Создание настраиваемой области управления для обнаружения электронных данных на месте

Exchange 2013
 

Применимо к:Exchange Online, Exchange Server 2013

Последнее изменение раздела:2015-01-21

С помощью настраиваемых областей управления вы можете позволить определенным пользователя или группам применять обнаружение электронных данных на месте для поиска подмножества почтовых ящиков в организации Exchange 2013 или Exchange Online. Например, вам может потребоваться разрешить диспетчеру обнаружения выполнять поиск только в почтовых ящиках пользователей, относящихся к определенному расположению или отделу. Для этого необходимо создать настраиваемую область управления. Эта область использует фильтр получателей для управления тем, в каких почтовых ящиках можно выполнять поиск. Области фильтра получателей используют фильтры для выделения определенных получателей на основе типа или других свойств получателя.

Для обнаружения электронных данных на месте создать фильтр подключения настраиваемой области можно только с помощью членства в группе рассылки (фактическое имя свойства — MemberOfGroup). При использовании других свойств, например CustomAttributeN, Department и PostalCode, поиск завершится ошибкой, если он осуществляется членом группы ролей, которая назначила настраиваемую область.

Дополнительные сведения об областях управления см. в разделе:

  • Предполагаемое время выполнения: 15 минут.

  • Как было сказано ранее, для создания настраиваемой области фильтра получателей, которая будет использоваться для электронного обнаружения данных, в качестве фильтра получателей можно использовать только членство в группе. Любые другие свойства получателя нельзя использовать для создания настраиваемой области для электронного обнаружения данных. Обратите внимание, что членство в динамической группе рассылки также не может быть использовано.

  • Выполните действия 1–3, чтобы позволить диспетчеру обнаружения экспортировать результаты поиска электронного обнаружения данных с использованием настраиваемой области управления.

  • Если диспетчеру обнаружения не требуется предварительный просмотр результатов поиска, действие 4 можно пропустить.

  • Если диспетчеру обнаружения не требуется копировать результаты поиска, действие 5 можно пропустить.

Для поиска в подмножестве почтовых ящиков в вашей организации или сужения области поиска исходных почтовых ящиков, в которых диспетчер обнаружения может выполнять поиск, необходимо сгруппировать подмножество почтовых ящиков в одну или несколько групп рассылки. При создании настраиваемой области управления в действии 2 эти группы рассылки используются как фильтр получателей. Это позволяет диспетчеру обнаружения выполнять поиск только в почтовых ящиков пользователей, входящих в определенную группу.

Для электронного обнаружения данных можно использовать существующие группы рассылки или создать новые. Советы для создания групп рассылок, которые можно использовать для определения области электронного обнаружения данных, см. в разделе Дополнительные сведения в конце этой статьи.

Теперь вы создадите настраиваемую область управления, заданную членством группы рассылки (с использованием фильтра получателей MemberOfGroup). Если эта область применяется к группе ролей, используемой для электронного обнаружения данных, члены группы ролей могут выполнять поиск в почтовых ящиков пользователей, входящих в группу рассылки, с помощью которой была создана настраиваемая область управления.

В этой процедуре в командной консоли Exchange выполняются команды для создания настраиваемой области электронного обнаружения данных с именем "Ottawa Users". В них указывается группа рассылки с именем "Ottawa Users" для фильтра получателей настраиваемой области.

  1. Выполните эту команду, чтобы получить и сохранить свойства группы "Ottawa Users" в переменную, которая используется в следующей команде.

    $DG = Get-DistributionGroup -Identity "Ottawa Users"
    
  2. Выполните эту команду, чтобы создать настраиваемую область управления на основе членства в группе рассылки "Ottawa Users".

    New-ManagementScope "Ottawa Users eDiscovery Scope" -RecipientRestrictionFilter "MemberOfGroup -eq '$($DG.DistinguishedName)'"
    

    Различающееся имя группы рассылки, которое содержится в переменной $DG, используется для создания фильтра получателей для новой области управления.

В этой процедуре вы создаете новую группу ролей управления и назначаете настраиваемую область, созданную в действии 2. Добавьте роли "Удержание по юридическим причинам" и "Поиск в почтовых ящиках", чтобы участники группы ролей могли выполнять поиск обнаружения электронных данных на месте и поместить почтовые ящики на удержание на месте или юридическое удержание. Вы также можете добавить членов в эту группу ролей, чтобы они могли выполнять поиск в почтовых ящиках членов группы рассылки, с помощью которой была создана настраиваемая область в действии 2.

В следующих примерах группа безопасности "Ottawa Users eDiscovery Managers" будет добавлена как член этой группы ролей. Для этого действия можно использовать командную консоль или центр администрирования Exchange.

Выполните эту команду, чтобы создать группу ролей, использующую настраиваемую область, созданную в действии 2. Эта команда также добавляет роли "Удержание по юридическим причинам" и "Поиск в почтовых ящиках" и добавляет группу безопасности "Ottawa Users eDiscovery Managers" как члена новой группы ролей.

New-RoleGroup "Ottawa Discovery Management" -Roles "Mailbox Search","Legal Hold" -CustomRecipientWriteScope "Ottawa Users eDiscovery Scope" -Members "Ottawa Users eDiscovery Managers"

  1. В центре администрирования Exchange откройте раздел Разрешения > Роли администраторов и нажмите кнопку СоздатьЗначок добавления.

  2. В разделе Новая группа ролей введите следующие сведения:

    • Имя.   Введите описательное имя новой группы ролей. В этом примере используется имя Ottawa Discovery Management.

    • Область записи. Выберите настраиваемую область управления, созданную в действии 2. Она будет применена к новой группы ролей.

    • Роли. Нажмите кнопку ДобавитьЗначок добавления и добавьте роли Удержание по юридическим причинам и Поиск в почтовых ящиках в новую группу ролей.

    • Члены. Нажмите кнопку ДобавитьЗначок добавления и выберите пользователей, группу безопасности или группы ролей, которые следует добавить как членов новой группы ролей. В этом примере члены группы безопасности Ottawa Users eDiscovery Managers смогут выполнять поиск только в почтовых ящиках пользователей, которые входят в группу рассылки Ottawa Users.

  3. Нажмите кнопку Сохранить, чтобы создать группу.

    Вот пример того, как будет выглядеть окно Новая группа ролей после завершения операции.

    Создание новой группы ролей для настраиваемой области

Это действие необходимо выполнить, только чтобы разрешить диспетчеру обнаружения предварительный просмотр результатов поиска обнаружения электронных данных.

Выполните эту команду, чтобы добавить группу безопасности "Ottawa Users eDiscovery Managers" как члена группы рассылки "Ottawa Users".

Add-DistributionGroupMember -Identity "Ottawa Users" -Member "Ottawa Users eDiscovery Managers"

Для добавления членов в группу рассылки также можно использовать центр администрирования Exchange. Дополнительные сведения см. в разделе Создание групп рассылки и управление ими.

Это действие необходимо выполнить, только чтобы разрешить диспетчеру обнаружения копировать результаты поиска обнаружения электронных данных.

Выполните эту команду, чтобы добавить почтовый ящик обнаружения "Ottawa Discovery Mailbox" как член группы рассылки "Ottawa Users".

Add-DistributionGroupMember -Identity "Ottawa Users" -Member "Ottawa Discovery Mailbox"
ПримечаниеПримечание.
Чтобы открыть почтовый ящик обнаружения и просмотреть результаты поиска, диспетчерам обнаружения должна быть назначены разрешения полного доступа к почтовому ящику обнаружения. Дополнительные сведения см. в разделе Создание почтового ящика обнаружения.

Вот несколько способов для проверки успешной реализации настраиваемых областей управления для обнаружения электронных данных. Во время проверки убедитесь, что пользователь, выполняющий поиск с обнаружением электронных данных, входит в группу ролей, использующую настраиваемую область управления.

  • Создайте поиск обнаружения электронных данных и выберите группу рассылки, которая использовалась для создания настраиваемой области управления, как источник почтовых ящиков для поиска. Поиск должен быть успешно выполнен во всех почтовых ящиках.

  • Создайте поиск обнаружения электронных данных и выполните поиск в почтовых ящиках всех пользователей, не входящих в группу рассылки, которая использовалась для создания настраиваемой области управления. Поиск должен завершиться с ошибкой, так как диспетчер обнаружения может выполнять поиск только для пользователей, входящих в группу рассылки, которая использовалась для создания настраиваемой области управления. В этом случае возвращается ошибка, например "Не удалось выполнить поиск в почтовом ящике <name of mailbox>, так как у текущего пользователя нет разрешений для доступа к почтовому ящику".

  • Создайте поиск обнаружения электронных данных и выполните поиск в почтовых ящиках пользователей, входящих в группу рассылки, которая использовалась для создания настраиваемой области управления. Включите в тот же поиск почтовые ящики пользователей, которые не являются членами этой группы рассылки. Поиск должен частично завершиться успешно. Поиск в почтовых ящиках членов группы рассылки, используемой для создания настраиваемой области управления, должен завершиться успешно. Поиск в почтовых ящиках пользователей, которые не входят в группу рассылки, должен завершиться ошибкой.

  • Так как группы рассылки используются в этом сценарии для определения областей поиска обнаружения электронных данных, а не для доставки сообщений, учитывайте следующее при создании и настройке группы рассылки для обнаружения электронных данных.

    • Создавайте группы рассылки с закрытым членством, чтобы только владельцы группы могли добавлять членов в группу или удалять их. Если вы создаете группу в командной консоли, используйте синтаксис MemberJoinRestriction closed и MemberDepartRestriction closed.

    • Включите модерирование группы, чтобы все сообщения, отправляемые в группу, сначала передавались модераторам, которые могут утвердить или отклонить сообщение. Если вы создаете группу в командной консоли, используйте синтаксис ModerationEnabled $true. Если вы используете центр администрирования Exchange, модерирование можно включить после создания группы.

    • Скройте группу рассылки из общей адресной книги организации. Используйте центр администрирования Exchange или командлет Set-DistributionGroup после создания группы. Если вы работаете в командной консоли, используйте синтаксис HiddenFromAddressListsEnabled $true.

    В следующем примере первая команда создает группу рассылки с закрытым членством и включенным модерированием. Вторая команда скрывает группу из общей адресной книги.

    New-DistributionGroup -Name "Vancouver Users eDiscovery Scope" -Alias VancouverUserseDiscovery -MemberJoinRestriction closed -MemberDepartRestriction closed -ModerationEnabled $true
    
    
    Set-DistributionGroup "Vancouver Users eDiscovery Scope" -HiddenFromAddressListsEnabled $true
    

    Дополнительные сведения о создании групп рассылки и управлении ими см. в разделе Создание групп рассылки и управление ими.

  • Хотя в качестве фильтра получателей для настраиваемой области управления, используемой для обнаружения электронного данных, можно применять только членство в группе рассылки, другие свойства получателей можно использовать для добавления пользователей в эту группу рассылки. Вот несколько примеров использования командлетов Get-Mailbox и Get-Recipient для получения определенной группы пользователей на основе общих атрибутов пользователей или почтовых ящиков.

    Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'Department -eq "HR"'
    
    Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'CustomAttribute15 -eq "VancouverSubsidiary"'
    
    Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'PostalCode -eq "98052"'
    
    Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'StateOrProvince -eq "WA"'
    
    Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited -OrganizationalUnit "namsr01a002.sdf.exchangelabs.com/Microsoft Exchange Hosted Organizations/contoso.onmicrosoft.com"
    
  • Затем можно использовать примеры из предыдущего списка для создания переменной, применяемой с командлетом Add-DistributionGroupMember, для добавления группы пользователей в группу рассылки. В следующем примере первая команда создает переменную, содержащую все почтовые ящики пользователей, значение свойства Department которых в учетной записи равно Vancouver. Вторая команда добавляет этих пользователей в группу рассылки "Vancouver Users".

    $members = Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'Department -eq "Vancouver"'
    
    $members | ForEach {Add-DistributionGroupMember "Ottawa Users" -Member $_.Name}
    
  • С помощью командлета Add-RoleGroupMember можно добавить члена в существующую группу ролей, которая используется для определения областей поиска обнаружения электронных данных. Например, следующая команда добавляет пользователя admin@ottawa.contoso.com в группу ролей "Ottawa Discovery Management".

    Add-RoleGroupMember "Vancouver Discovery Management" -Member paralegal@vancouver.contoso.com
    

    Для добавления членов в группу ролей также можно использовать центр администрирования Exchange. Дополнительные сведения см. в разделе "Добавление членов в группу ролей" статьи Управление участниками группы ролей.

  • В Exchange Online невозможно искать неактивные почтовые ящики с помощью настраиваемой области управления, используемой для обнаружения электронных данных. Это обусловлено тем, что неактивный почтовый ящик не может быть членом группы рассылки. Предположим, что пользователь входит в группу рассылки, с использованием которой была создана настраиваемая область управления для обнаружения электронных данных. Затем этот пользователь покидает организацию, и его почтовый ящик становится неактивным (для этого почтового ящика задается хранение для судебного разбирательства или хранение на месте с последующим удалением соответствующей учетной записи Office 365). В результате пользователь удален из каждой группы рассылки, включая группу, с использованием которой создана настраиваемая область управления для обнаружения электронных данных. Если менеджер по обнаружению (член группы ролей, назначенной для настраиваемой области управления) попытается найти этот неактивный почтовый ящик, поиск не даст результатов. Чтобы менеджер по обнаружению мог искать неактивные почтовые ящики, ему нужно входить в группу ролей управления обнаружением или любой другой группы ролей, имеющей разрешение на поиск по всей организации.

    Дополнительные сведения о неактивных почтовых ящиках см. в статье Неактивные почтовые ящики в Exchange Online.

 
Показ: