Exchange Online 中的就地 eDiscovery

如果您的組織遵守與組織原則、合規性或訴訟 () 相關的法律探索需求，In-Place Exchange Online PowerShell 中的電子檔探索可協助您在信箱內執行相關內容的探索搜尋。

就地 eDiscovery 運作方式

就地 eDiscovery 使用 Exchange 搜尋所建立的內容索引。 角色型 存取控制 (RBAC) 提供探索管理角色群組，將探索工作委派給非技術人員，而不需要提供更高的許可權，讓使用者對 Exchange 設定進行任何操作變更。 Exchange 系統管理中心 (EAC) 針對非技術人員，例如法務人員、記錄管理員與人力資源 (HR) 專業人員，提供一個簡單易用的搜尋介面。

授權的使用者若要執行就地 eDiscovery 搜尋，可先選取信箱，再指定搜尋準則，例如關鍵字、開始和結束日期、寄件者和收件者地址，以及郵件類型。 搜尋完成之後，授權的使用者接著可再選取下列其中一個動作：

• 估計搜尋結果：此選項會根據您指定的準則，傳回搜尋所傳回的總大小和項目數。

• 預覽搜尋結果：此選項提供結果的預覽。 並顯示從每個搜尋信箱所傳回的郵件。

• 複製搜尋結果：此選項可讓您將訊息複製到探索信箱。

• 匯出搜尋結果：將搜尋結果複製到探索信箱之後，您可以將它們匯出至 PST 檔案。

Exchange 搜尋

就地 eDiscovery 使用 Exchange 搜尋所建立的內容索引。 Exchange 搜尋已重新隔離為使用 Microsoft Search Foundation，這是一個豐富的搜尋平臺，提供大幅改善的索引編製和查詢效能，以及改善的搜尋功能。 因為 Microsoft Search Foundation 也可供其他 Office 產品使用，包括 SharePoint 2013，所以可在這些產品之間提供更高的互操作性和類似的查詢語法。

使用單一內容索引引擎時，IT 部門收到電子檔探索要求時，不會使用任何其他資源來編目和編製 In-Place 電子檔探索信箱資料庫的索引。

In-Place 電子檔探索使用關鍵詞查詢語言 (KQL) ，這是類似於 Microsoft Outlook 和 Outlook 網頁版 中立即搜尋所使用之 AQS (AQS) 的查詢語法。 熟悉 KQL 的使用者能夠輕鬆的建構強大的搜尋查詢來搜尋內容索引。

如需 Exchange 搜尋可編製索引的檔案格式的相關資訊，請參閱Exchange 搜尋會製作索引的檔案格式。

探索管理角色群組和管理角色

若要讓授權使用者在 Exchange Online PowerShell 中執行 In-Place 電子檔探索搜尋，您必須將他們新增至探索管理角色群組。 此角色群組包含兩個管理角色，一個是信箱搜尋角色，它允許使用者執行就地 eDiscovery，另一個是法律保留角色，它允許使用者將信箱設為就地保留或訴訟暫止狀態。 如需角色和角色群組的詳細資訊，請參閱 Exchange Online 中的許可權。

依預設，執行就地 eDiscovery 相關工作的權限未指派給任何使用者或 Exchange 系統管理員。 Exchange 系統管理員為組織管理群組的成員，能將使用者新增至探索管理角色群組，並建立自訂角色群組，將探索管理員的範圍縮小到一部分使用者。 如需將使用者新增至探索管理角色群組的詳細資訊，請參閱 在 Exchange 中指派電子檔探索許可權。

稽核預設啟用的 RBAC 角色變更，確保保留足夠的記錄來追蹤探索管理角色群組的指派。 您可以利用系統管理員角色群組報告來搜尋系統管理員角色群組的變更。 如需詳細資訊，請參閱 Search the role group changes or administrator audit logs。

就地 eDiscovery 的自訂管理範圍

您可以使用自定義管理範圍，讓特定人員或群組使用 In-Place 電子檔探索來搜尋 Exchange Online 組織中的信箱子集。 例如，您可以讓探索管理員只在特定位置或部門中搜尋使用者的信箱。 若要這麼做，您可以建立自訂管理範圍，利用自訂的收件者篩選器來控制可搜尋的信箱。 收件者篩選器範圍使用篩選器，根據收件者類型或其他收件者屬性，鎖定以特定的收件者為目標。

針對 In-Place 電子檔探索，您可以用來建立自定義範圍之收件者篩選器之使用者信箱上的唯一屬性是 通訊群組成員資格。 如果您使用 CustomAttributeN、 Department 或 PostalCode 等其他屬性，則搜尋會在由指派自定義範圍的角色群組成員執行時失敗。 如需詳細資訊，請參閱 建立就地 eDiscovery 搜尋的自訂管理範圍。

探索信箱

建立就地 eDiscovery 搜尋之後，您可以將搜尋結果複製到目標信箱。 EAC 允許您選取探索信箱作為目標信箱。 探索信箱是一種特殊類型的信箱，可提供下列功能：

• 更輕鬆且安全的目標信箱選取：當您使用 EAC 複製 In-Place 電子檔探索搜尋結果時，只有探索信箱可作為儲存搜尋結果的存放庫。 您不需要排序組織中可能很長的信箱清單。 這項功能也消除了探索管理員不小心選取另一個使用者的信箱或不安全的信箱，以便在其中儲存潛在敏感性郵件的可能性。

• 大型信箱儲存配額：目標信箱應該能夠儲存大量可能由 In-Place 電子檔探索搜尋傳回的郵件數據。 依預設，探索信箱擁有 50 GB 的信箱儲存配額。 無法增加此儲存配額。

• 默認更安全：就像所有信箱類型一樣，探索信箱具有相關聯的 Active Directory 用戶帳戶。 不過，預設會停用此帳戶。 只有明確授權存取探索信箱的使用者才能存取該信箱。 探索管理角色群組的成員會獲指派預設探索信箱的完整存取權。 您建立的任何其他探索信箱沒有指派給任何使用者的信箱訪問許可權。

• Email 傳遞已停用：雖然在 Exchange 通訊清單中顯示，但使用者無法將電子郵件傳送至探索信箱。 傳遞限制是用來禁止將電子郵件傳遞至探索信箱。 這項禁止會保留複製到探索信箱之搜尋結果的完整性。

Exchange 安裝程式會建立一個顯示名稱為 探索搜尋信箱的探索信箱。 您可以使用 Exchange Online PowerShell 來建立其他探索信箱。 依預設，您建立的探索信箱不會指派任何信箱存取權限。 您可以將 [完整存取權] 許可權指派給您建立的探索信箱，讓探索管理員可以存取複製到探索信箱的郵件。 如需詳細資訊，請參閱 建立探索信箱。

就地 eDiscovery 也會使用顯示名稱為 SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} 的系統信箱，以保存就地 eDiscovery 中繼資料。 系統信箱在 EMC 或 Exchange 通訊清單中不會顯示。 在內部部署組織中，在移除就地 eDiscovery 系統信箱所在的信箱資料庫之前，您必須先將信箱移至其他信箱資料庫。 如果信箱已移除或損毀，您的探索管理員就無法執行電子檔探索搜尋，直到您重新建立信箱為止。 如需詳細資訊，請參閱 刪除並重新建立 Exchange 中預設的探索信箱。

預估、預覽並複製搜尋結果

完成 In-Place 電子檔探索搜尋之後，您可以在 EAC 的 [ 詳細 數據] 窗格中檢視搜尋結果估計值。 預估包括所傳回的項目數和那些項目的總大小。 您也能檢視關鍵字統計資料，該資料傳回的詳細資料，是關於每個用於搜尋查詢的關鍵字所傳回的項目數。 此資訊在確定查詢效率方面十分實用。 如果查詢過於廣泛，可能會傳回更大的數據集，而可能需要更多資源來檢閱，而且可能會產生電子檔探索成本。 如果查詢太狹隘，可能會大幅減少傳回的記錄數目，或完全未傳回記錄。 您能使用預估和關鍵字統計資料來微調查詢，使其達到您的需求。

您也可以預覽搜尋結果，進一步確保傳回的訊息包含您要搜尋的內容，並在必要時進一步微調查詢。 eDiscovery 搜尋預覽功能會顯示從每個搜尋的信箱所傳回的郵件數，以及搜尋所傳回的郵件總數。 很快就會產生預覽，不需要複製郵件至探索信箱。

當您滿意搜尋結果的數量與品質後，您便能將其複製到探索信箱中。 複製郵件時，您具有下列選項：

• 包含無法搜尋的專案：如需被視為無法搜尋之專案的類型詳細資訊，請參閱上一節中的電子檔探索搜尋考慮。

• 啟用重複數據刪除：如果在搜尋的一或多個信箱中找到多個實例，則刪除重複只會包含唯一記錄的單一實例，藉此減少數據集。

• 啟用完整記錄：根據預設，複製專案時只會啟用 基本記錄 。 您可以選取 [完整記錄 ] 以包含搜尋所傳回之所有記錄的相關信息。

• 複製完成時傳送郵件給我：In-Place 電子檔探索搜尋可能會傳回大量記錄。 複製傳回的郵件至探索信箱可能要花很長的時間。 使用此選項可在複製程式完成時取得電子郵件通知。 為了更輕鬆地使用 Outlook 網頁版，通知會包含複製郵件之探索信箱中位置的連結。

將搜尋結果匯出至 PST 檔案

搜尋結果複製到探索信箱後，您可以將其匯出至 PST 檔案。

將搜尋結果匯出成 PST 檔案之後，您或其他使用者可以在 Outlook 中開啟這些結果，以檢閱或列印搜尋結果中傳回的訊息。 如需詳細資訊，請參閱將 eDiscovery 搜尋結果匯出至 PST 檔。

不同的搜尋結果

因為 In-Place 電子檔探索會對實時數據執行搜尋，所以相同內容來源的兩個搜尋和相同搜尋查詢的使用方式可能會傳回不同的結果。 預估搜尋結果也可能與複製到探索信箱的實際搜尋結果不同。 即使在短時間內重新執行相同的搜尋，也可能會發生此差異。 有幾個因素可能會影響搜尋結果的一致性：

• 持續編製內送電子郵件的索引，因為 Exchange 搜尋會持續編目和編製組織信箱資料庫和傳輸管線的索引。

• 使用者或自動化程式刪除電子郵件。

• 大容量導入大量電子郵件，需要一些時間來編製索引。

如果您遇到相同搜尋但有不同結果的情形，請考慮將信箱設定為保留以保存內容、在離峰時間執行搜尋，並讓系統在匯入大量電子郵件之後有時間建立索引。

記錄就地 eDiscovery 搜尋

就地 eDiscovery 搜尋具有兩種記錄類型：

• 基本記錄：預設會針對所有 In-Place 電子檔探索搜尋啟用基本記錄。 記錄中包含了搜尋和執行者的相關資訊。 基本記錄所擷取的資訊會出現在電子郵件的內文中，此電子郵件會寄到儲存搜尋結果的信箱中。 此郵件位於建立用於儲存搜尋結果的資料夾中。

• 完整記錄：完整記錄包含搜尋所傳回之所有訊息的相關信息。 此資訊會以逗號分隔值 (.csv 提供，) 附加至包含基本記錄資訊的電子郵件訊息。 搜尋的名稱會用於 .csv 檔名。 基於合規性或記錄保留目的，可能需要這項資訊。 若要啟用完整記錄，您必須在將搜尋結果複製到 EAC 中的探索信箱時，選取 [ 啟用完整記錄 ] 選項。 如果您使用 Exchange Online PowerShell，請使用 LogLevel 參數指定完整記錄選項。

除了將搜尋結果複製到探索信箱時所包含的搜尋記錄，Exchange 也會記錄 EAC 或 Exchange Online PowerShell 用來建立、修改或移除 In-Place 電子檔探索搜尋的 Cmdlet。 此資訊會記錄在管理稽核記錄項目中。 如需詳細資訊， 請參閱檢視系統管理員稽核記錄。

就地 eDiscovery 和就地保留

作為 eDiscovery 要求的一部分，您可能會被要求保留信箱內容，直到訴訟或調查已進行處分為止。 信箱使用者所刪除或更改的郵件或任何程序也必須一併保留。 此保留是使用 In-Place 保留來完成。 如需詳細資訊，請參閱原有範圍暫止。

請注意：

• 您無法使用此選項來搜尋所有信箱。 您必須選取該信箱或通訊群組。

• 如果搜尋也用於 [ 就地保留 ] 選項，則無法移除 In-Place 電子檔探索搜尋。 您必須先停用搜尋 中的 [就地保留 ] 選項，然後移除搜尋。

保留用於就地 eDiscovery 的信箱

當員工離開組織時，停用或移除其信箱是常見的做法。 停用信箱之後，信箱會與用戶帳戶中斷連線，但預設會在信箱中保留 30 天。 受管理的資料夾小幫手不會處理已中斷連線的信箱，而且在此期間內不會套用任何保留原則。 您無法搜尋中斷連線的信箱之內容。 一旦達到信箱資料庫已設定之刪除的信箱保留期限時，便會將該信箱從信箱資料庫中清除。

在內部部署中，如果您的組織要求將保留設定套用至不再在組織中的員工訊息，或如果您可能需要保留前員工的信箱以進行中或未來的電子檔探索搜尋，請勿停用或移除信箱。 您可以採取下列步驟，以確保無法存取信箱，而且不會傳遞任何新訊息。

1. 使用 Active Directory 使用者 & 電腦或其他 Active Directory 或帳戶布建工具或腳本，停用 Active Directory 用戶帳戶。 此停用會防止使用相關聯的用戶帳戶登入信箱。

   重要事項

   具有完整存取信箱許可權的使用者仍然可以存取信箱。 若要防止其他人存取，您必須從信箱移除其完整訪問許可權。 如需如何移除信箱上完整存取信箱許可權的資訊，請參閱 管理收件者的許可權。

2. 將會由該信箱使用者寄送或接收的郵件之郵件大小限制設定在非常低的值，例如 1 KB。 此限制可防止新郵件在信箱中來回傳遞。

3. 設定信箱的傳遞限制，讓沒有人可以傳送訊息給信箱。 如需詳細資訊， 請參閱設定信箱的郵件傳遞限制。

當您規劃為郵件保留管理 (MRM) 或就地 eDiscovery 而實施信箱保留時，您必須考慮員工的流動率。 長期保留前任員工的信箱將必須在信箱伺服器上具備額外的儲存空間，而且也會導致 Active Directory 資料庫的增加，因為這必須在相同期間內保留關聯的使用者帳戶。 此外，這可能也會要求變更您組織的帳戶佈建與管理程序。

就地 eDiscovery 文件

下列表格包含可協助您了解並管理就地 eDiscovery 的主題連結。

如需 Microsoft Purview 中電子檔探索的詳細資訊，請參閱 開始使用 eDiscovery (Standard) 。