Exchange Server 2013就地保留诉讼保留

9.3 就地保留诉讼保留

当存在诉讼的合理预期时，需要组织保留与事实相关的以电子方式存储的信息 (ESI)，包括电子邮件。这种预期通常会在知道事实的细节之前发生，并且保留内容通常很广泛。组织可能需要保留与特定主题相关的所有电子邮件，或特定个人的所有电子邮件。可能会采用以下度量标准来保留电子邮件，具体取决于组织的电子发现（电子数据展示）实践：

 

可能会要求最终用户通过不删除任何邮件来保留电子邮件。但是，用户仍然可能会有意或无意地删除电子邮件。

自动删除机制（如邮件记录管理 (MRM)）可能被挂起。这可能导致用户邮箱因有大量电子邮件而变得杂乱，因而影响用户的工作效率。挂起自动删除也不能防止用户手动删除电子邮件。

一些组织会将电子邮件复制或移动到存档中以确保它不被删除、更改或篡改。由于将电子邮件复制或移动到存档需要手动操作，或使用第三方产品在 Exchange 外部收集和存储电子邮件，这将增加成本。

 

如果未能保留电子邮件，则可能会使组织面临法律和财务风险，例如组织的记录保留和发现过程的审查、不利的法律判决、制裁或罚款等。

 

在 Exchange 2013 中，您可以使用就地保留来实现下列目标：

 

保留用户邮箱并永久保留邮箱项目

保留由用户或自动删除过程删除的邮箱项目，例如 MRM

使用基于查询的就地保留搜索并保留与指定条件匹配的项目

无限期保留项目或保留特定的持续时间

将用户置于多个保留中用于不同的案件或调查

通过不必挂起 MRM 使就地保留对用户是透明的

启用置于保留状态的项目的就地电子数据展示搜索

9.3.1 创建或删除就地保留

创建就地保留命令：

New-MailboxSearch"Hold-CaseId001" -SourceMailboxes "[email protected]"-InPlaceHoldEnabled $true

使用命令行管理程序删除就地保留

下例首先禁用名为 Hold-CaseId001 的就地保留，然后删除邮箱搜索。

Set-MailboxSearch"Hold-CaseId001" -InPlaceHoldEnabled $false

Remove-MailboxSearch"Hold-CaseId001"

使用命令行管理程序将邮箱无限期置于诉讼保留状态

此示例将邮箱 [email protected] 置于诉讼保留状态。邮箱中的项目将无限期保留或保留到删除该保留。

[email protected] -LitigationHoldEnabled $true

在OWA界面可以看到诉讼保留已经处于已启用状态

点击查看详情可以进行配置，这里先不配置，等下使用EMS脚本操作

使用命令行管理程序将邮箱置于诉讼保留状态并将项目保留指定的持续时间

此示例将邮箱 [email protected] 置于诉讼保留状态，并将项目保留 2555 天（大约 7 年）。

[email protected] -LitigationHoldEnabled $true -LitigationHoldDuration2555

在OWA界面，可以看到刚刚使用EMS设置已经成功

使用命令行管理程序在指定持续时间内将所有邮箱置于诉讼保留状态

您的组织可能需要将所有邮箱数据保存一段指定的时间。在您将组织中的所有邮箱置于诉讼保留状态之前，请考虑以下事项：

本示例将组织中的所有用户邮箱置于诉讼保留状态，时间为 1 年（365 天）。

Get-Mailbox-ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"}| Set-Mailbox -LitigationHoldEnabled $true -LitigationHoldDuration 365

本示例使用 Get-Mailbox cmdlet 检索组织中的所有邮箱，指定收件人筛选器以包含所有用户邮箱，然后将邮箱列表输出到 Set-Mailbox cmdlet 以启用诉讼保留和保留持续时间。

要将所有用户邮箱置于无限期保留状态，请运行以前的命令，但不包含 LitigationHoldDuration 参数

 

使用命令行管理程序将邮箱从诉讼保留中删除

此示例将邮箱 [email protected] 从诉讼保留中删除。

[email protected] -LitigationHoldEnabled $false

为电子数据展示保存密件抄送和展开的通讯组收件人

就地保留和诉讼保留使您可以保存邮箱内容，以满足法规遵从性和电子数据展示要求。默认情况下，所有邮件中均包含直接在邮件“收件人”和“抄送”字段中输入的收件人信息，但您的组织可能需要能够搜索和重现邮件收件人的详细信息。这包括

 

使用邮件密件抄送字段输入地址的收件人：密件抄送收件人存储在发件人邮箱的邮件中，但不包含于发送给收件人的邮件标头中。

展开的通讯组收件人：接收此邮件的收件人，因为他们是以“收件人”、“抄送”或“密件抄送”字段在邮件中输入地址的通讯组成员。

9.3.2可恢复的项目文件夹

详情参考：

https://technet.microsoft.com/zh-CN/library/ee364755(v=exchg.150).aspx

9.3.3 常见问题

问：何时何地存储密件抄送收件人信息？

答：默认情况下，密件抄送收件人信息保存在发件人邮箱的原始邮件中。如果密件抄送收件人为通讯组，只有保留发件人邮件时才会展开通讯组成员。

 

问：何时何地存储展开的通讯组收件人列表？

答：发送邮件的同时展开组成员身份。展开的通讯组成员列表存储在发件人邮箱的原始邮件中。发件人邮箱必须就地保留或诉讼保留。

 

问：收件人/抄送收件人可以看到被密件抄送的收件人吗？

答：此信息并不包含在邮件标头中，对收件人/抄送收件人不可见。发件人可以看到其邮箱中所存储原始邮件中的密件抄送字段。搜索发件人邮箱时，合规部主管可以看到此信息。

 

问：如何确保展开的通讯组收件人一直保留下去？

答：要确保展开的通讯组成员始终与邮件一同保留，保留所有邮箱。

 

问：支持哪些类型的组？

答：支持通讯组、已启用邮件的安全组和动态通讯组。

 

问：邮件中展开和存储的通讯组收件人数量存在限制吗？

答：最多保留 10000 个通讯组成员。

 

问：支持嵌套通讯组吗？

答：支持，可展开 25 层级嵌套通讯组。

 

问：密件抄送和展开的通讯组收件人信息在哪里可见？

答：当执行电子数据展示搜索时，密件抄送和展开的通讯组收件人信息对合规部主管可见。复制到发现邮箱、导出到 PST 文件以及搜索结果电子数据展示日志的搜索结果中包含密件抄送和展开的通讯组收件人。密件抄送收件人信息在搜索预览中也可用。