在企业商务或社会交往中,往往会遇到一些需要提供电子证据的时候。比如,涉及诉讼或法律问题时,需要企业提供相关的邮件证据等。为了确保相关敏感邮件或在商务/事务中的邮件完整,就需要事先将相关邮件完整保存号。
通常,如诉讼一类的事情会在一个突然的时候发生。因此,企业为了使自身在诉讼中获得更多有利证据,应该事先对各种商务/事务做诉讼可能性评估,并针对评估结果做出提前保留证据的方案。对于以电子方式存储的信息(ESI)来讲,由于其包含电子邮件等内容,可能在证据保留方案中涉及的内容很广。比如:需要保留与特定邮件主题相关的所有电子邮件,或者是与特定个人相关的所有电子邮件等。
上述保留要求,如果只是存在于制度,那么可能存在用户有意或无意删除电子邮件。而为了防止邮件被自动删除,而停用自动删除机制,从而导致用户邮箱存在大量可能不需要的邮件,致使工作效率下降,并且也不能彻底杜绝用户手动删除。
基于上述,Exchange Online提供了相关邮件的保留机制来实现对企业利益的保护。
一、就地保留和诉讼保留
所谓就地保留在Exchange Online中就是允许针对内容和时间进行筛选需要保留的邮件。比如,可以通过关键字、发件人/收件人、开始/结束日期等查询指定要保留的项目,也可以指定要置于保留状态的邮件类型。此外,就地保留还能设置需要保留多长时间等。
需要注意的是,微软在逐步放弃就地保留的概念,取而代之的是在Office 365安全与合规中心使用“电子数据展示服务”或“保留策略”。但是在世纪互联版的Office 365中目前依然是使用在Exchange Online的“就地电子数据展示和保留”来实现的。
1、就地保留的可选方案。
可以选择如下三种方案来规划企业的就地保留:
A、无限期保留:无限期保留方案类似于诉讼保留。
B、基于查询的保留:如果企业需要根据特定的查询参数保留项目,则可以使用基于查询的就地保留。创建基于查询的就地保留之后,会保留与查询参数匹配的所有现有邮箱项目和将来项目,即以后日期接收的邮件。需要注意,通常由于无法索引附件,标记为不可搜索的项目也会被保留,因为无法确定其是否与查询参数相匹配。
C、基于时间的保留:就地保留和诉讼保留都允许指定保留项目的持续时间。持续时间从接收或创建邮箱项目的日期计算得到。
可以将同一用户邮箱放置在多个就地保留中,即可能多个就地保留的规则都能筛选到同一用户邮箱内容,因此该用户邮箱将同时遵从所有就地保留的规则要求,因为Exchange Online会对这些规则进行OR合并搜索。如果作用到某个邮箱的关键字达到500个,则邮箱中的所有内容将会被全部进行保留,而不会再去评估是否符合筛选条件,直到作用到该邮箱的关键字低于500个,才再按照筛选结果进行保留。
2、诉讼保留
诉讼保留实际在就地保留之前就被微软提出了,具体体现在Exchange 2010中,在后续的Exchange各版本中依然可用。
诉讼保留的实质是将邮箱的LitigationHoldEnabled属性设置为启用,从而达到将整个邮箱内容进行保留的要求。诉讼保留不能选择保留内容,只允许将所有项目都至于保留状态。但是可以指定项目的保留期限,该期限是从项目被接收或被创建开始计算的。如果没有设置期限,则为无限期保留,直到诉讼保留设置在该邮箱上取消为止。
同时将邮箱置于一个或多个就地保留和无限期诉讼保留中时,将无限期保留所有项目。如果删除诉讼保留而用户邮箱仍置于一个或多个就地保留中,则将匹配就地保留条件的项目在保留设置中保留指定的时间段。
二、创建就地保留
通过Exchange管理中心和PowerShell均可创建就地保留。
1、使用EAC创建就地保留
导航到“合规性管理”,在“就地电子数据展示和保留”窗口中点击新建按钮“+”。
为该就地保留定义一个名称,如果有必要可以加上描述说明,点击“下一步”。
选择搜索邮箱的范围,以便确定需要将什么位置的内容置于保留状态。可以看出不仅可以是邮箱内容可以进行保留,公用文件夹内容也同样可以进行保留。
A、搜索所有邮箱:由于就地保留是针对特定邮箱的,因此必须进行邮箱的选择,而不是搜索所有邮箱,该选项主要用作就地电子数据展示。因此,在创建就地保留时,不能选择该选项;
B、不搜索任何邮箱:如果不搜索任何邮箱,基于邮箱的就地保留就不从谈起。该选择主要用作为公用文件夹创建就地保留,即如果为公用文件夹创建就地保留就必须选择该选项;
C、指定要搜索的邮箱:该选项提供基于用户邮箱或组(含通讯组和Office 365组)内用户邮箱的就地保留搜索功能,因此基于邮箱内容的就地保留必须选择该选项。
D、搜索所有公用文件夹:该复选框能够将Exchange Online组织内的所有公共文件夹置于就地保留状态。但是需要注意,该复选框是和“不搜索任何邮箱”选项配合使用的,即如果要启用该复选框,则必须是选择“不搜索任何邮箱”选项的情况下才被允许,否则会出现错误。
此处为了创建基于邮箱的就地保留,选择“指定要搜索的邮箱”。并点击添加按钮“+”。
在选择收件人列表中,选择“商务部”组作为搜索对象,进行“添加”,点击“确定”,完成选择操作。
返回上一页面,在列表中显示已选择的搜索邮箱或组,点击“下一步”。
在搜索查询中,默认会被选择“包括所有内容”,并且不能改选。因为,只有具有“发现管理”角色组的权限才能进行相应的修改,以便使用基于条件的筛选。
需要注意,在Office 365中,即使使用最初默认的完全管理员账户,针对Exchange Online的操作也是受限的。但是Office 365分配给订阅者的完全管理员可以通过Exchange管理中心的“权限”设置页,授予相应用户不同Exchange Online角色的权限。若需获取Exchange Online的最高管理权限,Office 365的完全管理员只需为自己授予Exchange Online的“Organization Management”权限即可。
直接点击“下一步”。
如果需要启用就地保留,则需要勾选“将与所选源中的搜索查询匹配的内容置于保留状态”,并且按需指定保留期限。按照不同的就地保留方案,可以选择“无限期保留”或“指定自接收日期起保留邮件的天数”,如保留10年,点击“完成”,完成创建操作。
返回“就地电子数据展示和保留”后,可以看见列表中已经存在新建的就地保留,且保留状态为“是”。
2、使用PowerShell创建就地保留。
在PowerShell中,可以通过New-MailboxSearch命令,创建就地保留,并且可以通过
Get-MailboxSearch命令查看已有的就地保留。
Get-MailboxSearch
New-MailboxSearch “销售部相关邮箱”-SourceMailboxes “[email protected]” -InPlaceHoldEnabled $true
三、修改和删除就地保留
同样可以通过EAC或PowerShell对就地保留进行修改和删除操作。
1、使用EAC修改和删除就地保留
在“就地电子数据展示和保留”中,选择需要修改的就地保留,点击笔形编辑按钮。
可以修改就地保留的名称和描述。
重新指定搜索来源,如添加或减少所需要搜索的邮箱。
如果权限允许,可以修改筛选条件,以便获得不同的邮箱内容。
此外,还可以调整保留期限,以及是否启用就地保留等设置。
最为关键的是,如果需要删除一个就地保留,必须先修改此就地保留,去掉“将与所选源中的搜索查询匹配的内容置于保留状态”前的对勾,即禁用就地保留,然后才能删除此就地保留,否则将会被拒绝删除。
最后点击“保存”按钮,完成就地保留的修改。
若需要删除一个就地保留,则必须保证其“保留状态”为“否”。然后选择该就地保留,点击“垃圾桶”删除按钮。
在警告对话框中点击“是”,完成删除操作。
2、使用PowerShell修改和删除就地保留
可以通过Set-MailboxSearch修改就地保留,并通过Remove-MailboxSearch删除现有就地保留。依然的,在删除前,需要使用Set-MailboxSearch将其就地保留禁用。
Set-MailboxSearch “销售部相关邮箱” -InPlaceHoldEnabled $false
Remove-MailboxSearch “销售部相关邮箱”
最后通过Get-MailboxSearch验证删除操作是否成功。