Создание настраиваемой области управления для In-Place поиска электронных данных в Exchange Online

Пользовательская область управления позволяет определенным пользователям или группам использовать In-Place eDiscovery для поиска подмножества почтовых ящиков в Exchange Online организации. Например, вам может потребоваться разрешить диспетчеру обнаружения выполнять поиск только в почтовых ящиках пользователей, относящихся к определенному расположению или отделу. Для этого необходимо создать настраиваемую область управления. Эта область использует фильтр получателей для управления тем, в каких почтовых ящиках можно выполнять поиск. Области фильтра получателей используют фильтры для выделения определенных получателей на основе типа или других свойств получателя.

Для In-Place обнаружения электронных данных единственным свойством в почтовом ящике пользователя, которое можно использовать для создания фильтра получателей для настраиваемой области, является членство в группе рассылки (фактическое имя свойства — MemberOfGroup). Если вы используете другие свойства, такие как CustomAttributeN, Department или PostalCode, поиск завершается ошибкой, когда он выполняется членом группы ролей, которому назначена настраиваемая область.

Дополнительные сведения об областях управления см. в разделе:

• Общие сведения об областях ролей управления

• Общие сведения о фильтрах области ролей управления

Что нужно знать перед началом работы

• Предполагаемое время выполнения: 15 минут.

• Как было сказано ранее, для создания настраиваемой области фильтра получателей, которая будет использоваться для электронного обнаружения данных, в качестве фильтра получателей можно использовать только членство в группе. Любые другие свойства получателя нельзя использовать для создания настраиваемой области для электронного обнаружения данных. Обратите внимание, что членство в динамической группе рассылки также не может быть использовано.

• Выполните действия 1-3, чтобы позволить диспетчеру обнаружения экспортировать результаты поиска электронного обнаружения данных с использованием настраиваемой области управления.

• Если диспетчеру обнаружения не требуется предварительный просмотр результатов поиска, действие 4 можно пропустить.

• Если диспетчеру обнаружения не требуется копировать результаты поиска, действие 5 можно пропустить.

Действие 1. Организация пользователей в группы рассылки для электронного обнаружения данных

Для поиска в подмножестве почтовых ящиков в вашей организации или сужения области поиска исходных почтовых ящиков, в которых диспетчер обнаружения может выполнять поиск, необходимо сгруппировать подмножество почтовых ящиков в одну или несколько групп рассылки. При создании настраиваемой области управления в действии 2 эти группы рассылки используются как фильтр получателей. Это позволяет диспетчеру обнаружения выполнять поиск только в почтовых ящиков пользователей, входящих в определенную группу.

Вы можете использовать существующие группы рассылки для обнаружения электронных данных или создавать новые. Советы по созданию групп рассылки, которые можно использовать для поиска eDiscovery, см. в разделе Дополнительные сведения в конце этой статьи.

Действие 2. Создание настраиваемой области управления

Теперь вы создадите настраиваемую область управления, определяемую членством в группе рассылки (с помощью фильтра получателей MemberOfGroup ). Если эта область применяется к группе ролей, используемой для электронного обнаружения данных, члены группы ролей могут выполнять поиск в почтовых ящиков пользователей, входящих в группу рассылки, с помощью которой была создана настраиваемая область управления.

В этой процедуре используется Exchange Online команд PowerShell для создания настраиваемой области с именем Оттава Пользователи eDiscovery Scope. В них указывается группа рассылки с именем "Ottawa Users" для фильтра получателей настраиваемой области.

1. Выполните эту команду, чтобы получить и сохранить свойства группы "Ottawa Users" в переменную, которая используется в следующей команде.

   $DG = Get-DistributionGroup -Identity "Ottawa Users"
   

2. Выполните эту команду, чтобы создать настраиваемую область управления на основе членства в группе рассылки "Ottawa Users".

   New-ManagementScope "Ottawa Users eDiscovery Scope" -RecipientRestrictionFilter "MemberOfGroup -eq '$($DG.DistinguishedName)'"
   

Различающееся имя группы рассылки, которое содержится в переменной $DG, используется для создания фильтра получателей для новой области управления.

Действие 3. Создание группы ролей управления

В этой процедуре вы создаете новую группу ролей управления и назначаете настраиваемую область, созданную в действии 2. Добавьте роли "Удержание по юридическим причинам" и "Поиск в почтовых ящиках", чтобы участники группы ролей могли выполнять поиск обнаружения электронных данных на месте и поместить почтовые ящики на удержание на месте или юридическое удержание. Вы также можете добавить членов в эту группу ролей, чтобы они могли выполнять поиск в почтовых ящиках членов группы рассылки, с помощью которой была создана настраиваемая область в действии 2.

В следующих примерах группа безопасности "Ottawa Users eDiscovery Managers" будет добавлена как член этой группы ролей. Для этого шага можно использовать Exchange Online PowerShell или EAC.

Создание группы ролей управления с помощью Exchange Online PowerShell

Выполните эту команду, чтобы создать группу ролей, использующую настраиваемую область, созданную в действии 2. Эта команда также добавляет роли "Удержание по юридическим причинам" и "Поиск в почтовых ящиках" и добавляет группу безопасности "Ottawa Users eDiscovery Managers" как члена новой группы ролей.

New-RoleGroup "Ottawa Discovery Management" -Roles "Mailbox Search","Legal Hold" -CustomRecipientWriteScope "Ottawa Users eDiscovery Scope" -Members "Ottawa Users eDiscovery Managers"

Использование центра администрирования Exchange для создания группы ролей управления

1. В EAC перейдите в раздел Разрешения>Администратор роли и нажмите кнопку Создать

2. В разделе Новая группа ролей введите следующие сведения:

   • Имя. Укажите описательное имя новой группы ролей. В этом примере вы используете оттавскую службу управления обнаружением.

   • Область записи. Выберите настраиваемую область управления, созданную на шаге 2. Эта область будет применена к новой группе ролей.

   • Роли. Щелкните Добавить добавьте роли "Юридическое удержание " и "Поиск в почтовых ящиках " в новую группу ролей.

   • Участники. Щелкните Добавить выберите пользователей, группу безопасности или группы ролей, которые нужно добавить в новую группу ролей. В этом примере члены группы безопасности Диспетчеры обнаружения электронных данных в Оттаве смогут выполнять поиск только в почтовых ящиках пользователей, которые являются членами группы рассылки Оттава пользователей .

3. Нажмите кнопку Сохранить, чтобы создать группу.

   Вот пример того, как будет выглядеть окно Новая группа ролей после завершения операции.

   

(Необязательно) Действие 4. Добавление диспетчеров обнаружения как членов группы рассылки, используемой для создания настраиваемой области управления

Это действие необходимо выполнить, только чтобы разрешить диспетчеру обнаружения предварительный просмотр результатов поиска обнаружения электронных данных.

Выполните эту команду, чтобы добавить группу безопасности "Ottawa Users eDiscovery Managers" как члена группы рассылки "Ottawa Users".

Add-DistributionGroupMember -Identity "Ottawa Users" -Member "Ottawa Users eDiscovery Managers"

Примечание.

Для локальной среды Exchange диспетчеры обнаружения должны быть добавлены непосредственно в группу рассылки, используемую для создания области управления. Вложенные группы не будут работать.

Вы также можете использовать EAC для добавления участников в группу рассылки. Дополнительные сведения см. в статье Создание групп рассылки и управление ими.

(Необязательно) Действие 5. Добавление почтового ящика обнаружения как члена группы рассылки, используемой для создания настраиваемой области управления

Это действие необходимо выполнить, только чтобы разрешить диспетчеру обнаружения копировать результаты поиска обнаружения электронных данных.

Выполните эту команду, чтобы добавить почтовый ящик обнаружения "Ottawa Discovery Mailbox" как член группы рассылки "Ottawa Users".

Add-DistributionGroupMember -Identity "Ottawa Users" -Member "Ottawa Discovery Mailbox"

Примечание.

Чтобы открыть почтовый ящик обнаружения и просмотреть результаты поиска, диспетчерам обнаружения должны быть назначены разрешения на полный доступ для почтового ящика обнаружения. Дополнительные сведения см. в статье Создание почтового ящика обнаружения.

Как проверить, все ли получилось?

Вот несколько способов для проверки успешной реализации настраиваемых областей управления для обнаружения электронных данных. Во время проверки убедитесь, что пользователь, выполняющий поиск с обнаружением электронных данных, входит в группу ролей, использующую настраиваемую область управления.

• Создайте поиск обнаружения электронных данных и выберите группу рассылки, которая использовалась для создания настраиваемой области управления, как источник почтовых ящиков для поиска. Поиск должен быть успешно выполнен во всех почтовых ящиках.

• Создайте поиск обнаружения электронных данных и выполните поиск в почтовых ящиках всех пользователей, не входящих в группу рассылки, которая использовалась для создания настраиваемой области управления. Поиск должен завершиться с ошибкой, так как диспетчер обнаружения может выполнять поиск только для пользователей, входящих в группу рассылки, которая использовалась для создания настраиваемой области управления. В этом случае будет возвращена ошибка, например "Не удается выполнить поиск имени почтового <ящика> , так как у текущего пользователя нет разрешений на доступ к почтовому ящику".

• Создайте поиск обнаружения электронных данных и выполните поиск в почтовых ящиках пользователей, входящих в группу рассылки, которая использовалась для создания настраиваемой области управления. Включите в тот же поиск почтовые ящики пользователей, которые не являются членами этой группы рассылки. Поиск должен частично завершиться успешно. Поиск в почтовых ящиках членов группы рассылки, используемой для создания настраиваемой области управления, должен завершиться успешно. Поиск в почтовых ящиках пользователей, которые не входят в группу рассылки, должен завершиться ошибкой.

Дополнительные сведения

• Так как группы рассылки используются в этом сценарии для определения областей поиска обнаружения электронных данных, а не для доставки сообщений, учитывайте следующее при создании и настройке группы рассылки для обнаружения электронных данных.

  • Создавайте группы рассылки с закрытым членством, чтобы только владельцы группы могли добавлять членов в группу или удалять их. Если вы создаете группу в Exchange Online PowerShell, используйте синтаксис MemberJoinRestriction closed и MemberDepartRestriction closed.

  • Включите модерирование группы, чтобы все сообщения, отправляемые в группу, сначала передавались модераторам, которые могут утвердить или отклонить сообщение. Если вы создаете группу в Exchange Online PowerShell, используйте синтаксис ModerationEnabled $true. Если вы используете центр администрирования Exchange, модерирование можно включить после создания группы.

  • Скройте группу рассылки из общей адресной книги организации. Используйте центр администрирования Exchange или командлет Set-DistributionGroup после создания группы. Если вы используете Exchange Online PowerShell, используйте синтаксис HiddenFromAddressListsEnabled $true.

    В следующем примере первая команда создает группу рассылки с закрытым членством и включенным модерированием. Вторая команда скрывает группу из общей адресной книги.

    New-DistributionGroup -Name "Vancouver Users eDiscovery Scope" -Alias VancouverUserseDiscovery -MemberJoinRestriction closed -MemberDepartRestriction closed -ModerationEnabled $true
    

    Set-DistributionGroup "Vancouver Users eDiscovery Scope" -HiddenFromAddressListsEnabled $true
    

    Дополнительные сведения о создании групп рассылки и управлении ими см. в статье Создание групп рассылки и управление ими.

• Хотя в качестве фильтра получателей для настраиваемой области управления, используемой для обнаружения электронного данных, можно применять только членство в группе рассылки, другие свойства получателей можно использовать для добавления пользователей в эту группу рассылки. Вот несколько примеров использования командлетов Get-Mailbox и Get-Recipient для получения определенной группы пользователей на основе общих атрибутов пользователей или почтовых ящиков.

  Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'Department -eq "HR"'
  

  Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'CustomAttribute15 -eq "VancouverSubsidiary"'
  

  Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'PostalCode -eq "98052"'
  

  Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'StateOrProvince -eq "WA"'
  

  Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited -OrganizationalUnit "namsr01a002.sdf.exchangelabs.com/Microsoft Exchange Hosted Organizations/contoso.onmicrosoft.com"
  

• Затем можно использовать примеры из предыдущего списка для создания переменной, применяемой с командлетом Add-DistributionGroupMember, для добавления группы пользователей в группу рассылки. В следующем примере первая команда создает переменную, содержащую все почтовые ящики пользователей, имеющие значение Vancouver для свойства Department в учетной записи пользователя. Вторая команда добавляет этих пользователей в группу рассылки "Vancouver Users".

  $members = Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'Department -eq "Vancouver"'
  

  $members | ForEach {Add-DistributionGroupMember "Ottawa Users" -Member $_.Name}
  

• С помощью командлета Add-RoleGroupMember можно добавить члена в существующую группу ролей, которая используется для определения областей поиска обнаружения электронных данных. Например, следующая команда добавляет пользователя admin@ottawa.contoso.com в группу ролей Оттава управления обнаружением.

  Add-RoleGroupMember "Vancouver Discovery Management" -Member paralegal@vancouver.contoso.com
  

  Вы также можете использовать EAC для добавления участников в группу ролей. Дополнительные сведения см. в разделе "Изменение групп ролей" статьи Управление группами ролей в Exchange Online.

• В Exchange Online невозможно искать неактивные почтовые ящики с помощью настраиваемой области управления, используемой для обнаружения электронных данных. Это обусловлено тем, что неактивный почтовый ящик не может быть членом группы рассылки. Предположим, что пользователь входит в группу рассылки, с использованием которой была создана настраиваемая область управления для обнаружения электронных данных. Затем этот пользователь покидает организацию, и его почтовый ящик становится неактивным (путем размещения удержания для судебного разбирательства или In-Place удержания в почтовом ящике, а затем удаления соответствующей учетной записи пользователя). В результате пользователь удален из каждой группы рассылки, включая группу, с использованием которой создана настраиваемая область управления для обнаружения электронных данных. Если менеджер по обнаружению (член группы ролей, назначенной для настраиваемой области управления) попытается найти этот неактивный почтовый ящик, поиск не даст результатов. Чтобы менеджер по обнаружению мог искать неактивные почтовые ящики, ему нужно входить в группу ролей управления обнаружением или любой другой группы ролей, имеющей разрешение на поиск по всей организации.

  Дополнительные сведения о неактивных почтовых ящиках см. в статье Создание неактивных почтовых ящиков и управление ими.