如何识别为 Exchange Online 邮箱设置的保留类型

  • 项目

本文介绍如何识别 Microsoft Purview 和 Microsoft 365 中Exchange Online邮箱的保留。

Microsoft Purview 提供了多种方法,使组织能够防止邮箱内容被永久删除。 这样,组织就可以保留符合合规性法规或在法律调查和其他类型的调查期间保留内容。 下面是 Microsoft Purview 和 Microsoft 365 中 (也称为 保留) 的保留功能列表:

  • 诉讼保留应用于 Exchange Online 中的用户邮箱的保留。

  • 电子数据展示保留Microsoft Purview 合规门户中与 Microsoft Purview 电子数据展示 (Standard) 事例关联的保留。 电子数据展示保留可以应用于用户邮箱以及Microsoft 365 组和 Microsoft Teams 的相应邮箱。

  • 就地保留在 Exchange Online 的 Exchange 管理中心使用 In-Place 电子数据展示 & 保留工具应用于用户邮箱的保留。

    注意

    In-Place 保留已停用,你无法再创建 In-Place 保留或将其应用于邮箱。 但是,In-Place 保留可能仍应用于组织中的邮箱,这就是本文中包含邮箱的原因。 有关详细信息,请参阅 旧版电子数据展示工具的停用

  • Microsoft Purview 保留策略可以配置为保留 (或保留) 内容,然后删除Exchange Online的用户邮箱以及 Microsoft 365 组 和 Microsoft Teams 的相应邮箱中的内容。 还可以创建保留策略来保留存储在用户邮箱中的Skype for Business对话。

    有两种类型的 Microsoft Purview 保留策略可以分配给邮箱。

    • 特定位置保留策略: 这些是分配给特定用户的内容位置的策略。 使用 Exchange Online PowerShell 中的 Get-Mailbox cmdlet 获取有关分配给特定邮箱的保留策略的信息。 有关此类保留策略的详细信息,请参阅保留策略文档中具有特定包含或排除项的策略部分。
    • 组织范围的保留策略: 这些是分配给组织中所有内容位置的策略。 使用 Exchange Online PowerShell 中的 Get-OrganizationConfig cmdlet 获取有关组织范围的保留策略的信息。 有关此类保留策略的详细信息,请参阅保留 策略文档中应用于整个位置的策略 A 部分。

  • Microsoft Purview 保留标签 如果用户应用 Microsoft Purview 保留标签 (,该标签配置为保留内容或保留,然后删除) 其邮箱中 任何 文件夹或项目的内容,则会对邮箱进行保留,就像邮箱处于诉讼保留状态或分配给 Microsoft Purview 保留策略一样。 有关详细信息,请参阅本文中的 标识保留邮箱,因为保留标签已应用于文件夹或项目 部分。

若要管理保留邮箱,可能需要确定邮箱上的保留类型,以便执行更改保留持续时间、暂时或永久删除保留或从 Microsoft Purview 保留策略中排除邮箱等任务。 在这些情况下,第一步是确定邮箱上的保留类型。 由于多个保留 (和不同类型的保留) 可以放在单个邮箱上,因此如果要删除或更改保留,则必须标识邮箱上的所有保留。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

步骤 1:获取邮箱上保留的 GUID

可以在 Exchange Online PowerShell 中运行以下两个 cmdlet,以获取放置在邮箱上的保留项的 GUID。 获取 GUID 后,使用它标识步骤 2 中的特定保留。 诉讼保留不是由 GUID 标识的。 为邮箱启用或禁用诉讼保留。

  • Get-Mailbox: 使用此 cmdlet 确定是否为邮箱启用了诉讼保留,并获取分配给邮箱的电子数据展示保留、In-Place 保留和 Microsoft Purview 保留策略的 GUID。 此 cmdlet 的输出还将指示邮箱是否已从组织范围的保留策略中显式排除。
  • Get-OrganizationConfig: 使用此 cmdlet 获取组织范围的保留策略的 GUID。

若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell

Get-Mailbox

运行以下命令,获取有关应用于邮箱的保留和 Microsoft Purview 保留策略的信息。

Get-Mailbox <username> | FL LitigationHoldEnabled,InPlaceHolds

提示

如果 InPlaceHolds 属性中的值太多,但并未显示所有这些值,则可以运行 Get-Mailbox <username> | Select-Object -ExpandProperty InPlaceHolds 命令在单独的行中显示每个 GUID。

下表介绍了在运行 Get-Mailbox cmdlet 时,如何根据 InPlaceHolds 属性中的值标识不同类型的保留。

保留类型 示例值 如何识别保留
诉讼保留 True LitigationHoldEnabled 属性设置为 True时,为邮箱启用诉讼保留。
电子数据展示保留 UniH7d895d48-7e23-4a8d-8346-533c3beac15d InPlaceHolds 属性包含与合规性门户中电子数据展示案例关联的任何保留的 GUID。 可以判断这是电子数据展示保留,因为 GUID 以 UniH 前缀 (表示统一保留) 。
就地保留 c0ba3ce811b6432a8751430937152491

cld9c0a984ca74b457fbe4504bf7d3e00de		 InPlaceHolds 属性包含放置在邮箱上的 In-Place Hold 的 GUID。 可以判断这是一个 In-Place 保留,因为 GUID 不是以前缀开头,也不是以 cld 前缀开头。
应用于邮箱的 Microsoft Purview 保留策略 mbxcdbbb86ce60342489bff371876e7f224:1

skp127d7cf1076947929bf136b7a2a8c36f:3		 InPlaceHolds 属性包含应用于邮箱的任何特定位置保留策略的 GUID。 可以标识保留策略,因为 GUID 以 mbxskp 前缀开头。 前缀skp指示保留策略应用于用户邮箱中的Skype for Business对话。
从组织范围的 Microsoft Purview 保留策略中排除 -mbxe9b52bf7ab3b46a286308ecb29624696 如果邮箱从组织范围的 Microsoft Purview 保留策略中排除,则从中排除邮箱的保留策略的 GUID 将显示在 InPlaceHolds 属性中,并由 -mbx 前缀标识。

Get-OrganizationConfig

如果在运行 Get-Mailbox cmdlet 时 InPlaceHolds 属性为空,则仍可能有一个或多个组织范围的 Microsoft Purview 保留策略应用于邮箱。 在 Exchange Online PowerShell 中运行以下命令,获取组织范围的 Microsoft Purview 保留策略的 GUID 列表。

Get-OrganizationConfig | FL InPlaceHolds

提示

如果 InPlaceHolds 属性中的值太多,但并未显示所有这些值,则可以运行 Get-OrganizationConfig | Select-Object -ExpandProperty InPlaceHolds 命令在单独的行中显示每个 GUID。

下表介绍了不同类型的组织范围的保留,以及如何在运行 Get-OrganizationConfig cmdlet 时基于 InPlaceHolds 属性中包含的 GUID 标识每种类型。

保留类型 示例值 说明
适用于 Exchange 邮箱、Exchange 公用文件夹和 Teams 聊天的 Microsoft Purview 保留策略 mbx7cfb30345d454ac0a989ab3041051209:2 Microsoft Teams 中应用于 Exchange 邮箱、Exchange 公用文件夹和 1xN 聊天的组织范围的保留策略由以 前缀开头的 mbx GUID 标识。 注意 1xN 聊天存储在单个聊天参与者的邮箱中。
应用于Microsoft 365 组和 Teams 频道消息的 Microsoft Purview 保留策略 grp1a0a132ee8944501a4bb6a452ec31171:3 应用于 Microsoft Teams 中的 Microsoft 365 组和频道消息的组织范围的保留策略由以 前缀开头的 grp GUID 标识。 请注意,频道邮件存储在与 Microsoft 团队关联的组邮箱中。

有关应用于 Microsoft Teams 的保留策略的详细信息,请参阅 了解 Microsoft Teams 的保留策略

了解保留策略的 InPlaceHolds 值的格式

除了将 InPlaceHolds 属性中的项标识为 Microsoft Purview 保留策略的前缀 (mbx、skp 或 grp) 外,值还包含标识为策略配置的保留操作类型的后缀。 例如,在以下示例中,操作后缀以粗体突出显示:

skp127d7cf1076947929bf136b7a2a8c36f:1

mbx7cfb30345d454ac0a989ab3041051209:2

grp1a0a132ee8944501a4bb6a452ec31171:3

下表定义了三种可能的保留操作:

说明
1 指示保留策略配置为删除项目。 该策略不会保留项。
2 指示保留策略配置为保留项。 保留期到期后,策略不会删除项目。
3 指示保留策略配置为保留项目,然后在保留期到期后将其删除。

注意

由于保留标签策略发布或自动应用应用项目级操作的标签,因此它们始终会在邮箱的 InPlaceHolds 属性内显示操作值 1。

若要确定是否对邮箱中的文件夹或项目应用了保留,请参阅 标识保留邮箱,因为保留标签已应用于文件夹或项目

有关保留操作的详细信息,请参阅 在特定时间段内保留内容 部分。

步骤 2:使用 GUID 标识保留

获取应用于邮箱的保留的 GUID 后,下一步是使用该 GUID 来标识保留。 以下部分演示如何使用保留 GUID 标识保留 (的名称以及) 的其他信息。

电子数据展示保留

安全性 & 合规性 PowerShell 中运行以下命令,以标识应用于邮箱的电子数据展示保留。 使用 GUID (不包括在步骤 1 中标识的电子数据展示保留的 UniH 前缀) 。

若要连接到安全性 & 符合性 PowerShell,请参阅 连接到安全性 & 合规性 PowerShell

第一个命令创建一个变量,其中包含有关保留的信息。 此变量用于其他命令。 第二个命令显示与保留关联的电子数据展示事例的名称。 第三个命令显示保留的名称以及要保留的邮箱列表。

$CaseHold = Get-CaseHoldPolicy <hold GUID without prefix>

Get-ComplianceCase $CaseHold.CaseId | FL Name

$CaseHold | FL Name,ExchangeLocation

In-Place 保留

在 Exchange Online PowerShell 中运行以下命令,以标识应用于邮箱的 In-Place 保留。 使用在步骤 1 中标识的 In-Place 保留的 GUID。 命令显示保留的名称以及要保留的邮箱列表。

Get-ComplianceSearch -Identity <hold GUID> | FL Name,SourceMailboxes

如果 In-Place 保留的 GUID 以 cld 前缀开头,请确保在运行上一个命令时包含前缀。

重要

随着我们继续以不同的方式投资来保留邮箱内容,我们宣布停用 Exchange 管理中心的 In-Place 保留 (EAC) 。 从 2020 年 7 月 1 日开始,你将无法在 Exchange Online 中创建新的 In-Place 保留。 但是,你仍可以在 EAC 中或使用 Exchange Online PowerShell 中的 Set-MailboxSearch cmdlet 来管理 In-Place 保留。 但是,从 2020 年 10 月 1 日起,你将无法管理 In-Place 保留。 你只能在 EAC 中使用 Remove-MailboxSearch cmdlet 删除它们。 有关停用 In-Place 保留的详细信息,请参阅 旧版电子数据展示工具的停用

Microsoft Purview 保留策略

连接到 Security & Compliance PowerShell ,并运行以下命令, (应用于邮箱的组织范围或特定位置) 标识 Microsoft Purview 保留策略。 使用 GUID (不包括在步骤 1 中标识的 mbx、skp 或 grp 前缀或操作后缀) 。

Get-RetentionCompliancePolicy <hold GUID without prefix or suffix> -DistributionDetail  | FL Name,*Location

标识保留邮箱,因为保留标签已应用于文件夹或项目

每当用户应用配置为 保留或保留删除 其邮箱中任何文件夹或项目的内容的保留标签时, ComplianceTagHoldApplied 邮箱属性将设置为 True。 发生这种情况时,邮箱的处理方式与将邮箱置于保留状态时类似,例如,分配给 Microsoft Purview 保留策略或置于诉讼保留时,但需要注意一些事项。 当 ComplianceTagHoldApplied 属性设置为 True 时,会发生以下情况:

  • 如果删除邮箱或用户的 Microsoft 365 帐户,邮箱将成为 非活动邮箱
  • 如果) 启用,则无法禁用主邮箱或存档邮箱 (邮箱。
  • 从邮箱中删除的项目将遵循以下两个路径之一,具体取决于它们是否已标记:
    • 当邮箱没有保留时,未标记的项目将遵循已删除邮件所采用的相同路径。 永久删除这些项目所需的时间取决于 已删除的项目保留 配置以及是否为邮箱启用了 单个项目恢复
    • 标记的项目 将保留到 可恢复的项目文件夹中 ,其方式与应用 Microsoft Purview 保留策略时相同,但在单个项目级别。 如果多个项目具有不同的标签,这些标签配置为 保留保留,然后 以不同的间隔删除内容,则会根据所应用标签的配置保留每个项目。
  • 其他保留(如 Microsoft Purview 保留策略、电子数据展示保留或诉讼保留)可以根据保留原则延长已标记项 的保留时间。

若要查看单个邮箱的 ComplianceTagHoldApplied 属性的值,请在 Exchange Online PowerShell 中运行以下命令:

Get-Mailbox <username> | FL ComplianceTagHoldApplied

有关保留标签的详细信息,请参阅 保留标签

管理延迟保留的邮箱

从邮箱中删除任何类型的保留后,将应用 延迟保留 。 这意味着,实际删除保留会延迟 30 天,以防止永久删除数据 (从邮箱中清除) 。 这使管理员有机会搜索或恢复在删除保留后将清除的邮箱项目。 托管文件夹助理下次处理邮箱并检测到删除保留时,会对邮箱进行延迟保留。 具体而言,当托管文件夹助理将以下邮箱属性 之一设置为 True时,延迟保留将应用于邮箱:

  • DelayHoldApplied:此属性适用于使用 Outlook 的用户生成 (与电子邮件相关的内容,以及存储在用户邮箱中的Outlook 网页版) 。
  • DelayReleaseHoldApplied:此属性适用于非 Outlook 应用(如 Microsoft Teams、Microsoft Forms 和存储在用户邮箱中的Microsoft Viva Engage) )生成的基于云的内容 (。 Microsoft 应用生成的云数据通常存储在用户邮箱的隐藏文件夹中。

当在邮箱上放置延迟保留(当以前的任一属性设置为 True时),邮箱仍被视为处于无限制保留期,就像邮箱处于诉讼保留状态一样。 30 天后,延迟保留过期,Microsoft 365 将自动尝试删除延迟保留 (,方法是将 DelayHoldAppliedDelayReleaseHoldApplied 属性设置为 False) 以便删除保留。 将其中任一属性设置为 False 后,在托管文件夹助理下次处理邮箱时,将清除标记为要删除的相应项目。

注意

如果禁用邮箱的用户帐户,则邮箱不会由托管文件夹助理处理,并且延迟保留在 30 天后过期。 有关详细信息,请参阅 延迟保留注意事项

若要查看邮箱的 DelayHoldApplied 和 DelayReleaseHoldApplied 属性的值,请在 Exchange Online PowerShell 中运行以下命令。

Get-Mailbox <username> | FL *HoldApplied*

若要在延迟保留过期之前将其删除,可以在 PowerShell 中运行一个 (或两者 Exchange Online) 以下命令,具体取决于要更改的属性:

Set-Mailbox <username> -RemoveDelayHoldApplied


Set-Mailbox <username> -RemoveDelayReleaseHoldApplied

必须在 Exchange Online 中分配“法定保留”角色才能使用 RemoveDelayHoldAppliedRemoveDelayReleaseHoldApplied 参数。

若要删除非活动邮箱上的延迟保留,请在 Exchange Online PowerShell 中运行以下命令之一:

Set-Mailbox <DN or Exchange GUID> -InactiveMailbox -RemoveDelayHoldApplied


Set-Mailbox <DN or Exchange GUID> -InactiveMailbox -RemoveDelayReleaseHoldApplied

提示

在上一命令中指定非活动邮箱的最佳方法是使用其可分辨名称或 Exchange GUID 值。 使用下列值之一有助于避免意外指定错误的邮箱。

有关使用这些参数管理延迟保留的详细信息,请参阅 Set-Mailbox

延迟保留注意事项

管理延迟保留邮箱时,请记住以下事项:

  • 如果 DelayHoldAppliedDelayReleaseHoldApplied 属性设置为 True ,并且邮箱 (或删除相应的用户帐户) ,则邮箱将成为非活动邮箱。 这是因为,如果任一属性设置为 True,则邮箱被视为处于保留状态,而删除保留邮箱会导致邮箱处于非活动状态。 若要删除邮箱而不将其设置为非活动邮箱,必须同时将这两个属性设置为 False
  • 如果将 DelayHoldApplied 或 DelayReleaseHoldApplied 属性设置为 True,则邮箱将被视为处于无限保留期。 但是,这并不意味着邮箱 中的所有内容都会 保留。 这取决于设置为每个属性的值。 例如,假设这两个属性都设置为 True ,因为会从邮箱中删除保留。 然后,使用 RemoveDelayReleaseHoldApplied 参数) 仅删除应用于非 Outlook 云数据 (的延迟保留。 下次托管文件夹助理处理邮箱时,将清除标记为删除的非 Outlook 项目。 不会清除标记为删除的任何 Outlook 项目,因为 DelayHoldApplied 属性仍设置为 True。 反之亦然:如果 DelayHoldApplied 设置为 False ,并将 DelayReleaseHoldApplied 设置为 True,则只会清除标记为删除的 Outlook 项目。

如何确认将组织范围的保留策略应用于邮箱

在邮箱应用或删除组织范围的保留策略时,导出邮箱诊断日志有助于确定Exchange Online已对邮箱应用或删除保留策略。 若要查看此信息,首先需要使用 Exchange Online PowerShell 进行一些验证。

获取任何显式应用于邮箱的保留策略的 GUID

Get-Mailbox <username> | Select-Object -ExpandProperty InPlaceHolds

获取应用于邮箱的任何组织范围的保留策略的 GUID

Get-OrganizationConfig | Select-Object -ExpandProperty InPlaceHolds

获取 HoldTracking 的邮箱诊断

保留跟踪邮箱诊断日志维护应用于用户邮箱的保留历史记录。

$ht = Export-MailboxDiagnosticLogs <username> -ComponentName HoldTracking
$ht.MailboxLog | Convertfrom-Json

查看邮箱诊断日志的结果

如果从上一步收集数据,则生成的数据可能如下所示:

ed : 0001-01-01T00:00:00.0000000 : mbx7cfb30345d454ac0a989ab3041051209:1ht : 4Lsd : 2020-03-23T18:24:37.1884606ZOsd : 2020-03-23T18:24:37.1884606Z

使用下表可帮助你了解诊断日志中列出的每个先前值。

说明
ed 指示结束日期,即禁用保留策略的日期。 MinValue 表示策略仍分配给邮箱。
指示保留策略的 GUID。 此值将与为分配给邮箱的显式保留策略或组织范围的保留策略收集的 GUID 相关联。
ht 指示保留类型。 对于 LitigationHold,1表示 InPlaceHold,2 表示 ComplianceTagHold,3 表示 OrganizationRetention,5 表示 CompliancePolicy,6 表示 SubstrateAppPolicy,7 表示 SharepointPolicy。
Lsd 指示上次开始日期,即保留策略分配给邮箱的日期。
Osd 指示原始开始日期,即 Exchange 首次记录有关保留策略信息的日期。

当保留策略不再应用于邮箱时,我们会对用户进行临时延迟保留,以防止清除内容。 可以通过运行 Set-Mailbox -RemoveDelayHoldApplied 命令来禁用延迟保留。

后续步骤

确定应用于邮箱的保留后,可以执行更改保留持续时间、暂时或永久删除保留或从 Microsoft Purview 保留策略中排除非活动邮箱等任务。 有关执行与保留相关的任务的详细信息,请参阅以下文章之一: