💼 Management Samenvatting
Advanced eDiscovery in Microsoft 365 breidt Core eDiscovery uit met machine learning-technologieën die juridische teams helpen om grote datasets effectief te doorzoeken, relevante documenten te identificeren en bewijsmateriaal te analyseren. Waar Core eDiscovery zich richt op het veiligstellen van content via holds en basiszoekfuncties, voegt Advanced eDiscovery intelligentie toe door middel van relevance scoring, near-duplicate detection, email threading en geavanceerde analytics. Voor Nederlandse overheidsorganisaties die te maken hebben met complexe juridische onderzoeken, WOO-verzoeken of interne audits is deze geavanceerde functionaliteit essentieel om binnen strakke deadlines aantoonbaar en proportioneel te kunnen voldoen aan juridische verplichtingen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
100u (tech: 40u)
Van toepassing op:
✓ M365
✓ Microsoft Purview
✓ Advanced eDiscovery
✓ Exchange Online
✓ SharePoint Online
✓ OneDrive
✓ Teams
✓ Publieke Sector
✓ Overheidsorganisaties
✓ Microsoft Purview
✓ Advanced eDiscovery
✓ Exchange Online
✓ SharePoint Online
✓ OneDrive
✓ Teams
✓ Publieke Sector
✓ Overheidsorganisaties
Zonder Advanced eDiscovery-functionaliteit lopen juridische teams het risico dat zij worden overweldigd door de omvang van moderne datasets. Een typisch WOO-verzoek of juridisch onderzoek kan betrekking hebben op tienduizenden e-mails, documenten en chatberichten verspreid over meerdere jaren. Handmatige review van al deze content is niet alleen tijdrovend en kostbaar, maar brengt ook het risico met zich mee dat relevante informatie wordt gemist of dat niet-relevante content wordt gedeeld met externe partijen, wat leidt tot privacy-schendingen en juridische aansprakelijkheid. Advanced eDiscovery lost deze uitdagingen op door machine learning-modellen die leren van reviewer-beslissingen om automatisch relevante content te identificeren, near-duplicates te detecteren zodat reviewers niet dezelfde content meerdere keren hoeven te bekijken, en email threading te gebruiken om gesprekken in context te presenteren. Deze intelligentie versnelt het reviewproces aanzienlijk, verbetert de kwaliteit van resultaten en vermindert de kans op menselijke fouten. Bovendien biedt Advanced eDiscovery geavanceerde analytics die inzicht geven in communicatiepatronen, belangrijkste sprekers en tijdlijnen, wat cruciaal kan zijn voor het begrijpen van de context rondom gebeurtenissen in complexe onderzoeken. Voor organisaties die moeten voldoen aan AVG-eisen rondom dataminimalisatie en proportionaliteit biedt Advanced eDiscovery bovendien mechanismen om effectief te demonstreren dat alleen relevante content is verzameld en gedeeld, wat essentieel is voor compliance met privacywetgeving.
PowerShell Modules Vereist
Primary API: Microsoft Graph API en Security & Compliance PowerShell
Connection:
Required Modules: Microsoft.Graph, ExchangeOnlineManagement
Connection:
Connect-MgGraph en Connect-IPPSSessionRequired Modules: Microsoft.Graph, ExchangeOnlineManagement
Implementatie
Dit artikel beschrijft hoe Nederlandse overheidsorganisaties Advanced eDiscovery in Microsoft 365 kunnen gebruiken voor complexe juridische onderzoeken, WOO-verzoeken en interne audits. We gaan in op de architectuur en componenten van Advanced eDiscovery, zoals de processing pipeline die content indexeert en analyseert, de machine learning-modellen die relevance scoring en predictions genereren, en de review interface die juridische teams helpt om effectief door grote datasets te navigeren. Vervolgens behandelen we praktische use cases zoals het opzetten van een advanced case voor een groot juridisch onderzoek, het trainen van machine learning-modellen op basis van reviewer-feedback, het gebruik van analytics om communicatiepatronen te begrijpen, en het exporteren van resultaten op een manier die privacy en security waarborgt. Het bijbehorende script `ediscovery-advanced.ps1` helpt organisaties bij het monitoren van Advanced eDiscovery-configuratie, het verifiëren van licentievereisten en het genereren van rapportages over case-activiteit en reviewer-productiviteit.
Advanced eDiscovery-architectuur en componenten: processing, machine learning en analytics
Advanced eDiscovery in Microsoft 365 bouwt voort op Core eDiscovery, maar voegt een geavanceerde processing pipeline toe die content niet alleen verzamelt en indexeert, maar ook analyseert met behulp van machine learning-technologieën. De processing pipeline begint wanneer een case wordt aangemaakt en custodian-data wordt verzameld via content search of custodian management. Eerst wordt alle content geïndexeerd zodat deze doorzoekbaar wordt: tekst wordt geëxtraheerd uit documenten, OCR wordt toegepast op afbeeldingen en scans, en metadata wordt gestructureerd uit e-mailheaders, document properties en Teams-conversaties. Deze indexering is niet alleen bedoeld voor doorzoekbaarheid, maar vormt ook de basis voor alle verdere analyses. Vervolgens wordt de geïndexeerde content doorgegeven aan verschillende analysecomponenten die elk een specifiek aspect van intelligentie toevoegen.
De relevance analysis-module gebruikt machine learning om automatisch te bepalen welke documenten relevant zijn voor een specifieke case. Dit gebeurt op basis van training: reviewers markeren een subset van documenten als relevant of niet-relevante, en het model leert van deze voorbeelden om vergelijkbare documenten in de rest van de dataset te identificeren. Het model houdt rekening met verschillende factoren: trefwoorden die voorkomen in relevante documenten, communicatiepatronen (wie communiceert met wie), tijdsperioden die relevant zijn, en zelfs stilistische kenmerken. De relevance score die wordt toegekend aan elk document geeft aan hoe waarschijnlijk het is dat het document relevant is, waarbij reviewers kunnen instellen welke threshold zij willen hanteren voor het opnemen van content in de reviewset. Deze intelligentie voorkomt dat reviewers duizenden irrelevante documenten moeten doorlopen, terwijl het model steeds beter wordt naarmate meer feedback wordt gegeven.
Near-duplicate detection is een andere belangrijke component die gebruikmaakt van geavanceerde algoritmes om documenten te identificeren die bijna identiek zijn, bijvoorbeeld verschillende versies van hetzelfde document, e-mails die zijn doorgestuurd of gereageerd, of documenten die slechts marginale verschillen bevatten zoals spellingcorrecties. Door deze near-duplicates te groeperen kunnen reviewers snel bepalen welke versie het meest relevant is, en hoeven zij niet elke variant apart te bekijken. Dit versnelt het reviewproces aanzienlijk, vooral in organisaties waar documenten vaak worden hergebruikt en gedeeld. Email threading is een gerelateerde functionaliteit die e-mailconversaties reconstrueert door e-mails met hetzelfde onderwerp of dezelfde conversation-ID te koppelen, en deze in chronologische volgorde te presenteren. Dit helpt reviewers om de volledige context van een gesprek te begrijpen, inclusief wie wanneer heeft gereageerd en welke beslissingen zijn genomen. Voor complexe onderzoeken kan dit cruciaal zijn om te begrijpen hoe gebeurtenissen zich hebben ontwikkeld en welke partijen betrokken waren bij specifieke beslissingen.
De analytics-module biedt geavanceerde inzichten in datasets die verder gaan dan individuele documenten. Deze analytics omvatten communicatievisualisaties die laten zien welke personen het meest met elkaar communiceren, tijdlijnen die belangrijke gebeurtenissen en communicatiepieken markeren, en topic modeling die automatisch onderwerpen identificeert die voorkomen in de dataset. Deze inzichten helpen juridische teams om snel de belangrijkste patronen te identificeren in grote datasets, wat cruciaal kan zijn voor het begrijpen van complexe situaties. Bovendien kunnen analytics worden gebruikt om proportionaliteit aan te tonen: door te demonstreren dat alleen relevante content is verzameld en geanalyseerd, kunnen organisaties aantonen dat zij voldoen aan AVG-eisen rondom dataminimalisatie en proportionaliteit. Dit is met name relevant voor WOO-verzoeken waar organisaties moeten kunnen aantonen dat zij alle relevante informatie hebben gedeeld zonder onnodige privacy-inbreuken te maken.
Case-opzet en workflowmanagement: van custodian-identificatie tot export
Het opzetten van een Advanced eDiscovery-case begint met een duidelijke definitie van scope en doelstellingen. Voordat technische configuratie begint, moeten juridische teams eerst vaststellen welke personen of systemen mogelijk relevante informatie bevatten (custodians), welke tijdsperioden relevant zijn, en welke types content moeten worden verzameld. Deze informatie vormt de basis voor de custodian management-functionaliteit, waarbij per custodian kan worden ingesteld welke mailboxen, OneDrive-accounts, SharePoint-sites of Teams-omgevingen moeten worden meegenomen. Advanced eDiscovery biedt de mogelijkheid om custodians te koppelen aan specifieke geografische locaties, wat relevant kan zijn voor organisaties die Multi-Geo gebruiken en moeten controleren dat data sovereignty-vereisten worden nageleefd tijdens het verzamelen van content. Een best practice is om custodians te groeperen per onderzoeksonderdeel of per juridische vraag, zodat verschillende aspecten van een onderzoek parallel kunnen worden uitgevoerd zonder dat workflows elkaar in de weg zitten.
Na het identificeren van custodians wordt content verzameld via content search queries die kunnen worden opgesteld in de Advanced eDiscovery-interface of via PowerShell. Deze queries kunnen gebruikmaken van KQL (Keyword Query Language) syntax om trefwoorden, metadata-filters, datumbereiken en andere criteria te combineren. Belangrijk is om queries te testen op een kleinere subset voordat volledige collecties worden uitgevoerd, om te voorkomen dat te veel irrelevante content wordt verzameld. Advanced eDiscovery biedt preview-functionaliteit die laat zien welke resultaten een query zou opleveren, wat helpt om queries te verfijnen voordat de volledige collection wordt gestart. Na het verzamelen wordt content automatisch doorgegeven aan de processing pipeline, waarbij organisaties kunnen kiezen tussen standaard processing (indexering alleen) of advanced processing (inclusief machine learning-analyses). Voor grote datasets kan advanced processing enkele uren tot dagen duren, afhankelijk van de omvang en complexiteit van de content, dus het is belangrijk om hier rekening mee te houden bij het plannen van tijdlijnen.
Zodra processing is voltooid, begint de reviewfase waarin juridische teams door de dataset navigeren en documenten beoordelen op relevantie. Advanced eDiscovery biedt een geavanceerde review interface die gebruikmaakt van de machine learning-insights om reviewers te helpen prioriteren. Documenten met hoge relevance scores worden bijvoorbeeld prominent getoond, near-duplicates worden gegroepeerd zodat reviewers snel kunnen bepalen welke versie relevant is, en email threads worden in context gepresenteerd. Reviewers kunnen documenten taggen met custom tags (bijvoorbeeld 'Relevant voor onderzoek', 'Privileged', 'Redactie vereist') die kunnen worden gebruikt voor filtering en export. Het systeem leert continu van reviewer-beslissingen, waardoor relevance predictions steeds accurater worden naarmate meer feedback wordt gegeven. Deze iteratieve aanpak zorgt ervoor dat reviewers zich kunnen focussen op de meest relevante content terwijl het model steeds beter wordt in het identificeren van belangrijke documenten.
De exportfase is cruciaal voor het delen van resultaten met externe advocaten, toezichthouders of andere partijen. Advanced eDiscovery biedt verschillende exportopties, waaronder native format (originele bestandsformaten), PST-format voor e-mail, of geïndexeerde export met load files die compatibel zijn met externe reviewplatformen. Belangrijk is om tijdens export te controleren dat alleen relevante, getagde content wordt geëxporteerd, en dat privileged content of content die redactie vereist wordt uitgesloten of apart wordt behandeld. Het exportproces moet worden gedocumenteerd met exportrapportages die laten zien welke content is geëxporteerd, wanneer dit is gebeurd, en wie verantwoordelijk was voor de export. Voor WOO-verzoeken en andere juridische procedures is deze documentatie essentieel om aan te tonen dat de volledige, relevante dataset is gedeeld zonder onnodige privacy-inbreuken. Advanced eDiscovery genereert automatisch exportrapportages die kunnen worden gebruikt als onderdeel van de juridische documentatie.
Monitoring, compliance en best practices voor Advanced eDiscovery
Gebruik PowerShell-script ediscovery-advanced.ps1 (functie Invoke-AdvancedEDiscoveryVerification) – Voert een gestructureerde verificatie uit van Advanced eDiscovery-configuratie in Microsoft 365, inclusief controle op licentievereisten, actieve cases, processing-status en gebruiksstatistieken. Ondersteunt zowel veilige lokale debug-tests als live-verificatie in de tenant..
Advanced eDiscovery vereist specifieke licentievereisten: organisaties hebben Microsoft 365 E5 licenties nodig, of Microsoft 365 E3 licenties met de Advanced Compliance add-on. Zonder deze licenties is Advanced eDiscovery niet beschikbaar en moeten organisaties terugvallen op Core eDiscovery, wat beperkte functionaliteit biedt voor complexe onderzoeken. Het script `ediscovery-advanced.ps1` helpt organisaties bij het verifiëren dat de juiste licenties zijn toegewezen aan gebruikers die toegang nodig hebben tot Advanced eDiscovery, en dat er voldoende licenties beschikbaar zijn voor de verwachte case-workload. Daarnaast controleert het script of Advanced eDiscovery is geactiveerd in de tenant en of de benodigde permissions zijn toegewezen aan eDiscovery Managers en eDiscovery Administrators. Deze verificatie moet periodiek worden uitgevoerd, bijvoorbeeld maandelijks, om te voorkomen dat licentietekorten of configuratiefouten het gebruik van Advanced eDiscovery blokkeren wanneer deze functionaliteit acuut nodig is.
Monitoring van Advanced eDiscovery-activiteit is essentieel om effectiviteit te meten en compliance te waarborgen. Het script genereert rapportages over actieve cases, processing-status, reviewer-productiviteit en export-activiteit. Deze metriekken helpen juridische teams om inzicht te krijgen in hoe Advanced eDiscovery wordt gebruikt, welke cases het langst duren, en waar verbeteringen mogelijk zijn in workflow of training. Bovendien worden deze metriekken gebruikt voor compliance-doeleinden: door te demonstreren dat Advanced eDiscovery wordt gebruikt voor complexe onderzoeken, kunnen organisaties aantonen dat zij beschikken over volwassen eDiscovery-capaciteiten die voldoen aan juridische eisen. Audit logging van alle Advanced eDiscovery-activiteit wordt automatisch vastgelegd in de Unified Audit Log, waaronder het aanmaken van cases, het uitvoeren van searches, het taggen van documenten en het exporteren van resultaten. Deze audit logs zijn essentieel voor het aantonen dat eDiscovery-processen zorgvuldig en proportioneel zijn uitgevoerd, wat cruciaal is voor compliance met AVG-eisen rondom dataminimalisatie en proportionaliteit.
Best practices voor Advanced eDiscovery omvatten verschillende aspecten die bijdragen aan effectief en compliant gebruik. Ten eerste moeten juridische teams worden getraind in het gebruik van Advanced eDiscovery-functionaliteit, met name rondom het opstellen van effectieve queries, het interpreteren van relevance scores, en het gebruik van analytics voor het begrijpen van datasets. Zonder adequate training bestaat het risico dat Advanced eDiscovery niet optimaal wordt benut, wat leidt tot inefficiënte workflows of gemiste relevante content. Ten tweede moeten organisaties duidelijke procedures hebben voor het bepalen wanneer Advanced eDiscovery moet worden gebruikt versus Core eDiscovery: voor eenvoudige onderzoeken met beperkte scope kan Core eDiscovery voldoende zijn, terwijl complexe onderzoeken met grote datasets of complexe juridische vragen profiteren van Advanced eDiscovery-functionaliteit. Ten derde moeten privacy en security worden geborgd tijdens het hele eDiscovery-proces: alleen geautoriseerde personen moeten toegang hebben tot cases, content moet worden versleuteld tijdens processing en export, en privileged content moet worden beschermd tegen onbedoelde export. Ten slotte moeten organisaties regelmatig evalueren of Advanced eDiscovery-workflows effectief zijn en waar verbeteringen mogelijk zijn. Lessons learned na grote onderzoeken moeten worden gedocumenteerd en gebruikt om workflows te verbeteren, training bij te stellen en best practices bij te werken.
Compliance & Frameworks
- BIO: 18.03, 13.01 - Zorgt voor systematische borging van juridische bewaarplichten en onderzoekscapaciteiten binnen Microsoft 365, ter ondersteuning van compliance met wet- en regelgeving en interne auditvereisten.
- ISO 27001:2022: A.18.1.3, A.12.4.1 - Verbindt informatiebeveiligingsbeleid en incident response aan concrete eDiscovery-capaciteiten voor het veiligstellen en analyseren van bewijsmateriaal.
- NIS2: Artikel - Levert aantoonbare maatregelen voor incidentonderzoek en forensische capaciteiten bij essentiële en belangrijke entiteiten, ter ondersteuning van cybersecurity-incidentresponse.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Advanced eDiscovery in Microsoft 365: verificatie en monitoring
.DESCRIPTION
Dit script verifieert de configuratie van Advanced eDiscovery in Microsoft 365
en monitort case-activiteit, processing-status en licentievereisten. Het script
helpt juridische teams en compliance-officers bij het waarborgen dat Advanced
eDiscovery correct is geconfigureerd en beschikbaar is voor complexe juridische
onderzoeken, WOO-verzoeken en interne audits.
Het script hoort bij het artikel 'Advanced eDiscovery in Microsoft 365: machine learning
en geavanceerde analyse voor juridische onderzoeken' binnen de Nederlandse Baseline
voor Veilige Cloud.
.NOTES
Filename: ediscovery-advanced.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-01-23
Version: 1.0
Related JSON: content/m365/compliance/ediscovery-advanced.json
Category: compliance
Workload: m365
.LINK
https://github.com/m365-tenant-best-practise
.EXAMPLE
.\ediscovery-advanced.ps1 -Monitoring -DebugMode
Voert een lokale debug-run uit zonder verbinding met Microsoft 365 en toont voorbeeldgegevens.
.EXAMPLE
.\ediscovery-advanced.ps1 -Monitoring -ExportPath '.\export\ediscovery-advanced.csv'
Haalt live Advanced eDiscovery-configuratie op en exporteert een samenvatting naar CSV.
.EXAMPLE
.\ediscovery-advanced.ps1 -RemediationGuidance
Toont richtlijnen en voorbeeldstappen om Advanced eDiscovery-configuratie te verbeteren.
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph, ExchangeOnlineManagement
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Voer een verificatie uit op de huidige Advanced eDiscovery-configuratie")]
[switch]$Monitoring,
[Parameter(HelpMessage = "Toon remediatie-richtlijnen en voorbeeldstappen voor verbeterde configuratie")]
[switch]$RemediationGuidance,
[Parameter(HelpMessage = "Exporteer de resultaten naar een CSV-bestand")]
[string]$ExportPath,
[Parameter(HelpMessage = "Toon welke acties u zou nemen zonder wijzigingen in de tenant")]
[switch]$WhatIf,
[Parameter(HelpMessage = "Voer een veilige lokale test uit zonder verbinding met Microsoft 365")]
[switch]$DebugMode
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Advanced eDiscovery – Verificatie & monitoring" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
$script:RequiredLicenses = @(
"ENTERPRISEPACK", # Microsoft 365 E3
"ENTERPRISEPREMIUM" # Microsoft 365 E5
)
function Connect-ComplianceServices {
<#
.SYNOPSIS
Maakt verbinding met Microsoft Purview (Security & Compliance) en Microsoft Graph.
.DESCRIPTION
Gebruikt Connect-IPPSSession uit de ExchangeOnlineManagement-module en
Connect-MgGraph uit de Microsoft.Graph-module met de benodigde scopes.
#>
[CmdletBinding()]
param()
Write-Host "Verbinding maken met Microsoft Purview (Security & Compliance)..." -ForegroundColor Gray
try {
Connect-IPPSSession -ShowBanner:$false -ErrorAction Stop | Out-Null
Write-Host "Verbonden met Microsoft Purview." -ForegroundColor Green
}
catch {
Write-Host "Fout bij verbinden met Microsoft Purview: $_" -ForegroundColor Red
throw
}
Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Gray
try {
$context = Get-MgContext -ErrorAction SilentlyContinue
if (-not $context) {
Connect-MgGraph -Scopes "Compliance.Read.All", "User.Read.All", "Organization.Read.All" -NoWelcome -ErrorAction Stop | Out-Null
Write-Host "Verbonden met Microsoft Graph." -ForegroundColor Green
}
else {
Write-Verbose "Reeds verbonden met Microsoft Graph"
}
}
catch {
Write-Host "Fout bij verbinden met Microsoft Graph: $_" -ForegroundColor Red
throw
}
}
function Get-AdvancedEDiscoveryLicenseStatus {
<#
.SYNOPSIS
Controleert licentievereisten voor Advanced eDiscovery.
.DESCRIPTION
Verifieert of gebruikers met eDiscovery-rechten beschikken over de juiste licenties
(Microsoft 365 E5 of E3 met Advanced Compliance add-on).
.OUTPUTS
PSCustomObject met licentiestatus.
#>
[CmdletBinding()]
param()
try {
$ediscoveryManagers = Get-ComplianceRoleGroupMember -Identity "eDiscovery Managers" -ErrorAction SilentlyContinue
$ediscoveryAdmins = Get-ComplianceRoleGroupMember -Identity "eDiscovery Administrators" -ErrorAction SilentlyContinue
$allEDiscoveryUsers = @()
if ($ediscoveryManagers) {
$allEDiscoveryUsers += $ediscoveryManagers
}
if ($ediscoveryAdmins) {
$allEDiscoveryUsers += $ediscoveryAdmins
}
$licenseStatus = @{
TotalUsers = ($allEDiscoveryUsers | Measure-Object).Count
LicensedUsers = 0
UnlicensedUsers = @()
}
foreach ($user in $allEDiscoveryUsers) {
try {
$mgUser = Get-MgUser -UserId $user -Property AssignedLicenses -ErrorAction SilentlyContinue
if ($mgUser -and $mgUser.AssignedLicenses) {
$hasRequiredLicense = $false
foreach ($license in $mgUser.AssignedLicenses) {
$sku = Get-MgSubscribedSku | Where-Object { $_.SkuId -eq $license.SkuId }
if ($sku -and ($sku.SkuPartNumber -eq "ENTERPRISEPREMIUM" -or $sku.SkuPartNumber -eq "ENTERPRISEPACK")) {
$hasRequiredLicense = $true
break
}
}
if ($hasRequiredLicense) {
$licenseStatus.LicensedUsers++
}
else {
$licenseStatus.UnlicensedUsers += $user
}
}
else {
$licenseStatus.UnlicensedUsers += $user
}
}
catch {
Write-Verbose "Kan licentie-info niet ophalen voor gebruiker $user : $_"
$licenseStatus.UnlicensedUsers += $user
}
}
return [PSCustomObject]$licenseStatus
}
catch {
Write-Host "Fout bij controleren van licentiestatus: $_" -ForegroundColor Yellow
return $null
}
}
function Get-AdvancedEDiscoveryCases {
<#
.SYNOPSIS
Haalt Advanced eDiscovery cases op en hun status.
.DESCRIPTION
Verzamelt informatie over actieve en gesloten Advanced eDiscovery cases,
inclusief processing-status en reviewer-activiteit.
.OUTPUTS
Array van PSCustomObject per case.
#>
[CmdletBinding()]
param()
try {
$cases = Get-ComplianceCase -CaseType AdvancedEdiscovery -ErrorAction SilentlyContinue
$caseDetails = @()
foreach ($case in $cases) {
try {
$caseDetails += [PSCustomObject]@{
Name = $case.Name
Status = $case.Status
CreatedBy = $case.CreatedBy
CreatedDateTime = $case.CreatedDateTime
Description = $case.Description
ExternalId = $case.ExternalId
}
}
catch {
Write-Verbose "Kan details niet ophalen voor case $($case.Name): $_"
}
}
return $caseDetails
}
catch {
Write-Host "Fout bij ophalen van cases: $_" -ForegroundColor Yellow
return @()
}
}
function Invoke-AdvancedEDiscoveryVerification {
<#
.SYNOPSIS
Voert de verificatie uit op Advanced eDiscovery-configuratie.
.OUTPUTS
PSCustomObject met samenvatting en details.
#>
[CmdletBinding()]
param()
$result = [PSCustomObject]@{
ScriptName = "ediscovery-advanced.ps1"
Timestamp = Get-Date
LicenseStatus = $null
TotalCases = 0
ActiveCases = 0
Cases = @()
Findings = @()
}
try {
if ($DebugMode) {
Write-Host "DebugMode ingeschakeld: er wordt geen verbinding gemaakt met Microsoft 365." -ForegroundColor Yellow
Write-Host "Voorbeeldgegevens worden gebruikt om logica en rapportage te testen.`n" -ForegroundColor Yellow
$result.LicenseStatus = [PSCustomObject]@{
TotalUsers = 5
LicensedUsers = 4
UnlicensedUsers = @("user1@example.com")
}
$sampleCase = [PSCustomObject]@{
Name = "NBVC – WOO-verzoek Q1 2025"
Status = "Active"
CreatedBy = "legal@example.com"
CreatedDateTime = (Get-Date).AddDays(-30)
Description = "Advanced eDiscovery case voor WOO-verzoek"
ExternalId = "WO-2025-001"
}
$result.TotalCases = 1
$result.ActiveCases = 1
$result.Cases = @($sampleCase)
$result.Findings += "1 gebruiker met eDiscovery-rechten heeft geen vereiste licentie (E5 of E3 met Advanced Compliance add-on)."
}
else {
Connect-ComplianceServices
Write-Host "Controleren van licentievereisten..." -ForegroundColor Gray
$result.LicenseStatus = Get-AdvancedEDiscoveryLicenseStatus
if ($result.LicenseStatus) {
if ($result.LicenseStatus.UnlicensedUsers.Count -gt 0) {
$count = $result.LicenseStatus.UnlicensedUsers.Count
$result.Findings += "$count gebruiker(s) met eDiscovery-rechten hebben geen vereiste licentie (Microsoft 365 E5 of E3 met Advanced Compliance add-on)."
}
}
Write-Host "Ophalen van Advanced eDiscovery cases..." -ForegroundColor Gray
$cases = Get-AdvancedEDiscoveryCases
if ($cases) {
$result.TotalCases = ($cases | Measure-Object).Count
$result.ActiveCases = ($cases | Where-Object { $_.Status -eq "Active" } | Measure-Object).Count
$result.Cases = $cases
}
else {
$result.Findings += "Geen Advanced eDiscovery cases gevonden. Dit kan normaal zijn als er momenteel geen actieve onderzoeken zijn."
}
}
if ($ExportPath) {
$directory = Split-Path -Path $ExportPath -Parent
if ($directory -and -not (Test-Path -Path $directory)) {
if ($WhatIf) {
Write-Host "WhatIf: map '$directory' zou worden aangemaakt voor export, maar er zijn geen wijzigingen uitgevoerd." -ForegroundColor Yellow
}
else {
New-Item -Path $directory -ItemType Directory -Force | Out-Null
}
}
if ($WhatIf) {
Write-Host "WhatIf: resultaten zouden worden geëxporteerd naar '$ExportPath'." -ForegroundColor Yellow
}
else {
$exportData = @()
if ($result.Cases) {
$exportData = $result.Cases
}
if ($exportData) {
$exportData | Export-Csv -Path $ExportPath -NoTypeInformation -Encoding UTF8
Write-Host "`nResultaten zijn geëxporteerd naar: $ExportPath" -ForegroundColor Green
}
else {
Write-Host "`nGeen exportdata beschikbaar." -ForegroundColor Yellow
}
}
}
Write-Host "`nSamenvatting Advanced eDiscovery:" -ForegroundColor Cyan
if ($result.LicenseStatus) {
Write-Host (" Totaal eDiscovery-gebruikers : {0}" -f $result.LicenseStatus.TotalUsers) -ForegroundColor White
Write-Host (" Gebruikers met licentie : {0}" -f $result.LicenseStatus.LicensedUsers) -ForegroundColor White
Write-Host (" Gebruikers zonder licentie : {0}" -f $result.LicenseStatus.UnlicensedUsers.Count) -ForegroundColor White
}
Write-Host (" Totaal aantal cases : {0}" -f $result.TotalCases) -ForegroundColor White
Write-Host (" Actieve cases : {0}" -f $result.ActiveCases) -ForegroundColor White
if ($result.Findings.Count -gt 0) {
Write-Host "`nBelangrijkste bevindingen:" -ForegroundColor Yellow
foreach ($finding in $result.Findings) {
Write-Host (" - {0}" -f $finding) -ForegroundColor Yellow
}
}
else {
Write-Host "`nEr zijn geen directe issues in de basiscontrole gevonden." -ForegroundColor Green
}
return $result
}
catch {
Write-Host "`n[FAIL] Fout tijdens verificatie van Advanced eDiscovery: $_" -ForegroundColor Red
throw
}
}
function Show-RemediationGuidance {
<#
.SYNOPSIS
Geeft richtlijnen voor verbetering van Advanced eDiscovery-configuratie.
.DESCRIPTION
Voert zelf geen wijzigingen door, maar beschrijft concrete stappen en voorbeeldcmdlets.
#>
[CmdletBinding()]
param()
Write-Host "`nRemediatie-richtlijnen voor Advanced eDiscovery:" -ForegroundColor Cyan
Write-Host "`n1. Licentievereisten" -ForegroundColor White
Write-Host " - Advanced eDiscovery vereist Microsoft 365 E5 licenties, of E3 met Advanced Compliance add-on." -ForegroundColor Gray
Write-Host " - Verifieer dat alle gebruikers met eDiscovery-rechten de juiste licenties hebben toegewezen." -ForegroundColor Gray
Write-Host " - Gebruik Microsoft 365 Admin Center of PowerShell om licenties te controleren en toe te wijzen." -ForegroundColor Gray
Write-Host "`n2. Permissions en rollen" -ForegroundColor White
Write-Host " - Zorg dat eDiscovery Managers en eDiscovery Administrators correct zijn geconfigureerd." -ForegroundColor Gray
Write-Host " - Verifieer dat rollen zijn gekoppeld aan de juiste Azure AD-groepen of gebruikers." -ForegroundColor Gray
Write-Host "`n3. Case management" -ForegroundColor White
Write-Host " - Documenteer procedures voor het opzetten van Advanced eDiscovery cases." -ForegroundColor Gray
Write-Host " - Train juridische teams in het gebruik van Advanced eDiscovery-functionaliteit." -ForegroundColor Gray
Write-Host " - Zorg voor duidelijke workflows voor custodian-identificatie, content collection en review." -ForegroundColor Gray
Write-Host "`n4. Voorbeeldcmdlets (aanpassen aan eigen beleid, bij voorkeur eerst in acceptatieomgeving)" -ForegroundColor White
Write-Host " # Voorbeeld: controleer licentievereisten voor eDiscovery-gebruikers" -ForegroundColor DarkGray
Write-Host " Get-ComplianceRoleGroupMember -Identity 'eDiscovery Managers' | ForEach-Object { Get-MgUser -UserId $_ -Property AssignedLicenses }" -ForegroundColor DarkGray
Write-Host "" -ForegroundColor DarkGray
Write-Host " # Voorbeeld: toon alle Advanced eDiscovery cases" -ForegroundColor DarkGray
Write-Host " Get-ComplianceCase -CaseType AdvancedEdiscovery" -ForegroundColor DarkGray
if ($WhatIf) {
Write-Host "`nWhatIf: er zijn geen wijzigingen uitgevoerd; gebruik deze voorbeelden alleen na interne afstemming en testen." -ForegroundColor Yellow
}
else {
Write-Host "`nLET OP: dit script voert zelf geen configuratiewijzigingen uit. Alle aanpassingen dienen via gecontroleerde change-processen te verlopen." -ForegroundColor Yellow
}
}
try {
if ($Monitoring) {
$overview = Invoke-AdvancedEDiscoveryVerification
}
elseif ($RemediationGuidance) {
Show-RemediationGuidance
}
else {
Write-Host "Beschikbare parameters:" -ForegroundColor Yellow
Write-Host " -Monitoring : Toon een overzicht en basiscontrole van Advanced eDiscovery-configuratie" -ForegroundColor Gray
Write-Host " -RemediationGuidance: Toon richtlijnen en voorbeelden voor verbeterde configuratie" -ForegroundColor Gray
Write-Host " -ExportPath <pad> : Exporteer resultaten naar een CSV-bestand" -ForegroundColor Gray
Write-Host " -DebugMode : Voer een veilige lokale test uit zonder verbinding met Microsoft 365" -ForegroundColor Gray
Write-Host " -WhatIf : Toon alleen welke acties geadviseerd worden, zonder wijzigingen" -ForegroundColor Gray
Write-Host "`nVoorbeeld: .\ediscovery-advanced.ps1 -Monitoring -DebugMode" -ForegroundColor Cyan
}
}
catch {
Write-Error "Scriptuitvoering is mislukt: $_"
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
# Exitcodes:
# 0 = gereserveerd voor toekomstige uitgebreide compliance-evaluaties
# 2 = fout tijdens uitvoering
Risico zonder implementatie
Risico zonder implementatie
High: Zonder Advanced eDiscovery-functionaliteit kunnen organisaties niet effectief omgaan met complexe juridische onderzoeken, WOO-verzoeken of interne audits. Dit kan leiden tot juridische aansprakelijkheid, boetes wegens niet-naleving van juridische verplichtingen, en reputatieschade. Bovendien bestaat het risico dat relevante informatie wordt gemist of dat niet-relevante content wordt gedeeld, wat leidt tot privacy-schendingen.
Management Samenvatting
Activeer en configureer Advanced eDiscovery in Microsoft 365 voor complexe juridische onderzoeken. Vereist Microsoft 365 E5 of E3 met Advanced Compliance add-on. Biedt machine learning-gebaseerde relevance analysis, near-duplicate detection, email threading en geavanceerde analytics. Essentieel voor effectieve omgang met WOO-verzoeken, interne audits en juridische onderzoeken. Voldoet aan BIO 18.03, ISO 27001 A.18.1.3, AVG Artikelen 5/15/32 en NIS2 Artikel 21. Implementatie: 100 uur.
- Implementatietijd: 100 uur
- FTE required: 0.2 FTE