实验室 3 - 练习 5 - 使用电子数据展示进行恢复
在本练习中,假设你是 Contoso Ltd. 的合规性管理员 Joni Sherman。 你的组织位于德克萨斯州,并且想要实现保留策略以遵守当地法律。 Uniform Preservation of Private Business Records Act 规定,记录可以在三年后销毁而不会构成违法(特例除外),为了遵守该法律,组织制定了一个保留计划,打算将组织内的所有项都保留三年。
任务 1 - 创建电子数据展示事例
在本练习中,你将创建电子数据展示事例并开始搜索 Megan Bowen 发送的包含标记 8 项目相关信息的邮件。 法律部门要求提供此信息以进行合规性审查。
-
你仍然应该会使用 lon-cl1\admin 帐户登录到客户端 1 VM (LON-CL1),并且应该会以 Joni Sherman 的身份登录到 Microsoft 365。
-
在 Microsoft Edge 中,Microsoft Purview 门户选项卡应该仍处于打开状态。 如果是这样,请选择该选项卡并继续进行下一步。 如果已关闭,请在新标签页中导航到
https://compliance.microsoft.com
。 -
在门户的左侧导航窗格中,展开“电子数据展示”,然后选择“标准” 。
-
在“电子数据展示(标准版)”页面上,选择“+ 创建案件” 。
-
在“新建案例”页面上,在“名称”字段中键入“Mark 8 Project 案例”,并在“说明”中键入“本案例将用于评估 Megan Bowen 的关于 Mark 8 Project 的邮件。”,然后选择“保存” 。
-
回到“电子数据展示(标准)”页,选择“Mark 8 Project 案例”以打开案例 。
-
在“事例”视图中,选择“搜索”选项卡。
-
选择“+ 新建搜索”以开始新的搜索。
-
在“名称和说明”页面中,键入“Mark 8 Project”作为名称并选择“下一步”。
-
在“位置”页面上,将“Exchange 邮箱”设为“开启”,然后选择“选择用户、组或团队” 。
-
在“Exchange 邮箱”页上,搜索“Megan Bowen”并选择 Megan 的邮箱,然后选择“完成”。
-
在“位置”页面上,取消选中“为本地用户添加应用内容”复选框,然后选择“下一步” 。
-
在“定义搜索条件”页面的“关键字”区域中,键入“Mark 8”并选择“下一步” 。
-
在“查看并创建搜索”窗口中,选择“提交” 。
-
创建搜索后,选择“完成”。
你已经成功创建了电子数据展示案件,并搜索了 Megan Bowen 发送或接收的所有包含标记 8 项目相关信息的邮件。
任务 2 - 分配记录管理和电子数据展示管理员权限
在此任务中,你将准备把在任务 1 中发现的数据导出到 PST 文件中,以便将该文件提供给法律部门。 首先,需要将“记录管理”角色分配给合规性管理员, 否则,他们将无法导出搜索结果。
-
使用 lon-cl1\admin 帐户登录到客户端 1 VM (LON-CL1)。
-
在 Microsoft Edge 中,Microsoft Purview 门户选项卡应该仍处于打开状态。 在右上角选择 Joni Sherman 的个人资料图片,并选择“退出登录”。随后关闭浏览器 。
-
在 Microsoft Edge 中,导航到
https://compliance.microsoft.com
并以 MOD 管理员的身份 admin@WWLxZZZZZZ.onmicrosoft.com (其中 ZZZZZZ 是实验室托管提供程序提供的唯一租户 ID)登录到 Microsoft Purview 门户 。 管理员的密码应由实验室托管提供程序提供。 -
在左侧导航窗格中,展开“角色和范围”,然后选择“权限”。
-
在“权限”页上的“Microsoft Purview 解决方案”下选择“角色” 。
-
在“Microsoft Purview 解决方案的角色组”页上,选择“记录管理”角色 。
-
在“记录管理”浮出控件页中,选择“编辑”。
-
在“编辑角色组的成员”页上,选择“选择用户” 。
-
在“选择用户”浮出控件页上,搜索“Joni”,接着选中“Joni Sherman”左侧的复选框,然后选择“选择”按钮。
-
在“编辑角色组的成员”页上,选择“下一步” 。
-
在“查看角色组并完成”页上,选择“保存” 。
-
在“已成功更新角色组”页上,选择“完成” 。
-
回到“Microsoft Purview 解决方案的角色组”页,选择“电子数据展示管理员”角色 。
-
在“电子数据展示管理员”浮出控件页上,选择“编辑”。
-
在“管理电子数据展示管理员”页上,选择“选择用户”。
-
在“选择用户”浮出控件页上,搜索“Joni”,接着选中“Joni Sherman”左侧的复选框,然后选择“选择”按钮。
-
在“管理电子数据展示管理员”页上,选择“下一步”。
-
在“管理电子数据展示管理员”页上,选择“下一步”。
-
在“查看角色组并完成”页上,选择“保存” 。
-
在“已成功更新角色组”页上,选择“完成” 。
你已成功为合规性管理员授予了导出搜索结果和执行记录管理任务的权限。 可能需要长达 60 分钟的时间才能将权限应用到用户,但你可以继续执行下一个任务。
任务 3 - 从电子数据展示案件中导出数据
在此任务中,你将准备导出在任务 1 中发现的数据,以便可以将其提供给法律部门。 请记住,权限可能需要 60 分钟才会在租户中可用。
-
你仍然应该会使用 lon-cl1\admin 帐户登录到客户端 1 VM (LON-CL1)。
-
在 Microsoft Edge 中,Microsoft Purview 门户选项卡应该仍处于打开状态。 在右上角选择 MOD 管理员的个人资料图片,并选择“退出登录”。随后关闭浏览器 。
-
打开 Microsoft Edge,导航到
https://compliance.microsoft.com
并以 Joni Sherman 的身份 JoniS@WWLxZZZZZZ.onmicrosoft.com (其中 ZZZZZZ 是实验室托管提供程序提供的唯一租户 ID)登录到 Microsoft Purview 门户 。 Joni 的密码应由实验室托管提供程序提供。 -
在 Microsoft Purview 门户的左侧导航窗格中,展开“电子数据展示”,然后选择“标准” 。
-
在“电子数据展示(标准)”页上,选择“Mark 8 Project 案例”以打开案例 。
-
选择“搜索”选项卡,然后选择“标记 8 项目”搜索 。
[!TIP] 如果你的电子数据展示搜索没有数据,请考虑搜索参数。 Megan 的邮箱应该包含一些关于 Mark 8 项目的邮件。 如果没有,请考虑将搜索中的关键字更改为 Megan 邮箱中任何现有电子邮件中的任何术语。 例如,“planner”一词通常出现在 Megan 现有的几封电子邮件中。 搜索必须具有数据,以便导出具有任何进程。
-
在“标记 8 项目”对话框中,选择“操作”按钮下拉菜单,然后选择“导出结果” 。
-
在“导出结果”窗格的“输出选项”下,查看选项 。 单击“导出”按钮。
-
在“合规性”窗口弹出后,选择“确定” 。
-
从事例屏幕中选择“导出”选项卡。 选择刚刚创建的导出。
-
在导出窗格的“导出密钥”下,选择“复制到剪贴板”,然后选择“下载结果” 。
-
系统出现提示时,在浏览器中选择“打开”以安装电子数据展示导出工具,然后选择“安装”。
-
在出现的对话框中,粘贴之前复制到剪贴板的密钥。 选择一个合适的位置以下载文件。 选择“开始”。
你已成功导出发现的数据。
任务 4 - 对邮箱执行搜索和清除操作
调查显示用户收到一些钓鱼邮件,你的任务是删除环境中所有邮箱中的钓鱼邮件。
-
你仍然应该会使用 lon-cl1\admin 帐户登录到客户端 1 VM (LON-CL1),并且应该会以 Joni Sherman 的身份登录到 Microsoft 365。
-
在 Microsoft Edge 中,Microsoft Purview 门户选项卡应该仍处于打开状态。 如果是这样,请选择该选项卡并继续进行下一步。 如果已关闭,请在新标签页中导航到
https://compliance.microsoft.com
。 -
在 Purview 门户的左侧导航窗格中,选择“内容搜索”。
-
选择“+ 新建搜索”。
-
在“名称和说明”窗口中,键入“删除钓鱼邮件”作为“名称”并选择“下一步” 。
-
在“位置”部分中,选择“Exchange 邮箱”,然后选择“下一步” 。
-
在“定义搜索条件”页面的“关键字”字段中,键入“From:phishingmail@outlook.com AND subject:"Password changed"”并选择“下一步” 。
-
在“查看并创建搜索”窗口中,选择“提交” 。 然后选择“完成”。
-
创建搜索后,需要使用“安全性和符合性 PowerShell”来开始清除。 在开始菜单中,选择以管理员身份运行 Windows PowerShell。
-
在 PowerShell 窗口中,使用以下 cmdlet,然后以 MOD 管理员身份登录 :
Connect-IPPSSession
-
在“PowerShell”窗口中,使用以下命令:
New-ComplianceSearchAction -SearchName "Phishing mail removal" -Purge -PurgeType HardDelete
-
在 PowerShell 中,键入表示“是”的 Y 并按 Enter 键以确认操作 。
你已经成功创建了新的内容搜索来查找特定电子邮件,然后使用清除操作从用户的邮箱中删除了钓鱼邮件。 只能以“组织管理”角色的成员身份运行清除操作,而“合规性管理员”不属于该角色。