Exchange Online 中的就地电子数据展示
重要
随着我们继续以不同的方式搜索邮箱内容,我们宣布在 exchange 管理中心停用 In-Place 电子数据展示, (EAC) Exchange Online。 从 2020 年 7 月 1 日起,将无法创建新的 In-Place 电子数据展示搜索。 但是,你仍可以在 EAC 中或使用 Exchange Online PowerShell 中的 Set-MailboxSearch cmdlet 管理 In-Place 电子数据展示搜索。 但是,从 2020 年 10 月 1 日起,将无法管理 In-Place 电子数据展示搜索。 只能在 EAC 中使用 Remove-MailboxSearch cmdlet 删除它们。 仍支持在Exchange Server部署中使用 In-Place 电子数据展示。 有关Exchange Online中停用 In-Place 电子数据展示的详细信息,请参阅旧版电子数据展示工具的停用。
如果你的组织遵守与组织策略、合规性或诉讼) 相关的法律发现要求 (,In-Place Exchange Online PowerShell 中的电子数据展示可以帮助你对邮箱中的相关内容执行发现搜索。
重要
In-Place 电子数据展示是一项强大的功能,它允许具有正确权限的用户访问整个Exchange Online组织中存储的所有消息记录。 控制和监视发现活动是很重要的,这些活动包括将成员添加至 Discovery Management 角色组、分配 Mailbox Search 管理角色以及分配对发现邮箱的邮箱访问权限。
就地电子数据展示的工作原理
就地电子数据展示使用的是由 Exchange 搜索创建的内容索引。 基于角色访问控制 (RBAC) 提供发现管理角色组,以将发现任务委托给非技术人员,无需提供可能允许用户对 Exchange 配置进行任何操作更改的提升权限。 Exchange 管理中心 (EAC) 为非技术人员(如法律和合规事务主管、记录管理员和人力资源 (HR) 专家等)提供易于使用的搜索界面。
授权用户可以执行就地电子数据展示搜索,方法是选择邮箱,然后指定搜索条件,例如关键字、开始日期和结束日期、发件人地址和收件人地址以及邮件类型。 搜索完成后,授权用户可以选择下列操作之一:
估计搜索结果:此选项根据指定的条件返回搜索将返回的总大小和项数的估计值。
预览搜索结果:此选项提供结果预览。 将显示从每个搜索的邮箱返回的邮件。
复制搜索结果:此选项允许将邮件复制到发现邮箱。
导出搜索结果:将搜索结果复制到发现邮箱后,可以将其导出到 PST 文件。
Exchange 搜索
就地电子数据展示使用的是由 Exchange 搜索创建的内容索引。 Exchange 搜索经过重新设计,可使用 Microsoft Search Foundation,这是一个丰富的搜索平台,具有更高的索引和查询性能以及改进搜索功能。 因为 Microsoft Search Foundation 也由其他 Office 产品(包括 SharePoint 2013)使用,所以它可在这些产品间提供更好的互操作性和相似的查询语法。
使用单个内容索引引擎时,当 IT 部门收到电子数据展示请求时,不会使用其他资源来为 In-Place 电子数据展示对邮箱数据库进行爬网和索引。
In-Place 电子数据展示使用关键字查询语言 (KQL) ,该查询语法类似于 Microsoft Outlook 和 Outlook 网页版 中即时搜索使用的高级查询语法 (AQS) 。 熟悉 KQL 的用户可以轻松构建强大的搜索查询以搜索内容索引。
有关通过 Exchange 搜索编制索引的文件格式的详细信息,请参阅File Formats Indexed By Exchange Search。
发现管理角色组和管理角色
要使授权用户在 Exchange Online PowerShell 中执行 In-Place 电子数据展示搜索,必须将他们添加到“发现管理”角色组。 此角色组由下面两个管理角色构成: 邮箱搜索角色(使用户可执行就地电子数据展示搜索)和 法定保留角色(使用户可将邮箱置于就地保留或诉讼保留状态)。 有关角色和角色组的详细信息,请参阅 Exchange Online 中的权限。
默认情况下,不会向任何用户或 Exchange 管理员分配执行与就地电子数据展示相关的任务所需的权限。 作为组织管理角色组成员的 Exchange 管理员可向发现管理角色组添加用户,并可创建自定义角色组,将发现管理员的作用域限制为用户的子集。 有关将用户添加到发现管理角色组的详细信息,请参阅 在 Exchange 中分配电子数据展示权限。
重要
如果用户尚未添加到发现管理角色组或未分配邮箱搜索角色,In-Place 电子数据展示 cmdlet 在 Exchange Online PowerShell 中不可用。
默认情况下启用的 RBAC 角色更改审核可确保保留足够的记录来跟踪发现管理角色组的分配。 您可以使用管理员角色组报告搜索对管理员角色组所做的更改。 有关详细信息,请参阅Search the role group changes or administrator audit logs。
就地电子数据展示的自定义管理作用域
可以使用自定义管理范围让特定人员或组使用 In-Place 电子数据展示来搜索Exchange Online组织中的邮箱子集。 例如,您可能希望发现管理员仅搜索特定位置或部门的用户邮箱。 您可以通过创建使用自定义收件人筛选器控制可以搜索哪些邮箱的自定义管理作用域来执行此操作。 收件人筛选器作用域根据收件人类型或其他收件人属性,使用筛选器指向特定收件人。
对于 In-Place 电子数据展示,用户邮箱上可用于为自定义范围创建收件人筛选器的唯一属性是 通讯组成员身份。 如果使用其他属性(如 CustomAttributeN、 Department 或 PostalCode),则搜索在由分配了自定义作用域的角色组的成员运行时失败。 有关详细信息,请参阅为就地电子数据展示搜索创建自定义管理范围。
发现邮箱
创建就地电子数据展示搜索之后,您可以将搜索结果复制到目标邮箱。 通过 EAC,您可以选择发现邮箱作为目标邮箱。 发现邮箱是一种特殊类型的邮箱,提供以下功能:
更简单且安全的目标邮箱选择:使用 EAC 复制 In-Place 电子数据展示搜索结果时,只有发现邮箱可用作用于存储搜索结果的存储库。 无需在可能很长的组织可用邮箱列表中费心挑选。 此功能还消除了发现管理员意外选择另一个用户的邮箱或用于存储潜在敏感邮件的不安全邮箱的可能性。
大型邮箱存储配额:目标邮箱应能够存储 In-Place 电子数据展示搜索可能返回的大量邮件数据。 默认情况下,发现邮箱的邮箱存储配额为 50 千兆字节 (GB)。 不能增加此存储配额。
默认情况下更安全:与所有邮箱类型一样,发现邮箱具有关联的 Active Directory 用户帐户。 但是默认情况下,此帐户为禁用状态。 只有被显式授权访问发现邮箱的用户可以访问。 发现管理角色组的成员具有对默认发现邮箱的完全访问权限。 对于您创建的任何其他发现邮箱,未将邮箱访问权限分配给任何用户。
禁用Email传递:尽管在 Exchange 地址列表中可见,但用户无法向发现邮箱发送电子邮件。 传递限制用于禁止将电子邮件传递到发现邮箱。 此禁止保留复制到发现邮箱的搜索结果的完整性。
Exchange 安装程序创建一个显示名称为“ 发现搜索邮箱”的发现邮箱。 可以使用 Exchange Online PowerShell 创建其他发现邮箱。 By default, the discovery mailboxes you create won't have any mailbox access permissions assigned. 可以为创建的发现邮箱分配完全访问权限,以便发现管理员可以访问复制到发现邮箱的邮件。 有关详细信息,请参阅 创建发现邮箱。
In-Place eDiscovery also uses a system mailbox with the display name SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} to hold In-Place eDiscovery metadata. System mailboxes aren't visible in the EAC or in Exchange address lists. In on-premises organizations, before removing a mailbox database where the In-Place eDiscovery system mailbox is located, you must move the mailbox to another mailbox database. 如果邮箱已删除或损坏,发现管理员将无法执行电子数据展示搜索,直到你重新创建邮箱。 有关详细信息,请参阅在 Exchange 中删除和重新创建默认发现邮箱。
Estimate, preview, and copy search results
完成 In-Place 电子数据展示搜索后,可以在 EAC 的“ 详细信息 ”窗格中查看搜索结果估算值。 估计包括返回的项目数和这些项目的总大小。 还可以查看关键字统计信息,这些统计信息可返回有关针对搜索查询中使用的每个关键字返回的项目数的详细信息。 此类信息可用于确定查询有效性。 如果查询过于广泛,则可能会返回更大的数据集,这可能需要更多资源来查看,并可能提高电子数据展示成本。 如果查询范围太窄,则可能会显著减少返回的记录数,或是完全不返回任何记录。 可以使用估计和关键字统计信息来微调查询,以满足要求。
注意
关键字统计信息还包括非关键字 (keyword) 属性的统计信息,例如搜索查询中指定的日期、邮件类型和发件人/收件人。
还可以预览搜索结果,以进一步确保返回的消息包含要搜索的内容,并根据需要进一步微调查询。 电子数据展示搜索预览会显示从搜索的每个邮箱中返回的邮件数以及搜索返回的邮件总数。 预览会快速生成,而无需将邮件复制到发现邮箱。
在对搜索结果的数量和质量满意之后,可以将它们复制到发现邮箱。 当复制邮件时,可以选择以下选项:
包括不可搜索的项目:有关被视为不可搜索的项目类型的详细信息,请参阅上一部分中的电子数据展示搜索注意事项。
启用重复数据删除:如果在搜索的一个或多个邮箱中找到多个实例,则重复数据删除仅包含唯一记录的单个实例,从而减少数据集。
启用完整日志记录:默认情况下,复制项目时仅启用 基本日志记录 。 可以选择“ 完整日志记录 ”,以包含有关搜索返回的所有记录的信息。
复制完成后向我发送邮件:In-Place 电子数据展示搜索可能会返回大量记录。 将返回的邮件复制到发现邮箱可能需要较长时间。 使用此选项可在复制过程完成时收到电子邮件通知。 为了便于使用 Outlook 网页版进行访问,通知包含指向将邮件复制到的发现邮箱中位置的链接。
将搜索结果导出到 PST 文件
将搜索结果复制到发现邮箱后,可以将搜索结果导出到 PST 文件中。
在将搜索结果导出到 PST 文件之后,您或其他用户可以在 Outlook 中打开这些结果,以查看或打印在搜索结果中返回的邮件。 有关详细信息,请参阅将电子数据展示搜索结果导出到 PST 文件。
不同的搜索结果
由于 In-Place 电子数据展示对实时数据执行搜索,因此对相同内容源的两次搜索和同一搜索查询的用法可能会返回不同的结果。 估计的搜索结果也可能不同于复制到发现邮箱中的实际搜索结果。 即使在短时间内重新运行同一搜索,也会发生此差异。 有几个因素可能会影响搜索结果的一致性:
持续编制传入电子邮件的索引,因为 Exchange 搜索会持续对组织的邮箱数据库和传输管道进行爬网和编制索引。
用户或自动化进程删除电子邮件。
批量导入大量电子邮件,这需要时间来编制索引。
如果您遇到相同搜索产生不同结果的情况,可以考虑将邮箱置于保留状态以保存内容,在非高峰时段运行搜索,并在导入大量电子邮件后留出些索引时间。
就地电子数据展示搜索的日志记录
有两种类型的日志记录可用于就地电子数据展示搜索:
基本日志记录:默认为所有 In-Place 电子数据展示搜索启用基本日志记录。 基本日志记录包含有关搜索和搜索执行人员的信息。 使用基本日志记录捕获的信息会显示在发送到存储搜索结果的邮箱的电子邮件正文中。 邮件位于为存储搜索结果而创建的文件夹中。
完整日志记录:完整日志记录包括有关搜索返回的所有消息的信息。 此信息以逗号分隔值 (.csv) 文件的形式提供,该文件会附加到包含基本日志记录信息的电子邮件中。 搜索的名称将用作 .csv 文件的名称。 出于遵从性或保留记录的目的,可能需要此信息。 若要启用完整日志记录,必须在 EAC 中将搜索结果复制到发现邮箱时选择 启用完整日志记录选项。 如果使用 Exchange Online PowerShell,请使用 LogLevel 参数指定完整日志记录选项。
注意
使用 Exchange Online PowerShell 创建或修改 In-Place 电子数据展示搜索时,还可以禁用日志记录。
除了将搜索结果复制到发现邮箱时包含的搜索日志外,Exchange 还记录 EAC 或 Exchange Online PowerShell 用于创建、修改或删除 In-Place 电子数据展示搜索的 cmdlet。 此信息记录在管理员审核日志条目中。 有关详细信息,请参阅查看管理员审核日志。
就地电子数据展示和就地保留
作为电子数据展示请求的一部分,您可能需要将邮箱内容保留至处理诉讼或调查之后。 还必须保留邮箱用户或任何过程已删除或更改的邮件。 此保留通过使用 In-Place 保留来完成。 有关详细信息,请参阅就地保留和诉讼保留。
请注意:
不能使用搜索所有邮箱的选项。 必须选择邮箱或通讯组。
如果搜索还用于就 地保留 选项,则无法删除 In-Place 电子数据展示搜索。 必须先在搜索中禁用就 地保留 选项,然后删除搜索。
保留邮箱以用于就地电子数据展示
员工离开组织时,一般会禁用或删除其邮箱。 禁用邮箱后,它将与用户帐户断开连接,但默认在邮箱中保留一定期限(默认为 30 天)。 托管文件夹助理不会处理断开连接的邮箱,并且在此期间不会应用任何保留策略。 您将无法搜索断开的邮箱的内容。 达到了为邮箱数据库配置的已删除邮箱保留期时,会将该邮箱从邮箱数据库中清除。
重要
在 Exchange Online 中,就地电子数据展示可以搜索非活动邮箱的内容。 非活动邮箱是指置于就地保留或诉讼保留然后被删除的邮箱。 只要非活动邮箱置于保留状态,就能被保留。 从 In-Place 保留中删除非活动邮箱或禁用诉讼保留时,将永久删除该邮箱。 有关详细信息,请参阅 创建和管理非活动邮箱。
在本地部署中,如果组织要求将保留设置应用于不再在组织中的员工的邮件,或者你可能需要保留前员工的邮箱进行持续或将来的电子数据展示搜索,请不要禁用或删除邮箱。 可以执行以下步骤,确保无法访问邮箱,并且不会将新邮件传递到该邮箱。
使用 Active Directory 用户 & 计算机 或其他 Active Directory 或帐户预配工具或脚本禁用 Active Directory 用户帐户。 此禁用会阻止使用关联的用户帐户进行邮箱登录。
重要
具有“完全访问”邮箱权限的用户仍可访问邮箱。 若要阻止其他人访问,必须从邮箱中删除其完全访问权限。 有关如何删除邮箱的完全访问权限邮箱权限的信息,请参阅 管理收件人的权限。
将邮箱用户可以发送或接收的邮件的邮件大小限制设置为一个很小的值,如 1 KB。 此限制会阻止向邮箱和从邮箱传递新邮件。
为邮箱配置传递限制,以便没有人可以向其发送邮件。 有关详细信息,请参阅配置邮箱的邮件传递限制。
重要
必须执行以上步骤以及组织要求的任何其他帐户管理过程,但不禁用或删除邮箱或是删除关联用户帐户。
在计划为邮件保留管理 (MRM) 或就地电子数据展示实现邮箱保留时,必须考虑员工流动率。 长期保留前员工的邮箱需要邮箱服务器上的额外存储,还会导致 Active Directory 数据库增大,因为要求将关联的用户帐户也保留相同的时间。 此外,还可能要求更改组织的帐户设置和管理流程。
就地电子数据展示文档
下表给出了有助于了解和管理就地电子数据展示的各个主题的链接。
| 主题 | 说明 |
|---|---|
| 在 Exchange 中分配电子数据展示权限 | 了解如何为用户授予在 EAC 中使用就地电子数据展示搜索 Exchange 邮箱的权限。 将用户添加到发现管理角色组还将允许该用户在 SharePoint 2013 和 SharePoint Online 中使用电子数据展示中心搜索 Exchange 邮箱。 |
| 创建发现邮箱 | 了解如何使用 Exchange Online PowerShell 创建发现邮箱并分配访问权限。 |
| 就地电子数据展示的邮件属性和搜索运算符 | 了解使用就地电子数据展示可以搜索哪些电子邮件属性。 本主题提供每个属性的语法示例、关于 AND 和 OR 等搜索运算符的信息,以及关于其他搜索查询技术(例如,使用双引号 (" ") 和前缀通配符)的信息。 |
| In-Place 电子数据展示的搜索限制 | 了解Exchange Online中的 In-Place 电子数据展示限制,以帮助为 Microsoft 365 或Office 365组织维护电子数据展示服务的运行状况和质量。 |
| 将电子数据展示搜索结果导出到 PST 文件 | 了解如何将电子数据展示搜索的结果导出到 PST 文件。 |
| 为就地电子数据展示搜索创建自定义管理范围 | 了解如何使用自定义管理作用域来限制发现管理员可以搜索的邮箱。 |
| 搜索和删除电子邮件 | 了解如何使用内容搜索来搜索和删除电子邮件。 |
| 减小 Exchange 中发现邮箱的大小 | 使用此过程可减小大于 50 GB 的发现邮箱的大小。 |
| 在 Exchange 中删除和重新创建默认发现邮箱 | 了解如何删除和重新创建默认发现邮箱,并重新向其分配权限。 如果此邮箱已超过 50 GB 限制,并且不需要搜索结果,请使用此过程。 |
有关 Microsoft Purview 中的电子数据展示的详细信息,请参阅 电子数据展示 (Standard) 入门 。