Как определить тип удержания, примененного для почтового ящика Exchange Online
Совет
Обнаружение электронных данных (предварительная версия) теперь доступно на новом портале Microsoft Purview. Дополнительные сведения об использовании нового интерфейса обнаружения электронных данных см. в статье Сведения об обнаружении электронных данных (предварительная версия).
В этой статье объясняется, как определить удержания, размещенные в почтовых ящиках Exchange Online в Microsoft Purview и Microsoft 365.
Microsoft Purview предлагает несколько способов, с помощью которых ваша организация может предотвратить окончательное удаление содержимого почтового ящика. Это позволяет вашей организации хранить содержимое в соответствии с нормативными требованиями или во время юридических и других видов расследований. Ниже приведен список функций хранения (также называемых удержаниями) в Microsoft Purview и Microsoft 365:
Удержание для судебного разбирательства: Удержания, применяемые к почтовым ящикам пользователей в Exchange Online.
Удержание обнаружения электронных данных: Удержание, связанное с делом microsoft Purview eDiscovery (standard) на портале соответствия требованиям Microsoft Purview. Удержания обнаружения электронных данных можно применять к почтовым ящикам пользователей и к соответствующему почтовому ящику для групп Microsoft 365 и Microsoft Teams.
Удержание на месте. Удержания, применяемые к почтовым ящикам пользователей с помощью средства In-Place обнаружения электронных данных & удержания в Центре администрирования Exchange в Exchange Online.
Примечание.
In-Place удержания сняты с учета, и вы больше не можете создавать In-Place удержания или применять их к почтовым ящикам. Однако In-Place удержания по-прежнему могут применяться к почтовым ящикам в вашей организации, поэтому они включены в эту статью. Дополнительные сведения см. в статье Прекращение использования устаревших средств обнаружения электронных данных.
Политики хранения Microsoft Purview: Можно настроить для хранения (или хранения и последующего удаления) содержимого в почтовых ящиках пользователей в Exchange Online и в соответствующем почтовом ящике для групп Microsoft 365 и Microsoft Teams. Вы также можете создать политику хранения для хранения бесед Skype для бизнеса, которые хранятся в почтовых ящиках пользователей.
Существует два типа политик хранения Microsoft Purview, которые можно назначить почтовым ящикам.
- Политики хранения определенных расположений: Это политики, которые назначаются расположениям содержимого определенных пользователей. Командлет Get-Mailbox в Exchange Online PowerShell используется для получения сведений о политиках хранения, назначенных определенным почтовым ящикам. Дополнительные сведения об этом типе политики хранения см. в разделе Политика с определенными включениями или исключениями из документации по политике хранения.
- Политики хранения на уровне организации: Эти политики назначаются всем расположениям содержимого в организации. Используйте командлет Get-OrganizationConfig в Exchange Online PowerShell для получения сведений о политиках хранения на уровне организации. Дополнительные сведения об этом типе политики хранения см. в разделе Политика A, которая применяется ко всем расположениям документации по политике хранения.
Метки хранения Microsoft Purview. Если пользователь применяет метку хранения Microsoft Purview (настроенную для хранения содержимого или хранения и последующего удаления содержимого) к любой папке или элементу в почтовом ящике, удержание помещается в почтовый ящик, как если бы почтовый ящик был помещен в удержание для судебного разбирательства или назначен политике хранения Microsoft Purview. Дополнительные сведения см. в разделе Определение почтовых ящиков на удержании, так как метка хранения применена к папке или элементу этой статьи.
Чтобы управлять удержанными почтовыми ящиками, может потребоваться определить тип удержания, помещенного в почтовый ящик, чтобы можно было выполнять такие задачи, как изменение длительности хранения, временное или окончательное удаление удержания или исключение почтового ящика из политики хранения Microsoft Purview. В таких случаях первым шагом является определение типа удержания почтового ящика. А так как в одном почтовом ящике можно поместить несколько удержаний (и различные типы удержаний), необходимо определить все удержания, помещенные в почтовый ящик, если вы хотите удалить или изменить удержание.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Шаг 1. Получение GUID для удержаний, помещенных в почтовый ящик
Вы можете выполнить следующие два командлета в Exchange Online PowerShell, чтобы получить GUID удержаний, размещенных в почтовом ящике. Получив GUID, вы используете его для определения конкретного удержания на шаге 2. Удержание для судебного разбирательства не идентифицируется с помощью GUID. Удержания для судебного разбирательства либо включены, либо отключены для почтового ящика.
- Get-Mailbox: Используйте этот командлет, чтобы определить, включено ли удержание для судебного разбирательства для почтового ящика, а также получить идентификаторы GUID для удержаний eDiscovery, In-Place удержаний и политик хранения Microsoft Purview, назначенных почтовому ящику. Выходные данные этого командлета также указывают, был ли почтовый ящик явно исключен из политики хранения на уровне организации.
- Get-OrganizationConfig: Используйте этот командлет, чтобы получить идентификаторы GUID для политик хранения на уровне организации.
Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.
Get-Mailbox
Выполните следующую команду, чтобы получить сведения о политиках хранения и Microsoft Purview, применяемых к почтовому ящику.
Get-Mailbox <username> | FL LitigationHoldEnabled,InPlaceHolds
Совет
Если в свойстве InPlaceHolds слишком много значений и не все из них отображаются, можно выполнить Get-Mailbox <username> | Select-Object -ExpandProperty InPlaceHolds
команду, чтобы отобразить каждый GUID в отдельной строке.
В следующей таблице описано, как определить различные типы удержаний на основе значений в свойстве InPlaceHolds при выполнении командлета Get-Mailbox .
Тип удержания | Пример значения | Как определить удержание |
---|---|---|
Хранение для судебного разбирательства | True |
Удержание для судебного разбирательства включено для почтового ящика, если свойству LitigationHoldEnabled присвоено значение True . |
Удержание обнаружения электронных данных | UniH7d895d48-7e23-4a8d-8346-533c3beac15d |
Свойство InPlaceHolds содержит GUID любого удержания, связанного с делом обнаружения электронных данных на портале соответствия требованиям. Вы можете сказать, что это удержание eDiscovery, так как GUID начинается с UniH префикса (который обозначает унифицированное удержание). |
Хранение на месте | c0ba3ce811b6432a8751430937152491 или cld9c0a984ca74b457fbe4504bf7d3e00de |
Свойство InPlaceHolds содержит GUID In-Place Hold, размещенного в почтовом ящике. Вы можете сказать, что это In-Place удержание, так как GUID либо не начинается с префикса, либо начинается с cld префикса. |
Политика хранения Microsoft Purview, применяемая к почтовому ящику | mbxcdbbb86ce60342489bff371876e7f224:1 или skp127d7cf1076947929bf136b7a2a8c36f:3 |
Свойство InPlaceHolds содержит идентификаторы GUID любой конкретной политики хранения расположения, применяемой к почтовому ящику. Политики хранения можно определить, так как GUID начинается с mbx префикса или skp . Префикс skp указывает, что политика хранения применяется к беседам Skype для бизнеса в почтовом ящике пользователя. |
Исключен из политики хранения Microsoft Purview для всей организации | -mbxe9b52bf7ab3b46a286308ecb29624696 |
Если почтовый ящик исключен из политики хранения Microsoft Purview для всей организации, идентификатор GUID политики хранения, из которых он исключен, отображается в свойстве InPlaceHolds и определяется -mbx префиксом. |
Get-OrganizationConfig
Если свойство InPlaceHolds пусто при выполнении командлета Get-Mailbox , к почтовому ящику может быть применена одна или несколько политик хранения Microsoft Purview для всей организации. Выполните следующую команду в Exchange Online PowerShell , чтобы получить список идентификаторов GUID для политик хранения Microsoft Purview для всей организации.
Get-OrganizationConfig | FL InPlaceHolds
Совет
Если в свойстве InPlaceHolds слишком много значений и не все из них отображаются, можно выполнить Get-OrganizationConfig | Select-Object -ExpandProperty InPlaceHolds
команду, чтобы отобразить каждый GUID в отдельной строке.
В следующей таблице описаны различные типы удержаний на уровне организации и способы определения каждого типа на основе идентификаторов GUID, содержащихся в свойстве InPlaceHolds, при выполнении командлета Get-OrganizationConfig .
Тип удержания | Пример значения | Описание |
---|---|---|
Политики хранения Microsoft Purview, применяемые к почтовым ящикам Exchange, общедоступным папкам Exchange и чатам Teams | mbx7cfb30345d454ac0a989ab3041051209:2 |
Политики хранения на уровне организации, применяемые к почтовым ящикам Exchange, общедоступным папкам Exchange и чатам 1xN в Microsoft Teams, определяются идентификаторами GUID, которые начинаются с mbx префикса. Примечание. Чаты 1xN хранятся в почтовом ящике отдельных участников чата. |
Политика хранения Microsoft Purview, применяемая к сообщениям каналов Microsoft 365 и групп Microsoft 365 | grp1a0a132ee8944501a4bb6a452ec31171:3 |
Политики хранения на уровне организации, применяемые к группам Microsoft 365 и сообщениям каналов в Microsoft Teams, определяются идентификаторами GUID, которые начинаются с grp префикса. Обратите внимание, что сообщения канала хранятся в почтовом ящике группы, связанном с Командой Майкрософт. |
Дополнительные сведения о политиках хранения, применяемых к Microsoft Teams, см. в статье Сведения о политиках хранения для Microsoft Teams.
Основные сведения о формате значения InPlaceHolds для политик хранения
В дополнение к префиксу (mbx, skp или grp), который определяет элемент в свойстве InPlaceHolds как политику хранения Microsoft Purview, значение также содержит суффикс, определяющий тип действия хранения, настроенного для политики. Например, суффикс действия выделен полужирным шрифтом в следующих примерах:
skp127d7cf1076947929bf136b7a2a8c36f
:1
mbx7cfb30345d454ac0a989ab3041051209
:2
grp1a0a132ee8944501a4bb6a452ec31171
:3
В следующей таблице определены три возможных действия хранения:
Значение | Описание |
---|---|
1 | Указывает, что политика хранения настроена для удаления элементов. Политика не сохраняет элементы. |
2 | Указывает, что политика хранения настроена для хранения элементов. Политика не удаляет элементы по истечении срока хранения. |
3 | Указывает, что политика хранения настроена для хранения элементов, а затем их удаления по истечении срока хранения. |
Примечание.
Так как политики меток хранения публикуют или автоматически применяют метки, которые применяют действия на уровне элемента, они всегда будут отображать значение действия 1 в свойстве InPlaceHolds почтового ящика.
Чтобы определить, применено ли удержание к папке или элементу в почтовом ящике, см. раздел Определение почтовых ящиков, находящихся на удержании, так как к папке или элементу применена метка хранения.
Дополнительные сведения о действиях хранения см. в разделе Хранение содержимого за определенный период времени .
Шаг 2. Использование GUID для идентификации удержания
После получения GUID для удержания, применяемого к почтовому ящику, следующим шагом будет использование этого GUID для идентификации удержания. В следующих разделах показано, как определить имя удержания (и другие сведения) с помощью GUID удержания.
Удержание данных, созданных с помощью обращения обнаружения электронных данных
Выполните следующие команды в PowerShell для обеспечения соответствия безопасности &, чтобы определить удержание обнаружения электронных данных, примененное к почтовому ящику. Используйте GUID (не включая префикс UniH) для удержания обнаружения электронных данных, определенного на шаге 1.
Сведения о подключении к PowerShell по соответствию требованиям безопасности & см. в статье Подключение к PowerShell для обеспечения безопасности & соответствия требованиям.
Первая команда создает переменную, содержащую сведения о удержании. Эта переменная используется в других командах. Вторая команда отображает имя дела обнаружения электронных данных, с которым связано удержание. Третья команда отображает имя удержания и список почтовых ящиков, к которому применяется удержание.
$CaseHold = Get-CaseHoldPolicy <hold GUID without prefix>
Get-ComplianceCase $CaseHold.CaseId | FL Name
$CaseHold | FL Name,ExchangeLocation
Удержания In-Place
Выполните следующую команду в Exchange Online PowerShell, чтобы определить In-Place удержание, примененный к почтовому ящику. Используйте GUID для In-Place удержания, определенного на шаге 1. Команда отображает имя удержания и список почтовых ящиков, к которому применяется удержание.
Get-ComplianceSearch -Identity <hold GUID> | FL Name,SourceMailboxes
Если guid для In-Place Hold начинается с cld
префикса, обязательно включите префикс при выполнении предыдущей команды.
Важно!
Поскольку мы продолжаем инвестировать различными способами в сохранение содержимого почтового ящика, мы объявляем об отмене In-Place Удержания в Центре администрирования Exchange (EAC). С 1 июля 2020 г. вы не сможете создавать новые удержания In-Place в Exchange Online. Но вы по-прежнему сможете управлять In-Place удержаний в EAC или с помощью командлета Set-MailboxSearch в Exchange Online PowerShell. Однако с 1 октября 2020 г. вы не сможете управлять In-Place удержаний. Вы будете удалять их только в EAC или с помощью командлета Remove-MailboxSearch . Дополнительные сведения о прекращении использования In-Place удержаний см. в статье Прекращение использования устаревших средств обнаружения электронных данных.
Политики хранения Microsoft Purview
Подключитесь к PowerShell для обеспечения безопасности & соответствия требованиям и выполните следующую команду, чтобы определить политику хранения Microsoft Purview (для всей организации или определенного расположения), которая применяется к почтовому ящику. Используйте ИДЕНТИФИКАТОР GUID (не включая префикс mbx, skp или grp или суффикс действия), указанный на шаге 1.
Get-RetentionCompliancePolicy <hold GUID without prefix or suffix> -DistributionDetail | FL Name,*Location
Определение почтовых ящиков на удержании, так как к папке или элементу применена метка хранения
Всякий раз, когда пользователь применяет метку хранения, настроенную для хранения или хранения, а затем удаления содержимого к любой папке или элементу в почтовом ящике, свойству mailbox ComplianceTagHoldApplied присваивается значение True. В этом случае почтовый ящик обрабатывается так же, как если он был помещен на удержание, например при назначении политики хранения Microsoft Purview или удержании для судебного разбирательства, однако с некоторыми оговорками. Если свойство ComplianceTagHoldApplied имеет значение True, происходит следующее:
- Если почтовый ящик или учетная запись пользователя Microsoft 365 удалена, почтовый ящик становится неактивным.
- Вы не можете отключить почтовый ящик (основной почтовый ящик или архивный почтовый ящик, если он включен).
- Элементы, удаленные из почтового ящика, будут следовать одному из двух путей в зависимости от того, помечены они или нет:
- Элементы без меток будут следовать по тому же пути, что и удаленные элементы, если к почтовому ящику не применяется удержание. Время, необходимое для окончательного удаления этих элементов, определяется конфигурацией хранения удаленных элементов и тем, включено ли восстановление одного элемента для почтового ящика.
- Помеченные элементы будут храниться в папке элементов с возможностью восстановления так же, как и при применении политики хранения Microsoft Purview, но на уровне отдельных элементов. Если несколько элементов имеют разные метки, настроенные для хранения или хранения, а затем удаления содержимого с разных интервалов времени, каждый элемент будет храниться в зависимости от конфигурации примененной метки.
- Другие удержания, такие как политики хранения Microsoft Purview, хранение обнаружения электронных данных или удержание для судебного разбирательства, могут продлить срок хранения помеченных элементов на основе принципов хранения.
Чтобы просмотреть значение свойства ComplianceTagHoldApplied для одного почтового ящика, выполните следующую команду в Exchange Online PowerShell:
Get-Mailbox <username> | FL ComplianceTagHoldApplied
Дополнительные сведения о метках хранения см. в разделе Метки хранения.
Управление почтовыми ящиками при удержании с задержкой
После удаления любого типа удержания из почтового ящика применяется задержка удержания . Это означает, что фактическое удаление удержания откладывается на 30 дней, чтобы предотвратить окончательное удаление данных из почтового ящика. Это дает администраторам возможность искать или восстанавливать элементы почтового ящика, которые будут очищены после удаления удержания. Задержка удержания помещается в почтовый ящик в следующий раз, когда помощник по управляемым папкам обрабатывает почтовый ящик и обнаруживает, что удержание было удалено. В частности, отложенное удержание применяется к почтовому ящику, когда помощник для управляемых папок устанавливает для одного из следующих свойств почтового ящика значение True :
- DelayHoldApplied: Это свойство применяется к содержимому, связанному с электронной почтой (созданному пользователями Outlook и Outlook в Интернете), хранящейся в почтовом ящике пользователя.
- DelayReleaseHoldApplied: Это свойство применяется к облачному содержимому (созданному не outlook-приложениями, такими как Microsoft Teams, Microsoft Forms и Microsoft Viva Engage), которое хранится в почтовом ящике пользователя. Облачные данные, созданные приложением Майкрософт, обычно хранятся в скрытой папке в почтовом ящике пользователя.
Когда для почтового ящика применяется отложенное удержание (если для любого из предыдущих свойств задано значение True ), почтовый ящик по-прежнему считается задержанным на неограниченный срок, как если бы почтовый ящик был поставлен на удержание для судебного разбирательства. Через 30 дней срок удержания задержки истечет, и Microsoft 365 автоматически попытается удалить удержание задержки (установив для свойства DelayHoldApplied или DelayReleaseHoldApplied значение False), чтобы удержание было удалено. После того как для любого из этих свойств задано значение False, соответствующие элементы, помеченные для удаления, очищаются при следующей обработке почтового ящика помощником по управляемым папкам.
Примечание.
Если учетная запись пользователя для почтового ящика отключена, почтовый ящик не обрабатывается помощником по управляемым папкам, а задержка сохраняется по истечении 30 дней. Дополнительные сведения см. в разделе Рекомендации по удержанию задержки.
Чтобы просмотреть значения свойств DelayHoldApplied и DelayReleaseHoldApplied для почтового ящика, выполните следующую команду в Exchange Online PowerShell.
Get-Mailbox <username> | FL *HoldApplied*
Чтобы снять задержку до истечения срока действия, можно выполнить одну (или обе) следующие команды в Exchange Online PowerShell в зависимости от того, какое свойство нужно изменить:
Set-Mailbox <username> -RemoveDelayHoldApplied
Или
Set-Mailbox <username> -RemoveDelayReleaseHoldApplied
Чтобы использовать параметры RemoveDelayHoldApplied или RemoveDelayReleaseHoldApplied , вам должна быть назначена роль удержания по юридическим причинам в Exchange Online.
Чтобы снять задержку в неактивном почтовом ящике, выполните одну из следующих команд в Exchange Online PowerShell:
Set-Mailbox <DN or Exchange GUID> -InactiveMailbox -RemoveDelayHoldApplied
Или
Set-Mailbox <DN or Exchange GUID> -InactiveMailbox -RemoveDelayReleaseHoldApplied
Совет
Лучший способ указать неактивный почтовый ящик в предыдущей команде — использовать его различающееся имя или значение GUID Exchange. Используя одно из этих значений, вы не укажете по ошибке неверный почтовый ящик.
Дополнительные сведения об использовании этих параметров для управления задержками см. в разделе Set-Mailbox.
Рекомендации по удержанию задержки
При управлении почтовым ящиком при удержании с задержкой помните следующее:
- Если для свойства DelayHoldApplied или DelayReleaseHoldApplied задано значение True , а почтовый ящик (или соответствующая учетная запись пользователя) удаляется, почтовый ящик становится неактивным. Это связано с тем, что почтовый ящик считается на удержании, если для любого из свойств задано значение True, а удаление почтового ящика на удержании приводит к неактивным почтовым ящикам. Чтобы удалить почтовый ящик и не сделать его неактивным, необходимо задать для обоих свойств значение False.
- Считается, что почтовый ящик находится на удержании в течение неограниченного срока хранения, если свойство DelayHoldApplied или DelayReleaseHoldApplied имеет значение True. Однако это не означает, что все содержимое почтового ящика сохраняется. Это зависит от значения, заданного для каждого свойства. Например, предположим, что оба свойства имеют значение True , так как удержания удаляются из почтового ящика. Затем удалите только удержание задержки, примененное к облачным данным Outlook (с помощью параметра RemoveDelayReleaseHoldApplied ). В следующий раз, когда помощник по управляемым папкам обрабатывает почтовый ящик, элементы, отличные от Outlook, помеченные для удаления, очищаются. Все элементы Outlook, помеченные для удаления, не удаляются, так как свойство DelayHoldApplied по-прежнему имеет значение True. Верно и обратное: если параметр DelayHoldApplied имеет значение False , а параметр DelayReleaseHoldApplied имеет значение True, то очищаются только элементы Outlook, помеченные для удаления.
Как убедиться, что к почтовому ящику применяется политика хранения на уровне организации
Когда политика хранения в масштабах организации применяется или удаляется к почтовому ящику, экспорт журналов диагностики почтовых ящиков может помочь вам убедиться, что Exchange Online применил или удалил политику хранения к почтовому ящику. Чтобы просмотреть эти сведения, сначала необходимо проверить несколько вещей с помощью Exchange Online PowerShell.
Получение идентификаторов GUID для всех политик хранения, явно применяемых к почтовому ящику
Get-Mailbox <username> | Select-Object -ExpandProperty InPlaceHolds
Получение идентификаторов GUID для любых политик хранения на уровне организации, применяемых к почтовым ящикам
Get-OrganizationConfig | Select-Object -ExpandProperty InPlaceHolds
Получение диагностики почтового ящика для holdTracking
Журналы диагностики почтовых ящиков отслеживания удержания хранят журнал удержаний, примененных к почтовому ящику пользователя.
$ht = Export-MailboxDiagnosticLogs <username> -ComponentName HoldTracking
$ht.MailboxLog | Convertfrom-Json
Просмотр результатов журналов диагностики почтовых ящиков
Если вы собираете данные из предыдущего шага, результирующие данные могут выглядеть примерно так:
Эд
: 0001-01-01T00:00:00.0000000
прятать: mbx7cfb30345d454ac0a989ab3041051209:1
ht: 4
ЛСД: 2020-03-23T18:24:37.1884606Z
osd: 2020-03-23T18:24:37.1884606Z
Используйте следующую таблицу, чтобы понять каждое из предыдущих значений, перечисленных в журнале диагностики.
Значение | Описание |
---|---|
ed | Указывает дату окончания, то есть дату отключения политики хранения. MinValue означает, что политика по-прежнему назначается почтовому ящику. |
прятать | Указывает GUID для политики хранения. Это значение будет коррелировать с идентификаторами GUID, собранными для явных политик хранения или политик хранения на уровне организации, назначенных почтовому ящику. |
ht | Указывает тип удержания. Значения: 0 для LitigationHold, 1 для InPlaceHold, 2 для ComplianceTagHold, 3 для DelayReleaseHold, 4 для OrganizationRetention, 5 для CompliancePolicy, 6 для SubstrateAppPolicy и 7 для SharepointPolicy. |
ЛСД | Указывает дату последнего начала, то есть дату назначения политики хранения почтовому ящику. |
osd | Указывает исходную дату начала, которая является датой, когда Exchange впервые записал сведения о политике хранения. |
Если политика хранения больше не применяется к почтовому ящику, мы наложим на пользователя временную задержку, чтобы предотвратить очистку содержимого. Удержание задержки можно отключить, выполнив Set-Mailbox -RemoveDelayHoldApplied
команду .
Дальнейшие действия
После определения удержаний, применяемых к почтовому ящику, можно выполнять такие задачи, как изменение длительности удержания, временное или окончательное удаление удержания или исключение неактивного почтового ящика из политики хранения Microsoft Purview. Дополнительные сведения о выполнении задач, связанных с удержанием, см. в одной из следующих статей:
- Выполните команду Set-RetentionCompliancePolicy -Identity <Policy Name> -AddExchangeLocationException <user mailbox> in Security & Compliance PowerShell , чтобы исключить почтовый ящик из политики хранения Microsoft Purview для всей организации. Эту команду можно использовать только для политик хранения, где значение свойства ExchangeLocation равно
All
. - Изменение срока хранения неактивного почтового ящика
- Удаление неактивного почтового ящика
- Удаление элементов в папке "Элементы с возможностью восстановления" облачных почтовых ящиков на удержании