新版 Exchange 中的就地电子数据展示和就地保留 – 第 II 部分

  • Article

原文发布于 2012 年 9 月 29 日(星期六)

在本文的第 I 部分中,我们介绍了新版 Exchange 中就地电子数据展示的新增功能。在本文中,我们来看看新版 Exchange 如何原样保留数据。

当存在诉讼的合理预期时,或者在满足电子数据展示请求时,必须采取的首要步骤之一是保留邮件传递记录,以便可在需要时生成这些记录。在 Exchange 2010 之前,这通常使用不同的方法(包括将数据存档到外部系统、暂停自动删除机制(例如 Exchange 的邮件传递记录管理))来实现,或者在某些情况下 - 通过指示用户不要删除记录来实现。

不能保留诉讼所需的记录可能会使您的组织面临法律和财务风险。

在 Exchange 2010 和 Office 365 中,我们引入了诉讼保留,使您能够保留邮件传递记录。诉讼保留是一种邮箱属性 – 将邮箱置于诉讼保留状态可将邮箱中的所有项目无限期(或者直到取消保留)置于保留状态,这将导致累积大量数据 – 可能并非所有这些数据都需要保留。

在新版 Exchange 中,您可以使用就地保留将项目保留原样。就地保留与就地电子数据展示进行了集成,使您能够使用相同界面和相同查询参数进行搜索和保留。您可以在以下方案中使用就地保留。

  • 无限期保留:您可以在不使用任何查询参数且不使用保留持续时间的情况下创建就地保留,以便无限期地保留邮箱中的所有项目或将这些项目一直保留到取消保留为止。这与诉讼保留的行为类似。

  • 基于查询的保留:使用就地保留,您可以创建搜索查询并指定源邮箱和参数,例如关键字、发件人和收件人以及起始和结束日期。您还可以指定要搜索的项目类型 – 电子邮件、会议和约会等日历项目、任务、备注或者 Exchange 邮箱中存档的 Lync 内容。

  • 基于时间的保留:诉讼保留将所有邮箱内容无限期置于保留状态或直到取消保留为止,而就地保留使您能够指定保留项目的持续时间。该时间根据接收日期或项目在邮箱中的创建日期计算(对于未发送/接收的约会、任务和备注等项目)。

    Exchange 2010 中最常见的功能请求之一是能够指定保留项目的明确时间段。尽管保留策略允许您指定电子邮件生命周期以及在达到指定期限时自动删除项目,但它们不会保证在该期限内保留。换句话说,您可以指定将项目保留最多 7 年,但您无法保证在此期限之前项目不会被用户或过程删除。

    要满足此要求,最受推崇的解决方法是将已删除项目恢复期限配置为希望项目保留的最短期限。在本例中,将已删除项目保留期限设置为 7 年意味着,如果用户在 7 年之前删除某项目,该项目将在可恢复项目文件夹中保留 7 年。但是,已删除项目保留的期限根据删除日期进行计算。如果用户在 6 年之后删除某个项目,该项目将在可恢复项目文件夹中另外保留 7 年,结果是总的保留期限为 13 年。换句话说,您可以保证项目将至少保留 7 年,而非最长的保留期限。

    在新版 Exchange 中,当您创建基于时间的就地保留时,因为保留期限根据项目接收/创建日期计算,所以您可以保证超出此期限时不会保留项目。您可以将基于时间的就地保留与保留策略(具有一个默认的策略标记)结合使用,以便确保邮箱中的项目将在 7 年之后由托管文件夹助理 (MFA) 删除,且用户或过程在此期限之前删除的项目将至少保留指定的持续时间。

您还可以将基于查询的就地保留与基于时间的保留结合使用,以将与查询参数匹配的项目保留指定期限。您还可以将用户置于多项保留状态 - 例如,当邮箱可能包含与多个案例或调查有关的记录时。

就地保留和权限

与就地电子数据展示相似,就地保留可由具有委派的 电子数据展示管理 权限的经授权的用户使用。但是,存在一点区别。电子数据展示管理角色组分配有 邮箱搜索诉讼保留 管理角色。前者允许经授权的用户为就地电子数据展示和保留创建邮箱搜索。后者实际上允许您将邮箱内容置于保留状态。

如果用户只分配有诉讼保留角色,例如通过创建自定义的基于角色的访问控制 (RBAC) 角色组或通过角色组(例如分配有诉讼保留角色的 组织管理 )的成员资格,用户能够使用就地保留 - 但只能将所有邮箱内容置于保留状态。用户无法指定查询参数。换句话说,用户无法创建基于查询的就地保留。

创建就地保留

我们来回顾 Robin 在本文的第 I 部分中创建的查询。当创建就地保留时,Robin 必须在“邮箱”(Mailboxes)页上选中“指定要搜索的邮箱”(Specify mailboxes to search)并选择邮箱或通讯组。如果她选中“搜索所有邮箱”(Search all mailboxes),将无法使用将内容置于保留状态的选项。

您必须指定要置于保留状态的邮箱或通讯组。如果您选中“搜索所有邮箱”(Search all mailboxes),将无法使用将内容置于保留状态的选项。

屏幕截图:指定要搜索的邮箱
图 1:若要创建就地保留,您必须选中“指定要搜索的邮箱”(Specify mailboxes to search)

注意:如果您选择通讯组,在创建保留之后保留将适用于属于该组成员的邮箱用户。

在“搜索查询”(Search query)页上,Robin 可以使用她用于就地电子数据展示的同一查询。

屏幕截图:指定搜索查询
图 2:将保留与查询参数匹配的邮件

她还可以选择要置于保留状态的邮件类型。

屏幕截图:指定要置于保留状态的邮件类型
图 3:您可以指定要保留的邮件类型或者保留所有邮件类型

将存档 Lync 内容置于保留状态

如果启用了新版 Lync 以将即时消息传递和会议内容存档到新版 Exchange 中,则 Lync 内容会在用户邮箱中存档并自动置于保留状态。您需要配置 Lync 与 Exchange 之间的 OAuth 身份验证以实现这一点。此外,邮箱必须位于新版 Exchange 中的邮箱服务器中。

在“就地保留设置”(In-Place Hold settings)页上,Robin 选中“将与所选邮箱中的搜索查询匹配的内容置于保留状态”(Place content matching the search query in selected mailboxes on hold)选项。然后,她可以选中“无限期保留”(Hold indefinitely)以将内容无限期保留(或者直到删除就地保留或从搜索中删除邮箱)。若要将项目保留特定期限,她可选中“指定相对于项目接收日期的保留项目的天数”(Specify number of days to hold items relative to their received date)并指定天数。

屏幕截图:就地保留设置
图 4:您可以指定保留持续时间或无限期保留项目

在此重申,对于基于时间的保留,持续时间根据邮件的接收/创建日期计算,这一点十分重要。

就地保留的工作原理

我们来看看内部发生的情况。

当用户删除邮件时,邮件将转到“已删除项目”(Deleted Items)文件夹。在清空已删除项目文件夹或从中删除邮件后,或者用户使用 Shift-Delete 删除邮件时,邮件将移至“可恢复项目\删除”(Recoverable Items\Deletes) 文件夹。当用户在 Outlook 或 Outlook Web App 中使用“恢复已删除项目”时将公开此文件夹的内容。

如果用户不执行任何操作,则在为邮箱数据库或用户配置的已删除项目保留期限过期时将清除“删除”(Deletes) 文件夹中的邮件。

如果用户删除此视图中的邮件,可能会发生多种情况:

  1. 如果为邮箱启用了单个项目恢复,则项目将移至“可恢复项目\清除”(Recoverable Items\Purges)文件夹且在已删除项目保留期限过期之前将一直保留。这为管理员提供了不必从备份中恢复即可恢复项目的能力。

  2. 如果将邮箱置于诉讼保留状态,项目将移至“可恢复项目\清除”(Recoverable Items\Purges)文件夹且在删除保留之前一直保留。

     

  3. 如果将邮箱置于就地保留状态,项目将移至“可恢复项目\数据展示保留”(Recoverable Items\DiscoveryHolds)文件夹。

就地保留和可恢复项目
图 5:已删除项目和已修改项目的原始副本保留在每个邮箱的“可恢复项目”(Recoverable Items) 文件夹中

当 MFA(处理邮箱的邮箱助理并可使内容过期的邮箱助理)处理邮箱时,它会检查邮件是否与用户置于的任何就地保留的查询参数相符。将为最多 5 个查询完成此评估,此外还将保留所有项目 – 模拟与诉讼保留相同的行为。如果引入的保留数低于 5,MFA 将再次恢复基于查询的就地保留行为。

在删除就地保留之后,如果置于保留状态的邮件不再与用户可能置于的其他任何就地保留的查询参数相匹配,则将删除置于保留状态的邮件。

就地保留和不变性

在谈到保留时,不变性的概念总是会出现。不变性意味着置于保留状态的邮件必须在未更改的情况下保留。我们不仅应阻止删除这些邮件(即使置于保留状态的用户认为他们已成功清除邮件),还应阻止篡改或更改这些邮件。不变性并不是一项产品功能,而是贵组织实施的功能和保留流程的组合。

就地保留还将帮助您防止恶意篡改或修改内容。这可通过执行写入时复制 (COW) 来实现 – 当用户或任何过程尝试修改邮件时,在保存已修改邮件之前会创建原始邮件的副本并将其保存在“可恢复项目\版本”(Recoverable Items\Versions) 文件夹中。还会对“版本”(Versions) 文件夹中获取的项目编制索引且这些项目将在就地电子数据展示搜索中返回。当删除保留时,“版本”(Versions) 文件夹中创建的副本也将由托管文件夹助理删除。

总之,就地保留和就地电子数据展示为经授权的法律、人力资源或其他非技术人员提供了一种易于使用的机制,以便轻松搜索邮件记录并将其保留原样。

Bharat Suneja 和 Julian Zbogar-Smith

这是一篇本地化的博客文章。请访问 In-Place eDiscovery and In-Place Hold in the New Exchange – Part II 以查看原文