9.2 就地电子数据展示
如果您的组织遵循法定发现要求(与组织策略、合规性或诉讼相关),Microsoft Exchange Server 2013 和 ExchangeOnline 中的就地电子数据展示可以帮助您对邮箱内的相关内容执行发现搜索。Exchange 2013 和 Exchange Online 还提供联合搜索功能以及与 MicrosoftSharePoint 2013 和 Microsoft SharePoint Online 的集成。您可以使用 SharePoint 中的电子数据展示中心搜索并保留与某个案例相关的所有内容,包括SharePoint 2013 和 SharePoint Online 网站、文档、SharePoint(仅限 SharePoint 2013)编入索引的文件共享、Exchange 中的邮箱内容以及存档的 Lync 2013 内容。您还可以在 Exchange 混合环境中使用就地电子数据展示,在同一搜索中搜索内部部署邮箱和基于云的邮箱。
重要说明:
就地电子数据展示是一项强大的功能,利用它,具有正确权限的用户可能可以访问存储在 Exchange 2013 或 Exchange Online 组织中的所有邮件记录。控制和监视发现活动是很重要的,这些活动包括将成员添加至 Discovery Management 角色组、分配 Mailbox Search 管理角色以及分配对发现邮箱的邮箱访问权限。
假如你的组织中是Exchange 2010和Exchange 2013 的混合模式,你需要将你的系统邮箱账号移动到Exchange Server 2013中,不移动的话,你是无法执行就地电子数据展示搜索的,因为就地发现的配置信息存储在系统邮箱中。
9.2.1就地电子数据展示的工作原理
就地电子数据展示使用的是由 Exchange搜索创建的内容索引。基于角色的访问控制 (RBAC) 提供了 DiscoveryManagement 角色组,以便将发现任务委派给非技术人员,而无需提供提升的权限,提升的权限可能会允许用户对Exchange 配置进行任何操作性的更改。Exchange 管理中心 (EAC) 为非技术人员(如法律和合规事务主管、记录管理员和人力资源 (HR) 专家等)提供易于使用的搜索界面。
授权用户可以执行就地电子数据展示搜索,方法是选择邮箱,然后指定搜索条件,例如关键字、开始日期和结束日期、发件人地址和收件人地址以及邮件类型。搜索完成后,授权用户可以选择下列操作之一:
估计搜索结果 此选项将返回预计的项目总大小和数量,搜索将基于您指定的条件返回。
预览搜索结果 此选项提供结果预览。将显示从每个搜索的邮箱返回的邮件。
复制搜索结果 此选项允许您将邮件复制到发现邮箱。
导出搜索结果 将搜索结果复制到发现邮箱后,可以将其导出到 PST 文件中。
Exchange搜索
就地电子数据展示使用的是由 Exchange搜索创建的内容索引。Exchange 搜索经过重新设计,可使用Microsoft Search Foundation,这是一个丰富的搜索平台,具有更高的索引和查询性能以及改进搜索功能。因为 Microsoft Search Foundation 也由其他 Office 产品(包括 SharePoint 2013)使用,所以它可在这些产品间提供更好的互操作性和相似的查询语法。
使用单一内容索引引擎,当 IT 部门收到电子数据展示请求时,无需使用其他资源便可针对就地电子数据展示进行爬网和索引邮箱数据库。
就地电子数据展示使用关键字查询语言(KQL),这是一种查询语法,类似于 Microsoft Outlook 和 Outlook Web App 中的即时搜索使用的高级查询语法 (AQS)。熟悉 KQL 的用户可以轻松构建强大的搜索查询以搜索内容索引。
有关通过 Exchange 搜索编制索引的文件格式的详细信息,请参阅Exchange Search 索引的文件格式。
https://technet.microsoft.com/zh-CN/library/ee633485(v=exchg.150).aspx
发现管理角色组和管理角色
对于执行就地电子数据展示搜索的授权用户,您必须将其添加到 Discovery Management 角色组。此角色组由下面两个管理角色构成:MailboxSearch邮箱搜索角色(使用户可执行就地电子数据展示搜索)和Legal Hold 合法保留角色(使用户可将邮箱置于就地保留或诉讼保留状态)。
默认情况下,不会向任何用户或Exchange 管理员分配执行与就地电子数据展示相关的任务所需的权限。作为组织管理角色组成员的Exchange 管理员可向发现管理角色组添加用户,并可创建自定义角色组,将发现管理员的作用域限制为用户的子集。有关将用户添加到 Discovery Management 角色组的详细信息,请参阅在 Exchange中分配电子数据展示权限
重要说明:
如果用户未添加到 DiscoveryManagement 角色组或未分配 Mailbox Search 角色,则不会在 EAC 中显示“就地电子数据展示和保留”用户界面,且就地电子数据展示 cmdlet 在 Exchange 命令行管理程序中不可用。
9.2.2 管理就地电子数据展示
默认情况下,Discovery Management组是没有用户的,所以要执行就地电子邮件展示,我们需要往Discovery Management角色组中添加成员,下面分别使用EAC和EMS的方式演示:
EAC方式添加:
依次点击权限-->Discovery Management,点击编辑按钮
在成员选项卡下,点击+按钮
添加我们创建的电子发现管理员或相应人员,我这里先不添加,等下用EMS方式添加
EMS添加方式:
命令如下:
Add-RoleGroupMember-Identity 'Discovery Management' -Member ediscoveryadmin
要从角色组中移除成员,可以使用如下命令:
Remove-RoleGroupMember–Identity 'Discovery Management' –Member ediscoveryadmin
9.2.3 发现邮箱
创建就地电子数据展示搜索之后,您可以将搜索结果复制到目标邮箱。通过 EAC,您可以选择发现邮箱作为目标邮箱。发现邮箱是一种特殊类型的邮箱,它具有以下功能:
更加轻松安全的目标邮箱选择
当您使用 EAC 复制就地电子数据展示搜索结果时,只有发现邮箱可作为存储搜索结果的存储库。无需在可能很长的组织可用邮箱列表中费心挑选。这也消除了发现管理员出现以下错误的可能性:即不小心选择了其他用户的邮箱或可能存储了敏感邮件的不安全邮箱。
大型邮箱存储配额
目标邮箱应能够存储就地电子数据展示搜索可能返回的大量邮件数据。默认情况下,发现邮箱的邮箱存储配额为 50 千兆字节 (GB)。不能增加此存储配额。
默认情况下更加安全
与所有邮箱类型一样,发现邮箱具有关联的 Active Directory 用户帐户。但是默认情况下,此帐户为禁用状态。只有被显式授权访问发现邮箱的用户可以访问。发现管理角色组的成员具有对默认发现邮箱的完全访问权限。对于您创建的任何其他发现邮箱,未将邮箱访问权限分配给任何用户。
电子邮件传递已禁用
虽然电子邮件在 Exchange 地址列表中可见,但用户不能将其发送至发现邮箱。使用传递限制来禁止对发现邮箱进行电子邮件传递。这可保持复制到发现邮箱的搜索结果的完整性。
Exchange2013 安装程序会创建一个显示名为“发现搜索邮箱”的发现邮箱。可以使用命令行管理程序创建其他发现邮箱。默认情况下,创建的发现邮箱不会分配任何邮箱访问权限。可以为发现管理员分配完全访问权限以访问复制到发现邮箱的邮件。有关详细信息,请参阅创建发现邮箱。
就地电子数据展示还使用显示名为“SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}”的系统邮箱来保留就地电子数据展示元数据。系统邮箱在 EAC 或 Exchange 地址列表中不可见。在内部部署组织中,在删除就地电子数据展示系统邮箱所在的邮箱数据库之前,必须将该邮箱移动到其他邮箱数据库。如果删除或损坏了该邮箱,则发现管理员无法执行电子数据展示搜索,直到重新创建该邮箱。有关详细信息,请参阅重新创建发现系统邮箱。
https://technet.microsoft.com/zh-CN/library/gg588318(v=exchg.150).aspx
我们也可以新建一个发现邮箱用于存储信息,命令如下:
New-Mailboxdiscoverymailbox01 -Discovery -UserPrincipalNamediscoverymailbox01@corp.robin.com
在ADUC界面下,可以看到用户是处于禁用状态的:
要列出所有的发现邮箱,使用如下命令:
Get-Mailbox| Where {$_.RecipientTypeDetails –eq 'DiscoveryMailbox'}
9.2.4 搜索邮箱
已添加至发现管理角色组的用户可以执行就地电子数据展示搜索。可以在 EAC 中使用基于 Web 的界面执行搜索。这可以使非技术人员(如记录管理员、合规事务主管或是法律和 HR 专家)可以更加轻松地使用就地电子数据展示。还可以使用命令行管理程序执行搜索。
EAC中的“就地电子数据展示和保留”向导使您可以创建就地电子数据展示搜索,还可使用就地保留将搜索结果置于保留状态。在创建就地电子数据展示搜索时,会在就地电子数据展示系统邮箱中创建搜索对象。可以通过操纵该对象来启动、停止、修改或删除搜索。在创建搜索之后,可以选择获取搜索结果的估计,这包括可帮助确定查询有效性的关键字统计信息。还可以对搜索中返回的项目进行实时预览,从而使您可以查看邮件内容、从每个源邮箱返回的邮件数以及邮件总数。可以使用此信息在需要时进一步微调查询。
当对搜索结果满意时,可以将结果复制到发现邮箱。还可以使用 EAC 或 Outlook 将发现邮箱或其中部分内容导出到 PST 文件。
当创建就地电子数据展示搜索时,必须指定以下参数:
名称
搜索名称用于标识搜索。当将搜索结果复制到发现邮箱时,会通过使用以唯一方式标识发现邮箱中的搜索结果的搜索名称和时间戳,在发现邮箱中创建文件夹。
邮箱
可以选择搜索 Exchange 2013 组织中的所有邮箱或指定要搜索的邮箱。如果还要使用相同搜索将项目置于保留状态,则必须指定邮箱。可以指定一个通讯组,以包含作为该组成员的邮箱用户。组的成员资格会在创建搜索时一次性进行计算,对组成员资格的后续更改不会自动反映在搜索中。用户的主邮箱和存档邮箱包含在搜索中。
搜索查询 可以包含指定邮箱中的所有邮箱内容,或使用搜索查询返回与案例或调查更加相关的项目。可以在搜索查询中指定以下参数:
关键字
可以指定关键字和短语来搜索邮件内容。还可以使用逻辑运算符 AND、OR 和 NOT。此外,Exchange 2013 还支持 NEAR 运算符,从而使您可以搜索与另一个单词或短语接近的单词或短语。
若要搜索包含多个单词的短语的完全匹配项,必须在该短语前后加上引号。例如,搜索短语“plan and competition”将返回包含该短语的完全匹配项的邮件,而指定“planAND competition”则将返回在邮件中任何位置包含单词“plan”和“competition”的邮件。
Exchange2013 还支持将关键字查询语言 (KQL) 语法用于就地电子数据展示搜索。
注意:
就地电子数据展示不支持正则表达式。
逻辑运算符必须使用大写,以将其作为运算符而非关键字处理,例如 AND 和 OR。我们建议对任何混用多个逻辑运算符的查询使用显式圆括号,以避免出现错误或误解。例如,如果要搜索包含 WordA 或 WordB 以及WordC 或 WordD 的邮件,则必须使用 (WordAOR WordB) AND (WordC OR WordD)。
开始日期和结束日期
默认情况下,就地电子数据展示不按日期范围限制搜索。若要搜索特定日期范围内发送的邮件,可以通过指定开始和结束日期来缩小搜索范围。如果不指定结束日期,则每次重新启动搜索时将返回最新结果。
发件人和收件人
若要缩小搜索范围,可以指定邮件的发件人或收件人。可以使用电子邮件地址、显示名称或域名来搜索发送到或发送自域中每个用户的项目。例如,若要查找由任何用户发送到或发送自 Contoso, Ltd. 的电子邮件,请在 EAC 的“发件人”或“收件人/抄送”字段中指定“@contoso.com”。还可以在命令行管理程序的 Senders 或 Recipients 参数中指定“@contoso.com”。
邮件类型
默认情况下,搜索所有邮件类型。可以通过选择特定的邮件类型(如电子邮件、联系人、文档、日记、会议、便笺和 Lync 内容)来限制搜索。
其它选项可以参考Technet官网:
https://technet.microsoft.com/zh-CN/library/dd298021(v=exchg.150).aspx
下面依照步骤在EAC界面执行一次邮箱搜索:
使用EdiscoveryAdmin登陆到ECP界面
2、定位到合规性管理,点击”+“按钮,在名称栏中输入可辨别的名称,点击”下一步“
3、选择要搜索的邮件,我这里选择所有邮箱,点击”下一步“
4、 在基于条件筛选中输入关键字,点击下一步
5、点击”完成“
6、可以看到状态显示:估计正在进行
稍等搜索完成
点击预览搜索结果
点击复制搜索结果
点击浏览
选择创建的发现邮箱
点击复制按钮
7、授予用户完全访问发现邮箱
命令如下:
Add-MailboxPermission discoverymailbox01 -User robin.pang -AccessRights FullAccess
打开Robin.pang账户的OUTLOOK,可以看到发现邮箱
可以看到搜索的邮箱的具体信息
也可以直接点击“打开”按钮进行OWA查看
登陆到授予访问权限的账号,我这里还是robin.pang的账号登陆查看
下面使用EMS的方式实现一下邮箱的搜索:
命令如下:
New-MailboxSearch DiscoverySearch02 -StartDate 1/1/2015 -EndDate1/1/2016 -SourceMailboxes robin.pang -TargetMailbox Discoverymailbox01-SearchQuery 'discovery' -MessageTypes Email
在ECP下,可以看到干刚使用EMS创建的搜索规则
搜索完后,可以在授予访问权限的用户OUTLOOK或OWA下看到
最后,执行完搜索后,我们可以执行删除操作,可以使用如下命令:
Search-Mailbox–Identity Discoverymailbox01 –DeleteContent
