In-Situ-eDiscovery in Exchange Server
Wenn Ihr organization den gesetzlichen Ermittlungsanforderungen (im Zusammenhang mit Organisationsrichtlinien, Compliance oder Gerichtsverfahren) entspricht, kann In-Place eDiscovery in Exchange Server Ihnen helfen, Suchvorgänge nach relevanten Inhalten in Postfächern durchzuführen. Zudem können Sie mit Compliance-eDiscovery in einer hybriden Exchange-Umgebung lokale und cloudbasierte Postfächer innerhalb einer Suche durchsuchen.
Wichtig
In-Place eDiscovery ist ein leistungsstarkes Feature, mit dem Benutzer mit den richtigen Berechtigungen potenziell Zugriff auf alle im Exchange Server organization gespeicherten Messagingdatensätze erhalten können. Es ist wichtig, ermittlungsaktivitäten zu steuern und zu überwachen, einschließlich des Hinzufügens von Mitgliedern zur Rollengruppe "Ermittlungsverwaltung", der Zuweisung der Verwaltungsrolle "Postfachsuche" und der Zuweisung von Postfachzugriffsberechtigungen für Ermittlungspostfächer.
Funktionsweise von Compliance-eDiscovery
Für die Compliance-eDiscovery-Suche werden die von der Exchange-Suche erstellten Inhaltsindizes verwendet. Die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) stellt die Rollengruppe Discovery Management zum Delegieren von Suchaufgaben an nicht technische Mitarbeiter bereit, ohne dass erhöhte Rechte erteilt werden müssen, mit denen ein Benutzer möglicherweise Änderungen an der Exchange-Konfiguration vornehmen kann. Das Exchange Admin Center (EAC) bietet eine benutzerfreundliche Suchschnittstelle für nicht technisches Personal wie Rechts- und Compliancebeauftragte, Datensatzmanager und Personalexperten.
Autorisierte Benutzer können Compliance-eDiscovery-Suchen durchführen, indem sie die Postfächer auswählen und dann Suchkriterien wie Stichwörter, Start- und Enddaten, Absender- und Empfängeradressen und Nachrichtentypen angeben. Nach der Suche können autorisierte Benutzer eine der folgenden Aktionen auswählen:
Schätzen von Suchergebnissen : Diese Option gibt eine Schätzung der Gesamtgröße und Anzahl der Elemente zurück, die von der Suche basierend auf den von Ihnen angegebenen Kriterien zurückgegeben werden.
Vorschau der Suchergebnisse : Diese Option bietet eine Vorschau der Ergebnisse. Die von den einzelnen durchsuchten Postfächern zurückgegebenen Meldungen werden angezeigt.
Suchergebnisse kopieren : Mit dieser Option können Sie Nachrichten in ein Ermittlungspostfach kopieren.
Exportieren von Suchergebnissen : Nachdem Suchergebnisse in ein Ermittlungspostfach kopiert wurden, können Sie sie in eine PST-Datei exportieren.
Compliance-eDiscovery verwendet Keyword Query Language (KQL). Benutzer, die mit KQL vertraut sind, können leistungsstarke Suchabfragen erstellen, um Inhaltsindizes zu durchsuchen. Weitere Informationen zu KQL finden Sie unter Referenz zur Syntax der Schlüsselwortabfragesprache.
In-Place eDiscovery-Berechtigungen
Damit autorisierte Benutzer In-Place eDiscovery-Suchen ausführen können, müssen Sie sie der Rollengruppe Ermittlungsverwaltung hinzufügen. Diese Rollengruppe besteht aus zwei Verwaltungsrollen: der Postfachsuchrolle, mit der ein Benutzer eine In-Place eDiscovery-Suche ausführen kann, und der Rolle "Rechtliche Aufbewahrung", die es einem Benutzer ermöglicht, ein Postfach in In-Place Halte- und Beweissicherungsverfahren zu platzieren.
Standardmäßig werden Benutzern oder Exchange-Administratoren keine Berechtigungen zur Ausführung von Compliance-eDiscovery-Aufgaben zugewiesen. Exchange-Administratoren, die Mitglieder der Rollengruppe "Organisationsverwaltung" sind, können Benutzer zur Rollengruppe "Discoveryverwaltung" hinzufügen und benutzerdefinierte Rollengruppen erstellen, um die Berechtigungen für einen Discoverymanager auf einen bestimmten Benutzersatz zu beschränken. Weitere Informationen zum Hinzufügen von Benutzern zur Rollengruppe "Ermittlungsverwaltung" finden Sie unter Zuweisen von eDiscovery-Berechtigungen in Exchange Server.
Wichtig
Wenn ein Benutzer nicht der Rollengruppe "Ermittlungsverwaltung" hinzugefügt wird oder die Rolle "Postfachsuche" nicht zugewiesen ist, wird die Benutzeroberfläche " In-Situ eDiscovery & Hold" im EAC nicht angezeigt, und die In-Place eDiscovery-Cmdlets (*MailboxSearch) sind in der Exchange-Verwaltungsshell nicht verfügbar.
Durch das Überwachen von Änderungen an RBAC-Rollen (diese Funktion ist standardmäßig aktiviert) wird sichergestellt, dass die richtigen Datensätze gespeichert werden, um die Zuweisung der Rollengruppe "Discoveryverwaltung" nachverfolgen zu können. Sie können den Administrator-Rollengruppenbericht verwenden, um nach Änderungen an Administratorrollengruppen zu suchen. Weitere Informationen finden Sie unter Search the role group changes or administrator audit logs.
Verwenden der Compliance-eDiscovery-Suche
Benutzer, die zur Rollengruppe "Discoveryverwaltung" hinzugefügt wurden, können Compliance-eDiscovery-Suchen ausführen. Sie können mithilfe der webbasierten Oberfläche in der Exchange-Verwaltungskonsole Suchen durchführen. Dadurch wird das Verwenden der Compliance-eDiscovery-Suche für nicht technische Benutzer wie Datensatzmanager, Richtlinienbeauftragte oder Mitarbeiter der Rechts- und Personalabteilung vereinfacht. Sie können auch die Exchange-Verwaltungsshell verwenden, um eine Suche durchzuführen. Weitere Informationen finden Sie unter Erstellen einer In-Place eDiscovery-Suche in Exchange Server
Der Assistent für Compliance-eDiscovery und -Archiv in der Exchange-Verwaltungskonsole ermöglicht Ihnen das Erstellen einer Compliance-eDiscovery-Suche und verwendet ein Compliance-Archiv, um die Suchergebnisse aufzubewahren. Wenn Sie eine Compliance-eDiscovery-Suche erstellen, wird ein Suchobjekt im Compliance-eDiscovery-Systempostfach erstellt. This object can be manipulated to start, stop, modify, and remove the search. After you create the search, you can choose to get an estimate of search results, which includes keyword statistics that help you determine query effectiveness. You can also do a live preview of items returned in the search, allowing you to view message content, the number of messages returned from each source mailbox and the total number of messages. You can use this information to further fine-tune your query if required.
Wenn Sie mit den Suchergebnissen zufrieden sind, können Sie sie in ein Discoverypostfach kopieren. Sie können auch die Exchange-Verwaltungskonsole oder Outlook verwenden, um ein Discoverypostfach oder Teile seiner Inhalte in eine PST-Datei zu exportieren.
Wenn Sie eine Compliance-eDiscovery-Suche erstellen, müssen Sie die folgenden Parameter angeben:
Name : Der Suchname wird verwendet, um die Suche zu identifizieren. Wenn Sie Suchergebnisse in ein Discoverypostfach kopieren, wird ein Ordner mit dem Suchnamen und dem Zeitstempel im Discoverypostfach erstellt, um die Suchergebnisse in einem Discoverypostfach eindeutig zu identifizieren.
Quellen: Sie können alle Postfächer in Ihrem Exchange Server organization durchsuchen oder die zu durchsuchenden Postfächer angeben. Sie können auch alle öffentlichen Ordner durchsuchen. Wenn Sie die gleiche Suche auch verwenden möchten, um Elemente im Haltefeld zu platzieren, müssen Sie die Postfächer angeben. Sie können auch alle öffentlichen Ordner in In-Place Halteraum platzieren. Sie können eine Verteilergruppe angeben, um Postfachbenutzer einzuschließen, die Mitglieder dieser Gruppe sind. Die Mitgliedschaft der Gruppe wird beim Erstellen der Suche einmal berechnet, und nachfolgende Änderungen an der Gruppenmitgliedschaft werden nicht automatisch in der Suche widerspiegelt. Die primären Und Archivpostfächer eines Benutzers werden in die Suche einbezogen.
Suchabfrage : Sie können entweder den gesamten Postfachinhalt aus den angegebenen Postfächern einschließen oder eine Suchabfrage verwenden, um Elemente zurückzugeben, die für den Fall oder die Untersuchung relevanter sind. Sie können in einer Suchabfrage die folgenden Parameter angeben:
Schlüsselwörter : Sie können Schlüsselwörter und Ausdrücke angeben, um Nachrichteninhalte zu durchsuchen. Sie können auch die logischen Operatoren AND, OR und NOT verwenden. Darüber hinaus unterstützt Exchange Server auch den NEAR-Operator, sodass Sie nach einem Wort oder Ausdruck suchen können, das sich in der Nähe eines anderen Worts oder Ausdrucks befindet.
Um nach einer genauen Übereinstimmung eines Ausdrucks mit mehreren Wörtern zu suchen, müssen Sie den Ausdruck in Anführungszeichen einschließen. Wenn Sie beispielsweise nach dem Ausdruck "Plan und Wettbewerb" suchen, werden Nachrichten zurückgegeben, die eine genaue Übereinstimmung mit dem Ausdruck enthalten, während die Angabe von Plan UND Wettbewerb Nachrichten mit den Wörtern Plan und Wettbewerb an einer beliebigen Stelle in der Nachricht zurückgibt.
Exchange Server unterstützt auch die KQL-Syntax (Keyword Query Language) für In-Place eDiscovery-Suchen. Weitere Informationen zu KQL finden Sie unter Referenz zur Syntax der Schlüsselwortabfragesprache.
Hinweis
Reguläre Ausdrücke werden in Compliance-eDiscovery-Suchen nicht unterstützt.
Logische Operatoren wie AND und OR müssen in Großbuchstaben angegeben werden, damit diese nicht als Suchzeichenfolgen, sondern als Operatoren behandelt werden. Zum Vermeiden von Fehlern oder Fehlinterpretationen sollten Sie bei jeder Suche mit mehreren logischen Operatoren eindeutige Klammern verwenden. Wenn Sie z. B. nach Nachrichten suchen, die entweder "WortA" oder "WortB" UND "WortC" oder "WortD" enthalten, verwenden Sie die folgende Syntax: (WortA OR WortB) AND (WortC OR WortD).
Start- und Enddatum : Standardmäßig schränkt In-Place eDiscovery Suchvorgänge nicht um einen Datumsbereich ein. Wenn Sie nach Nachrichten suchen möchten, die innerhalb eines bestimmten Zeitraums gesendet wurden, können Sie die Suche durch die Angabe von Start- und Enddaten einschränken. Wenn Sie kein Enddatum angeben, werden bei jedem erneuten Starten der Suche die neuesten Ergebnisse zurückgegeben.
Absender und Empfänger : Um die Suche einzugrenzen, können Sie die Absender oder Empfänger von Nachrichten angeben. Sie können E-Mail-Adressen, Anzeigenamen oder den Namen einer Domäne verwenden, um nach Elementen zu suchen, die an oder von allen Personen in der Domäne gesendet werden. Wenn Sie beispielsweise nach E-Mails suchen möchten, die von einer beliebigen Person bei Contoso, Ltd gesendet oder gesendet wurden, geben Sie @contoso.com im EAC im Feld Von oder An/cc an. Sie können auch @contoso.com in den Parametern Absender oder Empfänger in der Exchange-Verwaltungsshell angeben.
Nachrichtentypen : Standardmäßig werden alle Nachrichtentypen durchsucht. Sie können die Suche einschränken, indem Sie spezifische Nachrichtentypen wie E-Mail, Kontakte, Dokumente, Journal, Besprechungen, Notizen und Lync-Inhalt auswählen.
Der folgende Screenshot zeigt ein Beispiel für eine Suchabfrage in der Exchange-Verwaltungskonsole.
Bei der Verwendung von Compliance-eDiscovery-Suchen müssen Sie außerdem Folgendes beachten:
Anlagen : In-Place eDiscovery durchsucht Anlagen, die von der Exchange-Suche unterstützt werden. Weitere Informationen finden Sie unter Standardfilter für die Exchange-Suche. In lokalen Bereitstellungen können Sie Unterstützung für zusätzliche Dateitypen hinzufügen, indem Sie Suchfilter (auch als iFilter bezeichnet) für den Dateityp auf Postfachservern installieren.
Nicht durchsuchbare Elemente: Nicht durchsuchbare Elemente sind Postfachelemente, die von der Exchange-Suche nicht indiziert werden können. Ursachen hierfür können nicht installierte Suchfilter für eine angefügte Datei, Filterfehler und verschlüsselte Nachrichten sein. Für eine erfolgreiche eDiscovery-Suche muss Ihre Organisation diese Elemente möglicherweise zur Überprüfung einschließen. Wenn Sie Suchergebnisse in ein Discoverypostfach kopieren oder in eine PST-DAtei exportieren, können Sie nicht durchsuchbare Elemente einschließen. Weitere Informationen finden Sie unter Unsearchable Items in Exchange eDiscovery.
Verschlüsselte Elemente : Da mit S/MIME verschlüsselte Nachrichten nicht von der Exchange-Suche indiziert werden, durchsucht In-Place eDiscovery diese Nachrichten nicht. Wenn Sie die Option auswählen, um nicht durchsuchbare Elemente in Suchergebnissen zu berücksichtigen, werden diese S/MIME-verschlüsselten Nachrichten in das Discoverypostfach kopiert.
Deduplizierung: Wenn Sie Suchergebnisse in ein Ermittlungspostfach kopieren oder Suchergebnisse in eine PST-Datei exportieren, können Sie die Deduplizierung von Suchergebnissen aktivieren, um nur eine instance einer eindeutigen Nachricht in das Ermittlungspostfach zu kopieren. Eine Deduplizierung hat folgende Vorteile:
Niedrigere Speicheranforderungen und geringere Größe des Discoverypostfachs aufgrund der verringerten Anzahl von kopierten Nachrichten.
Geringere Arbeitslast für Discoverymanager, Rechtsberater und andere Personen, die die Ergebnisse der Suche durchsehen.
Geringere eDiscovery-Kosten, abhängig von der Anzahl von doppelten Elementen, die aus den Suchergebnissen ausgeschlossen werden.
IRM-geschützte Elemente : Nachrichten, die mithilfe der Verwaltung von Informationsrechten (IRM) geschützt sind, werden von der Exchange-Suche indiziert und daher in die Suchergebnisse aufgenommen, wenn sie mit Abfrageparametern übereinstimmen. Nachrichten müssen mithilfe eines AD RMS-Clusters (Active Directory Rights Management Service, Active Directory Rechteverwaltungsdienst) in derselben Active Directory-Gesamtstruktur wie der Postfachserver geschützt werden. Weitere Informationen finden Sie unter Information Rights Management in Exchange Server.
Wichtig:
Wenn die Exchange-Suche eine IRM-geschützte Nachricht nicht indizieren kann, weil entweder ein Entschlüsselungsfehler aufgetreten oder IRM deaktiviert ist, wird die geschützte Nachricht nicht zur Liste der fehlerhaften Elemente hinzugefügt. Wenn Sie die Option auswählen, um nicht durchsuchbare Elemente in Suchergebnissen zu berücksichtigen, fehlen in den Ergebnissen möglicherweise IRM-geschützte Nachrichten, die nicht entschlüsselt werden konnten.
Wenn Sie IRM-geschützte Nachrichten in eine Suche einbeziehen möchten, können Sie eine weitere Suche erstellen, um Nachrichten mit RPMSG-Anlagen zurückzugeben. Sie können die Abfragezeichenfolge
attachment:rpmsgverwenden, um alle IRM-geschützten Nachrichten in den angegebenen Postfächern zu durchsuchen, unabhängig davon, ob sie erfolgreich indiziert wurden oder nicht. Dies kann in Szenarien, in denen für eine Suche Nachrichten (einschließlich von IRM-geschützten Nachrichten, die erfolgreich indiziert wurden) zurückgegeben werden, die den Suchkriterien entsprechen, zu doppelt vorhandenen Suchergebnissen führen. Bei der Suche werden keine IRM-geschützten Nachrichten zurückgegeben, die nicht indiziert werden konnten.Beim Durchführen einer zweiten Suche nach allen IRM-geschützten Nachrichten werden auch IRM-geschützte Nachrichten berücksichtigt, die erfolgreich indiziert und bei der ersten Suche zurückgegeben wurden. Darüber hinaus besteht die Möglichkeit, dass die von der zweiten Suche zurückgegebenen IRM-geschützten Nachrichten nicht den für die erste Suche verwendeten Suchkriterien (z. B. Schlüsselwörter) entsprechen.
Schätzung, Vorschau und Kopieren von Suchergebnissen
Nach Abschluss einer Compliance-eDiscovery-Suche können Sie eine Schätzung der Suchergebnisse im Detailbereich der Exchange-Verwaltungskonsole anzeigen. Die Schätzwerte umfassen die Anzahl von zurückgegebenen Elementen und die Gesamtgröße dieser Elemente. Sie können auch eine Schlüsselwortstatistik anzeigen, die Details zur Anzahl von Elementen angibt, die für jedes Schlüsselwort in der Suchabfrage zurückgegeben wurden. Diese Informationen sind nützlich, um die Effektivität der Abfrage zu ermitteln. Wenn die Abfrage zu allgemein ist, wird möglicherweise ein zu großer Datensatz angezeigt, für dessen Durchsicht mehr Ressourcen benötigt und höhere eDiscovery-Kosten erzeugt werden. Wenn die Suche zu eingeschränkt ist, werden möglicherweise nur sehr wenige oder gar keine Datensätze angezeigt. Sie können die Schätzwerte und die Schlüsselwortstatistik dazu verwenden, die Abfrage gemäß Ihren Anforderungen zu optimieren.
Hinweis
In Exchange Server enthalten Schlüsselwort (keyword) Statistiken auch Statistiken für nicht Schlüsselwort (keyword) Eigenschaften wie Datumsangaben, Nachrichtentypen und Absender/Empfänger, die in einer Suchabfrage angegeben sind.
Sie können auch eine Vorschau der Suchergebnisse anzeigen, um sicherzustellen, dass zurückgegebene Nachrichten den gesuchten Inhalt enthalten, und die Abfrage bei Bedarf weiter optimieren. eDiscovery Search Preview zeigt die Anzahl der von jedem durchsuchten Postfach zurückgegebenen Nachrichten und die Gesamtanzahl der von der Suche zurückgegebenen Nachrichten an. Die Vorschau wird schnell generiert, ohne dass Sie Nachrichten in ein Ermittlungspostfach kopieren müssen.
Wenn Sie mit der Menge und Qualität der Suchergebnisse zufrieden sind, können Sie sie in ein Discoverypostfach kopieren. Beim Kopieren von Nachrichten haben Sie folgende Möglichkeiten:
Nicht durchsuchbare Elemente einschließen : Ausführliche Informationen zu den Typen von Elementen, die als nicht durchsuchbar gelten, finden Sie in den Überlegungen zur eDiscovery-Suche im vorherigen Abschnitt.
Deduplizierung aktivieren: Die Deduplizierung reduziert das Dataset, indem nur ein einzelner instance eines eindeutigen Datensatzes eingeschlossen wird, wenn mehrere Instanzen in einem oder mehreren durchsuchten Postfächern gefunden werden.
Vollständige Protokollierung aktivieren : Standardmäßig ist beim Kopieren von Elementen nur die standardbasierte Protokollierung aktiviert. Sie können die vollständige Protokollierung aktivieren, um Informationen zu allen bei der Suche zurückgegebenen Datensätzen einzuschließen.
E-Mail senden, wenn die Kopie abgeschlossen ist : Eine In-Place eDiscovery-Suche kann potenziell eine große Anzahl von Datensätzen zurückgeben. Das Kopieren der zurückgegebenen Nachrichten in ein Discoverypostfach kann sehr viel Zeit in Anspruch nehmen. Verwenden Sie diese Option, um per E-Mail benachrichtigt zu werden, wenn der Kopiervorgang abgeschlossen wurde. Um den Zugriff mithilfe von Outlook im Web zu vereinfachen, enthält die Benachrichtigung einen Link zum Speicherort in einem Ermittlungspostfach, in den die Nachrichten kopiert werden.
Weitere Informationen finden Sie unter Kopieren der eDiscovery-Suchergebnisse in ein Discoverypostfach.
Exportieren von Suchergebnissen in eine PST-Datei
Nachdem die Suchergebnisse in ein Discoverypostfach kopiert wurden,können Sie sie in eine PST-Datei exportieren.
Nach dem Export der Suchergebnisse in eine PST-Datei können Sie oder andere Benutzer sie in Outlook öffnen, um die in den Suchergebnissen zurückgegebenen Nachrichten zu lesen oder zu drucken. Weitere Informationen finden Sie unter Exportieren von eDiscovery-Suchergebnissen in eine PST-Datei.
Protokollierung für Compliance-eDiscovery-Suchen
Es gibt zwei Arten von Protokollierung für In-Place eDiscovery-Suchen.
Standardprotokollierung : Die Standardprotokollierung ist standardmäßig für alle In-Place eDiscovery-Suchen aktiviert. Sie schließt Informationen über die Suche und den Benutzer ein, der die Suche durchgeführt hat. Die mit der Basisprotokollierung erfassten Informationen werden im Nachrichtentext der E-Mail angezeigt, die an das Postfach gesendet wird, in dem die Suchergebnisse gespeichert werden. Die Nachricht befindet sich in dem Ordner, der zum Speichern der Suchergebnisse erstellt wurde.
Vollständige Protokollierung : Die vollständige Protokollierung enthält Informationen zu allen Nachrichten, die von der Suche zurückgegeben werden. Diese Informationen werden in einer durch Trennzeichen getrennten Datei (CSV-Datei) bereitgestellt und an die E-Mail-Nachricht angefügt, welche die Informationen der Basisprotokollierung enthält. Der Name der Suche wird als Name der CSV-Datei verwendet. Diese Informationen können aus Gründen der Einhaltung von Vorschriften oder für Aufzeichnungszwecke erforderlich sein. Zur Aktivierung der vollständigen Protokollierung müssen Sie die Option Vollständige Protokollierung aktivieren auswählen, wenn Sie mithilfe der Exchange-Verwaltungskonsole Suchergebnisse in ein Discoverypostfach kopieren. Wenn Sie die Exchange-Verwaltungsshell verwenden, geben Sie die vollständige Protokollierungsoption mit dem LogLevel-Parameter an.
Hinweis
Wenn Sie die Exchange-Verwaltungsshell zum Erstellen oder Ändern einer In-Place eDiscovery-Suche verwenden, können Sie auch die Protokollierung deaktivieren.
Neben dem Suchprotokoll, das beim Kopieren von Suchergebnissen in ein Ermittlungspostfach enthalten ist, protokolliert Exchange auch Cmdlets, die vom EAC oder der Exchange-Verwaltungsshell verwendet werden, um In-Place eDiscovery-Suchen zu erstellen, zu ändern oder zu entfernen. Diese Informationen werden in den Administratorüberwachungsprotokolleinträgen erfasst. Weitere Informationen finden Sie unter Administratorüberwachungsprotokollierung in Exchange Server.
Discoverypostfächer
Nachdem Sie eine Compliance-eDiscovery-Suche erstellt haben, können Sie die Suchergebnisse in ein Zielpostfach kopieren. Die Exchange-Verwaltungskonsole ermöglicht Ihnen die Auswahl eines Discoverypostfachs als Zielpostfach. Bei einem Discoverypostfach handelt es sich um einen speziellen Postfachtyp, mit dem die folgenden Funktionen bereitgestellt werden:
Einfachere und sichere Auswahl des Zielpostfachs : Wenn Sie das EAC verwenden, um In-Place eDiscovery-Suchergebnisse zu kopieren, werden nur Ermittlungspostfächer als Repository zum Speichern von Suchergebnissen verfügbar gemacht. Dadurch entfällt die Möglichkeit, dass ein Ermittlungs-Manager versehentlich das Postfach eines anderen Benutzers oder ein ungesichertes Postfach auswählt, in dem potenziell vertrauliche Nachrichten gespeichert werden sollen.
Großes Postfachspeicherkontingent : Das Zielpostfach sollte in der Lage sein, eine große Menge von Nachrichtendaten zu speichern, die von einer In-Place eDiscovery-Suche zurückgegeben werden können. Standardmäßig verfügen Ermittlungspostfächer über ein Postfachspeicherkontingent von 50 GB. Dieses Speicherkontingent kann nicht erhöht werden.
Standardmäßig sicherer : Wie alle Postfachtypen verfügt auch ein Ermittlungspostfach über ein zugeordnetes Active Directory-Benutzerkonto. Dieses Konto ist jedoch standardmäßig deaktiviert. Nur Benutzer, die explizit für den Zugriff auf ein Ermittlungspostfach autorisiert sind, haben Zugriff darauf. Mitgliedern der Rollengruppe Ermittlungsverwaltung werden Vollzugriffsberechtigungen für das Standardermittlungspostfach zugewiesen. Alle zusätzlichen Ermittlungspostfächer, die Sie erstellen, verfügen über keinem Benutzer zugewiesenen Zugriffsberechtigungen für Postfächer.
Email Übermittlung deaktiviert: Benutzer können keine E-Mails an ein Ermittlungspostfach senden. Die E-Mail-Zustellung an Discoverypostfächer ist aufgrund von Zustellungseinschränkungen unzulässig. Auf diese Weise wird die Integrität der Suchergebnisse gewährleistet, die in ein Discoverypostfach kopiert werden. Standardmäßig werden Ermittlungspostfächer nicht in der globalen Adressliste Ihres organization angezeigt.
Exchange Server Setup erstellt ein Ermittlungspostfach mit dem Anzeigenamen Discovery Search Mailbox. Sie können die Exchange-Verwaltungsshell verwenden, um zusätzliche Ermittlungspostfächer zu erstellen. Standardmäßig werden den von Ihnen erstellten Discoverypostfächern keine Zugriffsberechtigungen gewährt. Sie können einem Discoverymanager Vollzugriff erteilen, damit ein Zugriff auf die in ein Discoverypostfach kopierten Nachrichten möglich ist. Weitere Informationen finden Sie unter Erstellen eines Ermittlungspostfachs .
Für die Compliance-eDiscovery-Suche wird außerdem ein Systempostfach mit dem Anzeigenamen SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} zum Speichern von Compliance-eDiscovery-Metadaten verwendet. Systempostfächer werden weder in der Exchange-Verwaltungskonsole noch in Exchange-Adresslisten angezeigt. Bevor Sie eine Postfachdatenbank entfernen, in der sich das In-Place eDiscovery-Systempostfach befindet, müssen Sie das Postfach in eine andere Postfachdatenbank verschieben. Wenn das Postfach entfernt wird oder beschädigt ist, können die Discoverymanager erst wieder eDiscovery-Suchen durchführen, nachdem das Postfach neu erstellt wurde. Weitere Informationen finden Sie unter Re-Create the Discovery System Mailbox.
Compliance-eDiscovery und Compliance-Archiv
Im Rahmen von eDiscovery-Anforderungen ist es möglicherweise erforderlich, dass Sie Postfachinhalte aufbewahren, bis ein Rechtsstreit oder eine Untersuchung beendet ist. Nachrichten, die vom Postfachbenutzer oder durch andere Prozesse gelöscht oder geändert wurden, müssen ebenfalls aufbewahrt werden. In Exchange Server wird dies mithilfe von In-Place Hold erreicht. Weitere Informationen finden Sie unter In-Situ-Aufbewahrung und Beweissicherungsverfahren in Exchange Server.
Sie können den In-Situ-Assistenten für eDiscovery & Halten verwenden, um Elemente zu durchsuchen und so lange beizubehalten, wie sie für eDiscovery erforderlich sind oder um andere Geschäftsanforderungen zu erfüllen. When using the same search for both In-Place eDiscovery and In-Place Hold, be aware of the following:
Sie können die Option nicht verwenden, um alle Postfächer in Ihrem organization zu speichern. Sie müssen die gewünschten Postfächer oder Verteilergruppen auswählen. Sie können jedoch alle öffentlichen Fol nen in Ihrem organization zurückhalten.
Sie können eine Compliance-eDiscovery-Suche nicht entfernen, wenn die Suche auch für ein Compliance-Archiv verwendet wird. Sie müssen zuerst die Compliance-Archiv-Option in einer Suche deaktivieren und die Suche dann entfernen.
Aufbewahrung von Postfächern zu Compliance-eDiscovery-Zwecken
Wenn ein Mitarbeiter eine Organisation verlässt, wird das Mitarbeiterpostfach in der Regel deaktiviert oder entfernt. Wenn Sie ein Postfach deaktivieren, wird es vom Benutzerkonto getrennt, verbleibt jedoch für einen bestimmten Zeitraum (standardmäßig 30 Tage) weiterhin in der Postfachdatenbank. Der Assistent für verwaltete Ordner verarbeitet keine getrennten Postfächer, und Aufbewahrungsrichtlinien werden in diesem Zeitraum nicht angewendet. Sie können die Inhalte eines getrennten Postfachs nicht durchsuchen. Bei Ablauf des für die Postfachdatenbank konfigurierten Aufbewahrungszeitraums für gelöschte Postfächer wird das Postfach aus der Postfachdatenbank entfernt.
Wenn Ihre organization erfordert, dass Aufbewahrungseinstellungen auf Nachrichten von Mitarbeitern angewendet werden, die sich nicht mehr im organization befinden, oder wenn Sie das Postfach eines ex-Mitarbeiters für eine laufende oder zukünftige eDiscovery-Suche aufbewahren müssen, deaktivieren oder entfernen Sie das Postfach nicht. Sie können die folgenden Schritte ausführen, um sicherzustellen, dass kein Zugriff auf das Postfach möglich ist und keine neuen Nachrichten an das Postfach übermittelt werden.
Deaktivieren Sie das Active Directory-Benutzerkonto mithilfe von Active Directory-Benutzern &-Computern oder anderen Active Directory- oder Kontobereitstellungstools oder -skripts. This prevents mailbox logon using the associated user account.
Wichtig
Benutzer mit Vollzugriff für das Postfach können weiterhin auf das Postfach zugreifen. Wenn Sie den Zugriff durch andere Personen verhindern möchten, müssen Sie den Vollzugriff auf das Postfach deaktivieren. Informationen zum Entfernen von Vollzugriffspostfachberechtigungen für ein Postfach finden Sie unter Verwalten von Berechtigungen für Empfänger.
Legen Sie den Grenzwert für die Größe der Nachrichten, die über das Postfach gesendet oder empfangen werden können, auf einen sehr niedrigen Wert fest, beispielsweise auf 1 KB. Auf diese Weise wird verhindert, dass neue E-Mails über das Postfach gesendet oder empfangen werden. Weitere Informationen finden Sie unter Konfigurieren von Beschränkungen der Nachrichtengröße für ein Postfach.
Konfigurieren Sie Übermittlungseinschränkungen für das Postfach, sodass niemand Nachrichten an das Postfach senden kann. Weitere Informationen finden Sie unter Konfigurieren von Nachrichtenübermittlungseinschränkungen für ein Postfach.
Wichtig
Sie müssen die oben genannten Schritte und weitere Prozesse zur Kontoverwaltung ausführen, die in Ihrer Organisation erforderlich sind, jedoch ohne das Postfach zu deaktivieren oder zu entfernen oder das zugeordnete Benutzerkonto zu entfernen.
Wenn Sie die Postfachaufbewahrung zur Verwaltung der Nachrichtenaufbewahrung oder für die Compliance-eDiscovery-Suche implementieren möchten, müssen Sie die Mitarbeiterfluktuation berücksichtigen. Die langfristige Aufbewahrung von Postfächern ehemaliger Mitarbeiter belegt zusätzlichen Speicherplatz auf den Postfachservern und vergrößert die Active Directory-Datenbank, da das zugeordnete Benutzerkonto für denselben Zeitraum beibehalten werden muss. Zusätzlich kann es erforderlich sein, die Prozesse für Kontobereitstellung und -verwaltung in Ihrer Organisation zu ändern.
Unterschiedliche Suchergebnisse
Da In-Place eDiscovery Suchvorgänge für Livedaten durchführt, können zwei Suchvorgänge derselben Inhaltsquellen, die dieselbe Suchabfrage verwenden, unterschiedliche Ergebnisse zurückgeben. Die geschätzten Suchergebnisse können ebenfalls von den tatsächlichen Suchergebnissen abweichen, die in ein Discoverypostfach kopiert werden. Das passiert auch, wenn dieselbe Suche innerhalb kurzer Zeit wiederholt wird. Es gibt mehrere Faktoren, die sich auf die Konsistenz von Suchergebnissen auswirken können.
Die kontinuierliche Indizierung eingehender E-Mails, da die Exchange-Suche ständig die Postfachdatenbanken und die Transportpipelines Ihrer Organisation durchforstet und indiziert.
Löschen von E-Mails durch Benutzer oder automatisierte Prozesse.
Massenimport von großen Mengen an E-Mails, deren Indizierung Zeit erfordert.
Falls Sie unterschiedliche Ergebnisse für dieselbe Suche erhalten, erwägen Sie die Aufbewahrung von Postfächern, um den Inhalt beizubehalten, führen Sie die Suche außerhalb der Spitzenzeiten durch oder lassen Sie genügend Zeit nach dem Importieren großer Mengen an E-Mails.
Benutzerdefinierte Verwaltungsbereiche für Compliance-eDiscovery
Sie können einen benutzerdefinierten Verwaltungsbereich verwenden, damit bestimmte Personen oder Gruppen In-Place eDiscovery verwenden können, um eine Teilmenge von Postfächern in Ihrem Exchange Server organization zu durchsuchen. Beispielsweise können Sie einen Discovery-Manager nur die Postfächer der Benutzer an einem bestimmten Standort oder in einer bestimmten Abteilung durchsuchen lassen. Hierfür erstellen Sie einen benutzerdefinierten Verwaltungsbereich, in dem über einen benutzerdefinierten Empfängerfilter gesteuert wird, welche Postfächer durchsucht werden können. In Bereichen mit Empfängerfiltern werden Filter verwendet, um bestimmte Empfänger basierend auf dem Empfängertyp oder anderen Eigenschaften zu erfassen.
Bei Verwendung von Compliance-eDiscovery ist die einzige Eigenschaft eines Benutzerpostfachs, die Sie zum Erstellen eines Empfängerfilters für einen benutzerdefinierten Bereich verwenden können, die Mitgliedschaft in Verteilergruppen. Wenn Sie andere Eigenschaften wie CustomAttributeN, Department oder Postal Code verwenden, schlägt die Suche fehl, wenn sie von einem Mitglied der Rollengruppe ausgeführt wird, dem der benutzerdefinierte Bereich zugewiesen ist. Weitere Informationen finden Sie unter Erstellen eines benutzerdefinierten Verwaltungsbereichs für die Compliance-eDiscovery-Suche.
In-Place eDiscovery und Exchange Search
Für die Compliance-eDiscovery-Suche werden die von der Exchange-Suche erstellten Inhaltsindizes verwendet. Die Exchange-Suche basiert nun auf Microsoft Search Foundation, einer umfassenden Suchplattform mit einer wesentlich verbesserten Indizierungs- und Abfrageleistung und Suchfunktionalität. Da die Microsoft Search Foundation auch von anderen Office-Produkten verwendet wird, einschließlich SharePoint Server, bietet sie eine größere Interoperabilität und eine ähnliche Abfragesyntax für diese Produkte.
Dank eines einzigen Inhaltsindizierungsmoduls müssen keine zusätzlichen Ressourcen zum Durchforsten und Indizieren von Postfachdatenbanken für die Compliance-eDiscovery-Suche verwendet werden, wenn Mitarbeiter von IT-Abteilungen eDiscovery-Anforderungen erhalten.
Weitere Informationen zu den dateiformaten, die von der Exchange-Suche indiziert werden, finden Sie unter Dateiformate, die von der Exchange-Suche indiziert werden.
eDiscovery in einer Exchange-Hybridbereitstellung
In einer Hybridbereitstellung – dies ist eine Umgebung, in der einige Postfächer auf lokalen Postfachservern und andere Postfächer in einer cloudbasierten Organisation vorliegen – können Sie Compliance-eDiscovery-Suchen für cloudbasierte Postfächer mithilfe der Exchange-Verwaltungskonsole in Ihrer lokalen Organisation durchführen. Wenn Sie Nachrichten in ein Discoverypostfach kopieren möchten, müssen Sie ein lokales Discoverypostfach auswählen. Nachrichten aus cloudbasierten Postfächern, die in Suchergebnissen zurückgegeben werden, werden in das angegebene lokale Discoverypostfach kopiert. Weitere Informationen zu Hybridbereitstellungen finden Sie unter Exchange Server Hybridbereitstellungen.
Um standortübergreifende eDiscovery-Suchvorgänge in einer Exchange Server Hybrid-organization erfolgreich durchzuführen, müssen Sie die OAuth-Authentifizierung (Open Authorization) zwischen Ihren lokalen Exchange- und Exchange Online Organisationen konfigurieren, damit Sie In-Place eDiscovery verwenden können, um lokale und cloudbasierte Postfächer zu durchsuchen. Die OAuth-Authentifizierung ist ein Server-zu-Server-Authentifizierungsprotokoll, das es Anwendungen ermöglicht, sich gegenseitig zu authentifizieren.
Die OAuth-Authentifizierung wird in den folgenden eDiscovery-Szenarien in einer Exchange-Hybridbereitstellung unterstützt:
Durchsuchen lokaler Postfächer, für die die Exchange Online-Archivierung für cloudbasierte Archivpostfächer verwendet wird
Durchsuchen lokaler und cloudbasierter Postfächer in derselben eDiscovery-Suche
Weitere Informationen zu den eDiscovery-Szenarien, für die die OAuth-Authentifizierung in einer Exchange-Hybridbereitstellung konfiguriert werden muss, finden Sie unter Using Oauth Authentication to Support eDiscovery in an Exchange Hybrid Deployment. Schrittweise Anleitungen zum Konfigurieren der OAuth-Authentifizierung, sodass eDiscovery unterstützt wird, finden Sie unter Configure OAuth Authentication Between Exchange and Exchange Online Organizations.
Schrittweise Anleitungen zum Konfigurieren der OAuth-Authentifizierung, sodass eDiscovery unterstützt wird, finden Sie unter Configure OAuth Authentication Between Exchange and Exchange Online Organizations.
Integration in SharePoint Server
Exchange Server bietet die Integration in SharePoint Server, sodass ein Ermittlungs-Manager das eDiscovery Center in SharePoint Server verwenden kann, um die folgenden Aufgaben auszuführen:
Suchen und Beibehalten von Inhalten an einem einzigen Ort : Ein autorisierter Ermittlungs-Manager kann Inhalte in SharePoint und Exchange durchsuchen und beibehalten, einschließlich Lync-Inhalten wie Chatunterhaltungen und freigegebenen Besprechungsdokumenten, die in Exchange-Postfächern archiviert sind.
Fallverwaltung : eDiscovery Center verwendet einen Fallverwaltungsansatz für eDiscovery, mit dem Sie Fälle erstellen und Inhalte in verschiedenen Inhaltsrepositorys für jeden Fall durchsuchen und beibehalten können.
Exportieren von Suchergebnissen : Ein Ermittlungs-Manager kann das eDiscovery Center verwenden, um Suchergebnisse zu exportieren. In Suchergebnissen zurückgegebene Postfachinhalte werden in eine PST-Datei exportiert.
SharePoint Server verwendet auch Microsoft Search Foundation für die Inhaltsindizierung und -abfrage. Unabhängig davon, ob ein Discoverymanager die Exchange-Verwaltungskonsole oder das eDiscovery Center zum Durchsuchen von Exchange-Inhalten verwendet, werden dieselben Postfachinhalte zurückgegeben.
Bevor Sie das eDiscovery Center in SharePoint Server zum Durchsuchen von Exchange-Postfächern verwenden können, müssen Sie eine Vertrauensstellung zwischen den beiden Anwendungen einrichten. In Exchange und SharePoint erfolgt dies mithilfe der OAuth-Authentifizierung. Ausführliche Informationen finden Sie unter Konfigurieren von Exchange für SharePoint eDiscovery Center. Über SharePoint ausgeführte eDiscovery-Suchen werden von Exchange mithilfe von RBAC autorisiert. Damit ein SharePoint-Benutzer eine eDiscovery-Suche in Exchange-Postfächern durchführen kann, müssen diesem delegierte Discoveryverwaltungsberechtigungen in Exchange zugewiesen werden. Zur Anzeige einer Vorschau von Postfachinhalten, die bei einer eDiscovery-Suche mit einem SharePoint eDiscovery Center zurückgegeben werden, muss der Discoverymanager über ein Postfach in derselben Exchange-Organisation verfügen.
Compliance-eDiscovery-Begrenzungen und Einschränkungsrichtlinien
In Exchange Server werden die Ressourcen, die In-Place eDiscovery verwendet, mit Drosselungsrichtlinien gesteuert.
Die Standardeinschränkungsrichtlinie enthält die folgenden Parameter. Sie können die Standardwerte ändern, um die Anforderungen Ihrer organization zu erfüllen, indem Sie eine neue Einschränkungsrichtlinie mit einem Organisationsbereich erstellen und diese nur als "DiscoveryThrottlingPolicy" benennen.
| Parameter | Beschreibung | Standardwert |
|---|---|---|
| DiscoveryMaxConcurrency | Die maximale Anzahl von In-Place eDiscovery-Suchvorgängen, die ein Benutzer gleichzeitig ausführen kann. | 2 |
| DiscoveryMaxMailboxes | Die maximale Anzahl von Postfächern, die in einer einzelnen Compliance-eDiscovery-Suche durchsucht werden können. Postfächer für öffentliche Ordner werden bei den Quellpostfachbeschränkungen auch mitgezählt. | 10.0001 |
| DiscoveryMaxStatsSearchMailboxes | Die maximale Anzahl von Postfächern, die in einer einzelnen Compliance-eDiscovery-Suche durchsucht werden können, die die Anzeige von Schlüsselwortstatistiken erlaubt. | 100 Hinweis: Nachdem Sie eine eDiscovery-Suchschätzung ausgeführt haben, können Sie Schlüsselwort (keyword) Statistiken anzeigen. Diese Statistik enthält detaillierte Informationen über die Anzahl der Elemente, die für jedes in der Suchabfrage verwendete Schlüsselwort zurückgegeben werden. Wenn mehr als 100 Quellpostfächer in die Suche einbezogen werden, wird beim Versuch, die Schlüsselwortstatistik anzuzeigen, eine Fehlermeldung zurückgegeben. |
| DiscoveryMaxKeywords | Die maximale Anzahl von Schlüsselwörtern, die in einer einzelnen Compliance-eDiscovery-Suche angegeben werden können. | 500 |
| DiscoveryPreviewSearchResultsPageSize | Die maximale Anzahl von Elementen, die auf einer einzelnen Vorschauseite der Compliance-eDiscovery-Suchergebnisse angezeigt werden. | 200 |
| DiscoverySearchTimeoutPeriod | Die Zeitdauer in Minuten, während der eine Compliance-eDiscovery-Suche ausgeführt wird, bevor eine Zeitüberschreitung auftritt. | 10 Minuten |
1 Archivpostfächer werden auf den Grenzwert des Quellpostfachs angerechnet. Das bedeutet, dass Sie maximal 5.000 Postfächer durchsuchen können, wenn das entsprechende Archivpostfach für alle 5.000 Postfächer aktiviert ist.
Dokumentation zu Compliance-eDiscovery
Die folgende Tabelle enthält Links zu Exchange Server Themen, die Ihnen helfen, mehr über In-Place eDiscovery zu erfahren und zu verwalten.
| Thema | Beschreibung |
|---|---|
| Zuweisen von eDiscovery-Berechtigungen in Exchange Server | Erfahren Sie, wie Sie einem Benutzer Zugriff zur Verwendung In-Place eDiscovery im EAC (und mithilfe der entsprechenden Cmdlets) zum Durchsuchen von Exchange-Postfächern gewähren. |
| Erstellen einer In-Place eDiscovery-Suche in Exchange Server | Erfahren Sie, wie Sie eine Compliance-eDiscovery-Suche erstellen und wie Sie eDiscovery-Suchergebnisse schätzen und eine Vorschau davon anzeigen. |
| Kopieren der eDiscovery-Suchergebnisse in ein Discoverypostfach | Erfahren Sie, wie Sie die Ergebnisse einer eDiscovery-Suche in ein Discoverypostfach kopieren. |
| Exportieren von eDiscovery-Suchergebnissen in eine PST-Datei | Erfahren Sie, wie Sie die Ergebnisse einer eDiscovery-Suche in eine PST-Datei exportieren. |
| Nachrichteneigenschaften und Suchoperatoren für In-Place eDiscovery in Exchange Server | Erfahren Sie, welche E-Mail-Nachrichteneigenschaften mithilfe der Compliance-eDiscovery-Funktion durchsucht werden können. Dieses Thema bietet Syntaxbeispiele für jede Eigenschaft, Informationen zu Suchoperatoren wie AND und OR sowie zu anderen Suchabfragemethoden wie z. B. Verwenden doppelter Anführungszeichen (" ") und Präfixplatzhaltern. |
| Durchsuchen von öffentlichen Ordnern und Belegen mit einem Speicher mithilfe der In-Situ-eDiscovery | Erfahren Sie, wie Sie In-Place eDiscovery verwenden, um alle öffentlichen Ordner in Ihrem organization zu suchen und zu speichern. |