在電子檔探索案例中建立電子檔探索保留
提示
新的 Microsoft Purview 入口網站現已提供電子檔探索 (預覽) 。 若要深入瞭解如何使用新的電子檔探索體驗,請參閱 瞭解電子檔探索 (預覽) 。
您可以使用 Microsoft Purview 電子文件探索 (Premium) 或 (Standard) 案例來建立保留,以保留可能與案例相關的內容。 您可以保留 Exchange 信箱,並 商務用 OneDrive 您在本案例中調查之人員的帳戶。 您也可以保留與 Microsoft Teams、Microsoft 365 群組及 Viva Engage 群組 相關聯的信箱和網站。 當您保留內容位置時,會保留內容,直到您從保留中移除內容位置,或直到您刪除保留為止。
重要事項
對於與電子檔探索調查無關的長期數據保留,強烈建議使用保留原則和保留標籤。 如需詳細資訊,請參閱瞭解保留原則和保留標籤。
建立電子檔探索保留之後,最多可能需要 24 小時的時間,保留才會生效。
當您建立保留時,您有下列選項可將保留在指定內容位置中的內容限定範圍:
- 建立無限期的保留,其中會對指定位置的所有內容放置保留。 或者,您可以建立查詢式保留,其中只會對指定位置中符合搜尋查詢的內容設定保留。
- 指定日期範圍,以只保留該日期範圍內傳送、接收或建立的內容。 或者,不論傳送、接收或建立的時間為何,您都可以保留指定位置中的所有內容。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
如何建立電子文件探索保留
若要建立與 eDiscovery (Premium) 或 (Standard) 案例相關聯的電子檔探索保留:
注意事項
在有限的時間內,此傳統電子檔探索體驗也可在新的 Microsoft Purview 入口網站中使用。 在電子檔探索 (預覽) 體驗設定中啟用合規性入口網站傳統電子檔探索體驗,以在新的 Microsoft Purview 入口網站中顯示傳統體驗。
移至 Microsoft Purview 合規性入口網站,並使用具有適當電子檔探索許可權的使用者帳戶認證登入。
在左側瀏覽窗格中,選取 [ 全部顯示],然後選取 [電子檔探索 > 進 階] 或 [電子檔探索 > 標準]。
在 [eDiscovery > Premium 或 eDiscovery (Standard) ] 頁面上,選取您要建立保留的案例名稱。
在案例 的首 頁上,選取 [ 保留] 索引 標籤。
在 [ 保留] 頁面上,選取 [ 建立]。
在 [ 為您的保留 精靈命名] 頁面上,提供保留名稱並新增選擇性描述,然後選取 [ 下一步]。 保留的名稱在您的組織中必須是唯一的。
在 [ 選擇位置精 靈] 頁面上,選擇您要保留的內容位置。 您可以保留信箱、網站和公用資料夾。
- Exchange 信箱: 將開關設定為 [開啟] ,然後選取 [選擇使用者、群組或團隊] 以指定要設定保存措施的信箱。 使用搜尋方塊來尋找使用者信箱及通訊群組 (以在群組成員的信箱上設定保存措施) 以設定保存措施。 您也可以保留Microsoft小組、Microsoft 365 群組和 Viva Engage 群組的相關聯信箱。 如需保留信箱時所保留之應用程式數據的詳細資訊,請參閱 儲存在電子檔探索信箱中的內容。
重要事項
當您選取要保留的通訊組清單時,會在建立原則時,將保留放在通訊組清單中的每個成員信箱上。 通訊組清單中的後續變更不會變更或更新保留或原則。
- SharePoint 網站: 將開關設定為 [開啟],然後選取 [選擇網站] 以指定要設定保存措施的 SharePoint 網站和 OneDrive 帳戶。 針對您想要設定保存措施的每個網站,輸入其 URL。 您也可以為Microsoft小組、Microsoft 365 群組或 Yammer 群組新增 SharePoint 網站的 URL。
重要事項
若要建立與 SharePoint Online 網站相關的子網站保留,您必須使用查詢篩選中的 Path 屬性來選取特定的子網站。
- Exchange 公用資料夾:將開關設定為 [開啟] 以保存 Exchange Online 組織的所有公用資料夾。 無法選擇保存特定公用資料夾。 如果您不想保存公用資料夾,請讓切換開關保持關閉。
重要事項
將 Exchange 信箱或 SharePoint 網站新增至保留時,您必須明確地將至少一個內容位置新增至保留。 換句話說,如果您將信箱或網站的切換設定為 [ 開 啟],您必須選取要新增至保留的特定信箱或網站。 否則,將會建立電子文件探索保留,但不會將信箱或網站新增至保留。
完成將位置新增至保留時,選取 [ 下一步]。
若要使用關鍵字或條件來建立查詢式保留措施,請完成下列步驟。 若要保留指定內容位置中所有的內容,請選取 [下一步]。
- 在 [關鍵字] 下方的方塊中,輸入查詢,只保留符合查詢準則的內容。 您可以指定關鍵字、電子郵件訊息內容或網站內容,例如檔案名稱。 您也可以使用內含布林運算子,較為複雜的查詢,例如 AND、OR 或 NOT。
- 選取 [新增條件] 新增一個或多個條件,以縮小保留措施的查詢範圍。 每個條件會將一個子句新增至 KQL 搜尋查詢,當您建立保留措施時便會建立並執行。 例如,您可以指定日期範圍,以保留在日期範圍內建立的電子郵件或網站文件。 條件會以邏輯方式連接到關鍵字查詢 (在 [關鍵字] 方塊中指定) 和其他由 AND 運算子設定的條件。 這表示項目必須同時滿足關鍵字查詢與條件,以供保留。
如需建立搜尋查詢和使用條件的詳細資訊,請參閱電子文件探索的關鍵字查詢和搜尋條件。
在設定查詢式保留措施之後,選取 [下一步]。
檢查您的設定 (並在必要時進行編輯),然後選取 [提交]。
建立保留之後,請流覽至案例中的 [ 保留 ] 索引標籤,然後選取保留原則,以檢查保留是否已成功套用。 如需針對發生錯誤的保留進行疑難解答的詳細資訊,請參閱 解決電子檔探索保留錯誤。
注意事項
建立查詢式保留時,來自所選取位置的所有內容最初會設定保留。 之後,會每隔 7 到 14 天從保留中清除任何不符合指定查詢的內容。 不過,如果對內容位置套用超過五個任何類型的保留,或如果任何項目有索引問題,查詢式保留將不會清除內容。
對網站設定的查詢式保留
當您在 SharePoint 網站中的檔案上放置查詢型電子檔案探索保留時,請記住下列事項:
- 查詢式保留一開始會將網站中的所有文件在刪除後保留一小段時間。 這表示刪除檔時,即使檔不符合查詢式保留的準則,也會移至檔保留庫。 不過,不符合查詢式保留的已刪除文件,會由處理文件保留庫的計時器工作移除。 定時器工作會定期執行,並將檔保留庫中的所有檔與以查詢為基礎的電子檔探索保留 (,以及其他類型的保留和保留原則) 。 定時器工作會刪除不符合查詢架構保留的檔,並保留所執行的檔。
- 查詢式保留不應用來執行目標性保留,例如在特定資料夾或網站中保留檔,或使用其他以位置為基礎的保留準則。 這麼做可能會產生非預期的結果。 我們建議使用非位置型保留準則,例如關鍵詞、日期範圍或其他文檔屬性來保留網站檔。
電子文件探索保留上的搜尋位置
當您在 eDiscovery (Standard) 案例中 搜尋內容 時,可以快速地將搜尋設定為只搜尋已放置在與案例相關聯之保留中的內容位置。
選取 [保留的位置] 選項以搜尋已設定保留的所有內容位置。 如果案例包含多個電子檔探索保留,當您選取此選項時,會搜尋所有保留中的內容位置。 此外,如果內容位置放在查詢式保留中,當您執行搜尋時,只會搜尋符合保留查詢的專案。 換句話說,只有符合保留準則和搜尋準則的內容會隨著搜尋結果一起傳回。 例如,如果對使用者設定查詢式案例保留,保留特定日期之前傳送或建立的項目,則只會搜尋這些項目。 這是透過連接案例保留查詢和 AND 運算子的搜尋查詢來完成。
以下是在電子檔探索保留上搜尋位置時要記住的一些其他事項:
- 如果內容位置是相同案例中多個保留的一部分,當您使用 [所有案例內容] 選項搜尋該內容位置時, OR 運算符會結合保留查詢。 同樣地,如果內容位置是兩個不同保留的一部分,其中一個是以查詢為基礎,另一個則是無限保留 (其中的所有內容都會保留) ,則所有內容都會因為無限保留而進行搜尋。
- 如果搜尋設定為要搜尋保留中的位置,然後您在新增或移除位置或變更保留查詢) (的情況下變更電子檔探索保留,則會使用這些變更來更新搜尋組態。 不過,您必須在保留變更後重新執行搜尋,以更新搜尋結果。
- 如果在電子檔探索案例的單一位置放置多個電子檔探索保留,而且您選取要保留搜尋位置,則該搜尋查詢的關鍵詞數目上限為 500。 這是因為搜尋會使用 OR 運算子來結合所有查詢型保留。 如果合併的保留查詢和搜尋查詢中有超過 500 個關鍵字,則會搜尋信箱中所有的內容,而不只是符合查詢型案例保留的內容。
- 如果電子檔探索保留狀態為 On (Pending) ,您仍然可以在保留開啟時搜尋保留位置。
在 Microsoft Teams 中保留內容
屬於Microsoft Teams頻道的交談會儲存在與Microsoft小組相關聯的信箱中。 同樣地,團隊成員在頻道中共用的檔案會儲存在團隊的 SharePoint 網站上。 因此,您必須將小組信箱和 SharePoint 網站放在電子檔探索保留中,以保留頻道中的交談和檔案。
或者,屬於Teams中聊天清單一部分的交談 (稱為 1:1聊天 或 1:N群組聊天) 會儲存在參與聊天之使用者的信箱中。 使用者在聊天交談中共用的檔案會儲存在共用檔案之使用者的 OneDrive 帳戶中。 因此,您必須將個別使用者信箱和 OneDrive 帳戶新增至電子檔探索保留,以保留聊天清單中的交談和檔案。 除了保留小組信箱和網站之外,最好保留Microsoft小組成員的信箱。
注意事項
如果您的組織具有 Exchange 混合式部署 (,或您的組織已將內部部署 Exchange 組織與 Office 365) 同步,並已啟用 Microsoft Teams,則內部部署使用者可以使用 Teams 聊天應用程式,並參與 1 對 1 聊天和 1:N 群組聊天。 這些交談會儲存在與內部部署使用者相關聯的雲端式記憶體中。 如果內部部署使用者置於電子檔探索保留中,則會保留雲端式記憶體中的 Teams 聊天內容。 如需詳細資訊,請參閱搜尋內部部署使用者的 Teams 聊天資料。
如需保留 Teams 內容的詳細資訊,請 參閱將Microsoft Teams 使用者或小組置於合法保留狀態。
保留卡片內容
同樣地,Teams 頻道中的應用程式、1 對 1 聊天和 1:N 群組聊天所產生的卡片內容會儲存在信箱中,並在將信箱置於電子檔案探索保留時保留。 卡片是一個 UI 容器,用於儲存簡短的內容片段。 卡片可以有多個屬性和附件,而且可以包含觸髮卡片動作的專案。 如需詳細資訊,請參閱 卡片。 與其他 Teams 內容一樣,儲存卡片內容的位置取決於卡片的使用位置。 Teams 頻道中使用的卡片之內容儲存在 Teams 群組信箱中。 1:1 和 1xN 聊天的卡片內容儲存在聊天參與者的信箱中。
保留會議和通話資訊
Teams 頻道中會議和通話的摘要資訊也會儲存在撥入會議或通話的使用者信箱中。 在使用者信箱上放置電子檔探索保留時,也會保留此內容。
在私人頻道中保留內容
從 2020 年 2 月開始,我們也開啟了在私人頻道中保留內容的能力。 由於私人頻道聊天會儲存在聊天參與者的信箱中,因此將使用者信箱放在電子檔探索保留中會保留私人頻道聊天。 此外,如果使用者信箱是在 2020 年 2 月之前置於電子檔探索保留中,則保留現在會自動套用至儲存在該信箱中的私人通道訊息。 也支援保留私人頻道中共用的檔案。
保留Wiki內容
每個小組或小組頻道也都包含Wiki以供記事和共同作業。 Wiki 的內容會自動儲存至 .mht 格式的檔案中。 此檔案會儲存在團隊 SharePoint 網站上的 Teams Wiki 資料文件庫中。 您可以將小組的 SharePoint 網站新增至電子檔探索保留,以保留 Wiki 內容。
注意事項
當您將小組的 SharePoint 網站保留) 於 2017 年 6 月 22 日發行時,保留小組或小組頻道的 Wiki 內容的功能 (。 如果小組網站處於保留狀態,Wiki 內容將從該日期開始保留。 不過,如果小組網站處於保留狀態,且Wiki內容已在2017年6月22日之前刪除,則不會保留Wiki內容。
Microsoft 365 群組
Teams 建置在Microsoft 365 個群組上。 因此,將Microsoft 365 群組放在電子檔探索保留中,類似於保留Teams內容。
將 Teams 和 Microsoft 365 群組放在電子檔探索保留中時,請記住下列事項:
如先前所述,若要將位於Teams中的內容Microsoft 365群組保留,您必須指定與群組或小組相關聯的信箱和SharePoint網站。
在 Exchange Online PowerShell 中執行 Get-UnifiedGroup Cmdlet,以檢視 Teams 和 Microsoft 365 群組的屬性。 這是取得與 Team 或 Microsoft 365 群組相關聯之網站 URL 的好方法。 例如,下列命令會顯示名為資深領導團隊Microsoft 365 群組的選取屬性:
Get-UnifiedGroup "Senior Leadership Team" | FL DisplayName,Alias,PrimarySmtpAddress,SharePointSiteUrl DisplayName : Senior Leadership Team Alias : seniorleadershipteam PrimarySmtpAddress : seniorleadershipteam@contoso.onmicrosoft.com SharePointSiteUrl : https://contoso.sharepoint.com/sites/seniorleadershipteam
注意事項
若要執行 Get-UnifiedGroup Cmdlet,您必須獲指派 Exchange Online 中的「僅檢視收件者」角色或者為獲指派「僅檢視收件者」角色之角色群組的成員。
搜尋使用者的信箱時,將不會搜尋使用者所屬的任何小組或Microsoft 365 群組。 同樣地,當您將Team或 Microsoft 365 群組放在電子檔探索保留中時,只會保留群組信箱和群組網站。 除非您明確地將群組成員的信箱和 商務用 OneDrive 網站新增至電子檔探索保留,否則不會保留這些信箱和網站。 因此,如果您基於法律原因而必須保留小組或Microsoft 365 群組,請考慮將小組或群組成員的信箱和 OneDrive 帳戶新增在同一個保留中。
若要取得Team或 Microsoft 365 群組的成員清單,您可以在 Microsoft 365 系統管理中心 的 [群組] 頁面上檢視屬性。 或者,您可以在 Exchange Online PowerShell 中執行下列命令:
Get-UnifiedGroupLinks <group or team name> -LinkType Members | FL DisplayName,PrimarySmtpAddress
注意事項
若要執行 Get-UnifiedGroupLinks Cmdlet,您必須獲指派 Exchange Online 中的「僅檢視收件者」角色或者為獲指派「僅檢視收件者」角色之角色群組的成員。
保留 OneDrive 帳戶中的內容
若要收集組織中 商務用 OneDrive 網站的 URL 清單,以便將它們新增至與電子檔探索案例相關聯的保留或搜尋,請參閱建立組織中所有 OneDrive 位置的清單。 本文中的腳本會建立文本檔,其中包含組織中所有 OneDrive 網站的清單。 若要執行此指令碼,您必須安裝並使用 SharePoint Online 管理命令介面。 請務必將您組織 MySite 網域的 URL 附加至您要搜尋的每個 OneDrive 網站。 這是包含您所有 OneDrive 的網域;例如, https://contoso-my.sharepoint.com
。 以下是使用者 OneDrive 網站的 URL 範例: https://contoso-my.sharepoint.com/personal/sarad_contoso_onmicrosoft.com
。
重要事項
使用者 OneDrive 帳戶的 URL 包含其使用者主體名稱 (UPN) (例如, https://alpinehouse-my.sharepoint.com/personal/sarad_alpinehouse_onmicrosoft_com
) 。 在人員的 UPN 變更的罕見情況下,其 OneDrive URL 也會變更併入新的 UPN。 如果使用者的 OneDrive 帳戶是電子檔探索保留的一部分,且其 UPN 已變更,您必須藉由新增使用者的新 OneDrive URL 並移除舊的 OneDrive URL 來更新保留。 如果 OneDrive 網站的 URL 變更,先前在網站上放置的保留會保持有效,並保留內容。 如需詳細資訊,請參閱 UPN 變更將如何影響 OneDrive URL。
從電子文件探索保留移除內容位置
從電子文件探索保留中移除信箱、SharePoint 網站或 OneDrive 帳戶之後,會套用延遲保留。 這表示實際移除保留會延遲 30 天,以防止從內容位置清除) (永久刪除數據。 這可讓系統管理員有機會搜尋或復原在移除電子檔探索保留之後將清除的內容。 延遲保留對信箱和網站的運作方式細節並不相同。
郵箱: 下次受管理的資料夾小幫手處理信箱時,信箱會延遲保留,並偵測到電子檔探索保留已移除。 具體來說,當受管理的資料夾助理員將下列其中一個信箱屬性設定為 True 時,會對信箱套用延遲保留:
- DelayHoldApplied:此屬性適用於使用 Outlook 和 Outlook 網頁版) 儲存在使用者信箱中之人員所產生的電子郵件相關內容 (。
- DelayReleaseHoldApplied:此屬性適用於非 Outlook 應用程式所產生的雲端式內容 (,例如Microsoft Teams、Microsoft Forms 和Microsoft儲存在使用者信箱中的 Yammer) 。 Microsoft 應用程式產生的雲端資料通常會儲存在使用者信箱的隱藏資料夾中。
對信箱設定延遲保留時 (當先前的任一屬性設定為 True),信箱仍會被視為處於無限期保留,就像信箱處於訴訟資料暫留。 30 天后,延遲保留會到期,Microsoft 365 會將 DelayHoldApplied 或 DelayReleaseHoldApplied 屬性設定為 False) ,自動嘗試移除延遲保留 (,以便移除保留。 當其中一個屬性設定為 False 之後,下次受控資料夾小幫手處理信箱時,就會清除標示為要移除的對應專案。
如需詳細資訊,請參閱管理延遲保留信箱。
SharePoint 和 OneDrive 網站: 從電子檔探索保留中移除網站之後的 30 天延遲保留期間內,不會刪除保留在檔保留庫中的任何 SharePoint 或 OneDrive 內容。 這類似於從保留原則發行網站時所發生的狀況。 此外,在 30 天的延遲保留期間,您也無法手動刪除文件保留庫中的此內容。 若要從 30 天的延遲保留/寬限期保留釋放網站,請參閱 因為無效的保留原則而無法刪除網站或電子檔探索保留 疑難解答一文。
如需詳細資訊,請參閱釋出保留原則。
當您關閉 eDiscovery (Standard) 案例時,延遲保留也會套用至保留中的內容位置,因為案例關閉時會關閉保留。 如需關閉案例的詳細資訊,請參閱 關閉、重新開啟和刪除電子檔探索 (標準) 案例。
電子檔探索保留限制
下表列出電子檔探索案例和案例保留的限制。
限制的描述 | 限制 |
---|---|
組織的案例數目上限。 | 無限制 |
組織的電子檔探索保留原則數目上限。 此限制包括 eDiscovery (Standard) 和 eDiscovery (Premium) 案例中合併的保留原則總數。 | 10,0001 |
單一電子檔探索保留中的信箱數目上限。 此限制包括合併的使用者信箱總數,以及與Microsoft 365 群組、Microsoft Teams 和 Viva Engage 群組 相關聯的信箱。 | 1,000 |
單一電子檔探索保留中的網站數目上限。 此限制包括 商務用 OneDrive 網站、SharePoint 網站,以及與Microsoft 365 群組、Microsoft Teams 和 Viva Engage 群組 相關聯的網站總數。 <br/ | 100 |
電子檔探索首頁上顯示的案例數目上限,以及案例中 [保留]、[搜尋] 和 [匯出] 索引卷標上顯示的項目數目上限。 | 1,0001 |
SharePoint 網站和 OneDrive 的保留限制 | 如需詳細資訊,請參閱 SharePoint 限制。 |
注意事項
1 若要檢視超過 1,000 個案例、保留、搜尋或導出的清單,您可以使用對應的安全性 & 合規性 PowerShell Cmdlet: