Retaining and “journaling” content has been a key requirement of organizations for years, however as organizations have migrated to Office 365, plus with Microsoft’s shift to new and improved eDiscovery tools, the process of “holding” and “searching” for content has changed.
本文介绍了一个全新系列的最佳实践,每一个法律部门,合规官和内容/ Office 365的管理员需要阅读,理解,并确保他们拥有Office 365的设置适当,以便在时机成熟时,他们需要做的电子发现内容,他们正在寻找的信息实际上已经举行,为今后的查找管理。
This document clarifies what’s included “in the box” in Office 365 with the E3 (or higher) license, the “Advanced eDiscovery” functions you get with Office 365 with the E5 license, and goes through the step by step procedures for setting up what is necessary to retain content and detailed procedures on how to query and look up information.
基本背景
为了能够检索法律或官方目的的信息,信息必须妥善保存(律师可能会说,LMS-“保留),这样的检索信息的完整性是有效的(律师将请求‘审计跟踪’,以检验和验证the information by showing the "chain of custody" and who, and how, it was "preserved and collected"). As an example, if the Human Resources department, Legal department, or outside Legal Counsel wants to gather information, it’s not good enough to just go into a user’s mailbox and extract information because the information in a mailbox is considered “fragile.” It is fragile because a user can easily “delete” a key message or the user can even go in using the Microsoft Outlook client and complete EDIT and CHANGE a message. If someone opens a user’s mailbox, the messages in the Outlook client can be tampered (LMS-modified) and are NOT considered valid evidence (even if modified accidentally).
在与Exchange 2013,Exchange 2010中,或者更早以前,它所需的特定技术和做法,以保护信息不被篡改。做事的老办法是让“日记”和/或购买第三方归档产品如Symantec Enterprise Vault中,铁山/含羞草的NearPoint for Exchange时,EMC EmailXtender的,Zantaz公司的EAS,等等。第三方工具需要一个单独的服务器,将所有Exchange服务器和客户端,以及相对高的费用进行管理,维护和支持的存档服务器和服务通常安装一个特殊的代理。
更换与Office 365邮箱保持日记
正如前面提到的,对老年人的电子邮件系统,组织将普遍实现的“日记”他们的电子邮件系统上有效地捕捉每一个电子邮件和存储这些电子邮件的副本在一个完全独立的服务器或存储系统。但是在Office 365,它不再是杂志消息的最佳实践,主要是因为有解决完全相同的业务和法律需求的更好的方法,而不必重复每一个电子邮件。
使用Office 365,组织简单地使用户的邮箱(或邮箱)的保留,该组织希望每一个法律史和进出用户的邮箱中的每一封邮件。许多组织允许这种类型的保持,这在Office 365是精细考虑组织不再需要管理保持的内容不断增长的存储中的所有邮箱。
AND better yet, since Office 365 includes more than just email, the same retention (and the same eDiscovery search that we’ll cover later in this article) can retain the history, state, and perform search on content stored as files in OneDrive, content stored in SharePoint Online, and Instant Message communications in Skype for Business. So when properly configured, an organization gets content retention and search across emails, files, and communications!
告别日志的概念,并欢迎在得到了完全相同的结果现在跨度不止传入和传出电子邮件的更好的办法!
归档和Office 365的电子邮件保留
归档和保留电子邮件相关的诉讼保留和eDiscovery的这整个主题,但针对不同的业务需求。
当电子邮件存档在Exchange 2010中面世,一些错误地认为,他们必须创建一个“归档邮箱”为所有用户保存数据,这是不正确的。存档邮箱创建一个用户移动内容的第二邮箱存储了他们的主邮箱,进入存档邮箱。早在“老日”(2010年之前),电子邮件服务器对他们的服务器的数据库有多大可能是极限,因此组织将有多少电子邮件用户可以存储(6个月,2年,256MB任何限制,2GB等)在他们的“主邮箱”的信息,当他们跑的空间了,就需要删除电子邮件。
不想删除电子邮件用户得到了像“PST文件”导出消息文件的创意和使用的机制,但是其用户USB拇指驱动器和笔记本电脑充满旧的电子邮件进行电子发现时成为一个更大的问题。在Exchange这些归档邮箱提供了次要位置,供用户自己的内容移动到,那仍然受到该组织的电子发现搜索。
However today with Office 365, each user’s primary mailbox (with an E3 or higher license) can store at least 50GB of emails which is 20-30 times more mailbox space than most organizations even allowed just a few years ago, and since Microsoft pays for and manages storage, the need for an organization to export messages or move messages to archive mailboxes is no longer a business requirement.
并与用户在Microsoft Office 365 E3许可证,用户可以有第二个邮箱,称为存档邮箱,如果需要,有效地具有存储无限量的,但同样,它并不像常见的组织,在存档邮箱对所有用户的50GB足够的存储空间,几乎所有的用户。
As for as eDiscovery, Litigation Hold, Retention policies, or the like, whatever is done to a user’s Primary mailbox is also applied to their Archive mailbox, so from a legal or functional basis, it doesn’t matter if a user has just a Primary mailbox, or if they have both a Primary and Archive mailbox.
归档用于归档到一个单独的邮箱的目的不再是激励因素,因此,所用有归档策略的组织需要重新考虑他们是否可使用这些天。
That said though, there are reasons an organization would want users to get rid of information, but instead of setting the limit at a completely arbitrary amount (by age or by storage limit), an organization’s retention policy these days (if they implement one) really HAS to be done based on a legal requirement. This might be tax or accounting records should be retained for 7-years, or content deemed applicable to the Sarbanes-Oxley Act (SOX) should be retained for 7-years, or the like. But there’s no magical age or size limit that is a “best practice”. Some might argue that emails should be kept for 2-years, or emails should be removed after 6-months, but those are again typically best practices of a decade ago when organizations solely wanted to remove content to fit within the technical storage limits of the email server systems themselves.
我介绍如何建立有效的电子存储信息(ESI),在我的书的政策“处理在云时代电子存储信息(ESI)”,可以以印刷品形式购买过Amazon.com,或免费下载的PDF或点燃/摩比格式从我公司网站http://www.cco.com/our-publications.htm并通过使用微软邮件记录管理(MRM)政策适用于Office 365的ESI政策将是以后的文章中,我将进入创建基于内容老化或关键字颗粒状政策的话题。现在,本文在这里将只集中于使邮箱内容保留和eDiscovery搜索作为诉讼保留和eDiscovery实践的基础。
什么可以在Office 365进行“在箱子”
虽然一个组织可以(与Exchange服务器混合配置无论是内部部署,或通过第三方日记服务器或云服务)继续购买第三方产品以及使用Office 365做日记,比较容易的和更好的办法处理邮件保留和法律恢复(LMS-“集合”)是刚刚在Office 365中设置适当的配置设置。
当用户删除他们的邮箱中的邮件,该邮件是不是真的删除,而是移动到已删除邮件文件夹,并坐落在删除邮件文件夹,直到该消息被完全从已删除邮件删除的文件夹。当用户从已删除邮件文件夹或清空已删除的邮件文件夹中删除某个项目时,该消息从文件夹,它似乎是“水涨船高”已删除邮件消失,但该消息实际上只是被移动到一个隐藏的可恢复项目文件夹中。可恢复项目文件夹替换功能前身为Exchange的早期版本回收站。文件夹从Microsoft Outlook,Outlook将Web应用程序和其他电子邮件客户端的默认视图中隐藏,使用户不再看到丢弃的消息可恢复项目,但消息仍然坐起来,在Office 365的短时间内。
在文件夹被保持在办公室365配置默认情况下,被删除的项目的保留期的可恢复的项目的物品,已删除项目保留期设置为14天(或30GB的存储空间,以先到者为准)。虽然此保留期限可以由管理员在Exchange的内部部署进行扩展,办公室365管理员不再与Office 365提供的其他选项更改保留期超过30天的,坦率地说,没有人需要的能力tinker with the retention period because there’s a better way of handling content retention (the whole focus of this article), so read on.
启用诉讼保留
使用Office 365,以代替日记的(保留所有邮件的副本)的保留时间(超过14天)或扩展,Office 365中的最佳做法是使邮箱就地保留或诉讼保留。这个过程有效地保留了所有电子邮件的永久记录(与就地/诉讼保留放在其他Office 365点的工作负载一样的SharePoint Online,OneDrive,和Skype的业务),核心内容将在Office 365中保留的不仅仅是电子邮件作为好!
为了把邮箱诉讼保留,这个决定需要的人是在交易所“发现管理”角色的一部分。默认情况下,没有一个人在组织中,包括Office 365管理员,有这个发现管理角色。但Office 365的管理员有权把用户(包括他们自己)到这个发现管理角色的权限。
对于个人(管理者,HR人员,律师)必须考虑到使就地保留和诉讼保留更改用户邮箱的权利,请执行以下操作:
1.登录到Office 365管理员门户(https://portal.office.com)与有权在Office 365管理中心用户登录。
2.在左侧,向下滚动到管理,然后单击在Exchange
3.在Exchange管理中心,点击“权限”
4.在“管理角色”页面,在“发现管理”,并在会员双击,单击+按钮并添加要授予权发现管理在Exchange(电子邮件)成员的这个列表中的用户,然后点击保存。
这个人(或个人),现在已经着手实际上是把对就地保留/诉讼保留邮箱(邮箱或)的能力。
为了把邮箱上保持Office 365中,您加入到这一发现管理角色需要一个人做到以下几点:
1.登录到Office 365管理员门户(https://portal.office.com)与有权在Office 365管理中心用户登录。
2.在左侧,向下滚动到管理,然后单击在Exchange
3.在Exchange管理中心,点击“收件人”,你想要把自己的邮箱搁置,点击“邮箱功能”,用户双击,向下滚动到“诉讼保全”
4.对于“诉讼保留”选项,单击启用,即会弹出一个新窗口。您可以选择输入要被搁置邮箱天#(即:365年),或者如果你正在寻找把整个邮箱保持无限期的“日记”长期跟踪的类型,只是离开天空白的#,然后点击保存。
注:这可能需要一个小时的向上诉讼保留发生在用户的邮箱生效。This is because the policy needs to be enacted on all messages and folders in the user’s mailbox and the policy needs to be replicated through any replica instances of Office 365. You can see the status of Litigation Hold on a user’s mailbox by going back and looking at the “Mailbox Features” and it may show Litigation Hold “Enable – Pending” when it is in the process of enabling Litigation Hold. When the mailbox is fully held, the Mailbox Features will simply show “Litigation Hold: Enabled”
为了把邮箱上保持Office 365中通过PowerShell中,您添加到发现管理角色需要一个人在其上运行的Office 365环境中的以下PowerShell命令: