Exchange Online中的 In-Place 保留和诉讼保留

  • 项目

重要

  • 请参阅 Exchange 安全性和合规性功能的Microsoft 365 安全中心Microsoft Purview 合规门户。 它们在新的 Exchange 管理中心中不再可用。
  • 随着我们继续以不同的方式投资来保留邮箱内容,我们宣布在 Exchange Online (EAC) 中停用 Exchange 管理中心的 In-Place 保留。 从 2020 年 7 月 1 日起,将无法创建新的 In-Place 保留。 但是,你仍可以在 EAC 中或使用 Exchange Online PowerShell 中的 Set-MailboxSearch cmdlet 来管理 In-Place 保留。 但是,从 2020 年 10 月 1 日起,你将无法管理 In-Place 保留。 只能在 EAC 中使用 Remove-MailboxSearch cmdlet 删除它们。 仍支持在 Exchange Server 和 Exchange 混合部署中使用 In-Place 保留。 你仍然可以将邮箱置于诉讼保留中。 有关Exchange Online中 In-Place 保留停用的详细信息,请参阅旧版电子数据展示工具的停用

当存在诉讼的合理预期时,需要组织保留与事实相关的以电子方式存储的信息 (ESI),包括电子邮件。 这种预期通常会在知道事实的细节之前发生,并且保留内容通常很广泛。 组织可能需要保留与特定文章相关的所有电子邮件或特定个人的所有电子邮件。 可能会采用以下度量标准来保留电子邮件,具体取决于组织的电子发现(电子数据展示)实践:

  • 可能会要求最终用户通过不删除任何邮件来保留电子邮件。 但是,用户仍然可能会有意或无意地删除电子邮件。

  • 自动删除机制(如邮件记录管理 (MRM))可能被挂起。 这可能导致用户邮箱因有大量电子邮件而变得杂乱,因而影响用户的工作效率。 挂起自动删除也不能防止用户手动删除电子邮件。

  • 一些组织会将电子邮件复制或移动到存档中以确保它不被删除、更改或篡改。 这会增加成本,因为需要手动操作才能将邮件复制或移动到存档,或者第三方产品用于在 Exchange 外部收集和存储电子邮件。

如果未能保留电子邮件,则可能会使组织面临法律和财务风险,例如组织的记录保留和发现过程的审查、不利的法律判决、制裁或罚款等。

您可以使用就地保留或诉讼保留来完成以下目标:

  • 保留用户邮箱并永久保留邮箱项目。

  • 保留由用户或自动删除过程删除的邮箱项目,例如 MRM。

  • 使用基于查询的就地保留搜索并保留与指定条件匹配的项目。

  • 无限期保留项目或保留特定的持续时间。

  • 将用户置于多个保留中用于不同的事例或调查。

  • 通过不必挂起 MRM 使保留对用户是透明的。

  • 启用置于保留状态的项目的就地电子数据展示搜索。

就地保留方案

在早期版本的 Exchange 中,法定保留的概念是无限期地保留用户的所有邮箱数据,或直到删除保留为止。 在 Exchange Online 中,In-Place Hold 包含一个新模型,用于指定以下参数:

  • 要保留的内容:可以使用查询参数(如关键字、发件人和收件人、开始和结束日期)指定要保留哪些项目,还可以指定要保留的邮件类型,例如电子邮件或日历项目。

  • 保留时间:可以指定保留项的持续时间。

通过使用此新模型,就地保留允许您创建精细的保留策略以便在以下方案中保留邮箱项目:

  • 无限期保留:无限期保留方案类似于诉讼保留。 它旨在保留邮箱项目以便您可以满足电子数据展示要求。 在诉讼或调查期间,从不删除项目。 由于预先不知道持续时间,因此不配置结束日期。 要无限期保留所有邮件项目,请不要在创建就地保留时指定任何查询参数或持续时间。

    重要

    将邮箱置于无限期保留状态意味着永远不会从邮箱中删除满足保留要求的邮件项目。 这可能会导致邮箱超过 “可恢复项目配额”,这会使邮箱不可用。 Microsoft 建议为邮箱启用 存档 ,并启用 自动扩展存档功能。 有关详细信息 ,请参阅保留和邮箱配额

  • 基于查询的保留:如果组织根据指定的查询参数保留项,则可以使用基于查询的 In-Place 保留。 您可以指定诸如关键字、开始日期和结束日期、发件人和收件人地址以及邮件类型这样的查询参数。 创建基于查询的就地保留之后,会保留与查询参数匹配的所有现有邮箱项目和将来项目(包括在以后日期接收的邮件)。

    重要

    通常由于无法索引附件,标记为不可搜索的项目也会被保留,因为无法确定它们是否与查询参数相匹配。 有关部分索引项的详细信息,请参阅 内容搜索中的部分索引项

  • 基于时间的保留:In-Place 保留和诉讼保留都允许指定保留项目的持续时间。 持续时间从接收或创建邮箱项目的日期开始计算。

    如果组织要求将所有邮箱项目保留一段时间(例如 7 年),则可以创建基于时间的保留,以便保留项目在特定时间段内保留。 例如,分析基于时间进行就地保留并且将保留期间设置为 365 天的邮箱。 如果自收到某个项目开始计算,300 天后删除了此邮箱中的某个项目,则在永久删除该项目之前还需要再保留 65 天。 您可以将基于时间的就地保留与保留策略一起使用,以确保这些项目保留指定的持续时间并在该期间过后永久删除。

你可以使用就地保留将用户置于多个保留中。 将用户放在多个保留中时,来自任何基于查询的搜索查询将合并(使用 OR 运算符)。 在这种情况下,放在一个邮箱中的所有基于查询的保留中关键字的最大数量为 500。 如果超过 500 个关键字,则邮箱中的所有内容都将置于保留状态(而不只是符合搜索条件的内容)。 将保留所有内容,直到关键字总数减少到 500 或更少。

就地保留和诉讼保留

诉讼保留使用邮箱的 LitigationHoldEnabled 属性将邮箱内容置于保留状态。 就地保留基于查询参数和放置多个保留的功能提供精细的保留功能,而诉讼保留仅允许您将所有项目都置于保留状态。 当邮箱处于诉讼保留状态时,您还可以指定保留项目的持续时间。 持续时间从接收或创建邮箱项目的日期开始计算。 如果未设置持续时间,项目会无限期保留或一直保留到删除保留。

同时将邮箱置于一个或多个就地保留和诉讼保留(无持续时间)中时,将无限期保留所有项目或一直保留到删除保留。 如果删除诉讼保留而用户仍置于一个或多个就地保留中,则将匹配就地保留条件的项目在保留设置中保留指定的时间段。

注意

当您将邮箱置于就地保留或诉讼保留中时,该保留将置于主邮箱和存档邮箱中。 如果将 Exchange 混合部署中的内部部署主邮箱置于保留状态,则也会将基于云的存档邮箱(如果已启用)置于保留状态。

将邮箱置于就地保留中

已添加到发现管理基于角色的访问控制 (RBAC) 角色组或分配了法定保留和邮箱搜索管理角色的授权用户可以管理或删除 In-Place 保留的邮箱。 可以将该任务委派给组织的法律部门中的记录管理员、遵从性管理者或律师,同时分配最低特权。 有关分配 发现管理 角色组的详细信息,请参阅在 Exchange 中分配电子数据展示权限

可以使用 Exchange 管理中心的就地电子数据展示 & 保留向导 (EAC) 或 Exchange Online PowerShell 中的 New-MailboxSearch 和相关 cmdlet 删除 In-Place 保留上的邮箱。 若要详细了解如何在保留 In-Place 删除邮箱,请参阅 删除 In-Place 保留

许多组织都需要用户在置于保留时得到通知。 此外,当邮箱置于保留时,不需要挂起适用于邮箱用户的任何保留策略。 由于邮件继续按预期方式进行删除,因此用户可能不会注意到他们置于保留中。 如果组织要求通知处于保留状态的用户,则可以将通知消息添加到邮箱用户的 RetentionComment 属性,并使用 RetentionUrl 属性链接到网页以获取详细信息。 Outlook 2010 及更高版本在 Backstage 区域显示通知和 URL。 必须使用 Exchange Online PowerShell 添加和管理邮箱的这些属性。 有关详细信息,请参阅 Set-Mailbox

将公用文件夹置于保留状态

在 Exchange Online 中,可以通过使用就地保留将公用文件夹置于保留状态。 不支持将诉讼保留用于公用文件夹。 创建就地保留时,唯一的选项是将组织中的所有公用文件夹置于保留状态。 其结果是,所有公用文件夹邮箱都被置于就地保留状态。

此外,将公用文件夹置于就地保留状态时,还保留了与公用文件夹层次结构同步过程相关的电子邮件。 这可能会导致保存数千个与层次结构同步相关的电子邮件项。 这些邮件可能会填满公用文件夹邮箱上可恢复项目文件夹的存储配额。 若要防止出现这种情况,可以创建基于查询 In-Place 保留,并将以下 property:value 对添加到搜索查询:

NOT(subject:HierarchySync*)

其结果是,主题行中包含短语“HierarchySync”的任何邮件(与公用文件夹层次结构的同步相关)都不会置于保留状态。

保留和“可恢复的项目”文件夹

就地保留和诉讼保留使用"可恢复的项目"文件夹来保留项目。 "可恢复的项目"文件夹替换在早期版本的 Exchange 中非正式称为"转储程序"的功能。 Outlook 的默认视图中隐藏了“可恢复的项目”文件夹,Outlook 网页版 (以前称为“Outlook Web App) ”和其他电子邮件客户端。 若要详细了解“可恢复的项目”文件夹,请参阅 Exchange Online 中的“可恢复项目”文件夹

默认情况下,当用户从"已删除的项目"文件夹之外的文件夹中删除邮件时,该邮件将移动到"已删除的项目"文件夹中。 这称为"移动"。 当用户对某个项目执行"软删除"操作(通过按 Shift 和 Delete 键来实现)或从"已删除的项目"文件夹中删除某个项目,该邮件将移动到"可恢复的项目"文件夹,因而将从用户视图中消失。

“可恢复的项目”文件夹中的项目将保留为用户邮箱配置的已删除邮件保留期。 默认情况下,Exchange Online邮箱的已删除邮件保留期为 14 天。 还可以为"可恢复的项目"文件夹配置存储配额。 这可以保护组织免受由于“可恢复的项目”文件夹的快速增长而导致的潜在拒绝服务 (DoS) 攻击。 如果邮箱未置于就地保留或诉讼保留中,当超出"可恢复的项目"文件夹警告配额,或项目在该文件夹中的保留持续时间超过已删除项目保留期间时,将按照先进先出的原则从"可恢复的项目"文件夹永久清除项目。

"可恢复的项目"文件夹包含以下子文件夹,这些子文件夹用于存储各种站点中的已删除项目并可加速就地保留和诉讼保留:

  • 删除 - 在 Outlook 和 Outlook 网页版 中使用“恢复已删除邮件”功能时,从“已删除邮件”文件夹中删除的项目或从其他文件夹中软删除的项目将移至“删除项”子文件夹,并且对用户可见。 默认情况下,项目驻留在此文件夹中,直到为邮箱配置的已删除邮件保留期过期。

  • 清除 - 当用户使用 Outlook 和 Outlook 网页版 中的“恢复已删除邮件”工具 (从“可恢复的项目”文件夹中删除项目时,该项目将移动到“清除”文件夹。 超过为邮箱配置的已删除邮件保留期的项目也会移动到“清除”文件夹。 如果用户使用"恢复已删除邮件"工具,则此文件夹中的项目对这些用户不可见。 当托管文件夹助理处理邮箱时,“清除”文件夹中的项目将从邮箱中清除。 将邮箱用户置于诉讼保留状态时,托管文件夹助理不会清除此文件夹中的项目。

  • DiscoveryHold - 如果用户位于 In-Place 保留上,已删除的项目将移动到此文件夹。 当托管文件夹助理处理邮箱时,它会评估此文件夹中的邮件。 将匹配就地保留查询的项目保留在该查询中指定的保留期。 如果未指定保留期,则无限期保留项目或一直保留到从保留中删除用户。

  • 版本 - 当用户置于 In-Place 保留或诉讼保留时,必须保护邮箱项目不受用户或进程篡改或修改。 此操作通过使用 写入时复制进程来实现。 当用户或进程更改邮箱项目的特定属性时,在提交更改之前,会将原始项目的副本保存到"版本"文件夹中。 对后续更改重复此过程。 在“版本”文件夹中捕获的项目也会在电子数据展示搜索中编制索引和返回。 删除保留后,托管文件夹助理将删除"版本"文件夹中的副本。

  • SubstrateHolds - 如果启用了 In-Place 保留、诉讼保留或 Microsoft 365 或 Office 365 Teams 聊天保留策略,则如果邮件已修改或删除,此子文件夹将包含 Teams 消息的原始副本。 保存修改前项的副本。 此文件夹对最终用户不可见。

触发"写入时复制"的属性

项目类型 触发“写入时复制”的属性
邮件 (IPM.Note*)
公告 (IPM.Post*)		 主题
Body
附件
发件人/收件人
发送/接收日期
非邮件和公告的项目 对可见属性的任何更改(以下项除外):
项目位置(当在文件夹之间移动项目时)
项目状态更改(已读或未读)
对保留标记进行的应用于项目的更改
默认文件夹"草稿"中的项目 无("草稿"文件夹中的项目免于"写入时复制")

重要

从与会者获得会议响应并且更新会议的跟踪信息时,组织者邮箱中的日历项目将禁用"写入时复制"功能。 对于设置了提醒的日历项和项目,ReminderTime 和 ReminderSignalTime 属性的"写入时复制"功能禁用。 对这些属性的更改并不是由"写入时复制"功能捕获的。 对 RSS 源的更改并不是由"写入时复制"功能捕获的。

尽管"DiscoveryHold"、"清除"和"版本"文件夹对用户不可见,但"可恢复的项目"文件夹中的所有项目由 Exchange 搜索编制索引,并且可使用就地电子数据展示来发现。 从就地保留或诉讼保留中删除邮箱用户后,"DiscoveryHold"、"Purges"和"Version"文件夹中的项目将被托管文件夹助理清除。

保留和邮箱配额

“可恢复的项目”文件夹中的项目不根据用户的邮箱配额进行计算。 在Exchange Online中,“可恢复的项目”文件夹具有自己的配额。 对于 Exchange,RecoverableItemsWarningQuotaRecoverableItemsQuota 邮箱属性的默认值分别设置为 20 GB 和 30 GB。 在 Exchange Online 中,当将邮箱置于诉讼保留或就地保留状态时,"可恢复的项目"文件夹(在用户的主邮箱中)的配额会自动增加至 100 GB。 当置于保留状态的邮箱的主邮箱"可恢复的项目"文件夹的存储配额接近其限额时,可以执行以下操作:

  • 启用存档邮箱并启用自动扩展存档 - 只需启用存档邮箱,然后在 Exchange Online 中启用自动扩展存档功能,即可为“可恢复的项目”文件夹启用无限存储容量。 这会导致主邮箱中的“可恢复项目”文件夹达到 110 GB,用户存档中“可恢复的项目”文件夹的存储容量不受限制。 了解如何:在合规性门户中启用存档邮箱启用无限制存档 - 管理员帮助

    注意

    • 为"可恢复的项目"文件夹存储配额接近上限的邮箱启用存档功能后,可能需要运行托管文件夹助理以自动触发助理处理邮箱,以便将过期项目移至存档邮箱的"可恢复的项目"文件夹。 请参阅增加置于保留状态的邮箱可恢复项目的配额中的步骤 4 了解相关说明。

    • 注意,用户邮箱中的其他项目可能会移至新的存档邮箱。 请考虑告知用户启用存档邮箱后可能会出现此情况。

  • 为保留邮箱创建自定义保留策略 - 除了为诉讼保留或 In-Place 保留的邮箱启用存档邮箱和自动扩展存档外,可能还需要在 Exchange Online 中为保留邮箱创建自定义 MRM 保留策略。 你可以将保留策略应用于保留的邮箱,此策略与应用到未保留邮箱的"默认 MRM 策略"有所不同。 这样,便可以应用专为保留邮箱设计的保留标记。 其中包括为"可恢复的项目"文件夹创建新的保留标记。

有关详细信息,请参阅增加置于保留状态的邮箱可恢复项目的配额

保留项和电子邮件转发

用户可以使用 Outlook 和 Outlook 网页版 为其邮箱设置电子邮件转发。 利用电子邮件转发,用户可以将邮箱配置为将发送至其邮箱的电子邮件转发给其组织内部或外部的其他邮箱。 可以配置电子邮件转发,以便发送到原始邮箱的所有邮件不会被复制到该邮箱,并且只会被发送到转发地址。

如果为邮箱设置了电子邮件转发,而且邮件无法被复制到原始邮箱,则如果该邮箱处于保留状态,将会发生什么? 在传递过程中会对邮箱的保留设置进行检查。 如果邮件符合邮箱的保留条件,则该邮件的副本会被保存到"可恢复的项目"文件夹中。 这意味着你可以使用电子数据展示工具来搜索原始邮箱,以查找转发到另一个邮箱的邮件。

删除处于保留状态的邮箱

删除已置于诉讼保留或 In-Place 保留的邮箱的相应 Microsoft 365 或Office 365帐户时,邮箱将转换为非活动邮箱,这是一种软删除邮箱。 当用户离开您的组织之后,非活动邮箱用于保留该用户的邮箱内容。 非活动邮箱中的项目在邮箱处于非活动状态之前处于保留状态期间保留。 这允许管理员、合规性官员或记录管理员使用Microsoft Purview 合规门户中的内容搜索工具来访问和搜索非活动邮箱的内容。 非活动状态的邮箱无法接收电子邮件且不在组织的共享通讯簿或其他列表中显示。 有关详细信息,请参阅 非活动邮箱概述