识别电子数据展示中的 Exchange 邮箱保留类型
Microsoft Purview 提供了多种方法,使组织能够防止邮箱内容被永久删除。 这样,组织就可以保留符合合规性法规或在法律调查和其他类型的调查期间保留内容。
提示
开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot。
保留类型
下面是 Microsoft Purview 和 Microsoft 365 中也称为 保留) (保留功能的列表:
诉讼保留:应用于 Exchange Online 中的用户邮箱的保留。
电子数据展示保留:Microsoft Purview 门户中与电子数据展示事例关联的保留。 你可以对正在调查此案的人员的 Exchange 邮箱和 OneDrive 帐户进行保留。 还可以对与 Microsoft Teams、Microsoft 365 个组和Viva Engage组关联的邮箱和网站进行保留。
Microsoft Purview 保留策略:可配置为保留 (或保留,然后删除Exchange Online用户邮箱以及Microsoft 365 组和Microsoft Teams 的相应邮箱中的) 内容。 还可以创建保留策略来保留存储在用户邮箱中的Skype for Business对话。
有两种类型的Microsoft Purview 保留策略可以分配给邮箱。
- 特定位置保留策略:这些策略分配给特定用户的内容位置。 使用 Exchange Online PowerShell 中的 Get-Mailbox cmdlet 获取有关分配给特定邮箱的保留策略的信息。 有关此类保留策略的详细信息,请参阅保留策略文档中具有特定包含或排除项的策略部分。
- 组织范围的保留策略:这些是分配给组织中所有内容位置的策略。 使用 Exchange Online PowerShell 中的 Get-OrganizationConfig cmdlet 获取有关组织范围的保留策略的信息。 有关此类保留策略的详细信息,请参阅保留 策略文档中应用于整个位置的策略 A 部分。
Microsoft Purview 保留标签:如果用户应用Microsoft Purview 保留标签 (该标签配置为保留内容或保留,然后删除其邮箱中 任何 文件夹或项目的内容) ,则邮箱将保留,就像邮箱置于诉讼保留状态或分配给Microsoft Purview 保留策略一样。 有关详细信息,请参阅本文中的 标识保留邮箱,因为保留标签已应用于文件夹或项目 部分。
若要管理保留邮箱,可能需要确定邮箱上放置的保留类型,以便执行更改保留持续时间、暂时或永久删除保留或从 Microsoft Purview 保留策略中排除邮箱等任务。 在这些情况下,第一步是确定邮箱上的保留类型。 由于多个保留 (和不同类型的保留) 可以放在单个邮箱上,因此如果要删除或更改保留,则必须标识邮箱上的所有保留。
步骤 1:获取邮箱上保留的 GUID
可以在 Exchange Online PowerShell 中运行以下两个 cmdlet,以获取放置在邮箱上的保留项的 GUID。 获取 GUID 后,使用它标识步骤 2 中的特定保留。 诉讼保留不是由 GUID 标识的。 为邮箱启用或禁用诉讼保留。
- Get-Mailbox:使用此 cmdlet 确定是否为邮箱启用了诉讼保留,并获取电子数据展示保留的 GUID,并Microsoft分配给邮箱的 Purview 保留策略。 此 cmdlet 的输出还将指示邮箱是否已从组织范围的保留策略中显式排除。
- Get-OrganizationConfig:使用此 cmdlet 获取组织范围的保留策略的 GUID。
若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。
Get-Mailbox
运行以下命令,获取有关应用于邮箱的保留和Microsoft Purview 保留策略的信息。
Get-Mailbox <username> | FL LitigationHoldEnabled,InPlaceHolds
提示
如果 InPlaceHolds 属性中的值太多,但并未显示所有这些值,则可以运行 Get-Mailbox <username> | Select-Object -ExpandProperty InPlaceHolds 命令在单独的行中显示每个 GUID。
下表介绍了在运行 Get-Mailbox cmdlet 时,如何根据 InPlaceHolds 属性中的值标识不同类型的保留。
| 保留类型 | 示例值 | 如何识别保留 |
|---|---|---|
| 诉讼保留 | True |
当 LitigationHoldEnabled 属性设置为 True时,为邮箱启用诉讼保留。 |
| 电子数据展示保留 | UniH7d895d48-7e23-4a8d-8346-533c3beac15d |
InPlaceHolds 属性包含与 Microsoft Purview 门户中的电子数据展示案例关联的任何保留的 GUID。 可以判断这是电子数据展示保留,因为 GUID 以 UniH 前缀 (表示统一保留) 。 |
| Microsoft应用于邮箱的 Purview 保留策略 | mbxcdbbb86ce60342489bff371876e7f224:1 或 skp127d7cf1076947929bf136b7a2a8c36f:3 |
InPlaceHolds 属性包含应用于邮箱的任何特定位置保留策略的 GUID。 可以标识保留策略,因为 GUID 以 mbx 或 skp 前缀开头。 前缀skp指示保留策略应用于用户邮箱中的Skype for Business对话。 |
| 从组织范围的Microsoft Purview 保留策略中排除 | -mbxe9b52bf7ab3b46a286308ecb29624696 |
如果邮箱从组织范围的 Microsoft Purview 保留策略中排除,则从中排除邮箱的保留策略的 GUID 将显示在 InPlaceHolds 属性中,并由 -mbx 前缀标识。 |
Get-OrganizationConfig
如果在运行 Get-Mailbox cmdlet 时 InPlaceHolds 属性为空,则可能仍会向邮箱应用一个或多个组织范围的Microsoft Purview 保留策略。 Exchange Online PowerShell 中运行以下命令,获取组织范围的 GUID 列表,Microsoft Purview 保留策略。
Get-OrganizationConfig | FL InPlaceHolds
提示
如果 InPlaceHolds 属性中的值太多,但并未显示所有这些值,则可以运行 Get-OrganizationConfig | Select-Object -ExpandProperty InPlaceHolds 命令在单独的行中显示每个 GUID。
下表介绍了不同类型的组织范围的保留,以及如何在运行 Get-OrganizationConfig cmdlet 时基于 InPlaceHolds 属性中包含的 GUID 标识每种类型。
| 保留类型 | 示例值 | 说明 |
|---|---|---|
| Microsoft适用于 Exchange 邮箱、Exchange 公用文件夹和 Teams 聊天的 Purview 保留策略 | mbx7cfb30345d454ac0a989ab3041051209:2 |
应用于 Microsoft Teams 中的 Exchange 邮箱、Exchange 公用文件夹和 1xN 聊天的组织范围的保留策略由以 前缀开头的 mbx GUID 标识。 注意 1xN 聊天存储在单个聊天参与者的邮箱中。 |
| Microsoft适用于Microsoft 365 组和 Teams 频道消息的 Purview 保留策略 | grp1a0a132ee8944501a4bb6a452ec31171:3 |
应用于 Microsoft Teams 中Microsoft 365 个组和频道消息的组织范围的保留策略由以 前缀开头的 grp GUID 标识。 请注意,频道邮件存储在与Microsoft团队关联的组邮箱中。 |
有关应用于 Microsoft Teams 的保留策略的详细信息,请参阅 了解 Microsoft Teams 的保留策略。
了解保留策略的 InPlaceHolds 值的格式
除了将 InPlaceHolds 属性中的项标识为 Microsoft Purview 保留策略的前缀 (mbx、skp 或 g) rp 之外,值还包含标识为策略配置的保留作类型的后缀。 例如,在以下示例中,作后缀以粗体突出显示:
skp127d7cf1076947929bf136b7a2a8c36f
:1
mbx7cfb30345d454ac0a989ab3041051209
:2
grp1a0a132ee8944501a4bb6a452ec31171
:3
下表定义了三种可能的保留作:
| 值 | 说明 |
|---|---|
| 1 | 指示保留策略配置为删除项目。 该策略不会保留项。 |
| 2 | 指示保留策略配置为保留项。 保留期到期后,策略不会删除项目。 |
| 3 | 指示保留策略配置为保留项目,然后在保留期到期后将其删除。 |
注意
由于保留标签策略发布或自动应用应用项目级作的标签,因此它们始终会在邮箱的 InPlaceHolds 属性中显示作值 1。
若要确定是否对邮箱中的文件夹或项目应用了保留,请参阅 标识保留邮箱,因为保留标签已应用于文件夹或项目。
有关保留作的详细信息,请参阅 在特定时间段内保留内容 部分。
步骤 2:使用 GUID 标识保留
获取应用于邮箱的保留的 GUID 后,下一步是使用该 GUID 来标识保留。 以下部分演示如何使用保留 GUID 标识保留 (的名称以及) 的其他信息。
电子数据展示保留
在 安全性 & 合规性 PowerShell 中运行以下命令,以标识应用于邮箱的电子数据展示保留。 使用 GUID (不包括在步骤 1 中标识的电子数据展示保留的 UniH 前缀) 。
若要连接到安全性 & 符合性 PowerShell,请参阅 连接到安全性 & 合规性 PowerShell。
第一个命令创建一个变量,其中包含有关保留的信息。 此变量用于其他命令。 第二个命令显示与保留关联的电子数据展示事例的名称。 第三个命令显示保留的名称以及要保留的邮箱列表。
$CaseHold = Get-CaseHoldPolicy <hold GUID without prefix>
Get-ComplianceCase $CaseHold.CaseId | FL Name
$CaseHold | FL Name,ExchangeLocation
Microsoft Purview 保留策略
连接到 Security & Compliance PowerShell 并运行以下命令,以标识应用于邮箱 (组织范围或特定位置) Microsoft Purview 保留策略。 使用 GUID (不包括在步骤 1 中标识的 mbx、skp 或 grp 前缀或作后缀) 。
Get-RetentionCompliancePolicy <hold GUID without prefix or suffix> -DistributionDetail | FL Name,*Location
标识保留邮箱,因为保留标签已应用于文件夹或项目
每当用户应用配置为 保留或保留 并 删除 其邮箱中任何文件夹或项目的内容的保留标签时, ComplianceTagHoldApplied 邮箱属性将设置为 True。 发生这种情况时,邮箱的处理方式与将邮箱置于保留状态时类似,例如分配给 Microsoft Purview 保留策略或置于诉讼保留状态时,但需要注意一些事项。 当 ComplianceTagHoldApplied 属性设置为 True 时,会发生以下情况:
- 如果删除邮箱或用户的 Microsoft 365 帐户,邮箱将成为 非活动邮箱。
- 如果) 启用,则无法禁用主邮箱或存档邮箱 (邮箱。
- 从邮箱中删除的项目遵循以下两个路径之一,具体取决于它们是否已标记:
- 当邮箱没有保留时,未标记的项目遵循已删除邮件所采用的相同路径。 永久删除这些项目所需的时间取决于 已删除的项目保留 配置以及是否为邮箱启用了 单个项目恢复 。
- 标记的项目 将保留到 可恢复的项目文件夹中 ,就像应用Microsoft Purview 保留策略时一样,但在单个项目级别。 如果多个项目具有不同的标签,这些标签配置为 保留 或 保留,然后以 不同的间隔删除内容,则根据所应用标签的配置保留每个项。
- 其他保留(例如,Microsoft Purview 保留策略、电子数据展示保留或诉讼保留)可以根据保留原则延长已标记项 的保留时间。
若要查看单个邮箱的 ComplianceTagHoldApplied 属性的值,请在 Exchange Online PowerShell 中运行以下命令:
Get-Mailbox <username> | FL ComplianceTagHoldApplied
有关保留标签的详细信息,请参阅 保留标签。
管理延迟保留的邮箱
从邮箱中删除任何类型的保留后,将应用 延迟保留 。 这意味着,实际删除保留会延迟 30 天,以防止永久删除数据 (从邮箱中清除) 。 这使管理员有机会搜索或恢复在删除保留后清除的邮箱项目。 托管文件夹助理下次处理邮箱并检测到删除保留时,会对邮箱进行延迟保留。 具体而言,当托管文件夹助理将以下邮箱属性 之一设置为 True时,延迟保留将应用于邮箱:
- DelayHoldApplied:此属性适用于使用 Outlook 的用户生成 (与电子邮件相关的内容,以及存储在用户邮箱中的Outlook 网页版) 。
- DelayReleaseHoldApplied:此属性适用于非 Outlook 应用(例如Microsoft Teams、Microsoft Forms和存储在用户邮箱中的Microsoft Viva Engage) )生成的基于云的内容 (。 Microsoft 应用生成的云数据通常存储在用户邮箱的隐藏文件夹中。
当在邮箱上放置延迟保留(当以前的任一属性设置为 True时),邮箱仍被视为处于无限制保留期,就像邮箱处于诉讼保留状态一样。 30 天后,延迟保留过期,Microsoft 365 将自动尝试删除延迟保留 (,方法是将 DelayHoldApplied 或 DelayReleaseHoldApplied 属性设置为 False) 以便删除保留。 将其中任一属性设置为 False 后,在托管文件夹助理下次处理邮箱时,将清除标记为要删除的相应项目。
注意
如果禁用邮箱的用户帐户,则邮箱不会由托管文件夹助理处理,并且延迟保留在 30 天后过期。 有关详细信息,请参阅 延迟保留注意事项。
若要查看邮箱的 DelayHoldApplied 和 DelayReleaseHoldApplied 属性的值,请在 Exchange Online PowerShell 中运行以下命令。
Get-Mailbox <username> | FL *HoldApplied*
若要在延迟保留过期之前将其删除,可以在 PowerShell 中运行一个 (或两者 Exchange Online) 以下命令,具体取决于要更改的属性:
Set-Mailbox <username> -RemoveDelayHoldApplied
或
Set-Mailbox <username> -RemoveDelayReleaseHoldApplied
必须在 Exchange Online 中分配“法定保留”角色才能使用 RemoveDelayHoldApplied 或 RemoveDelayReleaseHoldApplied 参数。
若要删除非活动邮箱上的延迟保留,请在 Exchange Online PowerShell 中运行以下命令之一:
Set-Mailbox <DN or Exchange GUID> -InactiveMailbox -RemoveDelayHoldApplied
或
Set-Mailbox <DN or Exchange GUID> -InactiveMailbox -RemoveDelayReleaseHoldApplied
提示
在上一命令中指定非活动邮箱的最佳方法是使用其可分辨名称或 Exchange GUID 值。 使用下列值之一有助于避免意外指定错误的邮箱。
有关使用这些参数管理延迟保留的详细信息,请参阅 Set-Mailbox。
延迟保留注意事项
管理延迟保留邮箱时,请记住以下事项:
- 如果 DelayHoldApplied 或 DelayReleaseHoldApplied 属性设置为 True ,并且邮箱 (或删除相应的用户帐户) ,则邮箱将成为非活动邮箱。 这是因为,如果任一属性设置为 True,则邮箱被视为处于保留状态,而删除保留邮箱会导致邮箱处于非活动状态。 若要删除邮箱而不将其设置为非活动邮箱,必须同时将这两个属性设置为 False。
- 如果将 DelayHoldApplied 或 DelayReleaseHoldApplied 属性设置为 True,则邮箱将被视为处于无限保留期。 但是,这并不意味着邮箱 中的所有内容都会 保留。 这取决于设置为每个属性的值。 例如,假设这两个属性都设置为 True ,因为会从邮箱中删除保留。 然后,使用 RemoveDelayReleaseHoldApplied 参数) 仅删除应用于非 Outlook 云数据 (的延迟保留。 下次托管文件夹助理处理邮箱时,将清除标记为删除的非 Outlook 项目。 不会清除标记为删除的任何 Outlook 项目,因为 DelayHoldApplied 属性仍设置为 True。 反之亦然:如果 DelayHoldApplied 设置为 False ,并将 DelayReleaseHoldApplied 设置为 True,则只会清除标记为删除的 Outlook 项目。
如何确认将组织范围的保留策略应用于邮箱
在邮箱应用或删除组织范围的保留策略时,导出邮箱诊断日志有助于确定Exchange Online已对邮箱应用或删除保留策略。 若要查看此信息,首先需要使用 Exchange Online PowerShell 进行一些验证。
获取任何显式应用于邮箱的保留策略的 GUID
Get-Mailbox <username> | Select-Object -ExpandProperty InPlaceHolds
获取应用于邮箱的任何组织范围的保留策略的 GUID
Get-OrganizationConfig | Select-Object -ExpandProperty InPlaceHolds
获取 HoldTracking 的邮箱诊断
保留跟踪邮箱诊断日志维护应用于用户邮箱的保留历史记录。
$ht = Export-MailboxDiagnosticLogs <username> -ComponentName HoldTracking
$ht.MailboxLog | Convertfrom-Json
查看邮箱诊断日志的结果
如果从上一步收集数据,则生成的数据可能如下所示:
ed
: 0001-01-01T00:00:00.0000000藏: mbx7cfb30345d454ac0a989ab3041051209:1ht: 4lsd: 2020-03-23T18:24:37.1884606Zosd: 2020-03-23T18:24:37.1884606Z
使用下表可帮助你了解诊断日志中列出的每个先前值。
| 值 | 说明 |
|---|---|
| ed | 指示结束日期,即禁用保留策略的日期。 MinValue 表示策略仍分配给邮箱。 |
| 藏 | 指示保留策略的 GUID。 此值与为分配给邮箱的显式保留策略或组织范围的保留策略收集的 GUID 相关联。 |
| ht | 指示保留类型。 对于 LitigationHold,1表示 InPlaceHold,2 表示 ComplianceTagHold,3 表示 OrganizationRetention,5 表示 CompliancePolicy,6 表示 SubstrateAppPolicy,7 表示 SharepointPolicy。 |
| lsd | 指示上次开始日期,即保留策略分配给邮箱的日期。 |
| osd | 指示原始开始日期,即 Exchange 首次记录有关保留策略信息的日期。 |
当保留策略不再应用于邮箱时,我们会对用户进行临时延迟保留,以防止清除内容。 可以通过运行 Set-Mailbox -RemoveDelayHoldApplied 命令来禁用延迟保留。
后续步骤
确定应用于邮箱的保留后,可以执行更改保留期、暂时或永久删除保留或从 Microsoft Purview 保留策略中排除非活动邮箱等任务。 有关执行与保留相关的任务的详细信息,请参阅以下文章之一:
- 在 Security & Compliance PowerShell 中运行 Set-RetentionCompliancePolicy -Identity <Policy Name> -AddExchangeLocationException <用户邮箱>命令,以从组织范围的 Microsoft Purview 保留策略中排除邮箱。 此命令只能用于 ExchangeLocation 属性的值等于
All的保留策略。 - 更改非活动邮箱的保留期
- 删除非活动邮箱
- 删除保留状态云邮箱的“可恢复的项目”文件夹中的项目