In-Place обнаружение электронных данных в Exchange Online
Важно!
Поскольку мы продолжаем инвестировать в различные способы поиска содержимого почтового ящика, мы объявляем о прекращении In-Place обнаружения электронных данных в Центре администрирования Exchange (EAC) в Exchange Online. Начиная с 1 июля 2020 г. вы не сможете создавать новые In-Place поиска по обнаружению электронных данных. Но вы по-прежнему сможете управлять In-Place поисками eDiscovery в EAC или с помощью командлета Set-MailboxSearch в Exchange Online PowerShell. Однако начиная с 1 октября 2020 г. вы не сможете управлять In-Place поисками по обнаружению электронных данных. Вы сможете удалить их только в EAC или с помощью командлета Remove-MailboxSearch . Использование In-Place обнаружения электронных данных в гибридных развертываниях Exchange Server и Exchange будет по-прежнему поддерживаться. Дополнительные сведения об отмене In-Place обнаружения электронных данных в Exchange Online см. в разделе Прекращение использования устаревших средств обнаружения электронных данных.
Если ваша организация соблюдает юридические требования к обнаружению (связанные с политикой организации, соответствием требованиям или судебными исками), In-Place обнаружение электронных данных в Exchange Online может помочь вам выполнить поиск соответствующего содержимого в почтовых ящиках. Вы также можете использовать функцию обнаружения электронных данных на месте в гибридной среде Exchange для поиска в локальных и облачных почтовых ящиках с использованием одной и той же операции поиска.
Важно!
In-Place eDiscovery — это мощная функция, которая позволяет пользователю с правильными разрешениями потенциально получить доступ ко всем записям обмена сообщениями, хранящимся в Exchange Online организации. Очень важно отслеживать и контролировать действия пользователей по обнаружению, в том числе по добавлению участников в группу ролей управления обнаружением и предоставлению доступа к почтовым ящикам найденных сообщений.
Принципы работы обнаружения электронных данных на месте
В электронном обнаружении на месте используются индексы содержимого, созданные службой поиска Exchange. Функция управления доступом на основе ролей (RBAC) позволяет группе ролей Управление обнаружением делегировать задачи обнаружения нетехническому персоналу без необходимости предоставлять пользователям расширенные права, с помощью которых они могут вносить изменения в конфигурацию Exchange. В Центре администрирования Exchange (EAC) представлен интерфейс поиска, простой для использования нетехническим персоналом, например юристами и должностными лицами, отвечающими за соблюдение нормативных требований, делопроизводителями и сотрудниками кадрового отдела.
Авторизованные пользователи могут выполнять обнаружение электронных данных на месте, выбирая почтовые ящики и указывая условия поиска, такие как ключевые слова, начальная и конечная дата, адреса отправителей и получателей, а также типы сообщений. После завершения поиска авторизованные пользователи могут выбрать одно из следующих действий:
Оценка результатов поиска. Этот параметр возвращает оценку общего размера и количества элементов, которые будут возвращены поиском на основе указанных условий.
Предварительный просмотр результатов поиска. Этот параметр предоставляет предварительный просмотр результатов. Отображаются сообщения, возвращенные из каждого включенного в поиск почтового ящика.
Копировать результаты поиска. Этот параметр позволяет копировать сообщения в почтовый ящик обнаружения.
Экспорт результатов поиска. После копирования результатов поиска в почтовый ящик обнаружения их можно экспортировать в PST-файл.
Служба поиска Exchange
В электронном обнаружении на месте используются индексы содержимого, созданные службой поиска Exchange. Служба поиска Exchange была модернизирована и теперь использует Microsoft Search Foundation, мощную платформу с более высокой производительностью индексации и запросов, а также улучшенным поиском. Так как Microsoft Search Foundation также используется другими продуктами Office, включая SharePoint 2013, эта платформа обеспечивает более высокий уровень взаимодействия и сходный синтаксис запросов в этих продуктах.
Благодаря единому механизму индексации содержимого для функции обнаружения электронных данных на месте не требуются дополнительные ресурсы для сканирования и индексации баз данных почтовых ящиков при получении ИТ-отделом запросов на электронное обнаружение.
In-Place eDiscovery использует язык запросов по ключевым словам (KQL) — синтаксис запросов, аналогичный расширенному синтаксису запросов (AQS), используемому мгновенным поиском в Microsoft Outlook и Outlook в Интернете. Пользователи, знакомые с синтаксисом KQL, могут легко создать сложные поисковые запросы для поиска индексов содержимого.
Дополнительные сведения о форматах файлов, индексируемых поиском Exchange, см. в разделе File Formats Indexed By Exchange Search.
Группа ролей управления обнаружением и роли управления
Чтобы авторизованные пользователи могли выполнять поиск методом обнаружения электронных данных на месте, их нужно добавить в группу ролей Discovery Management. Данная группа ролей состоит из двух ролей управления: Роль поиска в почтовом ящике, которая позволяет пользователям выполнять поиск методом обнаружения электронных данных на месте, и Роль хранения для судебного разбирательства, которая позволяет размещать почтовые ящики на хранение на месте или на хранение для судебного разбирательства. Дополнительные сведения о ролях и группах ролей см. в разделе Разрешения в Exchange Online.
По умолчанию разрешения для выполнения задач, связанных с электронным обнаружением на месте, не назначаются пользователям или администраторам Exchange. Администраторы Exchange, входящие в группу роли управления организацией, могут добавлять пользователей в группу роли управления обнаружением и создавать настраиваемые группы ролей для сужения области менеджера по обнаружению до подмножества пользователей. Дополнительные сведения о добавлении пользователей в группу ролей "Управление обнаружением" см. в статье Назначение разрешений на обнаружение электронных данных в Exchange.
Важно!
Если пользователь не был добавлен в группу ролей "Управление обнаружением" или ему не назначена роль поиска в почтовых ящиках, пользовательский интерфейс "Удержание eDiscovery & на месте" не отображается в EAC, а командлеты In-Place eDiscovery недоступны в Exchange Online PowerShell.
Аудит изменений в роли RBAC, включенный по умолчанию, обеспечивает ведение соответствующих записей для отслеживания назначений группы ролей управления обнаружением. Отчет о группе ролей администраторов используется для поиска изменений в группах ролей администраторов. Подробнее см. в разделе Search the role group changes or administrator audit logs.
Настраиваемые области управления для обнаружения электронных данных на месте
Пользовательская область управления позволяет определенным пользователям или группам использовать In-Place eDiscovery для поиска подмножества почтовых ящиков в Exchange Online организации. Например, вам может потребоваться разрешить менеджеру по обнаружению выполнять поиск только в почтовых ящиках пользователей, относящихся к определенному расположению или отделу. Для этого следует создать настраиваемую область управления, которая использует фильтр получателей для управления тем, в каких почтовых ящиках можно выполнять поиск. Области фильтра получателей используют фильтры для выделения определенных получателей на основе типа или других свойств получателя.
Для обнаружения электронных данных на месте создать фильтр подключения настраиваемой области можно только с помощью членства в группе рассылки. Если вы используете другие свойства, такие как CustomAttributeN, Department или PostalCode, поиск завершается ошибкой, когда он выполняется членом группы ролей, которому назначена настраиваемая область. Подробнее см. в разделе Create a custom management scope for In-Place eDiscovery searches.
Обнаружение электронных данных при гибридном развертывании Exchange
Чтобы успешно выполнять поиск по обнаружению электронных данных в Exchange Server гибридной организации, необходимо настроить проверку подлинности OAuth (открытая авторизация) между локальной средой Exchange и Exchange Online организациями, чтобы можно было использовать In-Place eDiscovery для поиска в локальных и облачных почтовых ящиках. Проверка подлинности OAuth это протокол межсерверной проверки подлинности, который позволяет приложениям проверять подлинность друг друга.
Проверка подлинности OAuth поддерживает приведенные ниже сценарии обнаружения электронных данных при гибридном развертывании Exchange.
Поиск локальных почтовых ящиков, использующих архивацию на базе Exchange Online для облачных архивных почтовых ящиков.
Поиск в локальных и облачных почтовых ящиках в рамках одного сеанса обнаружения электронных данных.
Поиск в локальных почтовых ящиках с помощью Центра обнаружения электронных данных в SharePoint Online.
Дополнительные сведения о сценариях обнаружения электронных данных, для которых требуется настроить проверку подлинности OAuth при гибридном развертывании Exchange, см. в разделе Using Oauth Authentication to Support eDiscovery in an Exchange Hybrid Deployment. Пошаговые инструкции по настройке проверки подлинности OAuth для поддержки обнаружения электронных данных см. в разделе Настройка проверки подлинности OAuth между Exchange и Exchange Online организациями.
Сведения о выполнении поиска In-Place обнаружения электронных данных в Exchange Server см. в статье Создание In-Place поиска электронных данных в Exchange Server.
Почтовые ящики обнаружения
После создания запроса на обнаружение электронных данных на месте результаты поиска можно скопировать в целевой почтовый ящик. Центр администрирования Exchange позволяет выбрать почтовый ящик найденных сообщений в качестве целевого. Почтовый ящик найденных сообщений это специальный почтовый ящик, который предоставляет приведенные ниже возможности.
Более простой и безопасный выбор целевого почтового ящика. Если вы используете EAC для копирования In-Place результатов поиска eDiscovery, только почтовые ящики обнаружения становятся доступными в виде репозитория, в котором будут храниться результаты поиска. Это исключает необходимость сортировать длинный список почтовых ящиков, доступных в организации. Кроме того, исключается вероятность случайного выбора менеджером по обнаружению почтового ящика другого пользователя или незащищенного почтового ящика для хранения потенциально конфиденциального содержимого сообщений.
Квота хранилища больших почтовых ящиков. Целевой почтовый ящик должен иметь возможность хранить большой объем данных сообщений, которые могут быть возвращены In-Place поиска электронных данных. По умолчанию почтовые ящики найденных сообщений имеют квоту хранилища почтовых ящиков 50 гигабайт (ГБ). Эту квоту увеличить нельзя.
Более безопасный по умолчанию: как и все типы почтовых ящиков, почтовый ящик обнаружения имеет связанную учетную запись пользователя Active Directory. Однако по умолчанию эта учетная запись отключена. К почтовому ящику найденных сообщений имеют доступ только явно авторизованные пользователи. Участники группы ролей управления обнаружением имеют права на полный доступ к почтовому ящику найденных сообщений по умолчанию. Однако разрешения на доступ к дополнительным почтовым ящикам найденных сообщений не назначаются ни для каких пользователей.
Email доставка отключена. Хотя они отображаются в списках адресов Exchange, пользователи не могут отправлять сообщения электронной почты в почтовый ящик обнаружения. Доставка электронной почты в почтовые ящики найденных сообщений запрещена с помощью ограничений доставки. Это сохраняет целостность результатов поиска, скопированных в почтовый ящик найденных сообщений.
Программа установки Exchange создает один почтовый ящик обнаружения с отображаемым именем Почтовый ящик поиска обнаружения. Для создания дополнительных почтовых ящиков обнаружения можно использовать Exchange Online PowerShell. По умолчанию создаваемые почтовые ящики найденных сообщений не имеют назначенных прав доступа к почтовым ящикам. Для доступа к сообщениям, скопированным в почтовый ящик найденных сообщений, менеджеру по обнаружению можно назначить права полного доступа Дополнительные сведения см. Дополнительные сведения см. в статье Создание почтового ящика обнаружения.
Функция обнаружения электронных данных на месте также использует системные почтовые ящики с отображаемым именем SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} для хранения метаданных обнаружения электронных данных на месте. Системные почтовые ящики не отображаются в EAC или в списках адресов Exchange. Прежде чем удалить в локальной организации базу данных почтовых ящиков, в которой размещен системный почтовый ящик, используемый функцией обнаружения электронных данных на месте, вы должны переместить этот почтовый ящик в другую базу данных. Если почтовый ящик удален или поврежден, менеджеры по обнаружению не смогут выполнять поиски методом обнаружения электронных данных до тех пор, пока почтовый ящик не будет создан повторно. Дополнительные сведения см. в статье Удаление и повторное создание почтового ящика обнаружения по умолчанию в Exchange.
Оценка, предварительный просмотр и копирование результатов поиска
После завершения поиска In-Place eDiscovery можно просмотреть оценки результатов поиска в области Сведения в EAC. Оценка включает количество возвращаемых элементов и общий размер этих элементов. Вы также можете просмотреть статистику ключевых слов, которая возвращает сведения о количестве элементов, возвращаемых для каждого ключевого слова, используемого в поисковом запросе. Эти сведения полезны для определения эффективности запросов. Если запрос слишком широкий, он может вернуть гораздо больший набор данных, что может потребовать дополнительных ресурсов для проверки и повышения затрат на обнаружение электронных данных. Если запрос слишком узок, он может значительно уменьшить количество возвращаемых записей или вообще не возвращать записей. Оценки и статистика ключевых слов можно использовать для точной настройки запроса в соответствии с вашими требованиями.
Примечание.
Статистика ключевых слов также включает статистику для свойств, не относящихся к ключевым словам, таких как даты, типы сообщений, а также отправителей и получателей, указанных в поисковом запросе.
Вы можете просмотреть результаты поиска, чтобы убедиться, что возвращенные сообщения содержат искомое содержимое, и при необходимости выполнить точную настройку запроса. При предварительном просмотре поиска методом обнаружения электронных данных отображается количество сообщений, возвращенных из каждого почтового ящика, поиск в котором осуществлялся, и общее количество сообщений, возвращенных поиском. Предварительный просмотр создается быстро, при этом вам не нужно копировать сообщения в почтовый ящик найденных сообщений.
Если количество и качество результатов поиска вас удовлетворяет, их можно скопировать в почтовый ящик найденных сообщений. При копировании сообщений можно воспользоваться следующими параметрами.
Включить элементы, не доступные для поиска. Дополнительные сведения о типах элементов, которые считаются недоступными для поиска, см. в разделе Рекомендации по поиску электронных данных в предыдущем разделе.
Включение дедупликации. Дедупликация уменьшает набор данных, включив только один экземпляр уникальной записи, если в одном или нескольких почтовых ящиках найдено несколько экземпляров.
Включение полного ведения журнала. По умолчанию при копировании элементов включено только базовое ведение журнала. Можно выбрать функцию полного ведения журнала, чтобы регистрировать сведения обо всех записях, возвращенных в поиске.
Отправка сообщения электронной почты по завершении копирования. Поиск In-Place eDiscovery может возвращать большое количество записей. Копирование сообщений, возвращенных в почтовый ящик найденных сообщений, может занять много времени. Используйте этот параметр для получения почтового уведомления о завершении процесса копирования. Чтобы упростить доступ с помощью Outlook в Интернете, уведомление содержит ссылку на расположение в почтовом ящике обнаружения, куда копируются сообщения.
Экспорт результатов поиска в PST-файл
После копирования результатов поиска в почтовый ящик найденных сообщений результаты поиска можно экспортировать в PST-файл.
После экспорта результатов поиска в PST-файл вы или другие пользователи можете открыть их в Outlook для просмотра или печати сообщений, представленных в результатах поиска. Дополнительные сведения см. в статье Экспорт результатов поиска eDiscovery в PST-файл.
Различные результаты поиска
Поскольку при обнаружении электронных данных на месте выполняется поиск среди данных реального времени, два поиска в одном и том же источнике содержимого с одинаковым запросом поиска могут вернуть различные результаты. Ожидаемые результаты поиска также могут отличаться от фактических результатов, скопированных в почтовый ящик найденных сообщений. Это может произойти, даже если запустить один и тот же поиск в течение короткого промежутка времени. Существует несколько факторов, которые могут повлиять на идентичность результатов поиска:
непрерывная индексация электронной почты в связи с тем, что функция поиска Exchange непрерывно обходит и индексирует базы данных почтовых ящиков вашей организации и контейнер транспорта;
удаление сообщений электронной почты пользователями или автоматизированными процессами;
массовый импорт большого количества электронной почты, индексирование которого занимает определенное время.
Если вы замечаете, что один и тот же поиск дает различные результаты, вы можете поставить почтовые ящики на хранение, чтобы сохранить содержимое, использовать поиск в периоды низкой загрузки и после импорта большого количества электронной почты ожидать определенное время, пока завершится индексирование.
Ведение журнала операций поиска при обнаружении электронных данных на месте
Для поисков методом обнаружения электронных данных на месте существует два типа ведения журнала.
Базовое ведение журнала. Базовое ведение журнала включено по умолчанию для всех In-Place поиска eDiscovery. В нем регистрируются сведения о поиске и выполнившем его пользователе. Сведения, собираемые при обычном ведении журнала, включаются в текст сообщения электронной почты, которое отправляется в почтовый ящик, где хранятся результаты поиска. Это сообщение находится в папке, созданной для хранения результатов поиска.
Полное ведение журнала. Полное ведение журнала включает сведения обо всех сообщениях, возвращаемых поиском. Эти сведения содержатся в CSV-файле, который вкладывается в сообщение электронной почты, содержащее сведения обычного ведения журнала. Для имени CSV-файла используется имя поиска. Эти сведения могут потребоваться для делопроизводства или обеспечения соответствия требованиям. Чтобы включить полное ведение журнала, при копировании результатов поиска в почтовый ящик найденных сообщений в Центре администрирования Exchange выберите параметр Включить полное ведение журнала. Если вы используете Exchange Online PowerShell, укажите параметр полного ведения журнала с помощью параметра LogLevel.
Примечание.
При использовании Exchange Online PowerShell для создания или изменения поиска In-Place обнаружения электронных данных можно также отключить ведение журнала.
Помимо журнала поиска, который включается при копировании результатов поиска в почтовый ящик обнаружения, Exchange также регистрирует командлеты, используемые EAC или Exchange Online PowerShell для создания, изменения или удаления In-Place поиска eDiscovery. Эта информация регистрируется в записях журнала аудита администратора. Дополнительные сведения см. в разделе Просмотр журнала аудита администратора.
Электронное обнаружение на месте и хранение на месте
При выполнении запросов на обнаружение электронных данных вам может потребоваться сохранять содержимое почтовых ящиков до завершения судебного процесса или расследования. Сообщения, удаленные или измененные пользователем почтового ящика или любыми процессами, также должны быть сохранены. Для этого используется In-Place удержание. Дополнительные сведения см . в разделе Удержание на месте и удержание для судебного разбирательства.
Необходимо учитывать следующие моменты.
Нельзя использовать параметр для поиска во всех почтовых ящиках. Необходимо выбрать почтовые ящики или группы рассылки.
Если поиск методом обнаружения электронных данных на месте также используется для хранения на месте, удалить этот поиск нельзя. Сначала необходимо отключить параметр хранения на месте, а затем удалить поиск.
Хранение почтовых ящиков для обнаружения электронных данных на месте
Когда сотрудник покидает организацию, обычно отключает или удаляет почтовый ящик. После отключения почтового ящика он отключается от учетной записи пользователя, но остается в почтовом ящике в течение определенного периода времени( по умолчанию 30 дней). Помощник по управляемым папкам не обрабатывает отключенные почтовые ящики, и политики хранения не применяются в течение этого периода. Вы не можете искать содержимое отключенного почтового ящика. По достижении срока хранения удаленного почтового ящика, настроенного для базы данных почтовых ящиков, почтовый ящик очищается из базы данных почтовых ящиков.
Важно!
В Exchange Online In-Place eDiscovery может выполнять поиск содержимого в неактивных почтовых ящиках. Неактивными считаются почтовые ящики, переведенные в режим хранения на месте или хранения для судебного разбирательства и затем удаленные. Неактивные почтовые ящики сохраняются до тех пор, пока они находятся на удержании. Когда неактивный ящик удаляется из режима хранения на месте или хранения для судебного разбирательства, он удаляется без возможности восстановления. Дополнительные сведения см. в статье Создание неактивных почтовых ящиков и управление ими.
Если вашей организации с локальным развертыванием требуется, чтобы параметры хранения применялись к сообщениям сотрудников, которые больше не работают в организации, или необходимо сохранить почтовый ящик бывших сотрудников для будущих запросов на обнаружение электронных данных, не отключайте или не удаляйте почтовый ящик. Чтобы убедиться в отсутствии доступа к почтовому ящику и доставки в него новых сообщений, выполните следующие действия.
Disable the Active Directory user account using Active Directory Users & Computers or other Active Directory or account provisioning tools or scripts. This prevents mailbox logon using the associated user account.
Важно!
Пользователи с разрешением полного доступа к почтовым ящикам по-прежнему могут обращаться к почтовому ящику. Чтобы предотвратить доступ других пользователей, необходимо удалить их разрешение полного доступа из почтового ящика. Сведения об удалении разрешений на полный доступ к почтовому ящику см. в разделе Управление разрешениями для получателей.
Задайте для максимального размера сообщений, которые могут отправляться пользователем почтового ящика или доставляться ему, очень низкое значение, например 1 КБ. Это предотвратит доставку новой почты в почтовый ящик и отправку почты из него.
Настройте ограничения на доставку для почтового ящика так, чтобы никто не мог отправлять в него сообщения. Дополнительные сведения см. в разделе Настройка ограничений доставки сообщений для почтового ящика.
Важно!
Описанные действия необходимо выполнить вместе с другими процессами управления учетными записями, требуемыми для организации, но без отключения или удаления почтового ящика или удаления связанной учетной записи пользователя.
При планировании внедрения системы хранения почтовых ящиков для управления хранением сообщений (MRM) или электронного управления на месте необходимо принять во внимание текучесть кадров. Длительное хранение почтовых ящиков бывших сотрудников потребует дополнительного пространства для хранения на серверах почтовых ящиков и может привести к увеличению размера базы данных Active Directory, поскольку связанные учетные записи пользователей должны храниться в течение того же периода. Кроме того, могут потребоваться изменения в процессах подготовки учетных записей и управления ими в организации.
Документация обнаружения электронных данных на месте
В следующей таблице приведены ссылки на разделы, которые помогут узнать больше об обнаружении электронных данных на месте.
| Статья | Описание |
|---|---|
| Назначение разрешений обнаружения электронных данных в Exchange | Сведения о том, как предоставить пользователю доступ к функции обнаружения электронных данных на месте в EAC для поиска в почтовых ящиках Exchange. Добавление пользователя в группу ролей "Управление обнаружением" также позволяет использовать центр обнаружения электронных данных в SharePoint 2013 и SharePoint Online для поиска в почтовых ящиках Exchange. |
| Создание почтового ящика найденных сообщений | Узнайте, как использовать Exchange Online PowerShell для создания почтового ящика обнаружения и назначения разрешений на доступ. |
| Свойства сообщений и операторы поиска для обнаружения электронных данных на месте | Узнайте, как свойства сообщений электронной почты можно искать с помощью обнаружения электронных данных на месте. В этом разделе представлены примеры синтаксиса для каждого свойства, сведения об операторах поиска, таких как AND и OR, и информация о других методах выполнения поисковых запросов, например использовании двойных кавычек (" ") и знаков подстановки в конце слова. |
| Ограничения поиска для обнаружения электронных данных In-Place | Узнайте, In-Place ограничения обнаружения электронных данных в Exchange Online, которые помогают поддерживать работоспособность и качество служб обнаружения электронных данных для Microsoft 365 или Office 365 организаций. |
| Экспорт результатов поиска при обнаружении электронных данных в PST-файл | Узнайте, как экспортировать результаты поиска обнаружения электронных данных на месте в PST-файл. |
| Create a custom management scope for In-Place eDiscovery searches | Узнайте, как использовать настраиваемые области управления для ограничения почтовых ящиках, в которых менеджер по обнаружению может выполнять поиск. |
| Поиск и удаление сообщений электронной почты | Узнайте, как использовать поиск контента для поиска и последующего удаления сообщений электронной почты. |
| Reduce the size of a discovery mailbox in Exchange | Используйте эту процедуру, чтобы уменьшить размер почтового ящика найденных сообщений, превышающий 50 ГБ. |
| Delete and re-create the default discovery mailbox in Exchange | Узнайте, как удалить почтовый ящик найденных сообщений по умолчанию, повторно создать его, а затем переназначить для него разрешения. Используйте эту процедуру, если размер почтового ящика превысил 50 ГБ и вам не нужны результаты поиска. |
| Using Oauth Authentication to Support eDiscovery in an Exchange Hybrid Deployment | Ознакомьтесь со сценариями обнаружения электронных данных на месте в гибридном развертывании, где требуется настроить проверку подлинности OAuth. |
Дополнительные сведения об обнаружении электронных данных в Microsoft Purview см. в статье Начало работы с обнаружением электронных данных (стандартный).