Microsoft Purview eDiscovery to wbudowane w ekosystem Microsoft 365 narzędzie do elektronicznego wykrywania dowodów (elektronicznego discovery), które pozwala firmom — za pośrednictwem działów prawnych, compliance i IT — przeszukiwać, zamrażać (legal hold), eksportować i analizować dane znajdujące się w skrzynkach Exchange Online, witrynach SharePoint, kontach OneDrive, czatach Teams i grupach Microsoft 365. Od 31 sierpnia 2025 roku Microsoft całkowicie wycofał klasyczne środowiska eDiscovery (Content Search, Standard i Premium) — od 2026 roku obowiązuje już wyłącznie nowe doświadczenie w portalu Microsoft Purview, które łączy funkcje obu wersji w jeden spójny workflow.
W skrócie
- Trzy poziomy: Content Search (szukanie bez sprawy), eDiscovery (Standard) (sprawa + legal hold + eksport), eDiscovery (Premium) (pełny EDRM + custodian management + AI/ML).
- Od 31.08.2025 klasyczne eDiscovery zostało wycofane — działa tylko nowy portal Purview.
- Standard dostępny przy subskrypcjach Microsoft 365 E3; Premium wymaga E5 lub dodatku Microsoft 365 E5 Compliance.
- Premium dodaje: custodian management, zaawansowane indeksowanie, review sets, analitykę (near-duplicates, email threading, themes), predictive coding, OCR, eksport do własnego Azure Storage.
- Uprawnienia RBAC: rola eDiscovery Manager do tworzenia spraw; eDiscovery Administrator do zarządzania dostępem.
- Dane nie opuszczają granicy compliance Microsoft 365 — przeszukiwanie odbywa się in-place, bez kopiowania na zewnętrzne serwery (do momentu eksportu).
Pełna definicja — czym jest eDiscovery w Microsoft Purview
eDiscovery (electronic discovery) to proces identyfikacji, zabezpieczania, zbierania, analizowania i przekazywania elektronicznych informacji, które mogą stanowić dowód w postępowaniu sądowym, audycie compliance lub wewnętrznym dochodzeniu. W kontekście Microsoft Purview oznacza to natywne narzędzie wbudowane w Microsoft 365, które eliminuje konieczność korzystania z zewnętrznych, kosztownych rozwiązań firm trzecich — przynajmniej dla organizacji, których dane znajdują się w chmurze Microsoftu.
Kluczowa filozofia Purview eDiscovery to in-place discovery: dane nie są kopiowane na zewnętrzne serwery na etapie przeszukiwania. Wyszukiwanie odbywa się bezpośrednio na żywych źródłach (Exchange, SharePoint, OneDrive, Teams), a kopia robocza (tzw. review set) trafia do zarządzanego przez Microsoft kontenera Azure Storage dopiero na etapie kolekcji w wariancie Premium.
Trzy filary — Content Search, Standard, Premium
| Poziom | Główne możliwości | Dla kogo |
|---|---|---|
| Content Search | Wyszukiwanie KQL, statystyki wyników, eksport wyników | IT admin potrzebujący szybko znaleźć konkretną wiadomość lub plik — bez sprawy |
| eDiscovery (Standard) | Sprawy (cases), legal hold na skrzynkach i witrynach, przypisywanie członków, eksport | Działy prawne/HR prowadzące proste dochodzenia — np. incydent z wyciekiem danych |
| eDiscovery (Premium) | Custodian management, hold notifications, advanced indexing, review sets, OCR, conversation threading, analytics (near-duplicates, email threading, themes), predictive coding, eksport do własnego Azure Storage | Kancelarie prawne i duże firmy prowadzące złożone spory sądowe z setkami custodianów i terabajtami danych |
Jak działa eDiscovery krok po kroku — workflow EDRM w praktyce
Microsoft Purview eDiscovery (Premium) realizuje model EDRM (Electronic Discovery Reference Model) — branżowy standard postępowania z dowodami elektronicznymi. Oto jak wygląda przepływ sprawy w 2026 roku:
1. Identyfikacja (Identification)
Administrator eDiscovery tworzy nową sprawę (case) w portalu Microsoft Purview > eDiscovery > Premium. Dodaje custodianów — czyli osoby, których dane mogą być istotne dla sprawy (np. pracownika objętego dochodzeniem, menedżera, który z nim korespondował). System automatycznie mapuje źródła danych custodianów: ich skrzynkę Exchange, OneDrive, witryny SharePoint i konwersacje Teams. Można też dodać źródła niepowiązane z konkretną osobą (non-custodial data sources), np. firmową witrynę SharePoint działu.
2. Zabezpieczenie (Preservation)
Na źródła custodianów nakładany jest legal hold — blokada, która uniemożliwia usunięcie lub modyfikację danych przez użytkownika (nawet jeśli użytkownik opróżni kosz, dane pozostają dostępne dla eDiscovery). W Premium dodatkowo uruchamiany jest workflow powiadomień prawnych (legal hold notifications) — system wysyła do custodianów wiadomości informujące o obowiązku zachowania danych, śledzi potwierdzenia odbioru i eskalacje.
3. Kolekcja (Collection)
Zespół prawny tworzy zapytanie w języku KQL (Keyword Query Language), wskazując słowa kluczowe, zakres dat, typy plików i konkretne lokalizacje. System zwraca estymację wyników (liczba trafień, rozmiar, top źródła), dzięki czemu można doprecyzować zapytanie przed faktycznym pobraniem danych. Po zatwierdzeniu następuje commit do review set — dane są kopiowane z oryginalnych lokalizacji do statycznego, zabezpieczonego kontenera w chmurze Azure.
4. Przetwarzanie (Processing)
W review set uruchamiane jest Advanced Indexing — ponowne indeksowanie elementów częściowo zindeksowanych (np. załączników w formatach innych niż Microsoft), OCR obrazów, dekompresja archiwów. Funkcja Error Remediation pozwala pobrać problematyczne pliki (np. chronione hasłem), odblokować je i ponownie wgrać.
5. Przegląd i analiza (Review & Analysis)
Tutaj eDiscovery Premium błyszczy — zespół prawny dostaje zestaw narzędzi analitycznych:
- Near-duplicate detection — grupuje prawie identyczne dokumenty, eliminując konieczność ręcznego przeglądania duplikatów.
- Email threading — rekonstruuje pełne wątki mailowe zamiast pojedynczych wiadomości.
- Themes — automatycznie identyfikuje kluczowe tematy w dokumentach review setu.
- Predictive coding — modele uczenia maszynowego, które po wytrenowaniu na próbce dokumentów oceniają relewantność każdego elementu, pozwalając odsiać 70–90% nierelewantnych danych przed ręcznym przeglądem.
6. Produkcja i prezentacja (Production & Presentation)
Gotowe dokumenty eksportuje się w formacie natywnym, PDF, z metadanymi, tagami i redakcjami — do własnego konta Azure Storage lub lokalnie (w Standard). Format eksportu jest kompatybilny z zewnętrznymi platformami do legal review (Relativity, Everlaw, Nuix).
Porównanie Standard vs Premium — tabela funkcji
| Funkcja | eDiscovery (Standard) | eDiscovery (Premium) |
|---|---|---|
| Tworzenie spraw (cases) | ✅ | ✅ |
| Wyszukiwanie KQL | ✅ | ✅ |
| Eksport wyników | ✅ | ✅ |
| Legal hold (query-based) | ✅ | ✅ |
| Uprawnienia RBAC | ✅ | ✅ |
| Custodian management | ❌ | ✅ |
| Legal hold notifications (powiadomienia) | ❌ | ✅ |
| Advanced indexing i error remediation | ❌ | ✅ |
| Review sets (statyczny snapshot danych) | ❌ | ✅ |
| OCR tekstu z obrazów | ❌ | ✅ |
| Conversation threading (Teams, Viva Engage) | ❌ | ✅ |
| Near-duplicates, email threading, themes | ❌ | ✅ |
| Predictive coding (modele ML) | ❌ | ✅ |
| Eksport do własnego konta Azure Storage | ❌ | ✅ |
| Integracja z Insider Risk Management | ❌ | ✅ |
| Attorney-client privilege detection | ❌ | ✅ |
| Wymagana licencja | Microsoft 365 E3 | Microsoft 365 E5 / Compliance add-on |
Wymagania licencyjne — co musisz mieć, żeby korzystać z eDiscovery
To jeden z najczęściej pomijanych aspektów podczas wdrożenia. Zasada jest prosta:
- Content Search — dostępny praktycznie w każdej subskrypcji Microsoft 365 (także Business Basic/Standard), pod warunkiem że użytkownik ma przypisane uprawnienia.
- eDiscovery (Standard) — wymaga Microsoft 365 E3 (lub Office 365 E3) dla custodianów, których dane chcesz przeszukiwać i blokować. Bez E3 legal hold nie zadziała.
- eDiscovery (Premium) — wymaga Microsoft 365 E5 (lub Office 365 E5) albo dodatku Microsoft 365 E5 Compliance do licencji E3. Każdy custodian w sprawie Premium musi mieć przypisaną odpowiednią licencję — hold i zaawansowane funkcje analityczne nie obejmą użytkowników bez E5/Compliance add-on.
W praktyce: jeśli twoja firma ma 500 użytkowników na E3 i chcesz użyć Premium dla sprawy z 5 custodianami — wystarczy dokupić 5 licencji E5 Compliance add-on (~12 USD/użytkownika/miesiąc). Nie musisz upgrade'ować całej organizacji.
Uprawnienia i role RBAC — kto ma dostęp do eDiscovery
Dostęp do eDiscovery w portalu Purview opiera się na predefiniowanych grupach ról:
| Rola | Co może robić |
|---|---|
| eDiscovery Manager | Tworzyć i zarządzać sprawami, dodawać członków, zakładać holdy, tworzyć i uruchamiać wyszukiwania, eksportować wyniki. Widzi tylko sprawy, do których został przypisany. |
| eDiscovery Administrator | Wszystko co Manager plus: zarządza dostępem do wszystkich spraw w organizacji, może usuwać członków z dowolnej sprawy. To rola dla szefa zespołu prawnego/IT. |
| Compliance Administrator / Organization Management | Pełny dostęp administracyjny do całego Purview, łącznie z eDiscovery. |
Przypisanie roli odbywa się w portalu Microsoft Purview > Roles & Scopes > Role groups. Użytkownicy bez przypisanej roli nie widzą nawet zakładki eDiscovery w panelu Purview.
Kiedy używać Standard, a kiedy Premium — praktyczny decyzyjnik
| Scenariusz | Rekomendowany poziom |
|---|---|
| Pojedynczy incydent — znalazłem podejrzany załącznik, potrzebuję go wyciągnąć | Content Search (bez sprawy) |
| Wyciek danych — muszę zamrozić skrzynkę jednego pracownika i zebrać jego korespondencję z ostatnich 30 dni | Standard |
| Spór sądowy — 15 custodianów, 2 TB danych, potrzebuję odsiać duplikaty i zrekonstruować wątki mailowe przed przekazaniem kancelarii | Premium |
| Audyt compliance — muszę przejrzeć komunikację całego działu (50+ osób) pod kątem konkretnych słów kluczowych | Premium (predictive coding odsiewa 70% szumu) |
| Insider risk — wykryto podejrzaną aktywność pracownika przez Insider Risk Management, potrzebuję natychmiast eskalować do eDiscovery | Premium (jedno kliknięcie z IRM do sprawy eDiscovery) |
Częste pytania
Czy dane w eDiscovery są bezpieczne i zgodne z RODO?
Tak. eDiscovery działa w granicy compliance Microsoft 365 — dane nie opuszczają centrum danych Microsoft do momentu celowego eksportu przez uprawnionego użytkownika. Review set w Premium jest przechowywany w izolowanym kontenerze Azure Storage w tym samym regionie geograficznym co główny tenant. Microsoft Purview posiada certyfikaty ISO 27001, SOC 2, HIPAA i zgodność z EU Data Boundary. Organizacja pozostaje administratorem danych — Microsoft pełni wyłącznie rolę procesora.
Co dokładnie znaczy, że klasyczne eDiscovery zostało wycofane 31 sierpnia 2025?
Microsoft trwale wyłączył interfejsy klasycznego Content Search, eDiscovery (Standard) i eDiscovery (Premium) w dotychczasowym portalu Security & Compliance Center. Wszystkie nowe sprawy, wyszukiwania i holdy muszą być tworzone w portalu Microsoft Purview (purview.microsoft.com). Historyczne dane z klasycznych spraw nie zostały usunięte, ale nie można tworzyć w nich nowych operacji. Jeśli twoja organizacja nadal używała starego interfejsu przed tą datą — migracja do nowego portalu jest obowiązkowa.
Czy mogę używać eDiscovery do przeszukiwania czatów Microsoft Teams?
Tak i to jest jedna z kluczowych przewag Purview nad zewnętrznymi narzędziami. eDiscovery Premium automatycznie rekonstruuje całe wątki konwersacji Teams (conversation threading), zamiast zwracać pojedyncze wiadomości. Przeszukiwane są wiadomości w kanałach, czaty prywatne 1:1 i grupowe, a także nowoczesne załączniki (linki do plików w SharePoint/OneDrive). W przypadku Standard wyniki zawierają pojedyncze wiadomości spełniające kryteria KQL.
Jakie są limity wyszukiwań i holdów w eDiscovery?
W eDiscovery (Standard) maksymalna liczba spraw to 1000 na organizację. W ramach jednego wyszukiwania można przeszukać do 1000 skrzynek pocztowych i 100 witryn SharePoint/OneDrive jednocześnie. W Premium: do 1000 custodianów na sprawę, maksymalnie 10 review setów na sprawę, każdy review set do 100 milionów dokumentów lub 1 TB. Pełna, aktualna tabela limitów znajduje się w dokumentacji Microsoft Purview — wartości są okresowo zwiększane.
Czy potrzebuję osobnego dostawcy eDiscovery, skoro mam Purview Premium?
Dla 80% firm korzystających z Microsoft 365 — nie. Purview Premium pokrywa pełen cykl EDRM od identyfikacji przez hold, kolekcję, analizę (w tym AI/predictive coding) aż po eksport. Zewnętrzne platformy (Relativity, Everlaw) mogą być potrzebne, jeśli: (a) przetwarzasz dane spoza ekosystemu Microsoft 365 (np. Slack, Gmail, nagrania Zoom), (b) potrzebujesz zaawansowanej wizualizacji relacji między custodianami, (c) twoja kancelaria prawna ma już ustalony workflow na konkretnym narzędziu.
Jak długo trwa założenie holda i pierwsze wyszukiwanie?
Legal hold w eDiscovery Standard zaczyna działać praktycznie natychmiast — rozpropagowanie blokady na wszystkie źródła danych trwa zwykle od kilku minut do 2 godzin. Pierwsze wyszukiwanie KQL na żywych źródłach (bez review setu) zwraca estymację wyników w ciągu kilku minut dla typowego zakresu (kilkadziesiąt skrzynek). W Premium dodanie custodianów i uruchomienie Advanced Indexingu może potrwać od kilku godzin do 2–3 dni przy bardzo dużych skrzynkach (>100 GB), ale postęp jest w pełni transparentny — portal pokazuje status każdego długotrwałego zadania (transparency of long-running jobs).
Czy klucze Microsoft 365 i Office mają wpływ na dostępność eDiscovery?
Pośrednio tak — zależy to od wersji licencji przypisanej do użytkowników w Twojej organizacji. Jeśli korzystasz z Microsoft 365 Business Basic/Standard, masz dostęp tylko do Content Search. Aby odblokować Standard i Premium, potrzebujesz licencji typu E3/E5 lub odpowiednich dodatków. W sklepie KluczeSoft.pl znajdziesz legalne klucze do Microsoft 365 i Office w korzystnych cenach — dobór właściwej wersji subskrypcji ma znaczenie nie tylko dla codziennej pracy, ale też dla spełnienia wymogów compliance i eDiscovery w Twojej firmie.