新版 Exchange 的就地 eDiscovery 與就地保留 - 第一部分

  • Article

英文原文已於 2012 年 9 月 27 日星期四發佈

面對 eDiscovery 要求時,組織必須能夠保留電子郵件記錄、搜尋相關的記錄,以及產生記錄以供檢閱。

在 Exchange Server 2010 與 Office 365 中,訴訟保留可讓您保留信箱項目。當使用者或程序嘗試永久刪除項目時,會從使用者的檢視中移除該項目,並移至信箱中無法存取的位置。此外,當使用者或程序修改項目時,就會執行「寫入時複製」(COW) 作業,並在確認變更的版本之前儲存原始項目的副本,以保留原始內容。每次變更都會重複此程序,保留所有後續版本的副本。

使用多信箱搜尋 (也是 Exchange 2010 的新功能),受委派的法律、人力資源或 IT 人員 (又稱為「探索管理員」,因其必須有指派的探索管理權限) 才能在整個 Exchange 2010 組織搜尋信箱內容。從搜尋中傳回的郵件可以複製到探索信箱,這是信箱配額較高的特殊信箱類型,而且無法傳送或接收郵件。

Exchange 2013 就地 eDiscovery 與就地保留的新增功能

自從發行 Exchange 2010 與 Office 365 之後,我們收到各種規模的組織有關郵件傳遞原則與法務遵循功能的許多意見反應,包括封存、eDiscovery 及保留。在規劃法務遵循功能的演進時,我們以您的意見反應為依歸。讓我們來看一下有哪些改變。

  • 新名稱:在新版 Exchange 中,多信箱搜尋稱為「就地 eDiscovery」。

  • 新搜尋引擎:就地 eDiscovery 仍會使用 Exchange 搜尋產生的搜尋索引,但 Exchange 搜尋的核心技術已經改為使用 Microsoft Search Foundation。內容索引功能先前是由 Windows Search 執行。Microsoft Search Foundation 是一種多功能搜尋平台,可大幅改善索引與查詢效能和帶來改良的搜尋功能。

  • 新保留方法:在新版 Exchange 中,您可以使用就地保留來保留搜尋的內容。就地保留已與就地 eDiscovery 整合,可讓您使用同一個便於使用的介面,同時搜尋和保留內容。整合保留功能與 eDiscovery,可讓您使用查詢非常明確地知道所保留的內容。減少保留的資料量,降低日後檢閱資料的成本。

  • 新 UI:新版 Exchange 支援全新的整合網頁管理工具 Exchange 系統管理中心 (EAC)。探索管理員使用全新的就地 eDiscovery 與保留精靈,執行 eDiscovery 搜尋。

  • 關鍵字統計資料:在建立就地 eDiscovery 搜尋之後,您可以取得詳細的關鍵字統計資料,顯示各個關鍵字的相符項目數目。您可以使用此資訊來判斷查詢是否傳回您估計的郵件數目。搜尋可能會傳回過多或過少郵件,取決於查詢太廣泛或太狹隘。請使用此資訊來微調查詢。

  • eDiscovery 搜尋預覽:在建立 eDiscovery 搜尋之後,您可以快速預覽搜尋結果。搜尋預覽中會顯示從每個來源信箱傳回的郵件。快速預覽郵件的功能可讓您確定查詢會傳回您要搜尋的內容,以及進一步微調查詢。

  • 與新版 SharePoint 整合:Exchange 可搭配使用新版 SharePoint 提供整合式 eDiscovery 與保留經驗。使用「eDiscovery 中心」,您可以搜尋和就地保留和案例相關的所有內容 -– SharePoint 網站、文件、由 SharePoint 編製索引的檔案共用、Exchange 中的信箱內容,以及從單一位置封存的 Lync 內容。您可以匯出與案例關聯的內容,包括檔案、清單、網頁及 Exchange 信箱內容。信箱內容可匯出為 .PST 檔案。符合電子化探索參照模式 (EDRM) 規格的 XML 資訊清單可提供匯出資訊概觀。

    為了搜尋 Exchange 內容,SharePoint 使用 Exchange 的同盟搜尋 API。無論您是從 EAC 或是使用 SharePoint 來搜尋 Exchange 內容,都會傳回相同的搜尋結果。新版 SharePoint 與 Exchange 兩者都使用相同的基本索引與查詢引擎 – Microsoft Search Foundation,可讓您針對 SharePoint 與 Exchange 內容使用相同的搜尋查詢。

執行就地 eDiscovery 搜尋

讓我們來看看一位探索管理員如何執行就地 eDiscovery 搜尋。

Robin 任職於 Contoso 行銷公司的法律團隊。Contoso 收到 Tailspin Toys 公司的要求,請求協助其所生產新玩具的行銷活動。由於 Contoso 在玩具業界的玩具行銷活動經驗豐富,風評極佳。這對業務來說是件好事,但他們也必須謹慎行事,因為與其合作的許多玩具公司彼此是競爭者。Contoso 剛為另一間玩具公司 Wingtip Toys 完成相當成功的行銷活動,而 Robin 想要確定任何機密資料都不會透過他的團隊,意外地從一位客戶傳遞給另一位客戶。為此,Robin 想要搜尋任職公司的電子郵件與文件,在法律團隊的幫助下確定沒有任何潛在問題。

使用者必須委派為探索管理角色 (可能為英文網頁),才能使用就地 eDiscovery。您可以將該角色委派給授權的法律、法規遵循管理或人力資源人員。Robin 是這些法律團隊成員之一。這項可將角色範圍限定在新版 Exchange 2013 的功能,可讓 IT 專業人員將法規遵循責任委派給像 Robin 這樣的同事,而不必授與所有 Exchange 伺服器功能的完整存取權。

Robin 一開始先瀏覽到 Exchange 系統管理中心。您可以在 EAC 的 [法規遵循管理] 索引標籤,管理新版 Exchange 中的法規遵循功能。因為 Robin 沒有任何其他 Exchange 管理員角色,所以她只能看見與探索管理角色群組相關的介面。在 [法規遵循管理] 索引標籤上,她只能看見 [就地 eDiscovery 與保留]。


圖 1:擁有委派探索管理權限的使用者可以存取 [就地 eDiscovery 與保留] 索引標籤

她按一下 [新增]按鈕以啟動 [新增就緒 eDiscovery 與保留]精靈,然後輸入名稱與選擇性描述,進行搜尋。


圖 2:使用 EAC 中的新增就緒 eDiscovery 與保留精靈建立就緒 eDiscovery 搜尋

Robin 可以搜尋 Exchange 組織中的所有信箱,或是選取她想要搜尋的信箱。


圖 3:指定信箱 (要搜尋的信箱或是搜尋所有信箱)

在 [搜尋查詢]頁面上,Robin 可以選取要傳回所有信箱內容或只有特定內容的選項。Robin 想要針對其團隊成員與 WingTip Toys 共同完成的工作來尋找相關的特定內容。她可以選擇只輸入幾個關鍵字來執行簡單搜尋,或是使用像是 AND、OR、括弧等布林運算子,執行更複雜的搜尋,更明確指定她要搜尋的內容。因為數 GB 的信箱比比皆是,而且她想要將內容集合縮小至足以找出想要的內容,這樣做可大幅節省時間與成本。


圖 4:指定搜尋查詢,包括關鍵字、開始與結束日期、寄件者與收件者

除了使用布林邏輯,她也可以使用「近接」運算子 (NEAR),尋找彼此接近的文字。您也可以看見她使用萬用字元,而在此例中,她在尋找 wingtip 附近的三個字內有 toy、toys、toymaker 或任何類似字的文字。

在這個特殊案例中,Robin 想要在指定郵件中的任意位置尋找這些關鍵字,但如果她想要指定更明確的位置,例如只搜尋郵件主旨的字詞,她可以輸入 Subject:,後面再加上要搜尋的字詞。建立的查詢複雜度取決於想要的明確程度。您可以在查詢中使用數百種關鍵字。

您可以選擇特定的郵件類型。Exchange 信箱不但有電子郵件,也有行事曆項目、工作、記事及個人資訊管理的其他相關項目。新版 Exchange 可讓她搜尋上述所有項目,或者她可以將範圍縮小至查詢特定的項目類型。她選擇電子郵件以及會議,以便追蹤哪位員工曾與 Wingtip 會面,以及閱讀會議要求來找出討論內容。


圖 5:選取所有郵件類型或指定要搜尋的郵件類型

在 Robin 建立查詢以定義她認為重要的內容之後,有一些選項可供選擇要如何處理找到的結果。如果她認為有必要保護此內容,她可以選擇予以保留。內容處於保留狀態時,Exchange 會自動擷取任何編輯或刪除資料的嘗試,並將那些項目儲存在信箱的隱藏資料夾中。使用者完全無法看見,因此不會中斷其每日的工作流程,但確實可保留該重要資料,以供日後復原之用。


圖 6:就地保留搜尋結果

我們將在本篇文章的第二部分進一步討論就地保留。

Robin 按一下 [完成]。隨即會針對 Exchange 2013 信箱執行搜尋並保留項目。

搜尋完成時,Robin 看一下總大小與項目技術是否能夠加以管理。如果有一百萬個項目,她的查詢可能是太廣泛;如果沒有任何項目,則表示太狹隘。如果想要深入詳細資料,可以檢視搜尋統計資料,查看整體結果集裡每個關鍵字所佔的總數。此舉可以真正找對調整查詢的方向,讓結果集快速降至能夠加以管理的大小。


圖 7:使用搜尋估計與關鍵字統計資料,微調搜尋查詢

在完成調整查詢之後,她可以停止搜尋,然後與其團隊或法律顧問討論該查詢是否正確。她也可以建立其他的 eDiscovery 搜尋,然後使用不同的查詢參數。

她也可以選擇預覽搜尋中傳回的郵件。


圖 8:可預覽郵件和判斷查詢效能的 eDiscovery 搜尋預覽功能

「eDiscovery 搜尋預覽」功能可顯示針對搜尋的每個信箱顯示計數與總大小。內建於 Outlook Web App 的預覽功能,會以原生格式顯示郵件,完全保持原貌。


圖 9:eDiscovery 搜尋預覽功能可以直接顯示郵件預覽,而不必將郵件複製到探索信箱

Robin 可以快速捲動所有結果,檢視隨搜尋傳回其他項目。由於她使用完整不失真的 Outlook Web App 預覽功能,因此也可以檢視附件。

在 Robin 預覽結果並對其感到滿意之後,可以留存副本以供日後檢閱,或是加以匯出,以便匯出交給外部的法律顧問。若要那樣做,只要按一下 [複製搜尋結果]連結即可。


圖 10:將搜尋傳回的郵件複製到探索信箱

將郵件複製到探索信箱時,會有下列選項:

  • 包含無法搜尋的項目:她可以選擇是否要納入「無法搜尋」的項目、索引系統可能無法處理的項目,例如損毀的項目、受密碼保護的 ZIP 附件,或是利用「資訊版權管理」以外的方式加密的項目。此核取方塊提供可納入上述兩類項目的選項,讓她可以手動加以檢閱,盡職調查,確定毫無遺漏之處。
  • 啟用重複資料刪除:她也有啟用重複資料刪除的選項。如您所知,將電子郵件 一次傳送給多人,這種情況非常普遍。刪除重複資料的功能可將每封郵件的數目縮減至 1,如此只需檢閱數量較少的郵件。
  • 啟用完整記錄:她也可以保留完整的搜尋結果記錄,其中包含所找到每個項目的完整清單。因為如果您有重複資料,對於多位人員都有的郵件,您只會保留一份副本,這特別適用於重複資料刪除功能。稍後,她可能需要知道,是否有位人員將郵件放在收件匣並標示為重要,但另一位人員將其移至 [刪除的郵件] 資料夾且不曾再閱讀。所有資訊都在該記錄中。
  • 電子郵件通知:她也可以選擇在複製程序完成時傳送電子郵件給她。如果搜尋結果傳回 20-30 GB 的資料,將資料複製到探索信箱會需要一些時間。

Robin 最後將挑選的項目是她想要放入搜尋結果的探索信箱。

複製完成之後,Robin 可以看見複製作業已完成,而且有一個連結,可連至儲存結果的信箱。Robin 現在可瀏覽到搜尋結果的副本。在此檢視中,她能夠檢閱項目,標記重要的項目,或者如果決定有些項目不重要,她可以將其移至 [刪除的郵件] 資料夾,使之不再顯示於檢視中。

完成之後,如果 Robin 需要向外部顧問分享合併的結果,她可以使用 Outlook 用戶端將合併的結果清單匯出為 PST 檔案。

新版 Exchange 的就地 eDiscovery 與就地保留功能概觀,如上所述。本篇文章的第二部分已排程於近日發表,我們將更深入探討就地保留功能。

Bharat Suneja 及 Julian Zbogar-Smith

這是翻譯後的部落格文章。英文原文請參閱 In-Place eDiscovery and In-Place Hold in the New Exchange - Part I