Usare Ricerca conformità per eseguire ricerche in tutte le cassette postali in Exchange Server

SI APPLICA A:2016 2019 Subscription Edition

La funzionalità Ricerca conformità in Exchange Server consente di eseguire ricerche in tutte le cassette postali dell'organizzazione. A differenza di eDiscovery sul posto, dove è possibile effettuare ricerche in un massimo di 10.000 cassette postali, non esistono limiti per il numero di cassette postali di destinazione in una singola ricerca. Per gli scenari che richiedono di eseguire ricerche a livello dell'intera organizzazione, è possibile utilizzare il cmdlet New-ComplianceSearch per effettuare ricerche in tutte le cassette postali. È quindi possibile utilizzare le funzionalità per i flussi di lavoro di eDiscovery sul posto per eseguire altre attività relative a eDiscovery, come la conservazione delle cassette postali e l'esportazione dei risultati di ricerca. Ad esempio, si supponga di dover effettuare una ricerca in tutte le cassette postali per identificare responsabili specifici di un caso legale. È possibile utilizzare il cmdlet New-ComplianceSearch per effettuare una ricerca in tutte le cassette postali dell'organizzazione per identificare i responsabili del caso in questione. È quindi possibile usare l'elenco delle cassette postali dei responsabili come cassette postali di origine per una ricerca eDiscovery sul posto. eDiscovery sul posto consente, inoltre, di abilitare una conservazione per tali cassette postali di origine, copiare i risultati della ricerca in una cassetta postale di individuazione ed esportare i risultati della ricerca.

In questo argomento è incluso uno script che è possibile eseguire per creare una ricerca eDiscovery sul posto mediante l'elenco delle cassette postali di origine e cercare una query da una ricerca di conformità creata eseguendo il cmdlet New-ComplianceSearch.

Passaggio 1: eseguire il cmdlet New-ComplianceSearch per effettuare una ricerca in tutte le cassette postali

Il primo passaggio consiste nell'utilizzare Exchange Management Shell per creare una ricerca di conformità che esegue la ricerca in tutte le cassette postali dell'organizzazione. Non esiste alcun limite al numero di cassette postali per una singola ricerca di conformità. Specificare una query con parole chiave appropriate (o una query per tipi di informazioni riservate) in modo che la ricerca restituisca solo le cassette postali di origine rilevanti per l'analisi. Se necessario, è possibile perfezionare la query di ricerca per circoscrivere l'ambito dei risultati di ricerca e il numero di cassette postali di origine restituite.

Nota

Se la ricerca di conformità di origine non restituisce risultati, non viene creata una ricerca eDiscovery sul posto quando si esegue lo script indicato al passaggio 3. Potrebbe essere necessario rivedere la query di ricerca ed eseguire di nuovo la ricerca di conformità per ottenere dei risultati.

Di seguito è riportato un esempio di utilizzo del cmdlet New-ComplianceSearch per effettuare una ricerca in tutte le cassette postali dell'organizzazione. La query di ricerca restituisce tutti i messaggi inviati tra il 1° ottobre 2015 e il 31 ottobre 2015 e contenenti la frase "relazione finanziaria" nella riga dell'oggetto. Il primo comando crea la ricerca e il secondo la esegue.

New-ComplianceSearch -Name "Search All-Financial Report" -ExchangeLocation all -ContentMatchQuery 'sent>=01/01/2015 AND sent<=06/30/2015 AND subject:"financial report"'

Start-ComplianceSearch -Identity "Search All-Financial Report"

Per ulteriori informazioni, vedere New-ComplianceSearch.

Importante

Quando si crea una ricerca di conformità usando il cmdlet New-ComplianceSearch , viene creata una ricerca shadow In-Place eDiscovery (ma non avviata) e visualizzata nella pagina Blocco & eDiscovery sul posto nell'interfaccia di amministrazione di Exchange. It's also returned by using the Get-MailboxSearch cmdlet. Questa ricerca nella cassetta postale è denominata ComplianceSearchName -shadow. We recommend that you delete the shadow In-Place eDiscovery search, and use the script in Step 3 to create the In-Place eDiscovery search. The functionality of creating a shadow search will be removed in a cumulative update for Exchange 2016.

Passaggio 2 (facoltativo): verificare il numero di cassette postali di origine nella ricerca di conformità

Una ricerca di conformità restituisce un massimo di 500 cassette postali di origine contenenti i risultati della ricerca. Se sono presenti più di 500 cassette postali con contenuti corrispondenti alla query di ricerca, solo le prime 500 cassette postali con la maggior parte dei risultati della ricerca vengono incluse nella ricerca di conformità che è stata creata nel passaggio precedente. Pertanto, se più di 500 cassette postali contengono i risultati della ricerca, alcune di queste cassette postali non verranno incluse nell'elenco delle cassette postali di origine copiate nella nuova ricerca eDiscovery sul posto creata nel passaggio 3.

Per creare una ricerca di conformità con massimo 500 cassette postali di origine, attenersi a questa procedura per eseguire uno script che visualizza il numero di cassette postali di origine (che contengono i risultati della ricerca) restituito dalla ricerca di conformità creata nel passaggio 1.

1. Salvare il testo seguente in un file di script di Windows PowerShell con il suffisso del nome .ps1. Ad esempio, salvarlo in un file denominato SourceMailboxes.ps1.

   [CmdletBinding()]
   Param(
        [Parameter(Mandatory=$True,Position=1)]
        [string]$SearchName
   )
   $search = Get-ComplianceSearch $SearchName
   if ($search.Status -ne "Completed")
   {
                   "Please wait until the search finishes.";
                   break;
   }
   $results = $search.SuccessResults;
   if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
   {
                   "The compliance search " + $SearchName + " didn't return any useful results.";
                   break;
   }
   $mailboxes = @();
   $lines = $results -split '[\r\n]+';
   foreach ($line in $lines)
   {
       if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
       {
           $mailboxes += $matches[1];
       }
   }
   "Number of mailboxes that have search hits: " + $mailboxes.Count
   

2. In Exchange Management Shell, accedere alla cartella in cui è situato lo script creato nel passaggio precedente, quindi eseguire lo script; ad esempio:

   .\SourceMailboxes.ps1
   

3. Quando viene richiesto dallo script, digitare il nome della ricerca di conformità creata nel passaggio 1.

   Lo script consente di visualizzare il numero di cassette postali di origine che contengono i risultati della ricerca.

Se sono presenti più di 500 cassette postali di origine, provare a creare due o più ricerche di conformità. Ad esempio, effettuare una ricerca di conformità per una metà delle cassette postali dell'organizzazione ed effettuare un'altra ricerca di conformità per l'altra metà. È inoltre possibile modificare i criteri di ricerca per ridurre il numero di cassette postali che contengono i risultati della ricerca. Ad esempio, è possibile specificare un intervallo di date o perfezionare la query con parole chiave.

Passaggio 3: eseguire lo script per creare una ricerca eDiscovery sul posto dalla ricerca di conformità

Eseguire uno script che converte una ricerca di conformità esistente in una ricerca eDiscovery sul posto. In particolare, lo script:

• Richiede il nome della ricerca di conformità da convertire.

• Verifica che la ricerca di conformità abbia completato l'esecuzione. Se la ricerca di conformità non restituisce risultati, non viene creata una ricerca eDiscovery sul posto.

• Salva un elenco di cassette postali di origine dalla ricerca di conformità che contengono i risultati della ricerca per una variabile.

• Crea una nuova ricerca eDiscovery sul posto, con le proprietà riportate di seguito. La nuova ricerca non è stata avviata. È possibile avviarla nel passaggio 4.

  • Nome: il nome della nuova ricerca usa questo formato: <Nome della ricerca> di conformità_MBSearch1. Se si esegue di nuovo lo script e si usa la stessa ricerca di conformità di origine, la ricerca verrà denominata <Nome della ricerca> di conformità_MBSearch2.

  • Cassette postali di origine: tutte le cassette postali della ricerca di conformità che contengono i risultati della ricerca.

  • Query di ricerca: la nuova ricerca usa la query di ricerca dalla ricerca di conformità. Se la ricerca di conformità include tutti i contenuti (la query di ricerca è vuota), la nuova ricerca potrà usufruire di una query di ricerca vuota e includerà tutti i contenuti trovati nelle cassette postali di origine.

  • Ricerca solo stima: la nuova ricerca è contrassegnata come ricerca solo stima. I risultati della ricerca non verranno copiati in una cassetta postale di individuazione dopo l'avvio.

1. Salvare il testo seguente in un file di script di Windows PowerShell con il suffisso del nome ps1. Ad esempio, salvarlo in un file denominato MBSearchFromComplianceSearch.ps1.

   [CmdletBinding()]
   Param(
       [Parameter(Mandatory=$True,Position=1)]
       [string]$SearchName,
       [switch]$original,
       [switch]$restoreOriginal
   )
   $search = Get-ComplianceSearch $SearchName
   if ($search.Status -ne "Completed")
   {
      "Please wait until the search finishes";
      break;
   }
   $results = $search.SuccessResults;
   if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
   {
      "The compliance search " + $SearchName + " didn't return any useful results";
      "A mailbox search object wasn't created";
      break;
   }
   $mailboxes = @();
   $lines = $results -split '[\r\n]+';
   foreach ($line in $lines)
   {
       if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
       {
           $mailboxes += $matches[1];
       }
   }
   $msPrefix = $SearchName + "_MBSearch";
   $I = 1;
   $mbSearches = Get-MailboxSearch;
   while ($true)
   {
       $found = $false;
       $mbsName = "$msPrefix$I";
       foreach ($mbs in $mbSearches)
       {
           if ($mbs.Name -eq $mbsName)
           {
               $found = $true;
               break;
           }
       }
       if (!$found)
       {
           break;
       }
       $I++;
   }
   $query = $search.KeywordQuery;
   if ([string]::IsNullOrWhiteSpace($query))
   {
       $query = $search.ContentMatchQuery;
   }
   if ([string]::IsNullOrWhiteSpace($query))
   {
      New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -EstimateOnly;
   }
   else
   {
      New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -SearchQuery $query -EstimateOnly;
   }
   

2. In Exchange Management Shell, accedere alla cartella in cui si trova lo script creato al passaggio precedente ed eseguire lo script, ad esempio:

   .\MBSearchFromComplianceSearch.ps1
   

3. Quando richiesto dallo script, digitare il nome della ricerca di conformità che si desidera convertire in una ricerca eDiscovery sul posto (ad esempio, la ricerca creata nel passaggio 1), quindi premere INVIO.

   Se lo script ha esito positivo, viene creata una nuova ricerca eDiscovery sul posto con lo stato NotStarted. Eseguire il comando Get-MailboxSearch <Name of compliance search>_MBSearch1 | FL per visualizzare le proprietà della nuova ricerca.

Passaggio 4: avviare la ricerca eDiscovery sul posto

Lo script eseguito nel passaggio 3 crea una nuova ricerca eDiscovery sul posto, ma non la avvia. Il passaggio successivo consiste nell'avviare la ricerca, affinché sia possibile ottenere una stima dei risultati della ricerca.

1. Nell'interfaccia di amministrazione di Exchange passare a Gestione> conformitàeDiscovery sul posto & blocco.

2. Nella visualizzazione elenco, selezionare la ricerca eDiscovery sul posto creata nel passaggio 3.

3. Fare clic su Cerca (). >Stimare i risultati della ricerca per avviare la ricerca e restituire una stima delle dimensioni totali e del numero di elementi restituiti dalla ricerca.

   Le stime vengono visualizzate nel riquadro dei dettagli. Fare clic su Aggiorna () per aggiornare le informazioni visualizzate nel riquadro dei dettagli.

4. Per visualizzare in anteprima i risultati dopo il completamento della ricerca, fare clic su Anteprima risultati della ricerca nel riquadro dei dettagli.

Consiglio

In alternativa, è possibile usare Exchange Management Shell per avviare la ricerca di eDiscovery In-Place; ad esempio Start-MailboxSearch -Identity <Name of compliance search>_MBSearch1.

Passaggi successivi alla creazione e all'esecuzione della ricerca eDiscovery sul posto

Dopo aver avviato la ricerca eDiscovery sul posto creata dallo script nel passaggio 3, è possibile utilizzare il normale flusso di lavoro della ricerca eDiscovery sul posto per eseguire varie operazioni relative alla ricerca eDiscovery sui risultati della ricerca.

Creare un blocco sul posto

1. Nell'interfaccia di amministrazione di Exchange passare a Gestione> conformitàeDiscovery sul posto & blocco.

2. Nella visualizzazione elenco selezionare la ricerca In-Place eDiscovery creata nel passaggio 3 e quindi fare clic su Modifica ().

3. Nella pagina Blocco sul posto, selezionare la casella di controllo Blocca il contenuto delle cassette postali selezionate che corrisponde alla query di ricerca e scegliere una delle seguenti opzioni:

   • Blocco a tempo indeterminato: scegliere questa opzione per inserire gli elementi restituiti dalla ricerca in un blocco a tempo indeterminato. Gli elementi conservati verranno mantenuti fino a quando la cassetta postale non sarà stata rimossa dalla ricerca o non sarà stata eliminata la ricerca.

   • Specificare il numero di giorni in cui tenere gli elementi relativi alla data di ricezione: scegliere questa opzione per contenere gli elementi per un periodo specifico. La durata viene calcolata a partire dalla data di ricezione o creazione dell'elemento della cassetta postale.

4. Fare clic su Salva per creare il blocco sul posto e riavviare la ricerca.

Copiare i risultati della ricerca

1. Nell'interfaccia di amministrazione di Exchange passare a Gestione> conformitàeDiscovery sul posto & blocco.

2. Nella visualizzazione elenco, selezionare la ricerca eDiscovery sul posto creata nel passaggio 3.

3. Fare clic su Cerca () e quindi su Copia risultati ricerca dall'elenco a discesa.

4. In Copia risultati della ricerca, scegliere una delle seguenti opzioni:

   • Includi elementi non ricercabili: selezionare questa casella di controllo per includere gli elementi della cassetta postale che non è stato possibile cercare, ad esempio messaggi con allegati di tipi di file che non possono essere indicizzati da Ricerca di Exchange.

   • Abilita deduplicazione: selezionare questa casella di controllo per escludere i messaggi duplicati. Nella cassetta postale di individuazione verrà copiata una sola istanza del messaggio.

   • Abilita registrazione completa: selezionare questa casella di controllo per includere un log completo nei risultati della ricerca.

   • Invia messaggio di posta elettronica al termine della copia: selezionare questa casella di controllo per ricevere una notifica tramite posta elettronica al termine della ricerca.

   • Copiare i risultati in questa cassetta postale di individuazione: fare clic su Sfoglia per selezionare la cassetta postale di individuazione in cui si desidera copiare i risultati della ricerca.

5. Fare clic su Copia per avviare il processo per copiare i risultati della ricerca nella cassetta postale di individuazione specificata.

6. Fare clic su Aggiorna () per aggiornare le informazioni sullo stato di copia visualizzato nel riquadro dei dettagli.

7. Al termine della copia, fare clic su Apri per aprire la cassetta postale di individuazione e visualizzare i risultati della ricerca.

Esportare i risultati della ricerca

1. Nell'interfaccia di amministrazione di Exchange passare a Gestione> conformitàeDiscovery sul posto & blocco.

2. Nella visualizzazione elenco, selezionare la ricerca eDiscovery sul posto creata nel passaggio 3, quindi fare clic su Esporta in un file PST.

3. Nella visualizzazione elenco selezionare la ricerca eDiscovery locale di cui si desidera esportare i risultati, quindi fare clic su Esporta in un file PST.

4. Nella finestra Strumento eDiscovery per esportazione PST effettuare le seguenti operazioni:

   • Fare clic su Sfoglia per specificare la posizione in cui si desidera scaricare il file PST.

   • Selezionare la casella di controllo Abilita deduplicazione per escludere i messaggi duplicati. Il file PST conterrà una sola istanza di un messaggio.

   • Selezionare la casella di controllo Includi elementi senza funzioni di ricerca per includere elementi non ricercabili, ad esempio messaggi con allegati di tipi di file non indicizzabili da parte di Ricerca di Exchange. Gli elementi non ricercabili vengono esportati in un file PST separato.

5. Fare clic su Start per esportare i risultati della ricerca in un file PST.

   Viene visualizzata una finestra contenente informazioni relative allo stato del processo di esportazione.