创建电子数据展示保留

  • 3 分钟

组织可以使用 Microsoft Purview 电子数据展示(标准)案例创建保留。 保留可能与案例相关的内容。 例如,可以保留:

  • Exchange 邮箱和OneDrive for Business在案例中调查的人的帐户。
  • 与 Microsoft Teams、Microsoft 365 组 和 Yammer 组关联的邮箱和网站。

注意

组织创建电子数据展示保留后,可能需要长达 24 小时才能使保留生效。

当组织将内容位置置于保留状态时,将保留内容,直到组织执行以下任一操作:

  • 从保留中删除内容位置。
  • 删除保留。

当组织创建保留时,它具有以下选项来限定在指定内容位置中保留的内容的范围:

  • 无限 - 指定位置中的所有内容都处于保留状态。 或者,可以创建基于查询的保留,其中仅保留与搜索查询匹配的指定位置中的内容。
  • 指定日期范围以仅保留在该日期范围内发送、接收或创建的内容。 或者,无论何时发送、接收或创建所有内容,都可以将所有内容保存在指定的位置。

创建电子数据展示保留:

完成以下步骤以创建与电子数据展示(标准)事例关联的电子数据展示保留:

  1. Microsoft Purview 合规性 门户中,在导航窗格中选择 电子数据展示 。 在 电子数据展示 组下,选择 “标准”。

  2. 电子数据展示(标准版) 页上,选择要在其中创建保留的案例的名称。

  3. 在事例的详细信息窗口中,默认显示“开始”选项卡。 选择“保留”选项卡。

  4. 在“保留”选项卡上,选择“+创建”。 这样做将 启动“新建保留 ”向导。

  5. 在“ 新建保留 ”向导的 “命名保留” 页上,输入 保留的名称 。 (可选)添加说明,然后选择“下一步”。 保留名称在你的组织中必须保持唯一。

  6. 在“ 选择位置 ”页上,选择要置于保留状态的内容位置。 可以将邮箱、站点和公用文件夹置于保留状态。

    “新建保留”向导中“选择位置”页的屏幕截图,其中每个位置都突出显示。

    1. Exchange 邮箱。 将切换设置为“打开”,然后单击“选择用户、组或团队”,以指定要置于保留状态的邮箱。 使用搜索框查找用户邮箱和通讯组(将组成员的邮箱置于保留状态)以置于保留状态。 还可以保留 Microsoft 团队、Microsoft 365组和 Yammer 组的关联邮箱。 有关将邮箱置于保留状态时保留的应用程序数据的详细信息,请参阅 存储在电子数据展示邮箱中的内容。
    2. SharePoint 网站。 将开关设置为“打开”,然后选择“选择网站”以指定要保留的 SharePoint 网站和 OneDrive 帐户。 键入你想要置于保留状态的每个站点的 URL。 还可以为 Microsoft Team、Office 365 组或 Yammer 组添加 SharePoint 站点的 URL。
    3. Exchange 公用文件夹。 将切换设置为“打开”,从而把 Exchange Online 组织中的所有公用文件夹置于保留状态。 无法选择要置于保留状态的特定公用文件夹。 如果不想把公用文件夹置于保留状态,请让切换开关保持关闭

    重要

    将 Exchange 邮箱或 SharePoint 网站添加到保留时,必须将至少一个内容位置显式添加到保留。 换句话说,如果将邮箱或网站的开关设置为“打开”,则必须选择要添加到保留的特定邮箱或网站。 否则,将创建电子数据展示保留,但不会将任何邮箱或网站添加到保留中。

  7. 将位置添加到保留后,选择 下一步

  8. 在“ 查询 ”页上,使用关键字或条件创建基于查询的保留。 为此,完成以下步骤。

    新建保留向导中“查询”页的屏幕截图,其中突出显示了“关键字”字段和“添加条件”选项。

    1. 关键字下的框中,键入查询以仅保留与查询条件匹配的内容。 可以指定关键字、电子邮件属性或网站属性,例如文件名。 可以使用采用布尔运算符的更复杂查询,例如 AND、 OR或 NOT。
    2. 选择 添加条件 添加一个或多个条件以缩小对保留的查询范围。 每个条件都会向创建并运行的 KQL 搜索查询添加子句,并在创建保留时运行该子句。 例如,可以指定日期范围,以便保留在日期范围内创建的电子邮件或网站文档。 条件在逻辑上由 AND 运算符连接到关键字查询(在关键字框中指定)和其他条件。 这意味着项必须同时满足关键字查询和要保留的条件。

    有关创建搜索查询和使用条件的详细信息,请参阅 电子数据展示的关键字查询和搜索条件。

  9. 配置基于查询的保留后,选择下一步

  10. 在“ 查看设置” 页上,验证设置是否正确。 选择适当的 “编辑” 选项以编辑任何需要修改的设置。 所有设置都正确后,选择“ 提交”。

注意

创建基于查询的保留时,来自所选位置的所有内容最初都处于保留状态。 创建保留后,每隔 7 到 14 天从保留中清除与指定查询不匹配的任何内容。 但是,如果将任何类型的五个以上的保留应用于内容位置,或者任何项存在索引问题,则基于查询的保留不会清除内容。

基于查询的保留放置在站点上

组织在将基于查询的电子数据展示保留在 SharePoint 网站中的文档上时,应注意以下注意事项:

  • 删除保留后保留内容。 基于查询的保留最初会在删除后将网站中的所有文档保留一小段时间。 这意味着,删除文档时,即使文档与基于查询的保留条件不匹配,也会将其移动到保留库。 但是,处理保留库的计时器作业将删除与基于查询的保留不匹配的已删除文档。 计时器作业定期运行。 它将保留库中的所有文档与组织基于查询的电子数据展示保留(以及其他类型的保留和保留策略)进行比较。 计时器作业会删除与基于查询的保留不匹配的文档,但会保留执行此操作的文档。
  • 避免定向保留。 不应使用基于查询的保留来执行目标保留。 例如,保留特定文件夹或站点中的文档,或使用其他基于位置的保留条件。 这样做可能会产生意外的结果。 建议组织使用非基于位置的保留条件(如关键字、日期范围或其他文档属性)来保留网站文档。

电子数据展示保留上的搜索位置

当组织在电子数据展示(标准)案例中搜索内容时,可以快速将搜索配置为仅搜索已置于与事例关联的保留中的内容位置。

选择“ 保留 位置”选项以搜索已置于保留状态的所有内容位置。 如果案例包含多个电子数据展示保留,则在选择此选项时,将搜索所有保留的内容位置。

此外,如果内容位置置于基于查询的保留中,则在运行搜索时,只会搜索与保留查询匹配的项目。 换言之,只有与保留条件和搜索条件匹配的内容才会随搜索结果一起返回。 例如,如果将用户置于基于查询的案例保留中,而保留在特定日期之前发送或创建的项目,则只会搜索这些项。 此结果是通过通过 AND 运算符连接事例保留查询和搜索查询来实现的。

在以下方案中搜索电子数据展示保留位置时,组织应记住以下建议:

  • 内容位置是同一事例中多个保留的一部分。 在这种情况下,当使用 “所有事例内容 ”选项搜索该内容位置时,OR 运算符会组合保留查询。 同样,如果内容位置是两个不同的保留的一部分,其中一个是基于查询的保留,另一个是无限保留(其中所有内容都置于保留状态),则会由于无限保留而搜索所有内容。
  • 搜索配置为在保留时搜索位置,然后通过添加或删除位置或更改保留查询来更改事例中的电子数据展示保留。 在此方案中,搜索配置会随这些更改一起更新。 但是,必须在保留更改后重新运行搜索,才能更新搜索结果。
  • 多个电子数据展示保留置于电子数据展示事例中的单个位置,你选择搜索保留位置。 在这种情况下,该搜索查询的最大关键字数为 500。 为什么? 因为搜索通过使用 OR 运算符合并所有基于查询的保留。 如果组合保留查询和搜索查询中有超过 500 个关键字,则会搜索邮箱中的所有内容,而不仅仅是与基于查询的案例所保留的内容匹配的内容。
  • 电子数据展示保留的状态为“开(挂起)”。 在此方案中,仍可在打开保留时搜索保留位置。

从电子数据展示保留中删除内容位置

从电子数据展示保留中删除邮箱、SharePoint 网站或 OneDrive 帐户后, 将应用延迟保留 。 通过执行此操作,实际删除保留将延迟 30 天,以防止从内容位置永久删除(清除)数据。 此延迟使管理员有机会搜索或恢复删除电子数据展示保留后将清除的内容。

延迟保留如何适用于邮箱和网站的详细信息有所不同。

  • 邮箱。 下次托管文件夹助理处理邮箱并检测到已删除电子数据展示保留时,将延迟保留置于邮箱上。 具体而言,当托管文件夹助理将以下邮箱属性 之一设置为 True时,延迟保留将应用于邮箱:

    • DelayHoldApplied。 此属性适用于存储在用户邮箱中的电子邮件相关内容(由使用 Outlook 和 Outlook 网页版的用户生成)。
    • DelayReleaseHoldApplied。 此属性适用于存储在用户邮箱中的基于云的内容(由 Microsoft Teams、Microsoft Forms 和 Microsoft Yammer 等非 Outlook 应用生成)。 Microsoft 应用生成的云数据通常存储在用户邮箱的隐藏文件夹中。

    当在邮箱上放置延迟保留(当以前的任一属性设置为 True时),邮箱仍被视为处于无限制保留期,就像邮箱处于诉讼保留状态一样。 30 天后,延迟保留将过期。 此时,Microsoft 365将自动尝试删除延迟保留(通过将 DelayHoldAppliedDelayReleaseHoldApplied 属性设置为 False),以便删除保留。 将上述任一属性设置为 False后,下次由托管文件夹助理处理邮箱时,将清除标记为要删除的相应项目。

    有关详细信息,请参阅管理延迟保留的邮箱

  • SharePoint and OneDrive sites。 从电子数据展示保留中删除网站后,在 30 天的延迟保留期内不会删除保留在保留库中的任何 SharePoint 或 OneDrive 内容。 此过程类似于从保留策略释放网站时发生的情况。 此外,在 30 天的延迟保留期内,不能在保留库中手动删除此内容。

    有关详细信息,请参阅 发布保留策略。

关闭电子数据展示(标准)事例时,延迟保留也应用于保留的内容位置。 为什么? 因为关闭事例时会关闭保留。

知识检查

为以下每个问题选择最佳答案。

知识检查

1.

组织创建电子数据展示保留后,保留通常需要多长时间才能生效?