удержание In-Place и удержание для судебного разбирательства в Exchange Server
При наличии обоснованных предпосылок для судебных исков организациям требуется сохранять электронные данные (включая почту), связанные с делом. Такие предпосылки нередко возникают до уточнения подробностей дела, и сохранение часто имеет широкие масштабы. Организациям может понадобиться сохранять всю почту, относящуюся к конкретному вопросу, или всю электронную почту отдельных лиц. В зависимости от политики организации в отношении обнаружения электронных данных, можно принять следующие меры по сохранению электронной почты.
Пользователям можно порекомендовать хранить почту, не удаляя сообщения. Однако пользователи все же могут удалять электронную почту намеренно или случайно.
Могут быть приостановлены механизмы автоматического удаления, например управление записями обмена сообщениями. Это может привести к тому, что в почтовых ящиках пользователей будет скапливаться большой объем электронной почты, из-за чего производительность их работы может снижаться. Приостановка автоматического удаления также не мешает пользователям вручную удалять электронную почту.
В некоторых организациях электронная почта копируется или перемещается в архив, что позволяет предотвратить ее удаление, изменение или подмену. Это ведет к повышению расходов, обусловленных необходимостью ручного копирования или перемещения сообщений в архив или внедрения сторонних продуктов для сбора и хранения электронной почты вне Exchange.
Отсутствие возможности хранения электронной переписки может подвергнуть организацию юридическим и финансовым рискам, например к критическому анализу процессов обнаружения и хранения записей в организации, неблагоприятным судебным решениям, санкциям или штрафам.
Хранение для судебного разбирательства и хранение на месте.
В Exchange Server доступно два типа удержаний: удержание для судебного разбирательства и удержание In-Place. Хранение для судебного разбирательства использует свойство LitigationHoldEnabled почтового ящика. Если включено удержание для судебного разбирательства, все элементы почтового ящика помещаются на удержание. В отличие от этого, вы можете использовать In-Place Удержание, чтобы сохранить только те элементы, которые соответствуют условиям поискового запроса, определяемого с помощью средства обнаружения электронных данных In-Place. Вы можете разместить несколько In-Place удержаний в почтовом ящике, но удержание для судебного разбирательства включено или отключено для почтового ящика. Для обоих типов удержаний можно также указать период длительности хранения элементов. Этот срок рассчитывается с даты получения или создания элемента почтового ящика. Если длительность не задана, элементы хранятся на неопределенный срок или до тех пор, пока удержание не будет удалено. Если удалить удержание для судебного разбирательства из почтового ящика, но один или несколько In-Place удержаний по-прежнему размещаются в почтовом ящике, элементы, соответствующие условиям хранения In-Place, будут храниться в течение периода, указанного в параметрах удержания.
При удержании на месте можно указать для пользователя несколько сценариев удержания. В этом случае поисковые запросы от сценариев удержания по запросу объединяются (с помощью операторов OR ). При этом максимальное количество ключевых слов во всех сценариях удержания по запросу, назначенных для почтового ящика, не должно превышать 500. Если ключевых слов больше, на хранение помещается все содержимое почтового ящика, а не только то, которое соответствует критериям поиска. Все содержимое удерживается, пока общее количество ключевых слов не станет равно или меньше 500.
При перемещении почтового ящика, удерживаемого для судебного разбирательства в Exchange 2010 или Exchange 2013, на сервер почтовых ящиков в Exchange 2016 по-прежнему применяется параметр Удержание для судебного разбирательства, гарантируя соблюдение требований соответствия во время и после перемещения.
Важно!
При переводе почтового ящика в режим хранения для судебного удержания или хранения на месте это действие применяется как к основному, так и архивному почтовому ящику.
Дополнительные сведения об использовании каждого типа удержания см. в разделе Размещение всех почтовых ящиков на удержание.
Цели и особенности удержания
Вы можете использовать удержание для судебного разбирательства и In-Place удержание для достижения следующих целей:
Помещать почтовые ящики пользователей на хранение и хранить их элементы без изменений.
Хранить элементы бесконечно или в течение заданного периода времени.
Сохранять элементы почтовых ящиков, удаленные пользователями или автоматическими процессами, например службой управления записями сообщений.
Сохранять сообщения, пересылаемые в другой почтовый ящик.
Использование In-Place удержания на основе запросов для поиска и хранения элементов, соответствующих указанным условиям (вы также можете разместить все элементы, включив все содержимое почтового ящика при создании удержания).
Устанавливать несколько запретов на удаление для разных дел или расследований.
Скрывать запреты на удаление от пользователя, так как работа службы управления записями сообщений не прерывается.
Используйте In-Place eDiscovery для поиска элементов, которые сохраняются при удержании
При обновлении с Exchange Server 2010 г. понятие юридического удержания заключается в том, чтобы хранить все данные почтового ящика пользователя на неопределенный срок или до тех пор, пока удержание не будет удалено. В Exchange 2016 In-Place Hold представила другую модель, которая позволяет указать следующие параметры:
Удержание на основе запросов. При удержании для судебного разбирательства все элементы в почтовом ящике сохраняются. Однако удержание In-Place позволяет указать, какие элементы следует хранить, с помощью параметров поискового запроса, таких как ключевые слова, отправители и получатели, даты начала и окончания, а также указать типы сообщений, такие как сообщения электронной почты, элементы календаря и Skype для бизнеса беседы, которые необходимо поместить на удержание. После создания удержания на месте на основе запроса сохраняются все соответствующие параметрам запроса элементы почтового ящика (как существующие, так и создаваемые в будущем, включая сообщения, которые будут получены позже). Удержание для судебного разбирательства не поддерживает удержание на основе запросов.
Продолжительность удержания. В случае судебного и In-Place удержания можно указать срок хранения элементов. Можно указать бесконечную длительность удержания или длительность удержания на основе времени. Этот срок рассчитывается с даты получения или создания элемента почтового ящика. Например, если ваша организация требует, чтобы все элементы почтового ящика сохранялись в течение 7 лет, можно создать удержание на основе времени. Таким образом, если почтовый ящик помещается на удержание, а срок хранения равен 7 годам, а элемент в почтовом ящике окончательно удаляется через 2 года с даты его получения, он хранится в течение 5 лет до очистки из базы данных почтового ящика.
Совет
Вы можете использовать удержание на основе времени вместе с политикой хранения, чтобы убедиться, что элементы сохраняются в течение указанного времени, а затем окончательно удаляются из Exchange по истечении срока хранения и срока хранения.
Помещение почтового ящика на удержание
Роль управления юридическим удержанием необходима для размещения почтового ящика в хранилище для судебного разбирательства или In-Place удержания. Но для создания In-Place удержания на основе запросов вам также должна быть назначена роль поиска в почтовых ящиках. Пользователи, добавленные в группу ролей управления доступом на основе ролей (RBAC) (или назначенные роли "Поиск по юридическим причинам" и "Поиск в почтовых ящиках"), могут разместить пользователей и создать In-Place удержание на основе запросов. Сведения о добавлении участников в группу ролей "Управление обнаружением" см. в статье Назначение разрешений на обнаружение электронных данных в Exchange Server.
Вы можете поместить удержание почтового ящика для судебного разбирательства на странице Получатели в Центре администрирования Exchange или с помощью Set-Mailbox -LitigationHoldEnabled $true команды в командной консоли Exchange.
Функция удержания In-Place интегрирована с In-Place поисками по обнаружению электронных данных. Вы можете поместить почтовый ящик в In-Place удержание с помощью мастера обнаружения электронных данных & на месте в EAC или командлета New-MailboxSearch в командной консоли Exchange. Чтобы узнать, как это сделать, см. следующие статьи:
Примечание.
Если вы используете Exchange Online Archiving для подготовки облачного архива для локальных почтовых ящиков, необходимо управлять удержаниями In-Place из локальной Exchange Server организации. Параметры хранения автоматически передаются в облачный архив с помощью DirSync.
Во многих организациях уведомление пользователей о включении режима хранения является обязательным. Кроме того, когда почтовый ящик находится на хранении, не требуется приостанавливать действие политик хранения, применяемых к пользователю почтового ящика. Так как сообщения продолжают удаляться как обычно, пользователи могут не замечать, что включен режим хранения. Если ваша организация требует, чтобы пользователи, удерживаемые на удержании, были уведомлены, вы можете добавить сообщение уведомления для пользователя почтового ящика, заполив свойство Комментарий к хранению и используя свойство RetentionUrl для ссылки на веб-страницу для получения дополнительных сведений. В Outlook 2010 и более поздних версиях комментарий к хранению и URL-адрес отображаются в области Backstage, расположенной на ленте Файлы . Для добавления этих свойств можно использовать командлет Set-Mailbox .
Функции хранения и папка "Элементы с возможностью восстановления"
Хранение для судебного разбирательства и хранение In-Place используют папку "Элементы с возможностью восстановления" для сохранения элементов. Папка "Элементы с возможностью восстановления" скрыта в представлении по умолчанию в Outlook, Outlook в Интернете и других почтовых клиентах. Дополнительные сведения о папке "Элементы с возможностью восстановления" см. в статье Папка "Элементы с возможностью восстановления" в Exchange Server.
По умолчанию при удалении сообщения из папки, отличной от папки "Удаленные", сообщение перемещается в папку "Удаленные". Когда пользователь обратимо удаляет элемент (нажав клавиши SHIFT+DELETE) или удаляет элемент из папки "Удаленные", сообщение перемещается в папку "Элементы с возможностью восстановления", тем самым исчезая из представления пользователя.
Элементы хранятся в папке элементов для восстановления в течение срока хранения удаленных элементов, настроенного для базы данных почтовых ящиков пользователя. По умолчанию период хранения удаленного элемента в базах данных почтовых ящиков равен 14 дням.
Папка "Элементы с возможностью восстановления" содержит следующие вложенные папки, используемые для хранения удаленных элементов на различных сайтах и упрощения удержания для судебного разбирательства и In-Place удержания:
Удаления. Элементы, удаленные из папки "Удаленные" или обратимо удаленные из других папок, перемещаются во вложенную папку Удаления и отображаются пользователю при использовании функции "Восстановить удаленные элементы" в Outlook и Outlook в Интернете. По умолчанию элементы находятся в этой папке до тех пор, пока не истечет срок хранения удаленных элементов, настроенный для базы данных почтовых ящиков, или до истечения срока хранения почтового ящика.
Очистка. Когда пользователь удаляет элемент из папки "Элементы с возможностью восстановления" (с помощью средства "Восстановить удаленные" в Outlook и Outlook в Интернете, элемент перемещается в папку Очистка. Элементы, для которых истек период хранения, заданный для базы данных почтовых ящиков, также перемещаются в эту папку. Элементы в этой папке не будут видимы пользователям, использующим средство восстановления удаленных элементов. Когда помощник по обслуживанию почтовых ящиков обрабатывает почтовый ящик, элементы в папке "Очистка" удаляются из базы данных почтовых ящиков. Когда вы помещите пользователя почтового ящика в хранилище для судебного разбирательства, почтовый ящик помощник не очищает элементы в этой папке.
DiscoveryHolds. Если пользователь помещается в In-Place удержание, удаленные элементы перемещаются в эту папку. Когда помощник по обслуживанию почтовых ящиков обрабатывается почтовый ящик, он оценивает сообщений в этой папке. Элементы, соответствующие запросу In-Place удержания, хранятся до указанного в запросе периода удержания. Если период удержания не указан, неопределенное время или до тех пор, пока пользователь не удаляется из удержания. Однако если вы помещаете пользователя, который уже был в In-Place удержание для судебного разбирательства, предпочтение отдается удержанию для судебного разбирательства. Поэтому удаленные элементы перемещаются в папку Очистка.
Версии. Когда пользователь помещается в In-Place удержание или удержание для судебного разбирательства, элементы почтового ящика должны быть защищены от незаконного изменения или изменения пользователем или процессом. Для этого используется процесс копирования при записи . Когда пользователь или процесс изменяет определенные свойства элемента почтового ящика, копия исходного объекта сохраняется в папке версий, прежде чем изменение будет совершено. Этот процесс повторяется для последующих изменений. Сообщения, попавшие в папку версий, также индексируются и возвращаются во время обнаружения электронных данных на месте. После удаления сценария хранения помощник по обслуживанию управляемых папок удаляет копии из папки "Версии".
Свойства, активирующие копирование при записи
| Тип элемента | Свойства, активирующие копирование при записи |
|---|---|
| Сообщения (IPM.Note*) Сообщения (IPM.Post*) |
Subject Текст сообщения Вложения Отправители и получатели Даты отправки и получения |
| Элементы, отличные от сообщений | Любые изменения видимых свойств за исключением следующих:
|
| Элементы в папке "Черновики" по умолчанию | Нет (элементы в папке "Черновики", для которых отменено копирование при записи) |
Важно!
Помощник по восстановлению календаря определяет, что некоторые участники ответили на приглашение на собрание в форме "Принять" или "Под вопросом" и этот элемент отсутствует в календаре участника. Для элементов календаря и элементов с заданным напоминанием функция копирования при записи отключена для свойств ReminderTime и ReminderSignalTime. Изменения этих свойств не фиксируются функцией копирования при записи. Изменения в RSS-каналах не фиксируются функцией копирования при записи.
Хотя папки DiscoveryHolds, "Очистка" и "Версии" не видны пользователю, все элементы в папке "Элементы с возможностью восстановления" можно обнаружить с помощью обнаружения электронных данных на месте. После удаления пользователя почтового ящика из In-Place удержания или удержания для судебного разбирательства элементы в папках DiscoveryHolds, Purges и Versions очищаются помощником по управляемым папкам.
Если почтовый ящик не помещается на удержание для судебного разбирательства или In-Place удержание, элементы в папке "Очистка" окончательно удаляются из папки "Элементы с возможностью восстановления", когда элемент находится в папке дольше, чем срок хранения удаленного элемента.
Запреты на удаление и квоты почтового ящика
Элементы в папке корзины не учитываются в квоте почтового ящика пользователя. В Exchange папка корзины имеет свою собственную квоту. Для Exchange значения по умолчанию для свойств почтовых ящиков RecoverableItemsWarningQuota и RecoverableItemsQuota имеют значение 20 ГБ и 30 ГБ соответственно. Чтобы изменить эти значения для базы данных почтовых ящиков для Exchange Server, используйте командлет Set-MailboxDatabase. Чтобы изменить их для отдельных почтовых ящиков, используйте командлет Set-Mailbox.
Если папка "Элементы с возможностью восстановления" пользователя превышает квоту предупреждений для восстанавливаемых элементов (как указано в параметре RecoverableItemsWarningQuota ), событие регистрируется в журнале событий приложений сервера почтовых ящиков. Когда папка превышает квоту для восстанавливаемых элементов (как указано в параметре RecoverableItemsQuota ), пользователи не смогут очистить папку "Удаленные" или окончательно удалить элементы почтового ящика. Функция копирования при записи также не сможет создавать копии изменяемых элементов. Поэтому критически важно отслеживать квоты папки элементов с возможностью восстановления для пользователей почтовых ящиков, помещенных в режим удержания на месте.
Запреты на удаление и пересылка электронной почты
Пользователи с почтовыми ящиками на сервере Exchange Server могут использовать Outlook и Outlook в Интернете для настройки переадресации электронной почты для своего почтового ящика. Email переадресация позволяет пользователям настраивать свои почтовые ящики для пересылки сообщений электронной почты, отправленных в почтовый ящик, в другой почтовый ящик, расположенный внутри или за ее пределами. Администраторы также могут настроить правила потока обработки почты (также известные как правила транспорта) для пересылки сообщений в другой почтовый ящик. В обоих случаях переадресацию электронной почты можно настроить таким образом, чтобы любое сообщение, отправленное в исходный почтовый ящик, не копировалось в этот почтовый ящик, а отправлялось только на адрес пересылки.
Если почтовый ящик находится на удержании, выполняются дополнительные действия. В процессе доставки проверяются параметры удержания для почтового ящика. Если сообщение соответствует условиям удержания для почтового ящика, копия сообщения сохраняется в папке "Входящие". Это значит, что пересланные сообщения можно найти в исходном почтовом ящике с помощью функции обнаружения электронных данных на месте.
Сохранение архивного содержимого Skype для бизнеса
Exchange 2016 и Exchange 2019, Skype для бизнеса и SharePoint 2016 предоставляют интегрированный интерфейс сохранения и обнаружения электронных данных, который позволяет сохранять и искать элементы в разных хранилищах данных. Exchange 2016 и 2019 позволяют архивировать Skype для бизнеса содержимое в Exchange, устраняя требование наличия отдельной базы данных SQL Server для хранения архивного содержимого Lync. Встроенная возможность удержания и обнаружения электронных данных в SharePoint 2016 позволяет сохранять и искать данные во всех хранилищах с одной консоли.
Когда вы помещаете почтовый ящик Exchange Server в In-Place удержание или удержание для судебного разбирательства, Skype для бизнеса содержимое (например, беседы с мгновенными сообщениями и файлы, к которым предоставлен доступ на собрании по сети) архивируются в почтовом ящике. При поиске в почтовом ящике с помощью In-Place обнаружения электронных данных все архивные Skype для бизнеса содержимое, соответствующее поисковому запросу, также возвращается в результатах поиска. Вы также можете ограничить поиск Skype для бизнеса содержимого, заархивированного в почтовом ящике.
Чтобы включить архивацию содержимого Skype для бизнеса в почтовых ящиках Exchange Server, необходимо настроить интеграцию Skype для бизнеса Server 2015 с Exchange Server. Дополнительные сведения см. в следующих разделах:
Удаление почтового ящика на хранении
Если удалить учетную запись пользователя с почтовым ящиком, хранилище сведений Exchange в конечном итоге обнаружит, что почтовый ящик больше не подключен к учетной записи пользователя, и помечает этот почтовый ящик для удаления, даже если почтовый ящик находится на удержании. Если вы хотите сохранить почтовый ящик, выполните следующие действия.
Не удаляйте учетную запись пользователя, а отключите ее.
Измените свойства почтового ящика, чтобы ограничить использование и доступ к почтовому ящику. Например, установите для квот на отправку и получение значение 1, заблокируйте потенциальных отправителей сообщений на этот почтовый ящик и ограничьте возможность доступа к нему.
Храните почтовый ящик до тех пор, пока не будут удалены все данные или пока сохранение данных не потребуется.
Перенос почтовых ящиков на удержание из Exchange Server в Microsoft 365 или Office 365
Если у вас есть гибридное развертывание Exchange, при перемещении (подключении) локального почтового ящика Exchange Server в Exchange Online в Microsoft 365 или Office 365 выполняются следующие условия:
Если локальный почтовый ящик помещен на хранение для судебного разбирательства или хранение на месте, параметры хранения сохраняются после переноса почтового ящика в Exchange Online.
Если локальный почтовый ящик помещен на хранение для судебного разбирательства или хранение на месте, все содержимое папки корзины перемещается в почтовый ящик Exchange Online.
Параметры удержания и содержимое в папке элементов с возможностью восстановления также сохраняются при перемещении (за пределами системы) почтового ящика Exchange Online в локальную организацию Exchange Server.
Совет
Для Exchange Server гибридное развертывание Exchange — это рекомендуемый способ переноса локальных почтовых ящиков в Microsoft 365 или Office 365.