Criar retenções de descoberta eletrônica em um caso de descoberta eletrônica (Standard)
Você pode usar um caso Descoberta Eletrônica do Microsoft Purview (Standard) para criar retenções para preservar o conteúdo que pode ser relevante para o caso. Você pode colocar um porão nas caixas de correio do Exchange e OneDrive for Business contas de pessoas que está investigando no caso. Você também pode colocar um porão nas caixas de correio e sites associados ao Microsoft Teams, grupos do Microsoft 365 e grupos de Viva Engage. Quando você coloca locais de conteúdo em espera, o conteúdo é preservado até remover o local do conteúdo do porão ou até excluir o porão.
Importante
Para retenção de dados de longo prazo não relacionada a investigações de descoberta eletrônica, é altamente recomendável usar políticas de retenção e rótulos de retenção. Para obter mais informações, consulte saiba mais sobre políticas e rótulos de retenção.
Depois de criar um porão de descoberta eletrônica, pode levar até 24 horas para que o porão entre em vigor.
Ao criar um hold, você tem as seguintes opções para escopo do conteúdo preservado nos locais de conteúdo especificados:
- Crie uma retenção infinita em que todo o conteúdo nos locais especificados é colocado em espera. Como alternativa, você pode criar uma retenção baseada em consulta em que apenas o conteúdo nos locais especificados que correspondem a uma consulta de pesquisa é colocado em retenção.
- Especifique um intervalo de datas para preservar apenas o conteúdo que foi enviado, recebido ou criado nesse intervalo de datas. Como alternativa, você pode manter todo o conteúdo em locais especificados, independentemente de quando enviado, recebido ou criado.
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
Como criar uma retenção de Descoberta Eletrônica
Para criar uma retenção de Descoberta Eletrônica associada a um caso de Descoberta Eletrônica (Standard):
Vá para portal de conformidade do Microsoft Purview e entre usando as credenciais da conta de usuário com as permissões de descoberta eletrônica apropriadas.
No painel de navegação esquerdo, selecione Mostrar tudo e selecione eDiscovery > Standard.
Na página Descoberta Eletrônica (Standard), selecione o nome do caso no qual você deseja criar a retenção.
Na página Inicial do caso, selecione a guia Manter .
Na página Manter , selecione Criar.
Na página Nomear seu assistente de retenção , dê ao hold um nome e adicione uma descrição opcional e selecione Avançar. O nome da retenção deve ser exclusivo na sua organização.
Na página Assistente escolher locais , escolha os locais de conteúdo que você deseja colocar em espera. Você pode colocar caixas de correio, sites e pastas públicas em retenção.
- Caixas de correio do Exchange: configure o botão de alternância como Ativado e, em seguida, selecione Escolher usuários, grupos ou equipes para especificar as caixas de correio que serão postas em retenção. Use a caixa de pesquisa para localizar caixas de correio de usuário e grupos de distribuição (para colocar em retenção as caixas de correio de membros do grupo) e colocar em espera. Você também pode colocar um porão na caixa de correio associada para um grupo Microsoft Team, Microsoft 365 e Viva Engage Group. Para obter mais informações sobre os dados do aplicativo preservados quando uma caixa de correio é colocada em espera, consulte Conteúdo armazenado em caixas de correio para descoberta eletrônica.
Importante
Quando você seleciona uma lista de distribuição a ser colocada em espera, a retenção é colocada em cada uma das caixas de correio membro na lista de distribuição quando a política é criada. As alterações subsequentes na lista de distribuição não alteram nem atualizam as retenções ou a política.
Sites do SharePoint: configure o botão de alternância como Ativado e, em seguida, selecione Escolher sites para especificar sites do SharePoint e contas do OneDrive serão postos em retenção. Digite a URL de cada site que você deseja colocar em espera. Você também pode adicionar a URL para o site do SharePoint para um Grupo Microsoft Team, Microsoft 365 ou um Grupo Yammer.
Pastas públicas do Exchange: configure o botão de alternância como Ativado para colocar todas as pastas públicas em sua organização do Exchange Online em espera. Você não pode escolher pastas públicas específicas para colocar em espera. Deixe o botão de alternância desligado se você não quiser colocar pastas públicas em espera.
Importante
Ao adicionar caixas de correio do Exchange ou sites do SharePoint a uma retenção, você deve adicionar explicitamente pelo menos um local de conteúdo à retenção. Em outras palavras, se você definir o alternância como Ativado para caixas de correio ou sites, deverá selecionar caixas de correio ou sites específicos para adicionar ao porão. Caso contrário, a retenção de Descoberta Eletrônica será criada, mas nenhuma caixa de correio ou site será adicionado à retenção.
Quando terminar de adicionar locais ao porão, selecione Avançar.
Para criar uma retenção baseada em consulta usando palavras-chave ou condições, conclua as etapas a seguir. Para preservar todo o conteúdo nos locais de conteúdo especificados, selecione Próximo.
- Na caixa em Palavras-chave, digite uma consulta para preservar apenas o conteúdo que corresponde aos critérios de consulta. Você pode especificar palavras-chave, propriedades de mensagem de email ou propriedades do site, como nomes de arquivos. Você também pode usar consultas mais complexas que usam um operador booliano, como AND, OR ou NOT.
- Selecione Adicionar condição para adicionar uma ou mais condições para restringir a consulta da retenção. Cada condição adiciona uma cláusula à consulta de pesquisa KQL que é criada e executada quando você cria a retenção. Por exemplo, você pode especificar um intervalo de datas para que os documentos de email ou site que foram criados dentro do intervalo de datas sejam preservados. Uma condição é conectada logicamente à consulta de palavra-chave (especificada na caixa Palavras-chave ) e outras condições pelo operador AND. Isso significa que os itens precisam atender à consulta de palavra-chave e à condição a ser preservada.
Para obter mais informações sobre como criar uma consulta de pesquisa e usar condições, consulte Consultas de palavras-chave e condições de pesquisa para Descoberta Eletrônica.
Depois de configurar uma retenção baseada em consulta, selecione Próximo.
Revise suas configurações (e edite-as, se necessário) e selecione Enviar.
Depois de criar um porão, marcar que a retenção seja aplicada com êxito navegando até a guia Segurar no caso e selecionando a política de retenção. Para obter mais informações sobre a solução de problemas com erros, consulte Resolver erros de retenção de descoberta eletrônica.
Observação
Quando você cria uma retenção baseada em consulta, todo o conteúdo dos locais selecionados é inicialmente colocado em espera. Posteriormente, qualquer conteúdo que não corresponda à consulta especificada é desmarcado do porão a cada sete a 14 dias. No entanto, uma retenção baseada em consulta não limpará o conteúdo se mais de cinco retenções de qualquer tipo forem aplicadas a um local de conteúdo ou se algum item tiver problemas de indexação.
Retenções baseadas em consulta colocadas em sites
Tenha as seguintes coisas em mente quando você colocar uma proteção eDiscovery baseada em consulta em documentos localizados em sites do SharePoint:
- Uma retenção baseada em consulta inicialmente preserva todos os documentos em um site por um curto período de tempo após serem excluídos. Isso significa que, quando um documento é excluído, ele é movido para a biblioteca de Retenção de Preservação, mesmo que não corresponda aos critérios do porão baseado em consulta. No entanto, os documentos excluídos que não correspondem a uma retenção baseada em consulta serão removidos por um trabalho de temporizador que processa a biblioteca de Retenção para Preservação. O trabalho de temporizador é executado periodicamente e compara todos os documentos na biblioteca de retenção de preservação com as retenções de descoberta eletrônica baseadas em consulta (e outros tipos de políticas de retenção e retenção). O trabalho de temporizador exclui os documentos que não correspondem a uma retenção baseada em consulta e preserva os documentos que o fazem.
- As retenções baseadas em consulta não devem ser usadas para executar a preservação direcionada, como preservar documentos em uma pasta ou site específico ou usando outros critérios de retenção baseados em localização. Fazer isso pode ter resultados indesejados. Recomendamos usar critérios de retenção não baseados em local, como palavras-chave, intervalos de datas ou outras propriedades de documento para preservar documentos do site.
Pesquisar locais em retenção de Descoberta Eletrônica
Ao pesquisar conteúdo em um caso de descoberta eletrônica (Standard), você pode configurar rapidamente a pesquisa para pesquisar apenas os locais de conteúdo que foram colocados em um porão associado ao caso.
Selecione a opção Locais em espera para pesquisar todos os locais de conteúdo que foram colocados em espera. Se o caso contiver várias descobertas eletrônicas, os locais de conteúdo de todos os porões serão pesquisados quando você selecionar essa opção. Além disso, se um local de conteúdo foi colocado em um porão baseado em consulta, somente os itens que correspondem à consulta de retenção serão pesquisados quando você executa a pesquisa. Em outras palavras, somente o conteúdo que corresponde aos critérios de retenção e aos critérios de pesquisa é retornado com os resultados da pesquisa. Por exemplo, se um usuário foi colocado em suspensão de caso baseada em consulta que preserva itens que foram enviados ou criados antes de uma data específica, apenas esses itens seriam pesquisados. Isso é feito conectando a consulta de retenção de caso e a consulta de pesquisa por um operador AND .
Aqui estão algumas outras coisas a ter em mente ao pesquisar locais no porão de descoberta eletrônica:
- Se um local de conteúdo fizer parte de vários porões dentro do mesmo caso, as consultas de retenção serão combinadas por operadores OR quando você pesquisa esse local de conteúdo usando a opção de conteúdo de todos os casos. Da mesma forma, se um local de conteúdo faz parte de dois porões diferentes, em que um é baseado em consulta e o outro é um porão infinito (onde todo o conteúdo é colocado em espera), todo o conteúdo é pesquisado por causa do porão infinito.
- Se uma pesquisa estiver configurada para pesquisar locais em espera e, em seguida, você alterará uma retenção de descoberta eletrônica no caso (adicionando ou removendo um local ou alterando uma consulta de espera), a configuração de pesquisa será atualizada com essas alterações. No entanto, você deve executar novamente a pesquisa após a alteração da retenção para atualizar os resultados da pesquisa.
- Se vários blocos de descoberta eletrônica forem colocados em um único local em um caso de descoberta eletrônica e você selecionar para pesquisar locais em espera, o número máximo de palavras-chave para essa consulta de pesquisa será 500. Isso ocorre porque a pesquisa combina todas as retenções baseadas em consulta usando o operador OR . Se houver mais de 500 palavras-chave nas consultas de retenção combinadas e na consulta de pesquisa, todo o conteúdo da caixa de correio será pesquisado, não apenas o conteúdo que corresponder às retenções de caso baseadas em consulta.
- Se um porão de descoberta eletrônica tiver um status de Ativado (Pendente), você ainda poderá pesquisar os locais em espera enquanto o porão está sendo ativado.
Preservar conteúdo no Microsoft Teams
As conversas que fazem parte de um canal do Microsoft Teams são armazenadas na caixa de correio associada ao Microsoft Team. Da mesma forma, os arquivos que os membros da equipe compartilham em um canal são armazenados no site do SharePoint da equipe. Portanto, você precisa colocar a caixa de correio team e o site do SharePoint no porão de descoberta eletrônica para preservar conversas e arquivos em um canal.
Como alternativa, as conversas que fazem parte da lista de chats no Teams (chamadas de chats 1:1 ou chats de grupo 1:N) são armazenadas nas caixas de correio dos usuários que participam do chat. E os arquivos que os usuários compartilham em conversas de chat são armazenados na conta do OneDrive do usuário que compartilha o arquivo. Portanto, você precisa adicionar as caixas de correio de usuário individuais e as contas do OneDrive a uma retenção de descoberta eletrônica para preservar conversas e arquivos na lista de chat. É uma boa ideia colocar um porão nas caixas de correio dos membros de um Microsoft Team, além de colocar a caixa de correio e o site da equipe em espera.
Observação
Se sua organização tiver uma implantação híbrida do Exchange (ou sua organização sincronizar uma organização local do Exchange com Office 365) e tiver habilitado o Microsoft Teams, os usuários locais poderão usar o aplicativo de chat do Teams e participar de chats de grupo 1:1 e 1:N. Essas conversas são armazenadas no armazenamento baseado em nuvem associado a um usuário local. Se um usuário local for colocado em um porão de descoberta eletrônica, o conteúdo de chat do Teams no armazenamento baseado em nuvem será preservado. Para obter mais informações, confira Pesquisar dados de bate-papo do Teams para usuários locais.
Para obter mais informações sobre como preservar o conteúdo do Teams, consulte Colocar um usuário ou equipe do Microsoft Teams em espera legal.
Preservar cartão conteúdo
Da mesma forma, cartão conteúdo gerado por aplicativos em canais do Teams, chats 1:1 e chats de grupo 1:N são armazenados em caixas de correio e são preservados quando uma caixa de correio é colocada em um porão de descoberta eletrônica. Um cartão é um contêiner de interface de usuário para pequenos pedaços de conteúdo. Os cartões podem ter várias propriedades e anexos e podem incluir botões que disparam ações cartão. Para obter mais informações, consulte Cartões. Como outros conteúdos de equipes, onde o conteúdo do cartão é armazenado é baseado em onde o cartão foi usado. O conteúdo dos cartões usados em um canal Teams é armazenado na caixa de correio do grupo Teams. O conteúdo do cartão para bate-papos individuais e 1xN é armazenado nas caixas de correio dos participantes do bate-papo.
Preservar informações de reunião e chamada
As informações de resumo de reuniões e chamadas em um canal do Teams também são armazenadas nas caixas de correio dos usuários que discaram para a reunião ou chamada. Esse conteúdo também é preservado quando um porão de descoberta eletrônica é colocado nas caixas de correio do usuário.
Preservar conteúdo em canais privados
A partir de fevereiro de 2020, também ativamos a capacidade de preservar conteúdo em canais privados. Como os chats de canal privado são armazenados nas caixas de correio dos participantes do chat, colocar uma caixa de correio do usuário no porão de descoberta eletrônica preserva chats de canal privado. Além disso, se uma caixa de correio de usuário foi colocada em um porão de descoberta eletrônica antes de fevereiro de 2020, o hold agora será aplicado automaticamente a mensagens de canal privado armazenadas nessa caixa de correio. Também há suporte para preservar arquivos compartilhados em canais privados.
Preservar conteúdo wiki
Cada canal de equipe ou equipe também contém um Wiki para observação e colaboração. O conteúdo Wiki é salvo automaticamente em um arquivo com um formato .mht. Esse arquivo é armazenado na biblioteca de documentos de Dados do Wiki do Teams no site do SharePoint da equipe. Você pode preservar o conteúdo wiki adicionando o site do SharePoint da equipe a um porão de descoberta eletrônica.
Observação
A capacidade de preservar o conteúdo do Wiki para um canal de equipe ou equipe (quando você coloca o site do SharePoint da equipe em espera) foi lançada em 22 de junho de 2017. Se um site de equipe estiver em espera, o conteúdo do Wiki será mantido a partir dessa data. No entanto, se um site de equipe estiver em espera e o conteúdo do Wiki for excluído antes de 22 de junho de 2017, o conteúdo do Wiki não será preservado.
Grupos do Microsoft 365
O Teams é criado em grupos do Microsoft 365. Portanto, colocar grupos do Microsoft 365 na proteção eletrônica é semelhante colocando o conteúdo do Teams em espera.
Lembre-se das seguintes coisas ao colocar os grupos do Teams e do Microsoft 365 em um porão de descoberta eletrônica:
Como explicado anteriormente, para colocar o conteúdo localizado em grupos do Teams e do Microsoft 365 em espera, você precisa especificar a caixa de correio e o site do SharePoint associados a um grupo ou equipe.
Execute o cmdlet Get-UnifiedGroup no Exchange Online PowerShell para exibir propriedades para grupos do Teams e do Microsoft 365. Essa é uma boa maneira de obter a URL para o site associado a uma equipe ou grupo do Microsoft 365. Por exemplo, o comando a seguir exibe propriedades selecionadas para um grupo do Microsoft 365 chamado Equipe de Liderança Sênior:
Get-UnifiedGroup "Senior Leadership Team" | FL DisplayName,Alias,PrimarySmtpAddress,SharePointSiteUrl DisplayName : Senior Leadership Team Alias : seniorleadershipteam PrimarySmtpAddress : seniorleadershipteam@contoso.onmicrosoft.com SharePointSiteUrl : https://contoso.sharepoint.com/sites/seniorleadershipteamObservação
Para executar o cmdlet Get-UnifiedGroup, é preciso ter atribuído a função de Destinatários Somente Leitura no Exchange Online ou ser membro de um grupo de funções atribuído à função de Destinatários Somente Leitura.
Quando a caixa de correio de um usuário é pesquisada, qualquer grupo da Equipe ou do Microsoft 365 do qual o usuário é membro não será pesquisado. Da mesma forma, quando você coloca um grupo team ou Microsoft 365 no porão de descoberta eletrônica, apenas a caixa de correio do grupo e o site do grupo são colocados em espera. As caixas de correio e OneDrive for Business sites de membros do grupo não são colocados em espera, a menos que você as adicione explicitamente ao porão de descoberta eletrônica. Portanto, se você precisar colocar um grupo team ou Microsoft 365 em espera por um motivo legal, considere adicionar as caixas de correio e contas do OneDrive de membros da equipe ou do grupo no mesmo porão.
Para obter uma lista dos membros de um grupo da Equipe ou do Microsoft 365, você pode exibir as propriedades na página Grupos no Centro de administração do Microsoft 365. Como alternativa, execute o comando a seguir no PowerShell do Exchange Online:
Get-UnifiedGroupLinks <group or team name> -LinkType Members | FL DisplayName,PrimarySmtpAddressObservação
Para executar o cmdlet Get-UnifiedGroupLinks, é preciso ter atribuído a função de Destinatários Somente Leitura no Exchange Online ou ser um membro de um grupo de funções atribuído à função Destinatários Somente Leitura.
Preservar conteúdo em contas do OneDrive
Para coletar uma lista das URLs para os sites OneDrive for Business em sua organização para que você possa adicioná-las a um porão ou pesquisar associada a um caso de descoberta eletrônica, consulte Criar uma lista de todos os locais do OneDrive em sua organização. O script neste artigo cria um arquivo de texto que contém uma lista de todos os sites do OneDrive em sua organização. Para executar esse script, é necessário instalar e usar o Shell de Gerenciamento Online do SharePoint. Não se esqueça de acrescentar a URL do domínio MySite da organização para cada site do OneDrive que você deseja pesquisar. Este é o domínio que contém todo o Seu OneDrive; por exemplo, https://contoso-my.sharepoint.com. Aqui está um exemplo de UMA URL para um site do OneDrive do usuário: https://contoso-my.sharepoint.com/personal/sarad_contoso_onmicrosoft.com.
Importante
A URL da conta do OneDrive de um usuário inclui o nome da entidade de usuário (UPN) (por exemplo, https://alpinehouse-my.sharepoint.com/personal/sarad_alpinehouse_onmicrosoft_com). No caso raro de a UPN de uma pessoa ser alterada, a URL do OneDrive também será alterada para incorporar o novo UPN. Se a conta do OneDrive de um usuário fizer parte de uma retenção de descoberta eletrônica e sua UPN for alterada, você precisará atualizar a retenção adicionando a nova URL do OneDrive do usuário e removendo a antiga. Se a URL do site do OneDrive for alterada, as retenções anteriormente colocadas no site permanecerão eficazes e o conteúdo será preservado. Para saber mais, confira Como as alterações de UPN afetam a URL do OneDrive.
Removendo locais de conteúdo de uma retenção de Descoberta Eletrônica
Depois que uma caixa de correio, site do SharePoint ou conta do OneDrive é removida de uma retenção de Descoberta Eletrônica, uma retenção de atraso é aplicada. Isso significa que a remoção real da retenção está atrasada por 30 dias para impedir que os dados sejam excluídos permanentemente (limpos) de um local de conteúdo. Isso dá aos administradores a oportunidade de pesquisar ou recuperar conteúdo que será limpo depois que um porão de descoberta eletrônica for removido. Os detalhes de como a retenção de atraso funciona para caixas de correio e sites são diferentes.
Caixas: Uma retenção de atraso é colocada em uma caixa de correio na próxima vez que o Assistente de Pasta Gerenciada processar a caixa de correio e detectar que um porão de descoberta eletrônica foi removido. Especificamente, uma retenção de atraso é aplicada a uma caixa de correio quando o Assistente de Pasta Gerenciada define uma das seguintes propriedades de caixa de correio como True:
- DelayHoldApplied: Essa propriedade se aplica ao conteúdo relacionado a email (gerado por pessoas que usam o Outlook e Outlook na Web) armazenado na caixa de correio de um usuário.
- DelayReleaseHoldApplied: Essa propriedade se aplica ao conteúdo baseado em nuvem (gerado por aplicativos que não são do Outlook, como Microsoft Teams, Microsoft Forms e Microsoft Yammer) armazenados na caixa de correio de um usuário. Os dados de nuvem gerados por um aplicativo da Microsoft geralmente são armazenados em uma pasta oculta na caixa de correio de um usuário.
Quando uma retenção de atraso é colocada na caixa de correio (quando qualquer uma das propriedades anteriores é definida como True), a caixa de correio ainda é considerada em espera por uma duração ilimitada, como se a caixa de correio estivesse em Retenção de Litígio. Após 30 dias, a retenção de atraso expira e o Microsoft 365 tentará remover automaticamente a retenção de atraso (definindo a propriedade DelayHoldApplied ou DelayReleaseHoldApplied como False) para que a retenção seja removida. Depois que uma dessas propriedades for definida como False, os itens correspondentes marcados para remoção serão limpos na próxima vez que a caixa de correio for processada pelo Assistente de Pasta Gerenciada.
Para saber mais, confira Gerenciar caixas de correios em retenção por atraso.
Sites do SharePoint e do OneDrive: Qualquer conteúdo do SharePoint ou do OneDrive que está sendo mantido na biblioteca de Retenção de Preservação não é excluído durante o período de retenção de atraso de 30 dias depois que um site é removido de um porão de proteção eletrônica. Isso é semelhante ao que acontece quando um site é liberado de uma política de retenção. Além disso, você não pode excluir manualmente esse conteúdo na biblioteca de Retenção para Preservação durante o período de retenção de atraso de 30 dias. Para liberar um site do período de espera/carência de atraso de 30 dias, consulte o artigo Não é possível excluir um site devido a uma política de retenção inválida ou a descoberta eletrônica conter a solução de problemas.
Para obter mais informações, consulte Liberação de uma política de retenção.
Uma retenção de atraso também é aplicada a locais de conteúdo em espera quando você fecha um caso de descoberta eletrônica (Standard), pois as retenções são desativadas quando um caso é encerrado. Para obter mais informações sobre como fechar um caso, consulte Fechar, reabrir e excluir um caso de descoberta eletrônica (Standard).
Limites de retenção de descoberta eletrônica
A tabela a seguir lista os limites para casos de descoberta eletrônica e casos de retenção.
| Descrição do limite | Limite |
|---|---|
| Número máximo de casos para uma organização. | Sem limite |
| Número máximo de políticas de retenção de descoberta eletrônica para uma organização. Esse limite inclui o total combinado de políticas de retenção nos casos de descoberta eletrônica (Standard) e eDiscovery (Premium). | 10.0001 |
| Número máximo de caixas de correio em um único porão de descoberta eletrônica. Esse limite inclui o total combinado de caixas de correio de usuário e as caixas de correio associadas a grupos do Microsoft 365, Microsoft Teams e grupos de Viva Engage. | 1.000 |
| Número máximo de sites em um único porão de descoberta eletrônica. Esse limite inclui o total combinado de sites OneDrive for Business, sites do SharePoint e os sites associados a grupos do Microsoft 365, Microsoft Teams e grupos de Viva Engage. <Br/ | 100 |
| Número máximo de casos exibidos na home page eDiscovery e o número máximo de itens exibidos nas guias Holds, Searches e Export em um caso. | 1.0001 |
| Manter limites para sites do SharePoint e OneDrive | Para obter detalhes, confira Limites do SharePoint. |
Observação
1 Para exibir uma lista de mais de 1.000 casos, retenções, pesquisas ou exportações, você pode usar o cmdlet do PowerShell de Conformidade & segurança correspondente:
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de