Office 356 电子查找（eDiscovery）（一）--概览

今天又开一个新坑–电子查找，也算是一个冷门，不过为了把安全与合规这一块整个体系都讲清楚，也就必须要提一提。
首先来看一下电子查找整个概念的模型：

图片来源–https://www.aos.com/en-us/ediscovery/edrm/

这个模型并不是微软的，如果你参加过一些相关的法律课程可能应该会对这个图有印象。这里不太多这个图做阐述，但是这个流程大家要清楚。并不是我上来就查东西，然后把内容移交司法部门。

我们再来看一下Office 365中电子查找的位置。

你会发现电子查找位于最下方。我是这么理解的，上面所有的安全与合规机制，不管是AIP,DLP,警报,CAS，保留策略等等都无法做到对数据安全的保障以及对用户的教育以后，不得已要使用电子查找来排查一下。虽然电子查找本身不是这个目的哦。

为什么这么说，我们回到第一张流程图，第一项：information management（信息管理），这里所指的也就是安全与合规中心里的分类和标签;

我们可以通过这两项对我们的数据进行一个简单的规划，什么是机密的，什么是重要的，什么是公开的，以及如何区分他们，是手动打标签还是自动标签

第二个是Identification（身份），毕竟你要查找的肯定是谁做了某个动作，是聊天，邮件，分享还是下载等等，那么与这个人（也称作保留人–costodian）相关的人，团队，站点等都要需要在你的排查范伟内。

第三项：Preservation（保留），Collection（收集），相信这一项很容易理解，也就是对应了我们的保留策略–retention policy，以及存档–archive。这一项总是碰到一个梗，客户总是希望公司所有的数据被永久保留着，这样电子查找的时候就能不遗漏任何文件，但是保留策略也是占用空间的，而不管是SharePoint还是Outlook，空间都有限（虽然我叫他放100个心，因为把这些空间占满几乎是不可能的，而且没准儿几年后微软还会对这些空间扩容），为了防止占满，保留策略就改成删除创建/修改多少年后的数据，但这这样又跟永久保留所有这个想法冲突了。

还有就是保留策略–retention policy/preservation和litigition hold有什么区别？
1.保留策略是针对数据的保留，也是一种备份机制，与电子查找无关，但是有帮助
2.litigition hold是使用电子查找时才启用的一种保留策略，针对案件的设计范围进行保留，并且可在结案后撤销

相同的地方就是：
在策略下的文件都无法被删除。

到这有人会疑惑，保留策略明明是在信息管理下面的呀，为什么我上面写的信息管理反而是标签策略呢？

首先你要注意看，这里是信息治理，而不是管理。一字之差，区别还是很大的，其次微软文档也没有官方明确到底什么设置属于信息管理的范畴，这里都是我根据与客户交流的经验总结的。

第四项：Processing（处理）,Analysis（分析）,Review（审阅）。这三项是真正的在电子查找里做的，Office 365会帮你做掉处理，如果你是E5的许可证配备了高级电子查找，那么分析这一项也会做掉，但是审阅肯定还是要人为去进行的。

最后的Production和Reporting基本就是结案时的操作了。