Erstellen einer In-Place eDiscovery-Suche in Exchange Server

Verwenden Sie eine In-Place eDiscovery-Suche, um nach Inhalten in allen Postfächern und öffentlichen Ordnern in Ihrem Exchange Server organization zu suchen. Dies umfasst das Durchsuchen endgültig gelöschter Elemente und der Originalversionen geänderter Elemente (im Ordner „Wiederherstellbare Elemente") für Benutzerpostfächer, für die das Beweissicherungsverfahren oder In-Situ-Speicher aktiviert wurden. Weitere Informationen zu diesen Suchvorgängen finden Sie unter In-Place eDiscovery in Exchange Server.

Bevor Sie beginnen:

• Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen dazu, welche Berechtigungen Sie benötigen, finden Sie unter dem Eintrag "In-Place eDiscovery" im Thema Messagingrichtlinie und Konformitätsberechtigungen in Exchange Server.

• Um eDiscovery-Suchen erstellen zu können, benötigen Sie eine SMTP-Adresse in der Organisation, in der Sie die Suchen erstellen. In einer Exchange-Hybrid-organization muss Ihr lokales Exchange-Postfach über ein entsprechendes E-Mail-Benutzerkonto in Ihrem Microsoft 365 oder Office 365 organization verfügen, z. B. das Mandantenadministratorkonto. Diesem Konto muss eine Exchange Online-Lizenz zugewiesen sein. Weitere Informationen zu den Microsoft 365- oder Office 365-Lizenzierungsanforderungen für direkte eDiscovery-Suchvorgänge finden Sie unter Exchange Online-Dienstbeschreibung.

• Exchange Server Setup erstellt ein Ermittlungspostfach namens Discovery Search Mailbox zum Kopieren von Suchergebnissen. Sie können zusätzliche Discoverypostfächer erstellen. Weitere Informationen finden Sie unter Erstellen eines Discoverypostfachs.

• Wenn Sie eine In-Situ-eDiscovery-Suche erstellen, werden die in den Suchergebnissen zurückgegebenen Ergebnisse nicht automatisch in ein Discoverypostfach kopiert. Nachdem Sie die Suche erstellt haben, können Sie die Suchergebnisse im Exchange-Verwaltungskonsole (EAC) schätzen, voranzeigen und in ein Discoverypostfach kopieren. Sie können die Suchergebnisse auch in einer PST-Datei exportieren. Weitere Informationen finden Sie unter:

  • Verwenden des EAC zum Schätzen von Suchergebnissen oder zur Anzeige in einer Vorschau(weiter unten in diesem Thema)

  • Kopieren der eDiscovery-Suchergebnisse in ein Discoverypostfach

  • Exportieren von eDiscovery-Suchergebnissen in eine PST-Datei

• Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.

Verwenden des EAC zum Erstellen einer Suche

Wie bereits erklärt, müssen Sie sich für das Erstellen einer eDiscovery-Suche bei einem Benutzerkonto anmelden, das in Ihrer Organisation über eine SMTP-Adresse verfügt.

1. Wechseln Sie zu Complianceverwaltung>In-situ eDiscovery & Halten, und klicken Sie dann auf Das Symbol "Neues.

2. Geben Sie im Fenster Neue In-Situ-eDiscovery und neuer In-Situ-Speicher auf der Seite Name und Beschreibung einen Namen für die Suche und optional eine Beschreibung ein, und klicken Sie dann auf Weiter.

3. Wählen Sie auf der Seite Postfächer und öffentliche Ordner die zu durchsuchenden Inhaltsquellen:

   • Um alle Postfächer in die Suche einzubeziehen, klicken Sie auf Alle Postfächer durchsuchen. Wenn Sie diese Option auswählen, können Sie keinen In-Situ-Speicher für die Suche aktivieren.

   • Um Postfächer aus der Suche auszuschließen (und nur öffentliche Ordner zu durchsuchen), klicken Sie auf Keine Postfächer durchsuchen.

   • Um bestimmte Postfächer in die Suche einzubeziehen, klicken Sie auf Postfächer für die Suche angeben, und fügen Sie dann die Postfächer hinzu, die Sie durchsuchen möchten.

   • Klicken Sie zum Einschließen öffentlicher Ordner in die Suche (oder zum Aufbewahren von öffentlichen Ordnern) auf Alle öffentlichen Ordner durchsuchen. Weitere Informationen zum Durchsuchen öffentlicher Ordner finden Sie unter Suchen und Platzieren eines Haltefelds für öffentliche Ordner mit In-Place eDiscovery.

   

4. Füllen Sie auf der Seite Suchabfrage die folgenden Felder aus:

   • Alle Inhalte einschließen: Wählen Sie diese Option aus, um alle Inhalte in die Suchergebnisse einzuschließen. Wenn Sie diese Option auswählen, können Sie keine weiteren Suchkriterien angeben.

   • Nach Kriterien filtern: Wählen Sie diese Option aus, um Suchkriterien anzugeben, einschließlich Schlüsselwörter, Start- und Enddatum, Absender- und Empfängeradressen sowie Nachrichtentypen. Weitere Informationen zu Suchabfragen finden Sie unter Nachrichteneigenschaften und Suchoperatoren für In-Place eDiscovery in Exchange Server.

     

     Hinweis

     Die Felder Von: und An/Cc/Bcc: sind durch einen OR-Operator in der Suchabfrage verbunden, die beim Ausführen der Suche erstellt wird. Das bedeutet, dass eine Nachricht, die von einem der angegebenen Benutzer gesendet oder empfangen wird(und den anderen Suchkriterien entspricht), in den Suchergebnissen enthalten ist. Die Datumsangaben werden mit einem UND-Operator verbunden.

5. Markieren Sie auf der Seite Einstellungen für den In-Situ-Speicher das Kontrollkästchen Inhalt, der mit der Suchanfrage übereinstimmt, in ausgewählten Quellen aufbewahren, und wählen Sie dann eine der folgenden Optionen aus, um Objekte im In-Situ-Speicher zu platzieren:

   • Unbegrenzt aufbewahren: Wählen Sie diese Option aus, um die zurückgegebenen Elemente auf unbestimmte Zeit zu halten. Aufbewahrte Elemente werden solange beibehalten, bis Sie die Inhaltsquelle aus der Suche entfernt oder die Suche entfernt haben.

   • Anzahl von Tagen angeben, die Elemente in Relation zu ihrem Empfangsdatum in einem Archiv gespeichert werden sollen Verwenden Sie diese Option, um Elemente für einen bestimmten Zeitraum beizubehalten. Diese Option können Sie beispielsweise verwenden, wenn es für Ihre Organisation erforderlich ist, dass alle Nachrichten mindestens sieben Jahre aufbewahrt werden. Sie können ein zeitbasiertes Compliance-Archiv zusammen mit einer Aufbewahrungsrichtlinie verwenden, damit sichergestellt ist, dass alle Elemente in sieben Jahren gelöscht werden.

     Wichtig

     Wenn Inhaltsquellen oder bestimmte Elemente aus rechtlichen Gründen in einem In-Situ-Speicher platziert werden, empfiehlt es sich im Allgemeinen, die Elemente dauerhaft beizubehalten oder die Archivierung zu beenden, wenn der Fall oder die Untersuchung beendet ist.

6. Klicken Sie auf Fertig stellen, um die Suche zu speichern und eine Schätzung der Gesamtgröße und -anzahl der Objekte anzuzeigen, die von der Suche auf der Grundlage der angegebenen Kriterien zurückgegeben werden. Schätzungen werden im Detailbereich angezeigt. Klicken Sie auf um die im Detailbereich angezeigten Informationen zu aktualisieren.

Verwenden der Exchange-Verwaltungsshell zum Erstellen einer Suche

Im Folgenden werden vier Beispiele für die Verwendung der Exchange-Verwaltungsshell zum Durchsuchen und Aufbewahren von Inhalten in Postfächern und öffentlichen Ordnern aufgeführt. Detaillierte Syntax- und Parameterinformationen zur Verwendung der Exchange-Verwaltungsshell zum Erstellen von eDiscovery-Suchen finden Sie unter New-MailboxSearch

Beispiel 1

In diesem Beispiel wird die Suche „Discovery-CaseId012“ nach Objekten mit den Schlüsselwörtern Contoso und ProjectA erstellt. Die Suchergebnisse werden in einem In-Situ-Speicher mit einer dauerhaften Aufbewahrung platziert. Bei der Suche werden auch die folgenden Kriterien berücksichtigt:

• Startdatum: 1/1/2013

• Enddatum: 31/12/2015

• Quellpostfach: DG-Finance

• Zielpostfach: Discoverysuchpostfach

• Nachrichtentypen: E-Mail

• Protokollstufe: Vollständig

Wichtig

Wenn Sie keine Suchabfrage, keinen Datumsbereich oder keinen anderen Nachrichtentyp angeben, werden alle Elemente in den Quellpostfächern oder öffentlichen Ordner in der Ergebnissen zurückgegeben. Die Ergebnisse sind mit denen bei Auswahl der Option Alle Inhalte umfassen auf der Seite Suchabfrage im EAC vergleichbar.

New-MailboxSearch "Discovery-CaseId012" -StartDate "01/01/2013" -EndDate "12/31/2015" -SourceMailboxes "DG-Finance" -TargetMailbox "Discovery Search Mailbox" -SearchQuery '"Contoso" AND "Project A"' -MessageTypes Email -IncludeUnsearchableItems -LogLevel Full -InPlaceHoldEnabled $true

Start-MailboxSearch "Discovery-CaseId012"

Nachdem Sie die Exchange-Verwaltungsshell zum Erstellen einer In-Place eDiscovery-Suche verwendet haben, müssen Sie die Suche mit dem Cmdlet Start-MailboxSearch starten, um Nachrichten in das im TargetMailbox-Parameter angegebene Ermittlungspostfach zu kopieren. Weitere Informationen finden Sie unter Kopieren der eDiscovery-Suchergebnisse in ein Discoverypostfach.

Hinweis

Wenn Sie die Parameter StartDate und EndDate verwenden, müssen Sie das Datumsformat mm/TT/jjjj verwenden, auch wenn ihre lokalen Computereinstellungen für die Verwendung eines anderen Datumsformats konfiguriert sind, z. B. tt/mm/jjjj. Um beispielsweise nach Nachrichten zu suchen, die zwischen dem 1. April 2015 und dem 1. Juli 2015 gesendet wurden, verwenden Sie den 04.01.2015 und den 07.01.2015 als Start- und Enddatum.

Beispiel 2

In diesem Beispiel wird die Compliance-eDiscovery-Suche mit dem Namen „HRCase090116“ erstellt, die nach E-Mail-Nachrichten sucht, die von Alex Darrow und Sara Davis im Jahr 2015 gesendet wurden.

New-MailboxSearch "HRCase090116" -StartDate "01/01/2015" -EndDate "12/31/2015" -SourceMailboxes alexd,sarad -SearchQuery 'From:alexd@contoso.com AND To:sarad@contoso.com' -MessageTypes Email -TargetMailbox "Discovery Search Mailbox" -IncludeUnsearchableItems -LogLevel Full

Start-MailboxSearch "HRCase090116"

Beispiel 3

In diesem Beispiel wird eine reine Schätzungssuche erstellt, die alle öffentlichen Ordner im organization nach Elementen durchsucht, die zwischen dem 1. Januar 2015 und dem 30. Juni 2015 gesendet wurden und die den Ausdruck "Patentverletzung" enthalten. Die Suche umfasst keine Postfächer. Das Cmdlet Start-MailboxSearch wird verwendet, um die reine Schätzungssuche zu starten.

New-MailboxSearch -Name "Northwind Subpoena-All PFs" -AllPublicFolderSources $true -AllSourceMailboxes $false -SearchQuery "patent infringement" -StartDate "01/01/2015" -EndDate "06/30/2015" -TargetMailbox "Discovery Search Mailbox" -EstimateOnly

Start-MailboxSearch "Northwind Subpoena-All PFs"

Beispiel 4

In diesem Beispiel werden alle Postfächer und öffentlichen Ordner nach allen Inhalten durchsucht, die die Wörter "Preisliste" und "Contoso" enthalten und nach dem 1. Januar 2015 gesendet wurden. Das Cmdlet Start-MailboxSearch wird verwendet, um die Suche auszuführen und die Suchergebnisse in das Ermittlungspostfach zu kopieren.

New-MailboxSearch -Name "Contoso Litigation" -AllSourceMailboxes $true -AllPublicFolderSources $true -SearchQuery '"price list" AND "contoso"' -StartDate "01/01/2015" -TargetMailbox "Discovery Search Mailbox"

Start-MailboxSearch "Contoso Litigation"

Verwenden des EAC zum Schätzen von Suchergebnissen oder zur Anzeige in einer Vorschau

Nach dem Erstellen einer In-Situ-eDiscovery-Suche können Sie das EAC verwenden, um Suchergebnisse zu schätzen oder in einer Vorschau anzuzeigen. Wenn Sie mithilfe des Cmdlets New-MailboxSearch eine neue Suche erstellt haben, können Sie die Exchange-Verwaltungsshell verwenden, um die Suche zu starten und eine Schätzung der Suchergebnisse zu erhalten.

1. Wechseln Sie zu Complianceverwaltung>In-Place eDiscovery & Halten.

2. Wählen Sie in dieser Listenansicht die Suche aus, und führen Sie dann eine der folgenden Aktionen aus:

   • Klicken Sie auf >Schätzen Sie die Suchergebnisse, um eine Schätzung der Gesamtgröße und Anzahl der Elemente zurückzugeben, die von der Suche basierend auf den von Ihnen angegebenen Kriterien zurückgegeben werden. Durch Auswahl dieser Option wird die Suche gestartet und eine Schätzung erstellt.

     Schätzungen der Suchergebnisse werden im Detailbereich angezeigt. Klicken Sie auf um die im Detailbereich angezeigten Informationen zu aktualisieren.

   • Klicken Sie im Detailbereich auf Vorschau auf Suchergebnisse anzeigen, um eine Vorschau auf die Suchergebnisse anzuzeigen, nachdem die Suchabschätzung abgeschlossen ist. Wenn Sie diese Option auswählen, wird das Fenster Vorschau der eDiscovery-Suche geöffnet. Alle Nachrichten, die von den durchsuchten Postfächern oder öffentlichen Ordnern zurückgegeben wurden, werden angezeigt.

     Hinweis

     Die Postfächer oder öffentliche Ordner, die durchsucht wurden, werden im Fenster Vorschau der eDiscovery-Suche im rechten Bereich angezeigt. Für jede Quelle wird außerdem die Anzahl der zurückgegebenen Elemente und die Gesamtgröße dieser Elemente angezeigt. Alle Elemente, die bei der Suche zurückgegeben wurden, werden im rechten Bereich angezeigt und können nach dem aktuellsten oder dem ältesten Datum sortiert werden. Die Elemente aller Postfächer oder öffentlicher Ordner können nicht im rechten Bereich angezeigt werden, wenn Sie auf eine Quelle im linken Bereich klicken. Um die Elemente anzuzeigen, die von einem bestimmten Postfach oder öffentlichen Ordner zurückgegeben wurden, können Sie die Suchergebnisse kopieren und die Elemente im Discovery-Postfach anzeigen.

   

Verwenden der Exchange-Verwaltungsshell zur Schätzung der Suchergebnisse

Sie können die Option EstimateOnly verwenden, um eine Schätzung der Suchergebnisse abzurufen und die Ergebnisse nicht in ein Ermittlungspostfach zu kopieren. Sie müssen mit dem Cmdlet Start-MailboxSearch eine Suche vom Typ "Nur schätzen" ausführen. Anschließend können Sie mithilfe des Cmdlets Get-MailboxSearch die geschätzten Suchergebnisse abrufen. In Suchergebnissen zurückgegebene Nachrichten können nicht mithilfe der Exchange-Verwaltungsshellvorangezeigt werden.

Sie würden z. B. die folgenden Befehle ausführen, um eine neue Suche zu erstellen und anschließend eine Schätzung der Suchergebnisse anzuzeigen:

New-MailboxSearch "FY15 Q2 Financial Results" -StartDate "04/01/2015" -EndDate "06/30/2015" -SourceMailboxes "DG-Finance" -SearchQuery '"Financial" AND "Fabrikam"' -EstimateOnly -IncludeKeywordStatistics

Start-MailboxSearch "FY15 Q2 Financial Results"

Get-MailboxSearch "FY15 Q2 Financial Results"

Um die Informationen der geschätzten Suchergebnisse anzuzeigen können Sie den folgenden Befehl ausführen:

Get-MailboxSearch "FY15 Q2 Financial Results" | Format-List Name,Status,LastRunBy,LastStartTime,LastEndTime,Sources,SearchQuery,ResultSizeEstimate,ResultNumberEstimate,Errors,KeywordHits

Weitere Informationen

• Nachdem Sie eine neue eDiscovery-Suche erstellt haben, können Sie die Suchergebnisse in das Discovery-Postfach kopieren und die Ergebnisse als PST-Datei speichern. Weitere Informationen finden Sie unter:

  • Kopieren der eDiscovery-Suchergebnisse in ein Discoverypostfach

  • Exportieren von eDiscovery-Suchergebnissen in eine PST-Datei

• Wenn Sie eine eDiscovery-Suchergebnisschätzung (mit Schlüsselwörtern in den Suchkriterien) durchgeführt haben, können Sie die Schlüsselwortstatistik anzeigen, indem Sie im Detailbereich für die ausgewählte Suche auf Schlüsselwortstatistik anzeigen klicken. Diese Statistik enthält detaillierte Informationen über die Anzahl der Elemente, die für jedes in der Suchanfrage verwendete Schlüsselwort zurückgegeben werden. Wenn allerdings mehr als 100 Quellpostfächer in die Suche einbezogen werden, wird beim Versuch, die Schlüsselwortstatistik anzuzeigen, eine Fehlermeldung zurückgegeben. Wenn Sie die Schlüsselwortstatistik anzeigen möchten, dürfen nicht mehr als 100 Postfächer in die Suche aufgenommen werden.

• Wenn Sie Get-MailboxSearch in Exchange Online verwenden, um Informationen zu einer eDiscovery-Suche abzurufen, müssen Sie den Namen einer Suche angeben, um eine vollständige Liste der Sucheigenschaften zurückzugeben, Get-MailboxSearch "Contoso Legal Case"z. B. . Wenn Sie das Cmdlet Get-MailboxSearch ohne jegliche Parameter ausführen, werden die folgenden Eigenschaften nicht zurückgegeben:

  • SourceMailboxes

  • Sources

  • PublicFolderSources

  • SearchQuery

  • ResultsLink

  • PreviewResultsLink

  • Errors

    Der Grund dafür ist, dass viele Ressourcen erforderlich sind, um diese Eigenschaften für alle eDiscovery-Suchvorgänge in Ihrer Organisation zurückzugeben.