Criar um In-Place pesquisa de Deteção de Dados Eletrónicos no Exchange Server
Utilize um In-Place pesquisa de Deteção de Dados Eletrónicos para procurar conteúdos em todas as caixas de correio e pastas públicas na sua organização do Exchange Server. Isto inclui procurar itens eliminados permanentemente e versões originais de itens modificados (na pasta Itens Recuperáveis) para utilizadores colocados em Suspensão de Litígios ou In-Place Suspensão. Para obter mais informações sobre estas pesquisas, veja Deteção de Dados Eletrónicos No Local no Exchange Server.
Antes de começar
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver as permissões necessárias, veja a entrada "Deteção de Dados Eletrónicos No Local" no tópico Política de mensagens e permissões de conformidade no Exchange Server .
Para criar pesquisas de Descoberta eletrônica, é necessário ter um endereço SMTP na organização na qual você está criando as pesquisas. Numa organização híbrida do Exchange, a sua caixa de correio do Exchange no local tem de ter uma conta de utilizador de correio correspondente na sua organização do Microsoft 365 ou office 365, como a conta de administrador inquilino, essa conta tem de ter uma licença do Exchange Online atribuída. Para obter mais informações sobre os requisitos de licenciamento do Microsoft 365 ou do Office 365 para pesquisas de Deteção de Dados Eletrónicos no local, consulte Descrição do Serviço Do Exchange Online.
A Configuração do Exchange Server cria uma caixa de correio de Deteção denominada Caixa de Correio de Pesquisa de Deteção para copiar os resultados da pesquisa. Você pode criar caixas de correio de Descoberta adicionais. Para detalhes, consulte Criar uma caixa de correio de descoberta.
Quando cria uma pesquisa, as mensagens devolvidas nos resultados da pesquisa não são copiadas automaticamente para uma caixa de correio de deteção. Depois de criar a pesquisa, pode utilizar o Centro de administração do Exchange (EAC) para estimar e pré-visualizar os resultados da pesquisa ou copiá-los para uma caixa de correio de deteção. Também pode exportar os resultados da pesquisa para um ficheiro .pst. Veja mais detalhes em:
Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Abra o Shell de Gerenciamento do Exchange.
Utilizar o EAC para criar uma pesquisa
Conforme explicado anteriormente, para criar pesquisas de Descoberta eletrônica, você precisa entrar com uma conta de usuário que tenha um endereço SMTP em sua organização.
Aceda a Gestão> de conformidadeDeteção de Dados Eletrónicos no local & Mantenha premida a tecla e, em seguida, clique no ícone Novo.
Na janela Nova In-Place Deteção de Dados Eletrónicos &, na página Nome e descrição , escreva um nome para a pesquisa, adicione uma descrição opcional e, em seguida, clique em Seguinte.
Na página Caixas de Correio e Pastas públicas , selecione as origens de conteúdo a procurar:
Para incluir todas as caixas de correio na pesquisa, clique em Procurar em todas as caixas de correio. Se selecionar esta opção, não poderá ativar uma In-Place Manter para a pesquisa.
Para excluir caixas de correio da pesquisa (e procurar apenas pastas públicas), clique em Não procurar em caixas de correio.
Para incluir caixas de correio específicas na pesquisa, clique em Especificar caixas de correio para procurar e, em seguida, adicione as caixas de correio que pretende procurar.
Para incluir pastas públicas na pesquisa (ou para colocar pastas públicas em espera), clique em Procurar em todas as pastas públicas. Para obter mais informações sobre como procurar pastas públicas, consulte Pesquisar e colocar uma suspensão em pastas públicas com In-Place Deteção de Dados Eletrónicos.
Na página Consulta de pesquisa, preencha os seguintes campos:
Incluir todo o conteúdo: selecione esta opção para incluir todo o conteúdo nos resultados da pesquisa. Se você selecionar essa opção, não poderá especificar critérios de pesquisa adicionais.
Filtrar com base em critérios: selecione esta opção para especificar critérios de pesquisa, incluindo palavras-chave, datas de início e fim, endereços de remetente e destinatário e tipos de mensagens. Para obter mais informações sobre consultas de pesquisa, veja Propriedades da mensagem e operadores de pesquisa para In-Place Deteção de Dados Eletrónicos no Exchange Server.
Observação
Os campos De: e Para/Cc/Bcc: são ligados por um operador OR na consulta de pesquisa que é criada quando executa a pesquisa. Isto significa que qualquer mensagem enviada ou recebida por qualquer um dos utilizadores especificados (e corresponde aos outros critérios de pesquisa) é incluída nos resultados da pesquisa. As datas são ligadas por um operador AND .
Na página Definições da Suspensão No Local, pode selecionar a caixa de verificação Colocar conteúdo correspondente à consulta de pesquisa em origens selecionadas em suspensão e, em seguida, selecionar uma das seguintes opções para colocar itens em In-Place Manter:
Suspender indefinidamente: selecione esta opção para colocar os itens devolvidos numa suspensão indefinida. Os itens em suspensão serão preservados até remover a origem de conteúdo da pesquisa ou se eliminar a pesquisa.
Especificar número de dias para reter itens relativos para a data de recebimento Use esta opção para reter itens por um período específico. Por exemplo, você pode usar essa opção se sua organização exigir que todas as mensagens sejam retidas por pelo menos sete anos. Você pode usar uma Retenção Local com base no tempo juntamente com uma política de retenção para garantir que itens sejam excluídos em sete anos.
Importante
Ao colocar origens de conteúdo ou itens específicos em In-Place Suspender para fins legais, geralmente é recomendado manter os itens indefinidamente e remover a suspensão quando o caso ou investigação estiver concluído.
Clique em Concluir para salvar a pesquisa e retornar uma estimativa do tamanho total e da quantidade itens que serão retornados pela pesquisa com base nos critérios que você especificou. As estimativas são exibidas no painel de detalhes. Clique no Para atualizar as informações apresentadas no painel de detalhes.
Utilizar a Shell de Gestão do Exchange para criar uma pesquisa
Eis quatro exemplos de utilização da Shell de Gestão do Exchange para procurar e colocar um controlo sobre o conteúdo em caixas de correio e pastas públicas. Para obter informações detalhadas sobre a sintaxe e os parâmetros sobre a utilização da Shell de Gestão do Exchange para criar pesquisas de Deteção de Dados Eletrónicos, consulte New-MailboxSearch
Exemplo 1
Este exemplo cria a Discovery-CaseId012 de pesquisa para itens que contêm as palavras-chave Contoso e ProjectA. Os resultados da pesquisa são colocados em In-Place suspensão, com uma duração de suspensão ilimitada. A pesquisa também inclui os seguintes critérios:
Data de início: 1/1/2013
Data de fim: 31/12/2015
Caixa de correio de origem: DG-Finance
Caixa de correio de destino: Caixa de Correio de Pesquisa de Descoberta
Tipos de mensagens: Email
Nível de log: Inteiro
Importante
Se não especificar uma consulta de pesquisa, um intervalo de datas ou um tipo de mensagem, todos os itens nas caixas de correio de origem ou pastas públicas são devolvidos nos resultados. Os resultados seriam semelhantes à seleção de Incluir todo o conteúdo na página Consulta de pesquisa no EAC.
New-MailboxSearch "Discovery-CaseId012" -StartDate "01/01/2013" -EndDate "12/31/2015" -SourceMailboxes "DG-Finance" -TargetMailbox "Discovery Search Mailbox" -SearchQuery '"Contoso" AND "Project A"' -MessageTypes Email -IncludeUnsearchableItems -LogLevel Full -InPlaceHoldEnabled $true
Start-MailboxSearch "Discovery-CaseId012"
Depois de utilizar a Shell de Gestão do Exchange para criar um In-Place pesquisa de Deteção de Dados Eletrónicos, tem de iniciar a pesquisa utilizando o cmdlet Start-MailboxSearch para copiar mensagens para a caixa de correio de deteção especificada no parâmetro TargetMailbox . Para obter detalhes, consulte Copiar os resultados de pesquisa de descoberta eletrônica para uma caixa de correio de descoberta.
Observação
Ao utilizar os parâmetros StartDate e EndDate , tem de utilizar o formato de data mm/dd/aaaa, mesmo que as definições do computador local estejam configuradas para utilizar um formato de data diferente, como dd/MM/aaaa. Por exemplo, para procurar mensagens enviadas entre 1 de abril de 2015 e 1 de julho de 2015, utilizaria 01/04/2015 e 01/07/2015 para as datas de início e de fim.
Exemplo 2
Este exemplo cria um In-Place pesquisa de Deteção de Dados Eletrónicos com o nome HRCase090116 que procura mensagens de e-mail enviadas por Alex Darrow para Sara Davis em 2015.
New-MailboxSearch "HRCase090116" -StartDate "01/01/2015" -EndDate "12/31/2015" -SourceMailboxes alexd,sarad -SearchQuery 'From:alexd@contoso.com AND To:sarad@contoso.com' -MessageTypes Email -TargetMailbox "Discovery Search Mailbox" -IncludeUnsearchableItems -LogLevel Full
Start-MailboxSearch "HRCase090116"
Exemplo 3
Este exemplo cria uma pesquisa só de estimativa que procura em todas as pastas públicas da organização itens enviados entre 1 de janeiro de 2015 e 30 de junho de 2015 e que contêm a expressão "violação de patente". A pesquisa não inclui caixas de correio. O cmdlet Start-MailboxSearch é utilizado para iniciar a pesquisa só de estimativa.
New-MailboxSearch -Name "Northwind Subpoena-All PFs" -AllPublicFolderSources $true -AllSourceMailboxes $false -SearchQuery "patent infringement" -StartDate "01/01/2015" -EndDate "06/30/2015" -TargetMailbox "Discovery Search Mailbox" -EstimateOnly
Start-MailboxSearch "Northwind Subpoena-All PFs"
Exemplo 4
Este exemplo procura em todas as caixas de correio e pastas públicas qualquer conteúdo que contenha as palavras "lista de preços" e "Contoso" e que tenha sido enviado após 1 de janeiro de 2015. O cmdlet Start-MailboxSearch é utilizado para executar a pesquisa e copiar os resultados da pesquisa para a caixa de correio de deteção.
New-MailboxSearch -Name "Contoso Litigation" -AllSourceMailboxes $true -AllPublicFolderSources $true -SearchQuery '"price list" AND "contoso"' -StartDate "01/01/2015" -TargetMailbox "Discovery Search Mailbox"
Start-MailboxSearch "Contoso Litigation"
Usar o EAC para obter uma estimativa ou visualizar os resultados da pesquisa
Depois de criar uma pesquisa de Deteção de Dados Eletrónicos, pode utilizar o EAC para obter uma estimativa e pré-visualização dos resultados da pesquisa. Se tiver criado uma nova pesquisa com o cmdlet New-MailboxSearch , pode utilizar a Shell de Gestão do Exchange para iniciar a pesquisa para obter uma estimativa dos resultados da pesquisa.
Aceda a Gestão>de conformidade Deteção de Dados Eletrónicos no Local & Suspensão.
Na vista de lista, selecione a pesquisa e, em seguida, efetue um dos seguintes procedimentos:
Clique no >Calcule os resultados da pesquisa para devolver uma estimativa do tamanho total e do número de itens que serão devolvidos pela pesquisa com base nos critérios que especificou. A seleção dessa opção reinicia a pesquisa e realiza uma estimativa.
As estimativas de pesquisa são apresentadas no painel de detalhes. Clique no Para atualizar as informações apresentadas no painel de detalhes.
Clique em Pré-visualizar os resultados da pesquisa no painel de detalhes para pré-visualizar os resultados após a conclusão da estimativa de pesquisa. Selecionar essa opção abre a janela Visualização de pesquisa de Descoberta Eletrônica. Todas as mensagens devolvidas das caixas de correio ou pastas públicas que foram pesquisadas são apresentadas.
Observação
As caixas de correio ou pastas públicas que foram pesquisadas estão listadas no painel direito na janela de pré-visualização da pesquisa de Deteção de Dados Eletrónicos. Para cada origem, o número de itens devolvidos e o tamanho total destes itens também são apresentados. Todos os itens retornados pela pesquisa são listados no painel à direita e podem ser classificados de acordo com a data mais recente ou a mais antiga. Os itens de cada caixa de correio ou pasta pública não podem ser apresentados no painel direito ao clicar numa origem no painel esquerdo. Para ver os itens devolvidos de uma caixa de correio ou pasta pública específica, pode copiar os resultados da pesquisa e ver os itens na caixa de correio de deteção.
Utilizar a Shell de Gestão do Exchange para estimar os resultados da pesquisa
Pode utilizar o comutador EstimateOnly para obter uma estimativa dos resultados da pesquisa e não copiar os resultados para uma caixa de correio de deteção. É necessário iniciar uma pesquisa apenas para obtenção da estimativa com o cmdlet Start-MailboxSearch. Em seguida, você pode recuperar os resultados da pesquisa estimados usando o cmdlet Get-MailboxSearch. Não pode utilizar a Shell de Gestão do Exchange para pré-visualizar mensagens devolvidas nos resultados da pesquisa.
Por exemplo, executaria os seguintes comandos para criar uma nova pesquisa e, em seguida, apresentar uma estimativa dos resultados da pesquisa:
New-MailboxSearch "FY15 Q2 Financial Results" -StartDate "04/01/2015" -EndDate "06/30/2015" -SourceMailboxes "DG-Finance" -SearchQuery '"Financial" AND "Fabrikam"' -EstimateOnly -IncludeKeywordStatistics
Start-MailboxSearch "FY15 Q2 Financial Results"
Get-MailboxSearch "FY15 Q2 Financial Results"
Para exibir informações específicas sobre os resultados de pesquisa estimados do exemplo anterior, você pode executar o seguinte comando:
Get-MailboxSearch "FY15 Q2 Financial Results" | Format-List Name,Status,LastRunBy,LastStartTime,LastEndTime,Sources,SearchQuery,ResultSizeEstimate,ResultNumberEstimate,Errors,KeywordHits
Mais informações
Depois de criar uma nova pesquisa de descoberta eletrônica, você pode copiar os resultados da pesquisa na caixa de correio de descoberta e exportar esses resultados de pesquisa para um arquivo PST. Para obter mais informações, consulte:
Depois de executar uma estimativa de pesquisa de Deteção de Dados Eletrónicos (que inclui palavras-chave nos critérios de pesquisa), pode ver estatísticas de palavras-chave ao clicar em Ver estatísticas de palavras-chave no painel de detalhes da pesquisa selecionada. Essas estatísticas também podem exibir detalhes sobre o número de itens retornados por cada palavra-chave utilizada na consulta de pesquisa. No entanto, se estiverem incluídas mais de 100 caixas de correio de origem na pesquisa, será devolvido um erro se tentar ver estatísticas de palavras-chave. Para ver estatísticas de palavras-chave, não podem ser incluídas mais de 100 caixas de correio de origem na pesquisa.
Se utilizar Get-MailboxSearch no Exchange Online para obter informações sobre uma pesquisa de Deteção de Dados Eletrónicos, tem de especificar o nome de uma pesquisa para devolver uma lista completa das propriedades de pesquisa; por exemplo,
Get-MailboxSearch "Contoso Legal Case"
. Se executar o cmdlet Get-MailboxSearch sem utilizar parâmetros, as seguintes propriedades não serão devolvidas:SourceMailboxes
Sources
PublicFolderSources
SearchQuery
ResultsLink
PreviewResultsLink
Errors
O motivo é que requer muitos recursos para devolver estas propriedades para todas as pesquisas de Deteção de Dados Eletrónicos na sua organização.