Usare la ricerca di contenuto del flusso di lavoro di eDiscovery

Importante :  Il presente articolo è stato tradotto automaticamente, vedere la dichiarazione di non responsabilità. Per visualizzare la versione inglese dell'articolo, fare clic qui.

La funzionalità ricerca contenuto di Office 365 Centro sicurezza e conformità consente di eseguire la ricerca di tutte le cassette postali nell'organizzazione. A differenza di eDiscovery In locale in Exchange Online (dove è possibile cercare fino a 10.000 cassette postali), non esistono limiti per il numero di cassette postali di destinazione in una singola ricerca. Per scenari che richiedono di eseguire ricerche a livello di organizzazione, è possibile utilizzare ricerca contenuto per la ricerca di tutte le cassette postali. È quindi possibile utilizzare le caratteristiche del flusso di lavoro di eDiscovery In locale per eseguire altre operazioni correlato a eDiscovery, ad esempio il posizionamento delle cassette postali in attesa e dei risultati della ricerca all'esportazione. Si supponga, ad esempio, che è necessario cercare tutte le cassette postali per identificare specifici depositari interattive di una persona maiuscole/minuscole. È possibile utilizzare ricerca contenuto in Centro sicurezza e conformità per cercare tutte le cassette postali all'interno dell'organizzazione per identificare quelli che sono rispondono alle maiuscole/minuscole. È quindi possibile utilizzare l'elenco delle cassette postali depositaria come cassette postali di origine per una ricerca eDiscovery sul posto in Exchange Online. EDiscovery utilizzando sul posto consente anche di mettere un'esenzione in tali cassette postali di origine, copiare i risultati della ricerca a una cassetta postale di individuazione ed esportare i risultati della ricerca.

Questo argomento include uno script che può essere eseguito per creare una ricerca di eDiscovery sul posto in Exchange Online usando l'elenco delle cassette postali di origine e la query di una ricerca creata nel Centro sicurezza e conformità. Ecco una panoramica del processo:

Passaggio 1: Creare una ricerca contenuto per eseguire ricerche in tutte le cassette postali dell'organizzazione

Passaggio 2: Connettersi al Centro sicurezza e conformità e ad Exchange Online in un'unica sessione remota di PowerShell

Passaggio 3: Eseguire lo script per creare una ricerca eDiscovery sul posto dalla ricerca contenuto

Passaggio 4: Avviare la ricerca eDiscovery sul posto

Passaggi successivi alla creazione e all'esecuzione della ricerca eDiscovery sul posto

Passaggio 1: Creare una ricerca contenuto per eseguire ricerche in tutte le cassette postali dell'organizzazione

Il primo passaggio consiste nell'usare il Centro sicurezza e conformità (o Windows PowerShell) per creare una ricerca contenuto su tutte le cassette postali dell'organizzazione. Non c'è un limite per il numero di cassette postali per una singola ricerca contenuto. Specificare una query con parole chiave appropriata (o una query per tipi di informazioni riservate) in modo che la ricerca restituisca solo le cassette postali pertinenti per l'indagine. Se necessario, affinare la query di ricerca in modo da limitare l'ambito dei risultati della ricerca e il numero di cassette postali restituite.

Nota : Se la ricerca contenuto di origine non restituisce risultati, non verrà creata una ricerca eDiscovery sul posto con l'esecuzione dello script al passaggio 3. Potrebbe essere necessario modificare la query di ricerca e quindi eseguire di nuovo la ricerca contenuto per restituire i risultati della ricerca.

Utilizzare Centro sicurezza e conformità per cercare tutte le cassette postali

  1. Accedere al Centro sicurezza e conformità di Office 365.

  2. Fare clic su Ricerche e indagini > Ricerca di contenuto e quindi fare clic su Nuova Icona Aggiungi .

  3. Nella pagina Nuova ricerca digitare un nome per la ricerca contenuto.

  4. In Dove si vuole effettuare la ricerca? fare clic su Cerca in tutte le cassette postali e quindi su Avanti.

  5. Nella casella sotto Dove si vuole effettuare la ricerca? digitare una query di ricerca. È possibile specificare parole chiave, proprietà messaggio come le date di invio o ricezione o proprietà documento come il nome file o la data dell'ultima modifica apportata a un documento. È possibile usare query più complesse che usano un operatore booleano, come AND, OR, NOT o NEAR, e anche cercare informazioni riservate (come i codici fiscali) nei messaggi. Per altre informazioni sulla creazione di query di ricerca, vedere Query con parole chiave per Ricerca contenuto.

  6. Fare clic su Cerca per salvare le impostazioni della ricerca e avviarla.

    Dopo qualche istante una stima dei risultati viene visualizzata nel riquadro dei dettagli. La stima include le dimensioni totali e il numero di elementi dei risultati della ricerca. Una volta completata la ricerca, è possibile visualizzare i risultati in anteprima. Se necessario, fare clic su Aggiorna Icona Aggiorna per aggiornare le informazioni nel riquadro dei dettagli.

  7. Se necessario, affinare la query di ricerca in modo da limitare l'ambito dei risultati della ricerca e quindi riavviare la ricerca.

Utilizzare Windows PowerShell per cercare tutte le cassette postali

Si può anche usare il cmdlet New-ComplianceSearch per eseguire ricerche in tutte le cassette postali dell'organizzazione. La prima operazione da eseguire è connettersi al Centro sicurezza e conformità di Office 365 usando una sessione remota di PowerShell.

Ecco un esempio di utilizzo di Windows PowerShell per eseguire ricerche in tutte le cassette postali dell'organizzazione. La query di ricerca restituisce tutti i messaggi inviati tra l'1 gennaio 2015 e il 30 giugno 2015 e che contengono la frase "financial report" nella riga dell'oggetto. Il primo comando crea la ricerca e il secondo la esegue.

New-ComplianceSearch -Name "Search All-Financial Report" -ExchangeLocation all -ContentMatchQuery 'sent>=01/01/2015 AND sent<=06/30/2015 AND subject:"financial report"'
Start-ComplianceSearch -Identity "Search All-Financial Report"

Per altre informazioni, vedere New-ComplianceSearch.

Inizio pagina

Verificare il numero di cassette postali di origine nella ricerca contenuto

Una ricerca contenuto restituisce un massimo di 1.000 cassette postali di origine che contengono risultati della ricerca. Se sono presenti più di 1.000 cassette postali con contenuto corrispondente alla query di ricerca, solo le prime 1.000 cassette postali con il maggior numero di risultati della ricerca saranno incluse nella ricerca contenuto creata nel passaggio precedente. Quindi, se più di 1.000 cassette postali contengono risultati della ricerca, alcune non saranno incluse nell'elenco delle cassette postali di origine copiate nella nuova ricerca eDiscovery sul posto creata nel passaggio 3.

Per creare una ricerca contenuto con un massimo di 1.000 cassette postali di origine, seguire questi passaggi per eseguire uno script che visualizza il numero di cassette postali di origine (che contengono risultati della ricerca) restituite dalla ricerca contenuto creata nel passaggio 1.

  1. Salvare il testo seguente in un file script di Windows PowerShell usando il suffisso del nome file ps1, ad esempio SourceMailboxes.ps1.

    [CmdletBinding()]
    Param(
        [Parameter(Mandatory=$True,Position=1)]
        [string]$SearchName
    )
    
    $search = Get-ComplianceSearch $SearchName
    if ($search.Status -ne "Completed")
    {
                    "Please wait until the search finishes.";
                    break;
    }
    
    $results = $search.SuccessResults;
    if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
    {
                    "The Content Search " + $SearchName + " didn't return any useful results.";
                    break;
    }
    
    $mailboxes = @();
    $lines = $results -split '[\r\n]+';
    foreach ($line in $lines)
    {
        if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
        {
            $mailboxes += $matches[1];
        }
    }
    
    "Number of mailboxes that have search hits: " + $mailboxes.Count
  2. In una sessione di Windows PowerShell connessa al Centro sicurezza e conformità passare alla cartella in cui si trova lo script creato nel passaggio precedente e quindi eseguire lo script, ad esempio:

    .\SourceMailboxes.ps1
  3. Quando richiesto dallo script, digitare il nome della ricerca contenuto che verrà creata nel passaggio 1.

    Lo script visualizza il numero di cassette postali di origine che contengono risultati della ricerca.

Se le cassette postali di origine sono più di 1.000, provare a creare due (o più) ricerche contenuto. Ad esempio, usare una ricerca contenuto per metà delle cassette postali dell'organizzazione e un'altra ricerca contenuto per l'altra metà. È anche possibile modificare i criteri di ricerca per ridurre il numero di cassette postali che contengono risultati della ricerca. Si può ad esempio includere un intervallo di date o affinare la query con parole chiave.

Inizio pagina

Passaggio 2: Connettersi al Centro sicurezza e conformità e Exchange Online in una singola sessione di PowerShell remota

In questo passaggio occorre connettere Windows PowerShell sia al Centro sicurezza e conformità che all'organizzazione di Exchange Online. Questa operazione è necessaria perché lo script eseguito nel passaggio 3 richiede l'accesso ai cmdlet di Ricerca contenuto nel Centro sicurezza e conformità e ai cmdlet di eDiscovery sul posto in Exchange Online.

  1. Salvare il testo seguente in un file script di Windows PowerShell usando il suffisso del nome file ps1, ad esempio ConnectEXO-CC.ps1.

    $UserCredential = Get-Credential
    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell-liveid -Credential $UserCredential -Authentication Basic -AllowRedirection
    Import-PSSession $Session -DisableNameChecking
    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid -Credential $UserCredential -Authentication Basic -AllowRedirection
    Import-PSSession $Session -AllowClobber -DisableNameChecking
    $Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Exchange Online + Compliance Center)"
  2. Nel computer locale aprire Windows PowerShell, passare alla cartella in cui si trova lo script creato nel passaggio precedente e quindi eseguirlo, ad esempio:

    .\ConnectEXO-CC.ps1

Come si può sapere se l'operazione è riuscita? Dopo aver eseguito lo script, i cmdlet del Centro sicurezza e conformità e di Exchange Online vengono importati nella sessione locale di Windows PowerShell. Se non si ricevono errori, la connessione è riuscita. Per un test rapido, eseguire un cmdlet del Centro sicurezza e conformità, ad esempio Install-UnifiedCompliancePrerequisite, e un cmdlet di Exchange Online, come Get-Mailbox.

Inizio pagina

Passaggio 3: Eseguire lo script per creare una ricerca eDiscovery sul posto dalla ricerca contenuto

Dopo aver creato la doppia sessione di Windows PowerShell nel passaggio 2, occorre eseguire uno script che convertirà una ricerca contenuto esistente in una ricerca eDiscovery sul posto. Ecco cosa fa lo script:

  • Chiede di specificare il nome della ricerca contenuto da convertire.

  • Verifica che l'esecuzione della ricerca contenuto sia terminata. Se la ricerca contenuto non restituisce risultati, non verrà creata una ricerca eDiscovery sul posto.

  • Salva in una variabile un elenco delle cassette postali di origine della ricerca contenuto che contengono risultati della ricerca.

  • Crea una nuova ricerca eDiscovery sul posto con le proprietà seguenti. Si noti che la nuova ricerca non viene avviata. Lo sarà al passaggio 4.

    • Nome      Il nome della nuova ricerca usa questo formato: <Nome ricerca contenuto>_MBSearch1. Se si esegue di nuovo lo script usando la stessa ricerca contenuto di origine, il nome della ricerca sarà <Nome ricerca contenuto>_MBSearch2.

    • Cassette postali di origine      Tutte le cassette postali di origine della ricerca contenuto che contengono risultati della ricerca.

    • Query di ricerca      La nuova ricerca usa la query di ricerca della ricerca contenuto. Se la ricerca contenuto include tutto il contenuto (ossia la query di ricerca è vuota), anche la nuova ricerca avrà una query di ricerca vuota e includerà tutto il contenuto trovato nelle cassette postali di origine.

    • Ricerca di sola stima      La nuova ricerca viene contrassegnata come ricerca di sola stima. I risultati della ricerca non vengono copiati in una cassetta postale di individuazione dopo l'avvio della ricerca.

  1. Salvare il testo seguente in un file script di Windows PowerShell usando il suffisso del nome file ps1, ad esempio CreateMBSearchFromComplianceSearch.ps1.

    [CmdletBinding()]
    Param(
        [Parameter(Mandatory=$True,Position=1)]
        [string]$SearchName,
    
        [switch]$original,
    
        [switch]$restoreOriginal
    )
    
    $search = Get-ComplianceSearch $SearchName
    if ($search.Status -ne "Completed")
    {
    	"Please wait until the search finishes";
    	break;
    }
    
    $results = $search.SuccessResults;
    if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
    {
    	"The Content Search " + $SearchName + " didn't return any useful results";
    	"A mailbox search object wasn't created";
    	break;
    }
    
    $mailboxes = @();
    $lines = $results -split '[\r\n]+';
    foreach ($line in $lines)
    {
        if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
        {
            $mailboxes += $matches[1];
        }
    }
    
    $msPrefix = $SearchName + "_MBSearch";
    $I = 1;
    $mbSearches = Get-MailboxSearch;
    while ($true)
    {
        $found = $false;
        $mbsName = "$msPrefix$I";
        foreach ($mbs in $mbSearches)
        {
            if ($mbs.Name -eq $mbsName)
            {
                $found = $true;
                break;
            }
        }
    
        if (!$found)
        {
            break;
        }
    
        $I++;
    }
    
    $query = $search.KeywordQuery;
    if ([string]::IsNullOrWhiteSpace($query))
    {
        $query = $search.ContentMatchQuery;
    }
    
    if ([string]::IsNullOrWhiteSpace($query))
    {
    	New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -EstimateOnly;
    }
    else
    {
    	New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -SearchQuery $query -EstimateOnly;
    }
    
  2. Nella sessione di Windows PowerShell creata nel passaggio 2 passare alla cartella in cui si trova lo script creato nel passaggio precedente e quindi eseguire lo script, ad esempio:

    .\CreateMBSearchFromComplianceSearch.ps1

  3. Quando richiesto dallo script, digitare il nome della ricerca contenuto che si vuole convertire in una ricerca eDiscovery sul posto (ad esempio la ricerca creata nel passaggio 1) e quindi premere INVIO.

    Se lo script viene eseguito correttamente, viene creata una nuova ricerca eDiscovery sul posto con lo stato NotStarted. Eseguire il comando Get-MailboxSearch <Name of Content Search>_MBSearch1 | FL per visualizzare le proprietà della nuova ricerca.

Inizio pagina

Passaggio 4: Avviare la ricerca eDiscovery sul posto

Lo script eseguito nel passaggio 3 crea una nuova ricerca eDiscovery sul posto, ma non la avvia. Il passaggio successivo consiste appunto nell'avviare la ricerca in modo da ottenere una stima dei risultati della ricerca.

  1. In Interfaccia di amministrazione di Exchange EAC (), passare a Gestione conformità > esenzione ed eDiscovery In locale.

  2. In visualizzazione elenco selezionare la ricerca eDiscovery sul posto creata nel passaggio 3.

  3. Fare clic su Cerca Icona di ricerca > Stima i risultati della ricerca per avviare la ricerca e restituire una stima delle dimensioni totali e del numero di elementi restituiti dalla ricerca.

    Le stime sono visualizzate nel riquadro dei dettagli. Fare clic su Aggiorna Icona Aggiorna per aggiornare le informazioni visualizzate nel riquadro dei dettagli.

  4. Per visualizzare in anteprima i risultati dopo il completamento della ricerca, fare clic su Anteprima risultati della ricerca    nel riquadro dei dettagli.

Inizio pagina

Passaggi successivi alla creazione e all'esecuzione della ricerca eDiscovery sul posto

Dopo aver creato e avviato la ricerca eDiscovery sul posto creata dallo script nel passaggio 3, è possibile usare il normale flusso di lavoro di eDiscovery sul posto per eseguire azioni di eDiscovery diverse sui risultati della ricerca.

Creare un blocco sul posto

  1. Nell'interfaccia di amministrazione di Exchange passare a Gestione conformità > eDiscovery e blocco sul posto.

  2. In visualizzazione elenco selezionare la ricerca eDiscovery sul posto creata nel passaggio 3 e fare clic su Modifica Icona Modifica .

  3. Nella pagina Blocco sul posto selezionare la casella di controllo Blocca il contenuto delle cassette postali selezionate che corrisponde alla query di ricerca e quindi selezionare una delle opzioni seguenti:

    • Blocca illimitatamente   Scegliere questa opzione per impostare un blocco illimitato sugli elementi restituiti dalla ricerca. Gli elementi bloccati verranno conservati finché non si rimuove la cassetta postale dalla ricerca o non si rimuove la ricerca stessa.

    • Specifica per quanti giorni bloccare gli elementi in base alla data di ricezione   Scegliere questa opzione per bloccare gli elementi per un periodo specifico. La durata viene calcolata a partire dalla data di ricezione o creazione di un elemento della cassetta postale.

  4. Fare clic su Salva per creare il blocco sul posto e riavviare la ricerca.

Inizio pagina

Copiare i risultati della ricerca

  1. Nell'interfaccia di amministrazione di Exchange passare a Gestione conformità > eDiscovery e blocco sul posto.

  2. In visualizzazione elenco selezionare la ricerca eDiscovery sul posto creata nel passaggio 3.

  3. Fare clic su Cerca Icona di ricerca e quindi su Copia risultati della ricerca nell'elenco a discesa.

  4. In Copia risultati della ricerca selezionare una delle opzioni seguenti:

    • Includi elementi non ricercabili   Selezionare questa casella di controllo per includere elementi della cassetta postale che non è stato possibile includere nella ricerca (ad esempio messaggi con allegati di tipi di file che il servizio di ricerca di Exchange non è stato in grado di indicizzare).

    • Abilita la deduplicazione   Selezionare questa casella di controllo per escludere i messaggi duplicati. Nella cassetta postale di individuazione verranno copiate solo singole istanze dei messaggi.

    • Abilita registrazione completa   Selezionare questa casella di controllo per includere un log completo nei risultati della ricerca.

    • Inviami una e-mail quando la copia è stata completata   Selezionare questa casella di controllo per ricevere una notifica tramite posta elettronica al completamento della ricerca.

    • Copia i risultati in questa cassetta postale di individuazione   Fare clic su Sfoglia per selezionare la cassetta postale di individuazione in cui copiare i risultati della ricerca.

  5. Fare clic su Copia per avviare il processo per copiare i risultati della ricerca nella cassetta postale di individuazione specificata.

  6. Fare clic su Aggiorna Icona Aggiorna per aggiornare le informazioni sullo stato della copia visualizzato nel riquadro dei dettagli.

  7. Al termine della copia, fare clic su Apri per aprire la cassetta postale di individuazione e visualizzare i risultati della ricerca.

Inizio pagina

Esportare i risultati della ricerca

  1. Nell'interfaccia di amministrazione di Exchange passare a Gestione conformità > eDiscovery e blocco sul posto.

  2. In visualizzazione elenco selezionare la ricerca eDiscovery sul posto creata nel passaggio 3 e fare clic su Esporta in un file PST.

  3. In visualizzazione elenco selezionare la ricerca eDiscovery sul posto di cui si vogliono esportare i risultati e fare clic su Esporta in un file PST.

  4. Nella finestra Strumento di esportazione PST eDiscovery eseguire le operazioni seguenti:

    • Fare clic su Sfoglia per specificare il percorso in cui scaricare il file PST.

    • Selezionare la casella di controllo Abilita la deduplicazione per escludere i messaggi duplicati. Nel file PST verranno incluse solo singole istanze dei messaggi.

    • Selezionare la casella di controllo Includi elementi non ricercabili per includere elementi della cassetta postale che non è stato possibile includere nella ricerca (ad esempio messaggi con allegati di tipi di file che il servizio di ricerca di Exchange non è stato in grado di indicizzare). Gli elementi non ricercabili vengono esportati in un file PST distinto.

  5. Fare clic su Avvia per esportare i risultati della ricerca in un file PST.

    Viene visualizzata una finestra con informazioni sullo stato del processo di esportazione.

Inizio pagina

Nota : Dichiarazione di non responsabilità per la traduzione automatica: Il presente articolo è stato tradotto tramite un software di traduzione automatica e non da una persona. Microsoft offre le traduzioni automatiche per consentire a coloro che non conoscono la lingua inglese di leggere gli articoli sui prodotti, sui servizi e sulle tecnologie Microsoft. Dal momento che l'articolo è stato tradotto automaticamente, potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli.

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per i tuoi commenti e suggerimenti

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×