Exhibición de documentos electrónicos local en Exchange Online
Importante
A medida que seguimos invirtiendo de diferentes maneras para buscar contenido de buzón de correo, anunciamos la retirada de In-Place eDiscovery en el Centro de administración de Exchange (EAC) en Exchange Online. A partir del 1 de julio de 2020, no podrá crear nuevas búsquedas In-Place eDiscovery. Pero seguirá siendo capaz de administrar In-Place búsquedas de exhibición de documentos electrónicos en el EAC o mediante el cmdlet Set-MailboxSearch en Exchange Online PowerShell. Sin embargo, a partir del 1 de octubre de 2020, no podrá administrar In-Place búsquedas de eDiscovery. Solo podrá quitarlos en el EAC o mediante el cmdlet Remove-MailboxSearch . Se seguirá admitiendo el uso de In-Place eDiscovery en Exchange Server implementación. Para obtener más información sobre la retirada de In-Place eDiscovery en Exchange Online, vea Retirada de herramientas de eDiscovery heredadas.
Si su organización cumple los requisitos de detección legales (relacionados con la directiva de la organización, el cumplimiento o las demandas), In-Place eDiscovery en Exchange Online PowerShell puede ayudarle a realizar búsquedas de detección de contenido relevante en buzones.
Importante
In-Place eDiscovery es una característica eficaz que permite a un usuario con los permisos correctos obtener potencialmente acceso a todos los registros de mensajería almacenados en toda la organización Exchange Online. Es importante controlar y supervisar las actividades de detección, como la incorporación de miembros al grupo de roles de administración de detección, la asignación del rol de administración de búsqueda de buzones y la asignación de permisos de acceso a los buzones para buzones de detección.
Cómo funciona la exhibición de documentos electrónicos local
La exhibición de documentos electrónicos local usa los índices de contenido creados por Exchange Search. La Access Control basada en roles (RBAC) proporciona el grupo de roles administración de detección para delegar tareas de detección al personal no técnico, sin necesidad de proporcionar privilegios elevados que permitan a un usuario realizar cambios operativos en la configuración de Exchange. El Centro de administración de Exchange (EAC) proporciona una interfaz de búsqueda fácil de usar para el personal no técnico, como funcionarios legales y de cumplimiento, administradores de registros y profesionales de recursos humanos (RR. HH.).
Para realizar una búsqueda de exhibición de documentos electrónicos local, los usuarios autorizados seleccionan los buzones y, después, especifican criterios clave como palabras clave, fechas de inicio y finalización, direcciones de remitentes y destinatarios, y tipos de mensaje. Una vez completada la búsqueda, los usuarios autorizados pueden seleccionar una de las siguientes acciones:
Estimar los resultados de la búsqueda: esta opción devuelve una estimación del tamaño total y el número de elementos que devolverá la búsqueda en función de los criterios especificados.
Vista previa de los resultados de la búsqueda: esta opción proporciona una vista previa de los resultados. Se muestran los mensajes devueltos de cada buzón en el que se realizó la búsqueda.
Copiar resultados de búsqueda: esta opción le permite copiar mensajes en un buzón de detección.
Exportar resultados de búsqueda: después de copiar los resultados de la búsqueda en un buzón de detección, puede exportarlos a un archivo PST.
Búsqueda de Exchange
La exhibición de documentos electrónicos local usa los índices de contenido creados por Exchange Search. Exchange Search se ha rediseñado para utilizar Microsoft Search Foundation, una eficaz plataforma de búsqueda con un rendimiento muy mejorado en la indización y la consulta, así como en la funcionalidad de búsqueda. Dado que otros productos de Office también usan Microsoft Search Foundation, incluido SharePoint 2013, esta característica ofrece una gran interoperabilidad y una sintaxis de consulta similar a estos productos.
Con un único motor de indexación de contenido, no se usan recursos adicionales para rastrear e indexar bases de datos de buzones de correo para In-Place eDiscovery cuando los departamentos de TI reciben solicitudes de eDiscovery.
In-Place eDiscovery usa el lenguaje de consulta de palabras clave (KQL), una sintaxis de consulta similar a la sintaxis de consulta avanzada (AQS) usada por Búsqueda instantánea en Microsoft Outlook y Outlook en la Web. Los usuarios muy familiarizados con KQL pueden construir fácilmente consultas de búsqueda eficaces para buscar índices de contenido.
Para obtener más información acerca de los formatos de archivo indizados por la búsqueda de Exchange, vea File Formats Indexed By Exchange Search.
Grupo de roles de administración de detección y roles de administración
Para que los usuarios autorizados realicen búsquedas In-Place eDiscovery en Exchange Online PowerShell, debe agregarlas al grupo de roles Administración de detección. Este grupo de roles consta de dos roles de administración: Rol Búsqueda entre buzones, que permite a los usuarios realizar búsquedas de exhibición de documentos electrónicos locales, y Rol Retención legal, que permite a los usuarios poner un buzón en retención local o en retención por juicio. Para obtener más información sobre roles y grupos de roles, vea Permisos en Exchange Online.
De forma predeterminada, los permisos para realizar tareas relacionadas con la exhibición de documentos electrónicos local no se asignan a ningún usuario ni a ningún administrador de Exchange. Los administradores de Exchange que son miembros del grupo de roles de administración de la organización pueden agregar usuarios al grupo de roles de administración de detección y crear así grupos de roles personalizados para limitar el ámbito de los administradores de detección respecto a un subconjunto de usuarios. Para obtener más información sobre cómo agregar usuarios al grupo de roles administración de detección, consulte Asignación de permisos de exhibición de documentos electrónicos en Exchange.
Importante
Si un usuario no se ha agregado al grupo de roles Administración de detección o no tiene asignado el rol De búsqueda de buzones, los cmdlets In-Place eDiscovery no están disponibles en Exchange Online PowerShell.
La auditoría de los cambios de rol de RBAC, que está habilitado de forma predeterminada, garantiza que se conserven los registros adecuados para realizar un seguimiento de la asignación del grupo de roles de Administración de detección. Puede usar el informe de grupo de roles de administrador para buscar los cambios realizados en los grupos de roles de administrador. Para obtener más información, vea Search the role group changes or administrator audit logs.
Ámbitos de administración personalizados para la exhibición de documentos electrónicos local
Puede usar un ámbito de administración personalizado para permitir que personas o grupos específicos usen In-Place eDiscovery para buscar en un subconjunto de buzones de correo de la organización de Exchange Online. Por ejemplo, quizás quiera permitir que un administrador de detección realice búsquedas solo en los buzones de los usuarios de un departamento o una ubicación en particular. Para ello, se crea un ámbito de administración personalizado que usa un filtro de destinatarios personalizado para controlar los buzones en los que se pueden realizar búsquedas. Los ámbitos de filtro de destinatario usan filtros para dirigirse a destinatarios específicos en función del tipo de destinatario o de otras propiedades del destinatario.
Para In-Place eDiscovery, la única propiedad de un buzón de usuario que puede usar para crear un filtro de destinatarios para un ámbito personalizado es la pertenencia a grupos de distribución. Si usa otras propiedades, como CustomAttributeN, Department o PostalCode, se produce un error en la búsqueda cuando la ejecuta un miembro del grupo de roles al que se asigna el ámbito personalizado. Para más información, vea Crear un ámbito de administración personalizado para las búsquedas de exhibición de documentos electrónicos local.
Buzones de detección
Después de crear una búsqueda de exhibición de documentos electrónicos local, puede copiar los resultados de la búsqueda en un buzón de destino. El EAC permite seleccionar un buzón de detección como buzón de destino. Un buzón de detección es un tipo especial de buzón que proporciona las siguientes funcionalidades:
Selección de buzón de destino más fácil y segura: cuando se usa el EAC para copiar In-Place resultados de búsqueda de eDiscovery, solo los buzones de detección están disponibles como repositorio en el que almacenar los resultados de búsqueda. No necesita revisar una posible lista extensa de buzones disponibles en la organización. Esta característica también elimina la posibilidad de que un administrador de detección seleccione accidentalmente el buzón de otro usuario o un buzón no seguro en el que almacenar mensajes potencialmente confidenciales.
Cuota de almacenamiento de buzones de correo de gran tamaño: el buzón de correo de destino debe poder almacenar una gran cantidad de datos de mensajes que puede devolver una búsqueda In-Place eDiscovery. De forma predeterminada, los buzones de detección tienen una cuota de almacenamiento de buzones de 50 gigabytes (GB). No se puede incrementar la cuota de almacenamiento.
Más seguro de forma predeterminada: al igual que todos los tipos de buzón de correo, un buzón de detección tiene una cuenta de usuario de Active Directory asociada. Sin embargo, esta cuenta está deshabilitada de forma predeterminada. Solamente los usuarios explícitamente autorizados para tener acceso al buzón de correo de detección tienen acceso al mismo. A los miembros del grupo de roles de administración de detección se les asignan permisos de acceso total al buzón de detección predeterminado. Los buzones de detección adicionales que crea no tienen permiso de acceso al buzón de correo asignado a ningún usuario.
Email entrega deshabilitada: aunque está visible en las listas de direcciones de Exchange, los usuarios no pueden enviar correos electrónicos a un buzón de detección. Las restricciones de entrega se usan para prohibir la entrega de correo electrónico a los buzones de correo de detección. Esta prohibición conserva la integridad de los resultados de búsqueda copiados en un buzón de detección.
El programa de instalación de Exchange crea un buzón de detección con el nombre para mostrar Buzón de búsqueda de detección. Puede usar Exchange Online PowerShell para crear buzones de detección adicionales. De forma predeterminada, los buzones de correo de detección que cree no tendrán permisos de acceso al buzón de correo asignado. Puede asignar permisos de acceso completo a los buzones de detección que creó para que un administrador de detección pueda acceder a los mensajes copiados en un buzón de detección. Para más información, vea Crear un buzón de correo de detección.
La exhibición de documentos electrónicos local también usa un buzón del sistema con el nombre para mostrar SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} para retener los metadatos de la exhibición de documentos electrónicos local. Los buzones del sistema no se pueden ver en el EAC ni en las listas de direcciones de Exchange. En las organizaciones locales, antes de quitar una base de datos de buzones de correo donde esté ubicado el buzón del sistema de exhibición de documentos electrónicos local, mueva el buzón a otra base de datos de buzones de correo. Si el buzón se quita o está dañado, los administradores de detección no pueden realizar búsquedas de exhibición de documentos electrónicos hasta que vuelva a crear el buzón. Para más información, vea Eliminar y volver a crear el buzón de correo de detección predeterminado en Exchange.
Estimate, preview, and copy search results
Una vez completada una búsqueda In-Place eDiscovery, puede ver las estimaciones de resultados de búsqueda en el panel Detalles del EAC. La estimación incluye el número de elementos devueltos y su tamaño total. También puede ver las estadísticas de palabras clave, que muestran detalles sobre el número de elementos devueltos para cada palabra clave que se usó en la consulta de búsqueda. Esta información resulta útil para determinar la efectividad de la consulta. Si la consulta es demasiado amplia, puede devolver un conjunto de datos mucho más grande, lo que podría requerir más recursos para revisar y podría aumentar los costos de exhibición de documentos electrónicos. Si la consulta es demasiado limitada, podría reducir considerablemente el número de registros devueltos o no devolver ninguno. Utilice las estimaciones y las estadísticas de palabras clave para ajustar la consulta a sus necesidades.
Nota:
Las estadísticas de palabras clave también incluyen estadísticas para propiedades que no son palabras clave, como fechas, tipos de mensaje y remitentes o destinatarios especificados en una consulta de búsqueda.
También puede obtener una vista previa de los resultados de la búsqueda para asegurarse de que los mensajes devueltos contienen el contenido que está buscando y para ajustar aún más la consulta si es necesario. La vista previa de búsquedas de exhibición de documentos electrónicos muestra el número de mensajes devueltos de cada buzón en el que se buscó y el número total de mensajes devueltos por la búsqueda. La vista previa se genera rápidamente, sin tener que copiar los mensajes a un buzón de detección.
Una vez que esté satisfecho con la cantidad y la calidad de los resultados de la búsqueda, cópielos a un buzón de detección. Al copiar los mensajes, tiene las siguientes opciones:
Incluir elementos que no se pueden buscar: para obtener más información sobre los tipos de elementos que se consideran que no se pueden buscar, consulte las consideraciones de búsqueda de eDiscovery de la sección anterior.
Habilitar desduplicación: la desduplicación reduce el conjunto de datos al incluir solo una única instancia de un registro único si se encuentran varias instancias en uno o varios buzones de correo buscados.
Habilitar el registro completo: de forma predeterminada, solo se habilita el registro básico al copiar elementos. Puede seleccionar Registro completo para incluir información sobre todos los registros devueltos por la búsqueda.
Envíeme correo cuando se complete la copia: una In-Place búsqueda de exhibición de documentos electrónicos puede devolver un gran número de registros. La copia de los mensajes devueltos a un buzón de detección puede llevar mucho tiempo. Use esta opción para obtener una notificación por correo electrónico cuando se haya completado el proceso de copia. Para facilitar el acceso mediante Outlook en la Web, la notificación incluye un vínculo a la ubicación de un buzón de detección en el que se copian los mensajes.
Exportar los resultados de la búsqueda a un archivo PST
Una vez copiados los resultados de la búsqueda a un buzón de detección, puede exportarlos a un archivo PST.
Después de exportar los resultados de la búsqueda a un archivo PST, usted u otros usuarios pueden abrirlos en Outlook para revisar o imprimir los mensajes devueltos en los resultados de búsqueda. Para obtener más información, vea Exportar los resultados de la búsqueda de exhibición de documentos electrónicos a un archivo PST.
Diferentes resultados de búsqueda
Dado que In-Place eDiscovery realiza búsquedas en datos en directo, es posible que dos búsquedas de los mismos orígenes de contenido y el uso de la misma consulta de búsqueda puedan devolver resultados diferentes. Los resultados de la búsqueda estimados también pueden ser diferentes de los resultados de la búsqueda reales que se copian a un buzón de detección. Esta varianza puede producirse incluso cuando se vuelve a ejecutar la misma búsqueda en un breve período de tiempo. Hay varios factores que pueden afectar a la coherencia de los resultados de búsqueda:
La indexación continua del correo electrónico entrante, ya que Búsqueda de Exchange rastrea e indexa continuamente las bases de datos de buzón de correo de la organización y la canalización de transporte.
Eliminación de correos electrónicos por parte de usuarios o procesos automatizados.
Importación masiva de grandes cantidades de correos electrónicos, lo que lleva tiempo indexar.
Si encuentra resultados distintos con la misma búsqueda, puede mantener los buzones en espera para conservar el contenido, ejecutar búsquedas fuera de las horas pico o dejar tiempo para la indización después de importar grandes cantidades de correo electrónico.
Registro de búsquedas de exhibición de documentos electrónicos local
Existen dos tipos de registro disponibles para las búsquedas de exhibición de documentos electrónicos local:
Registro básico: el registro básico está habilitado de forma predeterminada para todas las búsquedas In-Place eDiscovery. Incluye información acerca de la búsqueda y quién la realizó. La información que captura el registro básico se muestra en el mensaje de correo electrónico que se envía al buzón de correo en el que se almacenan los resultados de la búsqueda. El mensaje se encuentra en la carpeta que se crea para almacenar los resultados de la búsqueda.
Registro completo: el registro completo incluye información sobre todos los mensajes devueltos por la búsqueda. Esta información se proporciona en un archivo con formato de valores separados por comas (.csv) que se adjunta al mensaje de correo electrónico que contiene la información del registro básico. El nombre de la búsqueda se usa para el nombre del archivo .csv. Esta información puede ser necesaria para el cumplimiento de normas o la conservación de un registro. Para habilitar el registro completo, seleccione la opción Habilitar el registro completo al copiar los resultados de búsqueda a un buzón de correo de detección en el EAC. Si usa Exchange Online PowerShell, especifique la opción de registro completo mediante el parámetro LogLevel.
Nota:
Al usar Exchange Online PowerShell para crear o modificar una búsqueda In-Place eDiscovery, también puede deshabilitar el registro.
Además del registro de búsqueda que se incluye al copiar los resultados de búsqueda en un buzón de detección, Exchange también registra los cmdlets usados por el EAC o Exchange Online PowerShell para crear, modificar o quitar In-Place búsquedas de eDiscovery. Esta información se registra en las entradas del registro de auditoría de administración. Para más información, vea Ver el registro de auditoría del administrador.
Exhibición de documentos electrónicos local y retención local
Como parte de las solicitudes de exhibición de documentos electrónicos, es posible que tenga que conservar el contenido de los buzones de correo hasta que finalice un proceso judicial o una investigación. También de se deben conservar los mensajes eliminados o modificados por el usuario o por otros procesos. Esta conservación se realiza mediante In-Place suspensión. Para obtener más información, vea Conservación local y retención por juicio.
Tenga en cuenta que:
No puede usar la opción para buscar en todos los buzones. Debe seleccionar los buzones de correo o grupos de distribución.
No se puede quitar una búsqueda In-Place eDiscovery si la búsqueda también se usa para la opción Detención local. Primero debe deshabilitar la opción Detención local en una búsqueda y, a continuación, quitar la búsqueda.
Conservar buzones la para exhibición de documentos electrónicos local
Cuando un empleado deja una empresa, es habitual inhabilitar o eliminar su buzón. Después de deshabilitar un buzón de correo, se desconecta de la cuenta de usuario, pero permanece en el buzón durante un período determinado, 30 días de forma predeterminada. El Asistente para carpetas administradas no procesa buzones desconectados y las directivas de retención no se aplican durante este período. No se puede buscar el contenido de un buzón desconectado. Al llegar al período de retención de buzones eliminados configurado para la base de datos de buzones de correo, el buzón se purga de la base de datos de buzones de correo.
Importante
En Exchange Online, la exhibición de documentos electrónicos local puede buscar contenido en buzones inactivos. Los buzones inactivos son buzones de correo que se han puesto en retención local o en retención por juicio. Los buzones inactivos se conservan mientras se hayan puesto en retención. Cuando se quita un buzón inactivo de In-Place suspensión o cuando se deshabilita la suspensión por juicio, se elimina de forma permanente. Para obtener más información, consulte Creación y administración de buzones inactivos.
En las implementaciones locales, si su organización requiere que la configuración de retención se aplique a los mensajes de los empleados que ya no están en la organización o si es posible que necesite conservar el buzón de un ex empleado para una búsqueda de exhibición de documentos electrónicos en curso o futura, no deshabilite ni quite el buzón. Puede realizar los pasos siguientes para asegurarse de que no se puede acceder al buzón de correo y de que no se le entregan nuevos mensajes.
Deshabilite la cuenta de usuario de Active Directory mediante Usuarios de Active Directory & Equipos u otras herramientas o scripts de aprovisionamiento de cuentas o Active Directory. Esta deshabilitación impide que el buzón inicie sesión con la cuenta de usuario asociada.
Importante
Los usuarios con permisos de buzón de acceso completo seguirán teniendo acceso al buzón. Para evitar el acceso de otros usuarios, debe quitar sus permisos de acceso completo del buzón. Para obtener información sobre cómo quitar permisos de buzón de acceso completo en un buzón de correo, vea Administrar permisos para destinatarios.
Establezca el límite de tamaño de los mensajes que el usuario del buzón puede enviar o recibir en un valor muy bajo; por ejemplo, 1 KB. Este límite impide la entrega de correo nuevo hacia y desde el buzón.
Configure las restricciones de entrega para el buzón de correo para que nadie pueda enviarle mensajes. Para obtener más información, consulte Configurar restricciones de entrega de mensajes para un buzón de correo.
Importante
Ejecute estos pasos junto con cualquier otro proceso de administración de cuentas que su organización exija, sin deshabilitar ni eliminar el buzón o la cuenta de usuario asociada.
Cuando prevea implementar una retención de buzón para una administración de retención de mensajes (MRM), debe tener en cuenta el flujo de mensajes del empleado. Una retención a largo plazo de los buzones de antiguos empleados precisará un almacenamiento adicional en los servidores de buzones de correo, lo que también producirá un incremento de la base de datos de Active Directory, ya que la cuenta del usuario asociado también deberá retenerse por un mismo período de tiempo. Asimismo, será preciso efectuar cambios en los procesos de administración y de aprovisionamiento de cuentas de su organización.
Documentación de exhibición de documentos electrónicos local
La tabla siguiente contiene vínculos a temas que le ayudarán a obtener información acerca de la exhibición de documentos electrónicos local y a administrarla.
| Tema | Descripción |
|---|---|
| Asignar permisos de exhibición de documentos electrónicos en Exchange | Obtenga información acerca de cómo dar a un usuario acceso para usar la exhibición de documentos electrónicos local en el EAC para buscar en los buzones de Exchange. Agregar un usuario al grupo de roles de administración de la detección también permite que la persona use el Centro de exhibición de documentos electrónicos en SharePoint 2013 y SharePoint Online para buscar en los buzones de Exchange. |
| Crear un buzón de correo de detección | Obtenga información sobre cómo usar Exchange Online PowerShell para crear un buzón de detección y asignar permisos de acceso. |
| Propiedades de mensajes y operadores de búsqueda para la exhibición de documentos electrónicos local | Obtenga más información sobre qué propiedades de mensajes de correo electrónico se pueden buscar mediante la exhibición de documentos electrónicos local. El tema proporciona ejemplos de sintaxis para cada propiedad, información sobre operadores de búsqueda como AND y OR, e información sobre otras técnicas de consultas de búsqueda como el uso de comillas dobles (" ") y caracteres comodín de prefijo. |
| Límites de búsqueda de In-Place eDiscovery | Obtenga información sobre In-Place límites de exhibición de documentos electrónicos en Exchange Online que ayudan a mantener el estado y la calidad de los servicios de exhibición de documentos electrónicos para las organizaciones de Microsoft 365 o Office 365. |
| Exportar los resultados de la búsqueda de exhibición de documentos electrónicos a un archivo PST | Obtenga información acerca de cómo exportar los resultados de una búsqueda de exhibición de documentos electrónicos a un archivo PST. |
| Crear un ámbito de administración personalizado para las búsquedas de exhibición de documentos electrónicos local | Aprenda a usar ámbitos de administración personalizados para limitar los buzones en los que puede buscar un administrador de detección. |
| Búsqueda y eliminación de mensajes de correo electrónico | Obtenga información sobre cómo usar búsqueda de contenido para buscar y eliminar mensajes de correo electrónico. |
| Reducir el tamaño de un buzón de correo de detección en Exchange | Use este proceso para reducir el tamaño de un buzón de correo de detección que supere los 50 GB. |
| Eliminar y volver a crear el buzón de correo de detección predeterminado en Exchange | Aprenda a eliminar el buzón de detección predeterminado, a volver a crearlo y, a continuación, a volver a asignarle permisos. Use este procedimiento si este buzón ha superado el límite de 50 GB y si no necesita los resultados de la búsqueda. |
Para obtener más información sobre eDiscovery en Microsoft Purview, vea Introducción a eDiscovery (Estándar).