在 Exchange Server 中 In-Place 電子檔探索
如果您的組織遵守與組織原則、合規性或訴訟) 相關的法律探索需求 (,In-Place 中的電子檔探索 Exchange Server 可協助您在信箱內執行相關內容的探索搜尋。 您也可以在 Exchange 混合環境中使用就地 eDiscovery,以同時搜尋內部部署信箱和雲端信箱。
重要事項
In-Place 電子檔探索是一項功能強大的功能,可讓具有正確許可權的使用者存取 Exchange Server 組織中儲存的所有訊息記錄。 這對於控制與監視探索活動而言很重要,包括將成員新增至探索管理角色群組、指派信箱搜尋管理角色,以及指派探索信箱的信箱存取權限。
就地 eDiscovery 運作方式
就地 eDiscovery 使用 Exchange 搜尋所建立的內容索引。 角色存取控制 (RBAC) 可提供 探索管理 角色群組,以便將探索工作委派給非技術人員,但不會提供較高的權限讓使用者能對 Exchange 組態進行任何作業上的變更。 Exchange 系統管理中心 (EAC) 為法律與合規性主管、記錄管理員和人力資源專業人員等非技術人員提供易於使用的搜尋介面。
授權的使用者若要執行就地 eDiscovery 搜尋,可先選取信箱,再指定搜尋準則,例如關鍵字、開始和結束日期、寄件者和收件者地址,以及郵件類型。 搜尋完成之後,授權的使用者接著可再選取下列其中一個動作:
估計搜尋結果 - 此選項會根據您指定的準則,傳回搜尋所傳回的總大小和項目數。
預覽搜尋結果 - 此選項提供結果的預覽。 並顯示從每個搜尋信箱所傳回的郵件。
複製搜尋結果 - 此選項可讓您將訊息複製到探索信箱。
匯出搜尋結果 - 將搜尋結果複製到探索信箱之後,您可以將它們匯出至 PST 檔案。
In-Place 電子檔探索使用關鍵詞查詢語言 (KQL) 。 熟悉 KQL 的使用者可以建構功能強大的搜尋查詢來搜尋內容索引。 如需 KQL 的詳細資訊,請 參閱關鍵字查詢語言語法參考。
In-Place 電子檔探索許可權
若要讓授權的使用者執行 In-Place 電子檔探索搜尋,您必須將他們新增至 探索管理 角色群組。 此角色群組包含兩個管理角色: 信箱搜尋角色,可讓使用者執行 In-Place 電子檔探索搜尋,以及 法務保存角色,可讓使用者將信箱放在 In-Place 保留和訴訟保留。
依預設,執行就地 eDiscovery 相關工作的權限未指派給任何使用者或 Exchange 系統管理員。 Exchange 系統管理員為組織管理群組的成員,能將使用者新增至探索管理角色群組,並建立自訂角色群組,將探索管理員的範圍縮小到一部分使用者。 若要深入瞭解如何將使用者新增至探索管理角色群組,請參閱在 Exchange Server 中指派電子檔探索許可權。
重要事項
如果使用者未新增至探索管理角色群組,或未獲指派信箱搜尋角色,就 地電子檔探索 & 保留 使用者介面不會顯示在 EAC 中,且 In-Place 電子檔探索 (*MailboxSearch) Cmdlet 無法在 Exchange 管理命令介面中使用。
稽核 RBAC 角色的改變 (預設為啟用),可確保保有充足的記錄可供追蹤探索管理角色群組的指派。 您可以利用系統管理員角色群組報告來搜尋系統管理員角色群組的變更。 如需詳細資訊,請參閱 Search the role group changes or administrator audit logs。
使用就地 eDiscovery
已新增至探索管理角色群組的使用者可執行就地 eDiscovery 搜尋。 您能使用 EAC 中的 Web 介面來執行搜尋。 這會讓如記錄管理員、法務人員,或法律與人力資源專家等非技術使用者更容易使用就地 eDiscovery。 您也可以使用 Exchange 管理命令介面來執行搜尋。 如需詳細資訊,請參閱在 Exchange Server 中建立 In-Place 電子檔探索搜尋
EAC 中的就 地電子檔探索 & 保留 精靈可讓您建立 In-Place 電子檔探索搜尋,並使用 In-Place Hold 來保留搜尋結果。 當您建立 In-Place 電子檔探索搜尋時,會在 In-Place 電子檔探索系統信箱中建立搜尋物件。 您可以操作這個物件來啟動、停止、修改和移除搜尋。 建立搜尋之後,您可以選擇取得搜尋結果的估計值,其中包含可協助您判斷查詢有效性的關鍵詞統計數據。 您也可以對搜尋中傳回的專案執行即時預覽,讓您可以檢視郵件內容、從每個來源信箱傳回的郵件數目,以及訊息總數。 如有需要,您可以使用此資訊進一步微調查詢。
對搜尋結果感到滿意時,您能將其複製到探索信箱。 您也能使用 EAC 或 Outlook 匯出探索信箱或部分內容至 PST 檔案。
建立就地 eDiscovery 搜尋時,您必須指定下列參數:
名稱 - 搜尋名稱是用來識別搜尋。 當您複製搜尋結果至探索信箱時,將使用該搜尋名稱和時戳,在探索信箱中建立一個資料夾,以在探索信箱中唯一性地識別搜尋結果。
來源 - 您可以選擇搜尋 Exchange Server 組織中的所有信箱,或指定要搜尋的信箱。 您也可以選擇搜尋所有公用資料夾。 如果您也想要使用相同的搜尋來將項目設為保留狀態,您必須指定信箱。 您也可以將所有公用資料夾放在 In-Place 保留。 您可以指定通訊群組包含為該群組成員的信箱使用者。 建立搜尋時會計算群組的成員資格一次,而後續的群組成員資格變更不會自動反映在搜尋中。 使用者的主要和封存信箱會包含在搜尋中。
搜尋查詢 - 您可以包含指定信箱中的所有信箱內容,或使用搜尋查詢傳回與案例或調查更相關的專案。 您可以在搜尋查詢中指定下列參數:
關鍵字 - 您可以指定關鍵字和片語來搜尋訊息內容。 您也可以使用邏輯運算子 AND、 OR 和 NOT。 此外,Exchange Server 也支援NEAR運算元,可讓您搜尋接近另一個單字或片語的單字或片語。
若要搜尋完全符合的多字片語,則必須用引號括住片語。 例如,若搜尋片語 "plan and competition",則會將其中有完全符合片語的郵件傳回,若是指定 plan AND competition,則會將郵件中任何一處有 plan 與 competition 的郵件傳回。
Exchange Server 也支援 In-Place 電子檔探索搜尋的關鍵詞查詢語言 (KQL) 語法。 如需 KQL 的詳細資訊,請 參閱關鍵字查詢語言語法參考。
注意事項
就地 eDiscovery 不支援規則運算式。
邏輯運算子必須使用大寫字母,例如 AND 和 OR,系統才會將它們視為運算子,而非關鍵字。 建議您在任何混合邏輯運算子的查詢中明確使用括號,以避免錯誤或誤解。 例如,如果要搜尋包含 WordA 或 WordB 以及 WordC 或 WordD 的訊息,您必須使用 (WordA OR WordB) AND (WordC OR WordD)。
開始和結束日期 - 根據預設,In-Place 電子檔探索不會依日期範圍限制搜尋。 若要搜尋在指定日期範圍期間寄出的郵件,您可以指定開始與結束日期來縮小搜尋範圍。 如果您未指定結束日期,則搜尋會傳回每次您重新開始搜尋時的最新結果。
寄件人和收件者 - 若要縮小搜尋範圍,您可以指定郵件的寄件者或收件者。 您可以使用電子郵件地址、顯示名稱或網域名稱,搜尋寄給或寄自網域中所有人的郵件。 例如,若要尋找來自或寄往 Contoso, Ltd 人員的電子郵件,請在 EAC 的 [寄件者] 或 [收件者/副本] 欄位中指定 @contoso.com。 您也可以在 Exchange 管理命令介面的寄件者或收件者參數中指定 @contoso.com
訊息類型 - 預設會搜尋所有訊息類型。 您可以藉由選擇特定郵件類型來限制搜尋,例如電子郵件、連絡人、文件、日誌、會議、記事、Lync 內容等。
下列螢幕擷取畫面顯示 EAC 中的搜尋查詢範例。
使用就地 eDiscovery 時,也考量以下事項:
附件 - In-Place Exchange 搜尋所支援的電子檔探索搜尋附件。 如需詳細資訊,請參閱 Default Filters for Exchange Search。 在內部部署中,您可在 Mailbox Server 上安裝檔案類型的搜尋篩選器 (也稱做 iFilter),以新增對其他檔案類型的支援。
無法搜尋的專案 - 無法搜尋的專案是 Exchange 搜尋無法編制索引的信箱專案。 無法索引的原因包括缺少附件檔案的搜尋篩選器、篩選器發生錯誤,或是郵件已加密。 若要成功進行 eDiscovery 搜尋,您的組織可能需要包含這些檢閱項目。 將搜尋結果複製到探索信箱時,或是將搜尋結果匯出至 PST 檔案時,可以包含無法搜尋的項目。 如需詳細資訊,請參閱Exchange eDiscovery 中無法搜尋的項目。
加密的專案 - 因為使用 S/MIME 加密的訊息未由 Exchange 搜尋編制索引,In-Place 電子檔探索不會搜尋這些訊息。 如果您選取選項在搜尋結果中包含無法搜尋的項目,則會將這些 S/MIME 加密的郵件複製到探索信箱。
重複資料刪除 - 將搜尋結果複製到探索信箱或將搜尋結果匯出至 PST 檔案時,您可以啟用搜尋結果 的重複數據刪除 ,只將唯一訊息的一個實例複製到探索信箱。 刪除重複項目功能具有下列好處:
由於複製的訊息數目變少而能降低儲存需求並減少探索信箱大小。
減少探索管理員、法律顧問或是其他需檢閱搜尋結果之人員的工作量。
降低 eDiscovery 成本 (視排除於搜尋結果之外的重複項目數目而定)。
受 IRM 保護的專案 - 使用資訊版權管理 (IRM) 所保護的訊息會由 Exchange 搜尋編製索引,因此如果符合查詢參數,則會包含在搜尋結果中。 必須使用與 Mailbox Server 位於相同 Active Directory 樹系中的 Active Directory Rights Management Services (AD RMS) 叢集來保護郵件。 如需詳細資訊,請參閱 Exchange Server 中的資訊版權管理。
重要事項:
Exchange 搜尋無法將受 IRM 保護的郵件建立索引時,則會因為解密失敗,或因為 IRM 停用,而使受保護的郵件不會新增至失敗項目清單中。 如果您選取選項在搜尋結果中包含無法搜尋的項目,則結果中可能不會包含無法解密的受 IRM 保護郵件。
若要在搜尋中包含受 IRM 保護的郵件,您可以建立另一個搜尋,以納入含 .rpmsg 附件的郵件。 不論是否成功編製索引,您都可以使用查詢字串
attachment:rpmsg來搜尋指定信箱中所有受 IRM 保護的郵件。 在某個搜尋傳回符合搜尋條件的郵件時,包括已成功建立索引的受 IRM 保護郵件時,這可能會造成某些重複的搜尋結果。 搜尋不會傳回無法建立索引的受 IRM 保護郵件。為所有受 IRM 保護的郵件執行第二次搜尋時,也會包含已成功建立索引並於第一次搜尋傳回的受 IRM 保護郵件。 此外,第二次搜尋傳回的受 IRM 保護郵件,可能不符合如第一次搜尋時所使用關鍵字等搜尋條件。
預估、預覽並複製搜尋結果
完成就地 eDiscovery 搜尋後,您便能在 EAC 中的 [詳細資料] 窗格中檢視搜尋結果預估。 預估包括所傳回的項目數和那些項目的總大小。 您也能檢視關鍵字統計資料,該資料傳回的詳細資料,是關於每個用於搜尋查詢的關鍵字所傳回的項目數。 此資訊在確定查詢效率方面十分實用。 如果查詢太廣,有可能會傳回較大的資料集,進行檢視時可能會需要更多資源並因此提高 eDiscovery 成本。 如果查詢太狹隘,可能會大幅減少傳回的記錄數目,或完全未傳回記錄。 您能使用預估和關鍵字統計資料來微調查詢,使其達到您的需求。
注意事項
在 Exchange Server 中,關鍵詞統計數據也包含非關鍵詞屬性的統計數據,例如日期、訊息類型,以及搜尋查詢中指定的寄件者/收件者。
您也能預覽搜尋結果,以進一步確認傳回的郵件包含您所搜尋的內容,並視需求進一步微調查詢。 eDiscovery 搜尋預覽功能會顯示從每個搜尋的信箱所傳回的郵件數,以及搜尋所傳回的郵件總數。 很快就會產生預覽,不需要複製郵件至探索信箱。
當您滿意搜尋結果的數量與品質後,您便能將其複製到探索信箱中。 複製郵件時,您具有下列選項:
包含無法搜尋的專案 - 如需被視為無法搜尋之專案的類型詳細數據,請參閱上一節中的電子檔探索搜尋考慮。
啟用重複數據刪除 - 如果在搜尋的一或多個信箱中找到多個實例,則重複數據刪除只會包含唯一記錄的單一實例,藉此減少數據集。
啟用完整記錄 - 根據預設,複製專案時只會啟用基本記錄。 您可以選取完整記錄功能來納入所有經由搜尋所傳回記錄的相關資訊。
複製完成時傳送郵件 給我 - In-Place 電子檔探索搜尋可能會傳回大量記錄。 複製傳回的郵件至探索信箱可能要花很長的時間。 使用此選項即可在複製程序完成時取得電子郵件通知。 為了更輕鬆地使用 Outlook 網頁版,通知包含複製郵件之探索信箱中位置的連結。
如需詳細資訊,請參閱 將 eDiscovery 搜尋結果複製到探索信箱。
將搜尋結果匯出至 PST 檔案
搜尋結果複製到探索信箱後,您可以將其匯出至 PST 檔案。
將搜尋結果匯出成 PST 檔案之後,您或其他使用者可以在 Outlook 中開啟這些結果,以檢閱或列印搜尋結果中傳回的訊息。 如需詳細資訊,請參閱將 eDiscovery 搜尋結果匯出至 PST 檔。
記錄就地 eDiscovery 搜尋
有兩種類型的記錄可供 In-Place 電子檔探索搜尋使用。
基本記錄 - 預設會針對所有 In-Place 電子檔探索搜尋啟用基本記錄。 記錄中包含了搜尋和執行者的相關資訊。 基本記錄所擷取的資訊會出現在電子郵件的內文中,此電子郵件會寄到儲存搜尋結果的信箱中。 此郵件位於建立用於儲存搜尋結果的資料夾中。
完整記錄 - 完整 記錄包含搜尋所傳回之所有訊息的相關信息。 此資訊會以逗號分隔值 (.csv 提供,) 附加至包含基本記錄資訊的電子郵件訊息。 搜尋的名稱會用於 .csv 檔名。 基於合規性或記錄保留目的,可能需要這項資訊。 若要啟用完整記錄,您必須在將搜尋結果複製到 EAC 中的探索信箱時,選取 [ 啟用完整記錄 ] 選項。 如果您使用 Exchange 管理命令介面,請使用 LogLevel 參數指定完整記錄選項。
注意事項
使用 Exchange 管理命令介面建立或修改 In-Place 電子檔探索搜尋時,您也可以停用記錄。
除了將搜尋結果複製到探索信箱時所包含的搜尋記錄,Exchange 也會記錄 EAC 或 Exchange 管理命令介面用來建立、修改或移除 In-Place 電子檔探索搜尋的 Cmdlet。 此資訊會記錄在管理稽核記錄項目中。 如需詳細資訊,請參閱系統管理員稽核記錄 Exchange Server。
探索信箱
建立就地 eDiscovery 搜尋之後,您可以將搜尋結果複製到目標信箱。 EAC 允許您選取探索信箱作為目標信箱。 探索信箱是特殊類型的信箱,可提供下列功能:
更輕鬆且安全的目標信箱選取 - 當您使用 EAC 複製 In-Place 電子檔探索搜尋結果時,只有探索信箱可作為儲存搜尋結果的存放庫。 這可避免探索管理員不小心選取另一個使用者的信箱或不安全的信箱,以儲存潛在的敏感性郵件。
大型信箱儲存配額 - 目標信箱應該能夠儲存大量可能由 In-Place 電子檔探索搜尋傳回的郵件數據。 根據預設,探索信箱的信箱儲存配額為 50 GB。 無法增加此儲存配額。
默認更安全 - 就像所有信箱類型一樣,探索信箱也有相關聯的 Active Directory 用戶帳戶。 不過,預設會停用此帳戶。 只有明確授權存取探索信箱的使用者才能存取該信箱。 探索管理角色群組的成員會獲指派預設探索信箱的完整存取權。 您建立的任何其他探索信箱沒有指派給任何使用者的信箱訪問許可權。
Email 傳遞已停用 - 用戶無法將電子郵件傳送至探索信箱。 Email 使用傳遞限制來禁止傳遞至探索信箱。 這可保留複製到探索信箱的搜尋結果的完整性。 根據預設,探索信箱不會顯示在組織的全域通訊清單中。
Exchange Server 安裝程式會建立一個顯示名稱為探索搜尋信箱的探索信箱。 您可以使用 Exchange 管理命令介面來建立其他探索信箱。 依預設,您建立的探索信箱不會指派任何信箱存取權限。 您可以指派完整存取權限給探索管理員,以存取複製到探索信箱的郵件。 如需詳細資訊,請 參閱建立探索信箱 。
就地 eDiscovery 也會使用顯示名稱為 SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} 的系統信箱,以保存就地 eDiscovery 中繼資料。 系統信箱在 EMC 或 Exchange 通訊清單中不會顯示。 拿掉 In-Place 電子檔案探索系統信箱所在的信箱資料庫之前,您必須將信箱移至另一個信箱資料庫。 如果信箱已移除或已損壞,則在重新建立信箱之前,探索管理員將無法執行 eDiscovery 搜尋。 如需詳細資訊,請參閱 Re-Create the Discovery System Mailbox。
就地 eDiscovery 和就地保留
作為 eDiscovery 要求的一部分,您可能會被要求保留信箱內容,直到訴訟或調查已進行處分為止。 信箱使用者所刪除或更改的郵件或任何程序也必須一併保留。 在 Exchange Server 中,這是使用 In-Place 保留來完成。 如需詳細資訊,請參閱在 Exchange Server 中就地保留和訴訟保留。
您可以使用就 地電子檔探索 & 保留 精靈來搜尋專案,並保留它們,只要電子檔探索或符合其他商務需求即可。 當就地 eDiscovery 和就地保留使用相同的搜尋時,請注意下列事項:
您無法使用 選項來保留組織中的所有信箱。 您必須選取該信箱或通訊群組。 不過,您可以保留組織中的所有公用 fol der。
如果就地 eDiscovery 搜尋也用於就地保留,則您無法移除就地 eDiscovery 搜尋。 您必須先在搜尋中停用 [就地保留] 選項,然後移除該搜尋。
保留用於就地 eDiscovery 的信箱
當員工離開組織時,停用或移除其信箱是常見的做法。 在您停用信箱之後,就會中斷與使用者帳戶的連線,但會保留在信箱裡一段時間,預設值為 30 天。 受管理的資料夾助理員不會處理中斷連線的信箱,且在這段期間,均不會套用任何保留原則。 您無法搜尋中斷連線的信箱之內容。 一旦達到信箱資料庫已設定之刪除的信箱保留期限時,便會將該信箱從信箱資料庫中清除。
如果您的組織要求將保留設定套用至不再在組織中的員工訊息,或如果您可能需要保留前員工的信箱以進行中或未來的電子檔探索搜尋,請勿停用或移除信箱。 您可以採取下列步驟,以確保無法存取該信箱,且不會傳遞新的郵件到該信箱。
使用 Active Directory 使用者 & 電腦或其他 Active Directory 或帳戶布建工具或腳本,停用 Active Directory 用戶帳戶。 This prevents mailbox logon using the associated user account.
重要事項
擁有完整存取信箱權限的使用者仍然能夠存取該信箱。 若要避免他人存取,您必須從該信箱移除他們的完整存取權限。 如需如何移除信箱上完整存取信箱許可權的資訊,請參閱 管理收件者的許可權。
將會由該信箱使用者寄送或接收的郵件之郵件大小限制設定在非常低的值,例如 1 KB。 這能防止該信箱接收或傳送新郵件。 如需詳細資訊,請參閱設定信箱的郵件大小上限。
設定信箱的傳遞限制,如此無人能寄送郵件至該信箱。 如需詳細資訊,請參閱設定信箱的郵件傳遞限制。
重要事項
您必須採取以上步驟及任何其他由您組織所要求的帳戶管理程序,但卻不停用或移除信箱或移除關聯的使用者帳戶。
當您規劃為郵件保留管理 (MRM) 或就地 eDiscovery 而實施信箱保留時,您必須考慮員工的流動率。 長期保留前任員工的信箱將必須在信箱伺服器上具備額外的儲存空間,而且也會導致 Active Directory 資料庫的增加,因為這必須在相同期間內保留關聯的使用者帳戶。 此外,這可能也會要求變更您組織的帳戶佈建與管理程序。
不同的搜尋結果
因為 In-Place 電子檔探索會對實時數據執行搜尋,所以相同內容來源和使用相同搜尋查詢的兩個搜尋可能會傳回不同的結果。 預估搜尋結果也可能與複製到探索信箱的實際搜尋結果不同。 即使在短時間內重新執行相同搜尋也有可能會發生此情況。 有幾個因素可能會影響搜尋結果的一致性。
不斷建立內送電子郵件的索引,因為 Exchange 搜尋持續地建立組織信箱資料庫和傳輸管線的編目與索引。
使用者或自動化程序將電子郵件刪除。
大量匯入需要一些時間建立索引的大量電子郵件。
如果您遇到相同搜尋但有不同結果的情形,請考慮將信箱設定為保留以保存內容、在離峰時間執行搜尋,並讓系統在匯入大量電子郵件之後有時間建立索引。
就地 eDiscovery 的自訂管理範圍
您可以使用自定義管理範圍,讓特定人員或群組使用 In-Place 電子檔探索來搜尋 Exchange Server 組織中的信箱子集。 例如,您可以讓探索管理員只在特定位置或部門中搜尋使用者的信箱。 若要這麼做,您可以建立自訂管理範圍,利用自訂的收件者篩選器來控制可搜尋的信箱。 收件者篩選器範圍使用篩選器,根據收件者類型或其他收件者屬性,鎖定以特定的收件者為目標。
在「就地 eDiscovery」中,使用者信箱上只有通訊群組成員資格這個屬性可用來建立自訂範圍的收件者篩選器。 如果您使用 CustomAttributeN、 Department 或 PostalCode 等其他屬性,則搜尋會在由指派自定義範圍的角色群組成員執行時失敗。 如需詳細資訊,請參閱 建立就地 eDiscovery 搜尋的自訂管理範圍。
In-Place 電子檔探索和 Exchange 搜尋
就地 eDiscovery 使用 Exchange 搜尋所建立的內容索引。 Exchange 搜尋已重新隔離為使用 Microsoft Search Foundation,這是一個豐富的搜尋平臺,提供大幅改善的索引編製和查詢效能,以及改善的搜尋功能。 因為 Microsoft Search Foundation 也可供其他 Office 產品使用,包括 SharePoint Server,所以可在這些產品之間提供更高的互操作性和類似的查詢語法。
透過使用單一內容索引引擎,當 IT 部門收到 eDiscovery 要求時,不需使用任何額外的資源即可針對就地 eDiscovery 進行信箱資料庫的編目與索引建立工作。
如需 Exchange 搜尋編製索引之檔格式的詳細資訊,請參閱 依 Exchange 搜尋編制索引的檔案格式。
Exchange 混合部署中的 eDiscovery
對於部分信箱存在於您內部部署信箱伺服器,而部分信箱則是存在於雲端式組織中的混合部署而言,您能使用您內部部署組織裡的 EAC 去執行雲端式信箱的就地 eDiscovery 搜尋。 若您想將郵件複製到一個探索信箱,您必須選取一個內部部署探索信箱。 在雲端式信箱中,自搜尋結果傳回的郵件會被複製到指定的內部部署探索信箱。 若要深入瞭解混合式部署,請參閱 Exchange Server 混合式部署。
若要在 Exchange Server 混合式組織中成功執行跨單位電子檔探索搜尋,您必須設定 Exchange 內部部署與 Exchange Online 組織之間的 OAuth (Open Authorization) 驗證,才能使用 In-Place 電子檔探索來搜尋內部部署和雲端式信箱。 OAuth 驗證是伺服器對伺服器的驗證通訊協定,可讓應用程式相互驗證。
OAuth 驗證在 Exchange 混合部署支援下列的 eDiscovery 案例:
搜尋將「Exchange Online 封存」用於雲端封存信箱的內部部署信箱。
在相同的 eDiscovery 搜尋中,搜尋內部部署和雲端信箱。
若想進一步了解必須在 Exchange 混合部署中設定 OAuth 驗證的 eDiscovery 案例,請參閱Using Oauth Authentication to Support eDiscovery in an Exchange Hybrid Deployment。 如需設定 OAuth 驗證以支援 eDiscovery 的逐步指示,請參閱Configure OAuth Authentication Between Exchange and Exchange Online Organizations。
如需設定 OAuth 驗證以支援 eDiscovery 的逐步指示,請參閱Configure OAuth Authentication Between Exchange and Exchange Online Organizations。
與 SharePoint Server 整合
Exchange Server 提供與 SharePoint Server 的整合,讓探索管理員能夠使用 SharePoint Server 中的電子檔探索中心來執行下列工作:
從單一位置搜尋和保留內容 - 授權的探索管理員可以跨 SharePoint 和 Exchange 搜尋和保留內容,包括 Lync 內容,例如立即訊息交談和 Exchange 信箱中封存的共用會議檔。
案例管理 - 電子檔探索中心使用 eDiscovery 的案例管理方法,可讓您建立案例,並在每個案例的不同內容存放庫中搜尋和保留內容。
匯出搜尋結果 - 探索管理員可以使用電子檔探索中心匯出搜尋結果。 將包含在搜尋結果中的信箱內容匯出至 PST 檔案。
SharePoint Server 也會使用 Microsoft Search Foundation 進行內容索引編製和查詢。 不論探索管理員使用的是 EAC 或 eDiscovery 中心搜尋 Exchange 內容,皆會傳回相同的信箱內容。
您必須先在兩個應用程式之間建立信任,才能使用 SharePoint Server 中的電子檔探索中心來搜尋 Exchange 信箱。 在 Exchange 和 SharePoint 中,這是使用 OAuth 驗證來完成。 如需詳細資料,請參閱設定 Exchange for SharePoint eDiscovery Center。 從 SharePoint 執行的 eDiscovery 搜尋由 Exchange 使用 RBAC 進行授權。 SharePoint 使用者必須在 Exchange 中獲指派委派的探索管理權限,才能夠執行 Exchange 信箱的 eDiscovery 搜尋。 探索管理員必須在相同的 Exchange 組織中擁有信箱,才能預覽以 SharePoint eDiscovery 中心執行 eDiscovery 搜尋所傳回的信箱內容。
就地 eDiscovery 限制和節流原則
在 Exchange Server 中,電子檔探索 In-Place 使用的資源是使用節流原則來控制。
默認節流原則包含下列參數。 您可以使用組織範圍建立新的節流原則,並將它命名為僅限 「DiscoveryThrottlingPolicy」,以變更預設值以符合組織的需求。
| 參數 | 描述 | 預設值 |
|---|---|---|
| DiscoveryMaxConcurrency | 用戶可以同時執行的 In-Place 電子檔探索搜尋數目上限。 | 2 |
| DiscoveryMaxMailboxes | 可在單一就地 eDiscovery 搜尋中搜尋到的信箱數量上限。 公用資料夾信箱也會根據來源信箱限制計算。 | 10,0001 |
| DiscoveryMaxStatsSearchMailboxes | 可在單就地電子文件探索搜尋中搜尋的信箱數目上限,仍可讓您檢視關鍵字統計資料。 | 100 注意:執行電子檔探索搜尋估計之後,您可以檢視關鍵詞統計數據。 這些統計資料會顯示搜尋查詢中使用的每個關鍵字所返回項目數的詳細資訊。 如果搜尋中包含超過 100 個來源信箱,如果您嘗試檢視關鍵詞統計數據,則會傳回錯誤。 |
| DiscoveryMaxKeywords | 可在單一就地 eDiscovery 搜尋中指定的關鍵字數量上限。 | 500 |
| DiscoveryPreviewSearchResultsPageSize | 預覽就地 eDiscovery 搜尋結果時,可在單一頁面上顯示的項目數量上限。 | 200 |
| DiscoverySearchTimeoutPeriod | 就地 eDiscovery 搜尋在逾時之前會執行的分鐘數。 | 10 分鐘 |
1 封存信箱會根據來源信箱限制計算。 這表示,如果已針對所有 5,000 個信箱啟用對應的封存信箱,您最多可以搜尋 5,000 個信箱。
就地 eDiscovery 文件
下表包含 Exchange Server 主題的連結,可協助您瞭解和管理電子檔探索 In-Place。
| 主題 | 描述 |
|---|---|
| 在 Exchange Server 中指派電子檔探索許可權 | 瞭解如何授與使用者在 EAC (中使用 In-Place 電子檔探索的存取權,以及如何使用對應的 Cmdlet) 來搜尋 Exchange 信箱。 |
| 在 Exchange Server 中建立 In-Place 電子檔探索搜尋 | 了解如何建立就地 eDiscovery 搜尋,以及如何估計和預覽 eDiscovery 搜尋結果。 |
| 將 eDiscovery 搜尋結果複製到探索信箱 | 了解如何將 eDiscovery 搜尋結果複製到探索信箱。 |
| 將 eDiscovery 搜尋結果匯出至 PST 檔 | 了解如何將 eDiscovery 搜尋結果匯出至 PST 檔案。 |
| Exchange Server 中 In-Place 電子檔探索的訊息屬性和搜尋運算元 | 了解可以使用「就地 eDiscovery」搜尋哪些電子郵件訊息內容。 本主題提供每個內容的語法範例、AND 和 OR 之類搜尋運算子的相關資訊,以及其他搜尋查詢技巧 (例如使用雙引號 (" ") 和前置萬用字元) 的相關資訊。 |
| 使用電子檔探索 In-Place 搜尋並保留公用資料夾 | 瞭解如何使用 In-Place 電子檔探索來搜尋並保留組織中的所有公用資料夾。 |