Создание настраиваемой области управления для обнаружения электронных данных на местеCreate a custom management scope for In-Place eDiscovery searches

Можно использовать настраиваемой области управления для конкретных пользователей или групп используется электронного обнаружения на месте для поиска подмножество почтовых ящиков в организации Exchange 2013 или Exchange Online. Например может потребоваться разрешить диспетчеру обнаружения поиск только почтовые ящики пользователей в определенное расположение или отдела. Это можно сделать путем создания настраиваемой области управления. В этом настраиваемой области управления использует фильтра получателя для управления какой почтовых ящиков может быть выполнен. Области фильтра получателей используйте фильтры для создания решений на основе типа получателя или другими свойствами получателя определенным получателям.You can use a custom management scope to let specific people or groups use In-Place eDiscovery to search a subset of mailboxes in your Exchange 2013 or Exchange Online organization. For example, you might want to let a discovery manager search only the mailboxes of users in a specific location or department. You can do this by creating a custom management scope. This custom management scope uses a recipient filter to control which mailboxes can be searched. Recipient filter scopes use filters to target specific recipients based on recipient type or other recipient properties.

Для электронного обнаружения на месте только одно свойство для почтового ящика пользователя, которые можно использовать для создания фильтра получателей для настраиваемой области — членство в группах рассылки ( MemberOfGroup— это имя фактического свойства). Если вы используете другие свойства, такие как CustomAttributeN, отдела_или _PostalCode_поиска не удается выполнить при запуске, должна быть членом группы ролей, которому назначен настраиваемые области.For In-Place eDiscovery, the only property on a user mailbox that you can use to create a recipient filter for a custom scope is distribution group membership (the actual property name is _MemberOfGroup). If you use other properties, such as CustomAttributeN, Department, or PostalCode, the search fails when it's run by a member of the role group that's assigned the custom scope.

Дополнительные сведения об областях управления см. в разделе:To learn more about management scopes, see:

Что нужно знать перед началом работыWhat do you need to know before you begin?

  • Предполагаемое время для завершения: 15 минут.Estimated time to complete: 15 minutes

  • Как было сказано ранее можно использовать только членство в группах как фильтра получателя для создания настраиваемого фильтра получателя области, который предназначен для использования для обнаружения электронных данных. Другими свойствами получателя не может использоваться для создания настраиваемых областей поиска обнаружения электронных данных. Обратите внимание, что членство в динамическую группу рассылки не могут быть использованы.As previously stated, you can only use group membership as the recipient filter to create a custom recipient filter scope that is intended to be used for eDiscovery. Any other recipient properties can't be used to create a custom scope for eDiscovery searches. Note that membership in a dynamic distribution group can't be used either.

  • Выполните действия 1–3, чтобы позволить диспетчеру обнаружения экспортировать результаты поиска электронного обнаружения данных с использованием настраиваемой области управления.Perform steps 1 through 3 to let a discovery manager export the search results for an eDiscovery search that uses a custom management scope.

  • Если диспетчеру обнаружения не требуется предварительный просмотр результатов поиска, действие 4 можно пропустить.If your discovery manager doesn't need to preview the search results, you can skip step 4.

  • Если диспетчеру обнаружения не требуется копировать результаты поиска, действие 5 можно пропустить.If your discovery manager doesn't need to copy the search results, you can skip step 5.

Действие 1. Организация пользователей в группы рассылки для электронного обнаружения данныхStep 1: Organize users into distribution groups for eDiscovery

Для поиска подмножество почтовые ящики в вашей организации или сузить исходных почтовых ящиков, которые диспетчер обнаружения может выполнять поиск, вам потребуются для группировки подмножество почтовых ящиков в одной или нескольких групп рассылки. При создании настраиваемой области управления на шаге 2, используется эти группы рассылки в качестве фильтра получателя для создания настраиваемой области управления. Обнаружение позволяет просматривать только почтовые ящики пользователей, которые являются членами указанной группы.To search a subset of mailboxes in your organization or to narrow the scope of source mailboxes that a discovery manager can search, you'll need to group the subset of mailboxes into one or more distribution groups. When you create a custom management scope in step 2, you'll use these distribution groups as the recipient filter to create a custom management scope. This allows a discovery manager to search only the mailboxes of the users who are members of a specified group.

Для электронного обнаружения данных можно использовать существующие группы рассылки или создать новые. Советы для создания групп рассылок, которые можно использовать для определения области электронного обнаружения данных, см. в разделе More information в конце этой статьи.You might be able to use existing distribution groups for eDiscovery purposes, or you can create new ones. See More information at the end of this topic for tips on how to create distribution groups that can be used to scope eDiscovery searches.

Действие 2. Создание настраиваемой области управленияStep 2: Create a custom management scope

Теперь вы создадите настраиваемой области управления, определяемое членства группы рассылки (с помощью фильтра получателя MemberOfGroup ). При применении этой области в группу ролей, используется для обнаружения электронных данных членов группы ролей могут выполнять поиск в почтовые ящики пользователей, которые являются участниками группы рассылки, который использовался для создания настраиваемой области управления.Now you'll create a custom management scope that's defined by the membership of a distribution group (using the MemberOfGroup recipient filter). When this scope is applied to a role group used for eDiscovery, members of the role group can search the mailboxes of users who are members of the distribution group that was used to create the custom management scope.

В этой процедуре в командной консоли Exchange выполняются команды для создания настраиваемой области электронного обнаружения данных с именем "Ottawa Users". В них указывается группа рассылки с именем "Ottawa Users" для фильтра получателей настраиваемой области.This procedure uses Exchange Management Shell commands to create a custom scope named Ottawa Users eDiscovery Scope. It specifies the distribution group named Ottawa Users for the recipient filter of the custom scope.

  1. Выполните эту команду, чтобы получить и сохранить свойства группы "Ottawa Users" в переменную, которая используется в следующей команде.Run this command to get and save the properties of the Ottawa Users group to a variable, which is used in the next command.

    $DG = Get-DistributionGroup -Identity "Ottawa Users"
    
  2. Выполните эту команду, чтобы создать настраиваемую область управления на основе членства в группе рассылки "Ottawa Users".Run this command to create a custom management scope based on the membership of the Ottawa Users distribution group.

    New-ManagementScope "Ottawa Users eDiscovery Scope" -RecipientRestrictionFilter "MemberOfGroup -eq '$($DG.DistinguishedName)'"
    

    Различающееся имя группы рассылки, которое содержится в переменной $DG, используется для создания фильтра получателей для новой области управления.The distinguished name of the distribution group, which is contained in the variable $DG, is used to create the recipient filter for the new management scope.

Действие 3. Создание группы ролей управленияStep 3: Create a management role group

В этой процедуре вы создаете новую группу ролей управления и назначаете настраиваемую область, созданную в действии 2. Добавьте роли "Удержание по юридическим причинам" и "Поиск в почтовых ящиках", чтобы участники группы ролей могли выполнять поиск обнаружения электронных данных на месте и поместить почтовые ящики на удержание на месте или юридическое удержание. Вы также можете добавить членов в эту группу ролей, чтобы они могли выполнять поиск в почтовых ящиках членов группы рассылки, с помощью которой была создана настраиваемая область в действии 2.In this step, you create a new management role group and assign the custom scope that you created in step 2. Add the Legal Hold and Mailbox Search roles so that role group members can perform In-Place eDiscovery searches and place mailboxes on In-Place Hold or Litigation Hold. You can also add members to this role group so they can search the mailboxes of the members of the distribution group used to create the custom scope in step 2.

В следующих примерах группа безопасности "Ottawa Users eDiscovery Managers" будет добавлена как член этой группы ролей. Для этого действия можно использовать командную консоль или центр администрирования Exchange.In the following examples, the Ottawa Users eDiscovery Managers security group will be added as members this role group. You can use either the Shell or the EAC for this step.

Использование командной консоли для создания группы ролей управленияUse the Shell to create a management role group

Выполните эту команду, чтобы создать группу ролей, использующую настраиваемую область, созданную в действии 2. Эта команда также добавляет роли "Удержание по юридическим причинам" и "Поиск в почтовых ящиках" и добавляет группу безопасности "Ottawa Users eDiscovery Managers" как члена новой группы ролей.Run this command to create a new role group that uses the custom scope created in step 2. The command also adds the Legal Hold and Mailbox Search roles, and adds the Ottawa Users eDiscovery Managers security group as members of the new role group.

New-RoleGroup "Ottawa Discovery Management" -Roles "Mailbox Search","Legal Hold" -CustomRecipientWriteScope "Ottawa Users eDiscovery Scope" -Members "Ottawa Users eDiscovery Managers"

Использование центра администрирования Exchange для создания группы ролей управленияUse the EAC to create a management role group

  1. В центре администрирования Exchange перейдите к разрешениями > роли администраторови нажмите кнопку Создатьдобавить значок.In the EAC, go to Permissions > Admin roles, and then click NewAdd Icon.

  2. В разделе Новая группа ролей введите следующие сведения:In New role group, provide the following information:

    • Имя Укажите описательное имя для новой группы ролей. В данном примере используется управление обнаружением Ottawa.Name Provide a descriptive name for the new role group. For this example, you'd use Ottawa Discovery Management.

    • Область Выберите настраиваемой области управления, созданный на шаге 2. Область будет применяться к новой группы ролей.Write scope Select the custom management scope that you created in step 2. This scope will be applied to the new role group.

    • Роли Нажмите кнопку Добавитьдобавить значоки добавьте роли Юридическое удержание и Поиск в почтовых ящиках в новую группу ролей.Roles Click AddAdd Icon, and add the Legal Hold and Mailbox Search roles to the new role group.

    • Члены Нажмите кнопку Добавитьдобавить значоки выберите пользователей, группы безопасности или групп ролей, которые требуется добавить в качестве членов новой группы ролей. В данном примере членов группы безопасности Ottawa Users eDiscovery руководители могут выполнять поиск только в почтовые ящики пользователей, которые являются участниками группы рассылки " Ottawa Users ".Members Click AddAdd Icon, and select the users, security group, or role groups that you want add as members of the new role group. For this example, the members of the Ottawa Users eDiscovery Managers security group will be able to search only the mailboxes of users who are members of the Ottawa Users distribution group.

  3. Нажмите кнопку Сохранить, чтобы создать группу.Click Save to create the role group.

    Ниже приведен пример как будет выглядеть окно новой группы ролей после завершения операции.Here's an example of what the New role group window will look like when you're done.

    Создание новой группы ролей для настраиваемой области

(Необязательно) Действие 4. Добавление диспетчеров обнаружения как членов группы рассылки, используемой для создания настраиваемой области управления(Optional) Step 4: Add discovery managers as members of the distribution group used to create the custom management scope

Это действие необходимо выполнить, только чтобы разрешить диспетчеру обнаружения предварительный просмотр результатов поиска обнаружения электронных данных.You only need to perform this step if you want to let a discovery manager preview eDiscovery search results.

Выполните эту команду, чтобы добавить группу безопасности "Ottawa Users eDiscovery Managers" как члена группы рассылки "Ottawa Users".Run this command to add the Ottawa Users eDiscovery Managers security group as a member of the Ottawa Users distribution group.

Add-DistributionGroupMember -Identity "Ottawa Users" -Member "Ottawa Users eDiscovery Managers"

Также можно использовать Центр администрирования Exchange для добавления членов в группу рассылки. Дополнительные сведения можно Создание и управление группами рассылки.You can also use the EAC to add members to a distribution group. For more information, see Create and manage distribution groups.

(Необязательно) Действие 5. Добавление почтового ящика обнаружения как члена группы рассылки, используемой для создания настраиваемой области управления(Optional) Step 5: Add a discovery mailbox as a member of the distribution group used to create the custom management scope

Это действие необходимо выполнить, только чтобы разрешить диспетчеру обнаружения копировать результаты поиска обнаружения электронных данных.You only need to perform this step if you want to let a discovery manager copy eDiscovery search results.

Выполните эту команду, чтобы добавить почтовый ящик обнаружения "Ottawa Discovery Mailbox" как член группы рассылки "Ottawa Users".Run this command to add a discovery mailbox named Ottawa Discovery Mailbox as a member of the Ottawa Users distribution group.

Add-DistributionGroupMember -Identity "Ottawa Users" -Member "Ottawa Discovery Mailbox"

Примечание

Чтобы открыть почтовый ящик найденных сообщений и просмотра результатов поиска, диспетчеры обнаружения должны быть назначены разрешения полного доступа для почтового ящика обнаружения. Для получения дополнительных сведений см. Создание почтового ящика обнаружения.To open a discovery mailbox and view the search results, discovery managers must be assigned Full Access permissions for the discovery mailbox. For more information, see Create a discovery mailbox.

Как проверить, что все получилось?How do you know this worked?

Существует несколько способов, чтобы проверить, если успешно реализованы настраиваемые области управления для обнаружения электронных данных. При проверке, убедитесь, что пользователя, выполняющего поисковые запросы обнаружения электронных данных, является участником группы ролей, использующего настраиваемой области управления.Here are some ways to verify if you've successfully implemented custom management scopes for eDiscovery. When you verify, be sure that the user running the eDiscovery searches is a member of the role group that uses the custom management scope.

  • Создайте поиск обнаружения электронных данных и выберите группу рассылки, которая использовалась для создания настраиваемой области управления, как источник почтовых ящиков для поиска. Поиск должен быть успешно выполнен во всех почтовых ящиках.Create an eDiscovery search, and select the distribution group that was used to create the custom management scope as the source of mailboxes to be searched. All mailboxes should be successfully searched.

  • Создание поиска обнаружения электронных данных и поиска почтовых ящиков пользователей, которые не членов группы рассылки, который использовался для создания настраиваемой области управления. Поиск не выполняется, поскольку диспетчер обнаружения может выполнять поиск только почтовых ящиков для пользователей, которые являются участниками группы рассылки, который использовался для создания настраиваемой области управления. В данном случае ошибку, например, «не удалось найти почтовый ящик < имя почтового ящика > так как текущий пользователь не имеет разрешений на доступ к почтовому ящику» будут возвращены.Create an eDiscovery search, and search the mailboxes of any users who aren't members of the distribution group that was used to create the custom management scope. The search should fail because the discovery manager can only search mailboxes for users who are members of the distribution group that was used to create the custom management scope. In this case, an error such as "Unable to search mailbox < name of mailbox> because the current user does not have permissions to access the mailbox" will be returned.

  • Создание поиска обнаружения электронных данных и поиска почтовых ящиков пользователей, которые являются участниками группы рассылки, который использовался для создания настраиваемой области управления. В тот же поиск содержат почтовые ящики пользователей, которые не членов. Поиск частично должны выполняться успешно. Почтовые ящики членов группы рассылки, используемые для создания настраиваемой области управления следует искать успешно. Поиск почтовых ящиков пользователей, которые не члены группы должны с ошибкой.Create an eDiscovery search, and search the mailboxes of users who are members of the distribution group that was used to create the custom management scope. In the same search, include the mailboxes of users who aren't members. The search should partially succeed. The mailboxes of members of the distribution group used to create the custom management scope should be successfully searched. The search of mailboxes for users who aren't members of the group should fail.

Дополнительные сведенияMore information

  • Так как группы рассылки используются в этом сценарии для определения областей поиска обнаружения электронных данных, а не для доставки сообщений, учитывайте следующее при создании и настройке группы рассылки для обнаружения электронных данных.Because distribution groups are used in this scenario to scope eDiscovery searches and not for message delivery, consider the following when you create and configure distribution groups for eDiscovery:

    • Создание групп рассылки с закрытой членство, члены можно добавить или удалены из группы владельцами группы. При создании группы в командной консоли Exchange, используйте синтаксис MemberJoinRestriction closed и MemberDepartRestriction closed.Create distribution groups with a closed membership so that members can be added to or removed from the group only by the group owners. If you're creating the group in the Shell, use the syntax MemberJoinRestriction closed and MemberDepartRestriction closed.

    • Включите модерации группы, чтобы все сообщения, отправляемые в группу сначала отправленные модераторами группы, которые могут утвердить или отклонить сообщение соответствующим образом. При создании группы в командной консоли Exchange, используйте синтаксис ModerationEnabled $true. Если вы используете центра администрирования Exchange, можно включить модерации после создания группы.Enable group moderation so that any message sent to the group is first sent to the group moderators who can approve or reject the message accordingly. If you're creating the group in the Shell, use the syntax ModerationEnabled $true. If you're using the EAC, you can enable moderation after the group is created.

    • Скрытие группы рассылки из общей адресной книге организации. После создания группы с помощью центра администрирования Exchange или командлета Set-DistributionGroup . Если вы используете командной консоли Exchange, используйте синтаксис HiddenFromAddressListsEnabled $true.Hide the distribution group from the organization's shared address book. Use the EAC or the Set-DistributionGroup cmdlet after the group is created. If you're using the Shell, use the syntax HiddenFromAddressListsEnabled $true.

      В следующем примере первая команда создает группу рассылки с закрытым членством и включенным модерированием. Вторая команда скрывает группу из общей адресной книги.In the following example, the first command creates a distribution group with closed membership and moderation enabled. The second command hides the group from the shared address book.

    New-DistributionGroup -Name "Vancouver Users eDiscovery Scope" -Alias VancouverUserseDiscovery -MemberJoinRestriction closed -MemberDepartRestriction closed -ModerationEnabled $true
    
    Set-DistributionGroup "Vancouver Users eDiscovery Scope" -HiddenFromAddressListsEnabled $true
    

    Дополнительные сведения о создании и управления группами рассылки можно Создание и управление группами рассылки.For more information about creating and managing distribution groups, see Create and manage distribution groups.

  • Хотя в качестве фильтра получателей для настраиваемой области управления, используемой для обнаружения электронного данных, можно применять только членство в группе рассылки, другие свойства получателей можно использовать для добавления пользователей в эту группу рассылки. Вот несколько примеров использования командлетов Get-Mailbox и Get-Recipient для получения определенной группы пользователей на основе общих атрибутов пользователей или почтовых ящиков.Though you can use only distribution group membership as the recipient filter for a custom management scope used for eDiscovery, you can use other recipient properties to add users to that distribution group. Here are some examples of using the Get-Mailbox and Get-Recipient cmdlets to return a specific group of users based on common user or mailbox attributes.

    Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'Department -eq "HR"'
    
    Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'CustomAttribute15 -eq "VancouverSubsidiary"'
    
    Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'PostalCode -eq "98052"'
    
    Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'StateOrProvince -eq "WA"'
    
    Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited -OrganizationalUnit "namsr01a002.sdf.exchangelabs.com/Microsoft Exchange Hosted Organizations/contoso.onmicrosoft.com"
    
  • Примеры из предыдущих маркера затем можно использовать для создания переменной, которая может использоваться с помощью командлета Add-DistributionGroupMember для добавления группы пользователей в группу рассылки. В следующем примере первый команда создает переменную, которая содержит все почтовые ящики пользователей, для которых значение Vancouver для свойства отдела в своей учетной записи пользователя. Вторая команда добавляет этих пользователей в группу рассылки Vancouver пользователей.You can then use the examples from the previous bullet to create a variable that can be used with the Add-DistributionGroupMember cmdlet to add a group of users to a distribution group. In the following example, the first command creates a variable that contains all user mailboxes that have the value Vancouver for the Department property in their user account. The second command adds these users to the Vancouver Users distribution group.

    $members = Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'Department -eq "Vancouver"'
    
    $members | ForEach {Add-DistributionGroupMember "Ottawa Users" -Member $_.Name}
    
  • Командлет Add-RoleGroupMember для добавления элемента в существующую группу ролей, используемой области поиска обнаружения электронных данных. К примеру следующая команда добавляет admin@ottawa.contoso.com пользователя в группу ролей управления Ottawa Discovery.You can use the Add-RoleGroupMember cmdlet to add a member to an existing role group that's used to scope eDiscovery searches. For example, the following command adds the user admin@ottawa.contoso.com to the Ottawa Discovery Management role group.

    Add-RoleGroupMember "Vancouver Discovery Management" -Member paralegal@vancouver.contoso.com
    

    Для добавления членов в группу ролей также можно использовать центр администрирования Exchange. Дополнительные сведения см. в разделе "Добавление членов в группу ролей" статьи Manage Role Group Members.You can also use the EAC to add members to a role group. For more information, see the "Add members to a role group" section in Manage Role Group Members.

  • В Exchange Online настраиваемой области управления для обнаружения электронных данных не может использоваться для поиска неактивные почтовые ящики. Это так, как неактивного почтового ящика не может входить в группу рассылки. Например предположим, что пользователь является участником группы рассылки, который использовался для создания настраиваемой области управления для обнаружения электронных данных. Затем пользователь покидает организацию и их почтовых ящиков выполняется неактивных (по для выполнения хранение для судебного разбирательства или в месте хранения для почтового ящика и затем удаление соответствующая учетная запись пользователя Office 365). Результатом будет удалена, что пользователь как члена группы из любой группы рассылки, включая группы, который использовался для создания настраиваемой области управления для обнаружения электронных данных. Если диспетчеру обнаружения (, являющийся членом группы ролей, которому назначен настраиваемой области управления) пытается найти неактивного почтового ящика поиска завершится с ошибкой. Чтобы выполнить поиск неактивные почтовые ящики, диспетчер обнаружения должна быть членом группы ролей управления обнаружения или любой группы ролей, имеющей разрешения для поиска во всей организации.In Exchange Online, a custom management scope used for eDiscovery can't be used to search inactive mailboxes. This is because an inactive mailbox can't be a member of a distribution group. For example, let's say that a user is a member of a distribution group that was used to create a custom management scope for eDiscovery. Then that user leaves the organization and their mailbox is made inactive (by placing a Litigation Hold or In-Place hold on the mailbox and then deleting the corresponding Office 365 user account). The result is that the user is removed as a member from any distribution group, including the group that was used to create the custom management scope used for eDiscovery. If a discovery manager (who is a member of the role group that's assigned the custom management scope) tries to search the inactive mailbox, the search will fail. To search inactive mailboxes, a discover manager must be a member of the Discovery Management role group or any role group that has permissions to search the entire organization.

    Дополнительные сведения о неактивных почтовых ящиках см. в статье Inactive mailboxes in Exchange Online.For more information about inactive mailboxes, see Inactive mailboxes in Exchange Online.