新版 Exchange 的就地 eDiscovery 與就地保留 – 第二部分

英文原文已於 2012 年 9 月 29 日星期六發佈

在本篇文章的第一部分,我們涵蓋新版 Exchange 中就地 eDiscovery 的新增功能。在本篇文章中,讓我們來看一下新版 Exchange 如何原封不動地保留資料。

存有合理的訴訟預期或處理 eDiscovery 要求時,您必須採取的第一步驟之一是保留通訊記錄,以便在需要時產生。在 Exchange 2010 之前,這通常使用不同方法達成,包括將資料封存在外部系統、暫停自動化刪除機制 (例如 Exchange 的通訊記錄管理),或者在某些情況下,指示使用者不要刪除記錄。

無法保留訴訟所需的記錄可能會讓貴組織面臨法律與財務風險。

我們在 Exchange 2010 與 Office 365 引進訴訟保留,讓您保留通訊記錄。訴訟保留是一種信箱內容 – 將信箱放入訴訟保留,可無限期保留信箱中的所有項目 (或直到移除保留為止),而導致累積大量資料,實際上卻可能不需要全部保留。

在新版 Exchange 中,您可以使用「就地保留」原封不動地保留項目。就地保留已與就地 eDiscovery 整合,允許您使用相同的介面與相同的查詢參數,執行搜尋與保留。您可以在下列情況下使用就地保留。

  • 無限期保留:您不需要任何查詢參數,也不需要保留期間,就可以建立就地保留,無限期保留信箱中的所有項目,或直到移除保留狀態。這會模擬訴訟保留行為。

  • 根據查詢保留:使用就地保留,您可以建立搜尋查詢和指定來源信箱與參數,例如關鍵字、寄件者及收件者、還有開始與結束日期。您也可以指定要搜尋的項目類型 – 電子郵件訊息、行事曆項目,例如會議與約會、工作、記事或是封存在 Exchange 信箱的 Lync 內容。

  • 根據時間保留:雖然訴訟保留可以無限期保留所有信箱內容,或是直到您移除保留狀態為止,就地保留可讓您指定要保留項目的期間或時間。根據收到項目的日期或在信箱中建立項目 (例如約會、工作及記事等不傳送/接收的項目) 的日期來計算時間。

    Exchange 2010 中較常見的功能要求之一是,能夠針對保留的項目指定有限期間。雖然保留原則可讓您指定電子郵件週期並在達到指定期間時自動刪除項目,卻不保證可全程保留。換句話說,您最多可以指定要保留項目長達 7 年,但無法保證該項目在那段期間內不被使用者或程序刪除。

    為符合此需求,一般建議採用的因應措施是,將 [復原刪除的郵件] 期間設定為要保留項目的最短期間。在此範例中,請將刪除的郵件保留期間設定為 7 年,這表示如果使用者在滿 7 年之前便將項目刪除,該項目會在 [可復原項目] 資料夾中保留 7 年。不過,刪除的郵件保留期間是從刪除當天開始計算。如果使用者在 6 年後才刪除項目,其會在 [可復原項目] 資料夾中另外保留 7 年,導致總保留期間長達 13 年。換句話說,您可以保證最少能保留項目 7 年,但無法保證最長的保留期間。

    在新版 Exchange 中,因為保留期間是從收到/建立項目當天開始計算,所以當您根據時間建立就地保留時,您可以保證項目不會超過保留期間。您可以結合以時間為主的就地保留與保留原則 (有單一的預設原則標籤),確保受管理資料夾助理員 (MFA) 會在 7 年後刪除信箱中的項目,而在期滿之前被使用者或程序刪除的項目,則至少會保留到指定期滿。

您也可以結合以查詢為主與以時間為主的就地保留,以在指定的期間內保留符合查詢參數的項目。您也可以多重保留使用者 - 例如,信箱中包含與多個案例或調查相關的記錄時。

就地保留與權限

和就地 eDiscovery 一樣,擁有委派 「探索管理」 權限的授權使用者可以使用就地保留。不過,有些微不同。探索管理角色群組會指派為 「信箱搜尋」「訴訟保留」 管理角色。前者允許授權使用者針對就地 eDiscovery 與保留建立信箱搜尋。後者事實上可讓您保留信箱內容。

如果使用者僅指派為訴訟保留角色,例如在建立自訂角色型存取控制 (RBAC) 角色群組或透過角色群組成員資格 (例如,已指派訴訟保留角色的 組織管理 群組),該使用者能夠使用就地保留,但只能保留所有信箱內容。該使用者無法指定查詢參數。換句話說,該使用者無法建立以查詢為主的就地保留。

建立就地保留

讓我們回到 Robin 在本篇文章第一部分建立的查詢。在建立就地保留時,在 [信箱]頁面上,Robin 必須選取 [指定要搜尋的信箱],然後選取信箱或通訊群組。如果選取 [搜尋所有信箱],則無法使用保留內容的選項。

您必須指定要保留的信箱或通訊群組。如果您選取 [搜尋所有信箱],則無法使用保留內容的選項。

螢幕擷取畫面:指定要搜尋的信箱
圖 1:若要建立就地保留,您必須選取 [指定要搜尋的信箱]

注意:如果您選取通訊群組,在建立保留時,身為該群組成員的信箱使用者亦會套用保留。

在 [搜尋查詢]頁面上,Robin 可以使用和就地 eDiscovery 相同的查詢。

螢幕擷取畫面:指定搜尋查詢
圖 2:符合查詢參數的郵件才予以保留

您也可以選取要保留的郵件類型。

螢幕擷取畫面:指定要保留的郵件類型
圖 3:您可以指定要保留的郵件類型或是保留所有郵件類型

保留封存的 Lync 內容

如果啟用新版 Lync 以將立即訊息與會議內容封存到新版 Exchange,Lync 內容會封存在使用者的信箱並自動保留。您需要在 Lync 與 Exchange 之間設定 OAuth 驗證才能啟用此功能。此外,該信箱必須為在新版 Exchange 的信箱伺服器上。

在 [就地保留設定]頁面上,Robin 選取 [保留所選取信箱中符合搜尋查詢的內容]選項。接著,他可以選取 [無限期保留]以無限期保留內容 (或直到移除就地保留為止,或是從搜尋中移除信箱)。若要在特定期間內保留項目,她可以選取 [指定相對於項目接收日期的保留天數],然後指定天數。

螢幕擷取畫面:就地保留設定
圖 4:您可以指定保留期間或無限期保留項目

在此再次向您強調對於以時間為主的保留,其保留期間是從收到/建立郵件當天開始計算。

就地保留如何運作

讓我們來看一下內部運作。

當使用者刪除郵件時,郵件會移至 [刪除的郵件]資料夾。在清空 [刪除的郵件] 資料夾或從中刪除郵件,或者使用者使用 Shift-Delete 來刪除郵件時,郵件就會移至 [可復原項目\刪除] 資料夾。當使用者在 Outlook 或 Outlook Web App 中使用 [復原刪除的郵件] 時,就會公開此資料夾的內容。

如果使用者完全不加以干涉,就會在為信箱資料庫或使用者所設定刪除的郵件保留期間過後,清除 [刪除] 資料夾中的郵件?

如果使用者從此檢視中刪除郵件,就會發生下列情況:

  1. 如果針對信箱啟用單一項目復原,該項目會移至 [可復原項目\清除]資料夾,並保留到刪除的郵件保留期間過後為止。這讓管理員無需從備份復原,也能復原項目。

  2. 如果信箱處於訴訟保留,該項目會移至 [可復原項目\清除]資料夾,並予以保留直到移除保留為止。

     

  3. 如果信箱處於就地保留,該項目會移至 [可復原項目\探索保留]資料夾。

就地保留與可復原項目
圖 5:刪除的郵件與修改項目的原始副本都保留在各信箱的 [可復原項目] 資料夾

當 MFA (處理信箱與過期內容的信箱助理員) 處理信箱時,會檢查郵件是否符合使用者所放的任何就地保留查詢參數。最多只能針對 5 個查詢進行此評估,超過 5 個就會保留的所有項目 (模擬和訴訟保留相同的行為)。如果保留的數目低於 5,MFA 會再次回復成以查詢為主的就地保留行為。

移除就地保留時,如果郵件與使用者所放的任何其他就地保留的查詢參數不再相符,就會移除保留的郵件。

就地保留與不變性

一討論到保留,總會提及不變性的概念。不變性表示必須原封不動地保留郵件。我們不只應該保護郵件不被刪除 (即便是保留的使用者,認為他們已成功清除郵件),也應保護郵件不被竄改或變更。不變性並非一種產品功能,而是結合組織實作的功能與保留程序後所得的成果。

就地保留也可幫助您保留內容,防止被蓄意竄改或修改。方法是執行寫入時複製 (COW) – 當使用者或任何程序嘗試修改郵件時,在儲存修改的郵件之前,先建立原始郵件副本並存入 [可復原項目\版本] 資料夾中。擷取在 [版本] 資料夾的項目也會編製索引,並在就地 eDiscovery 搜尋中傳回。移除保留時,受管理資料夾助理員也會一併移除 [版本] 資料夾中的副本。

就地保留與就地 eDiscovery 並用可形成一種易於使用的機制,讓授權的法律、人力資源或其他非技術人員輕鬆地搜尋並原封不動地保留通訊記錄。

Bharat Suneja 及 Julian Zbogar-Smith

這是翻譯後的部落格文章。英文原文請參閱 In-Place eDiscovery and In-Place Hold in the New Exchange – Part II