Message Life cycle ใน Office 365
Content difficulty — Technical
องค์กรทุกวันนี้ มีการจัดการเอกสารหลากหลาย ซึ่งมีทั้งที่จำเป็นต้องนำไปทำลาย และ บางอันต้องเก็บไว้ในแง่กฏหมาย ซึ่งก็จะมีพื้นที่หรือห้องทำการ Store เอกสารต่างๆที่จำต้องเก็บไว้ บางองค์กรก็ต้องจ้างบริษัทนอกที่มาดูเเลเรื่องการจัดการเอกสารโดยเฉพาะ ทุกวันนี้ แนวโน้มการทำ paperless ทำให้การเก็บในรูปแบบของ ดิจิทัล มากขึ้น และ รวมไปถึงในรูปแบบการสนนทนาอีเมล ระหว่างบริษัท ลูกค้า หรือ partner ต่างๆด้วย ซึ่งบางที user ก็มีการเผลอลบ โดยไม่ตั้งใจ จำต้องเป็นหน้าที่ของฝ่ายไอที ที่จะเข้ามาในเรื่องการ Backup และ กู้ข้อมูลอยู่เป็นประจำ
เรื่องของ message item อย่าง Outlook (Exchange Online) เป็นสิ่งที่ สามารถ กู้กลับมาที่ Inbox ได้แม้ จะอยู่ใน Deleted Items (บางทีจะขอเรียกว่า Recycle Bin) แต่ถ้า empty Recycle Bin แล้วจะกู้กลับมาได้อย่างไร? วันนี้เราจะมาทำความรู้จักระบบทั้งหมดในเรื่องของการ delete เมลว่ามีกี่ชั้น และจะกู้ หรือ รักษาได้อย่างไรบ้าง?
ในส่วนนี้จะยกตัวอย่างแค่ใน Mailbox หลัก ซึ่ง องค์กรที่ enable ตัว Archive mailbox นั้น lifecycle จะมีโครสร้างและ concept นี้ของตัวมันเองเหมือนกัน
นอกจากนี้ ยังมี 3rd party มากมายที่สามารถเอา solution มาเพื่อใช้ร่วมกับ O365 ในการกู้ อีเมล หรือ Backup พวก O365 content ต่างๆ เช่น Veeam, SkyKick หรือ CodeTwo เพื่อจะมีอีกช่องทางนึงในการเก็บรักษาอีเมล content หรือ แม้กระทั้ง การทำ Legal Hold (ตอนที่ผ่านมา) หรือการทำ Journaling ใน O365 เอง
หลังจาก ที่เรา delete item จาก Inbox หรือ folder ที่ทำการ แยก rule ไว้ message จะเข้ามาสู่ Deleted Items ซึ่ง อันนีั user เห็นชัดๆและ restore มาได้อยู่แล้ว
จาก Deleted Item ถ้าโดน delete อีกที item จะเข้าไปอยู่ใน folder ใหญ่เรียกว่า Recoverable Items ซึ่งคือชั้นแรก ชื่อ Deletions (หรือเรียกว่า 1st stage Recycle bin) ซึ่งมาถึงถังนี่ได้หลายวิธี (ทั้งหมดเรียกว่าการ Soft Delete) ไม่ว่าจะโดย
- Empty bin (คลิกขวา delete all ตรง Deleted Item)
- Delete item ในถัง Deleted Item
- กด Shift + delete บน item จาก Inbox
- Auto delete จาก Retention policy ที่เป็น Allow recovery
Retention Policy คือ กฏการจัดการ item ที่อาจจะเก่าเกินระยะเวลากำหนด ซึ่งสามารถตั้งว่าให้ ย้ายไป archive mailbox, delete แต่ allow recovery หรือ delete permanent ไปเลย
ตัว Policy มีทั้งส่วนที่เป็น user ตั้งเอง และส่วนที่ Admin Office 365 ตั้งให้ (คลิกขวาที่ mail item แล้วดูที่ Assign Policy) การ Set up จะกล่าวถึงในตอนหน้าๆ
ถัง Deletions นี้ user ก็ยังสามารถเข้าไปดู Recover Deleted Item ในถังนี้ เพื่อ restore กู้คืนได้ทั้งจาก Outlook client หรือ web เพียงคลิกขวาที่ Deleted Item
ซึ่ง Item ในถังนี้จะมีอายุ ใน Exchange Online จะ default อยู่ที่ ประมาณ 14 วัน แต่ admin สามารถ set ได้ถึง 30 วัน (Exchange Server จะได้นานกว่านั้น) พอครบจะเข้าไปถังต่อไป
ถังต่อมาคือ Purge (2nd stage recycle bin) มาจาก
- Item ที่ Retention policy แล้วสั่ง delete permanent
- อยู่เกิน 14 วัน จากตอน 1st stage
- User เข้าไป delete เองใน Recover Deleted Items (Purges delete)
ก็มาสู่ถัง 3 ชื่อ Purge มาถึงจุดนี้ User จะไม่สามารถกู้ได้อีกแล้ว และอาจจะนึกว่าหายไปหมดแล้ว เพราะตั้งแต่ส่วนนี้ลงมาจะซ่อนไว้ User ไม่สามารถเห็นได้ แต่จริงๆแล้ว Item ยังอยู่
จะมี engine ของ Managed Folder Assistant (MFA) จัดการ เก็บไว้ให้ก็ตาม Policy ของ MFA จุดนี้เป็นจุดที่ Admin ของ O365 สามารถ search หาและกู้มาได้
MFA ก็จะ check ในส่วนของ Hold Policy ถ้า Admin มีการ Set ตัว Litigation Hold ไว้ MFA ก็จะไม่ลบ Item นั้นจนกว่าจบครบกำหนด ครบ Policy เมื่อไหร่ MFA มา check ก็แล้วจะทำการ Delete ไปตลอดกาล แต่ถ้า set ไว้เป็น Indefinite ก็ไม่มีการลบเลย
ถ้า MFA มา run check แล้วเจอ Hold Policy ประเภท In-Place Hold ก็จะดูว่า Item นี้ ตรง ข่ายของเนื้อหาที่ทำการ In-Place โดยที่ Admin ตั้งไว้หรือไม่ และ hold ไว้นานเท่าไหร่ ถ้าตรงจะเก็บไปไว้ ถัง พิเศษ ที่เรียกว่า DiscoveryHold ซึ่งรอวันที่หมด policy และ MFA มา check อีกทีก็จะ Delete ไปตลอดกาล
Litigation Hold จะไม่เกี่ยวว่าเป็น Item ไหน ส่วน In-Place hold จะตามที่ Admin ตั้ง criteria ไว้ สำหรับ Litigation Hold และ In-Place Hold ดูความต่างได้ตรง link นี้
สำหรับถังอื่นๆที่ ภายใต้ Recoverable Items ที่ user มองไม่เห็น แต่อาจไม่ค่อยได้เกี่ยวข้องกับเนื้อหาเท่าไหร่ จะมี
- Versions (เก็บ copy ของ Retention Policy, In-Place และ Litigation)
- Audits (สำหรับเก็บเรื่องของ Audit log ถ้า Admin set ไว้)
- Calendar Logging (เก็บการเปลี่ยนแปลง calendar ที่เกิดใน mailbox นั้นๆ)
นอกจากนี้ยังมีกรณีของ Single Item Recovery เป็น feature ที่ สามารถ turn on ได้ โดยใช้ PowerShell command ซึ่งจะใช้ในกรณี user delete ลง Recoverable Items (1st stage) แต่ทำการ purge delete เลยในวันเดียวกันโดยไม่รอให้ครบ 14 วัน ถ้าไม่มี การทำ Hold ไว้ก็จะทำให้ MFA มาเช็คแล้ว auto ลบไปเลยตลอดกาล
Single Item Recovery จะช่วยรอให้มันครบกำหนดก่อน 14 วันก่อนให้ MFA จัดการ ซึ่งซื้อเวลาให้ Admin ยังคงสามารถ Restore ได้ระหว่างนั้น
Ex Single Item Recovery (default 14 วัน) โดย set เป็น true ของ “Pilar Pinilla” สามารถใส่เป็น 30 วันได้ โดยใช้ PowerShell ไป connect ที่ Exchange Online แล้วพิมพ์คำสั่งข้างล่าง
Set-Mailbox -Identity “Pilar Pinilla” -SingleItemRecoveryEnabled $true -RetainDeletedItemsFor 30
(ชื่อในตัวอย่างคือ Display name แต่สามารถใส่เป็น email address แทนได้)
ถ้า Enable ทั้งองค์กร 30 วัน
Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq ‘UserMailbox’)} | Set-Mailbox -SingleItemRecoveryEnabled $true -RetainDeletedItemsFor 30
อีกกรณีซึ่งมีการทำเทคนิค Retention Hold กับที่ระบบทำให้ Retention Policy ไม่สามารถ Delete เองให้ได้ แต่ User สามารถเข้าไป Delete เองได้แล้วเข้าสู่การ เช็คของ MFA
ในส่วนของ Retention Hold จะทำผ่าน PowerShell Command เช่น การตั้งค่า Retention Hold สำหรับ Mailbox ของ “่John Lin”
Set-Mailbox “John Lin” -RetentionHoldEnabled $true
สุดท้าย admin สามารถใช้ PowerShell Command เพื่อดูขนาด folder ของ Recoverable Items ทั้งหมดของ User คนนั้นๆ
เช่นดูของ “่Renee Lo”
Get-MailboxFolderStatistics “Renee Lo” -FolderScope RecoverableItems | ft Name, FolderPath, FolderSize, FolderType
