удержание In-Place и удержание для судебного разбирательства в Exchange 2013
Область применения: Exchange Server 2013 г.
При наличии обоснованных предпосылок для судебных исков организациям требуется сохранять электронные данные (включая почту), связанные с делом. Такие предпосылки нередко возникают до уточнения подробностей дела, и сохранение часто имеет широкие масштабы. Организациям может понадобиться сохранять всю почту, относящуюся к конкретному вопросу, или всю электронную почту отдельных лиц. В зависимости от политики организации в отношении обнаружения электронных данных, можно принять следующие меры по сохранению электронной почты.
Пользователям можно порекомендовать хранить почту, не удаляя сообщения. Однако пользователи все же могут удалять электронную почту намеренно или случайно.
Могут быть приостановлены механизмы автоматического удаления, например управление записями обмена сообщениями. Это может привести к тому, что в почтовых ящиках пользователей будет скапливаться большой объем электронной почты, из-за чего производительность их работы может снижаться. Приостановка автоматического удаления также не мешает пользователям вручную удалять электронную почту.
В некоторых организациях электронная почта копируется или перемещается в архив, что позволяет предотвратить ее удаление, изменение или подмену. Это ведет к повышению расходов, обусловленных необходимостью ручного копирования или перемещения сообщений в архив или внедрения сторонних продуктов для сбора и хранения электронной почты вне Exchange.
Отсутствие возможности хранения электронной переписки может подвергнуть организацию юридическим и финансовым рискам, например к критическому анализу процессов обнаружения и хранения записей в организации, неблагоприятным судебным решениям, санкциям или штрафам.
С помощью хранения на месте и хранения для судебного разбирательства можно решать следующие задачи:
Помещать почтовые ящики пользователей на хранение и хранить их элементы без изменений.
Хранить элементы почтовых ящиков, удаленные вручную или автоматически, например службой управления записями сообщений.
Использовать хранение на месте на основе запросов для поиска и хранения элементов, соответствующих определенным условиям.
Хранить элементы бесконечно или в течение заданного периода времени.
Устанавливать несколько запретов на удаление для разных дел или расследований.
Скрывать запреты на удаление от пользователя, так как работа службы управления записями сообщений не прерывается.
Включать поиск с обнаружением электронных данных на месте для элементов, помещенных на хранение.
Сценарии хранения на месте
В предыдущих версиях Exchange понятие удержания по закону заключается в том, чтобы хранить все данные почтового ящика пользователя на неопределенный срок или до тех пор, пока удержание не будет удалено. В Exchange 2013 In-Place hold включает новую модель, которая позволяет указать следующие параметры:
Что хранить. Вы можете указать, какие элементы следует хранить, используя параметры запроса, такие как ключевые слова, отправители и получатели, даты начала и окончания, а также указать типы сообщений, такие как сообщения электронной почты или элементы календаря, которые нужно поместить на удержание.
Срок хранения. Вы можете указать длительность для элементов на удержании.
С помощью этой новой модели удержание на месте позволяет создавать структурированные политики удержания, чтобы сохранять элементы почтовых ящиков в следующих случаях:
Неопределенное удержание. Сценарий неограниченного удержания аналогичен удержанию для судебного разбирательства. Он предназначен для сохранения элементов почтового ящика, чтобы вы могли соответствовать требованиям к обнаружению электронных данных. В период судебного разбирательства или расследования элементы не удаляются. Длительность не известна заранее, поэтому дата окончания не настраивается. Чтобы хранить все элементы почты на неопределенный срок, при создании In-Place удержания не указываются параметры запроса или длительность времени.
Удержание на основе запросов Если ваша организация сохраняет элементы на основе заданных параметров запроса, можно использовать In-Place удержание на основе запросов. Вы можете указать такие параметры запроса, как ключевые слова, даты начала и окончания, адреса отправителей и получателей, а также типы сообщений. После создания удержания на месте на основе запроса сохраняются все соответствующие параметрам запроса элементы почтового ящика (как существующие, так и создаваемые в будущем, включая сообщения, которые будут получены позже).
Важно!
Элементы, которые помечены как недоступные для поиска, как правило, из-за неспособности индексировать вложение, также сохраняются, так как невозможно определить, соответствуют ли они параметрам запроса. Дополнительные сведения о элементах, не доступных для поиска, см. в разделе Неискируемые элементы в Exchange eDiscovery.
Удержание на основе времени. Хранение In-Place и удержание для судебного разбирательства позволяют указать длительность хранения элементов. Этот срок рассчитывается с даты получения или создания элемента почтового ящика.
Если ваша организация требует, чтобы все элементы почтового ящика сохранялись в течение определенного периода времени, можно создать удержание на основе времени. Например, рассмотрим почтовый ящик в режиме удержания на месте на основе времени со сроком хранения 365 дней. Если элемент в этом почтовом ящике удаляется через 300 дней после даты получения, он удерживается еще 65 дней, прежде чем будет окончательно удален. Хранение на месте с учетом времени можно использовать в сочетании с политикой хранения, чтобы элементы гарантированно сохранялись в течение указанного периода и окончательно удалялись после его завершения.
При удержании на месте можно указать для пользователя несколько сценариев удержания. В этом случае поисковые запросы от сценариев удержания по запросу объединяются (с помощью операторов OR ). При этом максимальное количество ключевых слов во всех сценариях удержания по запросу, назначенных для почтового ящика, не должно превышать 500. Если ключевых слов больше, на хранение помещается все содержимое почтового ящика, а не только то, которое соответствует критериям поиска. Все содержимое удерживается, пока общее количество ключевых слов не станет равно или меньше 500.
Удержание на месте и хранение для судебного разбирательства
Функция удержания для судебного разбирательства, представленная в Exchange 2010 для хранения данных для обнаружения электронных данных, по-прежнему доступна в Exchange 2013. Хранение для судебного разбирательства использует свойство LitigationHoldEnabled почтового ящика. В то время как In-Place удержание предоставляет возможность детализированного удержания на основе параметров запроса и возможность размещения нескольких удержаний, удержание для судебного разбирательства позволяет только поместить все элементы на удержание. Вы также можете указать период длительности хранения элементов, когда почтовый ящик помещается в удержание для судебного разбирательства. Этот срок рассчитывается с даты получения или создания элемента почтового ящика. Если длительность не задана, элементы хранятся на неопределенный срок или до тех пор, пока удержание не будет удалено.
При одновременном размещении почтового ящика в одном или нескольких In-Place удержании и удержании для судебного разбирательства (без периода длительности) все элементы хранятся на неопределенный срок или до тех пор, пока удержание не будет удалено. Если вы удаляете удержание для судебного разбирательства и пользователь по-прежнему помещается в один или несколько In-Place удержаний, элементы, соответствующие условиям In-Place удержания, удерживаются в течение периода, указанного в параметрах удержания. При перемещении почтового ящика, который находится на удержании для судебного разбирательства в Exchange 2010, на сервер почтовых ящиков Exchange 2013 параметр Удержание для судебного разбирательства продолжает применяться, гарантируя соблюдение требований соответствия требованиям во время и после перемещения.
Примечание.
Если вы задаете для почтового ящика хранение на месте или хранение для судебного разбирательства, удержание распространяется как на основной, так и на архивный почтовые ящики. Если вы задаете для основного почтового ящика, размещенного на локальном сервере, хранение в гибридной среде Exchange, архивный почтовый ящик в облаке (если он включен) также помещается на хранение.
Дополнительные сведения см. в следующих разделах:
Включение для почтового ящика удержания на месте
Полномочные пользователи, добавленные в группу ролей управления доступом на основе ролей Discovery Management или которым назначены роли управления удержанием по юридическим причинам или поиском в почтовых ящиках, могут перевести пользователей почтовых ящиков в режим на удержания на месте. Эту задачу можно делегировать диспетчерам записей, ответственным за обеспечение соответствия требованиям, или юристам организации, предоставляя при этом минимально необходимый уровень привилегий. Дополнительные сведения о назначении группы ролей "Управление обнаружением" см. в статье Назначение разрешений на обнаружение электронных данных в Exchange.
Важно!
В Exchange 2010 роль удержания по юридическим причинам предоставила пользователям достаточно разрешений на применение к почтовым ящикам хранения для судебного разбирательства. В Exchange 2013 то же разрешение можно использовать для размещения почтовых ящиков в режим удержания на месте в течение неопределенного периода времени или на основе времени. Однако, чтобы создать на основе запроса на месте удержание, пользователю должна быть назначена роль поиска в почтовых ящиках. То есть обе эти группы ролей Управление обнаружением ролей.
In Exchange 2013, In-Place Hold functionality is integrated with In-Place eDiscovery searches. Вы можете использовать мастер & удержания электронных данных на месте в Центре администрирования Exchange (EAC) или New-MailboxSearch и связанные командлеты в командной консоли Exchange, чтобы разместить почтовый ящик в In-Place удержания. To learn more about placing a mailbox on In-Place Hold, see Create or remove an In-Place Hold.
Примечание.
Если при подготовке облачного архива для локальных почтовых ящиков используется архивация на базе Exchange Online, хранением на месте необходимо управлять из локальной организации Exchange 2013. Параметры хранения автоматически передаются в облачный архив с помощью DirSync. Как отмечалось выше, вместе с локальным почтовым ящиком на хранение помещается и соответствующий облачный архив.
Во многих организациях уведомление пользователей о включении режима хранения является обязательным. Кроме того, когда почтовый ящик находится на хранении, не требуется приостанавливать действие политик хранения, применяемых к пользователю почтового ящика. Так как сообщения продолжают удаляться как обычно, пользователи могут не замечать, что включен режим хранения. Если в вашей организации уведомление пользователей о включении режима хранения является обязательным, добавьте уведомление в свойство пользователя почтового ящика Retention Comment и используйте свойство RetentionUrl, чтобы предоставить ссылку на веб-страницу с дополнительной информацией. В Outlook 2010 и более поздних версий уведомление и URL-адрес отображаются в области Backstage. Чтобы добавить эти свойства почтового ящика и управлять ими, используйте командную консоль Exchange.
Функции хранения и папка "Элементы с возможностью восстановления"
При хранении на месте и хранении для судебного разбирательства для удержания элементов используется папка корзины. Папка "Элементы с возможностью восстановления" заменяет функцию, которая в предыдущих версиях Exchange называется контейнером. Папка "Элементы с возможностью восстановления" скрыта в представлении по умолчанию outlook, Outlook Web App и других почтовых клиентов. Дополнительные сведения о папке "Элементы с возможностью восстановления" см. в разделе Папка "Элементы с возможностью восстановления".
По умолчанию при удалении сообщения из папки, отличной от папки "Удаленные", сообщение перемещается в папку "Удаленные". Это называется перемещением. Когда пользователь обратимых удалений элемент (опытный, нажав клавишу SHIFT и Delete) или удаляет элементы из папки Удаленные, то сообщение перемещается в папку корзины, таким образом, исчезает для данного пользователя.
Элементы хранятся в папке элементов для восстановления в течение срока хранения удаленных элементов, настроенного для базы данных почтовых ящиков пользователя. По умолчанию период хранения удаленного элемента в базах данных почтовых ящиков равен 14 дням. Вы также можете настроить квоту хранения для папки корзины. Это позволяет защитить организацию от возможной атаки типа "отказ в обслуживании", проводимой путем быстрого увеличения объема папки корзины и самой базы данных почтовых ящиков. Если к почтовому ящику не применялось хранение на месте или хранение для судебного разбирательства, из папки корзины при превышении квоты предупреждения или срока хранения удаленных элементов будут безвозвратно удаляться элементы в порядке их поступления.
Папка корзины содержит следующие вложенные папки, которые позволяют хранить удаленные элементы в разных расположениях и упрощают хранение на месте и хранение для судебного разбирательства:
Удаления. Элементы, удаленные из папки "Удаленные" или обратимо удаленные из других папок, перемещаются во вложенную папку Удаления и отображаются пользователю при использовании функции "Восстановить удаленные" в Outlook и Outlook Web App. По умолчанию элементы находятся в этой папке до тех пор, пока не истечет срок хранения удаленных элементов, настроенный для базы данных почтовых ящиков, или до истечения срока хранения почтового ящика.
Очистка. Когда пользователь удаляет элемент из папки "Элементы с возможностью восстановления" (с помощью средства "Восстановить удаленные" в Outlook и Outlook Web App, элемент перемещается в папку Очистка. Элементы, для которых истек период хранения, заданный для базы данных почтовых ящиков, также перемещаются в эту папку. Элементы в этой папке не будут видимы пользователям, использующим средство восстановления удаленных элементов. Когда помощник по обслуживанию почтовых ящиков обрабатывает почтовый ящик, элементы в папке "Очистка" удаляются из базы данных почтовых ящиков. Когда вы помещите пользователя почтового ящика в хранилище для судебного разбирательства, почтовый ящик помощник не очищает элементы в этой папке.
DiscoveryHold. Если пользователь помещается в In-Place удержание, удаленные элементы перемещаются в эту папку. Когда помощник по обслуживанию почтовых ящиков обрабатывается почтовый ящик, он оценивает сообщений в этой папке. Соответствие элементов на месте сохраняются до тех пор, пока вопрос удержания период удержания заданного в запросе. Если период удержания не указан, неопределенное время или до тех пор, пока пользователь не удаляется из удержания.
Версии. Когда пользователь помещается в In-Place удержание или удержание для судебного разбирательства, элементы почтового ящика должны быть защищены от незаконного изменения или изменения пользователем или процессом. Для этого используется процесс копирования при записи. Когда пользователь или процесс изменяет определенные свойства элемента почтового ящика, копия исходного объекта сохраняется в папке версий, прежде чем изменение будет совершено. Процесс повторяется для последующих изменений. Сообщения, попавшие в папку версий, также индексируются и возвращаются во время обнаружения электронных данных на месте. После удаления сценария хранения помощник по обслуживанию управляемых папок удаляет копии из папки "Версии".
| Тип элемента | Свойства, активирующие копирование при записи |
|---|---|
| Сообщения (IPM.Note*) Сообщения (IPM.Post*) |
Subject Текст сообщения Вложения Отправители и получатели Даты отправки и получения |
| Элементы, отличные от сообщений | Любые изменения видимых свойств за исключением следующих: Расположение элемента (когда элемент перемещается между папками) Изменение состояния элемента (прочитан или не прочитан) Изменения тега хранения, примененного к элементу |
| Элементы в папке "Черновики" по умолчанию | Нет (элементы в папке "Черновики", для которых отменено копирование при записи) |
Важно!
Помощник по восстановлению календаря определяет, что некоторые участники ответили на приглашение на собрание в форме "Принять" или "Под вопросом" и этот элемент отсутствует в календаре участника. Для элементов календаря и элементов с заданным напоминанием функция копирования при записи отключена для свойств ReminderTime и ReminderSignalTime. Изменения этих свойств не фиксируются функцией копирования при записи. Изменения в RSS-каналах не фиксируются функцией копирования при записи.
Хотя папки "DiscoveryHold", "Очистка" и "Версии" не видны пользователям, все элементы в папке корзины индексируются службой поиска Exchange и могут обнаруживаться в процессе локального обнаружения электронных данных. После удаления сценария хранения на месте или хранения для судебного разбирательства, примененного к пользователю почтового ящика, помощник по обслуживанию управляемых папок удаляет элементы из папок DiscoveryHold, "Очистка" и "Версии".
Запреты на удаление и квоты почтового ящика
Элементы в папке корзины не учитываются в квоте почтового ящика пользователя. В Exchange папка корзины имеет свою собственную квоту. Для Exchange значения по умолчанию для свойств почтовых ящиков RecoverableItemsWarningQuota и RecoverableItemsQuota имеют значение 20 ГБ и 30 ГБ соответственно. Чтобы изменить эти значения для базы данных почтовых ящиков в Exchange Server 2013, используйте командлет Set-MailboxDatabase. Чтобы изменить их для отдельных почтовых ящиков, используйте командлет Set-Mailbox.
Если папка "Элементы с возможностью восстановления" пользователя превышает квоту предупреждений для восстанавливаемых элементов (как указано в параметре RecoverableItemsWarningQuota ), событие регистрируется в журнале событий приложений сервера почтовых ящиков. Когда папка превышает квоту для восстанавливаемых элементов (как указано в параметре RecoverableItemsQuota ), пользователи не смогут очистить папку "Удаленные" или окончательно удалить элементы почтового ящика. Функция копирования при записи также не сможет создавать копии изменяемых элементов. Поэтому критически важно отслеживать квоты папки элементов с возможностью восстановления для пользователей почтовых ящиков, помещенных в режим удержания на месте.
В Exchange Online квота для папки "Элементы с возможностью восстановления" (в основном почтовом ящике пользователя) автоматически увеличивается до 100 ГБ при помещения почтового ящика в хранилище для судебного разбирательства или In-Place удержания. Когда размер папки "Элементы с возможностью восстановления" в основном почтовом ящике на удержании будет приближаться к предельному значению квоты хранилища, можно выполнить следующие действия:
Включите архивный почтовый ящик и включите архивацию с автоматическим расширением. Вы можете включить неограниченный объем хранилища для папки "Элементы с возможностью восстановления", просто включив архивный почтовый ящик, а затем включив функцию архивации с автоматическим расширением в Exchange Online. Это приводит к 100 ГБ для папки "Элементы с возможностью восстановления" в основном почтовом ящике и неограниченному объему хранилища для папки "Элементы с возможностью восстановления" в архиве пользователя. См. инструкции: Включение архивных почтовых ящиков на портале соответствия требованиям и Включение неограниченной архивации — Администратор справке.
Примечания.
Если объем данных в папке "Элементы с возможностью восстановления" почтового ящика, для которого включен архив, скоро превысит квоту хранилища, может понадобиться вручную запустить обработку этого ящика с использованием помощника по работе с управляемыми папками, чтобы переместить элементы с истекшим сроком действия в папку "Элементы с возможностью восстановления" в архивном почтовом ящике. Инструкции см. в разделе Шаг 4 статьи Увеличение квоты элементов с возможностью восстановления для почтовых ящиков на удержании.
Обратите внимание на то, что другие элементы в почтовом ящике пользователя могут быть перемещены в новый архивный почтовый ящик. Рекомендуем после включения архивного почтового ящика сообщить пользователю, что это может произойти.
Создание настраиваемой политики хранения для почтовых ящиков на удержании Помимо включения архивного почтового ящика и автоматического расширения архивации для почтовых ящиков в режиме удержания для судебного разбирательства или In-Place удержания, также может потребоваться создать настраиваемую политику хранения для почтовых ящиков на удержании. Это позволяет применять политику хранения к почтовым ящикам, которые не удерживаются, и политика MRM по умолчанию применяется к почтовым ящикам, которые не удерживаются. Это позволяет применять теги хранения, специально предназначенные для почтовых ящиков на удержании. Сюда входит создание нового тега хранения для папки "Элементы с возможностью восстановления".
Дополнительные сведения см. в статье Увеличение квоты элементов с возможностью восстановления для почтовых ящиков на удержании.
Запреты на удаление и пересылка электронной почты
Настроить пересылку электронной почты для своего почтового ящика можно с помощью Outlook и Outlook Web App. Пользователи могут настроить пересылку отправляемых им сообщений в другие почтовые ящики в вашей организации или за ее пределами. Пересылку электронной почты можно настроить так, чтобы сообщения, отправляемые в исходный почтовый ящик, не копировались в него, а отправлялись на указанный адрес пересылки.
Что будет, если для почтового ящика на хранении настроена пересылка электронной почты и сообщения не копируются в исходный почтовый ящик?
Если сообщения пересылаются в другой почтовый ящик и не копируются в исходный, они не сохраняются в папке корзины. Это значит, что найти пересланные сообщения с помощью функции обнаружения электронных данных на месте будет невозможно. Чтобы устранить эту проблему, организации Exchange 2013 могут запретить пользователям настраивать пересылку электронной почты.
Хранение архивированного содержимого Lync
Exchange 2013, Microsoft Lync 2013 и Microsoft SharePoint 2013 обеспечивают интегрированное сохранение и обнаружение электронных данных, что позволяет хранить и искать элементы в различных хранилищах данных. Exchange 2013 позволяет архивировать контент Lync Server 2013 в Exchange, благодаря чему отсутствует требование о наличии отдельной базы данных SQL Server для хранения архивированного контента Lync. Интегрированная способность удержания и eDiscovery позволяет SharePoint 2013 в сохранения и поиска данных в хранилищах с одной консоли.
Когда вы применяете к почтовому ящику Exchange 2013 хранение на месте или хранение для судебного разбирательства, содержимое Microsoft Lync 2013 (например, мгновенные сообщения и файлы, к которым был предоставлен общий доступ на собрании по сети) архивируется в почтовом ящике. Если поиск eDiscovery почтовых ящиков в центр помощи Microsoft SharePoint 2013 или на месте в eDiscovery Exchange 2013, любые архивные Lync сопоставление контента поисковый запрос, также возвращаются в результатах поиска. Также можно ограничить поиск содержимым ящика хранятся в Lync.
Чтобы включить архивацию содержимого Lync в почтовом ящике Exchange 2013, необходимо настроить интеграцию Lync 2013 с Exchange 2013. Дополнительные сведения см. в следующих разделах:
Удаление почтового ящика на хранении
Если администратор удаляет учетную запись пользователя, с которой связан почтовый ящик, то банк данных Exchange со временем обнаружит, что почтовый ящик больше не подключен к учетной записи пользователя, и пометит этот почтовый ящик как подлежащий удалению, даже если он находится на хранении. Чтобы сохранить почтовый ящик, сделайте следующее:
Не удаляйте учетную запись пользователя, а отключите ее.
Измените свойства почтового ящика, чтобы ограничить его использование и доступ к нему. Например, установите для квот на отправку и получение значение 1, заблокируйте потенциальных отправителей сообщений на этот почтовый ящик и ограничьте возможность доступа к нему.
Храните почтовый ящик, пока не будут удалены все данные или не исчезнет потребность в их хранении.
Перенос почтовых ящиков при удержании из Exchange 2013 в Microsoft 365 или Office 365
Если у вас есть гибридное развертывание Exchange, при перемещении (подключении) локального почтового ящика Exchange 2013 в Exchange Online в Microsoft 365 или Office 365 выполняются следующие условия:
Если локальный почтовый ящик помещен на хранение для судебного разбирательства или хранение на месте, параметры хранения сохраняются после переноса почтового ящика в Exchange Online.
Если локальный почтовый ящик помещен на хранение для судебного разбирательства или хранение на месте, все содержимое папки корзины перемещается в почтовый ящик Exchange Online.
Примечание.
Параметры хранения и содержимое папки корзины также сохраняются при переносе почтового ящика Exchange Online в локальную организацию Exchange 2013.
Существуют другие способы переноса локальных данных электронной почты в Microsoft 365 или Office 365, например с помощью промежуточной миграции Exchange или прямой миграции Exchange.
Поэтапную миграцию можно использовать для переноса почтовых ящиков из Exchange 2003 или Exchange 2007 в Office 365. В этих версиях Exchange папка "Элементы с возможностью восстановления" (и ее функции) не существует. Таким образом, при переносе почтовых ящиков Exchange 2003 или Exchange 2007 в Microsoft 365 или Office 365 содержимое папки "Элементы с возможностью восстановления" не перемещается.
Прямую миграцию можно использовать для переноса почтовых ящиков из Exchange 2003, Exchange 2007 и Exchange 2010 в Microsoft 365 или Office 365. Как отмечалось выше, в почтовых ящиках Exchange 2003 и Exchange 2007 папка корзины отсутствует. Так как папка "Элементы восстановления" появилась в Exchange 2010, содержимое папки "Элементы с возможностью восстановления" переносится в Microsoft 365 или Office 365 при использовании прямой миграции для переноса почтовых ящиков Exchange 2010.
Совет
Для Exchange 2013 и Exchange 2010 гибридное развертывание Exchange является рекомендуемым способом переноса локальных почтовых ящиков в Microsoft 365 или Office 365.