Create une recherche eDiscovery In-Place dans Exchange 2013

S’applique à : Exchange Server 2013

Utilisez la découverte électronique sur place pour rechercher tout le contenu de la boîte aux lettres, y compris les éléments supprimés et les versions d’origine des éléments modifiés pour les utilisateurs placés en attente sur place et en conservation pour litige.

Ce qu'il faut savoir avant de commencer

• Durée d’exécution estimée : 5 minutes

• Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez entrée « In-Place eDiscovery » dans la rubrique Stratégie de messagerie et autorisations de conformité.

• Pour créer des recherches de découverte électronique, vous devez disposer d'une adresse SMTP dans l'organisation dans laquelle vous créez les recherches.

• Le programme d’installation d’Exchange 2013 crée une boîte aux lettres de découverte appelée Discovery Recherche Mailbox pour copier les résultats de la recherche. Vous pouvez créer des boîtes aux lettres de découverte supplémentaires. Pour plus d'informations, consultez la rubrique Créer une boîte aux lettres de découverte.

• Lorsque vous créez une recherche In-Place eDiscovery, les messages retournés dans les résultats de recherche ne sont pas copiés automatiquement dans une boîte aux lettres de découverte. Une fois la recherche créée, vous pouvez utiliser le Centre d'administration Exchange (CAE) pour estimer et afficher un aperçu des résultats de la recherche, ou les copier dans une boîte aux lettres de découverte. Pour obtenir des informations détaillées, voir :

  • Utiliser le CAE pour obtenir une estimation et un aperçu des résultats de la recherche (dans la suite de cette rubrique)

  • Copier les résultats de la recherche de découverte automatique dans une boîte aux lettres de découverte

• Pour plus d’informations sur les raccourcis clavier qui peuvent s’appliquer aux procédures décrites dans cette rubrique, voir Raccourcis clavier pour le Centre d’administration Exchange dans Exchange 2013.

Conseil

Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez les forums de Exchange Server.

Utiliser le Centre d’administration Exchange pour créer une In-Place recherche eDiscovery

Comme expliqué précédemment, pour créer des recherches de découverte électronique, vous devez vous connecter à un compte d'utilisateur qui dispose d'une adresse SMTP dans votre organisation.

1. Accédez à Gestion de la conformité>Sur place eDiscovery & conservation.

2. Cliquez sur Nouvelle

3. Dans In-Place eDiscovery & Conservation, dans la page Nom et description , tapez un nom pour la recherche, ajoutez une description facultative, puis cliquez sur Suivant.

4. Dans la page Boîtes aux lettres , sélectionnez les boîtes aux lettres à rechercher. Vous pouvez rechercher dans toutes les boîtes aux lettres ou sélectionner celles qui sont spécifiques à la recherche.

   Importante

   Vous ne pouvez pas utiliser l’option Recherche toutes les boîtes aux lettres pour placer toutes les boîtes aux lettres en attente. Pour créer une archive permanente, vous devez sélectionner Spécifier les boîtes aux lettres à rechercher. Pour plus d'informations, consultez la rubrique Créer ou supprimer une conservation inaltérable.

5. Dans la page Requête de recherche, complétez les champs suivants :

   • Inclure tout le contenu des boîtes aux lettres utilisateur Activez cette option pour placer tout le contenu dans les boîtes aux lettres sélectionnées mises en attente. Si vous sélectionnez cette option, vous ne pouvez pas spécifier de critères de recherche supplémentaires.

   • Filtrer en fonction des critères Activez cette option pour spécifier les critères de recherche, y compris les mots clés, les dates de début et de fin, les adresses des expéditeurs et des destinataires, ainsi que les types de messages.

     

     Remarque

     Les champs De : et À/Cc/Cci : sont connectés par un opérateur OR dans la requête de recherche qui est créée lorsque vous exécutez la recherche. Cela signifie que tous les messages envoyés ou reçus par les utilisateurs spécifiés (et correspondant aux autres critères de recherche) sont inclus dans les résultats de la recherche. > Les dates sont connectées par un opérateur AND .

6. Dans la page Paramètres de mise en attente sur place, vous pouvez sélectionner la zone Placer le contenu correspondant à la requête de recherche dans les boîtes aux lettres sélectionnées en attente case activée, puis sélectionner l’une des options suivantes pour placer des éléments sur In-Place mise en attente :

   • Bloquer indéfiniment Activez cette option pour placer les articles retournés sur suspension indéfini. Les éléments en attente seront conservés jusqu'à ce que vous supprimiez la boîte aux lettres de la recherche ou que vous supprimiez la recherche.

   • Spécifier le nombre de jours pour mettre en attente les articles en fonction de leur date de réception Utilisez cette option pour bloquer les articles pendant une période donnée. Par exemple, vous pouvez utiliser cette option si votre organisation exige que tous les messages soient conservés pendant au moins sept ans. Vous pouvez utiliser une archive locale basée sur le temps parallèlement à une stratégie de rétention pour garantir que les éléments seront supprimés dans sept ans.

     Importante

     Quand des boîtes aux lettres ou des articles sont mis en archive permanente à des fins juridiques, il est généralement recommandé de bloquer les articles indéfiniment et de supprimer la suspension quand le jugement ou l'enquête est terminé.

7. Cliquez sur Terminer pour enregistrer la recherche et renvoyer une estimation de la taille totale et du nombre d'éléments qui seront renvoyés par la recherche d'après les critères que vous spécifiez. Les estimations sont affichées dans le volet d'informations. Cliquez sur Actualiser mettre à jour les informations affichées dans le volet d’informations.

Utiliser l’interpréteur de commandes pour créer une In-Place recherche eDiscovery

Cet exemple crée la In-Place recherche eDiscovery nommée Discovery-CaseId012 qui recherche des éléments contenant les mots clés Contoso et ProjectA et qui répondent également aux critères suivants :

• Date de début : 1/1/2009

• Date de fin : 31/12/2011

• Boîte aux lettres source : DG-Finance

• Boîte aux lettres cible : Boîte aux lettres de découverte

• Types de messages : Email

• Inclut des éléments qui ne peuvent pas faire l’objet d’une recherche dans les statistiques de recherche

• Niveau de journalisation : Complet

Importante

Si vous ne spécifiez pas de paramètres de recherche supplémentaires lors de l’exécution d’une recherche In-Place eDiscovery, tous les éléments des boîtes aux lettres sources spécifiées sont retournés dans les résultats. Si vous ne spécifiez pas de boîtes aux lettres à rechercher, toutes les boîtes aux lettres de votre organization Exchange font l’objet d’une recherche.

New-MailboxSearch "Discovery-CaseId012" -StartDate "01/01/2009" -EndDate "12/31/2011" -SourceMailboxes "DG-Finance" -TargetMailbox "Discovery Search Mailbox" -SearchQuery '"Contoso" AND "Project A"' -MessageTypes Email -IncludeUnsearchableItems -LogLevel Full

Remarque

Lorsque vous utilisez les paramètres StartDate et EndDate , vous devez utiliser le format de date MM/jj/aaaa, même si les paramètres de votre ordinateur local sont configurés pour utiliser un autre format de date, tel que jj/MM/aaaa. Par exemple, pour rechercher les messages envoyés entre le 1er avril 2013 et le 1er juillet 2013, vous devez utiliser le 01/04/2013 et le 01/07/2013 pour les dates de début et de fin.

Cet exemple crée une recherche de découverte électronique inaltérable appelée HRCase090116 qui recherche les messages électroniques envoyés par Alex Darrow à Sara Davis en 2015.

New-MailboxSearch "HRCase090116" -StartDate "01/01/2015" -EndDate "12/31/2015" -SourceMailboxes alexd,sarad -SearchQuery 'From:alexd@contoso.com AND To:sarad@contoso.com' -MessageTypes Email -TargetMailbox "Discovery Search Mailbox" -IncludeUnsearchableItems -LogLevel Full

Après avoir utilisé l’interpréteur de commandes pour créer une In-Place recherche eDiscovery, vous devez démarrer la recherche à l’aide de l’applet de commande Start-MailboxSearch pour copier les messages dans la boîte aux lettres de découverte spécifiée dans le paramètre TargetMailbox . Pour plus d'informations, consultez la rubrique Copier les résultats de la recherche de découverte automatique dans une boîte aux lettres de découverte.

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique New-MailboxSearch.

Utiliser le CAE pour obtenir une estimation et un aperçu des résultats de la recherche

Après avoir créé une In-Place recherche eDiscovery, vous pouvez utiliser le CENTRE d’administration Exchange pour obtenir une estimation et un aperçu des résultats de la recherche. Si vous avez créé une recherche à l’aide de l’applet de commande New-MailboxSearch , vous pouvez utiliser l’interpréteur de commandes pour démarrer la recherche afin d’obtenir une estimation des résultats de la recherche. Vous ne pouvez pas utiliser l’interpréteur de commandes pour afficher un aperçu des messages retournés dans les résultats de recherche.

1. Accédez à Gestion de la> conformitéSur place eDiscovery & conservation.

2. Dans l’affichage liste, sélectionnez la In-Place recherche eDiscovery, puis effectuez l’une des opérations suivantes :

   • Cliquez sur Recherche>Estimez les résultats de la recherche pour renvoyer une estimation de la taille totale et du nombre d’éléments qui seront retournés par la recherche en fonction des critères que vous avez spécifiés. Sélectionnez cette option pour relancer la recherche et obtenir une estimation.

     Recherche Estimations sont affichées dans le volet d’informations. Cliquez sur Actualiser mettre à jour les informations affichées dans le volet d’informations.

• Cliquez sur Aperçu des résultats de recherche dans le volet des détails pour prévisualiser les résultats une fois l'estimation de la recherche terminée. La sélection de cette option entraîne l'ouverture de la fenêtre Aperçu de la recherche de découverte. Tous les messages retournés par les boîtes aux lettres qui ont fait l’objet d’une recherche sont affichés.

  Remarque

  Les boîtes aux lettres qui ont fait l’objet d’une recherche sont répertoriées dans le volet droit de la fenêtre d’aperçu de la recherche eDiscovery . Pour chaque boîte aux lettres, le nombre d’éléments retournés et la taille totale de ces éléments sont également affichés. Tous les éléments renvoyés par la recherche sont répertoriés dans le volet de droite et peuvent être triés par date la plus récente ou la plus ancienne. Les éléments de chaque boîte aux lettres ne peuvent pas être affichés dans le volet droit en cliquant sur une boîte aux lettres dans le volet gauche. Pour afficher les éléments renvoyés par une boîte aux lettres spécifique, vous pouvez copier les résultats de la recherche et afficher les éléments dans la boîte aux lettres de découverte.

Utiliser l’interpréteur de commandes pour estimer les résultats de la recherche

Vous pouvez utiliser le commutateur EstimateOnly pour retourner uniquement une estimation des résultats de la recherche et ne pas copier les résultats dans une boîte aux lettres de découverte. Vous devez lancer une recherche d'estimation uniquement avec la cmdlet Start-MailboxSearch. Vous pouvez ensuite récupérer les résultats de la recherche estimés avec la cmdlet Get-MailboxSearch.

Par exemple, vous devez exécuter les commandes suivantes pour créer une recherche eDiscovery, puis afficher une estimation des résultats de la recherche :

New-MailboxSearch "FY13 Q2 Financial Results" -StartDate "04/01/2013" -EndDate "06/30/2013" -SourceMailboxes "DG-Finance" -SearchQuery '"Financial" AND "Fabrikam"' -EstimateOnly -IncludeKeywordStatistics

Start-MailboxSearch "FY13 Q2 Financial Results"

Get-MailboxSearch "FY13 Q2 Financial Results"

Pour afficher des informations spécifiques sur les résultats de la recherche estimés à partir de l'exemple précédent, vous pouvez exécuter la commande suivante :

Get-MailboxSearch "FY13 Q2 Financial Results" | Format-List Name,Status,LastRunBy,LastStartTime,LastEndTime,Sources,SearchQuery,ResultSizeEstimate,ResultNumberEstimate,Errors,KeywordHits

Plus d’informations sur les recherches eDiscovery

• Après avoir créé une recherche de découverte électronique, vous pouvez copier les résultats de cette recherche dans la boîte aux lettres de découverte et les exporter dans un fichier PST. Pour plus d'informations, voir :

  • Copier les résultats de la recherche de découverte automatique dans une boîte aux lettres de découverte

  • Exporter les résultats de la recherche électronique vers un fichier PST

• Une fois que vous avez exécuté une estimation de recherche de découverte électronique (cela inclut les mots-clés dans les critères de recherche), vous pouvez consulter les statistiques de mots-clés en cliquant sur Afficher les statistiques sur les mots clés dans le volet Détails de la recherche sélectionnée. Ces statistiques présentent des informations sur le nombre d'éléments renvoyés pour chaque mot-clé utilisé dans la requête de recherche. Toutefois, si plus de 100 boîtes aux lettres source sont incluses dans la recherche, une erreur sera renvoyée si vous tentez d'afficher les statistiques sur les mots-clés. Pour afficher les statistiques sur les mots-clés, vous ne pouvez pas inclure plus de 100 boîtes aux lettres source dans la recherche.