Découverte électronique sur place et archive permanente dans le nouvel Exchange - Deuxième partie
Article d’origine publié le samedi 29 septembre 2012
Dans la première partie de ce billet, nous avons abordé les nouveautés de la découverte électronique sur place dans le nouvel Exchange. Dans ce billet, nous allons voir comment le nouvel Exchange conserve les données de façon permanente.
L’une des premières mesures que vous devez prendre quand existe une attente probable de litige ou que vous recevez une réponse à une demande de découverte électronique est de préserver les enregistrements de messagerie afin de pouvoir les produire en cas de nécessité. Avant Exchange 2010, cette tâche était généralement exécutée à l’aide de différentes méthodes, y compris l’archivage des données sur un système externe, la suspension du mécanisme de suppression automatique (comme la gestion des enregistrements de messagerie d’Exchange) ou, dans certains cas, en demandant aux utilisateurs de ne pas supprimer les enregistrements.
L’échec de la conservation des enregistrements requis pour le litige peut exposer votre organisation à des risques légaux et financiers.
Dans Exchange 2010 et Office 365, nous avons introduit la suspension pour litige afin de vous permettre de conserver les enregistrements de messagerie. La suspension pour litige est une propriété de boîte aux lettres – le placement d’une boîte aux lettres en suspension pour litige place tous les éléments de la boîte aux lettres en suspension indéfinie (ou jusqu’à ce que la suspension soit annulée), ce qui se traduit par la présence d’un volume important de données – dont certaines n’ont peut-être pas à être conservées.
Dans le nouvel Exchange, vous pouvez utiliser l’archive permanente pour conserver les éléments de façon définitive. L’archive permanente est intégrée à la découverte électronique sur place, ce qui vous permet à la fois d’effectuer des recherches et de suspendre à partir de la même interface et des mêmes paramètres de requête. Vous pouvez utiliser l’archive permanente dans les scénarios suivants.
Suspension indéfinie : vous pouvez créer une archive permanente sans paramètres de requête et sans durée de suspension afin de conserver tous les éléments d’une boîte aux lettres indéfiniment ou jusqu’à ce que la suspension soit annulée. Cette option émule le comportement d’une suspension pour litige.
Suspension sur requête : avec l’archive permanente, vous pouvez créer une requête de recherche et spécifier les boîtes aux lettres sources et les paramètres tels que mots clés, expéditeurs et destinataires, et dates de début et dates de fin. Vous pouvez aussi spécifier le type d’éléments à rechercher – messages électroniques, éléments de calendrier tels que réunions et rendez-vous, tâches, notes ou contenu Lync archivé dans les boîtes aux lettres Exchange.
Suspension limitée : alors que la suspension pour litige plaçait tout le contenu des boîtes aux lettres en suspension soit de façon indéfinie soit jusqu’à annulation de la suspension, l’archive permanente permet de spécifier la durée pendant laquelle les éléments doivent être suspendus. La durée est calculée à partie de la date de réception ou de la date à laquelle l’élément a été créé dans la boîte aux lettres (pour les éléments comme les rendez-vous, les tâches et les notes qui n’ont pas été envoyés/reçus).
L’une des demandes de fonctionnalité les plus courantes dans Exchange 2010 était de pouvoir spécifier une durée définie pendant laquelle un élément était conservé. Alors que les stratégies de rétention permettent de spécifier le cycle de vie des courriers électronique et de supprimer automatiquement les éléments quand la durée spécifiée est atteinte, elles ne garantissent pas la rétention durant cette période. Autrement dit, vous pouvez spécifier que les éléments seront conservés pendant un maximum de 7 années, mais vous ne pouvez pas garantir qu’ils ne seront pas supprimés par un utilisateur ou par un processus avant la fin de cette période.
La solution de contournement communément proposée pour satisfaire cette exigence consistait à définir la période Récupération des éléments supprimés avec la durée minimale pendant laquelle vous souhaitiez qu’un élément soit conservé. Dans cet exemple, la définition de la période de rétention des éléments supprimés sur 7 années signifie que si un utilisateur supprime un élément avant 7 années, il est conservé dans le dossier Éléments récupérables pendant 7 années. Cependant, la période Rétention des éléments supprimés est calculée à partir de la date de suppression. Si un utilisateur supprime un élément après 6 années, il est conservé pendant 7 années supplémentaires dans le dossier Éléments récupérables, soit une période totale de rétention de 13 années. Autrement dit, vous pouvez garantir qu’un élément sera conservé pendant un minimum de 7 années, mais non pendant la période de rétention maximale.
Dans le nouvel Exchange, lorsque vous créez une archive permanente fondée sur la durée, comme la période de suspension est calculée à partir de la date de réception/création de l’élément, vous pouvez garantir que l’élément ne sera pas conservé au-delà de cette période. Il est possible d’associer une archive permanente fondée sur la durée et une stratégie de rétention (qui possède une seule balise de stratégie par défaut) pour s’assurer que les éléments de la boîte aux lettres sont supprimés par l’Assistant Dossier géré au bout de 7 ans et que les éléments supprimés avant cette date par un utilisateur ou un processus sont conservés pendant au moins la durée spécifiée.
Vous pouvez aussi combiner une archive permanente fondée sur les requêtes et une suspension basée sur la durée pour conserver les éléments correspondant aux paramètres de la requête pendant la période spécifiée. Il est également possible de placer un utilisateur en plusieurs suspensions – par exemple, quand une boîte aux lettres contient des enregistrements appartenant à plusieurs cas ou investigations.
Archive permanente et autorisations
Comme dans le cas de la découverte électronique sur place, l’archive permanente peut être utilisée par les utilisateurs autorisés titulaires de l’autorisation déléguée Gestion de la découverte. Cependant, il y a une petite subtilité. Le groupe de rôles Gestion de la découverte se voit attribuer les rôles de gestion Recherche de boîte aux lettres et Suspension pour litige. Le premier rôle permet à un utilisateur autorisé de créer une recherche de boîte aux lettres pour la découverte électronique sur place et l’archive permanente. Le second rôle permet de placer effectivement le contenu de boîte aux lettres en suspension.
Si un utilisateur se voit seulement affecter le rôle Suspension pour litige, par exemple en créant un groupe de rôles RBAC (contrôle d’accès basé sur un rôle) ou via l’appartenance à un groupe de rôles tel que Gestion de l’organisation auquel le rôle Suspension pour litige est attribué, l’utilisateur peut utiliser l’archive permanente – mais uniquement pour placer tout le contenu de boîte aux lettres en suspension. L’utilisateur ne peut pas spécifier de paramètres de requête. Autrement dit, il ne peut pas créer d’archive permanente fondée sur une requête.
Création d’une archive permanente
Revenons sur la requête créée par Robin dans la première partie de ce billet. Lors de la création de l’archive permanente, sur la page Boîtes aux lettres, Robin doit activer Spécifier les boîtes aux lettres à rechercher et sélectionner les boîtes aux lettres ou groupes de distribution. Si elle sélectionne Rechercher dans toutes les boîtes aux lettres, l’option permettant de placer le contenu en suspension n’est pas disponible.
Vous devez spécifier les boîtes aux lettres ou groupes de distribution à suspendre. Si vous sélectionnez Rechercher dans toutes les boîtes aux lettres, l’option permettant de suspendre le contenu n’est pas disponible.
Figure 1 : pour créer une archive permanente, vous devez sélectionner Spécifier les boîtes aux lettres à rechercher.
Remarque : si vous sélectionnez un groupe de distribution, la suspension s’applique à tous les utilisateurs de boîtes aux lettres qui sont membres du groupe à la création de la suspension.
Sur la page Requête de recherche, Robin peut utiliser la même requête pour la découverte électronique sur place.
Figure 2 : les messages correspondant aux paramètres de la requête sont conservés.
Elle peut aussi sélectionner les types de messages à suspendre.
Figure 3 : vous pouvez spécifier si vous suspendez tout ou partie seulement des types de messages.
Suspension du contenu Lync archivé
Si le nouveau Lync est activé pour archiver les messages instantanés et le contenu des réunions dans le nouvel Exchange, le contenu Lync est archivé dans la boîte aux lettres de l’utilisateur et automatiquement suspendu. Vous devez à cette fin configurer l’authentification OAuth entre Lync et Exchange. En outre, la boîte aux lettres doit se trouver sur un serveur de boîtes aux lettres du nouvel Exchange.
Sur la page Paramètres de l’archive permanente, Robin choisit l’option de suspendre le contenu correspondant à la requête de recherche dans les boîtes aux lettres sélectionnées. Elle peut, ensuite, sélectionner Conserver indéfiniment pour archiver indéfiniment le contenu (ou jusqu’à ce que l’archive permanente soit supprimée ou qu’une boîte aux lettres soit supprimée de la recherche). Pour conserver les éléments pendant une période spécifique, Robin peut sélectionner Spécifier le nombre relatif de jours pendant lequel conserver les éléments en fonction de leur date de réception et indiquer le nombre de jours.
Figure 4 : vous pouvez spécifier une durée de suspension ou suspendre les éléments indéfiniment.
Il importe de répéter ici que pour la conservation fondée sur la durée, celle-ci est calculée à partir de la date de réception/création du message.
Fonctionnement de l’archive permanente
Examinons de plus près ce qui se passe.
Quand un utilisateur supprime un message, celui-ci aboutit dans le dossier Éléments supprimés. Quand le dossier Éléments supprimés est vidé ou que des messages en sont supprimés, ou que l’utilisateur supprime un message avec Maj-Suppr, les messages se retrouvent dans le dossier Éléments récupérables\Suppressions. Le contenu de ce dossier apparaît quand l’utilisateur choisit Récupérer les éléments supprimés dans Outlook ou Outlook Web App.
Si l’utilisateur ne fait rien, les messages du dossier Suppressions sont vidés quand expire la période de rétention des éléments supprimés configurée pour l’utilisateur ou la base de données de boîtes aux lettres.
Si l’utilisateur supprime un message de sa vue, un certain nombre de choses peuvent se produire :
Si l’option Récupération d’élément unique est activée pour la boîte aux lettres, l’élément est déplacé vers le dossier Éléments récupérables\Purges et conservé jusqu’à ce qu’expire la période de rétention des éléments supprimés. L’administrateur a ainsi la possibilité de récupérer les éléments sans avoir à passer par les sauvegardes.
Si la boîte aux lettres est placée en suspension pour litige, les éléments sont déplacés vers le dossier Éléments récupérables\Purges et conservés jusqu’à l’annulation de la suspension.
Si la boîte aux lettres est placée en archive permanente, l’élément est déplacé vers le dossier Éléments récupérables\DiscoveryHolds.
Figure 5 : les éléments supprimés et les copies originales des éléments modifiés sont conservés dans le dossier Éléments récupérables de chaque boîte aux lettres.
Quand l’MFA, en charge des boîtes aux lettres et de l’expiration du contenu, traite la boîte aux lettres, il vérifie que les messages satisfont aux paramètres de requête de toute archive permanente à laquelle est confronté l’utilisateur. Cette évaluation a lieu jusqu’à 5 requêtes au plus, nombre au-delà duquel tous les éléments sont conservés – émulant ainsi le même comportement que la suspension pour litige. Si le nombre est inférieur à 5, l’Assistant Dossier géré rétablit le comportement d’archive permanente fondée sur les requêtes.
Quand l’archive permanente est supprimée, les messages placés en suspension sont supprimés s’ils ne correspondent plus aux paramètres de requête de n’importe quelle autre archive permanente à laquelle l’utilisateur peut être confronté.
Archive permanente et immuabilité
Quand on évoque la préservation, le concept d’immuabilité apparaît invariablement. L’immuabilité signifie que les messages placés en suspension doivent être conservés sans aucune modification. Non seulement ils doivent être protégés de toute suppression (même si l’utilisateur suspendu croit que le message a été purgé avec succès), mais aussi de toute falsification ou modification. L’immuabilité n’est pas une fonction du produit, mais la combinaison d’une fonctionnalité et des traitements de suspension que votre organisation implémente.
L’archive permanente vous permet aussi de préserver votre contenu contre toute modification intentionnelle ou pas. À cette fin, vous exécutez une opération de copie sur écriture (COW) – quand l’utilisateur ou un traitement tente de modifier un message, avant que le message modifié ne soit enregistré, il est procédé à une copie du message original, qui est enregistrée dans le dossier Éléments récupérables\Versions. Les éléments capturés du dossier Versions sont également indexés et retournés lors d’une recherche de découverte électronique sur place. Quand la suspension est annulée, les copies faites dans le dossier Versions sont aussi supprimées par l’Assistant Dossier géré.
Ensemble, l’archive permanente et la découverte électronique sur place fournissent aux ressources autorisées, qu’elles soient juridiques, issues des ressources humaines ou en provenance de personnels non techniques, un mécanisme simple d’utilisation pour rechercher simplement les enregistrements de messagerie et les conserver de façon immuable.
Bharat Suneja et Julian Zbogar-Smith
Ceci est une version localisée d’un billet de blog. L’article d’origine est disponible sur la page In-Place eDiscovery and In-Place Hold in the New Exchange - Part II