Exchange 2013 就地發現

轉自Exchange中文站http://www.exchangecn.com/html/exchange2013/20130502_450.html

若是您的組織遵循法律發現要求（與組織策略、合規性或訴訟相關），Microsoft Exchange Server 2013 就地電子數據展現能夠幫助您對 Exchange 2013 郵箱內的相關內容執行發現搜索。

若是您的組織遵循法律發現要求（與組織策略、合規性或訴訟相關），Microsoft Exchange Server 2013 就地電子數據展現能夠幫助您對 Exchange 2013 郵箱內的相關內容執行發現搜索。   就地電子數據展現使用的是由 Exchange 搜索建立的內容索引。基於角色的訪問控制 (RBAC) 提供了 發現管理 角色組，以便將發現任務委派給非技術人員，而無需提供提高的權限，提高的權限可能會容許用戶對 Exchange 配置進行任何操做性的更改。Exchange 管理中心 (EAC) 爲非技術人員（如法律和合規事務主管、記錄管理員和人力資源 (HR) 專家等）提供易於使用的搜索界面。   在 Exchange 2013 中，受權用戶能夠執行就地電子數據展現並選擇如下選項之一：   1）估計搜索結果 獲取搜索會返回的估計郵件數，包括關鍵字統計信息以肯定搜索中使用的關鍵字有效性並在須要時調整搜索參數。   2）預覽搜索結果    3）將搜索結果中返回的郵件複製到發現郵箱。   Exchange 2013 還提供聯合搜索功能以及與 Microsoft SharePoint 2013 的集成。使用「電子數據展現中心」能夠搜索並就地保留與某個案例相關的全部內容（SharePoint 2013 網站、文檔、SharePoint 編入索引的文件共享、Exchange 中的郵箱內容以及來自單個位置的存檔 Lync 2013 內容）。   Exchange 搜索   就地電子數據展現使用的是由 Exchange 搜索建立的內容索引。在 Exchange 2013 中，Exchange 搜索已從新設計爲使用 Microsoft Search Foundation。使用 Microsoft Search Platform 可提升索引和查詢性能並改進搜索功能。由於 Microsoft Search Foundation 也由其餘 Office 產品（包括 SharePoint 2013）使用，因此它可在這些產品間提供更好的互操做性和類似的查詢語法。   使用單一內容索引引擎，當 IT 部門收到電子數據展現請求時，無需使用其餘資源即可針對就地電子數據展現進行爬網和索引郵箱數據庫。   就地電子數據展現使用關鍵字查詢語言 (KQL)，這是一種查詢語法，相似於 Microsoft Outlook 和 Outlook Web App 中的即時搜索使用的高級查詢語法 (AQS)。熟悉 KQL 的用戶能夠輕鬆構建強大的搜索查詢以搜索內容索引。   發現管理角色組和管理角色   對於執行就地電子數據展現搜索的用戶，您必須將其添加到 發現管理 RBAC 角色組。此角色組由下面兩個管理角色構成：郵箱搜索角色（使用戶可執行就地電子數據展現搜索）和合法保留角色（使用戶可將郵箱置於就地保留或訴訟保留狀態）。   默認狀況下，不會向任何用戶或 Exchange 管理員分配執行與就地電子數據展現相關的任務所需的權限。做爲組織管理角色組成員的 Exchange 管理員可向發現管理角色組添加用戶，並可建立自定義角色組，將發現管理員的做用域限制爲用戶的子集。有關將用戶添加到發現管理角色組的詳細信息，請參閱將用戶添加到「發現管理」角色組。   RBAC 角色更改的審覈（默認狀況下會啓用）可確保保留了適當的記錄，以便跟蹤發現管理角色組的分配。   發現郵箱   建立就地電子數據展現搜索以後，您能夠將搜索結果複製到目標郵箱。經過 EAC 能夠選擇發現郵箱做爲目標郵箱。發現郵箱是一種特殊類型的郵箱，它具備如下功能：   1）更加輕鬆安全的目標郵箱選擇   當您使用 EAC 複製就地電子數據展現搜索結果時，只有發現郵箱可做爲存儲搜索結果的存儲庫。無需在可能很長的組織可用郵箱列表中費心挑選。這也消除了發現管理員出現如下錯誤的可能性：即不當心選擇了其餘用戶的郵箱或可能存儲了敏感郵件的不安全郵箱。   2）大型郵箱存儲配額   目標郵箱應可以存儲就地電子數據展現搜索可能返回的大量郵件數據。默認狀況下，發現郵箱的郵箱存儲配額爲 50 千兆字節 (GB)。您能夠修改配額，以使其知足本身的須要。   3）默認狀況下更加安全   與全部郵箱類型同樣，發現郵箱具備關聯的 Active Directory 用戶賬戶。可是默認狀況下，此賬戶爲禁用狀態。只有顯式受權可訪問發現郵箱的用戶能夠訪問。發現管理角色組的成員具備對默認發現郵箱的徹底訪問權限。建立的任何其餘發現郵箱都不會將郵箱訪問權限分配給任何用戶。   4）電子郵件傳遞已禁用   雖然電子郵件在 Exchange 地址列表中可見，但用戶不能將其發送至發現郵箱。使用傳遞限制來禁止對發現郵箱進行電子郵件傳遞。這可保持複製到發現郵箱的搜索結果的完整性。   Exchange 2013 安裝程序會建立一個顯示名爲「發現搜索郵箱」的發現郵箱。可使用命令行管理程序建立其餘發現郵箱。默認狀況下，建立的發現郵箱不會分配有任何郵箱訪問權限。能夠爲發現管理員分配徹底訪問權限以訪問複製到發現郵箱的郵件。   就地電子數據展現還使用顯示名爲「SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}」的系統郵箱來保留就地電子數據展現元數據。系統郵箱在 EAC 或 Exchange 地址列表中不可見。在刪除就地電子數據展現系統郵箱所在的郵箱數據庫以前，必須將該郵箱移動到其餘郵箱數據庫。若是刪除或損壞了該郵箱，則發現管理員沒法執行電子數據展現搜索，直到從新建立該郵箱。有關詳細信息，請參閱從新建立發現系統郵箱。   與 SharePoint Server 2013 集成   Exchange 2013 提供與 SharePoint 2013 的集成，從而使發現管理員能夠在 SharePoint 中使用電子數據展現中心來執行如下任務：   1）從單個位置搜索和保留內容 受權發現管理員能夠跨 SharePoint 和 Exchange 搜索和保留內容，包括 Lync 內容（如 Exchange 郵箱中存檔的即時消息對話和共享會議文檔）。   2）案例管理 電子數據展現中心使用案例管理方法進行電子數據展現，從而使您能夠建立案例並針對每一個案例跨不一樣內容庫保留內容。 導出搜索結果 發現管理員可使用電子數據展現中心導出搜索結果。包含在搜索結果中的郵箱內容會導出到 PST 文件中。   SharePoint 還使用 Microsoft Search Foundation 進行內容索引和查詢。不管發現管理員是使用 EAC 仍是電子數據展現中心搜索 Exchange 內容，都會返回相同郵箱內容。   在使用 SharePoint 中的電子數據展現中心搜索 Exchange 郵箱以前，必須在兩個應用程序之間創建信任。在 Exchange 2013 和 SharePoint 2013 中，這使用 OAuth 身份驗證來完成。從 SharePoint 執行的電子數據展現搜索經過 Exchange 使用 RBAC 進行受權。若要 SharePoint 用戶可以執行 Exchange 郵箱的電子數據展現搜索，必須在 Exchange 中向他們分配委派發現管理權限。若要可以預覽使用 SharePoint 電子數據展現中心執行的電子數據展現搜索中返回的郵箱內容，發現管理員必須在相同 Exchange 組織中擁有郵箱。   使用就地電子數據展現   已添加至發現管理角色組的用戶能夠執行就地電子數據展現搜索。能夠在 EAC 中使用基於 Web 的界面執行搜索。這可使非技術人員（如記錄管理員、合規事務主管或是法律和 HR 專家）能夠更加輕鬆地使用就地電子數據展現。還可使用命令行管理程序執行搜索。   EAC 中的「就地電子數據展現和保留」嚮導使您能夠建立就地電子數據展現搜索，還可以使用就地保留將搜索結果置於保留狀態。在建立就地電子數據展現搜索時，會在就地電子數據展現系統郵箱中建立搜索對象。能夠經過操縱該對象來啓動、中止、修改或刪除搜索。在建立搜索以後，能夠選擇獲取搜索結果的估計，這包括可幫助肯定查詢有效性的關鍵字統計信息。還能夠對搜索中返回的項目進行實時預覽，從而使您能夠查看郵件內容、從每一個源郵箱返回的郵件數以及郵件總數。可使用此信息在須要時進一步微調查詢。   當對搜索結果滿意時，能夠將結果複製到發現郵箱。還可使用 Outlook 將發現郵箱或其中部份內容導出到 PST 文件。   當建立就地電子數據展現搜索時，必須指定如下參數：   1）名稱 搜索名稱用於標識搜索。當將搜索結果複製到發現郵箱時，會經過使用以惟一方式標識發現郵箱中的搜索結果的搜索名稱和時間戳，在發現郵箱中建立文件夾。   2）郵箱 能夠選擇搜索 Exchange 2013 組織中的全部郵箱或指定要搜索的郵箱。若是還要使用相同搜索將項目置於保留狀態，則必須指定郵箱。能夠指定一個通信組，以包含做爲該組成員的郵箱用戶。組的成員資格會在建立搜索時一次性進行計算，對組成員資格的後續更改不會自動反映在搜索中。用戶的主郵箱和存檔郵箱包含在搜索中。   3）搜索查詢 能夠包含指定郵箱中的全部郵箱內容，或使用搜索查詢返回與案例或調查更加相關的項目。能夠在搜索查詢中指定如下參數：   --關鍵字：能夠指定關鍵字和短語來搜索郵件內容。還可使用邏輯運算符 AND、OR 和 NOT。此外，Exchange 2013 還支持 NEAR 運算符，從而使您能夠搜索與另外一個單詞或短語接近的單詞或短語。 若要搜索包含多個單詞的短語的徹底匹配項，必須在該短語先後加上引號。例如，搜索短語「plan and competition」將返回包含該短語的徹底匹配項的郵件，而指定「plan AND competition」則將返回在郵件中任何位置包含單詞「plan」和「competition」的郵件。 Exchange 2013 還支持將關鍵字查詢語言 (KQL) 語法用於就地電子數據展現搜索。   邏輯運算符必須使用大寫，以將其做爲運算符而非關鍵字處理，例如 AND 和 OR。咱們建議對任何混用多個邏輯運算符的查詢使用顯式圓括號，以免出現錯誤或誤解。例如，若是要搜索包含 WordA 或 WordB 以及 WordC 或 WordD 的郵件，則必須使用 (WordA OR WordB) AND (WordC OR WordD)。   --開始日期和結束日期 默認狀況下，就地電子數據展現不按日期範圍限制搜索。若要搜索特定日期範圍內發送的郵件，能夠經過指定開始和結束日期來縮小搜索範圍。若是不指定結束日期，則每次從新啓動搜索時將返回最新結果。   --發件人和收件人 若要縮小搜索範圍，能夠指定郵件的發件人或收件人。可使用電子郵件地址、顯示名稱或域名來搜索發送到或發送自域中每一個用戶的項目。例如，若要查找由任何用戶發送到或發送自 Contoso, Ltd. 的電子郵件，請在 EAC 的「發件人」或「收件人/抄送」字段中指定「@contoso.com」。還能夠在命令行管理程序的 Senders 或 Recipients 參數中指定「@contoso.com」。   --郵件類型 默認狀況下，搜索全部郵件類型。能夠經過選擇特定的郵件類型（如電子郵件、聯繫人、文檔、日記、會議、便箋和 Lync 內容）來限制搜索。 使用就地電子數據展現時，還需考慮如下事項：   4）附件 就地電子數據展現會搜索 Exchange 搜索支持的附件。經過爲郵箱服務器上的文件類型安裝的搜索篩選器（也稱爲 iFilter），能夠添加對其餘文件類型的支持。   5）不可搜索的項目 不可搜索的項目是指 Exchange 搜索沒法編入索引的郵箱項目。沒法編入索引的緣由包括未對附加文件安裝搜索篩選器、篩選器錯誤和加密郵件。若要實現成功的電子數據展現搜索，組織可能須要包含這類項目以進行審閱。將搜索結果複製到發現郵箱時，能夠包含不可搜索的項目。   6）安全列表 某些文件類型不包含可編入索引的內容，所以不會由 Exchange 搜索編入索引。這些文件類型不會被視爲不可搜索的項目，所以它們在選擇用於將不可搜索的項目複製到發現郵箱的選項時不會包含在內。不可搜索的項目的列表中不返回包含這些文件類型的郵箱項目。   7）加密項目 由於 Exchange 搜索不會將使用 S/MIME 加密的郵件編入索引，因此就地電子數據展現不會搜索這些郵件。若是選擇了用於在搜索結果中包括不可搜索的項目的選項，則這些使用 S/MIME 加密的郵件將複製到發現郵箱。   8）受 IRM 保護的項目 使用信息權限管理 (IRM) 保護的郵件會由 Exchange 搜索編入索引，所以在匹配查詢參數時會包括在搜索結果中。必須使用 Active Directory 權限管理服務 (AD RMS) 羣集保護郵件，此羣集應與郵箱服務器處於同一 Active Directory 林中。   9）重複數據刪除 在將搜索結果複製到發現郵箱時，能夠對搜索結果啓用「重複數據刪除」功能以便僅將特定郵件的一個實例複製到發現郵箱。重複數據刪除具備如下好處：   --因爲減小了複製的郵件數，所以下降了存儲要求並縮小了發現郵箱的大小。 --減輕了發現管理員、法律顧問或參與審閱搜索結果的其餘人員的工做負荷。 --下降了電子數據展現成本，具體取決於從搜索結果中排除的重複項目數。   估計、預覽和複製搜索結果   在完成就地電子數據展現搜索以後，能夠在 EAC 的詳細信息窗格中查看搜索結果估計。估計包括返回的項目數和這些項目的總大小。還能夠查看關鍵字統計信息，這些統計信息可返回有關針對搜索查詢中使用的每一個關鍵字返回的項目數的詳細信息。此類信息可用於肯定查詢有效性。若是查詢範圍太廣，則可能返回大得多的數據集，這可能須要更多資源用於審閱並會提升電子數據展現成本。若是查詢範圍太窄，則可能會顯著減小返回的記錄數，或是徹底不返回任何記錄。可使用估計和關鍵字統計信息來微調查詢，以知足要求。   還能夠預覽搜索結果，以便進一步確保返回的郵件包含所搜索的內容並在須要時進一步微調查詢。電子數據展現搜索預覽會顯示從搜索的每一個郵箱中返回的郵件數以及搜索返回的郵件總數。預覽會快速生成，而無需將郵件複製到發現郵箱。   在對搜索結果的數量和質量滿意以後，能夠將它們複製到發現郵箱。當複製郵件時，能夠選擇如下選項：   1）包括不可搜索的項目 有關被視爲不可搜索的項目類型的詳細信息，請參閱上一節中的電子數據展現搜索注意事項。   2）啓用重複數據刪除 在搜索的一個或多個郵箱中找到多個實例時，重複數據刪除可僅包括特定記錄的單個實例，從而減少數據集。   3）啓用完整日誌記錄 默認狀況下，僅當複製項目時才啓用基本日誌記錄。能夠選擇完整日誌記錄以包含搜索返回的全部記錄的有關信息。   4）在複製完成時向我發送郵件 就地電子數據展現搜索可能可返回大量記錄。將返回的郵件複製到發現郵箱可能須要較長時間。使用此選項可在複製過程完成時收到電子郵件通知。爲了更方便地使用 Outlook Web App 進行訪問，通知包含一個連接，該連接指向將郵件複製到的發現郵箱中的位置   日誌記錄   有兩種類型的日誌記錄可用於就地電子數據展現搜索：   1）基本日誌記錄 默認狀況下將爲全部就地電子數據展現搜索啓用基本日誌記錄。基本日誌記錄包含有關搜索和搜索執行人員的信息。使用基本日誌記錄捕獲的信息會顯示在發送到存儲搜索結果的郵箱的電子郵件正文中。郵件位於爲存儲搜索結果而建立的文件夾中。   2）完整日誌記錄：完整日誌記錄包含搜索返回的全部郵件的信息。此信息以逗號分隔值 (.csv) 文件的形式提供，該文件會附加到包含基本日誌記錄信息的電子郵件中。搜索的名稱將用做 .csv 文件的名稱。出於聽從性或保留記錄的目的，可能須要此信息。若要啓用完整日誌記錄，必須在 EAC 中將搜索結果複製到發現郵箱時選擇「啓用完整日誌記錄」選項。若是使用命令行管理程序，則使用 LogLevel 參數指定完整日誌記錄選項。   除了在將搜索結果複製到發現郵箱時包含的搜索日誌以外，Exchange 還記錄 EAC 或命令行管理程序用於建立、修改或刪除就地電子數據展現搜索的 cmdlet。此信息記錄在管理員審覈日誌條目中。   就地電子數據展現和就地保留   做爲電子數據展現請求的一部分，您可能須要將郵箱內容保留至處理訴訟或調查以後。還必須保留郵箱用戶或任何過程已刪除或更改的郵件。在 Exchange 2013 中，這是經過使用就地保留來完成的。   在 Exchange 2013 中，可使用新的「就地電子數據展現和保留」嚮導來搜索項目並將它們保留進行電子數據展現或知足其餘業務要求所需的時間長度。將相同搜索用於就地電子數據展現和就地保留時，請注意如下事項：   1）不能使用搜索全部郵箱的選項。必須選擇郵箱或通信組。   2）若是某個就地電子數據展現搜索還用於就地保留，則不能刪除該搜索。必須先在搜索中禁用就地保留選項，而後才能刪除該搜索。   保留郵箱以用於就地電子數據展現   員工離開組織時，通常會禁用或刪除其郵箱。在禁用了郵箱後，會將其從用戶賬戶斷開鏈接，但仍會將其保留在郵箱中一段時間（默認爲 30 天）。託管文件夾助理不會處理斷開鏈接的郵箱，而且在此期間不會應用任何保留策略。您將沒法搜索斷開的郵箱的內容。達到了爲郵箱數據庫配置的已刪除郵箱保留期時，會將該郵箱從郵箱數據庫中清除。   若是組織要求對已離開組織的員工的郵件應用保留設置，或者須要保留前員工的郵箱供當前或將來電子數據展現搜索使用，請勿禁用或刪除郵箱。能夠執行如下步驟以確保郵箱不能訪問，而且不會向其傳遞新郵件。   1）使用「Active Directory 用戶和計算機」或是其餘 Active Directory 或賬戶設置工具或腳本，禁用 Active Directory 用戶賬戶。這樣能夠阻止使用關聯的用戶賬戶登陸郵箱。     2）將郵箱用戶能夠發送或接收的郵件的郵件大小限制設置爲一個很小的值，如 1 KB。這樣可阻止經過該郵箱發送和接收新郵件。   3）配置郵件的傳遞限制，使任何人都沒法向其發送郵件。   在計劃爲郵件保留管理 (MRM) 或就地電子數據展現實現郵箱保留時，必須考慮員工流動率。長期保留前員工的郵箱須要郵箱服務器上的額外存儲，還會致使 Active Directory 數據庫增大，由於要求將關聯的用戶賬戶也保留相同的時間。此外，還可能要求更改組織的賬戶設置和管理過程。   就地電子數據展現和限制策略   在 Exchange 2013 中，使用限制策略控制就地電子數據展現能夠在郵箱服務器上佔用的資源。默認限制策略包含如下限制參數。能夠修改默認限制策略的參數以適合您的要求，或是建立其餘限制策略並將其分配給具備委派發現管理權限的用戶。   參數 描述 默認值 DiscoveryMaxConcurrency 用戶能夠同時執行的最大就地電子數據展現搜索數 2 DiscoveryMaxMailboxes 能夠在單個就地電子數據展現搜索中搜索的最大郵箱數 50 DiscoveryMaxMailboxesResultsOnly 能夠在單個就地電子數據展現搜索以及複製到發現郵箱 的結果中搜索到的最大郵箱數。 5000 DiscoveryMaxKeywords 能夠在單個就地電子數據展現搜索中指定的最大關鍵字數 500 DiscoveryMaxSearchResultsPageSize 在電子數據展現搜索預覽的單個頁面上顯示的最大項目數。 200 DiscoveryMaxConcurrency EAC 中就地電子數據展現搜索狀態的關鍵字統計信息部 分中每頁顯示的最大關鍵字數。 25 (責任編輯：Exchange中文站)