Office 365 中的诉讼保留：法律请求的电子取证

如果您的组织被告上法庭，您将被要求提供某些电子存储信息 (ESI)。特别是，您的组织可能需要保留员工邮箱的内容或提供与案件相关的所有文件。

为了提供帮助，Office 365 提供了诉讼保留和电子取证功能。

Office 365 中的诉讼保留

关于 Office 365 诉讼保留

Office 365 诉讼保留会暂停给定邮箱的任何保留策略或自动删除，以便无法从邮箱中删除任何 ESI。

重要信息： 要处于诉讼保留状态，必须为邮箱分配 Exchange Online 计划 2 许可证或单独的 Exchange Online 存档许可证。

Office 365 中已删除邮箱项目的正常工作流程涉及以下内容：

• 当用户永久删除邮箱项目或从“已删除邮件”文件夹中删除某个项目时，该项目将移动到“可恢复邮件”文件夹中的“删除”子文件夹。
• 当保留期到期时，邮箱项目会根据删除策略自动移至“删除”子文件夹。
• 当用户清除“可恢复项目”文件夹中的项目或该文件夹中项目的保留期到期时，该项目将移至“可恢复项目”文件夹中的“清除”子文件夹，并标记为永久删除。

Office 365 诉讼保留保留每个项目的原始版本和所有修改版本。即使用户使用任何版本的 Outlook 从邮箱中删除项目，Office 365 也会保留该项目以供发现之用。此外，在诉讼保留期间：

• 管理员可以使用核心电子数据展示工具搜索邮箱中保留的 ESI。
• 用户可以继续发送和接收新邮件。
• 用户的存档邮箱（如果已启用）也会被保留。

您可以配置诉讼保留的持续时间。当它持续时，ESI 无法从您的系统中删除 - 内容不会改变，并且删除的项目将被保留，即使它们在用户看来已经消失了。在您设置的期限到期后，保留将自动取消，并且将强制执行适用于邮箱的现有保留策略（如果有）。

诉讼保留不能替代常规备份流程。它旨在保存电子存储的信息以防止信息丢失。它不会恢复丢失的数据。

如果您管理过 Exchange 本地安装，您可能熟悉另一种类型的保留，即就地保留。这些保留已被弃用并从 Exchange Online 中删除，因此 2018 年秋季之后支持的唯一保留是诉讼保留，该保留是在 Exchange Server 2010 中引入的。

电子邮件归档、日记和保留策略之间的差异

电子邮件归档是 ESI 在邮箱中的长期存储方法。归档不会永远保存电子邮件；这是用户存储旧电子邮件数据的地方，这样他们就不会超出邮箱容量。打开存档功能除了为用户提供当前邮箱之外，还为用户提供了一个存档邮箱。存档的电子邮件将一直可用，直到被手动删除或由于存储限制而被删除。

日记允许将邮件写入与邮箱分开的位置。日记通过为您的公司提供另一个“事实来源”来帮助遵守规定：如果电子邮件从原始邮箱中删除或邮箱变得不可用，只要日记规则当时仍在运行，日记仍将保留该邮件该消息已存储。

保留策略规定了数据必须保留多长时间才能删除。根据适用的法规，您的公司可能需要将电子邮件或其他 ESI 保留数月甚至数年。保留策略还可能包括有关数据存储方法的要求。

使用 PowerShell 在 Office 365 中创建诉讼保留

要使用 PowerShell 将 Exchange Online 邮箱置于诉讼保留状态，请打开 Exchange Online 会话，然后发出以下命令，指定邮箱名称和诉讼保留天数：

Set-Mailbox [email protected] -LitigationHoldEnabled $true -LitigationHoldDuration nnnn

要将 Exchange Online 邮箱无限期地置于诉讼保留状态，请使用相同的命令，但省略 LitigationHoldDuration 参数：

Set-Mailbox [email protected] -LitigationHoldEnabled $true

要对 Office 365 租户中的所有邮箱设置诉讼保留，请使用以下命令：

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox - LitigationHoldEnabled $true -LitigationHoldDuration nnnn

使用 Web 界面在 Office 365 中创建诉讼保留

或者，您可以使用 Web 界面。对多个邮箱启用诉讼保留比发出一个 PowerShell 命令所需的时间要多得多。但对于一两个邮箱来说，过程很简单：

1. 导航到 Exchange 管理中心 https://outlook.office365.com/ecp。

2. 从仪表板中，选择收件人。

3. 双击您想要置于诉讼保留状态的邮箱。将出现以下弹出窗口。

图 1. 使用 Exchange 管理中心对邮箱进行诉讼保留

4.点击左侧的邮箱功能，然后向下滚动到诉讼保留：禁用。

5. 单击启用。将出现以下屏幕。

图 2. 启用邮箱诉讼保留

6. 在第一个字段中，指定您希望诉讼保留保持有效的天数。

7. 在注释部分，您可以输入将在 Microsoft Outlook 客户端的小显示功能区中向用户显示的文本。这是向用户解释正在发生的情况并让他们知道删除项目实际上并不会删除它的有效方法。您还可以输入内部网或互联网站点的 URL，描述保留、其背后的原因、有关法律案件的详细信息或您的通信团队可能想说的任何内容。

8. 点击保存，然后再次点击保存，诉讼保留将生效。

要禁用保留，请按照步骤 1 和 2 进行操作，但在步骤 3 中，不要单击启用，而是单击禁用。然后点击保存。

Office 365 电子取证

有时，管理员会被要求在组织的 Exchange Online 邮箱、Office 365 组、Microsoft Teams、SharePoint Online 和 OneDrive for Business 网站以及 Skype for Business 对话中查找包含指定关键字的所有材料。 Office 365 电子数据展示搜索功能可以帮助您在所有这些内容源中查找相关的电子存储信息。 （如果您只需要搜索邮箱，请使用 Exchange 管理中心中的就地电子数据展示。）

要使用电子数据展示，必须为个人分配适当的权限。为此，请在安全与合规中心为他们分配以下角色之一：

• 合规管理员
• 电子取证经理和管理员
• 组织管理
• 审稿人

根据用户应能够执行的操作选择角色，例如控制对核心电子数据展示和高级电子数据展示案例的访问、运行内容搜索工具、导出搜索结果或执行批量删除数据。

电子取证选项：内容搜索、核心电子取证、高级电子取证

Office 365 提供了三种有用的电子数据展示工具：

• 内容搜索支持对邮箱、公共文件夹、SharePoint Online 网站和 OneDrive for Business 位置的大量搜索。您可以在邮箱和网站上同时运行无限制的搜索。内容源的数量和估计的搜索结果数量将显示在搜索页面的详细信息窗格中。
• 核心电子数据展示是一种基本的电子数据展示工具，用于在 Office 365 中搜索和导出内容。您可以使用它来保留 Exchange 邮箱、SharePoint 网站、OneDrive 帐户和 Microsoft Teams 等内容位置。
• 高级电子取证收集、保留、分析、审查和导出内容以供调查。通过使用 Office 365 高级电子数据展示，法律团队可以管理电子数据展示托管人和法律保留通知工作流程，并对案件数据进行深入分析。此功能需要具有高级合规性附加组件的 Office 365 E3 订阅或 E5 订阅。

创建电子取证案例

要管理每个术语的保留、搜索和导出，您可以将它们分为不同的情况。这样，您可以轻松地打开和关闭功能、关闭已完成的案例，并跟踪每个搜索词发生的情况。

要创建电子数据展示案例，请执行以下步骤：

1. 在安全与合规中心的左侧菜单中，选择搜索和调查。

2. 从子菜单中选择电子数据展示。您将看到以下屏幕。

图 3. 安全与合规中心中的电子数据展示门户

3. 单击+ 创建案例。

4. 为您的案例提供一个友好的名称和描述，然后单击保存。

您的案例名称将出现在列表中。单击案例名称旁边的打开即可开始配置发现操作。

将用户添加到电子数据展示案例

要将用户添加到电子数据展示案例，您必须首先将用户添加到安全与合规中心的“权限”页面上的电子数据展示管理员角色组：

1. 在高级电子数据展示页面上，导航到您需要将用户添加到的案例。

2. 单击“设置”选项卡，然后单击“访问和权限”磁贴中的选择。

3. 单击更新。

4. 要添加案例成员，请单击“管理成员”下的添加。要添加角色组，请单击“管理角色组”下的添加。

5. 勾选您要添加的用户或角色组的名称。

6. 单击添加。

7. 在“管理此案例”页面上单击保存。

配置电子数据展示操作

在电子数据展示中心，案例分为三个操作：

• 按住。要自动对内容与某些关键字和条件匹配的所有邮箱、SharePoint 网站和公用文件夹进行诉讼保留，请单击创建查询并按照向导操作。 向导的关键屏幕是您指定查询条件的屏幕。下图说明了如何指定关键字和日期过滤器来限制搜索和结果保留的范围。

图 4. 指定查询条件

• 搜索。通过电子数据展示搜索，您可以保存并运行关键字和其他内容的内容搜索，并且可以将搜索范围设置为仅保留位置、所有内容位置或自定义配置。您可以开始搜索查询，离开并在完成后返回，因此这对于较大的租户来说是一个不错的选择。

图 5. 搜索

• 导出。导出区域允许您将搜索结果导出到 PST 文件，然后您可以下载该文件并在您自己的本地计算机上打开或提供给律师。您可以选择导出到单个 PST 文件或每个邮箱一个 PST 文件，并且输出将使用您选择的密钥进行加密。该向导将引导您完成导出数据所需的步骤。

分配电子取证权限

能够在租户中的所有邮箱中全局搜索您指定的任何关键字是一项强大的特权，需要谨慎和尊重。因此，您需要指定一名指定的电子数据展示经理，该经理有权预览搜索结果、导出结果以及管理电子数据展示流程的各个方面。明智地选择这个人；无论设置的其他权限如何，他们都可以完全访问租户中存储的每条数据。

要指定电子数据展示管理员，请执行以下步骤：

1. 在管理员门户中，转到安全与合规性，然后单击左侧窗格中的唯一选项。

2. 向下滚动到电子数据展示管理员角色并单击复选框。

3. 在出现的弹出窗口中，指定电子数据展示管理员角色的用户和电子数据展示管理员角色的用户 - 后者需要具有管理权限。

图 6. 指定电子数据展示管理器

Netwrix 如何帮助处理 Office 365 中的诉讼保留和电子取证

Netwrix 提供了一个强大的解决方案，可以为调查和法律诉讼查找正确的文件。由于这些文档通常分散在基础设施中、Office 365 和 Box 或 Dropbox 等其他云平台以及本地文件服务器和数据库中，因此拥有一个能够在整个 IT 中发现数据的解决方案非常有价值生态系统。

Netwrix 解决方案使您能够在多个本地和云存储库中快速查找与您的案例相关的数据。它还可以帮助您保护此 ESI 免遭更改和破坏，并将所有证据收集到中央位置以供进一步审查。它甚至会自动编辑 PII 和法律程序不需要的其他信息，以便您可以避免机密信息泄露。

此外，Netwrix 解决方案使您能够：

• 简化 ESI 来源的识别
• 降低电子取证和诉讼支持成本
• 最大限度地减少诉讼期间的业务中断
• 促进文件审查和处理
• 保留收集的数据以用于诉讼支持
• 加强信息治理