Exchange应用之Exchange 2013 就地发现
白羽 2018-07-03 来源 :网络 阅读 1086 评论 0

摘要:本文将带你了解Exchange应用之Exchange 2013 就地发现,希望本文对大家学Exchange有所帮助。


如果您的组织遵循法律发现要求(与组织策略、合规性或诉讼相关),Microsoft Exchange Server 2013 就地电子数据展示可以帮助您对 Exchange 2013 邮箱内的相关内容执行发现搜索。

就地电子数据展示使用的是由 Exchange 搜索创建的内容索引。基于角色的访问控制 (RBAC) 提供了 发现管理 角色组,以便将发现任务委派给非技术人员,而无需提供提升的权限,提升的权限可能会允许用户对 Exchange 配置进行任何操作性的更改。Exchange 管理中心 (EAC) 为非技术人员(如法律和合规事务主管、记录管理员和人力资源 (HR) 专家等)提供易于使用的搜索界面。

在 Exchange 2013 中,授权用户可以执行就地电子数据展示并选择以下选项之一:

1)估计搜索结果 获取搜索会返回的估计邮件数,包括关键字统计信息以确定搜索中使用的关键字有效性并在需要时调整搜索参数。

2)预览搜索结果

3)将搜索结果中返回的邮件复制到发现邮箱。

Exchange 2013 还提供联合搜索功能以及与 Microsoft SharePoint 2013 的集成。使用“电子数据展示中心”可以搜索并就地保留与某个案例相关的所有内容(SharePoint 2013 网站、文档、SharePoint 编入索引的文件共享、Exchange 中的邮箱内容以及来自单个位置的存档 Lync 2013 内容)。

Exchange 搜索

就地电子数据展示使用的是由 Exchange 搜索创建的内容索引。在 Exchange 2013 中,Exchange 搜索已重新设计为使用 Microsoft Search Foundation。使用 Microsoft Search Platform 可提高索引和查询性能并改进搜索功能。因为 Microsoft Search Foundation 也由其他 Office 产品(包括 SharePoint 2013)使用,所以它可在这些产品间提供更好的互操作性和相似的查询语法。

使用单一内容索引引擎,当 IT 部门收到电子数据展示请求时,无需使用其他资源便可针对就地电子数据展示进行爬网和索引邮箱数据库。

就地电子数据展示使用关键字查询语言 (KQL),这是一种查询语法,类似于 Microsoft Outlook 和 Outlook Web App 中的即时搜索使用的高级查询语法 (AQS)。熟悉 KQL 的用户可以轻松构建强大的搜索查询以搜索内容索引。

发现管理角色组和管理角色

对于执行就地电子数据展示搜索的用户,您必须将其添加到 发现管理 RBAC 角色组。此角色组由下面两个管理角色构成:邮箱搜索角色(使用户可执行就地电子数据展示搜索)和合法保留角色(使用户可将邮箱置于就地保留或诉讼保留状态)。

默认情况下,不会向任何用户或 Exchange 管理员分配执行与就地电子数据展示相关的任务所需的权限。作为组织管理角色组成员的 Exchange 管理员可向发现管理角色组添加用户,并可创建自定义角色组,将发现管理员的作用域限制为用户的子集。有关将用户添加到发现管理角色组的详细信息,请参阅将用户添加到“发现管理”角色组。

RBAC 角色更改的审核(默认情况下会启用)可确保保留了适当的记录,以便跟踪发现管理角色组的分配。

发现邮箱

创建就地电子数据展示搜索之后,您可以将搜索结果复制到目标邮箱。通过 EAC 可以选择发现邮箱作为目标邮箱。发现邮箱是一种特殊类型的邮箱,它具有以下功能:

1)更加轻松安全的目标邮箱选择   当您使用 EAC 复制就地电子数据展示搜索结果时,只有发现邮箱可作为存储搜索结果的存储库。无需在可能很长的组织可用邮箱列表中费心挑选。这也消除了发现管理员出现以下错误的可能性:即不小心选择了其他用户的邮箱或可能存储了敏感邮件的不安全邮箱。

2)大型邮箱存储配额   目标邮箱应能够存储就地电子数据展示搜索可能返回的大量邮件数据。默认情况下,发现邮箱的邮箱存储配额为 50 千兆字节 (GB)。您可以修改配额,以使其满足自己的需要。

3)默认情况下更加安全   与所有邮箱类型一样,发现邮箱具有关联的 Active Directory 用户帐户。但是默认情况下,此帐户为禁用状态。只有显式授权可访问发现邮箱的用户可以访问。发现管理角色组的成员具有对默认发现邮箱的完全访问权限。创建的任何其他发现邮箱都不会将邮箱访问权限分配给任何用户。

4)电子邮件传递已禁用   虽然电子邮件在 Exchange 地址列表中可见,但用户不能将其发送至发现邮箱。使用传递限制来禁止对发现邮箱进行电子邮件传递。这可保持复制到发现邮箱的搜索结果的完整性。

Exchange 2013 安装程序会创建一个显示名为“发现搜索邮箱”的发现邮箱。可以使用命令行管理程序创建其他发现邮箱。默认情况下,创建的发现邮箱不会分配有任何邮箱访问权限。可以为发现管理员分配完全访问权限以访问复制到发现邮箱的邮件。

就地电子数据展示还使用显示名为“SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}”的系统邮箱来保留就地电子数据展示元数据。系统邮箱在 EAC 或 Exchange 地址列表中不可见。在删除就地电子数据展示系统邮箱所在的邮箱数据库之前,必须将该邮箱移动到其他邮箱数据库。如果删除或损坏了该邮箱,则发现管理员无法执行电子数据展示搜索,直到重新创建该邮箱。有关详细信息,请参阅重新创建发现系统邮箱。

与 SharePoint Server 2013 集成

Exchange 2013 提供与 SharePoint 2013 的集成,从而使发现管理员可以在 SharePoint 中使用电子数据展示中心来执行以下任务:

1)从单个位置搜索和保留内容 授权发现管理员可以跨 SharePoint 和 Exchange 搜索和保留内容,包括 Lync 内容(如 Exchange 邮箱中存档的即时消息对话和共享会议文档)。

2)案例管理 电子数据展示中心使用案例管理方法进行电子数据展示,从而使您可以创建案例并针对每个案例跨不同内容库保留内容。

导出搜索结果 发现管理员可以使用电子数据展示中心导出搜索结果。包含在搜索结果中的邮箱内容会导出到 PST 文件中。

SharePoint 还使用 Microsoft Search Foundation 进行内容索引和查询。无论发现管理员是使用 EAC 还是电子数据展示中心搜索 Exchange 内容,都会返回相同邮箱内容。

在使用 SharePoint 中的电子数据展示中心搜索 Exchange 邮箱之前,必须在两个应用程序之间建立信任。在 Exchange 2013 和 SharePoint 2013 中,这使用 OAuth 身份验证来完成。从 SharePoint 执行的电子数据展示搜索通过 Exchange 使用 RBAC 进行授权。若要 SharePoint 用户能够执行 Exchange 邮箱的电子数据展示搜索,必须在 Exchange 中向他们分配委派发现管理权限。若要能够预览使用 SharePoint 电子数据展示中心执行的电子数据展示搜索中返回的邮箱内容,发现管理员必须在相同 Exchange 组织中拥有邮箱。

使用就地电子数据展示

已添加至发现管理角色组的用户可以执行就地电子数据展示搜索。可以在 EAC 中使用基于 Web 的界面执行搜索。这可以使非技术人员(如记录管理员、合规事务主管或是法律和 HR 专家)可以更加轻松地使用就地电子数据展示。还可以使用命令行管理程序执行搜索。

EAC 中的“就地电子数据展示和保留”向导使您可以创建就地电子数据展示搜索,还可使用就地保留将搜索结果置于保留状态。在创建就地电子数据展示搜索时,会在就地电子数据展示系统邮箱中创建搜索对象。可以通过操纵该对象来启动、停止、修改或删除搜索。在创建搜索之后,可以选择获取搜索结果的估计,这包括可帮助确定查询有效性的关键字统计信息。还可以对搜索中返回的项目进行实时预览,从而使您可以查看邮件内容、从每个源邮箱返回的邮件数以及邮件总数。可以使用此信息在需要时进一步微调查询。

当对搜索结果满意时,可以将结果复制到发现邮箱。还可以使用 Outlook 将发现邮箱或其中部分内容导出到 PST 文件。

当创建就地电子数据展示搜索时,必须指定以下参数:

1)名称 搜索名称用于标识搜索。当将搜索结果复制到发现邮箱时,会通过使用以唯一方式标识发现邮箱中的搜索结果的搜索名称和时间戳,在发现邮箱中创建文件夹。

2)邮箱 可以选择搜索 Exchange 2013 组织中的所有邮箱或指定要搜索的邮箱。如果还要使用相同搜索将项目置于保留状态,则必须指定邮箱。可以指定一个通讯组,以包含作为该组成员的邮箱用户。组的成员资格会在创建搜索时一次性进行计算,对组成员资格的后续更改不会自动反映在搜索中。用户的主邮箱和存档邮箱包含在搜索中。

3)搜索查询 可以包含指定邮箱中的所有邮箱内容,或使用搜索查询返回与案例或调查更加相关的项目。可以在搜索查询中指定以下参数:

–关键字:可以指定关键字和短语来搜索邮件内容。还可以使用逻辑运算符 AND、OR 和 NOT。此外,Exchange 2013 还支持 NEAR 运算符,从而使您可以搜索与另一个单词或短语接近的单词或短语。

若要搜索包含多个单词的短语的完全匹配项,必须在该短语前后加上引号。例如,搜索短语“plan and competition”将返回包含该短语的完全匹配项的邮件,而指定“plan AND competition”则将返回在邮件中任何位置包含单词“plan”和“competition”的邮件。

Exchange 2013 还支持将关键字查询语言 (KQL) 语法用于就地电子数据展示搜索。

逻辑运算符必须使用大写,以将其作为运算符而非关键字处理,例如 AND 和 OR。我们建议对任何混用多个逻辑运算符的查询使用显式圆括号,以避免出现错误或误解。例如,如果要搜索包含 WordA 或 WordB 以及 WordC 或 WordD 的邮件,则必须使用 (WordA OR WordB) AND (WordC OR WordD)。

–开始日期和结束日期 默认情况下,就地电子数据展示不按日期范围限制搜索。若要搜索特定日期范围内发送的邮件,可以通过指定开始和结束日期来缩小搜索范围。如果不指定结束日期,则每次重新启动搜索时将返回最新结果。

–发件人和收件人 若要缩小搜索范围,可以指定邮件的发件人或收件人。可以使用电子邮件地址、显示名称或域名来搜索发送到或发送自域中每个用户的项目。例如,若要查找由任何用户发送到或发送自 Contoso, Ltd. 的电子邮件,请在 EAC 的“发件人”或“收件人/抄送”字段中指定“@contoso.com”。还可以在命令行管理程序的 Senders 或 Recipients 参数中指定“@contoso.com”。

–邮件类型 默认情况下,搜索所有邮件类型。可以通过选择特定的邮件类型(如电子邮件、联系人、文档、日记、会议、便笺和 Lync 内容)来限制搜索。

使用就地电子数据展示时,还需考虑以下事项:

4)附件 就地电子数据展示会搜索 Exchange 搜索支持的附件。通过为邮箱服务器上的文件类型安装的搜索筛选器(也称为 iFilter),可以添加对其他文件类型的支持。

5)不可搜索的项目 不可搜索的项目是指 Exchange 搜索无法编入索引的邮箱项目。无法编入索引的原因包括未对附加文件安装搜索筛选器、筛选器错误和加密邮件。若要实现成功的电子数据展示搜索,组织可能需要包含这类项目以进行审阅。将搜索结果复制到发现邮箱时,可以包含不可搜索的项目。

6)安全列表 某些文件类型不包含可编入索引的内容,因此不会由 Exchange 搜索编入索引。这些文件类型不会被视为不可搜索的项目,因此它们在选择用于将不可搜索的项目复制到发现邮箱的选项时不会包含在内。不可搜索的项目的列表中不返回包含这些文件类型的邮箱项目。

7)加密项目 因为 Exchange 搜索不会将使用 S/MIME 加密的邮件编入索引,所以就地电子数据展示不会搜索这些邮件。如果选择了用于在搜索结果中包括不可搜索的项目的选项,则这些使用 S/MIME 加密的邮件将复制到发现邮箱。

8)受 IRM 保护的项目 使用信息权限管理 (IRM) 保护的邮件会由 Exchange 搜索编入索引,因此在匹配查询参数时会包括在搜索结果中。必须使用 Active Directory 权限管理服务 (AD RMS) 群集保护邮件,此群集应与邮箱服务器处于同一 Active Directory 林中。

9)重复数据删除 在将搜索结果复制到发现邮箱时,可以对搜索结果启用“重复数据删除”功能以便仅将特定邮件的一个实例复制到发现邮箱。重复数据删除具有以下好处:

–由于减少了复制的邮件数,因此降低了存储要求并缩小了发现邮箱的大小。

–减轻了发现管理员、法律顾问或参与审阅搜索结果的其他人员的工作负荷。

–降低了电子数据展示成本,具体取决于从搜索结果中排除的重复项目数。

估计、预览和复制搜索结果

在完成就地电子数据展示搜索之后,可以在 EAC 的详细信息窗格中查看搜索结果估计。估计包括返回的项目数和这些项目的总大小。还可以查看关键字统计信息,这些统计信息可返回有关针对搜索查询中使用的每个关键字返回的项目数的详细信息。此类信息可用于确定查询有效性。如果查询范围太广,则可能返回大得多的数据集,这可能需要更多资源用于审阅并会提高电子数据展示成本。如果查询范围太窄,则可能会显著减少返回的记录数,或是完全不返回任何记录。可以使用估计和关键字统计信息来微调查询,以满足要求。

还可以预览搜索结果,以便进一步确保返回的邮件包含所搜索的内容并在需要时进一步微调查询。电子数据展示搜索预览会显示从搜索的每个邮箱中返回的邮件数以及搜索返回的邮件总数。预览会快速生成,而无需将邮件复制到发现邮箱。

在对搜索结果的数量和质量满意之后,可以将它们复制到发现邮箱。当复制邮件时,可以选择以下选项:

1)包括不可搜索的项目 有关被视为不可搜索的项目类型的详细信息,请参阅上一节中的电子数据展示搜索注意事项。

2)启用重复数据删除 在搜索的一个或多个邮箱中找到多个实例时,重复数据删除可仅包括特定记录的单个实例,从而减小数据集。

3)启用完整日志记录 默认情况下,仅当复制项目时才启用基本日志记录。可以选择完整日志记录以包含搜索返回的所有记录的有关信息。

4)在复制完成时向我发送邮件 就地电子数据展示搜索可能可返回大量记录。将返回的邮件复制到发现邮箱可能需要较长时间。使用此选项可在复制过程完成时收到电子邮件通知。为了更方便地使用 Outlook Web App 进行访问,通知包含一个链接,该链接指向将邮件复制到的发现邮箱中的位置

日志记录

有两种类型的日志记录可用于就地电子数据展示搜索:

1)基本日志记录 默认情况下将为所有就地电子数据展示搜索启用基本日志记录。基本日志记录包含有关搜索和搜索执行人员的信息。使用基本日志记录捕获的信息会显示在发送到存储搜索结果的邮箱的电子邮件正文中。邮件位于为存储搜索结果而创建的文件夹中。

2)完整日志记录:完整日志记录包含搜索返回的所有邮件的信息。此信息以逗号分隔值 (.csv) 文件的形式提供,该文件会附加到包含基本日志记录信息的电子邮件中。搜索的名称将用作 .csv 文件的名称。出于遵从性或保留记录的目的,可能需要此信息。若要启用完整日志记录,必须在 EAC 中将搜索结果复制到发现邮箱时选择“启用完整日志记录”选项。如果使用命令行管理程序,则使用 LogLevel 参数指定完整日志记录选项。

除了在将搜索结果复制到发现邮箱时包含的搜索日志之外,Exchange 还记录 EAC 或命令行管理程序用于创建、修改或删除就地电子数据展示搜索的 cmdlet。此信息记录在管理员审核日志条目中。

就地电子数据展示和就地保留

作为电子数据展示请求的一部分,您可能需要将邮箱内容保留至处理诉讼或调查之后。还必须保留邮箱用户或任何过程已删除或更改的邮件。在 Exchange 2013 中,这是通过使用就地保留来完成的。

在 Exchange 2013 中,可以使用新的“就地电子数据展示和保留”向导来搜索项目并将它们保留进行电子数据展示或满足其他业务要求所需的时间长度。将相同搜索用于就地电子数据展示和就地保留时,请注意以下事项:

1)不能使用搜索所有邮箱的选项。必须选择邮箱或通讯组。

2)如果某个就地电子数据展示搜索还用于就地保留,则不能删除该搜索。必须先在搜索中禁用就地保留选项,然后才能删除该搜索。

保留邮箱以用于就地电子数据展示

员工离开组织时,一般会禁用或删除其邮箱。在禁用了邮箱后,会将其从用户帐户断开连接,但仍会将其保留在邮箱中一段时间(默认为 30 天)。托管文件夹助理不会处理断开连接的邮箱,并且在此期间不会应用任何保留策略。您将无法搜索断开的邮箱的内容。达到了为邮箱数据库配置的已删除邮箱保留期时,会将该邮箱从邮箱数据库中清除。

如果组织要求对已离开组织的员工的邮件应用保留设置,或者需要保留前员工的邮箱供当前或未来电子数据展示搜索使用,请勿禁用或删除邮箱。可以执行以下步骤以确保邮箱不能访问,并且不会向其传递新邮件。

1)使用“Active Directory 用户和计算机”或是其他 Active Directory 或帐户设置工具或脚本,禁用 Active Directory 用户帐户。这样可以阻止使用关联的用户帐户登录邮箱。

2)将邮箱用户可以发送或接收的邮件的邮件大小限制设置为一个很小的值,如 1 KB。这样可阻止通过该邮箱发送和接收新邮件。

3)配置邮件的传递限制,使任何人都无法向其发送邮件。

在计划为邮件保留管理 (MRM) 或就地电子数据展示实现邮箱保留时,必须考虑员工流动率。长期保留前员工的邮箱需要邮箱服务器上的额外存储,还会导致 Active Directory 数据库增大,因为要求将关联的用户帐户也保留相同的时间。此外,还可能要求更改组织的帐户设置和管理过程。

就地电子数据展示和限制策略

在 Exchange 2013 中,使用限制策略控制就地电子数据展示可以在邮箱服务器上占用的资源。默认限制策略包含以下限制参数。可以修改默认限制策略的参数以适合您的要求,或是创建其他限制策略并将其分配给具有委派发现管理权限的用户。

参数

   

描述

   

默认值

   

DiscoveryMaxConcurrency

   

用户可以同时执行的最大就地电子数据展示搜索数

   

2

   

DiscoveryMaxMailboxes

   

可以在单个就地电子数据展示搜索中搜索的最大邮箱数

   

50

   

DiscoveryMaxMailboxesResultsOnly

   

可以在单个就地电子数据展示搜索以及复制到发现邮箱

的结果中搜索到的最大邮箱数。

   

5000

   

DiscoveryMaxKeywords

   

可以在单个就地电子数据展示搜索中指定的最大关键字数

   

500

   

DiscoveryMaxSearchResultsPageSize

   

在电子数据展示搜索预览的单个页面上显示的最大项目数。

   

200

   

DiscoveryMaxConcurrency

   

EAC 中就地电子数据展示搜索状态的关键字统计信息部

分中每页显示的最大关键字数。

   

 


 本文由职坐标整理并发布,希望对同学们有所帮助。了解更多详情请关注职坐标系统运维之Exchange频道!


本文由 @白羽 发布于职坐标。未经许可,禁止转载。
喜欢 | 0 不喜欢 | 0
看完这篇文章有何感觉?已经有0人表态,0%的人喜欢 快给朋友分享吧~
评论(0)
后参与评论

您输入的评论内容中包含违禁敏感词

我知道了

助您圆梦职场 匹配合适岗位
验证码手机号,获得海同独家IT培训资料
选择就业方向:
人工智能物联网
大数据开发/分析
人工智能Python
Java全栈开发
WEB前端+H5

请输入正确的手机号码

请输入正确的验证码

获取验证码

您今天的短信下发次数太多了,明天再试试吧!

提交

我们会在第一时间安排职业规划师联系您!

您也可以联系我们的职业规划师咨询:

小职老师的微信号:z_zhizuobiao
小职老师的微信号:z_zhizuobiao

版权所有 职坐标-一站式IT培训就业服务领导者 沪ICP备13042190号-4
上海海同信息科技有限公司 Copyright ©2015 www.zhizuobiao.com,All Rights Reserved.
 沪公网安备 31011502005948号    

©2015 www.zhizuobiao.com All Rights Reserved

208小时内训课程