Freigeben über

Erstellen einer Suche nach einem Fall in eDiscovery

Sie können die Suche in eDiscovery verwenden, um direkte Inhalte wie E-Mails, Dokumente und Chatunterhaltungen in Ihrem organization zu finden, die für einen Fall relevant sind. Verwenden Sie die Suche, um Inhalte in diesen cloudbasierten Microsoft 365-Datenquellen zu finden:

  • Exchange Online-Postfächer
  • SharePoint-Websites
  • OneDrive-Konten
  • Microsoft Teams
  • Microsoft 365-Gruppen
  • Viva Engage

Sie können verschiedene Suchvorgänge erstellen und ausführen, die dem Fall zugeordnet sind. Verwenden Sie Bedingungen wie Schlüsselwörter, um Suchabfragen zu erstellen, die Suchergebnisse mit den Daten zurückgeben, die wahrscheinlich für den Fall relevant sind. Sie können auch folgende Aktionen ausführen:

  • Zeigen Sie Suchstatistiken an, die Ihnen helfen können, eine Suchabfrage zu verfeinern, um die Ergebnisse einzugrenzen.
  • Anzeigen einer Vorschau der Suchergebnisse, um schnell zu überprüfen, ob die relevanten Daten gefunden werden.
  • Überarbeiten einer Abfrage, und die Suche erneut ausführen.

Nachdem Sie nach Daten gesucht und gefunden haben, die für Ihre Untersuchung relevant sind, können Sie die Ergebnisse zur weiteren Untersuchung an einen Überprüfungssatz senden oder zur Überprüfung durch Personen außerhalb des Untersuchungsteams exportieren.

Hinweis

Für Organisationen, die über Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) verfügen, um die Datenschutzrechte von Einzelpersonen innerhalb der Europäischen Union (EU) zu schützen und zu ermöglichen, können Sie auch Untersuchungen als Reaktion auf Anträge betroffener Personen (DSRs) verwalten, die von einer Person in Ihrem organization übermittelt wurden. Das Falltool für die Benutzerdatensuche wurde eingestellt, und seine Funktionalität wurde mit eDiscovery zusammengeführt. Sie können jetzt die Suche verwenden, um Inhalte zur Unterstützung von Anträgen betroffener Personen an allen Orten zu finden, die von eDiscovery-Suchvorgängen unterstützt werden.

Tipp

Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.

Suchtipps

  • Die Zeitzone für alle Suchvorgänge ist Coordinated Universal Time (UTC). Das Ändern von Zeitzonen für Ihre organization wird derzeit nicht unterstützt. Anzeigeeinstellungen für Zeitzonen in der Suchansicht gelten nur für Werte in der Spalte Daten und wirken sich nicht auf Zeitstempel für gesammelte Elemente aus.

  • Bei Schlüsselwortsuchen wird die Groß-/Kleinschreibung nicht beachtet. Beispielsweise geben katze und KATZE dieselben Ergebnisse zurück.

  • Die booleschen Operatoren AND, OR, NOT und NEAR müssen Großbuchstaben enthalten.

    Wichtig

    Verwenden Sie diese Operatoren im Feld KeyQL-Bedingung . Die Verwendung dieser Operatoren im Feld Schlüsselwortbedingung wird nicht unterstützt, und diese Operatoren werden als Literalschlüsselwörter behandelt.

  • Die Verwendung von Anführungszeichen stoppt Wildcards und alle Vorgänge innerhalb der Anführungszeichen.

  • Ein Leerzeichen zwischen zwei Schlüsselwörtern oder zwei property:value Ausdrücken entspricht der Verwendung von OR. Gibt beispielsweise alle von Sara Davis gesendeten Nachrichten oder Nachrichten zurück, from:"Sara Davis" subject:reorganization die das Wort Reorganisation in der Betreffzeile enthalten. Die Verwendung einer Mischung aus Leerzeichen und OR-Bedingungen in einer einzelnen Abfrage kann jedoch zu unerwarteten Ergebnissen führen. Verwenden Sie entweder Leerzeichen oder OR in einer einzelnen Abfrage.

  • Verwenden Sie eine Syntax, die dem property:value Format entspricht. Bei Werten wird die Groß-/Kleinschreibung nicht beachtet, und nach dem Operator darf kein Leerzeichen vorhanden sein. Wenn ein Leerzeichen vorhanden ist, ist der beabsichtigte Wert eine Volltextsuche. Sucht beispielsweise to: pilarp nach "pilarp" als Schlüsselwort (keyword) und nicht nach Nachrichten, die an pilarp gesendet werden.

  • Wenn Sie nach einer Empfängereigenschaft wie An, Von, Cc oder Empfänger suchen, können Sie eine SMTP-Adresse, einen Alias oder einen Anzeigenamen verwenden, um einen Empfänger anzugeben. Sie können beispielsweise , pilarp oder "Pilar Pinilla" verwenden pilarp@contoso.com.

  • Sie können nur Präfixsuchen verwenden. z. B. cat* oder set*. Suffixsuchen (*cat), Infixsuchen (c*t) und Teilzeichenfolgensuchen (*cat*) werden nicht unterstützt.

  • Wenn Sie nach einer Eigenschaft suchen, verwenden Sie doppelte Anführungszeichen (" "), wenn der Suchwert aus mehreren Wörtern besteht. Beispielsweise gibt Nachrichten zurück, subject:budget Q1 die ein Budget in der Betreffzeile enthalten und Q1 an einer beliebigen Stelle in der Nachricht oder in einer der Nachrichteneigenschaften enthalten. Die Verwendung von subject:"budget Q1" gibt alle Nachrichten zurück, die das Budget Q1 an einer beliebigen Stelle in der Betreffzeile enthalten.

  • Wenn Sie Inhalte mit einem bestimmten Eigenschaftswert in den Suchergebnissen ausschließen möchten, fügen Sie ein Minuszeichen (-) vor dem Namen der Eigenschaft hinzu. Schließt beispielsweise -from:"Sara Davis" alle von Sara Davis gesendeten Nachrichten aus.

  • Sie können Elemente basierend auf dem Nachrichtentyp exportieren. Verwenden Sie beispielsweise die Syntax kind:im, um Skype-Unterhaltungen und -Chats in Microsoft Teams zu exportieren. Um nur E-Mail-Nachrichten zurückzugeben, verwenden Sie kind:email. Verwenden Sie kind:microsoftteams, um Chats, Besprechungen und Anrufe in Microsoft Teams zurückzugeben.

  • Beim Durchsuchen von Websites müssen Sie die nachgestellte / am Ende der URL hinzufügen, wenn Sie die path -Eigenschaft verwenden, um nur Elemente in einer angegebenen Website zurückzugeben. Wenn Sie die nachgestellten /nicht einschließen, werden auch Elemente von einer Website mit einem ähnlichen Pfadnamen zurückgegeben. Wenn Sie z. B. verwenden path:sites/HelloWorld , werden auch Elemente von Websites mit dem Namen sites/HelloWorld_East oder sites/HelloWorld_West zurückgegeben. Um Elemente nur von der HelloWorld-Website zurückzugeben, müssen Sie verwenden path:sites/HelloWorld/.

  • Die Abfragesprache Land/Region muss in Ihrer Suchabfrage definiert werden, bevor Inhalte gesammelt werden.

  • Beim Durchsuchen der Ordner Gesendet nach E-Mails wird die Verwendung der SMTP-Adresse für den Absender nicht unterstützt. Elemente im Ordner Gesendet enthalten nur Anzeigenamen.

Erstellen einer Suchabfrage

Tipp

Bevorzugen Sie einen interaktiven Konfigurationsleitfaden? Sehen Sie sich den Leitfaden zum Entwerfen einer Suche an.

Nachdem Sie einen neuen Fall erstellt haben, werden Sie automatisch zur Registerkarte Suchen in dem Fall weitergeleitet, und Sie sind bereit, eine Suche nach dem Fall zu erstellen. Sie können auch eine neue Suche im Fall Inhaltssuche in Ihrem organization erstellen. Mithilfe von Suchvorgängen können Sie die Elemente finden, die Sie für den Fall sammeln möchten.

  1. Wählen Sie Suche in einem Fall erstellen oder Fall der Inhaltssuche aus. Wenn es sich um einen neuen Fall ohne vorherige Suchvorgänge handelt, können Sie im Hauptbereich unter Suchen nach relevanten Daten die Option Suche erstellen auswählen.

  2. Füllen Sie auf der Seite Erste Schritte eingeben die folgenden Felder aus:

    • Suchname: Geben Sie der Suche einen Namen (erforderlich). Der Suchname muss in Ihrem organization
    • Suchbeschreibung: Fügen Sie eine optionale Beschreibung hinzu, um anderen Personen zu helfen, diese Suche zu verstehen.

  3. Wählen Sie Erstellen aus, um die neue Suche zu erstellen und Ihre Abfragen zu starten, um relevante Daten für den Fall zu finden.

  4. Fügen Sie auf der Registerkarte Abfrage in der Suche Datenquellen für Ihre Suche hinzu. Ausführliche Anleitungen zum Hinzufügen von Datenquellen zu einer Suchabfrage finden Sie unter Datenquellen in eDiscovery .

  5. Wählen Sie Verwalten aus, um das Postfach oder die Website zu aktualisieren, das den ausgewählten Quellen zugeordnet ist. Wählen Sie andernfalls Speichern und schließen aus.

  6. Überprüfen Sie Ihre Auswahl, und bestätigen Sie die enthaltenen Ressourcen für jede Datenquelle. Klicken Sie auf Speichern. Sie haben einen Bereich für die Datenquellen angegeben, die von Ihren Suchabfragen untersucht werden.

  7. Wählen Sie im Abschnitt Datenquellen das Menü mit den Auslassungspunkten für eine beliebige Datenquelle für Verwaltungsoptionen für die Datenquelle aus.

    Wählen Sie für Verwaltungsoptionen eine der folgenden Optionen aus:

    • Datenquelle verwalten: Verwalten Sie Datenquellen für den ausgewählten Benutzer oder die ausgewählte Website.
    • Deaktivieren von Postfächern: Deaktivieren Sie Postfächer für den ausgewählten Benutzer oder die ausgewählte Website. Wählen Sie diese Option erneut aus, um das Postfach für den Benutzer oder die Website zu aktivieren.
    • Websites deaktivieren: Deaktivieren Sie die Website für den ausgewählten Benutzer oder die ausgewählte Website. Wählen Sie diese Option erneut aus, um die Website für den Benutzer oder die Website zu aktivieren.
    • Häufige Mitarbeiter: Wählen Sie zugeordnete Postfächer und Websites für Benutzer aus, die häufig mit dem ausgewählten Benutzer zusammenarbeiten.
    • Manager: Wählen Sie zugeordnete Postfächer und Websites des Vorgesetzten des Benutzers aus.
    • Direkte Berichte: Wählen Sie zugeordnete Postfächer und Websites der direkten Berichte des Benutzers aus.
    • Gruppen, die der Benutzer besitzt: Wählen Sie zugeordnete Postfächer und Websites von Gruppen aus, deren Besitzer der Benutzer ist.
    • Gruppen, in denen sich der Benutzer befindet: Wählen Sie zugeordnete Postfächer und Websites von Gruppen aus, in denen der Benutzer Mitglied ist.

    Wählen Sie für Gruppenquellen eine der folgenden Optionen aus:

    • Mitglieder: Wählen Sie zugeordnete Postfächer und Websites von Personen aus, die Mitglieder der Gruppe sind.

  8. Verwenden Sie die Steuerelemente der Datenquellen-Befehlsleiste , um nach Bedarf andere Datenquellen für die Suche hinzuzufügen, zu aktualisieren, zu synchronisieren und nach anderen Datenquellen zu suchen.

    • Suchen und hinzufügen: Wählen Sie das Symbol + aus, um Datenquellen hinzuzufügen.
    • Verwalten: Wählen Sie das Stiftsymbol aus, um zugewiesene Datenquellen zu verwalten.
    • Synchronisieren: Wählen Sie das Synchronisierungssymbol aus, um Datenquellen zu synchronisieren und die Datenquellen mit den neuesten Datenquellen in Ihrem organization zu aktualisieren.
    • Suche: Wählen Sie das Suchsymbol aus, um die Datenquellen zu durchsuchen, die derzeit in der Suchabfrage enthalten sind.

  9. Um die Parameter Ihrer Suchabfrage zu definieren, wählen Sie auf der Registerkarte Abfrage eine der folgenden Optionen aus:

    • Bedingungs-Generator: Die Bedingungs-Generator-Option in der Suche bietet eine benutzerfreundliche Suchoberfläche, wenn Sie Suchabfragen in eDiscovery erstellen. Verwenden Sie Schlüsselwörter oder benutzerdefinierte Bedingungen, um den Umfang Ihrer Suchabfragen zu fokussieren. Darüber hinaus können Sie die Abfragebedingungsoption Schlüsselwortabfragesprache (KeyQL) in der Suche verwenden, mit der Sie anleitungen und lange, komplexe Abfragen schnell direkt in den Editor einfügen können. Außerdem können Sie Suchabfragen von Grund auf neu erstellen, potenzielle Fehler identifizieren und Hinweise zum Beheben von Problemen anzeigen.

      Sie können auch schnell KeyQL-Abfragen für Ihre Suche erstellen, indem Sie Microsoft Security Copilot verwenden. Eine Anleitung finden Sie im folgenden Abschnitt in diesem Artikel.

    • Suche nach Datei (Vorschau):Laden Sie eine oder mehrere Dateien hoch, um verwandte oder ähnliche Inhalte für einen bestimmten Fall zu finden. Verwenden Sie die CSV-Datei der Überwachungsaktivität, um verwandte Nachrichten und Dateien für einen bestimmten Benutzer innerhalb eines bestimmten Zeitrahmens zu finden. Oder stellen Sie Beispielbeweis bereit, um ähnliche Inhalte zu finden. Jede Datei ist auf eine maximale Dateigröße von 10 MB beschränkt, und Dateien können CSV- oder TXT-Dateien sein. Abfragebuild- und KeyQL-Optionen sind bei der Suche nach Datei deaktiviert.

  10. Wählen Sie Abfrage ausführen aus. Wenn Sie die definierten Abfrageparameter speichern und die Abfrage später ausführen möchten, wählen Sie Als Entwurf speichern aus.

Suche nach Datei (Vorschau)

Hinweis

Dieses Feature befindet sich in der Frühphase der Vorschauphase. Überprüfen Sie die Ergebnisse im Überprüfungssatz oder Export auf Vollständigkeit und Genauigkeit. Während des Vorschauzeitraums behalten wir uns das Recht vor, Änderungen vorzunehmen oder das Feature aufgrund von Feedback einzustellen.

Dieses Feature unterstützt eDiscovery-Ermittler auf zwei Arten:

Suchen nach einer ähnlichen Datei

Am heutigen digitalen Arbeitsplatz werden wichtige Dokumente häufig kopiert, geändert und verschoben, um sie an mehreren Speicherorten zu speichern. Wenn Ermittler über ein Beispieldokument verfügen und ähnliche Inhalte finden möchten, analysiert diese Funktion die hochgeladene Beispielbeweisdatei, um die eindeutigsten Wörter zu extrahieren, und generiert automatisch eine Abfrage, um konzeptionell ähnliche Dateien zu finden. Dieses Feature ist besonders nützlich, um Variationen von spezialisierten oder eindeutigen Dokumenten zu identifizieren, bei denen die manuelle Abfrageformulierung eine Herausforderung darstellen würde.

Suchen nach Überwachungsprotokoll

Für Untersuchungen im Zusammenhang mit Überwachungsprotokollen akzeptiert das Feature die CSV-Datei des Eingabeüberwachungsprotokolls. Es verwendet die Überwachungsprotokolleinträge (z. B. gesendete Nachricht oder Dokumentzugriff), um relevante Dateien im Suchbereich zu finden, und verwendet Informationen im Überwachungsprotokoll, z. B. Bezeichner oder Speicherort, um übereinstimmende Dokumente oder Nachrichten zu finden. Diese Funktion ermöglicht es Ermittlern, Überwachungsaktivitäten mit relevanten Inhalten im Mandanten zu verknüpfen.

Wenn Sie dem Überprüfungssatz elemente hinzufügen, werden die übereinstimmenden Elemente in beiden Szenarien zur vereinfachung der Überprüfung unter der Eingabebeweisdatei oder dem Überwachungsprotokoll gruppiert.

Erstellen einer KeyQL-Suchabfrage mit Microsoft Copilot (Vorschau)

Mit der KeyQL-Generatoroption "Natural Language Query (Vorschau) in der Suche können Sie natürliche Sprache und Microsoft Security Copilot verwenden, um schnell eine KeyQL-Anweisung (Keyword Query Language) zu generieren. Verwenden Sie den Generator, um komplexe Abfragen mit zusätzlichen Funktionen wie AND, OR und Gruppierung von Bedingungen zu erstellen, während Sie Eingabeaufforderungen in natürlicher Sprache verwenden.

Mit diesem Feature können Sie Abfragen einfacher erstellen, indem sie vordefinierte Eingabeaufforderungen für Beispielszenarien verwendet. Außerdem können Sie benutzerdefinierte Eingabeaufforderungen für genauere Suchabfragen verfeinern und verbessern. Sie können auch Eingabeaufforderungsvorschläge als Ausgangspunkt verwenden, um KeyQL-Abfragen für gängige oder benutzerdefinierte Suchszenarien zu erstellen und zu verfeinern.

Führen Sie die folgenden Schritte aus, um eine Suchabfrage mit Copilot zu erstellen:

  1. Nachdem Sie Datenquellen für Ihre Abfrage ausgewählt haben, wählen Sie Abfrage mit Copilot entwerfen aus.
  2. Wählen Sie im Eingabeaufforderungsbereich Natürliche Sprache eine der folgenden Optionen aus:
    • Geben Sie Ihre Suchabfragefrage ein. Sie können ggf. Benutzer-, Datenquellen- und andere Inhaltsdetails einschließen.
    • Wählen Sie Eingabeaufforderungen anzeigen aus, um einen der folgenden Eingabeaufforderungsvorschläge auszuwählen:
      • Suchen aller E-Mails mit den Wörtern "Budget" und "Finanzen" und "Anlagen"
      • Durchsuchen aller Chats im Januar 2020, die das Wort "Geschäftsjahr" enthalten
      • Suchen Sie nach Dateien vom Typ .docx, die die Wörter vertraulich und budget enthalten.
  3. Überprüfen Sie die Eingabeaufforderung in natürlicher Sprache. Um die Eingabeaufforderung mit Copilot zu verfeinern, wählen Sie Verfeinern aus.
  4. Wenn die Eingabeaufforderung abgeschlossen ist, wählen Sie Schlüsselql generieren aus.
  5. Überprüfen Sie die KeyQL-Abfrage im Ergebnisbereich Schlüsselwortabfragesprache (KeyQL). Wenn Sie die KeyQL-Abfrageergebnisse verfeinern müssen, können Sie die Eingabeaufforderung im Eingabeaufforderungsbereich in natürlicher Sprache aktualisieren und erneut KeyQL generieren auswählen. 1. Wenn die KeyQL-Ergebnisse abgeschlossen sind, wählen Sie KeyQL kopieren aus.
  6. Fügen Sie die KeyQL-Ergebnisse in das Abfragefeld auf der Registerkarte Schlüsselwortabfragesprache (KeyQL) ein. Sie können Eine Abfrage mit Copilot entwerfen schließen.
  7. Wählen Sie Abfrage ausführen aus. Wenn Sie die definierten Abfrageparameter speichern und die Abfrage später ausführen möchten, wählen Sie Als Entwurf speichern aus.

Ausführen einer Suchabfrage

Nachdem Sie eine Suchabfrage manuell oder mithilfe von Security Copilot erstellt haben, können Sie die Abfrage ausführen und Suchergebnisse generieren.

Führen Sie zum Ausführen einer Suchabfrage die folgenden Schritte aus:

  1. Wechseln Sie zum Microsoft Purview-Portal , und melden Sie sich mit den Anmeldeinformationen für ein Benutzerkonto an, dem eDiscovery-Berechtigungen zugewiesen sind.

  2. Wählen Sie die eDiscovery-Lösung Karte und dann im linken Navigationsbereich Fälle (Vorschau) aus.

  3. Wählen Sie einen Fall aus. Wählen Sie auf der Registerkarte Suchen eine gespeicherte Suche aus.

  4. Wählen Sie Abfrage ausführen aus.

  5. Nachdem Sie Abfrage ausführen ausgewählt haben, wird der Flyoutbereich Suchergebnisse auswählen angezeigt. Wählen Sie die Ansicht aus, die Sie für die Abfrage generieren möchten, und deren Einstellungen. Sie können die Ansicht Statistiken oder Beispiel auswählen:

    • Statistiken: Diese Ansicht generiert eine Zusammenfassung der gesammelten Datenschätzungen, die nach den wichtigsten Indikatoren angeordnet sind. Wählen Sie eine oder mehrere der folgenden Optionen aus:

    • Kategorien einschließen: Verfeinern Sie Ihre Ansicht, um Personen, Typen vertraulicher Informationen, Elementtypen und Fehler einzuschließen.

    • Bericht "Abfrageschlüsselwörter einschließen": Bewerten sie Schlüsselwort (keyword) Relevanz für verschiedene Teile Ihrer Suchabfrage/.

    • Untersuchen von teilweise indizierten Elementen: Teilweise indizierte Elemente entfallen in der Regel auf etwa 1 % des Inhalts in Datenquellen nach Anzahl. Wenn Sie diese Option (und nur diese Option) auswählen, werden Zusammenfassungsinformationen (Elementanzahl und Speicherort) zu teilweise indizierten Elementen generiert, die in den ausgewählten Datenquellen für die Suche enthalten sind. Es werden keine teilweise indizierten Elemente neu indiziert oder verarbeitet. Um teilweise indizierte Elemente in bereichsbezogenen Datenquellen weiter zu verarbeiten, sollten Sie die folgenden erweiterten Indizierungsoptionen in Betracht ziehen:

      • Teilweise indizierte Elemente an Orten ohne Suchtreffer ausschließen: Wenn Sie diese zusätzliche Option auswählen, wird der Bereich der teilweise indizierten Elemente (oder der erweiterten Indizierung, wenn diese Optionen ausgewählt sind) reduziert, indem die Aufnahme teilweise indizierte Elemente nur auf die Datenquellen beschränkt wird, die für Ihre Suche relevante Elemente enthalten. Dies schließt teilweise indizierte Elemente aus Datenquellen aus, die keine für Ihre Suche relevanten Elemente enthalten.

        Beispielsweise wählen Sie mehrere Postfächer, SharePoint-Websites und OneDrive-Websites als Datenquellen für Ihre Suche aus. Wenn die Suche ausgeführt wird, verfügen nur einige der Postfächer und Websites über indizierte Elemente, die für die Suchbedingungen relevant sind. Die restlichen Postfächer und Websites enthalten keine nativ indizierten Elemente, die für Ihre Suchbedingungen relevant sind. Wenn Sie diese Option auswählen, werden die teilweise indizierten Elemente in den Postfächern und Websites, die nativ indizierte Elemente enthalten, die für die Suche relevant sind, in die Suchergebnisse aufgenommen. Die teilweise indizierten Elemente in den Postfächern und Websites, die keine nativ indizierten Elemente enthalten, die für die Suche relevant sind, werden ignoriert und nicht in den Suchergebnissen gemeldet.

      • Ausführen der erweiterten Indizierung für teilweise indizierte Elemente: Der Bereich, in dem die erweiterte Indizierung ausgeführt wird, hängt davon ab, ob Sie die Option Teilweise indizierte Elemente an Speicherorten ohne Suchtreffer ausschließen auswählen. Der erweiterte Indizierungsprozess führt ein Statistikbeispiel für teilweise indizierte Elemente im Bereich aus und bestimmt, ob diese Elemente mit der Abfrage übereinstimmen oder nicht:

        • Ausgewählt mit der Option Teilweise indizierte Elemente an Speicherorten ohne Suchtreffer ausschließen : Diese Einstellung gilt für teilweise indizierte Elemente nur für Datenquellen mit vollständig indizierten Elementen, die der Suchabfrage entsprechen. Diese Elemente werden erfasst, indiziert, und die elemente, die der Suchabfrage entsprechen, werden in Suchstatistiken angezeigt (sofern zutreffend).
        • Ohne die Option Teilweise indizierte Elemente an Speicherorten ohne Suchtreffer ausschließen ausgewählt: Diese Einstellung gilt für alle teilweise indizierten Elemente in allen Datenquellen, die in der Suche enthalten sind. Alle Elemente werden stichprobeniert, indiziert, und die elemente, die der Suchabfrage entsprechen, werden in Suchstatistiken angezeigt (sofern zutreffend).

        Wichtig

        Dieses Feature ist für Fälle mit eingeschränktem Format nicht verfügbar.

    • Beispiel: Diese Ansicht generiert eine repräsentative Auswahl der vollständigen Suchergebnisse. Definieren Sie die Parameter für die folgenden Optionen:

      • Wählen Sie die Anzahl der pro Speicherort zu generierenden Beispielelemente aus: Wählen Sie entweder 1, 10 oder 100 aus.
      • Wählen Sie die Anzahl der Standorte aus, aus der Sie Beispiele abrufen möchten: Wählen Sie entweder 10, 1000, 1000 oder 10000 aus.

  6. Mit mandantenweiten Quellkonfigurationsoptionen in eDiscovery können Sie zusätzliche Datenquellen bei organization-weiten Suchvorgängen einbeziehen. Das Hinzufügen weiterer Datenquellen kann dazu führen, dass Suchvorgänge länger dauern als üblich.

    Konfigurieren Sie die organization-weite Quelle "Alle Personen und Gruppen", um einen oder mehrere Benutzer- oder Inhaltstypen einzuschließen:

    • "Alle Personen und Gruppen" sollte nicht lizenzierte und lokale Benutzer enthalten.
    • "Alle Personen und Gruppen" sollte Gastbenutzer enthalten
    • "Alle Personen und Gruppen" sollte freigegebene Teams-Kanäle enthalten
    • "Alle Personen und Gruppen" sollte verlassene Benutzer enthalten

  7. Wählen Sie Abfrage ausführen aus, um die Abfrage sofort auszuführen.

Abhängig von den ausgewählten Abfrageansichtsoptionen werden Sie automatisch zur Registerkarte Statistik oder Beispiel weitergeleitet. Die Bewertung der Suchabfrage wird gestartet, und die verbleibende Zeit für die Verarbeitung der Abfrage wird berechnet. Weitere Informationen zum Auswerten und Optimieren Ihrer Suchergebnisse finden Sie unter Überprüfen und Auswerten von Suchergebnissen.

In einigen Szenarien kann es hilfreich sein, eine neue Suche basierend auf einer vorhandenen Suche zu erstellen. Bei diesem Ansatz werden die ursprünglichen Datenquellen und die Suche beibehalten, während Änderungen vorgenommen werden, um neue Suchstatistiken zu erhalten, ohne die ursprüngliche Suche zu ändern. Wenn Sie eine Duplikatsuche erstellen, behalten Sie alle Datenquellen und die Suche aus der ursprünglichen Suche in der neuen Suche bei. Dieser Ansatz bewahrt die Integrität der ursprünglichen Suche und ermöglicht Es Ihnen, neue Erkenntnisse zu erkunden.

Führen Sie die folgenden Schritte aus, um eine neue Suche aus einer vorhandenen Suche zu erstellen:

  1. Wählen Sie einen Fall aus. Öffnen Sie auf der Registerkarte Suchen eine Suche.
  2. Wählen Sie Duplizieren.
  3. Im selben Fall wird automatisch eine neue Suche erstellt.

Der neue Suchname enthält den Quellsuchtitel mit dem Präfix Copy von und dem angefügten Zeitstempel. Wenn der Titel der Quellsuche z. B . Nach Budget-E-Mails suchen lautet, lautet der neue Suchtitel Kopie von Suchen nach Budget-E-Mails + Zeitstempel. Um den neuen Suchtitel zu bearbeiten, wählen Sie das Bearbeitungssteuerelement neben dem Titeltext aus.

Erstellen einer neuen Suche aus einem vorhandenen Halteraum

In einigen Szenarien kann es hilfreich sein, eine neue Suche basierend auf einem vorhandenen Halteraum zu erstellen. Mit diesem Ansatz können Sie die ursprünglichen Datenquellen und die Suche verwenden, die für den Halteraum verwendet wird, um eine neue Suche auszuführen. Wenn Sie eine Suche aus einem vorhandenen Halteraum erstellen, behalten Sie alle Datenquellen und die Suche aus dem Halteraum in der neuen Suche bei.

Hinweis

Um eine Suche aus einem vorhandenen Halteraum zu erstellen, muss Benutzern die Rolle Kompatibilitätssuche zugewiesen sein. Informationen zum Hinzufügen von Benutzern zu einer Rollengruppe finden Sie unter Zuweisen von eDiscovery-Berechtigungen.

Führen Sie die folgenden Schritte aus, um eine neue Suche aus einem vorhandenen Halteraum zu erstellen:

  1. Wählen Sie einen Fall aus. Wählen Sie auf der Registerkarte Halterichtlinien eine Halterichtlinie aus, und öffnen Sie sie.
  2. Wählen Sie Suche erstellen aus.
  3. Eine neue Suche wird automatisch erstellt, und Sie werden automatisch zur neuen Suche weitergeleitet.

Der neue Suchname enthält den Namen der Quell-Aufbewahrungsrichtlinie mit dem Präfix Copy of dem Titel und dem Zeitstempel. Wenn der Titel der Richtlinie für den Quellspeicher beispielsweise Halten lautet, um das Contoso-Projekt beizubehalten, lautet der neue Suchtitel Kopie des Halteraums, um das Contoso-Projekt + den Zeitstempel beizubehalten. Um den neuen Suchtitel zu bearbeiten, wählen Sie das Bearbeitungssteuerelement neben dem Titeltext aus.

Wenn Sie die Anzahl der vorherigen Suchvorgänge im Zusammenhang mit einem Fall reduzieren müssen, können Sie bestimmte Suchvorgänge in eDiscovery löschen. Wenn der Suche Exporte und Überprüfungssätze zugeordnet sind, bleibt der Verlauf dieser Exporte und Überprüfungssätze im Prozess-Manager und in den Überwachungsprotokollen verfügbar.

Führen Sie die folgenden Schritte aus, um eine vorhandene Suche in einem Fall zu löschen:

  1. Wählen Sie einen Fall aus, und wählen Sie die zu löschende Suche aus.
  2. Wählen Sie die Auslassungspunkte (...) oben rechts auf der Suchseite aus, und wählen Sie dann Suche löschen aus.
  3. Wählen Sie im Dialogfeld Suche löschen die Option Ja aus, um die Suche aus dem Fall zu löschen.