在 Exchange Server 中建立 In-Place 電子檔探索搜尋

使用 In-Place 電子檔探索搜尋來搜尋 Exchange Server 組織中所有信箱和公用資料夾的內容。 這包括搜尋永久刪除的專案，以及在 [可復原的專案] 資料夾中 (的已修改專案原始版本，) 針對處於訴訟保留或 In-Place 保留的使用者。 如需這些搜尋的詳細資訊，請參閱 Exchange Server 中的就地電子檔探索。

開始之前

• 您必須已獲指派權限，才能執行此程序或這些程序。 To see what permissions you need, see the "In-Place eDiscovery" entry in the Messaging policy and compliance permissions in Exchange Server topic.

• 若要建立 eDiscovery 搜尋，您必須在目前建立搜尋的組織中有 SMTP 位址。 在 Exchange 混合式組織中，您的內部部署 Exchange 信箱必須在您的 Microsoft 365 或 Office 365 組織中擁有對應的郵件用戶帳戶，例如租用戶系統管理員帳戶，該帳戶必須獲指派 Exchange Online 授權。 如需就地電子檔探索搜尋的 Microsoft 365 或 Office 365 授權需求的詳細資訊，請參閱 Exchange Online 服務描述]。

• Exchange Server 安裝程式會建立名為探索搜尋信箱的探索信箱，以複製搜尋結果。 您可以建立額外的探索信箱。 如需詳細資訊，請參閱建立探索信箱。

• 當您建立搜尋時，搜尋結果中傳回的訊息不會自動複製到探索信箱。 建立搜尋之後，您可以使用 Exchange 系統管理中心 (EAC) 來預估和預覽搜尋結果，或將它們複製到探索信箱。 您也可以將搜尋結果匯出至 .pst 檔案。 如需詳細資訊，請參閱：

  • 使用EAC來預估或預覽 本主題稍後 (搜尋結果)

  • 將 eDiscovery 搜尋結果複製到探索信箱

  • 將 eDiscovery 搜尋結果匯出至 PST 檔

• 若要了解如何在內部部署 Exchange 組織中開啟 Exchange 管理命令介面，請參閱 Open the Exchange Management Shell。

使用 EAC 建立搜尋

如先前所述，若要建立 eDiscovery 搜尋，您必須登入在您的組織中有 SMTP 位址的使用者帳戶。

1. 移至 [合規性管理>][就地電子檔探索 & 保留]，然後按兩下 [新增。

2. 在 [ 新增 In-Place 電子檔探索 & 保留 ] 視窗的 [ 名稱和描述 ] 頁面上，輸入搜尋的名稱，新增選擇性描述，然後按 [ 下一步]。

3. 在 [ 信箱和公用資料夾 ] 頁面上，選取要搜尋的內容來源：

   • 若要在搜尋中包含所有信箱，請單擊 [搜尋所有信箱]。 如果您選取此選項，將無法啟用搜尋的 In-Place 保留。

   • 若要從搜尋 (排除信箱，並只搜尋公用資料夾) ，請按兩下 [ 不要搜尋任何信箱]。

   • 若要在搜尋中包含特定信箱，請按下 [ 指定要搜尋的信箱]，然後新增您要搜尋的信箱。

   • 若要在搜尋 (中包含公用資料夾，或將公用資料夾保留) ，請按兩下 [搜尋所有公用資料夾]。 如需搜尋公用資料夾的詳細資訊，請參閱 使用 In-Place 電子檔探索來搜尋並保留公用資料夾。

   

4. 在 [ 搜尋查詢 ] 頁面上，完成下列欄位：

   • 包含所有內容：選取此選項可在搜尋結果中包含所有內容。 如果選取這個選項，便無法指定其他搜尋準則。

   • 根據準則篩選：選取此選項可指定搜尋準則，包括關鍵詞、開始和結束日期、寄件人和收件者位址，以及訊息類型。 如需搜尋查詢的詳細資訊，請參閱 Exchange Server 中 In-Place 電子檔探索的訊息屬性和搜尋運算符。

     

     注意事項

     From ： 和 To/Cc/Bcc： 欄位是由您執行搜尋時所建立之搜尋查詢中的 OR 運算子所連接。 這表示任何指定的使用者所傳送或接收的任何訊息 (並符合搜尋結果中包含的其他搜尋準則) 。 日期是由 AND 運算子連接。

5. 在 [ 就地保留設定 ] 頁面上，您可以選取 [將 符合搜尋查詢的內容放在選取的來源保留 中] 複選框，然後選取下列其中一個選項，將專案放在 [保留] In-Place：

   • 無限期保留：選取此選項可將傳回的專案置於無限期保留狀態。 保留中的專案將會保留，直到您從搜尋中移除內容來源，或刪除搜尋為止。

   • 指定保留項目相對於其接收日期的天數 使用此選項可保留特定期間的專案。 例如，若您的組織要求所有郵件都必須至少保存七年時，即可使用此選項。 您可以使用 以時間為基礎的 In-Place 保留和保留原則，以確保專案會在七年內刪除。

     重要事項

     基於法律目的，將內容來源或特定專案放在 In-Place 保留時，通常建議無限期保留專案，並在案例或調查完成時移除保留。

6. 單擊 [完成 ] 以儲存搜尋，並根據您指定的準則，傳回搜尋將傳回之總大小和專案數的估計值。 估計結果會顯示在詳細資料窗格中。 按兩下 [重新整理 以更新詳細資料窗格中顯示的資訊。

使用 Exchange 管理命令介面建立搜尋

以下是使用 Exchange 管理命令介面來搜尋並保留信箱和公用資料夾中內容的四個範例。 如需使用 Exchange 管理命令介面建立電子檔探索搜尋的詳細語法和參數資訊，請參閱 New-MailboxSearch

範例 1

此範例會建立包含 Contoso 和 ProjectA 關鍵詞之專案的搜尋 Discovery-CaseId012。 搜尋結果會放在保留 In-Place，且保留持續時間不受限制。 搜尋也包含下列準則：

• 開始日期：2013 年 1 月 1 日

• 結束日期：2015/12/31

• 來源信箱：DG-Finance

• 目標信箱：探索搜尋信箱

• 郵件類型：Email

• 記錄層級：完整

重要事項

如果您未指定搜尋查詢、日期範圍或訊息類型，則會在結果中傳回來源信箱或公用資料夾中的所有專案。 結果類似於在 EAC 的 [搜尋查詢] 頁面上選取 [包含所有內容]。

New-MailboxSearch "Discovery-CaseId012" -StartDate "01/01/2013" -EndDate "12/31/2015" -SourceMailboxes "DG-Finance" -TargetMailbox "Discovery Search Mailbox" -SearchQuery '"Contoso" AND "Project A"' -MessageTypes Email -IncludeUnsearchableItems -LogLevel Full -InPlaceHoldEnabled $true

Start-MailboxSearch "Discovery-CaseId012"

使用 Exchange 管理命令介面建立 In-Place 電子檔探索搜尋之後，您必須使用 Start-MailboxSearch Cmdlet 來開始搜尋，以將訊息複製到 TargetMailbox 參數中指定的探索信箱。 如需詳細資訊，請參閱 將 eDiscovery 搜尋結果複製到探索信箱。

注意事項

使用 StartDate 和 EndDate 參數時，您必須使用 mm/dd/yyyy 的日期格式，即使您的本機電腦設定設定為使用不同的日期格式，例如 dd/mm/yyyy 也一樣。 例如，若要搜尋在 2015 年 4 月 1 日到 2015 年 7 月 1 日之間傳送的訊息，您會使用 04/01/2015 和 07/01/2015 作為開始和結束日期。

範例 2

此範例會建立名為 HRCase090116 的 In-Place 電子檔探索搜尋，以搜尋 Alex Darrow 在 2015 年傳送至SarAlture 的郵件。

New-MailboxSearch "HRCase090116" -StartDate "01/01/2015" -EndDate "12/31/2015" -SourceMailboxes alexd,sarad -SearchQuery 'From:alexd@contoso.com AND To:sarad@contoso.com' -MessageTypes Email -TargetMailbox "Discovery Search Mailbox" -IncludeUnsearchableItems -LogLevel Full

Start-MailboxSearch "HRCase090116"

範例 3

此範例會建立僅限估計值的搜尋，以搜尋組織中的所有公用資料夾，以尋找在 2015 年 1 月 1 日到 2015 年 6 月 30 日之間傳送的專案，以及包含「專利侵權」一詞的專案。 搜尋不包含任何信箱。 Start-MailboxSearch Cmdlet 可用來啟動僅限估計值的搜尋。

New-MailboxSearch -Name "Northwind Subpoena-All PFs" -AllPublicFolderSources $true -AllSourceMailboxes $false -SearchQuery "patent infringement" -StartDate "01/01/2015" -EndDate "06/30/2015" -TargetMailbox "Discovery Search Mailbox" -EstimateOnly

Start-MailboxSearch "Northwind Subpoena-All PFs"

範例 4

此範例會搜尋所有信箱和公用資料夾，以尋找包含 “price list” 和 “Contoso” 一詞以及在 2015 年 1 月 1 日之後傳送的任何內容。 Start-MailboxSearch Cmdlet 可用來執行搜尋，並將搜尋結果複製到探索信箱。

New-MailboxSearch -Name "Contoso Litigation" -AllSourceMailboxes $true -AllPublicFolderSources $true -SearchQuery '"price list" AND "contoso"' -StartDate "01/01/2015" -TargetMailbox "Discovery Search Mailbox"

Start-MailboxSearch "Contoso Litigation"

使用 EAC 預估或預覽搜尋結果

建立電子檔探索搜尋之後，您可以使用 EAC 來取得搜尋結果的預估和預覽。 如果您使用 New-MailboxSearch Cmdlet 建立新的搜尋，您可以使用 Exchange 管理命令介面來開始搜尋，以取得搜尋結果的估計值。

1. 移至合規性管理>就地電子檔探索 & 保留。

2. 在清單檢視中，選取搜尋，然後執行下列其中一項：

   • 按兩下 [搜尋搜尋>估計搜尋結果 ，以根據您指定的準則，傳回搜尋將傳回之總大小和項目數的估計值。 選取這個選項，即可重新開始搜尋並執行預估。

     搜尋估計值會顯示在詳細數據窗格中。 按兩下 [重新整理 以更新詳細資料窗格中顯示的資訊。

   • 按兩下詳細資料窗格中的 [預覽搜尋結果 ]，在搜尋估計完成之後預覽結果。 選取此選項會開啟 電子檔案探索搜尋預覽 視窗。 搜尋的信箱或公用資料夾傳回的所有郵件都會顯示。

     注意事項

     搜尋的信箱或公用資料夾會列在 電子檔案探索搜尋預覽 視窗的右窗格中。 針對每個來源，也會顯示傳回的項目數和這些專案的總大小。 搜尋傳回的所有項目都會列在右窗格中，並可依照最新或最舊的日期排序。 按兩下左窗格中的來源，就無法在右窗格中顯示來自每個信箱或公用資料夾的專案。 若要檢視從特定信箱或公用資料夾傳回的專案，您可以複製搜尋結果，並檢視探索信箱中的專案。

   

使用 Exchange 管理命令介面來估計搜尋結果

您可以使用 EstimateOnly 參數來取得搜尋結果的估計值，而不會將結果複製到探索信箱。 您必須使用 Start-MailboxSearch Cmdlet 來開始僅限估計的搜尋。 然後，您可以使用 Get-MailboxSearch Cmdlet 來擷取估計的搜尋結果。 您無法使用 Exchange 管理命令介面來預覽搜尋結果中傳回的訊息。

例如，您會執行下列命令來建立新的搜尋，然後顯示搜尋結果的估計值：

New-MailboxSearch "FY15 Q2 Financial Results" -StartDate "04/01/2015" -EndDate "06/30/2015" -SourceMailboxes "DG-Finance" -SearchQuery '"Financial" AND "Fabrikam"' -EstimateOnly -IncludeKeywordStatistics

Start-MailboxSearch "FY15 Q2 Financial Results"

Get-MailboxSearch "FY15 Q2 Financial Results"

若要顯示先前範例中有關預估搜尋結果的特定資訊，您可以執行下列命令：

Get-MailboxSearch "FY15 Q2 Financial Results" | Format-List Name,Status,LastRunBy,LastStartTime,LastEndTime,Sources,SearchQuery,ResultSizeEstimate,ResultNumberEstimate,Errors,KeywordHits

其他相關資訊

• 建立新的 eDiscovery 搜尋後，即可將搜尋結果複製到探索信箱並將這些搜尋結果複製到 PST 檔案。 如需詳細資訊，請參閱：

  • 將 eDiscovery 搜尋結果複製到探索信箱

  • 將 eDiscovery 搜尋結果匯出至 PST 檔

• 執行在搜尋準則) 中包含關鍵詞的電子檔探索搜尋估計 (之後，您可以按下所選搜尋詳細數據窗格中的 [ 檢視關鍵詞統計數據 ] 來檢視關鍵詞統計數據。 這些統計資料會顯示搜尋查詢中使用的每個關鍵字所返回項目數的詳細資訊。 不過，如果搜尋中包含超過100個來源信箱，如果您嘗試檢視關鍵詞統計數據，則會傳回錯誤。 若要檢視關鍵詞統計數據，搜尋中不能包含超過100個來源信箱。

• 如果您在 Exchange Online 中使用 Get-MailboxSearch 來擷取電子檔案探索搜尋的相關信息，則必須指定搜尋的名稱，以傳回搜尋屬性的完整清單，例如 Get-MailboxSearch "Contoso Legal Case"。 如果您在不使用任何參數的情況下執行 Get-MailboxSearch Cmdlet，則不會傳回下列屬性：

  • SourceMailboxes

  • Sources

  • PublicFolderSources

  • SearchQuery

  • ResultsLink

  • PreviewResultsLink

  • Errors

    原因是需要大量資源，才能針對組織中的所有電子檔探索搜尋傳回這些屬性。