易宝典文章——玩转Office 365中的Exchange Online服务 之四十 创建就地电子数据展示搜索

 

就地电子数据展示是靠就地电子数据展示搜索,将符合条件(例如关键字、开始日期和结束日期、发件人地址和收件人地址以及邮件类型等。)的邮件搜索出来用于展示。因此,在使用就地电子数据展示之前,必须为其创建就地电子数据展示搜索。

一、怎样创建就地电子数据展示搜索

1、使用Exchange管理中心创建就地电子数据展示搜索

利用发现管理员身份登录EAC,导航到“合规性管理”,在“就地电子数据展示和保留”中,点击新建按钮“+”。

clip_image002

在打开的“新建就地电子数据展示和保留”页面中,为就地电子数据展示搜索命名后,点击“下一步”。

clip_image004

然后,指定搜索范围可以是“搜索所有邮箱”,也可以选择“指定要搜索的邮箱”。在指定的可以是邮箱账户,那么用户的主邮箱和存档邮箱均包含在搜索中。也可以是一个通讯组。如果选择的是一个通讯组,在搜索被生产的时候,会将通讯组进行扩展,直接记录通讯组中的用户邮箱。所以,在搜索创建后,修改通讯组对搜索是没有影响的。具体可以参考《玩转Office 365中的Exchange Online服务 之三十四 实现就地保留》文中的描述。

本实例选择“指定要搜索的邮箱”,点击添加按钮“+”,添加被用于搜索的源邮箱。

clip_image006

在弹出选择邮箱页面中,搜索选定并添加到列表中,点击“确定”,返回“新建就地电子数据展示和保留”页面。

clip_image007

在“新建就地电子数据展示和保留”页面中,确认列表中的邮箱选择无误,点击“下一步”。

clip_image009

定义搜索查询是创建就地电子数据展示搜索的关键步骤,默认选项是“包含所有内容”。但是更多时候需要灵活的“基于条件筛选”来创建适合需要的就地电子数据展示搜索。

通过定义关键字表达式,来实现基于关键字的筛选。关键字表达式的语法规则如下:

在关键字与关键字之间使用“OR”可查找包含关键字A或关键字B的项目。使用“AND”可查找同时包含词关键字和关键字B的项目。对于用“AND”隔开的语句,需用括号括起来。例如:(关键字A OR 关键字B) AND (关键字C OR 关键字D)。在关键字与关键字之间不允许使用逗号等符号作为隔开。

此外,还可以“指定开始日期”和“指定结束日期”,按“发件人”或“收件人/抄送/密件抄送”筛选,以及根据“选择邮件类型”来限制筛选哪种类型的电子数据信息。系统在进行搜索作用时,“指定开始日期”和“指定结束日期”之间由AND运算符连接;“发件人”和“收件人/抄送/密件抄送”之间是OR连接的。因此,在起止日期内由任何指定用户发送或接收的,邮件(并且匹配其他搜索条件)都包含在此搜索结果中。

完整的就地电子数据展示搜索表达式逻辑如下:

就地电子数据展示搜索 = (邮箱1 OR 邮箱2 OR … OR 邮箱N) AND 关键字表达式 AND (“指定开始日期” AND “指定结束日期”) AND (“发件人” OR “收件人/抄送/密件抄送”) AND “选择邮件类型”

在本实例中仅定义一个简单的关键字“机密邮件”,其它不做定义。标识所有日期,所有收件人/抄送/密件抄送,以及所有发件人均能匹配。点击“下一步”。

clip_image011

如果不定义搜索的邮件类型,默认会“搜索所有邮件类型”,也可以定义指定类型的电子数据信息,如只搜索“Skype for Business项目”等。

clip_image012

在由于不是建立就地保留,所以不需要启用就地保留设置,直接点击“完成”。

clip_image014

返回“就地电子数据展示和保留”列表可以看到刚才新建的就地电子数据展示搜索已经存在列表中。由于是通过EAC创建的,所以在完成创建后,会自动运行“估计搜索结果”,完成后,会在右侧信息栏中显示“状态”为“估计已成功”。

clip_image016

2、使用PowerShell创建就地电子数据展示搜索

在PowerShell中可以使用New-MailboxSearch创建就地电子数据展示搜索,使用Get-MailboxSearch验证创建的结果。

A、创建2018年3月用户“王五”邮箱中,包含“机密邮件”或“绝密邮件”字样电子邮件的就地电子数据展示搜索。

New-MailboxSearch “2018年3月王五的机密邮件或绝密邮件” -StartDate “03/01/2018” -EndDate “03/31/2018” -SourceMailboxes “wangwu” -TargetMailbox “Discovery Search Mailbox” -SearchQuery ‘”机密邮件” OR “绝密邮件”‘ -MessageTypes Email -IncludeUnsearchableItems -LogLevel Full

clip_image018

Get-MailboxSearch

clip_image020

B、创建2018年全年在“赵六”和“钱七”邮箱中,“赵六”发给“钱七”所有邮件的就地电子数据展示搜索。

New-MailboxSearch “2018年赵六发送给钱七的邮件” -StartDate “01/01/2018” -EndDate “12/31/2018” -SourceMailboxes “zhaoliu”,”qianqi” -SearchQuery ‘From:[email protected] AND To:[email protected]’ -MessageTypes Email -TargetMailbox “Discovery Search Mailbox” -IncludeUnsearchableItems -LogLevel Full

clip_image022

从以上两个实例可以发现,通过PowerShell创建的就地电子数据展示搜索,在创建后,不会立即执行搜索。

二、就地电子数据展示需要考虑的问题

1、附件

就地电子数据展示会搜索Exchange搜索支持的附件。

2、不可搜索的项目

不可搜索的项目是指Exchange搜索无法编入索引的邮箱项目。

3、加密项目

因为Exchange搜索不会将使用S/MIME加密的邮件编入索引,所以就地电子数据展示不会搜索这些邮件。如果选择了用于在搜索结果中包括不可搜索的项目的选项,则这些使用 S/MIME加密的邮件将复制到发现邮箱。

4、受IRM保护的项目

使用信息权限管理(IRM)保护的邮件会由Exchange搜索编入索引,因此在匹配查询参数时会包括在搜索结果中。

5、重复数据删除

在将搜索结果复制到发现邮箱时,可以对搜索结果启用“重复数据删除”功能以便仅将特定邮件的一个实例复制到发现邮箱。重复数据删除具有以下好处:

A、由于减少了复制的邮件数,因此降低了存储要求并缩小了发现邮箱的大小。

B、减轻了发现管理员、法律顾问或参与审阅搜索结果的其他人员的工作负荷。

C、降低了电子数据展示成本,具体取决于从搜索结果中排除的重复项目数。