In-Place eDiscovery en Exchange Server
Si su organización cumple los requisitos de detección legales (relacionados con la directiva de la organización, el cumplimiento o las demandas), In-Place eDiscovery en Exchange Server puede ayudarle a realizar búsquedas de detección de contenido relevante en buzones de correo. También puede usar la exhibición de documentos electrónicos local en un entorno híbrido de Exchange para buscar en buzones locales y de nube en la misma búsqueda.
Importante
In-Place eDiscovery es una característica eficaz que permite a un usuario con los permisos correctos obtener potencialmente acceso a todos los registros de mensajería almacenados en toda la organización Exchange Server. Es importante controlar y supervisar las actividades de detección, como la incorporación de miembros al grupo de roles de administración de detección, la asignación del rol de administración de búsqueda de buzones y la asignación de permisos de acceso a los buzones para buzones de detección.
Cómo funciona la exhibición de documentos electrónicos local
La exhibición de documentos electrónicos local usa los índices de contenido creados por Exchange Search. La Access Control basada en roles (RBAC) proporciona el grupo de roles administración de detección para delegar tareas de detección al personal no técnico, sin necesidad de proporcionar privilegios elevados que permitan a un usuario realizar cambios operativos en la configuración de Exchange. El Centro de administración de Exchange (EAC) proporciona una interfaz de búsqueda fácil de usar para el personal no técnico, como funcionarios legales y de cumplimiento, administradores de registros y profesionales de recursos humanos.
Para realizar una búsqueda de exhibición de documentos electrónicos local, los usuarios autorizados seleccionan los buzones y, después, especifican criterios clave como palabras clave, fechas de inicio y finalización, direcciones de remitentes y destinatarios, y tipos de mensaje. Una vez completada la búsqueda, los usuarios autorizados pueden seleccionar una de las siguientes acciones:
Estimación de los resultados de la búsqueda : esta opción devuelve una estimación del tamaño total y el número de elementos que devolverá la búsqueda en función de los criterios especificados.
Vista previa de los resultados de búsqueda : esta opción proporciona una vista previa de los resultados. Se muestran los mensajes devueltos de cada buzón en el que se realizó la búsqueda.
Copiar resultados de búsqueda : esta opción le permite copiar mensajes en un buzón de detección.
Exportar resultados de búsqueda : después de copiar los resultados de búsqueda en un buzón de detección, puede exportarlos a un archivo PST.
La exhibición de documentos electrónicos local usa el lenguaje de consulta de palabras clave (KQL). Los usuarios familiarizados con KQL pueden crear consultas de búsqueda eficaces para buscar índices de contenido. Para obtener más información sobre KQL, vea Referencia de sintaxis del lenguaje de consulta de palabras clave.
In-Place permisos de eDiscovery
Para que los usuarios autorizados realicen In-Place búsquedas de eDiscovery, debe agregarlas al grupo de roles Administración de detección . Este grupo de roles consta de dos roles de administración: el rol de búsqueda de buzón, que permite a un usuario realizar una búsqueda In-Place eDiscovery, y el rol de suspensión legal, que permite a un usuario colocar un buzón en In-Place suspensión y suspensión por juicio.
De forma predeterminada, los permisos para realizar tareas relacionadas con la exhibición de documentos electrónicos local no se asignan a ningún usuario ni a ningún administrador de Exchange. Los administradores de Exchange que son miembros del grupo de roles de administración de la organización pueden agregar usuarios al grupo de roles de administración de detección y crear así grupos de roles personalizados para limitar el ámbito de los administradores de detección respecto a un subconjunto de usuarios. Para obtener más información sobre cómo agregar usuarios al grupo de roles administración de detección, consulte Asignación de permisos de exhibición de documentos electrónicos en Exchange Server.
Importante
Si un usuario no se agrega al grupo de roles Administración de detección o no tiene asignado el rol De búsqueda de buzones, la interfaz de usuario Detección local & mantener no se muestra en el EAC y los cmdlets In-Place eDiscovery (*MailboxSearch) no están disponibles en el Shell de administración de Exchange.
La auditoría de los cambios de roles de RBAC, que se habilita de forma predeterminada, garantiza que se conserven los registros adecuados para realizar un seguimiento del grupo de roles de administración de detección. Puede usar el informe de grupo de roles de administrador para buscar los cambios realizados en los grupos de roles de administrador. Para obtener más información, vea Search the role group changes or administrator audit logs.
Uso de la exhibición de documentos electrónicos local
Los usuarios que se han agregado al grupo de roles Administración de detección pueden realizar In-Place búsquedas de eDiscovery. Puede realizar una búsqueda mediante la interfaz basada en web en el EAC. Esto facilita a los usuarios no técnicos, como los administradores de registros, los responsables de cumplimiento normativo o los profesionales legales y de recursos humanos, el uso de In-Place eDiscovery. También puede usar el Shell de administración de Exchange para realizar una búsqueda. Para obtener más información, consulte Creación de una búsqueda de eDiscovery In-Place en Exchange Server
El asistente para la suspensión y exhibición de documentos electrónicos local del EAC permite crear una búsqueda de exhibición de documentos electrónicos local y usar la retención local para retener los resultados de la búsqueda. Al crear una búsqueda de exhibición de documentos electrónicos local, se crea un objeto de búsqueda en el buzón del sistema de exhibición de documentos electrónicos local. This object can be manipulated to start, stop, modify, and remove the search. After you create the search, you can choose to get an estimate of search results, which includes keyword statistics that help you determine query effectiveness. You can also do a live preview of items returned in the search, allowing you to view message content, the number of messages returned from each source mailbox and the total number of messages. You can use this information to further fine-tune your query if required.
Cuando esté satisfecho con los resultados de la búsqueda, cópielos a un buzón de detección. También puede usar el EAC o Outlook para exportar un buzón de detección o parte de su contenido a un archivo PST.
Al crear una búsqueda de exhibición de documentos electrónicos local, debe especificar los siguientes parámetros:
Nombre : el nombre de búsqueda se usa para identificar la búsqueda. Al copiar los resultados de la búsqueda en un buzón de detección, se crea una carpeta en el buzón de detección con el nombre de la búsqueda y la marca de tiempo para identificar los resultados de la búsqueda de manera exclusiva en un buzón de detección.
Orígenes: puede elegir buscar en todos los buzones de la organización de Exchange Server o especificar los buzones que desea buscar. También puede elegir buscar en todas las carpetas públicas. Si también desea usar la misma búsqueda para colocar elementos en espera, debe especificar los buzones. También puede colocar todas las carpetas públicas en In-Place Suspensión. Puede especificar un grupo de distribución para incluir usuarios de buzones de correo que sean miembros de ese grupo. La pertenencia al grupo se calcula una vez al crear la búsqueda y los cambios posteriores en la pertenencia a grupos no se reflejan automáticamente en la búsqueda. Los buzones principal y de archivo de un usuario se incluyen en la búsqueda.
Consulta de búsqueda : puede incluir todo el contenido del buzón de correo de los buzones especificados o usar una consulta de búsqueda para devolver elementos más relevantes para el caso o la investigación. Puede especificar los siguientes parámetros en una consulta de búsqueda:
Palabras clave : puede especificar palabras clave y frases para buscar contenido del mensaje. También puede usar los operadores lógicos AND, OR o NOT. Además, Exchange Server también admite el operador NEAR, lo que le permite buscar una palabra o frase que esté cerca de otra palabra o frase.
Para buscar una coincidencia exacta de una frase de varias palabras, debe colocar la frase entre comillas. Por ejemplo, al buscar la frase "plan y competencia" verá mensajes que contienen una coincidencia exacta de la frase, mientras que si especifica plan AND competencia verá mensajes que contienen las palabras plan y competencia en cualquier parte del mensaje.
Exchange Server también admite la sintaxis del lenguaje de consulta de palabras clave (KQL) para In-Place búsquedas de eDiscovery. Para obtener más información sobre KQL, vea Referencia de sintaxis del lenguaje de consulta de palabras clave.
Nota:
La exhibición de documentos electrónicos local no admite expresiones regulares.
Los operadores lógicos deben estar en mayúsculas como, por ejemplo AND y OR, para que se traten como operadores en lugar de palabras clave. Se recomienda usar paréntesis explícitos en las consultas donde se mezclen varios operadores lógicos para evitar errores o malas interpretaciones. Por ejemplo, si desea buscar mensajes que contengan WordA o WordB AND WordC o WordD, debe usar (WordA OR WordB) AND (WordC OR WordD).
Fechas de inicio y finalización : de forma predeterminada, In-Place eDiscovery no limita las búsquedas por un intervalo de fechas. Para buscar mensajes enviados durante un intervalo de fechas específico, puede limitar la búsqueda especificando la fecha de inicio y de finalización. Si no especifica una fecha de finalización, la búsqueda mostrará los últimos resultados cada vez que la reinicie.
Remitentes y destinatarios : para restringir la búsqueda, puede especificar los remitentes o destinatarios de los mensajes. Puede usar direcciones de correo electrónico, nombres para mostrar o el nombre de un dominio para buscar los elementos que ha enviado alguien o que se han enviado a alguien en el dominio. Por ejemplo, para buscar el correo electrónico enviado por alguien o que se le ha enviado a alguien en Contoso, Ltd, especifique @contoso.com en el campo De o Para/CC del EAC. También puede especificar @contoso.com en los parámetros Remitentes o Destinatarios en el Shell de administración de Exchange.
Tipos de mensaje : de forma predeterminada, se buscan todos los tipos de mensaje. Para limitar la búsqueda, seleccione tipos de mensaje específicos como correo electrónico, contactos, documentos, diario, reuniones, notas o contenido de Lync.
La siguiente captura de pantalla muestra un ejemplo de una consulta de búsqueda en el EAC.
Al utilizar la exhibición de documentos electrónicos local, tenga en cuenta lo siguiente:
Datos adjuntos : In-Place eDiscovery busca datos adjuntos compatibles con Exchange Search. Para obtener información detallada, vea Default Filters for Exchange Search. En implementaciones locales, puede agregar compatibilidad con tipos de archivos adicionales al instalar filtros de búsqueda (también conocidos como iFilter) para el tipo de archivo que hay en los servidores de buzones de correo.
Elementos que no se pueden buscar : los elementos que no se pueden buscar son elementos de buzón que búsqueda de Exchange no puede indexar. Entre los motivos por los que no se pueden indizar se incluye la falta de un filtro de búsqueda instalado para un dato adjunto, un error de filtro o mensajes cifrados. Para que una búsqueda de exhibición de documentos electrónicos se realice correctamente, puede que se le solicite a la organización que incluya dichos elementos para que se revisen. Al copiar los resultados de la búsqueda a un buzón de detección o al exportarlos a un archivo PST, puede incluir elementos no aptos para la búsqueda. Para obtener más información, vea Unsearchable Items in Exchange eDiscovery.
Elementos cifrados : dado que los mensajes cifrados mediante S/MIME no están indexados por Exchange Search, In-Place eDiscovery no busca en estos mensajes. Si selecciona la opción para incluir los elementos que no permiten búsquedas en los resultados de la búsqueda, estos mensajes cifrados con S/MIME se copian en el buzón de detección.
Desduplicación : al copiar los resultados de la búsqueda en un buzón de detección o exportar los resultados de búsqueda a un archivo PST, puede habilitar la desduplicación de los resultados de búsqueda para copiar solo una instancia de un mensaje único en el buzón de detección. Las desduplicación tiene las siguientes ventajas:
Requisitos de almacenamiento y tamaño de buzón de detección menores debido a la disminución de la cantidad de mensajes copiados.
Reducción de la carga de trabajo para los administradores de detección, los asesores legales o cualquier otro individuo que esté involucrado en la revisión de los resultados de la búsqueda.
Reducción del coste de la exhibición de documentos electrónicos, en función del número de elementos duplicados de los resultados de la búsqueda.
Elementos protegidos por IRM : los mensajes protegidos mediante Information Rights Management (IRM) se indexan mediante Búsqueda de Exchange y, por tanto, se incluyen en los resultados de la búsqueda si coinciden con los parámetros de consulta. Los mensajes deben protegerse mediante un clúster de Active Directory Rights Management Services (AD RMS) en el mismo bosque de Active Directory que el servidor de buzones de correo. Para obtener más información, consulte Information Rights Management en Exchange Server.
Importante:
Cuando Exchange Search no indiza un mensaje protegido por IRM, ya sea por un error de descifrado o porque IRM está deshabilitado, el mensaje protegido no se agrega a la lista de elementos en los que se ha producido un error. Si selecciona la opción para incluir los elementos que no permiten búsquedas en los resultados de la búsqueda, es posible que los resultados no incluyan los mensajes protegidos por IRM que no se pudieron descifrar.
Para incluir los mensajes protegidos por IRM en la búsqueda, puede crear otra búsqueda que incluya los mensajes con datos adjuntos .rpmsg. Puede usar la cadena
attachment:rpmsg
de consulta para buscar en todos los mensajes protegidos por IRM en los buzones especificados, tanto si se indexa correctamente como si no. Esto puede generar cierta duplicación de los resultados de búsqueda en escenarios en los que una búsqueda muestra mensajes que coinciden con los criterios de búsqueda, incluidos los mensajes protegidos por IRM que se han indizado correctamente. La búsqueda no muestra los mensajes protegidos por IRM que no se pudieron indizar.La realización de una segunda búsqueda de todos los mensajes protegidos por IRM también incluye los mensajes protegidos por IRM que se pudieron indizar correctamente y que mostró la primera búsqueda. Además, es posible que los mensajes protegidos por IRM que muestra la segunda búsqueda no coincidan con los criterios de búsqueda tales como las palabras clave usadas para la primera búsqueda.
Estimaciones, vistas previas y copias de resultados de búsquedas
Después de completar una búsqueda de exhibición de documentos electrónicos local, puede ver estimaciones de los resultados de la búsqueda en el panel de detalles del EAC. La estimación incluye el número de elementos devueltos y su tamaño total. También puede ver las estadísticas de palabras clave, que muestran detalles sobre el número de elementos devueltos para cada palabra clave que se usó en la consulta de búsqueda. Esta información resulta útil para determinar la efectividad de la consulta. Si la consulta es demasiado amplia, se devolverá un conjunto de datos mucho mayor, lo que requiere revisar más recursos y podría aumentar los costes de exhibición de documentos electrónicos. Si la consulta es demasiado limitada, podría reducir considerablemente el número de registros devueltos o no devolver ninguno. Utilice las estimaciones y las estadísticas de palabras clave para ajustar la consulta a sus necesidades.
Nota:
En Exchange Server, las estadísticas de palabras clave también incluyen estadísticas de propiedades que no son palabras clave, como fechas, tipos de mensaje y remitentes o destinatarios especificados en una consulta de búsqueda.
También puede obtener una vista previa de los resultados de la búsqueda para asegurarse de que los mensajes devueltos incluyen el contenido que está buscando y para ajustar aún más la consulta si es necesario. La vista previa de búsquedas de exhibición de documentos electrónicos muestra el número de mensajes devueltos de cada buzón en el que se buscó y el número total de mensajes devueltos por la búsqueda. La vista previa se genera rápidamente, sin tener que copiar los mensajes a un buzón de detección.
Una vez que esté satisfecho con la cantidad y la calidad de los resultados de la búsqueda, cópielos a un buzón de detección. Al copiar los mensajes, tiene las siguientes opciones:
Incluir elementos que no se pueden buscar : para obtener más información sobre los tipos de elementos que se consideran que no se pueden buscar, consulte las consideraciones de búsqueda de eDiscovery de la sección anterior.
Habilitar desduplicación : la desduplicación reduce el conjunto de datos al incluir solo una única instancia de un registro único si se encuentran varias instancias en uno o varios buzones de correo buscados.
Habilitar el registro completo : de forma predeterminada, solo se habilita el registro básico al copiar elementos. Seleccione el registro completo para incluir información sobre todos los registros devueltos por la búsqueda.
Enviarme correo cuando se complete la copia : una In-Place búsqueda de exhibición de documentos electrónicos puede devolver un gran número de registros. La copia de los mensajes devueltos a un buzón de detección puede llevar mucho tiempo. Use esta opción para recibir una notificación por correo electrónico cuando el proceso de copia se haya completado. Para facilitar el acceso mediante Outlook en la Web, la notificación incluye un vínculo a la ubicación de un buzón de detección donde se copian los mensajes.
Para más información, vea Copiar los resultados de la búsqueda de exhibición de documentos electrónicos en un buzón de correo de detección.
Exportar los resultados de la búsqueda a un archivo PST
Una vez copiados los resultados de la búsqueda a un buzón de detección, puede exportarlos a un archivo PST.
Después de exportar los resultados de la búsqueda a un archivo PST, usted u otros usuarios pueden abrirlos en Outlook para revisar o imprimir los mensajes devueltos en los resultados de búsqueda. Para obtener más información, vea Exportar los resultados de la búsqueda de exhibición de documentos electrónicos a un archivo PST.
Registro de búsquedas de exhibición de documentos electrónicos local
Hay dos tipos de registro disponibles para In-Place búsquedas de exhibición de documentos electrónicos.
Registro básico : el registro básico está habilitado de forma predeterminada para todas las búsquedas de eDiscovery In-Place. Incluye información acerca de la búsqueda y quién la realizó. La información que captura el registro básico se muestra en el mensaje de correo electrónico que se envía al buzón de correo en el que se almacenan los resultados de la búsqueda. El mensaje se encuentra en la carpeta que se crea para almacenar los resultados de la búsqueda.
Registro completo : el registro completo incluye información sobre todos los mensajes devueltos por la búsqueda. Esta información se proporciona en un archivo con formato de valores separados por comas (.csv) que se adjunta al mensaje de correo electrónico que contiene la información del registro básico. El nombre de la búsqueda se usa para el nombre del archivo .csv. Esta información puede ser necesaria para el cumplimiento de normas o la conservación de un registro. Para habilitar el registro completo, seleccione la opción Habilitar el registro completo al copiar los resultados de búsqueda a un buzón de correo de detección en el EAC. Si usa el Shell de administración de Exchange, especifique la opción de registro completo mediante el parámetro LogLevel .
Nota:
Al usar el Shell de administración de Exchange para crear o modificar una búsqueda In-Place eDiscovery, también puede deshabilitar el registro.
Además del registro de búsqueda incluido al copiar los resultados de búsqueda en un buzón de detección, Exchange también registra los cmdlets usados por el EAC o el Shell de administración de Exchange para crear, modificar o quitar In-Place búsquedas de eDiscovery. Esta información se registra en las entradas del registro de auditoría de administración. Para obtener más información, consulte Registro de auditoría de administrador en Exchange Server.
Buzones de detección
Después de crear una búsqueda de exhibición de documentos electrónicos local, puede copiar los resultados de la búsqueda en un buzón de destino. El EAC permite seleccionar un buzón de detección como buzón de destino. Un buzón de detección es un tipo especial de buzón que ofrece la siguiente funcionalidad:
Selección de buzón de destino más fácil y segura : cuando se usa el EAC para copiar In-Place resultados de búsqueda de eDiscovery, solo los buzones de detección están disponibles como repositorio en el que almacenar los resultados de búsqueda. Esto elimina la posibilidad de que un administrador de detección seleccione accidentalmente el buzón de otro usuario o un buzón no seguro en el que almacenar mensajes potencialmente confidenciales.
Cuota de almacenamiento de buzones de correo de gran tamaño : el buzón de correo de destino debe poder almacenar una gran cantidad de datos de mensajes que puede devolver una búsqueda In-Place eDiscovery. De forma predeterminada, los buzones de detección tienen una cuota de almacenamiento de buzón de 50 GB. No se puede incrementar la cuota de almacenamiento.
Más seguro de forma predeterminada : al igual que todos los tipos de buzón de correo, un buzón de detección tiene una cuenta de usuario de Active Directory asociada. Sin embargo, esta cuenta está deshabilitada de forma predeterminada. Solamente los usuarios explícitamente autorizados para tener acceso al buzón de correo de detección tienen acceso al mismo. A los miembros del grupo de roles de administración de detección se les asignan permisos de acceso total al buzón de detección predeterminado. Los buzones de detección adicionales que crea no tienen permiso de acceso al buzón de correo asignado a ningún usuario.
Email entrega deshabilitada: los usuarios no pueden enviar correo electrónico a un buzón de detección. La entrega de correo electrónico a los buzones de detección está prohibida por restricciones de entrega. Esto conserva la integridad de los resultados de la búsqueda que se copiaron a un buzón de detección. De forma predeterminada, los buzones de detección no se muestran en la lista de direcciones global de la organización.
Exchange Server programa de instalación crea un buzón de detección con el nombre para mostrar Buzón de búsqueda de detección. Puede usar el Shell de administración de Exchange para crear buzones de detección adicionales. De forma predeterminada, los buzones de correo de detección que cree no tendrán permisos de acceso al buzón de correo asignado. Puede asignar permisos de acceso total para que un administrador de descubrimiento tenga acceso a los mensajes copiados a un buzón de detección. Para obtener más información, vea Crear un buzón de detección .
La exhibición de documentos electrónicos local también usa un buzón del sistema con el nombre para mostrar SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} para retener los metadatos de la exhibición de documentos electrónicos local. Los buzones del sistema no se pueden ver en el EAC ni en las listas de direcciones de Exchange. Antes de quitar una base de datos de buzón de correo en la que se encuentra el buzón del sistema de exhibición de documentos electrónicos In-Place, debe mover el buzón a otra base de datos de buzones. Si el buzón se elimina o está dañado, los administradores de detección no podrán realizar búsquedas de exhibición de documentos electrónicos hasta que vuelva a crear el buzón. Para obtener información detallada, vea Re-Create the Discovery System Mailbox.
Exhibición de documentos electrónicos local y retención local
Como parte de las solicitudes de exhibición de documentos electrónicos, es posible que tenga que conservar el contenido de los buzones de correo hasta que finalice un proceso judicial o una investigación. También de se deben conservar los mensajes eliminados o modificados por el usuario o por otros procesos. En Exchange Server, esto se logra mediante la suspensión de In-Place. Para obtener más información, consulte Suspensión local y retención por juicio en Exchange Server.
Puede usar el asistente de exhibición de documentos electrónicos local & para buscar elementos y conservarlos mientras sean necesarios para eDiscovery o para cumplir otros requisitos empresariales. When using the same search for both In-Place eDiscovery and In-Place Hold, be aware of the following:
No puede usar la opción para colocar una suspensión en todos los buzones de correo de la organización. Debe seleccionar los buzones de correo o grupos de distribución. Sin embargo, puede poner en espera todas las publicaciones públicas de su organización.
No puede eliminar una búsqueda de exhibición de documentos electrónicos local si la búsqueda también se usa para la retención local. Primero debe deshabilitar la opción de retención local en una búsqueda y, a continuación, eliminar la búsqueda.
Conservar buzones la para exhibición de documentos electrónicos local
Cuando un empleado deja una empresa, es habitual inhabilitar o eliminar su buzón. Después de deshabilitar un buzón de correo, este se desconecta de la cuenta de usuario, aunque permanece en el buzón durante un período determinado, por lo general, 30 días. El asistente para carpetas administradas no procesa los buzones desconectados y durante este período no se aplica ninguna directiva de retención. No se puede buscar el contenido de un buzón desconectado. Al llegar al período de retención de buzones eliminados configurado para la base de datos de buzones de correo, el buzón se purga de la base de datos de buzones de correo.
Si su organización requiere que la configuración de retención se aplique a los mensajes de los empleados que ya no están en la organización o si es posible que necesite conservar el buzón de correo de un ex empleado para una búsqueda de exhibición de documentos electrónicos en curso o futura, no deshabilite ni quite el buzón. Puede ejecutar los pasos siguientes para asegurarse de que no se pueda acceder al buzón y ni enviarle mensajes.
Deshabilite la cuenta de usuario de Active Directory mediante Usuarios de Active Directory & Equipos u otras herramientas o scripts de aprovisionamiento de cuentas o Active Directory. This prevents mailbox logon using the associated user account.
Importante
Los usuarios con permisos de acceso total a buzones podrán tener acceso al buzón. Para evitar que otros usuarios tengan acceso, debe quitarles el permiso de acceso total al buzón. Para obtener información sobre cómo quitar permisos de buzón de acceso completo en un buzón de correo, vea Administrar permisos para destinatarios.
Establezca el límite de tamaño de los mensajes que el usuario del buzón puede enviar o recibir en un valor muy bajo; por ejemplo, 1 KB. Esto impide la entrega de correo electrónico en el buzón o el envío desde el mismo. Para obtener información detallada, vea Configurar límites de tamaño de mensaje para un buzón de correo.
Configure las restricciones de entrega del buzón de correo, de modo que nadie pueda enviar mensajes desde el mismo. Para obtener información detallada, vea Configurar restricciones de entrega de mensajes para un buzón de correo.
Importante
Ejecute estos pasos junto con cualquier otro proceso de administración de cuentas que su organización exija, sin deshabilitar ni eliminar el buzón o la cuenta de usuario asociada.
Cuando prevea implementar una retención de buzón para una administración de retención de mensajes (MRM), debe tener en cuenta el flujo de mensajes del empleado. Una retención a largo plazo de los buzones de antiguos empleados precisará un almacenamiento adicional en los servidores de buzones de correo, lo que también producirá un incremento de la base de datos de Active Directory, ya que la cuenta del usuario asociado también deberá retenerse por un mismo período de tiempo. Asimismo, será preciso efectuar cambios en los procesos de administración y de aprovisionamiento de cuentas de su organización.
Diferentes resultados de búsqueda
Dado que In-Place eDiscovery realiza búsquedas en datos en directo, es posible que dos búsquedas de los mismos orígenes de contenido y que usen la misma consulta de búsqueda puedan devolver resultados diferentes. Los resultados de la búsqueda estimados también pueden ser diferentes de los resultados de la búsqueda reales que se copian a un buzón de detección. Esto puede suceder incluso al volver a ejecutar la misma búsqueda dentro de un período de tiempo breve. Hay varios factores que pueden afectar a la coherencia de los resultados de búsqueda.
El hecho de que el correo entrante se indiza continuamente, porque Exchange Search rastrea e indiza continuamente las bases de datos de buzones de correo y la canalización de transporte de su organización.
La eliminación de correo electrónico por parte de usuarios o procesos automatizados.
La importación masiva de grandes cantidades de correo electrónico, que tardan tiempo en indizarse.
Si encuentra resultados distintos con la misma búsqueda, puede mantener los buzones en espera para conservar el contenido, ejecutar búsquedas fuera de las horas pico o dejar tiempo para la indización después de importar grandes cantidades de correo electrónico.
Ámbitos de administración personalizados para la exhibición de documentos electrónicos local
Puede usar un ámbito de administración personalizado para permitir que personas o grupos específicos usen In-Place eDiscovery para buscar en un subconjunto de buzones de correo de la organización Exchange Server. Por ejemplo, quizás quiera permitir que un administrador de detección realice búsquedas solo en los buzones de los usuarios de un departamento o una ubicación en particular. Para ello, se crea un ámbito de administración personalizado que usa un filtro de destinatarios personalizado para controlar los buzones en los que se pueden realizar búsquedas. Los ámbitos de filtro de destinatario usan filtros para dirigirse a destinatarios específicos en función del tipo de destinatario o de otras propiedades del destinatario.
Para la exhibición de documentos electrónicos local, la única propiedad de un buzón de usuario que puede usar para crear un filtro de destinatarios para un ámbito personalizado es la pertenencia al grupo de distribución. Si usa otras propiedades, como CustomAttributeN, Department o PostalCode, se produce un error en la búsqueda cuando la ejecuta un miembro del grupo de roles al que se asigna el ámbito personalizado. Para más información, vea Crear un ámbito de administración personalizado para las búsquedas de exhibición de documentos electrónicos local.
In-Place eDiscovery y Exchange Search
La exhibición de documentos electrónicos local usa los índices de contenido creados por Exchange Search. Exchange Search se ha rediseñado para utilizar Microsoft Search Foundation, una eficaz plataforma de búsqueda con un rendimiento muy mejorado en la indización y la consulta, así como en la funcionalidad de búsqueda. Dado que Microsoft Search Foundation también lo usan otros productos de Office, incluido SharePoint Server, ofrece una mayor interoperabilidad y una sintaxis de consulta similar en estos productos.
Con un solo motor de indización de contenido, no es necesario usar recursos adicionales para rastrear e indizar bases de datos para la exhibición de documentos electrónicos local cuando los departamentos de TI reciben solicitudes de exhibición de documentos electrónicos.
Para obtener más información sobre los formatos de archivo indexados por Búsqueda de Exchange, vea Formatos de archivo indexados por búsqueda de Exchange.
Exhibición de documentos electrónicos en una implementación híbrida de Exchange
En una implementación híbrida, que es un entorno en el que algunos buzones están en los servidores de buzones de correo locales y otros buzones en una organización basada en la nube, se pueden efectuar búsquedas de exhibición de documentos electrónicos local en buzones basados en la nube mediante el EAC de la organización local. Si piensa copiar mensajes en un buzón de detección, primero debe seleccionar un buzón de detección local. Los mensajes de los buzones basados en nube que se devuelven en los resultados de las búsquedas se copian en el buzón de detección local especificado. Para obtener más información sobre las implementaciones híbridas, consulte Exchange Server implementaciones híbridas.
Para realizar correctamente búsquedas de exhibición de documentos electrónicos entre locales en una organización híbrida Exchange Server, tendrá que configurar la autenticación de OAuth (autorización abierta) entre las organizaciones de Exchange local y Exchange Online para que pueda usar In-Place eDiscovery para buscar buzones locales y basados en la nube. La autenticación de OAuth es un protocolo de autenticación de servidor a servidor que permite a las aplicaciones autenticarse mutuamente.
La autenticación OAuth admite los siguientes escenarios de exhibición de documentos electrónicos en una implementación híbrida de Exchange:
Buzones locales de búsqueda que usan el Archivado de Exchange Online para buzones de archivo basados en la nube.
Búsqueda de buzones locales y basados en la nube en la misma búsqueda de exhibición de documentos electrónicos.
Para obtener más información acerca de los escenarios de exhibición de documentos electrónicos que requieren autenticación OAuth para configurarse en una implementación híbrida de Exchange, vea Using Oauth Authentication to Support eDiscovery in an Exchange Hybrid Deployment. Para obtener instrucciones paso a paso para configurar la autenticación OAuth para admitir la exhibición de documentos electrónicos, vea Configure OAuth Authentication Between Exchange and Exchange Online Organizations.
Para obtener instrucciones paso a paso para configurar la autenticación OAuth para admitir la exhibición de documentos electrónicos, vea Configure OAuth Authentication Between Exchange and Exchange Online Organizations.
Integración con SharePoint Server
Exchange Server ofrece integración con SharePoint Server, lo que permite a un administrador de detección usar el Centro de exhibición de documentos electrónicos en SharePoint Server para realizar las tareas siguientes:
Buscar y conservar contenido desde una sola ubicación : un administrador de detección autorizado puede buscar y conservar contenido en SharePoint y Exchange, incluido el contenido de Lync, como conversaciones de mensajería instantánea y documentos de reunión compartidos archivados en buzones de Exchange.
Administración de casos: el Centro de eDiscovery usa un enfoque de administración de casos para eDiscovery, lo que le permite crear casos y buscar y conservar contenido en repositorios de contenido diferentes para cada caso.
Exportar resultados de búsqueda : un administrador de detección puede usar el Centro de exhibición de documentos electrónicos para exportar los resultados de la búsqueda. El contenido de los buzones incluido en los resultados de la búsqueda se exporta a un archivo PST.
SharePoint Server también usa Microsoft Search Foundation para la indexación y consulta de contenido. Independientemente de si un administrador de detección usa el EAC o el centro de exhibición de documentos electrónicos para buscar contenido de Exchange, se devuelve el mismo contenido de buzón.
Para poder usar el Centro de exhibición de documentos electrónicos en SharePoint Server para buscar buzones de Exchange, debe establecer la confianza entre las dos aplicaciones. En Exchange y SharePoint, esto se hace mediante la autenticación de OAuth. Para obtener más información, vea Configurar Exchange para el Centro de exhibición de documentos electrónicos de SharePoint. Exchange autoriza las búsquedas de exhibición de documentos electrónicos realizadas en SharePoint a través de RBAC. Para que un usuario de SharePoint pueda realizar una búsqueda de exhibición de documentos electrónicos en buzones de Exchange, debe tener asignado el permiso de administración de detección delegado en Exchange. Para poder obtener una vista previa del contenido de buzones devuelto en una búsqueda de exhibición de documentos electrónicos realizada a través del Centro de exhibición de documentos electrónicos de SharePoint, el administrador de detección debe tener un buzón en la misma organización de Exchange.
Límites de exhibición de documentos electrónicos local y directivas de limitación
En Exchange Server, los recursos In-Place usos de eDiscovery se controlan con directivas de limitación.
La directiva de limitación predeterminada contiene los parámetros siguientes. Puede cambiar los valores predeterminados para satisfacer los requisitos de su organización creando una nueva directiva de limitación con un ámbito de organización y asígnele el nombre "DiscoveryThrottlingPolicy".
Parámetro | Descripción | Valor predeterminado |
---|---|---|
DiscoveryMaxConcurrency | El número máximo de In-Place búsquedas de eDiscovery que un usuario puede realizar simultáneamente. | 2 |
DiscoveryMaxMailboxes | El número máximo de buzones en los que se puede buscar en una sola búsqueda de exhibición de documentos electrónicos local. Los buzones de correo de carpetas públicas también se tienen en cuenta para calcular el límite de buzones de origen. | 10 0001 |
DiscoveryMaxStatsSearchMailboxes | El número máximo de buzones que se pueden buscar en una búsqueda única de exhibición de documentos electrónicos local que aún permite ver las estadísticas de palabras clave. | 100 Nota: Después de ejecutar una estimación de búsqueda de exhibición de documentos electrónicos, puede ver las estadísticas de palabras clave. Estas estadísticas muestran detalles sobre el número de elementos proporcionados para cada palabra clave que se usa en la consulta de búsqueda. Si se incluyen más de 100 buzones de origen en la búsqueda, se devolverá un error si intenta ver las estadísticas de palabras clave. |
DiscoveryMaxKeywords | El número máximo de palabras clave que se pueden especificar en una sola búsqueda de exhibición de documentos electrónicos local. | 500 |
DiscoveryPreviewSearchResultsPageSize | El número máximo de elementos que se muestran en una sola página al obtener una vista previa de resultados de búsqueda de exhibición de documentos electrónicos local. | 200 |
DiscoverySearchTimeoutPeriod | El número de minutos que se ejecutará una búsqueda de exhibición de documentos electrónicos local antes de que se agote el tiempo de espera. | 10 minutos |
1 Los buzones de archivo se cuentan con el límite de buzón de origen. Esto significa que puede buscar un máximo de 5000 buzones si el buzón de archivo correspondiente está habilitado para los 5000 buzones.
Documentación de exhibición de documentos electrónicos local
La tabla siguiente contiene vínculos a temas de Exchange Server que le ayudarán a obtener información y administrar In-Place eDiscovery.
Tema | Descripción |
---|---|
Asignar permisos de eDiscovery en Exchange Server | Obtenga información sobre cómo proporcionar a un usuario acceso para usar In-Place eDiscovery en el EAC (y mediante los cmdlets correspondientes) para buscar buzones de Exchange. |
Cree una búsqueda In-Place eDiscovery en Exchange Server | Aprenda cómo crear una búsqueda de exhibición de documentos electrónicos local, cómo calcular los resultados de la búsqueda de exhibición de documentos electrónicos, y cómo obtener una vista previa. |
Copiar los resultados de la búsqueda de exhibición de documentos electrónicos en un buzón de correo de detección | Obtenga información acerca de cómo copiar los resultados de una búsqueda de exhibición de documentos electrónicos en un buzón de detección. |
Exportar los resultados de la búsqueda de exhibición de documentos electrónicos a un archivo PST | Obtenga información acerca de cómo exportar los resultados de una búsqueda de exhibición de documentos electrónicos a un archivo PST. |
Propiedades del mensaje y operadores de búsqueda para In-Place eDiscovery en Exchange Server | Obtenga más información sobre qué propiedades de mensajes de correo electrónico se pueden buscar mediante la exhibición de documentos electrónicos local. El tema proporciona ejemplos de sintaxis para cada propiedad, información sobre operadores de búsqueda como AND y OR, e información sobre otras técnicas de consultas de búsqueda como el uso de comillas dobles (" ") y caracteres comodín de prefijo. |
Buscar y establecer una retención en las carpetas públicas con In-Place eDiscovery | Obtenga información sobre cómo usar In-Place eDiscovery para buscar y colocar una retención en todas las carpetas públicas de la organización. |