通常，如訴訟一類的事情會在一個突然的時候發生。因此，企業為了使自身在訴訟中獲得更多有利證據，應該事先對各種商務/事務做訴訟可能性評估，並針對評估結果做出提前保留證據的方案。對於以電子方式存儲的信息（ESI）來講，由於其包含電子郵件等內容，可能在證據保留方案中涉及的內容很廣。比如：需要保留與特定郵件主題相關的所有電子郵件，或者是與特定個人相關的所有電子郵件等。

上述保留要求，如果只是存在於制度，那麽可能存在用戶有意或無意刪除電子郵件。而為了防止郵件被自動刪除，而停用自動刪除機制，從而導致用戶郵箱存在大量可能不需要的郵件，致使工作效率下降，並且也不能徹底杜絕用戶手動刪除。

基於上述，Exchange Online提供了相關郵件的保留機制來實現對企業利益的保護。

一、就地保留和訴訟保留

所謂就地保留在Exchange Online中就是允許針對內容和時間進行篩選需要保留的郵件。比如，可以通過關鍵字、發件人/收件人、開始/結束日期等查詢指定要保留的項目，也可以指定要置於保留狀態的郵件類型。此外，就地保留還能設置需要保留多長時間等。

需要註意的是，微軟在逐步放棄就地保留的概念，取而代之的是在Office 365安全與合規中心使用“電子數據展示服務”或“保留策略”。但是在世紀互聯版的Office 365中目前依然是使用在Exchange Online的“就地電子數據展示和保留”來實現的。

1、就地保留的可選方案。

可以選擇如下三種方案來規劃企業的就地保留：

A、無限期保留：無限期保留方案類似於訴訟保留。

B、基於查詢的保留：如果企業需要根據特定的查詢參數保留項目，則可以使用基於查詢的就地保留。創建基於查詢的就地保留之後，會保留與查詢參數匹配的所有現有郵箱項目和將來項目，即以後日期接收的郵件。需要註意，通常由於無法索引附件，標記為不可搜索的項目也會被保留，因為無法確定其是否與查詢參數相匹配。

C、基於時間的保留：就地保留和訴訟保留都允許指定保留項目的持續時間。持續時間從接收或創建郵箱項目的日期計算得到。

可以將同一用戶郵箱放置在多個就地保留中，即可能多個就地保留的規則都能篩選到同一用戶郵箱內容，因此該用戶郵箱將同時遵從所有就地保留的規則要求，因為Exchange Online會對這些規則進行OR合並搜索。如果作用到某個郵箱的關鍵字達到500個，則郵箱中的所有內容將會被全部進行保留，而不會再去評估是否符合篩選條件，直到作用到該郵箱的關鍵字低於500個，才再按照篩選結果進行保留。

2、訴訟保留

訴訟保留實際在就地保留之前就被微軟提出了，具體體現在Exchange 2010中，在後續的Exchange各版本中依然可用。

訴訟保留的實質是將郵箱的LitigationHoldEnabled屬性設置為啟用，從而達到將整個郵箱內容進行保留的要求。訴訟保留不能選擇保留內容，只允許將所有項目都至於保留狀態。但是可以指定項目的保留期限，該期限是從項目被接收或被創建開始計算的。如果沒有設置期限，則為無限期保留，直到訴訟保留設置在該郵箱上取消為止。

同時將郵箱置於一個或多個就地保留和無限期訴訟保留中時，將無限期保留所有項目。如果刪除訴訟保留而用戶郵箱仍置於一個或多個就地保留中，則將匹配就地保留條件的項目在保留設置中保留指定的時間段。

二、創建就地保留

通過Exchange管理中心和PowerShell均可創建就地保留。

1、使用EAC創建就地保留

導航到“合規性管理”，在“就地電子數據展示和保留”窗口中點擊新建按鈕“+”。

為該就地保留定義一個名稱，如果有必要可以加上描述說明，點擊“下一步”。

選擇搜索郵箱的範圍，以便確定需要將什麽位置的內容置於保留狀態。可以看出不僅可以是郵箱內容可以進行保留，公用文件夾內容也同樣可以進行保留。

A、搜索所有郵箱：由於就地保留是針對特定郵箱的，因此必須進行郵箱的選擇，而不是搜索所有郵箱，該選項主要用作就地電子數據展示。因此，在創建就地保留時，不能選擇該選項；

B、不搜索任何郵箱：如果不搜索任何郵箱，基於郵箱的就地保留就不從談起。該選擇主要用作為公用文件夾創建就地保留，即如果為公用文件夾創建就地保留就必須選擇該選項；

C、指定要搜索的郵箱：該選項提供基於用戶郵箱或組（含通訊組和Office 365組）內用戶郵箱的就地保留搜索功能，因此基於郵箱內容的就地保留必須選擇該選項。

D、搜索所有公用文件夾：該復選框能夠將Exchange Online組織內的所有公共文件夾置於就地保留狀態。但是需要註意，該復選框是和“不搜索任何郵箱”選項配合使用的，即如果要啟用該復選框，則必須是選擇“不搜索任何郵箱”選項的情況下才被允許，否則會出現錯誤。

此處為了創建基於郵箱的就地保留，選擇“指定要搜索的郵箱”。並點擊添加按鈕“+”。

在選擇收件人列表中，選擇“商務部”組作為搜索對象，進行“添加”，點擊“確定”，完成選擇操作。

返回上一頁面，在列表中顯示已選擇的搜索郵箱或組，點擊“下一步”。

在搜索查詢中，默認會被選擇“包括所有內容”，並且不能改選。因為，只有具有“發現管理”角色組的權限才能進行相應的修改，以便使用基於條件的篩選。

需要註意，在Office 365中，即使使用最初默認的完全管理員賬戶，針對Exchange Online的操作也是受限的。但是Office 365分配給訂閱者的完全管理員可以通過Exchange管理中心的“權限”設置頁，授予相應用戶不同Exchange Online角色的權限。若需獲取Exchange Online的最高管理權限，Office 365的完全管理員只需為自己授予Exchange Online的“Organization Management”權限即可。

直接點擊“下一步”。

如果需要啟用就地保留，則需要勾選“將與所選源中的搜索查詢匹配的內容置於保留狀態”，並且按需指定保留期限。按照不同的就地保留方案，可以選擇“無限期保留”或“指定自接收日期起保留郵件的天數”，如保留10年，點擊“完成”，完成創建操作。

返回“就地電子數據展示和保留”後，可以看見列表中已經存在新建的就地保留，且保留狀態為“是”。

2、使用PowerShell創建就地保留。

在PowerShell中，可以通過New-MailboxSearch命令，創建就地保留，並且可以通過Get-MailboxSearch命令查看已有的就地保留。

Get-MailboxSearch

New-MailboxSearch "銷售部相關郵箱"-SourceMailboxes "[email protected]" -InPlaceHoldEnabled $true

三、修改和刪除就地保留

同樣可以通過EAC或PowerShell對就地保留進行修改和刪除操作。

1、使用EAC修改和刪除就地保留

在“就地電子數據展示和保留”中，選擇需要修改的就地保留，點擊筆形編輯按鈕。

可以修改就地保留的名稱和描述。

重新指定搜索來源，如添加或減少所需要搜索的郵箱。

如果權限允許，可以修改篩選條件，以便獲得不同的郵箱內容。

此外，還可以調整保留期限，以及是否啟用就地保留等設置。

最為關鍵的是，如果需要刪除一個就地保留，必須先修改此就地保留，去掉“將與所選源中的搜索查詢匹配的內容置於保留狀態”前的對勾，即禁用就地保留，然後才能刪除此就地保留，否則將會被拒絕刪除。

最後點擊“保存”按鈕，完成就地保留的修改。

若需要刪除一個就地保留，則必須保證其“保留狀態”為“否”。然後選擇該就地保留，點擊“垃圾桶”刪除按鈕。

在警告對話框中點擊“是”，完成刪除操作。

2、使用PowerShell修改和刪除就地保留

可以通過Set-MailboxSearch修改就地保留，並通過Remove-MailboxSearch刪除現有就地保留。依然的，在刪除前，需要使用Set-MailboxSearch將其就地保留禁用。

Set-MailboxSearch "銷售部相關郵箱" -InPlaceHoldEnabled $false

Remove-MailboxSearch "銷售部相關郵箱"

最後通過Get-MailboxSearch驗證刪除操作是否成功。

易寶典文章——玩轉O365中的EXO服務 之三十四 實現就地保留