Sintomas
Suponha que você crie uma pesquisa de eDiscovery In-loco no Exchange Admin Center (EAT) para devolver itens que são enviados para destinatários externos, especificando a não destinatários: "internalDomain" critérios na pesquisa. Nessa situação, a sintaxe da pesquisa retorna os itens que são enviados para destinatários externos somente, mas exclui itens com destinatários internos e externos.
Causa
Esse problema ocorre porque o eDiscovery usa a linguagem de consulta de palavra-chave (KQL) que usa a lógica booleana. Portanto, o não destinatários: "internalDomain" exclui todos os itens que contêm um endereço interno, até mesmo os itens que também têm um destinatário externo.
Observação: O design atual não fornece uma funcionalidade mais refinada através do EAT.Solução alternativa
Para contornar esse problema, use um dos seguintes métodos.
Método 1: Usar EWSEditor
Um aplicativo de EWSEditor ware livre está disponível como solução alternativa para esse problema. Há uma janela de eDiscovery que pode ser usada para pesquisar itens. Observação: Você precisa configurar a conta sendo usada com a função de auditoria RBAC para realizar essas pesquisas.
Método 2: Usar uma API diferente
Use uma API diferente que não contam com KQL. Você precisa criar uma solução personalizada com o uso de outros programas, como o Exchange Web Services (EWS). A solução pode recuperar algumas partes dos dados (um conjunto de dados maior). A solução pode processar mais resultados recebidos usando lógica externa para chegar ao conjunto desejado de mensagens que correspondam a não destinatários: "internalDomain" critérios como você interpretaria.
Além disso, para identificação dessas mensagens no futuro, uma solução melhor seria usar uma regra de transporte que poderia enviar cópias dos itens (destinatários internos e externos) para uma caixa de correio de auditoria. A seguir está um exemplo de código para contornar esse problema usando a API gerenciada do EWS. Observação: Nesse exemplo de código, substitua InternalDomain1.com, InternalDomain2.com, InternalDomain3.com, com seu nome de domínio interno. Esse espaço reservado aparece em três locais no código.
<#AQS search using EWS Managed API
USAGE: .\Search-Mailbox.ps1 -MailboxName mbx@domain.com -AqsString "(""Test"")" #> [CmdletBinding()] param ( [Parameter(Position=0,Mandatory=$True,HelpMessage="Mailbox SMTP format")] [ValidateNotNullOrEmpty()] [string]$MailboxName, [Parameter(Position=1,Mandatory=$True,HelpMessage="AQS QueryString")] [ValidateNotNullOrEmpty()] [string]$AqsString ) ####################################################################### # Update EWS DLL Folder,$domain, $account, $pwd and $exserver Values ######################################################################## $resultFL = "C:\Scripts\Result" $domain = "SEARCH" $account = "MailboxSearch@domain.com";$pwd = '123' $exServer = "exch01search.net" $EWSManagedApiPath = "C:\scripts\Microsoft.Exchange.WebServices.dll" ######################################################################## $LogFile_All = "$($resultFL)\$($Mailboxname)_All.txt" $LogFile_Filtr = "$($resultFL)\$($Mailboxname)_Filtered.txt" $LogFile_Itype = "$($resultFL)\$($Mailboxname)_ItemTypes.txt" $StopWatch = New-Object system.Diagnostics.Stopwatch $StopWatch.Start() Add-Type -Path $EWSManagedApiPath $service = New-Object Microsoft.Exchange.WebServices.Data.ExchangeService([Microsoft.Exchange.WebServices.Data.ExchangeVersion]::Exchange2010_SP2) $service.Credentials= new-object Microsoft.Exchange.WebServices.Data.WebCredentials($account,$pwd,$domain) $service.UseDefaultCredentials = $false $UseAutoDiscover = $false $service.Url = new-object uri("https://domain.com/EWS/Exchange.asmx") $ImpersonatedUserId = new-object Microsoft.Exchange.WebServices.Data.ImpersonatedUserId([Microsoft.Exchange.WebServices.Data.ConnectingIdType]::SmtpAddress,$MailboxName); $service.ImpersonatedUserId = $ImpersonatedUserId #Define Extended properties $PR_Folder_Path= new-object Microsoft.Exchange.WebServices.Data.ExtendedPropertyDefinition(26293, [Microsoft.Exchange.WebServices.Data.MapiPropertyType]::String); $PR_FOLDER_TYPE = new-object Microsoft.Exchange.WebServices.Data.ExtendedPropertyDefinition(13825,[Microsoft.Exchange.WebServices.Data.MapiPropertyType]::Integer); $folderidcnt = new-object Microsoft.Exchange.WebServices.Data.FolderId([Microsoft.Exchange.WebServices.Data.WellKnownFolderName]::MsgFolderRoot,$MailboxName) #Define the FolderView used for Export should not be any larger then 1000 folders due to throttling $fvFolderView = New-Object Microsoft.Exchange.WebServices.Data.FolderView(1000) #Deep Transval will ensure all folders in the search path are returned $fvFolderView.Traversal = [Microsoft.Exchange.WebServices.Data.FolderTraversal]::Deep; $pSchPropSet= new-object Microsoft.Exchange.WebServices.Data.PropertySet([Microsoft.Exchange.WebServices.Data.BasePropertySet]::FirstClassProperties) $pSchPropSet.Add($PR_Folder_Path) $fvFolderView.PropertySet = $pSchPropSet #The Search filter will exclude any Search Folders $sfSearchFilter = new-object Microsoft.Exchange.WebServices.Data.SearchFilter+IsEqualTo($PR_FOLDER_TYPE,"1") $fiResult = $null $MsgPropSet = New-Object Microsoft.Exchange.WebServices.Data.PropertySet $MsgPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::Id) $MsgPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::ParentFolderId) $MsgPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::ItemClass) $MsgPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::Subject) $MsgPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::DateTimeSent) $MsgPropSet.Add([Microsoft.Exchange.WebServices.Data.EmailMessageSchema]::Sender) $MsgPropSet.Add([Microsoft.Exchange.WebServices.Data.EmailMessageSchema]::ToRecipients) $MsgPropSet.Add([Microsoft.Exchange.WebServices.Data.EmailMessageSchema]::ccRecipients) $MsgPropSet.Add([Microsoft.Exchange.WebServices.Data.EmailMessageSchema]::BccRecipients) $AptPropSet = New-Object Microsoft.Exchange.WebServices.Data.PropertySet $AptPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::Id) $AptPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::ParentFolderId) $AptPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::ItemClass) $AptPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::Subject) $AptPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::DateTimeSent) $AptPropSet.Add([Microsoft.Exchange.WebServices.Data.AppointmentSchema]::Organizer) $AptPropSet.Add([Microsoft.Exchange.WebServices.Data.AppointmentSchema]::RequiredAttendees) $AptPropSet.Add([Microsoft.Exchange.WebServices.Data.AppointmentSchema]::OptionalAttendees) $SchPropSet = New-Object Microsoft.Exchange.WebServices.Data.PropertySet $SchPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::Id) $SchPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::ParentFolderId) $SchPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::ItemClass) $SchPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::Subject) $SchPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::DateTimeSent) $SchPropSet.Add([Microsoft.Exchange.WebServices.Data.MeetingRequestSchema]::Organizer) $SchPropSet.Add([Microsoft.Exchange.WebServices.Data.MeetingRequestSchema]::RequiredAttendees) $SchPropSet.Add([Microsoft.Exchange.WebServices.Data.MeetingRequestSchema]::OptionalAttendees) #Write-host "Checking Mailbox: $($MailboxName)" #Write-host "Searching QueryString: $($AqsString)" #The Do loop will handle any paging that is required if there are more the 1000 folders in a mailbox $ic=0 $fic=0 do { $fiResult = $Service.FindFolders($folderidcnt,$sfSearchFilter,$fvFolderView) #$fiResult.Folders.Count foreach($ffFolder in $fiResult.Folders){ # "Processing : " + $ffFolder.displayName $fpath = $ffFolder.ExtendedProperties[0].Value $fic++ $fiItems = $null $ItemView = New-Object Microsoft.Exchange.WebServices.Data.ItemView(1000) do{ Write-Progress -Activity "Processing $($MailboxName) - QueryString $($AqsString)" -Status $ffFolder.DisplayName -PercentComplete ($fic/$fiResult.Folders.Count*100) $fiItems = $ffFolder.findItems($AqsString,$ItemView) $ic = $ic + $fiItems.items.count $ItemView.offset += $fiItems.Items.Count foreach($Item in $fiItems.Items){ $itype = "$($item.ItemClass)`t$($Item.id.UniqueId)" Add-content -Value $itype -Path $LogFile_Itype $result="" switch ($item.ItemClass) { "IPM.Note" { $Item.Load($MsgPropSet) $MT = @() # Create a MAPITABLE to filter external Domains $eRecipients="" $result = "$($mailboxname)`t$($fpath)`t$($Item.Sender.Name)`t$($Item.DateTimeSent)`t$($Item.Subject)`t$($Item.id.UniqueId)`t$($item.ItemClass)" Add-content -Value $result -Path $LogFile_All $item.ToRecipients | %{If($_.RoutingType -ne "EX"){$mt+=$_.Address }} $item.ccRecipients | %{If($_.RoutingType -ne "EX"){$mt+=$_.Address}} $item.BccRecipients | %{If($_.RoutingType -ne "EX"){$mt+=$_.Address}} $er=@()<#Replace InternalDomain1.com, InternalDomain2.com, InternalDomain3.com with your internal domain name.#> $mt | %{if($_ -notmatch 'InternalDomain1.com|InternalDomain2.com|InternalDomain3.com'){ $eRecipients = $true $er +=$_ } } } "IPM.Appointment" { $Item.Load($AptPropSet) $MT = @() # Create a MAPITABLE to filter external Domains $eRecipients="" $result = "$($mailboxname)`t$($fpath)`t$($Item.Organizer.Name)`t$($Item.DateTimeSent)`t$($Item.Subject)`t$($Item.id.UniqueId)`t$($item.ItemClass)" Add-content -Value $result -Path $LogFile_All $item.RequiredAttendees | %{If($_.RoutingType -ne "EX"){$mt+=$_.Address }} $item.OptionalAttendees | %{If($_.RoutingType -ne "EX"){$mt+=$_.Address}} $er=@() <#Replace InternalDomain1.com, InternalDomain2.com, and InternalDomain3.com with your internal domain name.#> $mt | %{if($_ -notmatch 'InternalDomain1.com|InternalDomain2.com|InternalDomain3.com'){ $eRecipients = $true $er +=$_ } } } "IPM.Schedule.Meeting.Request" { $Item.Load($SchPropSet) $MT = @() # Create a MAPITABLE to filter external Domains $eRecipients="" $result = "$($mailboxname)`t$($fpath)`t$($Item.Organizer.Name)`t$($Item.DateTimeSent)`t$($Item.Subject)`t$($Item.id.UniqueId)`t$($item.ItemClass)" Add-content -Value $result -Path $LogFile_All $item.RequiredAttendees | %{If($_.RoutingType -ne "EX"){$mt+=$_.Address }} $item.OptionalAttendees | %{If($_.RoutingType -ne "EX"){$mt+=$_.Address}} $er=@()<#Replace InternalDomain1.com, InternalDomain2.com, InternalDomain3.com with your internal domain.#> $mt | %{if($_ -notmatch 'InternalDomain1.com|InternalDomain2.com|InternalDomain3.com'){ $eRecipients = $true $er +=$_ } } } Default {$eRecipients="";$result=""} } #END Switch If($eRecipients){ $er = $er -join ";" $result="$($result)`t$($er)" Add-content -Value $result -Path $LogFile_Filtr } } #End Foreach Items }while($fiItems.MoreAvailable -eq $true) } #End Foreach Folders $fvFolderView.Offset += $fiResult.Folders.Count }while($fiResult.MoreAvailable -eq $true) $StopWatch.Stop() write-host "Completed $($Mailboxname) in Seconds:" $StopWatch.Elapsed.TotalSeconds -ForegroundColor Green Write-Host "Total Items found:" $ic $StopWatch = $null
Método 3: Preventiva monitoramentoPara identificação de itens com destinatários internos e externos, crie uma regra de transporte que pode enviar cópias de itens para uma caixa de correio de auditoria.
Status
A Microsoft confirmou que isso é próprio do projeto.
Mais informações
Para obter mais informações sobre o e-Discovery no local, vá para o seguinte site da Microsoft:
Informações gerais sobre o e-Discovery no localPara obter mais informações sobre KQL, visite o seguinte site da Microsoft: