Office 356 电子查找（eDiscovery）（二）--创建案件和导出

在创建一个电子查找的案件以前，先有一个前提条件，那就是这个负责创建案件的人必须要有相应的权限，即便你目前是全球管理员，默认情况下也不具有权限，需要在安全与合规中心里授予自己或相应人员
1.Reviewer
2.eDiscovery Manager
这两个权限

这样就可以创建案件了。

点击打开来编辑这个案件，对于基础的电子数据查找选项是非常简单的：

1.创建法定保留–litigition hold
2.执行内容搜索
3.导出结果

首先选定这个案件时跟谁有关，以及跟此人相关的站点：

然后查询条件这里我们可以定义很多的关键字，以及条件:

这里的关键字可以用AND, OR, NOR等，特别注意必须大写！如果小写就会认为是关键词，而不是查询运算符，具体的条件以及运算符可参考文档–https://docs.microsoft.com/zh-cn/microsoft-365/compliance/keyword-queries-and-search-conditions

注：测试的时候你可以随意定义关键字，但是生产环境中，一定要找一个对你正在调查的站点/人最了解的人员来定义/公司法务，并且咨询律师需要设置什么样的关键字，当然律师可能会给你一大张表，几百个关键字，这就是为什么要配合公司内部的人来过滤一下。

最后就完成了法定保留的创建，那么也就意味着我们刚刚选中的站点，和相关人的OneDrive，邮件，Team对话等等都不可被删除了。

现在好玩的来了，我们转到下一项，也就是搜索，你会发现这一栏好像跟前面设置的法定保留没有多大关系。按理说不因该自动跳出来我前面设定的法定保留的人和位置吗?怎么还需要输入一遍？

如果你跟“内容查找”做一个对比会发现几乎一样。

但是电子查找多了一项–处于暂停装填的位置：

这个就是你前面设置的位置。所以此处的关键字等都是无所谓再去设置的了。
最后执行搜索，这个搜索的时间很难说要多久，当然肯定是内容越多，耗时越长。比如微软自己来举例，正式员工加上外包一共差不多20万人，搜索大概需要1个小时。

现在就可以看结果了，这里的结果有些支持预览，有些不支持，只能下载下来：

看到了么？这里我之前定义的关键字demo就被成功的检索了

最后你可以导出结果：

或者导出报告：

注意，这里不会直接就下载下来，需要到最后一项，也就是导出里去下载

这里有个最佳实践的点想分享一下，因为不管是内容搜索还是电子查找里的搜索（其实都一样）都是给予案件创建人非常大的权力，可以查找到用户所有的内容，聊天记录，文件等等。所以建议创建一个警报策略来通知相应的管理员关于eDiscovery的启动以及导出动作:

这样管理员会知晓目前发生的事情