在 Exchange Online 中为In-Place电子数据展示搜索创建自定义管理范围

可以使用自定义管理范围让特定人员或组使用In-Place电子数据展示来搜索Exchange Online组织中的邮箱子集。 例如，您可能希望发现管理员仅搜索特定位置或部门的用户邮箱。 您可以通过创建自定义管理作用域来执行此操作。 此自定义的管理作用域使用收件人筛选器来控制哪些邮箱可以搜索。 收件人筛选器作用域根据收件人类型或其他收件人属性，使用筛选器指向特定收件人。

对于就地电子数据展示，用户邮箱上可以用于为自定义作用域创建收件人筛选器的唯一属性是通讯组成员身份（实际的属性名称为 MemberOfGroup）。 如果使用其他属性（如 CustomAttributeN、 Department 或 PostalCode），则搜索由分配了自定义作用域的角色组的成员运行时失败。

要了解有关管理作用域的详细信息，请参阅：

• 了解管理角色作用域

• 了解管理角色作用域筛选器

开始前，有必要了解什么？

• 估计完成时间：15 分钟

• 如前所述，您只能使用组成员身份作为收件人筛选器来创建将用于电子数据展示的自定义收件人筛选器作用域。 任何其他收件人属性都不能用于为电子数据展示搜索创建自定义范围。 请注意，动态通讯组中的成员身份也不能使用。

• 执行步骤 1 到 3，允许发现管理员导出使用自定义管理作用域的电子数据展示搜索的搜索结果。

• 如果发现管理器不需要预览搜索结果，则可以跳过步骤 4。

• 如果发现管理器不需要复制搜索结果，则可以跳过步骤 5。

步骤 1：将用户分为若干通讯组以进行电子数据展示

若要搜索组织中的邮箱子集或缩小发现管理员可以搜索的源邮箱的范围，需要将邮箱的子集分组到一个或多个通讯组。 在步骤 2 中创建自定义管理范围时，你将使用这些通讯组作为收件人筛选器来创建自定义管理范围。 这样，发现管理员可以仅搜索属于指定组成员的用户的邮箱。

您可以使用现有通讯组进行电子数据展示，也可以创建新的通讯组。 请参阅本主题结尾的More information，查看有关如何创建可用于作用域电子数据展示搜索的通讯组的提示。

步骤 2：创建自定义管理作用域

现在，你将使用 MemberOfGroup 收件人筛选器) 创建由通讯组的成员身份定义的自定义管理范围 (。 将该作用域应用到用于电子数据展示的角色组时，该角色组的成员可以搜索属于用于创建自定义管理作用域的通讯组成员的用户的邮箱。

此过程使用 Exchange Online PowerShell 命令创建名为“渥太华用户电子数据展示范围”的自定义范围。 它指定一个名为渥太华用户的通讯组作为自定义作用域的收件人筛选器。

1. 运行此命令获取渥太华用户组的属性，并将属性保存到一个变量，该变量可用于下一个命令。

   $DG = Get-DistributionGroup -Identity "Ottawa Users"
   

2. 运行此命令，根据渥太华用户通讯组的成员身份创建一个自定义管理作用域。

   New-ManagementScope "Ottawa Users eDiscovery Scope" -RecipientRestrictionFilter "MemberOfGroup -eq '$($DG.DistinguishedName)'"
   

通讯组的可分辨名称包含在变量 $DG 中，用于为新的管理作用域创建收件人筛选器。

步骤 3：创建管理角色组

在此步骤中，您创建一个新的管理角色组并分配您在步骤 2 中创建的自定义作用域。 添加合法保留和邮箱搜索角色，以便角色组成员可以执行就地电子数据展示搜索并将邮箱置于就地保留或诉讼保留状态。 您还可以向该角色组添加成员，以便他们可以搜索属于在步骤 2 中用于创建自定义作用域的通讯组的成员的邮箱。

在下面的示例中，渥太华用户电子数据展示管理员安全组将作为成员添加到该角色组。 对于此步骤，可以使用 Exchange Online PowerShell 或 EAC。

使用 Exchange Online PowerShell 创建管理角色组

运行此命令，创建一个使用在步骤 2 中创建的自定义作用域的新角色组。 该命令还会添加合法保留和邮箱搜索角色，并将渥太华用户电子数据展示管理员安全组添加为新角色组的成员。

New-RoleGroup "Ottawa Discovery Management" -Roles "Mailbox Search","Legal Hold" -CustomRecipientWriteScope "Ottawa Users eDiscovery Scope" -Members "Ottawa Users eDiscovery Managers"

使用 EAC 创建管理角色组

1. 在 EAC 中，转到“权限>管理员角色”，然后单击“新建

2. 在“新角色组”中，提供以下信息：

   • 名称：为新角色组提供描述性名称。 对于此示例，你将使用渥太华发现管理。

   • 写入范围：选择在步骤 2 中创建的自定义管理范围。 此范围将应用于新角色组。

   • 角色：单击“ 添加，并将 “法定保留 ”和 “邮箱搜索 ”角色添加到新角色组。

   • 成员：单击“，然后选择要添加为新角色组成员的用户、安全组或角色组。 对于此示例， 渥太华用户电子数据展示管理器 安全组的成员只能搜索属于 渥太华用户 通讯组成员的用户的邮箱。

3. 单击“保存”创建角色组。

   下面是完成后 “新建角色组 ”窗口的外观示例。

   

（可选）步骤 4：将发现管理员添加为用于创建自定义管理作用域的通讯组的成员

如果您想让发现管理员预览电子数据展示搜索结果，您只需执行此步骤。

运行此命令，将渥太华用户电子数据展示管理员安全组添加为渥太华用户通讯组的成员。

Add-DistributionGroupMember -Identity "Ottawa Users" -Member "Ottawa Users eDiscovery Managers"

注意

对于本地 Exchange，必须将发现管理器直接添加到用于创建管理范围的通讯组。 嵌套组将不起作用。

您还可以使用 EAC 将成员添加到通讯组。 有关详细信息，请参阅 创建和管理通讯组。

（可选）步骤 5：将发现邮箱添加为用于创建自定义管理作用域的通讯组的成员

如果您想让发现管理员复制电子数据展示搜索结果，您只需执行此步骤。

运行此命令，将名为渥太华发现邮箱的发现邮箱添加为渥太华用户通讯组的成员。

Add-DistributionGroupMember -Identity "Ottawa Users" -Member "Ottawa Discovery Mailbox"

注意

要打开发现邮箱并查看搜索结果，发现管理员必须分配有发现邮箱的完全访问权限。 有关详细信息，请参阅 创建发现邮箱。

如何知道操作成功？

下面是一些验证是否已成功实现电子数据展示的自定义管理范围的方法。 进行验证时，请确保运行电子数据展示搜索的用户是使用自定义管理作用域的角色组的成员。

• 创建电子数据展示搜索，选择用于创建作为待搜索邮箱的源的自定义管理作用域的通讯组。 应成功搜索所有邮箱。

• 创建电子数据展示搜索，并搜索不是用于创建自定义管理范围的通讯组成员的任何用户的邮箱。 因为发现管理员只能搜索属于用于创建自定义管理作用域的通讯组成员的用户的邮箱，搜索应该会失败。 在这种情况下，将返回错误，例如“无法搜索邮箱的邮箱><名称，因为当前用户没有访问邮箱的权限”。

• 创建电子数据展示搜索，搜索不属于用于创建自定义管理作用域的通讯组成员的用户的邮箱。 在同一搜索中，包括非成员用户的邮箱。 搜索应该会部分成功。 应该能成功搜索用于创建自定义管理作用域的通讯组的成员的邮箱。 搜索不是组成员的用户的邮箱会失败。

更多信息

• 因为通讯组在此示例中用于确定电子数据展示搜索范围，而不用于邮件传递，因此当您创建和配置电子数据展示的通讯组时，请考虑以下事项：

  • 创建具有封闭成员身份的通讯组，因此成员只能由组所有者添加到组中或从组中删除。 如果要在 Exchange Online PowerShell 中创建组，请使用 语法 MemberJoinRestriction closed 和 MemberDepartRestriction closed。

  • 启用组仲裁，以便发送到组的任何邮件将首先发送给可以相应批准或拒绝邮件的组仲裁人。 如果要在 Exchange Online PowerShell 中创建组，请使用语法 ModerationEnabled $true。 如果使用 EAC，可以在创建组后启用审查。

  • 从组织的共享通讯簿中隐藏通讯组。 创建组后使用 EAC 或 Set-DistributionGroup cmdlet。 如果使用 Exchange Online PowerShell，请使用语法 HiddenFromAddressListsEnabled $true。

    在下面的示例中，第一个命令创建启用封闭成员身份和仲裁的通讯组。 第二个命令将组从共享地址簿中隐藏。

    New-DistributionGroup -Name "Vancouver Users eDiscovery Scope" -Alias VancouverUserseDiscovery -MemberJoinRestriction closed -MemberDepartRestriction closed -ModerationEnabled $true
    

    Set-DistributionGroup "Vancouver Users eDiscovery Scope" -HiddenFromAddressListsEnabled $true
    

    有关创建和管理通讯组的详细信息，请参阅 创建和管理通讯组。

• 尽管您只能使用通讯组成员身份作为用于电子数据展示的自定义管理作用域的收件人筛选器，但您可以使用其他收件人属性将用户添加到该通讯组。 下面是根据常规用户或邮箱属性，使用 Get-Mailbox 和 Get-Recipient cmdlet 返回特定用户组的一些示例。

  Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'Department -eq "HR"'
  

  Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'CustomAttribute15 -eq "VancouverSubsidiary"'
  

  Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'PostalCode -eq "98052"'
  

  Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'StateOrProvince -eq "WA"'
  

  Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited -OrganizationalUnit "namsr01a002.sdf.exchangelabs.com/Microsoft Exchange Hosted Organizations/contoso.onmicrosoft.com"
  

• 然后您可以使用前一个要点中的示例创建一个变量，此变量可用于 Add-DistributionGroupMember cmdlet，以将用户组添加到通讯组。 在下面的示例中，第一个命令创建一个变量，此变量包含对于用户帐户中的 Department 属性其值为 Vancouver 的所有用户邮箱。 第二个命令将这些用户添加到温哥华用户通讯组。

  $members = Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'Department -eq "Vancouver"'
  

  $members | ForEach {Add-DistributionGroupMember "Ottawa Users" -Member $_.Name}
  

• 可以使用 Add-RoleGroupMember cmdlet 将成员添加到用于限定电子数据展示搜索范围的现有角色组。 例如，以下命令将用户 admin@ottawa.contoso.com 添加到渥太华发现管理角色组。

  Add-RoleGroupMember "Vancouver Discovery Management" -Member paralegal@vancouver.contoso.com
  

  您还可以使用 EAC 将成员添加到角色组。 有关详细信息，请参阅在 Exchange Online 中管理角色组中的“修改角色组”部分。

• 在 Exchange Online 中，用于电子数据展示的自定义管理范围不能用于搜索非活动邮箱。 这是因为非活动邮箱不能是通讯组的成员。 例如，假设用户是用于为电子数据展示创建自定义管理范围的通讯组的成员。 然后，该用户离开组织，并通过在邮箱上放置诉讼保留或In-Place保留，然后删除相应的用户帐户) ，使其邮箱处于非活动状态 (。 结果是用户作为成员从任何通讯组中删除，包括用于创建用于电子数据展示的自定义管理范围的组。 如果发现管理员 (谁是分配了自定义管理作用域的角色组的成员，) 尝试搜索非活动邮箱，则搜索将失败。 若要搜索非活动邮箱，发现管理员必须是发现管理角色组或有权搜索整个组织的任何角色组的成员。

  有关非活动邮箱的详细信息，请参阅 创建和管理非活动邮箱。