设置邮箱username@domainname.com-诉讼保持启用$true
{其中username是用户的名称,@domainname.com是公司的域名}
类似地,可以使用以下方法将邮箱暂停一段时间:
设置邮箱username@domainname.com -诉讼holdenabled $true -诉讼holdduration 2555
{其中2555是天数的#,大约是7年}
或者,要将所有邮箱置于诉讼搁置状态一年,PowerShell命令为:
Get-Mailbox-ResultSize Unlimited-Filter{RecipientTypeDetails-eq“UserMailbox”}Set-Mailbox-LiterationHoldEnabled$true-LiterationHoldDuration 365
有关此命令序列的更多详细信息,请访问:https://technet.microsoft.com/en-us/library/dn743673 (v = exchg.160) . aspx
启用基于查询持有
当Litigation Hold暂停用户的整个邮箱时,组织可以选择暂停内容。对于将在特定项目中工作或将在一段时间内担任特定(受监管的)角色的用户,可以启用此功能,并且在此期间用户的邮箱内容将被保存。
通过基于查询的保留,管理员可以选择要保留内容的用户(所有用户或选定用户),管理员还可以选择保留期限(即:1年、3年、永久)。这就是为什么电子邮件存档和保留期不再是一个单独的思考过程和配置任务,而是在所有Office 365工作负载中,全部汇总到基于查询的保留过程中。
要在Office 365中置于基于查询的保留邮箱,您添加到发现管理角色的个人需要执行以下操作:
1.登入office365管理门户(https://portal.office.com)具有Office 365管理中心权限的用户登录。
2.在左侧,向下滚动到Admin,然后单击Exchange
3.在Exchange管理中心中,单击“法规遵从性管理”,并在“就地eDiscovery&保留”部分中单击+按钮以创建保留策略
4.按下“原地eDiscovery & hold”中的+键后,您将通过一系列页面将所有(或选定的)邮箱放置在等待状态。第一页是输入一个名称和这个特定的保持(使其描述性如“保持玛丽史密斯和约翰Doe的邮箱2015年和2016年”或“保持所有Exec Mgmt邮箱9个月”)的描述。输入名称(和可选的描述)后,单击Next
5.现在将提示您选择“搜索所有邮箱”或“指定要搜索的邮箱”。显然,如果您想选择所有邮箱进行保留,请单击“搜索所有邮箱”,或者您可以选择“要搜索的特定邮箱”,然后单击“+”,然后输入名称并选择要保留的用户。完成后单击下一步
6.您现在可以缩小保留条件的范围。如果已将整个邮箱置于诉讼暂挂状态,则不一定需要将邮箱的全部内容置于基于查询的暂挂状态。要有选择地搜索内容,请输入开始/结束日期和关键字条件,甚至选择仅来自或指向您希望搜索和保留的特定个人的邮件。
7.单击以选中“将所选源中的搜索查询匹配的放置内容”,并且可能会选择“不确定”,然后单击“完成”。(这将在您专门删除HOLD之前将内容放在暂停状态,然后单击“完成”。
在启用诉讼保留和基于查询的保留的情况下,无论其他保留策略限制如何,所有邮件都将被保留。
在Office 365中搜索内容(即eDiscovery)
搜索信息,无论是用户邮箱中活跃的信息、用户编辑或修改的信息、从邮箱中删除的信息(但还没有从Office 365中清除),还是在Litigation Hold中保留的信息,都以完全相同的方式进行搜索。唯一的区别是可能发现的信息量(即:邮箱诉讼举行将会发现更多的信息比一个邮箱不搁置,因为邮箱不是搁置几乎不可避免的会有信息删除或内容将会被修改/编辑,而不是跟踪和保存)
搜索的关键是选择单词、日期范围和其他关键参数,以帮助您锁定要查找的信息,但不要太紧地缩小搜索范围,使您的搜索不能找到所有要查找的信息。例如,如果您只是在30天的时间内搜索Bob和Mary之间的信息,那么您可能会得到1000条消息,这可能是太多的信息,无法找到您要查找的内容。另一方面,如果你搜索消息鲍勃和玛丽之间的30天内关键短语“不要告诉任何人”,这可能会缩小搜索说8消息,如果在电子邮件线程在任何时候玛丽鲍勃或删除或改变了“不要告诉任何人”短语的电子邮件,那些随后的邮件不会出现在你的搜索结果中。当消息变得非常长时,这种情况经常发生,用户可能会删除或截断部分消息。或者,如果您只在主题行中查找单词,但其中一个用户更改了主题行标题,那么您的严格搜索可能也不会得到您所期望的结果。
建议您创建一个非常小的邮箱里面只有几十个消息,尝试寻找搜索过程完美你的能力(并最终找到)信息你正在寻找在你尝试看看邮箱或几个邮箱成千上万的电子邮件。记住,这是一个非常具体的搜索,找到你正在寻找什么,不像与谷歌或必应搜索网络找到信息,“种”有相同的单词,或者类似的单词和短语,eDiscovery搜索在Office 365只会发现100%的精确匹配查询。
此外,当您在Office 365中执行电子邮件发现搜索时,根据您的配置,搜索结果将向您提供邮件列表,但不会明确告诉您在何处找到邮件(在用户的收件箱、已发送邮件、已删除邮件文件夹等中)。将仅提供搜索找到的内容,这些内容可能是来自以下任何位置的信息:
- 用户邮箱中的任何文件夹
- “已删除邮件”文件夹,其中包含已删除但尚未从“已删除邮件”文件夹中刷新的邮件
- 可恢复项目/删除文件夹,其中包含从已删除项目文件夹中删除的消息
- “可恢复项目/清除”文件夹,用于邮箱处于“诉讼保留”或“单项目恢复”状态时删除的邮件
- 隐藏的可恢复项目/版本文件夹,其中包含编辑或修改过的消息。
您可能会发现类似于同一消息的多个副本,但是当您深入查看时,您会发现该消息可能被修改、编辑、删除和/或试图被清除。这在eDiscovery中是一件好事,它可以找到用户编辑或修改过的消息,这样你就可以看到所有的副本和版本,但你必须注意,当你搜索并发现内容时,搜索结果并没有清楚地告诉你“这是约翰删除的消息”,你也不会得到一个通知,说“这是玛丽修改了这5个单词的邮件”。您只会收到许多消息,而您需要自己确定哪些内容被修改、更改、删除等等。
要使用Office 365 eDiscovery原生搜索功能搜索信息,请执行以下操作:
为某人分配执行搜索查询的权限
这是一个一次性步骤,需要执行此步骤以授予某人创建搜索查询的权限。默认情况下,包括Office 365管理员在内的组织中没有创建搜索查询的权限,但Office 365管理员可以赋予自己执行搜索的权限。因此,对于Office 365管理员来说,给自己和其他人(比如法律顾问、人力资源、合规安全等方面的人)提供搜索功能只是多了一个步骤。
要分配创建搜索查询的权限,请执行以下操作:
1.登录office365安全与合规门户网站(https://protection.office.com)具有Office 365管理权限的用户登录。
2.在左侧,向下滚动并单击权限
3.在“权限”页面,双击“eDiscovery Manager”,在“eDiscovery Administrator”下,单击“+”按钮,添加您想要赋予搜索邮箱、SharePoint文件夹和/或OneDrive位置权限的用户,然后单击“保存”。
现在,此人可以继续实际搜索邮箱、站点和OneDrive位置。要搜索内容,请执行以下操作:
1.登录office365安全与合规门户网站(https://protection.office.com)的用户登录时,该用户在前一组步骤中已被授予eDiscovery Administrator权限。
2.在lefthand侧,向下滚动以搜索和调查,然后单击内容搜索。
3.单击+以创建新搜索,为搜索唯一的描述性名称(如“搜索所有邮箱的Gunfight”)
4.如果要搜索所有Office 365(交换电子邮件、SharePoint文件和公共文件夹),请选择“搜索所有位置”,或单击以选择特定用户和特定内容(这样您可以选择一个或几个选定用户,可以选择特定词,也可以选择只检查电子邮件而不检查SharePoint)。(单击“了解更多”以获取语法帮助)。搜索有很多变化。
5.单击“下一步”开始搜索。
6.点击“预览搜索结果”可以看到符合搜索条件的电子邮件(和文档等)列表。
7.点击“开始导出”,将发现的内容导出到PST,可以用于初步审查,也可以刻录成DVD,并作为官方搜索结果提供。
从搜索结果中找到的内容是原始信息,如果邮箱处于诉讼搁置或基于查询的搁置状态,则结果将包括原始邮件以及任何已删除、修改、编辑、发送、接收的邮件,所有内容都将包含在搜索结果中。从没有与内容关联的先前保留的邮箱中找到的实例将少得多。
这种保持和搜索功能内置在Office 365中,并可用于拥有Office E3或更高许可、提供eDiscovery搜索的组织。由于启用了诉讼保留,这完全取代了对期刊的需求,因为各种形式的内容都可以保存,可以被记录,也可以被验证。
在Office 365中引入高级eDiscovery
虽然Office 365中的保留和搜索功能提供了基本的功能,但许多组织希望使用更复杂的案例管理系统来组织搜索、查询,并在查询结果中进行标记。
2015年,微软收购了一家名为Equivio的公司,并将其综合在他们的Ediscovery和Microsoft的产品中学习有合规范解决方案。拥有Office 365 E5许可证的组织有权使用“高级Ediscovery”功能。
要将内容从内置内容搜索移动到高级eDiscovery,请执行以下操作:
1.从office365安全与合规门户(https://protection.office.com)在完成前面一组步骤中涉及的内容搜索后,你会发现搜索结果窗格的右侧将有一个符号“使用高级eDiscovery分析结果”,并有一个“准备分析结果”,单击“准备分析结果”。
2.弹出窗口会问更多的问题。选择要准备的项目,然后在“当我们准备好结果时发送电子邮件到这个地址”下,输入一封电子邮件,当准备完成时通知你,然后点击“准备”。这个过程可能需要几分钟或几个小时,取决于需要准备多少内容。当准备工作完成时,通知将发送到你在前一步中输入的电子邮件,或在内容搜索页面,你会注意到“检查准备状态”(通知你它仍在运行)将被“检查准备状态”和“再次准备结果”所取代,这表明准备工作已经完成。
3.当准备工作完成后,在Office 365安全与合规门户网站的左侧栏,向下滚动到“搜索与调查”到eDiscovery选项,然后点击“去高级eDiscovery”。
4.您将进入“案例”页面,该页面将记录您正在处理的各种案例。如果这是您第一次进入此页面,您的案例列表将为空。单击右上角的+按钮以创建新案例。
5.输入Case的描述性名称(如Legal Case #1234567上Bob和Mary之间的Case),然后单击OK
在每个案例中,你可以做4个主要的项目,你可以“准备”一个案例(将搜索内容导入案例管理系统);允许您查看、搜索和标记内容的“相关性”;允许您报告结果的“导出”;以及生成一系列分析报告的“报告”。