9.2 就地電子數據展示

如果您的組織遵循法定發現要求（與組織策略、合規性或訴訟相關），Microsoft Exchange Server 2013 和 ExchangeOnline 中的就地電子數據展示可以幫助您對郵箱內的相關內容執行發現搜索。Exchange 2013 和 Exchange Online 還提供聯合搜索功能以及與 MicrosoftSharePoint 2013 和 Microsoft SharePoint Online 的集成。您可以使用 SharePoint 中的電子數據展示中心搜索并保留與某個案例相關的所有內容，包括SharePoint 2013 和 SharePoint Online 網站、文檔、SharePoint（僅限 SharePoint 2013）編入索引的文件共享、Exchange 中的郵箱內容以及存檔的 Lync 2013 內容。您還可以在 Exchange 混合環境中使用就地電子數據展示，在同一搜索中搜索內部部署郵箱和基于云的郵箱。

重要說明：

就地電子數據展示是一項強大的功能，利用它，具有正確權限的用戶可能可以訪問存儲在 Exchange 2013 或 Exchange Online 組織中的所有郵件記錄。控制和監視發現活動是很重要的，這些活動包括將成員添加至 Discovery Management 角色組、分配 Mailbox Search 管理角色以及分配對發現郵箱的郵箱訪問權限。

假如你的組織中是Exchange 2010和Exchange 2013 的混合模式，你需要將你的系統郵箱賬號移動到Exchange Server 2013中，不移動的話，你是無法執行就地電子數據展示搜索的，因為就地發現的配置信息存儲在系統郵箱中。

9.2.1就地電子數據展示的工作原理

就地電子數據展示使用的是由 Exchange搜索創建的內容索引。基于角色的訪問控制 (RBAC) 提供了 DiscoveryManagement 角色組，以便將發現任務委派給非技術人員，而無需提供提升的權限，提升的權限可能會允許用戶對Exchange 配置進行任何操作性的更改。Exchange 管理中心 (EAC) 為非技術人員（如法律和合規事務主管、記錄管理員和人力資源 (HR) 專家等）提供易于使用的搜索界面。

授權用戶可以執行就地電子數據展示搜索，方法是選擇郵箱，然后指定搜索條件，例如關鍵字、開始日期和結束日期、發件人地址和收件人地址以及郵件類型。搜索完成后，授權用戶可以選擇下列操作之一：

估計搜索結果?? 此選項將返回預計的項目總大小和數量，搜索將基于您指定的條件返回。

預覽搜索結果?? 此選項提供結果預覽。將顯示從每個搜索的郵箱返回的郵件。

復制搜索結果?? 此選項允許您將郵件復制到發現郵箱。

導出搜索結果?? 將搜索結果復制到發現郵箱后，可以將其導出到 PST 文件中。

Exchange搜索

就地電子數據展示使用的是由 Exchange搜索創建的內容索引。Exchange 搜索經過重新設計，可使用Microsoft Search Foundation，這是一個豐富的搜索平臺，具有更高的索引和查詢性能以及改進搜索功能。因為 Microsoft Search Foundation 也由其他 Office 產品（包括 SharePoint 2013）使用，所以它可在這些產品間提供更好的互操作性和相似的查詢語法。

使用單一內容索引引擎，當 IT 部門收到電子數據展示請求時，無需使用其他資源便可針對就地電子數據展示進行爬網和索引郵箱數據庫。

就地電子數據展示使用關鍵字查詢語言(KQL)，這是一種查詢語法，類似于 Microsoft Outlook 和 Outlook Web App 中的即時搜索使用的高級查詢語法 (AQS)。熟悉 KQL 的用戶可以輕松構建強大的搜索查詢以搜索內容索引。

有關通過 Exchange 搜索編制索引的文件格式的詳細信息，請參閱Exchange Search 索引的文件格式。

https://technet.microsoft.com/zh-CN/library/ee633485(v=exchg.150).aspx

發現管理角色組和管理角色

對于執行就地電子數據展示搜索的授權用戶，您必須將其添加到 Discovery Management 角色組。此角色組由下面兩個管理角色構成：MailboxSearch郵箱搜索角色（使用戶可執行就地電子數據展示搜索）和Legal Hold 合法保留角色（使用戶可將郵箱置于就地保留或訴訟保留狀態）。

默認情況下，不會向任何用戶或Exchange 管理員分配執行與就地電子數據展示相關的任務所需的權限。作為組織管理角色組成員的Exchange 管理員可向發現管理角色組添加用戶，并可創建自定義角色組，將發現管理員的作用域限制為用戶的子集。有關將用戶添加到 Discovery Management 角色組的詳細信息，請參閱在 Exchange中分配電子數據展示權限

重要說明：

如果用戶未添加到 DiscoveryManagement 角色組或未分配 Mailbox Search 角色，則不會在 EAC 中顯示“就地電子數據展示和保留”用戶界面，且就地電子數據展示 cmdlet 在 Exchange 命令行管理程序中不可用。

9.2.2 管理就地電子數據展示

默認情況下，Discovery Management組是沒有用戶的，所以要執行就地電子郵件展示，我們需要往Discovery Management角色組中添加成員，下面分別使用EAC和EMS的方式演示：

EAC方式添加：

依次點擊權限-->Discovery Management，點擊編輯按鈕

在成員選項卡下，點擊+按鈕

添加我們創建的電子發現管理員或相應人員，我這里先不添加，等下用EMS方式添加

EMS添加方式：

命令如下：

Add-RoleGroupMember-Identity 'Discovery Management' -Member ediscoveryadmin

要從角色組中移除成員，可以使用如下命令：

Remove-RoleGroupMember–Identity 'Discovery Management' –Member ediscoveryadmin

9.2.3 發現郵箱

創建就地電子數據展示搜索之后，您可以將搜索結果復制到目標郵箱。通過 EAC，您可以選擇發現郵箱作為目標郵箱。發現郵箱是一種特殊類型的郵箱，它具有以下功能：

?

更加輕松安全的目標郵箱選擇??

當您使用 EAC 復制就地電子數據展示搜索結果時，只有發現郵箱可作為存儲搜索結果的存儲庫。無需在可能很長的組織可用郵箱列表中費心挑選。這也消除了發現管理員出現以下錯誤的可能性：即不小心選擇了其他用戶的郵箱或可能存儲了敏感郵件的不安全郵箱。

大型郵箱存儲配額??

目標郵箱應能夠存儲就地電子數據展示搜索可能返回的大量郵件數據。默認情況下，發現郵箱的郵箱存儲配額為 50 千兆字節 (GB)。不能增加此存儲配額。

默認情況下更加安全??

與所有郵箱類型一樣，發現郵箱具有關聯的 Active Directory 用戶帳戶。但是默認情況下，此帳戶為禁用狀態。只有被顯式授權訪問發現郵箱的用戶可以訪問。發現管理角色組的成員具有對默認發現郵箱的完全訪問權限。對于您創建的任何其他發現郵箱，未將郵箱訪問權限分配給任何用戶。

電子郵件傳遞已禁用??

雖然電子郵件在 Exchange 地址列表中可見，但用戶不能將其發送至發現郵箱。使用傳遞限制來禁止對發現郵箱進行電子郵件傳遞。這可保持復制到發現郵箱的搜索結果的完整性。

?

Exchange2013 安裝程序會創建一個顯示名為“發現搜索郵箱”的發現郵箱。可以使用命令行管理程序創建其他發現郵箱。默認情況下，創建的發現郵箱不會分配任何郵箱訪問權限。可以為發現管理員分配完全訪問權限以訪問復制到發現郵箱的郵件。有關詳細信息，請參閱創建發現郵箱。

就地電子數據展示還使用顯示名為“SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}”的系統郵箱來保留就地電子數據展示元數據。系統郵箱在 EAC 或 Exchange 地址列表中不可見。在內部部署組織中，在刪除就地電子數據展示系統郵箱所在的郵箱數據庫之前，必須將該郵箱移動到其他郵箱數據庫。如果刪除或損壞了該郵箱，則發現管理員無法執行電子數據展示搜索，直到重新創建該郵箱。有關詳細信息，請參閱重新創建發現系統郵箱。

https://technet.microsoft.com/zh-CN/library/gg588318(v=exchg.150).aspx

我們也可以新建一個發現郵箱用于存儲信息，命令如下：

New-Mailboxdiscoverymailbox01 -Discovery -UserPrincipalNamediscoverymailbox01@corp.robin.com

在ADUC界面下，可以看到用戶是處于禁用狀態的：

要列出所有的發現郵箱，使用如下命令：

Get-Mailbox| Where {$_.RecipientTypeDetails –eq 'DiscoveryMailbox'}

9.2.4 搜索郵箱

已添加至發現管理角色組的用戶可以執行就地電子數據展示搜索。可以在 EAC 中使用基于 Web 的界面執行搜索。這可以使非技術人員（如記錄管理員、合規事務主管或是法律和 HR 專家）可以更加輕松地使用就地電子數據展示。還可以使用命令行管理程序執行搜索。

EAC中的“就地電子數據展示和保留”向導使您可以創建就地電子數據展示搜索，還可使用就地保留將搜索結果置于保留狀態。在創建就地電子數據展示搜索時，會在就地電子數據展示系統郵箱中創建搜索對象。可以通過操縱該對象來啟動、停止、修改或刪除搜索。在創建搜索之后，可以選擇獲取搜索結果的估計，這包括可幫助確定查詢有效性的關鍵字統計信息。還可以對搜索中返回的項目進行實時預覽，從而使您可以查看郵件內容、從每個源郵箱返回的郵件數以及郵件總數。可以使用此信息在需要時進一步微調查詢。

當對搜索結果滿意時，可以將結果復制到發現郵箱。還可以使用 EAC 或 Outlook 將發現郵箱或其中部分內容導出到 PST 文件。

當創建就地電子數據展示搜索時，必須指定以下參數：

名稱??

搜索名稱用于標識搜索。當將搜索結果復制到發現郵箱時，會通過使用以唯一方式標識發現郵箱中的搜索結果的搜索名稱和時間戳，在發現郵箱中創建文件夾。

郵箱??

可以選擇搜索 Exchange 2013 組織中的所有郵箱或指定要搜索的郵箱。如果還要使用相同搜索將項目置于保留狀態，則必須指定郵箱。可以指定一個通訊組，以包含作為該組成員的郵箱用戶。組的成員資格會在創建搜索時一次性進行計算，對組成員資格的后續更改不會自動反映在搜索中。用戶的主郵箱和存檔郵箱包含在搜索中。

搜索查詢?? 可以包含指定郵箱中的所有郵箱內容，或使用搜索查詢返回與案例或調查更加相關的項目。可以在搜索查詢中指定以下參數：

關鍵字??

可以指定關鍵字和短語來搜索郵件內容。還可以使用邏輯運算符 AND、OR 和 NOT。此外，Exchange 2013 還支持 NEAR 運算符，從而使您可以搜索與另一個單詞或短語接近的單詞或短語。

若要搜索包含多個單詞的短語的完全匹配項，必須在該短語前后加上引號。例如，搜索短語“plan and competition”將返回包含該短語的完全匹配項的郵件，而指定“planAND competition”則將返回在郵件中任何位置包含單詞“plan”和“competition”的郵件。

Exchange2013 還支持將關鍵字查詢語言 (KQL) 語法用于就地電子數據展示搜索。

注意：

就地電子數據展示不支持正則表達式。?

邏輯運算符必須使用大寫，以將其作為運算符而非關鍵字處理，例如 AND 和 OR。我們建議對任何混用多個邏輯運算符的查詢使用顯式圓括號，以避免出現錯誤或誤解。例如，如果要搜索包含 WordA 或 WordB 以及WordC 或 WordD 的郵件，則必須使用 (WordAOR WordB) AND (WordC OR WordD)。

開始日期和結束日期?

?默認情況下，就地電子數據展示不按日期范圍限制搜索。若要搜索特定日期范圍內發送的郵件，可以通過指定開始和結束日期來縮小搜索范圍。如果不指定結束日期，則每次重新啟動搜索時將返回最新結果。

發件人和收件人??

若要縮小搜索范圍，可以指定郵件的發件人或收件人。可以使用電子郵件地址、顯示名稱或域名來搜索發送到或發送自域中每個用戶的項目。例如，若要查找由任何用戶發送到或發送自 Contoso, Ltd. 的電子郵件，請在 EAC 的“發件人”或“收件人/抄送”字段中指定“@contoso.com”。還可以在命令行管理程序的 Senders 或 Recipients 參數中指定“@contoso.com”。

郵件類型??

默認情況下，搜索所有郵件類型。可以通過選擇特定的郵件類型（如電子郵件、聯系人、文檔、日記、會議、便箋和 Lync 內容）來限制搜索。

其它選項可以參考Technet官網：

https://technet.microsoft.com/zh-CN/library/dd298021(v=exchg.150).aspx

下面依照步驟在EAC界面執行一次郵箱搜索：

使用EdiscoveryAdmin登陸到ECP界面

2、定位到合規性管理，點擊”+“按鈕，在名稱欄中輸入可辨別的名稱，點擊”下一步“

3、選擇要搜索的郵件，我這里選擇所有郵箱,點擊”下一步“

4、?在基于條件篩選中輸入關鍵字，點擊下一步

5、點擊”完成“

6、可以看到狀態顯示：估計正在進行

稍等搜索完成

點擊預覽搜索結果

點擊復制搜索結果

點擊瀏覽

選擇創建的發現郵箱

點擊復制按鈕

7、授予用戶完全訪問發現郵箱
命令如下：
Add-MailboxPermission discoverymailbox01 -User robin.pang -Acce***ights FullAccess

打開Robin.pang賬戶的OUTLOOK，可以看到發現郵箱

可以看到搜索的郵箱的具體信息

也可以直接點擊“打開”按鈕進行OWA查看

登陸到授予訪問權限的賬號，我這里還是robin.pang的賬號登陸查看

下面使用EMS的方式實現一下郵箱的搜索：

命令如下：

New-MailboxSearch DiscoverySearch02 -StartDate 1/1/2015 -EndDate1/1/2016 -SourceMailboxes robin.pang -TargetMailbox Discoverymailbox01-SearchQuery 'discovery' -MessageTypes Email

在ECP下，可以看到干剛使用EMS創建的搜索規則

搜索完后，可以在授予訪問權限的用戶OUTLOOK或OWA下看到

最后，執行完搜索后，我們可以執行刪除操作，可以使用如下命令：

Search-Mailbox–Identity Discoverymailbox01 –DeleteContent

轉載于:https://blog.51cto.com/winteragain/1633638

總結

以上是生活随笔為你收集整理的Exchange Server 2013就地电子数据展示的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。