Exchange 2013 就地保留

當存在訴訟的合理預期時，需要組織保留與事實相關的以電子方式存儲的資訊 (ESI)，包括電子郵件。 這種預期通常會在知道事實的細節之前發生，并且保留内容通常很廣泛。 組織可能需要保留與特定主題相關的所有電子郵件，或特定個人的所有電子郵件。

當存在訴訟的合理預期時，需要組織保留與事實相關的以電子方式存儲的資訊 (ESI)，包括電子郵件。 這種預期通常會在知道事實的細節之前發生，并且保留内容通常很廣泛。 組織可能需要保留與特定主題相關的所有電子郵件，或特定個人的所有電子郵件。 可能會采用以下度量标準來保留電子郵件，具體取決于組織的電子發現（電子資料展示）實踐：

1）可能會要求最終使用者通過不删除任何郵件來保留電子郵件。 但是，使用者仍然可能會有意或無意地删除電子郵件。 

2）自動删除機制（如郵件記錄管理 (MRM)）可能被挂起。 這可能導緻使用者郵箱因有大量電子郵件而變得雜亂，因而影響使用者的工作效率。 挂起自動删除也不能防止使用者手動删除電子郵件。

3）一些組織會将電子郵件複制或移動到存檔中以確定它不被删除、更改或篡改。 由于将電子郵件複制或移動到存檔需要手動操作，或使用第三方産品在 Exchange 外部收集和存儲電子郵件，這将增加成本。

如果未能保留電子郵件，則可能會使組織面臨法律和财務風險，例如組織的記錄保留和發現過程的審查、不利的法律判決、制裁或罰款等。

在 Exchange 2013 中，您可以使用就地保留來實作下列目标：

1）保留使用者郵箱并永久保留郵箱項目

2）保留由使用者或自動删除過程删除的郵箱項目，例如 MRM

3）使用基于查詢的就地保留搜尋并保留與指定條件比對的項目

4）無限期保留項目或保留特定的持續時間

5）将使用者置于多個保留中用于不同的案件或調查

6）通過不必挂起 MRM 使就地保留對使用者是透明的

7）啟用置于保留狀态的項目的就地電子資料展示搜尋

就地保留方案

在 Exchange Server 2010 中，合法保留的概念是無限期保留某個使用者的所有郵箱資料，或一直保留到删除保留。 在 Exchange 2013 中，就地保留引入一種新的保留模型，允許您指定以下參數：

1）要保留的内容   您可以通過使用諸如關鍵字、發件人和收件人、開始日期和結束日期等查詢參數指定要保留的項目，也可以指定要置于保留狀态的諸如電子郵件、月曆項目等郵件類型。 

2）保留時間   可以指定保留項目的持續時間。

通過使用此新模型，就地保留允許您建立精細的保留政策以便在以下方案中保留郵箱項目：

1）無限期保留   無限期保留方案類似于 Exchange 2010 中的訴訟保留。 它旨在保留郵箱項目以便您可以滿足電子資料展示要求。 在訴訟或調查期間，從不删除項目。 由于預先不知道持續時間，是以不配置結束日期。 

2）要無限期保留所有郵件項目，請不要在建立就地保留時指定任何查詢參數或持續時間。

基于查詢的保留   如果您的組織根據特定的查詢參數保留項目，則可以使用基于查詢的就地保留。 您可以指定諸如關鍵字、開始日期和結束日期、發件人和收件人位址以及郵件類型這樣的查詢參數。 建立基于查詢的就地保留之後，會保留與查詢參數比對的所有現有郵箱項目和将來項目（包括在以後日期接收的郵件）。

3）基于時間的保留   訴訟保留會無限期地将所有郵箱内容置于保留狀态或保留至删除保留，而就地保留則允許您指定保留項目的持續時間。 持續時間從接收或建立郵箱項目的日期計算得到。 

您可以使用就地保留将使用者置于多個保留中。 将使用者置于多個保留中時，将一起應用所有就地保留的搜尋參數（使用 OR 運算符）。 如果将郵箱置于五個以上的保留中，則所有項目将一直保留到删除這些保留，并複制訴訟保留行為，直至郵箱的保留數減少為五個或更少。

将郵箱置于就地保留中

已添加到基于發現管理角色的通路控制 (RBAC) 角色組或配置設定了合法保留和郵箱搜尋管理角色的已獲授權的使用者可以将郵箱使用者置于就地保留中。 可以将該任務委派給組織的法律部門中的記錄管理者、遵從性管理者或律師，同時配置設定最低特權。 

在 Exchange 2013 中，就地保留功能與就地電子資料展示搜尋內建。 可以使用 Exchange 管理中心 (EAC) 的“就地電子資料展示和保留”向導或 Exchange 指令行管理程式中的 New-MailboxSearch 和相關 cmdlet 将郵箱置于就地保留中。 

許多組織都需要使用者在置于保留時得到通知。 此外，當郵箱置于保留時，不需要挂起适用于郵箱使用者的任何保留政策。 由于郵件繼續按預期方式進行删除，是以使用者可能不會注意到他們置于保留中。 如果您的組織需要保留中的使用者得到通知，則可以将通知郵件添加到郵箱使用者的 Retention Comment 屬性中，并使用 RetentionUrl 屬性連結到提供詳細資訊的網頁。 Outlook 2010 及更高版本在 Backstage 區域顯示通知和 URL。 必須使用指令行管理程式來添加和管理郵箱的這些屬性。

就地保留和“可恢複的項目”檔案夾

就地保留使用“可恢複的項目”檔案夾保留項目。 “可恢複的項目”檔案夾替換在早期版本的 Exchange 中非正式稱為“轉儲程式”的功能。 “可恢複的項目”檔案夾在 Outlook、Outlook Web App 和其他電子郵件用戶端的預設視圖中處于隐藏狀态。

預設情況下，當使用者從“已删除的項目”檔案夾之外的檔案夾中删除郵件時，該郵件将移動到“已删除的項目”檔案夾中。 這稱為“移動”。 當使用者對某個項目執行“軟删除”操作（通過按 Shift 和 Delete 鍵來實作）或從“已删除的項目”檔案夾中删除某個項目，該郵件将移動到“可恢複的項目”檔案夾，因而将從使用者視圖中消失。

“可恢複的項目”檔案夾中的項目按照在使用者郵箱資料庫中配置的已删除項目保留期進行保留。 預設情況下，郵箱資料庫的已删除項目保留期設定為 14 天。 還可以為“可恢複的項目”檔案夾配置存儲配額。 這樣可保護組織免受潛在的拒絕服務 (DoS) 攻擊，這種攻擊源于“可恢複的項目”檔案夾的快速增長以及是以導緻的郵箱資料庫增長。 如果郵箱未置于就地保留或訴訟保留中，當超出“可恢複的項目”檔案夾警告配額，或項目在該檔案夾中的保留持續時間超過已删除項目保留期間時，将按照先進先出的原則從“可恢複的項目”檔案夾永久清除項目。

“可恢複的項目”檔案夾包含以下子檔案夾，這些檔案夾用于存儲各種站點中的已删除項目并有助于就地保留和訴訟保留：

1）Deletions 從“已删除的項目”檔案夾中删除或從其他檔案夾中軟删除的項目将移動到“删除”子檔案夾，并且當使用者在 Outlook 和 Outlook Web App 中使用“恢複已删除郵件”功能時對使用者可見。 預設情況下，項目将一直位于此檔案夾中，直到為郵箱資料庫或郵箱配置的已删除項目保留期過期為止。

2）Purges   當使用者從“可恢複的項目”檔案夾删除某個項目（使用 Outlook 和 Outlook Web App 中的“恢複已删除郵件”工具）時，該項目将移動到“清除”檔案夾中。 超出在郵箱資料庫或郵箱中配置的已删除項目保留期的項目也會移動到“清除”檔案夾中。 如果使用者使用“恢複已删除郵件”工具，則此檔案夾中的項目對這些使用者不可見。 當郵箱助理處理郵箱時，“清除”檔案夾中的項目将從郵箱資料庫中清除。 訴訟保留郵箱使用者時，郵箱助理不會清除此檔案夾中的項目。

3）DiscoveryHold   如果将使用者置于就地保留中，則會将已删除項目移到此檔案夾中。 當郵箱助理處理郵箱時，它将評估此檔案夾中的郵件。 将比對就地保留查詢的項目保留在該查詢中指定的保留期。 如果未指定保留期，則無限期保留項目或一直保留到從保留中删除使用者。

4）Versions   當使用者置于就地保留或訴訟保留中時，必須保護郵箱項目不被該使用者或程序篡改或修改。 此操作通過使用寫入時複制程序來實作。 當使用者或程序更改郵箱項目的特定屬性時，在送出更改之前，會将原始項目的副本儲存到“版本”檔案夾中。 對後續更改重複此過程。 還會在就地電子資料展示搜尋中對“版本”檔案夾中捕獲的項目編制索引并傳回。 删除保留後，托管檔案夾助理将删除“版本”檔案夾中的副本。 

觸發“寫入時複制”的屬性

項目類型

郵件 (IPM.Note*)

公告 (IPM.Post*)

主題

正文

附件

發件人/收件人

發送/接收日期

非郵件和公告的項目

對可見屬性的任何更改（以下項除外）：

項目位置（當在檔案夾之間移動項目時）

項目狀态更改（已讀或未讀）

對保留标記進行的應用于項目的更改

預設檔案夾“草稿”中的項目

無（“草稿”檔案夾中的項目免于“寫入時複制”）

盡管“DiscoveryHold”、“清除”和“版本”檔案夾對使用者不可見，但“可恢複的項目”檔案夾中的所有項目由 Exchange 搜尋編制索引，并且可使用就地電子資料展示來發現。 從就地保留或訴訟保留中删除郵箱使用者後，“DiscoveryHold”、“清除”和“版本”檔案夾中的項目将由托管檔案夾助理清除。

就地保留和郵箱配額

“可恢複的項目”檔案夾中的項目不根據使用者的郵箱配額進行計算。 在 Exchange 2013 中，“可恢複的項目”檔案夾有其自己的配額。 當使用者的“可恢複的項目”檔案夾超出可恢複的項目的警告配額（由 RecoverableItemsWarningQuota 參數指定）時，将在郵箱伺服器的應用程式事件日志中記錄事件。 當該檔案夾超出可恢複的項目的配額（由 RecoverableItemsQuota 參數指定）時，使用者将無法清空“已删除的項目”檔案夾或永久删除郵箱項目。 而且，“寫入時複制”也将無法建立已修改項目的副本。 是以，監視就地保留的郵箱使用者的“可恢複的項目”配額很關鍵。

對于郵箱資料庫，預設 RecoverableItemsWarningQuota 和 RecoverableItemsQuota 值分别設定為 20 Gb 和 30 Gb。 這些設定通常足以存儲若幹年的郵箱資料（就地保留時）。 若要對郵箱資料庫修改這些值，請使用 Set-MailboxDatabase cmdlet。

就地保留和訴訟保留

訴訟保留是 Exchange 2010 中引入的用于保留電子資料展示資料的保留功能，在 Exchange 2013 中仍然可用。 訴訟保留使用郵箱的 LitigationHoldEnabled 屬性。 就地保留基于查詢參數、保留期和放置多個保留的功能提供精細的保留功能，而訴訟保留僅允許您無限期保留所有項目或一直保留到删除保留。

在 Exchange Online 中，您還可以為郵箱指定訴訟保留持續時間。

同時将項目置于一個或多個就地保留和訴訟保留中時，将無限期保留所有項目或一直保留到删除保留。 如果删除訴訟保留而使用者仍置于一個或多個就地保留中，則将比對就地保留條件的項目保留在保留設定中指定的時間段。 将 Exchange 2010 中訴訟保留的郵箱移到 Exchange 2013 郵箱伺服器時，将繼續應用訴訟保留設定，進而確定在移動期間和之後繼續滿足合規性要求。

保留存檔的 Lync 内容

Exchange 2013、Microsoft Lync 2013 和 Microsoft SharePoint 2013 提供內建的保留和電子資料展示體驗，使您能夠跨不同資料存儲保留和搜尋項目。Exchange 2013 允許您将 Lync Server 2013 内容存檔在 Exchange 中，并消除要具備單獨的 SQL Server 資料庫才能存儲存檔 Lync 内容的要求。 通過 SharePoint 2013 中內建的保留和電子資料展示功能，您可以從單個控制台跨所有存儲保留和搜尋資料。

将 Exchange 2013 郵箱置于就地保留或訴訟保留時，Microsoft Lync 2013 内容（如聯機會議中共享的即時消息會話和檔案）将存檔在郵箱中。 如果使用 Microsoft SharePoint 2013 中的電子資料展示中心或 Exchange 2013 中的就地電子資料展示搜尋郵箱，則搜尋結果中還會傳回比對搜尋查詢的所有存檔的 Lync 内容。 還可以将搜尋限制為郵箱中存檔的 Lync 内容。

要啟用 Exchange 2013 郵箱中 Lync 内容的存檔，必須配置 Lync 2013 與 Exchange 2013 的內建。

本文轉自天鬼皇 51CTO部落格，原文連結：http://blog.51cto.com/ghostlan/1433126，如需轉載請自行聯系原作者