在电子数据展示事例中创建电子数据展示保留

提示

电子数据展示 (预览) 现已在新的 Microsoft Purview 门户中提供。 若要详细了解如何使用新的电子数据展示体验,请参阅 了解电子数据展示 (预览版)

可以使用 Microsoft Purview 电子数据展示 (Premium) 或 (Standard) 事例来创建保留,以保留可能与案例相关的内容。 可以暂停 Exchange 邮箱,并OneDrive for Business正在调查此案的人员的帐户。 还可以对与 Microsoft Teams 关联的邮箱和网站、Microsoft 365 个组和Viva Engage 组进行保留。 将内容位置置于保留状态时,内容将保留到从保留中删除内容位置或删除保留为止。

重要

对于与电子数据展示调查无关的长期数据保留,强烈建议使用保留策略和保留标签。 有关详细信息,请参阅了解保留策略和保留标签

创建电子数据展示保留后,保留可能需要长达 24 小时才能生效。

创建保留时,可以使用以下选项来限定在指定内容位置中保留的内容的范围:

  • 无限 - 指定位置中的所有内容都处于保留状态。 或者,可以创建基于查询的保留,其中仅保留与搜索查询匹配的指定位置中的内容。
  • 指定日期范围以仅保留在该日期范围内发送、接收或创建的内容。 或者,无论何时发送、接收或创建,都可以将所有内容保存在指定位置。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

创建电子数据展示保留:

若要创建与电子数据展示 (高级版) 或 (Standard) 事例关联的电子数据展示保留:

注意

在有限的时间内,新的 Microsoft Purview 门户中也提供了此经典电子数据展示体验。 在电子数据展示 (预览版中启用合规性门户经典电子数据展示体验) 体验设置,以便在新的 Microsoft Purview 门户中显示经典体验。

  1. 转到Microsoft Purview 合规门户,并使用具有相应电子数据展示权限的用户帐户凭据登录。

  2. 在左侧导航窗格中,选择“全部显示”,然后选择“电子数据展示>高级版”或“电子数据展示>Standard”。

  3. “电子数据展示>高级版”或“电子数据展示 (Standard) ”页上,选择要在其中创建保留的事例的名称。

  4. 在案例的“ 主页 ”上,选择“ 保留 ”选项卡。

  5. “保留 ”页上,选择“ 创建”。

  6. “为保留工作流命名 ”页上,为保留指定名称并添加可选说明,然后选择“ 下一步”。 保留名称在你的组织中必须保持唯一。

  7. “选择位置 ”工作流页上,选择要保留的内容位置。 可以将邮箱、站点和公用文件夹置于保留状态。

    选择将其置于保留状态的内容位置。

    1. Exchange 邮箱: 将开关设置为 打开 ,然后选择 选择用户、组或团队 以指定要置于保留状态的邮箱。 使用搜索框查找用户邮箱和通讯组(将组成员的邮箱置于保留状态)以置于保留状态。 还可以保留Microsoft团队、Microsoft 365 组和Viva Engage组的关联邮箱。 有关邮箱处于保留状态时保留的应用程序数据的详细信息,请参阅电子 数据展示邮箱中存储的内容

    重要

    选择要保留的通讯组列表时,在创建策略时,将针对通讯组列表中的每个成员邮箱进行保留。 通讯组列表中的后续更改不会更改或更新保留或策略。

    1. SharePoint 网站:将开关设置为"打开",然后选择"选择网站"以指定要保留的 SharePoint 网站和 OneDrive 帐户。 键入你想要置于保留状态的每个站点的 URL。 还可以为Microsoft团队、Microsoft 365 组或 Yammer 组添加 SharePoint 网站的 URL。

    重要

    若要为与 SharePoint Online 网站相关的子网站创建保留,必须使用查询筛选器中的 Path 属性来选择特定的子网站。

    1. Exchange 公用文件夹:将切换设置为“打开”,从而把 Exchange Online 组织中的所有公用文件夹置于保留状态。 无法选择要置于保留状态的特定公用文件夹。 如果不想把公用文件夹置于保留状态,请让切换开关保持关闭。

    重要

    将 Exchange 邮箱或 SharePoint 网站添加到保留时,必须将至少一个内容位置显式添加到保留。 换句话说,如果将邮箱或网站的切换开关设置为 “打开 ”,则必须选择要添加到保留的特定邮箱或站点。 否则,将创建电子数据展示保留,但不会将任何邮箱或网站添加到保留中。

  8. 将位置添加到保留状态后,选择“ 下一步”。

  9. 若要使用关键字或条件创建基于查询的保留,请完成以下步骤。 若要保留指定内容位置中的所有内容,请选择 下一步

    使用关键字 (keyword) 和条件创建基于查询的保留。

    1. 关键字下的框中,键入查询以仅保留与查询条件匹配的内容。 可以指定关键字、电子邮件属性或网站属性,例如文件名。 可以使用采用布尔运算符的更复杂查询,例如 ANDORNOT
    2. 选择 添加条件 添加一个或多个条件以缩小对保留的查询范围。 每个条件都会向创建并运行的 KQL 搜索查询添加子句,并在创建保留时运行该子句。 例如,可以指定日期范围,以便保留在日期范围内创建的电子邮件或网站文档。 条件在逻辑上由 AND 运算符连接到关键字查询(在关键字框中指定)和其他条件。 这意味着项必须同时满足关键字查询和要保留的条件。

    有关创建搜索查询和使用条件的详细信息,请参阅 电子数据展示的关键字查询和搜索条件。

  10. 配置基于查询的保留后,选择下一步

  11. 查看设置(必要时进行编辑),然后选择 提交

创建保留后,检查导航到案例中的“保留”选项卡并选择保留策略,成功应用了保留。 有关排查错误保留的详细信息,请参阅 解决电子数据展示保留错误

注意

创建基于查询的保留时,来自所选位置的所有内容最初都处于保留状态。 随后,任何与指定查询不匹配的内容每 7 到 14 天从保留中清除一次。 但是,如果将任何类型的五个以上的保留应用于内容位置,或者任何项存在索引问题,则基于查询的保留不会清除内容。

基于查询的保留放置在站点上

在 SharePoint 网站中的文档上放置基于查询的电子数据展示保留时,请记住以下事项:

  • 基于查询的保留最初会在删除后将网站中的所有文档保留一小段时间。 这意味着,删除文档时,即使文档不符合基于查询的保留条件,也会将其移动到保留库。 但是,处理保留库的计时器作业将删除与基于查询的保留不匹配的已删除文档。 计时器作业定期运行,并将保留库中的所有文档与基于查询的电子数据展示保留 (以及其他类型的保留和保留策略) 进行比较。 计时器作业删除与基于查询的保留不匹配的文档,并保留这样做的文档。
  • 不应使用基于查询的保留来执行有针对性的保留,例如保留特定文件夹或站点中的文档或使用其他基于位置的保留条件。 这样做可能会产生意外的结果。 建议使用非基于位置的保留条件(如关键字、日期范围或其他文档属性)来保留网站文档。

电子数据展示保留上的搜索位置

在电子数据展示 (Standard) 事例中搜索内容时,可以快速将搜索配置为仅搜索已放置在与案例关联的保留中的内容位置。

选择“ 保留 位置”选项以搜索已置于保留状态的所有内容位置。 如果事例包含多个电子数据展示保留,则选择此选项时,将搜索所有保留中的内容位置。 此外,如果内容位置置于基于查询的保留上,则运行搜索时仅搜索与保留查询匹配的项。 换句话说,仅返回与保留条件和搜索条件匹配的内容和搜索结果。 例如,如果将用户置于基于查询的案例保留中,而保留在特定日期之前发送或创建的项目,则只会搜索这些项。 这是通过连接大小写保留查询和 通过 AND 运算符搜索查询来实现的。

在电子数据展示保留中搜索位置时,需要注意以下其他事项:

  • 如果内容位置是同一事例中的多个保留的一部分,则使用“所有事例内容”选项搜索该内容位置时,保留查询由 OR 运算符组合。 同样,如果内容位置是两个不同保留的一部分,其中一个是基于查询的,另一个是无限保留 (其中所有内容都置于保留) ,则由于无限保留,所有内容都是搜索的。
  • 如果将搜索配置为搜索保留位置,然后通过添加或删除位置或更改保留查询) 来更改 (情况下的电子数据展示保留,则搜索配置会使用这些更改进行更新。 但是,必须在保留更改后重新运行搜索,才能更新搜索结果。
  • 如果在电子数据展示事例中的单个位置上放置了多个电子数据展示保留,并且你选择搜索保留位置,则该搜索查询的最大关键字数为 500。 这是因为搜索使用 OR 运算符合并了所有基于查询的保留。 如果组合保留查询和搜索查询中有超过 500 个关键字,则会搜索邮箱中的所有内容,而不仅仅是与基于查询的案例所保留的内容匹配的内容。
  • 如果电子数据展示保留状态为“ 打开 (挂起) ”,则仍可以在启用保留时搜索保留位置。

在 Microsoft Teams 中保留内容

作为Microsoft Teams 频道一部分的对话存储在与Microsoft团队关联的邮箱中。 同样,团队成员在渠道中共享的文件将存储在团队的 SharePoint 网站上。 因此,您必须将团队邮箱和 SharePoint 网站置于电子数据展示保留状态,以保留频道中的对话和文件。

或者,作为 Teams 中聊天列表一部分的对话 (称为 1:1 聊天1:N 群组聊天) 存储在参与聊天的用户的邮箱中。 用户在聊天对话中共享的文件存储在共享文件的用户的 OneDrive 帐户中。 因此,你必须将单个用户邮箱和 OneDrive 帐户添加到电子数据展示保留,以保留聊天列表中的对话和文件。 除了保留团队邮箱和站点外,最好对Microsoft团队成员的邮箱进行保留。

注意

如果组织具有 Exchange 混合部署 (或组织将本地 Exchange 组织与Office 365) 同步并启用了Microsoft Teams,则本地用户可以使用 Teams 聊天应用程序并参与 1:1 聊天和 1:N 群组聊天。 这些对话存储在与本地用户关联的基于云的存储中。 如果本地用户处于电子数据展示保留状态,则会保留基于云的存储中的 Teams 聊天内容。 有关详细信息,请参阅 搜索本地用户的 Teams 聊天数据

有关保留 Teams 内容的详细信息,请参阅 将Microsoft Teams 用户或团队置于法定保留状态

保留卡内容

同样,Teams 频道中的应用、1:1 聊天和 1:N 群组聊天生成的卡内容存储在邮箱中,并在邮箱置于电子数据展示保留状态时保留。 卡片 是一个 UI 容器,用于存放内容短片。 卡片可以有多个属性和附件,并且可以包含触发卡操作的项目。 有关详细信息,请参阅 卡片。 和其他 Teams 内容一样,卡片内容的存储位置由卡片用在何处来确定。 用于 Teams 频道中的卡片内容存储在 Teams 组邮箱中。 一对一和一对多聊天的卡片内容存储在聊天参与者的邮箱中。

保留会议和通话信息

Teams 频道中的会议和呼叫的摘要信息也存储在拨入会议或呼叫的用户的邮箱中。 在用户邮箱上放置电子数据展示保留时,也会保留此内容。

保留私人频道中的内容

从 2020 年 2 月开始,我们还开启了在私人频道中保留内容的功能。 由于专用频道聊天存储在聊天参与者的邮箱中,因此,将用户邮箱置于电子数据展示保留状态可保留专用频道聊天。 此外,如果用户邮箱在 2020 年 2 月之前处于电子数据展示保留状态,则保留现在将自动应用于存储在该邮箱中的专用频道邮件。 还支持保留专用频道中共享的文件。

保留 Wiki 内容

每个团队或团队频道还包含用于记笔记和协作的 Wiki。 Wiki 内容将会自动保存至采用 .mht 格式的文件。 此文件存储在团队 SharePoint 网站的 Teams Wiki 数据文档库中。 可以通过将团队的 SharePoint 网站添加到电子数据展示保留区来保留 Wiki 内容。

注意

2017 年 6 月 22 日发布了保留团队或团队频道 (保留团队或团队频道) Wiki 内容的功能。 如果团队网站处于保留状态,将从该日期开始保留 Wiki 内容。 但是,如果团队网站处于保留状态,并且 Wiki 内容在 2017 年 6 月 22 日之前被删除,则不会保留 Wiki 内容。

Microsoft 365 组

Teams 基于Microsoft 365 个组构建。 因此,将Microsoft 365 个组置于电子数据展示保留状态与将 Teams 内容置于保留状态类似。

将 Teams 和 Microsoft 365 组置于电子数据展示保留状态时,请记住以下事项:

  • 如前所述,若要将位于 Teams 中的内容置于保留状态,Microsoft 365 个组,必须指定与组或团队关联的邮箱和 SharePoint 网站。

  • Exchange Online PowerShell 中运行 Get-UnifiedGroup cmdlet,以查看 Teams 和 Microsoft 365 组的属性。 这是获取与团队或 Microsoft 365 组关联的网站的 URL 的好方法。 例如,以下命令显示名为“高级领导团队”的 Microsoft 365 组的选定属性:

    Get-UnifiedGroup "Senior Leadership Team" | FL DisplayName,Alias,PrimarySmtpAddress,SharePointSiteUrl
    
    DisplayName            : Senior Leadership Team
    Alias                  : seniorleadershipteam
    PrimarySmtpAddress     : seniorleadershipteam@contoso.onmicrosoft.com
    SharePointSiteUrl      : https://contoso.sharepoint.com/sites/seniorleadershipteam
    

    注意

    若要运行 Get-UnifiedGroup cmdlet,则你必须在 Exchange Online 中分配有仅查看收件人角色或者是分配有仅查看收件人角色的角色组的成员。

  • 搜索用户的邮箱时,不会搜索该用户所属的任何团队或Microsoft 365 组。 同样,将团队或Microsoft 365 组置于电子数据展示保留状态时,只有组邮箱和组网站处于保留状态。 组成员的邮箱和OneDrive for Business网站不会处于保留状态,除非显式将其添加到电子数据展示保留。 因此,如果出于法律原因必须保留团队或Microsoft 365 组,请考虑在同一保留区中添加团队或组成员的邮箱和 OneDrive 帐户。

  • 若要获取团队或Microsoft 365 组的成员列表,可以在Microsoft 365 管理中心的“组”页上查看属性。 或者,可以在 Exchange Online PowerShell 中运行以下命令:

    Get-UnifiedGroupLinks <group or team name> -LinkType Members | FL DisplayName,PrimarySmtpAddress
    

    注意

    若要运行 Get-UnifiedGroupLinks cmdlet,则你必须在 Exchange Online 中分配有仅查看收件人角色或者是分配有仅查看收件人角色的角色组的成员。

保留 OneDrive 帐户中的内容

若要收集组织中OneDrive for Business网站的 URL 列表,以便将其添加到与电子数据展示案例关联的保留或搜索中,请参阅创建组织中所有 OneDrive 位置的列表。 本文中的脚本创建一个文本文件,其中包含组织中所有 OneDrive 网站的列表。 若要运行此脚本,必须安装并使用 SharePoint Online Management Shell。 请务必将你组织的 MySite 域的 URL 附加到你想要搜索的每个 OneDrive 网站。 这是包含所有 OneDrive 的域;例如 。 https://contoso-my.sharepoint.com 下面是用户的 OneDrive 网站的 URL 示例: https://contoso-my.sharepoint.com/personal/sarad_contoso_onmicrosoft.com

重要

用户的 OneDrive 帐户的 URL 包括其用户主体名称 (UPN) (例如 https://alpinehouse-my.sharepoint.com/personal/sarad_alpinehouse_onmicrosoft_com ,) 。 在极少数情况下,用户的 UPN 发生更改,其 OneDrive URL 也会更改以合并新的 UPN。 如果用户的 OneDrive 帐户是电子数据展示保留的一部分,并且其 UPN 已更改,则需要通过添加用户的新 OneDrive URL 并删除旧 URL 来更新保留。 如果 OneDrive 网站的 URL 发生更改,以前在网站上放置的保留将保持有效,并保留内容。 有关详细信息,请参阅 UPN 更改如何影响 OneDrive URL

从电子数据展示保留中删除内容位置

从电子数据展示保留中删除邮箱、SharePoint 网站或 OneDrive 帐户后, 将应用延迟保留 。 这意味着,实际删除保留会延迟 30 天,以防止永久删除数据 (从内容位置清除) 。 这使管理员有机会搜索或恢复在删除电子数据展示保留后将清除的内容。 延迟保留如何适用于邮箱和网站的详细信息有所不同。

  • 邮箱: 托管文件夹助理下次处理邮箱并检测到删除电子数据展示保留时,会对邮箱进行延迟保留。 具体而言,当托管文件夹助理将以下邮箱属性 之一设置为 True时,延迟保留将应用于邮箱:

    • DelayHoldApplied:此属性适用于使用 Outlook 的用户生成 (与电子邮件相关的内容,以及存储在用户邮箱中的Outlook 网页版) 。
    • DelayReleaseHoldApplied:此属性适用于非 Outlook 应用(如 Microsoft Teams、 (Microsoft Forms 和存储在用户邮箱中的 Microsoft Yammer) )生成的基于云的内容。 Microsoft 应用生成的云数据通常存储在用户邮箱的隐藏文件夹中。

    当在邮箱上放置延迟保留(当以前的任一属性设置为 True时),邮箱仍被视为处于无限制保留期,就像邮箱处于诉讼保留状态一样。 30 天后,延迟保留过期,Microsoft 365 将自动尝试删除延迟保留 (,方法是将 DelayHoldApplied 或 DelayReleaseHoldApplied 属性设置为 False) 以便删除保留。 将其中任一属性设置为 False 后,在托管文件夹助理下次处理邮箱时,将清除标记为要删除的相应项目。

    有关详细信息,请参阅管理延迟保留的邮箱

  • SharePoint 和 OneDrive 网站: 在从电子数据展示保留区中删除网站后的 30 天延迟保留期内,不会删除保留库中保留的任何 SharePoint 或 OneDrive 内容。 这类似于从保留策略中释放网站时发生的情况。 此外,在 30 天的延迟保留期内,不能在保留库中手动删除此内容。 若要从 30 天延迟保留/宽限期保留中释放站点,请参阅 因无效保留策略或电子数据展示保留而无法删除站点 一文。

    有关详细信息,请参阅 发布保留策略。

关闭电子数据展示 (Standard) 事例时,延迟保留也会应用于保留的内容位置,因为关闭案例时会关闭保留。 有关关闭事例的详细信息,请参阅关闭、重新打开和删除电子数据展示 (Standard) 案例

电子数据展示保留限制

下表列出了电子数据展示事例和事例保留的限制。

限制说明 限制
组织的最大案例数。 无限制
组织电子数据展示保留策略的最大数目。 此限制包括电子数据展示 (Standard) 和电子数据展示 (高级版) 案例中的保留策略总数。 10,0001
单个电子数据展示保留中的最大邮箱数。 此限制包括用户邮箱的总和,以及与 Microsoft 365 个组、Microsoft Teams 和 Viva Engage 组 关联的邮箱。 1,000
单个电子数据展示保留中的最大站点数。 此限制包括OneDrive for Business网站、SharePoint 网站以及与 Microsoft 365 个组、Microsoft Teams 和Viva Engage 组关联的网站的总和。 <br/ 100
电子数据展示主页上显示的最大事例数,以及事例中“保留”、“搜索”和“导出”选项卡上显示的最大项目数。 1,0001
SharePoint 网站和 OneDrive 的保留限制 有关详细信息,请参阅 SharePoint 限制

注意

1 若要查看包含 1,000 多个案例、保留、搜索或导出的列表,可以使用相应的安全性 & 合规性 PowerShell cmdlet: