新版 Exchange 中的就地电子数据展示和就地保留 - 第 I 部分

  • Article

原文发布于 2012 年 9 月 27 日(星期四)

在面对电子数据展示请求时,组织需要能够保留电子邮件记录、搜索相关记录以及生成记录以便查看。

在 Exchange Server 2010 和 Office 365 中,诉讼保留支持保留邮箱项目。当某用户或某过程尝试永久删除某个项目时,该项目将从用户视图移动到邮箱中无法访问的位置。此外,当某用户或某过程修改某个项目时,将会执行写入时复制 (COW) 并在提交已更改版本的前一刻保存原始项目的副本,从而保留原始内容。将为每次更改重复该过程,以保留所有后续版本的副本。

使用多邮箱搜索(同样是 Exchange 2010 中新增的),委派的合法的人力资源部或 IT 部人员(称为数据展示经理,因为需要向其委派电子数据展示管理权限)可以在其整个 Exchange 2010 组织中搜索邮箱内容。搜索返回的邮件可以复制到电子数据展示邮箱,该邮箱是具有较高邮箱配额且无法发送或接收邮件的特殊类型的邮箱。

Exchange 2013 中就地电子数据展示和保留的新增功能

自 Exchange 2010 和 Office 365 发布以来,我们收到了各种规模的组织有关邮件传递策略和合规性功能(包括存档、电子数据展示和保留)的大量反馈。在规划合规性功能的发展时,我们首先考虑了您的反馈。我们来看看发生了什么变化。

  • 新名称在新版 Exchange 中,多邮箱搜索称为就地电子数据展示。

  • 新的搜索引擎就地电子数据展示仍然使用 Exchange Search 生成的搜索索引,但在内部已对 Exchange Search 进行改良以使用 Microsoft Search Foundation。内容索引功能以前由 Windows Search 实现。Microsoft Search Foundation 是一个功能丰富的搜索平台,具有显著提升的索引和查询性能以及改进的搜索功能。

  • 一种新的保留方式在新版 Exchange 中,您可以使用就地保留将搜索过的内容置于保留状态。就地保留与就地电子数据展示进行了集成,允许您使用同一易于使用的界面同时搜索和保留内容。将保留与电子数据展示集成允许您使用查询非常具体地指定要保留的内容。减少保留的数据量可降低以后审核数据的成本。

  • 新 UI 新版 Exchange 推出了一款全新的基于 Web 的统一管理工具:Exchange 管理中心 (EAC)。数据展示经理使用新的就地电子数据展示和保留向导执行电子数据展示搜索。

  • 关键字统计数据在创建就地电子数据展示搜索后,您可获得向您显示每个关键字匹配的项目数的详细关键字统计数据。您可以使用此信息确定查询是否返回了您估计的邮件数。在查询范围过宽或过窄的情况下,搜索可能会返回过多或过少的邮件。使用此信息可对您的查询进行微调。

  • 电子数据展示搜索预览在创建电子数据展示搜索后,您可以快速预览搜索结果。从每个源邮箱返回的邮件将显示在搜索预览中。因为能够快速预览邮件,因此您可以确保您的查询返回所搜索的内容并对查询进一步进行微调。

  • 与新版 SharePoint 的集成 Exchange 在新版 SharePoint 中提供了集成的电子数据展示和保留体验。使用电子数据展示中心,您可以搜索和就地保留与案例相关的所有内容:SharePoint 网站、文档、由 SharePoint 编制索引的文件共享、Exchange 中的邮箱内容以及单个位置中的存档 Lync 内容。您可以导出与案例关联的内容,包括文件、列表、网页和 Exchange 邮箱内容。邮箱内容将导出为 .PST 文件。符合电子查询参考模型 (EDRM) 规范的 XML 清单提供了导出信息的概览。

    为搜索 Exchange 内容,SharePoint 使用 Exchange 的联合搜索 API。不管您是从 EAC 中还是使用 SharePoint 搜索 Exchange 内容,都将返回相同的搜索结果。新版 SharePoint 和 Exchange 使用同一基础索引和查询引擎 – Microsoft Search Foundation,后者允许您对 SharePoint 和 Exchange 内容使用同一搜索查询。

执行就地电子数据展示搜索

我们来看看数据展示经理如何执行就地电子数据展示搜索。

Robin 就职于营销公司 Contoso 的法律团队。Contoso 收到来自 Tailspin Toys 公司的一个请求,请求协助该公司所生产的新玩具的营销活动。Contoso 在玩具行业有丰富的经验,因完成出色的玩具营销活动而闻名。这对企业而言再好不过了,但企业也必须谨慎,因为该公司所效力的玩具公司中有许多公司是竞争对手。Contoso 刚刚为另一家名为 Wingtip Toys 的公司完成了一项非常成功的营销活动,Robin 希望确保不会有任何机密信息通过自己的团队从一个客户意外泄漏给另一客户。为此,Robin 希望在其法律团队的帮助下对其公司的电子邮件和文档进行搜索,以便确保没有任何潜在问题。

若要使用就地电子数据展示,用户必须委派给电子数据展示管理角色组。您可以将该角色委派给经授权的法律、合规性管理或人力资源部人员。Robin 是这些法律团队成员之一。新版 Exchange 2013 中这种具有限制范围的角色的功能允许 IT 专业人员将合规性职责委派给 Robin 这样的人员,而无需向其分配对所有 Exchange 服务器功能的完全访问权限。

Robin 首先导航到 Exchange 管理中心。可在 EAC 的“合规性管理”(Compliance Management) 选项卡中管理新版 Exchange 中的合规性功能。因为 Robin 没有其他任何 Exchange 管理员角色,所以只能看到与电子数据展示管理角色组相关的界面。在“合规性管理”(compliance management) 选项卡上,她只能看到“就地电子数据展示和保留”(In-Place eDiscovery & Hold)。


图 1:“就地电子数据展示和保留”(In-Place eDiscovery and Hold) 选项卡可供具有委派的数据展示管理权限的用户访问

她单击“添加”(Add)按钮以启动新增的“新版就地电子数据展示和保留”(new In-Place eDiscovery & Hold)向导并为搜索输入名称和可选说明。


图 2:使用 EAC 中的“新版就地电子数据展示和保留”(new In-Place eDiscovery & Hold) 向导创建就地电子数据展示搜索

Robin 可搜索 Exchange 组织中的所有邮箱或者选择要搜索的邮箱。


图 3:指定邮箱(以进行搜索或搜索所有邮箱)

在“搜索查询”(Search query)页上,Robin 可以选择返回所有邮箱内容或仅特定内容的选项。Robin 希望找到与其团队成员和 WingTip Toys 之间完成的工作相关的特定内容。她可以选择通过简单输入一些关键字来执行简单搜索,或者如果她希望使用 AND、OR、括号等布尔运算符,则可选择执行更复杂的搜索,因此,她可以非常具体地指定要查找的内容。这对她而言可以大大节省时间和成本,因为多个千兆字节邮箱非常普遍,她希望将该组内容缩减至找到所需内容需要查看的最小量。


图 4:指定搜索查询,包含关键字、起始和结束日期、发件人和收件人

除了使用布尔逻辑之外,她还使用了相近 运算符 (NEAR),这允许她找到彼此接近的词。您还可以看到她使用了通配符,因此,在本示例中,她查找的是 toy、toys、toymaker 这三个词或任何类似单词中的 wingtip 一词。

在此特例中,Robin 希望在给定电子邮件中的所有位置查找这些关键字,但她希望能够更具体,例如,仅在邮件主题中搜索短语,她可键入“Subject:”,然后接着键入需要搜索的短语。根据所需的具体程度,她可以创建复杂查询。可以在查询中使用几百个关键字。

她还可以选择特定类型的邮件。Exchange 邮箱具有电子邮件,但还有日历项目、任务、备注以及其他与个人信息管理相关的项目。新版 Exchange 允许她搜索所有这些项目,或者她可将查询的范围缩小到特定类型的项目。她选择了电子邮件,还选择了会议,以便能够跟踪其员工的哪些电子邮件和会议与 Wingtip 相符,并阅读会议邀请以找出所讨论的内容。


图 5:选择所有邮件类型或指定要搜索的邮件类型

在 Robin 创建其查询以定义哪些内容对其很重要之后,她有几个与处理结果相关的选项。如果她觉得保护此内容很重要,则可将其置于保留状态。将内容置于保留状态后,Exchange 将自动捕获编辑或删除数据的任何尝试,并将这些项目存储在邮箱中的隐藏文件夹中。它对最终用户是完全不可见的,因此不会中断其日常工作流,但却会保留该重要数据以便以后进行恢复。


图 6:将搜索结果置于就地保留状态

我们将在本文的第 II 部分中对就地保留展开更多讨论。

Robin 单击“完成”(Finish)。将对 Exchange 2013 邮箱运行搜索并将项目置于保留状态。

当搜索完成时,Robin 将检查总大小和项目计数以查看它是否可管理。如果存在一百万个项目,其查询范围可能过宽;如果没有任何项目,则范围可能过窄。如果她希望深入查看详细信息,则可查看搜索统计数据,以查看每个关键字对整个结果集有何影响。这使她能够真正了解微调查询的方式,以便可以快速将结果集的大小设为可管理大小。


图 7:使用搜索估计和关键字统计数据微调搜索查询

在她完成微调查询时,可以停止搜索并与其团队或法律顾问就查询是否正确进行讨论。她还可以创建其他电子数据展示搜索以及使用其他查询参数。

她还可以选择预览搜索中返回的邮件。


图 8:用于预览邮件和确定查询有效性的电子数据展示搜索预览

“电子数据展示搜索预览”显示搜索的每个邮箱的邮件计数和总大小。预览功能内置于 Outlook Web App 中,该功能以邮件原本的格式显示邮件,不会进行任何更改。


图 9:电子数据展示搜索预览显示实时邮件预览,而不会将邮件复制到电子数据展示邮箱

Robin 可以快速滚动其所有与结果以查看随其搜索返回的其他项目。由于她使用的是全保真 Outlook Web App 预览,因此还可以查看附件。

在 Robin 预览自己的结果并对结果满意之后,她可以创建结果的副本以供以后审阅,或者将其导出以便她可将其移交给其外部法律顾问。为此,她只需单击“复制搜索结果”链接即可。


图 10:将搜索返回的邮件复制到数据展示邮箱

将邮件复制到数据展示邮箱时,她有以下选项:

  • 包含不可搜索的项目 (Include unsearchable items)她可以选择是否包含“不可搜索”的项目(我们的索引系统可能无法处理的项目,例如损坏的项目、密码保护的 zip 附件或者通过信息权限管理之外的一些组件加密的项目)。通过选中此复选框,她可以包括这些项目,以防她需要手动审阅这些项目,以确保她恪尽职守,未遗漏任何内容。
  • 启用重复数据删除 (Enable de-duplication)她还可以启用重复数据删除。如您所知,将电子邮件一次发送给多人的情况非常常见。重复数据删除使其能够将此缩减少为一个副本,以便减少要查看的邮件数。
  • 启用完整日志记录 (Enable full logging)她还可以保留所需搜索结果的完整日志,该日志包含她找到的每个项目的一个完整列表。这对于重复数据删除而言尤其有用,因为如果进行重复数据删除,您将只保留多人可能具有的邮件的一个副本。稍后,您可能需要知道某人的收件箱中是否已包含该副本且该副本标记为重要,但其他人员已将其移至自己的已删除项目文件夹且从未查看过该项目。所有这些信息均位于该日志中。
  • 电子邮件通知 (Email notification) 她还可以选择在复制过程完成时向自己发送电子邮件。如果搜索结果返回 20-30 GB 的数据,则将其复制到数据展示邮箱可能需要一些时间。

Robin 将选择的最后一个内容是她希望将其搜索结果置于其中的数据展示邮箱。

完成复制后,Robin 可以看到复制操作已完成且她具有一个指向存储结果的邮箱的链接。Robin 现在可以导航到其搜索结果的副本以对其进行查看。在该视图中,她能够对自己的项目进行审阅,她可以标记重要的项目,或者在她确定某些项目并不重要时,她可以选择这些项目并将其移至已删除项目文件夹,以便这些项目不再出现在其视图中。

完成此操作后,如果 Robin 需要与外部顾问共享综合结果,她可使用其 Outlook 客户端将综合结果列表导出为 PST 文件。

我们已为您提供了新版 Exchange 中就地电子数据展示和就地保留功能的概览。在本文的第 II 部分中(预计将于近期发布),我们将深入探讨就地保留。

Bharat Suneja 和 Julian Zbogar-Smith

这是一篇本地化的博客文章。请访问 In-Place eDiscovery and In-Place Hold in the New Exchange - Part I 以查看原文