eDiscovery Deep Dive eDiscovery Deep Dive
Ausführliche Referenz zu Content Search, KQL, eDiscovery Standard, eDiscovery Premium, Holds und Exporten in Microsoft Purview. Detailed reference for content search, KQL, eDiscovery Standard, eDiscovery Premium, holds, and exports in Microsoft Purview.
Hinweis zur Struktur
Structure note
Diese Seite kombiniert Architektur, Governance, Workload-Besonderheiten, Betriebsdetails und PowerShell-Referenzen für Microsoft Purview. This page combines architecture, governance, workload-specific behavior, operational details, and PowerShell reference material for Microsoft Purview.
DLP Deep Dive
DLP Deep Dive
Direkt zur Deep-Dive-Seite wechseln Jump directly to the deep-dive page
Sensitivity Labels Deep Dive
Sensitivity Labels Deep Dive
Direkt zur Deep-Dive-Seite wechseln Jump directly to the deep-dive page
Retention Deep Dive
Retention Deep Dive
Direkt zur Deep-Dive-Seite wechseln Jump directly to the deep-dive page
eDiscovery Deep Dive
eDiscovery Deep Dive
Direkt zur Deep-Dive-Seite wechseln Jump directly to the deep-dive page
Audit & Information Protection Deep Dive
Audit & Information Protection Deep Dive
Direkt zur Deep-Dive-Seite wechseln Jump directly to the deep-dive page
eDiscovery Übersicht
eDiscovery overview
Standard vs Premium Standard vs premium
Content Search
Content search
KQL und Properties KQL and properties
eDiscovery Standard
eDiscovery Standard
Cases und Holds Cases and holds
eDiscovery Premium
eDiscovery Premium
Review Sets und Analytics Review sets and analytics
Legal Holds
Legal holds
Custodian und non-custodial Custodian and non-custodial
Export
Export
Formate und Dedup Formats and dedup
Compliance Boundaries
Compliance boundaries
Suchgrenzen Search boundaries
PowerShell
PowerShell
Cmdlets Cmdlets
eDiscovery Übersicht eDiscovery overview
Microsoft Purview eDiscovery deckt vom ad-hoc Content Search bis zur forensischen Premium-Untersuchung mehrere Reifegrade ab. Lizenzierung und Rollen bestimmen, welche Funktionen tatsächlich genutzt werden können. Microsoft Purview eDiscovery covers several maturity levels from ad-hoc content search to forensic premium investigation. Licensing and roles determine which features can actually be used.
| Variante Variant | Kernfunktionen Core capabilities | Typischer Einsatz Typical use |
|---|---|---|
| Content Search Content Search | Tenantweite Suche, Preview, Statistik, Export Tenant-wide search, preview, statistics, export | Schnelle Ermittlungen und Compliance Requests Quick investigations and compliance requests |
| eDiscovery Standard eDiscovery Standard | Cases, Holds, Suchsets, Exporte Cases, holds, search sets, exports | Juristische Anforderungen mit Basiscase-Management Legal requests with basic case management |
| eDiscovery Premium eDiscovery Premium | Review Sets, Analytics, Custodian Workflow, Communication Review sets, analytics, custodian workflow, communication | Komplexe Rechtsfälle und forensische Untersuchungen Complex legal cases and forensic investigations |
| Licensing comparison Licensing comparison | Premium erfordert zusätzliche Lizenzbausteine Premium requires additional licensing | Vor Projektstart mit Lizenzteam validieren Validate with the licensing team before project start |
Content Search Content search
Content Search nutzt Keyword Query Language (KQL), um Inhalte in Exchange, SharePoint, OneDrive, Teams und anderen unterstützten Workloads abzufragen. Gute KQL reduziert Datenmengen, erhöht Trefferqualität und beschleunigt Exporte. Content Search uses Keyword Query Language (KQL) to query content across Exchange, SharePoint, OneDrive, Teams, and other supported workloads. Good KQL reduces data volume, improves hit quality, and accelerates exports.
| Searchable property Searchable property | Bedeutung Meaning | Beispiel Example |
|---|---|---|
| from from | Absender einer E-Mail Email sender | from:john@contoso.com from:john@contoso.com |
| to to | Empfänger im To-Feld Recipient in To field | to:board@contoso.com to:board@contoso.com |
| cc cc | Empfänger im Cc-Feld Recipient in Cc field | cc:legal@contoso.com cc:legal@contoso.com |
| bcc bcc | Blindkopie-Empfänger Blind copy recipients | bcc:archive@contoso.com bcc:archive@contoso.com |
| subject subject | Betrefftext Subject text | subject:confidential subject:confidential |
| body body | Nachrichten- oder Dokumentinhalt Message or document body | body:"project atlas" body:"project atlas" |
| sent sent | Sendedatum Sent date | sent>=2024-01-01 sent>=2024-01-01 |
| received received | Empfangsdatum Received date | received<=2024-12-31 received<=2024-12-31 |
| size size | Größe in Byte Size in bytes | size>1048576 size>1048576 |
| kind kind | Elementtyp wie email, document, im, meeting Item type such as email, document, im, meeting | kind:email kind:email |
| participants participants | Gesprächsteilnehmer oder Meeting-Teilnehmer Conversation or meeting participants | participants:john participants:john |
| filename filename | Dateiname File name | filename:nda filename:nda |
| filetype filetype | Dateierweiterung File extension | filetype:pdf filetype:pdf |
| site site | Website-URL oder Site-Kontext Site URL or site context | site:https://contoso.sharepoint.com/sites/legal site:https://contoso.sharepoint.com/sites/legal |
| path path | Dateipfad File path | path:"/Shared Documents/Contracts" path:"/Shared Documents/Contracts" |
| author author | Dokumentautor Document author | author:"Jane Doe" author:"Jane Doe" |
| title title | Dokumenttitel Document title | title:"Quarterly Results" title:"Quarterly Results" |
| KQL-Muster KQL pattern | Beschreibung Description | Beispiel Example |
|---|---|---|
| property:value property:value | Gezielte Eigenschaftssuche Targeted property search | subject:project subject:project |
| AND AND | Beide Bedingungen müssen zutreffen Both conditions must match | from:john AND kind:email from:john AND kind:email |
| OR OR | Mindestens eine Bedingung reicht At least one condition must match | from:john OR from:jane from:john OR from:jane |
| NOT NOT | Bedingung ausschließen Exclude condition | subject:finance NOT kind:document subject:finance NOT kind:document |
| () () | Klammern für Priorität nutzen Use parentheses for precedence | (from:john OR from:jane) AND subject:board (from:john OR from:jane) AND subject:board |
| Date ranges Date ranges | Datumsfenster definieren Define date window | sent>=2024-01-01 AND sent<=2024-12-31 sent>=2024-01-01 AND sent<=2024-12-31 |
| Wildcards Wildcards | Präfixsuche mit Stern Prefix search with asterisk | subject:project* subject:project* |
| Complex email query Complex email query | Mehrere Felder kombinieren Combine multiple fields | (from:john OR from:jane) AND subject:confidential AND kind:email (from:john OR from:jane) AND subject:confidential AND kind:email |
| Attachment search Attachment search | Dateityp oder Name eingrenzen Constrain by file type or name | filetype:xlsx AND filename:forecast filetype:xlsx AND filename:forecast |
| Participant search Participant search | Teams- oder Meeting-Beteiligte durchsuchen Search Teams or meeting participants | participants:"External User" participants:"External User" |
| Size filters Size filters | Große Elemente eingrenzen Narrow on large items | size>5242880 size>5242880 |
| Preview and statistics Preview and statistics | Erst Trefferbild prüfen, dann exportieren Validate hit quality before export | Preview before export Preview before export |
eDiscovery Standard eDiscovery Standard
| Funktion Feature | Beschreibung Description | Praxisnutzen Operational benefit |
|---|---|---|
| Cases Cases | Zentraler Container für Suche, Hold und Export Central container for search, hold, and export | Saubere Trennung je Verfahren oder Anfrage Clean separation per matter or request |
| Custodians Custodians | Benutzer oder Datenquellen im Fallkontext Users or data sources in case context | Hilft bei Dokumentation der Quellen Helps document sources |
| Query-based holds Query-based holds | Hold nur auf Inhalte mit bestimmtem Trefferbild Hold only on content with a certain hit profile | Reduziert Datenmenge gegenüber Vollhold Reduces data volume versus full hold |
| Non-custodial sources Non-custodial sources | Sites, Mailboxes oder Teams ohne formalen Custodian Sites, mailboxes, or Teams without formal custodians | Wichtig für Projektteams und Funktionspostfächer Important for project teams and shared resources |
| Searches within case Searches within case | Suche ist innerhalb des Falls verwaltbar Searches are managed within the case | Bessere Nachvollziehbarkeit als globale Suche Better traceability than global search |
| Export Export | PST, Einzelobjekte oder Ergebnisstrukturen PST, individual items, or structured results | Direkter Weitergabeweg an Rechtsabteilung Direct handoff to legal teams |
| Deduplication Deduplication | Doppelte Elemente beim Export reduzieren Reduce duplicate items on export | Spart Review-Aufwand und Speicher Saves review effort and storage |
| Include versions Include versions | Versionen von Dokumenten exportieren Export document versions | Wichtig für Nachweis von Änderungen Important for proving changes |
eDiscovery Premium eDiscovery Premium
| Funktion Feature | Beschreibung Description | Mehrwert Value |
|---|---|---|
| Collection Collection | Gezielte Sammlung von Inhalten in Review Sets Targeted collection of content into review sets | Trennt Sammeln von finalem Export Separates collection from final export |
| Review sets Review sets | Arbeitsbereich für Analyse, Tagging und Review Workspace for analysis, tagging, and review | Kollaborativer Prüfprozess Collaborative review process |
| Relevance module Relevance module | Maschinelle Unterstützung für Relevanzbewertung Machine assistance for relevance evaluation | Senkt manuellen Review-Aufwand Reduces manual review effort |
| Near-duplicate detection Near-duplicate detection | Fast gleiche Dokumente gruppieren Group nearly identical documents | Verhindert Doppelarbeit Prevents duplicate work |
| Email threading Email threading | Mailkonversationen rekonstruiert und bereinigt Reconstruct and rationalize email threads | Review konzentriert sich auf Endstände Review focuses on final states |
| Themes Themes | Thematische Cluster in Inhalten Thematic clustering in content | Beschleunigt Erkundungsphasen Speeds exploratory phases |
| Communication workflow Communication workflow | Hold notices, Erinnerungen und Eskalationen Hold notices, reminders, and escalations | Saubere Legal-Hold-Kommunikation Structured legal hold communication |
| Conversation reconstruction Conversation reconstruction | Chat- und Message-Verläufe verständlich zusammensetzen Rebuild chat and message histories | Besonders wertvoll bei Teams-Fällen Especially valuable in Teams matters |
| Graph analytics Graph analytics | Beziehungen zwischen Personen und Inhalten visualisieren Visualize relationships between people and content | Hilft bei komplexen Untersuchungen Helps with complex investigations |
Legal Holds Legal holds
| Hold-Typ Hold type | Beschreibung Description | Wichtiger Hinweis Important note |
|---|---|---|
| In-place hold In-place hold | Hält Inhalte an ihrem ursprünglichen Ort Preserves content in its original location | Keine Benutzerinteraktion mit dem Speicherort erforderlich No user interaction with storage location required |
| Hold policy Hold policy | Formale Policy für einen Fall Formal policy for a case | Case Governance und Audit Trail Case governance and audit trail |
| Hold statistics Hold statistics | Zeigt Volumen, Status und Quellen Shows volume, status, and sources | Nützlich für Scoping und Nachweis Useful for scoping and proof |
| Non-custodial hold Non-custodial hold | Hold auf Site, Group oder Shared Mailbox Hold on site, group, or shared mailbox | Wichtig außerhalb personengebundener Daten Important beyond person-owned data |
| Notification templates Notification templates | Vorlagen für Hold Notices Templates for hold notices | Rechtssicheres und konsistentes Wording Legally consistent wording |
| Reminders and escalation Reminders and escalation | Erinnerungen an Custodians und Eskalation bei Nichtbestätigung Reminders to custodians and escalation when not acknowledged | Verfahrenssicherheit steigt deutlich Greatly increases procedural rigor |
Export Export
| Option Option | Beschreibung Description | Nutzen Benefit |
|---|---|---|
| PST export PST export | Klassischer Mail-Export für Outlook oder externe Tools Classic mail export for Outlook or external tools | Verbreitet in juristischen Prozessen Common in legal workflows |
| Individual messages Individual messages | Einzelne Nachrichten oder Dateien separat ausgeben Output individual messages or files separately | Besser für gezielte Beweisführung Better for targeted evidentiary handling |
| Deduplication Deduplication | Dubletten vor Export minimieren Minimize duplicates before export | Reduziert Datenvolumen Reduces data volume |
| Teams conversations Teams conversations | Chats und Kanalunterhaltungen exportieren Export chats and channel conversations | Format und Kontext vorab testen Test format and context first |
| Export logs Export logs | Nachvollziehbarkeit der Exportvorgänge Traceability of export operations | Wichtig für Chain of custody Important for chain of custody |
| Azure Blob staging Azure Blob staging | Bereitstellung der Exportdaten über gesicherten Zwischenablagepfad Staging of export data through secure blob workflow | Große Exporte praktikabel handhaben Handle large exports practically |
| Download utility Download utility | Herunterladen des vorbereiteten Exports Download prepared export | Auf Client-Sicherheit und Speicher achten Consider client security and storage |
Compliance Boundaries Compliance boundaries
| Thema Topic | Beschreibung Description | Praxisbezug Operational relevance |
|---|---|---|
| Multi-geo Multi-geo | Daten liegen in mehreren Geografien, Suche muss dies berücksichtigen Data resides in multiple geographies and search must account for that | Rollen und Latenz prüfen Check roles and latency |
| Search permission filters Search permission filters | Suchende sehen nur erlaubte Datenbereiche Searchers only see permitted data regions | Unterstützt Need-to-know-Modelle Supports need-to-know models |
| Organization-based boundaries Organization-based boundaries | Juristische oder organisatorische Suchgrenzen Legal or organizational search boundaries | Relevant in Konzern- oder Multi-entity-Strukturen Relevant in group or multi-entity structures |
| Investigation segregation Investigation segregation | Teams dürfen Fälle voneinander trennen Teams can separate cases from one another | Schützt vertrauliche Ermittlungen Protects sensitive investigations |
| Administrative model Administrative model | Rollen, RBAC und Boundary-Design müssen zusammenpassen Roles, RBAC, and boundary design must align | Fehlendes Design erzeugt Sichtbarkeitslücken Poor design creates visibility gaps |
PowerShell PowerShell
| Cmdlet Cmdlet | Zweck Purpose | Hinweis Note |
|---|---|---|
| New-ComplianceSearch New-ComplianceSearch | Neue Content Search definieren Define a new content search | Startpunkt für viele eDiscovery-Abläufe Starting point for many eDiscovery workflows |
| Start-ComplianceSearch Start-ComplianceSearch | Suche ausführen Run the search | Vor Export oder Preview nötig Required before export or preview |
| Get-ComplianceSearch Get-ComplianceSearch | Status und Ergebnisse prüfen Check status and results | Gut für Automatisierung und Monitoring Good for automation and monitoring |
| New-ComplianceSearchAction New-ComplianceSearchAction | Export oder Purge starten Start export or purge | Bei Purge sehr restriktiv einsetzen Use purge very restrictively |
| New-CaseHoldPolicy New-CaseHoldPolicy | Hold-Policy im Fall anlegen Create a hold policy in a case | Wichtig für Legal Hold Workflow Important for legal hold workflows |
| New-CaseHoldRule New-CaseHoldRule | Query oder Quellen für Hold definieren Define query or sources for hold | Feinjustierung innerhalb eines Falls Fine-tuning inside a case |
PowerShell
PowerShell
Connect-IPPSSession
New-ComplianceSearch -Name "Project Atlas Search" `
-ExchangeLocation All `
-SharePointLocation All `
-ContentMatchQuery '(from:john@contoso.com OR from:jane@contoso.com) AND subject:atlas'
Start-ComplianceSearch -Identity "Project Atlas Search"
Get-ComplianceSearch -Identity "Project Atlas Search" | Format-List Name, Status, Items, Size
PowerShell
PowerShell
New-ComplianceSearchAction -SearchName "Project Atlas Search" -Export
New-CaseHoldPolicy -Name "Atlas Hold" -Case "Atlas Investigation" -ExchangeLocation All
New-CaseHoldRule -Name "Atlas Query Hold" `
-Policy "Atlas Hold" `
-ContentMatchQuery 'subject:atlas OR body:"project atlas"'
Praxisempfehlung
Operational recommendation
Purview-Konfigurationen sollten immer zuerst mit Pilotgruppen, Testdaten und klar dokumentierten Ausnahmen validiert werden. Purview configurations should always be validated first with pilot groups, test data, and clearly documented exceptions.