如何使用 eDiscovery 导出 Office 365 PST

每家需要遵守合规标准的公司，尤其是涉及有效的法律法规的公司，在员工离职后都会询问如何存档邮箱。在本教程中，您将学习如何在Office 365中使用eDiscovery导出PST文件。

准备好了吗？让我们开始吧！

先决条件

本教程包括实际演示。要跟上步骤，请确保您已准备就绪以下内容：

• Microsoft Outlook（Office 365版）
• 已分配Office 365全局管理员角色
• A supported web browser, such as Microsoft Edge, Firefox, Safari, and Google Chrome.
• Exchange Online PowerShell V2 模块连接到Office 365 安全与合规中心
• 您必须是组织管理角色组的成员或被赋予角色管理角色。

通过 Office 365 授予 eDiscovery 管理员角色

要通过 Office 365 的 eDiscovery 功能导出邮箱，必须首先将适当的 Office 365 权限分配给执行导出的用户。有两种授予权限的方式。您可以通过 Office 365 安全与合规中心和 PowerShell 授予权限。但让我们首先专注于使用 Office 365 安全与合规中心授予权限。

1. 打开您喜爱的网络浏览器，并登录到Office 365。

2. 在应用程序区域中导航，然后单击管理。

3. 在左侧面板的 管理中心 部分点击 安全。页面将会重定向到 Office 365 安全与合规中心。

4. 在左侧面板点击 权限 菜单，查看所有现有角色的列表。

5. 接下来，在列表中检查 电子发现管理员 角色以编辑电子发现管理员角色。电子发现管理员角色允许您向用户添加案例管理权限，例如导出邮箱。

6. 在 电子发现管理员 选项卡中，向下滚动直到到达 电子发现管理员 部分。现在点击 编辑 打开分配给此角色的现有用户列表。

7. 点击 选择电子发现管理员 以添加新弹出的选项卡中的用户。

8. 接下来，选择 添加 浏览要分配给电子发现管理员角色的用户。

9. 选中您想要授予电子发现管理员权限的每个用户，然后点击 添加。如下所示，可以进行多次选择。

10. 现在，点击 完成 完成用户分配并关闭最后打开的选项卡。

11. 点击 保存 立即应用设置。

12. 最后，点击 关闭 完成权限分配。

通过 PowerShell 授予电子发现管理员角色

或者，可以通过 PowerShell 更快地分配所需权限，而无需点击 Office 365 的各个菜单。

1. 以管理员身份打开您的 PowerShell，然后运行以下命令连接到 Office 365 安全与合规中心。

Connect-IPPSSession

2. 接下来，在 Microsoft 认证窗口中使用您的 Office 365 凭据登录，如下所示。

如果您使用 多重身份验证 (MFA)，您还必须通过手机验证身份或通过短信接收登录代码中的任意两个安全步骤。

3. 运行下面的命令列出已具备执行邮箱导出所需权限的用户。

Get-eDiscoveryCaseAdmin

如下所示，命令返回已有一个用户具有正确的权限。

4. 现在运行下面的 Add-eDiscoveryCaseAdmin 命令，将 eDiscovery 管理员权限分配给所需用户。用所需用户的 用户主体名称 (UPN) 替换 <xyz>@contoso.com。通常，UPN 与用户的邮件地址或 Office 365 的登录名匹配。

Add-eDiscoveryCaseAdmin -User <xyz>@contoso.com

5. 最后，运行下面的命令正确注销 Office 365 安全与合规中心。

Disconnect-ExchangeOnline

创建 eDiscovery 导出案例

在这一步，您已经学会了如何授予进行邮箱导出所需的权限。现在让我们转向具体的导出过程。在导出包含用户所有电子邮件对象的邮箱之前，您必须提前创建一个电子发现案例。

1. 导航到电子发现部分（1）在Office 365安全与合规中心中选择电子发现子项目（2）。单击创建案例（3）以创建一个案例的选项。

2. 在新案例选项卡中，在案例名称下输入适当的名称。在此示例中，将案例命名为命名的邮箱导出，如下所示。现在单击保存以保存案例。页面会自动重定向到案例概述页面，在那里您将找到新创建的案例。

3. 接下来，单击新创建的电子发现导出案例（邮箱导出）前面的打开以打开它并设置其属性。

4. 单击新搜索以打开一个新标签页来定义新创建案例的条件。

5. 在位置下选择具体位置选项，然后单击修改。将打开一个新标签页，在那里您将选择一个可用的位置。

在这里，微软指的是基于服务的分类。由于这个原因，假设这些是本地站点是不正确的。

6. 在修改位置选项卡中，点击交换电子邮件，然后点击选择用户、组或团队，以查看当前已分配用户的列表。

7. 现在点击选择用户、组或团队进行填写。

8. 在搜索框中搜索用户以添加到交换电子邮件组。找到用户后，在列表中用户姓名旁边的复选框中打勾，然后点击选择。

9. 一旦看到下面显示的成功消息，请点击完成以完成选择。

10. 最后，点击页面左下角的保存以最终确定位置分配。然后您将返回初始的电子数据发现搜索条件表单。

定义关键字的搜索条件

当搜索整个邮箱内容时，通常使用未定义的关键字条件来捕获邮箱中的所有内容（类似于通配符搜索）。

相关：如何在Office 365中找到并删除所有邮箱中的电子邮件

您已经先前使用位置属性定义了一些步骤。现在让我们为电子数据发现导出案例设置关键字的搜索条件，以查找一些项目。

1. 在条件设置菜单中，点击添加条件，并从下拉菜单中选择关键词。

2. 将关键词字段留空。这样就足够确保在搜索邮箱时包括所有对象。

由于在导出PST文件时应包括所有电子邮件对象（例如邮件、任务、约会…），必须创建一个无需指定关键词的关键词过滤条件（类似通配符搜索）。

3. 点击保存并运行以继续并在定义的条件下启动搜索。页面将重定向到创建的案例的eDiscovery概览表单。

4. 现在点击查看结果以查看搜索进度的状态，如下所示。所有邮件对象将被收集并准备好导出。

一旦状态更改为搜索完成，您可以在下一部分导出结果。

导出并下载PST文件中的搜索结果

既然eDiscovery搜索结果已完成，现在是导出结果的时候。eDiscovery允许您导出邮箱，而无需建立混合式交换环境。

1. 要导出搜索结果，请选择下方显示的导出结果。打开一个表单，您必须定义导出条件以创建一个导出任务。

当您导出搜索结果时，邮箱项目将以PST文件或单独的消息下载。

2. 接下来，选择单选按钮包括具有无法识别的格式、加密或由于其他原因未索引的所有项目和每个邮箱一个PST文件。通过选择这些选项，您可以将所有对象都可用于单个PST文件。现在点击左下角的导出按钮注册此导出任务。

3. 点击导出选项卡，查看所有已放置的导出订单，并点击新创建的导出订单。作业的名称由搜索名称和短语_导出组成，如下所示。

4. 在状态区域，点击刷新按钮检索当前导出状态。一旦所有数据和信息准备就绪，点击页面顶部的下载结果开始下载。

注意导出密钥，或通过点击复制到剪贴板保存在剪贴板中，因为您稍后会需要它。

请注意，如果您在基于Chromium的浏览器中启动下载过程，将会收到下面显示的错误消息。为避免错误，请切换到Internet Explorer浏览器。

5. 现在输入您先前记录的导出密钥。指定下载路径和文件名，然后单击 开始 以开始下载 PST 文件。

6. 单击 关闭 以完成下载过程。

7. 最后，在 Outlook 中打开 PST 文件，检查导出是否成功。

一旦您打开文件，您的 文件夹窗格 可能看起来像下面的图片。

结论

现在您应该知道如何使用 eDiscovery 导出 Office 365 PST。使用 Office 365 和 PowerShell，您应该知道如何基于各种条件导出 PST。即使这种导出方式无法完全自动化（Microsoft 仍然缺少完整的 PowerShell 实现），这仍然是一个很好的备用解决方案，用于存档邮箱。

有了这个新学到的知识，为什么不为公司托管在 Office 365 中的整个电子邮件基础架构中的单个邮箱或特定邮件创建搜索查询呢？