In-Place Hold vs Litigation Hold

Content difficulty —Technical

*** In-Place hold ในตอนนี้จะไม่สามารถสร้างใหม่ได้ถ้าไม่ได้ทำ Hybrid Deployment กับ Exchange Server ซึ่ง ทาง Office 365 จะให้เราไปใช ้Retention policies และ eDiscovery case ใน Security & Compliance Center แทน สำหรับที่สร้างมาแล้ว ยังสามารถกลับไป edit rule อันเก่าได้ ส่วน Litigation Hold ยังสร้างได้เหมือนเดิม

การทำงานในบริษัทนั้นมีปัญหายิบย่อยมากมาย ซึ่งหนึ่งในนั้นก็อาจจะเป็นปัญหา หรือ สถานการณ์ที่เกิดจากคนข้างในองค์กรซะเอง ซึ่ง activity ที่เป็นปัญหาหรือ เป็นตัวกลางในการตรวจสอบ Audit ที่เป็นประเด็นหลัง ก็มาจาก Email activity ซึ่งถ้ามีการลบ หรือทำให้สูญหาย ก็ยากหรือสายไปที่จะเกินแก้

Legal hold เป็นเทคนิคการที่จะกักเก็บรักษา Electronic Stored Information (ESI) คือ email message ต่างๆไม่ให้ user ไป delete เพื่อที่ทาง องค์กร จะสามารถ เรียกมาใช้ได้กรณีที่มี issue เรื่องของ กฏหมายต่างๆ ไว้เป็นหลักฐานตรวจสอบ หรือแม้แต่การ backup ให้ user เอง การป้องกันคือ เราจะสามารถเก็บกู้มันจากการ Purge delete message ได้

สำหรับการ Delete/Purge delete message หรือ life cycle ของ message และ ถัง Deleted Items ของ Inbox ว่า step การกู้มีกี่ชั้น สามารถดูได้ใน link นี้

ซึ่ง Legal Hold มีมาตั้งแต่ใน Exchange Server แล้ว พอมาใน Office 365 ก็มีการนำมาใช้อีกอย่างต่อเนื่อง

Legal Hold มี 2 เทคนิดคือ Litigation Hold และ In-Place Hold ซึ่งใน Office 365 เราสามารถ enable ได้ ซึ่งปัจจุบัน O365 Admin จากที่จัดการใน Exchange Admin Center ได้ย้ายไปทำใน Portal ของ Security & Compliance ซึ่งทั้ง 2 features นี้ ตัว user mailbox ต้องเป็น plan ของ

• Office 365 Enterprise E3/E5
• Office 365 Education A1-A5
• Microsoft 365 Enterprise E3/E5
• Microsoft 365 Business
• Exchange Online P2
• Exchange Online P1 + Exchange Online Archiving add-on

Litigation Hold เป็นการกักเก็บรักษา ทั้ง Inbox ทุก Item ของ mail user คนนั้นๆ ซึ่ง Admin ต้องไป enable ก่อน (เป็นการ enable กับ mailbox ที่ admin เคยสร้าง) ซึ่งหมายความว่า ทุกครั้งที่เรา create Office 365 user ใหม่ mail box ที่เกิดมาใหม่ ระบบจะไม่ได้ enable ตัว Litigation Hold มาให้ จากนั้นเราจะตั้งค่าได้ว่าให้ hold เก็บไว้ กี่วัน กี่ปี หรือ ไปเรื่อยๆไม่มีกำหนด (Indefinite)

จุดสำคัญ คือ อายุของ Litigation Hold จะตาม อายุของ message ที่เกิดขึ้นจริง ไม่ใช่ เริ่มอายุ นับวันตั้งแต่เรา enable Litigation Hold ให้กับ mailbox คนนั้นๆ เช่น ถ้า set การ hold ไว้ 5 ปี ณ วันนี้ วันพรุ่งนี้ message ที่อายุครบ 5 ปี จะหลุดทันที

Admin ที่จะทำ Litigation Hold สามารถ ไป enable ที่ใน Exchange Admin Center ในแต่ละ mailbox ของ user ได้ (รอ 60 นาทีหลัง Enable) ซึ่ง จะ hold ในส่วนของ Deleted items หรือ version เมลก่อนมีการ modified ทั้ง mailbox หลักและ Archive

Enable ตัว Litigation Hold ใน mailbox property ของ user นั้นๆ

ใส่จำนวนวัน หรือเว้นไว้เป็น Indefinitely, ใส่ Description และ URL link ไปเว็บ เพื่อทำการอธิบายให้ User

สามารถใช้ PowerShell ทำ Litigation Hold กับ mailbox ทุกคนได้

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq “UserMailbox”} | Set-Mailbox -LitigationHoldEnabled $true -LitigationHoldDuration 365

โดย LitigationHoldDuration ตามด้วยจำนวนวันการ hold หรือ ใช้ Unlimited ถ้าจะ Hold แบบไม่มีกำหนดวันสิ้นสุด (Indefinitely)

$True คือการ Enable และใส่ $False เพิ่อปิด feature นี้

In-Place Hold เป็นการกักเก็บรักษา Item เฉพาะที่ Admin ทำการ Set criteria แล้ว ตกลงว่า result พวกนี้จะถูก hold ไว้ ต่างจาก Litigation ที่จะทำทั้ง mailbox ความที่มัน based จากการ Query Search จึงสามารถ ใช้ได้กับ message item ปัจจุบัน หรือ อนาคต ไม่ต้องตามนับอายุแบบ Litigation Hold และ มันยังสามารถ search ตาม keyword ของ mail, วันที่ หรือ parameter อื่นๆ และ search เป็น user หรือ Group ได้ ซึ่งเหมาะกับสถานการณ์ตรวจสอบการทุจริต ซึ่งสามารถระบุว่า hold ไว้กี่วัน หรือ ไม่มีกำหนดได้เช่นกัน (Indefinite) ส่วนการ Search หาจะใช้สิ่งที่เรียกว่า In-place eDiscovery

*** ซึ่งในตอนนี้ อาจกล่าวสรุปได้ว่า Litigation Hold จะมีผล ทั้ง mailbox แต่ In-Place Hold จะมีผลแค่บาง part ของ mailbox ของคนๆนั้น หรือ กลุ่มคนนั้นๆ แล้วแต่การ set criteria ในการ search

การทำ In-place hold สามารถทำได้ใน Exchange Admin Center, ผ่าน
Security & Compliance Center (https://protection.office.com) หรือผ่าน PowerShell เริ่มจากการ create ตัว eDiscovery case และ search & hold ซึ่ง User ที่สามารถทำได้ต้องเป็น member อยู่ใน Discovery Management role group

Ex PowerShell ทำการ hold mailbox ของ “joe” ตั้งชื่อว่า “Hold-CaseId102”

New-MailboxSearch “Hold-CaseId012”-SourceMailboxes “joe@contoso.com” -InPlaceHoldEnabled $true

เพิ่ม -ItemHoldPeriod เพื่อใส่จำนวนวันการ hold

Ex การปิด และ remove
Set-MailboxSearch “Hold-CaseId012” -InPlaceHoldEnabled $false Remove-MailboxSearch “Hold-CaseId012”

การ Search ตั้งแต่หาว่าจะ Search ในส่วนของ Mailbox/Public Folder ใคร, วันไหนถึงวันไหน, mail subject หรือ keyword อะไร, เป็นประเภท email, documents, task หรือ meetings หรือหาโดยดูจาก From, To, CC หรือ Bcc และสุดท้าย จะ hold ไว้นานเท่าไหร่ (การ hold มีผลถึง Archive ด้วย) เมื่อผลออกมาแล้ว สามารถ export เป็น .pst หรือ copy ไปใว้ใน mailbox ของ user ได้

ในส่วนการทำบน Security & Compliance Center จะรวมในส่วนของ SharePoint Online/OneDrive for Business content ด้วยเลย ซึ่ง user ในนี้ควรจะอยู่ใน role group ที่ชื่อ eDiscovery Manager ซึ่ง Roadmap ในอนาคต ระบบทั้งหมดจะย้ายมาทำในนี้ซะมากกว่าบน Exchange Admin Center นอกจากนี้ยังมี feature ของ Advance eDiscovery ที่ถ้ามีโอกาสก็จะกล่าวในตอนต่อไป

ไม่ว่าจะทำบนไหนควรเป็น member ใน Role group ที่ถูกต้อง

ทำ eDiscovery Search บน Exchange Admin Center ทำการ Search มากกว่า 1 user mailbox หรือ เป็น Group

ตาม Criteria ที่เราต้องการ

หลังจาก Search และ Hold เสร็จ ก็สามารถ copy ไป inbox ของ eDiscovery Search mailbox ได้ หรือ export เป็น .pst

แบบใหม่ คือการทำ eDiscovery ผ่าน Security & Compliance Center คือ ทำใน tab ของ Holds ก่อน และ search จาก Location on hold

มีการ export เป็น .pst หรือ report และ ปรับ option ได้มากว่า บน Exchange Admin Center