удержание In-Place и удержание для судебного разбирательства в Exchange Online
Важно!
- Ознакомьтесь с Центр безопасности Microsoft 365 и Портал соответствия требованиям Microsoft Purview функций безопасности и соответствия требованиям Exchange. Они больше не доступны в новом Центре администрирования Exchange.
- Поскольку мы продолжаем инвестировать различными способами для сохранения содержимого почтового ящика, мы объявляем о прекращении In-Place удержания в Центре администрирования Exchange (EAC) в Exchange Online. Начиная с 1 июля 2020 г. вы не сможете создавать новые In-Place удержания. Но вы по-прежнему сможете управлять In-Place удержаний в EAC или с помощью командлета Set-MailboxSearch в Exchange Online PowerShell. Однако с 1 октября 2020 г. вы не сможете управлять In-Place удержаний. Вы сможете удалить их только в EAC или с помощью командлета Remove-MailboxSearch . Использование In-Place удержания в Exchange Server и гибридных развертываниях Exchange по-прежнему будет поддерживаться. Вы также сможете размещать почтовые ящики в удержании для судебного разбирательства. Дополнительные сведения о прекращении использования In-Place Удержаний в Exchange Online см. в статье Прекращение использования устаревших средств обнаружения электронных данных.
При наличии обоснованных предпосылок для судебных исков организациям требуется сохранять электронные данные (включая почту), связанные с делом. Такие предпосылки нередко возникают до уточнения подробностей дела, и сохранение часто имеет широкие масштабы. Организациям может потребоваться сохранить все сообщения электронной почты, связанные с определенной статьей, или все сообщения электронной почты для определенных пользователей. В зависимости от политики организации в отношении обнаружения электронных данных, можно принять следующие меры по сохранению электронной почты.
Пользователям можно порекомендовать хранить почту, не удаляя сообщения. Однако пользователи все же могут удалять электронную почту намеренно или случайно.
Могут быть приостановлены механизмы автоматического удаления, например управление записями обмена сообщениями. Это может привести к тому, что в почтовых ящиках пользователей будет скапливаться большой объем электронной почты, из-за чего производительность их работы может снижаться. Приостановка автоматического удаления также не мешает пользователям вручную удалять электронную почту.
В некоторых организациях электронная почта копируется или перемещается в архив, что позволяет предотвратить ее удаление, изменение или подмену. Это увеличивает затраты из-за ручной работы, необходимой для копирования или перемещения сообщений в архив, или сторонних продуктов, используемых для сбора и хранения электронной почты за пределами Exchange.
Отсутствие возможности хранения электронной переписки может подвергнуть организацию юридическим и финансовым рискам, например к критическому анализу процессов обнаружения и хранения записей в организации, неблагоприятным судебным решениям, санкциям или штрафам.
С помощью хранения на месте и хранения для судебного разбирательства можно решать следующие задачи:
Помещать почтовые ящики пользователей на хранение и хранить их элементы без изменений.
Хранить элементы почтовых ящиков, удаленные вручную или автоматически, например службой управления записями сообщений.
Использовать хранение на месте на основе запросов для поиска и хранения элементов, соответствующих определенным условиям.
Хранить элементы бесконечно или в течение заданного периода времени.
Устанавливать несколько запретов на удаление для разных дел или расследований.
Скрывать запреты на удаление от пользователя, так как работа службы управления записями сообщений не прерывается.
Включать поиск с обнаружением электронных данных на месте для элементов, помещенных на хранение.
Сценарии хранения на месте
В предыдущих версиях Exchange понятие удержания по закону заключается в том, чтобы хранить все данные почтового ящика пользователя на неопределенный срок или до тех пор, пока удержание не будет удалено. В Exchange Online In-Place Hold включает новую модель, которая позволяет указать следующие параметры:
Что хранить. Вы можете указать, какие элементы следует хранить, используя параметры запроса, такие как ключевые слова, отправители и получатели, даты начала и окончания, а также указать типы сообщений, такие как сообщения электронной почты или элементы календаря, которые нужно поместить на удержание.
Срок хранения. Вы можете указать длительность для элементов на удержании.
С помощью этой новой модели удержание на месте позволяет создавать структурированные политики удержания, чтобы сохранять элементы почтовых ящиков в следующих случаях:
Неопределенное удержание. Сценарий неограниченного удержания аналогичен удержанию для судебного разбирательства. Он предназначен для сохранения элементов почтового ящика, чтобы вы могли соответствовать требованиям к обнаружению электронных данных. В период судебного разбирательства или расследования элементы не удаляются. Длительность не известна заранее, поэтому дата окончания не настраивается. Чтобы хранить все элементы почты на неопределенный срок, при создании In-Place удержания не указываются параметры запроса или длительность времени.
Важно!
Размещение почтового ящика на неопределенное удержание означает, что почтовые элементы, отвечающие требованиям к удержанию, никогда не будут удалены из почтового ящика. Это может привести к превышению квоты элементов для восстановления, что может сделать почтовый ящик непригодным для использования. Корпорация Майкрософт рекомендует включить архив для почтового ящика, а также включить функцию архивации с автоматическим расширением. Дополнительные сведения см. в разделе Удержание и квоты почтовых ящиков .
Удержание на основе запросов. Если ваша организация сохраняет элементы на основе указанных параметров запроса, можно использовать In-Place удержания на основе запросов. Вы можете указать такие параметры запроса, как ключевые слова, даты начала и окончания, адреса отправителей и получателей, а также типы сообщений. После создания удержания на месте на основе запроса сохраняются все соответствующие параметрам запроса элементы почтового ящика (как существующие, так и создаваемые в будущем, включая сообщения, которые будут получены позже).
Важно!
Элементы, которые помечены как недоступные для поиска, как правило, из-за неспособности индексировать вложение, также сохраняются, так как невозможно определить, соответствуют ли они параметрам запроса. Дополнительные сведения о частично индексированных элементах см. в разделе Частично индексированные элементы в поиске контента.
Удержание на основе времени. Хранение In-Place и удержание для судебного разбирательства позволяют указать длительность хранения элементов. Этот срок рассчитывается с даты получения или создания элемента почтового ящика.
Если ваша организация требует, чтобы все элементы почтового ящика сохранялись в течение определенного периода, например 7 лет, можно создать удержание на основе времени, чтобы элементы, удерживаемые на удержании, сохранялись в течение определенного периода времени. Например, рассмотрим почтовый ящик в режиме удержания на месте на основе времени со сроком хранения 365 дней. Если элемент в этом почтовом ящике удаляется через 300 дней после даты получения, он удерживается еще 65 дней, прежде чем будет окончательно удален. Хранение на месте с учетом времени можно использовать в сочетании с политикой хранения, чтобы элементы гарантированно сохранялись в течение указанного периода и окончательно удалялись после его завершения.
При удержании на месте можно указать для пользователя несколько сценариев удержания. В этом случае поисковые запросы от сценариев удержания по запросу объединяются (с помощью операторов OR ). При этом максимальное количество ключевых слов во всех сценариях удержания по запросу, назначенных для почтового ящика, не должно превышать 500. Если ключевых слов больше, на хранение помещается все содержимое почтового ящика, а не только то, которое соответствует критериям поиска. Все содержимое удерживается, пока общее количество ключевых слов не станет равно или меньше 500.
Удержание на месте и хранение для судебного разбирательства
Хранение для судебного разбирательства использует свойство LitigationHoldEnabled почтового ящика для размещения содержимого почтового ящика на удержание. В то время как In-Place удержание предоставляет возможность детализированного удержания на основе параметров запроса и возможность размещения нескольких удержаний, удержание для судебного разбирательства позволяет только поместить все элементы на удержание. Вы также можете указать период длительности хранения элементов, когда почтовый ящик помещается в удержание для судебного разбирательства. Этот срок рассчитывается с даты получения или создания элемента почтового ящика. Если длительность не задана, элементы хранятся на неопределенный срок или до тех пор, пока удержание не будет удалено.
При одновременном размещении почтового ящика в одном или нескольких In-Place удержании и удержании для судебного разбирательства (без периода длительности) все элементы хранятся на неопределенный срок или до тех пор, пока удержание не будет удалено. Если вы удаляете удержание для судебного разбирательства и пользователь по-прежнему помещается в один или несколько In-Place удержаний, элементы, соответствующие условиям In-Place удержания, удерживаются в течение периода, указанного в параметрах удержания.
Примечание.
Если вы задаете для почтового ящика хранение на месте или хранение для судебного разбирательства, удержание распространяется как на основной, так и на архивный почтовые ящики. Если вы задаете для основного почтового ящика, размещенного на локальном сервере, хранение в гибридной среде Exchange, архивный почтовый ящик в облаке (если он включен) также помещается на хранение.
Включение для почтового ящика удержания на месте
Авторизованные пользователи, добавленные в группу ролей управления доступом на основе ролей (RBAC) службы "Управление обнаружением" или назначенные роли управления "Поиск по юридическим причинам" и "Поиск в почтовых ящиках", могут управлять почтовыми ящиками в In-Place удержание или удалять их. Эту задачу можно делегировать диспетчерам записей, ответственным за обеспечение соответствия требованиям, или юристам организации, предоставляя при этом минимально необходимый уровень привилегий. Дополнительные сведения о назначении группы ролей "Управление обнаружением" см. в статье Назначение разрешений на обнаружение электронных данных в Exchange.
Вы можете использовать мастер & удержания электронных данных на месте в Центре администрирования Exchange (EAC) или New-MailboxSearch и связанные командлеты в Exchange Online PowerShell, чтобы удалить почтовый ящик в In-Place Удержание. Дополнительные сведения об удалении почтового ящика в In-Place удержании см. в статье Удаление In-Place удержания.
Во многих организациях уведомление пользователей о включении режима хранения является обязательным. Кроме того, когда почтовый ящик находится на хранении, не требуется приостанавливать действие политик хранения, применяемых к пользователю почтового ящика. Так как сообщения продолжают удаляться как обычно, пользователи могут не замечать, что включен режим хранения. Если ваша организация требует, чтобы пользователи, удерживаемые на удержании, были уведомлены, можно добавить уведомление в свойство RetentionComment пользователя почтового ящика и использовать свойство RetentionUrl для ссылки на веб-страницу для получения дополнительных сведений. В Outlook 2010 и более поздних версий уведомление и URL-адрес отображаются в области Backstage. Чтобы добавить эти свойства для почтового ящика и управлять ими, необходимо использовать Exchange Online PowerShell. Дополнительные сведения см. в статье Set-Mailbox.
Помещение общедоступных папок на удержание
В Exchange Online вы можете помещать общедоступные папки на удержание с помощью функции удержания на месте. Хранение для судебного разбирательства не поддерживается в общедоступных папках. Создавая удержание на месте, вы можете применить его только ко всем общедоступным папкам в организации. В результате получится удержание на месте, примененное ко всем почтовым ящикам общедоступных папок.
Кроме того, при помещении общедоступных папок на удержание на месте также сохраняются электронные сообщения, связанные с синхронизацией иерархии общедоступных папок. В результате могут быть сохранены тысячи элементов электронной почты, связанных с синхронизацией иерархии. При этом может исчерпаться квота хранилища для папки "Элементы с возможностью восстановления" в почтовых ящиках общедоступных папок. Чтобы избежать этого, можно создать на основе запроса In-Place Hold и добавить в поисковый запрос следующую property:value пару:
NOT(subject:HierarchySync*)
В результате все сообщения (связанные с синхронизацией иерархии общедоступных папок), содержащие фразу "HierarchySync" в строке темы, не помещаются на хранение.
Функции хранения и папка "Элементы с возможностью восстановления"
При хранении на месте и хранении для судебного разбирательства для удержания элементов используется папка корзины. Папка "Элементы с возможностью восстановления" заменяет функцию, которая в предыдущих версиях Exchange называется контейнером. Папка "Элементы с возможностью восстановления" скрыта в представлении по умолчанию Outlook, Outlook в Интернете (ранее — Outlook Web App) и других почтовых клиентах. Дополнительные сведения о папке "Элементы с возможностью восстановления" см. в статье Папка "Элементы с возможностью восстановления" в Exchange Online.
По умолчанию при удалении сообщения из папки, отличной от папки "Удаленные", сообщение перемещается в папку "Удаленные". Это называется перемещением. Когда пользователь обратимых удалений элемент (опытный, нажав клавишу SHIFT и Delete) или удаляет элементы из папки Удаленные, то сообщение перемещается в папку корзины, таким образом, исчезает для данного пользователя.
Элементы в папке "Элементы с возможностью восстановления" хранятся в течение периода хранения удаленных элементов, настроенного для почтового ящика пользователя. По умолчанию срок хранения удаленных элементов составляет 14 дней для Exchange Online почтовых ящиков. Вы также можете настроить квоту хранения для папки корзины. Это защищает организацию от потенциальной атаки типа "отказ в обслуживании" (DoS) из-за быстрого роста папки "Элементы с возможностью восстановления". Если к почтовому ящику не применялось хранение на месте или хранение для судебного разбирательства, из папки корзины при превышении квоты предупреждения или срока хранения удаленных элементов будут безвозвратно удаляться элементы в порядке их поступления.
Папка корзины содержит следующие вложенные папки, которые позволяют хранить удаленные элементы в разных расположениях и упрощают хранение на месте и хранение для судебного разбирательства:
Удаление. Элементы, удаленные из папки "Удаленные" или обратимо удаленные из других папок, перемещаются во вложенную папку Удаления и отображаются пользователю при использовании функции "Восстановить удаленные элементы" в Outlook и Outlook в Интернете. По умолчанию элементы находятся в этой папке до истечения срока хранения удаленных элементов, настроенного для почтового ящика.
Очистка. Когда пользователь удаляет элемент из папки "Элементы с возможностью восстановления" (с помощью средства "Восстановить удаленные" в Outlook и Outlook в Интернете, элемент перемещается в папку "Очистки". Элементы, которые превышают срок хранения удаленных элементов, настроенный для почтового ящика, также перемещаются в папку Очистки. Элементы в этой папке не будут видимы пользователям, использующим средство восстановления удаленных элементов. Когда помощник по управляемым папкам обрабатывает почтовый ящик, элементы в папке Очистки удаляются из почтового ящика. Когда вы помещите пользователя почтового ящика в удержание для судебного разбирательства, помощник по управляемым папкам не очищает элементы в этой папке.
DiscoveryHold — если пользователь помещается в In-Place удержание, удаленные элементы перемещаются в эту папку. Когда помощник по управляемым папкам обрабатывает почтовый ящик, он оценивает сообщения в этой папке. Соответствие элементов на месте сохраняются до тех пор, пока вопрос удержания период удержания заданного в запросе. Если период удержания не указан, неопределенное время или до тех пор, пока пользователь не удаляется из удержания.
Версии . Если пользователь помещается в In-Place удержание или удержание для судебного разбирательства, элементы почтового ящика должны быть защищены от незаконного изменения или изменения пользователем или процессом. Для этого используется процесс копирования при записи. Когда пользователь или процесс изменяет определенные свойства элемента почтового ящика, копия исходного объекта сохраняется в папке версий, прежде чем изменение будет совершено. Процесс повторяется для последующих изменений. Элементы, захваченные в папке Versions, также индексируются и возвращаются в поисках eDiscovery. После удаления сценария хранения помощник по обслуживанию управляемых папок удаляет копии из папки "Версии".
SubstrateHolds . Если включена политика хранения In-Place, удержания для судебного разбирательства или microsoft 365 или Office 365 Teams Chat, эта вложенная папка содержит исходную копию сообщения Teams, если сообщение было изменено или удалено. Копия элемента перед сохранением изменения. Эта папка не отображается для конечных пользователей.
Свойства, активирующие копирование при записи
| Тип элемента | Свойства, активирующие копирование при записи |
|---|---|
| Сообщения (IPM.Note*) Сообщения (IPM.Post*) |
Subject Текст сообщения Вложения Отправители и получатели Даты отправки и получения |
| Элементы, отличные от сообщений | Любые изменения видимых свойств за исключением следующих: Расположение элемента (когда элемент перемещается между папками) Изменение состояния элемента (прочитан или не прочитан) Изменения тега хранения, примененного к элементу |
| Элементы в папке "Черновики" по умолчанию | Нет (элементы в папке "Черновики", для которых отменено копирование при записи) |
Важно!
Помощник по восстановлению календаря определяет, что некоторые участники ответили на приглашение на собрание в форме "Принять" или "Под вопросом" и этот элемент отсутствует в календаре участника. Для элементов календаря и элементов с заданным напоминанием функция копирования при записи отключена для свойств ReminderTime и ReminderSignalTime. Изменения этих свойств не фиксируются функцией копирования при записи. Изменения в RSS-каналах не фиксируются функцией копирования при записи.
Хотя папки "DiscoveryHold", "Очистка" и "Версии" не видны пользователям, все элементы в папке корзины индексируются службой поиска Exchange и могут обнаруживаться в процессе локального обнаружения электронных данных. После удаления сценария хранения на месте или хранения для судебного разбирательства, примененного к пользователю почтового ящика, помощник по обслуживанию управляемых папок удаляет элементы из папок DiscoveryHold, "Очистка" и "Версии".
Запреты на удаление и квоты почтового ящика
Элементы в папке корзины не учитываются в квоте почтового ящика пользователя. В Exchange Online папка "Элементы с возможностью восстановления" имеет собственную квоту. Для Exchange значения по умолчанию для свойств почтовых ящиков RecoverableItemsWarningQuota и RecoverableItemsQuota имеют значение 20 ГБ и 30 ГБ соответственно. В Exchange Online квота для папки "Элементы с возможностью восстановления" (в основном почтовом ящике пользователя) автоматически увеличивается до 100 ГБ при помещения почтового ящика в хранилище для судебного разбирательства или In-Place удержания. Когда размер папки "Элементы с возможностью восстановления" в основном почтовом ящике на удержании будет приближаться к предельному значению квоты хранилища, можно выполнить следующие действия:
Включите архивный почтовый ящик и включите архивацию с автоматическим расширением. Вы можете включить неограниченный объем хранилища для папки "Элементы с возможностью восстановления", просто включив архивный почтовый ящик и включив функцию архивации с автоматическим расширением в Exchange Online. Это приводит к 110 ГБ для папки "Элементы с возможностью восстановления" в основном почтовом ящике и неограниченному объему хранилища для папки "Элементы с возможностью восстановления" в архиве пользователя. См. инструкции: Включение архивных почтовых ящиков на портале соответствия требованиям и Включение неограниченной архивации — Администратор справку.
Примечание.
Если объем данных в папке "Элементы с возможностью восстановления" почтового ящика, для которого включен архив, скоро превысит квоту хранилища, может понадобиться вручную запустить обработку этого ящика с использованием помощника по работе с управляемыми папками, чтобы переместить элементы с истекшим сроком действия в папку "Элементы с возможностью восстановления" в архивном почтовом ящике. Инструкции см. в разделе Шаг 4 статьи Увеличение квоты элементов с возможностью восстановления для почтовых ящиков на удержании.
Обратите внимание на то, что другие элементы в почтовом ящике пользователя могут быть перемещены в новый архивный почтовый ящик. Рекомендуем после включения архивного почтового ящика сообщить пользователю, что это может произойти.
Создание настраиваемой политики хранения для почтовых ящиков на удержании. Помимо включения архивного почтового ящика и автоматического расширения архивации для почтовых ящиков в режиме удержания для судебного разбирательства или In-Place удержания, также может потребоваться создать настраиваемую политику хранения MRM в Exchange Online для почтовых ящиков на удержании. Это позволяет применять политику хранения к почтовым ящикам, которые не удерживаются, и политика MRM по умолчанию применяется к почтовым ящикам, которые не удерживаются. Это позволяет применять теги хранения, специально предназначенные для почтовых ящиков на удержании. Сюда входит создание нового тега хранения для папки "Элементы с возможностью восстановления".
Дополнительные сведения см. в статье Увеличение квоты элементов с возможностью восстановления для почтовых ящиков на удержании.
Запреты на удаление и пересылка электронной почты
Пользователи могут использовать Outlook и Outlook в Интернете для настройки переадресации электронной почты для своего почтового ящика. Пользователи могут настроить пересылку отправляемых им сообщений в другие почтовые ящики в вашей организации или за ее пределами. Пересылку электронной почты можно настроить так, чтобы сообщения, отправляемые в исходный почтовый ящик, не копировались в него, а отправлялись на указанный адрес пересылки.
Что будет, если для почтового ящика на хранении настроена пересылка электронной почты и сообщения не копируются в исходный почтовый ящик? Параметры хранения для почтового ящика проверяются в процессе доставки. Если сообщение соответствует критериям хранения для почтового ящика, копия сообщения сохраняется в папке корзины. Это означает, что вы можете использовать средства обнаружения электронных данных для поиска сообщений, которые были переадресованы в другой почтовый ящик в исходном почтовом ящике.
Удаление почтового ящика на хранении
При удалении соответствующей учетной записи Microsoft 365 или Office 365 для почтового ящика, помещенного в режим удержания для судебного разбирательства или In-Place удержания, почтовый ящик преобразуется в неактивный почтовый ящик, который является типом обратимо удаленного почтового ящика. Неактивные почтовые ящики используются для сохранения содержимого почтового ящика пользователя после выхода из организации. Элементы в неактивном почтовом ящике сохраняются во время удержания, которое было помещено в почтовый ящик до того, как он стал неактивным. Это позволяет администраторам, сотрудникам по обеспечению соответствия требованиям или менеджерам по записям использовать средство поиска содержимого в Портал соответствия требованиям Microsoft Purview для доступа к содержимому неактивного почтового ящика и поиска его содержимого. Inactive mailboxes can't receive email and aren't displayed in your organization's shared address book or other lists. Дополнительные сведения см. в статье Обзор неактивных почтовых ящиков.