Retaining and “journaling” content has been a key requirement of organizations for years, however as organizations have migrated to Office 365, plus with Microsoft’s shift to new and improved eDiscovery tools, the process of “holding” and “searching” for content has changed.
本文涵盖了一个全新的最佳实践系列,每个法律部门、合规官员和内容/ Office 365管理员都需要阅读、理解这些实践,并确保他们正确地设置了Office 365,以便在需要进行eDiscovery内容时,他们正在寻找的信息实际上已经被保存和管理,以便将来查找。
This document clarifies what’s included “in the box” in Office 365 with the E3 (or higher) license, the “Advanced eDiscovery” functions you get with Office 365 with the E5 license, and goes through the step by step procedures for setting up what is necessary to retain content and detailed procedures on how to query and look up information.
基本的背景
能够检索信息法律或官方的目的,信息必须妥善留存(律师可能say-LMS——“保存),这样的完整性信息检索是有效的(律师将请求一个审计跟踪验证和验证通过展示“保管链”的信息,以及如何,它被“保存和收集”)。例如,如果人力资源部门、法律部门或外部法律顾问想要收集信息,那么仅仅进入用户的邮箱并提取信息是不够的,因为邮箱中的信息被认为是“脆弱的”。它很脆弱,因为用户可以很容易地“删除”关键消息,或者用户甚至可以使用Microsoft Outlook客户端完成编辑和更改消息。如果有人打开了用户的邮箱,Outlook客户端的消息可能会被篡改(LMS-modified),并且不会被认为是有效的证据(即使是意外修改)。
在过去的Exchange 2013、Exchange 2010或更早的时候,需要特定的技术和实践来保护消息不受篡改。以前的做法是启用“日志记录”和/或购买第三方存档产品,如赛门铁克Enterprise Vault、Iron Mountain / Mimosa NearPoint for Exchange、EMC EmailXtender、Zantaz EAS等。第三方工具需要一个独立的服务器,通常需要在所有Exchange服务器和客户机上安装一个特殊的代理,并且管理、维护和支持归档服务器和服务的费用相对较高。
用Office 365邮箱替换日记
如前所述,对于旧的电子邮件系统,组织通常会在他们的电子邮件系统上启用“日志”,有效地捕获每一个电子邮件消息,并在完全独立的服务器或存储系统中存储这些邮件消息的副本。然而,在Office 365中,它不再是日志消息的最佳实践,主要是因为有更好的方法来处理完全相同的业务和法律需求,而不必重复每一封电子邮件消息。
使用Office 365,组织只需保留用户的邮箱(或邮箱),就可以获得用户邮箱进出的每条消息的合法历史记录。许多组织都为这种类型的保存启用了所有邮箱,这在Office 365中很好,因为组织不再需要管理不断增长的保留内容存储。
AND better yet, since Office 365 includes more than just email, the same retention (and the same eDiscovery search that we’ll cover later in this article) can retain the history, state, and perform search on content stored as files in OneDrive, content stored in SharePoint Online, and Instant Message communications in Skype for Business. So when properly configured, an organization gets content retention and search across emails, files, and communications!
告别日记的概念,欢迎以更好的方式获得完全相同的结果,现在跨越的跨越传入和外发电子邮件!
Office 365中的归档和邮件保留
归档和电子邮件留存与Litigation Hold和eDiscovery这两个主题相关,但涉及的是不同的业务需求。
在Exchange 2010中获得电子邮件存档时,有些错误地认为他们必须为所有用户创建一个“档案邮箱”以保存数据,这不是真的。归档邮箱为用户创建第二邮箱商店,以将内容移出主邮箱并进入存档邮箱。回到“旧日”(2010年之前),电子邮件服务器对他们的服务器数据库的大量有限有限,因此组织对用户可以存储多少电子邮件(6个月,2年,256MB他们的“主邮箱”中的信息,2GB等)和运行空间,他们被要求删除电子邮件。
不想删除电子邮件的用户变得很有创意,他们使用“PST文件”之类的机制来将邮件导出到文件中,然而,当执行eDiscovery时,使用USB u盘和装满旧邮件的笔记本电脑的用户变成了一个更大的问题。Exchange中的这些归档邮箱为用户提供了移动内容的次要位置,这些内容仍然受制于组织的eDiscovery搜索。
然而,今天有了Office 365,每个用户的主邮箱(带有E3或更高许可)可以存储至少50GB的电子邮件,这是大多数组织几年前允许的邮箱空间的20-30倍,而且由于微软支付和管理存储空间,组织导出消息或将消息移动到存档邮箱的需求不再是业务需求。
和微软Office 365 E3许可用户,该用户可以有第二个邮箱,叫做归档邮箱,如果需要有效无限量的存储,但同样,它并不像常见的组织为所有用户已归档邮箱50 gb为几乎所有用户大量的存储空间。
As for as eDiscovery, Litigation Hold, Retention policies, or the like, whatever is done to a user’s Primary mailbox is also applied to their Archive mailbox, so from a legal or functional basis, it doesn’t matter if a user has just a Primary mailbox, or if they have both a Primary and Archive mailbox.
为了归档到单独的邮箱而进行归档不再是激励因素,因此,过去有归档政策的组织需要重新考虑这些政策在当今是否适用。
That said though, there are reasons an organization would want users to get rid of information, but instead of setting the limit at a completely arbitrary amount (by age or by storage limit), an organization’s retention policy these days (if they implement one) really HAS to be done based on a legal requirement. This might be tax or accounting records should be retained for 7-years, or content deemed applicable to the Sarbanes-Oxley Act (SOX) should be retained for 7-years, or the like. But there’s no magical age or size limit that is a “best practice”. Some might argue that emails should be kept for 2-years, or emails should be removed after 6-months, but those are again typically best practices of a decade ago when organizations solely wanted to remove content to fit within the technical storage limits of the email server systems themselves.
我涵盖了如何在我的书中创建有效的电子存储信息(ESI)策略“处理云中的电子存储信息(ESI)”,该信息可以以打印形式从Amazon.com上购买,或免费下载作为PDF或者在我公司网站上获取点燃/ mobi格式http://www.cco.com/our-publications.htm通过使用Microsoft Messaging Records Management (MRM)策略在Office 365中应用ESI策略将是未来一篇文章的主题,在这篇文章中,我将介绍基于内容老化或关键字的粒度策略的创建。现在,这篇文章将只专注于启用邮箱内容保留和eDiscovery搜索作为Litigation Hold和eDiscovery实践的基础。
办公室365中可以“在框中”
虽然一个组织可以继续购买第三方产品以及使用Office 365的日记(使用与Exchange Server内部部署的混合配置,或通过第三方日记服务器或云服务),更容易更好处理消息保留和法律恢复(LMS-“Collection”)是为了在Office 365中设置正确的配置设置。
当用户从其邮箱中删除邮件时,邮件并未真正删除,而是将删除的项目文件夹移动到已删除的项目文件夹,直到消息从已删除的项目文件夹完全删除了消息。当用户从已删除的项目文件夹中删除项目或清空删除的项目文件夹时,该消息从已删除的项目文件夹中消失,它似乎是“走了”,但邮件实际上刚刚移至隐藏可恢复的项目文件夹。可恢复的项目文件夹将以前称为垃圾箱的特征替换为先前版本的Exchange中的特征。可恢复的项目文件夹隐藏在Microsoft Outlook,Outlook WebApp和其他电子邮件客户端的默认视图中,因此用户不再看到删除消息,但消息仍然在Office 365中短时间内坐姿。
“可恢复项目”文件夹中的项目将保留在Office 365中配置的已删除项目保留期限内。默认情况下,删除项的保留期被设置为14天(或30GB的存储空间,以先来的为准)。虽然管理员可以在Exchange内部环境中延长这个保留期,但Office 365管理员不再有能力更改超过30天的保留期,坦白地说,使用Office 365中的其他选项,没有人需要修改留存期,因为有更好的方法来处理内容留存(这是本文的重点),所以请继续阅读。
使诉讼举行
与Office 365,代替日记(保留所有消息的副本)或延伸保留期(超过14天),办公室365中的最佳实践是启用邮箱就地保留或诉讼。此过程有效地保留了所有电子邮件的不可变记录(以及在其他办公室365工作负载中,在SharePoint Online,OnedRive和Skype的其他办公室工作负载中,核心内容将在Office 365中保留,只需电子邮件好!
为了让邮箱处于诉讼暂停状态,做出决定的人需要在交易中扮演“发现管理”的角色。默认情况下,包括Office 365管理员在内的组织中没有该角色。但是Office 365管理员有权限将用户(包括他们自己)放到这个发现管理角色中。
对于个人(管理人员,人力资源人员,法律顾问)进行制定的权利和诉讼对用户邮箱进行更改,请执行以下操作:
1.登录Office 365管理员门户(https://portal.office.com)使用具有Office 365管理中心的权限的用户登录。
2.在左侧,向下滚动到Admin,然后单击Exchange
3.在Exchange管理中心,点击“permissions”
4.在“管理角色”页面,双击“发现管理”,在“成员”下,点击+按钮,将您想要赋予Exchange(电子邮件)发现管理权限的用户添加到该成员列表中,然后点击保存。
此个人(或个人)现在有能力继续在实际将邮箱(或邮箱)置于就地保留/诉讼。
要在Office 365中将邮箱设置为等待状态,您添加到该发现管理角色的个人需要执行以下操作:
1.登录Office 365管理员门户(https://portal.office.com)使用具有Office 365管理中心的权限的用户登录。
2.在左侧,向下滚动到Admin,然后单击Exchange
3.在Exchange管理中心,单击“收件人”,双击您要将其邮箱的用户暂停,单击“邮箱功能”,滚动到“诉讼持有”
4.对于“诉讼搁置”选项,点击“启用”,会弹出一个新窗口。你可以选择进入天#你想要邮箱搁置(即:365年)或如果你想无限期搁置整个邮箱“日志”类型的长期跟踪,只是离开#天空白并单击Save。
注意:在诉讼持有期间对用户的邮箱生效,可能会占用一小时。This is because the policy needs to be enacted on all messages and folders in the user’s mailbox and the policy needs to be replicated through any replica instances of Office 365. You can see the status of Litigation Hold on a user’s mailbox by going back and looking at the “Mailbox Features” and it may show Litigation Hold “Enable – Pending” when it is in the process of enabling Litigation Hold. When the mailbox is fully held, the Mailbox Features will simply show “Litigation Hold: Enabled”
要通过PowerShell使Office 365中的邮箱处于等待状态,您添加到Discovery Management角色的个人需要对Office 365环境运行以下PowerShell命令: