瞭解多信箱搜尋

 

適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間: 2016-11-28

如果您的組織遵守法定開示需求 (與組織原則、法規遵循性或訴訟有關),Microsoft Exchange Server 2010 多信箱搜尋可幫助您在 Exchange 信箱內執行相關內容的探索搜尋。

多信箱搜尋使用 Exchange 搜尋所建立的內容索引。Exchange 控制台 (ECP) 針對非技術人員,例如法務人員、記錄管理員與人力資源 (HR) 專業人員,提供一個簡單易用的搜尋介面。角色存取控制 (RBAC) 可提供 探索管理 管理角色群組,以便將探索工作委派給非技術人員,但不會提供較高的權限讓使用者能對 Exchange 組態進行任何作業上的變更。

目錄

多信箱搜尋的用法

Exchange 搜尋和進階查詢語法

探索管理角色群組和管理角色

探索信箱

執行探索搜尋

檢視搜尋結果

探索搜尋記錄

訴訟保留與探索

要尋找與多信箱搜尋相關的管理工作嗎?請參閱管理多信箱搜尋

多信箱搜尋的用法

以下是多信箱搜尋的常見用法:

  • **法定開示   **遵循對於通訊記錄的法定開示要求,是正在訴訟中的組織最重要的工作之一。若沒有專用的工具,搜尋多個位在不同信箱資料庫中信箱的通訊記錄,會是件耗時且要投入大量資源的工作。使用多信箱搜尋,您可以橫跨一或多個 Exchange 2010 伺服器 (可能還位在不同的位置中) 搜尋儲存在信箱中的大量電子郵件。

  • 內部調查   多信箱搜尋可幫助您在進行內部調查時更容易因應主管或法務部門的要求。

  • 人力資源監控   多信箱搜尋可幫助您更容易因應人力資源部門的要求,例如標準的電子郵件監控需求或特定的搜尋。

回到頁首

Exchange 搜尋和進階查詢語法

多信箱搜尋使用 Exchange 搜尋所建立的內容索引。為了提供多信箱搜尋所需的廣泛搜尋功能,在 Exchange 搜尋中新增了多項新功能。透過使用單一內容索引引擎,當 IT 部門收到探索要求時,不需使用任何額外的資源即可針對多信箱搜尋進行信箱資料庫的編目與索引建立工作。

若要深入了解 Exchange 搜尋,請參閱了解 Exchange 搜尋

多信箱搜尋也使用進階查詢語法 (AQS),這是一個由 Windows Microsoft 和 Outlook 2010 中的 Office Outlook 2007 搜尋和立即搜尋所使用的查詢語法,因此並不陌生。精通 AQS 的使用者能夠輕鬆地建構強大的搜尋查詢來搜尋內容索引。

如需有關 AQS 的詳細資訊,請參閱以程式化方式使用進階查詢語法

回到頁首

探索管理角色群組和管理角色

對於執行探尋搜尋的使用者,您必須將他們新增至 探索管理 RBAC 角色群組。此角色群組包含兩個管理角色,一個是「信箱搜尋」角色,它允許使用者執行探索搜尋,另一個則是「合法持有」角色,它允許使用者將信箱置於訴訟暫止狀態。若要深入了解 探索管理 RBAC 角色群組,請參閱探索管理。若要深入了解 RBAC,請參閱瞭解應用角色的存取控制

依預設,探索管理 角色群組沒有任何成員,執行探索相關工作的權限也未指派給任何使用者。此外,依預設,Exchange 系統管理員沒有權限可執行探索搜尋。屬於 Exchange 管理角色群組成員的 組織管理 系統管理員可以新增使用者到 探索管理 角色群組,並建立自訂角色群組,將探索管理的範圍縮小到使用者子集。稽核 RBAC 角色的改變,可確保保有充足的記錄可供追蹤 探索管理 角色群組的指派。如需詳細資訊,請參閱系統管理員稽核記錄概觀

重要事項重要事項:
如果使用者尚未新增至 探索管理 角色群組,或未被指派信箱搜尋角色,則不會對 ECP 中的使用者顯示多信箱搜尋使用者介面,在 Exchange 管理命令介面中也無法使用多信箱搜尋指令程式。

如需關於將使用者新增至 探索管理 角色群組的詳細資訊,請參閱將使用者新增至探索管理角色群組

注意注意:
多信箱搜尋是一個強大的功能,讓具有適當權限的使用者可能存取整個 Exchange 2010 組織中所儲存的所有通訊記錄。這對於控制與監視探索活動而言很重要,包括將成員新增至 探索管理 角色群組或任何其他具有「信箱搜尋」管理角色的角色群組、指派「信箱搜尋」管理角色,以及指派用於探索信箱的信箱存取權限。

回到頁首

探索信箱

執行探索搜尋時,您必須指定要儲存搜尋結果的目標信箱。探索信箱是特殊類型的 Exchange 2010 信箱,能夠提供下列功能:

  • 更容易並安全的選擇目標信箱   當您使用 ECP 建立探索搜尋時,只會提供探索信箱作為儲存搜尋結果的存放庫。您不需要在一長串的組織可用信箱清單中分類整理,探索管理員也不會不小心選取其他使用者的信箱或是不安全的信箱來儲存機密的訊息內容。

  • 信箱儲存配額大   目標信箱應能夠儲存大量由探索搜尋傳回的郵件資料。依預設,探索信箱擁有 50 GB 的信箱儲存配額。雖然您可以增加此配額,但是不支援大於 50 GB 的探索信箱。

    注意事項附註:
    在 Exchange 2010 Service Pack 1 (SP1) 中,探索管理員可以預估搜尋結果,以判斷探索搜尋傳回的項目總數和大小。
  • 預設安全保護   就像所有類型的信箱一樣,探索信箱有相關聯的 Active Directory 使用者帳戶,但這個帳戶預設為停用,只有獲得明確授權存取探索信箱的使用者能夠存取該帳戶。探索管理 角色群組的成員均被指派預設探索信箱的完整存取權限。任何您建立的其他探索信箱皆未有已指派給任何使用者的信箱存取權限。

    重要事項重要事項:
    在 Exchange 2010 SP1 中,您可以啟用信箱稽核記錄,以便依信箱擁有者、代理人和系統管理員來稽核信箱的存取和動作 (例如存取及刪除資料夾或訊息)。如需詳細資訊,請參閱了解信箱稽核記錄
  • 停用電子郵件傳遞   雖然使用者會出現在 Exchange 通訊清單中,但無法將電子郵件傳送至探索信箱。使用傳遞限制可禁止將電子郵件傳遞至探索信箱,這可保留搜尋結果的完整性。

Exchange 2010 安裝程式會建立一個探索信箱,其顯示名稱為 [探索搜尋信箱]。您可以使用命令介面建立其他的探索信箱。依預設,您建立的其他探索信箱不會被指派任何信箱存取權限。如需有關如何建立探索信箱的詳細資訊,請參閱建立探索信箱

多信箱搜尋也會使用顯示名稱為 SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} 的系統信箱來保存多信箱搜尋中繼資料。系統信箱在 Exchange 管理主控台 (EMC) 或 Exchange 通訊清單中不會顯示。在移除多信箱搜尋系統信箱所在的信箱資料庫之前,您必須先將信箱移至其他信箱資料庫。

回到頁首

執行探索搜尋

已新增至 探索管理 角色群組的使用者可執行探索搜尋。若要深入了解 探索管理 角色群組,請參閱本主題稍早的探索管理角色群組和管理角色。

您可以使用 ECP 中的網頁式介面來執行探索搜尋,如下圖所示。這會讓如記錄管理員、法務人員,或法律與人力資源專家等非技術使用者更容易使用多信箱搜尋。您也可以使用命令介面來執行探索搜尋。

注意事項附註:
對於部分信箱存在於您內部部署信箱伺服器,而部分信箱則是存在於雲端式組織中的混合部署而言,您能使用您內部部署組織裡的 ECP 去執行雲端式信箱的探索搜尋。若您想將郵件複製到一個探索信箱,您必須選取一個內部部署探索信箱。在雲端式信箱中,自搜尋結果傳回的郵件會被複製到指定的內部部署探索信箱。
如欲瞭解更多有關混合部署的細節,請參閱 瞭解共存

探索搜尋介面

執行搜尋時,會在 Exchange 2010 中建立搜尋物件。使用者可操控此物件來開始、停止、修改與移除搜尋,探索搜尋傳回的項目會複製到被選為搜尋目標信箱的探索信箱。可以同時執行多個搜尋。

注意事項附註:
多信箱搜尋是 Exchange 2010 功能。只有位於 Exchange 2010 伺服器的信箱可使用多信箱搜尋進行搜尋。若要最佳化您的搜尋結果,我們建議您不要在單一搜尋中搜尋超過 2500 信箱。若要搜尋 2500 個以上的信箱,您可以建立多個搜尋。例如,您可以在通訊群組或動態通訊群組中搜尋使用者的信箱。
多信箱搜尋並不會搜尋 .pst 檔案中的訊息。若要減少管理與法定開示的成本,建議為使用者佈建封存信箱。若要深入了解封存信箱,請參閱瞭解個人封存

下列適用於執行探索搜尋:

  • 關鍵字   您可以指定用於搜尋訊息內容的關鍵字與片語。您也可以使用邏輯運算子 ANDORNOT。若要搜尋完全符合的多字片語,則必須用引號括住片語。例如,若搜尋片語 "plan and competition",則會將其中有完全符合片語的訊息傳回,若是指定 plan and competition,則會將訊息中任何一處有 plancompetition 的訊息傳回。您也可以使用 AQS。如需詳細資訊,請參閱以程式化方式使用進階查詢語法。如需有關進階關鍵字搜尋的詳細資訊,請參閱進階關鍵字搜尋

    注意事項附註:
    多信箱搜尋不支援規則運算式。

    邏輯運算子必須使用大寫字母,例如 ANDOR,系統才會將它們視為運算子,而非關鍵字。建議您使用在任何混合邏輯運算子 (AND、OR、NOT 等) 查詢中明確使用括號,以避免錯誤或誤解。例如,如果要搜尋包含 WordA 或 WordB 以及 WordC 或 WordD 的訊息,您必須使用 (WordA OR WordB) AND (WordC OR WordD)

  • 寄件者或收件者   若要縮小搜尋範圍,您可以指定郵件的寄件者或收件者。您可以使用電子郵件地址、顯示名稱或網域名稱,搜尋寄給或寄自網域中所有人的郵件。例如,若要尋找任何人寄到 Contoso, Ltd 的電子郵件,請在 ECP 的 [寄件者] 欄位中輸入 **@contoso.com**。您也可以在命令介面的 Senders 參數中指定 **@contoso.com**。

  • 日期範圍   依預設,多信箱搜尋並不限制依日期範圍搜尋。若要搜尋在指定日期範圍期間寄出的郵件,您可以指定開始與結束日期來縮小搜尋範圍。如果您未指定結束日期,則搜尋會傳回每次您重新開始搜尋時的最新結果。

  • 信箱 多信箱搜尋可搜尋 Exchange 2010 組織中 Exchange 信箱伺服器上的所有信箱,或者您可以指定要搜尋的信箱。您也可以指定通訊群組包含為該群組成員的信箱使用者。

  • 個人封存   依預設,如果已為信箱使用者啟用個人封存,則多信箱搜尋也會搜尋封存信箱。ECP 中沒有選項可覆寫此設定。若要排除封存信箱,則必須使用命令介面建立或修改搜尋。

  • 訊息類型   依預設,只會搜尋電子郵件訊息。但是,您也可以包含下列訊息類型來搜尋:連絡人、文件、立即訊息交談、日誌、會議與備忘稿。

  • 附件   多信箱搜尋會搜尋 Exchange 搜尋支援的附件。若想要新增對其他檔案類型的支援,可在信箱伺服器上安裝該檔案類型的搜尋篩選器 (也稱做 iFilter)。

  • 無法搜尋的項目   無法搜尋的項目是指 Exchange 搜尋無法建立索引的信箱項目,原因包括缺少附件檔案的搜尋篩選器、篩選器發生錯誤,或是訊息已加密。建立探索搜尋時,您可以在搜尋結果中包含無法搜尋的項目。

  • 安全清單   某些檔案類型沒有包含可建立索引的內容,也因此 Exchange 搜尋未建立這些檔案類型的索引。這些檔案類型不會被視為無法搜尋的項目。包含這些檔案類型的信箱項目不會在無法搜尋項目清單中傳回。如需詳細資訊,請參閱進行 Exchange 搜尋的預設篩選器

  • 加密項目 因為 Exchange 搜尋不會將使用 S/MIME 加密的訊息建立索引,所以多信箱搜尋不會搜尋這些訊息。如果您選取可在搜尋結果中包含失敗項目的選項,則會傳回這些 S/MIME 加密的訊息,但會顯示成失敗項目。

  • 受 IRM 保護的項目Exchange 搜尋會將使用資訊版權管理 (IRM) 保護的訊息建立索引,因此探索搜尋結果中會包含這些受保護的訊息。郵件必須使用與 Active Directory 信箱伺服器位於相同 Active Directory 樹系中的 Exchange 2010 Rights Management Services (AD RMS) 伺服器保護。如需 IRM 的相關資訊,請參閱權限保護

    重要事項重要事項:
    Exchange 搜尋無法將受 IRM 保護的訊息建立索引時,則會因為解密失敗,或因為 IRM 停用,而使受保護的訊息不會新增至失敗項目清單中。如果您選取可在搜尋結果中包含失敗項目的選項,則結果中可能不會包含無法解密的受保護訊息。
    若要在搜尋中包含受 IRM 保護的訊息,您可以建立另一個探索搜尋,以傳回含 .rpmsg 附件的訊息。您可以使用查詢字串 attachment:rpmsg 來搜尋所有受保護的訊息。這會從搜尋過的信箱中傳回所有受 IRM 保護的訊息,無論這些訊息是否有建立索引。這可能會在某個搜尋傳回符合搜尋條件的訊息,包括已成功建立索引的受保護訊息時,造成某些重複的搜尋結果。搜尋不會傳回無法建立索引的受保護訊息。為所有受保護的訊息執行第二次搜尋時,也會包含已成功建立索引並於第一次搜尋傳回的受保護訊息。此外,第二次搜尋傳回的受保護訊息可能不符合如第一次搜尋時所使用關鍵字等搜尋條件。
  • 刪除重複 在 Exchange 2010 SP1 中,您可以啟用探索搜尋結果的*「刪除重複」*功能,只將唯一訊息的一個執行個體複製到探索信箱。刪除重複具有下列好處:

    • 由於複製的訊息數目變少而能降低儲存需求並減少探索信箱大小。

    • 減少探索管理員、法律顧問或是其他需檢閱探索搜尋結果之人員的工作量。

    • 降低探索成本 (視搜尋結果中重複項目的數目而定)。

    如果您選取的探索信箱位於尚未升級至 Exchange 2010 SP1 的 Exchange 2010 伺服器中,則不會執行搜尋結果的刪除重複功能。若要使用刪除重複的功能,您必須選取位於 Exchange 2010 SP1 信箱伺服器的探索信箱。

  • 搜尋結果預估 在 Exchange 2010 SP1 中建立探索搜尋時,探索管理員可以先選取預估搜尋結果的選項,然後再決定是否要將搜尋傳回的訊息複製到探索信箱。搜尋結果預估包括搜尋傳回的項目總數和總大小,以及指定之每個關鍵字所傳回項目的明細。搜尋預估具有下列優點:

    • 探索管理員能夠決定搜尋查詢的效率。探索管理員可使用搜尋預估來執行搜尋查詢和關鍵字的 what-if 分析,然後再建立更有效率的查詢。

    • 探索管理員可避免複製可能不符合搜尋需求或目的但仍需要檢閱的大量項目。

    • 在搜尋查詢產生需要複製的大量項目的案例中,探索管理員可以和 Exchange 系統管理員共同合作,以判斷是否有足夠的儲存空間能夠將這些結果儲存在探索信箱中。

    注意事項附註:
    計算搜尋結果預估值時,不會將刪除重複功能列入考量。當您使用將訊息複製到探索信箱的選項再次執行搜尋時,複製的實際訊息數目可能會少於使用僅限預估選項時所提供的預估值。

如需有關如何執行探索搜尋的詳細資訊,請參閱建立探索搜尋

回到頁首

檢視搜尋結果

搜尋結果會複製到選取作為搜尋之目標信箱的探索信箱。如果您使用的目標信箱不是預設的探索搜尋信箱,您必須將信箱存取權限指派給授權的使用者,讓他們能夠存取探索信箱。授權的使用者可以使用 Microsoft Office Outlook Web App 或 Outlook 存取信箱。

如需如何為信箱指派完整存取信箱權限的詳細資訊,請參閱管理完整存取權限

如果探索管理員選取將搜尋結果複製到探索信箱的選項,目標信箱中將會建立一個與搜尋同名的資料夾。為了儲存從該信箱傳回的訊息,系統會為每個搜尋的信箱建立一個子資料夾。資料夾名稱由該信箱使用者的顯示名稱,加上建立搜尋的日期與時間所組成。訊息會複製到名稱與訊息在搜尋信箱中所在位置相同的資料夾中。例如,如果搜尋名稱為 Discovery-ProjectContoso,且傳回位於 Paul Shen 主要信箱 [收件匣] 資料夾中的訊息,則在探索信箱中建立的資料夾階層會是 [Discovery-ProjectContoso -> Paul Shen-9/4/2009 3:57:10 PM -> Primary Mailbox > Inbox]。任何訊息旗標,包括讀取/未讀取狀態以及需後續處理旗標,均會保留。

注意事項附註:
如果探索管理員選取刪除重複選項,系統便會將在搜尋的所有信箱中多個位置所找到訊息的單一執行個體複製到 Results - <時間戳記> 資料夾中。如果探索管理員選取搜尋的完整記錄選項,則搜尋記錄中將會包含該訊息各個執行個體的一個項目。

註釋

在 Exchange 2010 SP1 中,探索管理員可以在檢閱複製到探索信箱的訊息時,新增註釋到訊息中。接著探索管理員就可以在探索信箱中搜尋註釋中包含特定單字或片語的訊息。

探索管理員可以使用註釋,建立案例編號或其他唯一識別碼與訊息的關聯,以方便搜尋具有該編號的所有項目。

注意事項附註:
註釋會連同訊息一起儲存在探索信箱中。如果您將訊息傳遞給第三者,請考量到第三者可以存取註釋中資訊的可能性,因此建議您不要在註釋中儲存任何機密資訊。

回到頁首

探索搜尋記錄

探索搜尋有兩種記錄:

  • 基本記錄   所有的信箱搜尋預設為啟用基本記錄,記錄中包含了搜尋和執行者的相關資訊。基本記錄所擷取的資訊會出現在電子郵件訊息的內文中,此電子郵件訊息會寄到儲存搜尋結果的信箱中,系統會將此訊息放置在為了儲存搜尋結果所建立的資料夾中。

  • 完整記錄   完整記錄包含搜尋所傳回所有訊息的相關資訊。系統會在包含基本記錄資訊的電子郵件訊息中附加一個以逗號分隔值 (.csv) 的檔案來提供此資訊,該 .csv 檔案的名稱則使用該搜尋的名稱。您可能需要此資訊以供遵循法規或保持記錄之用。若要啟用完整記錄,您必須在 ECP 中選取 [啟用完整記錄],或在命令介面中使用 LogLevel 參數指定記錄層級。在 Exchange 2010 SP1 中,.csv 記錄檔會包含在壓縮 (.zip) 檔中。

注意事項附註:
使用命令介面建立或修改搜尋時,您也可以停用記錄。

如需詳細資訊,請參閱多信箱搜尋記錄

回到頁首

訴訟保留與探索

探索要求需要您保留信箱內容,直到如訴訟有了處分為止。為了保留信箱內容,信箱使用者所刪除或更改的訊息也必須一併保留。在 Exchange 2010 中,透過訴訟保留完成這項動作。

當信箱為訴訟保留的狀態時,使用者刪除的郵件及其他信箱項目,以及對其信箱項目的某些內容進行了變更的所有執行個體,也會保留在 [可復原的項目] 資料夾中。若要深入瞭解訴訟保留,請參閱了解訴訟保留。如需如何讓信箱處於訴訟保留狀態的詳細資料,請參閱將信箱置於法律保留

回到頁首

保留探索用的信箱

當員工離開組織時,停用或移除其信箱是常見的做法。在您停用信箱之後,會中斷與使用者帳戶的連線,但會保留在信箱資料庫裡一段時間,預設值為 30 天。受管理的資料夾助理員不會處理中斷連線的信箱,且在這段期間,均不會套用任何保留原則或受管理的資料夾信箱原則。您無法搜尋中斷連線的信箱之內容。一旦達到刪除的信箱保留期限時,便會將該信箱從信箱資料庫中清除。

如果您的組織要求在已不在組織裡的員工之郵件上套用保留設定,或是如果您可能必須保留前任員工的信箱,用於目前的或未來的探索搜尋之用途,您就不可停用或移除該信箱。您可以採取下列步驟,以確保無法存取該信箱,且不會傳遞新的郵件到該信箱。

  1. 使用 Active Directory 使用者和電腦或其他的 Active Directory 或帳戶佈建工具或指令碼停用 Active Directory 使用者帳戶。這可防止使用關聯的使用者帳戶登入信箱。

    重要事項重要事項:
    擁有完整信箱存取權限的使用者將依然可以存取該信箱。如欲防止他人存取,您必須移除他們對於該信箱的完整存取權限。如欲深入瞭解如何移除信箱的完整存取權限,請參閱 管理完整存取權限
  2. 將會由該信箱使用者寄送或接收的郵件之郵件大小限制設定在非常低的值,例如 1 KB。這能防止該信箱接收或傳送新郵件。如欲深入瞭解如何設定信箱的郵件大小限制,請參閱 針對信箱或擁有郵件功能的公用資料夾設定郵件大小限制

  3. 設定信箱的傳遞限制,如此無人能寄送郵件至該信箱。如需詳細資訊,請參閱設定郵件傳遞限制

重要事項重要事項:
您必須採取以上步驟及任何其他由您組織所要求的帳戶管理程序,但卻不停用或移除信箱或關聯的使用者帳戶。

當您規劃為郵件保留管理或探索而實施信箱保留時,您必須考慮員工的流動率。長期保留前任員工的信箱將必須在信箱伺服器上具備額外的儲存空間,而且也會導致 Active Directory 資料庫的增加,因為這必須在相同期間內保留關聯的使用者帳戶。此外,這可能也會要求變更您組織的帳戶佈建與管理程序。

 © 2010 Microsoft Corporation. 著作權所有,並保留一切權利。