在您的 eDiscovery 工作流程中使用內容搜尋

重要:  本文係由機器翻譯而成,請參閱免責聲明。本文的英文版本請見這裡,以供參考。

在 Office 365 安全性與合規性中心內容的搜尋功能可讓您搜尋您組織中的所有信箱。與不同的就地 eDiscovery Exchange Online (讓您可以搜尋最多 10000 個信箱) 中,有無限制的目標在單一搜尋的信箱數目。要求您執行搜尋整個組織的案例中,您可以使用內容搜尋搜尋所有的信箱。然後您可以使用工作流程功能的就地 eDiscovery 執行其他 eDiscovery 相關的工作,例如將信箱上的按住匯出的搜尋結果。例如,假設您有搜尋所有的信箱,以找出特定的 custodians 回應法律個案的。您可以使用內容搜尋安全性與合規性中心中搜尋所有信箱那些回應的大小寫的組織。然後您可以使用該清單的 okay 信箱為來源信箱中Exchange Online就地 eDiscovery 搜尋。使用就地 eDiscovery 也可讓您將保留這些來源信箱上、 複製搜尋結果探索信箱,並匯出搜尋結果。

本主題包含您可以執行以在 Exchange Online 中建立就地 eDiscovery 搜尋的指令碼,方法是使用來源信箱清單和安全性與合規性中心中建立的搜尋的搜尋查詢。以下是程序的概觀:

步驟 1:建立「內容搜尋」來搜尋組織中的所有信箱

步驟 2:在單一遠端 PowerShell 工作階段中連接至安全規範中心和 Exchange Online

步驟 3:執行指令碼以從內容搜尋建立就地 eDiscovery 搜尋

步驟 4:啟動就地 eDiscovery 搜尋

Next steps after creating and running the In-Place eDiscovery search

步驟 1:建立「內容搜尋」來搜尋組織中的所有信箱

第一個步驟是使用安全性與合規性中心 (或 Windows PowerShell) 來建立內容搜尋,搜尋組織中的所有信箱。單一內容搜尋的信箱數目沒有限制。指定適當的關鍵字查詢 (或敏感資訊類型的查詢),讓搜尋僅傳回與調查有關的來源信箱。如有必要,縮小搜尋查詢以縮小搜尋結果的範圍和傳回的來源信箱。

附註: 如果來源內容搜尋沒有傳回任何結果,當您在步驟 3 中執行指令碼時不會建立就地 eDiscovery。您可能必須修改搜尋查詢然後重新執行內容搜尋以傳回搜尋結果。

使用安全性與合規性中心搜尋所有的信箱

  1. 移至 Office 365 安全規範中心

  2. 按一下 [搜尋和調查][內容搜尋],然後按一下 [新增] [新增] 圖示

  3. [新增搜尋] 頁面上,輸入內容搜尋的名稱。

  4. 在 [您希望我們在哪裡搜尋?] 底下按一下 [搜尋所有信箱],然後按 [下一步]。

  5. 在 [您希望我們尋找什麼?] 下方的方塊,在方塊中輸入搜尋查詢。您可以指定關鍵字、例如傳送和接收日期的郵件屬性,或者例如檔案名稱或文件上次變更的日期的文件屬性。您可以使用更複雜的查詢,該查詢使用布林運算子,例如 AND、OR、NOT 或 NEAR,或您也可以搜尋郵件中的機密資訊 (例如身分證號碼)。如需建立搜尋查詢的相關資訊,請參閱Keyword queries for Content Search

  6. 按一下 [搜尋] 以儲存搜尋設定並開始搜尋。

    經過一段時間之後,搜尋結果的預估會顯示在詳細資料窗格中。預估包括搜尋結果的項目大小總計和總數。在搜尋完成之後,您可以預覽搜尋結果。如有必要,按一下 [重新整理] [重新整理] 圖示 以更新詳細資料窗格中的資訊。

  7. 如有必要,縮小搜尋查詢以縮小搜尋結果的範圍然後重新啟動搜尋。

使用Windows PowerShell搜尋所有的信箱

您也可以使用 New-ComplianceSearch Cmdlet 來搜尋組織中的所有信箱。第一步是使用遠端 PowerShell 連線到 Office 365 安全規範中心

以下是使用 Windows PowerShell 來搜尋組織中的所有信箱的範例。搜尋查詢會傳回 2015 年 1 月 1 日和 2015 年 6 月 30 日之間傳送的所有郵件,以及主旨行中包含片語 "financial report" 的郵件。第一個命令會建立搜尋,第二個命令會執行搜尋。

New-ComplianceSearch -Name "Search All-Financial Report" -ExchangeLocation all -ContentMatchQuery 'sent>=01/01/2015 AND sent<=06/30/2015 AND subject:"financial report"'
 
Start-ComplianceSearch -Identity "Search All-Financial Report"

如需詳細資訊,請參閱 New-ComplianceSearch

回到頂端

確認內容搜尋中的來源信箱數目

內容搜尋會傳回包含搜尋結果的 1000 來源信箱的最大值。 如果有 1000 個以上的信箱,其中包含符合搜尋查詢的內容,請只頂端 1000 信箱大部分的搜尋結果會包含在 [內容搜尋] 在上一個步驟中所建立。 因此,如果 1000 個以上的信箱中的搜尋結果,這些信箱的部分不會包含在來源複製到新的就地 eDiscovery 搜尋在步驟 3 中所建立的信箱清單。

若要可協助您使用不超過 1000 來源信箱建立內容的搜尋,請遵循下列步驟執行,顯示您在步驟 1 中建立內容搜尋傳回的數字的來源信箱 (包含搜尋結果) 的指令碼。

  1. 將下列文字儲存至 Windows PowerShell 指令碼檔案,方法是使用 .ps1 檔名尾碼。例如,您可以儲存至名為 SourceMailboxes.ps1 的檔案中。

    [CmdletBinding()]
Param(
    [Parameter(Mandatory=$True,Position=1)]
    [string]$SearchName
)

$search = Get-ComplianceSearch $SearchName
if ($search.Status -ne "Completed")
{
                "Please wait until the search finishes.";
                break;
}

$results = $search.SuccessResults;
if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
{
                "The Content Search " + $SearchName + " didn't return any useful results.";
                break;
}

$mailboxes = @();
$lines = $results -split '[\r\n]+';
foreach ($line in $lines)
{
    if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
    {
        $mailboxes += $matches[1];
    }
}

"Number of mailboxes that have search hits: " + $mailboxes.Count

  2. 在 Windows PowerShell 工作階段中它是連接至安全性與合規性中心,移至前一步驟建立之指令碼的所在資料夾,然後執行指令碼,例如:

    .\SourceMailboxes.ps1

  3. 當指令碼提示時,輸入您在步驟 1 中建立的內容搜尋的名稱。

    指令碼會顯示包含搜尋結果的來源信箱數目。

如果有 1000 個以上的來源信箱,請嘗試建立兩個以上的內容搜尋。 例如,貴組織的信箱的下半部中搜尋一個內容搜尋和在另一個內容搜尋的其他部分。您也可以變更的搜尋準則,以減少包含搜尋結果的信箱數目。比方說,您可能會包含某日期範圍或縮小關鍵字查詢的範圍。

回到頂端

步驟 2︰ 連線至安全性與合規性中心和Exchange Online單一遠端 PowerShell 工作階段

下一步是將 Windows PowerShell 連線至安全性與合規性中心和 Exchange Online 組織。這是必要的,因為您在步驟 3 中執行的指令碼需要存取安全性與合規性中心中的內容搜尋 Cmdlet 和 Exchange Online 中的就地 eDiscovery Cmdlet。

  1. 將下列文字儲存至 Windows PowerShell 指令碼檔案,方法是使用 .ps1 檔名尾碼。例如,您可以儲存至名為 ConnectEXO-CC.ps1 的檔案。

    $UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell-liveid -Credential $UserCredential -Authentication Basic -AllowRedirection
Import-PSSession $Session -DisableNameChecking
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid -Credential $UserCredential -Authentication Basic -AllowRedirection
Import-PSSession $Session -AllowClobber -DisableNameChecking
$Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Exchange Online + Compliance Center)"

  2. 在您的本機電腦中開啟 Windows PowerShell,移至前一步驟建立之指令碼的所在資料夾,然後執行指令碼,例如:

    .\ConnectEXO-CC.ps1

如何知道這是否正常運作?執行指令碼之後,安全性與合規性中心 和 Exchange Online 的 Cmdlet 會匯入至您的本機 Windows PowerShell 工作階段。如果您未收到任何錯誤,便已順利連線。若要做快速測試,您可以執行一個 安全性與合規性中心 Cmdlet (例如 Install-UnifiedCompliancePrerequisite),和一個 Exchange Online Cmdlet (例如 Get-Mailbox)。

回到頂端

步驟 3:執行指令碼以從內容搜尋建立就地 eDiscovery 搜尋

在步驟 2 中建立雙 Windows PowerShell 工作階段之後,下一步是執行指令碼,它會將現有的內容搜尋轉換成就地 eDiscovery 搜尋。以下是指令碼執行的動作:

  • 提示您輸入要轉換的內容搜尋的名稱。

  • 確認內容搜尋已完成執行。如果內容搜尋未傳回任何結果,就不會建立就地 eDiscovery。

  • 從包含搜尋結果的內容搜尋將來源信箱的清單儲存至變數。

  • 建立新的就地 eDiscovery 搜尋,具有下列屬性。請注意,並未啟動新的搜尋。您將在步驟 4 中加以啟動。

    • 名稱      新搜尋的名稱會使用此格式:<內容搜尋的名稱>_MBSearch1。如果您再次執行指令碼並使用相同的來源內容搜尋,搜尋名稱會是 <內容搜尋的名稱>_MBSearch2。

    • 來源信箱      包含搜尋結果的內容搜尋的所有信箱。

    • 搜尋查詢      新的搜尋會使用內容搜尋的搜尋查詢。如果內容搜尋包括所有內容 (其中搜尋查詢為空白),新的搜尋也會有空白的搜尋查詢並將包含在來源信箱中找到的所有內容。

    • 僅限預估的搜尋      新的搜尋會標示為僅限預估的搜尋。在啟動之後,它不會將搜尋結果複製到探索信箱。

  1. 將下列文字儲存至 Windows PowerShell 指令碼檔案,方法是使用 ps1 檔名尾碼。例如,您可以儲存至名為 CreateMBSearchFromComplianceSearch.ps1 的檔案。

    [CmdletBinding()]
Param(
    [Parameter(Mandatory=$True,Position=1)]
    [string]$SearchName,

    [switch]$original,

    [switch]$restoreOriginal
)

$search = Get-ComplianceSearch $SearchName
if ($search.Status -ne "Completed")
{
	"Please wait until the search finishes";
	break;
}

$results = $search.SuccessResults;
if (($search.Items -le 0) -or ([string]::IsNullOrWhiteSpace($results)))
{
	"The Content Search " + $SearchName + " didn't return any useful results";
	"A mailbox search object wasn't created";
	break;
}

$mailboxes = @();
$lines = $results -split '[\r\n]+';
foreach ($line in $lines)
{
    if ($line -match 'Location: (\S+),.+Item count: (\d+)' -and $matches[2] -gt 0)
    {
        $mailboxes += $matches[1];
    }
}

$msPrefix = $SearchName + "_MBSearch";
$I = 1;
$mbSearches = Get-MailboxSearch;
while ($true)
{
    $found = $false;
    $mbsName = "$msPrefix$I";
    foreach ($mbs in $mbSearches)
    {
        if ($mbs.Name -eq $mbsName)
        {
            $found = $true;
            break;
        }
    }

    if (!$found)
    {
        break;
    }

    $I++;
}

$query = $search.KeywordQuery;
if ([string]::IsNullOrWhiteSpace($query))
{
    $query = $search.ContentMatchQuery;
}

if ([string]::IsNullOrWhiteSpace($query))
{
	New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -EstimateOnly;
}
else
{
	New-MailboxSearch "$msPrefix$i" -SourceMailboxes $mailboxes -SearchQuery $query -EstimateOnly;
}

  2. 在您於步驟 2 建立的 Windows PowerShell 工作階段中,移至您在上一個步驟中建立的指令碼所在的資料夾,然後執行指令碼,例如:

    .\CreateMBSearchFromComplianceSearch.ps1

  3. 當指令碼提示時,輸入您想要轉換為就地 eDiscovery 搜尋的內容搜尋的名稱 (例如,您在步驟 1 中建立的搜尋),然後按 Enter

    如果指令碼狀態為成功,會建立新的就地 eDiscovery 搜尋,狀態為 NotStarted。執行命令 Get-MailboxSearch <Name of Content Search>_MBSearch1 | FL 以顯示新的搜尋的屬性。

回到頂端

步驟 4:啟動就地 eDiscovery 搜尋

您在步驟 3 中執行的指令碼會建立新的就地 eDiscovery 搜尋,但不會啟動。下一個步驟是啟動搜尋,讓您取得搜尋結果的預估。

  1. 在Exchange 系統管理中心 (EAC),移至 [規範管理>就地 eDiscovery 和保留

  2. 在清單檢視中,選取您在步驟 3 中建立的就地 eDiscovery 搜尋。

  3. 按一下 [搜尋] [搜尋] 圖示 > [估計搜尋結果] 以啟動搜尋並傳回搜尋所傳回的項目的總計大小和總數預估。

    估計結果會顯示在詳細資料窗格中。按一下 [重新整理] [重新整理] 圖示 以更新在詳細資料窗格中顯示的資訊。

  4. 若要在搜尋完成之後預覽結果,按一下詳細資料窗格中的 [預覽搜尋結果]。

回到頂端

建立和執行就地 eDiscovery 搜尋之後接下來的步驟

建立並啟動步驟 3 中的指令碼建立的就地 eDiscovery 搜尋之後,您可以使用一般的就地 eDiscovery 工作流程在搜尋結果上執行不同的 eDiscovery 動作。

建立就地保留

  1. 在 EAC 中,移至 [法務遵循管理] > [就地 eDiscovery 和保留]。

  2. 在清單檢視中,選取您在步驟 3 中建立的就地 eDiscovery 搜尋,然後按一下 [編輯] [編輯] 圖示

  3. 在 [就地保留設定] 頁面上,勾選 [將符合搜尋查詢的內容放入保留的所選信箱] 核取方塊,然後選擇下列其中一個選項:

    • [無限期保留]   選擇此選項以將搜尋傳回項目設為無限期保留。除非您從搜尋中移除信箱或移除搜尋,否則保留的項目會一直保存下來。

    • [指定與項目收到日期相關的保留天數]   選擇這個選項將項目保留一段特定期間。持續時間自接收或建立信箱項目的日期開始計算。

  4. 按一下 [儲存] 以建立就地保留並重新啟動搜尋。

回到頂端

複製搜尋結果

  1. 在 EAC 中,移至 [法務遵循管理] > [就地 eDiscovery 和保留]。

  2. 在清單檢視中,選取您在步驟 3 中建立的就地 eDiscovery 搜尋。

  3. 按一下 [搜尋] [搜尋] 圖示 ,然後從下拉式清單按一下 [複製搜尋結果]。

  4. 在 [複製搜尋結果] 中,從下列選項選取:

    • 包含無法搜尋的項目   選取此核取方塊,可包含無法搜尋的信箱項目 (例如,郵件所含附件的檔案類型無法由 Exchange 搜尋編列索引)。

    • 啟用重複資料刪除   選取此核取方塊,可排除重複的郵件。只會複製每封郵件的單一執行個體至探索信箱。

    • 啟用完整記錄   選取此核取方塊,可在搜尋結果中包含完整記錄。

    • 複製完成時傳送電子郵件給我   選取此核取方塊,可在搜尋完成時收到電子郵件通知。

    • 將結果複製到探索信箱   按一下 [瀏覽],可選取您要複製結果的目的地探索信箱。

  5. 按一下 [複製] 以開始程序來將搜尋結果複製到指定的探索信箱。

  6. 按一下 [重新整理] [重新整理] 圖示 以更新詳細資料窗格中顯示的複製狀態的資訊。

  7. 複製完成時,按一下 [開啟] 以開啟要檢視搜尋結果的探索信箱。

回到頂端

匯出搜尋結果

  1. 在 EAC 中,移至 [法務遵循管理] > [就地 eDiscovery 和保留]。

  2. 在清單檢視中,選取您在步驟 3 中建立的就地 eDiscovery 搜尋,然後按一下 [匯出為 PST 檔案]。

  3. 在清單檢視中,選取您要匯出其結果的就地 eDiscovery 搜尋,然後按一下 [匯出成 PST 檔案]。

  4. 在 [eDiscovery PST 匯出工具] 視窗中,執行下列作業:

    • 按一下 [瀏覽] 以指定您要下載 PST 檔案的位置。

    • 按一下 [啟用重複資料刪除] 核取方塊,以排除重複的郵件。郵件只會有一個執行個體包含在 PST 檔案中。

    • 按一下 [包含無法搜尋的項目] 核取方塊,以包含無法搜尋的信箱項目 (例如,Exchange 搜尋無法為其附件檔案類型建立索引的郵件)。無法搜尋的項目會被匯出成個別的 PST 檔案。

  5. 按一下 [開始] 來將搜尋結果匯出成 PST 檔案。

    包含匯出程序狀態資訊的視窗便會隨即顯示。

回到頂端

附註: 機器翻譯免責聲明︰本文係以電腦系統翻譯而成,未經人為介入。Microsoft 提供此等機器翻譯旨在協助非英語系使用者輕鬆閱讀 Microsoft 產品、服務及技術相關內容。基於本文乃由機器翻譯而成,因此文中可能出現詞辭、語法、文法上之錯誤。

Facebook LinkedIn 電子郵件
增進您的 Office 技巧
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×