在 Exchange Online 中 In-Place 保留和訴訟保留

  • 發行項

重要事項

  • 請參閱 Microsoft 365 安全性中心和 Exchange 安全性與合規性功能的 Microsoft Purview 合規性入口網站。 新的 Exchange 系統管理中心已不再提供它們。
  • 隨著我們繼續以不同方式投資來保留信箱內容,我們宣佈在 Exchange 系統管理中心 (EAC) 中停用 In-Place 保留 Exchange Online。 從 2020 年 7 月 1 日開始,您將無法建立新的 In-Place 保留。 但您仍然可以在 EAC 中管理 In-Place 保留,或使用 PowerShell 中的 Set-MailboxSearch Cmdlet 來 Exchange Online。 不過,從 2020 年 10 月 1 日開始,您將無法管理 In-Place 保留。 您只能在 EAC 中或使用 Remove-MailboxSearch Cmdlet 來移除它們。 仍然支援在 Exchange Server和 Exchange 混合式部署中使用 In-Place 保留。 您仍然可以將信箱置於訴訟保留。 如需在 Exchange Online 中淘汰 In-Place 保留的詳細資訊,請參閱淘汰舊版電子檔探索工具

如果合理預期到訴訟的可能性,組織就需要保留與案件相關的電子儲存資訊 (ESI),包括電子郵件。 了解案件的特定資料之前通常會有此預期心理,而且需要保留的資料範圍通常很廣。 組織可能需要為特定個人保留與特定文章或所有電子郵件相關的所有電子郵件。 取決於組織的電子化探索 (eDiscovery) 實務,可以採取下列措施來保留電子郵件:

  • 組織可能會要求使用者不要刪除任何郵件,並妥善保留電子郵件。 不過,使用者仍可能故意或不小心刪除電子郵件。

  • 例如通訊記錄管理 (MRM) 之類的自動刪除機制,可能會遭到擱置。 如此一來,大量的電子郵件會塞滿使用者信箱,進而影響使用者生產力。 即使擱置自動刪除機制,也無法防止使用者以手動方式刪除電子郵件。

  • 某些組織會將電子郵件複製或是移至封存中,確保它們不會遭到刪除、更動或竄改。 這會增加成本,因為需要手動將郵件複製或移動到封存,或是用來收集和儲存 Exchange 外部電子郵件的第三方產品。

如果組織無法保留電子郵件,會暴露在法律與財務風險之中,例如被要求檢查組織的記錄保留與搜索流程、錯誤的法律判斷、禁運或罰鍰等。

您可以使用 In-Place 保留或訴訟保留來完成下列目標:

  • 保留使用者信箱並永遠維持信箱項目不變。

  • 保留使用者刪除的信箱專案或自動刪除程式,例如 MRM。

  • 使用查詢型 In-Place 保留來搜尋並保留符合指定準則的專案。

  • 無限期或於指定期間內保留項目。

  • 針對不同案例或調查,對使用者進行多項保留。

  • 無需暫停 MRM,讓使用者不會察覺到被保留。

  • 啟用 In-Place 保留專案電子檔探索搜尋。

In-Place 保留案例

在舊版 Exchange 中,法務保存的概念是無限期地保留使用者的所有信箱數據,或直到移除保留為止。 在 Exchange Online 中,In-Place 保留包含可讓您指定下列參數的新模型:

  • 要保留的專案:您可以使用關鍵詞、寄件人和收件者、開始和結束日期等查詢參數來指定要保留的專案,也可以指定要保留的電子郵件訊息或行事曆專案等郵件類型。

  • 保留多久:您可以指定保留項目持續時間。

使用這個新模型,In-Place 保留可讓您建立細微的保留原則,以在下列案例中保留信箱專案:

  • 無限期保留:無限期保留案例類似於訴訟保留。 其目的是要保留信箱專案,讓您可以符合電子檔探索需求。 在訴訟或調查期間,永遠不會刪除專案。 未事先得知持續時間,因此未設定結束日期。 若要無限期保留所有郵件專案,您不會在建立 In-Place 保留時指定任何查詢參數或持續時間。

    重要事項

    將信箱放在無限期保留中,表示永遠不會從信箱中移除符合保留需求的郵件專案。 這可能會導致信箱超過 可復原的專案配額,這可能會使信箱無法使用。 Microsoft 建議您啟用信箱的封存,以及啟用自動展開封存功能。 如需詳細資訊,請參閱 保留和信箱配額

  • 查詢式保留:如果您的組織根據指定的查詢參數保留專案,您可以使用查詢型 In-Place 保留。 您可以指定查詢參數,例如關鍵詞、開始和結束日期、寄件人和收件者位址,以及訊息類型。 在建立查詢式就地保留之後,即可保留所有符合查詢參數的現有及未來信箱項目 (包括日後收到的郵件)。

    重要事項

    標示為無法搜尋的專案,通常是因為無法編製附件的索引,也會保留,因為無法判斷它們是否符合查詢參數。 如需部分編製索引專案的詳細資訊,請參閱 內容搜尋中部分編製索引的專案

  • 以時間為基礎的保留:In-Place 保留和訴訟保留都可讓您指定保留專案的持續時間。 持續時間自接收或建立信箱項目的日期開始計算。

    如果您的組織要求保留特定期間的所有信箱專案,例如 7 年,您可以建立以時間為基礎的保留,以便保留專案保留一段特定的時間。 例如,假設信箱位於以時間為基礎的 In-Place 保留,且保留期間設定為 365 天。 如果該信箱中的專案在收到日期后的 300 天后刪除,則會保留 65 天,再永久刪除。 您可以使用以時間為基礎的 In-Place 保留搭配保留原則,以確保專案會保留指定的持續時間,並在該期間之後永久移除。

您可以使用就地保留功能將使用者設定為多項保留狀態。 當使用者處於多項保留狀態時,會結合任何查詢式保留的搜尋查詢 (使用 OR 運算子)。 在此情況下,信箱上所有查詢式保留中關鍵字的數目上限是 500。 如果超過 500 個關鍵字,則信箱中的所有內容都會被保留 (不只是符合搜尋條件的內容)。 關鍵字總數減少到 500 或以下之前,會保留所有內容。

就地保留與訴訟暫止

訴訟保留會使用信箱的 LitigationHoldEnabled 屬性來保留信箱內容。 雖然 In-Place 保留會根據查詢參數和放置多個保留的能力來提供細微的保留功能,但訴訟保留只允許您保留所有專案。 您也可以指定將信箱置於訴訟保留時保留專案的持續期間。 持續時間自接收或建立信箱項目的日期開始計算。 如果未設定持續時間,則會無限期保留項目,或將項目保留到移除保留為止。

當信箱放在一個或多個 In-Place 保留和訴訟保留 (,而不會同時) 一段期間,所有專案都會無限期保留,或直到保留被移除為止。 如果您移除訴訟保留,且使用者仍被置於一或多個 In-Place 保留,則符合 In-Place 保留準則的專案會保留在保留設定中指定的期間內。

注意事項

當您將信箱放在 In-Place 保留或訴訟保留時,保留會放在主要信箱和封存信箱上。 如果您在 Exchange 混合式部署中保留內部部署主要信箱,如果啟用) ,雲端式封存信箱 (也會保留。

將信箱放在 In-Place 保留

已新增至探索管理角色型訪問控制 (RBAC) 角色群組,或獲指派合法保留和信箱搜尋管理角色的授權使用者,可以管理或移除 In-Place 保留的信箱。 您可以將工作委派給組織法務部門中的記錄管理員、合規性主管或律師,同時指派最低許可權。 若要深入瞭解如何指派探索管理角色群組,請參閱 在 Exchange 中指派電子檔探索許可權

您可以使用 Exchange 系統管理中心內的就地電子檔探索 & 保留精靈 (EAC) 或 Exchange Online PowerShell 中的 New-MailboxSearch 和相關 Cmdlet 來移除 In-Place 保留的信箱。 若要深入瞭解在 In-Place 保留上移除信箱,請參閱移除 In-Place 保留。

Many organizations require that users be informed when they're placed on hold. Additionally, when a mailbox is on hold, any retention policies applicable to the mailbox user don't need to be suspended. Because messages continue to be deleted as expected, users may not notice they're on hold. 如果您的組織要求通知使用者,您可以將通知訊息新增至信箱使用者的 RetentionComment 屬性,並使用 RetentionUrl 屬性連結至網頁以取得詳細資訊。 Outlook 2010 和更新版本會在 backstage 區域中顯示通知和 URL。 您必須使用 Exchange Online PowerShell 來新增和管理信箱的這些屬性。 如需詳細資訊,請參閱 Set-Mailbox

保留公用資料夾

在 Exchange Online 中,您可以使用 In-Place 保留來保留公用資料夾。 不支援對公用資料夾使用訴訟保留。 當您建立 In-Place 保留時,唯一的選項是保留組織中的所有公用資料夾。 結果是 In-Place 保留放在所有公用資料夾信箱上。

此外,當您將公用資料夾放在 In-Place 保留時,也會保留與公用資料夾階層同步處理程式相關的電子郵件訊息。 這可能會導致保留數千個階層同步處理相關電子郵件專案。 這些訊息可以填滿公用資料夾信箱上 [可復原的專案] 資料夾的儲存配額。 若要避免這種情況,您可以建立查詢型 In-Place 保留,並將下列 property:value 配對新增至搜尋查詢:

NOT(subject:HierarchySync*)

結果是,主旨行中包含 「HierarchySync」 片語的公用資料夾階層) 同步處理相關的任何訊息 (不會暫留。

保留和可復原的項目資料夾

In-Place 保留和訴訟保留會使用 [可復原的專案] 資料夾來保留專案。 [可復原的專案] 資料夾會取代在舊版 Exchange 中非正式稱為傾印機的功能。 [可復原的專案] 資料夾會從 Outlook 的預設檢視中隱藏,Outlook 網頁版 (先前稱為 [Outlook Web App) ],以及其他電子郵件用戶端。 若要深入瞭解 [可復原的專案] 資料夾,請參閱 Exchange Online 中的 [可復原的專案] 資料夾

當使用者刪除來自 [已刪除的項目] 資料夾以外之資料夾的郵件時,該郵件預設會移至 [已刪除的項目] 資料夾。 這稱為移動。 當使用者按 SHIFT 鍵和 DELETE 鍵) 或刪除 [刪除的郵件] 資料夾中的專案,虛刪除 (完成的專案時,訊息會移至 [可復原的專案] 資料夾,因而從使用者的檢視中消失。

[可復原的專案] 資料夾中的專案會保留為使用者信箱設定的已刪除專案保留期間。 根據預設,Exchange Online 信箱的已刪除專案保留期限為14天。 您也可以設定 [可復原的專案] 資料夾的記憶體配額。 這可防止組織因為 [可復原的專案] 資料夾快速成長,而遭受可能的阻斷服務 (DoS) 攻擊。 如果信箱未置於 [In-Place 保留] 或 [訴訟保留] 中,則會先從 [可復原的專案] 資料夾中永久清除專案,在超過 [可復原的專案] 警告配額時,先從 [可復原的專案] 資料夾中清除專案,或專案在資料夾中的持續時間比刪除的專案保留期間長。

[可復原的專案] 資料夾包含下列子資料夾,可用來將已刪除的專案儲存在各種網站中,並協助 In-Place 保留和訴訟保留:

  • 刪除 - 從 [刪除的郵件] 資料夾中移除的專案,或從其他資料夾虛刪除的專案會移至 [刪除] 子資料夾,而且在 Outlook 和 Outlook 網頁版 中使用 [復原刪除的專案] 功能時,使用者會看到這些專案。 根據預設,專案會位於此資料夾中,直到為信箱設定的已刪除專案保留期間到期為止。

  • 清除 - 當使用者在 Outlook 和 Outlook 網頁版 中使用 [復原刪除的專案] 工具從 [可復原的專案] 資料夾中刪除 (專案時,該專案會移至 [清除] 資料夾。 超過為信箱設定之已刪除專案保留期限的專案也會移至 [清除] 資料夾。 如果使用者使用「復原刪除的項目」工具,則不會看到此資料夾中的項目。 當受管理的資料夾小幫手處理信箱時,會從信箱清除 Purges 資料夾中的專案。 當您將信箱使用者置於訴訟保留時,Managed 資料夾助理不會清除此資料夾中的專案。

  • DiscoveryHold - 如果使用者置於 In-Place 保留,已刪除的專案會移至此資料夾。 當 Managed 資料夾助理處理信箱時,它會評估此資料夾中的訊息。 符合 In-Place 保留查詢的專案會保留到查詢中指定的保留期間。 如果未指定保留期間,則會無限期保留項目直到將該使用者撤除保留為止。

  • 版本 - 當使用者置於 In-Place 保留或訴訟保留時,信箱項目必須受到保護,以防止使用者或進程竄改或修改。 這是使用寫入時複製程式來完成。 當使用者或程序變更信箱項目的特定屬性時,會在變更完成之前在 [版本] 資料夾中儲存一份原始項目副本。 後續變更會重複此程式。 在 Versions 資料夾中擷取的專案也會編制索引,並在電子檔探索搜尋中傳回。 撤除保留後,受管理的資料夾助理員會移除 [版本] 資料夾中的副本。

  • SubstrateHolds - 如果 In-Place 保留、訴訟保留或 Microsoft 365 或 Office 365 Teams 聊天保留原則已啟用,如果郵件已修改或刪除,此子資料夾會包含 Teams 訊息的原始複本。 儲存修改前的項目複本。 終端使用者看不到此資料夾。

觸發寫入時複製的內容

項目類型 觸發寫入時複製的內容
訊息 (IPM。附註*)
張貼 (IPM。Post*) 		主旨
本文
附件
寄件者/收件者
傳送/接收日期
郵件與文章以外的項目 除以下內容外的任何可見內容變更:
項目位置 (當項目在資料夾之間移動)
項目狀態變更 (閱讀或未閱讀)
套用至某個項目的保留標記變更
預設資料夾 [草稿] 中的項目 無 (免除寫入時複製的 [草稿] 資料夾中的項目)

重要事項

當收到出席者的會議回應以及更新會議的追蹤資訊時,召集人信箱中的行事曆項目會停用寫入時複製。 對於行事曆項目和有設定提醒的項目,會停用 ReminderTime 及 ReminderSignalTime 內容的寫入時複製。 寫入時複製不會擷取對這些內容所做的變更。 寫入時複製不會擷取對 RSS 摘要所做的變更。

雖然使用者看不到 DiscoveryHold、Purges 和 Versions 資料夾,但 Exchange 搜尋會編制 [可復原的專案] 資料夾中的所有專案索引,並可使用 In-Place eDiscovery 進行探索。 In-Place 從 [保留] 或 [訴訟保留] 移除信箱用戶之後,受控資料夾小幫手會清除 DiscoveryHold、Purges 和 Versions 資料夾中的專案。

保留和信箱配額

[可復原的項目] 資料夾中的項目,不是依據使用者信箱配額來計算。 在 Exchange Online 中,[可復原的專案] 資料夾有自己的配額。 針對 Exchange,RecoverableItemsWarningQuotaRecoverableItemsQuota 信箱屬性的預設值分別設定為 20 GB 和 30 GB。 在 Exchange Online 中,當您將信箱置於訴訟保留或 In-Place 保留時,使用者主要信箱) 中 ([可復原的專案] 資料夾的配額會自動增加到 100 GB。 當保留信箱主要信箱中 [可復原的專案] 資料夾的儲存配額接近其限制時,您可以執行下列動作:

  • 啟用封存信箱並開啟自動展開封存 - 只要啟用封存信箱,然後在 Exchange Online 中開啟自動展開封存功能,即可為 [可復原的專案] 資料夾啟用無限制的儲存容量。 這會導致主要信箱中 [可復原的專案] 資料夾 110 GB,以及使用者封存中 [可復原的專案] 資料夾的無限制儲存容量。 請參閱如何:在合規性入口網站中啟用封存信箱啟用無限制封存 - 管理員 說明

    注意事項

    • 在您為接近超過 [可復原的專案] 資料夾儲存配額的信箱啟用封存之後,您可能會想要執行 [受管理的資料夾小幫手] 以手動觸發 助理 來處理信箱,以便將過期的專案移至封存信箱中的 [可復原的專案] 資料夾。 如需指示,請參閱 增加信箱保留的可復原專案配額中的步驟 4。

    • 請注意,使用者信箱中的其他專案可能會移至新的封存信箱。 請考慮告訴使用者,在您啟用封存信箱之後,可能會發生這種情況。

  • 建立保留信箱的自定義保留原則 - 除了在訴訟保留或 In-Place 保留時啟用封存信箱和自動展開封存信箱之外,您也可以在保留信箱的 Exchange Online 中建立自定義 MRM 保留原則。 這可讓您將保留原則套用至保留中的信箱,這與套用至未保留信箱的預設 MRM 原則不同。 這可讓您套用專為保留信箱而設計的保留標籤。 這包括為 [可復原的專案] 資料夾建立新的保留標記。

如需詳細資訊,請參閱增加信箱保留的 可復原專案配額

保留和電子郵件轉寄

用戶可以使用 Outlook 和 Outlook 網頁版 來設定其信箱的電子郵件轉寄。 電子郵件轉寄功能可讓使用者設定信箱,以將傳送至其信箱的電子郵件訊息轉寄至位於組織內或組織外的另一個信箱。 Email 可以設定轉寄,讓傳送至原始信箱的任何郵件不會複製到該信箱,而且只會傳送至轉寄位址。

如果已針對信箱設定電子郵件轉寄,且郵件未複製到原始信箱,如果信箱處於保留狀態,會發生什麼事? 信箱的保留設定會在傳遞程式期間進行檢查。 如果郵件符合信箱的保留條件,郵件的複本會儲存到 [可復原的項目] 資料夾中。 這表示您可以使用電子檔案探索工具來搜尋原始信箱,以尋找轉送到另一個信箱的郵件。

刪除保留狀態的信箱

當您針對已置於訴訟保留或 In-Place 保留的信箱刪除對應的 Microsoft 365 或 Office 365 帳戶時,信箱會轉換成非作用中的信箱,這是一種虛刪除的信箱。 非作用中信箱會在用戶離開組織后用來保留其信箱的內容。 非使用中信箱中的專案會在保留期間保留,而這些專案會在信箱變成非使用中之前放置在信箱上。 這可讓系統管理員、合規性人員或記錄管理員使用 Microsoft Purview 合規性入口網站 中的內容搜尋工具來存取和搜尋非使用中信箱的內容。 非作用中的信箱無法接收電子郵件,也不會顯示於貴組織的共用通訊錄或其他清單中。 如需詳細資訊,請參閱 非作用中信箱概觀