实验室 4 - 练习 2 - 使用电子数据展示(标准版)和内容搜索进行案例调查
你是 Contoso Ltd. 的合规性管理员 Joni Sherman。目前,该公司正卷入一名前员工提起的不当解雇诉讼。 作为合规性管理员,你有责任确保所有相关电子数据得到保存并可供访问,以履行法律义务。 在本练习中,你将使用电子数据展示(标准版)和内容搜索有效地管理案件,确保 Contoso Ltd. 可以为诉讼提供必要的电子证据。
任务:
- 为电子数据展示分配权限
- 创建电子数据展示(标准版)案例
- 创建电子数据展示(标准版)保留
- 对邮箱执行搜索和清除
- 创建电子数据展示(标准版)搜索
- 导出搜索结果和报告
- 关闭电子数据展示(标准版)案例
任务 1 - 为电子数据展示分配权限
在此任务中,你将给帐户 Joni Sherman 分配必要的电子数据展示权限。 这些权限使你可以根据不当解雇案例的要求管理和导出电子数据展示数据。
-
使用 lon-cl1\admin 帐户登录到客户端 1 VM (LON-CL1)。
-
在 Microsoft Edge 中,导航到
https://purview.microsoft.com
并以 MOD 管理员的身份admin@WWLxZZZZZZ.onmicrosoft.com
(其中 ZZZZZZ 是实验室托管提供程序提供的唯一租户 ID)登录到 Microsoft Purview 门户 。 管理员的密码应由实验室托管提供程序提供。 -
在左侧边栏中,选择“设置”。
-
在“设置”页上,展开“角色和范围”,然后选择“角色组”。
-
在“Microsoft Purview 解决方案的角色组”页上,搜索
eDiscovery
,然后选择“电子数据展示管理员”。 -
在“电子数据展示管理员”浮出控件面板上,选择“编辑”。
-
在“管理电子数据展示管理员”页上,选择“选择用户”。
-
在“选择用户”浮出控件页面上,搜索
Joni
,然后选择 Joni Sherman 的复选框。 选择面板底部的“选择”按钮。 -
回到“管理电子数据展示管理员”页上,选择“下一步”。
-
在“管理电子数据展示管理员”页上,选择“下一步”。
-
在“查看角色组并完成”页上,选择“保存” 。
-
在“已成功更新角色组”页上,选择“完成” 。
-
选择窗口右上角的 MA 图标,然后选择“退出登录”,以退出 MOD 管理员帐户。
你已成功将必要的电子数据展示权限分配给 Joni 的帐户。
任务 2 - 创建电子数据展示(标准版)案例
接下来,你将为不当解雇诉讼创建电子数据展示(标准版)案件。 此案例将充当与该诉讼相关的所有活动和数据的中央存储库。
-
使用 lon-cl1\admin 帐户登录到客户端 1 VM (LON-CL1)。
-
在 Microsoft Edge 中,导航到
https://purview.microsoft.com
并以 Joni Sherman 的身份JoniS@WWLxZZZZZZ.onmicrosoft.com
(其中 ZZZZZZ 是实验室托管提供程序提供的唯一租户 ID)登录到 Microsoft Purview 门户 。 -
从左侧边栏中选择“解决方案”,然后选择电子数据展示。
-
在“电子数据展示”页上,从左侧边栏中选择“标准案例”。
-
在“电子数据展示(标准版)”页面上,选择“+ 创建案件”。
-
在“新建案例”浮出控件面板中,输入:
- 名称:
Wrongful Termination Case
- 说明:
Wrongful termination lawsuit filed against Contoso Ltd. by a former employee.
- 名称:
-
选择“保存”。
-
返回到“电子数据展示(标准版)”**** 页,选择新创建的“不当离职案例”****。
-
在“不当解雇案例”页面上,选择“设置”选项卡。在“访问和权限”下,选择“选择”按钮。
-
在“访问和权限”浮出控件面板中的“用户”下,选择“+ 添加”。
-
在“添加成员”浮出控件面板上搜索
Diego
,然后选择 Diego Siciliani 的复选框。 选择面板底部的“添加”,授予 Diego 访问电子数据展示案例的权限。 -
返回到“访问和权限”页,选择“关闭”以返回到案例设置页面********。
现在已成功创建了名为“Wrongful Termination Case”的电子数据展示(标准版)案例,并将 Diego Siciliani 添加为成员以管理访问和权限。
任务 3 - 创建电子数据展示(标准版)保留
在任务 2 中,将创建电子数据展示(标准版)保留作为先前创建的“Wrongful Termination Case”的一部分。 此保留会保留与 Contoso Ltd. 非法解雇诉讼有关的所有相关电子数据。
-
仍应使用 Joni 的帐户登录到 Microsoft Purview,并且仍位于电子数据展示(标准版)中“非法终止案例”的“设置”**** 页上。 如果没有,请导航到
https://purview.microsoft.com
,然后以 Joni Sherman 的身份登录。 选择“解决方案” > “电子数据展示” > “标准案例” > “非法终止案例”。 -
从顶部导航栏中选择“保留”**** 选项卡。
-
在“Wrongful Termination Case”的“保留”页上,选择“+ 创建” 。
-
在“命名保留”**** 页上的“新建保留”**** 配置中,输入:
- 名称:
Wrongful Termination Hold
- 说明:
Legal hold to preserve all relevant electronic data related to the Wrongful Termination Case.
- 名称:
-
在“选择位置”**** 页上,选择“Exchange 邮箱”**** 位置。
-
在“Exchange 邮箱”**** 右侧的“已包含”**** 下,选择“选择用户、组或团队”****。
-
在右侧的“Exchange 邮箱”**** 浮出控件面板的“搜索”**** 字段中搜索“
Lidia
”,然后选中“Lidia Holloway”**** 的复选框。 在窗格底部选择“完成”****。 -
返回到“选择位置”页,选择“下一步”********。
-
在“查询”页上,确保为“使用新查询生成器”设置切换。
-
在“筛选器”下,在“AND”运算符下,选择“选择筛选器”,然后选择“日期”。
-
出现一个新的“选择运算符”字段,以将运算符应用于日期筛选器。 使用 Between 运算符并保留所选的默认日期范围。
-
选择下一步。
-
在“查看设置”页上,选择“提交” 。
-
成功创建法定保留后,在显示“成功”**** 消息的页面上选择“完成”****。
现已成功创建“非法终止案例”****,并将 Diego Siciliani 添加为成员以管理访问和权限。 此案例现已准备就绪,可以执行进一步的电子数据展示操作。
任务 4 - 对邮箱执行搜索和清除操作
对与案例相关的数据进行详细搜索之前,请务必删除可能污染数据集的任何钓鱼电子邮件。 在此任务中,你将执行搜索和清除操作,从所有邮箱中消除这些不需要的电子邮件。
-
仍应使用 Joni 的帐户登录到 Microsoft Purview,并且仍位于 Microsoft Purview 内的电子数据展示**** 中。 如果没有,请导航到
https://purview.microsoft.com
,然后以 Joni Sherman 的身份登录。 选择“解决方案”**** > “电子数据展示”****。 -
在左侧边栏中,展开“内容搜索”,然后选择“搜索”。
-
- 在“内容搜索”**** 页上,选择“+ 新建搜索”****。
-
在“新建搜索”**** 配置的“名称和说明”**** 页上,输入“
Phishing mail removal
”作为搜索名称,然后选择“下一步”****。 -
在“位置”**** 页上,选择“Exchange 邮箱”**** 位置,然后选择“下一步”****。
-
在“关键字”框的“定义搜索条件” 页中,输入“
From:phishingmail@outlook.com AND subject:"Password changed"
”,然后选择“下一步”****。 -
在“查看并创建搜索”窗口中,选择“提交” 。
-
成功创建搜索后,请在“新建的搜索”**** 页上选择“完成”****。
-
创建搜索后,需要使用“安全性和符合性 PowerShell”来开始清除。 在“开始”菜单中,右键单击 Windows 按钮,然后选择“终端(管理员)”****。
-
运行 Connect-IPPSSession**** cmdlet 以连接到安全性和合规性 PowerShell****:
Connect-IPPSSession
-
系统提示登录时,请以 MOD 管理员****
admin@WWLxZZZZZZ.onmicrosoft.com
身份登录(其中 ZZZZZZ 是实验室托管提供商提供的唯一租户 ID)。 -
运行 New-ComplianceSearchAction**** cmdlet 以删除“删除网络钓鱼邮件”**** 搜索找到的结果。
New-ComplianceSearchAction -SearchName "Phishing mail removal" -Purge -PurgeType HardDelete
-
在终端窗口中为输入“Y”**** 代表“是”,然后按 Enter**** 确认此操作。
-
关闭终端窗口。
已成功从邮箱中清除网络钓鱼电子邮件。 这可确保后续搜索仅关注相关和合法的数据。
任务 5 - 创建电子数据展示(标准版)搜索
邮箱清理完毕后,现在将创建电子数据展示(标准版)搜索,以识别和收集与非法终止诉讼相关的所有电子数据。 此搜索将有助于收集案例的必要证据。
-
你应仍使用 Joni 的帐户登录 Microsoft Purview。 导航到
https://purview.microsoft.com
,然后以 Joni Sherman 身份登录。 -
选择“解决方案”,然后选择“电子数据展示”。
-
在左侧边栏上,选择“电子数据展示(标准版)”,然后选择在上一任务中创建的“非法终止案例”。
-
在“非法终止案例”中,从顶部导航栏中选择“搜索”**** 选项卡。
-
在“Wrongful Termination Case”页的“搜索”页上,选择“+ 新建搜索” 。
-
在“新建搜索”**** 配置的“名称和说明”**** 页上,输入:
- 名称:
Wrongful Termination Search
- 说明:
Search to identify and collect all relevant electronic data related to the Wrongful Termination Case.
- 名称:
-
在“位置”页上,为“Exchange 邮箱”、“SharePoint 站点”和“Exchange 公共文件夹”选择“打开”,然后选择“下一步” 。
-
在“定义搜索条件”**** 页上,选择“KQL 编辑器”**** 单选按钮。
-
在 KQL 编辑器框中,输入:
To:Lidia OR From:Lidia OR Cc:Lidia OR Bcc:Lidia
-
选择下一步。
-
在“查看并创建搜索”页上,选择“提交” 。
-
成功创建搜索后,在“新建的搜索”**** 页上选择“完成”****。
已成功使用 KQL 编辑器创建“非法终止搜索”****。 此搜索将有助于识别和收集与案例相关的所有相关电子数据。
任务 6 - 导出搜索结果和报告
在此任务中,你将导出搜索结果并生成详细的报告。 这些导出结果和报告对于审查和分析收集的数据以支持非法终止案例至关重要。
-
你仍应使用 Joni 的帐户登录到 Microsoft Purview,并且仍位于电子数据展示(标准版)中非法终止案例的“搜索”**** 页上。 如果没有,请导航到
https://purview.microsoft.com
,然后以 Joni Sherman 的身份登录。 选择*“解决方案”**** > “电子数据展示”**** > “标准案例”**** > “非法终止案例”****。 -
在 “搜索”页面,为“Wrongful Termination Search”选择字段(而不是复选框)。
-
在右侧的“非法终止搜索”**** 浮出控件面板中,选择面板底部的“操作”**** 下拉列表,然后选择“导出结果”****。
-
在“导出结果”**** 页的“输出选项”**** 下,选择“所有项,不包括格式无法识别、已加密或由于其他原因而未编制索引的项”****。
-
在“将 Exchange 内容导出为”下,选择“每个邮箱一个 PST 文件” 。
-
向下滚动并选中“对 Exchange 内容启用重复数据删除”**** 和“包含各版本的 SharePoint 文件”**** 复选框。
-
查看面板底部的估算报告,了解要导出的项类型、项数量和项大小,然后选择“导出”****。
-
会显示 Microsoft Purview 弹出窗口,告知“已创建作业”。 选择“确定”****。
-
返回到“搜索”页,从顶部导航栏中选择“导出”选项卡********。 选择名为“Wrongful Termination Search_Export”的作业
注意:如果导出状态标记为“计划...”,请选择“刷新”,直到“导出密钥”可用 。 这可能需要几分钟的时间。
-
导出密钥可用后,在“Wrongful Termination Search_Export”浮出面板的“导出密钥”下,选择“复制到剪贴板”以复制导出密钥。
-
在“Wrongful Termination Search_Export”面板的顶部,选择“下载结果”以下载结果。
-
在 Microsoft Edge 中,系统会提示你打开文件。 这是电子数据展示导出工具。 出现提示时选择“打开”。
-
在“应用程序安装”窗口中,选择“安装”以安装Microsoft Office 365 电子数据展示导出工具,然后选择“安装”。
-
在电子数据展示导出工具的“粘贴将用于连接到源的导出密钥:”字段中,粘贴在上一步中复制的“导出密钥” 。
-
在“选择将用于存储下载文件的位置”下,选择“浏览” :
-
在“浏览文件夹”窗口中,选择“文档”,然后选择“确定” 。
-
返回“电子数据展示导出工具”,选择“开始”以导出文件 。
-
看到“处理已完成”的绿色复选标记后, 结果已下载。 选择“关闭”以关闭窗口。
-
在“电子数据展示导出工具”中,选择“导出位置:”链接,以打开本地导出的文件 。
-
浏览导出的内容:
包含在导出中的内容:
- 导出摘要:包含导出摘要的 Excel 文档,其中包括搜索的内容源数量、搜索结果的估计大小和下载大小,以及导出项的估计数量和下载数量。
- 清单:一个清单文件(XML 格式),其中包含有关搜索结果中包含的每个项的信息。
- 结果:一个 Excel 文档,提供有关搜索结果中每个索引项的详细信息。 对于电子邮件,它包括邮件位置、日期、主题、发件人和收件人。 对于 SharePoint 和 OneDrive for Business 文档,它包括文档 URL、网站集 URL、修改日期和文档名称。
- 跳过的项:一个 Excel 文档,其中包含有关不会下载的项(例如文件夹或文档集)的信息。
- Trace.log:包含有关导出过程的详细日志记录信息,有助于发现导出过程中的问题。
- 所有搜索结果和导出报表都包含在与内容搜索同名的文件夹中。 导出的电子邮件位于名为“Exchange”的文件夹中。 文档位于名为“SharePoint”的文件夹中。
你已成功导出“Wrongful Termination Search”的搜索结果。
-
浏览导出后,关闭文件夹窗口,导航返回 Microsoft Edge 中的 Microsoft Purview 浏览器窗口,然后在“Wrongful Termination Search_Export”面板中选择“关闭”。
-
返回“导出”页面,选择“搜索”选项卡。
-
在 “搜索”页面,为“Wrongful Termination Search”选择字段(而不是复选框)。
-
在“Wrongful Termination Search”浮出控件面板的右侧,选择面板底部的“操作”下拉列表,然后选择“导出报表”。
-
在“导出报表”页的“输出选项”下,选择“所有项,不包括格式无法识别的项、已加密的项或由于其他原因而未编制索引的项”。
-
选中复选框以启用 Exchange 内容的重复删除,然后选择“生成报表”。
-
会显示 Microsoft Purview 弹出窗口,告知“已创建作业”。 选择“确定”****。
-
返回到“搜索”页,从顶部导航栏中选择“导出”选项卡********。 应有一个名为“Wrongful Termination Search_ReportsOnly”的报表。
注意:如果导出状态标记为“计划...”,请选择“刷新”,直到“导出密钥”可用 。 这可能需要几分钟的时间。
-
在“Wrongful Termination Search_ReportsOnly”浮出控件面板的“导出密钥”下,选择“复制到剪贴板”以复制导出密钥。
-
在“Wrongful Termination Search_ReportsOnly”页的顶部,选择“下载报表”以下载报表 。
-
出现提示时,选择“打开” 以打开电子数据展示导出工具。
-
在电子数据展示导出工具的“粘贴将用于连接到源的导出密钥:”字段中,粘贴在上一步中复制的“导出密钥” 。
-
在“选择将用于存储下载文件的位置”下,选择“浏览” :
-
在“浏览文件夹”窗口中,选择“文档”,然后选择“确定” 。
-
返回“电子数据展示导出工具”,选择“开始”以下载报表 。
-
如果你看到“处理已完成”标有一个绿色对号,则表明报告已完成下载。**** 选择“关闭”以关闭窗口。
-
在“电子数据展示导出工具”中,选择“导出位置:”链接,以打开本地下载的报表 。
-
浏览报表的内容:
包含在报表中的内容:
- 导出摘要:包含导出摘要的 Excel 文档,其中包括搜索的内容源数量、搜索结果的估计大小和下载大小,以及导出项的估计数量和下载数量。
- 清单:一个清单文件(XML 格式),其中包含有关搜索结果中包含的每个项的信息。
- 结果:一个 Excel 文档,提供有关搜索结果中每个索引项的详细信息。 对于电子邮件,它包括邮件位置、日期、主题、发件人和收件人。 对于 SharePoint 和 OneDrive for Business 文档,它包括文档 URL、网站集 URL、修改日期和文档名称。
- Trace.log:包含有关导出过程的详细日志记录信息,有助于发现导出过程中的问题。
-
查看完导出的结果后,关闭电子数据展示导出工具和文件资源管理器窗口,然后导航回 Microsoft Edge。
你已成功导出Wrongful Termination Search的搜索结果并生成必要的报表。 这些文档包括导出摘要、清单、详细项结果和跟踪日志。 查看和分析这些结果,以发现与案例相关的见解。
任务 7 - 关闭电子数据展示(标准)案例
在此最终任务中,你将关闭电子数据展示案例,以提起非法解雇诉讼。 此步骤显示已完成所有必要的数据收集和审阅任务。
-
你仍应使用 Joni 的帐户登录到 Microsoft Purview,并且仍位于电子数据展示(标准)中“不当解雇案例”的“导出”页上。 如果没有,请导航到
https://purview.microsoft.com
,然后以 Joni Sherman 的身份登录。 选择*“解决方案”**** > “电子数据展示”**** > “标准案例”**** > “非法终止案例”****。 -
选择“主页”选项卡,然后选择“x 关闭案例”。
-
查看“警告”对话框,其通知内容为:关闭案例会释放所有保留内容,可能导致数据丢失。
-
在警告消息上选择“是”按钮。
已成功关闭“Wrongful Termination Case”,可以选择重新打开此案例。 这意味着所有电子数据展示任务都已完成,并且该案例已准备好执行任何后续步骤。 你的工作是确保 Contoso Ltd. 为诉讼做好准备。