Utiliser la recherche de conformité pour rechercher toutes les boîtes aux lettres dans Exchange Server

  • Article

La fonctionnalité Recherche de conformité dans Exchange Server vous permet d’effectuer des recherches dans toutes les boîtes aux lettres de votre organization. Contrairement à la découverte électronique inaltérable avec laquelle vous pouvez réaliser des recherches dans jusqu'à 10 000 boîtes aux lettres, il n'existe aucune limite pour le nombre de boîtes aux lettres cible dans une seule recherche. Pour les scénarios qui nécessitent que vous réalisiez des recherches à l'échelle de l'organisation, vous pouvez utiliser la cmdlet New-ComplianceSearch pour réaliser une recherche dans l'ensemble des boîtes aux lettres. Ensuite, vous pouvez utiliser les fonctionnalités de flux de travail de la découverte électronique inaltérable pour effectuer d'autres tâches relatives à la découverte électronique, telles que la conservation des boîtes aux lettres et l'exportation des résultats de la recherche. Par exemple, supposons que vous devez réaliser une recherche dans toutes les boîtes aux lettres pour identifier des responsables spécifiques impliqués dans une affaire judiciaire. Vous pouvez utiliser la cmdlet New-ComplianceSearch pour effectuer une recherche dans l'ensemble des boîtes aux lettres de votre organisation pour identifier les personnes impliquées dans cette affaire. Ensuite, vous pouvez utiliser cette liste de boîtes aux lettres de responsables en tant que boîtes aux lettres sources pour une découverte électronique inaltérable. À l'aide de la découverte électronique inaltérable, vous pouvez suspendre ces boîtes aux lettres source, copier les résultats de la recherche dans une boîte aux lettres de découverte et exporter les résultats de la recherche.

Cette rubrique inclut un script que vous pouvez exécuter pour créer une recherche de découverte électronique inaltérable à l'aide de la liste des boîtes aux lettres sources et de la requête de recherche, à partir d'une recherche de conformité qui est créée en exécutant la cmdlet New-ComplianceSearch.

Étape 1 : exécution de la cmdlet New-ComplianceSearch pour réaliser une recherche dans l'ensemble des boîtes aux lettres

La première étape consiste à utiliser le Environnement de ligne de commande Exchange Management Shell pour créer une recherche de conformité qui recherche toutes les boîtes aux lettres de votre organisation. Il n'existe aucune limite sur le nombre de boîtes aux lettres pour une recherche de conformité donnée. Spécifiez une requête de mot-clé appropriée (ou une requête pour des types d'informations sensibles) afin que la recherche renvoie uniquement les boîtes aux lettres source pertinentes pour votre enquête. Si nécessaire, affinez la requête de recherche pour limiter l'étendue des résultats de recherche et des boîtes aux lettres source renvoyés.

Remarque

Si la recherche de conformité source ne renvoie aucun résultat, aucune découverte électronique inaltérable n'est créée lorsque vous exécutez le script à l'étape 3. Il est possible que vous deviez modifier la requête de recherche, puis réexécuter la recherche de conformité pour obtenir des résultats.

Voici un exemple d'utilisation de la cmdlet New-ComplianceSearch pour effectuer une recherche dans l'ensemble des boîtes aux lettres de votre organisation. La requête de recherche renvoie tous les messages envoyés entre le 1er et le 31 octobre 2015 contenant l'expression « rapport financier » dans la ligne d'objet. La première commande crée la recherche et la deuxième commande l'exécute.

New-ComplianceSearch -Name "Search All-Financial Report" -ExchangeLocation all -ContentMatchQuery 'sent>=01/01/2015 AND sent<=06/30/2015 AND subject:"financial report"'

Start-ComplianceSearch -Identity "Search All-Financial Report"

Pour plus d'informations, consultez la rubrique New-ComplianceSearch.

Importante

Lorsque vous créez une recherche de conformité à l’aide de l’applet de commande New-ComplianceSearch , une recherche fantôme In-Place eDiscovery est créée (mais pas démarrée) et affichée sur la page In-Place eDiscovery & Hold dans le Centre d’administration Exchange (EAC). It's also returned by using the Get-MailboxSearch cmdlet. Cette recherche de boîte aux lettres est nommée ComplianceSearchName -shadow. We recommend that you delete the shadow In-Place eDiscovery search, and use the script in Step 3 to create the In-Place eDiscovery search. The functionality of creating a shadow search will be removed in a cumulative update for Exchange 2016.

Une recherche de conformité renvoie un maximum de 500 boîtes aux lettres sources qui contiennent les résultats de la recherche. S'il existe plus de 500 boîtes aux lettres comportant du contenu qui correspond à la requête de recherche, seules les 500 boîtes aux lettres avec le plus de résultats de recherche sont incluses dans la recherche de conformité que vous avez créée à l'étape précédente. Par conséquent, si plus de 500 boîtes aux lettres contiennent des résultats de recherche, certaines de ces boîtes aux lettres ne sont pas incluses dans la liste des boîtes aux lettres sources copiées dans la nouvelle recherche de découverte électronique inaltérable créée à l'étape 3.

Pour vous aider à créer une recherche de conformité avec un maximum de 500 boîtes aux lettres sources, réalisez la procédure suivante pour exécuter un script qui affiche le nombre de boîtes aux lettres sources (contenant des résultats de recherche) renvoyé par la recherche de conformité que vous avez créée à l'étape 1.

  1. Enregistrez le texte suivant dans un fichier de script Windows PowerShell à l'aide du suffixe de nom de fichier .ps1. Par exemple, vous pouvez l'enregistrer dans un fichier nommé SourceMailboxes.ps1.

    [CmdletBinding()]
Param(
     [Parameter(Mandatory=$True,Position=1)]
     [string]$SearchName
)
$search = Get-ComplianceSearch $SearchName
if ($search.Status -ne "Completed")
{
                "Please wait until the search finishes.";
                break;
}
$results = $search.SuccessResults;
if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
{
                "The compliance search " + $SearchName + " didn't return any useful results.";
                break;
}
$mailboxes = @();
$lines = $results -split '[\r\n]+';
foreach ($line in $lines)
{
    if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
    {
        $mailboxes += $matches[1];
    }
}
"Number of mailboxes that have search hits: " + $mailboxes.Count

  2. Dans le Environnement de ligne de commande Exchange Management Shell, accédez au dossier où se trouve le script que vous avez créé à l'étape précédente, puis exécutez le script. Par exemple :

    .\SourceMailboxes.ps1

  3. Lorsque vous êtes invité par le script, saisissez le nom de la recherche de conformité que vous avez créée à l'étape 1.

    Le script affiche le nombre de boîtes aux lettres source qui contiennent des résultats de recherche.

S'il existe plus de 500 boîtes aux lettres sources, essayez de créer au moins deux recherches de conformité. Par exemple, utilisez une recherche de conformité pour réaliser une recherche dans la moitié des boîtes aux lettres de votre organisation, puis utilisez une autre recherche de conformité pour rechercher dans la deuxième moitié des boîtes aux lettres de votre organisation. Vous pouvez également modifier les critères de recherche afin de réduire le nombre de boîtes aux lettres contenant des résultats de recherche. Par exemple, vous pouvez spécifier une plage de dates ou affiner la requête de mot clé.

L'étape suivante consiste à exécuter un script pour convertir une recherche de conformité existante en une recherche de découverte électronique inaltérable. Le script réalise les opérations suivantes :

  • Il vous invite à indiquer le nom de la recherche de conformité à convertir.

  • Il vérifie que l'exécution de la recherche de conformité est terminée. Si la recherche de conformité ne renvoie aucun résultat, la découverte électronique inaltérable n'est pas créée.

  • Il enregistre la liste des boîtes aux lettres source de la recherche de conformité contenant les résultats de recherche dans une variable.

  • Il crée une recherche de découverte électronique inaltérable, avec les propriétés suivantes. Notez que la nouvelle recherche n'est pas démarrée. Vous le démarrerez à l'étape 4.

    • Nom : le nom de la nouvelle recherche utilise le format suivant : <Nom de la recherche> de conformité_MBSearch1. Si vous réexécutez le script et utilisez la même recherche de conformité source, la recherche sera nommée <Nom de la recherche> de conformité_MBSearch2.

    • Boîtes aux lettres sources : toutes les boîtes aux lettres de la recherche de conformité qui contiennent les résultats de la recherche.

    • Requête de recherche : la nouvelle recherche utilise la requête de recherche à partir de la recherche de conformité. Si la recherche de conformité inclut tout le contenu (lorsque la requête de recherche est vide), la nouvelle recherche comporte également une requête de recherche vide et inclut tout le contenu trouvé dans les boîtes aux lettres source.

    • Recherche d’estimation uniquement : la nouvelle recherche est marquée comme une recherche d’estimation uniquement. Après le démarrage, elle ne copie pas les résultats de la recherche dans une boîte aux lettres de découverte.

  1. Enregistrez le texte suivant dans un fichier de script Windows PowerShell à l'aide du suffixe de nom de fichier .ps1. Par exemple, vous pouvez l'enregistrer dans un fichier nommé MBSearchFromComplianceSearch.ps1.

    [CmdletBinding()]
Param(
    [Parameter(Mandatory=$True,Position=1)]
    [string]$SearchName,
    [switch]$original,
    [switch]$restoreOriginal
)
$search = Get-ComplianceSearch $SearchName
if ($search.Status -ne "Completed")
{
   "Please wait until the search finishes";
   break;
}
$results = $search.SuccessResults;
if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
{
   "The compliance search " + $SearchName + " didn't return any useful results";
   "A mailbox search object wasn't created";
   break;
}
$mailboxes = @();
$lines = $results -split '[\r\n]+';
foreach ($line in $lines)
{
    if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
    {
        $mailboxes += $matches[1];
    }
}
$msPrefix = $SearchName + "_MBSearch";
$I = 1;
$mbSearches = Get-MailboxSearch;
while ($true)
{
    $found = $false;
    $mbsName = "$msPrefix$I";
    foreach ($mbs in $mbSearches)
    {
        if ($mbs.Name -eq $mbsName)
        {
            $found = $true;
            break;
        }
    }
    if (!$found)
    {
        break;
    }
    $I++;
}
$query = $search.KeywordQuery;
if ([string]::IsNullOrWhiteSpace($query))
{
    $query = $search.ContentMatchQuery;
}
if ([string]::IsNullOrWhiteSpace($query))
{
   New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -EstimateOnly;
}
else
{
   New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -SearchQuery $query -EstimateOnly;
}

  2. Dans le Environnement de ligne de commande Exchange Management Shell, accédez au dossier où se trouve le script que vous avez créé à l'étape précédente, puis exécutez le script. Par exemple :

    .\MBSearchFromComplianceSearch.ps1

  3. Lorsque le script vous y invite, saisissez le nom de la recherche de conformité que vous souhaitez convertir en recherche de découverte électronique inaltérable (par exemple, la recherche que vous avez créée à l'étape 1) et appuyez sur Entrée.

    Si le script réussit, une recherche de découverte électronique inaltérable est créée avec l'état NotStarted. Exécutez la commande Get-MailboxSearch <Name of compliance search>_MBSearch1 | FL pour afficher les propriétés de la nouvelle recherche.

Le script exécuté à l’étape 3 crée une recherche de découverte électronique inaltérable, mais ne la démarre pas. L'étape suivante consiste à lancer la recherche afin d'obtenir une estimation des résultats de recherche.

  1. Dans le Centre d’administration Exchange (EAC), accédez à Gestion de la conformité>Sur place eDiscovery & Conservation.

  2. Dans la vue de liste, sélectionnez la recherche de découverte électronique inaltérable que vous avez créée à l'étape 3.

  3. Cliquez sur Rechercher (icône Rechercher).) >Estimer les résultats de la recherche pour démarrer la recherche et renvoyer une estimation de la taille totale et du nombre d’éléments retournés par la recherche.

    Les estimations sont affichées dans le volet d'informations. Cliquez sur Actualiser (icône Actualiser)) pour mettre à jour les informations affichées dans le volet d’informations.

  4. Pour prévisualiser les résultats une fois la recherche terminée, cliquez sur Aperçu des résultats de recherche dans le volet d'informations.

Conseil

Vous pouvez également utiliser Exchange Management Shell pour démarrer la recherche In-Place eDiscovery . par exemple Start-MailboxSearch -Identity <Name of compliance search>_MBSearch1.

Après avoir créé et démarré la recherche de découverte électronique inaltérable créée par le script à l’étape 3, vous pouvez utiliser le flux de travail de découverte électronique inaltérable normal pour effectuer différentes actions de découverte électronique sur les résultats de recherche.

Créer une conservation inaltérable

  1. Dans le CENTRE d’administration Exchange, accédez à Gestion de la> conformitéeDiscovery sur place & conservation.

  2. Dans l’affichage liste, sélectionnez la In-Place recherche eDiscovery que vous avez créée à l’étape 3, puis cliquez sur Modifier (icône Modifier).

  3. Dans la page Conservation inaltérable, cochez la case Mettre en attente le contenu correspondant à la requête de recherche des boîtes aux lettres sélectionnées, puis sélectionnez l'une des options suivantes :

    • Conserver indéfiniment : choisissez cette option pour placer les éléments retournés par la recherche sur une conservation indéfinie. Les éléments en attente seront conservés jusqu'à ce que vous supprimiez la boîte aux lettres de la recherche ou que vous supprimiez la recherche.

    • Spécifier le nombre de jours de conservation des éléments par rapport à leur date de réception : choisissez cette option pour conserver les éléments pendant une période spécifique. La durée est calculée à compter de la date de réception ou de création de l'élément de boîte aux lettres.

  4. Cliquez sur Enregistrer pour créer la conservation inaltérable et redémarrer la recherche.

Copier les résultats de recherche

  1. Dans le CENTRE d’administration Exchange, accédez à Gestion de la> conformitéeDiscovery sur place & conservation.

  2. Dans la vue de liste, sélectionnez la recherche de découverte électronique inaltérable que vous avez créée à l'étape 3.

  3. Cliquez sur Rechercher (icône Rechercher), puis sur Copier les résultats de la recherche dans la liste déroulante.

  4. Dans Copier les résultats de recherche, choisissez parmi les options suivantes :

    • Inclure les éléments qui ne peuvent pas faire l’objet d’une recherche : sélectionnez cette zone de case activée pour inclure les éléments de boîte aux lettres qui n’ont pas pu faire l’objet d’une recherche (par exemple, les messages contenant des pièces jointes de types de fichiers qui n’ont pas pu être indexés par recherche Exchange).

    • Activer la déduplication : cochez cette case case activée pour exclure les messages en double. Une seule instance d'un message est copiée vers la boîte aux lettres de découverte.

    • Activer la journalisation complète : activez cette case activée zone pour inclure un journal complet dans les résultats de recherche.

    • M’envoyer un e-mail une fois la copie terminée : cochez cette case case activée pour recevoir une notification par e-mail lorsque la recherche est terminée.

    • Copier les résultats dans cette boîte aux lettres de découverte : cliquez sur Parcourir pour sélectionner la boîte aux lettres de découverte dans laquelle vous souhaitez copier les résultats de la recherche.

  5. Cliquez sur Copier pour lancer le processus de copie des résultats de la recherche dans la boîte aux lettres de découverte spécifiée.

  6. Cliquez sur Actualiser (icône Actualiser)) pour mettre à jour les informations sur la status de copie affichées dans le volet d’informations.

  7. Une fois que la copie est terminée, cliquez sur Ouvrir pour ouvrir la boîte aux lettres de découverte afin d’afficher les résultats de recherche.

Exporter les résultats de recherche

  1. Dans le CENTRE d’administration Exchange, accédez à Gestion de la> conformitéeDiscovery sur place & conservation.

  2. Dans l'affichage Liste, sélectionnez la recherche de découverte électronique inaltérable que vous avez créée à l'étape 3, puis cliquez sur Exporter vers un fichier PST.

  3. Dans l'affichage Liste, sélectionnez la recherche de découverte électronique locale dont vous souhaitez exporter les résultats, puis cliquez sur Exporter vers un fichier PST.

  4. Dans la fenêtre Outil d'exportation au format PST de la découverte électronique, effectuez les opérations suivantes :

    • Cliquez sur Parcourir pour spécifier l'emplacement où vous souhaitez télécharger le fichier PST.

    • Cochez la case Activer la déduplication pour exclure les messages en double. Une seule instance d'un message sera incluse dans le fichier PST.

    • Cochez la case Inclure les éléments impossibles à rechercher pour inclure les éléments de boîte aux lettres qu'il n'est pas possible de rechercher (par exemple, les messages avec des pièces jointes dans des types de fichiers qu'Exchange Search ne peut pas indexer). Les éléments impossibles à rechercher sont exportés dans un fichier PST distinct.

  5. Cliquez sur Démarrer pour exporter les résultats de recherche vers un fichier PST.

    Une fenêtre contenant des informations sur l'état du processus d'exportation s'affiche.