Восстановление удаленных сообщений электронной почты в Exchange Online

Восстановление удаленных сообщений электронной почты в Exchange Online

Администраторы могут использовать функцию восстановления отдельных элементов для защиты от случайного или намеренного удаления сообщений электронной почты, а также для упрощения процесса их обнаружения до или во время судебных процессов или расследований, проводимых отделом кадров.

Функция восстановления отдельных элементов включена по умолчанию для новых почтовых ящиков пользователей, создаваемых в Exchange Online, и для почтовых ящиков, перенесенных в Exchange Online из локальной организации Exchange.

  • Каким образом осуществляется восстановление отдельных элементов?
  • Восстановление отдельных элементов и судебное удержание
  • Поиск и восстановление удаленных сообщений электронной почты
    • Этап 1. Поиск сообщения электронной почты
    • Этап 2. Восстановление сообщений электронной почты

    Каким образом осуществляется восстановление отдельных элементов?

    Для окончательного удаления сообщений электронной почты методом, который называется обратимым удалением, пользователь может выполнить одно из следующих действий в приложении Microsoft Office Outlook или Outlook Web App:

    • Удалить элемент из папки «Удаленные».
    • Очистить папку «Удаленные».
    • Нажать клавиши Shift + Delete, чтобы удалить любой элемент.

    Сообщения электронной почты, удаленные методом обратимого удаления, перемещаются в папку "Элементы с возможностью восстановления" почтового ящика пользователя, которая в предыдущих версиях Microsoft Exchange называлась корзиной, и во вложенную папку "Удаленные элементы". Пользователи могут восстановить или удалить сообщения электронной почты, хранящиеся во вложенной папке "Удаленные элементы" с помощью функции "Восстанавливать удаленные элементы" приложения Outlook 2010 или Outlook Web App. Дополнительные сведения см. в разделе Восстановление удаленных элементов.

    Если пользователь удаляет сообщение электронной почты из папки "Элементы с возможностью восстановления" методом, который называется необратимым удалением, удаленное сообщение перемещается во вложенную папку "Очистка", доступ к которой и восстановление элементов из которой невозможно. Только администратор может восстановить окончательно удаленное сообщение электронной почты.

    Примечание. Поскольку элементы вложенной папки "Очистка" элементов для восстановления индексируются и могут обнаруживаться при поиске, администраторы или диспетчеры обнаружения могут применять функцию поиска в нескольких почтовых ящиках для обнаружения окончательно удаленных элементов. Дополнительные сведения см. в разделе Поиск по нескольким почтовым ящикам.

    Период хранения удаленных элементов

    По умолчанию в службе Exchange Online период хранения удаленных элементов составляет 14 дней. Период хранения начинается с момента, когда удаленный элемент перемещается в папку "Элементы для восстановления". По истечении 14 дней элементы во вложенной папке "Удаленные элементы" автоматически перемещаются во вложенную папку "Очистка". По окончании периода хранения элемента во вложенной папке "Очистка" он безвозвратно удаляется из службы Exchange Online и не может быть восстановлен адмнистратором.

    Процесс восстановления отдельного элемента представлен на следующей схеме.

    Примечание. Чтобы изменить период хранения для удаленных элементов в почтовых ящиках организации, необходимо обратиться в службу поддержки Office 365. Можно задать любую продолжительность периода хранения. Однако если требуется хранить удаленные элементы более 30 дней, почтовый ящик должен иметь пользовательскую лицензию уровня Exchange Online (план 2).

    Квота для папки «Элементы с возможностью восстановления»

    Максимальная квота папки «Элементы с возможностью восстановления» — 30 ГБ, и эта квота не входит в квоту основного почтового ящика пользователя. Когда размер папки «Элементы с возможностью восстановления» достигает 20 ГБ, администратору отправляется сообщение с предупреждением и технология управления записями сообщений (Messaging Records Management — MRM) автоматически удаляет самые старые элементы папки «Элементы с возможностью восстановления», пока размер папки не станет меньше 20 ГБ. Крайне маловероятно, что размер папки "Элементы с возможностью восстановления" достигнет 30 ГБ. В этом случае пользователь больше не сможет осуществлять обратимое удаление каких-либо элементов. Администратору отправляется предупреждение, и он должен вручную удалить элементы из папки «Элементы с возможностью восстановления» с помощью командлета Search-Mailbox. Дополнительные сведения см. в разделе Поиск и удаление сообщений в почтовых ящиках пользователей.

    Восстановление отдельных элементов и судебное удержание

    Как было упомянуто ранее, функция восстановления отдельных элементов сохраняет удаленные и очищенные сообщения электронной почты в течение 14 дней. По окончании периода хранения удаленные элементы безвозвратно удаляются из службы Exchange Online.

    Напротив, если для почтового ящика включен режим судебного удержания, элементы вложенных папок "Очистка" или "Удаления" не удаляются безвозвратно из службы Exchange Online. Кроме того, когда почтовый ящик находится на судебном удержании, служба Exchange Online сохраняет исходную версию сообщения в случае, если пользователь вносит в него какие-либо изменения. Если пользователь изменяет сообщение, его исходная версия копируется во вложенную папку с названием Версии (см. предыдущее изображение). Вложенная папка "Версии" не отображается для пользователей, но элементы в ней индексируются и могут обнаруживаться при поиске, выполняемом администратором или диспетчером обнаружения. Ни один элемент во вложенной папке "Версии" не удаляется безвозвратно, если почтовый ящик находится на судебном удержании. В случае восстановления отдельных элементов изменения сообщения не копируются во вложенную папку "Версии".

    По умолчанию все элементы папки "Элементы с возможностью восстановления" хранятся до снятия судебного удержания. Можно также использовать Windows PowerShell для настройки длительности судебного удержания почтового ящика. Дополнительные сведения см. в разделе Применение судебного удержания к почтовому ящику.

    Примечание. Если для почтового ящика включен режим судебного удержания, элементы подпапки «Удаления» через 14 дней перемещаются в подпапку «Очистка». Перенося элементы в подпапку «Очистка», вы не уведомляете пользователей о том, что для их почтового ящика включен режим судебного удержания. Это полезно в том случае, если речь идет об уголовном деле, когда состояние судебного удержания скрыто от пользователя.

    Квота папки «Элементы с возможностью восстановления» в течение периода судебного удержания

    Выше утверждалось, что квота папки «Элементы с возможностью восстановления» составляет 30 ГБ, при этом она не входит в квоту основного почтового ящика пользователя. В течение периода судебного удержания квота папки «Элементы с возможностью восстановления» по необходимости может быть увеличена администраторами центра обработки данных Майкрософт. Вам не потребуется предпринимать никаких действий для увеличения квоты.

    Поиск и восстановление удаленных сообщений электронной почты

    Для поиска и восстановления удаленных сообщений электронной почты в почтовом ящике пользователя выполните следующие действия:

    1. На панели управления Exchange воспользуйтесь функцией поиска по нескольким почтовым ящикам для нахождения сообщения электронной почты, которое необходимо восстановить из папки «Элементы с возможностью восстановления», и скопируйте результаты поиска в почтовый ящик поиска методом обнаружения.
    2. В Windows PowerShell используйте командлет Search-Mailbox для поиска сообщения, которое вы искали в предыдущем действии, в почтовом ящике поиска методом обнаружения и скопируйте его в почтовый ящик пользователя.

    Приступая к работе

    • Сведения об установке и настройке Windows PowerShell и подключении к службе см. в разделе Использование Windows PowerShell.
    • Для поиска и восстановления сообщений в почтовых ящиках пользователей необходимы следующие роли:
      • Поиск в почтовых ящиках. Эта роль позволяет искать сообщения в нескольких почтовых ящиках в пределах организации. Администраторы не имеют этой роли по умолчанию. Для поиска в нескольких почтовых ящиках необходимо стать членом группы ролей «Управление обнаружением». См. раздел Добавление и удаление членов группы ролей.
      • Импорт и экспорт почтовых ящиков. Эта роль позволяет использовать командлет Search-Mailbox для восстановления элементов из папки «Восстановленные». Эта роль не назначается администраторам по умолчанию. Для выполнения этого командлета добавьте роль «Импорт и экспорт почтовых ящиков» в группу ролей «Управление организацией». См. раздел Изменение свойств группы ролей.

      Этап 1. Поиск сообщения электронной почты

      Используйте функцию поиска по нескольким почтовым ящикам на панели управления Exchange для поиска сообщений электронной почты, которые необходимо восстановить. По умолчанию функция поиска по нескольким почтовым ящикам осуществляет поиск в папке «Элементы с возможностью восстановления» основного и архивного почтовых ящиков. См. раздел Создание запроса поиска в нескольких почтовых ящиках.

      При использовании функции поиска в нескольких почтовых ящиках на панели управления Exchange поиск осуществляется во всем почтовом ящике пользователя. Если требуется выполнять поиск только в папке "Элементы для восстановления", следует использовать Windows PowerShell. Выполните следующую команду для поиска в папке "Элементы для восстановления":

      Пример. Следующая команда выполняет поиск сообщения с темой "Результаты веб-опроса" в папке "Элементы для восстановления" почтового ящика Esther Valle и копирует результаты в папку с именем «EstherV» в почтовом ящике поиска методом обнаружения:

      Этап 2. Восстановление сообщений электронной почты

      После сохранения сообщения в почтовом ящике поиска методом обнаружения можно восстановить его в почтовый ящик пользователя с помощью командлета Search-Mailbox. Выполните следующую команду:

      Пример. Следующая команда ищет сообщение с темой «Результаты интерактивного исследования» в почтовом ящике поиска методом обнаружения и копирует его в папку «Входящие» Алексея Орехова.

      Поскольку команда Search-Mailbox осуществляет поиск восстановленного элемента в почтовом ящике поиска методом обнаружения, элемент и структура папок почтового ящика поиска методом обнаружения восстанавливается в папку «Входящие» почтового ящика пользователя. Например, вот так выглядит структура папок почтового ящика Алексея Орехова после восстановления файла:

      Обязательно уведомите пользователей, что они могут переместить восстановленный элемент непосредственно в свою папку «Входящие» и удалить эту структуру папок.

      Примечание. При использовании командлета Search-Mailbox нельзя указать один и тот же почтовый ящик в качестве исходного и целевого одновременно. Именно поэтому необходимо использовать функцию поиска в нескольких почтовых ящиках для копирования сообщения в почтовый ящик поиска методом обнаружения.

      Отключение функции восстановления отдельного элемента

      Выполните следующую команду, чтобы отключить функцию восстановления отдельных элементов для почтового ящика:

      Чтобы отключить функцию восстановления отдельных элементов для всех почтовых ящиков пользователей в организации, выполните следующую команду:

      Важно! Если функция восстановления отдельных элементов отключена, элементы продолжают храниться в папке "Элементы для восстановления" в течение 14 дней с момента удаления. Однако если пользователь удаляет сообщение электронной почты из папки "Элементы для восстановления" методом очистки, оно безвозвратно удаляется и не может быть восстановлено администратором.

      Рекомендации по поиску удаленных сообщений электронной почты

      Сузьте поиск, чтобы свести к минимуму число результатов. При настройке поиска в нескольких почтовых ящиках используйте параметры разделов >Входящие и исходящие сообщения для определенных адресов электронной почты и Искать в почтовых ящиках, чтобы максимально сузить область поиска. Например, выполните поиск сообщений, отправленных пользователю, и только в почтовом ящике пользователя. Это позволит сократить число обнаруженных в ходе поиска связанных сообщений, которые не имеют прямого отношения к целям поиска.

      Разрешите дедупликацию для функции поиска в нескольких почтовых ящиках, чтобы найти элемент с возможностью восстановления. Если дедупликация не разрешена, при обнаружении элемента в почтовом ящике пользователя вся структура папок из результатов поиска копируется в почтовый ящик пользователя. Разрешение дедупликации позволяет упростить структуру подпапок.

      Используйте синтаксис расширенных запросов (Advanced Query Syntax — AQS), чтобы обеспечить возможность поиска ключевых слов в различных свойствах сообщения электронной почты. Например, можно выполнять поиск ключевого слова в строке темы или теле сообщения. Дополнительные сведения см. в разделе Расширенный поиск по ключевым словам. В таблице ниже приведен список наиболее распространенных свойств сообщений, которые можно использовать при поиске ключевых слов.

      Сообщения, содержащие вложение с именем «годовойотчет.ppt». Использование запросов «вложение:годовойотчет» или «вложение:годовой*» возвратит те же результаты, что и указание полного имени вложения.