轉自Exchange中文站http://www.exchangecn.com/html/exchange2013/20130502_450.html
如果您的組織遵循法律發現要求(與組織策略、合規性或訴訟相關),Microsoft Exchange Server 2013 就地電子數據展示可以幫助您對 Exchange 2013 郵箱內的相關內容執行發現搜索。
如果您的組織遵循法律發現要求(與組織策略、合規性或訴訟相關),Microsoft Exchange Server 2013 就地電子數據展示可以幫助您對 Exchange 2013 郵箱內的相關內容執行發現搜索。
就地電子數據展示使用的是由 Exchange 搜索創建的內容索引。基於角色的訪問控制 (RBAC) 提供了 發現管理 角色組,以便將發現任務委派給非技術人員,而無需提供提升的權限,提升的權限可能會允許用戶對 Exchange 配置進行任何操作性的更改。Exchange 管理中心 (EAC) 爲非技術人員(如法律和合規事務主管、記錄管理員和人力資源 (HR) 專家等)提供易於使用的搜索界面。
在 Exchange 2013 中,授權用戶可以執行就地電子數據展示並選擇以下選項之一:
1)估計搜索結果 獲取搜索會返回的估計郵件數,包括關鍵字統計信息以確定搜索中使用的關鍵字有效性並在需要時調整搜索參數。
2)預覽搜索結果
3)將搜索結果中返回的郵件複製到發現郵箱。
Exchange 2013 還提供聯合搜索功能以及與 Microsoft SharePoint 2013 的集成。使用“電子數據展示中心”可以搜索並就地保留與某個案例相關的所有內容(SharePoint 2013 網站、文檔、SharePoint 編入索引的文件共享、Exchange 中的郵箱內容以及來自單個位置的存檔 Lync 2013 內容)。
Exchange 搜索
就地電子數據展示使用的是由 Exchange 搜索創建的內容索引。在 Exchange 2013 中,Exchange 搜索已重新設計爲使用 Microsoft Search Foundation。使用 Microsoft Search Platform 可提高索引和查詢性能並改進搜索功能。因爲 Microsoft Search Foundation 也由其他 Office 產品(包括 SharePoint 2013)使用,所以它可在這些產品間提供更好的互操作性和相似的查詢語法。
使用單一內容索引引擎,當 IT 部門收到電子數據展示請求時,無需使用其他資源便可針對就地電子數據展示進行爬網和索引郵箱數據庫。
就地電子數據展示使用關鍵字查詢語言 (KQL),這是一種查詢語法,類似於 Microsoft Outlook 和 Outlook Web App 中的即時搜索使用的高級查詢語法 (AQS)。熟悉 KQL 的用戶可以輕鬆構建強大的搜索查詢以搜索內容索引。
發現管理角色組和管理角色
對於執行就地電子數據展示搜索的用戶,您必須將其添加到 發現管理 RBAC 角色組。此角色組由下面兩個管理角色構成:郵箱搜索角色(使用戶可執行就地電子數據展示搜索)和合法保留角色(使用戶可將郵箱置於就地保留或訴訟保留狀態)。
默認情況下,不會向任何用戶或 Exchange 管理員分配執行與就地電子數據展示相關的任務所需的權限。作爲組織管理角色組成員的 Exchange 管理員可向發現管理角色組添加用戶,並可創建自定義角色組,將發現管理員的作用域限制爲用戶的子集。有關將用戶添加到發現管理角色組的詳細信息,請參閱將用戶添加到“發現管理”角色組。
RBAC 角色更改的審覈(默認情況下會啓用)可確保保留了適當的記錄,以便跟蹤發現管理角色組的分配。
發現郵箱
創建就地電子數據展示搜索之後,您可以將搜索結果複製到目標郵箱。通過 EAC 可以選擇發現郵箱作爲目標郵箱。發現郵箱是一種特殊類型的郵箱,它具有以下功能:
1)更加輕鬆安全的目標郵箱選擇 當您使用 EAC 複製就地電子數據展示搜索結果時,只有發現郵箱可作爲存儲搜索結果的存儲庫。無需在可能很長的組織可用郵箱列表中費心挑選。這也消除了發現管理員出現以下錯誤的可能性:即不小心選擇了其他用戶的郵箱或可能存儲了敏感郵件的不安全郵箱。
2)大型郵箱存儲配額 目標郵箱應能夠存儲就地電子數據展示搜索可能返回的大量郵件數據。默認情況下,發現郵箱的郵箱存儲配額爲 50 千兆字節 (GB)。您可以修改配額,以使其滿足自己的需要。
3)默認情況下更加安全 與所有郵箱類型一樣,發現郵箱具有關聯的 Active Directory 用戶帳戶。但是默認情況下,此帳戶爲禁用狀態。只有顯式授權可訪問發現郵箱的用戶可以訪問。發現管理角色組的成員具有對默認發現郵箱的完全訪問權限。創建的任何其他發現郵箱都不會將郵箱訪問權限分配給任何用戶。
4)電子郵件傳遞已禁用 雖然電子郵件在 Exchange 地址列表中可見,但用戶不能將其發送至發現郵箱。使用傳遞限制來禁止對發現郵箱進行電子郵件傳遞。這可保持複製到發現郵箱的搜索結果的完整性。
Exchange 2013 安裝程序會創建一個顯示名爲“發現搜索郵箱”的發現郵箱。可以使用命令行管理程序創建其他發現郵箱。默認情況下,創建的發現郵箱不會分配有任何郵箱訪問權限。可以爲發現管理員分配完全訪問權限以訪問複製到發現郵箱的郵件。
就地電子數據展示還使用顯示名爲“SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}”的系統郵箱來保留就地電子數據展示元數據。系統郵箱在 EAC 或 Exchange 地址列表中不可見。在刪除就地電子數據展示系統郵箱所在的郵箱數據庫之前,必須將該郵箱移動到其他郵箱數據庫。如果刪除或損壞了該郵箱,則發現管理員無法執行電子數據展示搜索,直到重新創建該郵箱。有關詳細信息,請參閱重新創建發現系統郵箱。
與 SharePoint Server 2013 集成
Exchange 2013 提供與 SharePoint 2013 的集成,從而使發現管理員可以在 SharePoint 中使用電子數據展示中心來執行以下任務:
1)從單個位置搜索和保留內容 授權發現管理員可以跨 SharePoint 和 Exchange 搜索和保留內容,包括 Lync 內容(如 Exchange 郵箱中存檔的即時消息對話和共享會議文檔)。
2)案例管理 電子數據展示中心使用案例管理方法進行電子數據展示,從而使您可以創建案例並針對每個案例跨不同內容庫保留內容。 導出搜索結果 發現管理員可以使用電子數據展示中心導出搜索結果。包含在搜索結果中的郵箱內容會導出到 PST 文件中。
SharePoint 還使用 Microsoft Search Foundation 進行內容索引和查詢。無論發現管理員是使用 EAC 還是電子數據展示中心搜索 Exchange 內容,都會返回相同郵箱內容。
在使用 SharePoint 中的電子數據展示中心搜索 Exchange 郵箱之前,必須在兩個應用程序之間建立信任。在 Exchange 2013 和 SharePoint 2013 中,這使用 OAuth 身份驗證來完成。從 SharePoint 執行的電子數據展示搜索通過 Exchange 使用 RBAC 進行授權。若要 SharePoint 用戶能夠執行 Exchange 郵箱的電子數據展示搜索,必須在 Exchange 中向他們分配委派發現管理權限。若要能夠預覽使用 SharePoint 電子數據展示中心執行的電子數據展示搜索中返回的郵箱內容,發現管理員必須在相同 Exchange 組織中擁有郵箱。
使用就地電子數據展示
已添加至發現管理角色組的用戶可以執行就地電子數據展示搜索。可以在 EAC 中使用基於 Web 的界面執行搜索。這可以使非技術人員(如記錄管理員、合規事務主管或是法律和 HR 專家)可以更加輕鬆地使用就地電子數據展示。還可以使用命令行管理程序執行搜索。
EAC 中的“就地電子數據展示和保留”嚮導使您可以創建就地電子數據展示搜索,還可使用就地保留將搜索結果置於保留狀態。在創建就地電子數據展示搜索時,會在就地電子數據展示系統郵箱中創建搜索對象。可以通過操縱該對象來啓動、停止、修改或刪除搜索。在創建搜索之後,可以選擇獲取搜索結果的估計,這包括可幫助確定查詢有效性的關鍵字統計信息。還可以對搜索中返回的項目進行實時預覽,從而使您可以查看郵件內容、從每個源郵箱返回的郵件數以及郵件總數。可以使用此信息在需要時進一步微調查詢。
當對搜索結果滿意時,可以將結果複製到發現郵箱。還可以使用 Outlook 將發現郵箱或其中部分內容導出到 PST 文件。
當創建就地電子數據展示搜索時,必須指定以下參數:
1)名稱 搜索名稱用於標識搜索。當將搜索結果複製到發現郵箱時,會通過使用以唯一方式標識發現郵箱中的搜索結果的搜索名稱和時間戳,在發現郵箱中創建文件夾。
2)郵箱 可以選擇搜索 Exchange 2013 組織中的所有郵箱或指定要搜索的郵箱。如果還要使用相同搜索將項目置於保留狀態,則必須指定郵箱。可以指定一個通訊組,以包含作爲該組成員的郵箱用戶。組的成員資格會在創建搜索時一次性進行計算,對組成員資格的後續更改不會自動反映在搜索中。用戶的主郵箱和存檔郵箱包含在搜索中。
3)搜索查詢 可以包含指定郵箱中的所有郵箱內容,或使用搜索查詢返回與案例或調查更加相關的項目。可以在搜索查詢中指定以下參數:
--關鍵字:可以指定關鍵字和短語來搜索郵件內容。還可以使用邏輯運算符 AND、OR 和 NOT。此外,Exchange 2013 還支持 NEAR 運算符,從而使您可以搜索與另一個單詞或短語接近的單詞或短語。 若要搜索包含多個單詞的短語的完全匹配項,必須在該短語前後加上引號。例如,搜索短語“plan and competition”將返回包含該短語的完全匹配項的郵件,而指定“plan AND competition”則將返回在郵件中任何位置包含單詞“plan”和“competition”的郵件。 Exchange 2013 還支持將關鍵字查詢語言 (KQL) 語法用於就地電子數據展示搜索。
邏輯運算符必須使用大寫,以將其作爲運算符而非關鍵字處理,例如 AND 和 OR。我們建議對任何混用多個邏輯運算符的查詢使用顯式圓括號,以避免出現錯誤或誤解。例如,如果要搜索包含 WordA 或 WordB 以及 WordC 或 WordD 的郵件,則必須使用 (WordA OR WordB) AND (WordC OR WordD)。
--開始日期和結束日期 默認情況下,就地電子數據展示不按日期範圍限制搜索。若要搜索特定日期範圍內發送的郵件,可以通過指定開始和結束日期來縮小搜索範圍。如果不指定結束日期,則每次重新啓動搜索時將返回最新結果。
--發件人和收件人 若要縮小搜索範圍,可以指定郵件的發件人或收件人。可以使用電子郵件地址、顯示名稱或域名來搜索發送到或發送自域中每個用戶的項目。例如,若要查找由任何用戶發送到或發送自 Contoso, Ltd. 的電子郵件,請在 EAC 的“發件人”或“收件人/抄送”字段中指定“@contoso.com”。還可以在命令行管理程序的 Senders 或 Recipients 參數中指定“@contoso.com”。
--郵件類型 默認情況下,搜索所有郵件類型。可以通過選擇特定的郵件類型(如電子郵件、聯繫人、文檔、日記、會議、便箋和 Lync 內容)來限制搜索。 使用就地電子數據展示時,還需考慮以下事項:
4)附件 就地電子數據展示會搜索 Exchange 搜索支持的附件。通過爲郵箱服務器上的文件類型安裝的搜索篩選器(也稱爲 iFilter),可以添加對其他文件類型的支持。
5)不可搜索的項目 不可搜索的項目是指 Exchange 搜索無法編入索引的郵箱項目。無法編入索引的原因包括未對附加文件安裝搜索篩選器、篩選器錯誤和加密郵件。若要實現成功的電子數據展示搜索,組織可能需要包含這類項目以進行審閱。將搜索結果複製到發現郵箱時,可以包含不可搜索的項目。
6)安全列表 某些文件類型不包含可編入索引的內容,因此不會由 Exchange 搜索編入索引。這些文件類型不會被視爲不可搜索的項目,因此它們在選擇用於將不可搜索的項目複製到發現郵箱的選項時不會包含在內。不可搜索的項目的列表中不返回包含這些文件類型的郵箱項目。
7)加密項目 因爲 Exchange 搜索不會將使用 S/MIME 加密的郵件編入索引,所以就地電子數據展示不會搜索這些郵件。如果選擇了用於在搜索結果中包括不可搜索的項目的選項,則這些使用 S/MIME 加密的郵件將複製到發現郵箱。
8)受 IRM 保護的項目 使用信息權限管理 (IRM) 保護的郵件會由 Exchange 搜索編入索引,因此在匹配查詢參數時會包括在搜索結果中。必須使用 Active Directory 權限管理服務 (AD RMS) 羣集保護郵件,此羣集應與郵箱服務器處於同一 Active Directory 林中。
9)重複數據刪除 在將搜索結果複製到發現郵箱時,可以對搜索結果啓用“重複數據刪除”功能以便僅將特定郵件的一個實例複製到發現郵箱。重複數據刪除具有以下好處:
--由於減少了複製的郵件數,因此降低了存儲要求並縮小了發現郵箱的大小。 --減輕了發現管理員、法律顧問或參與審閱搜索結果的其他人員的工作負荷。 --降低了電子數據展示成本,具體取決於從搜索結果中排除的重複項目數。
估計、預覽和複製搜索結果
在完成就地電子數據展示搜索之後,可以在 EAC 的詳細信息窗格中查看搜索結果估計。估計包括返回的項目數和這些項目的總大小。還可以查看關鍵字統計信息,這些統計信息可返回有關針對搜索查詢中使用的每個關鍵字返回的項目數的詳細信息。此類信息可用於確定查詢有效性。如果查詢範圍太廣,則可能返回大得多的數據集,這可能需要更多資源用於審閱並會提高電子數據展示成本。如果查詢範圍太窄,則可能會顯著減少返回的記錄數,或是完全不返回任何記錄。可以使用估計和關鍵字統計信息來微調查詢,以滿足要求。
還可以預覽搜索結果,以便進一步確保返回的郵件包含所搜索的內容並在需要時進一步微調查詢。電子數據展示搜索預覽會顯示從搜索的每個郵箱中返回的郵件數以及搜索返回的郵件總數。預覽會快速生成,而無需將郵件複製到發現郵箱。
在對搜索結果的數量和質量滿意之後,可以將它們複製到發現郵箱。當複製郵件時,可以選擇以下選項:
1)包括不可搜索的項目 有關被視爲不可搜索的項目類型的詳細信息,請參閱上一節中的電子數據展示搜索注意事項。
2)啓用重複數據刪除 在搜索的一個或多個郵箱中找到多個實例時,重複數據刪除可僅包括特定記錄的單個實例,從而減小數據集。
3)啓用完整日誌記錄 默認情況下,僅當複製項目時才啓用基本日誌記錄。可以選擇完整日誌記錄以包含搜索返回的所有記錄的有關信息。
4)在複製完成時向我發送郵件 就地電子數據展示搜索可能可返回大量記錄。將返回的郵件複製到發現郵箱可能需要較長時間。使用此選項可在複製過程完成時收到電子郵件通知。爲了更方便地使用 Outlook Web App 進行訪問,通知包含一個鏈接,該鏈接指向將郵件複製到的發現郵箱中的位置
日誌記錄
有兩種類型的日誌記錄可用於就地電子數據展示搜索:
1)基本日誌記錄 默認情況下將爲所有就地電子數據展示搜索啓用基本日誌記錄。基本日誌記錄包含有關搜索和搜索執行人員的信息。使用基本日誌記錄捕獲的信息會顯示在發送到存儲搜索結果的郵箱的電子郵件正文中。郵件位於爲存儲搜索結果而創建的文件夾中。
2)完整日誌記錄:完整日誌記錄包含搜索返回的所有郵件的信息。此信息以逗號分隔值 (.csv) 文件的形式提供,該文件會附加到包含基本日誌記錄信息的電子郵件中。搜索的名稱將用作 .csv 文件的名稱。出於遵從性或保留記錄的目的,可能需要此信息。若要啓用完整日誌記錄,必須在 EAC 中將搜索結果複製到發現郵箱時選擇“啓用完整日誌記錄”選項。如果使用命令行管理程序,則使用 LogLevel 參數指定完整日誌記錄選項。
除了在將搜索結果複製到發現郵箱時包含的搜索日誌之外,Exchange 還記錄 EAC 或命令行管理程序用於創建、修改或刪除就地電子數據展示搜索的 cmdlet。此信息記錄在管理員審覈日誌條目中。
就地電子數據展示和就地保留
作爲電子數據展示請求的一部分,您可能需要將郵箱內容保留至處理訴訟或調查之後。還必須保留郵箱用戶或任何過程已刪除或更改的郵件。在 Exchange 2013 中,這是通過使用就地保留來完成的。
在 Exchange 2013 中,可以使用新的“就地電子數據展示和保留”嚮導來搜索項目並將它們保留進行電子數據展示或滿足其他業務要求所需的時間長度。將相同搜索用於就地電子數據展示和就地保留時,請注意以下事項:
1)不能使用搜索所有郵箱的選項。必須選擇郵箱或通訊組。
2)如果某個就地電子數據展示搜索還用於就地保留,則不能刪除該搜索。必須先在搜索中禁用就地保留選項,然後才能刪除該搜索。
保留郵箱以用於就地電子數據展示
員工離開組織時,一般會禁用或刪除其郵箱。在禁用了郵箱後,會將其從用戶帳戶斷開連接,但仍會將其保留在郵箱中一段時間(默認爲 30 天)。託管文件夾助理不會處理斷開連接的郵箱,並且在此期間不會應用任何保留策略。您將無法搜索斷開的郵箱的內容。達到了爲郵箱數據庫配置的已刪除郵箱保留期時,會將該郵箱從郵箱數據庫中清除。
如果組織要求對已離開組織的員工的郵件應用保留設置,或者需要保留前員工的郵箱供當前或未來電子數據展示搜索使用,請勿禁用或刪除郵箱。可以執行以下步驟以確保郵箱不能訪問,並且不會向其傳遞新郵件。
1)使用“Active Directory 用戶和計算機”或是其他 Active Directory 或帳戶設置工具或腳本,禁用 Active Directory 用戶帳戶。這樣可以阻止使用關聯的用戶帳戶登錄郵箱。
2)將郵箱用戶可以發送或接收的郵件的郵件大小限制設置爲一個很小的值,如 1 KB。這樣可阻止通過該郵箱發送和接收新郵件。
3)配置郵件的傳遞限制,使任何人都無法向其發送郵件。
在計劃爲郵件保留管理 (MRM) 或就地電子數據展示實現郵箱保留時,必須考慮員工流動率。長期保留前員工的郵箱需要郵箱服務器上的額外存儲,還會導致 Active Directory 數據庫增大,因爲要求將關聯的用戶帳戶也保留相同的時間。此外,還可能要求更改組織的帳戶設置和管理過程。
就地電子數據展示和限制策略
在 Exchange 2013 中,使用限制策略控制就地電子數據展示可以在郵箱服務器上佔用的資源。默認限制策略包含以下限制參數。可以修改默認限制策略的參數以適合您的要求,或是創建其他限制策略並將其分配給具有委派發現管理權限的用戶。
|