在电子数据展示工作流中使用内容搜索

重要:  本文是由机器翻译的,请参阅免责声明。请在 此处 中查找本文的英文版本以便参考。

在 Office 365 安全与合规中心内容的搜索功能允许您在您的组织中搜索所有邮箱。与Exchange Online (在其中可以搜索多达 10000 邮箱) 中的就地电子数据展示,有无限制的单个搜索中的目标邮箱数。对于方案,需要执行组织范围内搜索,您可以使用内容搜索搜索所有邮箱。然后就地电子数据展示的工作流功能可用于执行其他电子数据展示相关的任务,如放邮箱上的保存和导出搜索结果。例如,假设您有要搜索所有邮箱标识响应法律案件的特定管理员。您可以使用安全与合规中心在内容搜索搜索识别那些响应大小写贵组织中的所有邮箱。然后可以使用该列表的管理员邮箱作为源邮箱Exchange Online中的就地电子数据展示搜索。使用就地电子数据展示也允许您对这些源的邮箱将保留、 复制发现邮箱时,搜索结果和导出搜索结果。

此主题包括一个脚本,您可以运行该脚本以通过使用源邮箱列表以及 安全与合规中心 中创建的搜索的搜索查询在 Exchange Online 中创建就地电子数据展示搜索。以下是过程概述:

步骤 1:创建内容搜索来搜索组织中的所有邮箱

步骤 2:在单个远程 PowerShell 会话中连接到安全与合规中心和 Exchange Online

步骤 3:运行脚本以通过内容搜索创建就地电子数据展示搜索

步骤 4:启动就地电子数据展示搜索

Next steps after creating and running the In-Place eDiscovery search

步骤 1:创建内容搜索来搜索组织中的所有邮箱

第一步是使用 安全与合规中心(或 Windows PowerShell)创建将搜索组织中所有邮箱的内容搜索。对于单个内容搜索的邮箱数没有限制。指定适当的关键字查询(或针对敏感信息类型的查询),以便搜索仅返回与您的调查相关的源邮箱。如有必要,优化搜索查询来缩小返回的搜索结果以及源邮箱的范围。

注意: 如果源内容搜索未返回任何结果,则当您在步骤 3 中运行该脚本时不会创建就地电子数据展示。您可能必须修改搜索查询然后重新运行内容搜索来返回搜索结果。

使用安全与合规中心搜索所有邮箱

  1. 转到 Office 365 安全与合规中心

  2. 依次单击“搜索与调查”、“内容搜索”和“新建” 添加图标

  3. 在“新建搜索”页上,键入内容搜索的名称。

  4. 在“您想要我们查找什么位置?”下,单击“搜索所有邮箱”,然后单击“下一步”。

  5. 在“您想要我们查找哪些内容”下的框中,键入搜索查询。您可以指定关键字、邮件属性(例如发送和接收日期)或文档属性(例如文件名或上次更改文档的日期)。您可以使用更复杂的查询(使用布尔运算符,如 AND、OR、NOT 或 NEAR),或者您还可以搜索邮件中的敏感信息(例如社会安全号)。有关创建搜索查询的详细信息,请参阅Keyword queries for Content Search

  6. 单击“搜索”保存搜索设置,然后启动搜索。

    一段时间后,搜索结果的估计值会显示在详细信息窗格中。估计值包括搜索结果的总大小和项目数。完成搜索后,您可以预览搜索结果。如果有必要,请单击“刷新” “刷新”图标 更新详细信息窗格中的信息。

  7. 如有必要,请优化搜索查询以缩小搜索结果的范围,然后重新启动搜索。

使用Windows PowerShell搜索所有邮箱

您还可以使用 New-ComplianceSearch cmdlet 搜索组织中的所有邮箱。第一个步骤是使用远程 PowerShell 连接到 Office 365 安全与合规中心

下面是使用 Windows PowerShell 搜索组织中所有邮箱的一个示例。搜索查询将返回 2015 年 1 月 1 日和 2015 年 6 月 30 日之间发送的以及主题行中包含短语“财务报告”的所有邮件。第一个命令创建搜索,第二个命令运行搜索。

New-ComplianceSearch -Name "Search All-Financial Report" -ExchangeLocation all -ContentMatchQuery 'sent>=01/01/2015 AND sent<=06/30/2015 AND subject:"financial report"'
Start-ComplianceSearch -Identity "Search All-Financial Report"

有关详细信息,请参阅 New-ComplianceSearch

返回页首

验证内容搜索中的源邮箱数

内容搜索返回 1000 个包含搜索结果的源邮箱的最大值。 如果有超过 1000 个邮箱包含匹配搜索查询的内容,仅使用大多数的搜索结果顶部 1000 邮箱搜索中包括的内容,您在上一步中创建。 因此如果超过 1000 个邮箱包含搜索结果,这些邮箱的一些不会包括在复制到步骤 3 中创建新的就地电子数据展示搜索源邮箱的列表。

为了帮助您创建具有不能超过 1000 源邮箱的内容的搜索,按照这些步骤以运行显示源邮箱数 (包含搜索结果) 返回的内容的搜索步骤 1 中创建一个脚本。

  1. 使用 .ps1 文件名后缀将以下文本保存到 Windows PowerShell 脚本文件。例如,您可以将其保存到名为 SourceMailboxes.ps1 的文件中。

    [CmdletBinding()]
    Param(
        [Parameter(Mandatory=$True,Position=1)]
        [string]$SearchName
    )
    
    $search = Get-ComplianceSearch $SearchName
    if ($search.Status -ne "Completed")
    {
                    "Please wait until the search finishes.";
                    break;
    }
    
    $results = $search.SuccessResults;
    if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
    {
                    "The Content Search " + $SearchName + " didn't return any useful results.";
                    break;
    }
    
    $mailboxes = @();
    $lines = $results -split '[\r\n]+';
    foreach ($line in $lines)
    {
        if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
        {
            $mailboxes += $matches[1];
        }
    }
    
    "Number of mailboxes that have search hits: " + $mailboxes.Count
  2. 在连接到 安全与合规中心 的 Windows PowerShell 会话中,转到上一步中创建的脚本所在的文件夹,然后运行脚本;例如:

    .\SourceMailboxes.ps1
  3. 当脚本提示时,请键入您在步骤 1 中创建的内容搜索的名称。

    该脚本会显示包含搜索结果的源邮箱数。

如果有超过 1000 个源邮箱,请尝试创建两个 (或更多) 的内容搜索。 例如,一个内容搜索和其他内容的搜索中的其他半中搜索您所在组织的邮箱的一半。您还可以更改搜索条件以减少邮箱包含搜索结果的数量。例如,您可能包括日期范围或优化关键字查询。

返回页首

步骤 2︰ 连接到安全与合规中心和Exchange Online单个远程 PowerShell 会话中

下一步是将 Windows PowerShell 同时连接到安全与合规中心和 Exchange Online 组织。这是必要步骤,因为您在步骤 3 中运行的脚本需要访问安全与合规中心中的内容搜索 cmdlet 和 Exchange Online 中的就地电子数据展示 cmdlet。

  1. 使用 .ps1 文件名后缀将以下文本保存到 Windows PowerShell 脚本文件。例如,您可以将其保存至名为 ConnectEXO-CC.ps1 的文件。

    $UserCredential = Get-Credential
    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell-liveid -Credential $UserCredential -Authentication Basic -AllowRedirection
    Import-PSSession $Session -DisableNameChecking
    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid -Credential $UserCredential -Authentication Basic -AllowRedirection
    Import-PSSession $Session -AllowClobber -DisableNameChecking
    $Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Exchange Online + Compliance Center)"
  2. 在本地计算机上,打开 Windows PowerShell,转到您在上一步中创建的脚本所在的文件夹,然后运行该脚本;例如:

    .\ConnectEXO-CC.ps1

您如何知道这是否有效?运行脚本之后,安全与合规中心 和 Exchange Online 中的 cmdlet 将导入到本地 Windows PowerShell 会话。如果未收到任何错误,则说明连接成功。一个快速的测试方法是运行 安全与合规中心 cmdlet(例如 Install-UnifiedCompliancePrerequisite)以及 Exchange Online cmdlet(如 Get-Mailbox)。

返回页首

步骤 3:运行脚本以通过内容搜索创建就地电子数据展示搜索

在步骤 2 中创建双 Windows PowerShell 会话后,下一步是运行会将现有内容搜索转换为就地电子数据展示搜索的脚本。下面是脚本的用途:

  • 提示您输入要转换的内容搜索的名称。

  • 验证内容搜索是否已完成运行。如果内容搜索未返回任何结果,将不会创建就地电子数据展示。

  • 将内容搜索中包含搜索结果的源邮箱列表保存为一个变量。

  • 使用以下属性创建新的就地电子数据展示搜索。请注意,新的搜索未启动。您将在步骤 4 中启动该搜索。

    • 名称      使用此格式的新搜索的名称:<内容搜索的名称>_MBSearch1。如果您再次运行脚本并使用相同的源内容搜索,搜索将命名为 <内容搜索的名称>_MBSearch2。

    • 源邮箱      内容搜索中包含搜索结果的所有邮箱。

    • 搜索查询      新的搜索使用内容搜索中的搜索查询。如果内容搜索中包括所有内容(其中搜索查询为空),则新搜索也将会有空的搜索查询并将包含源邮箱中找到的所有内容。

    • 仅执行估计的搜索      新的搜索将被标记为仅执行估计的搜索。它将不会在启动之后将搜索结果复制到发现邮箱。

  1. 使用 ps1 文件名后缀将以下文本保存到 Windows PowerShell 脚本文件。例如,您可以将其保存至名为 CreateMBSearchFromComplianceSearch.ps1 的文件。

    [CmdletBinding()]
    Param(
        [Parameter(Mandatory=$True,Position=1)]
        [string]$SearchName,
    
        [switch]$original,
    
        [switch]$restoreOriginal
    )
    
    $search = Get-ComplianceSearch $SearchName
    if ($search.Status -ne "Completed")
    {
    	"Please wait until the search finishes";
    	break;
    }
    
    $results = $search.SuccessResults;
    if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
    {
    	"The Content Search " + $SearchName + " didn't return any useful results";
    	"A mailbox search object wasn't created";
    	break;
    }
    
    $mailboxes = @();
    $lines = $results -split '[\r\n]+';
    foreach ($line in $lines)
    {
        if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
        {
            $mailboxes += $matches[1];
        }
    }
    
    $msPrefix = $SearchName + "_MBSearch";
    $I = 1;
    $mbSearches = Get-MailboxSearch;
    while ($true)
    {
        $found = $false;
        $mbsName = "$msPrefix$I";
        foreach ($mbs in $mbSearches)
        {
            if ($mbs.Name -eq $mbsName)
            {
                $found = $true;
                break;
            }
        }
    
        if (!$found)
        {
            break;
        }
    
        $I++;
    }
    
    $query = $search.KeywordQuery;
    if ([string]::IsNullOrWhiteSpace($query))
    {
        $query = $search.ContentMatchQuery;
    }
    
    if ([string]::IsNullOrWhiteSpace($query))
    {
    	New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -EstimateOnly;
    }
    else
    {
    	New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -SearchQuery $query -EstimateOnly;
    }
    
  2. 在您在步骤 2 中创建的 Windows PowerShell 会话中,转到您在上一步中创建的脚本所在的文件夹,然后运行脚本;例如:

    .\CreateMBSearchFromComplianceSearch.ps1

  3. 当脚本提示时,请键入您希望转换为就地电子数据展示搜索(例如,您在步骤 1 中创建的搜索)的内容搜索的名称,然后按“Enter”。

    如果脚本成功,将创建新的就地电子数据展示搜索,状态为 NotStarted。运行命令 Get-MailboxSearch <Name of Content Search>_MBSearch1 | FL 可显示新搜索的属性。

返回页首

步骤 4:启动就地电子数据展示搜索

您在步骤 3 中运行的脚本将创建一个新的就地电子数据展示搜索,但不会启动该搜索。下一步是启动该搜索,以便您可以获取搜索结果的估计值。

  1. 在Exchange 管理中心 (EAC),转到合规性管理>就地电子数据展示和保留

  2. 在列表视图中,选择您在步骤 3 中创建的就地电子数据展示搜索。

  3. 单击“搜索” “搜索”图标 >“估计搜索结果”开始搜索,并返回由搜索返回的总大小和项目数的估计值。

    估计值显示在详细信息窗格中。单击“刷新” “刷新”图标 ,更新详细信息窗格中显示的信息。

  4. 若要在完成搜索后预览结果,请单击详细信息窗格中的“预览搜索结果”。

返回页首

创建和运行就地电子数据展示搜索后接下来的步骤

创建并启动由步骤 3 中的脚本创建的就地电子数据展示搜索后,您可以使用普通的就地电子数据展示工作流对搜索结果执行不同的电子数据展示操作。

创建就地保留

  1. 在 EAC 中,转到“合规性管理”>“就地电子数据展示和保留”。

  2. 在列表视图中,选择您在步骤 3 中创建的就地电子数据展示搜索,然后单击“编辑” “编辑”图标

  3. 在“就地保留”页面上,选中“将与所选邮箱中的搜索查询匹配的内容置于保留状态”复选框,然后选择以下选项之一:

    • 无限期保留   选择此选项可无限期保留搜索返回的项目。保留的项目将会保持,直到您从搜索中删除邮箱或删除搜索。

    • 指定保留项目的天数(相对于收到日期)   选择此选项可在指定周期内保留项目。持续时间从接收或创建邮箱项目的日期开始计算。

  4. 单击“保存”创建就地保留并重新启动搜索。

返回页首

复制搜索结果

  1. 在 EAC 中,转到“合规性管理”>“就地电子数据展示和保留”。

  2. 在列表视图中,选择您在步骤 3 中创建的就地电子数据展示搜索。

  3. 单击“搜索” “搜索”图标 ,然后从下拉列表中单击“复制搜索结果”。

  4. 在“复制搜索结果”中,从以下选项中进行选择:

    • 包含不可搜索的项目   选中此复选框可包括无法搜索的邮箱项目(例如,带无法被 Exchange 搜索编入索引的文件类型附件的邮件)。

    • 启用重复数据删除   选中此复选框可排除重复的邮件。仅有邮件的单个实例将被复制到发现邮箱。

    • 启用完全日志记录   选中此复选框以在搜索结果中包含完整日志。

    • 复制完成后发送邮件给我   选中此复选框以在搜索完成后收到电子邮件通知。

    • 将结果复制到此发现邮箱   单击“浏览”选择要复制搜索结果到其中的发现邮箱。

  5. 单击“复制”开始将搜索结果复制到指定发现邮箱的过程。

  6. 单击“刷新” “刷新”图标 更新有关显示在详细信息窗格中的复制状态的信息。

  7. 复制完成后,单击“打开”打开发现邮箱查看搜索结果。

返回页首

导出搜索结果

  1. 在 EAC 中,转到“合规性管理”>“就地电子数据展示和保留”。

  2. 在列表视图中,选择您在步骤 3 中创建的就地电子数据展示搜索,然后单击“导出到 PST 文件”。

  3. 在列表视图中,选择要导出结果的就地电子数据展示搜索,然后单击“导出到 PST 文件”。

  4. 在“电子数据展示 PST 导出工具”窗口中,执行以下操作:

    • 单击“浏览”指定要下载 PST 文件的位置。

    • 单击“启用重复数据删除”复选框来排除重复的邮件。PST 文件只会包括邮件的单个实例。

    • 单击“包括不可搜索的项目”复选框以包括无法搜索的邮箱项目(例如,带无法被 Exchange 搜索编入索引的文件类型附件的邮件)。不可搜索的项目会被导出到一个单独的 PST 文件中。

  5. 单击“开始”将搜索结果导出到 PST 文件。

    将显示一个窗口,其中包含有关导出过程的状态信息。

返回页首

注意: 机器翻译免责声明:本文是由无人工介入的计算机系统翻译的。Microsoft 提供机器翻译是为了帮助非英语国家/地区用户方便阅读有关 Microsoft 产品、服务和技术的内容。由于机器翻译的原因,本文可能包含词汇、语法或文法方面的错误。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×