In-Place Descoberta eDiscovery no Exchange Server
Se sua organização adere aos requisitos de descoberta legal (relacionados a políticas organizacionais, conformidade ou ações judiciais), In-Place Descoberta eDiscovery no Exchange Server pode ajudá-lo a realizar pesquisas de descoberta para conteúdo relevante nas caixas de correio. Você também pode usar a Descoberta Eletrônica In-Loco em um ambiente híbrido do Exchange para pesquisar caixas de correio locais ou baseadas em nuvem na mesma pesquisa.
Importante
In-Place eDiscovery é um recurso poderoso que permite que um usuário com as permissões corretas obtenha acesso a todos os registros de mensagens armazenados em toda a organização Exchange Server. É importante controlar e monitorar as atividades de descoberta, incluindo a adição de membros ao grupo da função de Descoberta Eletrônica, a atribuição da função de gerenciamento da Pesquisa de Caixa de Correio e a atribuição da permissão de acesso da caixa de correio para descobrir caixas de correio.
Como a Descoberta Eletrônica In-loco funciona
A Descoberta Eletrônica In-loco usa índices de conteúdo criados pela Pesquisa do Exchange. O Controle de Acesso Baseado em Função (RBAC) permite que o grupo de função Gerenciamento de Descobertas delegue tarefas de descoberta a funcionários sem perfis técnicos, sem a necessidade de conceder privilégios elevados que possam permitir a um usuário realizar alterações operacionais na configuração do Exchange. O Exchange de administração (EAC) fornece uma interface de pesquisa fácil de usar para funcionários não técnicos, como agentes legais e de conformidade, gerentes de registros e profissionais de recursos humanos.
Usuários autorizados podem realizar uma pesquisa por Descoberta Eletrônica In-loco selecionando as caixas de correio e especificando os critérios de pesquisa, como palavras-chave, data de início e de término, endereços de remetentes e destinatários e tipos de mensagens. Após a pesquisa ser concluída, os usuários autorizados podem escolher uma das ações a seguir:
Estimar resultados da pesquisa - Essa opção retorna uma estimativa do tamanho total e do número de itens que serão retornados pela pesquisa com base nos critérios especificados.
Visualizar resultados da pesquisa - Essa opção fornece uma visualização dos resultados. As mensagens retornadas de cada caixa de correio pesquisada são exibidas.
Copiar resultados da pesquisa - Essa opção permite copiar mensagens para uma caixa de correio de descoberta.
Exportar resultados da pesquisa - Depois que os resultados da pesquisa são copiados para uma caixa de correio de descoberta, você pode exportá-los para um arquivo PST.
In-Place Descoberta Digital usa KQL (Keyword Query Language). Os usuários familiarizados com KQL podem construir consultas de pesquisa poderosas para pesquisar índices de conteúdo. Para obter mais informações sobre KQL, consulte Keyword Query Language sintaxe reference.
In-Place permissões de Descoberta eDiscovery
Para que os usuários autorizados realizem In-Place pesquisas de Descoberta eDiscovery, você precisa adicioná-las ao grupo de função Gerenciamento de Descoberta. Esse grupo de funções consiste em duas funções de gerenciamento: a Função de Pesquisa de Caixa de Correio, que permite que um usuário execute uma pesquisa de Descoberta In-Place e a Função de Responsabilidade Legal, que permite que um usuário coloque uma caixa de correio em uma In-Place de Espera e Contencioso.
Por padrão, as permissões para realizar tarefas relacionadas à Descoberta Eletrônica In-loco não são atribuídas a qualquer usuário ou administrador do Exchange. Os administradores do Exchange que forem membros do grupo de função de Gerenciamento da Organização podem adicionar usuários ao grupo de função de Gerenciamento de Descoberta e criar grupos de função personalizados para limitar o escopo de gerentes de descoberta a um subconjunto de usuários. Para saber mais sobre como adicionar usuários ao grupo de função Gerenciamento de Descoberta, consulte Atribuir permissões de Descoberta Exchange Server.
Importante
Se um usuário não for adicionado ao grupo de função Gerenciamento de Descoberta ou não tiver a função de Pesquisa de Caixa de Correio, a interface do usuário de Espera de Descoberta Eletrônica in -& loco não será exibida no EAC e os cmdlets In-Place Descoberta Eletrônica (*MailboxSearch) não estarão disponíveis no Shell de Gerenciamento do Exchange.
A auditoria de alterações de função RBAC, que está habilitada por padrão, garante que sejam mantidos registros adequados para rastrear a atribuição do grupo de função de Gerenciamento de Descoberta. Você pode usar o relatório de grupo de funções de administrador para pesquisar alterações feitas a grupos de funções de administrador. Para obter mais informações, consulte Pesquisar as alterações do grupo de função ou os logs de auditoria do administrador.
Usar a Descoberta eletrônica In-loco
Usuários que tenham sido adicionados ao grupo de funções de Gerenciamento de Descoberta podem realizar pesquisas de Descoberta Eletrônica In-loco. Você pode realizar uma pesquisa usando a interface baseada em web do EAC. Isso facilita para os usuários sem perfil técnico, como gerentes de registros, responsáveis pela conformidade ou profissionais jurídicos ou de RH, a utilização da Descoberta Eletrônica In-loco. Você também pode usar o Shell de Gerenciamento Exchange para executar uma pesquisa. Para obter mais informações, consulte Create an In-Place eDiscovery search in Exchange Server
O assistente de Retenção & Descoberta Eletrônica In-loco no EAC permite que você crie uma pesquisa de Descoberta Eletrônica In-loco e também use a Retenção In-loco para colocar resultados de pesquisa em retenção. Quando você cria uma pesquisa de Descoberta Eletrônica In-loco, um objeto de pesquisa é criado na caixa de correio de sistema da Descoberta Eletrônica In-loco. Esse objeto podem ser manipulado para iniciar, interromper, modificar e remover a pesquisa. Após criar a pesquisa, você pode obter uma estimativa dos resultados da pesquisa, o que inclui estatísticas de palavras-chave que o ajudam a determinar a eficácia da consulta. Você também pode fazer uma visualização imediata dos itens retornados na pesquisa, o que permite visualizar o conteúdo da mensagem, o número de mensagens retornados para cada caixa de correio de origem e o número total de mensagens. Você pode usar essas informações para aperfeiçoar ainda mais sua consulta, se necessário.
Quando estiver satisfeito com os resultados da pesquisa, você poderá copiá-las para uma caixa de correio de descoberta. Você também pode usar o EAC ou o Outlook para exportar uma caixa de correio de descoberta ou uma parte do seu conteúdo para um arquivo PST.
Ao criar uma pesquisa de Descoberta Eletrônica In-loco, você deve especificar os seguintes parâmetros:
Nome - O nome da pesquisa é usado para identificar a pesquisa. Quando você copia resultados de pesquisa para uma caixa de correio de descoberta, uma pasta é criada na caixa de correio de descoberta usando o nome da pesquisa e o carimbo de data/hora para identificar de maneira única os resultados de pesquisa em uma caixa de correio de descoberta.
Fontes - Você pode optar por pesquisar todas as caixas de correio em sua organização Exchange Server ou especificar as caixas de correio a ser pesquisadas. Você também pode optar por pesquisar todas as pastas públicas. Se também quiser usar a mesma pesquisa para colocar itens em retenção, é necessário especificar as caixas de correio. Você também pode colocar todas as pastas públicas em In-Place Hold. Você pode especificar um grupo de distribuição para incluir usuários de caixa de correio que sejam membros daquele grupo. A associação ao grupo é calculada uma vez ao criar a pesquisa e as alterações subsequentes à associação ao grupo não são refletidas automaticamente na pesquisa. As caixas de correio principal e de arquivo morto do usuário são incluídas na pesquisa.
Consulta de pesquisa - Você pode incluir todo o conteúdo da caixa de correio das caixas de correio especificadas ou usar uma consulta de pesquisa para retornar itens mais relevantes para o caso ou investigação. Você pode especificar os seguintes parâmetros em uma consulta de pesquisa:
Palavras-chave - Você pode especificar palavras-chave e frases para pesquisar conteúdo de mensagem. Você também pode usar os operadores lógicos AND, OR e NOT. Além disso, Exchange Server também dá suporte ao operador NEAR, permitindo que você pesquise uma palavra ou frase que esteja próxima a outra palavra ou frase.
Para pesquisar por uma correspondência exata de um frase com várias palavras, você deve colocar a frase entre aspas. A pesquisa pela frase "plano e competição", por exemplo, retorna mensagens que contenham correspondências exatas à frase, enquanto a pesquisa por plano AND competição retorna mensagens que contenham as palavras plano e competição em qualquer lugar da mensagem.
Exchange Server também oferece suporte à sintaxe KQL (Keyword Query Language) para In-Place pesquisas de Descoberta eDiscovery. Para obter mais informações sobre KQL, consulte Keyword Query Language sintaxe reference.
Observação
A Descoberta Eletrônica In-loco não oferece suporte a expressões regulares.
Operadores lógicos como AND e OR devem ser escritos em maiúsculas para serem tratados como operadores e não como palavras-chave. É recomendável explicitar os parênteses para qualquer consulta que misture diversos operadores lógicos, para evitar erros ou interpretações falhas. Por exemplo, para pesquisar por mensagens que contenham PalavraA ou PalavraB E a PalavraC ou a PalavraD, use (PalavraA OR PalavraB) AND (PalavraC OR PalavraD).
Datas de início e término - Por padrão, In-Place Descoberta eDiscovery não limita pesquisas por um intervalo de datas. Para pesquisar em mensagens enviadas em um intervalo de datas específico, restrinja a pesquisa especificando as datas de início e término. Se você não especificar uma data de término, a pesquisa retornará os resultados mais recentes cada vez que você reiniciá-la.
Destinatários e destinatários - Para restringir a pesquisa, você pode especificar os destinatários ou os destinatários das mensagens. Você pode usar endereços de email, nomes para exibição ou o nome de um domínio para pesquisar itens que todas as pessoas no domínio enviaram ou receberam. Por exemplo, para encontrar emails enviados por ou enviados a qualquer pessoa na Contoso, Ltd, @ especifique contoso.com no campo De ou Para/cc no EAC. Você também pode especificar contoso.com@ nos parâmetros Senders ou Recipients no Shell Exchange Gerenciamento
Tipos de mensagem - Por padrão, todos os tipos de mensagem são pesquisados. Você pode restringir a pesquisa selecionando tipos específicos de mensagens, como emails, contatos, documentos, diário, reuniões, notas e conteúdo do Lync.
A captura de tela a seguir mostra um exemplo de uma consulta de pesquisa no EAC.
Ao usar a Descoberta Eletrônica In-loco, considere também o seguinte:
Anexos - In-Place pesquisa de anexos de Descoberta Exchange Pesquisa. Para obter detalhes, consulte Default Filters for Exchange Search. Nas implantações locais, você pode adicionar mais tipos de arquivo instalando filtros de instalação (também conhecidos como iFilter) para o tipo de arquivo nos servidores de Caixa de Correio.
Itens não pesquisáveis - Itens não pesquisáveis são itens de caixa de correio que não podem ser indexados por Exchange Search. As razões pelas quais eles não podem ser indexados incluem a falta de um filtro de pesquisa instalado para um arquivo anexado, um erro do filtro e mensagens criptografadas. Para realizar uma pesquisa de Descoberta Eletrônica In-loco com êxito, pode ser necessário que sua organização inclua esses itens para revisão. Ao copiar resultados da pesquisa para uma caixa de correio de descoberta ou ao exportá-los para um arquivo PST, você poderá incluir itens não pesquisáveis. Para obter mais informações, consulte Itens não pesquisáveis na Descoberta eletrônica do Exchange.
Itens criptografados - Como as mensagens criptografadas usando S/MIME não são indexadas pelo Exchange Search, In-Place Descoberta eDiscovery não pesquisa essas mensagens. Se você selecionar a opção de incluir itens não pesquisáveis nos resultados da pesquisa, essas mensagens criptografadas com S/MIME serão copiadas para a caixa de correio de descoberta.
Des duplicação - Ao copiar resultados de pesquisa para uma caixa de correio de descoberta ou exportar resultados de pesquisa para um arquivo PST, você pode habilitar a des duplicação de resultados de pesquisa para copiar apenas uma instância de uma mensagem exclusiva para a caixa de correio de descoberta. A eliminação de duplicação tem os seguintes benefícios:
Menor necessidade de armazenamento e menor tamanho de caixa de correio de descoberta devido ao menor número de mensagens copiadas.
Redução da carga de trabalho dos gerentes de descoberta, assessores jurídicos ou outros envolvidos na revisão dos resultados da pesquisa.
Redução do custo de Descoberta Eletrônica, dependendo do número de itens duplicados excluídos dos resultados da pesquisa.
Itens protegidos por IRM - As mensagens protegidas usando o Gerenciamento de Direitos de Informação (IRM) são indexadas pelo Exchange Search e, portanto, incluídas nos resultados da pesquisa se corresponderem aos parâmetros de consulta. As mensagens devem ser protegidas usando um cluster de Serviços de Gerenciamento de Direitos Active Directory (AD RMS) na mesma floresta Active Directory que o servidor de Caixa de Correio. Para obter mais informações, consulte Gerenciamento de Direitos de Informação Exchange Server.
Importante:
Quando a Pesquisa do Exchange falha ao indexar uma mensagem protegida por IRM, devido a uma falha na criptografia ou porque a IRM está desabilitada, a mensagem desprotegida não é adicionada à lista de itens com falha. Se você selecionar a opção de incluir itens não pesquisáveis nos resultados de pesquisa, os resultados podem não incluir mensagens protegidas por IRM que não puderam ser descriptografadas.
Para incluir mensagens protegidas por IRM em uma pesquisa, você pode criar outra pesquisa que inclua mensagens com anexos .rpmsg. Você pode usar a cadeia de
attachment:rpmsgcaracteres de consulta para pesquisar todas as mensagens protegidas por IRM nas caixas de correio especificadas, indexadas com êxito ou não. Isso pode resultar na duplicação de resultados de pesquisa em situações nas quais uma pesquisa retorna mensagens que correspondam ao critério de pesquisa, incluindo mensagens protegidas por IRM que tenham sido indexadas com êxito. A pesquisa não retorna mensagens protegidas por IRM que não foram indexadas.A realização de uma segunda pesquisa para todas as mensagens protegidas por IRM também inclui mensagens protegidas por IRM que foram indexadas e retornadas com êxito na primeira pesquisa. Além disso, as mensagens protegidas por IRM retornadas pela segunda pesquisa podem não corresponder a critérios de pesquisa, como as palavras-chave, usados na primeira pesquisa.
Estimar, visualizar e copiar resultados de pesquisa
Após a finalização de uma pesquisa de Descoberta Eletrônica In-Loco, você pode exibir as estimativas do resultado da pesquisa no painel de Detalhes no EAC. A estimativa inclui o número de itens retornados e o tamanho total desses itens. Você também pode visualizar estatísticas de palavras-chave que exibem detalhes sobre o número de itens retornados por cada palavra-chave utilizada na consulta de pesquisa. Esta informação é útil para determinar a eficiência da consulta. Se a consulta for abrangente demais, ela irá retornar um conjunto de dados muito maior, o que pode exigir mais recursos para revisão e aumentar os custos da Descoberta Eletrônica. Se a consulta for restrita demais, ela pode reduzir significativamente o número de registros retornados ou não retornar registro nenhum. Você pode usar as estimativas e as estatísticas de palavra-chave para aperfeiçoar a consulta e atender seus requisitos.
Observação
No Exchange Server, as estatísticas de palavra-chave também incluem estatísticas para propriedades que não são palavras-chave, como datas, tipos de mensagem e destinatários/destinatários especificados em uma consulta de pesquisa.
Você pode também visualizar os resultados de pesquisa para garantir que as mensagens retornadas contém o conteúdo que você está procurando e ajustar a consulta se necessário. A Visualização da Pesquisa de Descoberta Eletrônica exibe o número de mensagens retornadas de cada caixa de correio pesquisada e o número total de mensagens retornadas para pesquisa. A visualização é gerada rapidamente, sem exigir que você copie as mensagens para uma caixa de correio de descoberta.
Após você estar satisfeito com a quantidade e a qualidade dos resultados da pesquisa, você pode copiá-los para uma caixa de correio de descoberta. Ao copiar mensagens, você tem as seguintes opções:
Incluir itens não pesquisáveis - Para obter detalhes sobre os tipos de itens que são considerados não pesquisáveis, consulte as considerações de pesquisa de Descoberta e Na seção anterior.
Habilitar a des duplicação - A des duplicação reduz o conjuntos de dados incluindo apenas uma única instância de um registro exclusivo se várias instâncias são encontradas em uma ou mais caixas de correio pesquisadas.
Habilitar o log completo - Por padrão, somente o log básico é habilitado ao copiar itens. Você pode selecionar o log completo para incluir informações sobre todos os registros retornados pela pesquisa.
Envie-me emails quando a cópia for concluída - Uma pesquisa In-Place descoberta ediscovery pode potencialmente retornar um grande número de registros. Copiar as mensagens retornadas para uma caixa de correio de descoberta pode levar muito tempo. Use essa opção para obter uma notificação de email quando o processo de cópia for concluído. Para facilitar o acesso usando Outlook na Web, a notificação inclui um link para o local em uma caixa de correio de descoberta onde as mensagens são copiadas.
Para obter mais informações, consulte Copiar os resultados de pesquisa de descoberta eletrônica para uma caixa de correio de descoberta.
Exportar resultados da pesquisa para um arquivo PST
Depois que os resultados da pesquisa são copiados para uma caixa de correio de descoberta, você poderá exportá-los para um arquivo PST.
Após os resultados da pesquisa serem exportados para um arquivo PST, você ou outros usuários podem abri-los no Outlook para analisar ou imprimir mensagens retornadas nos resultados da pesquisa. Para obter mais informações, consulte Exportar resultados de pesquisa de Descoberta Eletrônica para um arquivo PST.
Registro em log para pesquisas de Descoberta Eletrônica In-loco
Há dois tipos de registro em log disponíveis para pesquisas In-Place descobertas de eDiscovery.
Log básico - O log básico é habilitado por padrão para todas as In-Place de Descoberta eDiscovery. Ele inclui informações sobre a pesquisa e sobre quem a realizou. As informações capturadas pelo log básico são exibidas no corpo da mensagem de email que é enviada à caixa de correio onde os resultados da pesquisa são armazenados. A mensagem está localizada na pasta criada para armazenar os resultados da pesquisa.
Log completo - O log completo inclui informações sobre todas as mensagens retornadas pela pesquisa. Essas informações são fornecidas em um arquivo de valores separados por vírgulas (.csv) anexado à mensagem de email que contém as informações do log básico. O nome da pesquisa é usado no nome do arquivo .csv. Essa informação pode ser necessária para fins de manutenção de registros ou conformidade. Para habilitar o log completo, você deve selecionar a opção Habilitar log completo ao copiar os resultados da pesquisa para uma caixa de correio de descoberta no EAC. Se você estiver usando o Shell de Gerenciamento Exchange, especifique a opção de log completo usando o parâmetro LogLevel.
Observação
Ao usar o Shell de Gerenciamento Exchange para criar ou modificar uma pesquisa de Descoberta In-Place eDiscovery, você também pode desabilitar o registro em log.
Além do log de pesquisa incluído ao copiar resultados de pesquisa para uma caixa de correio de descoberta, o Exchange também registra cmdlets usados pelo EAC ou pelo Shell de Gerenciamento do Exchange para criar, modificar ou remover pesquisas de Descoberta Eletrônica In-Place. Esta informação é registrada nas entradas de log de auditoria do administrador. Para obter detalhes, consulte Log de auditoria do administrador Exchange Server.
Caixas de correio de descoberta
Após criar uma pesquisa de Descoberta Eletrônica In-loco, você pode copiar os resultados da pesquisa para uma caixa de correio de destino. O EAC permite que você selecione uma caixa de correio de descoberta como a caixa de correio de destino. Uma caixa de correio de descoberta é um tipo especial de caixa de correio que fornece as seguintes funcionalidades:
Seleção de caixa de correio de destino mais fácil e segura - Quando você usa o EAC para copiar In-Place de pesquisa de Descoberta In-Place, somente as caixas de correio de descoberta são disponibilizadas como um repositório no qual os resultados da pesquisa são armazenar. Isso elimina a possibilidade de um gerente de descoberta selecionar acidentalmente a caixa de correio de outro usuário ou uma caixa de correio não segura na qual armazenar mensagens potencialmente confidenciais.
Cota de armazenamento de caixa de correio grande - A caixa de correio de destino deve ser capaz de armazenar uma grande quantidade de dados de mensagem que podem ser retornados por uma pesquisa In-Place Descoberta Virtual. Por padrão, as caixas de correio de descoberta têm uma cota de armazenamento de caixa de correio de 50 GB. Essa cota de armazenamento não pode ser aumentada.
Mais seguro por padrão - Como todos os tipos de caixa de correio, uma caixa de correio de descoberta tem uma conta de usuário do Active Directory associada. Porém, essa conta é desabilitada por padrão. Apenas usuários explicitamente autorizados a acessar uma caixa de correio de descoberta terão acesso a ela. São atribuídas aos membros do grupo de função Gerenciamento de Descoberta permissões de Acesso Total à caixa de correio de descoberta padrão. Quaisquer caixas de correio de descoberta adicionais que você criar não terão suas permissões de acesso a caixa de correio atribuídas a nenhum usuário.
Entrega de email desabilitada - Os usuários não podem enviar emails para uma caixa de correio de descoberta. A entrega de email às caixas de correio de descoberta é proibida por meio de restrições de entrega. Isso preserva a integridade dos resultados de pesquisa copiados para uma caixa de correio de descoberta. Por padrão, as caixas de correio de descoberta não são exibidas na lista de endereços global da sua organização.
Exchange Server a Instalação cria uma caixa de correio de descoberta com o nome de exibição Caixa de Correio de Pesquisa de Descoberta. Você pode usar o Shell de Gerenciamento Exchange para criar caixas de correio de descoberta adicionais. Por padrão, as caixas de correio de descoberta que você cria não terão nenhuma permissão de acesso atribuída à caixa de correio. Você pode atribuir permissões de Acesso Total a um gerente de descoberta para acessar mensagens copiadas a uma caixa de correio de descoberta. Para obter detalhes, consulte Create a Discovery Mailbox .
A Descoberta Eletrônica In-loco também usa uma caixa de correio do sistema com o nome de exibição SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} para reter metadados de Descoberta Eletrônica In-loco. As caixas de correio do sistema não estão visíveis no EAC ou nas listas de endereço do Exchange . Antes de remover um banco de dados de caixa de correio onde In-Place caixa de correio do sistema de Descoberta Eletrônico está localizada, você deve mover a caixa de correio para outro banco de dados de caixa de correio. Se a caixa de correio for removida ou corrompida, os seus gerentes de descoberta não poderão realizar as pesquisas de Descoberta Eletrônica até que você crie a caixa de correio novamente. Para obter detalhes, consulte Re-Create the Discovery System Mailbox.
Descoberta Eletrônica In-loco e Retenção In-loco
Como parte das solicitações de Descoberta Eletrônica, você pode ter que preservar o conteúdo de caixas de correio até uma investigação ou ação legal seja concluída. Mensagens excluídas ou alteradas pelo usuário da caixa de correio ou por qualquer processo também devem ser preservadas. Em Exchange Server, isso é feito usando In-Place Hold. Para obter detalhes, consulte In-Place Hold and Litigation Hold in Exchange Server.
Você pode usar o assistente de & de Descoberta Virtual in-loco para pesquisar itens e preservá-los enquanto eles são necessários para a Descoberta eDiscovery ou para atender a outros requisitos comerciais. Ao usar a mesma pesquisa tanto para a Descoberta Eletrônica In-loco quanto para a Retenção In-loco, esteja ciente do seguinte:
Você não pode usar a opção para colocar uma espera em todas as caixas de correio em sua organização. Você deve selecionar as caixas de correio ou grupos de distribuição. No entanto, você pode colocar todos os ders de fol pública em sua organização em espera.
Você não pode remover a pesquisa de Descoberta Eletrônica In-loco se a pesquisa também estiver sendo usada para Bloqueio Local. Você precisa desabilitar a opção de Retenção In-loco de uma pesquisa antes de poder removê-la.
Preservar as caixas de correio para a Descoberta Eletrônica In-loco
Quando um funcionário deixa uma organização, é uma prática comum desabilitar ou remover a caixa de correio. Após desabilitar uma caixa de correio, ela é desconectada da conta de usuário mas permanece na caixa de correio por um período determinado - por padrão, 30 dias. O Assistente de Pasta Gerenciada não processa caixas de correio desconectadas, e nenhuma diretiva de retenção é aplicada durante esse período. Você não pode pesquisar o conteúdo da pesquisa de uma caixa de correio desconectada. Ao final do período de retenção de caixa de correio excluída configurado no banco de dados de caixas de correio, a caixa é removida do banco de dados.
Se sua organização exigir que as configurações de retenção sejam aplicadas a mensagens de funcionários que não estão mais na organização ou se você precisar reter a caixa de correio de um ex-funcionário para uma pesquisa de Descoberta eDiscovery contínua ou futura, não desabilite ou remova a caixa de correio. Você pode seguir as etapas a seguir para garantir que a caixa de correio não pode ser acessada e nenhuma nova mensagem será entregue para a mesma.
Desabilite a conta de usuário do Active Directory usando usuários do Active Directory & computadores ou outras ferramentas ou scripts de provisionamento de contas ou do Active Directory. Isso impede o logon na caixa de correio usando a conta de usuário associada.
Importante
Usuários com permissão de Acesso Total à caixa de correio ainda conseguirão acessar a caixa de correio. Para evitar que outras pessoas acessem a caixa de correio, é necessário remover a permissão de Acesso Total delas. Para obter informações sobre como remover permissões de caixa de correio de Acesso Total em uma caixa de correio, consulte Gerenciar permissões para destinatários.
Defina o limite de tamanho de mensagem para mensagens que podem ser enviadas ou recebidas pelo usuário da caixa de correio para um valor muito baixo, por exemplo, 1KB. Isso impede a entrega de novas mensagens de e para a caixa de correio. Para obter detalhes, consulte Configurar os limites de tamanho de mensagens de uma caixa de correio.
Configurar restrições de entrega para a caixa de correio para que ninguém possa enviar mensagens para ela. Para obter detalhes, consulte Configurar restrições de entrega de mensagens para uma caixa de correio.
Importante
É necessário realizar as etapas acima em conjunto com qualquer outro processo de gerenciamento de conta exigido pela sua organização, mas sem desabilitar ou remover a caixa de correio ou remover a conta de usuário associada.
Quando estiver planejando implementar retenção de caixa de correio para gerenciamento de retenção de mensagens (MRM) ou Descoberta Eletrônica In-loco, é necessário levar em conta a rotatividade dos funcionários. Retenção a longo prazo de caixas de correio de ex-funcionários irá exigir armazenamento adicional nos servidores de Caixa de Correio e também resultar em um aumento no banco de dados do Active Directory porque exige que a conta de usuário associada seja mantida para a mesma duração Além disso, pode exigir também alterações nos processos de gerenciamento e de provisionamento da conta de sua organização.
Resultados diferentes da pesquisa
Como In-Place eDiscovery realiza pesquisas em dados ao vivo, é possível que duas pesquisas das mesmas fontes de conteúdo e que usam a mesma consulta de pesquisa possam retornar resultados diferentes. Os resultados estimados da pesquisa também podem ser diferentes dos resultados reais da pesquisa que são copiados para uma caixa de correio de descoberta. Isto pode ocorrer mesmo ao executar novamente a mesma pesquisa num espaço pequeno de tempo. Há vários fatores que podem afetar a consistência dos resultados da pesquisa.
A indexação contínua de email de entrada porque a Pesquisa do Exchange rastreia e faz a indexação continuamente do pipeline de transporte e dos bancos de dados da caixa de correio da sua organização.
Exclusão de email por usuários ou porcessos automáticos.
Importação em massa de grandes quantidades de email, o que leva tempo para indexação.
Se você experimentar resultados diferentes para a mesma pesquisa, considere colocar as caixas de correio em espera para preservar o conteúdo, executar pesquisas durante horários que não sejam de pico e permita o tempo necessário para indexação após a importação de grandes quantidades de email.
Escopos de gerenciamento personalizado para Descoberta Eletrônica In-loco
Você pode usar um escopo de gerenciamento personalizado para permitir que pessoas ou grupos específicos usem a Descoberta In-Place eDiscovery para pesquisar um subconjunto de caixas de correio em sua organização Exchange Server. Por exemplo, convém permitir que um gerente de descoberta pesquise apenas as caixas de correio de usuários em um local ou departamento específico. Faça isso criando um escopo de gerenciamento personalizado que usa um filtro de destinatário personalizado para controlar quais caixas de correio podem ser pesquisadas. Escopos de filtro de destinatário usam filtros para direcionar a destinatários específicos com base no tipo de destinatário ou em outras propriedades de destinatário.
Para a Descoberta In-loco, a única propriedade em uma caixa de correio de usuário de usuário que você pode usar para criar um filtro de destinatário para um escopo personalizado é a associação de grupo de distribuição. Se você usar outras propriedades, como CustomAttributeN, Department ou PostalCode, a pesquisa falhará quando for executado por um membro do grupo de funções atribuído ao escopo personalizado. Para obter mais informações, consulte Criar um escopo de gerenciamento personalizado para pesquisas de Descoberta Eletrônica In-loco.
In-Place eDiscovery and Exchange Search
A Descoberta Eletrônica In-loco usa índices de conteúdo criados pela pesquisa do Exchange. A Pesquisa do Exchange foi refeita para usar o Microsoft Search Foundation, uma plataforma robusta de pesquisa que vem com uma indexação e desempenho de consulta com melhorias significativas e funcionalidade de pesquisa aprimorada. Como o Pesquisa da Microsoft Foundation também é usado por outros produtos Office, incluindo o SharePoint Server, ele oferece maior interoperabilidade e sintaxe de consulta semelhante nesses produtos.
Com um único mecanismo de indexação de conteúdo, não são usados recursos adicionais para rastrear e indexar bancos de dados de caixas de correio para a Descoberta Eletrônica In-loco quando as solicitações de Descoberta Eletrônica são recebidas pelos departamentos de TI.
Para obter mais informações sobre os formatos de arquivo indexados Exchange Pesquisa, consulte File Formats Indexed By Exchange Search.
Descoberta eletrônica em uma implantação híbrida do Exchange
Em um ambiente híbrido, um ambiente onde algumas caixas de correio existem em seus servidores de Caixa de Correio no local e algumas caixas de correio existem em uma organização baseada em nuvem, você pode realizar pesquisas de Descoberta Eletrônica In-loco em suas caixas de correio baseadas em nuvem usando o EAC na sua organização local. Se você pretende copiar mensagens para uma caixa de correio descoberta, você deve selecionar uma caixa de correio descoberta local. As mensagens de caixas de correio baseadas em nuvem que são retornadas nos resultados de pesquisa são copiadas para a caixa de correio descoberta local especificada. Para saber mais sobre implantações híbridas, consulte Exchange Server Implantações Híbridas.
Para realizar pesquisas de Descoberta eDiscoveria entre locais com êxito em uma organização híbrida Exchange Server, você terá que configurar a autenticação OAuth (Autorização Aberta Exchange) entre suas organizações locais e Exchange Online do Exchange Online para que você possa usar In-Place eDiscovery para pesquisar caixas de correio locais e baseadas em nuvem. A autenticação OAuth é um protocolo de autenticação de servidor para servidor que permite que aplicativos autentiquem uns aos outros.
A autenticação OAuth oferece suporte aos seguintes cenários de Descoberta eletrônica em uma implantação híbrida do Exchange:
Pesquisa de caixas de correio locais que usam o Arquivamento do Exchange Online para caixas de correio de arquivamento baseadas em nuvem.
Pesquisa de caixas de correio locais e baseadas em nuvem na mesma pesquisa de Descoberta eletrônica.
Para obter mais informações sobre os cenários de Descoberta Digital que exigem que a autenticação OAuth seja configurada em uma implantação híbrida do Exchange, consulte Using Oauth Authentication to Support eDiscovery in an Exchange Hybrid Deployment. Para obter instruções passo a passo para configurar a autenticação OAuth para dar suporte à Descoberta eDiscovery, consulte Configure OAuth Authentication Between Exchange and Exchange Online Organizations.
Para obter instruções passo a passo para configurar a autenticação OAuth para dar suporte à Descoberta eDiscovery, consulte Configure OAuth Authentication Between Exchange and Exchange Online Organizations.
Integração com SharePoint Server
Exchange Server oferece integração com o SharePoint Server, permitindo que um gerente de descoberta use o Centro de Descoberta SharePoint Server para executar as seguintes tarefas:
Pesquisar e preservar conteúdo de um único local - Um gerente de descoberta autorizado pode pesquisar e preservar conteúdo entre SharePoint e Exchange, incluindo conteúdo do Lync, como conversas de mensagens instantâneas e documentos de reunião compartilhados arquivados em caixas de correio Exchange.
Gerenciamento de casos - o Centro de Descoberta Online usa uma abordagem de gerenciamento de casos para a Descoberta eDiscovery, permitindo que você crie casos e pesquise e preserve o conteúdo em repositórios de conteúdo diferentes para cada caso.
Exportar resultados da pesquisa - Um gerente de descoberta pode usar o Centro de Descoberta e Para exportar resultados da pesquisa. O conteúdo da caixa de correio incluído nos resultados da pesquisa é exportado para um arquivo PST.
SharePoint Server também usa Pesquisa da Microsoft Foundation para indexação e consulta de conteúdo. Independentemente do uso do EAC ou do Centro de Descoberta Eletrônica pelo gerente de descoberta para pesquisar por conteúdo do Exchange, o mesmo conteúdo de caixa de correio é retornado.
Antes de usar o Centro de Descoberta Eletrônico no SharePoint Server para pesquisar Exchange caixas de correio, você deve estabelecer confiança entre os dois aplicativos. Em Exchange e SharePoint, isso é feito usando a autenticação OAuth. Para detalhes, veja Configurar o Exchange para o SharePoint eDiscovery Center. Pesquisas de Descoberta Eletrônica realizadas a partir do SharePoint são autorizadas pelo Exchange usando RBAC. Para que um usuário do SharePoint seja capaz de realizar uma pesquisa de Descoberta Eletrônica em caixas de correio do Exchange, ele precisa receber permissão delegada de Gerenciamento de Descoberta no Exchange. Para poder visualizar o conteúdo da caixa de correio retornado em uma pesquisa de Descoberta Eletrônica realizada com o uso do Centro de Descoberta Eletrônica do SharePoint , o gerenciador de descoberta deve possuir uma caixa de correio na mesma organização do Exchange .
Limites e políticas de limitação da Descoberta Eletrônica In-loco
No Exchange Server, os recursos In-Place usos da Descoberta eDiscovery são controlados com políticas de responsabilidade.
A política de throttling padrão contém os seguintes parâmetros. Você pode alterar os valores padrão para atender aos requisitos da sua organização criando uma nova política de limitador com um escopo da Organização e nomeando-a apenas como "DiscoveryThrottlingPolicy".
| Parâmetro | Descrição | Valor padrão |
|---|---|---|
| DiscoveryMaxConcurrency | O número máximo de In-Place pesquisas de Descobertas EDiscovery que um usuário pode executar simultaneamente. | 2 |
| DiscoveryMaxMailboxes | Número máximom de caixas de correio que podem ser pesquisadas em uma única pesquisa de Descoberta Eletrônica In-Loco. As caixas de correio de pasta pública também são contadas em relação ao limite de caixa de correio de origem. | 10.0001 |
| DiscoveryMaxStatsSearchMailboxes | O número máximo de caixas de correio que podem ser pesquisadas em uma única pesquisa de Descoberta Eletrônica In-loco que ainda permita exibir estatísticas de palavra-chave. | 100 Observação: depois de executar uma estimativa de pesquisa de Descoberta eDiscovery, você pode exibir estatísticas de palavra-chave. Essas estatísticas também podem exibir detalhes sobre o número de itens retornados por cada palavra-chave utilizada na consulta de pesquisa. Se mais de 100 caixas de correio de origem forem incluídas na pesquisa, um erro será retornado se você tentar exibir estatísticas de palavra-chave. |
| DiscoveryMaxKeywords | Número máximo de palavras-chave que podem ser especificadas em uma única pesquisa de Descoberta Eletrônica In-Loco. | 500 |
| DiscoveryPreviewSearchResultsPageSize | Número máximo de itens exibidos em uma única página ao visualizar os resultados de pesquisa de Descoberta Eletrônica In-Loco. | 200 |
| DiscoverySearchTimeoutPeriod | Número máximo de minutos que uma pesquisa de Descoberta Eletrônica In-Loco será executada antes de atingir o tempo limite. | 10 minutos |
1 As caixas de correio de arquivo morto são contadas em relação ao limite de caixa de correio de origem. Isso significa que você pode pesquisar no máximo 5.000 caixas de correio se a caixa de correio de arquivo morto correspondente estiver habilitada para todas as 5.000 caixas de correio.
Documentação de Descoberta Eletrônica In-loco
A tabela a seguir contém links para Exchange Server tópicos que ajudarão você a aprender sobre e gerenciar In-Place eDiscovery.
| Tópico | Descrição |
|---|---|
| Atribuir permissões de Descoberta Exchange Server | Saiba como dar a um usuário acesso para usar In-Place Descoberta Eletrônica no EAC (e usando os cmdlets correspondentes) para pesquisar Exchange caixas de correio. |
| Criar uma In-Place de Descoberta Exchange Server | Aprenda como criar uma pesquisa de Descoberta Eletrônica In-loco e como estimar e visualizar os resultados da pesquisa de Descoberta Eletrônica. |
| Copiar os resultados de pesquisa de descoberta eletrônica para uma caixa de correio de descoberta | Aprenda como copiar os resultados de uma pesquisa de Descoberta Eletrônica para uma caixa de correio de descoberta. |
| Exportar resultados de pesquisa de Descoberta Eletrônica para um arquivo PST | Aprenda como exportar os resultados de uma pesquisa de Descoberta Eletrônica para um arquivo PST. |
| Propriedades de mensagem e operadores de pesquisa para In-Place Descoberta eDiscovery no Exchange Server | Saiba quais propriedades de mensagem de email podem ser pesquisadas usando a Descoberta eletrônica In-loco. O tópico fornece exemplos de sintaxe para cada propriedade, informações sobre operadores de busca, como E e OU e informações sobre outras técnicas de consulta de pesquisa usando aspas duplas (" ") e prefixos curinga. |
| Pesquisar e colocar uma responsabilidade em pastas públicas usando In-Place Descoberta eDiscovery | Saiba como usar In-Place Descoberta eConsequia para pesquisar e colocar uma responsabilidade em todas as pastas públicas em sua organização. |