In-Place eDiscovery dans Exchange Server
Si votre organization respecte les exigences de découverte légale (liées à la stratégie organisationnelle, à la conformité ou aux poursuites), In-Place eDiscovery dans Exchange Server peut vous aider à effectuer des recherches de découverte de contenu pertinent dans les boîtes aux lettres. Vous pouvez également utiliser In-Place eDiscovery dans un environnement hybride Exchange pour rechercher des boîtes aux lettres locales et informatiques dans la même recherche.
Importante
In-Place eDiscovery est une fonctionnalité puissante qui permet à un utilisateur disposant des autorisations appropriées d’accéder potentiellement à tous les enregistrements de messagerie stockés dans l’Exchange Server organization. Il est essentiel de contrôler et de surveiller les activités de découverte, notamment l'ajout de membres au groupe de rôles Gestion de la découverte, l'attribution du rôle de gestion Recherche de boîte aux lettres et l'attribution de l'autorisation d'accès aux boîtes aux lettres de découverte.
Fonctionnement de la découverte électronique locale
La découverte électronique locale utilise les index de contenu créés par le service de recherche Exchange. Le contrôle d'accès en fonction du rôle (RBAC) fournit le groupe de rôles Gestion de la détection pour déléguer les tâches de découverte au personnel non technique, sans qu'il soit nécessaire d'accorder des privilèges élevés susceptibles de permettre à un utilisateur d'apporter des modifications opérationnelles à la configuration Exchange. Le Centre d’administration Exchange (EAC) fournit une interface de recherche facile à utiliser pour le personnel non technique, tel que les responsables juridiques et de conformité, les gestionnaires d’enregistrements et les professionnels des ressources humaines.
Les utilisateurs autorisés peuvent effectuer une recherche de découverte électronique locale en sélectionnant les boîtes aux lettres, puis en spécifiant des critères de recherche tels que mots-clés, dates de début et de fin, adresses de l'expéditeur et du destinataire, et types de messages. Une fois la recherche terminée, les utilisateurs autorisés peuvent sélectionner l'une des actions suivantes :
Estimer les résultats de la recherche : cette option renvoie une estimation de la taille totale et du nombre d’éléments qui seront retournés par la recherche en fonction des critères que vous avez spécifiés.
Afficher un aperçu des résultats de la recherche : cette option fournit un aperçu des résultats. Les messages renvoyés depuis chaque boîte aux lettres faisant l'objet d'une recherche sont affichés.
Copier les résultats de la recherche : cette option vous permet de copier des messages dans une boîte aux lettres de découverte.
Exporter les résultats de la recherche : une fois les résultats de la recherche copiés dans une boîte aux lettres de découverte, vous pouvez les exporter vers un fichier PST.
La découverte électronique inaltérable utilise le langage KQL (Keyword Query Language). Les utilisateurs familiarisés avec KQL peuvent construire des requêtes de recherche puissantes pour rechercher des index de contenu. Pour plus d’informations sur KQL, consultez Informations de référence sur la syntaxe du langage de requête de mot clé.
In-Place autorisations eDiscovery
Pour que les utilisateurs autorisés effectuent In-Place recherches eDiscovery, vous devez les ajouter au groupe de rôles Gestion de la découverte . Ce groupe de rôles se compose de deux rôles de gestion : le rôle recherche de boîtes aux lettres, qui permet à un utilisateur d’effectuer une recherche In-Place eDiscovery, et le rôle de conservation légale, qui permet à un utilisateur de placer une boîte aux lettres sur In-Place conservation et conservation pour litige.
Par défaut, les autorisations pour exécuter des tâches relatives à la découverte électronique locale ne sont attribuées à aucun utilisateur ni administrateur Exchange. Les administrateurs Exchange membres du groupe de rôles Gestion de l'organisation peuvent ajouter des utilisateurs au groupe de rôles Gestion de la découverte et créer des groupes de rôles personnalisés pour restreindre l'étendue d'un gestionnaire de découverte à un sous-ensemble d'utilisateurs. Pour en savoir plus sur l’ajout d’utilisateurs au groupe de rôles Gestion de la découverte, consultez Attribuer des autorisations eDiscovery dans Exchange Server.
Importante
Si un utilisateur n’est pas ajouté au groupe de rôles Gestion de la découverte ou n’est pas affecté au rôle Recherche de boîtes aux lettres, l’interface utilisateur In-Place eDiscovery & Hold n’est pas affichée dans le Centre d’administration Exchange et les applets de commande In-Place eDiscovery (*MailboxSearch) ne sont pas disponibles dans Exchange Management Shell.
L'audit des modifications apportées au rôle RBAC, activé par défaut, permet de s'assurer que les enregistrements adéquats sont conservés de manière à suivre l'attribution du groupe de rôles Gestion de la découverte. Vous pouvez utiliser le rapport de groupe de rôles d'administrateur pour rechercher des modifications apportées aux groupes de rôles d'administrateur. Pour plus d'informations, consultez la rubrique Search the role group changes or administrator audit logs.
Utilisation de la découverte électronique locale
Les utilisateurs qui ont été ajoutés au groupe de rôles Gestion de la découverte peuvent effectuer des recherches de découverte électronique locale. Vous pouvez effectuer une recherche en utilisant l'interface web du CAE. Ainsi, l'utilisation de la découverte électronique locale est simplifiée pour le personnel non technique, tels que les responsables d'enregistrements, les responsables de la mise en conformité ou les spécialistes juridiques et des ressources humaines. Vous pouvez également utiliser Exchange Management Shell pour effectuer une recherche. Pour plus d’informations, consultez Créer une recherche eDiscovery In-Place dans Exchange Server
L'Assistant Découverte électronique locale et archive permanente dans le CAE vous permet de créer une recherche de découverte électronique locale et d'utiliser également l'archive permanente pour rechercher des résultats en attente. Quand vous créez une recherche de découverte électronique locale, un objet de recherche est créé dans la boîte aux lettres système de découverte électronique locale. This object can be manipulated to start, stop, modify, and remove the search. After you create the search, you can choose to get an estimate of search results, which includes keyword statistics that help you determine query effectiveness. You can also do a live preview of items returned in the search, allowing you to view message content, the number of messages returned from each source mailbox and the total number of messages. You can use this information to further fine-tune your query if required.
Une fois satisfait des résultats de la recherche, vous pouvez les copier dans une boîte aux lettres de découverte. Vous pouvez également utiliser le CAE ou Outlook pour exporter une boîte aux lettres de découverte ou certains contenus dans un fichier PST.
Quand vous créez une recherche de découverte électronique locale, vous devez spécifier les paramètres suivants :
Nom : le nom de la recherche est utilisé pour identifier la recherche. Quand vous copiez des résultats de la recherche dans une boîte aux lettres de découverte, un dossier est créé dans cette dernière à partir du nom et de l'horodateur de la recherche pour n'identifier que les résultats de la recherche dans une boîte aux lettres de découverte.
Sources : vous pouvez choisir de rechercher toutes les boîtes aux lettres de votre Exchange Server organization ou de spécifier les boîtes aux lettres à rechercher. Vous pouvez également choisir de rechercher tous les dossiers publics. Si vous souhaitez également utiliser la même recherche pour mettre des éléments en attente, vous devez spécifier les boîtes aux lettres. Vous pouvez également placer tous les dossiers publics sur In-Place conservation. Vous pouvez spécifier un groupe de distribution pour inclure les utilisateurs de boîte aux lettres qui sont membres de ce groupe. L’appartenance au groupe est calculée une fois lors de la création de la recherche et les modifications apportées à l’appartenance au groupe ne sont pas automatiquement répercutées dans la recherche. Les boîtes aux lettres principales et d’archive d’un utilisateur sont incluses dans la recherche.
Requête de recherche : vous pouvez inclure tout le contenu des boîtes aux lettres des boîtes aux lettres spécifiées ou utiliser une requête de recherche pour retourner des éléments plus pertinents pour le cas ou l’examen. Dans une requête de recherche, vous pouvez spécifier les paramètres suivants :
Mots clés : vous pouvez spécifier des mots clés et des expressions pour rechercher le contenu des messages. Vous pouvez également utiliser les opérateurs logiques AND, OR et NOT. En outre, Exchange Server prend également en charge l’opérateur NEAR, ce qui vous permet de rechercher un mot ou une expression à proximité d’un autre mot ou expression.
Pour rechercher une correspondance exacte d'une expression composée de plusieurs mots, vous devez inclure l'expression entre guillemets. Par exemple, la recherche de la phrase "plan et concurrence" renvoie des messages qui contiennent une correspondance exacte de la phrase, alors que la saisie de plan AND concurrence renvoie des messages qui contiennent les mots plan et concurrence indépendamment de leur emplacement.
Exchange Server prend également en charge la syntaxe KQL (Keyword Query Language) pour In-Place recherches eDiscovery. Pour plus d’informations sur KQL, consultez Informations de référence sur la syntaxe du langage de requête de mot clé.
Remarque
La découverte électronique locale ne prend pas en charge les expressions régulières.
Vous devez écrire les opérateurs logiques comme AND et OR en majuscules pour qu'ils soient considérés comme des opérateurs plutôt que des mots clés. Nous vous recommandons d'utiliser des parenthèses explicites dans toutes les requêtes combinant plusieurs opérateurs logiques (AND, OR, NOT, etc.) afin d'éviter des erreurs ou des interprétations incorrectes. Par exemple, si vous souhaitez rechercher des messages contenant soit MotA ou MotB ET soit MotC ou MotD, vous devez utiliser (MotA OR MotB) AND (MotC OR MotD).
Dates de début et de fin : par défaut, In-Place eDiscovery ne limite pas les recherches par une plage de dates. Pour rechercher des messages envoyés à une plage de dates spécifique, vous pouvez affiner la recherche en saisissant une date de début et une date de fin. Si vous n'indiquez aucune date de fin, la recherche renvoie les derniers résultats chaque fois que vous la relancez.
Expéditeurs et destinataires : pour affiner la recherche, vous pouvez spécifier les expéditeurs ou les destinataires des messages. Vous pouvez utiliser des adresses de messagerie, des noms complets ou le nom d'un domaine pour rechercher des éléments envoyés ou reçus par tous les utilisateurs de ce domaine. Par exemple, pour rechercher un message électronique envoyé à ou par Contoso, Ltd, spécifiez @contoso.com dans la zone De ou le champ À/Cc dans le CAE. Vous pouvez également spécifier @contoso.com dans les paramètres Expéditeurs ou Destinataires dans Exchange Management Shell
Types de messages : par défaut, tous les types de messages font l’objet d’une recherche. Vous pouvez restreindre la recherche en sélectionnant des types de messages spécifiques tels que messages électroniques, contacts, documents, journaux, réunions, notes et contenus Lync.
La capture d'écran suivante présente l'exemple d'une requête de recherche dans le CAE.
Quand vous utilisez la découverte électronique locale, considérez également ce qui suit :
Pièces jointes : In-Place eDiscovery recherche les pièces jointes prises en charge par recherche Exchange. Pour plus d'informations, consultez la rubrique Default Filters for Exchange Search. Dans un déploiement local, vous pouvez ajouter une prise en charge de types de fichiers supplémentaires en installant des filtres de recherche (également appelés iFilter) pour le type de fichiers sur les serveurs de boîtes aux lettres.
Éléments non accessibles : les éléments qui ne peuvent pas faire l’objet d’une recherche sont des éléments de boîte aux lettres qui ne peuvent pas être indexés par recherche Exchange. L'inexistence d'un filtre de recherche pour un fichier joint, une erreur de filtre ou des messages chiffrés sont des motifs de non indexation. Pour réussir la recherche de découverte électronique, votre organisation peut demander d'inclure de tels éléments pour vérification. Lors de la copie des résultats de la recherche vers une boîte aux lettres de découverte ou lors de l'exportation des résultats de la recherche vers un fichier PST, vous pouvez inclure des éléments impossibles à rechercher. Pour plus d'informations, voir Unsearchable Items in Exchange eDiscovery.
Éléments chiffrés : étant donné que les messages chiffrés à l’aide de S/MIME ne sont pas indexés par recherche Exchange, In-Place eDiscovery ne recherche pas ces messages. Si vous choisissez d'inclure les éléments impossibles à rechercher dans les résultats de la recherche, ces messages chiffrés S/MIME sont copiés dans la boîte aux lettres de découverte.
Déduplication : lors de la copie des résultats de recherche dans une boîte aux lettres de découverte ou de l’exportation des résultats de recherche vers un fichier PST, vous pouvez activer la déduplication des résultats de recherche pour copier une seule instance d’un message unique dans la boîte aux lettres de découverte. Les avantages de la déduplication sont les suivants :
Réduction des besoins en stockage et réduction de la taille de la boîte aux lettres de détection grâce à la réduction du nombre de messages copiés.
Réduction de la charge de travail des gestionnaires de découverte, conseil juridique ou autres impliqués dans la vérification des résultats de la recherche.
Réduction du coût de la découverte électronique, en fonction du nombre d'éléments dupliqués exclus des résultats de la recherche.
Éléments protégés par IRM : les messages protégés à l’aide de la gestion des droits relatifs à l’information (IRM) sont indexés par recherche Exchange et sont donc inclus dans les résultats de la recherche s’ils correspondent aux paramètres de requête. Les messages doivent être protégés en utilisant un cluster Active Directory Rights Management Services (AD RMS) dans la même forêt Active Directory que celle du serveur de boîtes aux lettres. Pour plus d’informations, consultez Gestion des droits relatifs à l’information dans Exchange Server.
Important:
Si le service de recherche Exchange ne parvient pas à indexer un message protégé par IRM, que ce soit en raison d'une erreur de déchiffrement ou de la désactivation de la fonctionnalité IRM, le message protégé n'est pas ajouté à la liste des éléments défaillants. Si vous choisissez d'inclure les éléments impossibles à rechercher dans les résultats de la recherche, il est possible que ces derniers n'incluent pas les messages protégés par IRM qui n'ont pas pu être déchiffrés.
Pour inclure les messages protégés par IRM dans une recherche, vous pouvez créer une autre recherche pour inclure des messages comportant des pièces jointes .rpmsg. Vous pouvez utiliser la chaîne
attachment:rpmsgde requête pour rechercher tous les messages protégés par IRM dans les boîtes aux lettres spécifiées, qu’ils soient correctement indexés ou non. Il peut en résulter une duplication des résultats de la recherche dans des scénarios où une recherche renvoie des messages correspondant aux critères de recherche, notamment des messages protégés par IRM qui ont été correctement indexés. La recherche ne renvoie pas les messages protégés par IRM qui n'ont pas pu être indexés.L'exécution d'une deuxième recherche pour tous les messages protégés inclut également les messages protégés par IRM ayant été correctement indexés et renvoyés lors de la première recherche. De plus, il est possible que les messages protégés par IRM renvoyés lors de la deuxième recherche ne correspondent pas aux critères de la recherche, tels que les mots clés utilisés pour la première recherche.
Estimation, aperçu et copie des résultats de la recherche
Une fois la recherche de découverte électronique locale terminée, vous pouvez afficher les estimations des résultats de recherche dans le volet d’informations du CAE. Les estimations incluent le nombre d'éléments renvoyés et la taille totale de ces éléments. Vous pouvez également afficher des statistiques sur les mots clés, qui renvoient les informations détaillées sur le nombre d'éléments renvoyés pour chaque mot clé utilisé dans la requête de recherche. Cette information est utile pour déterminer l'efficacité de la requête. Si la requête est trop large, l'ensemble de données renvoyé peut être bien plus important et demander la vérification de plus de ressources et l'augmentation des coûts de découverte électronique. Si la requête est trop étroite, le nombre d'enregistrements renvoyés peut être considérablement réduit voire nul. Vous pouvez utiliser les estimations et les statistiques sure les mots clés pour affiner la requête et répondre à vos besoins.
Remarque
Dans Exchange Server, les statistiques mot clé incluent également des statistiques pour les propriétés non mot clé telles que les dates, les types de messages et les expéditeurs/destinataires spécifiés dans une requête de recherche.
Il est également possible d'afficher les résultats de la recherche pour vous assurer que les messages renvoyés contiennent le contenu recherché et affiner la recherche si nécessaire. L'aperçu de la recherche de découverte électronique affiche le nombre de messages renvoyés à partir de chaque boîte aux lettres faisant l'objet d'une recherche et le nombre total de messages renvoyés par la recherche. L'aperçu est généré rapidement et n'implique pas de copier des messages dans une boîte aux lettres de découverte.
Lorsque la quantité et la qualité des résultats de la recherche vous conviennent, vous pouvez les copier dans une boîte aux lettres de découverte. Quand vous copiez des messages, les options suivantes s'offrent à vous :
Inclure des éléments qui ne peuvent pas faire l’objet d’une recherche : pour plus d’informations sur les types d’éléments qui sont considérés comme ne pouvant pas faire l’objet d’une recherche, consultez les considérations relatives à la recherche eDiscovery dans la section précédente.
Activer la déduplication : la déduplication réduit le jeu de données en n’incluant qu’une seule instance d’un enregistrement unique si plusieurs instances se trouvent dans une ou plusieurs boîtes aux lettres recherchées.
Activer la journalisation complète : par défaut, seule la journalisation de base est activée lors de la copie d’éléments. Vous pouvez sélectionner l'option de journalisation complète pour inclure des informations relatives à tous les enregistrements renvoyés par la recherche.
Envoyez-moi un courrier une fois la copie terminée : une recherche In-Place eDiscovery peut potentiellement renvoyer un grand nombre d’enregistrements. La copie des messages renvoyés vers une boîte aux lettres de découverte peut prendre du temps. Utilisez cette option pour obtenir une notification par courrier électronique à la fin du processus de copie. Pour faciliter l’accès à l’aide de Outlook sur le web, la notification inclut un lien vers l’emplacement dans une boîte aux lettres de découverte où les messages sont copiés.
Pour plus d'informations, voir Copier les résultats de la recherche de découverte automatique dans une boîte aux lettres de découverte.
Exportation des résultats de recherche dans un fichier PST
Une fois les résultats de la recherche copiés dans une boîte aux lettres de découverte, vous pouvez les exporter vers un fichier PST.
Une fois les résultats de la recherche vers un fichier PST, vous ou d'autres utilisateurs pouvez les ouvrir dans Outlook pour passer en revue ou imprimer des messages renvoyés dans les résultats de la recherche. Pour plus d'informations, consultez la rubrique Exporter les résultats de la recherche électronique vers un fichier PST.
Journalisation des recherches de découverte électronique locale
Deux types de journalisation sont disponibles pour In-Place recherches eDiscovery.
Journalisation de base : la journalisation de base est activée par défaut pour toutes les recherches eDiscovery In-Place. Elle inclut des informations sur la recherche et l'auteur de la recherche. Les informations enregistrées sur la journalisation de base s'affichent dans le corps du message électronique envoyé à la boîte aux lettres contenant les résultats de la recherche. Le message est situé dans le dossier créé pour stocker les résultats de la recherche.
Journalisation complète : la journalisation complète inclut des informations sur tous les messages retournés par la recherche. Ces informations sont enregistrées dans un fichier de valeurs séparées par des virgules (.csv) qui est joint au message électronique contenant les informations de journalisation de base. Le nom de la recherche est utilisé pour le fichier .csv. Ces informations peuvent être nécessaires à des fins de mise en conformité ou de conservation des enregistrements. Pour activer la journalisation complète, vous devez sélectionner l'option Activer la journalisation complète lorsque vous copiez les résultats de la recherche dans une boîte aux lettres de découverte du CAE. Si vous utilisez Exchange Management Shell, spécifiez l’option de journalisation complète à l’aide du paramètre LogLevel .
Remarque
Lorsque vous utilisez Exchange Management Shell pour créer ou modifier une recherche In-Place eDiscovery, vous pouvez également désactiver la journalisation.
Outre le journal de recherche inclus lors de la copie des résultats de la recherche dans une boîte aux lettres de découverte, Exchange journalise également les applets de commande utilisées par le CAE ou l’environnement de ligne de commande Exchange Management Shell pour créer, modifier ou supprimer In-Place recherches eDiscovery. Ces informations sont consignées dans les entrées de journal d'audit administrateur. Pour plus d’informations, consultez Journalisation de l’audit administrateur dans Exchange Server.
Boîtes aux lettres de détection
Une fois la recherche de découverte électronique locale créée, vous pouvez copier les résultats de la recherche dans une boîte aux lettres cible. Le CAE vous permet de sélectionner une boîte aux lettres de découverte comme boîte aux lettres cible. Une boîte aux lettres de découverte est un type spécial de boîte aux lettres offrant les avantages suivants :
Sélection plus simple et sécurisée de la boîte aux lettres cible : lorsque vous utilisez le Centre d’administration Exchange pour copier In-Place résultats de recherche eDiscovery, seules les boîtes aux lettres de découverte sont mises à disposition en tant que référentiel dans lequel stocker les résultats de recherche. Cela élimine le risque qu’un gestionnaire de découverte sélectionne accidentellement la boîte aux lettres d’un autre utilisateur ou une boîte aux lettres non sécurisée dans laquelle stocker des messages potentiellement sensibles.
Quota de stockage de boîte aux lettres volumineux : la boîte aux lettres cible doit être en mesure de stocker une grande quantité de données de message qui peuvent être retournées par une recherche eDiscovery In-Place. Par défaut, les boîtes aux lettres de découverte ont un quota de stockage de boîtes aux lettres de 50 Go. Ce quota de stockage ne peut pas être augmenté.
Plus sécurisé par défaut : comme tous les types de boîtes aux lettres, une boîte aux lettres de découverte a un compte d’utilisateur Active Directory associé. Cependant, ce compte est désactivé par défaut. Seuls les utilisateurs explicitement autorisés à accéder à une boîte aux lettres de découverte y ont accès. Les membres du groupe de rôles Gestion de la découverte reçoivent les autorisations d'accès total à la boîte aux lettres de découverte par défaut. Aucune autorisation d'accès aux boîtes aux lettres ne sera attribuée à un utilisateur pour les boîtes aux lettres de découverte supplémentaires que vous créez.
Email remise désactivée : les utilisateurs ne peuvent pas envoyer d’e-mail à une boîte aux lettres de découverte. La remise du courrier électronique aux boîtes aux lettres de découverte est prohibée au moyen de restrictions de remise. Cela préserve l'intégrité des résultats de la recherche copiés dans une boîte aux lettres de découverte. Par défaut, les boîtes aux lettres de découverte ne sont pas affichées dans la liste d’adresses globale de votre organization.
Exchange Server programme d’installation crée une boîte aux lettres de découverte avec le nom complet Boîte aux lettres de recherche de découverte. Vous pouvez utiliser Exchange Management Shell pour créer des boîtes aux lettres de découverte supplémentaires. Par défaut, aucune autorisation d'accès aux boîtes aux lettres n'est attribuée pour les boîtes aux lettres de découverte que vous créez. Vous pouvez attribuer les autorisations d'accès total à un gestionnaire de découverte pour lui permettre d'accéder aux messages copiés dans une boîte aux lettres de découverte. Pour plus d’informations, consultez Créer une boîte aux lettres de découverte .
Par ailleurs, la découverte électronique locale utilise une boîte aux lettres système dotée du nom complet SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} pour contenir les métadonnées de la découverte électronique locale. Les boîtes aux lettres système ne sont visibles ni dans le CAE, ni dans les listes d'adresses Exchange. Avant de supprimer une base de données de boîtes aux lettres où se trouve la boîte aux lettres système In-Place eDiscovery, vous devez déplacer la boîte aux lettres vers une autre base de données de boîtes aux lettres. Si la boîte aux lettres est supprimée ou endommagée, vos gestionnaires de découverte ne pourront pas exécuter des recherches de découverte électronique tant que la boîte aux lettres n'aura pas été recréée. Pour plus d’informations, consultez Recréer la boîte aux lettres du système de découverte.
Découverte électronique locale et archive permanente
Dans le cadre des demandes de découverte électronique, vous pouvez être amené à conserver le contenu de la boîte aux lettres jusqu'à ce qu'une décision de justice ou des données d'enquête soit rendues. Les messages supprimés ou modifiés par l'utilisateur de la boîte aux lettres ou tout autre processus doivent également être conservés. Dans Exchange Server, cela s’effectue à l’aide de In-Place Hold. Pour plus d’informations, consultez Conservation sur place et Conservation pour litige dans Exchange Server.
Vous pouvez utiliser l’Assistant Mise en attente de & eDiscovery sur place pour rechercher des éléments et les conserver tant qu’ils sont nécessaires pour eDiscovery ou pour répondre à d’autres exigences de l’entreprise. When using the same search for both In-Place eDiscovery and In-Place Hold, be aware of the following:
Vous ne pouvez pas utiliser l’option pour mettre en attente toutes les boîtes aux lettres de votre organization. Vous devez sélectionner les boîtes aux lettres ou groupes de distribution. Toutefois, vous pouvez mettre tous les fols publics dans votre organization en attente.
Vous ne pouvez pas supprimer une recherche de découverte électronique locale si la recherche est également utilisée pour l'archive permanente. Vous devez en premier lieu désactiver l'option Archive permanente dans une recherche, puis supprimer la recherche.
Conservation de boîtes aux lettres pour la découverte électronique locale
Quand un employé quitte une organisation, la boîte aux lettres est habituellement désactivée ou supprimée. Après avoir été désactivée, une boîte aux lettres est déconnectée du compte d'utilisateur, mais demeure dans la boîte aux lettres pendant une certaine période (30 jours par défaut). L'Assistant Dossier géré ne traite pas les boîtes aux lettres déconnectées et aucune stratégie de rétention n'est appliquée durant cette période. Vous ne pouvez pas rechercher le contenu d'une boîte aux lettres déconnectée. Quand la période de rétention de la boîte aux lettres supprimée configurée pour la base de données de boîtes aux lettres est écoulée, la boîte aux lettres est purgée de la base de données des boîtes aux lettres.
Si votre organization exige que les paramètres de rétention soient appliqués aux messages des employés qui ne sont plus dans le organization ou si vous pouvez avoir besoin de conserver la boîte aux lettres d’un ancien employé pour une recherche eDiscovery en cours ou future, ne désactivez pas ou supprimez la boîte aux lettres. Vous pouvez prendre les mesures suivantes pour garantir que la boîte aux lettres ne soit pas accessible et que de nouveaux messages n'y soient pas remis.
Désactivez le compte d’utilisateur Active Directory à l’aide d’Utilisateurs Active Directory & Ordinateurs ou d’autres outils ou scripts d’approvisionnement de compte Ou Active Directory. Ceci empêche la connexion à des boîtes aux lettres en utilisant le compte d'utilisateur associé.
Importante
Les utilisateurs disposant d'une autorisation d'accès total aux boîtes aux lettres conservent l'accès aux boîtes aux lettres. Pour empêcher l'accès des autres utilisateurs, vous devez supprimer leur autorisation d'accès total de la boîte aux lettres. Pour plus d’informations sur la suppression des autorisations de boîte aux lettres avec accès total sur une boîte aux lettres, consultez Gérer les autorisations pour les destinataires.
Définissez une très petite taille limite des messages pouvant être envoyés ou reçus par l'utilisateur de la boîte aux lettres, par exemple 1 Ko. Ceci empêche la remise de nouveaux messages en direction et en provenance de la boîte aux lettres. Pour plus d'informations, consultez la rubrique Configurer des limites de taille de messages pour une boîte aux lettres.
Configurez les restrictions de remise pour la boîte aux lettres de manière à ce que personne ne puisse lui envoyer de messages. Pour plus d'informations, consultez la rubrique Configurer les restrictions de remise de message pour une boîte aux lettres.
Importante
Vous devez prendre les mesures ci-dessous en liaison avec tous les autres processus de gestion de compte requis, mais sans désactiver ou supprimer la boîte aux lettres ou le compte d'utilisateur associé.
Quand vous prévoyez d'implémenter la rétention de boîtes aux lettres pour la gestion de la rétention (MRM) ou la découverte électronique locale des messages, vous devez tenir compte de la rotation des employés. La rétention à long terme de boîtes aux lettres d'anciens employés nécessitera un stockage supplémentaire sur les serveurs de boîtes aux lettres et entraînera également une augmentation de la base de données Active Directory, étant donné que le compte d'utilisateur associé devra être retenu pendant la même durée. Des modifications de l'attribution des privilèges d'accès aux comptes et des processus de gestion dans votre organisation seront en outre nécessaires.
Différences dans les résultats de recherche
Étant donné que In-Place eDiscovery effectue des recherches sur des données actives, il est possible que deux recherches des mêmes sources de contenu et qui utilisent la même requête de recherche puissent retourner des résultats différents. Les résultats de la recherche estimés peuvent également être différents des résultats de recherche réels qui sont copiés dans une boîte aux lettres de découverte. Cela peut se produire même lorsque vous relancez la même recherche dans un court laps de temps. Plusieurs facteurs peuvent affecter la cohérence des résultats de la recherche.
L'indexation continue des courriers électroniques entrants, car Exchange Search parcourt et indexe en permanence le pipeline de transport et les bases de données de boîtes aux lettres de votre organisation.
Suppression des courriers électroniques par les utilisateurs ou par des processus automatisés.
Importation en bloc de gros volumes de courriers électroniques, dont l'indexation prend du temps.
Si les résultats sont différents pour la même recherche, envisagez de placer les boîtes aux lettres en attente pour préserver le contenu, effectuez les recherches pendant les heures creuses et gardez à l'esprit que l'indexation prend du temps après l'importation de gros volumes de courriers électroniques.
Étendues de gestion personnalisées pour la découverte électronique locale
Vous pouvez utiliser une étendue de gestion personnalisée pour permettre à des personnes ou des groupes spécifiques d’utiliser In-Place eDiscovery pour rechercher un sous-ensemble de boîtes aux lettres dans votre Exchange Server organization. Par exemple, vous voudrez peut-être permettre à un gestionnaire de découverte de rechercher uniquement les boîtes aux lettres des utilisateurs dans un lieu ou un service spécifique. Pour ce faire, créez une étendue de gestion personnalisée qui utilise un filtre de destinataire personnalisé pour contrôler les boîtes aux lettres pouvant être recherchées. Les étendues de filtre de destinataire utilisent des filtres pour cibler des destinataires spécifiques en fonction de leur type ou d'autres porpriétés.
Pour la découverte électronique locale, la seule propriété sur une boîte aux lettres d'utilisateur que vous pouvez employer pour créer un filtre de destinataire pour une étendue personnalisée est l'appartenance à un groupe de distribution. Si vous utilisez d’autres propriétés, telles que CustomAttributeN, Department ou PostalCode, la recherche échoue lorsqu’elle est exécutée par un membre du groupe de rôles auquel l’étendue personnalisée est affectée. Pour plus d'informations, voir Création d'une étendue de gestion personnalisée pour les recherches de découverte électronique sur place.
In-Place eDiscovery et Recherche Exchange
La découverte électronique locale utilise les index de contenu créés par le service de recherche Exchange. Recherche Exchange a été réorganisé pour utiliser Microsoft Search Foundation, une plateforme de recherche riche qui offre des performances d’indexation et d’interrogation considérablement améliorées et des fonctionnalités de recherche améliorées. Étant donné que Microsoft Search Foundation est également utilisé par d’autres produits Office, notamment SharePoint Server, il offre une plus grande interopérabilité et une syntaxe de requête similaire pour ces produits.
Avec un simple moteur d'indexation de contenu, aucune ressource supplémentaire n'est utilisée pour parcourir et indexer les bases de données de boîtes aux lettres pour la découverte électronique locale lorsque les services informatiques reçoivent des demandes de découverte électronique.
Pour plus d’informations sur les formats de fichier indexés par recherche Exchange, consultez Formats de fichier indexés par recherche Exchange.
Découverte électronique dans un déploiement Exchange hybride
Dans un déploiement hybride, qui est un environnement contenant des boîtes aux lettres à la fois sur vos serveurs de boîtes aux lettres locaux et dans une organisation en nuage, vous pouvez effectuer des recherches de découverte électronique locale de vos boîtes aux lettres en nuage en utilisant le CAE de votre organisation locale. Si vous avez l'intention de copier des messages vers une boîte aux lettres de découverte, vous devez sélectionner une boîte aux lettres de découverte locale. Les messages de boîtes aux lettres en nuage qui sont retournés dans des résultats de recherches sont copiés vers la boîte aux lettres de découverte locale. Pour en savoir plus sur les déploiements hybrides, consultez Exchange Server déploiements hybrides.
Pour effectuer correctement des recherches eDiscovery intersite dans un Exchange Server organization hybride, vous devez configurer l’authentification OAuth (Open Authorization) entre vos organisations Exchange locales et Exchange Online afin de pouvoir utiliser In-Place eDiscovery pour rechercher des boîtes aux lettres locales et cloud. L'authentification OAuth est un protocole d'authentification S2S qui permet aux applications de s'authentifier mutuellement.
L'authentification OAuth prend en charge les scénarios de découverte électronique suivants dans un déploiement hybride Exchange :
Les recherches dans des boîtes aux lettres sur site utilisant l'archivage Exchange Online pour des boîtes aux lettres d'archivage dans le cloud.
Les recherches dans des boîtes aux lettres sur site et dans le cloud dans la même recherche de découverte électronique.
Pour plus d’informations sur les scénarios eDiscovery qui nécessitent la configuration de l’authentification OAuth dans un déploiement hybride Exchange, consultez Utilisation de l’authentification Oauth pour prendre en charge eDiscovery dans un déploiement hybride Exchange. Pour obtenir des instructions pas à pas sur la configuration de l’authentification OAuth pour prendre en charge eDiscovery, consultez Configurer l’authentification OAuth entre Exchange et Exchange Online Organisations.
Pour obtenir des instructions pas à pas sur la configuration de l’authentification OAuth pour prendre en charge eDiscovery, consultez Configurer l’authentification OAuth entre Exchange et Exchange Online Organisations.
Intégration à SharePoint Server
Exchange Server offre une intégration avec SharePoint Server, ce qui permet à un gestionnaire de découverte d’utiliser le Centre eDiscovery dans SharePoint Server pour effectuer les tâches suivantes :
Rechercher et conserver du contenu à partir d’un emplacement unique : un gestionnaire de découverte autorisé peut rechercher et conserver du contenu dans SharePoint et Exchange, y compris du contenu Lync tel que des conversations de messagerie instantanée et des documents de réunion partagés archivés dans des boîtes aux lettres Exchange.
Gestion de cas : le Centre eDiscovery utilise une approche de gestion des cas pour eDiscovery, ce qui vous permet de créer des cas et de rechercher et de conserver le contenu dans différents référentiels de contenu pour chaque cas.
Exporter les résultats de la recherche : un gestionnaire de découverte peut utiliser le Centre eDiscovery pour exporter les résultats de la recherche. Le contenu des boîtes aux lettres inclus dans les résultats de la recherche est exporté vers un fichier PST.
SharePoint Server utilise également Microsoft Search Foundation pour l’indexation et l’interrogation de contenu. Qu'un gestionnaire de découverte utilise le CAE ou le Centre de découverte électronique pour rechercher du contenu Exchange, le même contenu de boîte aux lettres est renvoyé.
Avant de pouvoir utiliser le Centre eDiscovery dans SharePoint Server pour rechercher des boîtes aux lettres Exchange, vous devez établir une relation de confiance entre les deux applications. Dans Exchange et SharePoint, cette opération s’effectue à l’aide de l’authentification OAuth. Pour plus d'informations, consultez la rubrique Configurer Exchange pour le Centre de découverte électronique SharePoint. Les recherches de découverte électronique exécutées à partir de SharePoint sont autorisées par Exchange au moyen du RBAC. Pour qu'un utilisateur SharePoint puisse exécuter une recherche de découverte électronique des boîtes aux lettres Exchange, il doit obtenir l'autorisation Gestion de la découverte déléguée dans Exchange. Pour pouvoir afficher un aperçu du contenu des boîtes aux lettres renvoyé dans une recherche de découverte électronique exécutée via le Centre de découverte électronique SharePoint, le gestionnaire de découverte doit avoir une boîte aux lettres dans la même organisation Exchange.
Limites et stratégies de limitation des découvertes électroniques locales
Dans Exchange Server, les ressources utilisées In-Place eDiscovery sont contrôlées à l’aide de stratégies de limitation.
La stratégie de limitation par défaut contient les paramètres suivants. Vous pouvez modifier les valeurs par défaut pour répondre aux exigences de votre organization en créant une stratégie de limitation avec une étendue Organisation et en la nomment « DiscoveryThrottlingPolicy » uniquement.
| Paramètre | Description | Valeur par défaut |
|---|---|---|
| DiscoveryMaxConcurrency | Nombre maximal de recherches In-Place eDiscovery qu’un utilisateur peut effectuer simultanément. | 2 |
| DiscoveryMaxMailboxes | Nombre maximal de boîtes aux lettres pouvant être recherchées dans une seule recherche de découverte électronique locale. Les boîtes aux lettres de dossier public sont également comptabilisées lors de l’évaluation de la limite de la boîte aux lettres source. | 10 0001 |
| DiscoveryMaxStatsSearchMailboxes | Nombre maximal de boîtes aux lettres consultables en une seule recherche de découverte électronique inaltérable et permettant d'afficher les statistiques sur les mots-clés. | 100 Remarque : Après avoir exécuté une estimation de recherche eDiscovery, vous pouvez afficher mot clé statistiques. Ces statistiques présentent des informations sur le nombre d'éléments renvoyés pour chaque mot-clé utilisé dans la requête de recherche. Si plus de 100 boîtes aux lettres source sont incluses dans la recherche, une erreur sera renvoyée si vous tentez d'afficher les statistiques sur les mots-clés. |
| DiscoveryMaxKeywords | Nombre maximal de mots clés pouvant être spécifiés dans une seule recherche de découverte électronique locale. | 500 |
| DiscoveryPreviewSearchResultsPageSize | Nombre maximal d'éléments affichés dans une seule page lors de la prévisualisation des résultats de recherche de découverte électronique locale. | 200 |
| DiscoverySearchTimeoutPeriod | Nombre de minutes pendant lequel une recherche de découverte électronique locale est exécutée avant son expiration. | 10 minutes |
1 Les boîtes aux lettres d’archivage sont comptabilisées par rapport à la limite de boîte aux lettres source. Cela signifie que vous pouvez rechercher un maximum de 5 000 boîtes aux lettres si la boîte aux lettres d’archivage correspondante est activée pour les 5 000 boîtes aux lettres.
Documentation relative à la découverte électronique locale
Le tableau suivant contient des liens vers Exchange Server rubriques qui vous aideront à découvrir et à gérer In-Place eDiscovery.
| Rubrique | Description |
|---|---|
| Attribuer des autorisations eDiscovery dans Exchange Server | Découvrez comment accorder à un utilisateur l’accès pour utiliser In-Place eDiscovery dans le CENTRE d’administration Exchange (et à l’aide des applets de commande correspondantes) pour rechercher des boîtes aux lettres Exchange. |
| Créer une recherche eDiscovery In-Place dans Exchange Server | Découvrez comment créer une recherche de découverte électronique locale, ainsi qu'estimer et afficher ses résultats. |
| Copier les résultats de la recherche de découverte automatique dans une boîte aux lettres de découverte | Découvrez comment copier les résultats d'une recherche de découverte électronique à une boîte aux lettres de découverte. |
| Exporter les résultats de la recherche électronique vers un fichier PST | Découvrez comment exporter les résultats d'une recherche de découverte électronique vers un fichier PST. |
| Propriétés de message et opérateurs de recherche pour In-Place eDiscovery dans Exchange Server | Découvrez les propriétés de message électronique qui peuvent faire l'objet d'une recherche à l'aide de la découverte électronique inaltérable. Cette rubrique fournit des exemples de syntaxe pour chaque propriété, des informations sur les opérateurs de recherche (tels que AND et OR), ainsi que des renseignements sur d'autres techniques de requête de recherche, telles que l'utilisation des guillemets (" ") et des caractères génériques de préfixe. |
| Rechercher et placer une conservation sur des dossiers publics à l’aide de la découverte électronique inaltérable | Découvrez comment utiliser In-Place eDiscovery pour rechercher et mettre en attente tous les dossiers publics de votre organization. |