Creare una ricerca di eDiscovery In-Place in Exchange Server

Usare una ricerca In-Place eDiscovery per cercare contenuto in tutte le cassette postali e le cartelle pubbliche dell'organizzazione exchange server. Questa operazione include la ricerca di elementi eliminati definitivamente e delle versioni originali di elementi modificati (nella cartella Elementi ripristinabili) per gli utenti con blocco sul posto o per controversia legale. Per altre informazioni su queste ricerche, vedere eDiscovery sul posto in Exchange Server.

Prima di iniziare

• Devi disporre delle autorizzazioni per poter eseguire queste procedure. Per visualizzare le autorizzazioni necessarie, vedere la voce "In-Place eDiscovery" nell'argomento Criteri di messaggistica e autorizzazioni di conformità in Exchange Server .

• Per creare ricerche eDiscovery, è necessario disporre di un indirizzo SMTP nell'organizzazione nella quale si stanno creando le ricerche. In un'organizzazione ibrida di Exchange, alla cassetta postale di Exchange locale deve essere assegnato un account utente di posta elettronica corrispondente nell'organizzazione di Microsoft 365 o Office 365, ad esempio l'account amministratore tenant, a tale account deve essere assegnata una licenza di Exchange Online. Per altre informazioni sui requisiti di licenza di Microsoft 365 o Office 365 per le ricerche eDiscovery sul posto, vedere Descrizione del servizio Exchange Online.

• Il programma di installazione di Exchange Server crea una cassetta postale di individuazione denominata cassetta postale di ricerca di individuazione per copiare i risultati della ricerca. È possibile creare ulteriori cassette postali di individuazione. Per ulteriori informazioni, vedere Create a discovery mailbox..

• Quando si crea una ricerca, i messaggi restituiti nei risultati della ricerca non vengono copiati automaticamente nella cassetta postale di individuazione. Una volta creata la ricerca, utilizzare l'Interfaccia di amministrazione di Exchange (EAC) per la stima, l'anteprima o la copia dei risultati della ricerca in una cassetta postale di individuazione. È anche possibile esportare i risultati della ricerca in un file pst. Per dettagli, vedere:

  • Utilizzare l'interfaccia di amministrazione di Exchange per visualizzare una stima o un'anteprima dei risultati di ricerca (più avanti in questo argomento)

  • Copiare i risultati della ricerca eDiscovery in una cassetta postale di individuazione

  • Esportazione dei risultati della ricerca eDiscovery in un file PST

• Per sapere come aprire Exchange Management Shell nell'organizzazione di Exchange locale, vedere Open the Exchange Management Shell.

Utilizzo di EAC per creare una ricerca

Come indicato in precedenza, per creare ricerche eDiscovery è necessario accedere a un account utente che dispone di un indirizzo SMTP nell'organizzazione.

1. Passare a Gestione> conformitàeDiscovery sul posto & blocco e quindi fare clic Aggiungi nuovo.

2. Nella finestra Nuovo oggetto eDiscovery e blocco sul posto nella pagina Nome e descrizione, digitare un nome per la ricerca e una descrizione facoltativa, quindi fare clic su Avanti.

3. Nella pagina Cassette postali e cartelle pubbliche, selezionare le origini contenuto per la ricerca:

   • Per includere tutte le cassette postali nella ricerca, fare clic su Cerca in tutte le cassette postali. Se si seleziona questa opzione, non sarà possibile abilitare un blocco sul posto per la ricerca.

   • Per escludere le cassette postali dalla ricerca (e cercare solo le cartelle pubbliche), fare clic sull'opzione per Non cercare in tutte le cassette postali.

   • Per includere cassette postali specifiche nella ricerca, fare clic sull'opzione per specificare le cassette postali da cercare, quindi aggiungere le cassette postali che si desidera cercare.

   • Per includere le cartelle pubbliche nella ricerca (o per archiviare le cartelle pubbliche), fare clic su Cerca in tutte le cartelle pubbliche. Per ulteriori informazioni sulla ricerca delle cartelle pubbliche, vedere Utilizzo di eDiscovery sul posto per la ricerca e il blocco sul posto di cartelle pubbliche.

   

4. Nella pagina Query di ricerca compilare i seguenti campi:

   • Includi tutto il contenuto: selezionare questa opzione per includere tutto il contenuto nei risultati della ricerca. Se viene selezionata questa opzione, non è possibile specificare ulteriori criteri di ricerca.

   • Filtra in base ai criteri: selezionare questa opzione per specificare i criteri di ricerca, tra cui parole chiave, date di inizio e fine, indirizzi mittente e destinatario e tipi di messaggio. Per altre informazioni sulle query di ricerca, vedere Proprietà dei messaggi e operatori di ricerca per In-Place eDiscovery in Exchange Server.

     

     Nota

     I campi Da: e A/Cc/Ccn: sono connessi tramite un operatore OR nella query di ricerca che viene creata nel momento in cui si effettua la ricerca. Questo significa che tutti i messaggi inviati o ricevuti da qualsiasi utente specificato (e che corrisponde ai criteri di ricerca) sono inclusi nei risultati della ricerca. Le date vengono connesse da un operatore AND.

5. Nella pagina Impostazioni di blocco sul posto, selezionare la casella di controllo Conserva il contenuto che corrisponde alla query di ricerca nelle origini selezionate, quindi selezionare una delle seguenti opzioni per impostare gli elementi su Archiviazione sul posto:

   • Blocco a tempo indeterminato: selezionare questa opzione per inserire gli elementi restituiti in un blocco a tempo indeterminato. Gli elementi conservati verranno mantenuti fino a quando l'origine contenuto non sarà stata rimossa dalla ricerca o non sarà stata eliminata la ricerca.

   • Specifica numero di giorni di archiviazione degli elementi in relazione alla data di ricezione Utilizzare questa opzione per conservare gli elementi per un periodo determinato. Ad esempio, è possibile utilizzare questa opzione se l'organizzazione richiede che tutti i messaggi vengano conservati per almeno sette anni. È possibile utilizzare una conservazione in locale basata sul tempo insieme al criterio di conservazione per essere certi che gli elementi vengano eliminati dopo sette anni.

     Importante

     Quando le origini contenuto o elementi specifici vengono messi nel blocco sul posto per motivi legali, si consiglia in genere di conservarli in modo illimitato e rimuovere la conservazione una volta terminati la causa o l'indagine.

6. Selezionare Fine per salvare la ricerca e ottenere una stima delle dimensioni totali e del numeri di elementi che saranno restituiti dalla ricerca sulla base dei criteri specificati. Le stime vengono visualizzate nel riquadro dei dettagli. Fare clic Per aggiornare le informazioni visualizzate nel riquadro dei dettagli.

Utilizzo di Exchange Management Shell per creare una ricerca

Ecco quattro esempi di utilizzo di Exchange Management Shell per eseguire una ricerca e applicare un blocco ai contenuti presenti nelle cassette postali e nelle cartelle pubbliche. Per informazioni dettagliate su sintassi e parametri relativi all'utilizzo di Exchange Management Shell per creare ricerche eDiscovery, vedereNew-MailboxSearch

Esempio 1

In questo esempio viene creata la ricerca Discovery-CaseId012 per gli elementi contenenti le parole chiave Contoso e ProjectA. I risultati della ricerca vengono inseriti nel blocco sul posto senza limiti di tempo. La ricerca include anche i criteri seguenti:

• Data di inizio: 1/1/2013

• Data di fine: 31/12/2015

• Cassetta postale di origine: DG-Finance

• Cassetta postale di destinazione: Cassetta postale di individuazione

• Tipi di messaggi: Email

• Livello di registrazione: Completa

Importante

Se non si specifica una query di ricerca, un intervallo di date oppure un tipo di messaggio, tutti gli elementi delle cassette postali di origine o delle cartelle pubbliche vengono restituiti nei risultati. I risultati sono simili alla selezione di Includi tutto il contenuto nella pagina Query di ricerca dell'interfaccia di amministrazione di Exchange.

New-MailboxSearch "Discovery-CaseId012" -StartDate "01/01/2013" -EndDate "12/31/2015" -SourceMailboxes "DG-Finance" -TargetMailbox "Discovery Search Mailbox" -SearchQuery '"Contoso" AND "Project A"' -MessageTypes Email -IncludeUnsearchableItems -LogLevel Full -InPlaceHoldEnabled $true

Start-MailboxSearch "Discovery-CaseId012"

Dopo aver usato Exchange Management Shell per creare una ricerca di eDiscovery In-Place, è necessario avviare la ricerca usando il cmdlet Start-MailboxSearch per copiare i messaggi nella cassetta postale di individuazione specificata nel parametro TargetMailbox . Per i dettagli, vedere Copiare i risultati della ricerca eDiscovery in una cassetta postale di individuazione.

Nota

Quando si usano i parametri StartDate e EndDate , è necessario usare il formato data mm/gg/aaaa, anche se le impostazioni del computer locale sono configurate per l'uso di un formato di data diverso, ad esempio gg/MM/aaaa. Ad esempio, per cercare i messaggi inviati tra la data 1 aprile 2015 e 1 luglio 2015, verrà utilizzato il formato 04/01/2015 e 07/01/2015 per le date di inizio e di fine.

Esempio 2

In questo esempio viene creata una ricerca eDiscovery sul posto denominata HRCase090116 che esegue la ricerca dei messaggi di posta elettronica inviati da Alex Darrow a Sara Davis nel 2015.

New-MailboxSearch "HRCase090116" -StartDate "01/01/2015" -EndDate "12/31/2015" -SourceMailboxes alexd,sarad -SearchQuery 'From:alexd@contoso.com AND To:sarad@contoso.com' -MessageTypes Email -TargetMailbox "Discovery Search Mailbox" -IncludeUnsearchableItems -LogLevel Full

Start-MailboxSearch "HRCase090116"

Esempio 3

In questo esempio viene creata ricerca di sola stima che cerca all'interno delle cartelle pubbliche dell'organizzazione gli elementi inviati tra il 1° gennaio 2015 e il 30 giugno 2015, e che contengono la frase "violazione brevetto". La ricerca non include le cassette postali. Il cmdlet Start-MailboxSearch viene utilizzato per avviare la ricerca di sola stima.

New-MailboxSearch -Name "Northwind Subpoena-All PFs" -AllPublicFolderSources $true -AllSourceMailboxes $false -SearchQuery "patent infringement" -StartDate "01/01/2015" -EndDate "06/30/2015" -TargetMailbox "Discovery Search Mailbox" -EstimateOnly

Start-MailboxSearch "Northwind Subpoena-All PFs"

Esempio 4

In questo esempio viene effettuata una ricerca in tutte le cassette postali e in tutte le cartelle pubbliche per trovare qualsiasi contenuto che includa le parole "listino" e "Contoso" e che sia stato inviato dopo il 1° gennaio 2015. Il cmdlet Start-MailboxSearch consente di eseguire la ricerca e copiare i risultati della ricerca nella cassetta postale di individuazione.

New-MailboxSearch -Name "Contoso Litigation" -AllSourceMailboxes $true -AllPublicFolderSources $true -SearchQuery '"price list" AND "contoso"' -StartDate "01/01/2015" -TargetMailbox "Discovery Search Mailbox"

Start-MailboxSearch "Contoso Litigation"

Utilizzare l'interfaccia di amministrazione di Exchange per visualizzare una stima o un'anteprima dei risultati di ricerca

Dopo aver creato una ricerca eDiscovery, è possibile utilizzare l'interfaccia di amministrazione di Exchange per visualizzare una stima o un'anteprima dei risultati di ricerca. Se è stata creata una nuova ricerca utilizzando il cmdlet New-MailboxSearch, è possibile utilizzare Exchange Management Shell per avviare la ricerca e visualizzare una stima dei risultati di ricerca.

1. Passare a Gestione> conformitàeDiscovery sul posto & blocco.

2. Nella vista a elenco, selezionare la ricerca ed eseguire una delle operazioni seguenti:

   • Fare clic >Stimare i risultati della ricerca per restituire una stima delle dimensioni totali e del numero di elementi che verranno restituiti dalla ricerca in base ai criteri specificati. Se viene selezionata questa opzione si riavvia la ricerca e si esegue una stima.

     Le stime della ricerca vengono visualizzate nel riquadro dei dettagli. Fare clic Per aggiornare le informazioni visualizzate nel riquadro dei dettagli.

   • Fare clic su Anteprima risultati della ricerca nel riquadro dei dettagli per visualizzare un'anteprima dei risultati al termine della stima di ricerca. Selezionando questa opzione viene visualizzata la finestra Anteprima di ricerca eDiscovery. Vengono visualizzati tutti i messaggi restituiti dalle cassette postali o dalle cartelle pubbliche in cui è stata eseguita la ricerca.

     Nota

     Le cassette postali o le cartelle pubbliche in cui è stata eseguita la ricerca vengono visualizzate nel riquadro a destra della finestra Anteprima di ricerca eDiscovery. Per ogni origine, viene visualizzato il numero degli elementi restituiti e la loro dimensione totale. Tutti gli elementi restituiti dalla ricerca vengono elencati nel riquadro a destra e possono essere ordinati in base alla data più o meno recente. Non è possibile visualizzare gli elementi di ogni cassetta postale o cartella pubblica nel riquadro a destra se si seleziona un'origine nel riquadro a sinistra. Per visualizzare gli elementi restituiti da una cassetta postale o cartella pubblica specifica, è possibile copiare i risultati di ricerca e visualizzare gli elementi nella cassetta postale di individuazione.

   

Utilizzare Exchange Management Shell per eseguire una stima dei risultati di ricerca

È possibile usare l'opzione EstimateOnly per ottenere una stima dei risultati della ricerca e non copiare i risultati in una cassetta postale di individuazione. È necessario avviare una ricerca di tipo solo stime con il cmdlet Start-MailboxSearch. In seguito, è possibile recuperare i risultati di ricerca stimati utilizzando il cmdlet Get-MailboxSearch. Non è possibile utilizzare Exchange Management Shell per visualizzare un'anteprima dei messaggi restituiti nei risultati della ricerca.

Ad esempio, è necessario eseguire i comandi seguenti per creare una nuova ricerca e per visualizzare una stima dei risultati di ricerca.

New-MailboxSearch "FY15 Q2 Financial Results" -StartDate "04/01/2015" -EndDate "06/30/2015" -SourceMailboxes "DG-Finance" -SearchQuery '"Financial" AND "Fabrikam"' -EstimateOnly -IncludeKeywordStatistics

Start-MailboxSearch "FY15 Q2 Financial Results"

Get-MailboxSearch "FY15 Q2 Financial Results"

Per visualizzare informazioni specifiche sui risultati di ricerca stimati nel precedente esempio, è possibile eseguire il comando seguente:

Get-MailboxSearch "FY15 Q2 Financial Results" | Format-List Name,Status,LastRunBy,LastStartTime,LastEndTime,Sources,SearchQuery,ResultSizeEstimate,ResultNumberEstimate,Errors,KeywordHits

Ulteriori informazioni

• Dopo aver creato una nuova ricerca eDiscovery, è possibile copiare i risultati di ricerca nella cassetta postale di individuazione ed esportare tali risultati in un file PST. Per ulteriori informazioni, vedere:

  • Copiare i risultati della ricerca eDiscovery in una cassetta postale di individuazione

  • Esportazione dei risultati della ricerca eDiscovery in un file PST

• Dopo aver eseguito una stima della ricerca eDiscovery (che include le parole chiave dei risultati della ricerca), è possibile visualizzare le statistiche sulle parole chiave facendo clic su Visualizza statistiche parole chiave nel riquadro dei dettagli per la ricerca selezionata. Queste statistiche sulle parole chiave consentono di consultare i dettagli sul numero di elementi restituiti per ciascuna parola chiave utilizzata nella query di ricerca. Tuttavia, se la ricerca include oltre 100 cassette postali di origine, viene visualizzato un errore quando si prova a consultare le statistiche sulle parole chiave. Per visualizzare le statistiche sulle parole chiave, non includere più di 100 cassette postale di origine nella ricerca.

• Se si usa Get-MailboxSearch in Exchange Online per recuperare informazioni su una ricerca di eDiscovery, è necessario specificare il nome di una ricerca per restituire un elenco completo delle proprietà di ricerca; Ad esempio, Get-MailboxSearch "Contoso Legal Case". Se si esegue il cmdlet Get-MailboxSearch senza utilizzare gli eventuali parametri, non vengono restituite le proprietà seguenti:

  • SourceMailboxes

  • Sources

  • PublicFolderSources

  • SearchQuery

  • ResultsLink

  • PreviewResultsLink

  • Errors

    Il motivo è che richiede molte risorse per restituire queste proprietà per tutte le ricerche eDiscovery dell'organizzazione.