Create uma pesquisa de descoberta eletrônica In-Place no Exchange Server

Use uma pesquisa de descoberta eletrônica In-Place para pesquisar conteúdo em todas as caixas de correio e pastas públicas em sua organização Exchange Server. Isso inclui a pesquisa de itens excluídos permanentemente e versões originais de itens modificados (na pasta Itens Recuperáveis) para usuários colocados em Contencioso Hold ou In-Place Hold. Para obter mais informações sobre essas pesquisas, consulte Descoberta eletrônica in-place no Exchange Server.

Antes de começar

• Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver quais permissões você precisa, consulte a entrada "Descoberta eletrônica in-place" na política de mensagens e permissões de conformidade no tópico Exchange Server.

• Para criar pesquisas de Descoberta eletrônica, é necessário ter um endereço SMTP na organização na qual você está criando as pesquisas. Em uma organização híbrida do Exchange, sua caixa de correio local do Exchange deve ter uma conta de usuário de email correspondente em sua organização do Microsoft 365 ou Office 365, como a conta de administrador de locatário, essa conta deve receber uma licença de Exchange Online. Para obter mais informações sobre os requisitos de licenciamento do Microsoft 365 ou Office 365 para pesquisas de descoberta eletrônica in loco, consulte Exchange Online Descrição do Serviço.

• Exchange Server Instalação cria uma caixa de correio Discovery chamada Discovery Pesquisa Mailbox para copiar os resultados da pesquisa. Você pode criar caixas de correio de Descoberta adicionais. Para detalhes, consulte Criar uma caixa de correio de descoberta.

• Quando você cria uma pesquisa, as mensagens retornadas nos resultados da pesquisa não são copiadas automaticamente para uma caixa de correio de descoberta. Depois de criar a pesquisa, você pode usar o Centro de Administração do Exchange (EAC) para estimar e visualizar os resultados da pesquisa ou copiá-los para uma caixa de correio de descoberta. Você também pode exportar os resultados da pesquisa para um arquivo .pst. Veja mais detalhes em:

  • Use o EAC para estimar ou visualizar os resultados da pesquisa (posteriormente neste tópico)

  • Copiar os resultados de pesquisa de descoberta eletrônica para uma caixa de correio de descoberta

  • Exportar resultados de pesquisa de Descoberta Eletrônica para um arquivo PST

• Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Abra o Shell de Gerenciamento do Exchange.

Usar o EAC para criar uma pesquisa

Conforme explicado anteriormente, para criar pesquisas de Descoberta eletrônica, você precisa entrar com uma conta de usuário que tenha um endereço SMTP em sua organização.

1. Acesse Gerenciamento>de conformidade No local eDiscovery & Hold e clique em Novo.

2. Na janela Nova In-Place eDiscovery & Hold , na página Nome e descrição , digite um nome para a pesquisa, adicione uma descrição opcional e clique em Avançar.

3. Na página Caixas de correio e pastas públicas , selecione as fontes de conteúdo para pesquisar:

   • Para incluir todas as caixas de correio na pesquisa, clique em Pesquisa todas as caixas de correio. Se você selecionar essa opção, não poderá habilitar um In-Place Manter para a pesquisa.

   • Para excluir caixas de correio da pesquisa (e pesquisar apenas pastas públicas), clique em Não pesquisar nenhuma caixa de correio.

   • Para incluir caixas de correio específicas na pesquisa, clique em Especificar caixas de correio para pesquisar e adicione as caixas de correio que você deseja pesquisar.

   • Para incluir pastas públicas na pesquisa (ou para colocar pastas públicas em espera), clique em Pesquisa todas as pastas públicas. Para obter mais informações sobre como pesquisar pastas públicas, consulte Pesquisa e coloque um porão em pastas públicas usando In-Place descoberta eletrônica.

   

4. Na página Consulta de pesquisa, preencha os seguintes campos:

   • Incluir todo o conteúdo: selecione esta opção para incluir todo o conteúdo nos resultados da pesquisa. Se você selecionar essa opção, não poderá especificar critérios de pesquisa adicionais.

   • Filtrar com base nos critérios: selecione essa opção para especificar critérios de pesquisa, incluindo palavras-chave, datas de início e término, endereços de remetente e destinatário e tipos de mensagem. Para obter mais informações sobre consultas de pesquisa, consulte Propriedades de mensagem e operadores de pesquisa para In-Place descoberta eletrônica no Exchange Server.

     

     Observação

     Os campos From: e To/Cc/Bcc: são conectados por um operador OR na consulta de pesquisa criada quando você executa a pesquisa. Isso significa que qualquer mensagem enviada ou recebida por qualquer um dos usuários especificados (e corresponde aos outros critérios de pesquisa) está incluída nos resultados da pesquisa. As datas são conectadas por um operador AND .

5. Na página Configurações de Retenção In-Place, você pode selecionar o conteúdo Colocar que corresponde à consulta de pesquisa em fontes selecionadas na caixa de marcar de espera e, em seguida, selecionar uma das seguintes opções para colocar itens no In-Place Manter:

   • Mantenha indefinidamente: selecione essa opção para colocar os itens retornados em um porão indefinido. Os itens em espera serão preservados até que você remova a fonte de conteúdo da pesquisa ou se você excluir a pesquisa.

   • Especificar número de dias para reter itens relativos para a data de recebimento Use esta opção para reter itens por um período específico. Por exemplo, você pode usar essa opção se sua organização exigir que todas as mensagens sejam retidas por pelo menos sete anos. Você pode usar uma Retenção Local com base no tempo juntamente com uma política de retenção para garantir que itens sejam excluídos em sete anos.

     Importante

     Ao colocar fontes de conteúdo ou itens específicos em In-Place Manter para fins legais, geralmente é recomendável manter itens indefinidamente e remover a retenção quando o caso ou investigação for concluído.

6. Clique em Concluir para salvar a pesquisa e retornar uma estimativa do tamanho total e da quantidade itens que serão retornados pela pesquisa com base nos critérios que você especificou. As estimativas são exibidas no painel de detalhes. Clique no Para atualizar as informações exibidas no painel de detalhes.

Usar o Shell de Gerenciamento do Exchange para criar uma pesquisa

Aqui estão quatro exemplos de como usar o Shell de Gerenciamento do Exchange para pesquisar e colocar um porão no conteúdo em caixas de correio e pastas públicas. Para obter informações detalhadas sobre sintaxe e parâmetro sobre como usar o Shell de Gerenciamento do Exchange para criar pesquisas de descoberta eletrônica, consulte New-MailboxSearch

Exemplo 1

Este exemplo cria o Discovery-CaseId012 de pesquisa para itens que contêm as palavras-chave Contoso e ProjectA. Os resultados da pesquisa são colocados em In-Place espera, com uma duração de retenção ilimitada. A pesquisa também inclui os seguintes critérios:

• Data de início: 1/1/2013

• Data de término: 31/12/2015

• Caixa de correio de origem: DG-Finance

• Caixa de correio de destino: Caixa de Correio de Pesquisa de Descoberta

• Tipos de mensagens: Email

• Nível de log: Inteiro

Importante

Se você não especificar uma consulta de pesquisa, um intervalo de datas ou um tipo de mensagem, todos os itens nas caixas de correio de origem ou pastas públicas serão retornados nos resultados. Os resultados seriam semelhantes à seleção de Incluir todo o conteúdo na página de consulta Pesquisa no EAC.

New-MailboxSearch "Discovery-CaseId012" -StartDate "01/01/2013" -EndDate "12/31/2015" -SourceMailboxes "DG-Finance" -TargetMailbox "Discovery Search Mailbox" -SearchQuery '"Contoso" AND "Project A"' -MessageTypes Email -IncludeUnsearchableItems -LogLevel Full -InPlaceHoldEnabled $true

Start-MailboxSearch "Discovery-CaseId012"

Depois de usar o Shell de Gerenciamento do Exchange para criar uma pesquisa de descoberta eletrônica In-Place, você precisa iniciar a pesquisa usando o cmdlet Start-MailboxSearch para copiar mensagens para a caixa de correio de descoberta especificada no parâmetro TargetMailbox . Para obter detalhes, consulte Copiar os resultados de pesquisa de descoberta eletrônica para uma caixa de correio de descoberta.

Observação

Ao usar os parâmetros StartDate e EndDate , você precisa usar o formato de data de MM/dd/yyyy, mesmo que as configurações do computador local estejam configuradas para usar um formato de data diferente, como dd/MM/yyyy. Por exemplo, para pesquisar mensagens enviadas entre 1º de abril de 2015 e 1º de julho de 2015, você usaria 04/01/2015 e 07/01/2015 para as datas de início e término.

Exemplo 2

Este exemplo cria uma pesquisa de descoberta eletrônica In-Place chamada HRCase090116 que pesquisa mensagens de email enviadas por Alex Darrow para Sara Davis em 2015.

New-MailboxSearch "HRCase090116" -StartDate "01/01/2015" -EndDate "12/31/2015" -SourceMailboxes alexd,sarad -SearchQuery 'From:alexd@contoso.com AND To:sarad@contoso.com' -MessageTypes Email -TargetMailbox "Discovery Search Mailbox" -IncludeUnsearchableItems -LogLevel Full

Start-MailboxSearch "HRCase090116"

Exemplo 3

Este exemplo cria uma pesquisa somente estimativa que pesquisa todas as pastas públicas da organização em busca de itens enviados entre 1º de janeiro de 2015 e 30 de junho de 2015 e que contêm a frase "violação de patente". A pesquisa não inclui nenhuma caixa de correio. O cmdlet Start-MailboxSearch é usado para iniciar a pesquisa somente estimativa.

New-MailboxSearch -Name "Northwind Subpoena-All PFs" -AllPublicFolderSources $true -AllSourceMailboxes $false -SearchQuery "patent infringement" -StartDate "01/01/2015" -EndDate "06/30/2015" -TargetMailbox "Discovery Search Mailbox" -EstimateOnly

Start-MailboxSearch "Northwind Subpoena-All PFs"

Exemplo 4

Este exemplo pesquisa todas as caixas de correio e pastas públicas para obter qualquer conteúdo que contenha as palavras "lista de preços" e "Contoso" e que foi enviada após 1º de janeiro de 2015. O cmdlet Start-MailboxSearch é usado para executar a pesquisa e copiar os resultados da pesquisa para a caixa de correio de descoberta.

New-MailboxSearch -Name "Contoso Litigation" -AllSourceMailboxes $true -AllPublicFolderSources $true -SearchQuery '"price list" AND "contoso"' -StartDate "01/01/2015" -TargetMailbox "Discovery Search Mailbox"

Start-MailboxSearch "Contoso Litigation"

Usar o EAC para obter uma estimativa ou visualizar os resultados da pesquisa

Depois de criar uma pesquisa de descoberta eletrônica, você pode usar o EAC para obter uma estimativa e visualização dos resultados da pesquisa. Se você criou uma nova pesquisa usando o cmdlet New-MailboxSearch , poderá usar o Shell de Gerenciamento do Exchange para iniciar a pesquisa para obter uma estimativa dos resultados da pesquisa.

1. Acesse Gerenciamento>de conformidade in-Place eDiscovery & Hold.

2. Na exibição de lista, selecione a pesquisa e faça um dos seguintes procedimentos:

   • Clique no ícone Pesquisa>Estimar os resultados da pesquisa para retornar uma estimativa do tamanho total e do número de itens que serão retornados pela pesquisa com base nos critérios especificados. A seleção dessa opção reinicia a pesquisa e realiza uma estimativa.

     Pesquisa estimativas são exibidas no painel de detalhes. Clique no Para atualizar as informações exibidas no painel de detalhes.

   • Clique em Visualizar os resultados da pesquisa no painel de detalhes para visualizar os resultados após a conclusão da estimativa de pesquisa. Selecionar essa opção abre a janela Visualização de pesquisa de Descoberta Eletrônica. Todas as mensagens retornadas das caixas de correio ou pastas públicas pesquisadas são exibidas.

     Observação

     As caixas de correio ou pastas públicas pesquisadas estão listadas no painel direito na janela de visualização de pesquisa de descoberta eletrônica . Para cada fonte, o número de itens retornados e o tamanho total desses itens também são exibidos. Todos os itens retornados pela pesquisa são listados no painel à direita e podem ser classificados de acordo com a data mais recente ou a mais antiga. Itens de cada caixa de correio ou pasta pública não podem ser exibidos no painel direito clicando em uma origem no painel esquerdo. Para exibir os itens retornados de uma caixa de correio ou pasta pública específica, você pode copiar os resultados da pesquisa e exibir os itens na caixa de correio de descoberta.

   

Usar o Shell de Gerenciamento do Exchange para estimar os resultados da pesquisa

Você pode usar a opção EstimateOnly para obter uma estimativa dos resultados da pesquisa e não copiar os resultados para uma caixa de correio de descoberta. É necessário iniciar uma pesquisa apenas para obtenção da estimativa com o cmdlet Start-MailboxSearch. Em seguida, você pode recuperar os resultados da pesquisa estimados usando o cmdlet Get-MailboxSearch. Você não pode usar o Shell de Gerenciamento do Exchange para visualizar as mensagens retornadas nos resultados da pesquisa.

Por exemplo, você executaria os seguintes comandos para criar uma nova pesquisa e exibir uma estimativa dos resultados da pesquisa:

New-MailboxSearch "FY15 Q2 Financial Results" -StartDate "04/01/2015" -EndDate "06/30/2015" -SourceMailboxes "DG-Finance" -SearchQuery '"Financial" AND "Fabrikam"' -EstimateOnly -IncludeKeywordStatistics

Start-MailboxSearch "FY15 Q2 Financial Results"

Get-MailboxSearch "FY15 Q2 Financial Results"

Para exibir informações específicas sobre os resultados de pesquisa estimados do exemplo anterior, você pode executar o seguinte comando:

Get-MailboxSearch "FY15 Q2 Financial Results" | Format-List Name,Status,LastRunBy,LastStartTime,LastEndTime,Sources,SearchQuery,ResultSizeEstimate,ResultNumberEstimate,Errors,KeywordHits

Mais informações

• Depois de criar uma nova pesquisa de descoberta eletrônica, você pode copiar os resultados da pesquisa na caixa de correio de descoberta e exportar esses resultados de pesquisa para um arquivo PST. Para obter mais informações, consulte:

  • Copiar os resultados de pesquisa de descoberta eletrônica para uma caixa de correio de descoberta

  • Exportar resultados de pesquisa de Descoberta Eletrônica para um arquivo PST

• Depois de executar uma estimativa de pesquisa de descoberta eletrônica (que inclui palavras-chave nos critérios de pesquisa), você pode exibir palavra-chave estatísticas clicando em Exibir estatísticas palavra-chave no painel de detalhes da pesquisa selecionada. Essas estatísticas também podem exibir detalhes sobre o número de itens retornados por cada palavra-chave utilizada na consulta de pesquisa. No entanto, se mais de 100 caixas de correio de origem forem incluídas na pesquisa, um erro será retornado se você tentar exibir palavra-chave estatísticas. Para exibir palavra-chave estatísticas, não mais de 100 caixas de correio de origem podem ser incluídas na pesquisa.

• Se você usar Get-MailboxSearch no Exchange Online para recuperar informações sobre uma pesquisa de descoberta eletrônica, precisará especificar o nome de uma pesquisa para retornar uma lista completa das propriedades de pesquisa; por exemplo, Get-MailboxSearch "Contoso Legal Case". Se você executar o cmdlet Get-MailboxSearch sem usar parâmetros, as seguintes propriedades não serão retornadas:

  • SourceMailboxes

  • Sources

  • PublicFolderSources

  • SearchQuery

  • ResultsLink

  • PreviewResultsLink

  • Errors

    O motivo é que ele requer muitos recursos para retornar essas propriedades para todas as pesquisas de descoberta eletrônica em sua organização.