In-Place в Exchange Server

Если ваша организация соблюдает требования к юридическим открытиям (связанным с организационной политикой, соответствием требованиям или судебными разбирательствами), In-Place обнаружения в Exchange Server поможет вам выполнить поиск обнаружения соответствующего контента в почтовых ящиках. Вы также можете использовать функцию обнаружения электронных данных на месте в гибридной среде Exchange для поиска в локальных и облачных почтовых ящиках с использованием одной и той же операции поиска.

Важно!

In-Place eDiscovery — это мощная функция, которая позволяет пользователю с правильными разрешениями потенциально получать доступ ко всем записям обмена сообщениями, хранимым в Exchange Server организации. Очень важно отслеживать и контролировать действия пользователей по обнаружению, в том числе по добавлению участников в группу ролей управления обнаружением и предоставлению доступа к почтовым ящикам найденных сообщений.

Принципы работы обнаружения электронных данных на месте

В электронном обнаружении на месте используются индексы содержимого, созданные службой поиска Exchange. Функция управления доступом на основе ролей (RBAC) позволяет группе ролей Управление обнаружением делегировать задачи обнаружения нетехническому персоналу без необходимости предоставлять пользователям расширенные права, с помощью которых они могут вносить изменения в конфигурацию Exchange. Центр Exchange администрирования (EAC) предоставляет простой в использовании интерфейс поиска для не технических сотрудников, таких как сотрудники по правовым и нормативным требованиям, менеджеры записей и специалисты по персоналу.

Авторизованные пользователи могут выполнять обнаружение электронных данных на месте, выбирая почтовые ящики и указывая условия поиска, такие как ключевые слова, начальная и конечная дата, адреса отправителей и получателей, а также типы сообщений. После завершения поиска авторизованные пользователи могут выбрать одно из следующих действий:

  • Оценка результатов поиска . Этот параметр возвращает оценку общего размера и количества элементов, которые будут возвращены поиском в зависимости от указанных вами критериев.

  • Предварительный просмотр результатов поиска . Этот параметр предоставляет предварительный просмотр результатов. Отображаются сообщения, возвращенные из каждого включенного в поиск почтового ящика.

  • Копирование результатов поиска . Этот параметр позволяет скопировать сообщения в почтовый ящик обнаружения.

  • Экспорт результатов поиска . После копирования результатов поиска в почтовый ящик обнаружения их можно экспортировать в PST-файл.

Оценка, предварительный просмотр, копирование и экспорт результатов поиска

In-Place eDiscovery использует язык запросов по ключевым словам (KQL). Пользователи, знакомые с KQL, могут создавать мощные поисковые запросы для поиска индексов контента. Дополнительные сведения о KQL см. в статье Ссылка на язык синтаксиса запросаключевых слов.

In-Place eDiscovery permissions

Чтобы авторизованные пользователи In-Place поисков по обнаружению электронных данных, необходимо добавить их в группу ролей Discovery Management. Эта группа ролей состоит из двух ролей управления: роли поиска почтовых ящиков, которая позволяет пользователю выполнять поиск In-Place электронных данных, и роль юридического удержания, которая позволяет пользователю разместить почтовый ящик на In-Place удержание и удержание судебного разбирательства.

По умолчанию разрешения для выполнения задач, связанных с электронным обнаружением на месте, не назначаются пользователям или администраторам Exchange. Администраторы Exchange, входящие в группу роли управления организацией, могут добавлять пользователей в группу роли управления обнаружением и создавать настраиваемые группы ролей для сужения области менеджера по обнаружению до подмножества пользователей. Дополнительные новости о добавлении пользователей в группу ролей в области управления обнаружением см. в этой Exchange Server.

Важно!

Если пользователь не добавлен в группу ролей управления обнаружением или не назначен роль поиска почтовых ящиков, пользовательский интерфейс обнаружение электронных данных на месте & Hold не отображается в EAC, а команды In-Place * eDiscovery (MailboxSearch) недоступны в оболочке управления Exchange.

Аудит изменений в роли RBAC, включенный по умолчанию, обеспечивает ведение соответствующих записей для отслеживания назначений группы ролей управления обнаружением. Отчет о группе ролей администраторов используется для поиска изменений в группах ролей администраторов. Подробнее см. в разделе Search the role group changes or administrator audit logs.

Использование обнаружения электронных данных на месте

Поиск методом обнаружения электронных данных на месте могут выполнять пользователи, которые были добавлены в группу ролей управления обнаружением. Поиск можно выполнить с помощью веб-интерфейса в EAC. Он облегчает нетехническому персоналу (делопроизводителям, должностным лицам, отвечающим за соблюдение нормативных требований, юристам или сотрудникам отдела кадров) выполнение обнаружение электронных данных на месте. Вы также можете использовать Exchange для выполнения поиска. Дополнительные сведения см. в In-Place поиск Exchange Server

С помощью мастера обнаружения электронных данных и хранения на месте в EAC вы можете создавать запрос на обнаружение электронных данных на месте и сохранять результаты поиска. При создании запроса на обнаружение электронных данных на месте в системном почтовом ящике обнаружения электронных данных на месте создается объект поиска. После создания запроса на обнаружение электронных данных на месте создается объект поиска в системном почтовом ящике обнаружения электронных данных на месте. Этот объект можно использовать для запуска, остановки, изменения или удаления поиска. После создания поиска вы можете выбрать возможность получения оценки результатов поиска, содержащей статистику ключевых слов, которая поможет определить эффективность запроса. Вы также можете просмотреть элементы, возвращенные в результате поиска, а именно: содержимое сообщений, количество сообщений, возвращенных из каждого исходного почтового ящика, и общее количество сообщений. При необходимости эту информацию можно использовать для дальнейшей точной настройки запроса.

Если результаты поиска соответствуют требованиям, вы можете скопировать их в почтовый ящик найденных сообщений. Чтобы экспортировать почтовый ящик найденных сообщений или часть его содержимого в PST-файл, можно воспользоваться Outlook или EAC.

При создании поиска методом обнаружения электронных данных на месте необходимо указать следующие параметры:

  • Имя . Имя поиска используется для идентификации поиска. При копировании результатов поиска в почтовый ящик обнаружения в почтовом ящике обнаружения создается папка с именем поиска и временем для уникальной идентификации результатов поиска в почтовом ящике обнаружения.

  • Источники . Вы можете выбрать поиск всех почтовых ящиков в Exchange Server организации или указать почтовые ящики для поиска. Вы также можете выбрать для поиска все общедоступные папки. Если вы также хотите использовать тот же поиск для удержания элементов, необходимо указать почтовые ящики. Вы также можете разместить все общедоступные папки на In-Place Hold. Можно указать группу рассылки, чтобы включить пользователей почтовых ящиков, которые являются членами этой группы. Членство в группе вычисляется один раз, когда при создании поиска и последующих изменений в составе группы автоматически не отражены в поиске. Основные и архивные почтовые ящики пользователя включены в поиск.

  • Поисковый запрос . Вы можете включить все содержимое почтовых ящиков из указанных почтовых ящиков или использовать поисковый запрос для возврата элементов, которые имеют большее отношение к делу или расследованию. В поисковом запросе можно указать следующие параметры.

    • Ключевые слова . Для поиска контента сообщений можно указать ключевые слова и фразы. Кроме того, вы можете использовать логические операторы AND, OR и NOT. Кроме того, Exchange Server поддерживает оператора NEAR, что позволяет искать слово или фразу, которые в непосредственной близости от другого слова или фразы.

      Для поиска точного совпадения фразы из нескольких слов необходимо заключить фразу в кавычки. Например, при поиске фразы "план и конкуренция" будут возвращены сообщения, содержащие точное совпадение этой фразы, тогда как при указании фразы план И конкуренция будут возвращены сообщения, содержащие слова план и конкуренция в любой части сообщения.

      Exchange Server поддерживает синтаксис "Язык запросов ключевых слов" (KQL) для поиска In-Place поиска электронных данных. Дополнительные сведения о KQL см. в статье Ссылка на язык синтаксиса запросаключевых слов.

      Примечание

      Электронное обнаружение на месте не поддерживает регулярные выражения.

      You must capitalize logical operators such as AND and OR for them to be treated as operators instead of keywords. We recommend that you use explicit parenthesis for any query that mixes multiple logical operators to avoid mistakes or misinterpretations. For example, if you want to search for messages that contain either WordA or WordB AND either WordC or WordD, you must use (WordA OR WordB) AND (WordC OR WordD).

    • Даты начала и окончания . По умолчанию In-Place eDiscovery не ограничивает поиск диапазоном дат. Чтобы найти сообщения, отправленные в определенный диапазон дат, можно сузить поиск, указав дату начала и окончания периода. Если не задать дату окончания, то в результатах поиска будут показываться последние результаты каждый раз, когда поиск осуществляется заново.

    • Отправители и получатели . Чтобы сузить поиск, можно указать отправителей или получателей сообщений. Вы можете использовать адреса электронной почты, отображаемые имена или имя домена для поиска элементов, отправленных или полученных от всех пользователей домена. Например, чтобы найти электронную почту, отправленную кому-либо @ в Contoso, Ltd, укажите contoso.com в поле From или To/cc в EAC. Вы также можете @ указать contoso.com параметров отправителей или получателей в Exchange управленческой оболочки

    • Типы сообщений . По умолчанию все типы сообщений будут искаться. Вы можете ограничить поиск, выбрав определенные типы сообщений, такие как электронная почта, контакты, документы, журнал, встречи, заметки и содержимое Lync.

На следующем снимке экрана показан пример поискового запроса в EAC.

Настройка поискового запроса для обнаружения электронных данных

При использовании обнаружения электронных данных на месте также необходимо учесть следующие факторы.

  • Вложения — In-Place поиск по электронным данным, поддерживаемые Exchange Search. Дополнительные сведения см. в разделе Default Filters for Exchange Search. В локальных развертываниях вы можете добавить поддержку дополнительных форматов файлов, установив для необходимых типов файлов фильтры поиска (известные как iFilter) на серверах почтовых ящиков.

  • Необъекторные элементы — необъекторные элементы — это элементы почтовых ящиков, которые не могут индексироваться Exchange Search. Причины, по которой их нельзя индексировать, включают отсутствие установленного фильтра поиска для прикрепленного файла, ошибку фильтра и зашифрованные сообщения. Для успешного поиска электронных обнаружений организации может потребоваться включить такие элементы для проверки. При копировании результатов поиска в почтовый ящик обнаружения или их экспорте в PST-файл можно включить необязримые элементы. Дополнительные сведения см. в разделе Unsearchable Items in Exchange eDiscovery.

  • Зашифрованные элементы . Так как сообщения, зашифрованные с помощью S/MIME, не индексироваться Exchange search, In-Place eDiscovery не поиск этих сообщений. Если выбран параметр включения в результаты поиска элементов, поиск в которых невозможен, сообщения с шифрованием S/MIME копируются в почтовый ящик найденных сообщений.

  • Дублирование . При копировании результатов поиска в почтовый ящик обнаружения или экспорте результатов поиска в PST-файл можно включить дублирование результатов поиска для копирования только одного экземпляра уникального сообщения в почтовый ящик обнаружения. Дедупликация имеет следующие преимущества.

    • Более низкие требования к хранилищу и меньший размер почтового ящика обнаружения благодаря уменьшению количества копируемых сообщений.

    • Сокращение нагрузки на менеджеров по обнаружению, юрисконсультов и других лиц, занятых в проверке результатов поиска.

    • Сокращение расходов на электронное обнаружение в зависимости от количества повторяющихся элементов, исключенных из результатов поиска.

  • Элементы, защищенные IRM- Сообщения, защищенные с помощью управления правами на информацию (IRM), индексются Exchange search и поэтому включаются в результаты поиска, если они соответствуют параметрам запроса. Сообщения должны быть защищены с помощью кластера службы Active Directory Rights Management (AD RMS) в том же лесу Active Directory, что и сервер почтовых ящиков. Дополнительные сведения см. в Exchange Server.

    Важно:

    • Если службе поиска Exchange не удалось проиндексировать сообщение с защитой IRM по причине ошибки расшифровки или отключенной службы IRM, защищенное сообщение не добавляется в список элементов с ошибками. Если вы выбрали параметр для включения в результаты поиска элементов, поиск в которых невозможен, результаты поиска могут не содержать защищенные сообщения, расшифровать которые не удалось.

    • Чтобы включить сообщения с защитой IRM в поиск, можно создать другой поиск, результаты которого будут содержать сообщения с вложениями в формате RPMSG. Строку запроса можно использовать для поиска всех сообщений, защищенных IRM в указанных почтовых ящиках, независимо от того, успешно attachment:rpmsg индексироваться или нет. Это может привести к дублированию некоторых результатов поиска в случаях, когда один поиск возвращает сообщения, соответствующие заданным критериям, включая сообщения с защитой IRM с успешно выполненной индексацией. При этом сообщения с защитой IRM, которые не удалось индексировать, не возвращаются.

    • Результаты второго поиска всех сообщений с защитой IRM также содержат защищенные сообщения, успешно индексированные и возвращенные при первом поиске. Кроме того, сообщения с защитой IRM, возвращенные в результатах второго поиска, могут не соответствовать критериям поиска, например ключевым словам, заданным для первого поиска.

Оценка, предварительный просмотр и копирование результатов поиска

После завершения обнаружения электронных данных на месте можно просмотреть оценки результатов поиска в области "Сведения" в Центре администрирования Exchange. Оценки включают количество возвращенных элементов и их общий размер. Можно также просмотреть статистики ключевых слов со сведениями о количестве элементов, возвращенных для каждого использовавшегося в запросе поиска ключевого слова. Эта информация полезна при определении эффективности запросов. Если запрос слишком широкий, он может вернуть очень большой набор данных. Для его просмотра потребуется много ресурсов, что может привести к увеличению расходов на электронное обнаружение. Если запрос слишком узкий, количество возвращенных записей может существенно сократиться или вообще не будет возвращена ни одна запись. С помощью оценок и статистики ключевых слов вы можете точно настроить запрос в соответствии с требованиями.

Примечание

В Exchange Server статистика ключевых слов также включает статистику свойств, не включающих ключевые слова, такие как даты, типы сообщений и отправителей/получателей, указанные в запросе поиска.

Вы можете просмотреть результаты поиска, чтобы убедиться, что возвращенные сообщения содержат искомое содержимое, и при необходимости выполнить точную настройку запроса. При предварительном просмотре поиска методом обнаружения электронных данных отображается количество сообщений, возвращенных из каждого почтового ящика, поиск в котором осуществлялся, и общее количество сообщений, возвращенных поиском. Предварительный просмотр создается быстро, при этом вам не нужно копировать сообщения в почтовый ящик найденных сообщений.

Если количество и качество результатов поиска вас удовлетворяет, их можно скопировать в почтовый ящик найденных сообщений. При копировании сообщений можно воспользоваться следующими параметрами.

  • Включай необнаружимые элементы . Подробные сведения о типах элементов, которые считаются необнаружимыми, см. в разделе Соображения поиска по обнаружению электронных данных в предыдущем разделе.

  • Включить дублирование — де-дублирование уменьшает набор данных, включив только один экземпляр уникальной записи, если несколько экземпляров находятся в одном или нескольких поисковых ящиках.

  • Включить полный журнал . По умолчанию при копировании элементов включена только базовая ведение журнала. Можно выбрать функцию полного ведения журнала, чтобы регистрировать сведения обо всех записях, возвращенных в поиске.

  • Отправь мне почту, когда копия будет завершена , In-Place поиск по обнаружению электронных сообщений потенциально может вернуть большое количество записей. Копирование сообщений, возвращенных в почтовый ящик найденных сообщений, может занять много времени. Используйте этот параметр для получения почтового уведомления о завершении процесса копирования. Чтобы упростить доступ Outlook веб-страницы, уведомление включает ссылку на расположение в почтовом ящике обнаружения, где копируется сообщение.

Дополнительные сведения см. в разделе Копирование результатов поиска с обнаружением электронных данных в почтовый ящик обнаружения.

Экспорт результатов поиска в PST-файл

После копирования результатов поиска в почтовый ящик найденных сообщений результаты поиска можно экспортировать в PST-файл.

Экспорт результатов поиска при обнаружении электронных данных в PST-файл

После экспорта результатов поиска в PST-файл вы или другие пользователи могут открыть их в Outlook для просмотра или печати сообщений, представленных в результатах поиска. Дополнительные сведения см. в разделе Экспорт результатов поиска при обнаружении электронных данных в PST-файл.

Ведение журнала операций поиска при обнаружении электронных данных на месте

Существует два типа журналов, доступных для In-Place поиска по электронным данным.

  • Основные журналы . Основные журналы включены по умолчанию для всех In-Place поиска электронных данных. В нем регистрируются сведения о поиске и выполнившем его пользователе. Сведения, собираемые при обычном ведении журнала, включаются в текст сообщения электронной почты, которое отправляется в почтовый ящик, где хранятся результаты поиска. Это сообщение находится в папке, созданной для хранения результатов поиска.

  • Полный журнал . Полный журнал включает сведения обо всех сообщениях, возвращаемом поиском. Эти сведения содержатся в CSV-файле, который вкладывается в сообщение электронной почты, содержащее сведения обычного ведения журнала. Для имени CSV-файла используется имя поиска. Эти сведения могут потребоваться для делопроизводства или обеспечения соответствия требованиям. Чтобы включить полное ведение журнала, при копировании результатов поиска в почтовый ящик найденных сообщений в Центре администрирования Exchange выберите параметр Включить полное ведение журнала. Если используется оболочка управления Exchange, укажите полный параметр ведения журнала с помощью параметра LogLevel.

Примечание

При использовании Exchange для создания или изменения поиска In-Place поиска электронных данных можно также отключить ведение журнала.

Кроме журнала поиска, включенного при копировании результатов поиска в почтовый ящик обнаружения, Exchange также регистрирует команды, используемые EAC или Exchange Management Shell для создания, изменения или удаления In-Place поисков по In-Place обнаружения. Эта информация регистрируется в записях журнала аудита администратора. Подробные сведения см. в журнале аудита администратора в Exchange Server.

Почтовые ящики обнаружения

После создания запроса на обнаружение электронных данных на месте результаты поиска можно скопировать в целевой почтовый ящик. Центр администрирования Exchange позволяет выбрать почтовый ящик найденных сообщений в качестве целевого. Почтовый ящик найденных сообщений — это специальный почтовый ящик, который предоставляет приведенные ниже возможности.

  • Более простой и безопасный выбор целевых почтовых ящиков. При использовании EAC для копирования результатов поиска In-Place обнаружения доступны только почтовые ящики обнаружения в качестве репозитория, в котором хранятся результаты поиска. Это исключает возможность случайного выбора диспетчером обнаружения другого почтового ящика пользователя или необеспеченного почтового ящика, в котором можно хранить потенциально конфиденциальные сообщения.

  • Большая квота хранения почтовых ящиков . Целевой почтовый ящик должен иметь возможность хранить большое количество данных сообщений, которые могут быть возвращены In-Place поиска электронных данных. По умолчанию для почтовых ящиков обнаружения квота хранения почтовых ящиков составляет 50 ГБ. Эту квоту увеличить нельзя.

  • Более безопасный по умолчанию . Как и все типы почтовых ящиков, почтовый ящик обнаружения имеет связанную учетную запись пользователя Active Directory. Однако по умолчанию эта учетная запись отключена. К почтовому ящику найденных сообщений имеют доступ только явно авторизованные пользователи. Участники группы ролей управления обнаружением имеют права на полный доступ к почтовому ящику найденных сообщений по умолчанию. Однако разрешения на доступ к дополнительным почтовым ящикам найденных сообщений не назначаются ни для каких пользователей.

  • Доставка электронной почты отключена . Пользователи не могут отправлять электронную почту в почтовый ящик обнаружения. Доставка электронной почты в почтовые ящики найденных сообщений запрещена с помощью ограничений доставки. Это сохраняет целостность результатов поиска, скопированных в почтовый ящик найденных сообщений. По умолчанию почтовые ящики обнаружения не отображаются в глобальном списке адресов организации.

Exchange Server Настройка создает один почтовый ящик обнаружения с отображаемой именем Discovery Search Mailbox. Вы можете использовать Exchange для создания дополнительных почтовых ящиков обнаружения. По умолчанию создаваемые почтовые ящики найденных сообщений не имеют назначенных прав доступа к почтовым ящикам. Для доступа к сообщениям, скопированным в почтовый ящик найденных сообщений, менеджеру по обнаружению можно назначить права полного доступа Дополнительные сведения см. Дополнительные сведения см. в материале Create a Discovery Mailbox.

Функция обнаружения электронных данных на месте также использует системные почтовые ящики с отображаемым именем SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} для хранения метаданных обнаружения электронных данных на месте. Системные почтовые ящики не видны в EAC или Exchange списках адресов. Перед удалением базы данных почтовых ящиков, In-Place находится системный почтовый ящик системы In-Place, необходимо переместить почтовый ящик в другую базу данных почтовых ящиков. Если почтовый ящик удален или поврежден, менеджеры по обнаружению не смогут выполнять поиски методом обнаружения электронных данных до тех пор, пока почтовый ящик не будет создан повторно. Дополнительные сведения см. в разделе Re-Create the Discovery System Mailbox.

Электронное обнаружение на месте и хранение на месте

При выполнении запросов на обнаружение электронных данных вам может потребоваться сохранять содержимое почтовых ящиков до завершения судебного процесса или расследования. Сообщения, удаленные или измененные пользователем почтового ящика или любыми процессами, также должны быть сохранены. В Exchange Server это выполняется с помощью In-Place Hold. Подробные сведения см. в материале Удержание на месте и судебное удержание в Exchange Server.

Вы можете использовать мастер обнаружение электронных данных на месте & Hold для поиска элементов и сохранения их до тех пор, пока они необходимы для поиска электронных данными или для удовлетворения других бизнес-требований. When using the same search for both In-Place eDiscovery and In-Place Hold, be aware of the following:

  • Вы не можете использовать этот параметр для удержания всех почтовых ящиков в организации. Необходимо выбрать почтовые ящики или группы рассылки. Однако все общедоступные фолс-деры в организации можно придержать.

  • Если поиск методом обнаружения электронных данных на месте также используется для хранения на месте, удалить этот поиск нельзя. Сначала необходимо отключить параметр хранения на месте, а затем удалить поиск.

Хранение почтовых ящиков для обнаружения электронных данных на месте

Когда сотрудник увольняется из организации, его почтовый ящик, как правило, отключается или удаляется. После отключения почтовый ящик отсоединяется от учетной записи пользователя, но остается в почтовом ящике на определенный период (по умолчанию 30 дней). Помощник для управляемых папок не обрабатывает отключенные почтовые ящики. Во время этого периода политики хранения не применяются. Выполнять поиск содержимого в отключенной папке нельзя. После достижения периода хранения удаленного почтового ящика, настроенного для базы данных почтовых ящиков, почтовый ящик удаляется из базы данных почтовых ящиков.

Если ваша организация требует, чтобы параметры хранения были применены к сообщениям сотрудников, которые больше не находятся в организации, или если вам может потребоваться сохранить почтовый ящик бывшего сотрудника для текущего или будущего поиска по обнаружению электронных данных, не отключайте или удаляйте почтовый ящик. Чтобы убедиться в отсутствии доступа к почтовому ящику и доставки в него новых сообщений, выполните следующие действия.

  1. Отключить учетную запись пользователя Active Directory с помощью пользователей Active Directory & компьютерах или других средствах или сценариях обеспечения учетной записи. This prevents mailbox logon using the associated user account.

    Важно!

    Пользователи с разрешением полного доступа к почтовым ящикам по-прежнему могут обращаться к почтовому ящику. Чтобы предотвратить доступ других пользователей, необходимо удалить их разрешение полного доступа из почтового ящика. Сведения о том, как удалить разрешения почтовых ящиков полного доступа на почтовом ящике, см. в руб. Управление разрешениями для получателей.

  2. Задайте для максимального размера сообщений, которые могут отправляться пользователем почтового ящика или доставляться ему, очень низкое значение, например 1 КБ. Это предотвратит доставку новой почты в почтовый ящик и отправку почты из него. Дополнительные сведения см. в разделе Настройка ограничений на размер сообщения для почтового ящика.

  3. Настройте ограничения на доставку для почтового ящика так, чтобы никто не мог отправлять в него сообщения. Дополнительные сведения см. в разделе Настройка ограничений на доставку сообщений для почтового ящика.

Важно!

Описанные действия необходимо выполнить вместе с другими процессами управления учетными записями, требуемыми для организации, но без отключения или удаления почтового ящика или удаления связанной учетной записи пользователя.

При планировании внедрения системы хранения почтовых ящиков для управления хранением сообщений (MRM) или электронного управления на месте необходимо принять во внимание текучесть кадров. Длительное хранение почтовых ящиков бывших сотрудников потребует дополнительного пространства для хранения на серверах почтовых ящиков и может привести к увеличению размера базы данных Active Directory, поскольку связанные учетные записи пользователей должны храниться в течение того же периода. Кроме того, могут потребоваться изменения в процессах подготовки учетных записей и управления ими в организации.

Различные результаты поиска

Поскольку In-Place eDiscovery выполняет поиск по данным в прямом эфире, вполне возможно, что два поиска одного и того же источника контента с одним и тем же поисковым запросом могут возвращать разные результаты. Ожидаемые результаты поиска также могут отличаться от фактических результатов, скопированных в почтовый ящик найденных сообщений. Это может произойти, даже если запустить один и тот же поиск в течение короткого промежутка времени. Существует несколько факторов, которые могут повлиять на согласованность результатов поиска.

  • непрерывная индексация электронной почты в связи с тем, что функция поиска Exchange непрерывно обходит и индексирует базы данных почтовых ящиков вашей организации и контейнер транспорта;

  • удаление сообщений электронной почты пользователями или автоматизированными процессами;

  • массовый импорт большого количества электронной почты, индексирование которого занимает определенное время.

Если вы замечаете, что один и тот же поиск дает различные результаты, вы можете поставить почтовые ящики на хранение, чтобы сохранить содержимое, использовать поиск в периоды низкой загрузки и после импорта большого количества электронной почты ожидать определенное время, пока завершится индексирование.

Настраиваемые области управления для обнаружения электронных данных на месте

Вы можете использовать настраиваемую область управления, чтобы позволить определенным In-Place или группам использовать In-Place для поиска подмножество почтовых ящиков в Exchange Server организации. Например, вам может потребоваться разрешить менеджеру по обнаружению выполнять поиск только в почтовых ящиках пользователей, относящихся к определенному расположению или отделу. Для этого следует создать настраиваемую область управления, которая использует фильтр получателей для управления тем, в каких почтовых ящиках можно выполнять поиск. Области фильтра получателей используют фильтры для выделения определенных получателей на основе типа или других свойств получателя.

Для обнаружения электронных данных на месте создать фильтр подключения настраиваемой области можно только с помощью членства в группе рассылки. Если вы используете другие свойства, такие как CustomAttributeN, Department или PostalCode, поиск не удается, когда он управляется членом группы ролей, назначенной настраиваемой области. Подробнее см. в разделе Create a custom management scope for In-Place eDiscovery searches.

В электронном обнаружении на месте используются индексы содержимого, созданные службой поиска Exchange. Служба поиска Exchange была модернизирована и теперь использует Microsoft Search Foundation, мощную платформу с более высокой производительностью индексации и запросов, а также улучшенным поиском. Так как Фонд поиска Майкрософт также используется другими Office, в том числе SharePoint Server, он обеспечивает большую оперативность и аналогичный синтаксис запросов в этих продуктах.

Благодаря единому механизму индексации содержимого для функции обнаружения электронных данных на месте не требуются дополнительные ресурсы для сканирования и индексации баз данных почтовых ящиков при получении ИТ-отделом запросов на электронное обнаружение.

Дополнительные сведения о форматах файлов, индексация Exchange поиска см. в материалах File Formats Indexed By Exchange Search.

Обнаружение электронных данных при гибридном развертывании Exchange

В гибридном развертывании, которое является средой, в которой на локальном сервере почтовых ящиков существуют некоторые почтовые ящики, а в облачной организации существуют некоторые почтовые ящики, можно выполнить In-Place поиски электронных данных в облачных почтовых ящиках с помощью EAC в локальной организации. Если вы собираетесь копировать сообщения в почтовый ящик обнаружения, необходимо выбрать локальное почтовое ящик обнаружения. Сообщения из облачных почтовых ящиков, возвращаемые в результатах поиска, копируются в указанный локальном почтовом ящике обнаружения. Дополнительные новости о гибридных развертываниях см. в Exchange Server Hybrid Deployments.

Для успешного выполнения междометных поисков по обнаружению электронных данных в гибридной организации Exchange Server необходимо настроить проверку подлинности OAuth (Open Authorization) между локальной Exchange и Exchange Online организациями, чтобы можно было использовать In-Place eDiscovery для поиска на локальной основе и облачных почтовых ящиков. Проверка подлинности OAuth — это протокол межсерверной проверки подлинности, который позволяет приложениям проверять подлинность друг друга.

Проверка подлинности OAuth поддерживает приведенные ниже сценарии обнаружения электронных данных при гибридном развертывании Exchange.

  • Поиск локальных почтовых ящиков, использующих архивацию на базе Exchange Online для облачных архивных почтовых ящиков.

  • Поиск в локальных и облачных почтовых ящиках в рамках одного сеанса обнаружения электронных данных.

Дополнительные сведения о сценариях обнаружения электронных данных, для которых требуется настроить проверку подлинности OAuth при гибридном развертывании Exchange, см. в разделе Using Oauth Authentication to Support eDiscovery in an Exchange Hybrid Deployment. Пошаговые инструкции по настройке проверки подлинности OAuth для поддержки обнаружения электронных данных см. в разделе Configure OAuth Authentication Between Exchange and Exchange Online Organizations.

Инструкции по пошаговому настройке проверки подлинности OAuth для поддержки электронного разбора см. в рублях Настройка проверки подлинности OAuth между Exchange и Exchange Online организациями.

Интеграция с SharePoint Server

Exchange Server предлагает интеграцию с SharePoint Server, что позволяет менеджеру обнаружения использовать центр обнаружения электронных данных в SharePoint Server для выполнения следующих задач:

  • Поиск и сохранение контента в одном расположении . Уполномоченный диспетчер обнаружения может искать и сохранять контент в SharePoint и Exchange, включая контент Lync, например, беседы с мгновенными сообщениями и общие документы собраний, архивные в Exchange почтовых ящиках.

  • Управление случаем — центр поиска электронных данных использует подход к управлению делами для поиска электронных данных, позволяя создавать случаи и искать и сохранять контент в разных репозиториях контента для каждого случая.

  • Экспорт результатов поиска . Менеджер обнаружения может использовать центр обнаружения для экспорта результатов поиска. Содержимое почтового ящика, включенное в результаты поиска, экспортируется в PST-файл.

SharePoint Сервер также использует Microsoft Search Foundation для индексации контента и запросов. Независимо от того, использует ли менеджер по обнаружению EAC или центр обнаружения электронных данных для поиска содержимого Exchange, возвращается одно и то же содержимое почтового ящика.

Прежде чем использовать центр электронных данных в SharePoint Server для поиска Exchange почтовых ящиков, необходимо установить доверие между двумя приложениями. В Exchange и SharePoint это делается с помощью проверки подлинности OAuth. Сведения см. в разделе Configure Exchange for SharePoint eDiscovery Center. Поиски по обнаружению электронных SharePoint разрешены Exchange RBAC. Чтобы SharePoint пользователь мог выполнять поиск электронных данных Exchange почтовых ящиков, ему должно быть назначено делегированное разрешение на управление обнаружением в Exchange. Чтобы можно было просмотреть содержимое почтового ящика, возвращаемого в поиске по обнаружению электронных данных, выполняемом с SharePoint центра обнаружения, диспетчер обнаружения должен иметь почтовый ящик в одной Exchange организации.

Ограничения и политики регулирования обнаружения электронных данных на месте

В Exchange Server, ресурсы, In-Place использования электронных источников, контролируются политиками регулирования.

Политика регулирования по умолчанию содержит следующие параметры. Можно изменить значения по умолчанию, чтобы соответствовать требованиям организации, создав новую политику регулирования с областью Организации и назови ее только "DiscoveryThrottlingPolicy".

Параметр Описание Значение по умолчанию
DiscoveryMaxConcurrency Максимальное количество запросов In-Place поиска электронной информации, которые пользователь может выполнять одновременно. 2
DiscoveryMaxMailboxes Максимальное количество почтовых ящиков, в которых может быть выполнен поиск в ходе одного процесса обнаружения электронных данных на месте. Почтовые ящики общедоступных папок также подсчитываются в пределах исходных почтовых ящиков. 10 0001
DiscoveryMaxStatsSearchMailboxes Максимальное количество почтовых ящиков, в которых может быть выполнен поиск в ходе одного процесса обнаружения электронных данных на месте и просмотрена статистика ключевых слов. 100
Примечание. После запуска оценки поиска об обнаружении электронных данных можно просмотреть статистику ключевых слов. Она содержит сведения о количестве элементов, возвращаемых для каждого ключевого слова в поисковом запросе. Если в поиск включено более 100 исходных почтовых ящиков, при попытке просмотра статистики ключевых слов будет возвращена ошибка.
DiscoveryMaxKeywords Максимальное количество ключевых слов, которое можно указать в одном процессе обнаружения электронных данных на месте. 500
DiscoveryPreviewSearchResultsPageSize Максимальное количество элементов, отображаемых на одной странице в режиме предварительного просмотра результатов поиска методом обнаружения электронных данных на месте. 200
DiscoverySearchTimeoutPeriod Количество минут, в течение которых будет выполняться поиск методом обнаружения электронных данных на месте до истечения времени ожидания. 10 минут

1 Архивные почтовые ящики подсчитываются в пределах исходных почтовых ящиков. Это означает, что вы можете искать не более 5000 почтовых ящиков, если соответствующий архивный почтовый ящик включен для всех 5000 почтовых ящиков.

Документация обнаружения электронных данных на месте

В следующей таблице содержатся ссылки на Exchange Server темы, которые помогут вам узнать о In-Place eDiscovery.

Статья Описание
Назначение разрешений на открытие электронных Exchange Server Узнайте, как предоставить пользователю доступ к использованию In-Place в EAC (и с помощью соответствующих cmdlets) для поиска Exchange почтовых ящиков.
Создание поиска In-Place для поиска электронных Exchange Server Узнайте, как создать поиск обнаружения электронных данных на месте, а также как оценивать и просматривать результаты обнаружения электронных данных на месте.
Копирование результатов поиска с обнаружением электронных данных в почтовый ящик обнаружения Узнайте, как скопировать результаты поиска обнаружения электронных данных на месте в почтовый ящик обнаружения.
Экспорт результатов поиска при обнаружении электронных данных в PST-файл Узнайте, как экспортировать результаты поиска обнаружения электронных данных на месте в PST-файл.
Свойства сообщений и операторы поиска для In-Place в Exchange Server Узнайте, как свойства сообщений электронной почты можно искать с помощью обнаружения электронных данных на месте. В этом разделе представлены примеры синтаксиса для каждого свойства, сведения об операторах поиска, таких как AND и OR, и информация о других методах выполнения поисковых запросов, например использовании двойных кавычек (" ") и знаков подстановки в конце слова.
Поиск в общедоступных папках и их удержание с помощью обнаружения электронных данных на месте Узнайте, как использовать In-Place для поиска и удержания всех общедоступных папок в организации.