In-Place eDiscovery in Exchange Server
Se l'organizzazione rispetta i requisiti di individuazione legale (correlati a criteri, conformità o cause legali dell'organizzazione), In-Place eDiscovery in Exchange Server consente di eseguire ricerche di individuazione per il contenuto pertinente all'interno delle cassette postali. È anche possibile utilizzare eDiscovery sul posto in un ambiente Exchange ibrido per cercare contemporaneamente nella cassette postali locali e basate su cloud.
Importante
In-Place eDiscovery è una potente funzionalità che consente a un utente con le autorizzazioni corrette di accedere a tutti i record di messaggistica archiviati nell'intera organizzazione Exchange Server. È importante controllare e monitorare le attività di individuazione, compresa l'aggiunta di membri al gruppo di ruoli Gestione individuazione, l'assegnazione del ruolo di gestione Ricerca cassette postali e il permesso di accedere alla casella postale per l'individuazione di cassette postali.
Funzionamento di eDiscovery in locale
eDiscovery in locale utilizza gli indici di contenuto creati da Ricerca di Exchange. Il controllo dell'accesso basato sui ruoli consente al gruppo di ruoli Gestione individuazione di delegare le attività di individuazione a utenti non tecnici, senza la necessità di fornire privilegi elevati che potrebbero consentire all'utente di apportare modifiche operative alla configurazione di Exchange. L'interfaccia di amministrazione di Exchange (EAC) offre un'interfaccia di ricerca facile da usare per il personale non tecnico, ad esempio i responsabili legali e di conformità, i responsabili dei record e i professionisti delle risorse umane.
Gli utenti autorizzati possono eseguire una ricerca eDiscovery in locale selezionando le cassette postali e specificando quindi criteri come parole chiave, date di inizio e fine, indirizzi di mittenti e destinatari e tipo di messaggi. Una volta completata la ricerca, gli utenti autorizzati possono selezionare una delle azioni seguenti:
Stimare i risultati della ricerca : questa opzione restituisce una stima delle dimensioni totali e del numero di elementi che verranno restituiti dalla ricerca in base ai criteri specificati.
Anteprima dei risultati della ricerca : questa opzione fornisce un'anteprima dei risultati. Vengono visualizzati i messaggi restituiti da ciascuna cassetta postale interessata dalla ricerca.
Copiare i risultati della ricerca : questa opzione consente di copiare i messaggi in una cassetta postale di individuazione.
Esportare i risultati della ricerca : dopo aver copiato i risultati della ricerca in una cassetta postale di individuazione, è possibile esportarli in un file PST.
In-Place eDiscovery usa KQL (Keyword Query Language). Gli utenti che hanno familiarità con KQL possono creare query di ricerca avanzate per cercare indici di contenuto. Per altre informazioni su KQL, vedere Informazioni di riferimento sulla sintassi del linguaggio di query per parole chiave.
In-Place autorizzazioni di eDiscovery
Per consentire agli utenti autorizzati di eseguire ricerche In-Place eDiscovery, è necessario aggiungerle al gruppo di ruoli Gestione individuazione . Questo gruppo di ruoli è costituito da due ruoli di gestione: il ruolo ricerca cassette postali, che consente a un utente di eseguire una ricerca In-Place eDiscovery, e il ruolo blocco legale, che consente a un utente di inserire una cassetta postale in In-Place blocco per controversia legale.
Per impostazione predefinita, le autorizzazioni a eseguire attività associate a eDiscovery in locale non vengono assegnate a un qualsiasi utente o agli amministratori di Exchange. Gli amministratori di Exchange che sono membri del gruppo di ruoli Gestione organizzazione possono aggiungere utenti al gruppo di ruoli Gestione individuazione e creare gruppi di ruoli personalizzati per restringere l'ambito di un responsabile dell'individuazione a un sottoinsieme di utenti. Per altre informazioni sull'aggiunta di utenti al gruppo di ruoli Gestione individuazione, vedere Assegnare autorizzazioni di eDiscovery in Exchange Server.
Importante
Se un utente non viene aggiunto al gruppo di ruoli Gestione individuazione o non viene assegnato il ruolo Ricerca cassette postali, l'interfaccia utente in-Place eDiscovery & Hold non viene visualizzata nell'interfaccia di amministrazione di Exchange e i cmdlet di eDiscovery In-Place (*MailboxSearch) non sono disponibili in Exchange Management Shell.
Il controllo delle modifiche al ruolo RBAC, abilitato per impostazione predefinita, consente di mantenere i record adeguati per verificare l'assegnazione del gruppo di ruoli Gestione individuazione. È possibile utilizzare il rapporto del gruppo di ruoli di amministratore per cercare le modifiche apportate ai gruppi di ruoli di amministratore. Per ulteriori informazioni, vedere Search the role group changes or administrator audit logs.
Utilizzo di eDiscovery in locale
Gli utenti che sono stati aggiunti al gruppo di ruoli Gestione individuazione possono eseguire ricerche eDiscovery in locale. È possibile eseguire una ricerca utilizzando l'interfaccia basata sul Web nell'interfaccia di amministrazione di Exchange. Ciò facilita l'utilizzo di eDiscovery in locale da parte di utenti non tecnici, ad esempio responsabili di record, responsabili della conformità o addetti al settore legale e delle risorse umane. È anche possibile usare Exchange Management Shell per eseguire una ricerca. Per altre informazioni, vedere Creare una ricerca In-Place eDiscovery in Exchange Server
La procedura guidata eDiscovery e Archiviazione sul posto nell'interfaccia di amministrazione di Exchange consente di creare una ricerca eDiscovery in locale e anche di utilizzare Conservazione in locale per conservare i risultati di ricerca. Quando si crea una ricerca eDiscovery in locale, viene creato un oggetto di ricerca nella cassetta postale di sistema eDiscovery in locale. This object can be manipulated to start, stop, modify, and remove the search. After you create the search, you can choose to get an estimate of search results, which includes keyword statistics that help you determine query effectiveness. You can also do a live preview of items returned in the search, allowing you to view message content, the number of messages returned from each source mailbox and the total number of messages. You can use this information to further fine-tune your query if required.
Una volta soddisfatti dei risultati di ricerca, è possibile copiarli in una cassetta postale di individuazione. È anche possibile utilizzare l'interfaccia di amministrazione di Exchange o Outlook per esportare una cassetta postale di individuazione o parte del relativo contenuto in un file PST.
Quando si crea una ricerca eDiscovery in locale, è necessario specificare i seguenti parametri:
Nome : il nome della ricerca viene usato per identificare la ricerca. Quando si copiano i risultati della ricerca in una cassetta postale di individuazione, viene creata una cartella nella cassetta postale di individuazione utilizzando il nome di ricerca e il timestamp per identificare in modo univoco i risultati della ricerca in una cassetta postale di individuazione.
Origini: è possibile scegliere di eseguire ricerche in tutte le cassette postali nell'organizzazione Exchange Server o specificare le cassette postali da cercare. È anche possibile scegliere di eseguire ricerche in tutte le cartelle pubbliche. Se si desidera anche utilizzare la stessa ricerca per conservare gli elementi, è necessario specificare le cassette postali. È anche possibile inserire tutte le cartelle pubbliche in In-Place Blocco. È possibile specificare un gruppo di distribuzione per includere gli utenti della cassetta postale che fanno parte di quel gruppo. L'appartenenza al gruppo viene calcolata una volta quando si crea la ricerca e le modifiche successive all'appartenenza al gruppo non vengono automaticamente riflesse nella ricerca. Le cassette postali principali e di archiviazione di un utente non sono incluse nella ricerca.
Query di ricerca : è possibile includere tutto il contenuto delle cassette postali specificate oppure usare una query di ricerca per restituire elementi più rilevanti per il caso o l'indagine. In una query di ricerca, è possibile specificare i seguenti parametri:
Parole chiave : è possibile specificare parole chiave e frasi per cercare il contenuto del messaggio. È anche possibile utilizzare gli operatori logici AND, OR e NOT. Inoltre, Exchange Server supporta anche l'operatore NEAR, che consente di cercare una parola o una frase vicina a un'altra parola o frase.
Per cercare la corrispondenza esatta di una frase, è necessario racchiudere la frase fra virgolette. Ad esempio, la ricerca della frase "piano e competizione" restituirà i messaggi contenenti la corrispondenza esatta della frase, mentre se si specifica piano E competizione verranno restituiti i messaggi contenenti le parole piano e competizione presenti in qualsiasi punto del messaggio.
Exchange Server supporta anche la sintassi KQL (Keyword Query Language) per le ricerche In-Place eDiscovery. Per altre informazioni su KQL, vedere Informazioni di riferimento sulla sintassi del linguaggio di query per parole chiave.
Nota
La funzionalità eDiscovery in locale non supporta le espressioni regolari.
È necessario scrivere in lettere maiuscole gli operatori logici quali AND e OR affinché vengano trattati come operatori invece che come parole chiave. Si consiglia di utilizzare le parentesi esplicite per tutte le query che combinano più operatori logici per evitare errori o interpretazioni non corrette. Ad esempio, per cercare i messaggi che contengono "ParolaA" o "ParolaB" AND "ParolaC" o "ParolaD", è necessario specificare (ParolaA OR ParolaB) AND (ParolaC OR ParolaD).
Date di inizio e fine : per impostazione predefinita, In-Place eDiscovery non limita le ricerche in base a un intervallo di date. Per cercare i messaggi inviati entro un intervallo di date specifico, è possibile restringere la ricerca specificando le date di inizio e di fine. Se non si specifica una data di fine, la ricerca restituirà i risultati più recenti ogni volta che viene riavviata.
Mittenti e destinatari : per limitare la ricerca, è possibile specificare i mittenti o i destinatari dei messaggi. È possibile utilizzare indirizzi di posta elettronica, nomi visualizzati o il nome di un dominio per cercare elementi inviati da o verso qualsiasi utente del dominio. Ad esempio, per trovare un messaggio di posta elettronica inviato da o a un utente qualsiasi alla Contoso, Ltd, specificare @contoso.com nel campo Da o A/cc nell'interfaccia di amministrazione di Exchange. È anche possibile specificare @contoso.com nei parametri Mittenti o Destinatari in Exchange Management Shell
Tipi di messaggio : per impostazione predefinita, viene eseguita la ricerca di tutti i tipi di messaggio. È possibile restringere la ricerca selezionando tipi di messaggio specifici, quali posta elettronica, contatti, documenti, journal, riunioni, note e contenuto Lync.
La schermata seguente mostra un esempio di query di ricerca in EAC.
Quando si utilizza eDiscovery in locale, tenere in considerazione anche quanto segue:
Allegati : In-Place eDiscovery cerca gli allegati supportati da Ricerca di Exchange. Per ulteriori informazioni, vedere Default Filters for Exchange Search. Nelle distribuzioni locali, è possibile aggiungere il supporto per ulteriori tipi di file installando i filtri di ricerca (conosciuti come iFilter) per il tipo di file sui server Cassette postali.
Elementi non ricercabili : gli elementi non ricercabili sono elementi della cassetta postale che non possono essere indicizzati da Ricerca di Exchange. Le cause che non possono essere indicizzate includono la mancanza di un filtro di ricerca installato per un file allegato, un errore di filtro e la presenza di messaggi crittografati. Affinché la ricerca eDiscovery abbia esito positivo, è possibile che l'organizzazione debba inserire alcuni elementi per la revisione. Quando si copiano i risultati della ricerca in una cassetta postale di individuazione o si esportano in un file PST, è possibile includere elementi non ricercabili. Per ulteriori informazioni, vedere Unsearchable Items in Exchange eDiscovery.
Elementi crittografati : poiché i messaggi crittografati tramite S/MIME non sono indicizzati da Ricerca di Exchange, In-Place eDiscovery non esegue ricerche in questi messaggi. Se si decide di includere nei risultati della ricerca gli elementi non ricercabili, i messaggi crittografati con S/MIME vengono copiati nella cassetta postale di individuazione.
Deduplicazione : quando si copiano i risultati della ricerca in una cassetta postale di individuazione o si esportano i risultati della ricerca in un file PST, è possibile abilitare la deduplicazione dei risultati della ricerca per copiare una sola istanza di un messaggio univoco nella cassetta postale di individuazione. La deduplicazione offre i seguenti vantaggi:
Requisiti di archiviazione inferiori e dimensioni minori della cassetta postale di individuazione a causa del numero ridotto di messaggi copiati.
Riduzione del carico di lavoro per i responsabili delle individuazioni, i consulenti legali o altre persone coinvolte nell'analisi dei risultati della ricerca.
Riduzione dei costi di individuazione, in base al numero di elementi duplicati esclusi dai risultati della ricerca.
Elementi protetti da IRM : i messaggi protetti tramite Information Rights Management (IRM) vengono indicizzati da Ricerca di Exchange e quindi inclusi nei risultati della ricerca se corrispondono ai parametri di query. I messaggi devono essere protetti utilizzando un cluster AD RMS (Rights Management Services) di Active Directory nella stessa foresta di Active Directory del server Cassette postali. Per altre informazioni, vedere Information Rights Management in Exchange Server.
Importante:
Quando Ricerca di Exchange non riesce a eseguire l'indicizzazione di un messaggio protetto con IRM, a causa di un errore di decrittografia o perché IRM è disabilitato, il messaggio protetto non viene aggiunto all'elenco degli elementi con errore. Se si decide di includere nei risultati della ricerca gli elementi non ricercabili, i risultati potrebbero non includere i messaggi protetti con IRM che non è stato possibile decrittografare.
Per includere i messaggi protetti con IRM in una ricerca, è possibile creare un'altra ricerca per includere i messaggi con allegati .rpmsg. È possibile usare la stringa
attachment:rpmsgdi query per cercare tutti i messaggi protetti da IRM nelle cassette postali specificate, indipendentemente dal fatto che l'indicizzazione sia riuscita o meno. Ciò potrebbe causare la copia dei risultati della ricerca in scenari in cui una ricerca restituisce i messaggi che corrispondono ai criteri di ricerca, compresi i messaggi protetti con IRM non indicizzati correttamente. La ricerca non restituisce i messaggi protetti con IRM che non è stato possibile indicizzare.Durante l'esecuzione di una seconda ricerca di tutti i messaggi protetti con IRM, vengono inclusi anche i messaggi protetti con IRM correttamente indicizzati e restituiti dalla prima ricerca. Inoltre, è possibile che i messaggi protetti con IRM restituiti dalla seconda ricerca non corrispondano ai criteri di ricerca, quali parole chiave utilizzate per la prima ricerca.
Stima, anteprima e copia dei risultati della ricerca
Una volta completata una ricerca eDiscovery sul posto, è possibile visualizzare le stime dei risultati della ricerca nel riquadro Dettagli dell'interfaccia di amministrazione di Exchange. La stima comprende il numero di elementi restituiti e le dimensioni totali di tali elementi. È anche possibile visualizzare le statistiche sulle parole chiave che restituiscono i dettagli sul numero di elementi restituiti per ciascuna parola chiave utilizzata nella query di ricerca. Queste informazioni sono utili nel determinare l'efficacia delle query. Se la query è troppo ampia, potrebbe restituire una serie di dati molto più grandi che potrebbero richiedere più risorse per l'esame e aumentare i costi per eDiscovery. Se la query è troppo ristretta, potrebbe ridurre in modo significativo il numero di record restituiti o non restituirne affatto. È possibile utilizzare le stime e le statistiche sulle parole chiave per ottimizzare la query affinché soddisfi i requisiti.
Nota
In Exchange Server, le statistiche sulle parole chiave includono anche statistiche per le proprietà non di parole chiave, ad esempio date, tipi di messaggio e mittenti/destinatari specificati in una query di ricerca.
È anche possibile visualizzare un'anteprima dei risultati della ricerca per garantire ulteriormente che i messaggi restituiti contengano il contenuto che si sta cercando e ottimizzare la query, se necessario. Anteprima della ricerca eDiscovery visualizza il numero di messaggi restituiti da ciascuna cassetta postale ricercata e il numero totale di messaggi restituiti dalla ricerca. L'anteprima viene generata rapidamente senza che venga richiesto di copiare i messaggi in una cassetta postale di individuazione.
Una volta soddisfatti della quantità e qualità dei risultati della ricerca, è possibile copiarli in una cassetta postale di individuazione. Quando si copiano i messaggi, sono disponibili le seguenti opzioni:
Includi elementi non ricercabili : per informazioni dettagliate sui tipi di elementi considerati non ricercabili, vedere le considerazioni sulla ricerca di eDiscovery nella sezione precedente.
Abilita deduplicazione : la deduplicazione riduce il set di dati includendo solo una singola istanza di un record univoco se vengono trovate più istanze in una o più cassette postali ricercate.
Abilitare la registrazione completa : per impostazione predefinita, durante la copia degli elementi viene abilitata solo la registrazione di base. È possibile selezionare la registrazione completa per includere informazioni su tutti i record restituiti dalla ricerca.
Invia messaggi al termine della copia : una ricerca di eDiscovery In-Place può potenzialmente restituire un numero elevato di record. La copia dei messaggi restituiti a una cassetta postale di individuazione può richiedere parecchio tempo. Utilizzare questa opzione per ottenere una notifica tramite posta elettronica una volta completato il processo di copia. Per semplificare l'accesso tramite Outlook sul web, la notifica include un collegamento alla posizione in una cassetta postale di individuazione in cui vengono copiati i messaggi.
Per ulteriori informazioni, vedere Copiare i risultati della ricerca eDiscovery in una cassetta postale di individuazione.
Esportare i risultati della ricerca in un file PST
Dopo aver copiato i risultati di una ricerca su una cassetta postale di individuazione, è possibile esportarli su file PST.
Dopo aver esportato i risultati di una ricerca in un file PST, l'utente o altri possono aprirli in Outlook per visualizzare o stampare i messaggi restituiti in tali risultati. Per ulteriori informazioni, vedere Esportazione dei risultati della ricerca eDiscovery in un file PST.
Registrazione per le ricerche eDiscovery sul posto
Sono disponibili due tipi di registrazione per le ricerche In-Place eDiscovery.
Registrazione di base : la registrazione di base è abilitata per impostazione predefinita per tutte le ricerche di eDiscovery In-Place. Include informazioni sulla ricerca e sull'utente che l'ha eseguita. Le informazioni acquisite sulla registrazione di base vengono visualizzate nel corpo del messaggio di posta elettronica inviato alla cassetta postale in cui vengono archiviati i risultati della ricerca. Il messaggio si trova nella cartella creata per l'archiviazione dei risultati della ricerca.
Registrazione completa : la registrazione completa include informazioni su tutti i messaggi restituiti dalla ricerca. Tali informazioni sono contenute in un file con valori delimitati da virgole (.csv) allegato al messaggio di posta elettronica contenente le informazioni sulla registrazione di base. Il nome della ricerca viene utilizzato per denominare il file .csv. Queste informazioni potrebbero essere necessarie per la conformità o per il mantenimento dei record. Per abilitare la registrazione completa, è necessario selezionare l'opzione Abilita registrazione completa quando si copiano i risultati della ricerca in una cassetta postale di individuazione nell'interfaccia di amministrazione di Exchange. Se si usa Exchange Management Shell, specificare l'opzione di registrazione completa usando il parametro LogLevel .
Nota
Quando si usa Exchange Management Shell per creare o modificare una ricerca di eDiscovery In-Place, è anche possibile disabilitare la registrazione.
Oltre al log di ricerca incluso durante la copia dei risultati della ricerca in una cassetta postale di individuazione, Exchange registra anche i cmdlet usati dall'interfaccia di amministrazione di Exchange o da Exchange Management Shell per creare, modificare o rimuovere In-Place ricerche eDiscovery. Queste informazioni vengono registrate nelle voci del registro di controllo admin. Per informazioni dettagliate, vedere Registrazione del controllo amministratore in Exchange Server.
Cassette postali di individuazione
Una volta creata una ricerca eDiscovery in locale, è possibile copiare i risultati della ricerca in una cassetta postale di destinazione. L'interfaccia di amministrazione di Exchange consente di selezionare una cassetta postale di individuazione come cassetta postale di destinazione. Una cassetta postale di individuazione è un tipo speciale di cassetta postale che offre le seguenti funzionalità:
Selezione della cassetta postale di destinazione più semplice e sicura : quando si usa EAC per copiare In-Place risultati della ricerca di eDiscovery, solo le cassette postali di individuazione vengono rese disponibili come repository in cui archiviare i risultati della ricerca. In questo modo si elimina la possibilità che un gestore di individuazione selezioni accidentalmente la cassetta postale di un altro utente o una cassetta postale non protetta in cui archiviare i messaggi potenzialmente sensibili.
Quota di archiviazione delle cassette postali di grandi dimensioni : la cassetta postale di destinazione deve essere in grado di archiviare una grande quantità di dati dei messaggi che possono essere restituiti da una ricerca di eDiscovery In-Place. Per impostazione predefinita, le cassette postali di individuazione hanno una quota di archiviazione delle cassette postali di 50 GB. Questo limite di archiviazione può essere aumentato.
Più sicuro per impostazione predefinita : come tutti i tipi di cassetta postale, a una cassetta postale di individuazione è associato un account utente di Active Directory. Tuttavia, questo account è disabilitato per impostazione predefinita. Solo gli utenti autorizzati ad accedere alla cassetta postale di individuazione, potranno utilizzarlo. Ai membri del gruppo di ruoli Gestione individuazione vengono assegnate le autorizzazioni di accesso completo per la cassetta postale di individuazione predefinita. Le autorizzazioni di accesso alla cassetta postale non verranno assegnate a qualsiasi utente di altre cassette postali di individuazione create.
Email recapito disabilitato: gli utenti non possono inviare messaggi di posta elettronica a una cassetta postale di individuazione. Il recapito di messaggi di posta elettronica alle cassette postali di individuazione è proibito utilizzando le restrizioni di recapito. Ciò preserva l'integrità dei risultati di ricerca copiati in una cassetta postale di individuazione. Per impostazione predefinita, le cassette postali di individuazione non vengono visualizzate nell'elenco indirizzi globale dell'organizzazione.
Exchange Server programma di installazione crea una cassetta postale di individuazione con il nome visualizzato Cassetta postale di ricerca di individuazione. È possibile usare Exchange Management Shell per creare cassette postali di individuazione aggiuntive. Per impostazione predefinita, alle altre cassette postali di individuazione create non verranno assegnate le autorizzazioni di accesso alle cassette postali. È possibile assegnare autorizzazioni di accesso completo per consentire a un responsabile dell'individuazione di accedere ai messaggi copiati in una cassetta postale di individuazione. Per informazioni dettagliate, vedere Creare una cassetta postale di individuazione .
eDiscovery in locale utilizza anche una cassetta postale di sistema con il nome visualizzato SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} per conservare i metadati di eDiscovery in locale. Le cassette postali di sistema non sono visibili nell'interfaccia di amministrazione di Exchange o negli elenchi di indirizzi di Exchange. Prima di rimuovere un database delle cassette postali in cui si trova la cassetta postale di sistema In-Place eDiscovery, è necessario spostare la cassetta postale in un altro database delle cassette postali. Se la cassetta postale viene rimossa o danneggiata, i responsabili dell'individuazione non sono in grado di eseguire ricerche eDiscovery fino a quando non viene ricreata la cassetta postale. Per ulteriori informazioni, vedere Re-Create the Discovery System Mailbox.
eDiscovery e Archiviazione sul posto
Come parte delle richieste eDiscovery, all'utente potrebbe essere richiesto di conservare il contenuto della cassetta postale fino al termine di una causa legale. È necessario conservare anche i messaggi eliminati o alterati dall'utente di una cassetta postale o tutti i processi. In Exchange Server questa operazione viene eseguita usando In-Place blocco. Per informazioni dettagliate, vedere Blocco sul posto e blocco per controversia legale in Exchange Server.
È possibile usare la procedura guidata blocco & eDiscovery sul posto per cercare gli elementi e conservarli per tutto il tempo necessario per eDiscovery o per soddisfare altri requisiti aziendali. When using the same search for both In-Place eDiscovery and In-Place Hold, be aware of the following:
Non è possibile usare l'opzione per inserire un blocco in tutte le cassette postali dell'organizzazione. È necessario selezionare le cassette postali o i gruppi di distribuzione. Tuttavia, è possibile mettere in attesa tutte le informazioni pubbliche dell'organizzazione.
Non è possibile rimuovere una ricerca eDiscovery sul posto se la ricerca viene utilizzata anche per Archiviazione sul posto. Prima di tutto, è necessario disabilitare l'opzione Archiviazione sul posto in una ricerca e, poi, rimuovere la ricerca.
Conservazione delle cassette postali per eDiscovery sul posto
Quando un dipendente lascia un'organizzazione, la relativa cassetta postale viene in genere disabilitata o rimossa. Una volta disabilitata una cassetta postale, questa viene disconnessa dall'account utente ma rimane nella cassetta postale per un determinato periodo di tempo, che per impostazione predefinita è di 30 giorni. Durante tale periodo di tempo, le cassette postali disconnesse non vengono elaborate dall'Assistente cartelle gestite e non sono soggette ai criteri di conservazione. Non è possibile eseguire ricerche nel contenuto di una cassetta postale disconnessa. Al termine del periodo di mantenimento configurato per il database delle cassette postali, la cassetta postale eliminata viene rimossa dal database delle cassette postali.
Se l'organizzazione richiede che le impostazioni di conservazione vengano applicate ai messaggi dei dipendenti che non si trovano più nell'organizzazione o se potrebbe essere necessario conservare la cassetta postale di un ex dipendente per una ricerca eDiscovery in corso o futura, non disabilitare o rimuovere la cassetta postale. Per impedire l'accesso alla cassetta postale ed evitare che vi vengano recapitati messaggi, attenersi alla seguente procedura.
Disabilitare l'account utente di Active Directory usando Utenti di Active Directory & Computer o altri strumenti o script di provisioning di account o Active Directory. per impedire l'accesso alla cassetta postale tramite l'account utente associato.
Importante
Gli utenti con l'autorizzazione di accesso completo per la cassetta postale saranno ancora in grado di accedere alla cassetta postale. Per evitare l'accesso ad altri utenti, è necessario rimuovere l'autorizzazione di accesso completo dalla cassetta postale. Per informazioni su come rimuovere le autorizzazioni delle cassette postali di accesso completo in una cassetta postale, vedere Gestire le autorizzazioni per i destinatari.
Impostare su un valore molto basso, ad esempio 1 KB, le dimensioni massime dei messaggi che possono essere inviati o ricevuti dall'utente della cassetta postale. Questo impedisce il recapito di nuovi messaggio in entrata e in uscita dalla cassetta postale. Per ulteriori informazioni, vedere Configurazione dei limiti nelle dimensioni dei messaggi per una cassetta postale.
Configurare restrizioni di recapito per la cassetta postale, affinché nessuno possa inviarvi messaggi. Per ulteriori informazioni, vedere Configurazione di restrizioni di recapito messaggi per una cassetta postale.
Importante
È necessario eseguire questa procedura insieme a qualsiasi altro processo di gestione degli account richiesto dall'organizzazione, ma senza disabilitare o rimuovere la cassetta postale o rimuovere l'account utente associato.
Quando si pianifica l'implementazione della conservazione delle cassette postali per la gestione della conservazione dei messaggi (MRM) o eDiscovery sul posto, è necessario tenere conto dell'avvicendamento dei dipendenti. La conservazione a lungo termine delle cassette postali degli ex-dipendenti richiede spazio di archiviazione aggiuntivo nei server Cassette postali e comporta un aumento delle dimensioni del database di Active Directory, perché è necessario mantenere l'account utente associato per lo stesso periodo di tempo. Potrebbe essere inoltre necessario modificare i processi di gestione e provisioning degli account dell'organizzazione.
Risultati di ricerca diversi
Poiché In-Place eDiscovery esegue ricerche sui dati in tempo reale, è possibile che due ricerche delle stesse origini di contenuto e che usano la stessa query di ricerca possano restituire risultati diversi. È inoltre possibile che i risultati della ricerca stimati siano diversi dai risultati effettivi copiati in una cassetta postale di individuazione. Questo può verificarsi anche quando si esegue nuovamente la stessa ricerca nell'arco di un breve periodo di tempo. Esistono diversi fattori che possono influire sulla coerenza dei risultati della ricerca.
Indicizzazione continua della posta in arrivo, poiché la ricerca di Exchange effettua continuamente una ricerca per indicizzazione e indicizza i database delle cassette postali e la pipeline di trasporto dell'organizzazione.
Eliminazione di messaggi di posta elettronica da parte di utenti o processi automatizzati.
Importazione di grandi quantità di posta elettronica, con lunghi tempi di indicizzazione.
Se si ricevono risultati diversi per la stessa ricerca, si consiglia di adottare i seguenti provvedimenti: archiviare le cassette postali per conservarne il contenuto, eseguire le ricerche nelle ore di minor traffico e concedere il tempo necessario per l'indicizzazione dopo l'importazione di grandi quantità di messaggi di posta.
Ambiti di gestione personalizzata per eDiscovery in locale
È possibile usare un ambito di gestione personalizzato per consentire a utenti o gruppi specifici di usare In-Place eDiscovery per eseguire ricerche in un subset di cassette postali nell'organizzazione Exchange Server. Ad esempio, è possibile consentire a un responsabile dell'individuazione di cercare solo nelle cassette postali di utenti di una specifica sede o reparto. A tale scopo, creare un ambito di gestione personalizzato che usa un filtro destinatario personalizzato per controllare quali cassette postali è possibile cercare. Gli ambiti del filtro destinatario utilizzano filtri per mirare a specifici destinatari in base al tipo o altre proprietà.
Per eDiscovery in locale, l'unica proprietà su una cassetta postale utente che è possibile utilizzare per creare un filtro destinatario per un ambito personalizzato è l'appartenenza a gruppi di distribuzione. Se si usano altre proprietà, ad esempio CustomAttributeN, Department o PostalCode, la ricerca ha esito negativo quando viene eseguita da un membro del gruppo di ruoli a cui è assegnato l'ambito personalizzato. Per ulteriori informazioni, vedi Creazione di un ambito di gestione personalizzato per le ricerche di eDiscovery sul posto.
In-Place eDiscovery e Ricerca di Exchange
eDiscovery in locale utilizza gli indici di contenuto creati da Ricerca di Exchange. Ricerca di Exchange è stata riorganizzato per l'utilizzo di Microsoft Search Foundation, una elaborata piattaforma di ricerca che viene fornita con l'indicizzazione, le prestazioni di query e la funzionalità di ricerca piuttosto migliorati. Poiché Microsoft Search Foundation viene usato anche da altri prodotti Office, tra cui SharePoint Server, offre una maggiore interoperabilità e una sintassi di query simile in questi prodotti.
Con un unico motore di indicizzazione del contenuto, nessuna risorsa aggiuntiva viene utilizzata per eseguire la ricerca per indicizzazione e per indicizzare i database delle cassette postali per eDiscovery in locale quando i reparti IT ricevono richieste da eDiscovery.
Per altre informazioni sui formati di file indicizzati da Ricerca di Exchange, vedere Formati di file indicizzati da Ricerca di Exchange.
eDiscovery in una distribuzione ibrida di Exchange
In una distribuzione ibrida, costituita da un ambiente in cui alcune cassette postali si trovano nei server Cassette postali locale e altre si trovano nell'organizzazione basata su cloud, è possibile eseguire ricerche eDiscovery in locale nelle cassette postali basate su cloud utilizzando l'interfaccia di amministrazione di Exchange nell'organizzazione locale. Se si desidera copiare messaggi in una cassetta postale di individuazione, è necessario selezionare una cassetta postale di individuazione locale. I messaggi delle cassette postali basate su cloud restituiti nei risultati delle ricerche vengono copiati nella cassetta postale di individuazione specificata. Per altre informazioni sulle distribuzioni ibride, vedere Exchange Server Distribuzioni ibride.
Per eseguire correttamente ricerche eDiscovery cross-premise in un'organizzazione ibrida Exchange Server, sarà necessario configurare l'autenticazione OAuth (Open Authorization) tra le organizzazioni di Exchange locale e Exchange Online in modo da poter usare In-Place eDiscovery per eseguire ricerche nelle cassette postali locali e basate sul cloud. L'autenticazione OAuth è un protocollo di autenticazione S2S che consente alle applicazioni di eseguire l'autenticazione reciproca.
L'autenticazione OAuth supporta i seguenti scenari di eDiscovery in un'implementazione ibrida di Exchange:
Cassette postali di ricerca locali che utilizzano il Archiviazione Exchange Online per le cassette postali basate su cloud.
Ricerca locale e cassette postali basate su cloud nella ricerca di eDiscovery stesso.
Per ulteriori informazioni su scenari eDiscovery che richiedono la configurazione dell'autenticazione OAuth in una distribuzione ibrida di Exchange, vedere Using Oauth Authentication to Support eDiscovery in an Exchange Hybrid Deployment. Per istruzioni dettagliate sulla configurazione dell'autenticazione OAuth per supportare eDiscovery, vedere Configure OAuth Authentication Between Exchange and Exchange Online Organizations.
Per istruzioni dettagliate sulla configurazione dell'autenticazione OAuth per supportare eDiscovery, vedere Configure OAuth Authentication Between Exchange and Exchange Online Organizations.
Integrazione con SharePoint Server
Exchange Server offre l'integrazione con SharePoint Server, consentendo a un gestore di individuazione di usare eDiscovery Center in SharePoint Server per eseguire le attività seguenti:
Cercare e conservare il contenuto da un'unica posizione: un responsabile dell'individuazione autorizzato può cercare e conservare il contenuto in SharePoint ed Exchange, incluso il contenuto di Lync, ad esempio conversazioni di messaggistica istantanea e documenti di riunione condivisi archiviati nelle cassette postali di Exchange.
Gestione dei casi: eDiscovery Center usa un approccio di gestione dei casi a eDiscovery, consentendo di creare casi e cercare e mantenere il contenuto tra repository di contenuto diversi per ogni caso.
Esportare i risultati della ricerca : un gestore di individuazione può usare eDiscovery Center per esportare i risultati della ricerca. Il contenuto della cassetta postale incluso nei risultati di ricerca viene esportato in un file PST.
SharePoint Server usa anche Microsoft Search Foundation per l'indicizzazione e l'esecuzione di query sul contenuto. Indipendentemente dal fatto che un responsabile dell'individuazione utilizzi l'interfaccia di amministrazione di Exchange o il Centro eDiscovery per ricercare il contenuto Exchange, viene restituito lo stesso contenuto della cassetta postale.
Prima di poter usare eDiscovery Center in SharePoint Server per eseguire ricerche nelle cassette postali di Exchange, è necessario stabilire un trust tra le due applicazioni. In Exchange e SharePoint questa operazione viene eseguita usando l'autenticazione OAuth. Per informazioni dettagliate, vedere Configurare Exchange per SharePoint eDiscovery Center. Le ricerche eDiscovery eseguite da SharePoint sono autorizzate da Exchange tramite RBAC. Affinché un utente SharePoint possa eseguire una ricerca eDiscovery di cassette postali di Exchange, queste devono godere dell'autorizzazione di Gestione individuazione delegata in Exchange. Per poter visualizzare un'anteprima del contenuto delle cassette postali restituito durante una ricerca eDiscovery eseguita utilizzando un Centro eDiscovery SharePoint, il responsabile dell'individuazione deve disporre di una cassetta postale nella stessa organizzazione di Exchange.
Limiti e criteri di limitazione di eDiscovery sul posto
In Exchange Server le risorse In-Place usi di eDiscovery vengono controllate con criteri di limitazione.
Il criterio di limitazione predefinito contiene i parametri seguenti. È possibile modificare i valori predefiniti per soddisfare i requisiti dell'organizzazione creando un nuovo criterio di limitazione con un ambito dell'organizzazione e denominandolo solo "DiscoveryThrottlingPolicy".
| Parametro | Descrizione | Valore predefinito |
|---|---|---|
| DiscoveryMaxConcurrency | Numero massimo di ricerche In-Place eDiscovery che un utente può eseguire contemporaneamente. | 2 |
| DiscoveryMaxMailboxes | Numero massimo di cassette postali ricercabili con una singola ricerca eDiscovery sul posto. Anche le cassette postali delle cartelle pubbliche vengono conteggiate in base al limite di cassette postali di origine. | 10.0001 |
| DiscoveryMaxStatsSearchMailboxes | Il numero massimo di cassette postali ricercabili in una singola ricerca eDiscovery sul posto che ancora consentono all'utente di consultare le statistiche sulle parole chiave. | 100 Nota: dopo aver eseguito una stima della ricerca di eDiscovery, è possibile visualizzare le statistiche delle parole chiave. Queste statistiche sulle parole chiave consentono di consultare i dettagli sul numero di elementi restituiti per ciascuna parola chiave utilizzata nella query di ricerca. Se la ricerca include oltre 100 cassette postali di origine, viene visualizzato un errore quando si prova a consultare le statistiche sulle parole chiave. |
| DiscoveryMaxKeywords | Numero massimo di parole chiave specificabili in una singola ricerca eDiscovery sul posto. | 500 |
| DiscoveryPreviewSearchResultsPageSize | Numero massimo di elementi visualizzati su una singola pagina di anteprima della ricerca eDiscovery sul posto. | 200 |
| DiscoverySearchTimeoutPeriod | Numero di minuti per cui sarà eseguita la ricerca ricerca eDiscovery sul posto prima che venga raggiunto il timeout. | 10 minuti |
1 Le cassette postali di archiviazione vengono conteggiate rispetto al limite delle cassette postali di origine. Ciò significa che è possibile eseguire ricerche in un massimo di 5.000 cassette postali se la cassetta postale di archiviazione corrispondente è abilitata per tutte le 5.000 cassette postali.
Documentazione di eDiscovery sul posto
La tabella seguente contiene collegamenti ad argomenti Exchange Server che consentono di apprendere e gestire In-Place eDiscovery.
| Argomento | Descrizione |
|---|---|
| Assegnare autorizzazioni di eDiscovery in Exchange Server | Informazioni su come concedere a un utente l'accesso per usare In-Place eDiscovery nell'interfaccia di amministrazione di Exchange (e usando i cmdlet corrispondenti) per eseguire ricerche nelle cassette postali di Exchange. |
| Creare una ricerca di eDiscovery In-Place in Exchange Server | Informazioni su come creare una ricerca eDiscovery sul posto e come stimare e visualizzare in anteprima i risultati della ricerca eDiscovery. |
| Copiare i risultati della ricerca eDiscovery in una cassetta postale di individuazione | Informazioni su come copiare i risultati di una ricerca eDiscovery in una cassetta postale di individuazione. |
| Esportazione dei risultati della ricerca eDiscovery in un file PST | Informazioni su come esportare i risultati di una ricerca eDiscovery in un file PST. |
| Proprietà dei messaggi e operatori di ricerca per In-Place eDiscovery in Exchange Server | Scopi come è possibile cercare le proprietà del messaggio di posta elettronica utilizzando eDiscovery sul posto. In questo argomento vengono offerti esempi di sintassi per ogni proprietà, informazioni sugli operatori di ricerca come AND e OR, quindi informazioni su altre tecniche di query di ricerca come l'utilizzo del doppio punto interrogativo (" ") e i caratteri jolly. |
| Cercare e inserire un blocco nelle cartelle pubbliche usando In-Place eDiscovery | Informazioni su come usare In-Place eDiscovery per cercare e inserire un blocco in tutte le cartelle pubbliche dell'organizzazione. |