TechNet
Exportieren (0) Drucken
Alle erweitern

In-Situ-eDiscovery in Exchange 2016

[Dieses Thema gehört zur Vorabdokumentation und kann in künftigen Versionen geändert werden. Leere Themen wurden als Platzhalter hinzugefügt. Wenn Sie Feedback dazu haben, freuen wir uns über Ihre Nachricht. Senden Sie uns eine E-Mail an: ExchangeHelpFeedback@microsoft.com.]  

Gilt für:Exchange Server 2016

Informationen zu In-Situ-eDiscovery in Exchange 2016.

Wenn in Ihrer Organisation rechtliche Bestimmungen im Hinblick auf die Offenlegung erfüllt werden müssen (im Zusammenhang mit Organisationsrichtlinien, Richtlinientreue oder Rechtsstreitigkeiten), können Sie mithilfe der In-Situ-eDiscovery-Funktion in Exchange Server 2016 in Postfächern nach relevanten Inhalten suchen. Sie können In-Situ-eDiscovery auch in einer Exchange-Hybridumgebung verwenden, um lokale und cloudbasierte Postfächer in einem Suchvorgang zu durchsuchen.

importantWichtig:
In-Situ-eDiscovery ist eine leistungsfähige Funktion, mit der ein Benutzer mit den entsprechenden Berechtigungen potenziell auf alle Nachrichtendatensätze zugreifen kann, die innerhalb der Exchange 2016-Organisation gespeichert sind. Es ist wichtig, die Discoveryaktivitäten zu kontrollieren und zu überwachen. Diese Aktivitäten umfassen das Hinzufügen von Mitgliedern zur Rollengruppe „Discoveryverwaltung“, das Zuweisen der Verwaltungsrolle „Postfachsuche“ sowie das Zuweisen der Berechtigung für den Postfachzugriff zu Discoverypostfächern.

Inhalt

Funktionsweise von Compliance-eDiscovery

Benutzerdefinierte Verwaltungsbereiche für Compliance-eDiscovery

Verwenden der Compliance-eDiscovery-Suche

Schätzung, Vorschau und Kopieren von Suchergebnissen

Exportieren von Suchergebnissen in eine PST-Datei

Protokollierung für Compliance-eDiscovery-Suchen

Discoverypostfächer

Compliance-eDiscovery und Compliance-Archiv

Aufbewahrung von Postfächern zu Compliance-eDiscovery-Zwecken

Unterschiedliche Suchergebnisse

Benutzerdefinierte Verwaltungsbereiche für In-Situ-eDiscovery

In-Situ-eDiscovery und Exchange-Suche

eDiscovery in einer Exchange-Hybridbereitstellung

Integration in SharePoint

Compliance-eDiscovery-Begrenzungen und Einschränkungsrichtlinien

Dokumentation zu Compliance-eDiscovery

Für In-Situ-eDiscovery werden die von Exchange-Suche erstellten Inhaltsindizes verwendet. Die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) stellt die Rollengruppe Erkennungsverwaltung zum Delegieren von Suchaufgaben an nicht technische Mitarbeiter bereit, ohne dass erhöhte Rechte erteilt werden müssen, mit denen ein Benutzer möglicherweise Änderungen an der Exchange-Konfiguration vornehmen kann. Das Exchange-Verwaltungskonsole (EAC) stellt eine benutzerfreundliche Suchoberfläche für nicht technisches Personal wie z. B. Mitarbeiter der Rechtsabteilung, Richtlinienbeauftragte, Datensatzmanager und Mitarbeiter der Personalabteilung bereit.

Autorisierte Benutzer können Compliance-eDiscovery-Suchen durchführen, indem sie die Postfächer auswählen und dann Suchkriterien wie Stichwörter, Start- und Enddaten, Absender- und Empfängeradressen und Nachrichtentypen angeben. Nach der Suche können autorisierte Benutzer eine der folgenden Aktionen auswählen:

  • Suchergebnisse schätzen   Diese Option liefert eine Schätzung der Gesamtgröße und -anzahl der Objekte, die von der Suche auf der Grundlage der angegebenen Kriterien zurückgegeben werden.

  • Vorschau auf Suchergebnisse anzeigen   Diese Option bietet eine Vorschau der Ergebnisse. Die von den einzelnen durchsuchten Postfächern zurückgegebenen Meldungen werden angezeigt.

  • Suchergebnisse kopieren   Mit dieser Option können Sie Nachrichten in ein Discoverypostfach kopieren.

  • Suchergebnisse exportieren   Nachdem die Suchergebnisse in ein Discoverypostfach kopiert wurden,können Sie sie in eine PST-Datei exportieren.

Schätzung, Vorschau, Kopieren und Exportieren von Suchergebnissen

In-Situ-eDiscovery verwendet Keyword Query Language (KQL). Benutzer mit KQL-Kenntnissen können leistungsstarke Suchabfragen zum Durchsuchen von Inhaltsindizes erstellen. Weitere Informationen zu KQL finden Sie unter Keyword Query Language – Syntaxverweis.

Zurück zum Seitenanfang

Damit autorisierte Benutzer In-Situ-eDiscovery-Suchen durchführen können, müssen Sie die Benutzer der Rollengruppe Erkennungsverwaltung hinzufügen. Diese Rollengruppe umfasst zwei Verwaltungsrollen: Rolle „Postfachsuche“, die einem Benutzer das Ausführen einer In-Situ-eDiscovery-Suche ermöglicht, und Rolle „Gesetzliche Aufbewahrungspflicht“, mit der Benutzer ein Postfach in einem In-Situ-Speicher platzieren und ein Beweissicherungsverfahren für das Postfach aktivieren können.

Standardmäßig werden Benutzern oder Exchange-Administratoren keine Berechtigungen zur Ausführung von In-Situ-eDiscovery-Aufgaben zugewiesen. Zuweisen von eDiscovery-Berechtigungen in Exchange 2016-Administratoren, die Mitglieder der Rollengruppe „Organisationsverwaltung“ sind, können Benutzer zur Rollengruppe „Discoveryverwaltung“ hinzufügen und benutzerdefinierte Rollengruppen erstellen, um die Berechtigungen für einen Discoverymanager auf einen bestimmten Benutzersatz zu beschränken. Weitere Informationen zum Hinzufügen von Benutzern zur Rollengruppe „Discoveryverwaltung“ finden Sie unter Exchange.

importantWichtig:
Wenn ein Benutzer nicht zur Rollengruppe „Discoveryverwaltung“ hinzugefügt oder ihm nicht die Rolle „Postfachsuche“ zugewiesen wurde, wird die Benutzeroberfläche In-Situ-eDiscovery und -Speicher nicht im EAC angezeigt, und die In-Situ-eDiscovery-(*MailboxSearch-)Cmdlets stehen in der Exchange-Verwaltungsshell nicht zur Verfügung.

Durch das Überwachen von Änderungen an RBAC-Rollen (diese Funktion ist standardmäßig aktiviert) wird sichergestellt, dass die richtigen Datensätze gespeichert werden, um die Zuweisung der Rollengruppe "Discoveryverwaltung" nachverfolgen zu können. Sie können den Administrator-Rollengruppenbericht verwenden, um nach Änderungen an Administratorrollengruppen zu suchen. Weitere Informationen finden Sie unter Durchsuchen der Rollengruppenänderungen oder Administratorüberwachungsprotokolle.

Zurück zum Seitenanfang

Benutzer, die zur Rollengruppe „Discoveryverwaltung“ hinzugefügt wurden, können In-Situ-eDiscovery-Suchen ausführen. Sie können mithilfe der webbasierten Oberfläche im EAC Suchen durchführen. Dadurch wird das Verwenden der In-Situ-eDiscovery-Suche für nicht technische Benutzer wie Datensatzmanager, Richtlinienbeauftragte oder Mitarbeiter der Rechts- und Personalabteilung vereinfacht. Sie können Suchläufe auch mit der Exchange-Verwaltungsshell durchführen. Weitere Informationen finden Sie unter Erstellen einer In-Situ-eDiscovery-Suche in Exchange 2016

Der Assistent für Compliance-eDiscovery und -Archiv in der Exchange-Verwaltungskonsole ermöglicht Ihnen das Erstellen einer Compliance-eDiscovery-Suche und verwendet ein Compliance-Archiv, um die Suchergebnisse aufzubewahren. Wenn Sie eine Compliance-eDiscovery-Suche erstellen, wird ein Suchobjekt im Compliance-eDiscovery-Systempostfach erstellt. Dieses Objekt kann bearbeitet werden, um die Suche zu starten, zu beenden, zu ändern und zu entfernen. Nachdem Sie die Suche erstellt haben, können Sie eine Schätzung der Suchergebnisse abrufen, die eine Schlüsselwortstatistik zur Ermittlung der Effektivität einer Abfrage umfasst. Sie können auch eine Livevorschau der bei der Suche zurückgegebenen Elemente anzeigen, in der Sie die Nachrichteninhalte, die Anzahl der von jedem Quellpostfach zurückgegebenen Nachrichten sowie die Gesamtzahl an Nachrichten anzeigen können. Diese Informationen können Sie bei Bedarf zur weiteren Optimierung Ihrer Abfrage verwenden.

Wenn Sie mit den Suchergebnissen zufrieden sind, können Sie sie in ein Discoverypostfach kopieren. Sie können auch die Exchange-Verwaltungskonsole oder Outlook verwenden, um ein Discoverypostfach oder Teile seiner Inhalte in eine PST-Datei zu exportieren.

Wenn Sie eine Compliance-eDiscovery-Suche erstellen, müssen Sie die folgenden Parameter angeben:

  • Name Der Suchname wird verwendet, um die Suche zu identifizieren. Wenn Sie Suchergebnisse in ein Discoverypostfach kopieren, wird ein Ordner mit dem Suchnamen und dem Zeitstempel im Discoverypostfach erstellt, um die Suchergebnisse in einem Discoverypostfach eindeutig zu identifizieren.

  • Quellen   Sie können alle Postfächer in Ihrer Exchange 2016-Organisation durchsuchen oder die zu durchsuchenden Postfächer angeben. Sie können auch alle öffentlichen Ordner durchsuchen. Wenn Sie dieselbe Suche dazu verwenden möchten, um Elemente aufzubewahren, müssen Sie die Postfächer angeben. Sie können das Beweissicherungsverfahren auch für alle öffentlichen Ordner aktivieren. Sie können eine Verteilergruppe angeben, um Postfachbenutzer einzuschließen, die Mitglieder dieser Gruppe sind. Die Mitgliedschaft der Gruppe wird bei Erstellung der Suche berechnet, und spätere Änderungen an der Gruppenmitgliedschaft werden nicht automatisch in der Suche berücksichtigt. Bei der Suche werden die primären und Archivpostfächer eines Benutzers eingeschlossen.

  • Suchabfrage Sie können entweder alle Postfachinhalte der angegebenen Postfächer einschließen, oder mithilfe einer Suchabfrage Elemente zurückgeben, die für einen Fall oder eine Untersuchen von besonderer Relevanz sind. Sie können in einer Suchabfrage die folgenden Parameter angeben:

    • Schlüsselwörter   Sie können Schlüsselwörter und Ausdrücke angeben, nach denen der Nachrichteninhalt durchsucht werden soll. Sie können auch die logischen Operatoren AND, OR und NOT verwenden. Zusätzlich unterstützt Exchange 2016 den Operator NEAR, mit dem Sie nach einem Wort oder Ausdruck in der Nähe eines anderen Worts oder Ausdrucks suchen können.

      Wenn Sie nach einer genauen Übereinstimmung eines Ausdrucks, der mehrere Wörter enthält, suchen möchten, müssen Sie den Ausdruck in Anführungszeichen setzen. Wenn Sie z. B. nach der Zeichenfolge "Planung und Wettbewerb" suchen, werden Nachrichten mit einer exakten Übereinstimmung für diese Zeichenfolge zurückgegeben. Wenn Sie hingegen Planung AND Wettbewerb angeben, werden Nachrichten zurückgegeben, die die Wörter Planung und Wettbewerb an einer beliebigen Position innerhalb der Nachricht enthalten.

      Exchange 2016 unterstützt außerdem die KQL-Syntax (Keyword Query Language) für In-Situ-eDiscovery-Suchen. Weitere Informationen zu KQL finden Sie unter Keyword Query Language – Syntaxverweis.

      noteHinweis:
      Reguläre Ausdrücke werden in Compliance-eDiscovery-Suchen nicht unterstützt.

      Logische Operatoren wie AND und OR müssen in Großbuchstaben angegeben werden, damit diese nicht als Suchzeichenfolgen, sondern als Operatoren behandelt werden. Zum Vermeiden von Fehlern oder Fehlinterpretationen sollten Sie bei jeder Suche mit mehreren logischen Operatoren eindeutige Klammern verwenden. Wenn Sie z. B. nach Nachrichten suchen, die entweder "WortA" oder "WortB" UND "WortC" oder "WortD" enthalten, verwenden Sie die folgende Syntax: (WortA OR WortB) AND (WortC OR WortD).

    • Start- und Enddaten   Compliance-eDiscovery-Suchen sind standardmäßig nicht auf einen Datumsbereich beschränkt. Wenn Sie nach Nachrichten suchen möchten, die innerhalb eines bestimmten Zeitraums gesendet wurden, können Sie die Suche durch die Angabe von Start- und Enddaten einschränken. Wenn Sie kein Enddatum angeben, werden bei jedem erneuten Starten der Suche die neuesten Ergebnisse zurückgegeben.

    • Absender und Empfänger Zum Einschränken einer Suche können Sie die Absender oder Empfänger von Nachrichten angeben. Sie können mithilfe von E-Mail-Adressen, Anzeigenamen oder des Namens einer Domäne nach Elementen suchen, die an alle Benutzer in der Domäne oder von diesen gesendet wurden. Wenn Sie beispielsweise nach E-Mails suchen möchten, die an eine oder von einer beliebigen Person bei Contoso, Ltd. gesendet wurde, geben Sie im Feld Von oder An/Cc in der Exchange-Verwaltungskonsole den Wert @contoso.com ein. Sie können den Wert @contoso.com auch in den Parametern Senders oder Recipients in der Exchange-Verwaltungsshell angeben.

    • Nachrichtentypen Standardmäßig werden alle Nachrichtentypen durchsucht. Sie können die Suche einschränken, indem Sie spezifische Nachrichtentypen wie E-Mail, Kontakte, Dokumente, Journal, Besprechungen, Notizen und Lync-Inhalt auswählen.

Der folgende Screenshot zeigt ein Beispiel für eine Suchabfrage in der Exchange-Verwaltungskonsole.

Konfigurieren einer eDiscovery-Suchabfrage

Bei der Verwendung von Compliance-eDiscovery-Suchen müssen Sie außerdem Folgendes beachten:

  • Anlagen Bei einer In-Situ-eDiscovery-Suche können Anlagen mit Unterstützung der Exchange-Suche durchsucht werden. Weitere Informationen finden Sie unter Von der Exchange-Suche indizierte Dateiformate. In lokalen Bereitstellungen können Sie Unterstützung für weitere Dateitypen hinzufügen. Hierzu müssen Sie Suchfilter (auch als iFilter bezeichnet) für den Dateityp auf den Postfachservern installieren.

  • Nicht durchsuchbare Elemente   Bei nicht durchsuchbaren Elementen handelt es sich um Postfachelemente, die von der Exchange-Suche nicht indiziert werden können. Ursachen hierfür können nicht installierte Suchfilter für eine angefügte Datei, Filterfehler und verschlüsselte Nachrichten sein. Für eine erfolgreiche eDiscovery-Suche muss Ihre Organisation diese Elemente möglicherweise zur Überprüfung einschließen. Wenn Sie Suchergebnisse in ein Discoverypostfach kopieren oder in eine PST-Datei exportieren, können Sie nicht durchsuchbare Elemente einschließen. Weitere Informationen finden Sie unter Nicht durchsuchbare Elemente in Exchange eDiscovery.

  • Verschlüsselte Elemente   Da mittels S/MIME verschlüsselte Nachrichten nicht von der Exchange-Suche indiziert werden, können diese Nachrichten auch nicht bei einer In-Situ-eDiscovery-Suche durchsucht werden. Wenn Sie die Option auswählen, um nicht durchsuchbare Elemente in Suchergebnissen zu berücksichtigen, werden diese S/MIME-verschlüsselten Nachrichten in das Discoverypostfach kopiert.

  • Deduplizierung Wenn Sie Suchergebnisse in ein Discoverypostfach kopieren oder Suchergebnisse in einer PST-Datei exportieren, können Sie die Deduplizierung von Suchergebnissen aktivieren, um nur eine Instanz einer eindeutigen Nachricht in das Discoverypostfach zu kopieren. Eine Deduplizierung hat folgende Vorteile:

    • Niedrigere Speicheranforderungen und geringere Größe des Discoverypostfachs aufgrund der verringerten Anzahl von kopierten Nachrichten.

    • Geringere Arbeitslast für Discoverymanager, Rechtsberater und andere Personen, die die Ergebnisse der Suche durchsehen.

    • Geringere eDiscovery-Kosten, abhängig von der Anzahl von doppelten Elementen, die aus den Suchergebnissen ausgeschlossen werden.

  • IRM-geschützte Elemente Durch die Verwaltung von Informationsrechten (Information Rights Management, IRM) geschützte Nachrichten werden von der Exchange-Suche indiziert und daher in die Suchergebnisse eingeschlossen, wenn sie den Abfrageparametern entsprechen. Nachrichten müssen mithilfe eines AD RMS-Clusters (Active Directory Rights Management Service, Active Directory Rechteverwaltungsdienst) in derselben Active Directory-Gesamtstruktur wie der Postfachserver geschützt werden. Weitere Informationen finden Sie unter Verwaltung von Informationsrechten.

    importantWichtig:
    Wenn die Exchange-Suche eine IRM-geschützte Nachricht nicht indizieren kann, weil entweder ein Entschlüsselungsfehler aufgetreten oder IRM deaktiviert ist, wird die geschützte Nachricht nicht zur Liste der fehlerhaften Elemente hinzugefügt. Wenn Sie die Option auswählen, um nicht durchsuchbare Elemente in Suchergebnissen zu berücksichtigen, fehlen in den Ergebnissen möglicherweise IRM-geschützte Nachrichten, die nicht entschlüsselt werden konnten.
    Wenn Sie IRM-geschützte Nachrichten in eine Suche einbeziehen möchten, können Sie eine weitere Suche erstellen, um Nachrichten mit RPMSG-Anlagen zurückzugeben. Sie können die Abfragezeichenfolge attachment:rpmsg verwenden, um alle IRM-geschützten Nachrichten in den angegebenen Postfächern zu durchsuchen – unabhängig davon, ob diese erfolgreich indiziert wurden oder nicht. Dies kann in Szenarien, in denen für eine Suche Nachrichten (einschließlich von IRM-geschützten Nachrichten, die erfolgreich indiziert wurden) zurückgegeben werden, die den Suchkriterien entsprechen, zu doppelt vorhandenen Suchergebnissen führen. Bei der Suche werden keine IRM-geschützten Nachrichten zurückgegeben, die nicht indiziert werden konnten.
    Beim Durchführen einer zweiten Suche nach allen IRM-geschützten Nachrichten werden auch IRM-geschützte Nachrichten berücksichtigt, die erfolgreich indiziert und bei der ersten Suche zurückgegeben wurden. Darüber hinaus besteht die Möglichkeit, dass die von der zweiten Suche zurückgegebenen IRM-geschützten Nachrichten nicht den für die erste Suche verwendeten Suchkriterien (z. B. Schlüsselwörter) entsprechen.

Zurück zum Seitenanfang

Nach Abschluss einer Compliance-eDiscovery-Suche können Sie eine Schätzung der Suchergebnisse im Detailbereich der Exchange-Verwaltungskonsole anzeigen. Die Schätzwerte umfassen die Anzahl von zurückgegebenen Elementen und die Gesamtgröße dieser Elemente. Sie können auch eine Schlüsselwortstatistik anzeigen, die Details zur Anzahl von Elementen angibt, die für jedes Schlüsselwort in der Suchabfrage zurückgegeben wurden. Diese Informationen sind nützlich, um die Effektivität der Abfrage zu ermitteln. Wenn die Abfrage zu allgemein ist, wird möglicherweise ein zu großer Datensatz angezeigt, für dessen Durchsicht mehr Ressourcen benötigt und höhere eDiscovery-Kosten erzeugt werden. Wenn die Suche zu eingeschränkt ist, werden möglicherweise nur sehr wenige oder gar keine Datensätze angezeigt. Sie können die Schätzwerte und die Schlüsselwortstatistik dazu verwenden, die Abfrage gemäß Ihren Anforderungen zu optimieren.

noteHinweis:
In Exchange 2016 umfasst die Schlüsselwortstatistik auch statistische Werte zu Nicht-Schlüsselwort-Eigenschaften, wie z. B. Datumswerten, Nachrichtentypen und Absendern/Empfängern, die in einer Suchabfrage angegeben wurden.

Sie können auch eine Vorschau der Suchergebnisse anzeigen, um sicherzustellen, dass die zurückgegebenen Nachrichten die Inhalte umfassen, nach denen Sie suchen. Basierend auf der Vorschau können Sie die Abfrage bei Bedarf optimieren. Die eDiscovery-Suchvorschau zeigt die Anzahl von Nachrichten, die vom jedem durchsuchten Postfach zurückgegeben wurden, und gibt die Gesamtzahl an Nachrichten an, die von der Suche zurückgegeben wurden. Die Vorschau wird schnell generiert und erfordert nicht, dass Nachrichten in ein Discoverypostfach kopiert werden.

Wenn Sie mit der Menge und Qualität der Suchergebnisse zufrieden sind, können Sie sie in ein Discoverypostfach kopieren. Beim Kopieren von Nachrichten haben Sie folgende Möglichkeiten:

  • Nicht durchsuchbare Elemente einschließen Ausführliche Informationen zu den Elementtypen, die als nicht durchsuchbar eingestuft werden, finden Sie im vorherigen Abschnitt zu den Erwägungen bei der eDiscovery-Suche.

  • Deduplizierung aktivieren Mit der Deduplizierung wird der Datensatz verringert, indem nur eine Instanz eines eindeutigen Datensatzes eingeschlossen wird, wenn mehrere Instanzen in einem oder mehreren der durchsuchten Postfächer gefunden werden.

  • Vollständige Protokollierung aktivieren Standardmäßig wird beim Kopieren von Elementen nur die Basisprotokollierung aktiviert. Sie können die vollständige Protokollierung aktivieren, um Informationen zu allen bei der Suche zurückgegebenen Datensätzen einzuschließen.

  • Nach Abschluss des Kopiervorgangs E-Mail an mich senden Bei einer Compliance-eDiscovery-Suche können sehr viele Datensätze zurückgegeben werden. Das Kopieren der zurückgegebenen Nachrichten in ein Discoverypostfach kann sehr viel Zeit in Anspruch nehmen. Verwenden Sie diese Option, um per E-Mail benachrichtigt zu werden, wenn der Kopiervorgang abgeschlossen wurde. Für einen leichteren Zugriff bei Verwendung von Outlook im Web enthält die Benachrichtigung einen Link zum Speicherort in einem Discoverypostfach, in das die Nachrichten kopiert wurden.

Weitere Informationen finden Sie unter Kopieren der eDiscovery-Suchergebnisse in ein Discoverypostfach.

Zurück zum Seitenanfang

Nachdem die Suchergebnisse in ein Discoverypostfach kopiert wurden,können Sie sie in eine PST-Datei exportieren.

Exportieren von eDiscovery-Suchergebnissen in eine PST-Datei

Nach dem Export der Suchergebnisse in eine PST-Datei können Sie oder andere Benutzer sie in Outlook öffnen, um die in den Suchergebnissen zurückgegebenen Nachrichten zu lesen oder zu drucken. Weitere Informationen finden Sie unter Exportieren von eDiscovery-Suchergebnissen in eine PST-Datei.

Zurück zum Seitenanfang

Für In-Situ-eDiscovery-Suchen stehen zwei Arten von Protokollierung zur Verfügung.

  • Basisprotokollierung Die Basisprotokollierung ist standardmäßig für alle Compliance-eDiscovery-Suchen aktiviert. Sie schließt Informationen über die Suche und den Benutzer ein, der die Suche durchgeführt hat. Die mit der Basisprotokollierung erfassten Informationen werden im Nachrichtentext der E-Mail angezeigt, die an das Postfach gesendet wird, in dem die Suchergebnisse gespeichert werden. Die Nachricht befindet sich in dem Ordner, der zum Speichern der Suchergebnisse erstellt wurde.

  • Vollständige Protokollierung   Die vollständige Protokollierung umfasst Informationen über alle von der Suche zurückgegebenen Nachrichten. Diese Informationen werden in einer durch Trennzeichen getrennten Datei (CSV-Datei) bereitgestellt und an die E-Mail-Nachricht angefügt, welche die Informationen der Basisprotokollierung enthält. Der Name der Suche wird als Name der CSV-Datei verwendet. Diese Informationen können aus Gründen der Einhaltung von Vorschriften oder für Aufzeichnungszwecke erforderlich sein. Zur Aktivierung der vollständigen Protokollierung müssen Sie die Option Vollständige Protokollierung aktivieren auswählen, wenn Sie mithilfe des EAC Suchergebnisse in ein Discoverypostfach kopieren. Wenn Sie die Exchange-Verwaltungsshell verwenden, geben Sie die vollständige Protokollierung über den Parameter LogLevel an.

noteHinweis:
Beim Verwenden der Exchange-Verwaltungsshell zum Erstellen oder Ändern einer In-Situ-eDiscovery-Suche können Sie die Protokollierung auch deaktivieren.

Neben dem Suchprotokoll, das beim Kopieren von Suchergebnissen in ein Discoverypostfach erstellt wird, protokolliert Exchange auch von dem EAC oder der Exchange-Verwaltungsshell verwendete Cmdlets zum Erstellen, Ändern oder Entfernen von In-Situ-eDiscovery-Suchen. Diese Informationen werden in den Administratorüberwachungsprotokolleinträgen erfasst. Weitere Informationen finden Sie unter Administrator-Überwachungsprotokollierung in Exchange 2016.

Zurück zum Seitenanfang

Nachdem Sie eine Compliance-eDiscovery-Suche erstellt haben, können Sie die Suchergebnisse in ein Zielpostfach kopieren. Die Exchange-Verwaltungskonsole ermöglicht Ihnen die Auswahl eines Discoverypostfachs als Zielpostfach. Bei einem Discoverypostfach handelt es sich um einen speziellen Postfachtyp, mit dem die folgenden Funktionen bereitgestellt werden:

  • Einfache und sichere Zielpostfachauswahl   Wenn Sie das EAC zum Erstellen einer In-Situ-eDiscovery-Suche verwenden, stehen nur Discoverypostfächer als Repository zum Speichern der Suchergebnisse zur Verfügung. Dadurch wird vermieden, dass ein Discoverymanager versehentlich das Postfach eines anderen Benutzers oder ein ungesichertes Postfach auswählt, um darin potenziell vertrauliche Nachrichten zu speichern.

  • Große Postfachspeicherkontingente   Das Zielpostfach muss ausreichend Kapazität zum Speichern einer großen Menge an Nachrichtendaten bieten, die möglicherweise bei einer In-Situ-eDiscovery-Suche zurückgegeben werden. Discoverypostfächer verfügen standardmäßig über ein Postfachspeicherkontingent von 50 GB. Dieses Speicherkontingent kann nicht erhöht werden.

  • Standardmäßige hohe Sicherheit   Wie allen Postfachtypen ist auch einem Discoverypostfach ein Active Directory-Benutzerkonto zugeordnet. Dieses Konto ist jedoch standardmäßig deaktiviert. Nur explizit zum Zugreifen auf ein Discoverypostfach autorisierte Benutzer haben Zugriff auf dieses Postfach. Mitglieder der Rollengruppe "Discoveryverwaltung" erhalten standardmäßig Vollzugriff auf das Standarddiscoverypostfach. Für weitere Discoverypostfächer, die Sie ggf. erstellen, werden Benutzern keine Postfachzugriffsberechtigungen zugewiesen.

  • E-Mail-Zustellung deaktiviert   Benutzer können keine E-Mails an diese Postfächer senden. Die E-Mail-Zustellung an Discoverypostfächer ist aufgrund von Zustellungseinschränkungen unzulässig. Auf diese Weise wird die Integrität der Suchergebnisse gewährleistet, die in ein Discoverypostfach kopiert werden. Discoverypostfächer werden standardmäßig nicht in der globalen Adressliste Ihrer Organisation angezeigt.

Von Exchange 2016-Setup wird ein Discoverypostfach mit dem Anzeigenamen Discoverysuchpostfach erstellt. Mithilfe der Exchange-Verwaltungsshell können Sie weitere Discoverypostfächer erstellen. Standardmäßig werden den von Ihnen erstellten Discoverypostfächern keine Zugriffsberechtigungen gewährt. Sie können einem Discoverymanager Vollzugriff erteilen, damit ein Zugriff auf die in ein Discoverypostfach kopierten Nachrichten möglich ist. Weitere Informationen finden Sie unter Erstellen eines Discoverypostfachs.

Für die In-Situ-eDiscovery-Suche wird außerdem ein Systempostfach mit dem Anzeigenamen SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} zum Speichern von In-Situ-eDiscovery-Metadaten verwendet. Systempostfächer werden weder im EAC noch in Exchange-Adresslisten angezeigt. Bevor Sie eine Postfachdatenbank entfernen können, in der sich das Systempostfach für die In-Situ-eDiscovery-Suche befindet, müssen Sie das Postfach in eine andere Postfachdatenbank verschieben. Wenn das Postfach entfernt wird oder beschädigt ist, können die Discoverymanager erst wieder eDiscovery-Suchen durchführen, nachdem das Postfach neu erstellt wurde. Weitere Informationen finden Sie unter Neuerstellen des Discoverysystempostfachs.

Zurück zum Seitenanfang

Im Rahmen von eDiscovery-Anforderungen ist es möglicherweise erforderlich, dass Sie Postfachinhalte aufbewahren, bis ein Rechtsstreit oder eine Untersuchung beendet ist. Nachrichten, die vom Postfachbenutzer oder durch andere Prozesse gelöscht oder geändert wurden, müssen ebenfalls aufbewahrt werden. In Exchange 2016 wird dies über den Einsatz eines Compliance-Archivs erreicht. Weitere Informationen finden Sie unter In-Place Hold and Litigation Hold in Exchange 2016.

Sie können den Assistenten für In-Situ-eDiscovery und -Speicher dazu verwenden, um Elemente zu durchsuchen und diese so lange aufzubewahren, wie dies aufgrund von eDiscovery- oder anderen geschäftlichen Anforderungen erforderlich ist. Wenn Sie dieselbe Suche für In-Situ-eDiscovery und -Speicher verwenden, müssen Sie Folgendes beachten:

  • Sie können die Option nicht verwenden, um das Beweissicherungsverfahren für alle Postfächer in Ihrer Organisation zu platzieren. Sie müssen die gewünschten Postfächer oder Verteilergruppen auswählen. Sie können jedoch das Beweissicherungsverfahren für alle öffentlichen Ordner in Ihrer Organisation aktivieren.

  • Sie können eine Compliance-eDiscovery-Suche nicht entfernen, wenn die Suche auch für ein Compliance-Archiv verwendet wird. Sie müssen zuerst die Compliance-Archiv-Option in einer Suche deaktivieren und die Suche dann entfernen.

Zurück zum Seitenanfang

Wenn ein Mitarbeiter eine Organisation verlässt, wird das Mitarbeiterpostfach in der Regel deaktiviert oder entfernt. Wenn Sie ein Postfach deaktivieren, wird es vom Benutzerkonto getrennt, verbleibt jedoch für einen bestimmten Zeitraum (standardmäßig 30 Tage) weiterhin in der Postfachdatenbank. Der Assistent für verwaltete Ordner verarbeitet keine getrennten Postfächer, und Aufbewahrungsrichtlinien werden in diesem Zeitraum nicht angewendet. Sie können die Inhalte eines getrennten Postfachs nicht durchsuchen. Bei Ablauf des für die Postfachdatenbank konfigurierten Aufbewahrungszeitraums für gelöschte Postfächer wird das Postfach aus der Postfachdatenbank entfernt.

Wenn es in Ihrer Organisation erforderlich ist, Aufbewahrungseinstellungen auf Nachrichten von Mitarbeitern anzuwenden, die nicht länger in der Organisation tätig sind, oder wenn Sie ein Postfach eines ehemaligen Mitarbeiters für eine fortlaufende oder zukünftige eDiscovery-Suche beibehalten müssen, dürfen Sie das Postfach weder deaktivieren noch entfernen. Sie können die folgenden Schritte ausführen, um sicherzustellen, dass kein Zugriff auf das Postfach möglich ist und keine neuen Nachrichten an das Postfach übermittelt werden.

  1. Deaktivieren Sie das Active Directory-Benutzerkonto über das Snap-In Active Directory-Benutzer und -Computer oder andere Active Directory-Tools oder -Skripts für die Kontobereitstellung. Auf diese Weise wird eine Postfachanmeldung mit dem zugeordneten Benutzerkonto verhindert.

    importantWichtig:
    Benutzer mit Vollzugriff für das Postfach können weiterhin auf das Postfach zugreifen. Wenn Sie den Zugriff durch andere Personen verhindern möchten, müssen Sie den Vollzugriff auf das Postfach deaktivieren. Informationen zum Aufheben von Postfachberechtigungen für den Vollzugriff auf ein Postfach finden Sie unter Manage permissions for recipients.
  2. Legen Sie den Grenzwert für die Größe der Nachrichten, die über das Postfach gesendet oder empfangen werden können, auf einen sehr niedrigen Wert fest, beispielsweise auf 1 KB. Auf diese Weise wird verhindert, dass neue E-Mails über das Postfach gesendet oder empfangen werden. Weitere Informationen finden Sie unter Configure message size limits for a mailbox.

  3. Konfigurieren Sie Übermittlungseinschränkungen für das Postfach, sodass niemand Nachrichten an das Postfach senden kann. Weitere Informationen finden Sie unter Configure message delivery restrictions for a mailbox.

importantWichtig:
Sie müssen die oben genannten Schritte und weitere Prozesse zur Kontoverwaltung ausführen, die in Ihrer Organisation erforderlich sind, jedoch ohne das Postfach zu deaktivieren oder zu entfernen oder das zugeordnete Benutzerkonto zu entfernen.

Wenn Sie die Postfachaufbewahrung zur Verwaltung der Nachrichtenaufbewahrung oder für die Compliance-eDiscovery-Suche implementieren möchten, müssen Sie die Mitarbeiterfluktuation berücksichtigen. Die langfristige Aufbewahrung von Postfächern ehemaliger Mitarbeiter belegt zusätzlichen Speicherplatz auf den Postfachservern und vergrößert die Active Directory-Datenbank, da das zugeordnete Benutzerkonto für denselben Zeitraum beibehalten werden muss. Zusätzlich kann es erforderlich sein, die Prozesse für Kontobereitstellung und -verwaltung in Ihrer Organisation zu ändern.

Zurück zum Seitenanfang

Da In-Situ-eDiscovery Live-Daten durchsucht, ist es möglich, dass zwei Suchläufe derselben Inhaltsquellen mit derselben Suchabfrage unterschiedliche Ergebnisse zurückgeben. Die geschätzten Suchergebnisse können ebenfalls von den tatsächlichen Suchergebnissen abweichen, die in ein Discoverypostfach kopiert werden. Das passiert auch, wenn dieselbe Suche innerhalb kurzer Zeit wiederholt wird. Es gibt verschiedene Faktoren, die sich auf die Konsistenz der Suchergebnisse auswirken.

  • Die kontinuierliche Indizierung eingehender E-Mails, da die Exchange-Suche ständig die Postfachdatenbanken und die Transportpipelines Ihrer Organisation durchforstet und indiziert.

  • Löschen von E-Mails durch Benutzer oder automatisierte Prozesse.

  • Massenimport von großen Mengen an E-Mails, deren Indizierung Zeit erfordert.

Falls Sie unterschiedliche Ergebnisse für dieselbe Suche erhalten, erwägen Sie die Aufbewahrung von Postfächern, um den Inhalt beizubehalten, führen Sie die Suche außerhalb der Spitzenzeiten durch oder lassen Sie genügend Zeit nach dem Importieren großer Mengen an E-Mails.

Zurück zum Seitenanfang

Sie können einen benutzerdefinierten Verwaltungsbereich verwenden, damit bestimmte Personen oder Gruppen In-Situ-eDiscovery verwenden können, um eine Teilmenge der Postfächer in Ihrer Exchange 2016-Organisation zu durchsuchen. Beispielsweise können Sie einen Discovery-Manager nur die Postfächer der Benutzer an einem bestimmten Standort oder in einer bestimmten Abteilung durchsuchen lassen. Hierfür erstellen Sie einen benutzerdefinierten Verwaltungsbereich, in dem über einen benutzerdefinierten Empfängerfilter gesteuert wird, welche Postfächer durchsucht werden können. In Bereichen mit Empfängerfiltern werden Filter verwendet, um bestimmte Empfänger basierend auf dem Empfängertyp oder anderen Eigenschaften zu erfassen.

Bei Verwendung von Compliance-eDiscovery ist die einzige Eigenschaft eines Benutzerpostfachs, die Sie zum Erstellen eines Empfängerfilters für einen benutzerdefinierten Bereich verwenden können, die Mitgliedschaft in Verteilergruppen. Wenn Sie andere Eigenschaften verwenden, wie beispielsweise CustomAttributeN, Department oder PostalCode schlägt die Suche fehl, wenn sie von einem Mitglied der Rollengruppe ausgeführt wird, der der benutzerdefinierte Bereich zugewiesen ist. Weitere Informationen finden Sie unter Erstellen eines benutzerdefinierten Verwaltungsbereichs für die Compliance-eDiscovery-Suche.

Für die In-Situ-eDiscovery-Suche werden die von Exchange-Suche erstellten Inhaltsindizes verwendet. Exchange-Suche wurde umgestaltet und verwendet Microsoft Search Foundation eine umfassende Suchplattform mit einer wesentlich verbesserten Indizierungs- und Abfrageleistung und Suchfunktionalität. Da Microsoft Search Foundation auch von anderen Office-Produkten verwendet wird, SharePoint eingeschlossen, wird eine höhere Interoperabilität und eine ähnliche Abfragesyntax für diese Produkte bereitgestellt.

Dank eines einzigen Inhaltsindizierungsmoduls müssen keine zusätzlichen Ressourcen zum Durchforsten und Indizieren von Postfachdatenbanken für die Compliance-eDiscovery-Suche verwendet werden, wenn Mitarbeiter von IT-Abteilungen eDiscovery-Anforderungen erhalten.

Weitere Informationen zu den von der Exchange-Suche indizierten Dateiformaten finden Sie unter Von der Exchange-Suche indizierte Dateiformate.

Zurück zum Seitenanfang

In einer Hybridbereitstellung – dies ist eine Umgebung, in der einige Postfächer auf lokalen Postfachservern und andere Postfächer in einer cloudbasierten Organisation vorliegen – können Sie Compliance-eDiscovery-Suchen für cloudbasierte Postfächer mithilfe der Exchange-Verwaltungskonsole in Ihrer lokalen Organisation durchführen. Wenn Sie Nachrichten in ein Discoverypostfach kopieren möchten, müssen Sie ein lokales Discoverypostfach auswählen. Nachrichten aus cloudbasierten Postfächern, die in Suchergebnissen zurückgegeben werden, werden in das angegebene lokale Discoverypostfach kopiert. Weitere Informationen zu Hybridbereitstellungen finden Sie unter Hybridbereitstellungen in Exchange Server.

Um in einer Exchange 2016-Hybridorganisation eine erfolgreiche standortübergreifende eDiscovery-Suche durchführen zu können, müssen Sie die OAuth (Open Authorization)-Authentifizierung zwischen Ihrer lokalen Exchange-Organisation und der Exchange Online-Organisation einrichten, damit Sie In-Situ-eDiscovery zum Durchsuchen der lokalen und cloudbasierten Postfächer verwenden können. Die OAuth-Authentifizierung ist ein Server-zu-Server-Authentifizierungsprotokoll, das es Anwendungen ermöglicht, sich gegenseitig zu authentifizieren.

Die OAuth-Authentifizierung wird in den folgenden eDiscovery-Szenarien in einer Exchange-Hybridbereitstellung unterstützt:

  • Durchsuchen lokaler Postfächer, für die die Exchange Online-Archivierung für cloudbasierte Archivpostfächer verwendet wird

  • Durchsuchen lokaler und cloudbasierter Postfächer in derselben eDiscovery-Suche

Weitere Informationen zu den eDiscovery-Szenarien, für die die OAuth-Authentifizierung in einer Exchange-Hybridbereitstellung konfiguriert werden muss, finden Sie unter Verwenden der OAuth-Authentifizierung zur Unterstützung von eDiscovery in einer Exchange-Hybridbereitstellung. Schrittweise Anleitungen zum Konfigurieren der OAuth-Authentifizierung, sodass eDiscovery unterstützt wird, finden Sie unter Konfigurieren der OAuth-Authentifizierung zwischen Exchange- und Exchange Online-Organisationen.

Schrittweise Anleitungen zum Konfigurieren der OAuth-Authentifizierung zur Unterstützung von eDiscovery finden Sie unter Konfigurieren der OAuth-Authentifizierung zwischen Exchange- und Exchange Online-Organisationen.

Zurück zum Seitenanfang

Exchange 2016 ermöglicht eine Integration in SharePoint, wodurch Discoverymanager das eDiscovery Center in SharePoint zum Ausführen der folgenden Aufgaben nutzen können:

  • Durchsuchen und Archivieren von Inhalten von einem einzigen Standort aus Ein autorisierter Discoverymanager kann Inhalte aus SharePoint und Exchange, einschließlich von Lync-Inhalten wie z. B. in Exchange-Postfächern archivierte Chatunterhaltungen und freigegebene Besprechungsdokumente, durchsuchen und archivieren.

  • Fall-Verwaltung Das eDiscovery Center verwendet einen Ansatz zur Fall-Verwaltung mit eDiscovery, der das Erstellen von Fällen und Suchen sowie für jeden Fall das Aufbewahren von Inhalten über verschiedene Repositorys hinweg ermöglicht.

  • Export von Suchergebnissen Ein Discoverymanager kann das eDiscovery Center zum Exportieren von Suchergebnissen verwenden. In Suchergebnissen zurückgegebene Postfachinhalte werden in eine PST-Datei exportiert.

SharePoint verwendet für Inhaltsindizierung und -abfrage ebenfalls Microsoft Search Foundation. Unabhängig davon, ob ein Discoverymanager das EAC oder das eDiscovery Center zum Durchsuchen von Exchange-Inhalten verwendet, werden dieselben Postfachinhalte zurückgegeben.

Bevor Sie in lokalen Bereitstellungen das eDiscovery Center in SharePoint zum Durchsuchen von Exchange-Postfächern verwenden können, müssen Sie eine Vertrauensstellung zwischen den beiden Anwendungen einrichten. In Exchange und SharePoint wird dies mithilfe der OAuth-Authentifizierung erreicht. Ausführliche Informationen finden Sie unter Konfigurieren von Exchange für SharePoint eDiscovery Center. Über SharePoint ausgeführte eDiscovery-Suchen werden von Exchange mithilfe von RBAC autorisiert. Damit ein SharePoint-Benutzer eine eDiscovery-Suche in Exchange-Postfächern durchführen kann, müssen diesem delegierte Discoveryverwaltungsberechtigungen in Exchange zugewiesen werden. Zur Anzeige einer Vorschau von Postfachinhalten, die bei einer eDiscovery-Suche mit einem SharePoint eDiscovery Center zurückgegeben werden, muss der Discoverymanager über ein Postfach in derselben Exchange-Organisation verfügen.

Zurück zum Seitenanfang

In Exchange 2016 werden die verwendeten Ressourcen für In-Situ-eDiscovery-Suchen über Einschränkungsrichtlinien gesteuert.

Die Standardeinschränkungsrichtlinie enthält folgende Parameter.

 

Parameter Beschreibung Standardwert

DiscoveryMaxConcurrency

Die maximale Anzahl von Compliance-eDiscovery-Suchen, die ein Benutzer parallel ausführen kann.

2

DiscoveryMaxMailboxes

Die maximale Anzahl von Postfächern, die in einer einzelnen In-Situ-eDiscovery-Suche durchsucht werden können. Postfächer für öffentliche Ordner werden bei den Quellpostfachbeschränkungen auch mitgezählt.

10,0001

DiscoveryMaxStatsSearchMailboxes

Die maximale Anzahl von Postfächern, die in einer einzelnen Compliance-eDiscovery-Suche durchsucht werden können, die die Anzeige von Schlüsselwortstatistiken erlaubt.

100

noteHinweis:
Nach der Ausführung einer eDiscovery-Suchergebnisschätzung können Sie die Schlüsselwortstatistik anzeigen. Diese Statistik enthält detaillierte Informationen über die Anzahl der Elemente, die für jedes in der Suchanfrage verwendete Schlüsselwort zurückgegeben werden. Wenn mehr als 100 Quellpostfächer in die Suche einbezogen werden, wird beim Versuch, die Schlüsselwortstatistik anzuzeigen, eine Fehlermeldung zurückgegeben.

DiscoveryMaxKeywords

Die maximale Anzahl von Schlüsselwörtern, die in einer einzelnen Compliance-eDiscovery-Suche angegeben werden können.

500

DiscoveryMaxSearchResultsPageSize

Die maximale Anzahl von Elementen, die auf einer einzelnen Vorschauseite der Compliance-eDiscovery-Suchergebnisse angezeigt werden.

200

DiscoverySearchTimeoutPeriod

Die Zeitdauer in Minuten, während der eine Compliance-eDiscovery-Suche ausgeführt wird, bevor eine Zeitüberschreitung auftritt.

10 Minuten

noteHinweis:
1 Archivpostfächer werden bei den Quellpostfachbeschränkungen mitgezählt. Das bedeutet, dass Sie maximal 5000 Postfächer durchsuchen können, wenn das entsprechende Archivpostfach für alle 5000 Postfächer aktiviert ist.

Sie können die Standardwerte dieser Parameter gemäß den Anforderungen Ihrer Organisation ändern, oder Sie können zusätzliche Einschränkungsrichtlinien erstellen und diese Benutzern mit delegierten Discoveryverwaltungsberechtigungen zuweisen.

Zurück zum Seitenanfang

Die folgende Tabelle enthält Links zu Exchange 2016-Themen, in denen Sie weitere Informationen zu In-Situ-eDiscovery und dessen Verwaltung finden.

 

Thema Beschreibung

Zuweisen von eDiscovery-Berechtigungen in Exchange 2016

Erfahren Sie, wie Sie einem Benutzer im EAC (und durch Verwendung der entsprechenden Cmdlets) Zugriff auf In-Situ-eDiscovery zum Durchsuchen von Exchange-Postfächern gewähren.

Erstellen einer In-Situ-eDiscovery-Suche in Exchange 2016

Erfahren Sie, wie Sie eine Compliance-eDiscovery-Suche erstellen und wie Sie eDiscovery-Suchergebnisse schätzen und eine Vorschau davon anzeigen.

Kopieren der eDiscovery-Suchergebnisse in ein Discoverypostfach

Erfahren Sie, wie Sie die Ergebnisse einer eDiscovery-Suche in ein Discoverypostfach kopieren.

Exportieren von eDiscovery-Suchergebnissen in eine PST-Datei

Erfahren Sie, wie Sie die Ergebnisse einer eDiscovery-Suche in eine PST-Datei exportieren.

Message properties and search operators for In-Place eDiscovery in Exchange 2016

Erfahren Sie, welche E-Mail-Nachrichteneigenschaften mithilfe der Compliance-eDiscovery-Funktion durchsucht werden können. Diese Thema bietet Syntaxbeispiele für jede Eigenschaft, Informationen zu Suchoperatoren wie AND und OR sowie zu anderen Suchabfragemethoden, wie z. B. Verwenden doppelter Anführungszeichen (" ") und Präfixplatzhaltern.

Durchsuchen öffentlicher Ordner mithilfe von In-Situ-eDiscovery in Exchange 2016

Erfahren Sie, wie Sie In-Situ-eDiscovery verwenden, um öffentliche Ordner zu durchsuchen und für alle öffentlichen Ordner in Ihrer Organisation das Beweissicherungsverfahren zu aktivieren.

Zurück zum Seitenanfang

 
Anzeigen:
© 2016 Microsoft