Обнаружение электронных данных на местеIn-Place eDiscovery

Примечание

We've postponed the July 1, 2017 deadline for creating new In-Place eDiscovery searches in Exchange Online (in Office 365 and Exchange Online standalone plans).We've postponed the July 1, 2017 deadline for creating new In-Place eDiscovery searches in Exchange Online (in Office 365 and Exchange Online standalone plans). But later this year or early next year, you won't be able to create new searches in Exchange Online.But later this year or early next year, you won't be able to create new searches in Exchange Online. Чтобы создать поиск eDiscovery, начните использовать Поиск контента в центре безопасности & безопасности Office 365.To create eDiscovery searches, please start using Content Search in the Office 365 Security & Compliance Center. После списания новых поисков на месте вы сможете изменить существующие запросы на обнаружение электронных данных на месте и создать новые функции поиска обнаружения электронных данных на месте в Exchange Server и гибридных развертываниях Exchange.After we decommission new In-Place eDiscovery searches, you'll still be able to modify existing In-Place eDiscovery searches, and creating new In-Place eDiscovery searches in Exchange Server and Exchange hybrid deployments will still be supported.

Если в Организации соблюдены требования законодательства по обнаружению (связанные с политикой Организации, соответствие требованиям или судебными политиками), обнаружение электронных данных на месте в Microsoft Exchange Server и Exchange Online может помочь в выполнении поиска для поиска релевантного содержимого в почтовых ящиков.If your organization adheres to legal discovery requirements (related to organizational policy, compliance, or lawsuits), In-Place eDiscovery in Microsoft Exchange Server and Exchange Online can help you perform discovery searches for relevant content within mailboxes. Exchange Server и Exchange Online также предоставляют Федеративные возможности поиска и интеграции с Microsoft SharePoint 2013 и Microsoft SharePoint Online.Exchange Server and Exchange Online also offer federated search capability and integration with Microsoft SharePoint 2013 and Microsoft SharePoint Online. С помощью Центра обнаружения электронных данных в SharePoint вы можете найти и поместить на хранение все содержимое, связанное с обращением, включая веб-сайты и документы SharePoint 2013 и SharePoint Online, общие файловые ресурсы, индексированные SharePoint (только SharePoint 2013), содержимое почтовых ящиков в Exchange и архивированное содержимое Lync 2013.Using the eDiscovery Center in SharePoint, you can search for and hold all content related to a case, including SharePoint 2013 and SharePoint Online websites, documents, file shares indexed by SharePoint (SharePoint 2013 only), mailbox content in Exchange, and archived Lync 2013 content. Обнаружение электронных данных на месте также можно использовать в гибридной среде Exchange для одновременного поиска в локальных и облачных почтовых ящиках.You can also use In-Place eDiscovery in an Exchange hybrid environment to search on-premises and cloud-based mailboxes in the same search.

Важно!

Обнаружение электронных данных на месте — это мощный компонент, позволяющий пользователям с правильными разрешениями получать доступ ко всем записям сообщений, хранящимся в организации Exchange Server или Exchange Online.In-Place eDiscovery is a powerful feature that allows a user with the correct permissions to potentially gain access to all messaging records stored throughout the Exchange Server or Exchange Online organization. Очень важно отслеживать и контролировать действия пользователей по обнаружению, в том числе по добавлению участников в группу ролей управления обнаружением и предоставлению доступа к почтовым ящикам найденных сообщений.It's important to control and monitor discovery activities, including addition of members to the Discovery Management role group, assignment of the Mailbox Search management role, and assignment of mailbox access permission to discovery mailboxes.

Принципы работы обнаружения электронных данных на местеHow In-Place eDiscovery works

В электронном обнаружении на месте используются индексы содержимого, созданные службой поиска Exchange. Функция управления доступом на основе ролей (RBAC) позволяет группе ролей Discovery Management делегировать задачи обнаружения нетехническому персоналу без необходимости предоставлять пользователям расширенные права, с помощью которых они могут вносить изменения в конфигурацию Exchange. В Центре администрирования Exchange (EAC) представлен интерфейс поиска, простой для использования нетехническим персоналом, например юристами и должностными лицами, отвечающими за соблюдение нормативных требований, делопроизводителями и сотрудниками кадрового отдела.In-Place eDiscovery uses the content indexes created by Exchange Search. Role Based Access Control (RBAC) provides the Discovery Management role group to delegate discovery tasks to non-technical personnel, without the need to provide elevated privileges that may allow a user to make any operational changes to Exchange configuration. The Exchange admin center (EAC) provides an easy-to-use search interface for non-technical personnel such as legal and compliance officers, records managers, and human resources (HR) professionals.

Авторизованные пользователи могут выполнять обнаружение электронных данных на месте, выбирая почтовые ящики и указывая условия поиска, такие как ключевые слова, начальная и конечная дата, адреса отправителей и получателей, а также типы сообщений. После завершения поиска авторизованные пользователи могут выбрать одно из следующих действий:Authorized users can perform an In-Place eDiscovery search by selecting the mailboxes, and then specifying search criteria such as keywords, start and end dates, sender and recipient addresses, and message types. After the search is complete, authorized users can then select one of the following actions:

  • Оценка результатов поиска: этот параметр возвращает оценку общего размера и количества элементов, которые будут возвращены при поиске на основе заданных критериев.Estimate search results: This option returns an estimate of the total size and number of items that will be returned by the search based on the criteria you specified.

  • Предварительный просмотр результатов поиска: этот параметр обеспечивает предварительный просмотр результатов.Preview search results: This option provides a preview of the results. Отображаются сообщения, возвращенные из каждого включенного в поиск почтового ящика.Messages returned from each mailbox searched are displayed.

  • Копировать результаты поиска: этот параметр позволяет копировать сообщения в почтовый ящик обнаружения.Copy search results: This option lets you copy messages to a discovery mailbox.

  • Экспортировать результаты поиска: после копирования результатов поиска в почтовый ящик обнаружения их можно экспортировать в PST-файл.Export search results: After search results are copied to a discovery mailbox, you can export them to a PST file.

Оценка, предварительный просмотр, копирование и экспорт результатов поиска

В электронном обнаружении на месте используются индексы содержимого, созданные службой поиска Exchange. Служба поиска Exchange была модернизирована и теперь использует Microsoft Search Foundation, мощную платформу с более высокой производительностью индексации и запросов, а также улучшенным поиском. Так как Microsoft Search Foundation также используется другими продуктами Office, включая SharePoint 2013, эта платформа обеспечивает более высокий уровень взаимодействия и сходный синтаксис запросов в этих продуктах.In-Place eDiscovery uses the content indexes created by Exchange Search. Exchange Search has been retooled to use Microsoft Search Foundation, a rich search platform that comes with significantly improved indexing and querying performance and improved search functionality. Because the Microsoft Search Foundation is also used by other Office products, including SharePoint 2013, it offers greater interoperability and similar query syntax across these products.

Благодаря единому механизму индексации содержимого для функции обнаружения электронных данных на месте не требуются дополнительные ресурсы для сканирования и индексации баз данных почтовых ящиков при получении ИТ-отделом запросов на электронное обнаружение.With a single content indexing engine, no additional resources are used to crawl and index mailbox databases for In-Place eDiscovery when eDiscovery requests are received by IT departments.

Обнаружение электронных данных на месте использует язык запросов по ключевым словам (KQL), синтаксис запросов, подобный синтаксису расширенного запроса (AQS), который используется мгновенным поиском в Microsoft Outlook и Outlook в Интернете.In-Place eDiscovery uses Keyword Query Language (KQL), a querying syntax similar to the Advanced Query Syntax (AQS) used by Instant Search in Microsoft Outlook and Outlook on the web. Пользователи, знакомые с синтаксисом KQL, могут легко создать сложные поисковые запросы для поиска индексов содержимого.Users familiar with KQL can easily construct powerful search queries to search content indexes.

Дополнительные сведения о форматах файлов, индексируемых поиском Exchange, см. в разделе File Formats Indexed By Exchange Search.For more information about the file formats indexed by Exchange search, see File Formats Indexed By Exchange Search.

Группа ролей управления обнаружением и роли управленияDiscovery Management role group and management roles

Чтобы авторизованные пользователи могли выполнять поиск методом обнаружения электронных данных на месте, их нужно добавить в группу ролей Discovery Management. Данная группа ролей состоит из двух ролей управления: Mailbox Search Role, которая позволяет пользователям выполнять поиск методом обнаружения электронных данных на месте, и Legal Hold Role, которая позволяет размещать почтовые ящики на хранение на месте или на хранение для судебного разбирательства.For authorized users to perform In-Place eDiscovery searches, you must add them to the Discovery Management role group. This role group consists of two management roles: the Mailbox Search Role, which allows a user to perform an In-Place eDiscovery search, and the Legal Hold Role, which allows a user to place a mailbox on In-Place Hold or litigation hold.

По умолчанию разрешения для выполнения задач, связанных с электронным обнаружением на месте, не назначаются пользователям или администраторам Exchange. Администраторы Exchange, входящие в группу роли управления организацией, могут добавлять пользователей в группу роли управления обнаружением и создавать настраиваемые группы ролей для сужения области менеджера по обнаружению до подмножества пользователей. Дополнительные сведения о добавлении пользователей в группу роли управления обнаружением см. в разделе Назначение разрешений обнаружения электронных данных в Exchange.By default, permissions to perform In-Place eDiscovery-related tasks aren't assigned to any user or Exchange administrators. Exchange administrators who are members of the Organization Management role group can add users to the Discovery Management role group and create custom role groups to narrow the scope of a discovery manager to a subset of users. To learn more about adding users to the Discovery Management role group, see Assign eDiscovery permissions in Exchange.

Важно!

Если пользователь не был добавлен в группу ролей управления обнаружением или ему не назначена роль поиска почтовых ящиков, Пользовательский интерфейс обнаружения электронных данных на месте & не отображается в центре администрирования Exchange, а командлеты обнаружения электронных данных на месте недоступны в Exchange Online PowerShell.If a user hasn't been added to the Discovery Management role group or isn't assigned the Mailbox Search role, the In-Place eDiscovery & Hold user interface isn't displayed in the EAC, and the In-Place eDiscovery cmdlets aren't available in Exchange Online PowerShell.

Аудит изменений в роли RBAC, включенный по умолчанию, обеспечивает ведение соответствующих записей для отслеживания назначений группы ролей управления обнаружением. Отчет о группе ролей администраторов используется для поиска изменений в группах ролей администраторов. Подробнее см. в разделе Search the role group changes or administrator audit logs.Auditing of RBAC role changes, which is enabled by default, makes sure that adequate records are kept to track assignment of the Discovery Management role group. You can use the administrator role group report to search for changes made to administrator role groups. For more information, see Search the role group changes or administrator audit logs.

Настраиваемые области управления для обнаружения электронных данных на местеCustom management scopes for In-Place eDiscovery

Вы можете использовать пользовательскую область управления, чтобы позволить определенным пользователям или группам использовать обнаружение электронных данных на месте для поиска подмножества почтовых ящиков в организации Exchange Server или Exchange Online.You can use a custom management scope to let specific people or groups use In-Place eDiscovery to search a subset of mailboxes in your Exchange Server or Exchange Online organization. Например, вам может потребоваться разрешить менеджеру по обнаружению выполнять поиск только в почтовых ящиках пользователей, относящихся к определенному расположению или отделу.For example, you might want to let a discovery manager search only the mailboxes of users in a specific location or department. Для этого следует создать настраиваемую область управления, которая использует фильтр получателей для управления тем, в каких почтовых ящиках можно выполнять поиск.You do this by creating a custom management scope that uses a custom recipient filter to control which mailboxes can be searched. Области фильтра получателей используют фильтры для выделения определенных получателей на основе типа или других свойств получателя.Recipient filter scopes use filters to target specific recipients based on recipient type or other recipient properties.

Для обнаружения электронных данных на месте создать фильтр подключения настраиваемой области можно только с помощью членства в группе рассылки.For In-Place eDiscovery, the only property on a user mailbox that you can use to create a recipient filter for a custom scope is distribution group membership. Если вы используете другие свойства, такие как CustomAttributeN, _Department_или PostalCode, произойдет сбой поиска при запуске участником группы ролей, которой назначена настраиваемая область.If you use other properties, such as CustomAttributeN, Department, or PostalCode, the search fails when it's run by a member of the role group that's assigned the custom scope. Подробнее см. в разделе Create a custom management scope for In-Place eDiscovery searches.For more information, see Create a custom management scope for In-Place eDiscovery searches.

Интеграция с SharePoint Server и SharePoint OnlineIntegration with SharePoint Server and SharePoint Online

Exchange Server и Exchange Online обеспечивают интеграцию с SharePoint Server и SharePoint Online, позволяя диспетчеру обнаружения использовать центр обнаружения электронных данных в SharePoint для выполнения следующих задач:Exchange Server and Exchange Online offer integration with SharePoint Server and SharePoint Online, allowing a discovery manager to use eDiscovery Center in SharePoint to perform the following tasks:

  • Поиск и сохранение контента из одного места: уполномоченный диспетчер обнаружения может выполнять поиск и сохранение контента в SharePoint и Exchange, включая содержимое Lync, например беседы по обмену мгновенными сообщениями и Общие документы собраний, заархивированные в почтовых ящиках Exchange.Search and preserve content from a single location: An authorized discovery manager can search and preserve content across SharePoint and Exchange, including Lync content such as instant messaging conversations and shared meeting documents archived in Exchange mailboxes.

  • Управление обращениями. В центре обнаружения электронных данных используется управление обращениями, когда можно создавать обращения, а также искать и сохранять содержимое в различных хранилищах для каждого обращения.Case management eDiscovery Center uses a case management approach to eDiscovery, allowing you to create cases and search and preserve content across different content repositories for each case.

  • Экспорт результатов поиска: Диспетчер обнаружения может использовать центр обнаружения электронных данных для экспорта результатов поиска.Export search results: A discovery manager can use eDiscovery Center to export search results. Содержимое почтового ящика, включенное в результаты поиска, экспортируется в PST-файл.Mailbox content included in search results is exported to a PST file.

SharePoint также использует Microsoft Search Foundation для индексации и запросов содержимого. Независимо от того, использует ли менеджер по обнаружению EAC или центр обнаружения электронных данных для поиска содержимого Exchange, возвращается одно и то же содержимое почтового ящика.SharePoint also uses Microsoft Search Foundation for content indexing and querying. Regardless of whether a discovery manager uses the EAC or the eDiscovery Center to search Exchange content, the same mailbox content is returned.

В локальных развертываниях, прежде чем вы сможете использовать центр обнаружения электронных данных в SharePoint для поиска почтовых ящиков Exchange, необходимо установить отношение доверия между двумя приложениями.In on-premises deployments, before you can use eDiscovery Center in SharePoint to search Exchange mailboxes, you must establish trust between the two applications. В Exchange Server и SharePoint 2013 это выполняется с помощью проверки подлинности OAuth.In Exchange Server and SharePoint 2013, this is done using OAuth authentication. Сведения см. в разделе Configure Exchange for SharePoint eDiscovery Center.For details, see Configure Exchange for SharePoint eDiscovery Center. запросы обнаружения электронных данных, выполненные из SharePoint, авторизованы Exchange с помощью RBAC.eDiscovery searches performed from SharePoint are authorized by Exchange using RBAC. Чтобы пользователь SharePoint мог выполнять поиск в почтовых ящиках Exchange, им необходимо назначить делегированное разрешение управления обнаружением в Exchange.For a SharePoint user to be able to perform an eDiscovery search of Exchange mailboxes, they must be assigned delegated Discovery Management permission in Exchange. Для просмотра содержимого почтовых ящиков, возвращенных при поиске eDiscovery, выполненном с помощью центра обнаружения электронных данных SharePoint, диспетчер обнаружения должен иметь почтовый ящик в той же организации Exchange.To be able to preview mailbox content returned in an eDiscovery search performed using SharePoint eDiscovery Center, the discovery manager must have a mailbox in the same Exchange organization.

Пошаговые инструкции по настройке Центра обнаружения электронных данных в организации Office 365 см. в статье Настройка Центра eDiscovery в службе SharePoint Online.For step-by step instructions for setting up an eDiscovery Center in an Office 365 organization, see Set up an eDiscovery Center in SharePoint Online.

Обнаружение электронных данных при гибридном развертывании ExchangeeDiscovery in an Exchange hybrid deployment

Для успешного выполнения межсайтового поиска eDiscovery в гибридной организации Exchange Server необходимо настроить проверку подлинности OAuth (открытая авторизация) между локальной организацией Exchange и организацией Exchange Online, чтобы можно было использовать Обнаружение электронных данных на месте для поиска в локальных и облачных почтовых ящиках.To successfully perform cross-premises eDiscovery searches in an Exchange Server hybrid organization, you will have to configure OAuth (Open Authorization) authentication between your Exchange on-premises and Exchange Online organizations so that you can use In-Place eDiscovery to search on-premises and cloud-based mailboxes. Проверка подлинности OAuth — это протокол межсерверной проверки подлинности, который позволяет приложениям проверять подлинность друг друга.OAuth authentication is a server-to-server authentication protocol that allows applications to authenticate to each other.

Проверка подлинности OAuth поддерживает приведенные ниже сценарии обнаружения электронных данных при гибридном развертывании Exchange.OAuth authentication supports the following eDiscovery scenarios in an Exchange hybrid deployment:

  • Поиск локальных почтовых ящиков, использующих архивацию на базе Exchange Online для облачных архивных почтовых ящиков.Search on-premises mailboxes that use Exchange Online Archiving for cloud-based archive mailboxes.

  • Поиск в локальных и облачных почтовых ящиках в рамках одного сеанса обнаружения электронных данных.Search on-premises and cloud-based mailboxes in the same eDiscovery search.

  • Поиск в локальных почтовых ящиках с помощью Центра обнаружения электронных данных в SharePoint Online.Search on-premises mailboxes by using the eDiscovery Center in SharePoint Online.

Дополнительные сведения о сценариях обнаружения электронных данных, для которых требуется настроить проверку подлинности OAuth при гибридном развертывании Exchange, см. в разделе Using Oauth Authentication to Support eDiscovery in an Exchange Hybrid Deployment. Пошаговые инструкции по настройке проверки подлинности OAuth для поддержки обнаружения электронных данных см. в разделе Configure OAuth Authentication Between Exchange and Exchange Online Organizations.For more information about the eDiscovery scenarios that require OAuth authentication to be configured in an Exchange hybrid deployment, see Using Oauth Authentication to Support eDiscovery in an Exchange Hybrid Deployment. For step-by-step instructions for configuring OAuth authentication to support eDiscovery, see Configure OAuth Authentication Between Exchange and Exchange Online Organizations.

Почтовые ящики обнаруженияDiscovery mailboxes

После создания запроса на обнаружение электронных данных на месте результаты поиска можно скопировать в целевой почтовый ящик. Центр администрирования Exchange позволяет выбрать почтовый ящик найденных сообщений в качестве целевого. Почтовый ящик найденных сообщений — это специальный почтовый ящик, который предоставляет приведенные ниже возможности.After you create an In-Place eDiscovery search, you can copy the search results to a target mailbox. The EAC allows you to select a discovery mailbox as the target mailbox. A discovery mailbox is a special type of mailbox that provides the following functionality:

  • Простой и безопасный выбор целевого почтового ящика: при использовании центра администрирования Exchange для копирования результатов поиска с обнаружением электронных данных на месте в качестве репозитория, в котором будут храниться результаты поиска, доступны только почтовые ящики обнаружения.Easier and secure target mailbox selection: When you use the EAC to copy In-Place eDiscovery search results, only discovery mailboxes are made available as a repository in which to store search results. Это исключает необходимость сортировать длинный список почтовых ящиков, доступных в организации.You don't need to sort through a potentially long list of mailboxes available in the organization. Кроме того, исключается вероятность случайного выбора менеджером по обнаружению почтового ящика другого пользователя или незащищенного почтового ящика для хранения потенциально конфиденциального содержимого сообщений.This also eliminates the possibility of a discovery manager accidentally selecting another user's mailbox or an unsecured mailbox in which to store potentially sensitive messages.

  • Квота хранилища большихпочтовых ящиков: целевой почтовый ящик должен хранить большое количество сообщений, которые могут быть возвращены при поиске с обнаружением электронных данных на месте.Large mailbox storage quota: The target mailbox should be able to store a large amount of message data that may be returned by an In-Place eDiscovery search. По умолчанию почтовые ящики найденных сообщений имеют квоту хранилища почтовых ящиков 50 гигабайт (ГБ).By default, discovery mailboxes have a mailbox storage quota of 50 gigabytes (GB). Эту квоту увеличить нельзя.This storage quota can't be increased.

  • Более безопаснаяпо умолчанию: как и все типы почтовых ящиков, почтовый ящик обнаружения имеет связанную учетную запись пользователя Active Directory.More secure by default: Like all mailbox types, a discovery mailbox has an associated Active Directory user account. Однако по умолчанию эта учетная запись отключена.However, this account is disabled by default. К почтовому ящику найденных сообщений имеют доступ только явно авторизованные пользователи.Only users explicitly authorized to access a discovery mailbox have access to it. Участники группы ролей управления обнаружением имеют права на полный доступ к почтовому ящику найденных сообщений по умолчанию.Members of the Discovery Management role group are assigned Full Access permissions to the default discovery mailbox. Однако разрешения на доступ к дополнительным почтовым ящикам найденных сообщений не назначаются ни для каких пользователей.Any additional discovery mailboxes you create don't have mailbox access permissions assigned to any user.

  • Доставка электронной почты отключена: Хотя отображается в списках адресов Exchange, пользователи не могут отправлять электронную почту в почтовый ящик обнаружения.Email delivery disabled: Although visible in Exchange address lists, users can't send email to a discovery mailbox. Доставка электронной почты в почтовые ящики найденных сообщений запрещена с помощью ограничений доставки.Email delivery to discovery mailboxes is prohibited by using delivery restrictions. Это сохраняет целостность результатов поиска, скопированных в почтовый ящик найденных сообщений.This preserves the integrity of search results copied to a discovery mailbox.

Программа установки Exchange создает один почтовый ящик обнаружения с помощью почтового ящика поиска обнаруженияотображаемого имени.Exchange Setup creates one discovery mailbox with the display name Discovery Search Mailbox. Вы можете использовать Exchange Online PowerShell для создания дополнительных почтовых ящиков обнаружения.You can use Exchange Online PowerShell to create additional discovery mailboxes. По умолчанию создаваемые почтовые ящики найденных сообщений не имеют назначенных прав доступа к почтовым ящикам.By default, the discovery mailboxes you create won't have any mailbox access permissions assigned. Для доступа к сообщениям, скопированным в почтовый ящик найденных сообщений, менеджеру по обнаружению можно назначить права полного доступа Дополнительные сведения см.You can assign Full Access permissions for a discovery manager to access messages copied to a discovery mailbox. Для получения дополнительных сведений обратитесь к разделу Создание почтового ящика обнаружения.For details, see Create a discovery mailbox.

Функция обнаружения электронных данных на месте также использует системные почтовые ящики с отображаемым именем SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} для хранения метаданных обнаружения электронных данных на месте. Системные почтовые ящики не отображаются в EAC или в списках адресов Exchange. Прежде чем удалить в локальной организации базу данных почтовых ящиков, в которой размещен системный почтовый ящик, используемый функцией обнаружения электронных данных на месте, вы должны переместить этот почтовый ящик в другую базу данных. Если почтовый ящик удален или поврежден, менеджеры по обнаружению не смогут выполнять поиски методом обнаружения электронных данных до тех пор, пока почтовый ящик не будет создан повторно. Дополнительные сведения см. в разделе Re-Create the Discovery System Mailbox.In-Place eDiscovery also uses a system mailbox with the display name SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} to hold In-Place eDiscovery metadata. System mailboxes aren't visible in the EAC or in Exchange address lists. In on-premises organizations, before removing a mailbox database where the In-Place eDiscovery system mailbox is located, you must move the mailbox to another mailbox database. If the mailbox is removed or corrupted, your discovery managers are unable to perform eDiscovery searches until you re-create the mailbox. For details, see Re-Create the Discovery System Mailbox.

Использование обнаружения электронных данных на местеUsing In-Place eDiscovery

Поиск методом обнаружения электронных данных на месте могут выполнять пользователи, которые были добавлены в группу ролей управления обнаружением.Users who have been added to the Discovery Management role group can perform In-Place eDiscovery searches. Поиск можно выполнить с помощью веб-интерфейса в EAC.You can perform a search using the web-based interface in the EAC. Он облегчает нетехническому персоналу (делопроизводителям, должностным лицам, отвечающим за соблюдение нормативных требований, юристам или сотрудникам отдела кадров) выполнение обнаружение электронных данных на месте.This makes it easier for non-technical users such as records managers, compliance officers, or legal and HR professionals to use In-Place eDiscovery. Кроме того, для выполнения поиска можно использовать Exchange Online PowerShell.You can also use Exchange Online PowerShell to perform a search. Дополнительные сведения см в статье Создание поискового запроса на обнаружение электронных данных на местеFor more information, see Create an In-Place eDiscovery search

Примечание

В локальных организациях можно использовать обнаружение электронных данных на месте для поиска в почтовых ящиках, расположенных на серверах почтовых ящиков Exchange Server.In on-premises organizations, you can use In-Place eDiscovery to search mailboxes located on Exchange Server Mailbox servers. Для поиска в почтовых ящиках, расположенных на серверах почтовых ящиков Exchange 2010, используйте поиск по нескольким почтовым ящикам на сервере Exchange 2010.To search mailboxes located on Exchange 2010 Mailbox servers, use Multi-Mailbox Search on an Exchange 2010 server. > > в гибридном развертывании, который представляет собой среду, в которой некоторые почтовые ящики существуют на локальных серверах почтовых ящиков, а некоторые почтовые ящики существуют в облачной организации, можно выполнять поиск с обнаружением электронных данных на месте в облачных почтовых ящиках с помощью центра администрирования Exchange в Локальная организация.> > In a hybrid deployment, which is an environment where some mailboxes exist on your on-premises Mailbox servers and some mailboxes exist in a cloud-based organization, you can perform In-Place eDiscovery searches of your cloud-based mailboxes using the EAC in your on-premises organization. Если вы планируете копировать сообщения в почтовый ящик найденных сообщений, необходимо выбрать почтовый ящик обнаружения в локальной среде.If you intend to copy messages to a discovery mailbox, you must select an on-premises discovery mailbox. Сообщения из облачных почтовых ящиков, возвращенных в результатах поиска, копируются в указанный почтовый ящик обнаружения локального обнаружения.Messages from cloud-based mailboxes that are returned in search results are copied to the specified on-premises discovery mailbox. Дополнительные сведения о гибридных развертываниях приведены в разделе Гибридные развертывания Exchange Server.To learn more about hybrid deployments, see Exchange Server Hybrid Deployments.

С помощью мастера обнаружения электронных данных и хранения на месте в EAC вы можете создавать запрос на обнаружение электронных данных на месте и сохранять результаты поиска. При создании запроса на обнаружение электронных данных на месте в системном почтовом ящике обнаружения электронных данных на месте создается объект поиска. После создания запроса на обнаружение электронных данных на месте создается объект поиска в системном почтовом ящике обнаружения электронных данных на месте. Этот объект можно использовать для запуска, остановки, изменения или удаления поиска. После создания поиска вы можете выбрать возможность получения оценки результатов поиска, содержащей статистику ключевых слов, которая поможет определить эффективность запроса. Вы также можете просмотреть элементы, возвращенные в результате поиска, а именно: содержимое сообщений, количество сообщений, возвращенных из каждого исходного почтового ящика, и общее количество сообщений. При необходимости эту информацию можно использовать для дальнейшей точной настройки запроса.The In-Place eDiscovery & Hold wizard in the EAC allows you to create an In-Place eDiscovery search and also use In-Place Hold to place search results on hold. When you create an In-Place eDiscovery search, a search object is created in the In-Place eDiscovery system mailbox. This object can be manipulated to start, stop, modify, and remove the search. After you create the search, you can choose to get an estimate of search results, which includes keyword statistics that help you determine query effectiveness. You can also do a live preview of items returned in the search, allowing you to view message content, the number of messages returned from each source mailbox and the total number of messages. You can use this information to further fine-tune your query if required.

Если результаты поиска соответствуют требованиям, вы можете скопировать их в почтовый ящик найденных сообщений. Чтобы экспортировать почтовый ящик найденных сообщений или часть его содержимого в PST-файл, можно воспользоваться Outlook или EAC.When satisfied with the search results, you can copy them to a discovery mailbox. You can also use the EAC or Outlook to export a discovery mailbox or some of its content to a PST file.

При создании поиска методом обнаружения электронных данных на месте необходимо указать следующие параметры:When creating an In-Place eDiscovery search, you must specify the following parameters:

  • Name: имя поиска используется для идентификации поиска.Name: The search name is used to identify the search. При копировании результатов поиска в почтовый ящик обнаружения папка создается в почтовом ящике обнаружения с помощью имени поиска и отметок времени для уникальной идентификации результатов поиска в почтовом ящике обнаружения.When you copy search results to a discovery mailbox, a folder is created in the discovery mailbox using the search name and the timestamp to uniquely identify search results in a discovery mailbox.

  • **** Почтовые ящики: вы можете выбрать поиск во всех почтовых ящиках в организации Exchange Server или Exchange Online или указать почтовые ящики для поиска.Mailboxes: You can choose to search all mailboxes in your Exchange Server or Exchange Online organization or specify the mailboxes to search. Основной и архивный почтовые ящики пользователя включены в поиск.A user's primary and archive mailboxes are included in the search. Если вы также хотите использовать один и тот же поиск для размещения элементов на удержании, необходимо указать почтовые ящики.If you also want to use the same search to place items on hold, you must specify the mailboxes. Вы можете указать группу рассылки, включающую пользователей почтовых ящиков, которые являются участниками этой группы.You can specify a distribution group to include mailbox users who are members of that group. Членство в группе вычисляется один раз при создании поиска, и последующие изменения членства в группе не отражаются автоматически в поиске.Membership of the group is calculated once when creating the search and subsequent changes to group membership are not automatically reflected in the search.

    В Exchange Online также можно выполнить поиск в почтовом ящике группы Office 365 (или поместить его на хранение), указав его в качестве источника контента. В этом случае поиск выполняется только в почтовом ящике группы Office 365, а не в почтовых ящиках ее членов.In Exchange Online, you can also specify Office 365 groups as a content source so that the group mailbox is searched (or placed on hold). When you add an Office 365 group to an In-Place eDiscovery search, only the group mailbox is searched; the mailboxes of the group members aren't searched.

  • Поисковый запрос: вы можете включить все содержимое почтового ящика из указанных почтовых ящиков или использовать поисковый запрос для возврата элементов, которые более важны для случая или расследования.Search query: You can either include all mailbox content from the specified mailboxes or use a search query to return items that are more relevant to the case or investigation. В поисковом запросе можно указать следующие параметры.You can specify the following parameters in a search query:

    • Ключевые слова: вы можете указать ключевые слова и фразы для поиска контента сообщения.Keywords: You can specify keywords and phrases to search message content. Кроме того, вы можете использовать логические операторы AND, OR и NOT.You can also use the logical operators AND, OR, and NOT. Кроме того, Exchange Server также поддерживает оператор NEAR , позволяющий искать слово или фразу, которые находятся в близости к другому слову или фразе.Additionally, Exchange Server also supports the NEAR operator, allowing you to search for a word or phrase that's in proximity to another word or phrase.

      Для поиска точного совпадения фразы из нескольких слов необходимо заключить фразу в кавычки. Например, при поиске фразы "план и конкуренция" будут возвращены сообщения, содержащие точное совпадение этой фразы, тогда как при указании фразы план И конкуренция будут возвращены сообщения, содержащие слова план и конкуренция в любой части сообщения.To search for an exact match of a multiple word phrase, you must enclose the phrase in quotation marks. For example, searching for the phrase "plan and competition" returns messages that contain an exact match of the phrase, whereas specifying plan AND competition returns messages that contain the words plan and competition anywhere in the message.

      Exchange Server также поддерживает синтаксис языка запросов по ключевым словам (KQL) для поисковых запросов на обнаружение электронных данных на месте.Exchange Server also supports the Keyword Query Language (KQL) syntax for In-Place eDiscovery searches.

      Примечание

      Электронное обнаружение на месте не поддерживает регулярные выражения.In-Place eDiscovery does not support regular expressions.

      You must capitalize logical operators such as AND and OR for them to be treated as operators instead of keywords. We recommend that you use explicit parenthesis for any query that mixes multiple logical operators to avoid mistakes or misinterpretations. For example, if you want to search for messages that contain either WordA or WordB AND either WordC or WordD, you must use (WordA OR WordB) AND (WordC OR WordD).You must capitalize logical operators such as AND and OR for them to be treated as operators instead of keywords. We recommend that you use explicit parenthesis for any query that mixes multiple logical operators to avoid mistakes or misinterpretations. For example, if you want to search for messages that contain either WordA or WordB AND either WordC or WordD, you must use (WordA OR WordB) AND (WordC OR WordD).

    • Даты начала и окончания: по умолчанию обнаружение электронных данных на месте не ограничивает поиск по диапазону дат.Start and End dates: By default, In-Place eDiscovery doesn't limit searches by a date range. Чтобы найти сообщения, отправленные в определенный диапазон дат, можно сузить поиск, указав дату начала и окончания периода.To search messages sent during a specific date range, you can narrow the search by specifying the start and end dates. Если не задать дату окончания, то в результатах поиска будут показываться последние результаты каждый раз, когда поиск осуществляется заново.If you don't specify an end date, the search will return the latest results every time you restart it.

    • Отправители и получатели: чтобы сузить область поиска, вы можете указать отправителей или получателей сообщений.Senders and recipients: To narrow down the search, you can specify the senders or recipients of messages. Вы можете использовать адреса электронной почты, отображаемые имена или имя домена для поиска элементов, отправленных или полученных от всех пользователей домена.You can use email addresses, display names, or the name of a domain to search for items sent to or from everyone in the domain. Например, чтобы найти адрес электронной почты отправителя или получателя в Contoso, Ltd, укажите **@contoso.com** в поле От или Кому/Скрытая копия в EAC.For example, to find email sent by or sent to anyone at Contoso, Ltd, specify **@contoso.com** in the From or the To/cc field in the EAC. Вы также можете указать @contoso. com в параметрах отправителей или получателей в Exchange Online PowerShell.You can also specify **@contoso.com** in the Senders or Recipients parameters in Exchange Online PowerShell.

    • Типы сообщений: по умолчанию поиск выполняется для всех типов сообщений.Message types: By default, all message types are searched. Вы можете ограничить поиск, выбрав определенные типы сообщений, такие как электронная почта, контакты, документы, журнал, встречи, заметки и содержимое Lync.You can restrict the search by selecting specific message types such as email, contacts, documents, journal, meetings, notes and Lync content.

На следующем снимке экрана показан пример поискового запроса в EAC.The following screenshot shows an example of a search query in the EAC.

Настройка поискового запроса для обнаружения электронных данных на месте

При использовании обнаружения электронных данных на месте также необходимо учесть следующие факторы.When using In-Place eDiscovery, also consider the following:

  • Вложения: обнаружение электронных данных на месте — Поиск вложений, поддерживаемых службой поиска Exchange.Attachments: In-Place eDiscovery searches attachments supported by Exchange Search. Дополнительные сведения см. в разделе Default Filters for Exchange Search.For details, see Default Filters for Exchange Search. В локальных развертываниях вы можете добавить поддержку дополнительных форматов файлов, установив для необходимых типов файлов фильтры поиска (известные как iFilter) на серверах почтовых ящиков.In on-premises deployments, you can add support for additional file types by installing search filters (also known as an iFilter) for the file type on Mailbox servers.

  • Элементы, не включаемые в поиск: элементы, не включаемые в поиск, — это элементы почтовых ящиков, которые невозможно индексировать службой поиска Exchange.Unsearchable items: Unsearchable items are mailbox items that can't be indexed by Exchange Search. Причины, по которым они не могут быть индексированы, включают отсутствие установленного фильтра поиска для вложенного файла, ошибки фильтра и зашифрованных сообщений.Reasons they can't be indexed include the lack of an installed search filter for an attached file, a filter error, and encrypted messages. Для успешного поиска с обнаружением электронных данных в Организации может потребоваться включить такие элементы для проверки.For a successful eDiscovery search, your organization may be required to include such items for review. При копировании результатов поиска в почтовый ящик обнаружения или их экспорте в PST-файл можно включить элементы, не включаемые в поиск.When copying search results to a discovery mailbox or exporting them to a PST file, you can include unsearchable items. Дополнительные сведения см. в разделе Unsearchable Items in Exchange eDiscovery.For more information, see Unsearchable Items in Exchange eDiscovery.

  • Зашифрованные элементы: так как сообщения, зашифрованные с помощью S/MIME, не индексируются службой поиска Exchange, обнаружение электронных данных на месте не выполняет поиск в этих сообщениях.Encrypted items: Because messages encrypted using S/MIME aren't indexed by Exchange Search, In-Place eDiscovery doesn't search these messages. Если выбран параметр включения в результаты поиска элементов, поиск в которых невозможен, сообщения с шифрованием S/MIME копируются в почтовый ящик найденных сообщений.If you select the option to include unsearchable items in search results, these S/MIME encrypted messages are copied to the discovery mailbox.

  • Элементы, защищенные с помощью IRM: сообщения, защищенные с помощью управления правами на доступ к данным (IRM), индексируются службой поиска Exchange и поэтому включаются в результаты поиска, если они совпадают с параметрами запроса.IRM-protected items: Messages protected using Information Rights Management (IRM) are indexed by Exchange Search and therefore included in the search results if they match query parameters. Сообщения должны быть защищены с помощью кластера службы управления правами Active Directory (AD RMS) в том же лесу Active Directory, что и сервер почтовых ящиков.Messages must be protected by using an Active Directory Rights Management Services (AD RMS) cluster in the same Active Directory forest as the Mailbox server. Дополнительные сведения см. в разделе Управление правами на доступ к данным.For more information, see Information Rights Management.

    Важно!

    Если службе поиска Exchange не удалось проиндексировать сообщение с защитой IRM по причине ошибки расшифровки или отключенной службы IRM, защищенное сообщение не добавляется в список элементов с ошибками.When Exchange Search fails to index an IRM-protected message, either due to a decryption failure or because IRM is disabled, the protected message isn't added to the list of failed items. Если вы выбрали параметр для включения в результаты поиска элементов, поиск в которых невозможен, результаты поиска могут не содержать защищенные сообщения, расшифровать которые не удалось.If you select the option to include unsearchable items in search results, the results may not include IRM-protected messages that could not be decrypted. > > чтобы включить в Поиск сообщения, защищенные службой управления правами на доступ к данным, можно создать другой поиск, включающий в себя сообщения с вложениями рпмсг.> > To include IRM-protected messages in a search, you can create another search to include messages with .rpmsg attachments. Строку attachment:rpmsg запроса можно использовать для поиска всех сообщений, защищенных с помощью IRM, в указанных почтовых ящиках, независимо от того, были ли они успешно индексированы.You can use the query string attachment:rpmsg to search all IRM-protected messages in the specified mailboxes, whether successfully indexed or not. Это может привести к дублированию некоторых результатов поиска в случаях, когда один поиск возвращает сообщения, соответствующие заданным критериям, включая сообщения с защитой IRM с успешно выполненной индексацией.This may result in some duplication of search results in scenarios where one search returns messages that match the search criteria, including IRM-protected messages that have been indexed successfully. При этом сообщения с защитой IRM, которые не удалось индексировать, не возвращаются.The search doesn't return IRM-protected messages that couldn't be indexed. > > выполнение второго поиска для всех сообщений, защищенных с помощью IRM, также включает сообщения с защитой IRM, которые были успешно индексироваться и возвращены при первом поиске.> > Performing a second search for all IRM-protected messages also includes the IRM-protected messages that were successfully indexed and returned in the first search. Кроме того, сообщения с защитой IRM, возвращенные в результатах второго поиска, могут не соответствовать критериям поиска, например ключевым словам, заданным для первого поиска.Additionally, the IRM-protected messages returned by the second search may not match the search criteria such as keywords used for the first search.

  • **** Отмена дублирования: при копировании результатов поиска в почтовый ящик найденных сообщений можно включить отмену дублирования результатов поиска, чтобы скопировать только один экземпляр уникального сообщения в почтовый ящик обнаружения.De-duplication: When copying search results to a discovery mailbox, you can enable de-duplication of search results to copy only one instance of a unique message to the discovery mailbox. Дедупликация имеет следующие преимущества.De-duplication has the following benefits:

    • Более низкие требования к хранилищу и меньший размер почтового ящика обнаружения благодаря уменьшению количества копируемых сообщений.Lower storage requirement and smaller discovery mailbox size due to reduced number of messages copied.

    • Сокращение нагрузки на менеджеров по обнаружению, юрисконсультов и других лиц, занятых в проверке результатов поиска.Reduced workload for discovery managers, legal counsel, or others involved in reviewing search results.

    • Сокращение расходов на электронное обнаружение в зависимости от количества повторяющихся элементов, исключенных из результатов поиска.Reduced cost of eDiscovery, depending on the number of duplicate items excluded from search results.

Оценка, предварительный просмотр и копирование результатов поискаEstimate, preview, and copy search results

После завершения обнаружения электронных данных на месте можно просмотреть оценки результатов поиска в области "Сведения" в Центре администрирования Exchange. Оценки включают количество возвращенных элементов и их общий размер. Можно также просмотреть статистики ключевых слов со сведениями о количестве элементов, возвращенных для каждого использовавшегося в запросе поиска ключевого слова. Эта информация полезна при определении эффективности запросов. Если запрос слишком широкий, он может вернуть очень большой набор данных. Для его просмотра потребуется много ресурсов, что может привести к увеличению расходов на электронное обнаружение. Если запрос слишком узкий, количество возвращенных записей может существенно сократиться или вообще не будет возвращена ни одна запись. С помощью оценок и статистики ключевых слов вы можете точно настроить запрос в соответствии с требованиями.After an In-Place eDiscovery search is completed, you can view search result estimates in the Details pane in the EAC. The estimate includes number of items returned and total size of those items. You can also view keyword statistics, which returns details about number of items returned for each keyword used in the search query. This information is helpful in determining query effectiveness. If the query is too broad, it may return a much bigger data set, which could require more resources to review and raise eDiscovery costs. If the query is too narrow, it may significantly reduce the number of records returned or return no records at all. You can use the estimates and keyword statistics to fine-tune the query to meet your requirements.

Примечание

В Exchange Server и Exchange Online статистика ключевых слов также включает в себя статистику для свойств, не являющихся ключевыми словами, таких как даты, типы сообщений и отправители и получатели, указанные в поисковом запросе.In Exchange Server and Exchange Online, keyword statistics also include statistics for non-keyword properties such as dates, message types, and senders/recipients specified in a search query.

Вы можете просмотреть результаты поиска, чтобы убедиться, что возвращенные сообщения содержат искомое содержимое, и при необходимости выполнить точную настройку запроса. При предварительном просмотре поиска методом обнаружения электронных данных отображается количество сообщений, возвращенных из каждого почтового ящика, поиск в котором осуществлялся, и общее количество сообщений, возвращенных поиском. Предварительный просмотр создается быстро, при этом вам не нужно копировать сообщения в почтовый ящик найденных сообщений.You can also preview the search results to further ensure that messages returned contain the content you're searching for and further fine-tune the query if required. eDiscovery Search Preview displays the number of messages returned from each mailbox searched and the total number of messages returned by the search. The preview is generated quickly without requiring you to copy messages to a discovery mailbox.

Если количество и качество результатов поиска вас удовлетворяет, их можно скопировать в почтовый ящик найденных сообщений. При копировании сообщений можно воспользоваться следующими параметрами.After you're satisfied with the quantity and quality of search results, you can copy them to a discovery mailbox. When copying messages, you have the following options:

  • Включить элементы, не включаемые в поиск: Дополнительные сведения о типах элементов, которые считаются недоступными для поиска, приведены в статье рекомендации по поиску электронных данных, приведенные в предыдущем разделе.Include unsearchable items: For details about the types of items that are considered unsearchable, see the eDiscovery search considerations in the previous section.

  • Включить дедупликацию: отмена дублирования сокращает набор данных, включая только один экземпляр уникальной записи, если в одном или нескольких почтовых ящиках найдено несколько экземпляров.Enable de-duplication: De-duplication reduces the dataset by only including a single instance of a unique record if multiple instances are found in one or more mailboxes searched.

  • Включить полное ведение журнала: по умолчанию при копировании элементов включается только базовое ведение журнала.Enable full logging: By default, only basic logging is enabled when copying items. Можно выбрать функцию полного ведения журнала, чтобы регистрировать сведения обо всех записях, возвращенных в поиске.You can select full logging to include information about all records returned by the search.

  • Отправить мне сообщение по завершении копирования: Поиск с обнаружением электронных данных на месте может возвращать большое количество записей.Send me mail when the copy is completed: An In-Place eDiscovery search can potentially return a large number of records. Копирование сообщений, возвращенных в почтовый ящик найденных сообщений, может занять много времени.Copying the messages returned to a discovery mailbox can take a long time. Используйте этот параметр для получения почтового уведомления о завершении процесса копирования.Use this option to get an email notification when the copying process is completed. Для упрощения доступа с помощью Outlook в Интернете уведомление содержит ссылку на расположение в почтовом ящике обнаружения, в который копируются сообщения.For easier access using Outlook on the web, the notification includes a link to the location in a discovery mailbox where the messages are copied.

Дополнительную информацию можно узнать в статье Copy Result результаты поиска обнаружения электронных данных в почтовый ящикнайденных сообщений.For more information, see Copy eDiscovery Search Results to a Discovery Mailbox.

Экспорт результатов поиска в PST-файлExport search results to a PST file

После копирования результатов поиска в почтовый ящик найденных сообщений результаты поиска можно экспортировать в PST-файл.After search results are copied to a discovery mailbox, you can export the search results to a PST file.

Экспорт результатов поиска при обнаружении электронных данных в PST-файл

После экспорта результатов поиска в PST-файл вы или другие пользователи могут открыть их в Outlook для просмотра или печати сообщений, представленных в результатах поиска. Дополнительные сведения см. в разделе Экспорт результатов поиска при обнаружении электронных данных в PST-файл.After search results are exported to a PST file, you or other users can open them in Outlook to review or print messages returned in the search results. For more information, see Export eDiscovery search results to a PST file.

Различные результаты поискаDifferent search results

Поскольку при обнаружении электронных данных на месте выполняется поиск среди данных реального времени, два поиска в одном и том же источнике содержимого с одинаковым запросом поиска могут вернуть различные результаты. Ожидаемые результаты поиска также могут отличаться от фактических результатов, скопированных в почтовый ящик найденных сообщений. Это может произойти, даже если запустить один и тот же поиск в течение короткого промежутка времени. Существует несколько факторов, которые могут повлиять на идентичность результатов поиска:Because In-Place eDiscovery performs searches on live data, it's possible that two searches of the same content sources and using the same search query can return different results. Estimated search results can also be different from the actual search results that are copied to a discovery mailbox. This can happen even when rerunning the same search within a short amount of time. There are several factors that can affect the consistency of search results:

  • непрерывная индексация электронной почты в связи с тем, что функция поиска Exchange непрерывно обходит и индексирует базы данных почтовых ящиков вашей организации и контейнер транспорта;The continual indexing of incoming email because Exchange Search continuously crawls and indexes your organization's mailbox databases and transport pipeline.

  • удаление сообщений электронной почты пользователями или автоматизированными процессами;Deletion of email by users or automated processes.

  • массовый импорт большого количества электронной почты, индексирование которого занимает определенное время.Bulk importing large amounts of email, which takes time to index.

Если вы замечаете, что один и тот же поиск дает различные результаты, вы можете поставить почтовые ящики на хранение, чтобы сохранить содержимое, использовать поиск в периоды низкой загрузки и после импорта большого количества электронной почты ожидать определенное время, пока завершится индексирование.If you do experience dissimilar results for the same search, consider placing mailboxes on hold to preserve content, running searches during off-peak hours, and allowing time for indexing after importing large amounts of email.

Ведение журнала операций поиска при обнаружении электронных данных на местеLogging for In-Place eDiscovery searches

Для поисков методом обнаружения электронных данных на месте существует два типа ведения журнала.There are two types of logging available for In-Place eDiscovery searches:

  • Basic Logging: для всех операций поиска при обнаружении электронных данных на месте по умолчанию включено Базовое ведение журнала.Basic logging: Basic logging is enabled by default for all In-Place eDiscovery searches. В нем регистрируются сведения о поиске и выполнившем его пользователе.It includes information about the search and who performed it. Сведения, собираемые при обычном ведении журнала, включаются в текст сообщения электронной почты, которое отправляется в почтовый ящик, где хранятся результаты поиска.Information captured about basic logging appears in the body of the email message sent to the mailbox where the search results are stored. Это сообщение находится в папке, созданной для хранения результатов поиска.The message is located in the folder created to store search results.

  • Полное ведение журнала: полное ведение журнала содержит сведения обо всех сообщениях, возвращенных службой поиска.Full logging: Full logging includes information about all messages returned by the search. Эти сведения содержатся в CSV-файле, который вкладывается в сообщение электронной почты, содержащее сведения обычного ведения журнала.This information is provided in a comma-separated value (.csv) file attached to the email message that contains the basic logging information. Для имени CSV-файла используется имя поиска.The name of the search is used for the .csv file name. Эти сведения могут потребоваться для делопроизводства или обеспечения соответствия требованиям.This information may be required for compliance or record-keeping purposes. Чтобы включить полное ведение журнала, при копировании результатов поиска в почтовый ящик найденных сообщений в Центре администрирования Exchange выберите параметр Включить полное ведение журнала.To enable full logging, you must select the Enable full logging option when copying search results to a discovery mailbox in the EAC. Если вы используете Exchange Online PowerShell, укажите параметр "полное протоколирование" с помощью параметра LogLevel .If you're using Exchange Online PowerShell, specify the full logging option using the LogLevel parameter.

Примечание

При использовании Exchange Online PowerShell для создания или изменения поиска с обнаружением электронных данных на месте можно также отключить ведение журнала.When using Exchange Online PowerShell to create or modify an In-Place eDiscovery search, you can also disable logging.

Кроме журнала поиска, включенного при копировании результатов поиска в почтовый ящик найденных сообщений, Exchange также записывает в журнал командлеты, которые используются в центре администрирования Exchange или Exchange Online PowerShell для создания, изменения или удаления операций поиска при обнаружении электронных данных на месте.Besides the search log included when copying search results to a discovery mailbox, Exchange also logs cmdlets used by the EAC or Exchange Online PowerShell to create, modify or remove In-Place eDiscovery searches. Эта информация регистрируется в записях журнала аудита администратора.This information is logged in the admin audit log entries. Дополнительные сведения см. в разделе Administrator Audit Logging.For details, see Administrator Audit Logging.

Электронное обнаружение на месте и хранение на местеIn-Place eDiscovery and In-Place Hold

При выполнении запросов на обнаружение электронных данных вам может потребоваться сохранять содержимое почтовых ящиков до завершения судебного процесса или расследования.As part of eDiscovery requests, you may be required to preserve mailbox content until a lawsuit or investigation is disposed. Сообщения, удаленные или измененные пользователем почтового ящика или любыми процессами, также должны быть сохранены.Messages deleted or altered by the mailbox user or any processes must also be preserved. В Exchange Server это выполняется с помощью удержания на месте.In Exchange Server, this is accomplished by using In-Place Hold. Подробнее: " удержание на месте" и "удержание для судебного разбирательства".For details, see In-Place Hold and Litigation Hold.

В Exchange Server можно использовать мастер создания & хранения для обнаружения электронных данных на месте для поиска элементов и сохранения их до тех пор, пока они необходимы для обнаружения электронных данных или для удовлетворения других бизнес-требований.In Exchange Server, you can use the new In-Place eDiscovery & Hold wizard to search items and preserve them for as long as they're required for eDiscovery or to meet other business requirements. When using the same search for both In-Place eDiscovery and In-Place Hold, be aware of the following:When using the same search for both In-Place eDiscovery and In-Place Hold, be aware of the following:

  • Нельзя использовать параметр для поиска во всех почтовых ящиках. Необходимо выбрать почтовые ящики или группы рассылки.You can't use the option to search all mailboxes. You must select the mailboxes or distribution groups.

  • Если поиск методом обнаружения электронных данных на месте также используется для хранения на месте, удалить этот поиск нельзя. Сначала необходимо отключить параметр хранения на месте, а затем удалить поиск.You can't remove an In-Place eDiscovery search if the search is also used for In-Place Hold. You must first disable the In-Place Hold option in a search and then remove the search.

Хранение почтовых ящиков для обнаружения электронных данных на местеPreserving mailboxes for In-Place eDiscovery

Когда сотрудник увольняется из организации, его почтовый ящик, как правило, отключается или удаляется. После отключения почтовый ящик отсоединяется от учетной записи пользователя, но остается в почтовом ящике на определенный период (по умолчанию 30 дней). Помощник для управляемых папок не обрабатывает отключенные почтовые ящики. Во время этого периода политики хранения не применяются. Выполнять поиск содержимого в отключенной папке нельзя. После достижения периода хранения удаленного почтового ящика, настроенного для базы данных почтовых ящиков, почтовый ящик удаляется из базы данных почтовых ящиков.When an employee leaves an organization, it's a common practice to disable or remove the mailbox. After you disable a mailbox, it is disconnected from the user account but remains in the mailbox for a certain period, 30 days by default. The Managed Folder Assistant does not process disconnected mailboxes and any retention policies are not applied during this period. You can't search content of a disconnected mailbox. Upon reaching the deleted mailbox retention period configured for the mailbox database, the mailbox is purged from the mailbox database.

Важно!

В Exchange Online метод обнаружения электронных данных на месте позволяет выполнять поиск в неактивных почтовых ящиках. Неактивными считаются почтовые ящики, переведенные в режим хранения на месте или хранения для судебного разбирательства и затем удаленные. Неактивные ящики хранятся, пока они находятся на хранении. Когда неактивный ящик удаляется из режима хранения на месте или хранения для судебного разбирательства, он удаляется без возможности восстановления. Дополнительные сведения см. в разделе Manage Inactive Mailboxes in Exchange Online.In Exchange Online, In-Place eDiscovery can search content in inactive mailboxes. Inactive mailboxes are mailboxes that are placed on In-Place Hold or litigation hold and then removed. Inactive mailboxes are preserved as long as they're placed on hold. When an inactive mailbox is removed from In-Place Hold or when litigation hold is disabled, it is permanently deleted. For details, see Manage Inactive Mailboxes in Exchange Online.

Если вашей организации с локальным развертыванием требуется, чтобы параметры хранения применялись к сообщениям сотрудников, которые больше не работают в организации, или необходимо сохранить почтовый ящик бывших сотрудников для будущих запросов на обнаружение электронных данных, не отключайте или не удаляйте почтовый ящик. Чтобы убедиться в отсутствии доступа к почтовому ящику и доставки в него новых сообщений, выполните следующие действия.In on-premises deployments, if your organization requires that retention settings be applied to messages of employees who are no longer in the organization or if you may need to retain an ex-employee's mailbox for an ongoing or future eDiscovery search, do not disable or remove the mailbox. You can take the following steps to ensure the mailbox can't be accessed and no new messages are delivered to it.

  1. Отключите учетную запись пользователя Active Directory с помощью оснастки "Active Directory — пользователи & компьютеров или других средств или сценариев службы подготовки учетных записей Active Directory или учетных записей.Disable the Active Directory user account using Active Directory Users & Computers or other Active Directory or account provisioning tools or scripts. This prevents mailbox logon using the associated user account.This prevents mailbox logon using the associated user account.

    Важно!

    Пользователи с разрешением полного доступа к почтовым ящикам по-прежнему могут обращаться к почтовому ящику.Users with Full Access mailbox permission will still be able to access the mailbox. Чтобы предотвратить доступ других пользователей, необходимо удалить их разрешение полного доступа из почтового ящика.To prevent access by others, you must remove their Full Access permission from the mailbox. Сведения о том, как удалять разрешения для почтового ящика полного доступа в почтовом ящике, можно узнать в статье Управление разрешениями для получателей.For information about how to remove Full Access mailbox permissions on a mailbox, see Manage permissions for recipients.

  2. Задайте для максимального размера сообщений, которые могут отправляться пользователем почтового ящика или доставляться ему, очень низкое значение, например 1 КБ.Set the message size limit for messages that can be sent from or received by the mailbox user to a very low value, 1 KB for example. Это предотвратит доставку новой почты в почтовый ящик и отправку почты из него.This prevents delivery of new mail to and from the mailbox. Дополнительные сведения см. в разделе Configure Message Size Limits for a Mailbox.For details, see Configure Message Size Limits for a Mailbox.

  3. Настройте ограничения на доставку для почтового ящика так, чтобы никто не мог отправлять в него сообщения. Дополнительные сведения см. в разделе Настройка ограничений на доставку сообщений для почтового ящика.Configure delivery restrictions for the mailbox so nobody can send messages to it. For details, see Configure message delivery restrictions for a mailbox.

Важно!

Описанные действия необходимо выполнить вместе с другими процессами управления учетными записями, требуемыми для организации, но без отключения или удаления почтового ящика или удаления связанной учетной записи пользователя.You must take the above steps along with any other account management processes required by your organization, but without disabling or removing the mailbox or removing the associated user account.

При планировании внедрения системы хранения почтовых ящиков для управления хранением сообщений (MRM) или электронного управления на месте необходимо принять во внимание текучесть кадров. Длительное хранение почтовых ящиков бывших сотрудников потребует дополнительного пространства для хранения на серверах почтовых ящиков и может привести к увеличению размера базы данных Active Directory, поскольку связанные учетные записи пользователей должны храниться в течение того же периода. Кроме того, могут потребоваться изменения в процессах подготовки учетных записей и управления ими в организации.When planning to implement mailbox retention for messaging retention management (MRM) or In-Place eDiscovery, you must take employee turnover into consideration. Long-term retention of ex-employee mailboxes will require additional storage on Mailbox servers and also result in an increase in Active Directory database because it requires that the associated user account be retained for the same duration. Additionally, it may also require changes to your organization's account provisioning and management processes.

Ограничения и политики регулирования обнаружения электронных данных на местеIn-Place eDiscovery limits and throttling policies

В Exchange Server и Exchange Online контролируемые ресурсы обнаружения электронных данных на месте могут управляться с помощью политик регулирования.In Exchange Server and Exchange Online, the resources In-Place eDiscovery can consume are controlled using throttling policies.

Политики регулирования по умолчанию содержит следующие параметры регулирования.The default throttling policy contains the following throttling parameters.

ParameterParameter ОписаниеDescription Значение по умолчаниюDefault value
DiscoveryMaxConcurrencyDiscoveryMaxConcurrency Максимальное количество поисковых запросов при обнаружении электронных данных на месте, которые можно одновременно выполнить в организации.The maximum number of In-Place eDiscovery searches that can run at the same time in your organization. 22
Note: при запуске поиска eDiscovery в то время, когда два предыдущих поиска продолжают выполняться, третий поиск не будет помещен в очередь и не будет работать.Note: If an eDiscovery search is started while two previous searches are still running, the third search won't be queued and will instead fail. Прежде чем начать новый поиск, необходимо дождаться завершения одного из предыдущих поисков.You have to wait until one of the previous searches finishes before you can successfully start a new search.
ДисковеримаксмаилбоксесDiscoveryMaxMailboxes Максимальное количество почтовых ящиков, в которых может быть выполнен поиск в ходе одного процесса обнаружения электронных данных на месте.The maximum number of mailboxes that can be searched in a single In-Place eDiscovery search. Exchange Online: 10,0001Exchange Online: 10,0001
Сервер Exchange Server: 5 000Exchange Server: 5,000
ДисковеримаксстатссеарчмаилбоксесDiscoveryMaxStatsSearchMailboxes Максимальное количество почтовых ящиков, в которых может быть выполнен поиск в ходе одного процесса обнаружения электронных данных на месте и просмотрена статистика ключевых слов.The maximum number of mailboxes that can be searched in a single In-Place eDiscovery search that still allows you to view keyword statistics. 100100
Note: после оценки результатов поиска обнаружения электронных данных можно просмотреть статистику ключевых слов.Note: After you run an eDiscovery search estimate, you can view keyword statistics. Она содержит сведения о количестве элементов, возвращаемых для каждого ключевого слова в поисковом запросе.These statistics show details about the number of items returned for each keyword used in the search query. Если в поиск включено более 100 исходных почтовых ящиков, при попытке просмотра статистики ключевых слов будет возвращена ошибка.If more than 100 source mailboxes are included in the search, an error will be returned if you try to view keyword statistics.
ДисковеримакскэйвордсDiscoveryMaxKeywords Максимальное количество ключевых слов, которое можно указать в одном процессе обнаружения электронных данных на месте.The maximum number of keywords that can be specified in a single In-Place eDiscovery search. 500500
ДисковеримакссеарчресултспажесизеDiscoveryMaxSearchResultsPageSize Максимальное количество элементов, отображаемых на одной странице в режиме предварительного просмотра результатов поиска методом обнаружения электронных данных на месте.The maximum number of items displayed on a single page when previewing In-Place eDiscovery search results. 200200
ДисковерисеарчтимеаутпериодDiscoverySearchTimeoutPeriod Количество минут, в течение которых будет выполняться поиск методом обнаружения электронных данных на месте до истечения времени ожидания.The number of minutes that an In-Place eDiscovery search will run before it times out. 10 минут10 minutes

Примечание

1 Если вы инициируете поиск eDiscovery из Центра eDiscovery в SharePoint Online в организации Office 365, в него можно включить не более 1500 почтовых ящиков за раз.1 If you initiate an eDiscovery search from the eDiscovery Center in SharePoint Online in an Office 365 organization, you can search a maximum of 1,500 mailboxes in a single search.

В Exchange Server вы можете изменить значения по умолчанию для этих параметров в соответствии с вашими требованиями или создать дополнительные политики регулирования и назначить их пользователям с делегированным разрешением на Управление обнаружением.In Exchange Server, you can change the default values for these parameters to suit your requirements or create additional throttling policies and assign them to users with delegated Discovery Management permission. В Exchange Online нельзя изменить значения по умолчанию для этих параметров регулирования.In Exchange Online, the default values for these throttling parameters can't be changed.

Документация обнаружения электронных данных на местеIn-Place eDiscovery documentation

В следующей таблице приведены ссылки на разделы, которые помогут узнать больше об обнаружении электронных данных на месте.The following table contains links to topics that will help you learn about and manage In-Place eDiscovery.

СтатьяTopic ОписаниеDescription
Назначение разрешений обнаружения электронных данных в ExchangeAssign eDiscovery permissions in Exchange Сведения о том, как предоставить пользователю доступ к функции обнаружения электронных данных на месте в EAC для поиска в почтовых ящиках Exchange. Добавление пользователя в группу ролей "Управление обнаружением" также позволяет использовать центр обнаружения электронных данных в SharePoint 2013 и SharePoint Online для поиска в почтовых ящиках Exchange.Learn how to give a user access to use In-Place eDiscovery in the EAC to search Exchange mailboxes. Adding a user to the Discovery Management role group also allows the person to use the eDiscovery Center in SharePoint 2013 and SharePoint Online to search Exchange mailboxes.
Создание почтового ящика найденных сообщенийCreate a discovery mailbox Узнайте, как использовать Exchange Online PowerShell для создания почтового ящика обнаружения и назначения разрешений доступа.Learn how to use Exchange Online PowerShell to create a discovery mailbox and assign access permissions.
Создание поискового запроса на локальное обнаружение электронных данныхCreate an In-Place eDiscovery search Узнайте, как создать поиск обнаружения электронных данных на месте, а также как оценивать и просматривать результаты обнаружения электронных данных на месте.Learn how to create an In-Place eDiscovery search, and how to estimate and preview eDiscovery search results.
Свойства сообщений и операторы поиска для обнаружения электронных данных на местеMessage properties and search operators for In-Place eDiscovery Узнайте, как свойства сообщений электронной почты можно искать с помощью обнаружения электронных данных на месте. В этом разделе представлены примеры синтаксиса для каждого свойства, сведения об операторах поиска, таких как AND и OR, и информация о других методах выполнения поисковых запросов, например использовании двойных кавычек (" ") и знаков подстановки в конце слова. Learn which email message properties can be searched using In-Place eDiscovery. The topic provides syntax examples for each property, information about search operators such as AND and OR, and information about other search query techniques such as using double quotation marks (" ") and prefix wildcards.
Search limits for In-Place eDiscovery in Exchange OnlineSearch limits for In-Place eDiscovery in Exchange Online Ознакомьтесь с ограничениями обнаружения электронных данных на месте в Exchange Online, которые обеспечивают работоспособность и качество служб обнаружения электронных данных для организаций Office 365.Learn In-Place eDiscovery limits in Exchange Online that help maintain the health and quality of eDiscovery services for Office 365 organizations.
Start or Stop an In-Place eDiscovery SearchStart or Stop an In-Place eDiscovery Search Узнайте, как начинать, останавливать и перезапускать поиск обнаружения электронных данных на месте.Learn how to start, stop, and restart eDiscovery searches.
Modify an In-Place eDiscovery SearchModify an In-Place eDiscovery Search Узнайте, как изменять существующий поиск обнаружения электронных данных на месте.Learn how to modify an existing eDiscovery search.
Копирование результатов поиска с обнаружением электронных данных в почтовый ящик найденных сообщенийCopy eDiscovery Search Results to a Discovery Mailbox Узнайте, как скопировать результаты поиска обнаружения электронных данных на месте в почтовый ящик обнаружения.Learn how to copy the results of an eDiscovery search to a discovery mailbox.
Экспорт результатов поиска при обнаружении электронных данных в PST-файлExport eDiscovery search results to a PST file Узнайте, как экспортировать результаты поиска обнаружения электронных данных на месте в PST-файл.Learn how to export the results of an eDiscovery search to a PST file.
Create a custom management scope for In-Place eDiscovery searchesCreate a custom management scope for In-Place eDiscovery searches Узнайте, как использовать настраиваемые области управления для ограничения почтовых ящиках, в которых менеджер по обнаружению может выполнять поиск.Learn how to use custom management scopes to limit the mailboxes that a discovery manager can search.
Remove an In-Place eDiscovery SearchRemove an In-Place eDiscovery Search Узнайте, как удалить поиск обнаружения электронных данных на месте.Learn how to delete an eDiscovery search.
Поиск и удаление сообщенийSearch and Delete Messages Узнайте, как искать и удалять сообщения электронной почты с помощью командлета Search-Mailbox.Learn how to use the Search-Mailbox cmdlet to search for and then delete email messages.
Reduce the size of a discovery mailbox in ExchangeReduce the size of a discovery mailbox in Exchange Используйте эту процедуру, чтобы уменьшить размер почтового ящика найденных сообщений, превышающий 50 ГБ.Use this process to reduce the size of a discovery mailbox that's larger than 50 GB.
Delete and re-create the default discovery mailbox in ExchangeDelete and re-create the default discovery mailbox in Exchange Узнайте, как удалить почтовый ящик найденных сообщений по умолчанию, повторно создать его, а затем переназначить для него разрешения. Используйте эту процедуру, если размер почтового ящика превысил 50 ГБ и вам не нужны результаты поиска.Learn how to delete the default discovery mailbox, re-create it, and then reassign permissions to it. Use this procedure if this mailbox has exceeded the 50 GB limit and you don't need the search results.
Re-Create the Discovery System MailboxRe-Create the Discovery System Mailbox Узнайте, как воссоздать системный почтовый ящик обнаружения.Learn how to recreate the discovery system mailbox. Эта задача применяется только к организациям Exchange Server.This task is applicable only to Exchange Server organizations.
Using Oauth Authentication to Support eDiscovery in an Exchange Hybrid DeploymentUsing Oauth Authentication to Support eDiscovery in an Exchange Hybrid Deployment Ознакомьтесь со сценариями обнаружения электронных данных на месте в гибридном развертывании, где требуется настроить проверку подлинности OAuth.Learn about the eDiscovery scenarios in an Exchange hybrid deployment that require you to configure OAuth authentication.
Configure Exchange for SharePoint eDiscovery CenterConfigure Exchange for SharePoint eDiscovery Center Узнайте, как настроить Exchange Server таким образом, чтобы можно было использовать центр обнаружения электронных данных в SharePoint 2013 для поиска почтовых ящиков Exchange.Learn how to configure Exchange Server so that you can use the eDiscovery Center in SharePoint 2013 to search Exchange mailboxes.
Unsearchable Items in Exchange eDiscoveryUnsearchable Items in Exchange eDiscovery Ознакомьтесь с элементами почтового ящика, которые не индексируются поиском Exchange и возвращаются в результатах поиска обнаружения электронных данных как элементы, недоступные для поиска.Learn about mailbox items that can't be indexed by Exchange Search and are returned in eDiscovery search results as unsearchable items.

Дополнительные сведения об обнаружении электронных данных в Office 365, Exchange Server, SharePoint 2013 и Lync 2013 можно найти в статье вопросы и ответы по eDiscovery.For more information about eDiscovery in Office 365, Exchange Server, SharePoint 2013, and Lync 2013, see the eDiscovery FAQ.