Assegniamo il ruolo di eDiscovery Manager all’utente Legal dal portale di Purview
Figura 49: Selezioniamo Legal e aggiungiamolo come eDiscovery Manager
Figura 50: Proseguiamo con la configurazione
Figura 51: Ora abbiamo l’utente Legal come eDiscovery Manager e il mio utente come eDiscovery Administrator
Giusto per darvi evidenza che l’utente [email protected] non ha nessuno ruolo amministrativo oltre ad eDiscovery Manager assegnato in precedenza
Figura 52: Utente Legal senza ruoli amministrativi
Figura 53: Utente Legal che ora ha accesso al Case
Una volta che il case può reputarsi concluso, e quindi avete a disposizione tutti i dati necessari è possibile procedere alla chiusura dello stesso
Figura 54: Selezioniamo il case e procediamo alla chiusura una volta eseguiti tutti i test sui dati esportati
Figura 55: Avviso che vi avverte che tutte le informazioni verranno rimosse ed eventuali blocchi verranno tolti
Figura 56: Case chiuso in modo corretto
Figura 57: Case che risulta chiuso anche nel riepilogo
Avete anche la possibilità di riaprire il case o eventualmente di eliminarlo in modo definitivo
Figura 58: Possibilità di riaprire il case o eliminarlo in modo definitivo
Conclusioni
Microsoft Purview eDiscovery Standard che funzione straordinaria messa a disposizione dalla casa di Redmond, come avete potuto notare dall’articolo con pochi e semplici passaggi potete avere a disposizione un case per la ricerca di contenuto all’interno dei servizi Microsoft 365.
Questa funzionalità permette di poter ricercare il contenuto di una persona che per esempio ha lasciato l’azienda e i Manager hanno la necessità di visualizzare alcune informazioni relativi ad ordini, fatture ecc…
Nel rispetto totale della privacy in quanto solo le persone che ne hanno il diritto riescono ad accedere a questi dati creando una vera e propria catena di custodia dove ogni operazione svolta all’interno del case è tracciata e visualizzabile all’interno degli Audit log del sistema, inoltre questo log poi possono essere “raccolti” all’interno di un SIEM, come ad esempio Microsoft Sentinel per estenderne la Retention.