In-Place Exchange Server 中的保留和訴訟保留
如果合理預期到訴訟的可能性,組織就需要保留與案件相關的電子儲存資訊 (ESI),包括電子郵件。 了解案件的特定資料之前通常會有此預期心理,而且需要保留的資料範圍通常很廣。 組織可能必須保留所有與特定主題相關的電子郵件,或是有關特定個人的所有電子郵件。 取決於組織的電子化探索 (eDiscovery) 實務,可以採取下列措施來保留電子郵件:
組織可能會要求使用者不要刪除任何郵件,並妥善保留電子郵件。 不過,使用者仍可能故意或不小心刪除電子郵件。
例如通訊記錄管理 (MRM) 之類的自動刪除機制,可能會遭到擱置。 如此一來,大量的電子郵件會塞滿使用者信箱,進而影響使用者生產力。 即使擱置自動刪除機制,也無法防止使用者以手動方式刪除電子郵件。
某些組織會將電子郵件複製或是移至封存中,確保它們不會遭到刪除、更動或竄改。 不管是以人工方式將郵件複製或移動至封存,還是使用 Exchange 以外的協力廠商產品來收集並儲存電子郵件,都會導致成本增加。
如果組織無法保留電子郵件,會暴露在法律與財務風險之中,例如被要求檢查組織的記錄保留與搜索流程、錯誤的法律判斷、禁運或罰鍰等。
訴訟暫止與就地保留
Exchange Server 中提供兩種類型的保留:訴訟保留和 In-Place 保留。 訴訟暫止功能會使用信箱的 LitigationHoldEnabled 屬性。 訴訟暫止啟用時,會保留所有信箱的所有項目。 相反地,您可以使用就地保留,僅保留符合您使用就地 eDiscovery 工具所定義的搜尋查詢條件之項目。 您可以對信箱進行多項就地保留,但針對信箱訴訟暫止只能啟用或停用。 對這兩種類型的保留,您也可以指定要保留項目的持續時間。 持續時間自接收或建立信箱項目的日期開始計算。 如果未設定持續時間,則會無限期保留項目,或將項目保留到移除保留為止。 如果撤除信箱的訴訟暫止,但信箱仍處於一項或多項就地保留狀態,便會按保留設定所指定的持續時間來保留符合就地保留條件的項目。
您可以使用就地保留功能將使用者設定為多項保留狀態。 當使用者處於多項保留狀態時,會結合任何查詢式保留的搜尋查詢 (使用 OR 運算子)。 在此情況下,信箱上所有查詢式保留中關鍵字的數目上限是 500。 如果超過 500 個關鍵字,則信箱中的所有內容都會被保留 (不只是符合搜尋條件的內容)。 關鍵字總數減少到 500 或以下之前,會保留所有內容。
當您將 Exchange 2010 或 Exchange 2013 中設定為訴訟暫止狀態的信箱移至 Exchange 2016 中的信箱伺服器,會持續套用訴訟暫止設定,以確保在移動期間和之後能符合規範要求。
重要事項
當您對信箱進行訴訟暫止或就地保留時,會同時保留主要信箱和封存信箱。
如需使用何種保留類型的詳細資訊,請參閱將所有的信箱就地保留。
保留目標和功能
您可以使用訴訟暫止和就地保留功能來達成下列目標:
保留使用者信箱並永遠維持信箱項目不變。
無限期或於指定期間內保留項目。
保留由使用者或自動程序 (例如 MRM) 刪除的信箱項目。
保留轉寄到另一個信箱的郵件。
使用查詢式就地保留來搜尋及保留符合指定條件的項目 (您也可以在建立保留時包含所有信箱內容,以便將所有項目保留)
針對不同案例或調查,對使用者進行多項保留。
無需暫停 MRM,讓使用者不會察覺到被保留。
使用就地 eDiscovery 來搜尋處於保留狀態的項目
如果您從 Exchange Server 2010 升級,合法保留的概念是無限期保留使用者的所有信箱資料,或保留至撤除保留為止。 在 Exchange 2016 中,In-Place Hold 導入了不同的模型,可讓您指定下列參數:
查詢式保留:使用訴訟保留時,會保留信箱中的所有專案。 不過,就地保留可讓您使用關鍵字、寄件者與收件者、開始與結束日期等搜尋查詢參數來指定要保留的項目,以及指定電子郵件訊息、行事曆項目和 商務用 Skype 對話等想要保留的郵件類型。 在建立查詢式就地保留之後,即可保留所有符合查詢參數的現有及未來信箱項目 (包括日後收到的郵件)。 訴訟暫止不支援查詢式保留。
保留期間:在訴訟保留和 In-Place 保留中,您可以指定保留項目的時間長度。 您可以指定無限期的保留期間或時間型的保留期間。 持續時間自接收或建立信箱項目的日期開始計算。 例如,如果您的組織需要將所有信箱項目保留 7 年,則您可以建立時間型保留。 因此,如果信箱處於保留狀態且保留期間設為 7 年,而信箱中的項目在接收日期 2 年後永久刪除,則該項目會保留 5 年,再從信箱資料庫中清除。
提示
您可以使用時間型保留功能配合保留原則,以確保能保留項目至指定期間,並在保留時間到期後從 Exchange 永久刪除。
將信箱設定為保留狀態
必須有合法保留管理角色,才能對信箱進行訴訟暫止或就地保留。 不過若要建立查詢式就地保留,還必須將信箱搜尋角色指派給您。 已新增至 探索管理 角色型存取控制 (RBAC) 角色群組 (或是已指派合法保留及信箱搜尋角色) 的使用者,可以將使用者保留並建立查詢式就地保留。 若要瞭解如何將成員新增至探索管理角色群組,請參閱在 Exchange Server 中指派電子檔探索許可權。
您可以將信箱訴訟保留放在 Exchange 系統管理中心的 [收件者 ] 頁面上,或使用 Set-Mailbox -LitigationHoldEnabled $true Exchange 管理命令介面中的 命令。
The In-Place Hold functionality is integrated with In-Place eDiscovery searches. 您可以使用 EAC 中的就 地電子檔探索 & 保留 精靈或 Exchange 管理命令介面中的 New-MailboxSearch Cmdlet,將信箱放在 In-Place 保留。 To learn how, see:
注意事項
如果您使用 Exchange Online 封存 為內部部署信箱布建雲端式封存,則必須管理內部部署 Exchange Server 組織的 In-Place 保留。 保留設定會透過 DirSync 自動傳播至雲端型封存。
Many organizations require that users be informed when they're placed on hold. Additionally, when a mailbox is on hold, any retention policies applicable to the mailbox user don't need to be suspended. Because messages continue to be deleted as expected, users may not notice they're on hold. If your organization requires that users on hold be informed, you can add a notification message to the mailbox user's by populating the Retention Comment property and using the RetentionUrl property to link to a web page for more information. Outlook 2010 and later versions display the retention comment and URL in the backstage area, which is located on the Files ribbon. You can use the Set-Mailbox cmdlet to add these properties.
保留和可復原的項目資料夾
訴訟暫止和就地保留使用 [可復原的項目] 資料夾來保留項目。 在 Outlook、網頁型 Outlook 與其他電子郵件用戶端的預設檢視中,不會顯示 [可復原的項目] 資料夾。 若要深入瞭解 [可復原的專案] 資料夾,請參閱 Exchange Server 中的 [可復原的專案] 資料夾。
當使用者刪除來自 [已刪除的項目] 資料夾以外之資料夾的郵件時,該郵件預設會移至 [已刪除的項目] 資料夾。 當使用者按 SHIFT+DELETE) 或刪除 [刪除的郵件] 資料夾中的專案,虛 刪除 (專案時,訊息會移至 [可復原的專案] 資料夾,因而從使用者的檢視中消失。
[可復原的項目] 資料夾中的項目,會依據使用者信箱資料庫上所設定的已刪除項目保留期間來進行保留。 根據預設,信箱資料庫會將已刪除項目的保留期間設為 14 天。
[可復原的項目] 資料夾包含下列子資料夾,用於將刪除的項目儲存在不同的站台中以利訴訟暫止和就地保留:
刪除:從 [刪除的郵件] 資料夾移除的專案,或從其他資料夾虛刪除的專案會移至 [刪除] 子資料夾,並在 Outlook 和 Outlook 網頁版 中使用 [復原刪除的專案] 功能時,使用者可以看到這些專案。 這些項目預設會駐留在此資料夾中,直到信箱資料庫或信箱上設定之已刪除的項目保留期間到期為止。
清除:當使用者使用 Outlook 和 Outlook 網頁版 中的 [復原刪除的專案] 工具從 [可復原的專案] 資料夾 (刪除專案時,該專案會移至 [清除] 資料夾。 當項目超出信箱資料庫或信箱上設定的已刪除項目保留期間,也會移至 [清除] 資料夾。 如果使用者使用「復原刪除的項目」工具,則不會看到此資料夾中的項目。 當信箱助理員開始處理信箱時,會清除位於信箱資料庫中 [清除] 資料夾裡的項目。 當您將信箱使用者設為訴訟暫止時,信箱助理員不會清除此資料夾中的項目。
DiscoveryHolds:如果使用者被置於 In-Place 保留,已刪除的專案會移至此資料夾。 當信箱助理員開始處理信箱時,會評估此資料夾裡的郵件。 符合就地保留查詢的項目會保留至該查詢中指定的保留期間為止。 如果未指定保留期間,則會無限期保留項目直到將該使用者撤除保留為止。 不過,如果您將已處於就地保留的使用者放置到訴訟暫止,則會優先採用訴訟暫止。 因此,刪除的項目會改為移至 [清除] 資料夾。
版本:當使用者 In-Place 保留或訴訟保留時,信箱項目必須受到保護,以避免遭到使用者或進程竄改或修改。 這是使用 寫入時複製 程式來完成。 當使用者或程序變更信箱項目的特定屬性時,會在變更完成之前在 [版本] 資料夾中儲存一份原始項目副本。 若有後續變更,則會重複進行此程序。 [版本] 資料夾內擷取的項目也同時加入了索引並會出現在就地 eDiscovery 搜尋的結果中。 撤除保留後,受管理的資料夾助理員會移除 [版本] 資料夾中的副本。
觸發寫入時複製的內容
| 項目類型 | 觸發寫入時複製的內容 |
|---|---|
| 訊息 (IPM。附註*) 張貼 (IPM。Post*) |
主旨 本文 附件 寄件者/收件者 傳送/接收日期 |
| 郵件與文章以外的項目 | 除以下內容外的任何可見內容變更:
|
| 預設資料夾 [草稿] 中的項目 | 無 (免除寫入時複製的 [草稿] 資料夾中的項目) |
重要事項
當收到出席者的會議回應以及更新會議的追蹤資訊時,召集人信箱中的行事曆項目會停用寫入時複製。 對於行事曆項目和有設定提醒的項目,會停用 ReminderTime 及 ReminderSignalTime 內容的寫入時複製。 寫入時複製不會擷取對這些內容所做的變更。 寫入時複製不會擷取對 RSS 摘要所做的變更。
雖然使用者看不到 [DiscoveryHolds]、[清除] 與 [版本] 資料夾,[可復原的項目] 資料夾中的所有項目仍可使用就地 eDiscovery 來搜索。 當撤除信箱使用者的就地保留或訴訟暫止狀態後,受管理的資料夾助理員會清除 [DiscoveryHolds]、[清除] 與 [版本] 資料夾中的項目。
如果信箱未置於訴訟暫止或就地保留狀態,當項目位於資料夾的時間超過刪除的項目保留期間,系統就會依據先進先出的方式從 [可復原的項目] 資料夾中永久刪除 [清除] 資料夾中的項目。
保留和信箱配額
[可復原的項目] 資料夾中的項目,不是依據使用者信箱配額來計算。 在 Exchange 中,[可復原的項目] 資料夾擁有自己的配額。 針對 Exchange,RecoverableItemsWarningQuota 和 RecoverableItemsQuota 信箱屬性的預設值分別設定為 20 GB 和 30 GB。 若要為Exchange 伺服器修改信箱資料庫的這些值,請使用 Set-MailboxDatabase Cmdlet。 若要修改個別信箱的這些值,請使用 Set-Mailbox Cmdlet。
當使用者的 [可復原的專案] 資料夾超過可復原專案的警告配額時, (由) 的 RecoverableItemsWarningQuota 參數所指定,則會在 Mailbox 伺服器的 Application 事件記錄檔中記錄事件。 當資料夾超出 RecoverableItemsQuota 參數) 所指定的可復原專案 (配額時,用戶將無法清空 [刪除的郵件] 資料夾或永久刪除信箱專案。 此外,「寫入時複製」功能將無法對修改的項目建立副本。 因此,請務必針對處於就地保留狀態的信箱使用者,監視其可復原的項目配額。
保留和電子郵件轉寄
有 Exchange 伺服器信箱的使用者可以使用 Outlook 和 網頁型 Outlook 來設定信箱的電子郵件轉寄功能。 Email 轉寄可讓使用者設定其信箱,以將傳送至其信箱的電子郵件轉寄至位於組織內部或外部的另一個信箱。 系統管理員也可以設定郵件流程規則 (也稱為傳輸規則,) 將郵件轉寄至另一個信箱。 在這兩種情況下,可設定電子郵件轉寄功能,讓傳送到原始信箱的郵件不會複製到該信箱,只會傳送到轉寄的地址。
如果信箱處於保留狀態,則會採取其他步驟。 在傳遞程序期間,會檢查信箱的保留設定。 如果郵件符合信箱的保留準則,則郵件複本會儲存至 [收件匣] 資料夾。 這表示您可以使用就地 eDiscovery 來搜尋原始信箱,尋找轉寄到另一個信箱的郵件。
保留封存的商務用 Skype 內容
Exchange 2016 和 Exchange 2019、商務用 Skype 和 SharePoint 2016 提供整合式保留和電子檔探索體驗,可讓您在不同的數據存放區中保留和搜尋專案。 Exchange 2016 和 2019 可讓您在 Exchange 中封存 商務用 Skype 內容,而不需要有個別的 SQL Server 資料庫來儲存封存的 Lync 內容。 SharePoint 2016 內建的保留和 eDiscovery 功能允許您透過單一主控台在所有儲存區間保留和搜尋資料。
當您將 Exchange Server 信箱放在 In-Place 保留或訴訟保留時,商務用 Skype 內容 (,例如在在線會議中共用的立即訊息交談和檔案) 會封存在信箱中。 如果使用就地 eDiscovery 搜尋信箱,任何符合該搜尋查詢的封存 商務用 Skype 內容也會出現在搜尋結果中。 您也可以限定搜尋封存於該信箱內的 商務用 Skype 內容。
若要在 Exchange Server 信箱中啟用 商務用 Skype 內容的封存,您必須設定 2015 商務用 Skype Server 與 Exchange Server 整合。 如需詳細資料,請參閱下列主題:
刪除保留狀態的信箱
如果您刪除的使用者帳戶有信箱,則 Exchange 資訊儲存庫最終會偵測到信箱已不再連接到使用者帳戶,並將該信箱標示為待刪除,即使信箱已保留。 若您想保留信箱,必須執行下列作業:
不要刪除使用者帳戶,而是停用使用者帳戶。
變更信箱的屬性,以限制對信箱的使用和存取。 例如,將收發配額設為 1,封鎖可以傳送訊息至信箱的人,並限制可以存取信箱的對象。
保留信箱直到所有資料皆移除,或直到不再需要保留資料。
將保留信箱從 Exchange Server 移轉至 Microsoft 365 或 Office 365
如果您有 Exchange 混合式部署,當您將 (上線) 內部部署 Exchange Server 信箱移至 Microsoft 365 或 Office 365 中的 Exchange Online 時,下列條件成立:
如果內部部署信箱處於訴訟暫止或就地保留狀態,保留設定會保留到信箱移動至 Exchange Online 之後。
如果內部部署信箱處於訴訟暫止或就地保留狀態,[可復原的項目] 資料夾中的所有內容都會移至 Exchange Online 信箱中。
當您將 Exchange Online 信箱移動 (下架) 至您的內部部署 Exchange 伺服器組織時,[可復原的項目] 資料夾中的保留設定和內容會同時保留。
提示
針對 Exchange Server,建議使用 Exchange 混合式部署將內部部署信箱移轉至 Microsoft 365 或 Office 365。