Обнаружение электронных данных на месте

Важно!

Поскольку мы продолжаем вкладывать средства в поиск контента почтовых ящиков различными способами, мы объявляем о завершении In-Place в центре администрирования Exchange (EAC) в Exchange Online. С 1 июля 2020 г. вы не сможете создавать новые поиски In-Place электронного поиска. Но вы все равно сможете управлять поисками In-Place в EAC или с помощью комлета Set-MailboxSearch в Exchange Online PowerShell. Однако с 1 октября 2020 г. вы не сможете управлять поисками In-Place электронных поисков. Удалить их можно будет только в EAC или с помощью cmdlet Remove-MailboxSearch. Использование In-Place в Exchange Server и Exchange будет по-прежнему поддерживаться. Дополнительные сведения об уходе из In-Place в Exchange Online см. в Exchange Online средства электронной почты.

Если ваша организация придерживается требований к юридическим обнаружениям (связанным с организационной политикой, соответствием требованиям или судебными разбирательствами), In-Place в Exchange Online поможет вам выполнить поиск обнаружения соответствующего контента в почтовых ящиках. Вы также можете использовать функцию обнаружения электронных данных на месте в гибридной среде Exchange для поиска в локальных и облачных почтовых ящиках с использованием одной и той же операции поиска.

Важно!

In-Place eDiscovery — это мощная функция, позволяющая пользователю с правильными разрешениями потенциально получать доступ ко всем записям обмена сообщениями, хранимым в Exchange Online организации. Очень важно отслеживать и контролировать действия пользователей по обнаружению, в том числе по добавлению участников в группу ролей управления обнаружением и предоставлению доступа к почтовым ящикам найденных сообщений.

Принципы работы обнаружения электронных данных на месте

В электронном обнаружении на месте используются индексы содержимого, созданные службой поиска Exchange. Функция управления доступом на основе ролей (RBAC) позволяет группе ролей Discovery Management делегировать задачи обнаружения нетехническому персоналу без необходимости предоставлять пользователям расширенные права, с помощью которых они могут вносить изменения в конфигурацию Exchange. В Центре администрирования Exchange (EAC) представлен интерфейс поиска, простой для использования нетехническим персоналом, например юристами и должностными лицами, отвечающими за соблюдение нормативных требований, делопроизводителями и сотрудниками кадрового отдела.

Авторизованные пользователи могут выполнять обнаружение электронных данных на месте, выбирая почтовые ящики и указывая условия поиска, такие как ключевые слова, начальная и конечная дата, адреса отправителей и получателей, а также типы сообщений. После завершения поиска авторизованные пользователи могут выбрать одно из следующих действий:

  • Оценка результатов поиска. Этот параметр возвращает оценку общего размера и количества элементов, которые будут возвращены поиском в зависимости от указанных вами критериев.

  • Предварительные результаты поиска. Этот параметр предоставляет предварительный просмотр результатов. Отображаются сообщения, возвращенные из каждого включенного в поиск почтового ящика.

  • Копирование результатов поиска. Этот параметр позволяет скопировать сообщения в почтовый ящик обнаружения.

  • Экспорт результатов поиска. После копирования результатов поиска в почтовый ящик обнаружения их можно экспортировать в PST-файл.

Оценка, предварительный просмотр, копирование и экспорт результатов поиска

В электронном обнаружении на месте используются индексы содержимого, созданные службой поиска Exchange. Служба поиска Exchange была модернизирована и теперь использует Microsoft Search Foundation, мощную платформу с более высокой производительностью индексации и запросов, а также улучшенным поиском. Так как Microsoft Search Foundation также используется другими продуктами Office, включая SharePoint 2013, эта платформа обеспечивает более высокий уровень взаимодействия и сходный синтаксис запросов в этих продуктах.

Благодаря единому механизму индексации содержимого для функции обнаружения электронных данных на месте не требуются дополнительные ресурсы для сканирования и индексации баз данных почтовых ящиков при получении ИТ-отделом запросов на электронное обнаружение.

In-Place eDiscovery использует язык запросов по ключевым словам (KQL), синтаксис запросов, аналогичный синтаксису расширенных запросов (AQS), используемой службой мгновенный поиск в Microsoft Outlook и Outlook в Интернете. Пользователи, знакомые с синтаксисом KQL, могут легко создать сложные поисковые запросы для поиска индексов содержимого.

Дополнительные сведения о форматах файлов, индексируемых поиском Exchange, см. в разделе File Formats Indexed By Exchange Search.

Группа ролей управления обнаружением и роли управления

Чтобы авторизованные пользователи могли выполнять поиск методом обнаружения электронных данных на месте, их нужно добавить в группу ролей Discovery Management. Данная группа ролей состоит из двух ролей управления: Роль поиска в почтовом ящике, которая позволяет пользователям выполнять поиск методом обнаружения электронных данных на месте, и Роль хранения для судебного разбирательства, которая позволяет размещать почтовые ящики на хранение на месте или на хранение для судебного разбирательства. Дополнительные сведения о ролях и группах ролей см. в Exchange Online.

По умолчанию разрешения для выполнения задач, связанных с электронным обнаружением на месте, не назначаются пользователям или администраторам Exchange. Администраторы Exchange, входящие в группу роли управления организацией, могут добавлять пользователей в группу роли управления обнаружением и создавать настраиваемые группы ролей для сужения области менеджера по обнаружению до подмножества пользователей. Дополнительные сведения о добавлении пользователей в группу роли управления обнаружением см. в разделе Назначение разрешений обнаружения электронных данных в Exchange.

Важно!

Если пользователь не был добавлен в группу ролей управления обнаружением или не назначен роль поиска почтовых ящиков, пользовательский интерфейс обнаружение электронных данных на месте & Hold не отображается в EAC, а In-Place кодлеты обнаружения электронных данных недоступны в Exchange Online PowerShell.

Аудит изменений в роли RBAC, включенный по умолчанию, обеспечивает ведение соответствующих записей для отслеживания назначений группы ролей управления обнаружением. Отчет о группе ролей администраторов используется для поиска изменений в группах ролей администраторов. Подробнее см. в разделе Search the role group changes or administrator audit logs.

Настраиваемые области управления для обнаружения электронных данных на месте

Вы можете использовать настраиваемую область управления, чтобы позволить определенным In-Place или группам использовать In-Place для поиска подмножество почтовых ящиков в Exchange Online организации. Например, вам может потребоваться разрешить менеджеру по обнаружению выполнять поиск только в почтовых ящиках пользователей, относящихся к определенному расположению или отделу. Для этого следует создать настраиваемую область управления, которая использует фильтр получателей для управления тем, в каких почтовых ящиках можно выполнять поиск. Области фильтра получателей используют фильтры для выделения определенных получателей на основе типа или других свойств получателя.

Для обнаружения электронных данных на месте создать фильтр подключения настраиваемой области можно только с помощью членства в группе рассылки. Если вы используете другие свойства, такие как CustomAttributeN, Department или PostalCode, поиск не удается, когда он управляется членом группы ролей, назначенной настраиваемой области. Подробнее см. в разделе Create a custom management scope for In-Place eDiscovery searches.

Обнаружение электронных данных при гибридном развертывании Exchange

Для успешного выполнения междометных поисков по обнаружению электронных данных в гибридной организации Exchange Server необходимо настроить проверку подлинности OAuth (Open Authorization) между локальной Exchange и Exchange Online организациями, чтобы можно было использовать In-Place eDiscovery для поиска на локальной основе и облачных почтовых ящиков. Проверка подлинности OAuth — это протокол межсерверной проверки подлинности, который позволяет приложениям проверять подлинность друг друга.

Проверка подлинности OAuth поддерживает приведенные ниже сценарии обнаружения электронных данных при гибридном развертывании Exchange.

  • Поиск локальных почтовых ящиков, использующих архивацию на базе Exchange Online для облачных архивных почтовых ящиков.

  • Поиск в локальных и облачных почтовых ящиках в рамках одного сеанса обнаружения электронных данных.

  • Поиск в локальных почтовых ящиках с помощью Центра обнаружения электронных данных в SharePoint Online.

Дополнительные сведения о сценариях обнаружения электронных данных, для которых требуется настроить проверку подлинности OAuth при гибридном развертывании Exchange, см. в разделе Using Oauth Authentication to Support eDiscovery in an Exchange Hybrid Deployment. Пошаговые инструкции по настройке проверки подлинности OAuth для поддержки обнаружения электронных данных см. в разделе Configure OAuth Authentication Between Exchange and Exchange Online Organizations.

Сведения о запуске поиска In-Place в Exchange Server см. в In-Place поиске Exchange Server .

Почтовые ящики обнаружения

После создания запроса на обнаружение электронных данных на месте результаты поиска можно скопировать в целевой почтовый ящик. Центр администрирования Exchange позволяет выбрать почтовый ящик найденных сообщений в качестве целевого. Почтовый ящик найденных сообщений — это специальный почтовый ящик, который предоставляет приведенные ниже возможности.

  • Простой и безопасный выбор целевых почтовых ящиков. При использовании EAC для копирования результатов поиска In-Place обнаружения доступны только почтовые ящики обнаружения в качестве репозитория, в котором хранятся результаты поиска. Это исключает необходимость сортировать длинный список почтовых ящиков, доступных в организации. Кроме того, исключается вероятность случайного выбора менеджером по обнаружению почтового ящика другого пользователя или незащищенного почтового ящика для хранения потенциально конфиденциального содержимого сообщений.

  • Большая квота хранения почтовых ящиков. Целевой почтовый ящик должен хранить большое количество данных сообщений, которые могут быть возвращены In-Place поиском электронных данных. По умолчанию почтовые ящики найденных сообщений имеют квоту хранилища почтовых ящиков 50 гигабайт (ГБ). Эту квоту увеличить нельзя.

  • Более безопасный по умолчанию: как и все типы почтовых ящиков, почтовый ящик обнаружения имеет связанную учетную запись пользователя Active Directory. Однако по умолчанию эта учетная запись отключена. К почтовому ящику найденных сообщений имеют доступ только явно авторизованные пользователи. Участники группы ролей управления обнаружением имеют права на полный доступ к почтовому ящику найденных сообщений по умолчанию. Однако разрешения на доступ к дополнительным почтовым ящикам найденных сообщений не назначаются ни для каких пользователей.

  • Отключена доставка электронной почты. Хотя Exchange списки адресов, пользователи не могут отправлять электронную почту в почтовый ящик обнаружения. Доставка электронной почты в почтовые ящики найденных сообщений запрещена с помощью ограничений доставки. Это сохраняет целостность результатов поиска, скопированных в почтовый ящик найденных сообщений.

Exchange Настройка создает один почтовый ящик обнаружения с отображаемой именем Discovery Search Mailbox. Вы можете использовать Exchange Online PowerShell для создания дополнительных почтовых ящиков обнаружения. По умолчанию создаваемые почтовые ящики найденных сообщений не имеют назначенных прав доступа к почтовым ящикам. Для доступа к сообщениям, скопированным в почтовый ящик найденных сообщений, менеджеру по обнаружению можно назначить права полного доступа Дополнительные сведения см. Дополнительные сведения см. в материале Create a discovery mailbox.

Функция обнаружения электронных данных на месте также использует системные почтовые ящики с отображаемым именем SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} для хранения метаданных обнаружения электронных данных на месте. Системные почтовые ящики не видны в EAC или Exchange списках адресов. Прежде чем удалить в локальной организации базу данных почтовых ящиков, в которой размещен системный почтовый ящик, используемый функцией обнаружения электронных данных на месте, вы должны переместить этот почтовый ящик в другую базу данных. Если почтовый ящик удален или поврежден, менеджеры по обнаружению не смогут выполнять поиски методом обнаружения электронных данных до тех пор, пока почтовый ящик не будет создан повторно. Дополнительные сведения см. в публикации Delete and re-create the default discovery mailbox in Exchange.

Оценка, предварительный просмотр и копирование результатов поиска

После завершения обнаружения электронных данных на месте можно просмотреть оценки результатов поиска в области "Сведения" в Центре администрирования Exchange. Оценки включают количество возвращенных элементов и их общий размер. Можно также просмотреть статистики ключевых слов со сведениями о количестве элементов, возвращенных для каждого использовавшегося в запросе поиска ключевого слова. Эта информация полезна при определении эффективности запросов. Если запрос слишком широкий, он может вернуть очень большой набор данных. Для его просмотра потребуется много ресурсов, что может привести к увеличению расходов на электронное обнаружение. Если запрос слишком узкий, количество возвращенных записей может существенно сократиться или вообще не будет возвращена ни одна запись. С помощью оценок и статистики ключевых слов вы можете точно настроить запрос в соответствии с требованиями.

Примечание

Статистика ключевых слов также включает статистику по свойствам, не относящемся к ключевым словам, таким как даты, типы сообщений и отправители/получатели, указанные в запросе поиска.

Вы можете просмотреть результаты поиска, чтобы убедиться, что возвращенные сообщения содержат искомое содержимое, и при необходимости выполнить точную настройку запроса. При предварительном просмотре поиска методом обнаружения электронных данных отображается количество сообщений, возвращенных из каждого почтового ящика, поиск в котором осуществлялся, и общее количество сообщений, возвращенных поиском. Предварительный просмотр создается быстро, при этом вам не нужно копировать сообщения в почтовый ящик найденных сообщений.

Если количество и качество результатов поиска вас удовлетворяет, их можно скопировать в почтовый ящик найденных сообщений. При копировании сообщений можно воспользоваться следующими параметрами.

  • Включай необнаружимые элементы. Подробные сведения о типах элементов, которые считаются необнаружимыми, см. в разделе Соображения поиска по обнаружению электронных данных в предыдущем разделе.

  • Включить дублирование. Де-дублирование уменьшает набор данных, включив только один экземпляр уникальной записи, если несколько экземпляров находятся в одном или нескольких поисковых ящиках.

  • Включить полный журнал. По умолчанию при копировании элементов включена только базовая ведение журнала. Можно выбрать функцию полного ведения журнала, чтобы регистрировать сведения обо всех записях, возвращенных в поиске.

  • Отправьте мне почту, когда копия будет завершена: In-Place поиск по обнаружению электронных сообщений потенциально может вернуть большое количество записей. Копирование сообщений, возвращенных в почтовый ящик найденных сообщений, может занять много времени. Используйте этот параметр для получения почтового уведомления о завершении процесса копирования. Чтобы упростить доступ Outlook веб-страницы, уведомление включает ссылку на расположение в почтовом ящике обнаружения, где копируется сообщение.

Экспорт результатов поиска в PST-файл

После копирования результатов поиска в почтовый ящик найденных сообщений результаты поиска можно экспортировать в PST-файл.

Экспорт результатов поиска при обнаружении электронных данных в PST-файл

После экспорта результатов поиска в PST-файл вы или другие пользователи могут открыть их в Outlook для просмотра или печати сообщений, представленных в результатах поиска. Дополнительные сведения см. в разделе Экспорт результатов поиска при обнаружении электронных данных в PST-файл.

Различные результаты поиска

Поскольку при обнаружении электронных данных на месте выполняется поиск среди данных реального времени, два поиска в одном и том же источнике содержимого с одинаковым запросом поиска могут вернуть различные результаты. Ожидаемые результаты поиска также могут отличаться от фактических результатов, скопированных в почтовый ящик найденных сообщений. Это может произойти, даже если запустить один и тот же поиск в течение короткого промежутка времени. Существует несколько факторов, которые могут повлиять на идентичность результатов поиска:

  • непрерывная индексация электронной почты в связи с тем, что функция поиска Exchange непрерывно обходит и индексирует базы данных почтовых ящиков вашей организации и контейнер транспорта;

  • удаление сообщений электронной почты пользователями или автоматизированными процессами;

  • массовый импорт большого количества электронной почты, индексирование которого занимает определенное время.

Если вы замечаете, что один и тот же поиск дает различные результаты, вы можете поставить почтовые ящики на хранение, чтобы сохранить содержимое, использовать поиск в периоды низкой загрузки и после импорта большого количества электронной почты ожидать определенное время, пока завершится индексирование.

Ведение журнала операций поиска при обнаружении электронных данных на месте

Для поисков методом обнаружения электронных данных на месте существует два типа ведения журнала.

  • Основные журналы. Основные журналы включены по умолчанию для всех In-Place поиска по электронным данным. В нем регистрируются сведения о поиске и выполнившем его пользователе. Сведения, собираемые при обычном ведении журнала, включаются в текст сообщения электронной почты, которое отправляется в почтовый ящик, где хранятся результаты поиска. Это сообщение находится в папке, созданной для хранения результатов поиска.

  • Полный журнал. Полный журнал включает сведения обо всех сообщениях, возвращаемом поиском. Эти сведения содержатся в CSV-файле, который вкладывается в сообщение электронной почты, содержащее сведения обычного ведения журнала. Для имени CSV-файла используется имя поиска. Эти сведения могут потребоваться для делопроизводства или обеспечения соответствия требованиям. Чтобы включить полное ведение журнала, при копировании результатов поиска в почтовый ящик найденных сообщений в Центре администрирования Exchange выберите параметр Включить полное ведение журнала. Если вы используете Exchange Online PowerShell, укажите полный параметр ведения журнала с помощью параметра LogLevel.

Примечание

При использовании Exchange Online PowerShell для создания или изменения In-Place поиска электронных данных можно также отключить ведение журнала.

Кроме журнала поиска, включаемого при копировании результатов поиска в почтовый ящик обнаружения, Exchange также регистрирует cmdlets, используемые EAC или Exchange Online PowerShell для создания, изменения или удаления In-Place поисков по электронным обнаружениям. Эта информация регистрируется в записях журнала аудита администратора. Подробные сведения см. в журнале аудита администратора.

Электронное обнаружение на месте и хранение на месте

При выполнении запросов на обнаружение электронных данных вам может потребоваться сохранять содержимое почтовых ящиков до завершения судебного процесса или расследования. Сообщения, удаленные или измененные пользователем почтового ящика или любыми процессами, также должны быть сохранены. Это выполняется с помощью In-Place Hold. Подробнее см. в материале "Удержание на месте" и "Удержание судебного разбирательства".

Необходимо учитывать следующие моменты.

  • Нельзя использовать параметр для поиска во всех почтовых ящиках. Необходимо выбрать почтовые ящики или группы рассылки.

  • Если поиск методом обнаружения электронных данных на месте также используется для хранения на месте, удалить этот поиск нельзя. Сначала необходимо отключить параметр хранения на месте, а затем удалить поиск.

Хранение почтовых ящиков для обнаружения электронных данных на месте

Когда сотрудник увольняется из организации, его почтовый ящик, как правило, отключается или удаляется. После отключения почтовый ящик отсоединяется от учетной записи пользователя, но остается в почтовом ящике на определенный период (по умолчанию 30 дней). Помощник для управляемых папок не обрабатывает отключенные почтовые ящики. Во время этого периода политики хранения не применяются. Выполнять поиск содержимого в отключенной папке нельзя. После достижения периода хранения удаленного почтового ящика, настроенного для базы данных почтовых ящиков, почтовый ящик удаляется из базы данных почтовых ящиков.

Важно!

В Exchange Online, In-Place eDiscovery может искать содержимое в неактивных почтовых ящиках. Неактивными считаются почтовые ящики, переведенные в режим хранения на месте или хранения для судебного разбирательства и затем удаленные. Неактивные почтовые ящики сохраняются до тех пор, пока они находятся на удержании. Когда неактивный ящик удаляется из режима хранения на месте или хранения для судебного разбирательства, он удаляется без возможности восстановления. Дополнительные сведения см. в материале Создание и управление неактивными почтовыми ящиками.

Если вашей организации с локальным развертыванием требуется, чтобы параметры хранения применялись к сообщениям сотрудников, которые больше не работают в организации, или необходимо сохранить почтовый ящик бывших сотрудников для будущих запросов на обнаружение электронных данных, не отключайте или не удаляйте почтовый ящик. Чтобы убедиться в отсутствии доступа к почтовому ящику и доставки в него новых сообщений, выполните следующие действия.

  1. Отключить учетную запись пользователя Active Directory с помощью пользователей Active Directory & компьютерах или других средствах или сценариях обеспечения учетной записи. This prevents mailbox logon using the associated user account.

    Важно!

    Пользователи с разрешением полного доступа к почтовым ящикам по-прежнему могут обращаться к почтовому ящику. Чтобы предотвратить доступ других пользователей, необходимо удалить их разрешение полного доступа из почтового ящика. Сведения о том, как удалить разрешения почтовых ящиков полного доступа на почтовом ящике, см. в руб. Управление разрешениями для получателей.

  2. Задайте для максимального размера сообщений, которые могут отправляться пользователем почтового ящика или доставляться ему, очень низкое значение, например 1 КБ. Это предотвратит доставку новой почты в почтовый ящик и отправку почты из него.

  3. Настройте ограничения на доставку для почтового ящика так, чтобы никто не мог отправлять в него сообщения. Дополнительные сведения см. в разделе Настройка ограничений на доставку сообщений для почтового ящика.

Важно!

Описанные действия необходимо выполнить вместе с другими процессами управления учетными записями, требуемыми для организации, но без отключения или удаления почтового ящика или удаления связанной учетной записи пользователя.

При планировании внедрения системы хранения почтовых ящиков для управления хранением сообщений (MRM) или электронного управления на месте необходимо принять во внимание текучесть кадров. Длительное хранение почтовых ящиков бывших сотрудников потребует дополнительного пространства для хранения на серверах почтовых ящиков и может привести к увеличению размера базы данных Active Directory, поскольку связанные учетные записи пользователей должны храниться в течение того же периода. Кроме того, могут потребоваться изменения в процессах подготовки учетных записей и управления ими в организации.

Документация обнаружения электронных данных на месте

В следующей таблице приведены ссылки на разделы, которые помогут узнать больше об обнаружении электронных данных на месте.

Статья Описание
Назначение разрешений обнаружения электронных данных в Exchange Сведения о том, как предоставить пользователю доступ к функции обнаружения электронных данных на месте в EAC для поиска в почтовых ящиках Exchange. Добавление пользователя в группу ролей "Управление обнаружением" также позволяет использовать центр обнаружения электронных данных в SharePoint 2013 и SharePoint Online для поиска в почтовых ящиках Exchange.
Создание почтового ящика найденных сообщений Узнайте, как использовать Exchange Online PowerShell для создания почтового ящика обнаружения и назначения разрешений на доступ.
Свойства сообщений и операторы поиска для обнаружения электронных данных на месте Узнайте, как свойства сообщений электронной почты можно искать с помощью обнаружения электронных данных на месте. В этом разделе представлены примеры синтаксиса для каждого свойства, сведения об операторах поиска, таких как AND и OR, и информация о других методах выполнения поисковых запросов, например использовании двойных кавычек (" ") и знаков подстановки в конце слова.
Ограничения поиска для In-Place eDiscovery Узнайте In-Place ограничений по обнаружению электронных данных в Exchange Online, которые помогают поддерживать здоровье и качество служб электронных данных для Microsoft 365 или Office 365 организаций.
Экспорт результатов поиска при обнаружении электронных данных в PST-файл Узнайте, как экспортировать результаты поиска обнаружения электронных данных на месте в PST-файл.
Create a custom management scope for In-Place eDiscovery searches Узнайте, как использовать настраиваемые области управления для ограничения почтовых ящиках, в которых менеджер по обнаружению может выполнять поиск.
Поиск и удаление сообщений электронной почты Узнайте, как использовать поиск контента для поиска и удаления сообщений электронной почты.
Reduce the size of a discovery mailbox in Exchange Используйте эту процедуру, чтобы уменьшить размер почтового ящика найденных сообщений, превышающий 50 ГБ.
Delete and re-create the default discovery mailbox in Exchange Узнайте, как удалить почтовый ящик найденных сообщений по умолчанию, повторно создать его, а затем переназначить для него разрешения. Используйте эту процедуру, если размер почтового ящика превысил 50 ГБ и вам не нужны результаты поиска.
Using Oauth Authentication to Support eDiscovery in an Exchange Hybrid Deployment Ознакомьтесь со сценариями обнаружения электронных данных на месте в гибридном развертывании, где требуется настроить проверку подлинности OAuth.

Дополнительные сведения об обнаружении электронных данных в Microsoft 365 см. в ссылке Начало работы с core eDiscovery.