在In-Place创建电子数据展示Exchange Server

使用In-Place电子数据展示搜索跨组织的所有邮箱和公用文件夹Exchange Server内容。 这包括针对置于诉讼保留或就地保留的用户搜索永久删除的项目和原始版本的已修改项目(在“可恢复的项目”文件夹中)。 有关这些搜索详细信息,请参阅 In-Place eDiscovery in Exchange Server

开始之前

  • 您必须先获得权限,然后才能执行此过程或多个过程。 To see what permissions you need, see the "In-Place eDiscovery" entry in the Messaging policy and compliance permissions in Exchange Server topic.

  • 若要创建电子数据展示搜索,必须在要创建搜索的组织中拥有 SMTP 地址。 在 Exchange 混合组织中,本地 Exchange 邮箱必须在 Microsoft 365 或 Office 365 组织中具有相应的邮件用户帐户,如租户管理员帐户,该帐户必须分配有 Exchange Online 许可证。 有关就地电子Microsoft 365搜索Office 365或许可要求的信息,请参阅Exchange Online服务说明。

  • Exchange Server安装程序创建名为"发现搜索邮箱"的发现 邮箱以复制 搜索结果。 可以创建其他发现邮箱。 有关详细信息,请参阅创建发现邮箱

  • 创建搜索时,搜索结果中返回的邮件不会自动复制到发现邮箱。创建搜索后,您可以使用 Exchange 管理中心 (EAC) 估计和预览搜索结果或将其复制到发现邮箱。您还可以将搜索结果导出到 .pst 文件。有关详细信息,请参阅:

  • 若要了解如何在本地 Exchange 组织中打开 Exchange 命令行管理程序,请参阅 Open the Exchange Management Shell

如前所述,若要创建电子数据展示搜索,您必须登录在您的组织中拥有 SMTP 地址的用户帐户。

  1. 转到"合规性管理 > ""就地电子数据展示&保留",然后单击"新建 添加"图标

  2. 在“新建就地电子数据展示和保留”窗口中的“名称和说明”页上键入搜索名称,添加可选说明,然后单击“下一步”。

  3. 在“邮箱和公用文件夹”页上,选择要搜索的内容源:

    • 若要在搜索中包含所有邮箱,请单击“搜索所有邮箱”。如果选择此选项,您将无法对搜索启用就地保留功能。

    • 若要从搜索中排除邮箱(和仅搜索公用文件夹),请单击“不搜索任何邮箱”。

    • 若要在搜索中包含特定邮箱,请单击“指定要搜索的邮箱”,然后添加您要搜索的邮箱。

    • 若要在搜索中包括公用文件夹(或将公用文件夹置于保留状态),请单击“搜索所有公用文件夹”。 有关搜索公用文件夹详细信息,请参阅使用电子数据展示搜索公用文件夹并 In-Place保留

    使用In-Place电子数据展示搜索公用文件夹并保留公用文件夹。

  4. 在“搜索查询”页上,填写下列字段:

    • 包括所有内容:选择此选项以包含搜索结果中的所有内容。 如果您选择此选项,则无法指定其他搜索条件。

    • 基于条件进行 筛选:选择此选项可指定搜索条件,包括关键字、开始日期和结束日期、发件人和收件人地址以及邮件类型。 有关搜索查询详细信息,请参阅邮件属性和搜索运算符In-Place电子数据展示Exchange Server

      配置电子数据展示搜索查询。

      备注

      由运行搜索时创建的搜索查询中的“OR”运算符连接“发件人:”和“收件人/抄送/密件抄送:”字段。 这意味着,由任何指定用户发送或接收的邮件(并且匹配其他搜索条件)都包含在此搜索结果中。 日期由 AND 运算符连接。

  5. 在“就地保留设置”页上,您可以选中“将与所选源中的搜索查询匹配的内容置于保留状态”复选框,然后选择以下选项之一将项目置于就地保留:

    • 无限期保留:选择此选项可无限期保留返回的项目。 保留的项目将会一直保留,直到您从搜索中删除内容源或删除搜索。

    • “指定保留项目的天数(相对于收到日期)” 使用此选项以在指定周期内保留项目。例如,如果您的组织需要将所有邮件至少保留七年,可使用此选项。可使用“基于时间”的就地保留以及保持政策,确保在七年后删除项目。

      重要

      当出于法律目的将内容源或特定项目置于就地保留时,通常建议无限期保留项目,并在完成案件或调查后删除保留。

  6. 单击“完成”保存搜索,并返回根据您指定的条件进行搜索后返回的项目的估计总大小和总数。 估计显示在详细信息窗格。 单击“刷新刷新图标。 可以更新详细信息窗格中显示的信息。

这里有四个示例使用 Exchange 命令行管理程序 进行搜索,以及将邮箱和公用文件夹中的内容置于保留状态。有关使用 Exchange 命令行管理程序 创建电子数据展示搜索的详细语法和参数信息,请参阅 New-MailboxSearch

示例 1

本示例将为包含关键词 ContosoProjectA 的项目创建搜索 Discovery-CaseId012。搜索结果处于就地保留状态且具有无限制保留持续时间。搜索还包括以下条件:

  • 开始日期:1/1/2013

  • 结束日期:12/31/2015

  • 源邮箱:DG 财务

  • 目标邮箱:发现搜索邮箱

  • 邮件类型:Email

  • 日志级别:完整

重要

如果未指定搜索查询、日期范围或邮件类型,结果中将返回源邮箱或公用文件夹中的所有项目。 结果将类似于选择 EAC 中“搜索查询”页上的“包括所有内容”。

New-MailboxSearch "Discovery-CaseId012" -StartDate "01/01/2013" -EndDate "12/31/2015" -SourceMailboxes "DG-Finance" -TargetMailbox "Discovery Search Mailbox" -SearchQuery '"Contoso" AND "Project A"' -MessageTypes Email -IncludeUnsearchableItems -LogLevel Full -InPlaceHoldEnabled $true
Start-MailboxSearch "Discovery-CaseId012"

使用 Exchange 命令行管理程序创建 In-Place 电子数据展示搜索后,您必须使用 Start-MailboxSearch cmdlet 启动搜索,以将邮件复制到 TargetMailbox 参数中指定的发现邮箱。 有关详细信息,请参阅 将电子数据展示搜索结果复制到发现邮箱

备注

使用 StartDateEndDate 参数时,您必须使用日期格式“mm/dd/yyyy”,即使您的本地计算机设置配置为使用其他日期格式(如“dd/mm/yyyy”),也是如此。例如,若要搜索 2015 年 4 月 1 日到 2015 年 7 月 1 日之间发送的邮件,则分别使用 04/01/201507/01/2015 作为开始日期和结束日期。

示例 2

本示例创建名为 HRCase090116 的就地电子数据展示搜索,这会搜索由 Alex Darrow 于 2015 年发送给 Sara Davis 的电子邮件。

New-MailboxSearch "HRCase090116" -StartDate "01/01/2015" -EndDate "12/31/2015" -SourceMailboxes alexd,sarad -SearchQuery 'From:alexd@contoso.com AND To:sarad@contoso.com' -MessageTypes Email -TargetMailbox "Discovery Search Mailbox" -IncludeUnsearchableItems -LogLevel Full
Start-MailboxSearch "HRCase090116"

示例 3

本示例创建仅估计搜索,为 2015 年 1 月 1 日到 2015 年 6 月 30 日之间发送的邮件搜索组织中的所有公用文件夹,并且该搜索中包含短语“专利侵权”。该搜索不包含任何邮箱。Start-MailboxSearch cmdlet 用来启动仅估计搜索。

New-MailboxSearch -Name "Northwind Subpoena-All PFs" -AllPublicFolderSources $true -AllSourceMailboxes $false -SearchQuery "patent infringement" -StartDate "01/01/2015" -EndDate "06/30/2015" -TargetMailbox "Discovery Search Mailbox" -EstimateOnly
Start-MailboxSearch "Northwind Subpoena-All PFs"

示例 4

本示例将搜索所有邮箱和公用文件夹,寻找任何包含词语“价格列表”和“Contoso”,并且是在 2015 年 1 月 1 日之后发送的内容。Start-MailboxSearch cmdlet 用于运行搜索并将搜索结果复制到发现邮箱。

New-MailboxSearch -Name "Contoso Litigation" -AllSourceMailboxes $true -AllPublicFolderSources $true -SearchQuery '"price list" AND "contoso"' -StartDate "01/01/2015" -TargetMailbox "Discovery Search Mailbox"
Start-MailboxSearch "Contoso Litigation"

使用 EAC 估计或预览搜索结果

创建电子数据展示搜索后,可以使用 EAC 估计和预览搜索结果。 如果使用 New-MailboxSearch cmdlet 创建了一个新搜索,您可以使用 Exchange 命令行管理程序启动搜索,以估计搜索结果。

  1. 转到 "合规性管理 > ""就地电子数据展示&保留"

  2. 在列表视图中选择搜索,然后执行以下操作之一:

    • 单击 "搜索搜索"图标。 >估计搜索结果 以返回估计的项目总大小和数量,搜索将基于您指定的条件返回。 选择此选项可重启搜索并估计搜索结果。

      搜索估计显示在详细信息窗格中。 单击“刷新刷新图标。 可以更新详细信息窗格中显示的信息。

    • 单击详细信息窗格中的“预览搜索结果”可以预览完成搜索估计后的结果。选择此选项以打开“电子数据展示搜索预览”窗口。从搜索的邮箱或公用文件夹返回的所有邮件都会显示。

      备注

      搜索的邮箱或公用文件夹列于“电子数据展示搜索预览”窗口的右窗格中。 对于每个源,系统还会显示所返回的项目数量以及这些项目的总大小。 搜索返回的所有项目列于右窗格中,可以按最近或最远日期进行排序。 无法通过单击左窗格中的源在右窗格中显示每个邮箱或公用文件夹中的项目。 若要查看从特定邮箱或公用文件夹返回的项目,您可以复制搜索结果并在发现邮箱中查看项目。

    估计或预览搜索结果。

使用 Exchange 命令行管理程序 估计搜索结果

可以使用 EstimateOnly 开关获取估计的搜索结果,而不将结果复制到发现邮箱。 必须使用 Start-MailboxSearch cmdlet 启动仅估计搜索。 然后,您可以使用 Get-MailboxSearch cmdlet 检索估计的搜索结果。 可以使用 Exchange 命令行管理程序 预览搜索结果中返回的邮件。

例如,运行以下命令创建新的搜索,然后显示估计的搜索结果:

New-MailboxSearch "FY15 Q2 Financial Results" -StartDate "04/01/2015" -EndDate "06/30/2015" -SourceMailboxes "DG-Finance" -SearchQuery '"Financial" AND "Fabrikam"' -EstimateOnly -IncludeKeywordStatistics

Start-MailboxSearch "FY15 Q2 Financial Results"
Get-MailboxSearch "FY15 Q2 Financial Results"

若要显示上一示例中估计的搜索结果的特定信息,您可以运行以下命令:

Get-MailboxSearch "FY15 Q2 Financial Results" | Format-List Name,Status,LastRunBy,LastStartTime,LastEndTime,Sources,SearchQuery,ResultSizeEstimate,ResultNumberEstimate,Errors,KeywordHits

详细信息

  • 创建新的电子数据展示搜索后,您可以将搜索结果复制到发现邮箱,并将这些搜索结果导出到 PST 文件中。有关详细信息,请参阅:

  • 运行电子数据展示搜索估计值(搜索条件中包括关键字)后,单击选定搜索窗格中“查看关键字统计信息”可以查看关键字统计信息。这些统计信息显示有关搜索查询中使用的每个关键字返回的项目数的详细信息。但是,如果搜索中包括 100 个以上的源邮箱,则在试图查看关键字统计信息时会返回一个错误。若要查看关键字统计信息,搜索中包含的源邮箱不可以超过 100 个。

  • 如果使用 Exchange Online 中的 Get-MailboxSearch 检索有关电子数据展示搜索的信息,您必须指定搜索的名称才能返回搜索属性的完整列表;例如, Get-MailboxSearch "Contoso Legal Case"。 如果您运行 Get-MailboxSearch cmdlet 而不使用任何参数,则不返回以下属性:

    • SourceMailboxes

    • Sources

    • PublicFolderSources

    • SearchQuery

    • ResultsLink

    • PreviewResultsLink

    • Errors

      原因是需要通过很多资源为组织中的所有电子数据展示搜索返回这些属性。