Компоненты обнаружения электронных данных на месте и хранения на месте в новом Exchange. Часть 2
Исходная статья опубликована в субботу, 29 сентября 2012 г.
В части 1 этой статьи мы описали новые возможности обнаружения электронных данных на месте в новом Exchange. В этой статье мы рассмотрим, как новый Exchange сохраняет неизменное состояние данных.
Один из первых шагов, который следует предпринять в случае обоснованного ожидания судебного разбирательства или при обработке запроса об обнаружении электронных данных, заключается в сохранении записей обмена сообщениями, чтобы при необходимости ими можно было воспользоваться. До выпуска Exchange 2010 эта задача выполнялась разными методами, включая архивацию данных во внешнюю систему, приостановку работы механизма автоматического удаления (такого как управление записями сообщений Exchange), а в некоторых случаях и оповещение пользователей о недопустимости удаления записей.
Неспособность сохранить записи, необходимые для судебного разбирательства, подвергает вашу организацию правовому и финансовому риску.
В Exchange 2010 и Office 365 было введено хранение для судебного разбирательства, позволяющее сохранить записи обмена сообщениями. Хранение для судебного разбирательства представляет собой свойство почтового ящика — при установке почтового ящика на хранение для судебного разбирательства все элементы в нем помещались на бессрочное хранение (либо до снятия такого режима хранения), что приводило к накоплению большого объема данных, среди которых могли попадаться и ненужные.
В новом Exchange вы можете использовать хранение на месте для сохранение элементов в неизменном состоянии. Компонент хранения на месте интегрирован с компонентом обнаружения электронных данных на месте, что позволяет одновременно осуществлять поиск и хранение содержимого с использованием одного интерфейса и одних и тех же параметров запроса. Хранение на месте можно использовать в следующих сценариях.
Бессрочное и безусловное хранение. Вы можете создать хранение на месте без параметров запроса и без длительности хранения, чтобы хранить все элементы в почтовом ящике бессрочно или до снятия режима хранения. Это является имитацией хранения для судебного разбирательства.
Хранение на основе запроса. С помощью компонента хранения на месте вы можете создать запрос поиска и указать исходные почтовые ящики и параметры, такие как ключевые слова, отправители и получатели, а также начальная и конечная дата. Вы также можете указать тип искомых элементов — сообщения электронной почты, элементы календаря, такие как собрания и встречи, задачи, заметки или содержимое Lync, заархивированное в почтовых ящиках Exchange.
Хранение по времени. Тогда как хранение для судебного разбирательства помещает все содержимое почтовых ящиков на хранение на неопределенный срок или до снятия режима хранения, хранение на месте позволяет задать длительность хранения элементов. Это время вычисляется на основании даты получения или даты создания элемента в почтовом ящике (для таких элементов, как встречи, задачи и заметки, которые не отправляются/получаются).
Один из распространенных запросов о функциональности в Exchange 2010 заключался в возможности указать определенный период, в течение которого хранится элемент. Хотя политики хранения позволяют задать жизненный цикл электронной почты и автоматически удалять элементы при достижении заданного периода, они не гарантируют хранение в течение данного периода. Другими словами, вы можете указать, что элементы хранятся не более 7 лет, но не можете гарантировать, что эти элементы не будут удалены раньше каким-либо пользователем или процессом.
В качестве обходного пути для выполнения этого требования часто рекомендовалось устанавливать для параметра "Восстановление удаленных элементов" минимальный период, в течение которого требуется хранение элемента. В этом примере установка для периода восстановления удаленных элементов значения в 7 лет означает, что если пользователь удаляет элемент до истечения 7-летнего срока, элемент сохраняется в папке "Элементы с возможностью восстановления" в течение 7 лет. Однако период "Восстановление удаленных элементов" рассчитывается от даты удаления. Если пользователь удалит элемент через 6 лет, то он хранится еще 7 дополнительных лет в папке "Элементы с возможностью восстановления", что в итоге дает период хранения в 13 лет. Получается, что вы можете гарантировать хранение элемента не менее 7 лет, но не можете точно задать максимальный период хранения.
В новом Exchange при создании хранения на месте по времени вы можете гарантировать предельный период хранения, так как он рассчитывается с даты получения/создания элемента. Вы можете совместить хранение на месте по времени с политикой хранения (которая имеет отдельный тег политики по умолчанию), чтобы обеспечить удаление элементов в почтовом ящике помощником для управляемых папок (MFA) через 7 лет, а также хранение элементов, удаленных пользователем или процессом до истечения этого периода, не менее указанного срока.
Вы также можете совместить хранение на месте на основе запроса с хранением по времени, чтобы осуществить хранение элементов, соответствующих параметрам запроса, в течение указанного срока. Для пользователя можно включить несколько режимов хранения, например, если почтовый ящик содержит записи, относящиеся к разным делам или расследованиям.
Хранение на месте и разрешения
Как и обнаружение электронных данных на месте, хранение на месте может использоваться полномочными пользователями с делегированным разрешением управления обнаружением . Однако здесь есть небольшое отличие. Группе ролей управления обнаружением назначаются роли управления поиска в почтовых ящиках и хранения для судебного разбирательства . Первая позволяет полномочному пользователю создать поиск в почтовых ящиках для обнаружения электронных данных на месте и хранения на месте. Вторая позволяет вам поместить содержимое почтового ящика на хранение.
Если пользователю назначена только роль хранения для судебного разбирательства, например с помощью создания настраиваемой группы ролей управления доступом на основе ролей или членства в группе ролей, такой как Управление организацией , с назначенной ролью хранения для судебного разбирательства, пользователь может использовать хранение на месте, но только для помещения всего содержимого почтового ящика на хранение. Он не может указать параметры запроса. Другими словами, пользователь не может создать хранение на месте на основе запроса.
Создание хранения на месте
Давайте вернемся к запросу, созданному Ольгой в части 1 этой статьи. При создании хранения на месте Ольге следует выбрать параметр Выберите почтовые ящики для поиска на странице Почтовые ящики, а затем выбрать почтовые ящики или группы рассылки. Если она выберет Поиск по всем почтовым ящикам, то параметр помещения содержимого на хранение будет недоступен.
Вам следует указать почтовые ящики или группы рассылки для помещения на хранение. Если выбрать Поиск по всем почтовым ящикам, то параметр помещения содержимого на хранение будет недоступен.
Рис. 1. Создание хранения на месте с помощью выбора параметра "Выберите почтовые ящики для поиска"
Примечание. Если вы выбираете группу рассылки, режим хранения применяется к тем пользователям почтовых ящиков, которые являются членами этой группы на момент создания хранения.
На странице Запрос поиска Ольга может использовать тот же самый запрос, который она применяла для обнаружения электронных данных на месте.
Рис. 2. Сохранение сообщений, соответствующих параметрам запроса
Она также может выбрать типы сообщений для помещения на хранение.
Рис. 3. Вы можете указать типы сообщений для помещения на хранение или осуществить хранение всех типов сообщений
Помещение архивированного содержимого Lync на хранение
Если новому Lync разрешено архивировать содержимое обмена мгновенными сообщениями и собраний в новый Exchange, содержимое Lync архивируется в почтовом ящике пользователя и автоматически помещается на хранение. Чтобы осуществить все это, вам требуется настроить проверку подлинности OAuth между Lync и Exchange. Кроме того, почтовый ящик должен быть расположен на сервере почтовых ящиков в новом Exchange.
На странице In-Place Hold settings (Параметры хранения на месте) Ольга выбирает параметр Place content matching the search query in selected mailboxes on hold (Поместить на хранение содержимое, соответствующее запросу поиска, в выбранных почтовых ящиках). После этого она может выбрать параметр Hold indefinitely (Хранить бессрочно) для бессрочного хранения (либо до снятия режима хранения на месте или удаления почтового ящика из поиска). Чтобы хранить элементы в течение определенного срока, она может выбрать параметр Specify number of days to hold items relative to their received date (Указать срок хранения элементов в днях с даты получения) и задать число дней.
Рис. 4. Вы можете указать длительность хранения либо хранить элементы бессрочно
Здесь важно повторить, что для хранения по времени длительность вычисляется с даты получения/создания сообщения.
Принцип работы хранения на месте
Давайте подробнее рассмотрим работу данной функции.
Когда пользователь удаляет сообщение, оно попадает в папку Удаленные. Когда выполняется очистка папки "Удаленные", удаление из нее всех сообщений либо для удаления сообщения пользователь нажимает сочетание клавиш SHIFT-DELETE, сообщение перемещается в папку Recover Deleted Items. Содержимое этой папки предоставляется, когда пользователь использует параметр Восстановить удаленные элементы в Outlook или Outlook Web App.
Если пользователь ничего не делает, то после окончания периода "Восстановление удаленных элементов", настроенного для базы данных почтовых ящиков или пользователя, сообщения из папки "Удаленные" очищаются.
Если пользователь удаляет сообщение из этого представления, происходит следующее:
Если для почтового ящика включено "Single Item Recovery" (Восстановление одного элемента), элемент перемещается в папку Элементы с возможностью восстановления\Purgesи хранится до истечения срока хранения удаленных элементов. Это позволяет администратору восстанавливать элементы без извлечения их из резервных копий.
Если почтовый ящик помещается на хранение для судебного разбирательства, элементы перемещаются в папку Recoverable Items\Purgesи хранятся до снятия режима хранения.
Если почтовый ящик помещается на хранение на месте, элементы перемещаются в папку Recoverable Items\DiscoveryHolds.
Рис. 5. Удаленные элементы и исходные копии измененных элементов сохраняются в папке "Элементы с возможностью восстановления" для каждого почтового ящика
Когда MFA — помощник по обслуживанию почтовых ящиков, обрабатывающий почтовые ящики и следящий за истечением срока действия содержимого, — обрабатывает почтовый ящик, он проверяет, соответствуют ли сообщения параметрам запроса для любого хранения на месте, активного для данного пользователя. В такой оценке может участвовать до 5 запросов; если их больше, все элементы помещаются на хранение, что соответствует режиму хранения для судебного разбирательства. Если число хранений опускается ниже 5, помощник для управляемых папок переключается обратно в режим хранения на месте на основе запроса.
После снятия режима хранения на месте удерживаемые сообщения удаляются, если они больше не соответствуют параметрам запроса для любого другого режима хранения на месте, который может быть активен для пользователя.
Хранение на месте и неизменность состояния
Когда разговор заходит о сохранении, обязательно упоминается концепция неизменности. Неизменность означает, что в помещенные на хранение сообщения не должны вноситься какие-либо изменения. Таким образом, следует предотвратить не только удаление сообщений (даже если пользователь, для которого активирован режим хранения, думает, что успешно удалил сообщение), но и их незаконное или иное изменение. Неизменность представляет собой не возможность продукта, а сочетание возможности и процессов хранения, внедренных в вашей организации.
Хранение на месте также помогает вам предотвратить намеренное незаконное изменение или видоизменение содержимого. Для этого выполняется "копирование при записи" — когда пользователь или любой процесс пытается изменить сообщение, перед сохранением измененного сообщения создается копия исходного сообщения, которая сохраняется в папке "Recoverable Items\Versions". Элементы, захваченные в папку "Versions", также индексируются и возвращаются при поиске с обнаружением электронных данных на месте. После снятия режима хранения эти копии в папке "Versions" также удаляются помощником для управляемых папок.
Совместное использование хранения на месте и обнаружения электронных данных на месте предоставляет удобный механизм, с помощью которого уполномоченный сотрудник юридического отдела, специалист по управлению персоналом или другой сотрудник без глубоких технических познаний может легко выполнить поиск и сохранить записи обмена сообщениями в неизменном состоянии.
Бхарат Сунеджа (Bharat Suneja) и Юлиан Збогар-Смит (Julian Zbogar-Smith)
Это локализованная запись блога. Оригинал статьи находится на странице In-Place eDiscovery and In-Place Hold in the New Exchange – Part II