Descoberta Eletrônica In-loco no Exchange Online
Importante
À medida que continuamos investindo de diferentes maneiras para pesquisar conteúdo de caixa de correio, estamos anunciando a aposentadoria de In-Place descoberta eletrônica no Centro de Administração do Exchange (EAC) em Exchange Online. A partir de 1º de julho de 2020, você não poderá criar novas pesquisas de descoberta eletrônica In-Place. Mas você ainda poderá gerenciar In-Place pesquisas de descoberta eletrônica no EAC ou usando o cmdlet Set-MailboxSearch no Exchange Online PowerShell. No entanto, a partir de 1º de outubro de 2020, você não poderá gerenciar In-Place pesquisas de descoberta eletrônica. Você só poderá removê-los no EAC ou usando o cmdlet Remove-MailboxSearch . O uso In-Place eDiscovery em Exchange Server implantação ainda terá suporte. Para obter mais informações sobre a aposentadoria de In-Place descoberta eletrônica em Exchange Online, consulte Aposentadoria de ferramentas de descoberta eletrônica herdadas.
Se sua organização seguir os requisitos legais de descoberta (relacionados à política organizacional, conformidade ou ações judiciais), In-Place descoberta eletrônica no Exchange Online o PowerShell poderá ajudá-lo a realizar pesquisas de descoberta de conteúdo relevante nas caixas de correio.
Importante
In-Place eDiscovery é um recurso poderoso que permite que um usuário com as permissões corretas obtenha potencialmente acesso a todos os registros de mensagens armazenados em toda a organização Exchange Online. É importante controlar e monitorar as atividades de descoberta, incluindo a adição de membros ao grupo da função de Descoberta Eletrônica, a atribuição da função de gerenciamento da Pesquisa de Caixa de Correio e a atribuição da permissão de acesso da caixa de correio para descobrir caixas de correio.
Como a Descoberta Eletrônica In-loco funciona
A Descoberta Eletrônica In-loco usa índices de conteúdo criados pela pesquisa do Exchange. O RBAC (Controle de Acesso Baseado em Função) fornece o grupo de funções do Discovery Management para delegar tarefas de descoberta a pessoas não técnicas, com não sendo necessário fornecer privilégios elevados que possam permitir que um usuário faça alterações operacionais na configuração do Exchange. O centro de administração do Exchange (EAC) fornece uma interface de pesquisa fácil de usar para pessoal não técnico tais como oficiais de conformidade e jurídicos, gerentes de registros e profissionais de recursos humanos (RH).
Usuários autorizados podem realizar uma pesquisa por Descoberta Eletrônica In-loco selecionando as caixas de correio e especificando os critérios de pesquisa, como palavras-chave, data de início e de término, endereços de remetentes e destinatários e tipos de mensagens. Após a pesquisa ser concluída, os usuários autorizados podem escolher uma das ações a seguir:
Estimar resultados da pesquisa: essa opção retorna uma estimativa do tamanho total e do número de itens que serão retornados pela pesquisa com base nos critérios especificados.
Visualizar os resultados da pesquisa: essa opção fornece uma visualização dos resultados. As mensagens retornadas de cada caixa de correio pesquisada são exibidas.
Copiar resultados da pesquisa: essa opção permite copiar mensagens para uma caixa de correio de descoberta.
Exportar resultados da pesquisa: depois que os resultados da pesquisa forem copiados para uma caixa de correio de descoberta, você poderá exportá-los para um arquivo PST.
Pesquisa do Exchange
A Descoberta Eletrônica In-loco usa índices de conteúdo criados pela pesquisa do Exchange. A Pesquisa do Exchange foi refeita para usar o Microsoft Search Foundation, uma plataforma robusta de pesquisa que vem com uma indexação e desempenho de consulta com melhorias significativas e funcionalidade de pesquisa aprimorada. Como o Microsoft Search Foundation também é usado por outros produtos do Office, incluindo o SharePoint 2013, ele oferece uma grande interoperabilidade e uma sintaxe semelhante para consulta para estes produtos.
Com um único mecanismo de indexação de conteúdo, nenhum recurso adicional é usado para rastrear e indexar bancos de dados de caixa de correio para In-Place descoberta eletrônica quando solicitações de descoberta eletrônica são recebidas pelos departamentos de TI.
In-Place eDiscovery usa a KQL (Linguagem de Consulta de Palavra-Chave), uma sintaxe de consulta semelhante à Sintaxe de Consulta Avançada (AQS) usada pela Pesquisa Instantânea no Microsoft Outlook e Outlook na Web. Usuários familiares com a KQL podem montar facilmente consultas de pesquisa poderosas para pesquisar índices de conteúdo.
Para obter mais informações sobre os formatos de arquivo indexados pela pesquisa do Exchange, consulte Formatos de arquivo indexados pela pesquisa do Exchange.
Grupo de função de Gerenciamento de Descoberta e funções de gerenciamento
Para que os usuários autorizados executem In-Place pesquisas de descoberta eletrônica no Exchange Online PowerShell, você deve adicioná-los ao grupo de funções Do Gerenciamento de Descobertas. Esse grupo de funções consiste em duas funções de gerenciamento: o Função de pesquisa de caixa de correio, que permite que um usuário realize uma pesquisa de Descoberta Eletrônica In-loco, e o Função de isenção legal, que permite a um usuário colocar uma caixa de correio sob Bloqueio In-loco ou retenção de litígio. Para obter mais informações sobre funções e grupos de funções, consulte Permissões em Exchange Online.
Por padrão, as permissões para realizar tarefas relacionadas à Descoberta Eletrônica In-loco não são atribuídas a qualquer usuário ou administrador do Exchange. Os administradores do Exchange que forem membros do grupo de função de Gerenciamento da Organização podem adicionar usuários ao grupo de função de Gerenciamento de Descoberta e criar grupos de função personalizados para limitar o escopo de gerentes de descoberta a um subconjunto de usuários. Para obter mais informações sobre como adicionar usuários ao grupo de funções de Gerenciamento de Descoberta, consulte Atribuir permissões de descoberta eletrônica no Exchange.
Importante
Se um usuário não tiver sido adicionado ao grupo de funções do Discovery Management ou não tiver atribuído a função Pesquisa da Caixa de Correio, os cmdlets de descoberta eletrônica In-Place não estarão disponíveis no Exchange Online PowerShell.
A auditoria das alterações de função RBAC, que está habilitada por padrão, garante que os registros adequados sejam mantidos para acompanhar a atribuição do grupo de funções do Gerenciamento de Descobertas. Você pode usar o relatório de grupo de funções de administrador para pesquisar alterações feitas a grupos de funções de administrador. Para obter mais informações, consulte Pesquisar as alterações do grupo de funções ou os logs de auditoria do administrador.
Escopos de gerenciamento personalizado para Descoberta Eletrônica In-loco
Você pode usar um escopo de gerenciamento personalizado para permitir que pessoas ou grupos específicos usem In-Place descoberta eletrônica para pesquisar um subconjunto de caixas de correio em sua organização Exchange Online. Por exemplo, convém permitir que um gerente de descoberta pesquise apenas as caixas de correio de usuários em um local ou departamento específico. Faça isso criando um escopo de gerenciamento personalizado que usa um filtro de destinatário personalizado para controlar quais caixas de correio podem ser pesquisadas. Escopos de filtro de destinatário usam filtros para direcionar a destinatários específicos com base no tipo de destinatário ou em outras propriedades de destinatário.
Para In-Place eDiscovery, a única propriedade em uma caixa de correio de usuário que você pode usar para criar um filtro de destinatário para um escopo personalizado é a associação do grupo de distribuição. Se você usar outras propriedades, como CustomAttributeN, Department ou PostalCode, a pesquisa falhará quando é executada por um membro do grupo de funções que atribuiu o escopo personalizado. Para obter mais informações, consulte Criar um escopo de gerenciamento personalizado para pesquisas de Descoberta Eletrônica In-loco.
Caixas de correio de descoberta
Após criar uma pesquisa de Descoberta Eletrônica In-loco, você pode copiar os resultados da pesquisa para uma caixa de correio de destino. O EAC permite que você selecione uma caixa de correio de descoberta como a caixa de correio de destino. Uma caixa de correio de descoberta é um tipo especial de caixa de correio que fornece as seguintes funcionalidades:
Seleção de caixa de correio de destino mais fácil e segura: quando você usa o EAC para copiar In-Place resultados da pesquisa de descoberta eletrônica, somente as caixas de correio de descoberta são disponibilizadas como um repositório para armazenar os resultados da pesquisa. Você não precisa vasculhar uma lista potencialmente grande de caixas de correio disponíveis na organização. Esse recurso também elimina a possibilidade de um gerenciador de descoberta selecionar acidentalmente a caixa de correio de outro usuário ou uma caixa de correio sem proteção na qual armazenar mensagens potencialmente confidenciais.
Cota de armazenamento de caixa de correio grande: a caixa de correio de destino deve ser capaz de armazenar uma grande quantidade de dados de mensagem que podem ser retornados por uma pesquisa de descoberta eletrônica In-Place. Por padrão, as caixas de correio de descoberta têm uma cota de armazenamento de 50 gigabytes (GB). Essa cota de armazenamento não pode ser aumentada.
Mais seguro por padrão: como todos os tipos de caixa de correio, uma caixa de correio de descoberta tem uma conta de usuário associada do Active Directory. Porém, essa conta é desabilitada por padrão. Apenas usuários explicitamente autorizados a acessar uma caixa de correio de descoberta terão acesso a ela. São atribuídas aos membros do grupo de função Gerenciamento de Descoberta permissões de Acesso Total à caixa de correio de descoberta padrão. Quaisquer caixas de correio de descoberta adicionais que você criar não terão suas permissões de acesso a caixa de correio atribuídas a nenhum usuário.
Email entrega desabilitada: embora visíveis nas listas de endereços do Exchange, os usuários não podem enviar emails para uma caixa de correio de descoberta. As restrições de entrega são usadas para proibir a entrega de email para as caixas de correio de descoberta. Essa proibição preserva a integridade dos resultados da pesquisa copiados para uma caixa de correio de descoberta.
A Instalação do Exchange cria uma caixa de correio de descoberta com o nome de exibição Discovery Search Mailbox. Você pode usar Exchange Online PowerShell para criar caixas de correio de descoberta adicionais. Por padrão, as caixas de correio de descoberta que você cria não terão nenhuma permissão de acesso atribuída à caixa de correio. Você pode atribuir permissões de Acesso Completo às caixas de correio de descoberta criadas para que um gerenciador de descobertas possa acessar mensagens copiadas para uma caixa de correio de descoberta. Para obter mais informações, consulte Criar uma caixa de correio de descoberta.
A Descoberta Eletrônica In-loco também usa uma caixa de correio do sistema com o nome de exibição SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} para reter metadados de Descoberta Eletrônica In-loco. As caixas de correio do sistema não estão visíveis no EAC ou nas listas de endereço do Exchange . Nas organizações locais, antes de remover um banco de dados da caixa de correio onde a caixa de correio do sistema de Descoberta Eletrônica In-loco está localizada, você deve mover a caixa de correio para outro banco de dados da caixa de correio. Se a caixa de correio for removida ou corrompida, os gerentes de descoberta não poderão executar pesquisas de descoberta eletrônica até que você recrie a caixa de correio. Para obter mais informações, consulte Excluir e recriar a caixa de correio de descoberta padrão no Exchange.
Estimate, preview, and copy search results
Depois que uma pesquisa de descoberta eletrônica In-Place for concluída, você poderá exibir as estimativas de resultado da pesquisa no painel Detalhes no EAC. A estimativa inclui o número de itens retornados e o tamanho total desses itens. Você também pode visualizar estatísticas de palavras-chave que exibem detalhes sobre o número de itens retornados por cada palavra-chave utilizada na consulta de pesquisa. Esta informação é útil para determinar a eficiência da consulta. Se a consulta for muito ampla, ela poderá retornar um conjunto de dados muito maior, o que poderia exigir mais recursos para examinar e poderia aumentar os custos de descoberta eletrônica. Se a consulta for restrita demais, ela pode reduzir significativamente o número de registros retornados ou não retornar registro nenhum. Você pode usar as estimativas e as estatísticas de palavra-chave para aperfeiçoar a consulta e atender seus requisitos.
Observação
As estatísticas de palavras-chave também incluem estatísticas para propriedades não palavra-chave, como datas, tipos de mensagem e remetentes/destinatários especificados em uma consulta de pesquisa.
Você também pode visualizar os resultados da pesquisa para garantir ainda mais que as mensagens retornadas contenham o conteúdo que você está procurando e para ajustar ainda mais a consulta, se necessário. A Visualização da Pesquisa de Descoberta Eletrônica exibe o número de mensagens retornadas de cada caixa de correio pesquisada e o número total de mensagens retornadas para pesquisa. A visualização é gerada rapidamente, sem exigir que você copie as mensagens para uma caixa de correio de descoberta.
Após você estar satisfeito com a quantidade e a qualidade dos resultados da pesquisa, você pode copiá-los para uma caixa de correio de descoberta. Ao copiar mensagens, você tem as seguintes opções:
Inclua itens inexequíveis: para obter detalhes sobre os tipos de itens considerados insaráveis, consulte as considerações de pesquisa de descoberta eletrônica na seção anterior.
Habilitar a eliminação de duplicação: a eliminação de duplicação reduz o conjunto de dados incluindo apenas uma única instância de um registro exclusivo se várias instâncias forem encontradas em uma ou mais caixas de correio pesquisadas.
Habilitar o log completo: por padrão, somente o log básico é habilitado ao copiar itens. Você pode selecionar Log completo para incluir informações sobre todos os registros retornados pela pesquisa.
Envie-me email quando a cópia for concluída: uma pesquisa de descoberta eletrônica In-Place pode potencialmente retornar um grande número de registros. Copiar as mensagens retornadas para uma caixa de correio de descoberta pode levar muito tempo. Use essa opção para obter uma notificação por email quando o processo de cópia tiver sido concluído. Para facilitar o acesso usando Outlook na Web, a notificação inclui um link para o local em uma caixa de correio de descoberta à qual as mensagens são copiadas.
Exportar resultados da pesquisa para um arquivo PST
Depois que os resultados da pesquisa são copiados para uma caixa de correio de descoberta, você poderá exportá-los para um arquivo PST.
Após os resultados da pesquisa serem exportados para um arquivo PST, você ou outros usuários podem abri-los no Outlook para analisar ou imprimir mensagens retornadas nos resultados da pesquisa. Para obter mais informações, consulte Exportar resultados de pesquisa de Descoberta Eletrônica para um arquivo PST.
Resultados diferentes da pesquisa
Como In-Place eDiscovery executa pesquisas em dados ao vivo, é possível que duas pesquisas das mesmas fontes de conteúdo e o uso da mesma consulta de pesquisa possam retornar resultados diferentes. Os resultados estimados da pesquisa também podem ser diferentes dos resultados reais da pesquisa que são copiados para uma caixa de correio de descoberta. Essa variação pode acontecer mesmo ao executar novamente a mesma pesquisa em um curto período de tempo. Existem vários fatores que podem afetar a consistência dos resultados da pesquisa;
A indexação contínua de email de entrada, porque o Exchange Search rastreia e indexa continuamente os bancos de dados de caixa de correio e o pipeline de transporte da sua organização.
Exclusão de emails por usuários ou processos automatizados.
Importação em massa de grandes quantidades de emails, o que leva tempo para indexar.
Se você experimentar resultados diferentes para a mesma pesquisa, considere colocar as caixas de correio em espera para preservar o conteúdo, executar pesquisas durante horários que não sejam de pico e permita o tempo necessário para indexação após a importação de grandes quantidades de email.
Registro em log para pesquisas de Descoberta Eletrônica In-loco
Há dois tipos de log disponíveis para pesquisas de Descoberta Eletrônica In-loco:
Log básico: o log básico é habilitado por padrão para todas as pesquisas de descoberta eletrônica In-Place. Ele inclui informações sobre a pesquisa e sobre quem a realizou. As informações capturadas pelo log básico são exibidas no corpo da mensagem de email que é enviada à caixa de correio onde os resultados da pesquisa são armazenados. A mensagem está localizada na pasta criada para armazenar os resultados da pesquisa.
Log completo: o log completo inclui informações sobre todas as mensagens retornadas pela pesquisa. Essas informações são fornecidas em um arquivo de valores separados por vírgulas (.csv) anexado à mensagem de email que contém as informações do log básico. O nome da pesquisa é usado no nome do arquivo .csv. Essa informação pode ser necessária para fins de manutenção de registros ou conformidade. Para habilitar o log completo, você deve selecionar a opção Habilitar log completo ao copiar os resultados da pesquisa para uma caixa de correio de descoberta no EAC. Se você estiver usando Exchange Online PowerShell, especifique a opção de log completo usando o parâmetro LogLevel.
Observação
Ao usar Exchange Online PowerShell para criar ou modificar uma pesquisa de descoberta eletrônica In-Place, você também pode desabilitar o registro em log.
Além do log de pesquisa incluído ao copiar os resultados da pesquisa para uma caixa de correio de descoberta, o Exchange também registra cmdlets usados pelo EAC ou Exchange Online PowerShell para criar, modificar ou remover pesquisas de descoberta eletrônica In-Place. Esta informação é registrada nas entradas de log de auditoria do administrador. Para obter mais informações, consulte Exibir o log de auditoria do administrador.
Descoberta Eletrônica In-loco e Retenção In-loco
Como parte das solicitações de Descoberta Eletrônica, você pode ter que preservar o conteúdo de caixas de correio até uma investigação ou ação legal seja concluída. Mensagens excluídas ou alteradas pelo usuário da caixa de correio ou por qualquer processo também devem ser preservadas. Essa preservação é realizada usando In-Place Hold. Confira mais informações em Bloqueio In-loco e Retenção Local.
Esteja ciente de que:
Você não pode usar a opção para pesquisar todas as caixas de correio. Você deve selecionar as caixas de correio ou grupos de distribuição.
Não é possível remover um In-Place pesquisa de descoberta eletrônica se a pesquisa também for usada para a opção Detenção In-Place . Primeiro, você deve desabilitar a opção Detenção In-Place em uma pesquisa e, em seguida, remover a pesquisa.
Preservar as caixas de correio para a Descoberta Eletrônica In-loco
Quando um funcionário deixa uma organização, é uma prática comum desabilitar ou remover a caixa de correio. Depois de desabilitar uma caixa de correio, ela é desconectada da conta de usuário, mas permanece na caixa de correio por um determinado período, 30 dias por padrão. O Assistente de Pasta Gerenciada não processa caixas de correio desconectadas e nenhuma política de retenção não é aplicada durante esse período. Você não pode pesquisar o conteúdo da pesquisa de uma caixa de correio desconectada. Ao final do período de retenção de caixa de correio excluída configurado no banco de dados de caixas de correio, a caixa é removida do banco de dados.
Importante
No Exchange Online, a Descoberta Eletrônica In-loco pode procurar conteúdo em caixas de correio inativas. Caixas de correio inativas são caixas de correio colocadas sob Bloqueio Local ou retenção de litígio e depois removidas. Caixas de correio inativas são preservadas se forem mantidas retidas. Quando uma caixa de correio inativa é removida do In-Place Hold ou quando a retenção de litígios é desabilitada, ela é excluída permanentemente. Para obter mais informações, consulte Criar e gerenciar caixas de correio inativas.
Em implantações locais, se sua organização exigir que as configurações de retenção sejam aplicadas a mensagens de funcionários que não estão mais na organização ou se você precisar manter a caixa de correio de um ex-funcionário para uma pesquisa de descoberta eletrônica contínua ou futura, não desabilite ou remova a caixa de correio. Você pode tomar as seguintes etapas para garantir que a caixa de correio não possa ser acessada e que nenhuma nova mensagem seja entregue a ela.
Desabilite a conta de usuário do Active Directory usando usuários do Active Directory & Computadores ou outras ferramentas ou scripts de provisionamento de conta ou do Active Directory. Essa desabilitação impede a entrada da caixa de correio usando a conta de usuário associada.
Importante
Os usuários com permissões de caixa de correio de Acesso Completo ainda poderão acessar a caixa de correio. Para impedir o acesso de outras pessoas, você deve remover as permissões de Acesso Completo da caixa de correio. Para obter informações sobre como remover permissões de caixa de correio de Acesso Completo em uma caixa de correio, consulte Gerenciar permissões para destinatários.
Defina o limite de tamanho de mensagem para mensagens que podem ser enviadas ou recebidas pelo usuário da caixa de correio para um valor muito baixo, por exemplo, 1KB. Esse limite impede a entrega de novas mensagens de e para a caixa de correio.
Configure restrições de entrega para a caixa de correio para que ninguém possa enviar mensagens para ela. Para obter mais informações, consulte Configurar restrições de entrega de mensagens para uma caixa de correio.
Importante
É necessário realizar as etapas acima em conjunto com qualquer outro processo de gerenciamento de conta exigido pela sua organização, mas sem desabilitar ou remover a caixa de correio ou remover a conta de usuário associada.
Ao planejar implementar a retenção de caixa de correio para o MRM (gerenciamento de retenção de mensagens) ou In-Place descoberta eletrônica, você deve levar em consideração a rotatividade de funcionários. A retenção de longo prazo de caixas de correio de ex-funcionários exigirá armazenamento adicional em servidores de caixa de correio e também resultará em um aumento no banco de dados do Active Directory porque exige que a conta de usuário associada seja mantida pela mesma duração. Além disso, também pode exigir alterações nos processos de provisionamento e gerenciamento de conta da sua organização.
Documentação de Descoberta Eletrônica In-loco
A tabela a seguir contém links para tópicos que o ajudarão a gerenciar e a saber mais sobre Descoberta Eletrônica In-loco
| Tópico | Descrição |
|---|---|
| Atribuir permissões de descoberta eletrônica no Exchange | Aprenda como conceder acesso a um usuário para usar a Descoberta Eletrônica In-loco no EAC a fim de pesquisar caixas de correio do Exchange. Adicionar um usuário ao grupo de funções de Gerenciamento de Descobertas também permite que a pessoa use o Centro de Descoberta Eletrônica no SharePoint 2013 e no SharePoint Online para pesquisar caixas de correio do Exchange. |
| Criar uma caixa de correio de descoberta | Saiba como usar Exchange Online PowerShell para criar uma caixa de correio de descoberta e atribuir permissões de acesso. |
| Propriedades da Mensagem e operadores de pesquisa para Descoberta Eletrônica In-loco | Saiba quais propriedades de mensagem de email podem ser pesquisadas usando a Descoberta eletrônica In-loco. O tópico fornece exemplos de sintaxe para cada propriedade, informações sobre operadores de busca, como E e OU e informações sobre outras técnicas de consulta de pesquisa usando aspas duplas (" ") e prefixos curinga. |
| Limites de pesquisa para In-Place descoberta eletrônica | Saiba In-Place limites de descoberta eletrônica em Exchange Online que ajudam a manter a integridade e a qualidade dos serviços de descoberta eletrônica para organizações do Microsoft 365 ou Office 365. |
| Exportar resultados de pesquisa de Descoberta Eletrônica para um arquivo PST | Aprenda como exportar os resultados de uma pesquisa de Descoberta Eletrônica para um arquivo PST. |
| Criar um escopo de gerenciamento personalizado para pesquisas de Descoberta Eletrônica In-loco | Saiba como usar os escopos de gerenciamento personalizados para limitar as caixas de correio que um gerente de descoberta pode pesquisar. |
| Pesquisar e excluir mensagens de email | Saiba como usar a Pesquisa de Conteúdo para pesquisar e, em seguida, excluir mensagens de email. |
| Reduzir o tamanho de uma caixa de correio de descoberta no Exchange | Use este processo para reduzir o tamanho de uma caixa de correio de descoberta com tamanho maior do que 50 GB. |
| Excluir e recriar a caixa de correio de descoberta padrão no Exchange | Aprenda como excluir, recriar e reatribuir permissões à caixa de correio de descoberta padrão. Use esse procedimento se essa caixa de correio tiver excedido o limite de 50 GB e se você não precisar dos resultados da pesquisa. |
Para obter mais informações sobre o eDiscovery no Microsoft Purview, consulte o Introdução à descoberta eletrônica (Standard).