eDiscovery Local e Retenção Local no Novo Exchange – Parte II
Artigo original publicado no sábado, 29 de setembro de 2012
Na Parte I desta publicação, abordamos as novidades no eDiscovery Local do novo Exchange. Nesta publicação, vamos olhar como o novo Exchange retém os dados imutavelmente.
Uma das primeiras etapas que você deve realizar quando uma expectativa razoável de litígio existir ou quando servidor com uma solicitação de eDiscovery é preservar registros de mensagem para que eles possam ser produzidos quando necessário. Antes do Exchange 2010, isto geralmente foi realizado utilizando diferentes métodos, incluindo o arquivamento de dados em um sistema externo, suspensão do mecanismo de exclusão automática (como o Gerenciamento de Registros de Mensagem do Exchange) ou, em alguns casos, instruindo os usuários a não excluir registros.
Falha ao preservar os registros exigidos para litígio pode expor sua organização a riscos financeiros e jurídicos.
No Exchange 2010 e Office 365, introduzimos a Retenção de Litígio para permitir a preservação de registros de mensagem. A Retenção de Litígio é uma propriedade da caixa de correio – colocar uma caixa de correio em retenção de litígio coloca todos os itens em uma caixa de correio em retenção indefinidamente (ou até que a retenção seja removida), resultado no acúmulo de grandes quantidades de dados - que podem não ser necessários.
No novo Exchange, é possível usar a Retenção Local para reter itens imutavelmente. A Retenção Local está integrada com o eDiscovery Local, permitindo realizar a pesquisa e retenção usando a mesma interface e os mesmos parâmetros de consulta. É possível usar a Retenção Local nos seguintes cenários.
Retenção Indefinida: É possível criar uma Retenção Local sem qualquer parâmetro de consulta e sem uma duração de retenção para manter todos os itens em uma caixa de correio indefinidamente ou até que a retenção seja removida. Isto simula o comportamento da retenção de litígio.
Retenção Baseada em Consulta: Usando a Retenção Local, é possível criar uma consulta de pesquisa e especificar as caixas de correio de origem e parâmetros como palavras-chave, remetentes e destinatários, assim como datas inicias e finais. É possível também especificar o tipo de itens a pesquisar - mensagens de email, itens de calendário como reuniões e agendamentos, tarefas, observações ou conteúdo do Lync arquivado em caixas de correio do Exchange.
Retenção Baseada em Tempo: Considerando que a Retenção de Litígio colocava todo o conteúdo de caixas de correio em retenção indefinidamente ou até remover a retenção, a Retenção Local permite especificar a duração de tempo na qual manter os itens. O tempo é calculado com base na data recebida ou na data que o item foi criado na caixa de correio (para itens como agendamentos, tarefas e observações que não são enviados/recebidos).
Uma das solicitações de recursos mais comuns no Exchange 2010 foi poder especificar um período de tempo específico que um item é retido. Considerando que as políticas de retenção permitem especificar o ciclo de vida de email e excluir automaticamente itens quando o período especificado não é atingido, elas não garantem a retenção por este período. Em outras palavras, é possível especificar itens que serão mantidos por um máximo de 7 anos, mas não pode garantir que os itens não serão excluídos antes deste período por um usuário ou processo.
A solução geralmente recomendada para atender este requisito era usar a configuração do período de Recuperação de Item Excluído para o período mínimo que você deseja que um item seja mantido. Neste exemplo, configurar o período de retenção do item excluído para 7 anos significa que se um usuário excluir um item antes de 7 anos, ele é retido na pasta Itens Recuperáveis por 7 anos. No entanto, o período para Retenção de Item Excluído é calculado a partir da data de exclusão. Se um usuário excluir um item após 6 anos, ele é retido por mais 7 anos na pasta Itens Recuperáveis, resultado em um período de retenção total de 13 anos. Em outras palavras, é possível garantir que um item seja retido por um mínimo de 7 anos, mas não o período de retenção máximo.
No novo Exchange, ao criar uma Retenção Local baseada em tempo, como o período de retenção é calculado a partir da data de criação/recebimento do item, é possível garantir que o item não seja mantido além deste período. É possível combinar uma Retenção Local baseada em tempo com uma Política de Retenção (que possui uma única marcação de política padrão) para que os garantir itens nas caixas de correio são excluídas pelo Assistente de Pasta Gerenciada (MFA) após 7 anos e os itens excluídos por um usuário ou processo antes deste período sejam retidos pelo menos na duração especificada.
Também é possível combinar uma Retenção Local baseada em consulta com uma retenção baseada em tempo para os itens preservados correspondendo parâmetros de consulta do período especificado. Também é possível colocar um usuário em várias retenções - por exemplo, quando uma caixa de correio pode conter vários registros pertencentes a vários casos ou investigações.
Retenção Local e Permissões
Como no eDiscovery Local, a Retenção Local pode ser usada por usuários autorizados com a permissão Gerenciamento de Descoberta delegada. No entanto, há uma diferença. O grupo de função Gerenciamento de Desempenho é atribuído com as funções de gerenciamento Pesquisa de Caixa de Correio e Retenção de Litígio. O primeiro permite um usuário autorizado criar uma pesquisa de caixa de correio para o eDiscovery e Retenção Local. O último realmente permite colocar o conteúdo da caixa de correio em retenção.
Se um usuário é atribuído apenas com a função Retenção de Litígio, por exemplo, criando um grupo de função RBAC personalizado ou através da associação de um grupo de função como Gerenciamento da Organização que possui a função Retenção de Litígio atribuída, o usuário pode usar a Retenção Local - mas apenas para colocar todo o conteúdo da caixa de correio em retenção. O usuário não pode especificar parâmetros de consulta. Em outras palavras, o usuário não pode criar uma Retenção Local baseada em consulta.
Criando uma Retenção Local
Vamos voltar para a consulta que Robin criou na Parte I desta publicação. Ao criar a Retenção Local, na página Caixas de correio, Robin deve selecionar Especificar caixas de correio a pesquisar e selecionar as caixas de correio ou grupos de distribuição. Se ela selecionar Pesquisar todas as caixas de correio, a opção para colocar o conteúdo em retenção não estará disponível.
Você deve especificar caixas de correio ou grupos de distribuição para colocar em retenção. Se você selecionar Pesquisar todas as caixas de correio, a opção para colocar o conteúdo em retenção não estará disponível.
Figura 1: Para criar uma Retenção Local, você deve selecionar Especificar caixas de correio a pesquisar
Observação: Se você selecionar um grupo de distribuição, a retenção é aplicada aos usuários de caixas de correio que são membros do grupo quando a retenção é criada.
Na página Consulta de pesquisa, Robin pode usar a mesma consulta utilizada para o eDiscovery Local.
Figura 2: Mensagens correspondendo parâmetros de consulta são preservadas
Ela também pode selecionar os tipos de mensagem para colocar em retenção.
Figura 3: É possível especificar os tipos de mensagem para colocar em retenção ou reter todos os tipos de mensagem
Colocando conteúdo do Lync arquivado em retenção
Se o novo Lync é habilitado para arquivar Mensagem Instantânea e conteúdo de reunião no novo Exchange, o conteúdo do Lync é arquivado na caixa de correio do usuário e colocado automaticamente em retenção. Você precisa configurar a autenticação OAuth entre o Lync e o Exchange para habilitar isso. Além disso, a caixa de correio deve estar localizada em um servidor de Caixa de correio no novo Exchange.
Na página Configurações de Retenção Local, Robin seleciona a opção para Colocar o conteúdo correspondente à consulta de pesquisa nas caixas de correio em retenção selecionadas. Ela pode selecionar Reter indefinidamente para manter o conteúdo indefinidamente (ou até que a Retenção Local seja removida ou uma caixa de correio seja removida da pesquisa). Para reter itens em um período específico, ela pode selecionar Especificar número de dias para manter itens em relação a data de recebimento e especificar o número de dias.
Figura 4: É possível especificar uma duração de retenção ou manter itens indefinidamente
É importante reiterar que para a retenção baseada em tempo, a duração é calculada a partir da data que a mensagem é recebida/criada.
Como a Retenção Local funciona
Vamos olhar o que acontece.
Quando um usuário exclui uma mensagem, ela vai para a pasta Itens Excluídos. Quando a pasta Itens Excluídos é esvaziada, as mensagens são excluídas ou o usuário utiliza Shift-Delete para excluir uma mensagem, ela é movida para a pasta Itens Recuperáveis/Excluídos. O conteúdo desta página é exposto quando o usuário utiliza Recuperar Itens Excluídos no Outlook ou Outlook Web App.
Se o usuário não fizer nada, as mensagens da pasta Excluídos são apagadas quando o período de Retenção de Itens Excluídos configurado para o banco de dados de caixa de correio ou do usuário expira.
Se o usuário exclui uma mensagem desta exibição, algumas coisas podem acontecer:
Se a Recuperação de Item Exclusivo está habilitada para a caixa de correio, o item é movido para a pasta Itens Recuperáveis/Excluídos e retido até que o período de retenção do item excluído expira. Isto oferece ao administrador a capacidade de recuperar itens sem precisar recuperar de backups.
Se a caixa de correio é colocada em Retenção de Litígio, o item é movido para a pasta Itens Recuperáveis/Excluídos e retidos até que a retenção seja removida.
Se a caixa de correio é colocada em uma Retenção Local, o item é movido para a pasta Itens Recuperáveis/Retenção de Descoberta.
Figura 5: Itens excluídos e cópias originais de itens modificados são preservados na pasta Itens Recuperáveis para cada caixa de correio
Quando o MFA, um assistente de caixa de correio que processa caixas de correio e conteúdo expirado, processa a caixa de correio, verifica se as mensagens atendem os parâmetros de consulta de qualquer Retenção Local que o usuário está inserido. Esta avaliação é realizada para até 5 consultas, além da qual todos os itens são mantidos - simulando o mesmo comportamento que a retenção de litígio. Se o número de retenções ficar abaixo de 5, o MFA reverte novamente para o comportamento de Retenção Local baseada em consulta.
Quando a Retenção Local é removida, as mensagens colocadas em retenção são removidas se não corresponderem mais aos parâmetros de consulta de qualquer outra Retenção Local que o usuário pode ter sido colocado.
Retenção Local e Imutabilidade
Quando falamos sobre preservação, o conceito de imutabilidade surge. Imutabilidade significa que mensagens colocadas em retenção devem ser preservadas sem alteração. Não apenas devemos evitar sua exclusão (mesmo se o usuário que colocou em retenção pensa que excluiu a mensagem com sucesso), mas as mensagens também devem ser preservadas de adulteração ou alteração. A imutabilidade não é um recurso do produto, mas uma combinação de recurso e processos de retenção nas implementações da sua organização.
A Retenção Local ajuda a preservar o conteúdo da falsificação ou modificação intencional. Isto é realizado com uma cópia-na-gravação (COW) – quando o usuário ou qualquer processo tenta modificar uma mensagem, antes da mensagem modificada ser salva, uma cópia original da mensagem é realizada e salva na pasta Itens Recuperáveis/Versões. Os itens capturados na pasta Versões são indexados e retornados em uma pesquisa de eDiscovery Local. Quando a retenção é removida, as cópias realizadas na pasta Versões também são removidas pelo Assistente de Pasta Gerenciada.
Juntos, a Retenção Local e o eDiscovery Local oferecem um mecanismo facilitado para o pessoal jurídico, de recursos humanos e outros não técnicos autorizados a pesquisar facilmente e preservar sem mudança os registros da mensagem.
Bharat Suneja e Julian Zbogar-Smith
Esta é uma publicação traduzida. Encontre o artigo original em In-Place eDiscovery and In-Place Hold in the New Exchange – Part II