In-Place Deteção de Dados Eletrónicos no Exchange 2013
Aplica-se a: Exchange Server 2013
Se a sua organização cumprir os requisitos de deteção legal (relacionados com políticas organizacionais, conformidade ou processos judiciais), In-Place Deteção de Dados Eletrónicos no Microsoft Exchange Server 2013 pode ajudá-lo a realizar pesquisas de deteção de conteúdo relevante nas caixas de correio. O Exchange 2013 também oferece capacidade de pesquisa federada e integração com o Microsoft SharePoint 2013. Ao utilizar o Centro de Deteção de Dados Eletrónicos no SharePoint, pode procurar e manter todos os conteúdos relacionados com um caso, incluindo sites do SharePoint 2013, documentos, partilhas de ficheiros indexadas pelo SharePoint, conteúdos de caixas de correio no Exchange e conteúdos arquivados do Lync 2013. Você também pode usar a Descoberta Eletrônica In-Loco em um ambiente híbrido do Exchange para pesquisar caixas de correio locais ou baseadas em nuvem na mesma pesquisa.
Importante
In-Place Deteção de Dados Eletrónicos é uma funcionalidade avançada que permite a um utilizador com as permissões corretas obter potencialmente acesso a todos os registos de mensagens armazenados em toda a organização do Exchange 2013. É importante controlar e monitorar as atividades de descoberta, incluindo a adição de membros ao grupo da função de Descoberta Eletrônica, a atribuição da função de gerenciamento da Pesquisa de Caixa de Correio e a atribuição da permissão de acesso da caixa de correio para descobrir caixas de correio.
Como a Descoberta Eletrônica In-loco funciona
A Descoberta Eletrônica In-loco usa índices de conteúdo criados pela pesquisa do Exchange. O Controle de Acesso Baseado em Função (RBAC) permite que o grupo de função Gerenciamento de Descobertas delegue tarefas de descoberta a funcionários sem perfis técnicos, sem a necessidade de conceder privilégios elevados que possam permitir a um usuário realizar alterações operacionais na configuração do Exchange. O centro de administração do Exchange (EAC) fornece uma interface de pesquisa fácil de usar para pessoal não técnico tais como oficiais de conformidade e jurídicos, gerentes de registros e profissionais de recursos humanos (RH).
Usuários autorizados podem realizar uma pesquisa por Descoberta Eletrônica In-loco selecionando as caixas de correio e especificando os critérios de pesquisa, como palavras-chave, data de início e de término, endereços de remetentes e destinatários e tipos de mensagens. Após a pesquisa ser concluída, os usuários autorizados podem escolher uma das ações a seguir:
Estimar os resultados da pesquisa Esta opção retorna uma estimativa do tamanho total e do número de itens que retornarão na pesquisa com base nos critérios que você especificou.
Visualizar resultados de pesquisa Esta opção fornece visualização dos resultados. As mensagens retornadas de cada caixa de correio pesquisada são exibidas.
Copiar os resultados da pesquisa Esta opção permite que você copie as mensagens para uma caixa de correio de descoberta.
Exportar resultados da pesquisa Depois que os resultados da pesquisa são copiados para uma caixa de correio de descoberta, você poderá exportá-los para um arquivo PST.
Pesquisa do Exchange
A Descoberta Eletrônica In-loco usa índices de conteúdo criados pela pesquisa do Exchange. A Pesquisa do Exchange foi refeita para usar o Microsoft Search Foundation, uma plataforma robusta de pesquisa que vem com uma indexação e desempenho de consulta com melhorias significativas e funcionalidade de pesquisa aprimorada. Como o Microsoft Search Foundation também é usado por outros produtos do Office, incluindo o SharePoint 2013, ele oferece uma grande interoperabilidade e uma sintaxe semelhante para consulta para estes produtos.
Com um único mecanismo de indexação de conteúdo, não são usados recursos adicionais para rastrear e indexar bancos de dados de caixas de correio para a Descoberta Eletrônica In-loco quando as solicitações de Descoberta Eletrônica são recebidas pelos departamentos de TI.
A Descoberta Eletrônica In-loco usa Linguagem de Consulta por Palavra-Chave (KQL), uma sintaxe de consulta semelhante à Sintaxe de Consulta Avançada (AQS) usada pela Pesquisa Instantânea no Microsoft Outlook e no Outlook Web App. Usuários familiares com a KQL podem montar facilmente consultas de pesquisa poderosas para pesquisar índices de conteúdo.
Para obter mais informações sobre os formatos de ficheiro indexados pela pesquisa do Exchange, veja Formatos de ficheiro indexados pela Pesquisa do Exchange.
Grupo de função de Gerenciamento de Descoberta e funções de gerenciamento
Para que usuários autorizados realizem pesquisas de Descoberta Eletrônica In-loco, você deve adicioná-los ao grupo da função Gerenciamento de Descobertas . Esse grupo de funções consiste em duas funções de gerenciamento: o Função de pesquisa de caixa de correio, que permite que um usuário realize uma pesquisa de Descoberta Eletrônica In-loco, e o Função de isenção legal, que permite a um usuário colocar uma caixa de correio sob Bloqueio In-loco ou retenção de litígio.
Por padrão, as permissões para realizar tarefas relacionadas à Descoberta Eletrônica In-loco não são atribuídas a qualquer usuário ou administrador do Exchange. Os administradores do Exchange que forem membros do grupo de função de Gerenciamento da Organização podem adicionar usuários ao grupo de função de Gerenciamento de Descoberta e criar grupos de função personalizados para limitar o escopo de gerentes de descoberta a um subconjunto de usuários. Para saber mais sobre como adicionar usuários ao grupo da função de Gerenciamento de Descoberta, veja Atribuir permissões de descoberta eletrônica no Exchange.
Importante
Se um usuário não tiver sido adicionado ao grupo da função de Descoberta Eletrônica ou se não foi atribuído à função de Pesquisa de Caixa de Correio, uma interface de usuário de Descoberta Eletrônica In-loco & Retenção não é exibida no EAC e os cmdlets de Descoberta Eletrônica In-loco não são disponibilizados no Shell de Gerenciamento do Exchange.
A auditoria de alterações de função RBAC, que está habilitada por padrão, garante que sejam mantidos registros adequados para rastrear a atribuição do grupo de função de Gerenciamento de Descoberta. Você pode usar o relatório de grupo de funções de administrador para pesquisar alterações feitas a grupos de funções de administrador. Para obter mais informações, veja Pesquisar as alterações do grupo de funções ou os registos de auditoria do administrador.
Escopos de gerenciamento personalizado para Descoberta Eletrônica In-loco
Pode utilizar um âmbito de gestão personalizado para permitir que pessoas ou grupos específicos utilizem In-Place Deteção de Dados Eletrónicos para procurar um subconjunto de caixas de correio na sua organização do Exchange 2013. Por exemplo, convém permitir que um gerente de descoberta pesquise apenas as caixas de correio de usuários em um local ou departamento específico. Faça isso criando um escopo de gerenciamento personalizado que usa um filtro de destinatário personalizado para controlar quais caixas de correio podem ser pesquisadas. Escopos de filtro de destinatário usam filtros para direcionar a destinatários específicos com base no tipo de destinatário ou em outras propriedades de destinatário.
Para a Descoberta In-loco, a única propriedade em uma caixa de correio de usuário de usuário que você pode usar para criar um filtro de destinatário para um escopo personalizado é a associação de grupo de distribuição. Se utilizar outras propriedades, como CustomAttributeN, Department ou PostalCode, a pesquisa falha quando é executada por um membro do grupo de funções a quem foi atribuído o âmbito personalizado. Para obter mais informações, consulte Criar um escopo de gerenciamento personalizado para pesquisas de Descoberta Eletrônica In-loco.
Integração com o SharePoint Server
O Exchange Server oferece integração com o SharePoint Server, permitindo que um gestor de deteção utilize o Centro de Deteção de Dados Eletrónicos no SharePoint para realizar as seguintes tarefas:
Procurar e preservar conteúdos de uma única localização: um gestor de deteção autorizado pode procurar e preservar conteúdos no SharePoint e no Exchange, incluindo conteúdos do Lync, como conversações de mensagens instantâneas e documentos de reunião partilhados arquivados em caixas de correio do Exchange.
Gestão de casos: o Centro de Deteção de Dados Eletrónicos utiliza uma abordagem de gestão de casos para Deteção de Dados Eletrónicos, permitindo-lhe criar casos e procurar e preservar conteúdos em repositórios de conteúdo diferentes para cada caso.
Exportar resultados da pesquisa: um gestor de deteção pode utilizar o Centro de Deteção de Dados Eletrónicos para exportar os resultados da pesquisa. O conteúdo da caixa de correio incluído nos resultados da pesquisa é exportado para um arquivo PST.
O SharePoint também usa Microsoft Search Foundation para indexação e consulta de conteúdo. Independentemente do uso do EAC ou do Centro de Descoberta Eletrônica pelo gerente de descoberta para pesquisar por conteúdo do Exchange, o mesmo conteúdo de caixa de correio é retornado.
Nas implantaçoes locais, antes de usar o Centro de Descoberta Eletrônica no SharePoint para pesquisar as caixas de correio do Exchange , você deve estabelecer a confiança entre os dois aplicativos. No Exchange 2013 e no SharePoint 2013, isso é feito usando autenticação OAuth. Para detalhes, veja Configurar o Exchange para o SharePoint eDiscovery Center. Pesquisas de Descoberta Eletrônica realizadas a partir do SharePoint são autorizadas pelo Exchange usando RBAC. Para que um usuário do SharePoint seja capaz de realizar uma pesquisa de Descoberta Eletrônica em caixas de correio do Exchange, ele precisa receber permissão delegada de Gerenciamento de Descoberta no Exchange. Para poder visualizar o conteúdo da caixa de correio retornado em uma pesquisa de Descoberta Eletrônica realizada com o uso do Centro de Descoberta Eletrônica do SharePoint , o gerenciador de descoberta deve possuir uma caixa de correio na mesma organização do Exchange .
Descoberta eletrônica em uma implantação híbrida do Exchange
Para executar pesquisas entre locais da Descoberta eletrônica com êxito em uma organização híbrida do Exchange 2013, será necessário configurar a autenticação OAuth (Autorização Aberta) entre suas organizações locais do Exchange e organizações do Exchange Online, de forma que você possa usar a Descoberta eletrônica local para pesquisar em caixas de correio locais e baseadas em nuvem. A autenticação OAuth é um protocolo de autenticação de servidor para servidor que permite que aplicativos autentiquem uns aos outros.
A autenticação OAuth oferece suporte aos seguintes cenários de Descoberta eletrônica em uma implantação híbrida do Exchange:
Pesquisa de caixas de correio locais que usam o Arquivamento do Exchange Online para caixas de correio de arquivamento baseadas em nuvem.
Pesquisa de caixas de correio locais e baseadas em nuvem na mesma pesquisa de Descoberta eletrônica.
Pesquisa de caixas de correio locais usando a Central de Descoberta Eletrônica no SharePoint Online.
Para obter mais informações sobre os cenários de Descoberta eletrônica que exigem que a autenticação OAuth seja configurada em um ambiente híbrido do Exchange, consulte Usando a autenticação OAuth para suportar a Descoberta Eletrônica em uma implantação híbrida do Exchange. Para obter instruções detalhadas sobre a configuração da autenticação OAuth a fim de oferecer suporte à Descoberta eletrônica, consulte Configurar a autenticação OAuth entre organizações do Exchange e do Exchange Online.
Caixas de correio de descoberta
Após criar uma pesquisa de Descoberta Eletrônica In-loco, você pode copiar os resultados da pesquisa para uma caixa de correio de destino. O EAC permite que você selecione uma caixa de correio de descoberta como a caixa de correio de destino. Uma caixa de correio de descoberta é um tipo especial de caixa de correio que fornece as seguintes funcionalidades:
Seleção de caixa de correio de destino mais fácil e segura: quando utiliza o EAC para copiar In-Place resultados da pesquisa de Deteção de Dados Eletrónicos, apenas as caixas de correio de deteção são disponibilizadas como um repositório no qual armazenar os resultados da pesquisa. Você não precisa vasculhar uma lista potencialmente grande de caixas de correio disponíveis na organização. Isto também elimina a possibilidade de uma descoberta eletrônica acidentalmente selecionar outra caixa de correio de usuário ou uma caixa de correio não segura para armazenar mensagens poteciamente confidenciais.
Quota de armazenamento de caixa de correio grande: a caixa de correio de destino deve ser capaz de armazenar uma grande quantidade de dados de mensagens que podem ser devolvidos por um In-Place pesquisa de Deteção de Dados Eletrónicos. Por padrão, as caixas de correio de descoberta têm uma cota de armazenamento de 50 gigabytes (GB). Essa cota de armazenamento não pode ser aumentada.
Mais segura por predefinição: como todos os tipos de caixa de correio, uma caixa de correio de deteção tem uma conta de utilizador do Active Directory associada. Porém, essa conta é desabilitada por padrão. Apenas usuários explicitamente autorizados a acessar uma caixa de correio de descoberta terão acesso a ela. São atribuídas aos membros do grupo de função Gerenciamento de Descoberta permissões de Acesso Total à caixa de correio de descoberta padrão. Quaisquer caixas de correio de descoberta adicionais que você criar não terão suas permissões de acesso a caixa de correio atribuídas a nenhum usuário.
Entrega de e-mail desativada: apesar de estar visível nas listas de endereços do Exchange, os utilizadores não podem enviar e-mails para uma caixa de correio de deteção. A entrega de email às caixas de correio de descoberta é proibida por meio de restrições de entrega. Isso preserva a integridade dos resultados de pesquisa copiados para uma caixa de correio de descoberta.
A Configuração do Exchange cria uma caixa de correio de deteção com o nome a apresentar Caixa de Correio de Pesquisa de Deteção. Você pode usar o Shell para criar caixas de correio de descoberta adicionais. Por padrão, as caixas de correio de descoberta que você cria não terão nenhuma permissão de acesso atribuída à caixa de correio. Você pode atribuir permissões de Acesso Total a um gerente de descoberta para acessar mensagens copiadas a uma caixa de correio de descoberta. Para detalhes, consulte Criar uma caixa de correio de descoberta.
A Descoberta Eletrônica In-loco também usa uma caixa de correio do sistema com o nome de exibição SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} para reter metadados de Descoberta Eletrônica In-loco. As caixas de correio do sistema não estão visíveis no EAC ou nas listas de endereço do Exchange . Nas organizações locais, antes de remover um banco de dados da caixa de correio onde a caixa de correio do sistema de Descoberta Eletrônica In-loco está localizada, você deve mover a caixa de correio para outro banco de dados da caixa de correio. Se a caixa de correio for removida ou corrompida, os seus gerentes de descoberta não poderão realizar as pesquisas de Descoberta Eletrônica até que você crie a caixa de correio novamente. Para obter detalhes, consulte Eliminar e recriar a caixa de correio de deteção predefinida no Exchange 2013.
Usar a Descoberta eletrônica In-loco
Usuários que tenham sido adicionados ao grupo de funções de Gerenciamento de Descoberta podem realizar pesquisas de Descoberta Eletrônica In-loco. Você pode realizar uma pesquisa usando a interface baseada em web do EAC. Isso facilita para os usuários sem perfil técnico, como gerentes de registros, responsáveis pela conformidade ou profissionais jurídicos ou de RH, a utilização da Descoberta Eletrônica In-loco. Você também pode usar o Shell para realizar uma pesquisa. Para obter mais informações, veja Criar um In-Place pesquisa de Deteção de Dados Eletrónicos
Observação
Nas organizações locais, você pode usar a Descoberta Eletrônica In-loco para pesquisar caixas de correio localizadas nos servidores de Caixa de Correio do Exchange 2013 . Para pesquisar caixas de correio localizadas nos servidores de Caixa de Correio do Exchange 2010, use a Pesquisa de Várias Caixas de Correio em um servidor do Exchange 2010. > > Numa implementação híbrida, que é um ambiente onde existem algumas caixas de correio nos seus servidores de Caixa de Correio no local e existem algumas caixas de correio numa organização baseada na nuvem, pode efetuar In-Place pesquisas de Deteção de Dados Eletrónicos das suas caixas de correio baseadas na nuvem através do EAC na sua organização no local. Se você pretende copiar mensagens para uma caixa de correio descoberta, você deve selecionar uma caixa de correio descoberta local. As mensagens de caixas de correio baseadas em nuvem que são retornadas nos resultados de pesquisa são copiadas para a caixa de correio descoberta local especificada. Para saber mais sobre implantações híbridas, consulte Exchange Server 2013 Hybrid Deployments.
O assistente de Retenção & Descoberta Eletrônica In-loco no EAC permite que você crie uma pesquisa de Descoberta Eletrônica In-loco e também use a Retenção In-loco para colocar resultados de pesquisa em retenção. Quando você cria uma pesquisa de Descoberta Eletrônica In-loco, um objeto de pesquisa é criado na caixa de correio de sistema da Descoberta Eletrônica In-loco. Esse objeto podem ser manipulado para iniciar, interromper, modificar e remover a pesquisa. Após criar a pesquisa, você pode obter uma estimativa dos resultados da pesquisa, o que inclui estatísticas de palavras-chave que o ajudam a determinar a eficácia da consulta. Você também pode fazer uma visualização imediata dos itens retornados na pesquisa, o que permite visualizar o conteúdo da mensagem, o número de mensagens retornados para cada caixa de correio de origem e o número total de mensagens. Você pode usar essas informações para aperfeiçoar ainda mais sua consulta, se necessário.
Quando estiver satisfeito com os resultados da pesquisa, você poderá copiá-las para uma caixa de correio de descoberta. Você também pode usar o EAC ou o Outlook para exportar uma caixa de correio de descoberta ou uma parte do seu conteúdo para um arquivo PST.
Ao criar uma pesquisa de Descoberta Eletrônica In-loco, você deve especificar os seguintes parâmetros:
Nome: o nome da pesquisa é utilizado para identificar a pesquisa. Quando você copia resultados de pesquisa para uma caixa de correio de descoberta, uma pasta é criada na caixa de correio de descoberta usando o nome da pesquisa e o carimbo de data/hora para identificar de maneira única os resultados de pesquisa em uma caixa de correio de descoberta.
Caixas de correio: pode optar por procurar em todas as caixas de correio na sua organização do Exchange 2013 ou especificar as caixas de correio a procurar. As caixas de correio principal e de arquivo morto do usuário são incluídas na pesquisa. Se também quiser usar a mesma pesquisa para colocar itens em retenção, é necessário especificar as caixas de correio. Você pode especificar um grupo de distribuição para incluir usuários de caixa de correio que sejam membros daquele grupo. A associação ao grupo é calculada uma vez quando a pesquisa é criada, e alterações subsequentes na associação ao grupo não são refletidas automaticamente na pesquisa.
Consulta de pesquisa: pode incluir todo o conteúdo da caixa de correio das caixas de correio especificadas ou utilizar uma consulta de pesquisa para devolver itens mais relevantes para o caso ou investigação. Você pode especificar os seguintes parâmetros em uma consulta de pesquisa:
Palavras-chave: pode especificar palavras-chave e expressões para procurar conteúdos de mensagens. Você também pode usar os operadores lógicos AND, OR e NOT. Além disso, o Exchange 2013 também suporta o operador PERTO, permitindo que você pesquise por uma palavra ou frase que está perto de outra palavra ou frase.
Para pesquisar por uma correspondência exata de um frase com várias palavras, você deve colocar a frase entre aspas. A pesquisa pela frase "plano e competição", por exemplo, retorna mensagens que contenham correspondências exatas à frase, enquanto a pesquisa por plano AND competição retorna mensagens que contenham as palavras plano e competição em qualquer lugar da mensagem.
O Exchange 2013 também oferece suporte à sintaxe Linguagem de Consulta por Palavra-Chave (KQL) para pesquisas de Descoberta Eletrônica In-loco.
Observação
A Descoberta Eletrônica In-loco não oferece suporte a expressões regulares.
Operadores lógicos como AND e OR devem ser escritos em maiúsculas para serem tratados como operadores e não como palavras-chave. É recomendável explicitar os parênteses para qualquer consulta que misture diversos operadores lógicos, para evitar erros ou interpretações falhas. Por exemplo, para pesquisar por mensagens que contenham PalavraA ou PalavraB E a PalavraC ou a PalavraD, use (PalavraA OR PalavraB) AND (PalavraC OR PalavraD).
Datas de início e fim: por predefinição, In-Place Deteção de Dados Eletrónicos não limita as pesquisas por um intervalo de datas. Para pesquisar em mensagens enviadas em um intervalo de datas específico, restrinja a pesquisa especificando as datas de início e término. Se você não especificar uma data de término, a pesquisa retornará os resultados mais recentes cada vez que você reiniciá-la.
Remetentes e destinatários: para restringir a pesquisa, pode especificar os remetentes ou destinatários das mensagens. Você pode usar endereços de email, nomes para exibição ou o nome de um domínio para pesquisar itens que todas as pessoas no domínio enviaram ou receberam. Por exemplo, para localizar um email enviado ou recebido por qualquer pessoa na Contoso Ltd., especifique @contoso.com no campo De ou Para/Cc no EAC. Também pode especificar @contoso.com nos parâmetros Remetentes ou Destinatários na Shell.
Tipos de mensagens: por predefinição, todos os tipos de mensagens são pesquisados. Você pode restringir a pesquisa selecionando tipos específicos de mensagens, como emails, contatos, documentos, diário, reuniões, notas e conteúdo do Lync.
A captura de tela a seguir mostra um exemplo de uma consulta de pesquisa no EAC.
Ao usar a Descoberta Eletrônica In-loco, considere também o seguinte:
Anexos: In-Place a Deteção de Dados Eletrónicos procura anexos suportados pela Pesquisa do Exchange. Para obter detalhes, veja Formatos de ficheiro indexados pela Pesquisa do Exchange. Nas implantações locais, você pode adicionar mais tipos de arquivo instalando filtros de instalação (também conhecidos como iFilter) para o tipo de arquivo nos servidores de Caixa de Correio.
Itens não pesquisáveis: os itens não pesquisáveis são itens de caixa de correio que não podem ser indexados pela Pesquisa do Exchange. As razões pelas quais eles não podem ser indexados incluem a falta de um filtro de pesquisa instalado para um arquivo anexado, um erro do filtro e mensagens criptografadas. Para realizar uma pesquisa de Descoberta Eletrônica In-loco com êxito, pode ser necessário que sua organização inclua esses itens para revisão. Ao copiar resultados da pesquisa para uma caixa de correio de descoberta ou ao exportá-los para um arquivo PST, você poderá incluir itens não pesquisáveis. Para obter mais informações, veja Itens não pesquisáveis na Deteção de Dados Eletrónicos do Exchange.
Itens encriptados: uma vez que as mensagens encriptadas com S/MIME não são indexadas pela Pesquisa do Exchange, In-Place Deteção de Dados Eletrónicos não pesquisa estas mensagens. Se você selecionar a opção de incluir itens não pesquisáveis nos resultados da pesquisa, essas mensagens criptografadas com S/MIME serão copiadas para a caixa de correio de descoberta.
Itens protegidos por IRM: as mensagens protegidas através da Gestão de Direitos de Informação (IRM) são indexadas pela Pesquisa do Exchange e, por conseguinte, são incluídas nos resultados da pesquisa se corresponderem aos parâmetros de consulta. As mensagens devem ser protegidas usando um cluster de Serviços de Gerenciamento de Direitos Active Directory (AD RMS) na mesma floresta Active Directory que o servidor de Caixa de Correio. Para saber mais, consulte as informações sobre o Gerenciamento de Direitos de Informação.
Importante
Quando a Pesquisa do Exchange falha ao indexar uma mensagem protegida por IRM, devido a uma falha na criptografia ou porque a IRM está desabilitada, a mensagem desprotegida não é adicionada à lista de itens com falha. Se você selecionar a opção de incluir itens não pesquisáveis nos resultados de pesquisa, os resultados podem não incluir mensagens protegidas por IRM que não puderam ser descriptografadas. > > Para incluir mensagens protegidas por IRM numa pesquisa, pode criar outra pesquisa para incluir mensagens com anexos .rpmsg. Pode utilizar a cadeia de consulta
attachment:rpmsg
para procurar todas as mensagens protegidas por IRM nas caixas de correio especificadas, quer sejam indexadas com êxito ou não. Isso pode resultar na duplicação de resultados de pesquisa em situações nas quais uma pesquisa retorna mensagens que correspondam ao critério de pesquisa, incluindo mensagens protegidas por IRM que tenham sido indexadas com êxito. A pesquisa não retorna mensagens protegidas por IRM que não foram indexadas. > > A realização de uma segunda pesquisa de todas as mensagens protegidas por IRM também inclui as mensagens protegidas por IRM que foram indexadas e devolvidas com êxito na primeira pesquisa. Além disso, as mensagens protegidas por IRM retornadas pela segunda pesquisa podem não corresponder a critérios de pesquisa, como as palavras-chave, usados na primeira pesquisa.Eliminação de duplicados: ao copiar os resultados da pesquisa para uma caixa de correio de deteção, pode ativar a eliminação da duplicação dos resultados da pesquisa para copiar apenas uma instância de uma mensagem exclusiva para a caixa de correio de deteção. A eliminação de duplicação tem os seguintes benefícios:
Menor necessidade de armazenamento e menor tamanho de caixa de correio de descoberta devido ao menor número de mensagens copiadas.
Redução da carga de trabalho dos gerentes de descoberta, assessores jurídicos ou outros envolvidos na revisão dos resultados da pesquisa.
Redução do custo de Descoberta Eletrônica, dependendo do número de itens duplicados excluídos dos resultados da pesquisa.
Estimar, visualizar e copiar resultados de pesquisa
Após a finalização de uma pesquisa de Descoberta Eletrônica In-Loco, você pode exibir as estimativas do resultado da pesquisa no painel de Detalhes no EAC. A estimativa inclui o número de itens retornados e o tamanho total desses itens. Você também pode visualizar estatísticas de palavras-chave que exibem detalhes sobre o número de itens retornados por cada palavra-chave utilizada na consulta de pesquisa. Esta informação é útil para determinar a eficiência da consulta. Se a consulta for abrangente demais, ela irá retornar um conjunto de dados muito maior, o que pode exigir mais recursos para revisão e aumentar os custos da Descoberta Eletrônica. Se a consulta for restrita demais, ela pode reduzir significativamente o número de registros retornados ou não retornar registro nenhum. Você pode usar as estimativas e as estatísticas de palavra-chave para aperfeiçoar a consulta e atender seus requisitos.
Observação
No Exchange 2013, as estatísticas de palavra-chave também incluem estatísticas para propriedades que não são palavras-chave, como datas, tipos de mensagens e remetentes/destinatários especificados na consulta de pesquisa.
Você pode também visualizar os resultados de pesquisa para garantir que as mensagens retornadas contém o conteúdo que você está procurando e ajustar a consulta se necessário. A Visualização da Pesquisa de Descoberta Eletrônica exibe o número de mensagens retornadas de cada caixa de correio pesquisada e o número total de mensagens retornadas para pesquisa. A visualização é gerada rapidamente, sem exigir que você copie as mensagens para uma caixa de correio de descoberta.
Após você estar satisfeito com a quantidade e a qualidade dos resultados da pesquisa, você pode copiá-los para uma caixa de correio de descoberta. Ao copiar mensagens, você tem as seguintes opções:
Incluir itens não pesquisáveis: para obter detalhes sobre os tipos de itens considerados não pesquisáveis, veja as considerações de pesquisa de Deteção de Dados Eletrónicos na secção anterior.
Ativar a eliminação de duplicados: a eliminação de duplicados reduz o conjunto de dados ao incluir apenas uma única instância de um registo exclusivo se forem encontradas várias instâncias numa ou mais caixas de correio pesquisadas.
Ativar o registo completo: por predefinição, apenas o registo básico é ativado ao copiar itens. Você pode selecionar o log completo para incluir informações sobre todos os registros retornados pela pesquisa.
Enviar-me e-mail quando a cópia estiver concluída: uma pesquisa de Deteção de Dados Eletrónicos In-Place pode potencialmente devolver um grande número de registos. Copiar as mensagens retornadas para uma caixa de correio de descoberta pode levar muito tempo. Use essa opção para obter uma notificação de email quando o processo de cópia for concluído. Para acesso facilitado usando o Outlook Web App, a notificação inclui um link para o local na caixa de correio de descoberta em que as mensagens foram copiadas.
Para obter mais informações, consulte Copiar os resultados de pesquisa de descoberta eletrônica para uma caixa de correio de descoberta.
Exportar resultados da pesquisa para um arquivo PST
Depois que os resultados da pesquisa são copiados para uma caixa de correio de descoberta, você poderá exportá-los para um arquivo PST.
Após os resultados da pesquisa serem exportados para um arquivo PST, você ou outros usuários podem abri-los no Outlook para analisar ou imprimir mensagens retornadas nos resultados da pesquisa. Para obter mais informações, consulte Exportar resultados de pesquisa de Descoberta Eletrônica para um arquivo PST.
Resultados diferentes da pesquisa
Como a Descoberta Eletrônica In-Loco realiza pesquisas em dados dinâmicos, é possível que duas pesquisas das mesmas fontes de conteúdo e usando a mesma consulta para pesquisa retornem resultados diferentes. Os resultados estimados da pesquisa também podem ser diferentes dos resultados reais da pesquisa que são copiados para uma caixa de correio de descoberta. Isto pode ocorrer mesmo ao executar novamente a mesma pesquisa num espaço pequeno de tempo. Existem vários fatores que podem afetar a consistência dos resultados da pesquisa;
A indexação contínua de email de entrada porque a Pesquisa do Exchange rastreia e faz a indexação continuamente do pipeline de transporte e dos bancos de dados da caixa de correio da sua organização.
Exclusão de email por usuários ou porcessos automáticos.
Importação em massa de grandes quantidades de email, o que leva tempo para indexação.
Se você experimentar resultados diferentes para a mesma pesquisa, considere colocar as caixas de correio em espera para preservar o conteúdo, executar pesquisas durante horários que não sejam de pico e permita o tempo necessário para indexação após a importação de grandes quantidades de email.
Registro em log para pesquisas de Descoberta Eletrônica In-loco
Há dois tipos de log disponíveis para pesquisas de Descoberta Eletrônica In-loco:
Registo básico: o registo básico está ativado por predefinição para todas as pesquisas de Deteção de Dados Eletrónicos In-Place. Ele inclui informações sobre a pesquisa e sobre quem a realizou. As informações capturadas pelo log básico são exibidas no corpo da mensagem de email que é enviada à caixa de correio onde os resultados da pesquisa são armazenados. A mensagem está localizada na pasta criada para armazenar os resultados da pesquisa.
Registo completo: o registo completo inclui informações sobre todas as mensagens devolvidas pela pesquisa. Essas informações são fornecidas em um arquivo de valores separados por vírgulas (.csv) anexado à mensagem de email que contém as informações do log básico. O nome da pesquisa é usado no nome do arquivo .csv. Essa informação pode ser necessária para fins de manutenção de registros ou conformidade. Para habilitar o log completo, você deve selecionar a opção Habilitar log completo ao copiar os resultados da pesquisa para uma caixa de correio de descoberta no EAC. Se estiver a utilizar a Shell, especifique a opção de registo completo com o parâmetro LogLevel .
Observação
Ao usar o Shell para criar ou modificar uma pesquisa de Descoberta Eletrônica In-loco, você também pode desabilitar o log.
Além do log da pesquisa incluído quando você copia os resultados da pesquisa para uma caixa de correio de descoberta, o Exchange também registra os cmdlets usados pelo EAC ou pelo Shell para criar, modificar ou remover as pesquisas de Descoberta Eletrônica in-loco. Esta informação é registrada nas entradas de log de auditoria do administrador. Para obter detalhes, consulte Log de auditoria de administrador.
Descoberta Eletrônica In-loco e Retenção In-loco
Como parte das solicitações de Descoberta Eletrônica, você pode ter que preservar o conteúdo de caixas de correio até uma investigação ou ação legal seja concluída. Mensagens excluídas ou alteradas pelo usuário da caixa de correio ou por qualquer processo também devem ser preservadas. No Exchange 2013, isso é feito usando a Retenção In-loco. Para obter detalhes, consulte Suspensão No Local e Suspensão de Litígios.
No Exchange 2013, pode utilizar o novo assistente de Deteção de Dados Eletrónicos No Local & Hold para procurar itens e preservá-los enquanto forem necessários para a Deteção de Dados Eletrónicos ou para cumprir outros requisitos comerciais. Ao usar a mesma pesquisa tanto para a Descoberta Eletrônica In-loco quanto para a Retenção In-loco, esteja ciente do seguinte:
Você não pode usar a opção para pesquisar todas as caixas de correio. Você deve selecionar as caixas de correio ou grupos de distribuição.
Você não pode remover a pesquisa de Descoberta Eletrônica In-loco se a pesquisa também estiver sendo usada para Bloqueio Local. Você precisa desabilitar a opção de Retenção In-loco de uma pesquisa antes de poder removê-la.
Preservar as caixas de correio para a Descoberta Eletrônica In-loco
Quando um funcionário deixa uma organização, é uma prática comum desabilitar ou remover a caixa de correio. Após desabilitar uma caixa de correio, ela é desconectada da conta de usuário mas permanece na caixa de correio por um período determinado - por padrão, 30 dias. O Assistente de Pasta Gerenciada não processa caixas de correio desconectadas, e nenhuma diretiva de retenção é aplicada durante esse período. Você não pode pesquisar o conteúdo da pesquisa de uma caixa de correio desconectada. Ao final do período de retenção de caixa de correio excluída configurado no banco de dados de caixas de correio, a caixa é removida do banco de dados.
Nas implantações locais, se a sua organização exigir que as configurações de retenção sejam aplicadas às mensagens de funcionários que não está mais na organização ou se você precisa reter a caixa de correio de um ex-funcionário para uma pesquisa de Descoberta Eletrônica em andamento ou futura, não desabilite ou remova a caixa de correio. Você pode seguir as etapas a seguir para garantir que a caixa de correio não pode ser acessada e nenhuma nova mensagem será entregue para a mesma.
Desative a conta de utilizador do Active Directory com Utilizadores do Active Directory & Computadores ou outros scripts ou ferramentas de aprovisionamento de contas ou do Active Directory. Isso impede o logon na caixa de correio usando a conta de usuário associada.
Importante
Usuários com permissão de Acesso Total à caixa de correio ainda conseguirão acessar a caixa de correio. Para evitar que outras pessoas acessem a caixa de correio, é necessário remover a permissão de Acesso Total delas. Para obter informações sobre como remover permissões de caixa de correio de Acesso Total numa caixa de correio, consulte Gerir permissões para destinatários.
Defina o limite de tamanho de mensagem para mensagens que podem ser enviadas ou recebidas pelo usuário da caixa de correio para um valor muito baixo, por exemplo, 1KB. Isso impede a entrega de novas mensagens de e para a caixa de correio. Para obter detalhes, consulte Configurar os limites de tamanho de mensagens de uma caixa de correio.
Configurar restrições de entrega para a caixa de correio para que ninguém possa enviar mensagens para ela. Para obter detalhes, consulte Configurar restrições de entrega de mensagens para uma caixa de correio.
Importante
É necessário realizar as etapas acima em conjunto com qualquer outro processo de gerenciamento de conta exigido pela sua organização, mas sem desabilitar ou remover a caixa de correio ou remover a conta de usuário associada.
Ao planear implementar a retenção da caixa de correio para a gestão da retenção de mensagens (MRM) ou In-Place Deteção de Dados Eletrónicos, tem de ter em consideração o volume de negócios dos funcionários. A retenção a longo prazo de caixas de correio de ex-funcionários exigirá armazenamento adicional nos servidores da Caixa de Correio e também resultará num aumento da base de dados do Active Directory, uma vez que requer que a conta de utilizador associada seja mantida durante a mesma duração. Além disso, também pode exigir alterações aos processos de gestão e aprovisionamento de contas da sua organização.
Limites e políticas de limitação da Descoberta Eletrônica In-loco
No Exchange 2013, os recursos que In-Place Deteção de Dados Eletrónicos podem consumir são controlados através de políticas de limitação.
A diretiva padrão de limitação contém os seguintes parâmetros.
Parâmetro | Descrição | Valor padrão |
---|---|---|
DiscoveryMaxConcurrency | O número máximo de pesquisas de Descoberta Eletrônica In-loco que podem ser executados ao mesmo tempo em sua organização. | 2 Nota: se uma pesquisa de Deteção de Dados Eletrónicos for iniciada enquanto duas pesquisas anteriores ainda estiverem em execução, a terceira pesquisa não será colocada em fila e, em vez disso, falhará. Você precisa esperar até que uma das pesquisas anteriores termine antes de iniciar uma nova pesquisa. |
DiscoveryMaxMailboxes | Número máximom de caixas de correio que podem ser pesquisadas em uma única pesquisa de Descoberta Eletrônica In-Loco. | 5.000 |
DiscoveryMaxStatsSearchMailboxes | O número máximo de caixas de correio que podem ser pesquisadas em uma única pesquisa de Descoberta Eletrônica In-loco que ainda permita exibir estatísticas de palavra-chave. | 100 Nota: depois de executar uma estimativa de pesquisa de Deteção de Dados Eletrónicos, pode ver estatísticas de palavras-chave. Essas estatísticas também podem exibir detalhes sobre o número de itens retornados por cada palavra-chave utilizada na consulta de pesquisa. Se mais de 100 caixas de correio de origem forem incluídas na pesquisa, um erro será retornado se você tentar exibir estatísticas de palavra-chave. |
DiscoveryMaxKeywords | Número máximo de palavras-chave que podem ser especificadas em uma única pesquisa de Descoberta Eletrônica In-Loco. | 500 |
DiscoveryMaxSearchResultsPageSize | Número máximo de itens exibidos em uma única página ao visualizar os resultados de pesquisa de Descoberta Eletrônica In-Loco. | 200 |
DiscoverySearchTimeoutPeriod | Número máximo de minutos que uma pesquisa de Descoberta Eletrônica In-Loco será executada antes de atingir o tempo limite. | 10 minutos |
No Exchange Server 2013, você pode alterar os valores padrões para estes parâmetros para adequação às suas necessidades ou criar políticas de limitação adicionais e atribui-las aos usuários com permissão delegada de Gerenciamento de Descoberta.
Documentação de Descoberta Eletrônica In-loco
A tabela a seguir contém links para tópicos que o ajudarão a gerenciar e a saber mais sobre Descoberta Eletrônica In-loco
Tópico | Descrição |
---|---|
Atribuir permissões de descoberta eletrônica no Exchange | Aprenda como conceder acesso a um usuário para usar a Descoberta Eletrônica In-loco no EAC a fim de pesquisar caixas de correio do Exchange. Adicionar um utilizador ao grupo de funções Gestão de Deteção também permite que a pessoa utilize o Centro de Deteção de Dados Eletrónicos no SharePoint 2013 para procurar caixas de correio do Exchange. |
Criar uma caixa de correio de descoberta | Aprenda como usar o Shell para criar uma caixa de correio de descoberta e atribuir permissões de acesso. |
Criar uma pesquisa de Descoberta Eletrônica In-loco | Aprenda como criar uma pesquisa de Descoberta Eletrônica In-loco e como estimar e visualizar os resultados da pesquisa de Descoberta Eletrônica. |
Propriedades de mensagem indexadas pela pesquisa do Exchange | Saiba quais propriedades de mensagem de email podem ser pesquisadas usando a Descoberta eletrônica In-loco. O tópico fornece exemplos de sintaxe para cada propriedade, informações sobre operadores de busca, como E e OU e informações sobre outras técnicas de consulta de pesquisa usando aspas duplas (" ") e prefixos curinga. |
Iniciar ou parar uma pesquisa de descoberta eletrônica In-loco | Aprenda como iniciar, interromper e reiniciar pesquisas de Descoberta Eletrônica. |
Modificar uma pesquisa de descoberta eletrônica In-loco | Aprenda como modificar uma pesquisa de Descoberta Eletrônica existente. |
Copiar os resultados de pesquisa de descoberta eletrônica para uma caixa de correio de descoberta | Aprenda como copiar os resultados de uma pesquisa de Descoberta Eletrônica para uma caixa de correio de descoberta. |
Exportar resultados de pesquisa de Descoberta Eletrônica para um arquivo PST | Aprenda como exportar os resultados de uma pesquisa de Descoberta Eletrônica para um arquivo PST. |
Criar um escopo de gerenciamento personalizado para pesquisas de Descoberta Eletrônica In-loco | Saiba como usar os escopos de gerenciamento personalizados para limitar as caixas de correio que um gerente de descoberta pode pesquisar. |
Remover uma pesquisa de descoberta eletrônica In-loco | Aprenda como excluir uma pesquisa de Descoberta Eletrônica. |
Pesquisar e excluir mensagens no Exchange 2013 | Aprenda a usar o cmdlet Search-Mailbox para pesquisar e excluir mensagens de email. |
Reduzir o tamanho de uma caixa de correio de descoberta no Exchange | Use este processo para reduzir o tamanho de uma caixa de correio de descoberta com tamanho maior do que 50 GB. |
Excluir e recriar a caixa de correio de descoberta padrão no Exchange | Aprenda como excluir, recriar e reatribuir permissões à caixa de correio de descoberta padrão. Use este procedimento se esta caixa de correio tiver excedido o limite de 50 GB e você não precisar dos resultados da pesquisa. |
Eliminar e recriar a caixa de correio de deteção predefinida no Exchange 2013 | Aprenda como recriar a caixa de correio do sistema de descoberta. Esta tarefa é aplicável apenas a organizações Exchange 2013. |
Usando a autenticação OAuth para suportar a Descoberta Eletrônica em uma implantação híbrida do Exchange | Aprenda sobre os cenários de Descoberta Eletrônica em uma implantação híbrida do Exchange que necessitam que você configure a autenticação OAuth. |
Configurar o Exchange para o SharePoint eDiscovery Center | Aprenda como configurar o Exchange 2013 para que você possa usar o Centro de Descoberta Eletrônica no SharePoint 2013 para pesquisar caixas de correio do Exchange. |
Itens não pesquisáveis na Descoberta Eletrônica do Exchange | Aprenda sobre itens da caixa de correio que não podem ser indexados pela Pesquisa do Exchange e são retornados em resultados de pesquisa de Descoberta Eletrônica como itens que não podem ser pesquisados. |
Para obter mais informações sobre a Deteção de Dados Eletrónicos no Microsoft Purview, Office 365, Exchange 2013, SharePoint 2013 e Lync 2013, consulte o artigo Introdução à Deteção de Dados Eletrónicos (Standard).