In-Place eDiscovery in Exchange 2013
Gilt für: Exchange Server 2013
Wenn Ihre organization den gesetzlichen Ermittlungsanforderungen (im Zusammenhang mit Organisationsrichtlinien, Compliance oder Gerichtsverfahren) entspricht, können Sie In-Place eDiscovery in Microsoft Exchange Server 2013 bei der Suche nach relevanten Inhalten in Postfächern unterstützen. Exchange 2013 bietet auch Eine Verbundsuchfunktion und Integration in Microsoft SharePoint 2013. Mit dem eDiscovery Center in SharePoint können Sie nach allen Inhalten im Zusammenhang mit einem Fall suchen und speichern, einschließlich SharePoint 2013-Websites, Dokumente, von SharePoint indizierte Dateifreigaben, Postfachinhalte in Exchange und archivierte Lync 2013-Inhalte. Zudem können Sie mit Compliance-eDiscovery in einer hybriden Exchange-Umgebung lokale und cloudbasierte Postfächer innerhalb einer Suche durchsuchen.
Wichtig
In-Place eDiscovery ist ein leistungsstarkes Feature, mit dem Benutzer mit den richtigen Berechtigungen potenziell Zugriff auf alle Im Exchange 2013-organization gespeicherten Messagingdatensätze erhalten können. Es ist wichtig, ermittlungsaktivitäten zu steuern und zu überwachen, einschließlich des Hinzufügens von Mitgliedern zur Rollengruppe "Ermittlungsverwaltung", der Zuweisung der Verwaltungsrolle "Postfachsuche" und der Zuweisung von Postfachzugriffsberechtigungen für Ermittlungspostfächer.
Funktionsweise von Compliance-eDiscovery
Für die Compliance-eDiscovery-Suche werden die von der Exchange-Suche erstellten Inhaltsindizes verwendet. Die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) stellt die Rollengruppe Discovery Management zum Delegieren von Suchaufgaben an nicht technische Mitarbeiter bereit, ohne dass erhöhte Rechte erteilt werden müssen, mit denen ein Benutzer möglicherweise Änderungen an der Exchange-Konfiguration vornehmen kann. Die Exchange-Verwaltungskonsole stellt eine benutzerfreundliche Suchoberfläche für nicht technisches Personal wie z. B. Mitarbeiter der Rechtsabteilung, Richtlinienbeauftragte, Datensatzmanager und Mitarbeiter der Personalabteilung (Human Resources, HR) bereit.
Autorisierte Benutzer können Compliance-eDiscovery-Suchen durchführen, indem sie die Postfächer auswählen und dann Suchkriterien wie Stichwörter, Start- und Enddaten, Absender- und Empfängeradressen und Nachrichtentypen angeben. Nach der Suche können autorisierte Benutzer eine der folgenden Aktionen auswählen:
Suchergebnisse schätzen Diese Option liefert eine Schätzung der Gesamtgröße und -anzahl der Objekte, die von der Suche auf der Grundlage der angegebenen Kriterien zurückgegeben werden.
Vorschau auf Suchergebnisse anzeigen Diese Option bietet eine Vorschau der Ergebnisse. Die von den einzelnen durchsuchten Postfächern zurückgegebenen Meldungen werden angezeigt.
Suchergebnisse kopieren Mit dieser Option können Sie Nachrichten in ein Discoverypostfach kopieren.
Suchergebnisse exportieren Nachdem die Suchergebnisse in ein Discoverypostfach kopiert wurden,können Sie sie in eine PST-Datei exportieren.
Exchange-Suche
Für die Compliance-eDiscovery-Suche werden die von der Exchange-Suche erstellten Inhaltsindizes verwendet. Die Exchange-Suche basiert nun auf Microsoft Search Foundation, einer umfassenden Suchplattform mit einer wesentlich verbesserten Indizierungs- und Abfrageleistung und Suchfunktionalität. Da Microsoft Search Foundation auch von anderen Office-Produkten verwendet wird, SharePoint 2013 eingeschlossen, wird eine höhere Interoperabilität und eine ähnliche Abfragesyntax für diese Produkte bereitgestellt.
Dank eines einzigen Inhaltsindizierungsmoduls müssen keine zusätzlichen Ressourcen zum Durchforsten und Indizieren von Postfachdatenbanken für die Compliance-eDiscovery-Suche verwendet werden, wenn Mitarbeiter von IT-Abteilungen eDiscovery-Anforderungen erhalten.
Die Compliance-eDiscovery-Suche verwendet KQL (Keyword Query Language) - eine Abfragesyntax, die der von der Sofortsuche in Microsoft Outlook und Outlook Web App verwendeten AQS (Advanced Query Syntax) ähnelt. Benutzer mit KQL-Kenntnissen können auf einfache Weise leistungsstarke Suchabfragen zum Durchsuchen von Inhaltsindizes erstellen.
Weitere Informationen zu den von der Exchange-Suche indizierten Dateiformaten finden Sie unter Von der Exchange-Suche indizierte Dateiformate.
Die Rollengruppe "Discoveryverwaltung" und Verwaltungsrollen
Damit autorisierte Benutzer Compliance-eDiscovery-Suchen durchführen können, müssen Sie die Benutzer der Rollengruppe Erkennungsverwaltung hinzufügen. Diese Rollengruppe umfasst zwei Verwaltungsrollen: Rolle „Postfachsuche", die einem Benutzer das Ausführen einer Compliance-eDiscovery-Suche ermöglicht, und Rolle „Gesetzliche Aufbewahrungspflicht", mit der Benutzer ein Postfach in einem Compliance-Archiv platzieren oder ein Beweissicherungsverfahren für das Postfach aktivieren können.
Standardmäßig werden Benutzern oder Exchange-Administratoren keine Berechtigungen zur Ausführung von Compliance-eDiscovery-Aufgaben zugewiesen. Exchange-Administratoren, die Mitglieder der Rollengruppe "Organisationsverwaltung" sind, können Benutzer zur Rollengruppe "Discoveryverwaltung" hinzufügen und benutzerdefinierte Rollengruppen erstellen, um die Berechtigungen für einen Discoverymanager auf einen bestimmten Benutzersatz zu beschränken. Weitere Informationen zum Hinzufügen von Benutzern zur Rollengruppe "Discoveryverwaltung" finden Sie unter Zuweisen von eDiscovery-Berechtigungen in Exchange.
Wichtig
Wenn ein Benutzer nicht zur Rollengruppe "Discoveryverwaltung" hinzugefügt oder ihm nicht die Rolle "Postfachsuche" zugewiesen wurde, wird die Benutzeroberfläche Compliance-eDiscovery und -Archiv nicht im EAC angezeigt, und die Compliance-eDiscovery-Cmdlets stehen in der Exchange-Verwaltungsshell nicht zur Verfügung.
Durch das Überwachen von Änderungen an RBAC-Rollen (diese Funktion ist standardmäßig aktiviert) wird sichergestellt, dass die richtigen Datensätze gespeichert werden, um die Zuweisung der Rollengruppe "Discoveryverwaltung" nachverfolgen zu können. Sie können den Administrator-Rollengruppenbericht verwenden, um nach Änderungen an Administratorrollengruppen zu suchen. Weitere Informationen finden Sie unter Search the role group changes or administrator audit logs.
Benutzerdefinierte Verwaltungsbereiche für Compliance-eDiscovery
Sie können einen benutzerdefinierten Verwaltungsbereich verwenden, damit bestimmte Personen oder Gruppen In-Place eDiscovery verwenden können, um eine Teilmenge von Postfächern in Ihrer Exchange 2013-organization zu durchsuchen. Beispielsweise können Sie einen Discovery-Manager nur die Postfächer der Benutzer an einem bestimmten Standort oder in einer bestimmten Abteilung durchsuchen lassen. Hierfür erstellen Sie einen benutzerdefinierten Verwaltungsbereich, in dem über einen benutzerdefinierten Empfängerfilter gesteuert wird, welche Postfächer durchsucht werden können. In Bereichen mit Empfängerfiltern werden Filter verwendet, um bestimmte Empfänger basierend auf dem Empfängertyp oder anderen Eigenschaften zu erfassen.
Bei Verwendung von Compliance-eDiscovery ist die einzige Eigenschaft eines Benutzerpostfachs, die Sie zum Erstellen eines Empfängerfilters für einen benutzerdefinierten Bereich verwenden können, die Mitgliedschaft in Verteilergruppen. Wenn Sie andere Eigenschaften wie CustomAttributeN, Department oder Postal Code verwenden, schlägt die Suche fehl, wenn sie von einem Mitglied der Rollengruppe ausgeführt wird, dem der benutzerdefinierte Bereich zugewiesen ist. Weitere Informationen finden Sie unter Erstellen eines benutzerdefinierten Verwaltungsbereichs für die Compliance-eDiscovery-Suche.
Integration in SharePoint Server
Exchange Server bietet die Integration in SharePoint Server, sodass ein Ermittlungs-Manager das eDiscovery Center in SharePoint verwenden kann, um die folgenden Aufgaben auszuführen:
Suchen und Beibehalten von Inhalten an einem einzigen Speicherort: Ein autorisierter Ermittlungs-Manager kann Inhalte in SharePoint und Exchange durchsuchen und beibehalten, einschließlich Lync-Inhalten wie Chatunterhaltungen und freigegebenen Besprechungsdokumenten, die in Exchange-Postfächern archiviert sind.
Fallverwaltung: eDiscovery Center verwendet einen Fallverwaltungsansatz für eDiscovery, mit dem Sie Fälle erstellen und Inhalte in verschiedenen Inhaltsrepositorys für jeden Fall durchsuchen und beibehalten können.
Exportieren von Suchergebnissen: Ein Ermittlungs-Manager kann das eDiscovery Center verwenden, um Suchergebnisse zu exportieren. In Suchergebnissen zurückgegebene Postfachinhalte werden in eine PST-Datei exportiert.
SharePoint verwendet für Inhaltsindizierung und -abfrage ebenfalls Microsoft Search Foundation. Unabhängig davon, ob ein Discoverymanager die Exchange-Verwaltungskonsole oder das eDiscovery Center zum Durchsuchen von Exchange-Inhalten verwendet, werden dieselben Postfachinhalte zurückgegeben.
Bevor Sie in lokalen Bereitstellungen das eDiscovery Center in SharePoint zum Durchsuchen von Exchange-Postfächern verwenden können, müssen Sie eine Vertrauensstellung zwischen den beiden Anwendungen einrichten. In Exchange 2013 und SharePoint 2013 wird dies mithilfe der OAuth-Authentifizierung erreicht. Ausführliche Informationen finden Sie unter Konfigurieren von Exchange für SharePoint eDiscovery Center. Über SharePoint ausgeführte eDiscovery-Suchen werden von Exchange mithilfe von RBAC autorisiert. Damit ein SharePoint-Benutzer eine eDiscovery-Suche in Exchange-Postfächern durchführen kann, müssen diesem delegierte Discoveryverwaltungsberechtigungen in Exchange zugewiesen werden. Zur Anzeige einer Vorschau von Postfachinhalten, die bei einer eDiscovery-Suche mit einem SharePoint eDiscovery Center zurückgegeben werden, muss der Discoverymanager über ein Postfach in derselben Exchange-Organisation verfügen.
eDiscovery in einer Exchange-Hybridbereitstellung
Um in einer Exchange 2013-Hybridorganisation eine erfolgreiche standortübergreifende eDiscovery-Suche durchführen zu können, müssen Sie die OAuth (Open Authorization)-Authentifizierung zwischen Ihrer lokalen Exchange-Organisation und der Exchange Online-Organisation einrichten, damit Sie Compliance-eDiscovery zum Durchsuchen der lokalen und cloudbasierten Postfächer verwenden können. Die OAuth-Authentifizierung ist ein Server-zu-Server-Authentifizierungsprotokoll, das es Anwendungen ermöglichlicht, sich gegenseitig zu authentifizieren.
Die OAuth-Authentifizierung wird in den folgenden eDiscovery-Szenarien in einer Exchange-Hybridbereitstellung unterstützt:
Durchsuchen lokaler Postfächer, für die die Exchange Online-Archivierung für cloudbasierte Archivpostfächer verwendet wird
Durchsuchen der lokalen und cloudbasierten Postfächer in derselben eDiscovery-Suche.
Durchsuchen lokaler Postfächer mit dem eDiscovery Center in SharePoint Online.
Weitere Informationen zu den eDiscovery-Szenarien, für die die OAuth-Authentifizierung in einer Exchange-Hybridbereitstellung konfiguriert werden muss, finden Sie unter Verwenden der OAuth-Authentifizierung zur Unterstützung von eDiscovery in einer Exchange-Hybridbereitstellung. Schrittweise Anleitungen zum Konfigurieren der OAuth-Authentifizierung, sodass eDiscovery unterstützt wird, finden Sie unter Konfigurieren der OAuth-Authentifizierung zwischen Exchange- und Exchange Online-Organisationen.
Discoverypostfächer
Nachdem Sie eine Compliance-eDiscovery-Suche erstellt haben, können Sie die Suchergebnisse in ein Zielpostfach kopieren. Die Exchange-Verwaltungskonsole ermöglicht Ihnen die Auswahl eines Discoverypostfachs als Zielpostfach. Bei einem Discoverypostfach handelt es sich um einen speziellen Postfachtyp, mit dem die folgenden Funktionen bereitgestellt werden:
Einfachere und sichere Zielpostfachauswahl: Wenn Sie das EAC verwenden, um In-Place eDiscovery-Suchergebnisse zu kopieren, werden nur Ermittlungspostfächer als Repository zum Speichern von Suchergebnissen verfügbar gemacht. Sie müssen keine potenziell lange Liste der in der Organisation verfügbaren Postfächer durchsehen. Dadurch wird auch vermieden, dass ein Discoverymanager versehentlich das Postfach eines anderen Benutzers oder ein ungesichertes Postfach auswählt, um darin potenziell vertrauliche Nachrichten zu speichern.
Großes Postfachspeicherkontingent: Das Zielpostfach sollte in der Lage sein, eine große Menge von Nachrichtendaten zu speichern, die von einer In-Place eDiscovery-Suche zurückgegeben werden können. Discoverypostfächer verfügen standardmäßig über ein Postfachspeicherkontingent von 50 GB. Dieses Speicherkontingent kann nicht erhöht werden.
Standardmäßig sicherer: Wie alle Postfachtypen verfügt ein Ermittlungspostfach über ein zugeordnetes Active Directory-Benutzerkonto. Dieses Konto ist jedoch standardmäßig deaktiviert. Nur Benutzer, die explizit für den Zugriff auf ein Ermittlungspostfach autorisiert sind, haben Zugriff darauf. Mitgliedern der Rollengruppe Ermittlungsverwaltung werden Vollzugriffsberechtigungen für das Standardermittlungspostfach zugewiesen. Alle zusätzlichen Ermittlungspostfächer, die Sie erstellen, verfügen über keinem Benutzer zugewiesenen Zugriffsberechtigungen für Postfächer.
Email Übermittlung deaktiviert: Obwohl in Exchange-Adresslisten sichtbar, können Benutzer keine E-Mails an ein Ermittlungspostfach senden. Die E-Mail-Zustellung an Discoverypostfächer ist aufgrund von Zustellungseinschränkungen unzulässig. Auf diese Weise wird die Integrität der Suchergebnisse gewährleistet, die in ein Discoverypostfach kopiert werden.
Exchange-Setup erstellt ein Ermittlungspostfach mit dem Anzeigenamen Discovery Search Mailbox. Mithilfe der Shell können Sie weitere Discoverypostfächer erstellen. Standardmäßig werden den von Ihnen erstellten Discoverypostfächern keine Zugriffsberechtigungen gewährt. Sie können einem Discoverymanager Vollzugriff erteilen, damit ein Zugriff auf die in ein Discoverypostfach kopierten Nachrichten möglich ist. Weitere Informationen finden Sie unter Erstellen eines Discoverypostfachs.
Für die Compliance-eDiscovery-Suche wird außerdem ein Systempostfach mit dem Anzeigenamen SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} zum Speichern von Compliance-eDiscovery-Metadaten verwendet. Systempostfächer werden weder in der Exchange-Verwaltungskonsole noch in Exchange-Adresslisten angezeigt. Bevor Sie in Organisationen mit lokalem Exchange eine Postfachdatenbank entfernen können, in der sich das Systempostfach für die Compliance-eDiscovery-Suche befindet, müssen Sie das Postfach in eine andere Postfachdatenbank verschieben. Wenn das Postfach entfernt wird oder beschädigt ist, können die Discoverymanager erst wieder eDiscovery-Suchen durchführen, nachdem das Postfach neu erstellt wurde. Weitere Informationen finden Sie unter Löschen und erneutes Erstellen des Standardermittlungspostfachs in Exchange 2013.
Verwenden der Compliance-eDiscovery-Suche
Benutzer, die zur Rollengruppe "Discoveryverwaltung" hinzugefügt wurden, können Compliance-eDiscovery-Suchen ausführen. Sie können mithilfe der webbasierten Oberfläche in der Exchange-Verwaltungskonsole Suchen durchführen. Dadurch wird das Verwenden der Compliance-eDiscovery-Suche für nicht technische Benutzer wie Datensatzmanager, Richtlinienbeauftragte oder Mitarbeiter der Rechts- und Personalabteilung vereinfacht. Sie können Suchläufe auch mit der Shell durchführen. Weitere Informationen finden Sie unter Erstellen einer Compliance-eDiscovery-Suche
Hinweis
Mithilfe der Compliance-eDiscovery-Funktion können Sie in lokalen Bereitstellungen Postfächer auf Exchange 2013-Postfachservern durchsuchen. Zum Durchsuchen von Postfächern auf Exchange 2010-Postfachservern verwenden Sie die Suche in mehreren Postfächern auf einem Exchange 2010-Server. >>In einer Hybridbereitstellung, bei der es sich um eine Umgebung handelt, in der einige Postfächer auf Ihren lokalen Postfachservern und einige Postfächer in einem cloudbasierten organization vorhanden sind, können Sie In-Place eDiscovery-Suchvorgänge Ihrer cloudbasierten Postfächer mithilfe des EAC in Ihrer lokalen organization durchführen. Wenn Sie Nachrichten in ein Discoverypostfach kopieren möchten, müssen Sie ein lokales Discoverypostfach auswählen. Nachrichten aus cloudbasierten Postfächern, die in Suchergebnissen zurückgegeben werden, werden in das angegebene lokale Discoverypostfach kopiert. Weitere Informationen zu Hybridbereitstellungen finden Sie unter Exchange Server 2013 Hybrid Deployments.
Der Assistent für Compliance-eDiscovery und -Archiv in der Exchange-Verwaltungskonsole ermöglicht Ihnen das Erstellen einer Compliance-eDiscovery-Suche und verwendet ein Compliance-Archiv, um die Suchergebnisse aufzubewahren. Wenn Sie eine Compliance-eDiscovery-Suche erstellen, wird ein Suchobjekt im Compliance-eDiscovery-Systempostfach erstellt. This object can be manipulated to start, stop, modify, and remove the search. After you create the search, you can choose to get an estimate of search results, which includes keyword statistics that help you determine query effectiveness. You can also do a live preview of items returned in the search, allowing you to view message content, the number of messages returned from each source mailbox and the total number of messages. You can use this information to further fine-tune your query if required.
Wenn Sie mit den Suchergebnissen zufrieden sind, können Sie sie in ein Discoverypostfach kopieren. Sie können auch die Exchange-Verwaltungskonsole oder Outlook verwenden, um ein Discoverypostfach oder Teile seiner Inhalte in eine PST-Datei zu exportieren.
Wenn Sie eine Compliance-eDiscovery-Suche erstellen, müssen Sie die folgenden Parameter angeben:
Name: Der Suchname wird verwendet, um die Suche zu identifizieren. Wenn Sie Suchergebnisse in ein Discoverypostfach kopieren, wird ein Ordner mit dem Suchnamen und dem Zeitstempel im Discoverypostfach erstellt, um die Suchergebnisse in einem Discoverypostfach eindeutig zu identifizieren.
Postfächer: Sie können alle Postfächer in Ihrer Exchange 2013-organization durchsuchen oder die zu durchsuchenden Postfächer angeben. Die primären Und Archivpostfächer eines Benutzers werden in die Suche einbezogen. Wenn Sie die gleiche Suche auch verwenden möchten, um Elemente im Haltefeld zu platzieren, müssen Sie die Postfächer angeben. Sie können eine Verteilergruppe angeben, um Postfachbenutzer einzuschließen, die Mitglieder dieser Gruppe sind. Die Mitgliedschaft in der Gruppe wird einmal berechnet, wenn die Suche erstellt wird, und nachfolgende Änderungen an der Gruppenmitgliedschaft werden nicht automatisch in der Suche wider.
Suchabfrage: Sie können entweder den gesamten Postfachinhalt aus den angegebenen Postfächern einschließen oder eine Suchabfrage verwenden, um Elemente zurückzugeben, die für den Fall oder die Untersuchung relevanter sind. Sie können in einer Suchabfrage die folgenden Parameter angeben:
Schlüsselwörter: Sie können Schlüsselwörter und Ausdrücke angeben, um Nachrichteninhalte zu durchsuchen. Sie können auch die logischen Operatoren AND, OR und NOT verwenden. Zusätzlich unterstützt Exchange 2013 den Operator NEAR, mit dem Sie nach einem Wort oder Ausdruck in der Nähe eines anderen Worts oder Ausdrucks suchen können.
Um nach einer genauen Übereinstimmung eines Ausdrucks mit mehreren Wörtern zu suchen, müssen Sie den Ausdruck in Anführungszeichen einschließen. Wenn Sie beispielsweise nach dem Ausdruck "Plan und Wettbewerb" suchen, werden Nachrichten zurückgegeben, die eine genaue Übereinstimmung mit dem Ausdruck enthalten, während die Angabe von Plan UND Wettbewerb Nachrichten mit den Wörtern Plan und Wettbewerb an einer beliebigen Stelle in der Nachricht zurückgibt.
Exchange 2013 unterstützt außerdem die KQL-Syntax (Keyword Query Language) für Compliance-eDiscovery-Suchen.
Hinweis
Reguläre Ausdrücke werden in Compliance-eDiscovery-Suchen nicht unterstützt.
Logische Operatoren wie AND und OR müssen in Großbuchstaben angegeben werden, damit diese nicht als Suchzeichenfolgen, sondern als Operatoren behandelt werden. Zum Vermeiden von Fehlern oder Fehlinterpretationen sollten Sie bei jeder Suche mit mehreren logischen Operatoren eindeutige Klammern verwenden. Wenn Sie z. B. nach Nachrichten suchen, die entweder "WortA" oder "WortB" UND "WortC" oder "WortD" enthalten, verwenden Sie die folgende Syntax: (WortA OR WortB) AND (WortC OR WortD).
Start- und Enddatum: Standardmäßig schränkt In-Place eDiscovery Suchvorgänge nicht um einen Datumsbereich ein. Wenn Sie nach Nachrichten suchen möchten, die innerhalb eines bestimmten Zeitraums gesendet wurden, können Sie die Suche durch die Angabe von Start- und Enddaten einschränken. Wenn Sie kein Enddatum angeben, werden bei jedem erneuten Starten der Suche die neuesten Ergebnisse zurückgegeben.
Absender und Empfänger: Um die Suche einzugrenzen, können Sie die Absender oder Empfänger von Nachrichten angeben. Sie können E-Mail-Adressen, Anzeigenamen oder den Namen einer Domäne verwenden, um nach Elementen zu suchen, die an oder von allen Personen in der Domäne gesendet werden. Wenn Sie beispielsweise nach E-Mails suchen möchten, die von einer beliebigen Person bei Contoso, Ltd gesendet oder gesendet wurden, geben Sie @contoso.com im EAC im Feld Von oder An/cc an. Sie können auch @contoso.com in den Parametern Absender oder Empfänger in der Shell angeben.
Nachrichtentypen: Standardmäßig werden alle Nachrichtentypen durchsucht. Sie können die Suche einschränken, indem Sie spezifische Nachrichtentypen wie E-Mail, Kontakte, Dokumente, Journal, Besprechungen, Notizen und Lync-Inhalt auswählen.
Der folgende Screenshot zeigt ein Beispiel für eine Suchabfrage in der Exchange-Verwaltungskonsole.
Bei der Verwendung von Compliance-eDiscovery-Suchen müssen Sie außerdem Folgendes beachten:
Anlagen: In-Place eDiscovery durchsucht Anlagen, die von der Exchange-Suche unterstützt werden. Weitere Informationen finden Sie unter Dateiformate, die von der Exchange-Suche indiziert werden. In lokalen Bereitstellungen können Sie Unterstützung für zusätzliche Dateitypen hinzufügen, indem Sie Suchfilter (auch als iFilter bezeichnet) für den Dateityp auf Postfachservern installieren.
Nicht durchsuchbare Elemente: Nicht durchsuchbare Elemente sind Postfachelemente, die von der Exchange-Suche nicht indiziert werden können. Ursachen hierfür können nicht installierte Suchfilter für eine angefügte Datei, Filterfehler und verschlüsselte Nachrichten sein. Für eine erfolgreiche eDiscovery-Suche muss Ihre Organisation diese Elemente möglicherweise zur Überprüfung einschließen. Wenn Sie Suchergebnisse in ein Discoverypostfach kopieren oder in eine PST-DAtei exportieren, können Sie nicht durchsuchbare Elemente einschließen. Weitere Informationen finden Sie unter Nicht durchsuchbare Elemente in Exchange eDiscovery.
Verschlüsselte Elemente: Da mit S/MIME verschlüsselte Nachrichten nicht von der Exchange-Suche indiziert werden, durchsucht In-Place eDiscovery diese Nachrichten nicht. Wenn Sie die Option auswählen, um nicht durchsuchbare Elemente in Suchergebnissen zu berücksichtigen, werden diese S/MIME-verschlüsselten Nachrichten in das Discoverypostfach kopiert.
IRM-geschützte Elemente: Nachrichten, die mithilfe von Information Rights Management (IRM) geschützt sind, werden von der Exchange-Suche indiziert und daher in die Suchergebnisse aufgenommen, wenn sie mit Abfrageparametern übereinstimmen. Nachrichten müssen mithilfe eines AD RMS-Clusters (Active Directory Rights Management Service, Active Directory Rechteverwaltungsdienst) in derselben Active Directory-Gesamtstruktur wie der Postfachserver geschützt werden. Weitere Informationen finden Sie unter Information Rights Management.
Wichtig
Wenn die Exchange-Suche eine IRM-geschützte Nachricht nicht indizieren kann, weil entweder ein Entschlüsselungsfehler aufgetreten oder IRM deaktiviert ist, wird die geschützte Nachricht nicht zur Liste der fehlerhaften Elemente hinzugefügt. Wenn Sie die Option auswählen, um nicht durchsuchbare Elemente in Suchergebnissen zu berücksichtigen, fehlen in den Ergebnissen möglicherweise IRM-geschützte Nachrichten, die nicht entschlüsselt werden konnten. >> Um IRM-geschützte Nachrichten in eine Suche einzuschließen, können Sie eine weitere Suche erstellen, um Nachrichten mit RPMSG-Anlagen einzuschließen. Sie können die Abfragezeichenfolge
attachment:rpmsgverwenden, um alle IRM-geschützten Nachrichten in den angegebenen Postfächern zu durchsuchen, unabhängig davon, ob sie erfolgreich indiziert wurden oder nicht. Dies kann in Szenarien, in denen für eine Suche Nachrichten (einschließlich von IRM-geschützten Nachrichten, die erfolgreich indiziert wurden) zurückgegeben werden, die den Suchkriterien entsprechen, zu doppelt vorhandenen Suchergebnissen führen. Bei der Suche werden keine IRM-geschützten Nachrichten zurückgegeben, die nicht indiziert werden konnten. >> Eine zweite Suche nach allen IRM-geschützten Nachrichten umfasst auch die IRM-geschützten Nachrichten, die bei der ersten Suche erfolgreich indiziert und zurückgegeben wurden. Darüber hinaus besteht die Möglichkeit, dass die von der zweiten Suche zurückgegebenen IRM-geschützten Nachrichten nicht den für die erste Suche verwendeten Suchkriterien (z. B. Schlüsselwörter) entsprechen.Deduplizierung: Beim Kopieren von Suchergebnissen in ein Ermittlungspostfach können Sie die Deduplizierung von Suchergebnissen aktivieren, um nur eine instance einer eindeutigen Nachricht in das Ermittlungspostfach zu kopieren. Eine Deduplizierung hat folgende Vorteile:
Niedrigere Speicheranforderungen und geringere Größe des Discoverypostfachs aufgrund der verringerten Anzahl von kopierten Nachrichten.
Geringere Arbeitslast für Discoverymanager, Rechtsberater und andere Personen, die die Ergebnisse der Suche durchsehen.
Geringere eDiscovery-Kosten, abhängig von der Anzahl von doppelten Elementen, die aus den Suchergebnissen ausgeschlossen werden.
Schätzung, Vorschau und Kopieren von Suchergebnissen
Nach Abschluss einer Compliance-eDiscovery-Suche können Sie eine Schätzung der Suchergebnisse im Detailbereich der Exchange-Verwaltungskonsole anzeigen. Die Schätzwerte umfassen die Anzahl von zurückgegebenen Elementen und die Gesamtgröße dieser Elemente. Sie können auch eine Schlüsselwortstatistik anzeigen, die Details zur Anzahl von Elementen angibt, die für jedes Schlüsselwort in der Suchabfrage zurückgegeben wurden. Diese Informationen sind nützlich, um die Effektivität der Abfrage zu ermitteln. Wenn die Abfrage zu allgemein ist, wird möglicherweise ein zu großer Datensatz angezeigt, für dessen Durchsicht mehr Ressourcen benötigt und höhere eDiscovery-Kosten erzeugt werden. Wenn die Suche zu eingeschränkt ist, werden möglicherweise nur sehr wenige oder gar keine Datensätze angezeigt. Sie können die Schätzwerte und die Schlüsselwortstatistik dazu verwenden, die Abfrage gemäß Ihren Anforderungen zu optimieren.
Hinweis
In Exchange 2013 umfasst die Schlüsselwortstatistik auch statistische Werte zu Nicht-Schlüsselwort-Eigenschaften, wie z. B. Datumswerten, Nachrichtentypen und Absendern/Empfängern, die in einer Suchabfrage angegeben wurden.
Sie können auch eine Vorschau der Suchergebnisse anzeigen, um sicherzustellen, dass zurückgegebene Nachrichten den gesuchten Inhalt enthalten, und die Abfrage bei Bedarf weiter optimieren. eDiscovery Search Preview zeigt die Anzahl der von jedem durchsuchten Postfach zurückgegebenen Nachrichten und die Gesamtanzahl der von der Suche zurückgegebenen Nachrichten an. Die Vorschau wird schnell generiert, ohne dass Sie Nachrichten in ein Ermittlungspostfach kopieren müssen.
Wenn Sie mit der Menge und Qualität der Suchergebnisse zufrieden sind, können Sie sie in ein Discoverypostfach kopieren. Beim Kopieren von Nachrichten haben Sie folgende Möglichkeiten:
Nicht durchsuchbare Elemente einschließen: Ausführliche Informationen zu den Typen von Elementen, die als nicht durchsuchbar gelten, finden Sie in den Überlegungen zur eDiscovery-Suche im vorherigen Abschnitt.
Deduplizierung aktivieren: Die Deduplizierung reduziert das Dataset, indem nur ein einzelnes instance eines eindeutigen Datensatzes eingeschlossen wird, wenn mehrere Instanzen in einem oder mehreren durchsuchten Postfächern gefunden werden.
Vollständige Protokollierung aktivieren: Standardmäßig ist beim Kopieren von Elementen nur die grundlegende Protokollierung aktiviert. Sie können die vollständige Protokollierung aktivieren, um Informationen zu allen bei der Suche zurückgegebenen Datensätzen einzuschließen.
E-Mail senden, wenn die Kopie abgeschlossen ist: Eine In-Place eDiscovery-Suche kann möglicherweise eine große Anzahl von Datensätzen zurückgeben. Das Kopieren der zurückgegebenen Nachrichten in ein Discoverypostfach kann sehr viel Zeit in Anspruch nehmen. Verwenden Sie diese Option, um per E-Mail benachrichtigt zu werden, wenn der Kopiervorgang abgeschlossen wurde. Für einen leichteren Zugriff bei Verwendung von Outlook Web App enthält die Benachrichtigung einen Link zum Speicherort in einem Discoverypostfach, in das die Nachrichten kopiert wurden.
Weitere Informationen finden Sie unter Kopieren der eDiscovery-Suchergebnisse in ein Discoverypostfach.
Exportieren von Suchergebnissen in eine PST-Datei
Nachdem die Suchergebnisse in ein Discoverypostfach kopiert wurden,können Sie sie in eine PST-Datei exportieren.
Nach dem Export der Suchergebnisse in eine PST-Datei können Sie oder andere Benutzer sie in Outlook öffnen, um die in den Suchergebnissen zurückgegebenen Nachrichten zu lesen oder zu drucken. Weitere Informationen finden Sie unter Exportieren von eDiscovery-Suchergebnissen in eine PST-Datei.
Unterschiedliche Suchergebnisse
Da die Compliance-eDiscovery Live-Daten durchsucht, ist es möglich, dass zwei Suchläufe derselben Inhaltsquellen mit derselben Suchabfrage unterschiedliche Ergebnisse zurückgeben. Die geschätzten Suchergebnisse können ebenfalls von den tatsächlichen Suchergebnissen abweichen, die in ein Discoverypostfach kopiert werden. Das passiert auch, wenn dieselbe Suche innerhalb kurzer Zeit wiederholt wird. Es gibt verschiedene Faktoren, die sich auf die Konsistenz der Suchergebnisse auswirken:
Die kontinuierliche Indizierung eingehender E-Mails, da die Exchange-Suche ständig die Postfachdatenbanken und die Transportpipelines Ihrer Organisation durchforstet und indiziert.
Löschen von E-Mails durch Benutzer oder automatisierte Prozesse.
Massenimport von großen Mengen an E-Mails, deren Indizierung Zeit erfordert.
Falls Sie unterschiedliche Ergebnisse für dieselbe Suche erhalten, erwägen Sie die Aufbewahrung von Postfächern, um den Inhalt beizubehalten, führen Sie die Suche außerhalb der Spitzenzeiten durch oder lassen Sie genügend Zeit nach dem Importieren großer Mengen an E-Mails.
Protokollierung für Compliance-eDiscovery-Suchen
Für Compliance-eDiscovery-Suchen stehen zwei Arten von Protokollierung zur Verfügung:
Standardprotokollierung: Die Standardprotokollierung ist standardmäßig für alle In-Place eDiscovery-Suchen aktiviert. Sie schließt Informationen über die Suche und den Benutzer ein, der die Suche durchgeführt hat. Die mit der Basisprotokollierung erfassten Informationen werden im Nachrichtentext der E-Mail angezeigt, die an das Postfach gesendet wird, in dem die Suchergebnisse gespeichert werden. Die Nachricht befindet sich in dem Ordner, der zum Speichern der Suchergebnisse erstellt wurde.
Vollständige Protokollierung: Die vollständige Protokollierung enthält Informationen zu allen Nachrichten, die von der Suche zurückgegeben werden. Diese Informationen werden in einer durch Trennzeichen getrennten Datei (CSV-Datei) bereitgestellt und an die E-Mail-Nachricht angefügt, welche die Informationen der Basisprotokollierung enthält. Der Name der Suche wird als Name der CSV-Datei verwendet. Diese Informationen können aus Gründen der Einhaltung von Vorschriften oder für Aufzeichnungszwecke erforderlich sein. Zur Aktivierung der vollständigen Protokollierung müssen Sie die Option Vollständige Protokollierung aktivieren auswählen, wenn Sie mithilfe der Exchange-Verwaltungskonsole Suchergebnisse in ein Discoverypostfach kopieren. Wenn Sie die Shell verwenden, geben Sie die vollständige Protokollierungsoption mit dem LogLevel-Parameter an.
Hinweis
Beim Verwenden der Shell zum Erstellen oder Ändern einer Compliance-eDiscovery-Suche können Sie die Protokollierung auch deaktivieren.
Neben dem Suchprotokoll, das beim Kopieren von Suchergebnissen in ein Discoverypostfach erstellt wird, protokolliert Exchange auch von der Exchange-Verwaltungskonsole oder der Shell verwendete Cmdlets zum Erstellen, Ändern oder Entfernen von Compliance-eDiscovery-Suchen. Diese Informationen werden in den Administratorüberwachungsprotokolleinträgen erfasst. Weitere Informationen finden Sie unter Administratorüberwachungsprotokollierung.
Compliance-eDiscovery und Compliance-Archiv
Im Rahmen von eDiscovery-Anforderungen ist es möglicherweise erforderlich, dass Sie Postfachinhalte aufbewahren, bis ein Rechtsstreit oder eine Untersuchung beendet ist. Nachrichten, die vom Postfachbenutzer oder durch andere Prozesse gelöscht oder geändert wurden, müssen ebenfalls aufbewahrt werden. In Exchange 2013 wird dies über den Einsatz eines Compliance-Archivs erreicht. Weitere Informationen finden Sie unter In-Situ-Speicher und Beweissicherungsverfahren.
In Exchange 2013 können Sie den neuen Assistenten für direkte eDiscovery-& Halten verwenden, um Elemente zu durchsuchen und so lange beizubehalten, wie sie für eDiscovery erforderlich sind oder um andere Geschäftsanforderungen zu erfüllen. When using the same search for both In-Place eDiscovery and In-Place Hold, be aware of the following:
Die Option zum Durchsuchen aller Postfächer kann nicht verwendet werden. Sie müssen die gewünschten Postfächer oder Verteilergruppen auswählen.
Sie können eine Compliance-eDiscovery-Suche nicht entfernen, wenn die Suche auch für ein Compliance-Archiv verwendet wird. Sie müssen zuerst die Compliance-Archiv-Option in einer Suche deaktivieren und die Suche dann entfernen.
Aufbewahrung von Postfächern zu Compliance-eDiscovery-Zwecken
Wenn ein Mitarbeiter eine Organisation verlässt, wird das Mitarbeiterpostfach in der Regel deaktiviert oder entfernt. Wenn Sie ein Postfach deaktivieren, wird es vom Benutzerkonto getrennt, verbleibt jedoch für einen bestimmten Zeitraum (standardmäßig 30 Tage) weiterhin in der Postfachdatenbank. Der Assistent für verwaltete Ordner verarbeitet keine getrennten Postfächer, und Aufbewahrungsrichtlinien werden in diesem Zeitraum nicht angewendet. Sie können die Inhalte eines getrennten Postfachs nicht durchsuchen. Bei Ablauf des für die Postfachdatenbank konfigurierten Aufbewahrungszeitraums für gelöschte Postfächer wird das Postfach aus der Postfachdatenbank entfernt.
Wenn es in lokalen Bereitstellungen in Ihrer Organisation erforderlich ist, Aufbewahrungseinstellungen auf Nachrichten von Mitarbeitern anzuwenden, die nicht länger in der Organisation tätig sind, oder wenn Sie ein Postfach eines ehemaligen Mitarbeiters für eine fortlaufende oder zukünftige eDiscovery-Suche beibehalten müssen, dürfen Sie das Postfach weder deaktivieren noch entfernen. Sie können die folgenden Schritte ausführen, um sicherzustellen, dass kein Zugriff auf das Postfach möglich ist und keine neuen Nachrichten an das Postfach übermittelt werden.
Deaktivieren Sie das Active Directory-Benutzerkonto mithilfe von Active Directory-Benutzern &-Computern oder anderen Active Directory- oder Kontobereitstellungstools oder -skripts. This prevents mailbox logon using the associated user account.
Wichtig
Benutzer mit Vollzugriff für das Postfach können weiterhin auf das Postfach zugreifen. Wenn Sie den Zugriff durch andere Personen verhindern möchten, müssen Sie den Vollzugriff auf das Postfach deaktivieren. Informationen zum Entfernen von Vollzugriffspostfachberechtigungen für ein Postfach finden Sie unter Verwalten von Berechtigungen für Empfänger.
Legen Sie den Grenzwert für die Größe der Nachrichten, die über das Postfach gesendet oder empfangen werden können, auf einen sehr niedrigen Wert fest, beispielsweise auf 1 KB. Auf diese Weise wird verhindert, dass neue E-Mails über das Postfach gesendet oder empfangen werden. Weitere Informationen finden Sie unter Konfigurieren von Beschränkungen der Nachrichtengröße für ein Postfach.
Konfigurieren Sie Übermittlungseinschränkungen für das Postfach, sodass niemand Nachrichten an das Postfach senden kann. Weitere Informationen finden Sie unter Konfigurieren von Nachrichtenübermittlungseinschränkungen für ein Postfach.
Wichtig
Sie müssen die oben genannten Schritte und weitere Prozesse zur Kontoverwaltung ausführen, die in Ihrer Organisation erforderlich sind, jedoch ohne das Postfach zu deaktivieren oder zu entfernen oder das zugeordnete Benutzerkonto zu entfernen.
Wenn Sie die Postfachaufbewahrung zur Verwaltung der Nachrichtenaufbewahrung oder für die Compliance-eDiscovery-Suche implementieren möchten, müssen Sie die Mitarbeiterfluktuation berücksichtigen. Die langfristige Aufbewahrung von Postfächern ehemaliger Mitarbeiter belegt zusätzlichen Speicherplatz auf den Postfachservern und vergrößert die Active Directory-Datenbank, da das zugeordnete Benutzerkonto für denselben Zeitraum beibehalten werden muss. Zusätzlich kann es erforderlich sein, die Prozesse für Kontobereitstellung und -verwaltung in Ihrer Organisation zu ändern.
Compliance-eDiscovery-Begrenzungen und Einschränkungsrichtlinien
In Exchange 2013 werden die Ressourcen, die In-Place eDiscovery nutzen können, mithilfe von Drosselungsrichtlinien gesteuert.
Die Standardeinschränkungsrichtlinie enthält folgende Parameter.
| Parameter | Beschreibung | Standardwert |
|---|---|---|
| DiscoveryMaxConcurrency | Die maximale Anzahl der Compliance-eDiscovery-Suchen, die in Ihrer Organisation gleichzeitig ausgeführt werden können | 2 Hinweis: Wenn eine eDiscovery-Suche gestartet wird, während zwei vorherige Suchvorgänge noch ausgeführt werden, wird die dritte Suche nicht in die Warteschlange eingereiht und schlägt stattdessen fehl. Sie müssen warten, bis eine der vorherigen Suchen abgeschlossen ist, bevor sie eine neue Suche starten können. |
| DiscoveryMaxMailboxes | Die maximale Anzahl von Postfächern, die in einer einzelnen Compliance-eDiscovery-Suche durchsucht werden können. | 5,000 |
| DiscoveryMaxStatsSearchMailboxes | Die maximale Anzahl von Postfächern, die in einer einzelnen Compliance-eDiscovery-Suche durchsucht werden können, die die Anzeige von Schlüsselwortstatistiken erlaubt. | 100 Hinweis: Nachdem Sie eine eDiscovery-Suchschätzung ausgeführt haben, können Sie Schlüsselwort (keyword) Statistiken anzeigen. Diese Statistik enthält detaillierte Informationen über die Anzahl der Elemente, die für jedes in der Suchabfrage verwendete Schlüsselwort zurückgegeben werden. Wenn mehr als 100 Quellpostfächer in die Suche einbezogen werden, wird beim Versuch, die Schlüsselwortstatistik anzuzeigen, eine Fehlermeldung zurückgegeben. |
| DiscoveryMaxKeywords | Die maximale Anzahl von Schlüsselwörtern, die in einer einzelnen Compliance-eDiscovery-Suche angegeben werden können. | 500 |
| DiscoveryMaxSearchResultsPageSize | Die maximale Anzahl von Elementen, die auf einer einzelnen Vorschauseite der Compliance-eDiscovery-Suchergebnisse angezeigt werden. | 200 |
| DiscoverySearchTimeoutPeriod | Die Zeitdauer in Minuten, während der eine Compliance-eDiscovery-Suche ausgeführt wird, bevor eine Zeitüberschreitung auftritt. | 10 Minuten |
In Exchange Server 2013 können Sie die Standardwerte dieser Parameter gemäß Ihren Anforderungen ändern, oder Sie können zusätzliche Einschränkungsrichtlinien erstellen und diese Benutzern mit delegierten Discoveryverwaltungsberechtigungen zuweisen.
Dokumentation zu Compliance-eDiscovery
Die folgende Tabelle enthält Links zu Themen, in denen Sie weitere Informationen zu Compliance-eDiscovery und dessen Verwaltung finden.
| Thema | Beschreibung |
|---|---|
| Zuweisen von eDiscovery-Berechtigungen in Exchange | Erfahren Sie, wie Sie einem Benutzer in der Exchange-Verwaltungskonsole Zugriff auf Compliance-eDiscovery zum Durchsuchen von Exchange-Postfächern gewähren. Das Hinzufügen eines Benutzers zur Rollengruppe Ermittlungsverwaltung ermöglicht es der Person auch, das eDiscovery Center in SharePoint 2013 zum Durchsuchen von Exchange-Postfächern zu verwenden. |
| Erstellen eines Discoverypostfachs | Erfahren Sie, wie Sie mit der Shell ein Discoverypostfach erstellen und Zugriffsberechtigungen zuweisen. |
| Erstellen einer Compliance-eDiscovery-Suche | Erfahren Sie, wie Sie eine Compliance-eDiscovery-Suche erstellen und wie Sie eDiscovery-Suchergebnisse schätzen und eine Vorschau davon anzeigen. |
| Von der Exchange-Suche indizierte Nachrichteneigenschaften | Erfahren Sie, welche E-Mail-Nachrichteneigenschaften mithilfe der Compliance-eDiscovery-Funktion durchsucht werden können. Dieses Thema bietet Syntaxbeispiele für jede Eigenschaft, Informationen zu Suchoperatoren wie AND und OR sowie zu anderen Suchabfragemethoden wie z. B. Verwenden doppelter Anführungszeichen (" ") und Präfixplatzhaltern. |
| Starten oder Stoppen einer Compliance-eDiscovery-Suche | Erfahren Sie, wie Sie eDiscovery-Suchen starten, beenden und neu starten. |
| Ändern einer Compliance-eDiscovery-Suche | Erfahren Sie, wie Sie eine vorhandene eDiscovery-Suche ändern. |
| Kopieren der eDiscovery-Suchergebnisse in ein Discoverypostfach | Erfahren Sie, wie Sie die Ergebnisse einer eDiscovery-Suche in ein Discoverypostfach kopieren. |
| Exportieren von eDiscovery-Suchergebnissen in eine PST-Datei | Erfahren Sie, wie Sie die Ergebnisse einer eDiscovery-Suche in eine PST-Datei exportieren. |
| Erstellen eines benutzerdefinierten Verwaltungsbereichs für die Compliance-eDiscovery-Suche | Erfahren Sie, wie Sie mit benutzerdefinierten Verwaltungsbereichen die Anzahl der Postfächer einschränken können, die ein Discovery-Manager durchsuchen kann. |
| Entfernen einer Compliance-eDiscovery-Suche | Erfahren Sie, wie Sie eine eDiscovery-Suche löschen. |
| Suchen nach und Löschen von Nachrichten in Exchange 2013 | Erfahren Sie, wie Sie mit dem Cmdlet Search-Mailbox E-Mail-Nachrichten suchen und löschen können. |
| Verkleinern eines Discoverypostfachs in Exchange | Verwenden Sie dieses Verfahren, um ein Discoverypostfach, das größer als 50 GB ist, zu verkleinern. |
| Löschen und Neuerstellen des Standarddiscoverypostfachs in Exchange | Erfahren Sie, wie Sie ein Standarddiscoverypostfach löschen, es neu erstellen und ihm dann erneut Berechtigungen zuweisen können. Verwenden Sie dieses Verfahren, wenn das Postfach die Größenbeschränkung von 50 GB überschritten hat und Sie die Suchergebnisse nicht benötigen. |
| Löschen und erneutes Erstellen des Standardermittlungspostfachs in Exchange 2013 | Erfahren Sie, wie Sie das Discoverypostfach neu erstellen. Diese Aufgabe eignet sich nur für Exchange 2013-Organisationen. |
| Verwenden der OAuth-Authentifizierung zur Unterstützung von eDiscovery in einer Exchange-Hybridbereitstellung | Erfahren Sie mehr über die eDiscovery-Szenarien in einer hybriden Exchange-Bereitstellung, die es erforderlich machen, dass Sie die OAuth-Authentifizierung konfigurieren. |
| Konfigurieren von Exchange für SharePoint eDiscovery Center | Erfahren Sie, wie Sie Exchange 2013 so konfigurieren, dass Sie das eDiscovery Center in SharePoint 2013 zum Durchsuchen von Exchange-Postfächern verwenden können. |
| Nicht durchsuchbare Elemente in Exchange eDiscovery | Erfahren Sie mehr über Postfachelemente, die nicht von der Exchange-Suche indiziert werden und in eDiscovery-Suchergebnissen als nicht durchsuchbare Elemente zurückgegeben werden. |
Weitere Informationen zu eDiscovery in Microsoft Purview, Office 365, Exchange 2013, SharePoint 2013 und Lync 2013 finden Sie unter Erste Schritte mit eDiscovery (Standard).