浅析Exchange Online e-Discovery功能

  • Article

问题描述:

当邮件被删除后,会被放到哪?

解决方法:

在Exchange Online中,每个用户的邮箱都有一块存储空间被称为Recoverable Item文件夹,也被称为Dumpster。用户可以通过Outlook或OWA访问“恢复已删除邮件”功能来调出被意外删除的邮件。但事实上,用户所看到的只是Recoverable Item的一小部分而已。

image

Dumpster中的Deletions(删除)子文件夹包含了从邮箱中被“软删除”的数据。普通的邮件项目在此保留14天,而对于日历项目会保留120天。该子文件夹是用户可见的。如果这些数据从Deletions中删除,则不可被恢复。若您希望恢复,您需要调出并恢复先前的备份然后再合并数据到主邮箱。

若启用了诉讼保留,则邮件会在14天后放在Pruges(清除)文件夹中被永久保留。在Exchange Online中,您可以运行如下命令将邮箱启用诉讼保留。该功能可以通过LitigationHoldDuration参数设置保留期限。

Set-Mailbox user@domain.com -LitigationHoldEnabled $true -LitigationHoldDuration 2555

若启用了就地保留,则符合保留条件的邮件会在被删除(Purge)后保留在Discovery Hold(发现保留)子文件夹中,该文件夹用户不可见。您可以运行如下命令启用就地保留。

New-MailboxSearch "Hold-CaseId012" -SourceMailboxes "joe@contoso.com" -InPlaceHoldEnabled $true

有关Recoverable Items文件夹具体作用,您可以参考如下TechNet文档:

Recoverable Items folder

https://technet.microsoft.com/en-us/library/ee364755(v=exchg.150).aspx

就地保留和诉讼保留最大的区别是,就地保留基于发现搜索功能,因此它可以根据您的搜索条件保留特定的数据。而诉讼保留是保留邮箱中的全部数据。当然,如果您在配置就地保留时没有指定就地保留的其他搜索参数,指定源邮箱中的所有项目会放于保留中。

在邮箱启用保留后,如果需要调出被保留的数据库,就需要执行发现搜索。发现搜索会搜索用户的主邮箱和“恢复已删除邮件”文件夹。一般来说,能够执行发现搜索的用户可能是组织的法务人员,而不是IT管理员本身。这是因为发现搜索能接触到所有用户的敏感信息,因此该权限分配务必谨慎。为了使用E Discovery功能进行邮箱搜索,您需要将运行搜索的用户(管理员)加入到Discovery Management组。该角色组包含了Mailbox Search和Legal Hold角色。若您在执行邮箱搜索后希望导出数据,您还需要为该该管理员分配Mailbox Import Export权限。

您可以通过如下命令对邮箱进行搜索:

New-MailboxSearch "FY13 Q2 Financial Results" -StartDate "04/01/2013" -EndDate "06/30/2013" -SourceMailboxes "DG-Finance" -SearchQuery '"Financial" AND "Fabrikam"' -EstimateOnly -IncludeKeywordStatistics

Start-MailboxSearch "Discovery-CaseId012"

注意事项:

1. 您可以在“SearchQuery”参数中指定搜索语句。

2. Exchange Online中自带了强大的全文索引功能,因此管理员很快就能得到搜索结果。同时用户的Recoverable Items中的数据也会被索引涵盖。

除了命令行,您也可以通过EAC进行搜索,在搜索完成后,您可以通过将其“复制搜索结果”到Discovery Search Mailbox,或将其下载为PST文件。

image

image

image

此外,发现搜索邮箱是用于就地电子数据展示搜索的目标邮箱。默认情况下,只有发现管理角色组的成员具有打开默认发现搜索邮箱的“完全访问”权限。同时该邮箱被设置了传递限制,因此用户不能发送邮件至发现邮箱。其配额是50GB。

可能您会问,在New-MailboxSearch后并没有DeleteContent参数。但很多组织有一个很常见的需求是能通过一条命令搜索并删除所有邮箱中的某个数据,通常这可能是某个用户错发的一封邮件。这里我们可以通过如下命令实现:

1. 如下命令为将要执行搜索的管理员添加权限:

New-Managementroleassignment -Role "Mailbox Import Export" –user “Administrator”

2. 如下命令执行邮箱搜索:

Get-Mailbox | Search-Mailbox -SearchQuery {Subject:"subject" AND From:"user"} -TargetMailbox AdminSearchMailbox -TargetFolder “folder name” -LogOnly -loglevel full -deletecontent

请知悉DeleteContent参数将会直接删除被搜索到的邮件且不可恢复。为了防止误删邮件,我建议在执行该参数前使用Logonly参数,Logonly仅进行评估。在确认无误后,请执行命令并加入DeleteContent参数。

总而言之,Exchange Online提供的强大的数据搜索功能为管理员和组织的遵从性维护提供了很大的便利性。

Siqi Wu

微软合作伙伴技术顾问