Créer une recherche eDiscovery In-Place dans Exchange Server

  • Article

Utilisez une recherche eDiscovery In-Place pour rechercher du contenu dans toutes les boîtes aux lettres et dossiers publics de votre Exchange Server organization. La découverte électronique inaltérable vous permet de rechercher les éléments supprimés définitivement et les versions originales des éléments modifiés des utilisateurs (dans le dossier Éléments récupérables) placés en conservation pour litige ou en conservation inaltérable. Pour plus d’informations sur ces recherches, consultez In-Place eDiscovery in Exchange Server.

Avant de commencer

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour connaître les autorisations dont vous avez besoin, consultez l’entrée « In-Place eDiscovery » dans la rubrique Stratégie de messagerie et autorisations de conformité dans Exchange Server rubrique.

  • Pour créer des recherches de découverte électronique, vous devez disposer d'une adresse SMTP dans l'organisation dans laquelle vous créez les recherches. Dans une organization hybride Exchange, votre boîte aux lettres Exchange locale doit avoir un compte d’utilisateur de messagerie correspondant dans votre microsoft 365 ou Office 365 organization, tel que le compte d’administrateur de locataire, ce compte doit se voir attribuer une licence Exchange Online. Pour plus d’informations sur les exigences de licence Microsoft 365 ou Office 365 pour les recherches eDiscovery sur place, consultez Exchange Online Description du service.

  • Exchange Server programme d’installation crée une boîte aux lettres de découverte appelée Boîte aux lettres de recherche de découverte pour copier les résultats de la recherche. Vous pouvez créer des boîtes aux lettres de découverte supplémentaires. Pour plus d'informations, consultez la rubrique Créer une boîte aux lettres de découverte.

  • Lorsque vous créez une recherche, les messages renvoyés dans les résultats de la recherche ne sont pas automatiquement copiés dans une boîte aux lettres de découverte. Une fois la recherche créée, vous pouvez utiliser le Centre d'administration Exchange (CAE) pour estimer et afficher un aperçu des résultats de la recherche, ou les copier dans une boîte aux lettres de découverte. Vous pouvez également exporter les résultats de la recherche vers un fichier .pst. Pour en savoir plus, consultez :

  • Pour en savoir plus sur l'ouverture de l'environnement de ligne de commande Exchange Management Shell dans votre organisation Exchange locale, consultez la rubrique Open the Exchange Management Shell.

Comme expliqué précédemment, pour créer des recherches de découverte électronique, vous devez vous connecter à un compte d’utilisateur qui dispose d’une adresse SMTP dans votre organisation.

  1. Accédez à Gestion de la conformité>Sur place eDiscovery & Conservation, puis cliquez sur Nouvelleicône Ajouter.

  2. Dans la fenêtre Découverte électronique et conservation inaltérables, sur la page Nom et description, tapez un nom pour la recherche, ajoutez une description facultative, puis cliquez sur Suivant.

  3. Sur la page Boîtes aux lettres et dossiers publics, sélectionnez les sources de contenu à rechercher :

    • Pour inclure toutes les boîtes aux lettres dans la recherche, cliquez sur Rechercher dans toutes les boîtes aux lettres. Si vous sélectionnez cette option, vous ne pourrez pas activer la conservation inaltérable de la recherche.

    • Pour exclure des boîtes aux lettres de la recherche (et rechercher uniquement dans les dossiers publics), cliquez sur Ne rechercher dans aucune boîte aux lettres.

    • Pour inclure des boîtes aux lettres spécifiques dans la recherche, cliquez sur Spécifier les boîtes aux lettres à rechercher, puis ajoutez les boîtes aux lettres dans lesquelles vous souhaitez rechercher.

    • Pour inclure les dossiers publics dans la recherche (ou placer les dossiers publics en conservation), cliquez sur Rechercher tous les dossiers publics. Pour plus d’informations sur la recherche de dossiers publics, consultez Rechercher et mettre en attente des dossiers publics à l’aide de In-Place eDiscovery.

    Utilisez In-Place eDiscovery pour rechercher et placer une conservation dans des dossiers publics.

  4. Dans la page Requête de recherche, complétez les champs suivants :

    • Inclure tout le contenu : sélectionnez cette option pour inclure tout le contenu dans les résultats de la recherche. Si vous sélectionnez cette option, vous ne pouvez pas spécifier de critères de recherche supplémentaires.

    • Filtrer en fonction des critères : sélectionnez cette option pour spécifier les critères de recherche, notamment les mots clés, les dates de début et de fin, les adresses de l’expéditeur et du destinataire et les types de messages. Pour plus d’informations sur les requêtes de recherche, consultez Propriétés de message et opérateurs de recherche pour In-Place eDiscovery dans Exchange Server.

      Configurer une requête de recherche eDiscovery.

      Remarque

      Les champs De : et À/Cc/Cci : sont connectés par un opérateur OR dans la requête de recherche qui est créée lorsque vous exécutez la recherche. Cela signifie que tous les messages envoyés ou reçus par les utilisateurs spécifiés (et correspondant aux autres critères de recherche) sont inclus dans les résultats de la recherche. Les dates sont connectées par un opérateur AND.

  5. Sur la page Paramètres de conservation inaltérable, vous pouvez cocher la case Mettre en conservation inaltérable le contenu correspondant à la requête de recherche des sources sélectionnées et sélectionner une des options suivantes pour placer des éléments en conservation inaltérable :

    • Conservation indéfinie : sélectionnez cette option pour placer les éléments retournés en attente indéfinie. Les éléments spécifiés seront conservés jusqu'à ce que vous supprimiez la source de contenu de la recherche ou que vous supprimiez la recherche.

    • Spécifier le nombre de jours pour mettre en attente les articles en fonction de leur date de réception Utilisez cette option pour bloquer les articles pendant une période donnée. Par exemple, vous pouvez utiliser cette option si votre organisation exige que tous les messages soient conservés pendant au moins sept ans. Vous pouvez utiliser une archive locale basée sur le temps parallèlement à une stratégie de rétention pour garantir que les éléments seront supprimés dans sept ans.

      Importante

      Lorsque des sources de contenu ou des éléments spécifiques sont placés en conservation inaltérable à des fins juridiques, il est généralement recommandé de conserver les éléments indéfiniment et de supprimer la conservation lorsque le jugement ou l'enquête est terminé.

  6. Cliquez sur Terminer pour enregistrer la recherche et renvoyer une estimation de la taille totale et du nombre d'éléments qui seront renvoyés par la recherche d'après les critères que vous spécifiez. Les estimations sont affichées dans le volet d'informations. Cliquez sur l’icône Actualiser pour mettre à jour les informations affichées dans le volet d’informations.

Vous trouverez ci-dessous quatre exemples d'utilisation de l'environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell pour lancer une recherche et placer le contenu des boîtes aux lettres et des dossiers publics en conservation. Pour en savoir plus sur la syntaxe et les paramètres d'utilisation de l'environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell pour créer des recherches de découverte électronique, consultez la rubrique New-MailboxSearch

Exemple 1

Cet exemple permet de créer la recherche Discovery-CaseId012 pour les éléments contenant les mots-clés Contoso et ProjectA. Les résultats de la recherche sont placés en conservation inaltérable pour une durée illimitée. La recherche inclut également les critères suivants :

  • Date de début : 1/01/2013

  • Date de fin : 31/12/2015

  • Boîte aux lettres source : DG-Finance

  • Boîte aux lettres cible : Boîte aux lettres de découverte

  • Types de messages : Email

  • Niveau de journalisation : Complet

Importante

Si vous ne spécifiez pas de requête de recherche, de plage de dates ou de type de message, tous les éléments présents dans les boîtes aux lettres ou les dossiers publics sources sont renvoyés dans les résultats de la recherche. Cela reviendrait à sélectionner Inclure tout le contenu sur la page Requête de recherche dans le Centre d'administration Exchange (CAE).

New-MailboxSearch "Discovery-CaseId012" -StartDate "01/01/2013" -EndDate "12/31/2015" -SourceMailboxes "DG-Finance" -TargetMailbox "Discovery Search Mailbox" -SearchQuery '"Contoso" AND "Project A"' -MessageTypes Email -IncludeUnsearchableItems -LogLevel Full -InPlaceHoldEnabled $true

Start-MailboxSearch "Discovery-CaseId012"

Après avoir utilisé Exchange Management Shell pour créer une recherche In-Place eDiscovery, vous devez démarrer la recherche à l’aide de l’applet de commande Start-MailboxSearch pour copier les messages dans la boîte aux lettres de découverte spécifiée dans le paramètre TargetMailbox . Pour plus d'informations, consultez la rubrique Copier les résultats de la recherche de découverte automatique dans une boîte aux lettres de découverte.

Remarque

Lorsque vous utilisez les paramètres StartDate et EndDate , vous devez utiliser le format de date mm/jj/aaaa, même si les paramètres de votre ordinateur local sont configurés pour utiliser un autre format de date, tel que jj/mm/aaaa. Par exemple, pour rechercher des messages envoyés entre le 1er avril 2015 et le 1er juillet 2015, vous devez utiliser 04/01/2015 et 07/01/2015 pour les dates de début et de fin.

Exemple 2

Cet exemple crée une recherche de découverte électronique inaltérable appelée HRCase090116 qui recherche les messages électroniques envoyés par Alex Darrow à Sara Davis en 2015.

New-MailboxSearch "HRCase090116" -StartDate "01/01/2015" -EndDate "12/31/2015" -SourceMailboxes alexd,sarad -SearchQuery 'From:alexd@contoso.com AND To:sarad@contoso.com' -MessageTypes Email -TargetMailbox "Discovery Search Mailbox" -IncludeUnsearchableItems -LogLevel Full

Start-MailboxSearch "HRCase090116"

Exemple 3

Cet exemple permet de créer une recherche d’estimation uniquement qui recherche dans tous les dossiers publics de l’organisation les éléments envoyés entre le 1er janvier 2015 et le 30 juin 2015, qui contiennent l’expression « patent infringement ». La recherche n'inclut aucune boîte aux lettres. La cmdlet Start-MailboxSearch permet de démarrer la recherche d'estimation uniquement.

New-MailboxSearch -Name "Northwind Subpoena-All PFs" -AllPublicFolderSources $true -AllSourceMailboxes $false -SearchQuery "patent infringement" -StartDate "01/01/2015" -EndDate "06/30/2015" -TargetMailbox "Discovery Search Mailbox" -EstimateOnly

Start-MailboxSearch "Northwind Subpoena-All PFs"

Exemple 4

Cet exemple recherche dans l'ensemble des boîtes aux lettres et des dossiers publics les contenus comportant les mots « price list » et « Contoso » qui ont été envoyés après le 1er janvier 2015. La cmdlet Start-MailboxSearch permet d'exécuter la recherche et de copier les résultats dans la boîte aux lettres de découverte.

New-MailboxSearch -Name "Contoso Litigation" -AllSourceMailboxes $true -AllPublicFolderSources $true -SearchQuery '"price list" AND "contoso"' -StartDate "01/01/2015" -TargetMailbox "Discovery Search Mailbox"

Start-MailboxSearch "Contoso Litigation"

Utiliser le CAE pour obtenir une estimation et un aperçu des résultats de la recherche

Après avoir créé une recherche de découverte électronique, vous pouvez utiliser le CAE pour obtenir une estimation et un aperçu des résultats de la recherche. Si vous avez créé une recherche à l'aide de la cmdlet New-MailboxSearch, vous pouvez utiliser l'environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell pour lancer la recherche et obtenir une estimation des résultats de cette recherche.

  1. Accédez à Gestion de la conformité>eDiscovery sur place & Conservation.

  2. Dans l'affichage Liste, sélectionnez la recherche, puis exécutez l'une des procédures suivantes :

    • Cliquez sur l’icône Rechercher.>Estimez les résultats de la recherche pour renvoyer une estimation de la taille totale et du nombre d’éléments qui seront retournés par la recherche en fonction des critères que vous avez spécifiés. Sélectionnez cette option pour relancer la recherche et obtenir une estimation.

      Les estimations de la recherche sont affichées dans le volet de détails. Cliquez sur l’icône Actualiser pour mettre à jour les informations affichées dans le volet d’informations.

    • Cliquez sur Aperçu des résultats de recherche dans le volet des détails pour prévisualiser les résultats une fois l'estimation de la recherche terminée. La sélection de cette option entraîne l'ouverture de la fenêtre Aperçu de la recherche de découverte. Tous les messages renvoyés par les boîtes aux lettres ou les dossiers publics qui ont fait l'objet d'une recherche sont affichés.

      Remarque

      Les boîtes aux lettres ou les dossiers publics qui ont fait l'objet d'une recherche sont répertoriés dans le volet de droite de la fenêtre Aperçu de la recherche de découverte. Pour chaque source, le nombre d'éléments renvoyés et la taille totale de ces éléments sont également affichés. Tous les éléments renvoyés par la recherche sont répertoriés dans le volet de droite et peuvent être triés par date la plus récente ou la plus ancienne. Vous ne pouvez pas afficher les éléments de chaque boîte aux lettres ou dossier public dans le volet de droite en cliquant sur une source dans le volet de gauche. Pour afficher les éléments renvoyés par une boîte aux lettres ou un dossier public spécifique, vous pouvez copier les résultats de la recherche et afficher les éléments dans la boîte aux lettres de découverte.

    Estimer ou afficher un aperçu des résultats de la recherche.

Utiliser l'environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell pour estimer les résultats de la recherche

Vous pouvez utiliser le commutateur EstimateOnly pour obtenir une estimation des résultats de la recherche et ne pas copier les résultats dans une boîte aux lettres de découverte. Vous devez lancer une recherche d'estimation uniquement avec la cmdlet Start-MailboxSearch. Vous pouvez ensuite récupérer les résultats de la recherche estimés avec la cmdlet Get-MailboxSearch. Vous ne pouvez pas utiliser le Environnement de ligne de commande Exchange Management Shell pour afficher un aperçu des messages renvoyés dans les résultats de la recherche.

Par exemple, vous devez exécuter les commandes suivantes pour créer une recherche, puis afficher une estimation des résultats de la recherche :

New-MailboxSearch "FY15 Q2 Financial Results" -StartDate "04/01/2015" -EndDate "06/30/2015" -SourceMailboxes "DG-Finance" -SearchQuery '"Financial" AND "Fabrikam"' -EstimateOnly -IncludeKeywordStatistics


Start-MailboxSearch "FY15 Q2 Financial Results"

Get-MailboxSearch "FY15 Q2 Financial Results"

Pour afficher des informations spécifiques sur les résultats de la recherche estimés à partir de l'exemple précédent, vous pouvez exécuter la commande suivante :

Get-MailboxSearch "FY15 Q2 Financial Results" | Format-List Name,Status,LastRunBy,LastStartTime,LastEndTime,Sources,SearchQuery,ResultSizeEstimate,ResultNumberEstimate,Errors,KeywordHits

Informations supplémentaires

  • Après avoir créé une recherche de découverte électronique, vous pouvez copier les résultats de cette recherche dans la boîte aux lettres de découverte et les exporter dans un fichier PST. Pour plus d'informations, voir :

  • Une fois que vous avez exécuté une estimation de recherche de découverte électronique (cela inclut les mots-clés dans les critères de recherche), vous pouvez consulter les statistiques de mots-clés en cliquant sur Afficher les statistiques sur les mots clés dans le volet Détails de la recherche sélectionnée. Ces statistiques présentent des informations sur le nombre d'éléments renvoyés pour chaque mot-clé utilisé dans la requête de recherche. Toutefois, si plus de 100 boîtes aux lettres source sont incluses dans la recherche, une erreur sera renvoyée si vous tentez d'afficher les statistiques sur les mots-clés. Pour afficher les statistiques sur les mots-clés, vous ne pouvez pas inclure plus de 100 boîtes aux lettres source dans la recherche.

  • Si vous utilisez Get-MailboxSearch dans Exchange Online pour récupérer des informations sur une recherche eDiscovery, vous devez spécifier le nom d’une recherche pour renvoyer une liste complète des propriétés de recherche ; par exemple, Get-MailboxSearch "Contoso Legal Case". Si vous exécutez la cmdlet Get-MailboxSearch sans utiliser les paramètres, les propriétés suivantes ne sont pas renvoyées :

    • SourceMailboxes

    • Sources

    • PublicFolderSources

    • SearchQuery

    • ResultsLink

    • PreviewResultsLink

    • Errors

      Ceci est dû au fait que de nombreuses ressources sont nécessaires pour renvoyer ces propriétés pour toutes les recherches de découverte électronique dans votre organisation.