In-Place descoberta eletrônica em Exchange Server

Se sua organização seguir os requisitos legais de descoberta (relacionados à política organizacional, conformidade ou ações judiciais), In-Place descoberta eletrônica em Exchange Server poderá ajudá-lo a realizar pesquisas de descoberta de conteúdo relevante nas caixas de correio. Você também pode usar a Descoberta Eletrônica In-Loco em um ambiente híbrido do Exchange para pesquisar caixas de correio locais ou baseadas em nuvem na mesma pesquisa.

Importante

In-Place eDiscovery é um recurso poderoso que permite que um usuário com as permissões corretas obtenha potencialmente acesso a todos os registros de mensagens armazenados em toda a organização Exchange Server. É importante controlar e monitorar as atividades de descoberta, incluindo a adição de membros ao grupo da função de Descoberta Eletrônica, a atribuição da função de gerenciamento da Pesquisa de Caixa de Correio e a atribuição da permissão de acesso da caixa de correio para descobrir caixas de correio.

Como a Descoberta Eletrônica In-loco funciona

A Descoberta Eletrônica In-loco usa índices de conteúdo criados pela pesquisa do Exchange. O Controle de Acesso Baseado em Função (RBAC) permite que o grupo de função Gerenciamento de Descobertas delegue tarefas de descoberta a funcionários sem perfis técnicos, sem a necessidade de conceder privilégios elevados que possam permitir a um usuário realizar alterações operacionais na configuração do Exchange. O Centro de Administração do Exchange (EAC) fornece uma interface de pesquisa fácil de usar para funcionários não técnicos, como oficiais legais e de conformidade, gerentes de registros e profissionais de recursos humanos.

Usuários autorizados podem realizar uma pesquisa por Descoberta Eletrônica In-loco selecionando as caixas de correio e especificando os critérios de pesquisa, como palavras-chave, data de início e de término, endereços de remetentes e destinatários e tipos de mensagens. Após a pesquisa ser concluída, os usuários autorizados podem escolher uma das ações a seguir:

  • Estimar resultados da pesquisa – essa opção retorna uma estimativa do tamanho total e do número de itens que serão retornados pela pesquisa com base nos critérios especificados.

  • Visualizar os resultados da pesquisa – essa opção fornece uma visualização dos resultados. As mensagens retornadas de cada caixa de correio pesquisada são exibidas.

  • Copiar resultados da pesquisa – essa opção permite copiar mensagens para uma caixa de correio de descoberta.

  • Exportar resultados da pesquisa – depois que os resultados da pesquisa forem copiados para uma caixa de correio de descoberta, você poderá exportá-los para um arquivo PST.

Estimar, visualizar, copiar e exportar resultados da pesquisa.

In-Place eDiscovery usa kQL (linguagem de consulta de palavra-chave). Usuários familiarizados com o KQL podem construir consultas de pesquisa poderosas para pesquisar índices de conteúdo. Para obter mais informações sobre o KQL, consulte Referência de sintaxe da linguagem de consulta de palavra-chave.

In-Place permissões de descoberta eletrônica

Para que os usuários autorizados executem In-Place pesquisas de descoberta eletrônica, você precisa adicioná-los ao grupo de funções do Discovery Management . Esse grupo de funções consiste em duas funções de gerenciamento: a Função de Pesquisa da Caixa de Correio, que permite que um usuário execute uma pesquisa de descoberta eletrônica In-Place e a Função de Retenção Legal, que permite que um usuário coloque uma caixa de correio em In-Place Hold e Litigation Hold.

Por padrão, as permissões para realizar tarefas relacionadas à Descoberta Eletrônica In-loco não são atribuídas a qualquer usuário ou administrador do Exchange. Os administradores do Exchange que forem membros do grupo de função de Gerenciamento da Organização podem adicionar usuários ao grupo de função de Gerenciamento de Descoberta e criar grupos de função personalizados para limitar o escopo de gerentes de descoberta a um subconjunto de usuários. Para saber mais sobre como adicionar usuários ao grupo de funções de Gerenciamento de Descoberta, consulte Atribuir permissões de descoberta eletrônica em Exchange Server.

Importante

Se um usuário não for adicionado ao grupo de funções do Gerenciamento de Descobertas ou não tiver a função Pesquisa de Caixa de Correio, a descoberta eletrônica in-Place & a interface do usuário Hold não será exibida no EAC e os cmdlets de descoberta eletrônica In-Place (*MailboxSearch) não estão disponíveis no Shell de Gerenciamento do Exchange.

A auditoria de alterações de função RBAC, que está habilitada por padrão, garante que sejam mantidos registros adequados para rastrear a atribuição do grupo de função de Gerenciamento de Descoberta. Você pode usar o relatório de grupo de funções de administrador para pesquisar alterações feitas a grupos de funções de administrador. Para obter mais informações, consulte Pesquisar as alterações do grupo de funções ou os logs de auditoria do administrador.

Usar a Descoberta eletrônica In-loco

Usuários que tenham sido adicionados ao grupo de funções de Gerenciamento de Descoberta podem realizar pesquisas de Descoberta Eletrônica In-loco. Você pode realizar uma pesquisa usando a interface baseada em web do EAC. Isso facilita para os usuários sem perfil técnico, como gerentes de registros, responsáveis pela conformidade ou profissionais jurídicos ou de RH, a utilização da Descoberta Eletrônica In-loco. Você também pode usar o Shell de Gerenciamento do Exchange para executar uma pesquisa. Para obter mais informações, consulte Criar uma pesquisa de descoberta eletrônica In-Place no Exchange Server

O assistente de Retenção & Descoberta Eletrônica In-loco no EAC permite que você crie uma pesquisa de Descoberta Eletrônica In-loco e também use a Retenção In-loco para colocar resultados de pesquisa em retenção. Quando você cria uma pesquisa de Descoberta Eletrônica In-loco, um objeto de pesquisa é criado na caixa de correio de sistema da Descoberta Eletrônica In-loco. Esse objeto podem ser manipulado para iniciar, interromper, modificar e remover a pesquisa. Após criar a pesquisa, você pode obter uma estimativa dos resultados da pesquisa, o que inclui estatísticas de palavras-chave que o ajudam a determinar a eficácia da consulta. Você também pode fazer uma visualização imediata dos itens retornados na pesquisa, o que permite visualizar o conteúdo da mensagem, o número de mensagens retornados para cada caixa de correio de origem e o número total de mensagens. Você pode usar essas informações para aperfeiçoar ainda mais sua consulta, se necessário.

Quando estiver satisfeito com os resultados da pesquisa, você poderá copiá-las para uma caixa de correio de descoberta. Você também pode usar o EAC ou o Outlook para exportar uma caixa de correio de descoberta ou uma parte do seu conteúdo para um arquivo PST.

Ao criar uma pesquisa de Descoberta Eletrônica In-loco, você deve especificar os seguintes parâmetros:

  • Nome – O nome da pesquisa é usado para identificar a pesquisa. Quando você copia resultados de pesquisa para uma caixa de correio de descoberta, uma pasta é criada na caixa de correio de descoberta usando o nome da pesquisa e o carimbo de data/hora para identificar de maneira única os resultados de pesquisa em uma caixa de correio de descoberta.

  • Fontes – você pode optar por pesquisar todas as caixas de correio em sua organização Exchange Server ou especificar as caixas de correio a serem pesquisadas. Você também pode optar por pesquisar todas as pastas públicas. Se também quiser usar a mesma pesquisa para colocar itens em retenção, é necessário especificar as caixas de correio. Você também pode colocar todas as pastas públicas no In-Place Hold. Você pode especificar um grupo de distribuição para incluir usuários de caixa de correio que sejam membros daquele grupo. A associação do grupo é calculada uma vez ao criar a pesquisa e as alterações subsequentes na associação de grupo não são refletidas automaticamente na pesquisa. As caixas de correio principal e de arquivo morto do usuário são incluídas na pesquisa.

  • Consulta de pesquisa – você pode incluir todo o conteúdo da caixa de correio das caixas de correio especificadas ou usar uma consulta de pesquisa para retornar itens mais relevantes para o caso ou investigação. Você pode especificar os seguintes parâmetros em uma consulta de pesquisa:

    • Palavras-chave – você pode especificar palavras-chave e frases para pesquisar o conteúdo da mensagem. Você também pode usar os operadores lógicos AND, OR e NOT. Além disso, Exchange Server também dá suporte ao operador NEAR, permitindo que você pesquise uma palavra ou frase próxima a outra palavra ou frase.

      Para pesquisar por uma correspondência exata de um frase com várias palavras, você deve colocar a frase entre aspas. A pesquisa pela frase "plano e competição", por exemplo, retorna mensagens que contenham correspondências exatas à frase, enquanto a pesquisa por plano AND competição retorna mensagens que contenham as palavras plano e competição em qualquer lugar da mensagem.

      Exchange Server também dá suporte à sintaxe KQL (Linguagem de Consulta de Palavra-Chave) para In-Place pesquisas de descoberta eletrônica. Para obter mais informações sobre o KQL, consulte Referência de sintaxe da linguagem de consulta de palavra-chave.

      Observação

      A Descoberta Eletrônica In-loco não oferece suporte a expressões regulares.

      Operadores lógicos como AND e OR devem ser escritos em maiúsculas para serem tratados como operadores e não como palavras-chave. É recomendável explicitar os parênteses para qualquer consulta que misture diversos operadores lógicos, para evitar erros ou interpretações falhas. Por exemplo, para pesquisar por mensagens que contenham PalavraA ou PalavraB E a PalavraC ou a PalavraD, use (PalavraA OR PalavraB) AND (PalavraC OR PalavraD).

    • Datas de início e término – por padrão, In-Place descoberta eletrônica não limita as pesquisas por um intervalo de datas. Para pesquisar em mensagens enviadas em um intervalo de datas específico, restrinja a pesquisa especificando as datas de início e término. Se você não especificar uma data de término, a pesquisa retornará os resultados mais recentes cada vez que você reiniciá-la.

    • Remetentes e destinatários – Para restringir a pesquisa, você pode especificar os remetentes ou destinatários das mensagens. Você pode usar endereços de email, nomes para exibição ou o nome de um domínio para pesquisar itens que todas as pessoas no domínio enviaram ou receberam. Por exemplo, para localizar um email enviado ou recebido por qualquer pessoa na Contoso Ltd., especifique @contoso.com no campo De ou Para/Cc no EAC. Você também pode especificar @contoso.com nos parâmetros Remetentes ou Destinatários no Shell de Gerenciamento do Exchange

    • Tipos de mensagem – por padrão, todos os tipos de mensagem são pesquisados. Você pode restringir a pesquisa selecionando tipos específicos de mensagens, como emails, contatos, documentos, diário, reuniões, notas e conteúdo do Lync.

A captura de tela a seguir mostra um exemplo de uma consulta de pesquisa no EAC.

Configure uma consulta de pesquisa de descoberta eletrônica.

Ao usar a Descoberta Eletrônica In-loco, considere também o seguinte:

  • Anexos – In-Place eDiscovery pesquisa anexos compatíveis com o Exchange Search. Para obter detalhes, consulte Default Filters for Exchange Search. Nas implantações locais, você pode adicionar mais tipos de arquivo instalando filtros de instalação (também conhecidos como iFilter) para o tipo de arquivo nos servidores de Caixa de Correio.

  • Itens insaquáveis – itens não pesquisáveis são itens de caixa de correio que não podem ser indexados pelo Exchange Search. As razões pelas quais eles não podem ser indexados incluem a falta de um filtro de pesquisa instalado para um arquivo anexado, um erro do filtro e mensagens criptografadas. Para realizar uma pesquisa de Descoberta Eletrônica In-loco com êxito, pode ser necessário que sua organização inclua esses itens para revisão. Ao copiar resultados da pesquisa para uma caixa de correio de descoberta ou ao exportá-los para um arquivo PST, você poderá incluir itens não pesquisáveis. Para obter mais informações, consulte Itens não pesquisáveis na Descoberta eletrônica do Exchange.

  • Itens criptografados – Como as mensagens criptografadas usando S/MIME não são indexadas pelo Exchange Search, In-Place eDiscovery não pesquisa essas mensagens. Se você selecionar a opção de incluir itens não pesquisáveis nos resultados da pesquisa, essas mensagens criptografadas com S/MIME serão copiadas para a caixa de correio de descoberta.

  • Eliminação da duplicação – ao copiar os resultados da pesquisa para uma caixa de correio de descoberta ou exportar resultados de pesquisa para um arquivo PST, você pode habilitar a eliminação da duplicação dos resultados da pesquisa para copiar apenas uma instância de uma mensagem exclusiva para a caixa de correio de descoberta. A eliminação de duplicação tem os seguintes benefícios:

    • Menor necessidade de armazenamento e menor tamanho de caixa de correio de descoberta devido ao menor número de mensagens copiadas.

    • Redução da carga de trabalho dos gerentes de descoberta, assessores jurídicos ou outros envolvidos na revisão dos resultados da pesquisa.

    • Redução do custo de Descoberta Eletrônica, dependendo do número de itens duplicados excluídos dos resultados da pesquisa.

  • Itens protegidos por IRM – As mensagens protegidas usando o IRM (Gerenciamento de Direitos de Informação) são indexadas pelo Exchange Search e, portanto, incluídas nos resultados da pesquisa se corresponderem aos parâmetros de consulta. As mensagens devem ser protegidas usando um cluster de Serviços de Gerenciamento de Direitos Active Directory (AD RMS) na mesma floresta Active Directory que o servidor de Caixa de Correio. Para obter mais informações, consulte Gerenciamento de Direitos de Informações no Exchange Server.

    Importante:

    • Quando a Pesquisa do Exchange falha ao indexar uma mensagem protegida por IRM, devido a uma falha na criptografia ou porque a IRM está desabilitada, a mensagem desprotegida não é adicionada à lista de itens com falha. Se você selecionar a opção de incluir itens não pesquisáveis nos resultados de pesquisa, os resultados podem não incluir mensagens protegidas por IRM que não puderam ser descriptografadas.

    • Para incluir mensagens protegidas por IRM em uma pesquisa, você pode criar outra pesquisa que inclua mensagens com anexos .rpmsg. Você pode usar a cadeia attachment:rpmsg de caracteres de consulta para pesquisar todas as mensagens protegidas pelo IRM nas caixas de correio especificadas, indexadas com êxito ou não. Isso pode resultar na duplicação de resultados de pesquisa em situações nas quais uma pesquisa retorna mensagens que correspondam ao critério de pesquisa, incluindo mensagens protegidas por IRM que tenham sido indexadas com êxito. A pesquisa não retorna mensagens protegidas por IRM que não foram indexadas.

    • A realização de uma segunda pesquisa para todas as mensagens protegidas por IRM também inclui mensagens protegidas por IRM que foram indexadas e retornadas com êxito na primeira pesquisa. Além disso, as mensagens protegidas por IRM retornadas pela segunda pesquisa podem não corresponder a critérios de pesquisa, como as palavras-chave, usados na primeira pesquisa.

Estimar, visualizar e copiar resultados de pesquisa

Após a finalização de uma pesquisa de Descoberta Eletrônica In-Loco, você pode exibir as estimativas do resultado da pesquisa no painel de Detalhes no EAC. A estimativa inclui o número de itens retornados e o tamanho total desses itens. Você também pode visualizar estatísticas de palavras-chave que exibem detalhes sobre o número de itens retornados por cada palavra-chave utilizada na consulta de pesquisa. Esta informação é útil para determinar a eficiência da consulta. Se a consulta for abrangente demais, ela irá retornar um conjunto de dados muito maior, o que pode exigir mais recursos para revisão e aumentar os custos da Descoberta Eletrônica. Se a consulta for restrita demais, ela pode reduzir significativamente o número de registros retornados ou não retornar registro nenhum. Você pode usar as estimativas e as estatísticas de palavra-chave para aperfeiçoar a consulta e atender seus requisitos.

Observação

Em Exchange Server, palavra-chave estatísticas também incluem estatísticas para propriedades não palavra-chave, como datas, tipos de mensagem e remetentes/destinatários especificados em uma consulta de pesquisa.

Você pode também visualizar os resultados de pesquisa para garantir que as mensagens retornadas contém o conteúdo que você está procurando e ajustar a consulta se necessário. A Visualização da Pesquisa de Descoberta Eletrônica exibe o número de mensagens retornadas de cada caixa de correio pesquisada e o número total de mensagens retornadas para pesquisa. A visualização é gerada rapidamente, sem exigir que você copie as mensagens para uma caixa de correio de descoberta.

Após você estar satisfeito com a quantidade e a qualidade dos resultados da pesquisa, você pode copiá-los para uma caixa de correio de descoberta. Ao copiar mensagens, você tem as seguintes opções:

  • Incluir itens não pesquisados – Para obter detalhes sobre os tipos de itens considerados inexequíveis, consulte as considerações de pesquisa de descoberta eletrônica na seção anterior.

  • Habilitar a duplicação – a eliminação de duplicação reduz o conjunto de dados incluindo apenas uma única instância de um registro exclusivo se várias instâncias forem encontradas em uma ou mais caixas de correio pesquisadas.

  • Habilitar o log completo – por padrão, somente o log básico é habilitado ao copiar itens. Você pode selecionar o log completo para incluir informações sobre todos os registros retornados pela pesquisa.

  • Envie-me email quando a cópia for concluída – uma pesquisa de descoberta eletrônica In-Place pode potencialmente retornar um grande número de registros. Copiar as mensagens retornadas para uma caixa de correio de descoberta pode levar muito tempo. Use essa opção para obter uma notificação de email quando o processo de cópia for concluído. Para facilitar o acesso usando Outlook na Web, a notificação inclui um link para o local em uma caixa de correio de descoberta em que as mensagens são copiadas.

Para obter mais informações, consulte Copiar os resultados de pesquisa de descoberta eletrônica para uma caixa de correio de descoberta.

Exportar resultados da pesquisa para um arquivo PST

Depois que os resultados da pesquisa são copiados para uma caixa de correio de descoberta, você poderá exportá-los para um arquivo PST.

Exportar resultados da pesquisa de descoberta eletrônica para um arquivo PST.

Após os resultados da pesquisa serem exportados para um arquivo PST, você ou outros usuários podem abri-los no Outlook para analisar ou imprimir mensagens retornadas nos resultados da pesquisa. Para obter mais informações, consulte Exportar resultados de pesquisa de Descoberta Eletrônica para um arquivo PST.

Registro em log para pesquisas de Descoberta Eletrônica In-loco

Há dois tipos de log disponíveis para In-Place pesquisas de descoberta eletrônica.

  • Log básico – O log básico é habilitado por padrão para todas as pesquisas de descoberta eletrônica In-Place. Ele inclui informações sobre a pesquisa e sobre quem a realizou. As informações capturadas pelo log básico são exibidas no corpo da mensagem de email que é enviada à caixa de correio onde os resultados da pesquisa são armazenados. A mensagem está localizada na pasta criada para armazenar os resultados da pesquisa.

  • Log completo – O log completo inclui informações sobre todas as mensagens retornadas pela pesquisa. Essas informações são fornecidas em um arquivo de valores separados por vírgulas (.csv) anexado à mensagem de email que contém as informações do log básico. O nome da pesquisa é usado no nome do arquivo .csv. Essa informação pode ser necessária para fins de manutenção de registros ou conformidade. Para habilitar o log completo, você deve selecionar a opção Habilitar log completo ao copiar os resultados da pesquisa para uma caixa de correio de descoberta no EAC. Se você estiver usando o Shell de Gerenciamento do Exchange, especifique a opção de log completo usando o parâmetro LogLevel .

Observação

Ao usar o Shell de Gerenciamento do Exchange para criar ou modificar uma pesquisa de descoberta eletrônica In-Place, você também pode desabilitar o registro em log.

Além do log de pesquisa incluído ao copiar os resultados da pesquisa para uma caixa de correio de descoberta, o Exchange também registra cmdlets usados pelo EAC ou pelo Shell de Gerenciamento do Exchange para criar, modificar ou remover pesquisas de descoberta eletrônica In-Place. Esta informação é registrada nas entradas de log de auditoria do administrador. Para obter detalhes, consulte Log de auditoria do administrador no Exchange Server.

Caixas de correio de descoberta

Após criar uma pesquisa de Descoberta Eletrônica In-loco, você pode copiar os resultados da pesquisa para uma caixa de correio de destino. O EAC permite que você selecione uma caixa de correio de descoberta como a caixa de correio de destino. Uma caixa de correio de descoberta é um tipo especial de caixa de correio que fornece as seguintes funcionalidades:

  • Seleção de caixa de correio de destino mais fácil e segura - Quando você usa o EAC para copiar In-Place resultados da pesquisa de descoberta eletrônica, apenas as caixas de correio de descoberta são disponibilizadas como um repositório no qual armazenar os resultados da pesquisa. Isso elimina a possibilidade de um gerenciador de descobertas selecionar acidentalmente a caixa de correio de outro usuário ou uma caixa de correio sem proteção na qual armazenar mensagens potencialmente confidenciais.

  • Cota de armazenamento de caixa de correio grande – a caixa de correio de destino deve ser capaz de armazenar uma grande quantidade de dados de mensagem que podem ser retornados por uma pesquisa de descoberta eletrônica In-Place. Por padrão, as caixas de correio de descoberta têm uma cota de armazenamento de caixa de correio de 50 GB. Essa cota de armazenamento não pode ser aumentada.

  • Mais seguro por padrão - Como todos os tipos de caixa de correio, uma caixa de correio de descoberta tem uma conta de usuário associada do Active Directory. Porém, essa conta é desabilitada por padrão. Apenas usuários explicitamente autorizados a acessar uma caixa de correio de descoberta terão acesso a ela. São atribuídas aos membros do grupo de função Gerenciamento de Descoberta permissões de Acesso Total à caixa de correio de descoberta padrão. Quaisquer caixas de correio de descoberta adicionais que você criar não terão suas permissões de acesso a caixa de correio atribuídas a nenhum usuário.

  • Email entrega desabilitada – os usuários não podem enviar email para uma caixa de correio de descoberta. A entrega de email às caixas de correio de descoberta é proibida por meio de restrições de entrega. Isso preserva a integridade dos resultados de pesquisa copiados para uma caixa de correio de descoberta. Por padrão, as caixas de correio de descoberta não são exibidas na lista de endereços globais da sua organização.

Exchange Server Instalação cria uma caixa de correio de descoberta com o nome de exibição Discovery Search Mailbox. Você pode usar o Shell de Gerenciamento do Exchange para criar caixas de correio de descoberta adicionais. Por padrão, as caixas de correio de descoberta que você cria não terão nenhuma permissão de acesso atribuída à caixa de correio. Você pode atribuir permissões de Acesso Total a um gerente de descoberta para acessar mensagens copiadas a uma caixa de correio de descoberta. Para obter detalhes, consulte Criar uma caixa de correio de descoberta .

A Descoberta Eletrônica In-loco também usa uma caixa de correio do sistema com o nome de exibição SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} para reter metadados de Descoberta Eletrônica In-loco. As caixas de correio do sistema não estão visíveis no EAC ou nas listas de endereço do Exchange . Antes de remover um banco de dados de caixa de correio em que a caixa de correio do sistema de descoberta eletrônica In-Place está localizada, você deve mover a caixa de correio para outro banco de dados de caixa de correio. Se a caixa de correio for removida ou corrompida, os seus gerentes de descoberta não poderão realizar as pesquisas de Descoberta Eletrônica até que você crie a caixa de correio novamente. Para obter detalhes, consulte Recriar a caixa de correio do Sistema de Descoberta.

Descoberta Eletrônica In-loco e Retenção In-loco

Como parte das solicitações de Descoberta Eletrônica, você pode ter que preservar o conteúdo de caixas de correio até uma investigação ou ação legal seja concluída. Mensagens excluídas ou alteradas pelo usuário da caixa de correio ou por qualquer processo também devem ser preservadas. Em Exchange Server, isso é feito usando In-Place Hold. Para obter detalhes, consulte Retenção local e retenção de litígios em Exchange Server.

Você pode usar a descoberta eletrônica in-Place & Assistente de retenção para pesquisar itens e preservá-los desde que eles sejam necessários para descoberta eletrônica ou para atender a outros requisitos comerciais. Ao usar a mesma pesquisa tanto para a Descoberta Eletrônica In-loco quanto para a Retenção In-loco, esteja ciente do seguinte:

  • Você não pode usar a opção para colocar um porão em todas as caixas de correio em sua organização. Você deve selecionar as caixas de correio ou grupos de distribuição. No entanto, você pode colocar todos os fol ders públicos em sua organização em espera.

  • Você não pode remover a pesquisa de Descoberta Eletrônica In-loco se a pesquisa também estiver sendo usada para Bloqueio Local. Você precisa desabilitar a opção de Retenção In-loco de uma pesquisa antes de poder removê-la.

Preservar as caixas de correio para a Descoberta Eletrônica In-loco

Quando um funcionário deixa uma organização, é uma prática comum desabilitar ou remover a caixa de correio. Após desabilitar uma caixa de correio, ela é desconectada da conta de usuário mas permanece na caixa de correio por um período determinado - por padrão, 30 dias. O Assistente de Pasta Gerenciada não processa caixas de correio desconectadas, e nenhuma diretiva de retenção é aplicada durante esse período. Você não pode pesquisar o conteúdo da pesquisa de uma caixa de correio desconectada. Ao final do período de retenção de caixa de correio excluída configurado no banco de dados de caixas de correio, a caixa é removida do banco de dados.

Se sua organização exigir que as configurações de retenção sejam aplicadas a mensagens de funcionários que não estão mais na organização ou se você precisar manter a caixa de correio de um ex-funcionário para uma pesquisa de descoberta eletrônica contínua ou futura, não desabilite ou remova a caixa de correio. Você pode seguir as etapas a seguir para garantir que a caixa de correio não pode ser acessada e nenhuma nova mensagem será entregue para a mesma.

  1. Desabilite a conta de usuário do Active Directory usando usuários do Active Directory & Computadores ou outras ferramentas ou scripts de provisionamento de conta ou do Active Directory. Isso impede o logon na caixa de correio usando a conta de usuário associada.

    Importante

    Usuários com permissão de Acesso Total à caixa de correio ainda conseguirão acessar a caixa de correio. Para evitar que outras pessoas acessem a caixa de correio, é necessário remover a permissão de Acesso Total delas. Para obter informações sobre como remover permissões de caixa de correio de Acesso Completo em uma caixa de correio, consulte Gerenciar permissões para destinatários.

  2. Defina o limite de tamanho de mensagem para mensagens que podem ser enviadas ou recebidas pelo usuário da caixa de correio para um valor muito baixo, por exemplo, 1KB. Isso impede a entrega de novas mensagens de e para a caixa de correio. Para obter detalhes, consulte Configurar os limites de tamanho de mensagens de uma caixa de correio.

  3. Configurar restrições de entrega para a caixa de correio para que ninguém possa enviar mensagens para ela. Para obter detalhes, consulte Configurar restrições de entrega de mensagens para uma caixa de correio.

Importante

É necessário realizar as etapas acima em conjunto com qualquer outro processo de gerenciamento de conta exigido pela sua organização, mas sem desabilitar ou remover a caixa de correio ou remover a conta de usuário associada.

Ao planejar implementar a retenção de caixa de correio para o MRM (gerenciamento de retenção de mensagens) ou In-Place descoberta eletrônica, você deve levar em consideração a rotatividade de funcionários. A retenção de longo prazo de caixas de correio de ex-funcionários exigirá armazenamento adicional em servidores de caixa de correio e também resultará em um aumento no banco de dados do Active Directory porque exige que a conta de usuário associada seja mantida pela mesma duração. Além disso, também pode exigir alterações nos processos de provisionamento e gerenciamento de conta da sua organização.

Resultados diferentes da pesquisa

Como In-Place descoberta eletrônica executa pesquisas em dados ao vivo, é possível que duas pesquisas das mesmas fontes de conteúdo e que usam a mesma consulta de pesquisa possam retornar resultados diferentes. Os resultados estimados da pesquisa também podem ser diferentes dos resultados reais da pesquisa que são copiados para uma caixa de correio de descoberta. Isto pode ocorrer mesmo ao executar novamente a mesma pesquisa num espaço pequeno de tempo. Há vários fatores que podem afetar a consistência dos resultados da pesquisa.

  • A indexação contínua de email de entrada porque a Pesquisa do Exchange rastreia e faz a indexação continuamente do pipeline de transporte e dos bancos de dados da caixa de correio da sua organização.

  • Exclusão de email por usuários ou porcessos automáticos.

  • Importação em massa de grandes quantidades de email, o que leva tempo para indexação.

Se você experimentar resultados diferentes para a mesma pesquisa, considere colocar as caixas de correio em espera para preservar o conteúdo, executar pesquisas durante horários que não sejam de pico e permita o tempo necessário para indexação após a importação de grandes quantidades de email.

Escopos de gerenciamento personalizado para Descoberta Eletrônica In-loco

Você pode usar um escopo de gerenciamento personalizado para permitir que pessoas ou grupos específicos usem In-Place descoberta eletrônica para pesquisar um subconjunto de caixas de correio em sua organização Exchange Server. Por exemplo, convém permitir que um gerente de descoberta pesquise apenas as caixas de correio de usuários em um local ou departamento específico. Faça isso criando um escopo de gerenciamento personalizado que usa um filtro de destinatário personalizado para controlar quais caixas de correio podem ser pesquisadas. Escopos de filtro de destinatário usam filtros para direcionar a destinatários específicos com base no tipo de destinatário ou em outras propriedades de destinatário.

Para a Descoberta In-loco, a única propriedade em uma caixa de correio de usuário de usuário que você pode usar para criar um filtro de destinatário para um escopo personalizado é a associação de grupo de distribuição. Se você usar outras propriedades, como CustomAttributeN, Department ou PostalCode, a pesquisa falhará quando é executada por um membro do grupo de funções que atribuiu o escopo personalizado. Para obter mais informações, consulte Criar um escopo de gerenciamento personalizado para pesquisas de Descoberta Eletrônica In-loco.

A Descoberta Eletrônica In-loco usa índices de conteúdo criados pela pesquisa do Exchange. A Pesquisa do Exchange foi refeita para usar o Microsoft Search Foundation, uma plataforma robusta de pesquisa que vem com uma indexação e desempenho de consulta com melhorias significativas e funcionalidade de pesquisa aprimorada. Como o Microsoft Search Foundation também é usado por outros produtos do Office, incluindo o SharePoint Server, ele oferece maior interoperabilidade e sintaxe de consulta semelhante entre esses produtos.

Com um único mecanismo de indexação de conteúdo, não são usados recursos adicionais para rastrear e indexar bancos de dados de caixas de correio para a Descoberta Eletrônica In-loco quando as solicitações de Descoberta Eletrônica são recebidas pelos departamentos de TI.

Para obter mais informações sobre os formatos de arquivo indexados pelo Exchange Search, consulte Formatos de arquivo indexados por pesquisa do Exchange.

Descoberta eletrônica em uma implantação híbrida do Exchange

Em um ambiente híbrido, um ambiente onde algumas caixas de correio existem em seus servidores de Caixa de Correio no local e algumas caixas de correio existem em uma organização baseada em nuvem, você pode realizar pesquisas de Descoberta Eletrônica In-loco em suas caixas de correio baseadas em nuvem usando o EAC na sua organização local. Se você pretende copiar mensagens para uma caixa de correio descoberta, você deve selecionar uma caixa de correio descoberta local. As mensagens de caixas de correio baseadas em nuvem que são retornadas nos resultados de pesquisa são copiadas para a caixa de correio descoberta local especificada. Para saber mais sobre implantações híbridas, consulte Exchange Server Implantações Híbridas.

Para executar com êxito pesquisas de descoberta eletrônica entre instalações em uma organização híbrida Exchange Server, você precisará configurar a autenticação OAuth (Autorização Aberta) entre suas organizações locais e Exchange Online do Exchange para que você possa usar In-Place eDiscovery para pesquisar caixas de correio locais e baseadas em nuvem. A autenticação OAuth é um protocolo de autenticação de servidor para servidor que permite que aplicativos autentiquem uns aos outros.

A autenticação OAuth oferece suporte aos seguintes cenários de Descoberta eletrônica em uma implantação híbrida do Exchange:

  • Pesquisa de caixas de correio locais que usam o Arquivamento do Exchange Online para caixas de correio de arquivamento baseadas em nuvem.

  • Pesquisa de caixas de correio locais e baseadas em nuvem na mesma pesquisa de Descoberta eletrônica.

Para obter mais informações sobre os cenários de descoberta eletrônica que exigem que a autenticação OAuth seja configurada em uma implantação híbrida do Exchange, consulte Usando a Autenticação Oauth para dar suporte à descoberta eletrônica em uma implantação híbrida do Exchange. Para obter instruções passo a passo para configurar a autenticação OAuth para dar suporte à descoberta eletrônica, consulte Configurar a Autenticação OAuth entre o Exchange e Exchange Online Organizações.

Para obter instruções passo a passo para configurar a autenticação OAuth para dar suporte à descoberta eletrônica, consulte Configurar a Autenticação OAuth entre o Exchange e Exchange Online Organizações.

Integração com o SharePoint Server

Exchange Server oferece integração com o SharePoint Server, permitindo que um gerenciador de descobertas use o Centro de Descoberta Eletrônica no SharePoint Server para executar as seguintes tarefas:

  • Pesquise e preserve o conteúdo de um único local – um gerenciador de descoberta autorizado pode pesquisar e preservar conteúdo no SharePoint e no Exchange, incluindo conteúdo do Lync, como conversas de mensagens instantâneas e documentos de reunião compartilhados arquivados em caixas de correio do Exchange.

  • Gerenciamento de casos – o EDiscovery Center usa uma abordagem de gerenciamento de casos para descoberta eletrônica, permitindo criar casos e pesquisar e preservar conteúdo em diferentes repositórios de conteúdo para cada caso.

  • Exportar resultados da pesquisa – um gerenciador de descobertas pode usar o Centro de Descoberta Eletrônica para exportar resultados de pesquisa. O conteúdo da caixa de correio incluído nos resultados da pesquisa é exportado para um arquivo PST.

O SharePoint Server também usa a Microsoft Search Foundation para indexação e consulta de conteúdo. Independentemente do uso do EAC ou do Centro de Descoberta Eletrônica pelo gerente de descoberta para pesquisar por conteúdo do Exchange, o mesmo conteúdo de caixa de correio é retornado.

Antes de poder usar o Centro de Descoberta Eletrônica no SharePoint Server para pesquisar caixas de correio do Exchange, você deve estabelecer confiança entre os dois aplicativos. No Exchange e no SharePoint, isso é feito usando a autenticação OAuth. Para detalhes, veja Configurar o Exchange para o SharePoint eDiscovery Center. Pesquisas de Descoberta Eletrônica realizadas a partir do SharePoint são autorizadas pelo Exchange usando RBAC. Para que um usuário do SharePoint seja capaz de realizar uma pesquisa de Descoberta Eletrônica em caixas de correio do Exchange, ele precisa receber permissão delegada de Gerenciamento de Descoberta no Exchange. Para poder visualizar o conteúdo da caixa de correio retornado em uma pesquisa de Descoberta Eletrônica realizada com o uso do Centro de Descoberta Eletrônica do SharePoint , o gerenciador de descoberta deve possuir uma caixa de correio na mesma organização do Exchange .

Limites e políticas de limitação da Descoberta Eletrônica In-loco

Em Exchange Server, os recursos In-Place usos de descoberta eletrônica são controlados com políticas de limitação.

A política de limitação padrão contém os parâmetros a seguir. Você pode alterar os valores padrão para atender aos requisitos da sua organização criando uma nova política de limitação com um escopo da Organização e nomeá-la apenas como "DiscoveryThrottlingPolicy".

Parâmetro Descrição Valor padrão
DiscoveryMaxConcurrency O número máximo de pesquisas de descoberta eletrônica In-Place que um usuário pode executar simultaneamente. 2
DiscoveryMaxMailboxes Número máximom de caixas de correio que podem ser pesquisadas em uma única pesquisa de Descoberta Eletrônica In-Loco. As caixas de correio de pasta pública também são contadas em relação ao limite da caixa de correio de origem. 10.0001
DiscoveryMaxStatsSearchMailboxes O número máximo de caixas de correio que podem ser pesquisadas em uma única pesquisa de Descoberta Eletrônica In-loco que ainda permita exibir estatísticas de palavra-chave. 100
Observação: depois de executar uma estimativa de pesquisa de descoberta eletrônica, você poderá exibir palavra-chave estatísticas. Essas estatísticas também podem exibir detalhes sobre o número de itens retornados por cada palavra-chave utilizada na consulta de pesquisa. Se mais de 100 caixas de correio de origem forem incluídas na pesquisa, um erro será retornado se você tentar exibir estatísticas de palavra-chave.
DiscoveryMaxKeywords Número máximo de palavras-chave que podem ser especificadas em uma única pesquisa de Descoberta Eletrônica In-Loco. 500
DiscoveryPreviewSearchResultsPageSize Número máximo de itens exibidos em uma única página ao visualizar os resultados de pesquisa de Descoberta Eletrônica In-Loco. 200
DiscoverySearchTimeoutPeriod Número máximo de minutos que uma pesquisa de Descoberta Eletrônica In-Loco será executada antes de atingir o tempo limite. 10 minutos

1 As caixas de correio de arquivo são contadas no limite da caixa de correio de origem. Isso significa que você pode pesquisar no máximo 5.000 caixas de correio se a caixa de correio de arquivo correspondente estiver habilitada para todas as 5.000 caixas de correio.

Documentação de Descoberta Eletrônica In-loco

A tabela a seguir contém links para Exchange Server tópicos que ajudarão você a aprender e gerenciar In-Place descoberta eletrônica.

Tópico Descrição
Atribuir permissões de descoberta eletrônica no Exchange Server Saiba como dar a um usuário acesso para usar In-Place descoberta eletrônica no EAC (e usando os cmdlets correspondentes) para pesquisar caixas de correio do Exchange.
Criar uma pesquisa de descoberta eletrônica In-Place no Exchange Server Aprenda como criar uma pesquisa de Descoberta Eletrônica In-loco e como estimar e visualizar os resultados da pesquisa de Descoberta Eletrônica.
Copiar os resultados de pesquisa de descoberta eletrônica para uma caixa de correio de descoberta Aprenda como copiar os resultados de uma pesquisa de Descoberta Eletrônica para uma caixa de correio de descoberta.
Exportar resultados de pesquisa de Descoberta Eletrônica para um arquivo PST Aprenda como exportar os resultados de uma pesquisa de Descoberta Eletrônica para um arquivo PST.
Propriedades da mensagem e operadores de pesquisa para In-Place descoberta eletrônica no Exchange Server Saiba quais propriedades de mensagem de email podem ser pesquisadas usando a Descoberta eletrônica In-loco. O tópico fornece exemplos de sintaxe para cada propriedade, informações sobre operadores de busca, como E e OU e informações sobre outras técnicas de consulta de pesquisa usando aspas duplas (" ") e prefixos curinga.
Pesquisar e colocar um porão em pastas públicas usando In-Place descoberta eletrônica Saiba como usar In-Place descoberta eletrônica para pesquisar e colocar um porão em todas as pastas públicas em sua organização.