Office 365 - Usando In-Place Hold eDiscovery no Exchange Online

Olá galera,

Vamos falar um pouco do que é o In-Place Hold no Exchange 2013, tanto On-Premises quanto Online, onde ambos tem as mesmas configurações e opções. Contar um pouco da origem e da necessidade de se manter mensagens eletrônicas em “hold” e também quando a Microsoft começou a se preocupar com isso.

Então, o nosso sumário desta série de artigos é:

História

Em Dezembro de 2006, a FRCP – U.S Federal Rules of Civil Procedure, decidiu regulamentar que todo documento eletrônico deveria ser mantido em retenção por períodos determinados, a fim de serem usados como documentação oficial para fins de comprovação perante à Justiça. As organizações precisariam se adequar à preservação dos ESI – Eletronic Stored Information, onde todo e qualquer documento eletrônico da mesma fosse retido para fins de comprovação judicial futura, caso requerido pelas autoridades.

No Exchange 2007, as primeiras versões de Hold começaram a engatinhar, mas ainda bem básicas, com o parâmetro –RetentionHoldEnabled como parte do cmdlet Set-Mailbox. Nesta versão também deu início ao Recoverable Items, onde o próprio usuário final já estava apto a fazer a gestão das mensagens em retenção.

https://blogdolopez.files.wordpress.com/2015/07/image002.jpg?w=604&h=162

Já no Exchange 2010, a retenção tomou uma forma mais robusta e mais fácil de ser administrada e ativada, sendo chamada de Litigation Hold. Com o Litigation Hold surgiram novas formas de gestão e novas opções.

Foram inseridos no Set-Mailbox os cmdlets LitigationHoldEnabled, LitigationHoldDuration e LitigationHoldOwner. Cada umdestes com uma função específica afim de otimizar as opções de Hold, habilitando tempo de retenção do item em litígio, ativando/desativando as mailboxes que estariam nesta retenção, visto que era um parâmetro individual de cada mailbox, e definindo o Owner da mesma, para fins de relatórios e informações para os administradores.

Comparativo Litigation vs In-Place

Já no Exchange 2013, a Microsoft decidiu agregar duas funcionalidades em uma única, criando o In-Place eDiscovery Hold, onde as funcionalidades de Retenção e de Pesquisa (eDiscovery) seriam agregadas, a fim de combinar o poderio bélico de cada uma em um único arsenal poderoso.

No In-Place Hold, já seria possível criar pesquisas customizadas que mantivessem em Hold o resultado pesquisado, dentro das mailboxes especificadas, nas datas especificadas e com os itens de mailboxes especificados…ufa! Muitas opções novas, e muita diferença dos últimos Holds que vimos anteriormente.

Então, qual seria o melhor a usar?

A Microsoft não descontinuou nenhum dos dois, para que os administradores pudessem escolher qual deles lhes atenderia melhor, e qual atenderia as necessidades mais específicas. Olhando superficialmente, podemos dizer que o In-Place Hold veio para substituir o Litigation, mas como podemos ver na tabela comparativa abaixo, há ainda alguns pontos em que o Litigation tem sua característica sobressaída, até por ser feito para ser mais simples e funcional.

https://blogdolopez.files.wordpress.com/2015/07/image005.png?w=604&h=497

Problemas de se usar o Litigation

Trabalhando com implantações na consultoria e em troubleshootings, observei alguns pontos do Litigation que o tornavam menos favorecido que o seu irmão mais novo, o In-Place Hold. Essas características não o tornam obsoleto, mas deixam sua versão posterior mais fortalecida e robusta, deixando ele mais como um “sobressalente” em casos extremamente necessários.

•  Mailboxes órfãs – Em muitos casos, o administrador quer remover o usuário e mailbox da corporação, mas se esquece de remover o LitigationHoldEnabled, parâmetro que força o estado de Hold da conta. Com isso, a conta que estava em estado de “lock” perde as referências no Exchange, se tornando uma “ghost mailbox”, ou também chamada de orphaned mailbox. A mailbox continua existindo, por conta da retenção, mas todas as suas referências foram perdidas.
•  Filtros customizados para retenção – Até quando não existia, não sentíamos tanta falta. Mas agora, que já existe, vemos o quão necessário e essencial é poder customizar o que realmente precisa ser retido, e trabalhar com filtros a fim de pesquisar e manter em litígio apenas o necessário.

https://blogdolopez.files.wordpress.com/2015/07/image006.jpg?w=604&h=503

Permissões para administração do In-Place Hold

Como todo recurso do Exchange Server, o In-Place não seria diferente na parte de permissionamento. Já até podemos supor que ele seria bem mais rígido na questão de segurança, uma vez que vamos lidar com pesquisar e exportação de dados sigilosos, como conteúdo de todas as mailboxes da organização. Isso não deixaria por menos a questão de confiabilidade e auditoria…

Para utilização do In-Place, já existe um grupo pré-criado no deploy do Exchange que adiciona esta permissão. Este grupo é o Discovery Management, e é um grupo criado para fazer parte do conjunto de roles do RBAC (Role Based Access Control) do Exchange Server. Para entendermos um pouco melhor, vamos descrever abaixo o que é o RBAC, e logo depois qual q função do grupo de Discovery Management :

Role Based Access Control (RBAC) é o modelo de permissões usado no Microsoft Exchange Server 2013. Com RBAC, você não precisa modificar e gerenciar listas de controle de acesso (ACLs), como era feito no Exchange Server 2007. ACLs criavam vários desafios no Exchange 2007, como a modificação de ACLs sem gerar conseqüências indesejadas, modificações de ACL por meio de upgrades, manutenção e solucionar problemas ocorridos devido ao uso de ACLs de forma despadronizada.

RBAC permite que você controle, em ambas as formas amplas e granulares, que podem ser feito por usuários finais e administradores em níveis específicos. RBAC também permite alinhar melhor as funções que você atribuir aos usuários e administradores a funções reais tenham dentro da sua organização. No Exchange 2007, o modelo de permissões do servidor era aplicado somente aos administradores que gerenciavam a infra-estrutura do Exchange 2007 . No Exchange 2013, RBAC agora controla as tarefas administrativas que podem ser executadas e a extensão à qual os usuários agora podem administrar seus próprios grupos de distribuição e caixas de correio.

https://i-technet.sec.s-msft.com/dynimg/IC633727.jpg

A role Discovery Management é uma role built-in, ou seja, criada na instalação do Exchange Server dentro do modelo de permissões RBAC. Grupos ou usuários assinados para esta role possuem as permissões de realizar pesquisas de conteúdo na organização de Exchange para dados baseados em critérios pré-estabelecidos, e também podem ativar e configurar retenção de mensagens nas mailboxes (Litigation Hold ou In-Place Hold).

Agora, aqui vai a dica: Para nosso último artigo, vamos dar uma dica de “como usar o recurso de Exportar PST” através da própria console do Exchange. Com isso, vamos precisar de mais uma permissão, e que não está incluída em nenhuma role do RBAC. Qual seria esta?

R: A permissão de “Mailbox Import-Export“. Esta permissão granular, que também é conhecida como Role Management Entry, não está adicionada em nenhuma das RBACs já existente, pois ela é bem específica para ser adicionada de forma deliberada.

Com isso, ou pode ser criado um novo grupo para inserir a permissão, ou a permissão pode ser adicionada em um RBAC já existente, como fiz em meu laboratório. Veja abaixo:

https://blogdolopez.files.wordpress.com/2015/09/role-group-mozilla-firefox.jpg?w=604

 

Workflow do processo de retenção

Os itens recuperáveis residem na sub-estrutura de cada caixa de correio, denominada non-IPM subtree. A non-IPM subtree é uma área de armazenamento dentro da caixa de correio que contém dados operacionais relativos a esta mesma mailbox. Esta sub-estrutura não está visível para os usuários que usam Microsoft Office Outlook, Outlook Web App ou outros clientes de email.

Essa alteração na arquitetura oferece os seguintes benefícios:

• Quando uma mailbox é movida para outro banco de dados de caixa de correio, a pasta itens recuperáveis é movida com ele;
• A pasta itens recuperáveis é indexada pelo Exchange Search e pode ser descoberta pelo In-Place eDiscovery;
• A pasta itens recuperáveis tem sua própria cota de armazenamento;
• O Exchange pode impedir que dados sejam removidos da pasta itens recuperáveis;
• Exchange pode rastrear edições em determinados conteúdos.

A pasta itens recuperáveis contém as seguintes subpastas:

• Deletions – Essa subpasta contém todos os itens excluídos da pasta Itens excluídos. (No Outlook, um usuário pode executar um soft-delete de um item pressionando Shift + Delete.) Essa subpasta é exibida aos usuários por meio do recurso de recuperar itens excluídos (Recoverable Items) no Outlook e Outlook Web App.
• Versions - Se o In-Place Hold, Litigation Hold ou Single Item Recovery estão habilitados, essa subpasta contém as cópias originais e as modificações dos itens excluídos. Essa pasta não é visível aos usuários finais.
• Purges – Se o Litigation Hold ou Single Item Recovery são habilitados, essa subpasta contém todos os itens que são excluídos como hard-delete. Essa pasta não é visível aos usuários finais.
• Audits –  Se a opção Mailbox Audit Logging estiver habilitada para uma mailbox, esta subpasta contém as entradas dos logs de auditoria.
• DiscoveryHolds –  Se o In-Place Hold estiver habilitado, essa subpasta contém todos os itens que atendem os parâmetros de search query e os excluídos como hard-delete.
• Calendar Logging  – Essa subpasta contém alterações de calendário que ocorrem dentro de uma caixa de correio. Essa pasta não está disponível para os usuários.

A ilustração a seguir mostra as subpastas nas pastas de Recoverable Itens. Ele também mostra a retenção de itens excluídos, o Single Item Recovery e o workflow do processo de Hold, que são descritos nas seções a seguir:

 

https://i-technet.sec.s-msft.com/dynimg/IC777650.gif

Workarounds utilizando o In-Place eDiscovery no Exchange Online

Para finalizar nossa série de artigos, vamos citar aqui recursos interessantes e úteis para se utilizar com o In-Place Hold eDiscovery do Exchange 2013/Online. Um deles é a visualização de uma “estatística” da mailbox (ou das mailboxes, já que a regra de eDiscovery pode ter como escopo até um grupo) que faz parte da rule. Vejam:

https://blogdolopez.files.wordpress.com/2015/09/in-place-ediscovery-hold-microsoft-exchange-microsoft-edge.jpg?w=604

Mas o recurso mais interessante mesmo é a exportação de conteúdo para PST, utilizando o próprio browser, e nada mais! Tudo que o navegador em questão precisa é ser compatível (Internet Explorer, Edge, Mozilla e Chrome são atualmente) e ter o .NET Framework 4.5. Veja abaixo como funciona:

https://i-technet.sec.s-msft.com/dynimg/IC716779.gif

https://blogdolopez.files.wordpress.com/2015/09/ediscovery-pst-export-tool.jpg?w=604

Após este processo de exportação, ele irá gerar uma série de arquivos, conforme exibido abaixo, sendo cada qual com sua finalidade. O “.config.txt” é um arquivo com as entradas adicionadas na rule de In-Place, que mantém as informações selecionadas nas opções exibidas no Export, e também o horário da ação executada.

Já o arquivo “.resultslog.csv” contém uma séria de informações, no modelo Report, das mensagens contidas em cada mailbox exportada, com informações separadas em colunas como Source Mailbox, Item, Original Path, Target Path, E-mail Address, Received Time, Sent Time, entre outros.

Os outros dois arquivos são os .PSTs, criados individualmente para cada mailbox que faz parte da regra de In-Place Hold exportada. Interessante também do recurso é que se a mailbox possuir mais de 10 GB de conteúdo, a ferramenta fará automaticamente um split do PST ao chegar próximo deste valor, gerando um novo PST para a mesma mailbox referida. Isso se dá por conta das recomendações da Microsoft quanto à utilização de arquivos PST (KB982577 e KB297019).

https://blogdolopez.files.wordpress.com/2015/09/editar-post-e280b9-blog-do-lopez-e28094-wordpress-mozilla-firefox.jpg?w=695&h=261

Dica: Se os botões de ação do In-Place Hold não estiverem sendo exibidos, como no realce abaixo, é porque as permissões não foram inseridas corretamente. Veja na seção 2 deste artigo como realizar a configuração da permissão corretamente.

https://blogdolopez.files.wordpress.com/2015/09/in-place-ediscovery-hold-microsoft-exchaqnge-microsoft-edge.jpg?w=604

Então foram estas as dicas, galera!

Espero que tenham ajudado à vocês e que o conteúdo tenha sido eficaz!

Abços e até o próximo post,

**

**

Referências Oficiais:

• Recoverable Items folder
• In-Place eDiscovery and In-Place Hold in the New Exchange
• Litigation Hold versus In-Place Hold in Exchange Online
• Litigation Hold and In-Place Hold in Exchange 2013 and Exchange Online
• In-Place Hold and Litigation Hold
• Manage inactive mailboxes in Exchange Online
• Compliance Search in the Office 365 Compliance Center
• Export eDiscovery search results to a PST file
• Discovery Management
• Understanding Role Based Access Control
• Built-in role groups
• Add the Mailbox Import Export Role to a Role Group

Bruno Lopes – MVP Office Servers and Services | Facebook Page | YouTube Channel | Twitter | LinkedIn