如何找出位於 Exchange Online 信箱的保留類型
提示
新的 Microsoft Purview 入口網站現已提供電子檔探索 (預覽) 。 若要深入瞭解如何使用新的電子檔探索體驗,請參閱 瞭解電子檔探索 (預覽) 。
本文說明如何在 Purview 和 Microsoft 365 中識別Microsoft Exchange Online 信箱上的保留。
Microsoft Purview 提供數種方式,讓您的組織防止永久刪除信箱內容。 這可讓您的組織保留內容以符合合規性法規,或在法律和其他類型的調查期間保留內容。 以下是保留功能的清單, (在 Microsoft Purview 和 Microsoft 365 中也稱為 保留) :
訴訟保留:會套用至 Exchange Online 中使用者信箱的保留。
電子檔探索保留:在 Microsoft Purview 合規性入口網站 中與 Microsoft Purview 電子文件探索 (Standard) 案例相關聯的保留。 eDiscovery 保留可以套用至使用者信箱,以及適用於 Microsoft 365 群組 和 Microsoft Teams 的對應信箱。
就地保留:使用 Exchange Online 中 Exchange 系統管理中心的 In-Place 電子檔探索 & 保留工具套用至使用者信箱的保留。
注意事項
In-Place 保留已淘汰,您無法再建立 In-Place 保留或將其套用至信箱。 不過,In-Place 保留可能仍會套用至您組織中的信箱,這也是為什麼會包含在本文中的原因。 如需詳細資訊,請參閱 淘汰舊版電子檔探索工具。
Microsoft Purview 保留原則:可以設定為保留 (或保留,然後刪除 Exchange Online 中使用者信箱中的) 內容,以及 Microsoft 365 群組 和 Microsoft Teams 的對應信箱中的內容。 您也可以建立保留原則來保留儲存在使用者信箱中的 商務用 Skype 交談。
有兩種類型的 Microsoft Purview 保留原則可以指派給信箱。
- 特定位置保留原則: 這些是指派給特定用戶內容位置的原則。 您可以使用 PowerShell Exchange Online Get-Mailbox Cmdlet 來取得指派給特定信箱之保留原則的相關信息。 如需這種保留原則類型的詳細資訊,請參閱保留原則檔中 具有特定包含或排除 專案的原則一節。
- 全組織的保留原則: 這些是指派給組織中所有內容位置的原則。 您可以在 powerShell Exchange Online 中使用 Get-OrganizationConfig Cmdlet 來取得全組織保留原則的相關信息。 如需這種保留原則類型的詳細資訊,請參閱保留原則檔中 適用於整個位置 的原則一節。
Microsoft Purview 保留標籤: 如果使用者套用Microsoft Purview 保留標籤 (設定為保留內容或保留內容,然後刪除其信箱中 任何 資料夾或專案) 的內容,則會將保留放在信箱上,就如同信箱已置於訴訟保留或指派給Microsoft Purview 保留原則一樣。 如需詳細資訊,請參閱本文中的識別保留信 箱,因為已將保留標籤套用至資料夾或專案一 節。
若要管理保留信箱,您可能必須識別放置在信箱上的保留類型,以便執行變更保留期間、暫時或永久移除保留,或從Microsoft Purview 保留原則排除信箱等工作。 在這些情況下,第一個步驟是識別放在信箱上的保留類型。 此外,因為多個保留 (和不同類型的保留) 可以放在單一信箱上,所以如果您想要移除或變更保留,就必須識別信箱上放置的所有保留。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
步驟 1:取得放置在信箱上的保留 GUID
您可以在 Exchange Online PowerShell 中執行下列兩個 Cmdlet,以取得放置在信箱上的保留 GUID。 取得 GUID 之後,您可以使用它來識別步驟 2 中的特定保留。 訴訟保留不是由 GUID 識別。 信箱的訴訟保留已啟用或停用。
- Get-Mailbox: 使用此 Cmdlet 來判斷是否已針對信箱啟用訴訟保留,以及取得電子檔探索保留、In-Place 保留,以及Microsoft指派給信箱的 Purview 保留原則的 GUID。 此 Cmdlet 的輸出也會指出信箱是否已明確地從整個組織的保留原則中排除。
- Get-OrganizationConfig: 使用此 Cmdlet 取得整個組織保留原則的 GUID。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。
Get-Mailbox
執行下列命令,以取得套用至信箱的保留和Microsoft Purview 保留原則的相關信息。
Get-Mailbox <username> | FL LitigationHoldEnabled,InPlaceHolds
提示
如果 InPlaceHolds 屬性中有太多值,而且不會顯示所有值,您可以執行 Get-Mailbox <username> | Select-Object -ExpandProperty InPlaceHolds
命令,在個別行上顯示每個 GUID。
下表描述當您執行 Get-Mailbox Cmdlet 時,如何根據 InPlaceHolds 屬性中的值來識別不同類型的保留。
保留類型 | 範例值 | 如何識別保留 |
---|---|---|
訴訟暫止 | True |
當 LitigationHoldEnabled 屬性設定 True 為 時,信箱就會啟用訴訟保留。 |
電子文件探索保留 | UniH7d895d48-7e23-4a8d-8346-533c3beac15d |
InPlaceHolds 屬性包含與合規性入口網站中電子檔探索案例相關聯之任何保留的 GUID。 您可以判斷這是電子檔探索保留,因為 GUID 的開頭是 UniH 前置詞 (表示統一保留) 。 |
原有範圍暫止 | c0ba3ce811b6432a8751430937152491 或 cld9c0a984ca74b457fbe4504bf7d3e00de |
InPlaceHolds 屬性包含放在信箱上之 In-Place 保留的 GUID。 您可以判斷這是 In-Place 保留,因為 GUID 不是以前置詞開頭,就是開頭是 cld 前置詞。 |
Microsoft套用至信箱的 Purview 保留原則 | mbxcdbbb86ce60342489bff371876e7f224:1 或 skp127d7cf1076947929bf136b7a2a8c36f:3 |
InPlaceHolds 屬性包含套用至信箱之任何特定位置保留原則的 GUID。 您可以識別保留原則,因為 GUID 開頭為 mbx 或 skp 前置詞。 前skp 置詞表示保留原則會套用至使用者信箱中的 商務用 Skype 交談。 |
從整個組織的 Microsoft Purview 保留原則排除 | -mbxe9b52bf7ab3b46a286308ecb29624696 |
如果將信箱從整個組織的 Microsoft Purview 保留原則排除,則會在 InPlaceHolds 屬性中顯示該信箱所排除之保留原則的 GUID,並由 -mbx 前置詞識別。 |
Get-OrganizationConfig
如果您在執行 Get-Mailbox Cmdlet 時 InPlaceHolds 屬性是空的,則信箱可能仍有一或多個全組織Microsoft Purview 保留原則。 在 Exchange Online PowerShell 中執行下列命令,以取得整個組織Microsoft Purview 保留原則的 GUID 清單。
Get-OrganizationConfig | FL InPlaceHolds
提示
如果 InPlaceHolds 屬性中有太多值,而且不會顯示所有值,您可以執行 Get-OrganizationConfig | Select-Object -ExpandProperty InPlaceHolds
命令,在個別行上顯示每個 GUID。
下表描述整個組織保留的不同類型,以及當您執行 Get-OrganizationConfig Cmdlet 時,如何根據 InPlaceHolds 屬性中包含的 GUID 來識別每個類型。
保留類型 | 範例值 | 描述 |
---|---|---|
Microsoft套用至 Exchange 信箱、Exchange 公用資料夾和 Teams 聊天的 Purview 保留原則 | mbx7cfb30345d454ac0a989ab3041051209:2 |
套用至 Exchange 信箱、Exchange 公用資料夾和 Microsoft Teams 中 1xN 聊天的全組織保留原則,是由開頭為 mbx 前置詞的 GUID 所識別。 注意 1xN 聊天會儲存在個別聊天參與者的信箱中。 |
Microsoft套用至 Microsoft 365 群組 和 Teams 頻道訊息的 Purview 保留原則 | grp1a0a132ee8944501a4bb6a452ec31171:3 |
套用至 Microsoft Teams 中Microsoft 365 群組和頻道訊息的全組織保留原則,是由開頭為 前置詞的 grp GUID 來識別。 注意頻道訊息會儲存在與Microsoft小組相關聯的群組信箱中。 |
如需套用至 Microsoft Teams 的保留原則詳細資訊,請參閱 瞭解 Microsoft Teams 的保留原則。
瞭解保留原則的 InPlaceHolds 值格式
除了將 InPlaceHolds 屬性中的項目識別為 Microsoft Purview 保留原則的前置詞 (mbx、skp 或 grp) ,此值也包含後綴,可識別為原則設定的保留動作類型。 例如,在下列範例中,動作後綴會以粗體類型反白顯示:
skp127d7cf1076947929bf136b7a2a8c36f
:1
mbx7cfb30345d454ac0a989ab3041051209
:2
grp1a0a132ee8944501a4bb6a452ec31171
:3
下表定義三個可能的保留動作:
值 | 描述 |
---|---|
1 | 表示保留原則已設定為刪除專案。 原則不會保留專案。 |
2 | 表示保留原則已設定為保留專案。 原則不會在保留期間到期后刪除專案。 |
3 | 表示保留原則已設定為保留專案,然後在保留期間到期后將其刪除。 |
注意事項
因為保留標籤原則會發佈或自動套用套用套用專案層級動作的標籤,所以它們一律會在信箱的 InPlaceHolds 屬性內顯示 1 的動作值。
若要識別保留是否已套用至信箱內的資料夾或專案,請參閱 識別保留信箱,因為保留標籤已套用至資料夾或專案。
如需保留動作的詳細資訊,請參閱 保留特定期間的內容一 節。
步驟 2:使用 GUID 識別保留
取得套用至信箱之保留的 GUID 之後,下一個步驟是使用該 GUID 來識別保留。 下列各節示範如何使用保留 GUID 來識別保留 (的名稱,以及) 的其他資訊。
電子文件探索保留
在 安全性 & 合規性 PowerShell 中執行下列命令,以識別套用至信箱的電子檔探索保留。 使用 GUID (不包含您在步驟 1 中識別之電子檔探索保留的 UniH 前置詞) 。
若要連線到安全性 & 合規性 PowerShell,請參閱 連線到安全性 & 合規性 PowerShell。
第一個命令會建立包含保留資訊的變數。 此變數會用於其他命令中。 第二個命令會顯示與保留相關聯之電子檔探索案例的名稱。 第三個命令會顯示保留的名稱,以及套用保留的信箱清單。
$CaseHold = Get-CaseHoldPolicy <hold GUID without prefix>
Get-ComplianceCase $CaseHold.CaseId | FL Name
$CaseHold | FL Name,ExchangeLocation
In-Place 保留
在 Exchange Online PowerShell 中執行下列命令,以識別套用至信箱的 In-Place 保留。 針對您在步驟 1 中識別的 In-Place 保留使用 GUID。 命令會顯示保留的名稱,以及保留套用的信箱清單。
Get-ComplianceSearch -Identity <hold GUID> | FL Name,SourceMailboxes
如果 In-Place 保留的 GUID 是以 cld
前置詞開頭,請務必在執行上一個命令時包含前置詞。
重要事項
隨著我們繼續以不同方式投資來保留信箱內容,我們宣佈在 Exchange 系統管理中心 (EAC) 中淘汰 In-Place 保留。 從 2020 年 7 月 1 日開始,您將無法在 Exchange Online 中建立新的 In-Place 保留。 但您仍然可以在 EAC 中管理 In-Place 保留,或在 powerShell 中使用 Set-MailboxSearch Cmdlet Exchange Online。 不過,從 2020 年 10 月 1 日開始,您將無法管理 In-Place 保留。 您只會在 EAC 中或使用 Remove-MailboxSearch Cmdlet 來移除它們。 如需淘汰 In-Place 保留的詳細資訊,請參閱 淘汰舊版電子檔探索工具。
Microsoft Purview 保留原則
聯機到安全性 & 合規性 PowerShell ,然後執行下列命令來識別套用至信箱) (全組織或特定位置Microsoft Purview 保留原則。 使用 GUID (不包括您在步驟 1 中識別的 mbx、skp 或 grp 前置詞或動作後綴) 。
Get-RetentionCompliancePolicy <hold GUID without prefix or suffix> -DistributionDetail | FL Name,*Location
識別保留信箱,因為已將保留標籤套用至資料夾或專案
每當使用者套用設定為 保留或保留 的保留標籤, 然後將內容刪除 至其信箱中的任何資料夾或專案時, ComplianceTagHoldApplied 信箱屬性就會設定為 True。 發生這種情況時,信箱的處理方式與保留信箱類似,例如指派給Microsoft Purview 保留原則或置於訴訟保留時,不過有些注意。 當 ComplianceTagHoldApplied 屬性設定為 True 時,會發生下列情況:
- 如果刪除信箱或使用者的Microsoft 365 帳戶,信箱就會變成 非作用中的信箱。
- 如果信箱已啟用,則無法 (主要信箱或封存信箱) 停用信箱。
- 已從信箱中刪除的專案會遵循兩個路徑的其中一個,視其是否已加上標籤而定:
- 其他保留,例如 Microsoft Purview 保留原則、電子檔探索保留或訴訟保留,可以根據 保留原則來延長標籤專案保留的時間長度。
若要檢視單一信箱的 ComplianceTagHoldApplied 屬性值,請在 Exchange Online PowerShell 中執行下列命令:
Get-Mailbox <username> | FL ComplianceTagHoldApplied
如需保留標籤的詳細資訊,請參閱 保留標籤。
在延遲保留時管理信箱
從信箱移除任何類型的保留之後,就會套用 延遲保留 。 這表示實際移除保留會延遲 30 天,以防止從信箱中清除) (永久刪除數據。 這可讓系統管理員搜尋或復原移除保留後將清除的信箱專案。 下次受管理的資料夾小幫手處理信箱時,信箱會延遲保留,並偵測到已移除保留。 具體來說,當受管理的資料夾助理員將下列其中一個信箱屬性設定為 True 時,會對信箱套用延遲保留:
- DelayHoldApplied:此屬性適用於使用 Outlook 和 Outlook 網頁版) 儲存在使用者信箱中之人員所產生的電子郵件相關內容 (。
- DelayReleaseHoldApplied:此屬性適用於非 Outlook 應用程式所產生的雲端式內容 (,例如Microsoft Teams、Microsoft Forms 和 Microsoft Viva Engage 儲存在使用者信箱中的) 。 Microsoft 應用程式產生的雲端資料通常會儲存在使用者信箱的隱藏資料夾中。
對信箱設定延遲保留時 (當先前的任一屬性設定為 True),信箱仍會被視為處於無限期保留,就像信箱處於訴訟資料暫留。 30 天后,延遲保留會到期,Microsoft 365 會將 DelayHoldApplied 或 DelayReleaseHoldApplied 屬性設定為 False) ,以自動移除延遲保留 (,以便移除保留。 當其中一個屬性設定為 False 之後,下次受控資料夾小幫手處理信箱時,就會清除標示為要移除的對應專案。
注意事項
如果停用信箱的用戶帳戶,受控資料夾小幫手不會處理信箱,而且延遲保留會在 30 天過期之後保留。 如需詳細資訊,請 參閱延遲保留考慮。
若要檢視信箱之 DelayHoldApplied 和 DelayReleaseHoldApplied 屬性的值,請在 Exchange Online PowerShell 中執行下列命令。
Get-Mailbox <username> | FL *HoldApplied*
若要在延遲保留到期之前移除,您可以執行一個 (或兩者) Exchange Online PowerShell 中的下列命令,視您要變更的屬性而定:
Set-Mailbox <username> -RemoveDelayHoldApplied
或
Set-Mailbox <username> -RemoveDelayReleaseHoldApplied
您必須獲指派 Exchange Online 中的法律保留角色,才能使用 RemoveDelayHoldApplied 或 RemoveDelayReleaseHoldApplied 參數。
若要移除非使用中信箱的延遲保留,請在 Exchange Online PowerShell 中執行下列其中一個命令:
Set-Mailbox <DN or Exchange GUID> -InactiveMailbox -RemoveDelayHoldApplied
或
Set-Mailbox <DN or Exchange GUID> -InactiveMailbox -RemoveDelayReleaseHoldApplied
提示
在上一個命令中指定非作用中信箱的最佳方式是使用其辨別名稱或 Exchange GUID 值。 使用其中一個值有助於防止不小心指定錯誤的信箱。
如需使用這些參數來管理延遲保留的詳細資訊,請參閱 Set-Mailbox。
延遲保留考慮
在延遲保留時管理信箱時,請記住下列事項:
- 如果 DelayHoldApplied 或 DelayReleaseHoldApplied 屬性設定為 True ,且信箱 (或對應的使用者帳戶) 已刪除,信箱就會變成非作用中的信箱。 這是因為如果任一屬性設定為 True,信箱就會被視為保留中,而刪除保留信箱會導致信箱處於非作用中狀態。 若要刪除信箱,而不讓它成為非作用中信箱,您必須將這兩個屬性設定為 False。
- 如果 DelayHoldApplied 或 DelayReleaseHoldApplied 屬性設定為 True,信箱會被視為保留無限制的保留期間。 不過,這並不表示信箱中 的所有 內容都會保留。 這取決於設定為每個屬性的值。 例如,假設這兩個屬性都設定為 True ,因為會從信箱中移除保留。 然後使用 RemoveDelayReleaseHoldApplied 參數) ,只移除套用至非 Outlook 雲端數據 (的延遲保留。 下次受管理的資料夾小幫手處理信箱時,會清除標示為要移除的非 Outlook 專案。 標示要移除的任何 Outlook 專案都不會被清除,因為 DelayHoldApplied 屬性仍然設定為 True。 反之亦然:如果 DelayHoldApplied 設為 False,DelayReleaseHoldApplied 設定為 True,則只會清除標示為要移除的 Outlook 專案。
如何確認整個組織的保留原則已套用至信箱
將全組織保留原則套用或移除至信箱時,匯出信箱診斷記錄可協助您確定 Exchange Online 已將保留原則套用或移除至信箱。 若要檢視這項資訊,您必須先使用 Exchange Online PowerShell 來驗證一些事項。
取得明確套用至信箱之任何保留原則的 GUID
Get-Mailbox <username> | Select-Object -ExpandProperty InPlaceHolds
取得套用至信箱的任何全組織保留原則 GUID
Get-OrganizationConfig | Select-Object -ExpandProperty InPlaceHolds
取得 HoldTracking 的信箱診斷
保留追蹤信箱診斷記錄會維護套用至使用者信箱的保留記錄。
$ht = Export-MailboxDiagnosticLogs <username> -ComponentName HoldTracking
$ht.MailboxLog | Convertfrom-Json
檢閱信箱診斷記錄的結果
如果您從上一個步驟收集數據,產生的數據看起來可能會像這樣:
ed
: 0001-01-01T00:00:00.0000000
藏: mbx7cfb30345d454ac0a989ab3041051209:1
ht: 4
lsd: 2020-03-23T18:24:37.1884606Z
osd: 2020-03-23T18:24:37.1884606Z
使用下表可協助您了解診斷記錄中列出的每個先前值。
值 | 描述 |
---|---|
ed | 表示結束日期,也就是停用保留原則的日期。 MinValue 表示原則仍指派給信箱。 |
藏 | 指出保留原則的 GUID。 此值會與您針對指派給信箱的明確或全組織保留原則所收集的 GUID 相互關聯。 |
ht | 表示保留類型。 值為 0 、InPlaceHold 為 1 、 ComplianceTagHold 為 2 、DelayReleaseHold 為 3 、 OrganizationRetention 為 4 、CompliancePolicy 為 5 、SubstrateAppPolicy 為 6,SharepointPolicy 為 7 。 |
lsd | 指出 [上次開始日期],也就是將保留原則指派給信箱的日期。 |
osd | 表示原始開始日期,這是 Exchange 第一次記錄保留原則相關信息的日期。 |
當保留原則不再套用至信箱時,我們會暫時延遲保留使用者,以防止清除內容。 您可以執行 命令來 Set-Mailbox -RemoveDelayHoldApplied
停用延遲保留。
後續步驟
識別套用至信箱的保留之後,您可以執行工作,例如變更保留期間、暫時或永久移除保留,或從Microsoft Purview 保留原則排除非作用中的信箱。 如需執行保留相關工作的詳細資訊,請參閱下列其中一篇文章:
- 在安全性 & 合規性 PowerShell 中執行 Set-RetentionCompliancePolicy -<Identity Policy Name> -AddExchangeLocationException <使用者信箱>命令,以從整個組織Microsoft Purview 保留原則排除信箱。 此命令只能用於 ExchangeLocation 屬性值等於
All
的保留原則。 - 變更非使用中信箱的保留期間
- 刪除非使用中的信箱
- 刪除雲端式信箱中可復原的項目資料夾中的保留項目