Microsoft Purview 提供數種方式,讓您的組織防止永久刪除信箱內容。 此保護可讓您的組織保留內容,以符合合規性法規,或在法律和其他類型的調查期間。
提示
開始使用 Microsoft Security Copilot,探索使用 AI 的力量更聰明、更快速地工作的新方法。 深入了解 Microsoft Purview 中的 Microsoft Security Copilot。
保留類型
以下是保留功能的清單 (也稱為 Microsoft Purview 和 Microsoft 365 中的 保留) :
訴訟保留:您套用至 Exchange Online 中使用者信箱的保留。
電子檔探索保留:您在 Microsoft Purview 入口網站中與電子檔探索案例相關聯的保留。 您可以保留您正在案例中調查人員的 Exchange 信箱和 OneDrive 帳戶。 您也可以保留與 Microsoft Teams、Microsoft 365 群組和 Viva Engage 群組相關聯的信箱和網站。
Microsoft Purview 保留原則:可以設定為保留 (或保留,然後刪除 Exchange Online 中使用者信箱中) 內容,以及 Microsoft 365 群組 和 Microsoft Teams 的對應信箱中的內容。 您也可以建立保留原則來保留儲存在使用者信箱中的商務商務用 Skype 交談。
您可以指派給信箱的兩種類型的 Microsoft Purview 保留原則。
- 特定位置保留原則:這些原則會指派給特定使用者的內容位置。 使用 Exchange Online PowerShell 中的 Get-Mailbox Cmdlet 來取得指派給特定信箱之保留原則的相關資訊。 如需此類型保留原則的詳細資訊,請參閱保留原則檔中 具有特定包含或排除項的原則 一節。
- 全組織保留原則:這些原則會指派給組織中的所有內容位置。 使用 Exchange Online PowerShell 中的 Get-OrganizationConfig Cmdlet 來取得全組織保留原則的相關資訊。 如需此類型保留原則的詳細資訊,請參閱保留原則檔中 套用至整個位置的原則 一節。
Microsoft Purview 保留標籤:如果使用者套用Microsoft Purview 保留標籤 (設定為保留內容或保留的內容,然後) 刪除其信箱中 任何 資料夾或專案的內容,則會在信箱上放置保留,就像您將信箱放在訴訟保留上或將它指派給 Microsoft Purview 保留原則一樣。 如需詳細資訊,請參閱識別 保留信箱,因為保留標籤已套用至本文中的資料夾或專案 一節。
若要管理保留的信箱,您可能需要識別信箱上放置的保留類型,以便執行變更保留持續時間、暫時或永久移除保留,或從 Microsoft Purview 保留原則中排除信箱等工作。 在這些情況下,第一步是確定郵箱上的保留類型。 由於單一信箱上可以放置多個保留 (和不同類型的保留) ,因此如果您想要移除或變更保留,則必須識別信箱上放置的所有保留。
步驟 1:取得信箱上保留的 GUID
在 Exchange Online PowerShell 中執行下列兩個 Cmdlet,以取得放置在信箱上的保留 GUID。 取得 GUID 之後,請使用它來識別步驟 2 中的特定保留。 訴訟保留不會使用 GUID。 訴訟保留會針對信箱啟用或停用。
- Get-Mailbox:使用此 Cmdlet 來檢查信箱是否已啟用訴訟保留,並取得指派給信箱的電子檔探索保留和 Microsoft Purview 保留原則的 GUID。 此 Cmdlet 的輸出也會顯示信箱是否已從組織範圍的保留原則中明確排除。
- Get-OrganizationConfig:使用此 Cmdlet 來取得全組織保留原則的 GUID。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。
Get-Mailbox
執行下列命令,以取得套用至信箱之保留和 Microsoft Purview 保留原則的相關資訊。
Get-Mailbox <username> | FL LitigationHoldEnabled,InPlaceHolds
提示
如果 InPlaceHolds 屬性中有太多值,而且並非全部都會顯示,請執行 Get-Mailbox <username> | Select-Object -ExpandProperty InPlaceHolds 命令,以在個別行上顯示每個 GUID。
下表說明如何在執行 Get-Mailbox Cmdlet 時,根據 InPlaceHolds 屬性中的值來識別不同類型的保留。
| 保持類型 | 範例值 | 如何識別保留 |
|---|---|---|
| 訴訟暫止 | True |
當 LitigationHoldEnabled 屬性設定為 True時,會針對信箱啟用訴訟保留。 |
| 電子文件探索保留 | UniH7d895d48-7e23-4a8d-8346-533c3beac15d |
InPlaceHolds 屬性包含與 Microsoft Purview 入口網站中電子檔探索案例相關聯之任何保留的 GUID。 您可以分辨這是電子檔探索保留,因為 GUID 以前置詞 (開 UniH 頭,表示統一保留) 。 |
| 套用至信箱的 Microsoft Purview 保留原則 | mbxcdbbb86ce60342489bff371876e7f224:1 或 skp127d7cf1076947929bf136b7a2a8c36f:3 |
InPlaceHolds 屬性包含套用至信箱之任何特定位置保留原則的 GUID。 您可以識別保留原則,因為 GUID 以 或 mbxskp 字首開頭。
skp前置詞表示保留原則會套用至使用者信箱中的商務商務用 Skype 交談。 |
| 從全組織的 Microsoft Purview 保留原則中排除 | -mbxe9b52bf7ab3b46a286308ecb29624696 |
如果信箱從組織範圍的 Microsoft Purview 保留原則中排除,則排除信箱之保留原則的 GUID 會顯示在 InPlaceHolds 屬性中,並使用 -mbx 前置詞。 |
Get-OrganizationConfig
如果您在執行 Get-Mailbox Cmdlet 時 InPlaceHolds 屬性是空的,則可能仍會有一或多個全組織的 Microsoft Purview 保留原則套用至信箱。 在 Exchange Online PowerShell 中執行下列命令,以取得全組織 Microsoft Purview 保留原則的 GUID 清單。
Get-OrganizationConfig | FL InPlaceHolds
提示
如果 InPlaceHolds 屬性中有太多值,而且不會顯示所有值,請執行 Get-OrganizationConfig | Select-Object -ExpandProperty InPlaceHolds 命令,以在個別行上顯示每個 GUID。
下表說明不同類型的全組織保留,以及如何在執行 Get-OrganizationConfig Cmdlet 時,根據 InPlaceHolds 屬性中包含的 GUID 來識別每個類型。
| 保持類型 | 範例值 | 描述 |
|---|---|---|
| 套用至 Exchange 信箱、Exchange 公用資料夾和 Teams 聊天的 Microsoft Purview 保留原則 | mbx7cfb30345d454ac0a989ab3041051209:2 |
套用至 Microsoft Teams 中 Exchange 信箱、Exchange 公用資料夾和 1xN 聊天的組織範圍保留原則是由以前置詞開頭 mbx 的 GUID 識別。 注意:1xN 聊天儲存在個別聊天參與者的信箱中。 |
| 套用至 Microsoft 365 群組和 Teams 頻道訊息的 Microsoft Purview 保留原則 | grp1a0a132ee8944501a4bb6a452ec31171:3 |
套用至 Microsoft 365 群組和 Microsoft Teams 中通道訊息的組織範圍保留原則是由以前置詞開頭 grp 的 GUID 識別。 附註 通道訊息會儲存在與 Microsoft 小組相關聯的群組信箱中。 |
如需套用至 Microsoft Teams 的保留原則的詳細資訊,請參閱 瞭解 Microsoft Teams 的保留原則。
瞭解保留原則的 InPlaceHolds 值格式
除了將屬性中的InPlaceHolds專案識別為 Microsoft Purview 保留原則的前置詞 (mbx、 skp或 grp) 之外,值也包含尾碼,以識別針對原則設定的保留動作類型。 例如,在下列範例中,動作字尾會以粗體字體醒目提示:
skp127d7cf1076947929bf136b7a2a8c36f
:1
mbx7cfb30345d454ac0a989ab3041051209
:2
grp1a0a132ee8944501a4bb6a452ec31171
:3
下表定義了三種可能的保留動作:
| 值 | 描述 |
|---|---|
| 1 | 保留原則會設定為刪除專案。 原則不會保留專案。 |
| 2 | 保留原則會設定為保留專案。 原則不會在保留期間到期後刪除專案。 |
| 3 | 保留原則會設定為保留專案,然後在保留期間到期後將其刪除。 |
注意事項
因為保留標籤原則會發佈或自動套用套用專案層級動作的標籤,所以它們一律會在信箱屬性內 InPlaceHolds 顯示動作值 1。
若要識別保留是否套用至信箱內的資料夾或專案,請參閱 識別保留信箱,因為保留標籤已套用至資料夾或專案。
如需保留動作的詳細資訊,請參閱 在 特定時段內保留內容 一節。
步驟 2:使用 GUID 來識別保留
取得套用至信箱之保留的 GUID 之後,請使用該 GUID 來識別保留。 下列各節示範如何使用保留 GUID 來識別保留的名稱和其他資訊。
電子文件探索保留
在 安全性 & 合規性 PowerShell 中執行下列命令,以尋找套用至信箱的電子檔探索保留。 針對您在步驟 1 中找到的電子檔探索保留,使用不含 UniH 前置詞) 的 GUID (。
若要連線到安全性 & 合規性 PowerShell,請參閱 連線到安全性 & 合規性 PowerShell。
第一個命令會建立變數,以保存電子檔探索保留的相關資訊。 在其他指令中使用此變數。 第二個命令會顯示與保留相關聯的電子檔探索案例名稱。 第三個命令會顯示保留的名稱,並列出保留所套用的信箱。
$CaseHold = Get-CaseHoldPolicy <hold GUID without prefix>
Get-ComplianceCase $CaseHold.CaseId | FL Name
$CaseHold | FL Name,ExchangeLocation
Microsoft Purview 保留原則
連線到安全性 & 合規性 PowerShell ,然後執行下列命令,以尋找套用至信箱 (組織範圍或特定位置) Microsoft Purview 保留原則。 使用 GUID (,而不使用 mbx、skp 或 grp 前置詞,或您在步驟 1 中找到的動作尾碼) 。
Get-RetentionCompliancePolicy <hold GUID without prefix or suffix> -DistributionDetail | FL Name,*Location
識別保留信箱,因為保留標籤已套用至資料夾或項目
當使用者套用設定為 保留 或 保留的內容,然後刪除 內容至其信箱中的任何資料夾或專案時, ComplianceTagHoldApplied 信箱屬性會設定為 True。 當此屬性設定為 True 時,信箱的處理方式與保留時類似,例如指派給 Microsoft Purview 保留原則或置於訴訟保留狀態時,但有一些注意事項。 當 ComplianceTagHoldApplied 屬性設定為 True 時,會發生下列情況:
- 如果刪除信箱或使用者的 Microsoft 365 帳戶,信箱會變成 非作用中信箱。
- 如果已啟用) ,則無法停用主要信箱或封存信箱 (信箱。
- 您從信箱中刪除的專案會遵循兩個路徑之一,視它們是否已標記而定:
- 其他保留,例如 Microsoft Purview 保留原則、電子檔探索保留或訴訟保留,可以根據 保留原則延長已標記專案的保留時間長度。
若要檢視單一信箱的 ComplianceTagHoldApplied 屬性值,請在 Exchange Online PowerShell 中執行下列命令:
Get-Mailbox <username> | FL ComplianceTagHoldApplied
如需保留標籤的詳細資訊,請參閱 保留標籤。
管理延遲保留的信箱
當您從信箱移除任何類型的保留時,會套用 延遲保留 。 此保留會延遲 30 天的實際移除保留,以防止資料從信箱永久刪除 (清除) 。 此延遲可讓系統管理員有機會搜尋或復原移除保留之後清除的信箱專案。 受管理資料夾小幫手會在下次處理信箱並偵測到已移除保留時,對信箱進行延遲保留。 具體而言,受控資料夾小幫手會在將下列其中一個信箱屬性設定為 True 時,將延遲保留套用至信箱:
- DelayHoldApplied:此屬性適用於電子郵件相關內容 (由使用 Outlook 和儲存在使用者信箱中的 Outlook 網頁版) 的人員所產生。
- DelayReleaseHoldApplied:此屬性適用於儲存在使用者信箱中的非 Outlook 應用程式所產生的雲端式內容 (,例如 Microsoft Teams、Microsoft Forms 和 Microsoft Viva Engage) 。 Microsoft 應用程式產生的雲端資料通常會儲存在使用者信箱的隱藏資料夾中。
當受控資料夾小幫手藉由將上述任一屬性設定為 True) 來對信箱 (進行延遲保留時,信箱仍會被視為保留無限保留持續時間,就像信箱處於訴訟保留狀態一樣。 30 天後,延遲保留會到期,Microsoft 365 會自動嘗試移除延遲保留 (,方法是將 DelayHoldApplied 或 DelayReleaseHoldApplied 屬性設定為 False) ,以便移除保留。 將其中任一屬性設定為 False 之後,下次 Managed 資料夾小幫手處理信箱時,會清除標示為移除的對應專案。
注意事項
如果信箱的使用者帳戶已停用,則受控資料夾小幫手不會處理信箱,而且延遲保留會在 30 天到期後保留。 如需詳細資訊,請參閱延遲保留考量。
若要檢視信箱的 DelayHoldApplied 和 DelayReleaseHoldApplied 屬性值,請在 Exchange Online PowerShell 中執行下列命令。
Get-Mailbox <username> | FL *HoldApplied*
若要在延遲保留到期之前移除延遲保留,請在 PowerShell 中執行下列命令) 一個 (或兩個Exchange Online,視您要變更的屬性而定:
Set-Mailbox <username> -RemoveDelayHoldApplied
或
Set-Mailbox <username> -RemoveDelayReleaseHoldApplied
您必須在 Exchange Online 中獲指派 [法律保留] 角色,才能使用 RemoveDelayHoldApplied 或 RemoveDelayReleaseHoldApplied 參數。
若要移除非使用中信箱上的延遲保留,請在 Exchange Online PowerShell 中執行下列其中一個命令:
Set-Mailbox <DN or Exchange GUID> -InactiveMailbox -RemoveDelayHoldApplied
或
Set-Mailbox <DN or Exchange GUID> -InactiveMailbox -RemoveDelayReleaseHoldApplied
提示
在上一個命令中指定非作用中信箱的最佳方式是使用其辨別名稱或 Exchange GUID 值。 使用其中一個值有助於防止意外指定錯誤的信箱。
如需使用這些參數來管理延遲保留的詳細資訊,請參閱 Set-Mailbox。
延遲保留考量
在延遲保留中管理信箱時,請記住下列幾點:
- 如果 DelayHoldApplied 或 DelayReleaseHoldApplied 屬性設定為 True ,而且您刪除信箱 (或對應的使用者帳戶) ,信箱會變成非作用中信箱。 這是因為如果任一屬性設定為 True,信箱會被視為保留,而刪除保留信箱會導致信箱處於非作用中狀態。 若要刪除信箱,但不將其設為非作用中信箱,請將這兩個屬性都設定為 False。
- 如果 DelayHoldApplied 或 DelayReleaseHoldApplied 屬性設定為 True,則信箱會被視為保留無限保留持續時間。 不過,這並不表示信箱 中的所有內容都會 保留。 這取決於設定給每個屬性的值。 例如,假設這兩個屬性都設定為 True ,因為您從信箱移除保留。 然後,您可以使用 RemoveDelayReleaseHoldApplied 參數) ,只移除套用至非 Outlook 雲端資料 (的延遲保留。 下次 Managed Folder Assistant 處理信箱時,會清除標示為移除的非 Outlook 專案。 任何標示為移除的 Outlook 專案都不會清除,因為 DelayHoldApplied 屬性仍設定為 True。 相反的情況也是如此:如果 DelayHoldApplied 設定為 False ,而 DelayReleaseHoldApplied 設定為 True,則只會清除標示為移除的 Outlook 專案。
如何確認全組織的保留原則已套用至信箱
當您將全組織的保留原則套用或移除至信箱時,匯出信箱診斷記錄可協助您確認 Exchange Online 已將保留原則套用或移除至信箱。 若要檢視這項資訊,您必須先使用 Exchange Online PowerShell 來驗證一些專案。
取得明確套用至信箱之任何保留原則的 GUID
Get-Mailbox <username> | Select-Object -ExpandProperty InPlaceHolds
取得套用至信箱之任何組織全組織保留原則的 GUID
Get-OrganizationConfig | Select-Object -ExpandProperty InPlaceHolds
取得 HoldTracking 的信箱診斷
保留追蹤信箱診斷記錄會維護套用至使用者信箱的保留歷程記錄。
$ht = Export-MailboxDiagnosticLogs <username> -ComponentName HoldTracking
$ht.MailboxLog | Convertfrom-Json
檢閱信箱診斷記錄的結果
如果您從上一個步驟收集資料,則產生的資料可能如下所示:
編
: 0001-01-01T00:00:00.0000000隱藏: mbx7cfb30345d454ac0a989ab3041051209:1HT: 4LSD的: 2020-03-23T18:24:37.1884606Z作業系統: 2020-03-23T18:24:37.1884606Z
使用下表可協助您瞭解診斷記錄中列出的每個先前值。
| 值 | 描述 |
|---|---|
| ed | 指出結束日期,也就是停用保留原則的日期。 MinValue 表示原則仍會指派給信箱。 |
| 隱藏 | 指出保留原則的 GUID。 此值與您針對指派給信箱的明確或全組織保留原則收集的 GUID 相關聯。 |
| HT | 指出保留類型。 LitigationHold 的值為 0 、InPlaceHold 的值為 1 、ComplianceTagHold 的值為 2 、DelayReleaseHold 的 值為 3 、OrganizationRetention 的 值為 4 、CompliancePolicy 的值為 5 、SubstrateAppPolicy 的值為 6 ,以及 SharepointPolicy 的 7 。 |
| LSD的 | 指出上次開始日期,這是將保留原則指派給信箱的日期。 |
| 作業系統 | 指出原始開始日期,這是 Exchange 第一次記錄保留原則相關資訊的日期。 |
當您從信箱移除保留原則時,Exchange 會對使用者進行暫時的延遲保留,以防止清除內容。 您可以執行 Set-Mailbox -RemoveDelayHoldApplied 命令來停用延遲保留。
後續步驟
識別套用至信箱的保留之後,您可以執行工作,例如變更保留持續時間、暫時或永久移除保留,或從 Microsoft Purview 保留原則中排除非作用中信箱。 如需執行與保留相關工作的詳細資訊,請參閱下列其中一篇文章:
- 在安全性 & 合規性 PowerShell 中執行 Set-RetentionCompliancePolicy -Identity <Policy Name> -AddExchangeLocationException <user mailbox> 命令,以從全組織的信箱中排除信箱Microsoft Purview 保留原則。 此命令只能用於 ExchangeLocation 屬性值等
All於 的保留原則。 - 變更非使用中信箱的保留期間
- 刪除非使用中的信箱
- 刪除雲端式信箱中可復原的項目資料夾中的保留項目