Создание настраиваемой области управления для поисковых запросов на обнаружение электронных данных на месте

Вы можете использовать настраиваемую область управления, чтобы позволить определенным In-Place или группам использовать In-Place для поиска подмножество почтовых ящиков в Exchange Online организации. Например, вам может потребоваться разрешить диспетчеру обнаружения выполнять поиск только в почтовых ящиках пользователей, относящихся к определенному расположению или отделу. Для этого необходимо создать настраиваемую область управления. Эта область использует фильтр получателей для управления тем, в каких почтовых ящиках можно выполнять поиск. Области фильтра получателей используют фильтры для выделения определенных получателей на основе типа или других свойств получателя.

Для In-Place eDiscovery единственным свойством почтового ящика пользователя, которое можно использовать для создания фильтра получателей для настраиваемой области, является членство в группе рассылки (фактическое имя свойства — MemberOfGroup). Если вы используете другие свойства, такие как CustomAttributeN, Department или PostalCode, поиск не удается, когда он управляется членом группы ролей, назначенной настраиваемой области.

Дополнительные сведения об областях управления см. в разделе:

Что нужно знать перед началом работы

  • Предполагаемое время выполнения: 15 минут.

  • Как было сказано ранее, для создания настраиваемой области фильтра получателей, которая будет использоваться для электронного обнаружения данных, в качестве фильтра получателей можно использовать только членство в группе. Любые другие свойства получателя нельзя использовать для создания настраиваемой области для электронного обнаружения данных. Обратите внимание, что членство в динамической группе рассылки также не может быть использовано.

  • Выполните действия 1-3, чтобы позволить диспетчеру обнаружения экспортировать результаты поиска электронного обнаружения данных с использованием настраиваемой области управления.

  • Если диспетчеру обнаружения не требуется предварительный просмотр результатов поиска, действие 4 можно пропустить.

  • Если диспетчеру обнаружения не требуется копировать результаты поиска, действие 5 можно пропустить.

Действие 1. Организация пользователей в группы рассылки для электронного обнаружения данных

Для поиска в подмножестве почтовых ящиков в вашей организации или сужения области поиска исходных почтовых ящиков, в которых диспетчер обнаружения может выполнять поиск, необходимо сгруппировать подмножество почтовых ящиков в одну или несколько групп рассылки. При создании настраиваемой области управления в действии 2 эти группы рассылки используются как фильтр получателей. Это позволяет диспетчеру обнаружения выполнять поиск только в почтовых ящиков пользователей, входящих в определенную группу.

Для электронного обнаружения данных можно использовать существующие группы рассылки или создать новые. Советы для создания групп рассылок, которые можно использовать для определения области электронного обнаружения данных, см. в разделе Дополнительные сведения в конце этой статьи.

Действие 2. Создание настраиваемой области управления

Теперь будет создаваться настраиваемая область управления, определяемая членством группы рассылки (с помощью фильтра получателей MemberOfGroup). Если эта область применяется к группе ролей, используемой для электронного обнаружения данных, члены группы ролей могут выполнять поиск в почтовых ящиков пользователей, входящих в группу рассылки, с помощью которой была создана настраиваемая область управления.

Эта процедура использует Exchange Online PowerShell для создания настраиваемой области с именем Ottawa Users eDiscovery Scope. В них указывается группа рассылки с именем "Ottawa Users" для фильтра получателей настраиваемой области.

  1. Выполните эту команду, чтобы получить и сохранить свойства группы "Ottawa Users" в переменную, которая используется в следующей команде.

    $DG = Get-DistributionGroup -Identity "Ottawa Users"
    
  2. Выполните эту команду, чтобы создать настраиваемую область управления на основе членства в группе рассылки "Ottawa Users".

    New-ManagementScope "Ottawa Users eDiscovery Scope" -RecipientRestrictionFilter "MemberOfGroup -eq '$($DG.DistinguishedName)'"
    

Различающееся имя группы рассылки, которое содержится в переменной $DG, используется для создания фильтра получателей для новой области управления.

Действие 3. Создание группы ролей управления

В этой процедуре вы создаете новую группу ролей управления и назначаете настраиваемую область, созданную в действии 2. Добавьте роли "Удержание по юридическим причинам" и "Поиск в почтовых ящиках", чтобы участники группы ролей могли выполнять поиск обнаружения электронных данных на месте и поместить почтовые ящики на удержание на месте или юридическое удержание. Вы также можете добавить членов в эту группу ролей, чтобы они могли выполнять поиск в почтовых ящиках членов группы рассылки, с помощью которой была создана настраиваемая область в действии 2.

В следующих примерах группа безопасности "Ottawa Users eDiscovery Managers" будет добавлена как член этой группы ролей. Для этого шага Exchange Online PowerShell или EAC.

Используйте Exchange Online PowerShell для создания группы ролей управления

Выполните эту команду, чтобы создать группу ролей, использующую настраиваемую область, созданную в действии 2. Эта команда также добавляет роли "Удержание по юридическим причинам" и "Поиск в почтовых ящиках" и добавляет группу безопасности "Ottawa Users eDiscovery Managers" как члена новой группы ролей.

New-RoleGroup "Ottawa Discovery Management" -Roles "Mailbox Search","Legal Hold" -CustomRecipientWriteScope "Ottawa Users eDiscovery Scope" -Members "Ottawa Users eDiscovery Managers"

Использование центра администрирования Exchange для создания группы ролей управления

  1. В EAC перейдите к роли администратора разрешений, а > затем нажмите кнопку New Add  Icon .

  2. В разделе Новая группа ролей введите следующие сведения:

    • Имя. Укай описательное имя для новой группы ролей. В этом примере можно использовать Оттаву Discovery Management.

    • Область записи. Выберите настраиваемую область управления, созданную в шаге 2. Эта область будет применена к новой группе ролей.

    • Роли. Нажмите кнопку Добавить значок добавить и добавить роли поиска по юридическим удержаниям и почтовым ящикам  в новую группу ролей.

    • Участники: Щелкните Добавить значок добавить и выберите пользователей, группу безопасности или группы ролей, которые необходимо добавить в качестве членов  новой группы ролей. В этом примере члены группы безопасности "Оттава менеджеры по поиску электронных данных пользователей" смогут искать только почтовые ящики пользователей, которые являются членами группы рассылки Пользователей Оттавы.

  3. Нажмите кнопку Сохранить, чтобы создать группу.

    Вот пример того, как будет выглядеть окно Новая группа ролей после завершения операции.

    Создание новой группы ролей для настраиваемой области

(Необязательно) Действие 4. Добавление диспетчеров обнаружения как членов группы рассылки, используемой для создания настраиваемой области управления

Это действие необходимо выполнить, только чтобы разрешить диспетчеру обнаружения предварительный просмотр результатов поиска обнаружения электронных данных.

Выполните эту команду, чтобы добавить группу безопасности "Ottawa Users eDiscovery Managers" как члена группы рассылки "Ottawa Users".

Add-DistributionGroupMember -Identity "Ottawa Users" -Member "Ottawa Users eDiscovery Managers"

Примечание

Для Exchange локального использования диспетчеры обнаружения должны быть добавлены непосредственно в группу рассылки, используемую для создания области управления. Вложенные группы не будут работать.

Вы также можете использовать EAC для добавления участников в группу рассылки. Дополнительные сведения см. в дополнительных сведениях о создании и управлении группами рассылки.

(Необязательно) Действие 5. Добавление почтового ящика обнаружения как члена группы рассылки, используемой для создания настраиваемой области управления

Это действие необходимо выполнить, только чтобы разрешить диспетчеру обнаружения копировать результаты поиска обнаружения электронных данных.

Выполните эту команду, чтобы добавить почтовый ящик обнаружения "Ottawa Discovery Mailbox" как член группы рассылки "Ottawa Users".

Add-DistributionGroupMember -Identity "Ottawa Users" -Member "Ottawa Discovery Mailbox"

Примечание

Чтобы открыть почтовый ящик обнаружения и просмотреть результаты поиска, диспетчерам обнаружения должна быть назначены разрешения полного доступа к почтовому ящику обнаружения. Дополнительные сведения см. в разделе Создание почтового ящика найденных сообщений.

Как убедиться, что все получилось?

Вот несколько способов для проверки успешной реализации настраиваемых областей управления для обнаружения электронных данных. Во время проверки убедитесь, что пользователь, выполняющий поиск с обнаружением электронных данных, входит в группу ролей, использующую настраиваемую область управления.

  • Создайте поиск обнаружения электронных данных и выберите группу рассылки, которая использовалась для создания настраиваемой области управления, как источник почтовых ящиков для поиска. Поиск должен быть успешно выполнен во всех почтовых ящиках.

  • Создайте поиск обнаружения электронных данных и выполните поиск в почтовых ящиках всех пользователей, не входящих в группу рассылки, которая использовалась для создания настраиваемой области управления. Поиск должен завершиться с ошибкой, так как диспетчер обнаружения может выполнять поиск только для пользователей, входящих в группу рассылки, которая использовалась для создания настраиваемой области управления. В этом случае будет возвращена ошибка, например "Невозможно искать почтовый ящик, так как у текущего пользователя нет разрешений на доступ к почтовому <name of mailbox> ящику".

  • Создайте поиск обнаружения электронных данных и выполните поиск в почтовых ящиках пользователей, входящих в группу рассылки, которая использовалась для создания настраиваемой области управления. Включите в тот же поиск почтовые ящики пользователей, которые не являются членами этой группы рассылки. Поиск должен частично завершиться успешно. Поиск в почтовых ящиках членов группы рассылки, используемой для создания настраиваемой области управления, должен завершиться успешно. Поиск в почтовых ящиках пользователей, которые не входят в группу рассылки, должен завершиться ошибкой.

Дополнительные сведения

  • Так как группы рассылки используются в этом сценарии для определения областей поиска обнаружения электронных данных, а не для доставки сообщений, учитывайте следующее при создании и настройке группы рассылки для обнаружения электронных данных.

    • Создавайте группы рассылки с закрытым членством, чтобы только владельцы группы могли добавлять членов в группу или удалять их. Если вы создаете группу в Exchange Online PowerShell, используйте синтаксис MemberJoinRestriction closed и MemberDepartRestriction closed .

    • Включите модерирование группы, чтобы все сообщения, отправляемые в группу, сначала передавались модераторам, которые могут утвердить или отклонить сообщение. Если вы создаете группу в Exchange Online PowerShell, используйте синтаксис ModerationEnabled $true . Если вы используете центр администрирования Exchange, модерирование можно включить после создания группы.

    • Скройте группу рассылки из общей адресной книги организации. Используйте центр администрирования Exchange или командлет Set-DistributionGroup после создания группы. Если вы используете Exchange Online PowerShell, используйте синтаксис HiddenFromAddressListsEnabled $true .

      В следующем примере первая команда создает группу рассылки с закрытым членством и включенным модерированием. Вторая команда скрывает группу из общей адресной книги.

      New-DistributionGroup -Name "Vancouver Users eDiscovery Scope" -Alias VancouverUserseDiscovery -MemberJoinRestriction closed -MemberDepartRestriction closed -ModerationEnabled $true
      
      Set-DistributionGroup "Vancouver Users eDiscovery Scope" -HiddenFromAddressListsEnabled $true
      

      Дополнительные сведения о создании и управлении группами рассылки см. в дополнительных сведениях о создании и управлении группами рассылки.

  • Хотя в качестве фильтра получателей для настраиваемой области управления, используемой для обнаружения электронного данных, можно применять только членство в группе рассылки, другие свойства получателей можно использовать для добавления пользователей в эту группу рассылки. Вот несколько примеров использования командлетов Get-Mailbox и Get-Recipient для получения определенной группы пользователей на основе общих атрибутов пользователей или почтовых ящиков.

    Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'Department -eq "HR"'
    
    Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'CustomAttribute15 -eq "VancouverSubsidiary"'
    
    Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'PostalCode -eq "98052"'
    
    Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'StateOrProvince -eq "WA"'
    
    Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited -OrganizationalUnit "namsr01a002.sdf.exchangelabs.com/Microsoft Exchange Hosted Organizations/contoso.onmicrosoft.com"
    
  • Затем можно использовать примеры из предыдущего списка для создания переменной, применяемой с командлетом Add-DistributionGroupMember, для добавления группы пользователей в группу рассылки. В следующем примере первая команда создает переменную, которая содержит все почтовые ящики пользователей, которые имеют значение Vancouver для свойства Department в учетной записи пользователя. Вторая команда добавляет этих пользователей в группу рассылки "Vancouver Users".

    $members = Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'Department -eq "Vancouver"'
    
    $members | ForEach {Add-DistributionGroupMember "Ottawa Users" -Member $_.Name}
    
  • С помощью командлета Add-RoleGroupMember можно добавить члена в существующую группу ролей, которая используется для определения областей поиска обнаружения электронных данных. Например, следующая команда добавляет пользователя admin@ottawa.contoso.com в группу ролей "Ottawa Discovery Management".

    Add-RoleGroupMember "Vancouver Discovery Management" -Member paralegal@vancouver.contoso.com
    

    Вы также можете использовать EAC для добавления участников в группу ролей. Дополнительные сведения см. в разделе "Изменение групп ролей" в разделе Управление группами ролей в Exchange Online.

  • В Exchange Online невозможно искать неактивные почтовые ящики с помощью настраиваемой области управления, используемой для обнаружения электронных данных. Это обусловлено тем, что неактивный почтовый ящик не может быть членом группы рассылки. Предположим, что пользователь входит в группу рассылки, с использованием которой была создана настраиваемая область управления для обнаружения электронных данных. Затем пользователь покидает организацию, а его почтовый ящик не активирован (помещая удержание судебного разбирательства или In-Place в почтовый ящик, а затем удаляя соответствующую учетную запись пользователя). В результате пользователь удален из каждой группы рассылки, включая группу, с использованием которой создана настраиваемая область управления для обнаружения электронных данных. Если менеджер по обнаружению (член группы ролей, назначенной для настраиваемой области управления) попытается найти этот неактивный почтовый ящик, поиск не даст результатов. Чтобы менеджер по обнаружению мог искать неактивные почтовые ящики, ему нужно входить в группу ролей управления обнаружением или любой другой группы ролей, имеющей разрешение на поиск по всей организации.

    Дополнительные сведения о неактивных почтовых ящиках см. в дополнительных сведениях о создании и управлении неактивными почтовыми ящиками.