在电子数据展示 (预览版中创建保留)
可以创建保留以保留可能与电子数据展示事例相关的内容。 你可以对正在调查此案的人员的 Exchange 邮箱和 OneDrive 帐户进行保留。 还可以对与 Microsoft Teams 关联的邮箱和网站、Microsoft 365 个组和Viva Engage 组进行保留。 将内容位置置于保留状态时,内容将保留到从保留中删除内容位置或删除/释放保留为止。
重要
创建电子数据展示保留后,保留可能需要长达 24 小时才能生效。 对于与电子数据展示调查无关的长期数据保留,强烈建议使用保留策略和保留标签。 有关详细信息,请参阅了解保留策略和保留标签。
创建保留时,可以使用以下选项来限定在指定内容位置中保留的内容的范围:
- 无限 - 指定位置中的所有内容都处于保留状态。 或者,可以创建基于查询的保留,其中仅保留与搜索查询匹配的指定位置中的内容。
- 指定日期范围以仅保留在该日期范围内发送、接收或创建的内容。 或者,无论何时发送、接收或创建,都可以将所有内容保存在指定位置。
提示
开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot。
创建电子数据展示保留
提示
你更喜欢交互式配置指南体验吗? 请查看 应用保留 指南。
若要创建与电子数据展示事例关联的电子数据展示保留,请完成以下步骤:
转到 Microsoft Purview 门户 ,并使用分配有电子数据展示权限的用户帐户的凭据登录。
选择电子数据展示解决方案卡然后选择左侧导航栏中的“案例 (预览) ”。
选择一个案例,然后选择“ 保留策略 ”选项卡。
在“保留策略仪表板,选择”创建策略”。
在 “输入详细信息以开始使用 ”页上,填写以下字段:
- 策略名称:为保留策略指定一个名称 (所需的) 。 保留策略名称在组织中必须唯一
- 策略说明:添加可选说明,以帮助其他人了解此保留策略。
选择“ 创建 ”以创建新的保留策略,并开始对案例的相关数据进行保留。
在“保留策略”选项卡上选择“添加数据源”。
在 “管理数据源 ”浮出控件窗格中,将添加或删除保留策略的数据源。 可以选择一个或多个用户、组或组织位置。
- 必须至少选择一个日期源才能创建保留策略。
- 输入要添加到保留策略的特定用户、组或组织位置。
Exchange 邮箱:为处于保留状态的邮箱选择了适用的复选框。 使用 “编辑” 查找用户邮箱和通讯组 () 要保留的组成员的邮箱。 还可以保留Microsoft团队、Microsoft 365 组和Viva Engage组的关联邮箱。 有关邮箱处于保留状态时保留的应用程序数据的详细信息,请参阅电子 数据展示邮箱中存储的内容。
重要
选择要保留的通讯组列表时,通讯组列表将扩展到通讯组列表的成员。 用户可以选择保留所有成员的邮箱和 OneDrive 或保留这些数据源的子集/组合。 通讯组列表成员身份的后续更改不会更改或更新保留或策略。 用户必须再次将通讯组列表添加到数据源,以确保反映和扩展最新的成员身份。
SharePoint 网站:对于处于保留状态的 SharePoint 网站和 OneDrive 帐户,已选中适用的复选框。 使用 “编辑” 输入要保留的其他网站的 URL。 还可以为Microsoft团队、Microsoft 365 组或 Yammer 组添加 SharePoint 网站的 URL。
重要
SharePoint 网站中的回收站未编制索引,因此无法进行搜索。 因此,电子数据展示搜索找不到任何要保留的回收站内容。
选择“保存”。 现在已确定保留策略的数据源范围。
若要定义保留策略的参数,可以从“ 保留策略 ”选项卡上的以下选项中进行选择:
条件生成器:在生成保留策略时,搜索中的条件生成器选项提供视觉筛选体验。 每个条件都会添加一个子句,该子句在创建保留时创建并运行。 例如,可以指定日期范围,以便保留在日期范围内创建的电子邮件或网站文档。 有关使用条件生成器选项的详细信息,请参阅 使用条件生成器在电子数据展示中创建搜索查询 (预览版) 。
关键字查询语言 (KeyQL) :搜索中的关键字查询语言 (KeyQL) 查询选项提供了指导,使你能够快速将复杂的长查询直接粘贴到编辑器中。 有关使用 KeyQL 选项生成搜索查询的详细信息,请参阅 使用关键字查询语言在电子数据展示中创建搜索查询 (预览版) 。
还可以使用 Microsoft Security Copilot 快速生成用于搜索的 KeyQL 查询。 有关详细信息,请参阅使用 Microsoft Copilot (预览版创建 KeyQL 搜索查询) 。
选择 “应用保留”。
创建保留后,检查导航到保留策略的“详细信息”选项卡,以成功应用保留。 可以查看保留策略的以下信息:
- 名称:数据源的名称。
- 位置:特定位置 (,例如邮箱的 SMTP 地址或站点的 URL) 包含在保留策略中的数据源。
- 保留状态:位置的保留状态。 指示位置是否处于保留状态,而不是处于保留状态,或者是否存在保留错误。
- 源类型:显示数据源类型是人员还是组。
- 位置类型:显示位置是 邮箱 还是 站点。
注意
创建基于查询的保留时,来自所选位置的所有内容最初都处于保留状态。 随后,任何与指定查询不匹配的内容每 7 到 14 天从保留中清除一次。 但是,如果将任何类型的五个以上的保留应用于内容位置,或者任何项存在索引问题,则基于查询的保留不会清除内容。
流程经理
进程管理器显示有关对保留策略执行的进程的信息。
- 进程类型:进程类型。
- 状态:进程的状态。
- 创建:创建进程的日期和时间。
- 已完成:该过程完成的日期和时间。
- 持续时间:进程的持续时间。
- 创建者:创建进程的用户。
若要下载进程列表和列信息,请选择“ 下载列表 ”以创建包含此信息的 .csv 文件。
若要查看有关所有电子数据展示进程的信息,请参阅 在电子数据展示中使用进程报表 (预览版) 。
基于查询的保留放置在站点上
在 SharePoint 网站中的文档上放置基于查询的电子数据展示保留时,请记住以下事项:
- 基于查询的保留最初会在删除后将网站中的所有文档保留一小段时间。 这意味着,删除文档时,即使文档不符合基于查询的保留条件,也会将其移动到保留库。 但是,处理保留库的计时器作业会删除与基于查询的保留不匹配的已删除文档。 计时器作业定期运行,并将保留库中的所有文档与基于查询的电子数据展示保留 (以及其他类型的保留和保留策略) 进行比较。 计时器作业删除与基于查询的保留不匹配的文档,并保留这样做的文档。
- 应使用基于查询的保留来执行有针对性的保留,例如关键字、日期范围或其他文档属性,以保留网站文档。
在 Microsoft Teams 中保留内容
作为Microsoft Teams 频道一部分的对话存储在与Microsoft团队关联的邮箱中。 同样,团队成员在渠道中共享的文件将存储在团队的 SharePoint 网站上。 因此,您必须将团队邮箱和 SharePoint 网站置于电子数据展示保留状态,以保留频道中的对话和文件。
或者,作为 Teams 中聊天列表一部分的对话 (称为 1:1 聊天 或 1:N 群组聊天) 存储在参与聊天的用户的邮箱中。 用户在聊天对话中共享的文件存储在共享文件的用户的 OneDrive 帐户中。 因此,你必须将单个用户邮箱和 OneDrive 帐户添加到电子数据展示保留,以保留聊天列表中的对话和文件。 除了保留团队邮箱和站点外,最好对Microsoft团队成员的邮箱进行保留。
注意
如果组织具有 Exchange 混合部署 (或组织将本地 Exchange 组织与Office 365) 同步并启用了Microsoft Teams,则本地用户可以使用 Teams 聊天应用程序并参与 1:1 聊天和 1:N 群组聊天。 这些对话存储在与本地用户关联的基于云的存储中。 如果将本地用户置于电子数据展示保留状态,则会保留基于云的存储中的 Teams 聊天内容。 有关详细信息,请参阅 搜索本地用户的 Teams 聊天数据。
保留卡内容
同样,Teams 频道中的应用、1:1 聊天和 1:N 群组聊天生成的卡内容存储在邮箱中,并在邮箱置于电子数据展示保留状态时保留。 卡片 是一个 UI 容器,用于存放内容短片。 卡片可以有多个属性和附件,并且可以包含触发卡操作的项目。 有关详细信息,请参阅 卡片。 和其他 Teams 内容一样,卡片内容的存储位置由卡片用在何处来确定。 用于 Teams 频道中的卡片内容存储在 Teams 组邮箱中。 一对一和一对多聊天的卡片内容存储在聊天参与者的邮箱中。
保留会议和通话信息
Teams 频道中的会议和呼叫的摘要信息也存储在拨入会议或呼叫的用户的邮箱中。 在用户邮箱上放置电子数据展示保留时,也会保留此内容。
保留私人频道中的内容
从 2020 年 2 月开始,我们还开启了在私人频道中保留内容的功能。 由于专用频道聊天存储在聊天参与者的邮箱中,因此,将用户邮箱置于电子数据展示保留状态可保留专用频道聊天。 此外,如果用户邮箱在 2020 年 2 月之前处于电子数据展示保留状态,则保留现在将自动应用于存储在该邮箱中的专用频道邮件。 还支持保留专用频道中共享的文件。
保留 Wiki 内容
每个团队或团队频道还包含用于记笔记和协作的 Wiki。 Wiki 内容将会自动保存至采用 .mht 格式的文件。 此文件存储在团队 SharePoint 网站的 Teams Wiki 数据文档库中。 可以通过将团队的 SharePoint 网站添加到电子数据展示保留区来保留 Wiki 内容。
注意
2017 年 6 月 22 日发布了保留团队或团队频道 (保留团队或团队频道) Wiki 内容的功能。 如果团队网站处于保留状态,则从该日期开始保留 Wiki 内容。 但是,如果团队网站处于保留状态,并且 Wiki 内容在 2017 年 6 月 22 日之前被删除,则不会保留 Wiki 内容。
Microsoft 365 组
Teams 基于Microsoft 365 个组构建。 因此,将Microsoft 365 个组置于电子数据展示保留状态与将 Teams 内容置于保留状态类似。
将 Teams 和 Microsoft 365 组置于电子数据展示保留状态时,请记住以下事项:
若要将位于 Teams 和 Microsoft 365 组的内容置于保留状态,必须指定与组或团队关联的邮箱和 SharePoint 网站。
在 Exchange Online PowerShell 中运行 Get-UnifiedGroup cmdlet,以查看 Teams 和 Microsoft 365 组的属性。 这是获取与团队或 Microsoft 365 组关联的网站的 URL 的好方法。 例如,以下命令显示名为“高级领导团队”的 Microsoft 365 组的选定属性:
Get-UnifiedGroup "Senior Leadership Team" | FL DisplayName,Alias,PrimarySmtpAddress,SharePointSiteUrl DisplayName : Senior Leadership Team Alias : seniorleadershipteam PrimarySmtpAddress : seniorleadershipteam@contoso.onmicrosoft.com SharePointSiteUrl : https://contoso.sharepoint.com/sites/seniorleadershipteam注意
若要运行 Get-UnifiedGroup cmdlet,则你必须在 Exchange Online 中分配有仅查看收件人角色或者是分配有仅查看收件人角色的角色组的成员。
搜索用户的邮箱时,不会搜索该用户所属的任何团队或Microsoft 365 组。 同样,将团队或Microsoft 365 组置于电子数据展示保留状态时,只有组邮箱和组网站处于保留状态。 组成员的邮箱和 OneDrive 网站不会处于保留状态,除非显式将其添加到电子数据展示保留。 因此,如果出于法律原因必须保留团队或Microsoft 365 组,请考虑在同一保留区中添加团队或组成员的邮箱和 OneDrive 帐户。
若要获取团队或Microsoft 365 组的成员列表,可以在Microsoft 365 管理中心的“组”页上查看属性。 或者,可以在 Exchange Online PowerShell 中运行以下命令:
Get-UnifiedGroupLinks <group or team name> -LinkType Members | FL DisplayName,PrimarySmtpAddress注意
若要运行 Get-UnifiedGroupLinks cmdlet,则你必须在 Exchange Online 中分配有仅查看收件人角色或者是分配有仅查看收件人角色的角色组的成员。
保留 OneDrive 帐户中的内容
若要收集组织中 OneDrive 网站的 URL 列表,以便将其添加到与电子数据展示案例关联的保留或搜索中,请参阅 创建组织中所有 OneDrive 位置的列表。 本文中的脚本创建一个文本文件,其中包含组织中所有 OneDrive 网站的列表。 若要运行此脚本,必须安装并使用 SharePoint Online Management Shell。 请务必将你组织的 MySite 域的 URL 附加到你想要搜索的每个 OneDrive 网站。 这是包含所有 OneDrive 的域;例如 。 https://contoso-my.sharepoint.com 下面是用户的 OneDrive 网站的 URL 示例: https://contoso-my.sharepoint.com/personal/sarad_contoso_onmicrosoft.com。
重要
用户的 OneDrive 帐户的 URL 包括其用户主体名称 (UPN) (例如 https://alpinehouse-my.sharepoint.com/personal/sarad_alpinehouse_onmicrosoft_com ,) 。 在极少数情况下,用户的 UPN 发生更改,其 OneDrive URL 也会更改以合并新的 UPN。 如果用户的 OneDrive 帐户是电子数据展示保留的一部分,并且其 UPN 已更改,则需要通过添加用户的新 OneDrive URL 并删除旧 URL 来更新保留。 如果 OneDrive 网站的 URL 发生更改,以前在网站上放置的保留将保持有效,并保留内容。 有关详细信息,请参阅 UPN 更改如何影响 OneDrive URL。
从电子数据展示保留中删除内容位置
从电子数据展示保留中删除邮箱、SharePoint 网站或 OneDrive 帐户后, 将应用延迟保留 。 这意味着,实际删除保留会延迟 30 天,以防止永久删除数据 (从内容位置清除) 。 这使管理员有机会搜索或恢复在删除电子数据展示保留后清除的内容。 延迟保留如何适用于邮箱和网站的详细信息有所不同。
邮箱: 托管文件夹助理下次处理邮箱并检测到删除电子数据展示保留时,会对邮箱进行延迟保留。 具体而言,当托管文件夹助理将以下邮箱属性 之一设置为 True时,延迟保留将应用于邮箱:
- DelayHoldApplied:此属性适用于使用 Outlook 的用户生成 (与电子邮件相关的内容,以及存储在用户邮箱中的Outlook 网页版) 。
- DelayReleaseHoldApplied:此属性适用于非 Outlook 应用(如 Microsoft Teams、 (Microsoft Forms 和存储在用户邮箱中的 Microsoft Yammer) )生成的基于云的内容。 Microsoft 应用生成的云数据通常存储在用户邮箱的隐藏文件夹中。
如果上述任一属性设置为 True) ,则邮箱 (延迟保留仍被视为无限保留期,就像邮箱处于 诉讼保留状态一样。 30 天后,延迟保留过期,Microsoft 365 将自动尝试删除延迟保留 (,方法是将 DelayHoldApplied 或 DelayReleaseHoldApplied 属性设置为 False) 以便删除保留。 将其中任一属性设置为 False 后,在托管文件夹助理下次处理邮箱时,将清除标记为要删除的相应项目。
SharePoint 和 OneDrive 网站: 在从电子数据展示保留区中删除网站后的 30 天延迟保留期内,不会删除保留库中保留的任何 SharePoint 或 OneDrive 内容。 这类似于从保留策略中释放网站时发生的情况。 此外,在 30 天的延迟保留期内,不能在保留库中手动删除此内容。 若要从 30 天延迟保留/宽限期保留中释放站点,请参阅 因无效保留策略或电子数据展示保留而无法删除站点 一文。
有关详细信息,请参阅 发布保留策略。
关闭电子数据展示事例时,延迟保留也会应用于保留内容位置,因为关闭案例时会关闭保留。 有关关闭案例的详细信息,请参阅 了解电子数据展示中的案例设置 (预览版) 。
电子数据展示保留限制
下表列出了电子数据展示事例和事例保留的限制。
| 限制说明 | 限制 |
|---|---|
| 组织的最大案例数。 | 无限制 |
| 组织电子数据展示保留策略的最大数目。 此限制包括电子数据展示案例中保留策略的总和。 | 10,0001 |
| 单个电子数据展示保留中的最大邮箱数。 此限制包括用户邮箱的总和,以及与 Microsoft 365 个组、Microsoft Teams 和 Viva Engage 组 关联的邮箱。 | 1,000 |
| 单个电子数据展示保留中的最大站点数。 此限制包括 OneDrive 网站、SharePoint 网站以及与 Microsoft 365 个组、Microsoft Teams 和Viva Engage 组关联的网站的总和。 <br/ | 100 |
| 电子数据展示主页上显示的最大事例数,以及事例中“保留”、“搜索”和“导出”选项卡上显示的最大项目数。 | 1,0001 |
| SharePoint 网站和 OneDrive 的保留限制 | 有关详细信息,请参阅 SharePoint 限制。 |
注意
1 若要查看包含 1,000 多个案例、保留、搜索或导出的列表,可以使用相应的安全性 & 合规性 PowerShell cmdlet: