In-Place обнаружение электронных данных в Exchange Server

Если ваша организация придерживается юридических требований обнаружения (связанных с политикой организации, соответствием требованиям или судебными исками), In-Place обнаружение электронных данных в Exchange Server может помочь вам выполнить поиск соответствующего содержимого в почтовых ящиках. Вы также можете использовать функцию обнаружения электронных данных на месте в гибридной среде Exchange для поиска в локальных и облачных почтовых ящиках с использованием одной и той же операции поиска.

Принципы работы обнаружения электронных данных на месте

В электронном обнаружении на месте используются индексы содержимого, созданные службой поиска Exchange. Функция управления доступом на основе ролей (RBAC) позволяет группе ролей Управление обнаружением делегировать задачи обнаружения нетехническому персоналу без необходимости предоставлять пользователям расширенные права, с помощью которых они могут вносить изменения в конфигурацию Exchange. Центр администрирования Exchange (EAC) предоставляет простой в использовании интерфейс поиска для нетехнических сотрудников, таких как юристы и сотрудники по соответствию требованиям, менеджеры по записям и специалисты по персоналу.

Авторизованные пользователи могут выполнять обнаружение электронных данных на месте, выбирая почтовые ящики и указывая условия поиска, такие как ключевые слова, начальная и конечная дата, адреса отправителей и получателей, а также типы сообщений. После завершения поиска авторизованные пользователи могут выбрать одно из следующих действий:

• Оценка результатов поиска . Этот параметр возвращает оценку общего размера и количества элементов, которые будут возвращены поиском на основе указанных условий.

• Предварительный просмотр результатов поиска . Этот параметр предоставляет предварительный просмотр результатов. Отображаются сообщения, возвращенные из каждого включенного в поиск почтового ящика.

• Копировать результаты поиска . Этот параметр позволяет копировать сообщения в почтовый ящик обнаружения.

• Экспорт результатов поиска . После копирования результатов поиска в почтовый ящик обнаружения их можно экспортировать в PST-файл.

In-Place eDiscovery использует язык запросов по ключевым словам (KQL). Пользователи, знакомые с KQL, могут создавать мощные поисковые запросы для поиска индексов контента. Дополнительные сведения о KQL см. в справочнике по синтаксису языка запросов ключевых слов.

In-Place разрешения на обнаружение электронных данных

Чтобы авторизованные пользователи выполняли поиск In-Place обнаружения электронных данных, необходимо добавить их в группу ролей Управление обнаружением . Эта группа ролей состоит из двух ролей управления: роли поиска почтовых ящиков, которая позволяет пользователю выполнять поиск In-Place обнаружения электронных данных, и роли удержания по юридическим причинам, которая позволяет пользователю разместить почтовый ящик в In-Place удержание и удержание для судебного разбирательства.

По умолчанию разрешения для выполнения задач, связанных с электронным обнаружением на месте, не назначаются пользователям или администраторам Exchange. Администраторы Exchange, входящие в группу роли управления организацией, могут добавлять пользователей в группу роли управления обнаружением и создавать настраиваемые группы ролей для сужения области менеджера по обнаружению до подмножества пользователей. Дополнительные сведения о добавлении пользователей в группу ролей "Управление обнаружением" см. в статье Назначение разрешений на обнаружение электронных данных в Exchange Server.

Аудит изменений в роли RBAC, включенный по умолчанию, обеспечивает ведение соответствующих записей для отслеживания назначений группы ролей управления обнаружением. Отчет о группе ролей администраторов используется для поиска изменений в группах ролей администраторов. Подробнее см. в разделе Search the role group changes or administrator audit logs.

Использование обнаружения электронных данных на месте

Поиск методом обнаружения электронных данных на месте могут выполнять пользователи, которые были добавлены в группу ролей управления обнаружением. Поиск можно выполнить с помощью веб-интерфейса в EAC. Он облегчает нетехническому персоналу (делопроизводителям, должностным лицам, отвечающим за соблюдение нормативных требований, юристам или сотрудникам отдела кадров) выполнение обнаружение электронных данных на месте. Для выполнения поиска также можно использовать командную консоль Exchange. Дополнительные сведения см. в статье Создание In-Place поиска eDiscovery в Exchange Server

Мастер & удержания электронных данных на месте в EAC позволяет создать In-Place поиска eDiscovery, а также использовать In-Place удержание для размещения результатов поиска на удержании. When you create an In-Place eDiscovery search, a search object is created in the In-Place eDiscovery system mailbox. This object can be manipulated to start, stop, modify, and remove the search. After you create the search, you can choose to get an estimate of search results, which includes keyword statistics that help you determine query effectiveness. You can also do a live preview of items returned in the search, allowing you to view message content, the number of messages returned from each source mailbox and the total number of messages. You can use this information to further fine-tune your query if required.

Если результаты поиска соответствуют требованиям, вы можете скопировать их в почтовый ящик найденных сообщений. Чтобы экспортировать почтовый ящик найденных сообщений или часть его содержимого в PST-файл, можно воспользоваться Outlook или EAC.

При создании поиска методом обнаружения электронных данных на месте необходимо указать следующие параметры:

• Имя — имя поиска используется для идентификации поиска. При копировании результатов поиска в почтовый ящик обнаружения в почтовом ящике обнаружения создается папка с помощью имени поиска и метки времени для уникальной идентификации результатов поиска в почтовом ящике обнаружения.

• Источники. Вы можете выполнить поиск по всем почтовым ящикам в организации Exchange Server или указать почтовые ящики для поиска. Вы также можете выполнить поиск по всем общедоступным папкам. Если вы также хотите использовать тот же поиск для размещения элементов на удержании, необходимо указать почтовые ящики. Вы также можете поместить все общедоступные папки в In-Place удержание. Можно указать группу рассылки, включающую пользователей почтовых ящиков, которые являются членами этой группы. Членство в группе вычисляется один раз при создании поиска, а последующие изменения членства в группе автоматически не отражаются в поиске. Основной и архивный почтовые ящики пользователя включаются в поиск.

• Поисковый запрос . Можно либо включить все содержимое почтового ящика из указанных почтовых ящиков, либо использовать поисковый запрос для возврата элементов, которые более важны для дела или исследования. В поисковом запросе можно указать следующие параметры.

  • Ключевые слова — можно указать ключевые слова и фразы для поиска содержимого сообщения. Кроме того, вы можете использовать логические операторы AND, OR и NOT. Кроме того, Exchange Server также поддерживает оператор NEAR, позволяя искать слово или фразу, расположенные рядом с другим словом или фразой.

    Для поиска точного совпадения фразы из нескольких слов необходимо заключить фразу в кавычки. Например, при поиске фразы "план и конкуренция" будут возвращены сообщения, содержащие точное совпадение этой фразы, тогда как при указании фразы план И конкуренция будут возвращены сообщения, содержащие слова план и конкуренция в любой части сообщения.

    Exchange Server также поддерживает синтаксис языка запросов ключевых слов (KQL) для поиска In-Place обнаружения электронных данных. Дополнительные сведения о KQL см. в справочнике по синтаксису языка запросов ключевых слов.

    Примечание.

    Электронное обнаружение на месте не поддерживает регулярные выражения.

    You must capitalize logical operators such as AND and OR for them to be treated as operators instead of keywords. We recommend that you use explicit parenthesis for any query that mixes multiple logical operators to avoid mistakes or misinterpretations. For example, if you want to search for messages that contain either WordA or WordB AND either WordC or WordD, you must use (WordA OR WordB) AND (WordC OR WordD).

  • Даты начала и окончания . По умолчанию In-Place обнаружение электронных данных не ограничивает поиск диапазоном дат. Чтобы найти сообщения, отправленные в определенный диапазон дат, можно сузить поиск, указав дату начала и окончания периода. Если не задать дату окончания, то в результатах поиска будут показываться последние результаты каждый раз, когда поиск осуществляется заново.

  • Отправители и получатели . Чтобы сузить поиск, можно указать отправителей или получателей сообщений. Вы можете использовать адреса электронной почты, отображаемые имена или имя домена для поиска элементов, отправленных или полученных от всех пользователей домена. Например, чтобы найти адрес электронной почты отправителя или получателя в Contoso, Ltd, укажите @contoso.com в поле От или Кому/Скрытая копия в EAC. Можно также указать @contoso.com в параметрах Senders или Recipients в командной консоли Exchange.

  • Типы сообщений . По умолчанию выполняется поиск всех типов сообщений. Вы можете ограничить поиск, выбрав определенные типы сообщений, такие как электронная почта, контакты, документы, журнал, встречи, заметки и содержимое Lync.

На следующем снимке экрана показан пример поискового запроса в EAC.

При использовании обнаружения электронных данных на месте также необходимо учесть следующие факторы.

• Вложения — In-Place обнаружение электронных данных выполняет поиск вложений, поддерживаемых поиском Exchange. Дополнительные сведения см. в разделе Default Filters for Exchange Search. В локальных развертываниях вы можете добавить поддержку дополнительных форматов файлов, установив для необходимых типов файлов фильтры поиска (известные как iFilter) на серверах почтовых ящиков.

• Неисхожимые элементы — это элементы почтового ящика, которые не могут быть проиндексированы поиском Exchange. Причины, по которым они не могут быть проиндексированы, включают отсутствие установленного фильтра поиска для присоединенного файла, ошибку фильтра и зашифрованные сообщения. Для успешного поиска eDiscovery вашей организации может потребоваться включить такие элементы для проверки. При копировании результатов поиска в почтовый ящик обнаружения или их экспорте в PST-файл можно включать элементы, не доступные для поиска. Дополнительные сведения см. в разделе Unsearchable Items in Exchange eDiscovery.

• Зашифрованные элементы . Так как сообщения, зашифрованные с помощью S/MIME, не индексируются поиском Exchange, In-Place обнаружение электронных данных не выполняет поиск этих сообщений. Если выбран параметр включения в результаты поиска элементов, поиск в которых невозможен, сообщения с шифрованием S/MIME копируются в почтовый ящик найденных сообщений.

• Удаление дублирования . При копировании результатов поиска в почтовый ящик обнаружения или экспорте результатов поиска в PST-файл можно включить де-дублирование результатов поиска, чтобы скопировать в почтовый ящик обнаружения только один экземпляр уникального сообщения. Дедупликация имеет следующие преимущества.

  • Более низкие требования к хранилищу и меньший размер почтового ящика обнаружения благодаря уменьшению количества копируемых сообщений.

  • Сокращение нагрузки на менеджеров по обнаружению, юрисконсультов и других лиц, занятых в проверке результатов поиска.

  • Сокращение расходов на электронное обнаружение в зависимости от количества повторяющихся элементов, исключенных из результатов поиска.

• Элементы, защищенные IRM . Сообщения, защищенные с помощью управления правами на доступ к данным (IRM), индексируются поиском Exchange и поэтому включаются в результаты поиска, если они соответствуют параметрам запроса. Сообщения должны быть защищены с помощью кластера служб Active Directory Rights Management Services (AD RMS) в том же лесу Active Directory, что и сервер почтовых ящиков. Дополнительные сведения см. в разделе Управление правами на доступ к данным в Exchange Server.

  Важно!

  • Если службе поиска Exchange не удалось проиндексировать сообщение с защитой IRM по причине ошибки расшифровки или отключенной службы IRM, защищенное сообщение не добавляется в список элементов с ошибками. Если вы выбрали параметр для включения в результаты поиска элементов, поиск в которых невозможен, результаты поиска могут не содержать защищенные сообщения, расшифровать которые не удалось.

  • Чтобы включить сообщения с защитой IRM в поиск, можно создать другой поиск, результаты которого будут содержать сообщения с вложениями в формате RPMSG. Строку attachment:rpmsg запроса можно использовать для поиска всех защищенных IRM сообщений в указанных почтовых ящиках независимо от того, успешно ли индексирован. Это может привести к дублированию некоторых результатов поиска в случаях, когда один поиск возвращает сообщения, соответствующие заданным критериям, включая сообщения с защитой IRM с успешно выполненной индексацией. При этом сообщения с защитой IRM, которые не удалось индексировать, не возвращаются.

  • Результаты второго поиска всех сообщений с защитой IRM также содержат защищенные сообщения, успешно индексированные и возвращенные при первом поиске. Кроме того, сообщения с защитой IRM, возвращенные в результатах второго поиска, могут не соответствовать критериям поиска, например ключевым словам, заданным для первого поиска.

Оценка, предварительный просмотр и копирование результатов поиска

После завершения поиска In-Place eDiscovery можно просмотреть оценки результатов поиска в области Сведения в EAC. Оценка включает количество возвращаемых элементов и общий размер этих элементов. Вы также можете просмотреть ключевое слово статистику, которая возвращает сведения о количестве элементов, возвращаемых для каждого ключевое слово, используемого в поисковом запросе. Эти сведения полезны для определения эффективности запросов. Если запрос слишком широкий, он может вернуть гораздо больший набор данных, что может потребовать дополнительных ресурсов для проверки и повышения затрат на обнаружение электронных данных. Если запрос слишком узок, он может значительно уменьшить количество возвращаемых записей или вообще не возвращать записей. Вы можете использовать оценки и статистику ключевое слово для точной настройки запроса в соответствии с вашими требованиями.

Вы можете просмотреть результаты поиска, чтобы убедиться, что возвращенные сообщения содержат искомое содержимое, и при необходимости выполнить точную настройку запроса. При предварительном просмотре поиска методом обнаружения электронных данных отображается количество сообщений, возвращенных из каждого почтового ящика, поиск в котором осуществлялся, и общее количество сообщений, возвращенных поиском. Предварительный просмотр создается быстро, при этом вам не нужно копировать сообщения в почтовый ящик найденных сообщений.

Если количество и качество результатов поиска вас удовлетворяет, их можно скопировать в почтовый ящик найденных сообщений. При копировании сообщений можно воспользоваться следующими параметрами.

• Включить элементы, не доступные для поиска . Дополнительные сведения о типах элементов, которые считаются недоступными для поиска, см. в разделе Рекомендации по поиску электронных данных в предыдущем разделе.

• Включение дедупликации . Удаление дублирования сокращает набор данных, включая только один экземпляр уникальной записи, если в одном или нескольких почтовых ящиках найдено несколько экземпляров.

• Включение полного ведения журнала . По умолчанию при копировании элементов включено только базовое ведение журнала. Можно выбрать функцию полного ведения журнала, чтобы регистрировать сведения обо всех записях, возвращенных в поиске.

• Отправка сообщения электронной почты после завершения копирования . Поиск In-Place eDiscovery может возвращать большое количество записей. Копирование сообщений, возвращенных в почтовый ящик найденных сообщений, может занять много времени. Используйте этот параметр для получения почтового уведомления о завершении процесса копирования. Чтобы упростить доступ с помощью Outlook в Интернете, уведомление содержит ссылку на расположение в почтовом ящике обнаружения, куда копируются сообщения.

Дополнительные сведения см. в разделе Копирование результатов поиска с обнаружением электронных данных в почтовый ящик обнаружения.

Экспорт результатов поиска в PST-файл

После копирования результатов поиска в почтовый ящик найденных сообщений результаты поиска можно экспортировать в PST-файл.

После экспорта результатов поиска в PST-файл вы или другие пользователи можете открыть их в Outlook для просмотра или печати сообщений, представленных в результатах поиска. Дополнительные сведения см. в статье Экспорт результатов поиска eDiscovery в PST-файл.

Ведение журнала операций поиска при обнаружении электронных данных на месте

Существует два типа ведения журнала для поиска In-Place обнаружения электронных данных.

• Базовое ведение журнала . Базовое ведение журнала включено по умолчанию для всех In-Place поиска по обнаружению электронных данных. В нем регистрируются сведения о поиске и выполнившем его пользователе. Сведения, собираемые при обычном ведении журнала, включаются в текст сообщения электронной почты, которое отправляется в почтовый ящик, где хранятся результаты поиска. Это сообщение находится в папке, созданной для хранения результатов поиска.

• Полное ведение журнала . Полное ведение журнала включает сведения обо всех сообщениях, возвращаемых поиском. Эти сведения содержатся в CSV-файле, который вкладывается в сообщение электронной почты, содержащее сведения обычного ведения журнала. Для имени CSV-файла используется имя поиска. Эти сведения могут потребоваться для делопроизводства или обеспечения соответствия требованиям. Чтобы включить полное ведение журнала, при копировании результатов поиска в почтовый ящик найденных сообщений в Центре администрирования Exchange выберите параметр Включить полное ведение журнала. Если вы используете командную консоль Exchange, укажите параметр полного ведения журнала с помощью параметра LogLevel .

Помимо журнала поиска, который включается при копировании результатов поиска в почтовый ящик обнаружения, Exchange также регистрирует командлеты, используемые EAC или командной консолью Exchange для создания, изменения или удаления In-Place поиска eDiscovery. Эта информация регистрируется в записях журнала аудита администратора. Дополнительные сведения см. в разделе Ведение журнала аудита администратора в Exchange Server.

Почтовые ящики обнаружения

После создания запроса на обнаружение электронных данных на месте результаты поиска можно скопировать в целевой почтовый ящик. Центр администрирования Exchange позволяет выбрать почтовый ящик найденных сообщений в качестве целевого. Почтовый ящик найденных сообщений — это специальный почтовый ящик, который предоставляет приведенные ниже возможности.

• Более простой и безопасный выбор целевого почтового ящика . Если вы используете EAC для копирования In-Place результатов поиска по обнаружению электронных данных, только почтовые ящики обнаружения становятся доступными в виде репозитория, в котором будут храниться результаты поиска. Это исключает возможность случайного выбора диспетчером обнаружения почтового ящика другого пользователя или незащищенного почтового ящика, в котором будут храниться потенциально конфиденциальные сообщения.

• Квота хранилища больших почтовых ящиков . Целевой почтовый ящик должен иметь возможность хранить большой объем данных сообщений, которые могут быть возвращены In-Place поиска электронных данных. По умолчанию для почтовых ящиков обнаружения квота хранилища почтовых ящиков составляет 50 ГБ. Эту квоту увеличить нельзя.

• Более безопасная по умолчанию — как и все типы почтовых ящиков, почтовый ящик обнаружения имеет связанную учетную запись пользователя Active Directory. Однако по умолчанию эта учетная запись отключена. К почтовому ящику найденных сообщений имеют доступ только явно авторизованные пользователи. Участники группы ролей управления обнаружением имеют права на полный доступ к почтовому ящику найденных сообщений по умолчанию. Однако разрешения на доступ к дополнительным почтовым ящикам найденных сообщений не назначаются ни для каких пользователей.

• Email доставка отключена — пользователи не могут отправлять сообщения электронной почты в почтовый ящик обнаружения. Доставка электронной почты в почтовые ящики найденных сообщений запрещена с помощью ограничений доставки. Это сохраняет целостность результатов поиска, скопированных в почтовый ящик найденных сообщений. По умолчанию почтовые ящики обнаружения не отображаются в глобальном списке адресов вашей организации.

Exchange Server программа установки создает один почтовый ящик обнаружения с отображаемым именем Почтовый ящик поиска обнаружения. Вы можете использовать командную консоль Exchange для создания дополнительных почтовых ящиков обнаружения. По умолчанию создаваемые почтовые ящики найденных сообщений не имеют назначенных прав доступа к почтовым ящикам. Для доступа к сообщениям, скопированным в почтовый ящик найденных сообщений, менеджеру по обнаружению можно назначить права полного доступа Дополнительные сведения см. Дополнительные сведения см. в разделе Создание почтового ящика обнаружения .

Функция обнаружения электронных данных на месте также использует системные почтовые ящики с отображаемым именем SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} для хранения метаданных обнаружения электронных данных на месте. Системные почтовые ящики не отображаются в EAC или в списках адресов Exchange. Перед удалением базы данных почтовых ящиков, в которой находится In-Place системный почтовый ящик обнаружения электронных данных, необходимо переместить почтовый ящик в другую базу данных почтовых ящиков. Если почтовый ящик удален или поврежден, менеджеры по обнаружению не смогут выполнять поиски методом обнаружения электронных данных до тех пор, пока почтовый ящик не будет создан повторно. Дополнительные сведения см. в разделе Re-Create the Discovery System Mailbox.

Электронное обнаружение на месте и хранение на месте

При выполнении запросов на обнаружение электронных данных вам может потребоваться сохранять содержимое почтовых ящиков до завершения судебного процесса или расследования. Сообщения, удаленные или измененные пользователем почтового ящика или любыми процессами, также должны быть сохранены. В Exchange Server это достигается с помощью In-Place удержания. Дополнительные сведения см. в разделе Удержание на месте и удержание для судебного разбирательства в Exchange Server.

Вы можете использовать мастер обнаружения электронных данных & для поиска элементов и их сохранения до тех пор, пока они необходимы для обнаружения электронных данных или для удовлетворения других бизнес-требований. When using the same search for both In-Place eDiscovery and In-Place Hold, be aware of the following:

• Вы не можете использовать параметр для удержания всех почтовых ящиков в вашей организации. Необходимо выбрать почтовые ящики или группы рассылки. Тем не менее вы можете отложить все общедоступные fol ders в организации.

• Если поиск методом обнаружения электронных данных на месте также используется для хранения на месте, удалить этот поиск нельзя. Сначала необходимо отключить параметр хранения на месте, а затем удалить поиск.

Хранение почтовых ящиков для обнаружения электронных данных на месте

Когда сотрудник покидает организацию, обычно отключает или удаляет почтовый ящик. После отключения почтового ящика он отключается от учетной записи пользователя, но остается в почтовом ящике в течение определенного периода времени( по умолчанию 30 дней). Помощник по управляемым папкам не обрабатывает отключенные почтовые ящики, и политики хранения не применяются в течение этого периода. Вы не можете искать содержимое отключенного почтового ящика. По достижении срока хранения удаленного почтового ящика, настроенного для базы данных почтовых ящиков, почтовый ящик очищается из базы данных почтовых ящиков.

Если ваша организация требует, чтобы параметры хранения применялись к сообщениям сотрудников, которые больше не входят в организацию, или если вам может потребоваться сохранить почтовый ящик бывшего сотрудника для текущего или будущего поиска eDiscovery, не отключайте и не удаляйте почтовый ящик. Чтобы убедиться в отсутствии доступа к почтовому ящику и доставки в него новых сообщений, выполните следующие действия.

1. Отключите учетную запись пользователя Active Directory с помощью пользователей Active Directory & компьютеров или других средств или сценариев подготовки учетных записей Active Directory или учетных записей. This prevents mailbox logon using the associated user account.

   Важно!

   Пользователи с разрешением полного доступа к почтовым ящикам по-прежнему могут обращаться к почтовому ящику. Чтобы предотвратить доступ других пользователей, необходимо удалить их разрешение полного доступа из почтового ящика. Сведения об удалении разрешений на полный доступ к почтовому ящику см. в разделе Управление разрешениями для получателей.

2. Задайте для максимального размера сообщений, которые могут отправляться пользователем почтового ящика или доставляться ему, очень низкое значение, например 1 КБ. Это предотвратит доставку новой почты в почтовый ящик и отправку почты из него. Дополнительные сведения см. в разделе Настройка ограничений на размер сообщений для почтового ящика.

3. Настройте ограничения на доставку для почтового ящика так, чтобы никто не мог отправлять в него сообщения. Дополнительные сведения см. в разделе Настройка ограничений доставки сообщений для почтового ящика.

При планировании внедрения системы хранения почтовых ящиков для управления хранением сообщений (MRM) или электронного управления на месте необходимо принять во внимание текучесть кадров. Длительное хранение почтовых ящиков бывших сотрудников потребует дополнительного пространства для хранения на серверах почтовых ящиков и может привести к увеличению размера базы данных Active Directory, поскольку связанные учетные записи пользователей должны храниться в течение того же периода. Кроме того, могут потребоваться изменения в процессах подготовки учетных записей и управления ими в организации.

Различные результаты поиска

Так как In-Place eDiscovery выполняет поиск по динамическим данным, возможно, что два поиска из одного источника контента, которые используют один и тот же поисковый запрос, могут возвращать разные результаты. Ожидаемые результаты поиска также могут отличаться от фактических результатов, скопированных в почтовый ящик найденных сообщений. Это может произойти, даже если запустить один и тот же поиск в течение короткого промежутка времени. Существует несколько факторов, которые могут повлиять на согласованность результатов поиска.

• непрерывная индексация электронной почты в связи с тем, что функция поиска Exchange непрерывно обходит и индексирует базы данных почтовых ящиков вашей организации и контейнер транспорта;

• удаление сообщений электронной почты пользователями или автоматизированными процессами;

• массовый импорт большого количества электронной почты, индексирование которого занимает определенное время.

Если вы замечаете, что один и тот же поиск дает различные результаты, вы можете поставить почтовые ящики на хранение, чтобы сохранить содержимое, использовать поиск в периоды низкой загрузки и после импорта большого количества электронной почты ожидать определенное время, пока завершится индексирование.

Настраиваемые области управления для обнаружения электронных данных на месте

Вы можете использовать настраиваемую область управления, чтобы позволить определенным пользователям или группам использовать In-Place eDiscovery для поиска подмножества почтовых ящиков в вашей Exchange Server организации. Например, вам может потребоваться разрешить менеджеру по обнаружению выполнять поиск только в почтовых ящиках пользователей, относящихся к определенному расположению или отделу. Для этого следует создать настраиваемую область управления, которая использует фильтр получателей для управления тем, в каких почтовых ящиках можно выполнять поиск. Области фильтра получателей используют фильтры для выделения определенных получателей на основе типа или других свойств получателя.

Для обнаружения электронных данных на месте создать фильтр подключения настраиваемой области можно только с помощью членства в группе рассылки. При использовании других свойств, таких как CustomAttributeN, Department или PostalCode, поиск завершается ошибкой, когда он выполняется членом группы ролей, которому назначен пользовательский область. Подробнее см. в разделе Create a custom management scope for In-Place eDiscovery searches.

In-Place обнаружение электронных данных и поиск Exchange

В электронном обнаружении на месте используются индексы содержимого, созданные службой поиска Exchange. Служба поиска Exchange была модернизирована и теперь использует Microsoft Search Foundation, мощную платформу с более высокой производительностью индексации и запросов, а также улучшенным поиском. Так как Microsoft Search Foundation также используется другими продуктами Office, включая SharePoint Server, он обеспечивает более высокую совместимость и аналогичный синтаксис запросов в этих продуктах.

Благодаря единому механизму индексации содержимого для функции обнаружения электронных данных на месте не требуются дополнительные ресурсы для сканирования и индексации баз данных почтовых ящиков при получении ИТ-отделом запросов на электронное обнаружение.

Дополнительные сведения о форматах файлов, индексированных поиском Exchange, см. в разделе Форматы файлов, индексированные поиском Exchange.

Обнаружение электронных данных при гибридном развертывании Exchange

В гибридном развертывании, которое представляет собой среду, в которой некоторые почтовые ящики существуют на локальных серверах почтовых ящиков, а некоторые — в облачной организации, можно выполнять поиск In-Place обнаружения электронных данных в облачных почтовых ящиках с помощью EAC в локальной организации. Если вы планируете копировать сообщения в почтовый ящик обнаружения, необходимо выбрать локальный почтовый ящик обнаружения. В него будут копироваться сообщения из облачных почтовых ящиков, возвращаемые в результатах поиска. Дополнительные сведения о гибридных развертываниях см. в разделе Exchange Server гибридных развертываний.

Чтобы успешно выполнять поиск по обнаружению электронных данных в Exchange Server гибридной организации, необходимо настроить проверку подлинности OAuth (открытая авторизация) между локальной средой Exchange и Exchange Online организациями, чтобы вы могли использовать In-Place eDiscovery для поиска локальных и облачных почтовых ящиков. Проверка подлинности OAuth — это протокол межсерверной проверки подлинности, который позволяет приложениям проверять подлинность друг друга.

Проверка подлинности OAuth поддерживает приведенные ниже сценарии обнаружения электронных данных при гибридном развертывании Exchange.

• Поиск локальных почтовых ящиков, использующих архивацию на базе Exchange Online для облачных архивных почтовых ящиков.

• Поиск в локальных и облачных почтовых ящиках в рамках одного сеанса обнаружения электронных данных.

Дополнительные сведения о сценариях обнаружения электронных данных, для которых требуется настроить проверку подлинности OAuth при гибридном развертывании Exchange, см. в разделе Using Oauth Authentication to Support eDiscovery in an Exchange Hybrid Deployment. Пошаговые инструкции по настройке проверки подлинности OAuth для поддержки обнаружения электронных данных см. в разделе Настройка проверки подлинности OAuth между Exchange и Exchange Online организациями.

Пошаговые инструкции по настройке проверки подлинности OAuth для поддержки обнаружения электронных данных см. в разделе Настройка проверки подлинности OAuth между Exchange и Exchange Online организациями.

Интеграция с SharePoint Server

Exchange Server предлагает интеграцию с SharePoint Server, позволяя диспетчеру обнаружения использовать Центр обнаружения электронных данных в SharePoint Server для выполнения следующих задач:

• Поиск и сохранение содержимого из одного расположения . Авторизованный диспетчер обнаружения может выполнять поиск и сохранение содержимого в SharePoint и Exchange, включая содержимое Lync, например беседы для обмена мгновенными сообщениями и общие документы собраний, архивированные в почтовых ящиках Exchange.

• Управление случаями . Центр обнаружения электронных данных использует подход к управлению случаями для обнаружения электронных данных, позволяющий создавать случаи, а также искать и сохранять содержимое в разных репозиториях содержимого для каждого случая.

• Экспорт результатов поиска . Диспетчер обнаружения может использовать Центр обнаружения электронных данных для экспорта результатов поиска. Содержимое почтового ящика, включенное в результаты поиска, экспортируется в PST-файл.

SharePoint Server также использует Microsoft Search Foundation для индексирования содержимого и выполнения запросов. Независимо от того, использует ли менеджер по обнаружению EAC или центр обнаружения электронных данных для поиска содержимого Exchange, возвращается одно и то же содержимое почтового ящика.

Прежде чем использовать Центр обнаружения электронных данных в SharePoint Server для поиска почтовых ящиков Exchange, необходимо установить доверие между двумя приложениями. В Exchange и SharePoint для этого используется проверка подлинности OAuth. Сведения см. в разделе Configure Exchange for SharePoint eDiscovery Center. Поиск по обнаружению электронных данных, выполняемый из SharePoint, авторизован Exchange с помощью RBAC. Чтобы пользователь SharePoint мог выполнять поиск в почтовых ящиках Exchange для обнаружения электронных данных, ему должно быть назначено делегированное разрешение на управление обнаружением в Exchange. Чтобы иметь возможность предварительного просмотра содержимого почтового ящика, возвращаемого при поиске eDiscovery, выполненном с помощью SharePoint eDiscovery Center, у диспетчера обнаружения должен быть почтовый ящик в той же организации Exchange.

Ограничения и политики регулирования обнаружения электронных данных на месте

В Exchange Server ресурсы, In-Place использует обнаружение электронных данных, управляются политиками регулирования.

Политика регулирования по умолчанию содержит следующие параметры. Вы можете изменить значения по умолчанию в соответствии с требованиями организации, создав новую политику регулирования с область организации и присвоив ей имя DiscoveryThrottlingPolicy.

¹ Архивные почтовые ящики учитываются в пределах исходного почтового ящика. Это означает, что вы можете выполнить поиск не более 5000 почтовых ящиков, если соответствующий архивный почтовый ящик включен для всех 5000 почтовых ящиков.

Документация обнаружения электронных данных на месте

В следующей таблице содержатся ссылки на Exchange Server разделы, которые помогут вам узнать о In-Place eDiscovery и управлять ими.