set-mailbox username@domainname.com -litiation poldenabled $ true
{其中用户名是用户的名称,@ domainname.com是公司域名的名称}
同样,可以使用以下时间内保持邮箱一段时间:
set-mailbox username@domainname.com -litiation poldenabled $ true -litigationPoldduity 2555
{2555是当天的##大约7年}
或者将所有邮箱放在诉讼程序上一年,PowerShell命令是:
get-mailbox -resultsize无限-filter {compitienttypedetails -eq“usermailbox”} |set-mailbox -litiation poldenabled $ true -litiationPoldduration 365
有关此命令序列的更具体的详细信息已启动:https://technet.microsoft.com/en-us/library/dn743673(v=exchg.160).aspx.
启用基于查询的持有
虽然诉讼保留了用户的整个邮箱,但组织可以选择选择内容以持有。这可以为将在特定项目上工作的用户启用,或者将在该时间段内保持特定(受调节的)角色,并且在该时段期间将保持用户的邮箱内容。
通过基于查询的保留,管理员可以选择它想要保留内容的用户(全部或选定用户),并且管理员还可以选择保留期(即:1-YR,3-YR Forever)。这就是为什么电子邮件存档和保留期不再是单独的思想流程和配置任务,而是遍历所有Office 365工作负载的基于查询的保存过程。
要在Office 365中置于基于查询的保留邮箱,您添加到发现管理角色的个人需要执行以下操作:
1.登录Office 365管理员门户(https://portal.office.com.)使用具有Office 365管理中心的权限的用户登录。
2.在Lefthand Side上,向下滚动到Admin并单击Exchange
3.在Exchange管理中心中,单击“合规性管理”,然后在“适合eDiscovery&holl”部分中单击+按钮以创建保留策略
4.在“适用于eDiscovery&hold”中按+后,您将通过一系列页面来放置所有(或选定)邮箱。The first page is to enter in a Name and description of this particular hold (make it descriptive like “Hold Mary Smith and John Doe’s Mailboxes for all of 2015 and 2016” or “Hold All Exec Mgmt Mailboxes for 9 months”. After you enter in a name (and an optional description), click Next
5.现在将提示您选择“搜索所有邮箱”或“指定要搜索的邮箱”。显然,如果要选择所有邮箱,请单击“搜索所有邮箱”,或者您可以选择“要搜索的特定邮箱”,然后单击+然后在名称中输入,然后选择您希望选择的用户选择以便置换。完成后单击“下一步”
6.您现在可以缩小保持标准。如果您已将整个邮箱放在诉讼程序上,它们将不一定需要将邮箱的整个内容放在基于查询的保留上。要选择性地搜索内容,请在开始/结束日期和关键字条件中输入,甚至选择只选择从您想要搜索和保留的特定个人选择邮件。
7.单击以选中“将所选源中的搜索查询匹配的放置内容”,并且可能会选择“不确定”,然后单击“完成”。(这将在您专门删除HOLD之前将内容放在暂停状态,然后单击“完成”。
通过诉讼持有和基于查询的保留,所有消息,无论其他保留策略限制如何,都将被保留。
在办公室365中搜索内容(AKA Ediscovery)
搜索信息,无论是在用户的邮箱中积极主动的信息,由用户编辑或修改,从他们的邮箱中删除(但尚未清除Office 365),或者持有诉讼HOLD全部搜索完全相同的方式。唯一的区别是可以找到的信息量(即:诉讼程序邮箱,诉讼程序的邮箱比邮箱不适用的信息更多,因为邮箱几乎不可避免地具有删除或内容的信息删除或内容将被修改/编辑未跟踪和保存)
搜索的关键是选择单词,日期范围和其他关键参数,以帮助您输入您正在寻找的信息,但您的搜索没有找到您正在寻找的所有信息。例如,如果您只需在30天的时间内搜索Bob和Mary之间的信息,您可能最终有1000条消息,可能是太多信息,以查找您正在寻找的内容。On the other hand, if you search for messages between Bob and Mary over the 30-day period with the key phrase “don’t tell anyone”, which might narrow down the search to say 8 messages, if at any point during the email thread either Bob or Mary deleted or changed the “don’t tell anyone” phrase in the email, those subsequent emails would not show up in your search results. This happens frequently as messages get really long, users may delete or truncate part of the message. Or if you only look for words in a Subject line but then one of the users change the Subject Line title, then your tight search may not result in what you were expecting to look for either.
建议您创建一个非常小的邮箱,只有几十个消息内容,并尝试搜索过程以完善您在您尝试查看之前要查找的信息(并且最终发现)信息邮箱或多个邮箱,具有数十万个电子邮件。请记住,这是一个非常具体的搜索,它将找到您正在寻找的内容,与使用Google或Bing搜索网络,在那里找到“类型”具有相同的单词,或类似的单词和短语,Ediscovery搜索的信息在Office 365中只能找到100%与您查询的匹配。
Additionally, when you do an e-Discovery search in Office 365, depending on your configuration, the results will provide you a list of messages but won’t specifically tell you where it found the message (in the user’s Inbox, Sent Mail, Deleted Items Folder, etc). Content will just be provided that the search found, which could be information from any of the following locations:
- 用户邮箱中的任何文件夹
- 包含已删除但尚未从已删除的项目文件夹中刷新的消息的已删除项目文件夹
- 可恢复的项目/删除文件夹包含从已删除的项目文件夹中删除的消息
- 用于邮箱诉讼的可恢复项目/ purges文件夹,用于删除邮件诉讼或单项恢复
- 隐藏的可恢复项目/版本文件夹包含已编辑或修改的消息。
您可能会发现多个可能看起来像相同的消息的副本,但是当您深入了解时,您会发现可能会修改,编辑,删除和/或尝试清除消息。This is a good thing in eDiscovery, that it finds messages that have been edited or modified by the user so that you see ALL copies and versions, but you have to be aware when you search and find the content that the search results don’t clearly tell you “this is a message that John deleted” nor will you get a notice that’ll say “this is the email that Mary modified these 5 words”. You merely get lots of messages, and it is up to you to figure out what was modified, changed, deleted, etc.
要使用本机Office 365 Ediscovery搜索功能搜索信息,请执行以下操作:
分配某人执行搜索查询的权利
这是一个需要执行的一次性步骤,为某人提供创建搜索查询的权利。缺省情况下,组织中没有人在包括Office 365管理员,具有创建搜索查询的权限,但Office 365管理员可以为自己提供执行搜索权限。因此,Office 365管理员为自己和其他人(就像法律顾问,人力资源,合规性安全等)搜索能力,这只是1个额外的步骤。
要分配创建搜索查询的权限,请执行以下操作:
1.登录到办公室365安全与合规性门户(https://protection.office.com.)使用具有Office 365管理权限的用户登录。
2.在Lefthand Side上,向下滚动并单击权限
3.在“权限”页面上,双击“eDiscovery Manager”并在Ediscovery管理员下单击,单击+按钮,然后添加要权限的用户提供搜索邮箱,SharePoint文件夹和/或OneDrive位置,然后单击“保存”。
此个人(或个人)现在可以进行实际搜索邮箱,站点和OnedRive位置的能力。要搜索内容,请执行以下操作:
1.登录到办公室365安全与合规性门户(https://protection.office.com.)使用用户登录,该用户登录已在上一组步骤中提供了Ediscovery管理员权限。
2.在左侧,向下滚动到搜索和调查,然后点击内容搜索。
3.点击+创建一个新的搜索,给你的搜索一个独特的描述性名称(如“搜索所有邮箱的单词枪战”)
4.如果要搜索所有Office 365(Exchange Emails,SharePoint文件和公用文件夹),或单击以选择特定用户以及特定内容(所以您可以选择一个或多个选定的内容用户,您可以选择特定的单词,以及您可以选择只需检查电子邮件而不是SharePoint)。(点击“了解更多”以获取有关语法的帮助)。搜索很大的变化。
5.单击“下一步”开始搜索。
6.单击“预览搜索结果”,查看符合您在搜索中指定的标准的电子邮件(和文档等)列表。
7.单击“开始导出”,将发现的内容导出到可用于初步审核的PST,或者可以刻录到DVD并作为官方搜索结果提供。
从搜索结果中发现的内容是原始信息,如果邮箱被放置在诉讼持有或基于查询的保留上,那么结果将包括原始消息以及删除,修改,编辑,发送,收到的任何消息,都将是在搜索结果中。从未与内容相关联的邮箱中找不到较少的实例。
此保留和搜索功能内置于Office 365,并可供与Office E3或更高许可证的组织提供,提供Ediscovery搜索。通过启用诉讼,这完全替换了在需要各种表单中的内容时对期刊的需求,可以记录,并且可以验证。
在办公室365中推出先进的Ediscovery
虽然Office 365中的保持和搜索功能提供了基本功能,但许多组织希望更复杂的案例管理系统来组织查询结果中的搜索,查询和进行标记。
2015年,微软收购了一家名为Equivio的公司,并将其eDiscovery和机器学习支持的合规解决方案集成到微软的产品中。拥有office365 E5许可的组织有权使用“高级eDiscovery”特性。
要将内容从内置内容搜索移动到高级ediscovery,请执行以下操作:
1.从Office 365安全与合规网站(https://protection.office.com.) after completing a Content search covered in the previous set of steps, you’ll find the Search results pane on the right side will have a notation “Analyze results with Advanced eDiscovery” with a “Prepare results for analysis”, click on that “Prepare results for analysis”
一个弹出窗口会提出更多问题。选择要准备的项目,然后在“当我们完成准备结果时向此地址发送电子邮件到此地址”,在备用电子邮件中键,当准备完成时会通知您,然后单击“准备”。这个过程可能需要几分钟或几个小时依赖于它需要准备多少内容。A notification will be sent to the email you entered in during the previous step when the preparation is done, or on the Content search page, you’ll notice the “Check preparation status” (notifying you it is still chugging along) will be replaced by “Check preparation status” and “Prepare results again” giving you indication that the preparation has completed.
3.当准备工作完成时,在Office 365安全性和符合性门户网站上,在Lefthand列中,向下滚动到Ediscovery选项的“搜索和调查”,然后点击“转到高级Ediscovery”
4.您将在“案例”页面上,将注意到您正在努力的各种案例。如果这是您第一次到此页面,则案例列表将是空白的。单击右上角的+按钮以创建新案例。
5.输入案例的描述性名称(就像Bob和Mary之间的案例在法律案例中,然后单击“确定”
在每种情况下,您可以在每种情况下进行4个主要项目,您可以“准备”一个案例(将搜索内容导入案例管理系统);“相关性”允许您审核,搜索和标记内容;“导出”允许您报告结果;和“报告”产生一系列分析报告。