eDiscovery sul posto e Archiviazione sul posto nel nuovo Exchange - Parte 2
Articolo originale pubblicato sabato 29 settembre 2012
Nella Parte 1 di questo post abbiamo descritto le novità di eDiscovery sul posto nel nuovo Exchange. In questo post esamineremo il modo in cui vengono conservati i dati invariati nel nuovo Exchange.
Uno dei primi passaggi da eseguire in previsione di una possibile controversia legale o per gestire una richiesta di eDiscovery consiste nel mantenere i record di messaggistica in modo da poterli produrre quando richiesto. Nelle versioni precedenti a Exchange 2010 questa operazione viene eseguita in genere utilizzando metodi diversi, ad esempio archiviando i dati in un sistema esterno, sospendendo il meccanismo di eliminazione automatizzata (come Gestione record di messaggistica di Exchange) oppure in alcuni casi indicando agli utenti di non eliminare i record.
La non conservazione dei record necessari in caso di controversia legale può esporre l'organizzazione a rischi di carattere legale e finanziario.
In Exchange 2010 e Office 365 abbiamo introdotto la funzionalità Conservazione per controversia legale per consentire di mantenere i record di messaggistica. Si tratta di una proprietà della cassetta postale: attivando in una cassetta postale la conservazione per controversia legale, tutti gli elementi inclusi nella cassetta postale vengono conservati a tempo indeterminato (o finché non viene rimossa questa proprietà) con il conseguente accumulo di un elevato volume di dati, alcuni dei quali potrebbero non essere necessari.
Nel nuovo Exchange è possibile utilizzare Archiviazione sul posto per conservare gli elementi invariati. Questa funzionalità è integrata con eDiscovery sul posto e consente di eseguire sia la ricerca che l'archiviazione e la conservazione utilizzando la stessa interfaccia e gli stessi parametri di query. È possibile utilizzare Archiviazione sul posto negli scenari seguenti.
Conservazione illimitata: è possibile attivare Archiviazione sul posto senza parametri di query e senza specificare una durata per mantenere tutti gli elementi di una cassetta postale senza limiti di tempo oppure finché non viene rimossa questa proprietà. In questo modo viene emulato il comportamento della conservazione per controversia legale.
Conservazione basata su query: utilizzando Archiviazione sul posto, è possibile creare una query di ricerca e specificare le cassette postali di origine e parametri quali parole chiave, mittenti e destinatari, nonché la data di inizio e di fine. È inoltre possibile specificare il tipo di elementi in cui eseguire la ricerca, ovvero messaggi di posta elettronica, elementi di calendario quali riunioni e appuntamenti, attività, note o contenuto di Lync archiviato nelle cassette postali di Exchange.
Conservazione con limite di tempo: mentre la conservazione per controversia legale archivia tutto il contenuto delle cassette postali a tempo indeterminato oppure finché non si rimuove questa proprietà, Archiviazione sul posto consente di specificare per quanto tempo devono essere mantenuti gli elementi. Il tempo viene calcolato in base alla data di ricezione o alla data di creazione dell'elemento nella cassetta postale (per gli elementi che non vengono inviati o ricevuti, ad esempio gli appuntamenti, le attività e le note).
Una delle richieste di nuove funzionalità più comuni ricevute per Exchange 2010 è stata la possibilità di specificare un determinato periodo di tempo per il mantenimento di un elemento. Anche se i criteri di conservazione consentono di specificare il ciclo di vita della posta elettronica e di eliminare automaticamente gli elementi quando viene raggiunto il periodo specificato, non viene garantita la conservazione dell'elemento nel periodo di tempo indicato. In altri termini, pur specificando che gli elementi devono essere mantenuti per un massimo di sette anni, non è possibile garantire che gli elementi non vengano eliminati prima da un utente o da un processo.
Per ovviare a questo problema e soddisfare questo requisito, nelle versioni precedenti è possibile configurare Mantenimento elementi eliminati specificando il periodo minimo per cui si desidera mantenere un elemento. Supponendo che venga impostato un periodo di sette anni, se un utente elimina un elemento prima della scadenza dei sette anni, tale elemento verrà mantenuto nella cartella Elementi ripristinabili per sette anni. Il periodo specificato per Mantenimento elementi eliminati però viene calcolato a partire dalla data dell'eliminazione. Se un utente elimina un elemento dopo sei anni, questo verrà mantenuto per altri sette anni nella cartella Elementi ripristinabili per un periodo totale di mantenimento di 13 anni. In altre parole, è possibile garantire che un elemento venga mantenuto per almeno sette anni, ma non è possibile specificare il periodo di mantenimento massimo.
Quando si configura una conservazione con limite di tempo nel nuovo Exchange, poiché il periodo di conservazione viene calcolato a partire dalla data di ricezione/creazione dell'elemento, è possibile garantire che l'elemento non verrà mantenuto oltre tale periodo. È possibile combinare la conservazione con limite di tempo e criteri di conservazione (con un singolo contrassegno di criteri predefinito) in modo che gli elementi della cassetta postale vengano eliminati dall'Assistente cartelle gestite dopo sette anni e che gli elementi eliminati da un utente o da un processo prima della scadenza di tale periodo vengano mantenuti almeno per la durata specificata.
È inoltre possibile combinare la conservazione basata su query con la conservazione con limite di tempo per mantenere gli elementi che soddisfano determinati parametri di query per il periodo specificato. È possibile infine attivare più tipi di conservazione per un utente, ad esempio se una cassetta postale include record appartenenti a più casi o indagini.
Archiviazione sul posto e autorizzazioni
Analogamente a eDiscovery sul posto, la funzionalità Archiviazione sul posto può essere utilizzata da utenti con delega dell'autorizzazione Gestione individuazione. Esiste tuttavia una piccola differenza. Al gruppo di ruoli Gestione individuazione sono assegnati i ruoli di gestione Ricerca cassetta postale e Conservazione per controversia legale. Il primo consente a un utente autorizzato di creare una ricerca nelle cassette postali per eDiscovery sul posto e Archiviazione sul posto. Il secondo consente effettivamente di conservare il contenuto delle casette postali.
Se a un utente viene assegnato solo il ruolo Conservazione per controversia legale, ad esempio creando un gruppo di ruoli con controllo di accesso basato sui ruoli oppure mediante l'appartenenza a un gruppo di ruoli come Gestione dell'organizzazione, a cui è assegnato il ruolo Conservazione per controversia legale, tale utente potrà utilizzare Archiviazione sul posto, ma solo per conservare tutto il contenuto delle cassette postali. Non potrà invece specificare parametri di query, ovvero non potrà creare una conservazione basata su query.
Creazione di un'archiviazione sul posto
Torniamo alla query creata da Robin nella Parte 1 di questo post. Per creare l'archiviazione sul posto, nella pagina Cassette postali (Mailboxes) Robin deve selezionare Specifica cassette postali per la ricerca (Specify mailboxes to search) e indicare le cassette postali o i gruppi di distribuzione. Se seleziona Cerca in tutte le cassette postali(Search all mailboxes), l'opzione per la conservazione del contenuto non sarà disponibile.
È necessario specificare le cassette postali o i gruppi di distribuzione per cui attivare la conservazione. Se si seleziona Cerca in tutte le cassette postali (Search all mailboxes), l'opzione per la conservazione del contenuto non sarà disponibile.
Figura 1: per creare un'archiviazione sul posto, è necessario selezionare Specifica cassette postali per la ricerca (Specify mailboxes to search)
Nota: se si seleziona un gruppo di distribuzione, la conservazione si applica agli utenti delle cassette postali che erano membri del gruppo al momento dell'attivazione della conservazione.
Nella pagina Query di ricerca (Search query) Robin può utilizzare la stessa query utilizzata per eDiscovery sul posto.
Figura 2: i messaggi che soddisfano i parametri di query vengono mantenuti
Robin può selezionare inoltre i tipi di messaggi da mantenere.
Figura 3: è possibile specificare i tipi di messaggi da mantenere oppure indicare che devono essere mantenuti tutti i tipi di messaggi
Conservazione di contenuto di Lync salvato
Se il nuovo Lync è abilitato per l'archiviazione del contenuto delle riunioni e della messaggistica istantanea nel nuovo Exchange, tale contenuto verrà archiviato nella cassetta postale dell'utente e conservato automaticamente. È necessario configurare l'autenticazione OAuth tra Lync ed Exchange per abilitare questo comportamento. La cassetta postale inoltre deve essere posizionata in un server di cassette postali nel nuovo Exchange.
Nella pagina Impostazioni archiviazione sul posto (In-Place Hold settings) Robin seleziona l'opzione Conserva il contenuto delle cassette postali che soddisfa la query di ricerca (Place content matching the search query in selected mailboxes on hold). Può quindi selezionare In mantenimento illimitato (Hold indefinitely) per conservare il contenuto per un tempo illimitato oppure finché non viene disabilitata Archiviazione sul posto o non viene rimossa una cassetta postale dalla ricerca. Per conservare gli elementi per un periodo specifico, può selezionare Specifica per quanti giorni conservare gli elementi rispetto alla data di ricezione (Specify number of days to hold items relative to their received date) e specificare il numero di giorni.
Figura 4: è possibile specificare una durata per la conservazione oppure indicare di conservare gli elementi per un tempo illimitato
È importante ribadire che per la conservazione con limite di tempo, la durata viene calcolata a partire dalla data di ricezione/creazione di un messaggio.
Funzionamento di Archiviazione sul posto
Esaminiamo cosa accade nella parte non visibile all'utente.
Un messaggio eliminato da un utente viene spostato nella cartella Elementi eliminati. Quando questa cartella viene svuotata o vengono eliminati i messaggi in essa contenuti oppure quando l'utente utilizza MAIUSC-CANC per eliminare un messaggio, l'elemento o gli elementi vengono spostati nella cartella Elementi ripristinabili\Deletes. Il contenuto di questa cartella viene esposto quando l'utente utilizza Recupera posta eliminata in Outlook o in Outlook Web App.
Se l'utente non esegue alcuna azione, i messaggi della cartella Deletes vengono eliminati alla scadenza del periodo specificato in Mantenimento elementi eliminati per il database delle cassette postali o per l'utente.
Se l'utente elimina un messaggio da questa visualizzazione, si verifica quanto segue:
Se per la cassetta postale è abilitata l'impostazione di ripristino di un singolo elemento, l'elemento viene spostato nella cartella Elementi ripristinabili\Purgese mantenuto fino alla scadenza del periodo specificato in Mantenimento elementi eliminati. In questo modo l'amministratore ha la possibilità di ripristinare gli elementi senza dover ricorrere alle copie di backup.
Se per la cassetta postale è attivata la conservazione per controversia legale, gli elementi vengono spostati nella cartella Elementi ripristinabili\Purgese mantenuti finché non viene disattivata la conservazione.
Se per la cassetta postale è attivata la funzionalità Archiviazione sul posto, l'elemento viene spostato nella cartella Elementi ripristinabili\DiscoveryHolds.
Figura 5: gli elementi eliminati e le copie originali di elementi modificati vengono conservati nella cartella Elementi ripristinabili di ogni cassetta postale
Quando la cassetta postale viene elaborata dall'Assistente cartelle gestite, un'applicazione che elabora le cassette postali e determina la scadenza del contenuto, viene verificato se i messaggi soddisfano i parametri di query delle archiviazioni sul posto attivate dal'utente. Questa valutazione viene effettuata per un massimo di cinque query, oltre il quale vengono mantenuti tutti gli elementi, con un comportamento analogo alla conservazione per controversia legale. Se il numero di archiviazioni sul posto è inferiore a cinque, l'Assistente cartelle gestite ritorna al comportamento della conservazione basata su query.
Quando viene disabilitata Archiviazione sul posto, i messaggi conservati vengono rimossi se non soddisfano più i parametri di query di altre archiviazioni sul posto eventualmente abilitate dall'utente.
Archiviazione sul posto e inalterabilità
Il concetto di mantenimento di dati è strettamente correlato a quello di inalterabilità. Per inalterabilità si intende che i messaggi conservati devono essere mantenuti senza modifiche. Non devono essere protetti solo dall'eliminazione (anche quando l'utente i cui dati sono soggetti a conservazione ritiene di aver eliminato il messaggio), ma anche da modifiche o manomissioni. L'inalterabilità non è una funzionalità del prodotto, ma è piuttosto una combinazione di funzionalità e di processi di conservazione implementati dall'organizzazione.
Archiviazione sul posto consente inoltre di proteggere il contenuto da modifiche o manomissioni intenzionali. Questo risultato si ottiene eseguendo un'operazione di copia a operazione di scrittura (Copy-On-Write, COW). Quando l'utente o un processo tenta di modificare un messaggio, prima del salvataggio del messaggio modificato viene salvata una copia del messaggio originale nella cartella Elementi ripristinabili\Versions. Anche gli elementi acquisiti nella cartella Versions vengono indicizzati e restituiti in una ricerca eDiscovery sul posto. Quando viene disabilitata la conservazione, vengono rimosse dall'Assistente cartelle gestite anche le copie create nella cartella Versions.
Utilizzate insieme, le funzionalità Archiviazione sul posto ed eDiscovery sul posto offrono un meccanismo di facile utilizzo che consente a personale autorizzato dell'ufficio legale, delle risorse umane o di altri reparti non tecnici di eseguire ricerche nei record di messaggistica e di conservarli immutati nel tempo.
Bharat Suneja e Julian Zbogar-Smith
Questo è un post di blog localizzato. L'articolo originale è disponibile in In-Place eDiscovery and In-Place Hold in the New Exchange – Part II.