In-Place eDiscovery dans Exchange 2013
S’applique à : Exchange Server 2013
Si votre organization respecte les exigences de découverte légale (liées à la stratégie organisationnelle, à la conformité ou aux poursuites), In-Place eDiscovery dans Microsoft Exchange Server 2013 peut vous aider à effectuer des recherches de découverte de contenu pertinent dans les boîtes aux lettres. Exchange 2013 offre également la fonctionnalité de recherche fédérée et l’intégration à Microsoft SharePoint 2013. À l’aide du Centre eDiscovery dans SharePoint, vous pouvez rechercher et conserver tout le contenu lié à un cas, y compris les sites web SharePoint 2013, les documents, les partages de fichiers indexés par SharePoint, le contenu de boîte aux lettres dans Exchange et le contenu Lync 2013 archivé. Vous pouvez également utiliser In-Place eDiscovery dans un environnement hybride Exchange pour rechercher des boîtes aux lettres locales et informatiques dans la même recherche.
Importante
In-Place eDiscovery est une fonctionnalité puissante qui permet à un utilisateur disposant des autorisations appropriées d’accéder potentiellement à tous les enregistrements de messagerie stockés dans le organization Exchange 2013. Il est essentiel de contrôler et de surveiller les activités de découverte, notamment l'ajout de membres au groupe de rôles Gestion de la découverte, l'attribution du rôle de gestion Recherche de boîte aux lettres et l'attribution de l'autorisation d'accès aux boîtes aux lettres de découverte.
Fonctionnement de la découverte électronique locale
La découverte électronique locale utilise les index de contenu créés par le service de recherche Exchange. Le contrôle d'accès en fonction du rôle (RBAC) fournit le groupe de rôles Gestion de la détection pour déléguer les tâches de découverte au personnel non technique, sans qu'il soit nécessaire d'accorder des privilèges élevés susceptibles de permettre à un utilisateur d'apporter des modifications opérationnelles à la configuration Exchange. Le Centre d'administration Exchange (CAE) inclut une interface de recherche conviviale destinée au personnel non technique, tel que des officiers de justice et des responsables de la mise en conformité, les responsables des enregistrements et les spécialistes des ressources humaines (RH).
Les utilisateurs autorisés peuvent effectuer une recherche de découverte électronique locale en sélectionnant les boîtes aux lettres, puis en spécifiant des critères de recherche tels que mots-clés, dates de début et de fin, adresses de l'expéditeur et du destinataire, et types de messages. Une fois la recherche terminée, les utilisateurs autorisés peuvent sélectionner l'une des actions suivantes :
Estimation des résultats de recherche Cette option permet d'obtenir une estimation de la taille totale et du nombre d'éléments renvoyés par la recherche d'après les critères spécifiés.
Aperçu des résultats de la recherche Cette option affiche un aperçu des résultats. Les messages renvoyés depuis chaque boîte aux lettres faisant l'objet d'une recherche sont affichés.
Copier les résultats de la recherche Cette option vous permet de copier des messages dans une boîte aux lettres de découverte.
Exporter les résultats de la recherche Une fois les résultats de la recherche copiés dans une boîte aux lettres de découverte, vous pouvez les exporter vers un fichier PST.
Recherche Exchange
La découverte électronique locale utilise les index de contenu créés par le service de recherche Exchange. Recherche Exchange a été réorganisé pour utiliser Microsoft Search Foundation, une plateforme de recherche riche qui offre des performances d’indexation et d’interrogation considérablement améliorées et des fonctionnalités de recherche améliorées. Étant donné que Microsoft Search Foundation est également utilisé par d’autres produits Office, notamment SharePoint 2013, il offre une plus grande interopérabilité et une syntaxe de requête similaire pour ces produits.
Avec un simple moteur d'indexation de contenu, aucune ressource supplémentaire n'est utilisée pour parcourir et indexer les bases de données de boîtes aux lettres pour la découverte électronique locale lorsque les services informatiques reçoivent des demandes de découverte électronique.
La découverte électronique locale utilise le langage KQL (Keyword Query Language), une syntaxe de requête semblable à la syntaxe de recherche avancée (AQS) utilisée par la Recherche instantanée dans Microsoft Outlook et Outlook Web App. Les utilisateurs connaissant le KQL peuvent aisément créer des demandes de recherche puissantes pour effectuer des recherches dans les index de contenu.
Pour plus d'informations sur les formats de fichiers indexés par la recherche Exchange, consultez la rubrique Formats de fichier indexés par le service de recherche Exchange.
Groupe de rôles Gestion de la découverte et rôles de gestion
Pour que les utilisateurs autorisés puissent effectuer des recherches de découverte électronique locale, vous devez les ajouter au groupe de rôles Gestion de la détection. Ce groupe de rôles comprend deux rôles de gestion : le Rôle de recherche de boîte aux lettres, qui permet à un utilisateur d'exécuter une recherche de découverte électronique locale, et le Rôle de conservation légale, qui permet à un utilisateur de placer une boîte aux lettres en archive permanente ou en mise en attente pour litige.
Par défaut, les autorisations pour exécuter des tâches relatives à la découverte électronique locale ne sont attribuées à aucun utilisateur ni administrateur Exchange. Les administrateurs Exchange membres du groupe de rôles Gestion de l'organisation peuvent ajouter des utilisateurs au groupe de rôles Gestion de la découverte et créer des groupes de rôles personnalisés pour restreindre l'étendue d'un gestionnaire de découverte à un sous-ensemble d'utilisateurs. Pour plus d'informations sur l'ajout d'utilisateurs au groupe de rôles Gestion de la découverte, consultez la rubrique Attribution d'autorisations eDiscovery dans Exchange.
Importante
Si un utilisateur n'a pas été ajouté au groupe de rôles Gestion de la découverte ou n'a pas reçu le rôle Recherche de boîte aux lettres, l'interface utilisateur Découverte électronique et archive permanente n'est pas affichée dans le CAE et les cmdlets de découverte électronique locale ne sont pas disponibles dans l'environnement de ligne de commande Exchange Management Shell.
L'audit des modifications apportées au rôle RBAC, activé par défaut, permet de s'assurer que les enregistrements adéquats sont conservés de manière à suivre l'attribution du groupe de rôles Gestion de la découverte. Vous pouvez utiliser le rapport de groupe de rôles d'administrateur pour rechercher des modifications apportées aux groupes de rôles d'administrateur. Pour plus d'informations, consultez la rubrique Search the role group changes or administrator audit logs.
Étendues de gestion personnalisées pour la découverte électronique locale
Vous pouvez utiliser une étendue de gestion personnalisée pour permettre à des personnes ou des groupes spécifiques d’utiliser In-Place eDiscovery pour rechercher un sous-ensemble de boîtes aux lettres dans votre organization Exchange 2013. Par exemple, vous voudrez peut-être permettre à un gestionnaire de découverte de rechercher uniquement les boîtes aux lettres des utilisateurs dans un lieu ou un service spécifique. Pour ce faire, créez une étendue de gestion personnalisée qui utilise un filtre de destinataire personnalisé pour contrôler les boîtes aux lettres pouvant être recherchées. Les étendues de filtre de destinataire utilisent des filtres pour cibler des destinataires spécifiques en fonction de leur type ou d'autres porpriétés.
Pour la découverte électronique locale, la seule propriété sur une boîte aux lettres d'utilisateur que vous pouvez employer pour créer un filtre de destinataire pour une étendue personnalisée est l'appartenance à un groupe de distribution. Si vous utilisez d’autres propriétés, telles que CustomAttributeN, Department ou PostalCode, la recherche échoue lorsqu’elle est exécutée par un membre du groupe de rôles auquel l’étendue personnalisée est affectée. Pour plus d'informations, voir Création d'une étendue de gestion personnalisée pour les recherches de découverte électronique sur place.
Intégration à SharePoint Server
Exchange Server offre une intégration à SharePoint Server, ce qui permet à un gestionnaire de découverte d’utiliser le Centre eDiscovery dans SharePoint pour effectuer les tâches suivantes :
Rechercher et conserver du contenu à partir d’un emplacement unique : un gestionnaire de découverte autorisé peut rechercher et conserver du contenu dans SharePoint et Exchange, y compris du contenu Lync, tel que des conversations de messagerie instantanée et des documents de réunion partagés archivés dans des boîtes aux lettres Exchange.
Gestion de cas : le Centre eDiscovery utilise une approche de gestion de cas pour eDiscovery, ce qui vous permet de créer des cas et de rechercher et de conserver le contenu dans différents référentiels de contenu pour chaque cas.
Exporter les résultats de la recherche : un gestionnaire de découverte peut utiliser le Centre eDiscovery pour exporter les résultats de la recherche. Le contenu des boîtes aux lettres inclus dans les résultats de la recherche est exporté vers un fichier PST.
SharePoint utilise également Microsoft Search Foundation pour l'indexation et l'interrogation du contenu. Qu'un gestionnaire de découverte utilise le CAE ou le Centre de découverte électronique pour rechercher du contenu Exchange, le même contenu de boîte aux lettres est renvoyé.
Dans les déploiements locaux, avant de pouvoir utiliser le Centre de découverte électronique dans SharePoint pour rechercher des boîtes aux lettres Exchange, vous devez établir une relation d'approbation entre les deux applications. Dans Exchange 2013 et SharePoint 2013, cela passe par l'authentification OAuth. Pour plus d'informations, consultez la rubrique Configurer Exchange pour le Centre de découverte électronique SharePoint. Les recherches de découverte électronique exécutées à partir de SharePoint sont autorisées par Exchange au moyen du RBAC. Pour qu'un utilisateur SharePoint puisse exécuter une recherche de découverte électronique des boîtes aux lettres Exchange, il doit obtenir l'autorisation Gestion de la découverte déléguée dans Exchange. Pour pouvoir afficher un aperçu du contenu des boîtes aux lettres renvoyé dans une recherche de découverte électronique exécutée via le Centre de découverte électronique SharePoint, le gestionnaire de découverte doit avoir une boîte aux lettres dans la même organisation Exchange.
Découverte électronique dans un déploiement Exchange hybride
Pour effectuer des recherches de découverte électronique entre différents locaux dans une organisation hybride Exchange 2013, vous devrez configurer l'authentification OAuth (Open Authorization) entre votre organisation Exchange sur site et des organisations Exchange Online afin de pouvoir utiliser la découverte électronique locale pour effectuer des recherches dans des boîtes aux lettres sur site et informatiques. L'authentification OAuth est un protocole d'authentification S2S qui permet aux applications de s'authentifier mutuellement.
L'authentification OAuth prend en charge les scénarios de découverte électronique suivants dans un déploiement hybride Exchange :
Les recherches dans des boîtes aux lettres sur site utilisant l'archivage Exchange Online pour des boîtes aux lettres d'archivage dans le cloud.
Les recherches dans des boîtes aux lettres sur site et informatiques dans la même recherche de découverte électronique.
Les recherches dans des boîtes aux lettres sur site à l'aide du centre de découverte électronique dans SharePoint Online.
Pour plus d'informations sur les scénarios de découverte électronique nécessitant la configuration de l'authentification OAuth dans un déploiement hybride Exchange, consultez la rubrique Utilisation de l'authentification OAuth pour prendre en charge la découverte électronique dans un déploiement hybride Exchange. Pour obtenir des instructions détaillées sur la configuration de l'authentification OAuth afin qu'elle prenne en charge la découverte électronique, consultez la rubrique Configurer l'authentification OAuth entre des organisations Exchange et Exchange Online.
Boîtes aux lettres de détection
Une fois la recherche de découverte électronique locale créée, vous pouvez copier les résultats de la recherche dans une boîte aux lettres cible. Le CAE vous permet de sélectionner une boîte aux lettres de découverte comme boîte aux lettres cible. Une boîte aux lettres de découverte est un type spécial de boîte aux lettres offrant les avantages suivants :
Sélection de boîte aux lettres cible plus facile et sécurisée : lorsque vous utilisez le Centre d’administration Exchange pour copier In-Place résultats de recherche eDiscovery, seules les boîtes aux lettres de découverte sont mises à disposition en tant que référentiel dans lequel stocker les résultats de recherche. Il n'est pas nécessaire de trier une liste potentiellement exhaustive de boîtes aux lettres disponibles dans l'organisation. Elle élimine également le risque pour un gestionnaire de découverte de sélectionner par inadvertance la boîte aux lettres d'un autre utilisateur ou une boîte aux lettres non sécurisée dans laquelle des messages confidentiels peuvent être éventuellement stockés.
Quota de stockage de boîte aux lettres volumineuse : la boîte aux lettres cible doit être en mesure de stocker une grande quantité de données de message qui peuvent être retournées par une recherche eDiscovery In-Place. Par défaut, les boîtes aux lettres de découverte présentent un quota de stockage de 50 gigaoctets (Go). Ce quota de stockage ne peut pas être augmenté.
Plus sécurisé par défaut : comme tous les types de boîtes aux lettres, une boîte aux lettres de découverte a un compte d’utilisateur Active Directory associé. Cependant, ce compte est désactivé par défaut. Seuls les utilisateurs explicitement autorisés à accéder à une boîte aux lettres de découverte y ont accès. Les membres du groupe de rôles Gestion de la découverte reçoivent les autorisations d'accès total à la boîte aux lettres de découverte par défaut. Aucune autorisation d'accès aux boîtes aux lettres ne sera attribuée à un utilisateur pour les boîtes aux lettres de découverte supplémentaires que vous créez.
remise Email désactivée : bien que visible dans les listes d’adresses Exchange, les utilisateurs ne peuvent pas envoyer d’e-mail à une boîte aux lettres de découverte. La remise du courrier électronique aux boîtes aux lettres de découverte est prohibée au moyen de restrictions de remise. Cela préserve l'intégrité des résultats de la recherche copiés dans une boîte aux lettres de découverte.
Le programme d’installation d’Exchange crée une boîte aux lettres de découverte avec le nom d’affichage Boîte aux lettres de recherche de découverte. Vous pouvez utiliser l'environnement de ligne de commande Exchange Management Shell pour créer des boîtes aux lettres de découverte supplémentaires. Par défaut, aucune autorisation d'accès aux boîtes aux lettres n'est attribuée pour les boîtes aux lettres de découverte que vous créez. Vous pouvez attribuer les autorisations d'accès total à un gestionnaire de découverte pour lui permettre d'accéder aux messages copiés dans une boîte aux lettres de découverte. Pour plus d'informations, consultez la rubrique Créer une boîte aux lettres de découverte.
Par ailleurs, la découverte électronique locale utilise une boîte aux lettres système dotée du nom complet SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} pour contenir les métadonnées de la découverte électronique locale. Les boîtes aux lettres système ne sont visibles ni dans le CAE, ni dans les listes d'adresses Exchange. Dans une organisation locale, avant de supprimer une base de données de boîtes aux lettres contenant la boîte aux lettres système de la découverte électronique locale, vous devez déplacer la boîte aux lettres vers une autre base de données de boîtes aux lettres. Si la boîte aux lettres est supprimée ou endommagée, vos gestionnaires de découverte ne pourront pas exécuter des recherches de découverte électronique tant que la boîte aux lettres n'aura pas été recréée. Pour plus d’informations, voir Supprimer et recréer la boîte aux lettres de découverte par défaut dans Exchange 2013.
Utilisation de la découverte électronique locale
Les utilisateurs qui ont été ajoutés au groupe de rôles Gestion de la découverte peuvent effectuer des recherches de découverte électronique locale. Vous pouvez effectuer une recherche en utilisant l'interface web du CAE. Ainsi, l'utilisation de la découverte électronique locale est simplifiée pour le personnel non technique, tels que les responsables d'enregistrements, les responsables de la mise en conformité ou les spécialistes juridiques et des ressources humaines. Vous pouvez également utiliser l'environnement de ligne de commande Exchange Management Shell pour effectuer une recherche. Pour plus d'informations, consultez la rubrique Créer une recherche de découverte électronique inaltérable.
Remarque
Dans les organisations locales, vous pouvez utiliser la découverte électronique locale pour rechercher des boîtes aux lettres situées sur les serveurs de boîtes aux lettres Exchange 2013. Pour rechercher des boîtes aux lettres situées sur des serveurs de boîtes aux lettres Exchange 2010, utilisez la recherche sur un serveur Exchange 2010. >>Dans un déploiement hybride, qui est un environnement où certaines boîtes aux lettres existent sur vos serveurs de boîtes aux lettres locaux et où certaines boîtes aux lettres existent dans un organization cloud, vous pouvez effectuer In-Place recherches eDiscovery de vos boîtes aux lettres basées sur le cloud à l’aide du Centre d’administration Exchange dans votre organization locale. Si vous avez l'intention de copier des messages vers une boîte aux lettres de découverte, vous devez sélectionner une boîte aux lettres de découverte locale. Les messages de boîtes aux lettres en nuage qui sont retournés dans des résultats de recherches sont copiés vers la boîte aux lettres de découverte locale. Pour en savoir plus sur les déploiements hybrides, consultez la rubrique Exchange Server 2013 Hybrid Deployments.
L'Assistant Découverte électronique locale et archive permanente dans le CAE vous permet de créer une recherche de découverte électronique locale et d'utiliser également l'archive permanente pour rechercher des résultats en attente. Quand vous créez une recherche de découverte électronique locale, un objet de recherche est créé dans la boîte aux lettres système de découverte électronique locale. This object can be manipulated to start, stop, modify, and remove the search. After you create the search, you can choose to get an estimate of search results, which includes keyword statistics that help you determine query effectiveness. You can also do a live preview of items returned in the search, allowing you to view message content, the number of messages returned from each source mailbox and the total number of messages. You can use this information to further fine-tune your query if required.
Une fois satisfait des résultats de la recherche, vous pouvez les copier dans une boîte aux lettres de découverte. Vous pouvez également utiliser le CAE ou Outlook pour exporter une boîte aux lettres de découverte ou certains contenus dans un fichier PST.
Quand vous créez une recherche de découverte électronique locale, vous devez spécifier les paramètres suivants :
Nom : le nom de la recherche est utilisé pour identifier la recherche. Quand vous copiez des résultats de la recherche dans une boîte aux lettres de découverte, un dossier est créé dans cette dernière à partir du nom et de l'horodateur de la recherche pour n'identifier que les résultats de la recherche dans une boîte aux lettres de découverte.
Boîtes aux lettres : vous pouvez choisir de rechercher toutes les boîtes aux lettres de votre organization Exchange 2013 ou de spécifier les boîtes aux lettres à rechercher. Les boîtes aux lettres principales et d’archive d’un utilisateur sont incluses dans la recherche. Si vous souhaitez également utiliser la même recherche pour mettre des éléments en attente, vous devez spécifier les boîtes aux lettres. Vous pouvez spécifier un groupe de distribution pour inclure les utilisateurs de boîte aux lettres qui sont membres de ce groupe. L’appartenance au groupe est calculée une seule fois lors de la création de la recherche et les modifications ultérieures apportées à l’appartenance au groupe ne sont pas automatiquement répercutées dans la recherche.
Requête de recherche : vous pouvez inclure tout le contenu des boîtes aux lettres des boîtes aux lettres spécifiées ou utiliser une requête de recherche pour retourner des éléments plus pertinents pour le cas ou l’examen. Dans une requête de recherche, vous pouvez spécifier les paramètres suivants :
Mots clés : vous pouvez spécifier des mots clés et des expressions pour rechercher le contenu du message. Vous pouvez également utiliser les opérateurs logiques AND, OR et NOT. De plus, Exchange 2013 prend également en charge l'opérateur NEAR, qui vous permet de rechercher un mot ou une phrase à proximité d'un autre mot ou d'une autre phrase.
Pour rechercher une correspondance exacte d'une expression composée de plusieurs mots, vous devez inclure l'expression entre guillemets. Par exemple, la recherche de la phrase "plan et concurrence" renvoie des messages qui contiennent une correspondance exacte de la phrase, alors que la saisie de plan AND concurrence renvoie des messages qui contiennent les mots plan et concurrence indépendamment de leur emplacement.
Exchange 2013 prend également en charge la syntaxe KQL pour des recherches de découverte électronique locale.
Remarque
La découverte électronique locale ne prend pas en charge les expressions régulières.
Vous devez écrire les opérateurs logiques comme AND et OR en majuscules pour qu'ils soient considérés comme des opérateurs plutôt que des mots clés. Nous vous recommandons d'utiliser des parenthèses explicites dans toutes les requêtes combinant plusieurs opérateurs logiques (AND, OR, NOT, etc.) afin d'éviter des erreurs ou des interprétations incorrectes. Par exemple, si vous souhaitez rechercher des messages contenant soit MotA ou MotB ET soit MotC ou MotD, vous devez utiliser (MotA OR MotB) AND (MotC OR MotD).
Dates de début et de fin : par défaut, In-Place eDiscovery ne limite pas les recherches par une plage de dates. Pour rechercher des messages envoyés à une plage de dates spécifique, vous pouvez affiner la recherche en saisissant une date de début et une date de fin. Si vous n'indiquez aucune date de fin, la recherche renvoie les derniers résultats chaque fois que vous la relancez.
Expéditeurs et destinataires : pour affiner la recherche, vous pouvez spécifier les expéditeurs ou les destinataires des messages. Vous pouvez utiliser des adresses de messagerie, des noms complets ou le nom d'un domaine pour rechercher des éléments envoyés ou reçus par tous les utilisateurs de ce domaine. Par exemple, pour rechercher un message électronique envoyé à ou par Contoso, Ltd, spécifiez @contoso.com dans la zone De ou le champ À/Cc dans le CAE. Vous pouvez également spécifier @contoso.com dans les paramètres Expéditeurs ou Destinataires dans l’interpréteur de commandes.
Types de messages : par défaut, tous les types de messages font l’objet d’une recherche. Vous pouvez restreindre la recherche en sélectionnant des types de messages spécifiques tels que messages électroniques, contacts, documents, journaux, réunions, notes et contenus Lync.
La capture d'écran suivante présente l'exemple d'une requête de recherche dans le CAE.
Quand vous utilisez la découverte électronique locale, considérez également ce qui suit :
Pièces jointes : In-Place eDiscovery recherche les pièces jointes prises en charge par recherche Exchange. Pour plus d'informations, consultez la rubrique Formats de fichier indexés par le service de recherche Exchange. Dans un déploiement local, vous pouvez ajouter une prise en charge de types de fichiers supplémentaires en installant des filtres de recherche (également appelés iFilter) pour le type de fichiers sur les serveurs de boîtes aux lettres.
Éléments non accessibles : les éléments qui ne peuvent pas faire l’objet d’une recherche sont des éléments de boîte aux lettres qui ne peuvent pas être indexés par recherche Exchange. L'inexistence d'un filtre de recherche pour un fichier joint, une erreur de filtre ou des messages chiffrés sont des motifs de non indexation. Pour réussir la recherche de découverte électronique, votre organisation peut demander d'inclure de tels éléments pour vérification. Lors de la copie des résultats de la recherche vers une boîte aux lettres de découverte ou lors de l'exportation des résultats de la recherche vers un fichier PST, vous pouvez inclure des éléments impossibles à rechercher. Pour plus d'informations, consultez la rubrique Éléments impossibles à rechercher dans la découverte électronique Exchange.
Éléments chiffrés : étant donné que les messages chiffrés à l’aide de S/MIME ne sont pas indexés par recherche Exchange, In-Place eDiscovery ne recherche pas ces messages. Si vous choisissez d'inclure les éléments impossibles à rechercher dans les résultats de la recherche, ces messages chiffrés S/MIME sont copiés dans la boîte aux lettres de découverte.
Éléments protégés par IRM : les messages protégés à l’aide de la gestion des droits relatifs à l’information (IRM) sont indexés par recherche Exchange et sont donc inclus dans les résultats de la recherche s’ils correspondent aux paramètres de requête. Les messages doivent être protégés en utilisant un cluster Active Directory Rights Management Services (AD RMS) dans la même forêt Active Directory que celle du serveur de boîtes aux lettres. Pour en savoir plus, consultez la section Gestion des droits relatifs à l’information.
Importante
Si le service de recherche Exchange ne parvient pas à indexer un message protégé par IRM, que ce soit en raison d'une erreur de déchiffrement ou de la désactivation de la fonctionnalité IRM, le message protégé n'est pas ajouté à la liste des éléments défaillants. Si vous choisissez d'inclure les éléments impossibles à rechercher dans les résultats de la recherche, il est possible que ces derniers n'incluent pas les messages protégés par IRM qui n'ont pas pu être déchiffrés. >> Pour inclure des messages protégés par IRM dans une recherche, vous pouvez créer une autre recherche pour inclure des messages avec des pièces jointes .rpmsg. Vous pouvez utiliser la chaîne
attachment:rpmsgde requête pour rechercher tous les messages protégés par IRM dans les boîtes aux lettres spécifiées, qu’ils soient correctement indexés ou non. Il peut en résulter une duplication des résultats de la recherche dans des scénarios où une recherche renvoie des messages correspondant aux critères de recherche, notamment des messages protégés par IRM qui ont été correctement indexés. La recherche ne renvoie pas les messages protégés par IRM qui n'ont pas pu être indexés. >> La deuxième recherche de tous les messages protégés par IRM inclut également les messages protégés par IRM qui ont été correctement indexés et retournés lors de la première recherche. De plus, il est possible que les messages protégés par IRM renvoyés lors de la deuxième recherche ne correspondent pas aux critères de la recherche, tels que les mots clés utilisés pour la première recherche.Déduplication : lors de la copie des résultats de la recherche dans une boîte aux lettres de découverte, vous pouvez activer la déduplication des résultats de recherche pour copier un seul instance d’un message unique dans la boîte aux lettres de découverte. Les avantages de la déduplication sont les suivants :
Réduction des besoins en stockage et réduction de la taille de la boîte aux lettres de détection grâce à la réduction du nombre de messages copiés.
Réduction de la charge de travail des gestionnaires de découverte, conseil juridique ou autres impliqués dans la vérification des résultats de la recherche.
Réduction du coût de la découverte électronique, en fonction du nombre d'éléments dupliqués exclus des résultats de la recherche.
Estimation, aperçu et copie des résultats de la recherche
Une fois la recherche de découverte électronique locale terminée, vous pouvez afficher les estimations des résultats de recherche dans le volet d’informations du CAE. Les estimations incluent le nombre d'éléments renvoyés et la taille totale de ces éléments. Vous pouvez également afficher des statistiques sur les mots clés, qui renvoient les informations détaillées sur le nombre d'éléments renvoyés pour chaque mot clé utilisé dans la requête de recherche. Cette information est utile pour déterminer l'efficacité de la requête. Si la requête est trop large, l'ensemble de données renvoyé peut être bien plus important et demander la vérification de plus de ressources et l'augmentation des coûts de découverte électronique. Si la requête est trop étroite, le nombre d'enregistrements renvoyés peut être considérablement réduit voire nul. Vous pouvez utiliser les estimations et les statistiques sure les mots clés pour affiner la requête et répondre à vos besoins.
Remarque
Dans Exchange 2013, les statistiques sur les mots clés incluent également des statistiques sur les propriétés hors mots clés telles que les dates, les types de messages et les expéditeurs/destinataires spécifiés dans une requête de recherche.
Il est également possible d'afficher les résultats de la recherche pour vous assurer que les messages renvoyés contiennent le contenu recherché et affiner la recherche si nécessaire. L'aperçu de la recherche de découverte électronique affiche le nombre de messages renvoyés à partir de chaque boîte aux lettres faisant l'objet d'une recherche et le nombre total de messages renvoyés par la recherche. L'aperçu est généré rapidement et n'implique pas de copier des messages dans une boîte aux lettres de découverte.
Lorsque la quantité et la qualité des résultats de la recherche vous conviennent, vous pouvez les copier dans une boîte aux lettres de découverte. Quand vous copiez des messages, les options suivantes s'offrent à vous :
Inclure des éléments qui ne peuvent pas faire l’objet d’une recherche : pour plus d’informations sur les types d’éléments qui sont considérés comme ne pouvant pas faire l’objet d’une recherche, consultez les considérations relatives à la recherche eDiscovery dans la section précédente.
Activer la déduplication : la déduplication réduit le jeu de données en n’incluant qu’une seule instance d’un enregistrement unique si plusieurs instances se trouvent dans une ou plusieurs boîtes aux lettres recherchées.
Activer la journalisation complète : par défaut, seule la journalisation de base est activée lors de la copie des éléments. Vous pouvez sélectionner l'option de journalisation complète pour inclure des informations relatives à tous les enregistrements renvoyés par la recherche.
Envoyez-moi un message une fois la copie terminée : une recherche In-Place eDiscovery peut potentiellement renvoyer un grand nombre d’enregistrements. La copie des messages renvoyés vers une boîte aux lettres de découverte peut prendre du temps. Utilisez cette option pour obtenir une notification par courrier électronique à la fin du processus de copie. Pour simplifier l'accès au moyen d'Outlook Web App, la notification inclut un lien vers l'emplacement de la boîte aux lettres de découverte dans lequel les messages sont copiés.
Pour plus d'informations, consultez la rubrique Copier les résultats de la recherche de découverte automatique dans une boîte aux lettres de découverte.
Exportation des résultats de recherche dans un fichier PST
Une fois les résultats de la recherche copiés dans une boîte aux lettres de découverte, vous pouvez les exporter vers un fichier PST.
Une fois les résultats de la recherche vers un fichier PST, vous ou d'autres utilisateurs pouvez les ouvrir dans Outlook pour passer en revue ou imprimer des messages renvoyés dans les résultats de la recherche. Pour plus d'informations, consultez la rubrique Exporter les résultats de la recherche électronique vers un fichier PST.
Différences dans les résultats de recherche
Comme la découverte électronique locale effectue des recherches sur des données actives, deux recherches peuvent avoir des sources de contenu identiques et l'utilisation de la même requête de recherche peut renvoyer des résultats différents. Les résultats de la recherche estimés peuvent également être différents des résultats de recherche réels qui sont copiés dans une boîte aux lettres de découverte. Cela peut se produire même lorsque vous relancez la même recherche dans un court laps de temps. Il existe plusieurs facteurs qui peuvent affecter la cohérence des résultats de recherche :
L'indexation continue des courriers électroniques entrants, car Exchange Search parcourt et indexe en permanence le pipeline de transport et les bases de données de boîtes aux lettres de votre organisation.
Suppression des courriers électroniques par les utilisateurs ou par des processus automatisés.
Importation en bloc de gros volumes de courriers électroniques, dont l'indexation prend du temps.
Si les résultats sont différents pour la même recherche, envisagez de placer les boîtes aux lettres en attente pour préserver le contenu, effectuez les recherches pendant les heures creuses et gardez à l’esprit que l’indexation prend du temps après l’importation de gros volumes de courriers électroniques.
Journalisation des recherches de découverte électronique locale
Il existe deux types de journalisation disponibles pour les recherches de découverte électronique locale :
Journalisation de base : la journalisation de base est activée par défaut pour toutes les recherches eDiscovery In-Place. Elle inclut des informations sur la recherche et l'auteur de la recherche. Les informations enregistrées sur la journalisation de base s'affichent dans le corps du message électronique envoyé à la boîte aux lettres contenant les résultats de la recherche. Le message est situé dans le dossier créé pour stocker les résultats de la recherche.
Journalisation complète : la journalisation complète inclut des informations sur tous les messages retournés par la recherche. Ces informations sont enregistrées dans un fichier de valeurs séparées par des virgules (.csv) qui est joint au message électronique contenant les informations de journalisation de base. Le nom de la recherche est utilisé pour le fichier .csv. Ces informations peuvent être nécessaires à des fins de mise en conformité ou de conservation des enregistrements. Pour activer la journalisation complète, vous devez sélectionner l'option Activer la journalisation complète lorsque vous copiez les résultats de la recherche dans une boîte aux lettres de découverte du CAE. Si vous utilisez l’interpréteur de commandes, spécifiez l’option de journalisation complète à l’aide du paramètre LogLevel .
Remarque
Lors de la création ou de la modification d'une recherche de découverte électronique locale via l'environnement de ligne de commande Exchange Management Shell, vous pouvez également désactiver la journalisation.
Outre le journal de recherche inclus lorsque vous copiez les résultats de la recherche dans une boîte aux lettres de découverte, Exchange journalise également les cmdlets utilisées par le CAE ou l'environnement de ligne de commande Exchange Management Shell pour créer, modifier ou supprimer des recherches de découverte électronique locale. Ces informations sont consignées dans les entrées de journal d'audit administrateur. Pour plus d'informations, consultez la rubrique Connexion au service d'audit administrateur.
Découverte électronique locale et archive permanente
Dans le cadre des demandes de découverte électronique, vous pouvez être amené à conserver le contenu de la boîte aux lettres jusqu'à ce qu'une décision de justice ou des données d'enquête soit rendues. Les messages supprimés ou modifiés par l'utilisateur de la boîte aux lettres ou tout autre processus doivent également être conservés. Dans Exchange 2013, cette opération est effectuée à l'aide de l'archive permanente. Pour plus d'informations, consultez la rubrique Conservation inaltérable et conservation pour litige.
Dans Exchange 2013, vous pouvez utiliser le nouvel Assistant Mise en attente d’eDiscovery & sur place pour rechercher des éléments et les conserver tant qu’ils sont requis pour eDiscovery ou pour répondre à d’autres exigences de l’entreprise. When using the same search for both In-Place eDiscovery and In-Place Hold, be aware of the following:
Vous ne pouvez pas utiliser l'option pour rechercher toutes les boîtes aux lettres. Vous devez sélectionner les boîtes aux lettres ou groupes de distribution.
Vous ne pouvez pas supprimer une recherche de découverte électronique locale si la recherche est également utilisée pour l'archive permanente. Vous devez en premier lieu désactiver l'option Archive permanente dans une recherche, puis supprimer la recherche.
Conservation de boîtes aux lettres pour la découverte électronique locale
Quand un employé quitte une organisation, la boîte aux lettres est habituellement désactivée ou supprimée. Après avoir été désactivée, une boîte aux lettres est déconnectée du compte d'utilisateur, mais demeure dans la boîte aux lettres pendant une certaine période (30 jours par défaut). L'Assistant Dossier géré ne traite pas les boîtes aux lettres déconnectées et aucune stratégie de rétention n'est appliquée durant cette période. Vous ne pouvez pas rechercher le contenu d'une boîte aux lettres déconnectée. Quand la période de rétention de la boîte aux lettres supprimée configurée pour la base de données de boîtes aux lettres est écoulée, la boîte aux lettres est purgée de la base de données des boîtes aux lettres.
Dans un déploiement local, si votre organisation requiert que des paramètres de conservation soient appliqués à des messages d'employés qui ne font plus partie de l'organisation ou si vous avez besoin de conserver la boîte aux lettres d'un ancien employé pour une recherche de découverte électronique en cours ou future, vous ne devez ni désactiver, ni supprimer la boîte aux lettres. Vous pouvez prendre les mesures suivantes pour garantir que la boîte aux lettres ne soit pas accessible et que de nouveaux messages n'y soient pas remis.
Désactivez le compte d’utilisateur Active Directory à l’aide d’Utilisateurs Active Directory & Ordinateurs ou d’autres outils ou scripts d’approvisionnement de compte Ou Active Directory. Ceci empêche la connexion à des boîtes aux lettres en utilisant le compte d'utilisateur associé.
Importante
Les utilisateurs disposant d'une autorisation d'accès total aux boîtes aux lettres conservent l'accès aux boîtes aux lettres. Pour empêcher l'accès des autres utilisateurs, vous devez supprimer leur autorisation d'accès total de la boîte aux lettres. Pour plus d’informations sur la suppression des autorisations de boîte aux lettres avec accès total sur une boîte aux lettres, consultez Gérer les autorisations pour les destinataires.
Définissez une très petite taille limite des messages pouvant être envoyés ou reçus par l'utilisateur de la boîte aux lettres, par exemple 1 Ko. Ceci empêche la remise de nouveaux messages en direction et en provenance de la boîte aux lettres. Pour plus d'informations, consultez la rubrique Configurer des limites de taille de messages pour une boîte aux lettres.
Configurez les restrictions de remise pour la boîte aux lettres de manière à ce que personne ne puisse lui envoyer de messages. Pour plus d'informations, consultez la rubrique Configurer les restrictions de remise de message pour une boîte aux lettres.
Importante
Vous devez prendre les mesures ci-dessous en liaison avec tous les autres processus de gestion de compte requis, mais sans désactiver ou supprimer la boîte aux lettres ou le compte d'utilisateur associé.
Quand vous prévoyez d'implémenter la rétention de boîtes aux lettres pour la gestion de la rétention (MRM) ou la découverte électronique locale des messages, vous devez tenir compte de la rotation des employés. La rétention à long terme de boîtes aux lettres d'anciens employés nécessitera un stockage supplémentaire sur les serveurs de boîtes aux lettres et entraînera également une augmentation de la base de données Active Directory, étant donné que le compte d'utilisateur associé devra être retenu pendant la même durée. Des modifications de l'attribution des privilèges d'accès aux comptes et des processus de gestion dans votre organisation seront en outre nécessaires.
Limites et stratégies de limitation des découvertes électroniques locales
Dans Exchange 2013, les ressources que In-Place eDiscovery peut consommer sont contrôlées à l’aide de stratégies de limitation.
La stratégie de limitation par défaut contient les paramètres de limitation suivants.
| Paramètre | Description | Valeur par défaut |
|---|---|---|
| DiscoveryMaxConcurrency | Nombre maximal de recherches de découverte électronique inaltérables pouvant être exécutées en même temps dans votre organisation | 2 Remarque : Si une recherche eDiscovery est démarrée alors que deux recherches précédentes sont toujours en cours d’exécution, la troisième recherche ne sera pas mise en file d’attente et échouera à la place. Vous devez patienter jusqu'à ce que l'une des recherches précédentes soit terminée avant de pouvoir lancer une nouvelle recherche. |
| DiscoveryMaxMailboxes | Nombre maximal de boîtes aux lettres pouvant être recherchées dans une seule recherche de découverte électronique locale. | 5,000 |
| DiscoveryMaxStatsSearchMailboxes | Nombre maximal de boîtes aux lettres consultables en une seule recherche de découverte électronique inaltérable et permettant d'afficher les statistiques sur les mots-clés. | 100 Remarque : Après avoir exécuté une estimation de recherche eDiscovery, vous pouvez afficher mot clé statistiques. Ces statistiques présentent des informations sur le nombre d'éléments renvoyés pour chaque mot-clé utilisé dans la requête de recherche. Si plus de 100 boîtes aux lettres source sont incluses dans la recherche, une erreur sera renvoyée si vous tentez d'afficher les statistiques sur les mots-clés. |
| DiscoveryMaxKeywords | Nombre maximal de mots clés pouvant être spécifiés dans une seule recherche de découverte électronique locale. | 500 |
| DiscoveryMaxSearchResultsPageSize | Nombre maximal d'éléments affichés dans une seule page lors de la prévisualisation des résultats de recherche de découverte électronique locale. | 200 |
| DiscoverySearchTimeoutPeriod | Nombre de minutes pendant lequel une recherche de découverte électronique locale est exécutée avant son expiration. | 10 minutes |
Dans Exchange Server 2013, vous pouvez modifier les valeurs par défaut de ces paramètres en fonction de vos besoins, ou créer des stratégies de limitation supplémentaires et les affecter aux utilisateurs avec une autorisation de gestion de découverte déléguée.
Documentation relative à la découverte électronique locale
Le tableau suivant contient des liens vers des rubriques qui vous permettront d’en savoir plus sur la découverte électronique locale et la façon de la gérer.
| Rubrique | Description |
|---|---|
| Attribution d'autorisations eDiscovery dans Exchange | Découvrez comment permettre à un utilisateur d'accéder à la découverte électronique locale dans le CAE pour effectuer des recherches dans des boîtes aux lettres Exchange. L’ajout d’un utilisateur au groupe de rôles Gestion de la découverte permet également à la personne d’utiliser le Centre eDiscovery dans SharePoint 2013 pour rechercher des boîtes aux lettres Exchange. |
| Créer une boîte aux lettres de découverte | Découvrez comment utiliser l'environnement de ligne de commande Exchange Management Shell pour créer une boîte aux lettres de découverte et affecter des autorisations d'accès. |
| Créer une recherche de découverte électronique inaltérable | Découvrez comment créer une recherche de découverte électronique locale, ainsi qu'estimer et afficher ses résultats. |
| Propriétés de message indexées par la recherche Exchange | Découvrez les propriétés de message électronique qui peuvent faire l'objet d'une recherche à l'aide de la découverte électronique inaltérable. Cette rubrique fournit des exemples de syntaxe pour chaque propriété, des informations sur les opérateurs de recherche (tels que AND et OR), ainsi que des renseignements sur d'autres techniques de requête de recherche, telles que l'utilisation des guillemets (" ") et des caractères génériques de préfixe. |
| Lancement ou arrêt d'une recherche de découverte électronique inaltérable | Découvrez comment démarrer, arrêter et redémarrer des recherches de découverte électronique locale. |
| Modifier une recherche de découverte électronique inaltérable | Découvrez comment modifier une recherche de découverte électronique locale existante. |
| Copier les résultats de la recherche de découverte automatique dans une boîte aux lettres de découverte | Découvrez comment copier les résultats d'une recherche de découverte électronique à une boîte aux lettres de découverte. |
| Exporter les résultats de la recherche électronique vers un fichier PST | Découvrez comment exporter les résultats d'une recherche de découverte électronique vers un fichier PST. |
| Création d'une étendue de gestion personnalisée pour les recherches de découverte électronique sur place | Découvrez comment utiliser les étendues de gestion personnalisées pour limiter les boîtes aux lettres qu'un gestionnaire de découverte peut rechercher. |
| Suppression d'une recherche de découverte électronique inaltérable | Découvrez comment supprimer une recherche de découverte électronique. |
| Rechercher et supprimer des messages dans Exchange 2013 | Apprenez à utiliser la cmdlet Search-Mailbox pour rechercher et supprimer des messages électroniques. |
| Réduction de la taille d'une boîte aux lettres de découverte dans Exchange | Utilisez ce processus pour réduire la taille d'une boîte aux lettres de découverte qui dépasse 50 Go. |
| Suppression et recréation de la boîte aux lettres de découverte par défaut dans Exchange | Apprenez à supprimer la boîte aux lettres de découverte par défaut, à la recréer, puis à lui réattribuer des autorisations. Utilisez cette procédure si cette boîte aux lettres a dépassé la limite de 50 Go et que vous n'avez pas besoin des résultats de la recherche. |
| Supprimer et recréer la boîte aux lettres de découverte par défaut dans Exchange 2013 | Découvrez comment recréer la boîte aux lettres système de découverte. Cette tâche s'applique uniquement aux entreprises Exchange 2013. |
| Utilisation de l'authentification OAuth pour prendre en charge la découverte électronique dans un déploiement hybride Exchange | En savoir plus sur les scénarios de découverte électronique nécessitant la configuration de l'authentification OAuth dans le cadre d'un déploiement hybride Exchange. |
| Configurer Exchange pour le Centre de découverte électronique SharePoint | Découvrez comment configurer Exchange 2013 de façon à ce que vous puissiez utiliser le centre de découverte dans SharePoint 2013 et effectuer des recherches dans des boîtes aux lettres Exchange. |
| Éléments impossibles à rechercher dans la découverte électronique Exchange | En savoir plus sur les éléments de boîtes aux lettres ne pouvant pas être indexés par la recherche Exchange et qui apparaissent dans la recherche de découverte électronique comme des éléments impossibles à rechercher. |
Pour plus d’informations sur la découverte électronique dans Microsoft Purview, Office 365, Exchange 2013, SharePoint 2013 et Lync 2013, voir Prise en main d’eDiscovery (Standard).