In-Place обнаружение электронных данных в Exchange Online

  • Статья

Важно!

Поскольку мы продолжаем инвестировать в различные способы поиска содержимого почтового ящика, мы объявляем о прекращении In-Place обнаружения электронных данных в Центре администрирования Exchange (EAC) в Exchange Online. Начиная с 1 июля 2020 г. вы не сможете создавать новые In-Place поиска по обнаружению электронных данных. Но вы по-прежнему сможете управлять In-Place поисками eDiscovery в EAC или с помощью командлета Set-MailboxSearch в Exchange Online PowerShell. Однако с 1 октября 2020 г. вы не сможете управлять In-Place поисками по обнаружению электронных данных. Вы сможете удалить их только в EAC или с помощью командлета Remove-MailboxSearch . Использование In-Place eDiscovery в Exchange Server развертывании будет по-прежнему поддерживаться. Дополнительные сведения об отмене In-Place обнаружения электронных данных в Exchange Online см. в разделе Прекращение использования устаревших средств обнаружения электронных данных.

Если ваша организация придерживается юридических требований обнаружения (связанных с политикой организации, соответствием требованиям или судебными исками), In-Place обнаружение электронных данных в Exchange Online PowerShell поможет вам выполнить поиск соответствующего содержимого в почтовых ящиках.

Важно!

In-Place eDiscovery — это мощная функция, которая позволяет пользователю с правильными разрешениями получить доступ ко всем записям обмена сообщениями, хранящимся в Exchange Online организации. Очень важно отслеживать и контролировать действия пользователей по обнаружению, в том числе по добавлению участников в группу ролей управления обнаружением и предоставлению доступа к почтовым ящикам найденных сообщений.

Принципы работы обнаружения электронных данных на месте

В электронном обнаружении на месте используются индексы содержимого, созданные службой поиска Exchange. Контроль доступа на основе ролей (RBAC) предоставляет группу ролей Управление обнаружением для делегирования задач обнаружения нетехническому персоналу, при этом нет необходимости предоставлять повышенные привилегии, которые могут позволить пользователю вносить какие-либо операционные изменения в конфигурацию Exchange. В Центре администрирования Exchange (EAC) представлен интерфейс поиска, простой для использования нетехническим персоналом, например юристами и должностными лицами, отвечающими за соблюдение нормативных требований, делопроизводителями и сотрудниками кадрового отдела.

Авторизованные пользователи могут выполнять обнаружение электронных данных на месте, выбирая почтовые ящики и указывая условия поиска, такие как ключевые слова, начальная и конечная дата, адреса отправителей и получателей, а также типы сообщений. После завершения поиска авторизованные пользователи могут выбрать одно из следующих действий:

  • Оценка результатов поиска. Этот параметр возвращает оценку общего размера и количества элементов, которые будут возвращены поиском на основе указанных условий.

  • Предварительный просмотр результатов поиска. Этот параметр предоставляет предварительный просмотр результатов. Отображаются сообщения, возвращенные из каждого включенного в поиск почтового ящика.

  • Копировать результаты поиска. Этот параметр позволяет копировать сообщения в почтовый ящик обнаружения.

  • Экспорт результатов поиска. После копирования результатов поиска в почтовый ящик обнаружения их можно экспортировать в PST-файл.

Оценка, предварительный просмотр, копирование и экспорт результатов поиска.

В электронном обнаружении на месте используются индексы содержимого, созданные службой поиска Exchange. Служба поиска Exchange была модернизирована и теперь использует Microsoft Search Foundation, мощную платформу с более высокой производительностью индексации и запросов, а также улучшенным поиском. Так как Microsoft Search Foundation также используется другими продуктами Office, включая SharePoint 2013, эта платформа обеспечивает более высокий уровень взаимодействия и сходный синтаксис запросов в этих продуктах.

При использовании единого механизма индексирования содержимого никакие дополнительные ресурсы не используются для обхода и индексирования баз данных почтовых ящиков для In-Place обнаружения электронных данных, когда ИТ-отделы получают запросы на обнаружение электронных данных.

In-Place eDiscovery использует язык запросов по ключевым словам (KQL) — синтаксис запросов, аналогичный расширенному синтаксису запросов (AQS), используемому мгновенным поиском в Microsoft Outlook и Outlook в Интернете. Пользователи, знакомые с синтаксисом KQL, могут легко создать сложные поисковые запросы для поиска индексов содержимого.

Дополнительные сведения о форматах файлов, индексируемых поиском Exchange, см. в разделе File Formats Indexed By Exchange Search.

Группа ролей управления обнаружением и роли управления

Чтобы авторизованные пользователи выполняли поиск In-Place обнаружения электронных данных в Exchange Online PowerShell, необходимо добавить их в группу ролей Управление обнаружением. Данная группа ролей состоит из двух ролей управления: Роль поиска в почтовом ящике, которая позволяет пользователям выполнять поиск методом обнаружения электронных данных на месте, и Роль хранения для судебного разбирательства, которая позволяет размещать почтовые ящики на хранение на месте или на хранение для судебного разбирательства. Дополнительные сведения о ролях и группах ролей см. в разделе Разрешения в Exchange Online.

По умолчанию разрешения для выполнения задач, связанных с электронным обнаружением на месте, не назначаются пользователям или администраторам Exchange. Администраторы Exchange, входящие в группу роли управления организацией, могут добавлять пользователей в группу роли управления обнаружением и создавать настраиваемые группы ролей для сужения области менеджера по обнаружению до подмножества пользователей. Дополнительные сведения о добавлении пользователей в группу ролей "Управление обнаружением" см. в статье Назначение разрешений на обнаружение электронных данных в Exchange.

Важно!

Если пользователь не был добавлен в группу ролей "Управление обнаружением" или ему не назначена роль поиска в почтовых ящиках, командлеты In-Place обнаружения электронных данных недоступны в Exchange Online PowerShell.

Аудит изменений ролей RBAC, который включен по умолчанию, гарантирует, что сохраняются соответствующие записи для отслеживания назначения группы ролей Управление обнаружением. Отчет о группе ролей администраторов используется для поиска изменений в группах ролей администраторов. Подробнее см. в разделе Search the role group changes or administrator audit logs.

Настраиваемые области управления для обнаружения электронных данных на месте

Вы можете использовать настраиваемую область управления, чтобы позволить определенным пользователям или группам использовать In-Place eDiscovery для поиска подмножества почтовых ящиков в вашей Exchange Online организации. Например, вам может потребоваться разрешить менеджеру по обнаружению выполнять поиск только в почтовых ящиках пользователей, относящихся к определенному расположению или отделу. Для этого следует создать настраиваемую область управления, которая использует фильтр получателей для управления тем, в каких почтовых ящиках можно выполнять поиск. Области фильтра получателей используют фильтры для выделения определенных получателей на основе типа или других свойств получателя.

Для In-Place обнаружения электронных данных единственным свойством почтового ящика пользователя, которое можно использовать для создания фильтра получателей для настраиваемого область, является членство в группе рассылки. При использовании других свойств, таких как CustomAttributeN, Department или PostalCode, поиск завершается ошибкой, когда он выполняется членом группы ролей, которому назначен пользовательский область. Подробнее см. в разделе Create a custom management scope for In-Place eDiscovery searches.

Почтовые ящики обнаружения

После создания запроса на обнаружение электронных данных на месте результаты поиска можно скопировать в целевой почтовый ящик. Центр администрирования Exchange позволяет выбрать почтовый ящик найденных сообщений в качестве целевого. Почтовый ящик обнаружения — это особый тип почтового ящика, который предоставляет следующие функции:

  • Более простой и безопасный выбор целевого почтового ящика. Если вы используете EAC для копирования In-Place результатов поиска eDiscovery, только почтовые ящики обнаружения становятся доступными в виде репозитория, в котором будут храниться результаты поиска. Это исключает необходимость сортировать длинный список почтовых ящиков, доступных в организации. Эта функция также устраняет возможность случайного выбора диспетчера обнаружения почтового ящика другого пользователя или незащищенного почтового ящика, в котором будут храниться потенциально конфиденциальные сообщения.

  • Квота хранилища больших почтовых ящиков. Целевой почтовый ящик должен иметь возможность хранить большой объем данных сообщений, которые могут быть возвращены In-Place поиска eDiscovery. По умолчанию почтовые ящики найденных сообщений имеют квоту хранилища почтовых ящиков 50 гигабайт (ГБ). Эту квоту увеличить нельзя.

  • Более безопасный по умолчанию: как и все типы почтовых ящиков, почтовый ящик обнаружения имеет связанную учетную запись пользователя Active Directory. Однако по умолчанию эта учетная запись отключена. К почтовому ящику найденных сообщений имеют доступ только явно авторизованные пользователи. Участники группы ролей управления обнаружением имеют права на полный доступ к почтовому ящику найденных сообщений по умолчанию. Однако разрешения на доступ к дополнительным почтовым ящикам найденных сообщений не назначаются ни для каких пользователей.

  • Email доставка отключена. Хотя они отображаются в списках адресов Exchange, пользователи не могут отправлять сообщения электронной почты в почтовый ящик обнаружения. Ограничения доставки используются для запрета доставки электронной почты в почтовые ящики обнаружения. Этот запрет сохраняет целостность результатов поиска, скопированных в почтовый ящик обнаружения.

Программа установки Exchange создает один почтовый ящик обнаружения с отображаемым именем Почтовый ящик поиска обнаружения. Для создания дополнительных почтовых ящиков обнаружения можно использовать Exchange Online PowerShell. По умолчанию создаваемые почтовые ящики найденных сообщений не имеют назначенных прав доступа к почтовым ящикам. Вы можете назначить разрешения на полный доступ к созданным почтовым ящикам обнаружения, чтобы диспетчер обнаружения смог получить доступ к сообщениям, скопированным в почтовый ящик обнаружения. Дополнительные сведения см. в статье Создание почтового ящика обнаружения.

Функция обнаружения электронных данных на месте также использует системные почтовые ящики с отображаемым именем SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} для хранения метаданных обнаружения электронных данных на месте. Системные почтовые ящики не отображаются в EAC или в списках адресов Exchange. Прежде чем удалить в локальной организации базу данных почтовых ящиков, в которой размещен системный почтовый ящик, используемый функцией обнаружения электронных данных на месте, вы должны переместить этот почтовый ящик в другую базу данных. Если почтовый ящик удален или поврежден, диспетчеры обнаружения не смогут выполнять поиск по обнаружению электронных данных, пока вы не создадите его повторно. Дополнительные сведения см. в разделе Delete and re-create the default discovery mailbox in Exchange.

Оценка, предварительный просмотр и копирование результатов поиска

После завершения поиска In-Place eDiscovery можно просмотреть оценки результатов поиска в области Сведения в EAC. Оценка включает количество возвращаемых элементов и общий размер этих элементов. Вы также можете просмотреть ключевое слово статистику, которая возвращает сведения о количестве элементов, возвращаемых для каждого ключевое слово, используемого в поисковом запросе. Эти сведения полезны для определения эффективности запросов. Если запрос слишком широкий, он может вернуть гораздо больший набор данных, что может потребовать дополнительных ресурсов для проверки и может привести к повышению затрат на обнаружение электронных данных. Если запрос слишком узок, он может значительно уменьшить количество возвращаемых записей или вообще не возвращать записей. Вы можете использовать оценки и статистику ключевое слово для точной настройки запроса в соответствии с вашими требованиями.

Примечание.

Статистика ключевых слов также включает статистику по свойствам, не ключевое слово, таким как даты, типы сообщений, а также отправителей и получателей, указанных в поисковом запросе.

Вы также можете просмотреть результаты поиска, чтобы убедиться, что возвращенные сообщения содержат искомый контент, и при необходимости настроить запрос. При предварительном просмотре поиска методом обнаружения электронных данных отображается количество сообщений, возвращенных из каждого почтового ящика, поиск в котором осуществлялся, и общее количество сообщений, возвращенных поиском. Предварительный просмотр создается быстро, при этом вам не нужно копировать сообщения в почтовый ящик найденных сообщений.

Если количество и качество результатов поиска вас удовлетворяет, их можно скопировать в почтовый ящик найденных сообщений. При копировании сообщений можно воспользоваться следующими параметрами.

  • Включить элементы, не доступные для поиска. Дополнительные сведения о типах элементов, которые считаются недоступными для поиска, см. в разделе Рекомендации по поиску электронных данных в предыдущем разделе.

  • Включение дедупликации. Дедупликация уменьшает набор данных, включив только один экземпляр уникальной записи, если в одном или нескольких почтовых ящиках найдено несколько экземпляров.

  • Включение полного ведения журнала. По умолчанию при копировании элементов включено только базовое ведение журнала . Вы можете выбрать Полное ведение журнала , чтобы включить сведения обо всех записях, возвращаемых поиском.

  • Отправка сообщения электронной почты по завершении копирования. Поиск In-Place eDiscovery может возвращать большое количество записей. Копирование сообщений, возвращенных в почтовый ящик найденных сообщений, может занять много времени. Используйте этот параметр для получения уведомления по электронной почте о завершении процесса копирования. Чтобы упростить доступ с помощью Outlook в Интернете, уведомление содержит ссылку на расположение в почтовом ящике обнаружения, в которое копируются сообщения.

Экспорт результатов поиска в PST-файл

После копирования результатов поиска в почтовый ящик найденных сообщений результаты поиска можно экспортировать в PST-файл.

Экспортируйте результаты поиска eDiscovery в PST-файл.

После экспорта результатов поиска в PST-файл вы или другие пользователи можете открыть их в Outlook для просмотра или печати сообщений, представленных в результатах поиска. Дополнительные сведения см. в статье Экспорт результатов поиска eDiscovery в PST-файл.

Различные результаты поиска

Так как In-Place eDiscovery выполняет поиск по динамическим данным, возможно, два поиска в одном и том же источнике контента и использование одного поискового запроса могут возвращать разные результаты. Ожидаемые результаты поиска также могут отличаться от фактических результатов, скопированных в почтовый ящик найденных сообщений. Такое отклонение может произойти даже при повторном выполнении одного и того же поиска в течение короткого промежутка времени. Существует несколько факторов, которые могут повлиять на идентичность результатов поиска:

  • Непрерывное индексирование входящих сообщений электронной почты, так как поиск Exchange непрерывно сканирует и индексирует базы данных почтовых ящиков и транспортный конвейер вашей организации.

  • Удаление сообщений электронной почты пользователями или автоматизированными процессами.

  • Массовый импорт больших объемов сообщений электронной почты, для индексирования которого требуется время.

Если вы замечаете, что один и тот же поиск дает различные результаты, вы можете поставить почтовые ящики на хранение, чтобы сохранить содержимое, использовать поиск в периоды низкой загрузки и после импорта большого количества электронной почты ожидать определенное время, пока завершится индексирование.

Ведение журнала операций поиска при обнаружении электронных данных на месте

Для поисков методом обнаружения электронных данных на месте существует два типа ведения журнала.

  • Базовое ведение журнала. Базовое ведение журнала включено по умолчанию для всех In-Place поиска eDiscovery. В нем регистрируются сведения о поиске и выполнившем его пользователе. Сведения, собираемые при обычном ведении журнала, включаются в текст сообщения электронной почты, которое отправляется в почтовый ящик, где хранятся результаты поиска. Это сообщение находится в папке, созданной для хранения результатов поиска.

  • Полное ведение журнала. Полное ведение журнала включает сведения обо всех сообщениях, возвращаемых поиском. Эти сведения содержатся в CSV-файле, который вкладывается в сообщение электронной почты, содержащее сведения обычного ведения журнала. Для имени CSV-файла используется имя поиска. Эти сведения могут потребоваться для делопроизводства или обеспечения соответствия требованиям. Чтобы включить полное ведение журнала, при копировании результатов поиска в почтовый ящик найденных сообщений в Центре администрирования Exchange выберите параметр Включить полное ведение журнала. Если вы используете Exchange Online PowerShell, укажите параметр полного ведения журнала с помощью параметра LogLevel.

Примечание.

При использовании Exchange Online PowerShell для создания или изменения поиска In-Place обнаружения электронных данных можно также отключить ведение журнала.

Помимо журнала поиска, который включается при копировании результатов поиска в почтовый ящик обнаружения, Exchange также регистрирует командлеты, используемые EAC или Exchange Online PowerShell для создания, изменения или удаления In-Place поиска eDiscovery. Эта информация регистрируется в записях журнала аудита администратора. Дополнительные сведения см. в статье Просмотр журнала аудита администратора.

Электронное обнаружение на месте и хранение на месте

При выполнении запросов на обнаружение электронных данных вам может потребоваться сохранять содержимое почтовых ящиков до завершения судебного процесса или расследования. Сообщения, удаленные или измененные пользователем почтового ящика или любыми процессами, также должны быть сохранены. Это сохранение достигается с помощью In-Place удержания. Дополнительные сведения см. в статье Удержание на месте и хранение для судебного разбирательства.

Имейте в виду, что:

  • Нельзя использовать параметр для поиска во всех почтовых ящиках. Необходимо выбрать почтовые ящики или группы рассылки.

  • Вы не можете удалить In-Place поиска eDiscovery, если поиск также используется для параметра "Удержание на месте ". Сначала необходимо отключить параметр "Удержание на месте " в поиске, а затем удалить его.

Хранение почтовых ящиков для обнаружения электронных данных на месте

Когда сотрудник покидает организацию, обычно отключает или удаляет почтовый ящик. После отключения почтового ящика он отключается от учетной записи пользователя, но остается в почтовом ящике в течение определенного периода времени( по умолчанию 30 дней). Помощник по управляемым папкам не обрабатывает отключенные почтовые ящики, и все политики хранения не применяются в течение этого периода. Вы не можете искать содержимое отключенного почтового ящика. По достижении срока хранения удаленного почтового ящика, настроенного для базы данных почтовых ящиков, почтовый ящик очищается из базы данных почтовых ящиков.

Важно!

В Exchange Online In-Place eDiscovery может выполнять поиск содержимого в неактивных почтовых ящиках. Неактивными считаются почтовые ящики, переведенные в режим хранения на месте или хранения для судебного разбирательства и затем удаленные. Неактивные почтовые ящики сохраняются до тех пор, пока они находятся на удержании. При удалении неактивного почтового ящика из In-Place удержания или при отключении удержания в судебном порядке он удаляется окончательно. Дополнительные сведения см. в статье Создание неактивных почтовых ящиков и управление ими.

В локальных развертываниях, если ваша организация требует, чтобы параметры хранения применялись к сообщениям сотрудников, которые больше не входят в организацию, или если вам может потребоваться сохранить почтовый ящик бывшего сотрудника для текущего или будущего поиска eDiscovery, не отключайте и не удаляйте почтовый ящик. Вы можете выполнить следующие действия, чтобы убедиться, что почтовый ящик недоступен и в него не доставляются новые сообщения.

  1. Отключите учетную запись пользователя Active Directory с помощью пользователей Active Directory & компьютеров или других средств или сценариев подготовки учетных записей Active Directory или учетных записей. Это отключение запрещает вход в почтовый ящик с использованием связанной учетной записи пользователя.

    Важно!

    Пользователи с разрешениями на полный доступ к почтовому ящику по-прежнему смогут получить доступ к почтовому ящику. Чтобы запретить доступ другим пользователям, необходимо удалить их разрешения на полный доступ из почтового ящика. Сведения об удалении разрешений на полный доступ к почтовому ящику см. в разделе Управление разрешениями для получателей.

  2. Задайте для максимального размера сообщений, которые могут отправляться пользователем почтового ящика или доставляться ему, очень низкое значение, например 1 КБ. Это ограничение предотвращает доставку новой почты в почтовый ящик и из нее.

  3. Настройте ограничения доставки для почтового ящика, чтобы никто не смог отправлять в него сообщения. Дополнительные сведения см. в статье Настройка ограничений доставки сообщений для почтового ящика.

Важно!

Описанные действия необходимо выполнить вместе с другими процессами управления учетными записями, требуемыми для организации, но без отключения или удаления почтового ящика или удаления связанной учетной записи пользователя.

При планировании внедрения системы хранения почтовых ящиков для управления хранением сообщений (MRM) или электронного управления на месте необходимо принять во внимание текучесть кадров. Длительное хранение почтовых ящиков бывших сотрудников потребует дополнительного пространства для хранения на серверах почтовых ящиков и может привести к увеличению размера базы данных Active Directory, поскольку связанные учетные записи пользователей должны храниться в течение того же периода. Кроме того, могут потребоваться изменения в процессах подготовки учетных записей и управления ими в организации.

Документация обнаружения электронных данных на месте

В следующей таблице приведены ссылки на разделы, которые помогут узнать больше об обнаружении электронных данных на месте.

Статья Описание
Назначение разрешений обнаружения электронных данных в Exchange Сведения о том, как предоставить пользователю доступ к функции обнаружения электронных данных на месте в EAC для поиска в почтовых ящиках Exchange. Добавление пользователя в группу ролей "Управление обнаружением" также позволяет использовать центр обнаружения электронных данных в SharePoint 2013 и SharePoint Online для поиска в почтовых ящиках Exchange.
Создание почтового ящика найденных сообщений Узнайте, как использовать Exchange Online PowerShell для создания почтового ящика обнаружения и назначения разрешений на доступ.
Свойства сообщений и операторы поиска для обнаружения электронных данных на месте Узнайте, как свойства сообщений электронной почты можно искать с помощью обнаружения электронных данных на месте. В этом разделе представлены примеры синтаксиса для каждого свойства, сведения об операторах поиска, таких как AND и OR, и информация о других методах выполнения поисковых запросов, например использовании двойных кавычек (" ") и знаков подстановки в конце слова.
Ограничения поиска для обнаружения электронных данных In-Place Узнайте, In-Place ограничения обнаружения электронных данных в Exchange Online, которые помогают поддерживать работоспособность и качество служб обнаружения электронных данных для Microsoft 365 или Office 365 организаций.
Экспорт результатов поиска при обнаружении электронных данных в PST-файл Узнайте, как экспортировать результаты поиска обнаружения электронных данных на месте в PST-файл.
Create a custom management scope for In-Place eDiscovery searches Узнайте, как использовать настраиваемые области управления для ограничения почтовых ящиках, в которых менеджер по обнаружению может выполнять поиск.
Поиск и удаление сообщений электронной почты Узнайте, как использовать поиск контента для поиска и последующего удаления сообщений электронной почты.
Reduce the size of a discovery mailbox in Exchange Используйте эту процедуру, чтобы уменьшить размер почтового ящика найденных сообщений, превышающий 50 ГБ.
Delete and re-create the default discovery mailbox in Exchange Узнайте, как удалить почтовый ящик найденных сообщений по умолчанию, повторно создать его, а затем переназначить для него разрешения. Используйте эту процедуру, если этот почтовый ящик превысил ограничение в 50 ГБ и если результаты поиска вам не нужны.

Дополнительные сведения об обнаружении электронных данных в Microsoft Purview см. в статье Начало работы с обнаружением электронных данных (стандартный).