In-Place обнаружение электронных данных в Exchange 2013
Область применения: Exchange Server 2013 г.
Если ваша организация придерживается юридических требований обнаружения (связанных с политикой организации, соответствием требованиям или судебными исками), In-Place обнаружение электронных данных в Microsoft Exchange Server 2013 может помочь вам выполнить поиск соответствующего содержимого в почтовых ящиках. Exchange 2013 также предлагает возможность федеративного поиска и интеграцию с Microsoft SharePoint 2013. С помощью Центра обнаружения электронных данных в SharePoint можно искать и хранить все содержимое, связанное с делом, включая веб-сайты SharePoint 2013, документы, общие папки, индексированные SharePoint, содержимое почтовых ящиков в Exchange и архивное содержимое Lync 2013. Вы также можете использовать функцию обнаружения электронных данных на месте в гибридной среде Exchange для поиска в локальных и облачных почтовых ящиках с использованием одной и той же операции поиска.
Важно!
In-Place обнаружение электронных данных — это мощная функция, которая позволяет пользователю с правильными разрешениями получить доступ ко всем записям обмена сообщениями, хранящимся в организации Exchange 2013. Очень важно отслеживать и контролировать действия пользователей по обнаружению, в том числе по добавлению участников в группу ролей управления обнаружением и предоставлению доступа к почтовым ящикам найденных сообщений.
Принципы работы обнаружения электронных данных на месте
В электронном обнаружении на месте используются индексы содержимого, созданные службой поиска Exchange. Функция управления доступом на основе ролей (RBAC) позволяет группе ролей Управление обнаружением делегировать задачи обнаружения нетехническому персоналу без необходимости предоставлять пользователям расширенные права, с помощью которых они могут вносить изменения в конфигурацию Exchange. В Центре администрирования Exchange (EAC) представлен интерфейс поиска, простой для использования нетехническим персоналом, например юристами и должностными лицами, отвечающими за соблюдение нормативных требований, делопроизводителями и сотрудниками кадрового отдела.
Авторизованные пользователи могут выполнять обнаружение электронных данных на месте, выбирая почтовые ящики и указывая условия поиска, такие как ключевые слова, начальная и конечная дата, адреса отправителей и получателей, а также типы сообщений. После завершения поиска авторизованные пользователи могут выбрать одно из следующих действий:
Оценка результатов поиска. Этот параметр позволяет получить оценку общего размера и количества элементов, которые будут возвращены на основании установленных критериев.
Предварительный просмотр результатов поиска Этот параметр предоставляет предварительный просмотр результатов. Отображаются сообщения, возвращенные из каждого включенного в поиск почтового ящика.
Копирование результатов поиска. Используйте этот параметр для копирования сообщений в почтовый ящик найденных сообщений.
Экспорт результатов поиска. После копирования результатов поиска в почтовый ящик найденных сообщений их можно экспортировать в PST-файл.
Служба поиска Exchange
В электронном обнаружении на месте используются индексы содержимого, созданные службой поиска Exchange. Служба поиска Exchange была модернизирована и теперь использует Microsoft Search Foundation, мощную платформу с более высокой производительностью индексации и запросов, а также улучшенным поиском. Так как Microsoft Search Foundation также используется другими продуктами Office, включая SharePoint 2013, эта платформа обеспечивает более высокий уровень взаимодействия и сходный синтаксис запросов в этих продуктах.
Благодаря единому механизму индексации содержимого для функции обнаружения электронных данных на месте не требуются дополнительные ресурсы для сканирования и индексации баз данных почтовых ящиков при получении ИТ-отделом запросов на электронное обнаружение.
Функция обнаружения электронных данных на месте использует язык запросов ключевых слов (KQL), синтаксис запросов, аналогичный расширенному синтаксису запросов (AQS), используемому службой быстрого поиска в Microsoft Outlook и Outlook Web App. Пользователи, знакомые с синтаксисом KQL, могут легко создать сложные поисковые запросы для поиска индексов содержимого.
Дополнительные сведения о форматах файлов, индексируемых поиском Exchange, см. в разделе Форматы файлов, индексируемые службой поиска Exchange.
Группа ролей управления обнаружением и роли управления
Чтобы авторизованные пользователи могли выполнять поиск методом обнаружения электронных данных на месте, их нужно добавить в группу ролей Управление обнаружением. Данная группа ролей состоит из двух ролей управления: Роль поиска в почтовом ящике, которая позволяет пользователям выполнять поиск методом обнаружения электронных данных на месте, и Роль хранения для судебного разбирательства, которая позволяет размещать почтовые ящики на хранение на месте или на хранение для судебного разбирательства.
По умолчанию разрешения для выполнения задач, связанных с электронным обнаружением на месте, не назначаются пользователям или администраторам Exchange. Администраторы Exchange, входящие в группу роли управления организацией, могут добавлять пользователей в группу роли управления обнаружением и создавать настраиваемые группы ролей для сужения области менеджера по обнаружению до подмножества пользователей. Дополнительные сведения о добавлении пользователей в группу ролей "Управление обнаружением" см. в статье Назначение разрешений на обнаружение электронных данных в Exchange.
Важно!
Пользователям, которые не добавлены в группу ролей управления обнаружением или которым не назначена роль поиска в почтовых ящиках, недоступен пользовательский интерфейс Обнаружение электронных данных и хранение на месте в EAC, а командлеты обнаружения электронных данных на месте недоступны в командной консоли Exchange.
Аудит изменений в роли RBAC, включенный по умолчанию, обеспечивает ведение соответствующих записей для отслеживания назначений группы ролей управления обнаружением. Отчет о группе ролей администраторов используется для поиска изменений в группах ролей администраторов. Подробнее см. в разделе Search the role group changes or administrator audit logs.
Настраиваемые области управления для обнаружения электронных данных на месте
Вы можете использовать настраиваемую область управления, чтобы позволить определенным пользователям или группам использовать In-Place eDiscovery для поиска подмножества почтовых ящиков в организации Exchange 2013. Например, вам может потребоваться разрешить менеджеру по обнаружению выполнять поиск только в почтовых ящиках пользователей, относящихся к определенному расположению или отделу. Для этого следует создать настраиваемую область управления, которая использует фильтр получателей для управления тем, в каких почтовых ящиках можно выполнять поиск. Области фильтра получателей используют фильтры для выделения определенных получателей на основе типа или других свойств получателя.
Для обнаружения электронных данных на месте создать фильтр подключения настраиваемой области можно только с помощью членства в группе рассылки. При использовании других свойств, таких как CustomAttributeN, Department или PostalCode, поиск завершается ошибкой, когда он выполняется членом группы ролей, которому назначен пользовательский область. Подробнее см. в разделе Create a custom management scope for In-Place eDiscovery searches.
Интеграция с SharePoint Server
Exchange Server предлагает интеграцию с SharePoint Server, что позволяет диспетчеру обнаружения использовать Центр обнаружения электронных данных в SharePoint для выполнения следующих задач:
Поиск и сохранение содержимого из одного расположения. Авторизованный диспетчер обнаружения может выполнять поиск и сохранение содержимого в SharePoint и Exchange, включая содержимое Lync, например беседы с мгновенными сообщениями и документы общих собраний, архивированные в почтовых ящиках Exchange.
Управление делами. Центр обнаружения электронных данных использует подход к управлению случаями для обнаружения электронных данных, позволяющий создавать случаи, а также искать и сохранять содержимое в разных репозиториях содержимого для каждого случая.
Экспорт результатов поиска. Диспетчер обнаружения может использовать Центр обнаружения электронных данных для экспорта результатов поиска. Содержимое почтового ящика, включенное в результаты поиска, экспортируется в PST-файл.
SharePoint также использует Microsoft Search Foundation для индексации и запросов содержимого. Независимо от того, использует ли менеджер по обнаружению EAC или центр обнаружения электронных данных для поиска содержимого Exchange, возвращается одно и то же содержимое почтового ящика.
В локальных развертываниях, прежде чем использовать Центр обнаружения электронных данных в SharePoint для поиска почтовых ящиков Exchange, необходимо установить доверие между двумя приложениями. В Exchange 2013 и SharePoint 2013 это делается с помощью проверки подлинности OAuth. Сведения см. в разделе Configure Exchange for SharePoint eDiscovery Center. Поиск по обнаружению электронных данных, выполняемый из SharePoint, авторизован Exchange с помощью RBAC. Чтобы пользователь SharePoint мог выполнять поиск в почтовых ящиках Exchange для обнаружения электронных данных, ему должно быть назначено делегированное разрешение на управление обнаружением в Exchange. Чтобы иметь возможность предварительного просмотра содержимого почтового ящика, возвращаемого при поиске eDiscovery, выполненном с помощью SharePoint eDiscovery Center, у диспетчера обнаружения должен быть почтовый ящик в той же организации Exchange.
Обнаружение электронных данных при гибридном развертывании Exchange
Чтобы успешно выполнять поиск по локальному обнаружению электронных данных в гибридной организации Exchange 2013, необходимо настроить проверку подлинности OAuth (открытая авторизация) между локальными и Exchange Online организациями Exchange, чтобы можно было использовать In-Place eDiscovery для поиска в локальных и облачных почтовых ящиках. Проверка подлинности OAuth это протокол межсерверной проверки подлинности, который позволяет приложениям проверять подлинность друг друга.
Проверка подлинности OAuth поддерживает приведенные ниже сценарии обнаружения электронных данных при гибридном развертывании Exchange.
Поиск локальных почтовых ящиков, использующих архивацию на базе Exchange Online для облачных архивных почтовых ящиков.
Поиск в локальных и облачных почтовых ящиках в рамках одного сеанса обнаружения электронных данных.
Поиск в локальных почтовых ящиках с помощью Центра обнаружения электронных данных в SharePoint Online.
Дополнительные сведения о сценариях обнаружения электронных данных, требующих настройки проверки подлинности OAuth в гибридном развертывании Exchange, см. в статье Использование проверки подлинности OAuth для поддержки обнаружения электронных данных в гибридном развертывании Exchange. Пошаговые инструкции по настройке проверки подлинности OAuth для поддержки обнаружения электронных данных см. в разделе Настройка проверки подлинности OAuth между организациями Exchange и Exchange Online.
Почтовые ящики обнаружения
После создания запроса на обнаружение электронных данных на месте результаты поиска можно скопировать в целевой почтовый ящик. Центр администрирования Exchange позволяет выбрать почтовый ящик найденных сообщений в качестве целевого. Почтовый ящик найденных сообщений это специальный почтовый ящик, который предоставляет приведенные ниже возможности.
Более простой и безопасный выбор целевого почтового ящика. Если вы используете EAC для копирования In-Place результатов поиска eDiscovery, только почтовые ящики обнаружения становятся доступными в виде репозитория, в котором будут храниться результаты поиска. Это исключает необходимость сортировать длинный список почтовых ящиков, доступных в организации. Кроме того, исключается вероятность случайного выбора менеджером по обнаружению почтового ящика другого пользователя или незащищенного почтового ящика для хранения потенциально конфиденциального содержимого сообщений.
Квота хранилища больших почтовых ящиков. Целевой почтовый ящик должен иметь возможность хранить большой объем данных сообщений, которые могут быть возвращены In-Place поиска eDiscovery. По умолчанию почтовые ящики найденных сообщений имеют квоту хранилища почтовых ящиков 50 гигабайт (ГБ). Эту квоту увеличить нельзя.
Более безопасный по умолчанию: как и все типы почтовых ящиков, почтовый ящик обнаружения имеет связанную учетную запись пользователя Active Directory. Однако по умолчанию эта учетная запись отключена. К почтовому ящику найденных сообщений имеют доступ только явно авторизованные пользователи. Участники группы ролей управления обнаружением имеют права на полный доступ к почтовому ящику найденных сообщений по умолчанию. Однако разрешения на доступ к дополнительным почтовым ящикам найденных сообщений не назначаются ни для каких пользователей.
Email доставка отключена. Хотя они отображаются в списках адресов Exchange, пользователи не могут отправлять сообщения электронной почты в почтовый ящик обнаружения. Доставка электронной почты в почтовые ящики найденных сообщений запрещена с помощью ограничений доставки. Это сохраняет целостность результатов поиска, скопированных в почтовый ящик найденных сообщений.
Программа установки Exchange создает один почтовый ящик обнаружения с отображаемым именем Почтовый ящик поиска обнаружения. Создать дополнительные почтовые ящики обнаружения можно с помощью командной консоли Exchange. По умолчанию создаваемые почтовые ящики найденных сообщений не имеют назначенных прав доступа к почтовым ящикам. Для доступа к сообщениям, скопированным в почтовый ящик найденных сообщений, менеджеру по обнаружению можно назначить права полного доступа Дополнительные сведения см. Дополнительные сведения см. в статье Создание почтового ящика обнаружения.
Функция обнаружения электронных данных на месте также использует системные почтовые ящики с отображаемым именем SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} для хранения метаданных обнаружения электронных данных на месте. Системные почтовые ящики не отображаются в EAC или в списках адресов Exchange. Прежде чем удалить в локальной организации базу данных почтовых ящиков, в которой размещен системный почтовый ящик, используемый функцией обнаружения электронных данных на месте, вы должны переместить этот почтовый ящик в другую базу данных. Если почтовый ящик удален или поврежден, менеджеры по обнаружению не смогут выполнять поиски методом обнаружения электронных данных до тех пор, пока почтовый ящик не будет создан повторно. Дополнительные сведения см. в статье Удаление и повторное создание почтового ящика обнаружения по умолчанию в Exchange 2013.
Использование обнаружения электронных данных на месте
Поиск методом обнаружения электронных данных на месте могут выполнять пользователи, которые были добавлены в группу ролей управления обнаружением. Поиск можно выполнить с помощью веб-интерфейса в EAC. Он облегчает нетехническому персоналу (делопроизводителям, должностным лицам, отвечающим за соблюдение нормативных требований, юристам или сотрудникам отдела кадров) выполнение обнаружение электронных данных на месте. Для выполнения поиска можно также использовать командную консоль. Дополнительные сведения см. в статье Создание In-Place поиска eDiscovery.
Примечание.
В локальных организациях можно использовать In-Place eDiscovery для поиска почтовых ящиков, расположенных на серверах почтовых ящиков Exchange 2013. Для поиска почтовых ящиков, расположенных на серверах почтовых ящиков Exchange 2010, используйте поиск в нескольких почтовых ящиках на сервере Exchange 2010. >> В гибридном развертывании, которое представляет собой среду, в которой некоторые почтовые ящики существуют на локальных серверах почтовых ящиков, а некоторые — в облачной организации, можно выполнять поиск In-Place обнаружения электронных данных в облачных почтовых ящиках с помощью EAC в локальной организации. Если вы планируете копировать сообщения в почтовый ящик обнаружения, необходимо выбрать локальный почтовый ящик обнаружения. В него будут копироваться сообщения из облачных почтовых ящиков, возвращаемые в результатах поиска. Дополнительные сведения о гибридных развертываниях см. в разделе Exchange Server 2013 Hybrid Deployments.
Мастер & удержания электронных данных на месте в EAC позволяет создать In-Place поиска eDiscovery, а также использовать In-Place удержание для размещения результатов поиска на удержании. When you create an In-Place eDiscovery search, a search object is created in the In-Place eDiscovery system mailbox. This object can be manipulated to start, stop, modify, and remove the search. After you create the search, you can choose to get an estimate of search results, which includes keyword statistics that help you determine query effectiveness. You can also do a live preview of items returned in the search, allowing you to view message content, the number of messages returned from each source mailbox and the total number of messages. You can use this information to further fine-tune your query if required.
Если результаты поиска соответствуют требованиям, вы можете скопировать их в почтовый ящик найденных сообщений. Чтобы экспортировать почтовый ящик найденных сообщений или часть его содержимого в PST-файл, можно воспользоваться Outlook или EAC.
При создании поиска методом обнаружения электронных данных на месте необходимо указать следующие параметры:
Имя. Имя поиска используется для идентификации поиска. При копировании результатов поиска в почтовый ящик обнаружения в почтовом ящике обнаружения создается папка с помощью имени поиска и метки времени для уникальной идентификации результатов поиска в почтовом ящике обнаружения.
Почтовые ящики. Вы можете выполнить поиск по всем почтовым ящикам в организации Exchange 2013 или указать почтовые ящики для поиска. Основной и архивный почтовые ящики пользователя включаются в поиск. Если вы также хотите использовать тот же поиск для размещения элементов на удержании, необходимо указать почтовые ящики. Можно указать группу рассылки, включающую пользователей почтовых ящиков, которые являются членами этой группы. Членство в группе вычисляется один раз при создании поиска, а последующие изменения членства в группе автоматически не отражаются в поиске.
Поисковый запрос. Вы можете либо включить все содержимое почтового ящика из указанных почтовых ящиков, либо использовать поисковый запрос для возврата элементов, которые более важны для дела или исследования. В поисковом запросе можно указать следующие параметры.
Ключевые слова. Для поиска содержимого сообщения можно указать ключевые слова и фразы. Кроме того, вы можете использовать логические операторы AND, OR и NOT. Кроме того, Exchange 2013 поддерживает оператор NEAR для поиска слова или фразы, близких к другому слову или фразе.
Для поиска точного совпадения фразы из нескольких слов необходимо заключить фразу в кавычки. Например, при поиске фразы "план и конкуренция" будут возвращены сообщения, содержащие точное совпадение этой фразы, тогда как при указании фразы план И конкуренция будут возвращены сообщения, содержащие слова план и конкуренция в любой части сообщения.
Для обнаружения электронных данных на месте Exchange 2013 также поддерживает синтаксис KQL.
Примечание.
Электронное обнаружение на месте не поддерживает регулярные выражения.
You must capitalize logical operators such as AND and OR for them to be treated as operators instead of keywords. We recommend that you use explicit parenthesis for any query that mixes multiple logical operators to avoid mistakes or misinterpretations. For example, if you want to search for messages that contain either WordA or WordB AND either WordC or WordD, you must use (WordA OR WordB) AND (WordC OR WordD).
Даты начала и окончания. По умолчанию In-Place обнаружение электронных данных не ограничивает поиск диапазоном дат. Чтобы найти сообщения, отправленные в определенный диапазон дат, можно сузить поиск, указав дату начала и окончания периода. Если не задать дату окончания, то в результатах поиска будут показываться последние результаты каждый раз, когда поиск осуществляется заново.
Отправители и получатели. Чтобы сузить поиск, можно указать отправителей или получателей сообщений. Вы можете использовать адреса электронной почты, отображаемые имена или имя домена для поиска элементов, отправленных или полученных от всех пользователей домена. Например, чтобы найти адрес электронной почты отправителя или получателя в Contoso, Ltd, укажите @contoso.com в поле От или Кому/Скрытая копия в EAC. Можно также указать @contoso.com в параметрах Senders или Recipients в оболочке.
Типы сообщений. По умолчанию выполняется поиск всех типов сообщений. Вы можете ограничить поиск, выбрав определенные типы сообщений, такие как электронная почта, контакты, документы, журнал, встречи, заметки и содержимое Lync.
На следующем снимке экрана показан пример поискового запроса в EAC.
При использовании обнаружения электронных данных на месте также необходимо учесть следующие факторы.
Вложения: In-Place обнаружение электронных данных выполняет поиск вложений, поддерживаемых поиском Exchange. Дополнительные сведения см. в разделе Форматы файлов, индексированные поиском Exchange. В локальных развертываниях вы можете добавить поддержку дополнительных форматов файлов, установив для необходимых типов файлов фильтры поиска (известные как iFilter) на серверах почтовых ящиков.
Элементы, не доступные для поиска. Элементы, не доступные для поиска, — это элементы почтового ящика, которые не могут быть проиндексированы поиском Exchange. Причины, по которым они не могут быть проиндексированы, включают отсутствие установленного фильтра поиска для присоединенного файла, ошибку фильтра и зашифрованные сообщения. Для успешного поиска eDiscovery вашей организации может потребоваться включить такие элементы для проверки. При копировании результатов поиска в почтовый ящик обнаружения или их экспорте в PST-файл можно включать элементы, не доступные для поиска. Дополнительные сведения см. в разделе Элементы, не доступные для поиска в Exchange eDiscovery.
Зашифрованные элементы. Так как сообщения, зашифрованные с помощью S/MIME, не индексируются поиском Exchange, In-Place обнаружение электронных данных не выполняет поиск в этих сообщениях. Если выбран параметр включения в результаты поиска элементов, поиск в которых невозможен, сообщения с шифрованием S/MIME копируются в почтовый ящик найденных сообщений.
Элементы, защищенные IRM. Сообщения, защищенные с помощью управления правами на доступ к данным (IRM), индексируются поиском Exchange и поэтому включаются в результаты поиска, если они соответствуют параметрам запроса. Сообщения должны быть защищены с помощью кластера служб Active Directory Rights Management Services (AD RMS) в том же лесу Active Directory, что и сервер почтовых ящиков. Дополнительные сведения см. в разделе Управление правами на доступ к данным.
Важно!
Если службе поиска Exchange не удалось проиндексировать сообщение с защитой IRM по причине ошибки расшифровки или отключенной службы IRM, защищенное сообщение не добавляется в список элементов с ошибками. Если вы выбрали параметр для включения в результаты поиска элементов, поиск в которых невозможен, результаты поиска могут не содержать защищенные сообщения, расшифровать которые не удалось. >> Чтобы включить в поиск защищенные IRM сообщения, можно создать другой поиск, включив в него сообщения с вложениями RPMSG. Строку
attachment:rpmsgзапроса можно использовать для поиска всех защищенных IRM сообщений в указанных почтовых ящиках независимо от того, успешно ли индексирован. Это может привести к дублированию некоторых результатов поиска в случаях, когда один поиск возвращает сообщения, соответствующие заданным критериям, включая сообщения с защитой IRM с успешно выполненной индексацией. При этом сообщения с защитой IRM, которые не удалось индексировать, не возвращаются. >> Выполнение второго поиска всех сообщений, защищенных IRM, также включает защищенные IRM сообщения, которые были успешно проиндексированы и возвращены в первом поиске. Кроме того, сообщения с защитой IRM, возвращенные в результатах второго поиска, могут не соответствовать критериям поиска, например ключевым словам, заданным для первого поиска.Отмена дублирования. При копировании результатов поиска в почтовый ящик обнаружения можно включить де-дублирование результатов поиска, чтобы скопировать в почтовый ящик обнаружения только один экземпляр уникального сообщения. Дедупликация имеет следующие преимущества.
Более низкие требования к хранилищу и меньший размер почтового ящика обнаружения благодаря уменьшению количества копируемых сообщений.
Сокращение нагрузки на менеджеров по обнаружению, юрисконсультов и других лиц, занятых в проверке результатов поиска.
Сокращение расходов на электронное обнаружение в зависимости от количества повторяющихся элементов, исключенных из результатов поиска.
Оценка, предварительный просмотр и копирование результатов поиска
После завершения поиска In-Place eDiscovery можно просмотреть оценки результатов поиска в области Сведения в EAC. Оценка включает количество возвращаемых элементов и общий размер этих элементов. Вы также можете просмотреть ключевое слово статистику, которая возвращает сведения о количестве элементов, возвращаемых для каждого ключевое слово, используемого в поисковом запросе. Эти сведения полезны для определения эффективности запросов. Если запрос слишком широкий, он может вернуть гораздо больший набор данных, что может потребовать дополнительных ресурсов для проверки и повышения затрат на обнаружение электронных данных. Если запрос слишком узок, он может значительно уменьшить количество возвращаемых записей или вообще не возвращать записей. Вы можете использовать оценки и статистику ключевое слово для точной настройки запроса в соответствии с вашими требованиями.
Примечание.
В Exchange 2013 статистики ключевых слов также содержат статистики для свойств без ключевых слов, например даты, типы сообщений и отправители и получатели, указанные в запросе поиска.
Вы можете просмотреть результаты поиска, чтобы убедиться, что возвращенные сообщения содержат искомое содержимое, и при необходимости выполнить точную настройку запроса. При предварительном просмотре поиска методом обнаружения электронных данных отображается количество сообщений, возвращенных из каждого почтового ящика, поиск в котором осуществлялся, и общее количество сообщений, возвращенных поиском. Предварительный просмотр создается быстро, при этом вам не нужно копировать сообщения в почтовый ящик найденных сообщений.
Если количество и качество результатов поиска вас удовлетворяет, их можно скопировать в почтовый ящик найденных сообщений. При копировании сообщений можно воспользоваться следующими параметрами.
Включить элементы, не доступные для поиска. Дополнительные сведения о типах элементов, которые считаются недоступными для поиска, см. в разделе Рекомендации по поиску электронных данных в предыдущем разделе.
Включение дедупликации. Дедупликация уменьшает набор данных, включив только один экземпляр уникальной записи, если в одном или нескольких почтовых ящиках найдено несколько экземпляров.
Включение полного ведения журнала. По умолчанию при копировании элементов включено только базовое ведение журнала. Можно выбрать функцию полного ведения журнала, чтобы регистрировать сведения обо всех записях, возвращенных в поиске.
Отправка сообщения электронной почты по завершении копирования. Поиск In-Place eDiscovery может возвращать большое количество записей. Копирование сообщений, возвращенных в почтовый ящик найденных сообщений, может занять много времени. Используйте этот параметр для получения почтового уведомления о завершении процесса копирования. Для упрощения доступа с помощью Outlook Web App в уведомление включена ссылка на расположение в почтовом ящике найденных сообщений, в который скопированы сообщения.
Дополнительные сведения см. в разделе Копирование результатов поиска с обнаружением электронных данных в почтовый ящик обнаружения.
Экспорт результатов поиска в PST-файл
После копирования результатов поиска в почтовый ящик найденных сообщений результаты поиска можно экспортировать в PST-файл.
После экспорта результатов поиска в PST-файл вы или другие пользователи можете открыть их в Outlook для просмотра или печати сообщений, представленных в результатах поиска. Дополнительные сведения см. в статье Экспорт результатов поиска eDiscovery в PST-файл.
Различные результаты поиска
Поскольку при обнаружении электронных данных на месте выполняется поиск среди данных реального времени, два поиска в одном и том же источнике содержимого с одинаковым запросом поиска могут вернуть различные результаты. Ожидаемые результаты поиска также могут отличаться от фактических результатов, скопированных в почтовый ящик найденных сообщений. Это может произойти, даже если запустить один и тот же поиск в течение короткого промежутка времени. Существует несколько факторов, которые могут повлиять на идентичность результатов поиска:
непрерывная индексация электронной почты в связи с тем, что функция поиска Exchange непрерывно обходит и индексирует базы данных почтовых ящиков вашей организации и контейнер транспорта;
удаление сообщений электронной почты пользователями или автоматизированными процессами;
массовый импорт большого количества электронной почты, индексирование которого занимает определенное время.
Если вы замечаете, что один и тот же поиск дает различные результаты, вы можете поставить почтовые ящики на хранение, чтобы сохранить содержимое, использовать поиск в периоды низкой загрузки и после импорта большого количества электронной почты ожидать определенное время, пока завершится индексирование.
Ведение журнала операций поиска при обнаружении электронных данных на месте
Для поисков методом обнаружения электронных данных на месте существует два типа ведения журнала.
Базовое ведение журнала. Базовое ведение журнала включено по умолчанию для всех In-Place поиска eDiscovery. В нем регистрируются сведения о поиске и выполнившем его пользователе. Сведения, собираемые при обычном ведении журнала, включаются в текст сообщения электронной почты, которое отправляется в почтовый ящик, где хранятся результаты поиска. Это сообщение находится в папке, созданной для хранения результатов поиска.
Полное ведение журнала. Полное ведение журнала включает сведения обо всех сообщениях, возвращаемых поиском. Эти сведения содержатся в CSV-файле, который вкладывается в сообщение электронной почты, содержащее сведения обычного ведения журнала. Для имени CSV-файла используется имя поиска. Эти сведения могут потребоваться для делопроизводства или обеспечения соответствия требованиям. Чтобы включить полное ведение журнала, при копировании результатов поиска в почтовый ящик найденных сообщений в Центре администрирования Exchange выберите параметр Включить полное ведение журнала. Если вы используете оболочку, укажите параметр полного ведения журнала с помощью параметра LogLevel .
Примечание.
Ведение журнала также можно отключить при создании или изменении поиска методом обнаружения электронных данных на месте к командной консоли.
Помимо журнала поиска, который включается при копировании результатов поиска в почтовый ящик обнаружения, Exchange также регистрирует командлеты, используемые EAC или оболочкой для создания, изменения или удаления In-Place поиска eDiscovery. Эта информация регистрируется в записях журнала аудита администратора. Дополнительные сведения см. в разделе Ведение журнала аудита администратора.
Электронное обнаружение на месте и хранение на месте
При выполнении запросов на обнаружение электронных данных вам может потребоваться сохранять содержимое почтовых ящиков до завершения судебного процесса или расследования. Сообщения, удаленные или измененные пользователем почтового ящика или любыми процессами, также должны быть сохранены. В Exchange 2013 это достигается с помощью In-Place удержания. Дополнительные сведения см . в разделе Удержание на месте и удержание для судебного разбирательства.
В Exchange 2013 вы можете использовать новый мастер обнаружения электронных данных на месте & удержания для поиска элементов и их сохранения до тех пор, пока они необходимы для обнаружения электронных данных или для удовлетворения других бизнес-требований. When using the same search for both In-Place eDiscovery and In-Place Hold, be aware of the following:
Нельзя использовать параметр для поиска во всех почтовых ящиках. Необходимо выбрать почтовые ящики или группы рассылки.
Если поиск методом обнаружения электронных данных на месте также используется для хранения на месте, удалить этот поиск нельзя. Сначала необходимо отключить параметр хранения на месте, а затем удалить поиск.
Хранение почтовых ящиков для обнаружения электронных данных на месте
Когда сотрудник покидает организацию, обычно отключает или удаляет почтовый ящик. После отключения почтового ящика он отключается от учетной записи пользователя, но остается в почтовом ящике в течение определенного периода времени( по умолчанию 30 дней). Помощник по управляемым папкам не обрабатывает отключенные почтовые ящики, и политики хранения не применяются в течение этого периода. Вы не можете искать содержимое отключенного почтового ящика. По достижении срока хранения удаленного почтового ящика, настроенного для базы данных почтовых ящиков, почтовый ящик очищается из базы данных почтовых ящиков.
Если вашей организации с локальным развертыванием требуется, чтобы параметры хранения применялись к сообщениям сотрудников, которые больше не работают в организации, или необходимо сохранить почтовый ящик бывших сотрудников для будущих запросов на обнаружение электронных данных, не отключайте или не удаляйте почтовый ящик. Чтобы убедиться в отсутствии доступа к почтовому ящику и доставки в него новых сообщений, выполните следующие действия.
Отключите учетную запись пользователя Active Directory с помощью пользователей Active Directory & компьютеров или других средств или сценариев подготовки учетных записей Active Directory или учетных записей. This prevents mailbox logon using the associated user account.
Важно!
Пользователи с разрешением полного доступа к почтовым ящикам по-прежнему могут обращаться к почтовому ящику. Чтобы предотвратить доступ других пользователей, необходимо удалить их разрешение полного доступа из почтового ящика. Сведения об удалении разрешений на полный доступ к почтовому ящику см. в разделе Управление разрешениями для получателей.
Задайте для максимального размера сообщений, которые могут отправляться пользователем почтового ящика или доставляться ему, очень низкое значение, например 1 КБ. Это предотвратит доставку новой почты в почтовый ящик и отправку почты из него. Дополнительные сведения см. в разделе Настройка ограничений на размер сообщений для почтового ящика.
Настройте ограничения на доставку для почтового ящика так, чтобы никто не мог отправлять в него сообщения. Дополнительные сведения см. в разделе Настройка ограничений доставки сообщений для почтового ящика.
Важно!
Описанные действия необходимо выполнить вместе с другими процессами управления учетными записями, требуемыми для организации, но без отключения или удаления почтового ящика или удаления связанной учетной записи пользователя.
При планировании внедрения системы хранения почтовых ящиков для управления хранением сообщений (MRM) или электронного управления на месте необходимо принять во внимание текучесть кадров. Длительное хранение почтовых ящиков бывших сотрудников потребует дополнительного пространства для хранения на серверах почтовых ящиков и может привести к увеличению размера базы данных Active Directory, поскольку связанные учетные записи пользователей должны храниться в течение того же периода. Кроме того, могут потребоваться изменения в процессах подготовки учетных записей и управления ими в организации.
Ограничения и политики регулирования обнаружения электронных данных на месте
В Exchange 2013 ресурсы, In-Place может использовать обнаружение электронных данных, управляются с помощью политик регулирования.
Политики регулирования по умолчанию содержит следующие параметры регулирования.
| Параметр | Описание | Значение по умолчанию |
|---|---|---|
| DiscoveryMaxConcurrency | Максимальное количество поисковых запросов при обнаружении электронных данных на месте, которые можно одновременно выполнить в организации. | 2 Примечание. Если поиск по обнаружению электронных данных запущен, а два предыдущих поиска по-прежнему выполняются, третий поиск не будет помещен в очередь и вместо этого завершится ошибкой. Вам нужно подождать, пока не завершится один из предыдущих поисков, прежде чем вы сможете успешно начать новый поиск. |
| DiscoveryMaxMailboxes | Максимальное количество почтовых ящиков, в которых может быть выполнен поиск в ходе одного процесса обнаружения электронных данных на месте. | 5,000 |
| DiscoveryMaxStatsSearchMailboxes | Максимальное количество почтовых ящиков, в которых может быть выполнен поиск в ходе одного процесса обнаружения электронных данных на месте и просмотрена статистика ключевых слов. | 100 Примечание. После выполнения оценки поиска обнаружения электронных данных можно просмотреть ключевое слово статистику. Она содержит сведения о количестве элементов, возвращаемых для каждого ключевого слова в поисковом запросе. Если в поиск включено более 100 исходных почтовых ящиков, при попытке просмотра статистики ключевых слов будет возвращена ошибка. |
| DiscoveryMaxKeywords | Максимальное количество ключевых слов, которое можно указать в одном процессе обнаружения электронных данных на месте. | 500 |
| DiscoveryMaxSearchResultsPageSize | Максимальное количество элементов, отображаемых на одной странице в режиме предварительного просмотра результатов поиска методом обнаружения электронных данных на месте. | 200 |
| DiscoverySearchTimeoutPeriod | Количество минут, в течение которых будет выполняться поиск методом обнаружения электронных данных на месте до истечения времени ожидания. | 10 минут |
В Exchange Server 2013 можно изменить значения по умолчанию для этих параметров в соответствии с требованиями или создать дополнительные политики регулирования и назначить их пользователям с делегированным разрешением управления обнаружением.
Документация обнаружения электронных данных на месте
В следующей таблице приведены ссылки на разделы, которые помогут узнать больше об обнаружении электронных данных на месте.
| Статья | Описание |
|---|---|
| Назначение разрешений обнаружения электронных данных в Exchange | Сведения о том, как предоставить пользователю доступ к функции обнаружения электронных данных на месте в EAC для поиска в почтовых ящиках Exchange. Добавление пользователя в группу ролей "Управление обнаружением" также позволяет пользователю использовать Центр обнаружения электронных данных в SharePoint 2013 для поиска почтовых ящиков Exchange. |
| Создание почтового ящика найденных сообщений | Узнайте, как использовать командную консоль для создания почтового ящика обнаружения и назначения разрешений доступа. |
| Создание поискового запроса на локальное обнаружение электронных данных | Узнайте, как создать поиск обнаружения электронных данных на месте, а также как оценивать и просматривать результаты обнаружения электронных данных на месте. |
| Свойства сообщений, индексируемые службой поиска Exchange | Узнайте, как свойства сообщений электронной почты можно искать с помощью обнаружения электронных данных на месте. В этом разделе представлены примеры синтаксиса для каждого свойства, сведения об операторах поиска, таких как AND и OR, и информация о других методах выполнения поисковых запросов, например использовании двойных кавычек (" ") и знаков подстановки в конце слова. |
| Запуск и остановка поиска с обнаружением электронных данных на месте | Узнайте, как начинать, останавливать и перезапускать поиск обнаружения электронных данных на месте. |
| Изменение поискового запроса на обнаружение электронных данных на месте | Узнайте, как изменять существующий поиск обнаружения электронных данных на месте. |
| Копирование результатов поиска с обнаружением электронных данных в почтовый ящик обнаружения | Узнайте, как скопировать результаты поиска обнаружения электронных данных на месте в почтовый ящик обнаружения. |
| Экспорт результатов поиска при обнаружении электронных данных в PST-файл | Узнайте, как экспортировать результаты поиска обнаружения электронных данных на месте в PST-файл. |
| Create a custom management scope for In-Place eDiscovery searches | Узнайте, как использовать настраиваемые области управления для ограничения почтовых ящиках, в которых менеджер по обнаружению может выполнять поиск. |
| Удаление поискового запроса на обнаружение электронных данных на месте | Узнайте, как удалить поиск обнаружения электронных данных на месте. |
| Поиск и удаление сообщений в Exchange 2013 | Узнайте, как искать и удалять сообщения электронной почты с помощью командлета Search-Mailbox. |
| Reduce the size of a discovery mailbox in Exchange | Используйте эту процедуру, чтобы уменьшить размер почтового ящика найденных сообщений, превышающий 50 ГБ. |
| Delete and re-create the default discovery mailbox in Exchange | Узнайте, как удалить почтовый ящик найденных сообщений по умолчанию, повторно создать его, а затем переназначить для него разрешения. Используйте эту процедуру, если размер почтового ящика превысил 50 ГБ и вам не нужны результаты поиска. |
| Удаление и повторное создание почтового ящика обнаружения по умолчанию в Exchange 2013 | Узнайте, как воссоздать системный почтовый ящик обнаружения. Эта задача применима только к организациям Exchange 2013. |
| Использование проверки подлинности OAuth для поддержки обнаружения электронных данных в гибридном развертывании Exchange | Ознакомьтесь со сценариями обнаружения электронных данных на месте в гибридном развертывании, где требуется настроить проверку подлинности OAuth. |
| Configure Exchange for SharePoint eDiscovery Center | Узнайте, как настроить Exchange 2013 для использования центра обнаружения электронных данных на месте в SharePoint 2013 для поиска в почтовых ящиках Exchange. |
| Элементы, которые не включены в поиск при обнаружении электронных данных Exchange | Ознакомьтесь с элементами почтового ящика, которые не индексируются поиском Exchange и возвращаются в результатах поиска обнаружения электронных данных как элементы, недоступные для поиска. |
Дополнительные сведения об обнаружении электронных данных в Microsoft Purview, Office 365, Exchange 2013, SharePoint 2013 и Lync 2013 см. в статье Начало работы с обнаружением электронных данных (стандартный) .