In-Place Exchange 2013 中的電子檔探索
適用於:Exchange Server 2013
如果您的組織遵守與組織原則、合規性或訴訟 () 相關的法律探索需求,In-Place Microsoft Exchange Server 2013 中的電子檔探索可協助您在信箱內執行相關內容的探索搜尋。 Exchange 2013 也提供同盟搜尋功能,並與 Microsoft SharePoint 2013 整合。 使用 SharePoint 中的電子檔探索中心,您可以搜尋並保存與案例相關的所有內容,包括 SharePoint 2013 網站、檔、SharePoint 編製索引的檔案共用、Exchange 中的信箱內容,以及封存的 Lync 2013 內容。 您也可以在 Exchange 混合環境中使用就地 eDiscovery,以同時搜尋內部部署信箱和雲端信箱。
重要事項
In-Place 電子檔探索是一項功能強大的功能,可讓具有正確許可權的使用者存取儲存在整個 Exchange 2013 組織中的所有訊息記錄。 這對於控制與監視探索活動而言很重要,包括將成員新增至探索管理角色群組、指派信箱搜尋管理角色,以及指派探索信箱的信箱存取權限。
就地 eDiscovery 運作方式
就地 eDiscovery 使用 Exchange 搜尋所建立的內容索引。 角色存取控制 (RBAC) 可提供 探索管理 角色群組,以便將探索工作委派給非技術人員,但不會提供較高的權限讓使用者能對 Exchange 組態進行任何作業上的變更。 Exchange 系統管理中心 (EAC) 針對非技術人員,例如法務人員、記錄管理員與人力資源 (HR) 專業人員,提供一個簡單易用的搜尋介面。
授權的使用者若要執行就地 eDiscovery 搜尋,可先選取信箱,再指定搜尋準則,例如關鍵字、開始和結束日期、寄件者和收件者地址,以及郵件類型。 搜尋完成之後,授權的使用者接著可再選取下列其中一個動作:
估計搜尋結果 此選項可傳回根據您指定之準則而進行的搜尋將傳回的估計項目總大小和項目數。
預覽搜尋結果 此選項可預覽結果。 並顯示從每個搜尋信箱所傳回的郵件。
複製搜尋結果:此選項可將郵件複製到探索信箱。
匯出搜尋結果 搜尋結果複製到探索信箱後,您可以將其匯出至 PST 檔案。
Exchange 搜尋
就地 eDiscovery 使用 Exchange 搜尋所建立的內容索引。 Exchange 搜尋已重新隔離為使用 Microsoft Search Foundation,這是一個豐富的搜尋平臺,提供大幅改善的索引編製和查詢效能,以及改善的搜尋功能。 因為 Microsoft Search Foundation 也可供其他 Office 產品使用,包括 SharePoint 2013,所以可在這些產品之間提供更高的互操作性和類似的查詢語法。
透過使用單一內容索引引擎,當 IT 部門收到 eDiscovery 要求時,不需使用任何額外的資源即可針對就地 eDiscovery 進行信箱資料庫的編目與索引建立工作。
就地 eDiscovery 使用關鍵字查詢語法 (KQL),此查詢語法與 Microsoft Outlook 和 Outlook Web App 中的立即搜尋功能所用的進階查詢語法 (AQS) 相似。 熟悉 KQL 的使用者能夠輕鬆的建構強大的搜尋查詢來搜尋內容索引。
如需 Exchange 搜尋編制索引之檔格式的詳細資訊,請參閱 Exchange 搜尋編製索引的檔案格式。
探索管理角色群組和管理角色
為了讓經過授權的使用者執行就地 eDiscovery,您必須將他們新增至探索管理角色群組。 此角色群組包含兩個管理角色,一個是信箱搜尋角色,它允許使用者執行就地 eDiscovery,另一個是法律保留角色,它允許使用者將信箱設為就地保留或訴訟暫止狀態。
依預設,執行就地 eDiscovery 相關工作的權限未指派給任何使用者或 Exchange 系統管理員。 Exchange 系統管理員為組織管理群組的成員,能將使用者新增至探索管理角色群組,並建立自訂角色群組,將探索管理員的範圍縮小到一部分使用者。 若要深入了解將使用者新增至探索管理角色群組,請參閱Exchange 中指派 eDiscovery 權限。
重要事項
如果使用者尚未新增至探索管理角色群組,或未被指派信箱搜尋角色,則 EAC 中不會顯示 [就地 eDiscovery & 保留] 使用者介面,在 Exchange 管理命令介面中也無法使用就地 eDiscovery 指令程式。
稽核 RBAC 角色的改變 (預設為啟用),可確保保有充足的記錄可供追蹤探索管理角色群組的指派。 您可以利用系統管理員角色群組報告來搜尋系統管理員角色群組的變更。 如需詳細資訊,請參閱 Search the role group changes or administrator audit logs。
就地 eDiscovery 的自訂管理範圍
您可以使用自定義管理範圍,讓特定人員或群組使用 In-Place 電子檔探索來搜尋 Exchange 2013 組織中的信箱子集。 例如,您可以讓探索管理員只在特定位置或部門中搜尋使用者的信箱。 若要這麼做,您可以建立自訂管理範圍,利用自訂的收件者篩選器來控制可搜尋的信箱。 收件者篩選器範圍使用篩選器,根據收件者類型或其他收件者屬性,鎖定以特定的收件者為目標。
在「就地 eDiscovery」中,使用者信箱上只有通訊群組成員資格這個屬性可用來建立自訂範圍的收件者篩選器。 如果您使用 CustomAttributeN、 Department 或 PostalCode 等其他屬性,則搜尋會在由指派自定義範圍的角色群組成員執行時失敗。 如需詳細資訊,請參閱 建立就地 eDiscovery 搜尋的自訂管理範圍。
與 SharePoint Server 整合
Exchange Server 提供與 SharePoint Server 的整合,讓探索管理員能夠使用 SharePoint 中的電子檔探索中心來執行下列工作:
從單一位置搜尋和保留內容:授權的探索管理員可以跨 SharePoint 和 Exchange 搜尋和保留內容,包括 Lync 內容,例如立即訊息交談和 Exchange 信箱中封存的共用會議檔。
案例管理:電子檔探索中心使用 eDiscovery 的案例管理方法,可讓您建立案例,並針對每個案例在不同的內容存放庫中搜尋和保留內容。
匯出搜尋結果:探索管理員可以使用電子檔探索中心匯出搜尋結果。 將包含在搜尋結果中的信箱內容匯出至 PST 檔案。
SharePoint 也使用 Microsoft Search Foundation 進行內容索引和查詢。 不論探索管理員使用的是 EAC 或 eDiscovery 中心搜尋 Exchange 內容,皆會傳回相同的信箱內容。
在內部部署中,您必須在兩個應用程式之間建立信任,才能使用 SharePoint 中的 eDiscovery 中心搜尋 Exchange 信箱。 在 Exchange 2013 和 SharePoint 2013 之中,是透過使用 OAuth 驗證來完成。 如需詳細資料,請參閱設定 Exchange for SharePoint eDiscovery Center。 從 SharePoint 執行的 eDiscovery 搜尋由 Exchange 使用 RBAC 進行授權。 SharePoint 使用者必須在 Exchange 中獲指派委派的探索管理權限,才能夠執行 Exchange 信箱的 eDiscovery 搜尋。 探索管理員必須在相同的 Exchange 組織中擁有信箱,才能預覽以 SharePoint eDiscovery 中心執行 eDiscovery 搜尋所傳回的信箱內容。
Exchange 混合部署中的 eDiscovery
若要在 Exchange 2013 混合組織中順利執行跨單位 eDiscovery 搜尋,您必須在您的 Exchange 內部部署組織與 Exchange Online 組織之間設定 OAuth (Open Authorization),以便能使用就地 eDiscovery 搜尋內部部署與雲端信箱。 OAuth 驗證是伺服器對伺服器的驗證通訊協定,可讓應用程式相互驗證。
OAuth 驗證在 Exchange 混合部署支援下列的 eDiscovery 案例:
搜尋將「Exchange Online 封存」用於雲端封存信箱的內部部署信箱。
在相同的 eDiscovery 搜尋中,搜尋內部部署和雲端信箱。
在 SharePoint Online 中使用 eDiscovery 中心搜尋內部部署信箱。
若想進一步了解必須在 Exchange 混合部署中設定 OAuth 驗證的 eDiscovery 案例,請參閱在 Exchange 混合式部署中使用 OAuth 驗證來支援 eDiscovery。 如需設定 OAuth 驗證以支援 eDiscovery 的逐步指示,請參閱設定 Exchange 與 Exchange Online 組織之間的 OAuth 驗證。
探索信箱
建立就地 eDiscovery 搜尋之後,您可以將搜尋結果複製到目標信箱。 EAC 允許您選取探索信箱作為目標信箱。 探索信箱是特殊類型的信箱,可提供下列功能:
更輕鬆且安全的目標信箱選取:當您使用 EAC 複製 In-Place 電子檔探索搜尋結果時,只有探索信箱可作為儲存搜尋結果的存放庫。 您不需要排序組織中可能很長的信箱清單。 這也消除了探索管理員不小心選取另一個使用者的信箱或不安全的信箱,以儲存潛在敏感性郵件的可能性。
大型信箱儲存配額:目標信箱應該能夠儲存大量可能由 In-Place 電子檔探索搜尋傳回的郵件數據。 依預設,探索信箱擁有 50 GB 的信箱儲存配額。 無法增加此儲存配額。
默認更安全:就像所有信箱類型一樣,探索信箱具有相關聯的 Active Directory 用戶帳戶。 不過,預設會停用此帳戶。 只有明確授權存取探索信箱的使用者才能存取該信箱。 探索管理角色群組的成員會獲指派預設探索信箱的完整存取權。 您建立的任何其他探索信箱沒有指派給任何使用者的信箱訪問許可權。
已停用電子郵件傳遞:雖然在 Exchange 位址清單中顯示,但使用者無法將電子郵件傳送至探索信箱。 禁止使用傳遞限制將電子郵件傳遞至探索信箱。 這可保留複製到探索信箱的搜尋結果的完整性。
Exchange 安裝程式會建立一個顯示名稱為 探索搜尋信箱的探索信箱。 您可以使用命令介面建立其他的探索信箱。 依預設,您建立的探索信箱不會指派任何信箱存取權限。 您可以指派完整存取權限給探索管理員,以存取複製到探索信箱的郵件。 如需詳細資訊,請參閱建立探索信箱。
就地 eDiscovery 也會使用顯示名稱為 SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} 的系統信箱,以保存就地 eDiscovery 中繼資料。 系統信箱在 EMC 或 Exchange 通訊清單中不會顯示。 在內部部署組織中,在移除就地 eDiscovery 系統信箱所在的信箱資料庫之前,您必須先將信箱移至其他信箱資料庫。 如果信箱已移除或已損壞,則在重新建立信箱之前,探索管理員將無法執行 eDiscovery 搜尋。 如需詳細資訊,請參閱 在 Exchange 2013 中刪除並重新建立預設探索信箱。
使用就地 eDiscovery
已新增至探索管理角色群組的使用者可執行就地 eDiscovery 搜尋。 您能使用 EAC 中的 Web 介面來執行搜尋。 這會讓如記錄管理員、法務人員,或法律與人力資源專家等非技術使用者更容易使用就地 eDiscovery。 您也可以使用命令介面來執行搜尋。 如需詳細資訊,請參 閱建立 In-Place 電子檔探索搜尋
注意事項
在內部部署組織中,您可以使用就地 eDiscovery 來搜尋位於 Exchange 2013 Mailbox Server 上的信箱。 若要搜尋位於 Exchange 2010 Mailbox Server 的信箱,請使用 Exchange 2010 伺服器上的多信箱搜尋。 >> 在混合式部署中,您的內部部署信箱伺服器上有一些信箱,而某些信箱存在於雲端式組織中,您可以使用內部部署組織中的EAC,對雲端式信箱執行 In-Place 電子檔探索搜尋。 若您想將郵件複製到一個探索信箱,您必須選取一個內部部署探索信箱。 在雲端式信箱中,自搜尋結果傳回的郵件會被複製到指定的內部部署探索信箱。 若要深入了解混合部署,請參閱Exchange Server 2013 Hybrid Deployments。
EAC 中的就 地電子檔探索 & 保留 精靈可讓您建立 In-Place 電子檔探索搜尋,並使用 In-Place Hold 來保留搜尋結果。 當您建立 In-Place 電子檔探索搜尋時,會在 In-Place 電子檔探索系統信箱中建立搜尋物件。 您可以操作這個物件來啟動、停止、修改和移除搜尋。 建立搜尋之後,您可以選擇取得搜尋結果的估計值,其中包含可協助您判斷查詢有效性的關鍵詞統計數據。 您也可以對搜尋中傳回的專案執行即時預覽,讓您可以檢視郵件內容、從每個來源信箱傳回的郵件數目,以及訊息總數。 如有需要,您可以使用此資訊進一步微調查詢。
對搜尋結果感到滿意時,您能將其複製到探索信箱。 您也能使用 EAC 或 Outlook 匯出探索信箱或部分內容至 PST 檔案。
建立就地 eDiscovery 搜尋時,您必須指定下列參數:
名稱:搜尋名稱是用來識別搜尋。 當您複製搜尋結果至探索信箱時,將使用該搜尋名稱和時戳,在探索信箱中建立一個資料夾,以在探索信箱中唯一性地識別搜尋結果。
信箱:您可以選擇搜尋 Exchange 2013 組織中的所有信箱,或指定要搜尋的信箱。 使用者的主要和封存信箱會包含在搜尋中。 如果您也想要使用相同的搜尋來將項目設為保留狀態,您必須指定信箱。 您可以指定通訊群組包含為該群組成員的信箱使用者。 當建立搜尋時會計算一次群組成員資格,群組成員資格的後續變更並不會自動反應在此搜尋中。
搜尋查詢:您可以包含指定信箱中的所有信箱內容,或使用搜尋查詢來傳回與案例或調查更相關的專案。 您可以在搜尋查詢中指定下列參數:
關鍵詞:您可以指定關鍵詞和片語來搜尋訊息內容。 您也可以使用邏輯運算子 AND、 OR 和 NOT。 而且,Exchange 2013 也支援 NEAR 運算子,讓您能搜尋與其他字或片語相近的字或片語。
若要搜尋完全符合的多字片語,則必須用引號括住片語。 例如,若搜尋片語 "plan and competition",則會將其中有完全符合片語的郵件傳回,若是指定 plan AND competition,則會將郵件中任何一處有 plan 與 competition 的郵件傳回。
Exchange 2013 也支援就地 eDiscovery 搜尋的關鍵字查詢語言 (KQL) 語法。
注意事項
就地 eDiscovery 不支援規則運算式。
邏輯運算子必須使用大寫字母,例如 AND 和 OR,系統才會將它們視為運算子,而非關鍵字。 建議您在任何混合邏輯運算子的查詢中明確使用括號,以避免錯誤或誤解。 例如,如果要搜尋包含 WordA 或 WordB 以及 WordC 或 WordD 的訊息,您必須使用 (WordA OR WordB) AND (WordC OR WordD)。
開始和結束日期:根據預設,In-Place 電子檔探索不會依日期範圍限制搜尋。 若要搜尋在指定日期範圍期間寄出的郵件,您可以指定開始與結束日期來縮小搜尋範圍。 如果您未指定結束日期,則搜尋會傳回每次您重新開始搜尋時的最新結果。
寄件人和收件者:若要縮小搜尋範圍,您可以指定郵件的發件者或收件者。 您可以使用電子郵件地址、顯示名稱或網域名稱,搜尋寄給或寄自網域中所有人的郵件。 例如,若要尋找來自或寄往 Contoso, Ltd 人員的電子郵件,請在 EAC 的 [寄件者] 或 [收件者/副本] 欄位中指定 @contoso.com。 您也可以在殼層中的 [寄件者] 或 [收件者] 參數中指定 @contoso.com。
訊息類型:預設會搜尋所有訊息類型。 您可以藉由選擇特定郵件類型來限制搜尋,例如電子郵件、連絡人、文件、日誌、會議、記事、Lync 內容等。
下列螢幕擷取畫面顯示 EAC 中的搜尋查詢範例。
使用就地 eDiscovery 時,也考量以下事項:
附件:In-Place Exchange 搜尋所支援的電子檔探索搜尋附件。 如需詳細資訊,請參閱 Exchange 搜尋編製索引的檔格式。 在內部部署中,您可在 Mailbox Server 上安裝檔案類型的搜尋篩選器 (也稱做 iFilter),以新增對其他檔案類型的支援。
無法搜尋的專案:無法搜尋的專案是 Exchange 搜尋無法編製索引的信箱專案。 無法索引的原因包括缺少附件檔案的搜尋篩選器、篩選器發生錯誤,或是郵件已加密。 若要成功進行 eDiscovery 搜尋,您的組織可能需要包含這些檢閱項目。 將搜尋結果複製到探索信箱時,或是將搜尋結果匯出至 PST 檔案時,可以包含無法搜尋的項目。 如需詳細資訊,請參閱 Exchange 電子檔探索中無法搜尋的專案。
加密的專案:因為 Exchange 搜尋未編制使用 S/MIME 加密的訊息索引,In-Place 電子檔探索不會搜尋這些訊息。 如果您選取選項在搜尋結果中包含無法搜尋的項目,則會將這些 S/MIME 加密的郵件複製到探索信箱。
受 IRM 保護的專案:使用資訊版權管理 (IRM) 所保護的訊息會由 Exchange 搜尋編製索引,因此如果符合查詢參數,則會包含在搜尋結果中。 必須使用與 Mailbox Server 位於相同 Active Directory 樹系中的 Active Directory Rights Management Services (AD RMS) 叢集來保護郵件。 如需詳細資訊,請參閱資訊版權管理。
重要事項
Exchange 搜尋無法將受 IRM 保護的郵件建立索引時,則會因為解密失敗,或因為 IRM 停用,而使受保護的郵件不會新增至失敗項目清單中。 如果您選取選項在搜尋結果中包含無法搜尋的項目,則結果中可能不會包含無法解密的受 IRM 保護郵件。 >> 若要在搜尋中包含受 IRM 保護的訊息,您可以建立另一個搜尋來包含含有 .rpmsg 附件的訊息。 不論是否成功編製索引,您都可以使用查詢字串
attachment:rpmsg來搜尋指定信箱中所有受 IRM 保護的郵件。 在某個搜尋傳回符合搜尋條件的郵件時,包括已成功建立索引的受 IRM 保護郵件時,這可能會造成某些重複的搜尋結果。 搜尋不會傳回無法建立索引的受 IRM 保護郵件。 >> 針對所有受 IRM 保護的訊息執行第二次搜尋,也包含在第一個搜尋中成功編製索引並傳回的受 IRM 保護訊息。 此外,第二次搜尋傳回的受 IRM 保護郵件,可能不符合如第一次搜尋時所使用關鍵字等搜尋條件。重複資料刪除:將搜尋結果複製到探索信箱時,您可以啟用搜尋結果的刪除重複,只將唯一訊息的一個實例複製到探索信箱。 刪除重複項目功能具有下列好處:
由於複製的訊息數目變少而能降低儲存需求並減少探索信箱大小。
減少探索管理員、法律顧問或是其他需檢閱搜尋結果之人員的工作量。
降低 eDiscovery 成本 (視排除於搜尋結果之外的重複項目數目而定)。
預估、預覽並複製搜尋結果
完成就地 eDiscovery 搜尋後,您便能在 EAC 中的 [詳細資料] 窗格中檢視搜尋結果預估。 預估包括所傳回的項目數和那些項目的總大小。 您也能檢視關鍵字統計資料,該資料傳回的詳細資料,是關於每個用於搜尋查詢的關鍵字所傳回的項目數。 此資訊在確定查詢效率方面十分實用。 如果查詢太廣,有可能會傳回較大的資料集,進行檢視時可能會需要更多資源並因此提高 eDiscovery 成本。 如果查詢太狹隘,可能會大幅減少傳回的記錄數目,或完全未傳回記錄。 您能使用預估和關鍵字統計資料來微調查詢,使其達到您的需求。
注意事項
在 Exchange 2013 中,關鍵字統計資料也包括非關鍵字內容的統計資料,例如在搜尋查詢中所指定的日期、郵件類型和寄件者/收件者。
您也能預覽搜尋結果,以進一步確認傳回的郵件包含您所搜尋的內容,並視需求進一步微調查詢。 eDiscovery 搜尋預覽功能會顯示從每個搜尋的信箱所傳回的郵件數,以及搜尋所傳回的郵件總數。 很快就會產生預覽,不需要複製郵件至探索信箱。
當您滿意搜尋結果的數量與品質後,您便能將其複製到探索信箱中。 複製郵件時,您具有下列選項:
包含無法搜尋的專案:如需被視為無法搜尋之專案的類型詳細資訊,請參閱上一節中的電子檔探索搜尋考慮。
啟用重複數據刪除:如果在搜尋的一或多個信箱中找到多個實例,則刪除重複只會包含唯一記錄的單一實例,藉此減少數據集。
啟用完整記錄:根據預設,複製專案時只會啟用基本記錄。 您可以選取完整記錄功能來納入所有經由搜尋所傳回記錄的相關資訊。
複製完成時傳送郵件給我:In-Place 電子檔探索搜尋可能會傳回大量記錄。 複製傳回的郵件至探索信箱可能要花很長的時間。 使用此選項即可在複製程序完成時取得電子郵件通知。 為使透過 Outlook Web App 能更輕鬆地進行存取,此通知會包含已複製郵件所在的探索信箱之位置連結。
如需詳細資訊,請參閱 將 eDiscovery 搜尋結果複製到探索信箱。
將搜尋結果匯出至 PST 檔案
搜尋結果複製到探索信箱後,您可以將其匯出至 PST 檔案。
將搜尋結果匯出成 PST 檔案之後,您或其他使用者可以在 Outlook 中開啟這些結果,以檢閱或列印搜尋結果中傳回的訊息。 如需詳細資訊,請參閱將 eDiscovery 搜尋結果匯出至 PST 檔。
不同的搜尋結果
因為就地 eDiscovery 會對即時資料執行搜尋,內容來源相同並使用相同搜尋查詢的兩個搜尋可能會傳回不同的結果。 預估搜尋結果也可能與複製到探索信箱的實際搜尋結果不同。 即使在短時間內重新執行相同搜尋也有可能會發生此情況。 有幾個因素可能會影響搜尋結果的一致性:
不斷建立內送電子郵件的索引,因為 Exchange 搜尋持續地建立組織信箱資料庫和傳輸管線的編目與索引。
使用者或自動化程序將電子郵件刪除。
大量匯入需要一些時間建立索引的大量電子郵件。
如果您遇到相同搜尋但有不同結果的情形,請考慮將信箱設定為保留以保存內容、在離峰時間執行搜尋,並讓系統在匯入大量電子郵件之後有時間建立索引。
記錄就地 eDiscovery 搜尋
就地 eDiscovery 搜尋具有兩種記錄類型:
基本記錄:預設會針對所有 In-Place 電子檔探索搜尋啟用基本記錄。 記錄中包含了搜尋和執行者的相關資訊。 基本記錄所擷取的資訊會出現在電子郵件的內文中,此電子郵件會寄到儲存搜尋結果的信箱中。 此郵件位於建立用於儲存搜尋結果的資料夾中。
完整記錄:完整記錄包含搜尋所傳回之所有訊息的相關信息。 此資訊是以逗號分隔的值提供, (.csv) 附加至包含基本記錄資訊的電子郵件訊息的檔案。 搜尋的名稱會用於 .csv 檔名。 基於合規性或記錄保留目的,可能需要這項資訊。 若要啟用完整記錄,您必須在將搜尋結果複製到 EAC 中的探索信箱時,選取 [ 啟用完整記錄 ] 選項。 如果您使用Shell,請使用 LogLevel 參數指定完整記錄選項。
注意事項
使用命令介面建立或修改就地 eDiscovery 搜尋時,您也可以停用記錄。
複製搜尋結果至探索信箱時,除了包含了搜尋記錄,Exchange 也記錄了由 EAC 或命令介面用於建立、修改或移除就地 eDiscovery 搜尋的指令程式。 此資訊會記錄在管理稽核記錄項目中。 如需詳細資訊,請參閱系統管理員稽核記錄。
就地 eDiscovery 和就地保留
作為 eDiscovery 要求的一部分,您可能會被要求保留信箱內容,直到訴訟或調查已進行處分為止。 信箱使用者所刪除或更改的郵件或任何程序也必須一併保留。 在 Exchange 2013 中,透過使用就地保留完成這項動作。 如需詳細資訊,請參閱 就地保留和訴訟保留。
在 Exchange 2013 中,您可以使用新的就 地電子檔探索 & 保留 精靈來搜尋專案,並保留它們,只要電子檔探索或符合其他商務需求即可。 當就地 eDiscovery 和就地保留使用相同的搜尋時,請注意下列事項:
您無法使用此選項來搜尋所有信箱。 您必須選取該信箱或通訊群組。
如果就地 eDiscovery 搜尋也用於就地保留,則您無法移除就地 eDiscovery 搜尋。 您必須先在搜尋中停用 [就地保留] 選項,然後移除該搜尋。
保留用於就地 eDiscovery 的信箱
當員工離開組織時,停用或移除其信箱是常見的做法。 在您停用信箱之後,就會中斷與使用者帳戶的連線,但會保留在信箱裡一段時間,預設值為 30 天。 受管理的資料夾助理員不會處理中斷連線的信箱,且在這段期間,均不會套用任何保留原則。 您無法搜尋中斷連線的信箱之內容。 一旦達到信箱資料庫已設定之刪除的信箱保留期限時,便會將該信箱從信箱資料庫中清除。
在內部部署中,如果您的組織要求在已不在組織裡的員工之郵件上套用保留設定,或是如果您可能必須保留前任員工的信箱,用於目前的或未來的 eDiscovery 搜尋之用途,請勿停用或移除該信箱。 您可以採取下列步驟,以確保無法存取該信箱,且不會傳遞新的郵件到該信箱。
使用 Active Directory 使用者 & 電腦或其他 Active Directory 或帳戶布建工具或腳本,停用 Active Directory 用戶帳戶。 This prevents mailbox logon using the associated user account.
重要事項
擁有完整存取信箱權限的使用者仍然能夠存取該信箱。 若要避免他人存取,您必須從該信箱移除他們的完整存取權限。 如需如何移除信箱上完整存取信箱許可權的資訊,請參閱 管理收件者的許可權。
將會由該信箱使用者寄送或接收的郵件之郵件大小限制設定在非常低的值,例如 1 KB。 這能防止該信箱接收或傳送新郵件。 如需詳細資訊,請參閱設定信箱的郵件大小上限。
設定信箱的傳遞限制,如此無人能寄送郵件至該信箱。 如需詳細資訊,請參閱設定信箱的郵件傳遞限制。
重要事項
您必須採取以上步驟及任何其他由您組織所要求的帳戶管理程序,但卻不停用或移除信箱或移除關聯的使用者帳戶。
當您規劃為郵件保留管理 (MRM) 或就地 eDiscovery 而實施信箱保留時,您必須考慮員工的流動率。 長期保留前任員工的信箱將必須在信箱伺服器上具備額外的儲存空間,而且也會導致 Active Directory 資料庫的增加,因為這必須在相同期間內保留關聯的使用者帳戶。 此外,這可能也會要求變更您組織的帳戶佈建與管理程序。
就地 eDiscovery 限制和節流原則
在 Exchange 2013 中,電子檔探索 In-Place 可以取用的資源是使用節流原則來控制。
預設的節流原則包含下列節流參數。
| 參數 | 描述 | 預設值 |
|---|---|---|
| DiscoveryMaxConcurrency | 可在組織中同時執行的 In-Place 電子檔探索搜尋數目上限。 | 2 注意:如果在兩個先前的搜尋仍在執行時啟動電子檔探索搜尋,則第三個搜尋將不會排入佇列,而是會失敗。 您必須等到先前的其中一個搜尋完成,才能成功開始新的搜尋。 |
| DiscoveryMaxMailboxes | 可在單一就地 eDiscovery 搜尋中搜尋到的信箱數量上限。 | 5,000 |
| DiscoveryMaxStatsSearchMailboxes | 可在單就地電子文件探索搜尋中搜尋的信箱數目上限,仍可讓您檢視關鍵字統計資料。 | 100 注意:執行電子檔探索搜尋估計之後,您可以檢視關鍵詞統計數據。 這些統計資料會顯示搜尋查詢中使用的每個關鍵字所返回項目數的詳細資訊。 如果搜尋中包含超過 100 個來源信箱,如果您嘗試檢視關鍵詞統計數據,則會傳回錯誤。 |
| DiscoveryMaxKeywords | 可在單一就地 eDiscovery 搜尋中指定的關鍵字數量上限。 | 500 |
| DiscoveryMaxSearchResultsPageSize | 預覽就地 eDiscovery 搜尋結果時,可在單一頁面上顯示的項目數量上限。 | 200 |
| DiscoverySearchTimeoutPeriod | 就地 eDiscovery 搜尋在逾時之前會執行的分鐘數。 | 10 分鐘 |
在 Exchange Server 2013 中,您可以變更這些參數的預設值來配合您的需求,或建立其他節流原則,並將它們指派給具備委派探索管理權限的使用者。
就地 eDiscovery 文件
下列表格包含可協助您了解並管理就地 eDiscovery 的主題連結。
| 主題 | 描述 |
|---|---|
| 在 Exchange 中指派 eDiscovery 權限 | 了解如何授權讓使用者在 EAC 中使用就地 eDiscovery 來搜尋 Exchange 信箱。 將使用者新增至探索管理角色群組也可讓人員使用 SharePoint 2013 中的電子檔探索中心來搜尋 Exchange 信箱。 |
| 建立探索信箱 | 了解如何使用命令介面來建立探索信箱和指派存取權限。 |
| 建立就地電子文件探索搜尋 | 了解如何建立就地 eDiscovery 搜尋,以及如何估計和預覽 eDiscovery 搜尋結果。 |
| Exchange 搜尋編製索引的郵件內容 | 了解可以使用「就地 eDiscovery」搜尋哪些電子郵件訊息內容。 本主題提供每個內容的語法範例、AND 和 OR 之類搜尋運算子的相關資訊,以及其他搜尋查詢技巧 (例如使用雙引號 (" ") 和前置萬用字元) 的相關資訊。 |
| 開始或停止就地 eDiscovery 搜尋 | 了解如何開始、停止和重新開始 eDiscovery 搜尋。 |
| 修改就地 eDiscovery 搜尋 | 了解如何修改現有的 eDiscovery 搜尋。 |
| 將 eDiscovery 搜尋結果複製到探索信箱 | 了解如何將 eDiscovery 搜尋結果複製到探索信箱。 |
| 將 eDiscovery 搜尋結果匯出至 PST 檔 | 了解如何將 eDiscovery 搜尋結果匯出至 PST 檔案。 |
| 建立就地 eDiscovery 搜尋的自訂管理範圍 | 了解如何使用自訂的管理範圍來限制探索管理員可搜尋的信箱。 |
| 移除就地 eDiscovery 搜尋 | 了解如何刪除 eDiscovery 搜尋。 |
| 在 Exchange 2013 中搜尋並刪除郵件 | 瞭解如何使用 Search-Mailbox Cmdlet 來搜尋,然後刪除電子郵件訊息。 |
| 降低探索 Exchange 中信箱的大小 | 使用此程式可減少大於 50 GB 的探索信箱大小。 |
| 刪除並重新建立 Exchange 中預設的探索信箱 | 了解如何刪除預設的探索信箱、重新建立以及對其重新指派權限。 如果此信箱已超過 50 GB 的限制,而且您不需要搜尋結果,請使用此程式。 |
| 在 Exchange 2013 中刪除並重新建立預設探索信箱 | 了解如何重新建立探索系統信箱。 此工作僅適用於 Exchange 2013 組織。 |
| 在 Exchange 混合式部署中使用 OAuth 驗證來支援 eDiscovery | 了解 Exchange 混合部署中需要設定 OAuth 驗證的 eDiscovery 案例。 |
| Configure Exchange for SharePoint eDiscovery Center | 瞭解如何設定 Exchange 2013,讓您可以使用 SharePoint 2013 中的電子檔探索中心來搜尋 Exchange 信箱。 |
| Exchange eDiscovery 中無法搜尋的項目 | 了解無法由 Exchange 搜尋編製索引,且會在電子檔探索搜尋結果中以無法搜尋的專案傳回的信箱專案。 |
如需 Microsoft Purview、Office 365、Exchange 2013、SharePoint 2013 和 Lync 2013 中電子檔探索的詳細資訊,請參閱 開始使用 eDiscovery (Standard) 。