建立暫停,以保存可能與電子發現案件相關的內容。 對你正在調查案件中的人的 Exchange 信箱和 OneDrive 帳號設下保留。 你也可以對與 Microsoft Teams、Microsoft 365 群組及 Viva Engage 群組相關的信箱和網站設置保留。 當你將內容位置暫停時,你會保留內容,直到你將該位置從保留中移除,或是刪除或解除暫停。
重要事項
在你建立電子發現暫停後,暫停生效可能需要長達24小時。 對於與電子發現調查無關的長期資料保留,請使用保留政策與保留標籤。 如需詳細資訊,請參閱瞭解保留原則和保留標籤。
當你建立暫停時,你可以以下選項來範圍指定內容位置中被保留的內容:
- 建立無限期的保留,其中會對指定位置的所有內容放置保留。 或者,建立基於查詢的暫停,僅將指定位置中與搜尋查詢相符的內容暫停。
- 指定日期範圍,只保留在該範圍內傳送、接收或創作的內容。 或者,無論內容何時傳送、接收或創建,都將所有內容存放在指定位置。
提示
立即開始使用 Microsoft Security Copilot,探索利用 AI 力量更聰明、更快速地工作的新方法。 在 Microsoft Purview 中了解更多關於 Microsoft Security Copilot 的資訊。
建立保留
提示
你比較喜歡互動式配置指南的體驗嗎? 可以參考「 申請保留 」指南。
要建立與電子發現案件相關的電子發現凍結,請完成以下步驟:
前往 Microsoft Purview 入口網站 ,使用已分配 eDiscovery 權限的使用者帳號憑證登入。
選擇 電子發現 解決方案卡片,然後在左側導覽中選擇案件 (預覽) 。
選擇一個案件,然後選擇 「保留政策 」標籤。
在 「保留政策 」儀表板上,選擇 建立政策。
在「 輸入詳情開始 」頁面,請填寫以下欄位:
- 保單名稱:給保留保單取一個 (必須) 的名稱。 保留政策名稱必須在你的組織中獨一無二。
- 政策說明:新增一個可選說明,幫助他人理解此暫停政策。
選擇 建立 以建立新的保留政策,並開始對案件相關資料進行暫停。
若要將資料來源加入保留政策,請參閱 eDiscovery 中的資料來源 ,了解逐步指引。
在 「管理資料來源 」飛出視窗中,新增或移除你的保留政策的資料來源。 你可以選擇一個或多個使用者、群組或組織地點。
您必須至少選擇一個資料來源來建立保留政策。
輸入你想加入保留政策的特定使用者、群組或組織地點。
分配群組:當你建立保留並選擇分配群組作為資料來源時,該分配群組的所有現有成員都會被列出。 你可以為每位使用者選擇所有信箱或網站,納入保留名單。
重要事項
當你選擇一個發行清單暫停時,發行清單會展開成該發行清單的成員。 您可以選擇將所有會員的信箱和網站暫停,或將部分或混合的資料來源暫停。 後續配發名單成員變更不會改變或更新保留或政策。 您必須再次將分配名單加入資料來源,以確保最新的會員資料被反映並擴充。
交換信箱:為被保留的信箱選擇適用的勾選框。 使用 編輯 功能找到使用者信箱和分發群組, (群組成員的信箱) 暫停。 你也可以對 Microsoft Team、Microsoft 365 群組和 Viva Engage 群組的相關信箱設保留。 欲了解更多關於郵箱暫停時所保留的應用程式資料,請參閱電子 發現信箱中儲存的內容。
SharePoint 網站:為 SharePoint 網站及暫停的 OneDrive 帳號選擇適用的核取方塊。 使用 編輯 輸入你想暫停的其他網站網址。 你也可以為 Microsoft Team、Microsoft 365 群組或 Yammer 群組新增 SharePoint 網站的網址。 為避免可能的 URL 截斷,我們建議 SharePoint 網站名稱保持在 70 字元以下。 保留政策可能無法找到截斷網址的網站,且可能出現存取錯誤。 即使子網站在位置選擇器中顯示,也不允許對子網站設置保留。 若子網站被選中,保留會放在整個 SharePoint 網站。
重要事項
SharePoint 網站的回收站沒有被索引,因此無法搜尋。 因此,電子發現搜尋找不到任何回收站內容來保留。
選取 [儲存]。 你現在已經規劃了暫停政策的資料來源範圍。
要定義持有政策的參數,請在 持有政策 標籤中選擇以下選項:
條件建構器:搜尋中的條件建構器選項在建立保留政策時提供視覺過濾體驗。 每個條件都會新增一個子句,當你建立保留時會自動執行。 例如,您可以指定日期範圍,以保留在日期範圍內建立的電子郵件或網站文件。 關於使用條件建構器選項的詳細資訊,請參閱 「使用條件建構器在電子發現中建立搜尋查詢」。
關鍵字查詢語言 (KeyQL) :搜尋中的關鍵字查詢語言 (KeyQL) 查詢選項提供指引,讓你能快速將冗長複雜的查詢直接貼上到編輯器中。 欲了解如何透過 KeyQL 選項建立搜尋查詢的詳細資訊,請參閱「使用 關鍵字查詢語言在 eDiscovery 中建立搜尋查詢」。
你也可以使用 Microsoft Security Copilot 快速建立 KeyQL 查詢。 欲了解更多資訊,請參閱「使用Microsoft Copilot (預覽建立KeyQL搜尋查詢) 」。
重要事項
在處理加密或部分索引項目時,查詢保留時應將條件限制為 日期、 參與者及 類型 。 在加密或部分索引的項目中,查詢對其他條件無效,且保留可能不會套用於這些項目。
選擇 「申請」暫停。
重要事項
要對 SharePoint 網站施加暫停,該網站必須有標題。
建立暫停後,請前往保留政策的 詳細 資料標籤,確認暫停成功執行。 您可以參考以下關於暫停政策的資訊:
- 名稱:資料來源名稱。
- 位置:具體位置 (,例如信箱的 SMTP 地址或保留政策中資料來源) 網站的網址。
- 保留狀態:該地點的保留狀態。 顯示該地點是否被保留、未暫停,或是等待有錯誤。
- 來源類型:顯示資料來源類型是人員還是群組。
- 地點類型:顯示地點是 信箱 還是 網站。
注意事項
當你建立查詢式保留時,首先會將所有來自選定位置的內容暫停。 之後,系統會每7到14天清除任何不符合指定查詢的內容。 然而,查詢式保留不會清除任何內容位置,只要對某個位置施加超過五個等待。 保留總是包含部分或未索引的項目,來自查詢式保留的地點。
從搜尋中建立保留
你可以直接從搜尋建立電子發現保留。 然而,直接從搜尋建立保留有以下限制:
暫停會移除搜尋中包含的租戶範圍的資料來源。 保留不支援租戶範圍的資料來源。
保留會擴展搜尋中包含的分布清單。 您可以選擇將所有會員的信箱和網站暫停,或將這些資料來源的部分或混合部分暫停。 後續配發名單成員變更不會改變或更新保留或政策。 如果分配清單是空的,就會從保留中移除,因為沒有東西可以擴充。
搜尋中使用的查詢未包含在保留政策中。 搜尋範圍內的資料來源已包含在保留政策中。
要從搜尋建立電子發現保留,請完成以下步驟:
- 完成 建立搜尋查詢的步驟。
- 選擇在搜尋的指令列中 建立等待 。
- 請查看新的暫停政策並視需要更新。
程序管理員
程序管理器會顯示在保留政策中執行的程序資訊。
- 流程類型:流程類型。
- 狀態:程序的狀態。
- 已建立:該流程建立的日期與時間。
- 完成:流程完成的日期和時間。
- 持續時間:過程的持續時間。
- 創建者:創建該流程的使用者。
要下載程序清單及欄位資訊,請選擇 下載清單 以建立包含此資訊的 .csv 檔案。
欲查看所有電子發現流程資訊,請參閱 電子發現中的流程報告。
對網站設定的查詢式保留
當您對位於 SharePoint 網站的文件設置基於查詢的電子發現保留時,請記住以下幾點:
- 基於查詢的暫停會在刪除文件後,先保留網站上所有文件一段時間。 當你刪除文件時,即使它不符合查詢保留的條件,你也會把它移到保留資料庫。 然而,計時器工作會移除與查詢暫停不符的已刪除文件。 計時器工作會定期執行,並將保存保留資料庫中的所有文件與基於查詢的電子發現保留 (及其他類型的保留與保留政策) 比較。 計時器工作會刪除不符合查詢暫停的文件,並保留符合查詢的文件。
- 利用查詢式保留來執行針對性的保存,如關鍵字、日期範圍或其他文件屬性,以保存網站文件。
在 Microsoft Teams 中保留內容
屬於 Microsoft Teams 頻道的對話會儲存在與 Microsoft Teams 相關聯的信箱中。 同樣地,團隊成員在頻道中共用的檔案會儲存在團隊的 SharePoint 網站上。 因此,你必須將 Team 郵箱和 SharePoint 網站設為 eDiscovery 保留,才能保留對話和檔案在頻道中。
另外,Teams 聊天列表中的對話稱為 1:1 聊天 或 1:N 群組聊天 () 儲存在參與聊天的用戶信箱中。 使用者在聊天對話中分享的檔案會儲存在分享該檔案的使用者的 OneDrive 帳號中。 因此,你必須將個別使用者的信箱和 OneDrive 帳號加入電子發現保留,以保留聊天列表中的對話和檔案。 除了暫停Microsoft團隊的信箱和網站外,也建議暫停團隊成員的信箱。
注意事項
如果您的組織有 Exchange 混合部署 (,或是本地 Exchange 組織與 Office 365) 同步並啟用 Microsoft Teams,本地用戶即可使用 Teams 聊天應用程式,參與 1:1 聊天及 1:N 群組聊天。 這些對話儲存在與本地用戶相關聯的雲端儲存中。 如果你將本地用戶置於 eDiscovery 暫停狀態,雲端儲存中的 Teams 聊天內容會被保留。 如需詳細資訊,請參閱搜尋內部部署使用者的 Teams 聊天資料。
保留卡片內容
Teams 頻道、1:1 聊天和 1:N 群組聊天中應用程式產生的卡片內容會儲存在信箱中,當你將信箱置於 eDiscovery 保留時會被保留。 卡片是一個 UI 容器,用於儲存簡短的內容片段。 卡牌可以有多個屬性和附加物件,並可能包含觸發卡牌動作的項目。 欲了解更多資訊,請參閱卡片。 與其他 Teams 內容一樣,儲存卡片內容的位置取決於卡片的使用位置。 Teams 頻道中使用的卡片之內容儲存在 Teams 群組信箱中。 1:1 和 1xN 聊天的卡片內容儲存在聊天參與者的信箱中。
保留會議及通話資訊
Teams 頻道中會議與通話的摘要資訊也會儲存在撥入會議或通話的使用者信箱中。 當您對使用者信箱設置電子發現保留時,這些內容也會被保留。
在私人頻道中保存內容
你也可以將內容保存在私人頻道中。 私人頻道聊天會儲存在專用的私人頻道信箱中。 每個使用者信箱的私人頻道訊息資料會被移到私人頻道的信箱,且訊息編輯和刪除的訊息不會被複製到信箱中。 對於等待中的使用者,訊息編輯與刪除訊息的副本會保留在使用者保留的資料庫資料夾中,直到暫停結束,而每個用戶信箱中最新版本的私人頻道訊息資料會被複製到私人頻道的信箱。
保留維基內容
每個團隊或團隊頻道也都有一個用於筆記和協作的維基。 Wiki 的內容會自動儲存至 .mht 格式的檔案中。 此檔案會儲存在團隊 SharePoint 網站上的 Teams Wiki 資料文件庫中。 你可以將團隊的 SharePoint 網站加入 eDiscovery 保留,來保留維基內容。
注意事項
當您將團隊的 SharePoint 網站暫停) 時,保留團隊或團隊頻道的維基內容功能於 2017 年 6 月 22 日釋出, ( 若球隊網站暫停,維基內容自該日起保留。 然而,如果球隊網站暫停且維基內容在2017年6月22日之前被刪除,維基內容則不會被保留。
Microsoft 365 群組
Teams 是建立在 Microsoft 365 群組之上。 因此,將 Microsoft 365 群組置於 eDiscovery 暫停,類似於將 Teams 內容暫停。
在將 Teams 和 Microsoft 365 群組置於電子發現暫停時,請留意以下事項:
要將位於 Teams 和 Microsoft 365 群組中的內容暫停,您必須指定與群組或團隊相關的信箱和 SharePoint 網站。
在 Exchange Online PowerShell 中執行 Get-UnifiedGroup 指令,以查看 Teams 和 Microsoft 365 群組的屬性。 這是取得與 Team 或 Microsoft 365 群組相關網站網址的好方法。 例如,以下指令顯示一個名為 Senior Leadership Team 的 Microsoft 365 群組所選屬性:
Get-UnifiedGroup "Senior Leadership Team" | FL DisplayName,Alias,PrimarySmtpAddress,SharePointSiteUrl DisplayName : Senior Leadership Team Alias : seniorleadershipteam PrimarySmtpAddress : seniorleadershipteam@contoso.onmicrosoft.com SharePointSiteUrl : https://contoso.sharepoint.com/sites/seniorleadershipteam注意事項
要執行 Get-UnifiedGroup 指令,你需要在 Exchange Online 中擁有 View-Only Recipients 角色,或是被分配給 View-Only Recipients 角色的角色群組成員。
當搜尋使用者的信箱時,該使用者所屬的任何 Team 或 Microsoft 365 群組都不會被搜尋。 同樣地,當你將 Team 或 Microsoft 365 群組置於 eDiscovery 暫停時,只有群組信箱和群組網站會被暫停。 群組成員的信箱和 OneDrive 網站不會被暫停,除非你明確將他們加入 eDiscovery 暫停。 所以如果你因法律原因必須將 Team 或 Microsoft 365 群組暫停,請考慮將團隊或群組成員的信箱和 OneDrive 帳戶也加入同一暫停名單。
要取得 Team 或 Microsoft 365 群組成員名單,您可以在 Microsoft 365 系統管理中心的群組頁面查看屬性。 或者,您可以在 Exchange Online PowerShell 中執行下列命令:
Get-UnifiedGroupLinks <group or team name> -LinkType Members | FL DisplayName,PrimarySmtpAddress注意事項
要執行 Get-UnifiedGroupLinks 這個 cmdlet,你需要在 Exchange Online 中設定 View-Only Recipients 角色,或是被分配給 View-Only Recipients 角色的角色群組成員。
在 OneDrive 帳號中保留內容
重要事項
刪除 OneDrive 帳號的保留期限與信箱的保留期限不同。 欲了解更多關於刪除 OneDrive 帳號保留期限的資訊,請參見 OneDrive 保留與刪除。
若要收集組織內 OneDrive 網站的網址清單,以便加入與電子發現案件相關的保留或搜尋,請參見 「建立組織內所有 OneDrive 位置清單」。
本文中的腳本會建立一個文字檔,裡面包含你組織中所有 OneDrive 網站的清單。 要執行這個腳本,你需要安裝並使用 SharePoint Online 管理命令介面。 請務必將您組織 MySite 網域的 URL 附加至您要搜尋的每個 OneDrive 網站。 這個網域包含你所有的 OneDrive 網站;例如, https://contoso-my.sharepoint.com。 這裡有一個使用者 OneDrive 網站的 URL 範例: https://contoso-my.sharepoint.com/personal/sarad_contoso_onmicrosoft.com。
重要事項
使用者 OneDrive 帳號的網址會包含使用者主名 (UPN) (https://alpinehouse-my.sharepoint.com/personal/sarad_alpinehouse_onmicrosoft_com 例如) 。 在極少數情況下,當某人的 UPN 被更改時,他們的 OneDrive URL 也會隨之更改以整合新的 UPN。 如果使用者的 OneDrive 帳號被 eDiscovery 凍結,且 UPN 被更改,你需要更新暫停,新增使用者的新 OneDrive 網址並移除舊的。 如果 OneDrive 網站的網址變更,先前對該網站設置的保留仍然有效,內容也會被保留。 如需詳細資訊,請參閱 UPN 變更將如何影響 OneDrive URL。
從電子文件探索保留移除內容位置
當你將信箱、SharePoint 網站或 OneDrive 帳號從電子發現暫停中移除後,會被套用 延遲暫停 。 此暫停會延遲實際移除暫停 30 天,以防止資料被永久刪除 () 從內容位置被清除。 這種延遲讓管理員有機會搜尋或恢復在解除電子發現暫停後被刪除的內容。 延遲保留對信箱和網站的運作方式細節並不相同。
信箱: 下一次管理資料夾助理處理該信箱並偵測到電子發現暫停已被移除時,會對該信箱施加延遲暫停。 具體來說,當受管理的資料夾助理員將下列其中一個信箱屬性設定為 True 時,會對信箱套用延遲保留:
- 延遲保持套用:此特性適用於使用者使用 Outlook 和 Outlook 網頁版) 產生 (且儲存在使用者信箱中的電子郵件相關內容。
- DelayReleaseHoldApplied:此特性適用於由非 Outlook 應用程式產生的雲端內容,如 Microsoft Teams、Microsoft Forms 和 Microsoft Yammer) ,且儲存在使用者信箱中的 (。 Microsoft 應用程式產生的雲端資料通常會儲存在使用者信箱的隱藏資料夾中。
當信箱被設定延遲暫停 (且前任一物業設定為 真實) 時,該信箱仍被視為無限期保留,就像該信箱處於 訴訟暫停狀態一樣。 30 天後,延遲暫停會失效,Microsoft 365 會自動嘗試移除延遲暫停 (,方法是將 DelayHoldApplied 或 DelayReleaseHoldApplied 屬性設為 False) ,從而解除暫停。 當這些屬性被設為 False 後,下一次由管理資料夾助理處理該郵件匣時,標記為移除的相應項目會被清除。
SharePoint 與 OneDrive 網站: 任何被保留在保存保留庫中的 SharePoint 或 OneDrive 內容,在網站從電子發現暫停中移除後的 30 天延遲期間內,都不會被刪除。 這種行為類似於網站被解除保留政策時的情況。 此外,在 30 天的延遲保留期間,您也無法手動刪除文件保留庫中的此內容。 要解除網站的30天延遲保留/寬限期,請參閱「 因保留政策無效而無法刪除網站」或「電子發現保留」 相關故障排除文章。
如需詳細資訊,請參閱釋出保留原則。
延遲保留也會套用於關閉電子發現案件時暫停的內容位置,因為案件結束後暫停會被關閉。 欲了解更多關於結案的資訊,請參閱 電子發現中的案件設定。