Exchange Compliance FeaturesExchange Compliance Features
Referenz für Holds, Retention, Journaling, Message Encryption, IRM, Auditing und Data Governance in Exchange Online.Reference for holds, retention, journaling, message encryption, IRM, auditing, and data governance in Exchange Online.
Funktionen wie Hold, Journaling, Retention und Encryption müssen mit Datenschutz, Legal, Security und Service Desk abgestimmt werden. Technische Aktivierung ohne Governance führt fast immer zu Folgeaufwand.Capabilities such as hold, journaling, retention, and encryption must be aligned with privacy, legal, security, and the service desk. Technical activation without governance almost always creates follow-up work.
Litigation Hold bewahrt gelöschte und geänderte Inhalte in Recoverable Items auf und verhindert die endgültige Entfernung betroffener Daten.Litigation Hold preserves deleted and modified content in Recoverable Items and prevents permanent removal of affected data.
Klassische In-Place Holds wurden funktional von Purview eDiscovery Holds abgelöst, insbesondere wenn query-basierte Aufbewahrung nötig ist.Classic In-Place Holds have functionally been replaced by Purview eDiscovery holds, especially when query-based preservation is required.
Exchange MRM verwendet Retention Tags und Policies, um Elemente nach Alter zu archivieren oder zu löschen.Exchange MRM uses retention tags and policies to archive or delete items based on age.
Journaling erstellt Journalberichte für Nachrichtenkopien und wird vor allem für regulatorische oder Archivierungsanforderungen verwendet.Journaling creates journal reports with copies of messages and is mainly used for regulatory or archive requirements.
OME verschlüsselt Nachrichten transportbasiert oder labelbasiert und stellt Empfängern ein Portal- oder Client-Erlebnis für geschützte Inhalte bereit.OME encrypts messages through transport or label-based controls and provides recipients with a portal or client experience for protected content.
IRM verbindet Exchange Online mit Azure RMS bzw. Purview Information Protection und erzwingt Nutzungsschutz für Nachrichten und Anhänge.IRM connects Exchange Online with Azure RMS or Purview Information Protection and enforces usage protection for messages and attachments.
Mailbox Auditing protokolliert Aktionen von Owner, Delegate und Admin auf Mailboxebene und unterstützt Untersuchungen sowie forensische Auswertungen.Mailbox auditing records owner, delegate, and admin actions at mailbox level and supports investigations plus forensic review.
Data Governance in Exchange verbindet Retention Labels, Auto-Apply, Disposition und organisatorische Lebenszyklusentscheidungen für E-Mail-Daten.Data governance in Exchange combines retention labels, auto-apply, disposition, and organizational lifecycle decisions for email data.
Sensitivity Labels steuern Verschlüsselung, Markierung und Schutz für E-Mails und können manuell, automatisch oder per Standardwert angewendet werden.Sensitivity labels control encryption, marking, and protection for email and can be applied manually, automatically, or by default.
Litigation HoldLitigation Hold
Litigation Hold bewahrt gelöschte und geänderte Inhalte in Recoverable Items auf und verhindert die endgültige Entfernung betroffener Daten.Litigation Hold preserves deleted and modified content in Recoverable Items and prevents permanent removal of affected data.
Die Hold-Dauer kann unbegrenzt oder zeitlich begrenzt sein. Bewahrt werden unter anderem gelöschte Elemente, geänderte Kalenderobjekte, Versionen in Recoverable Items und Purges.The hold duration can be unlimited or time-bound. Preserved items include deleted messages, changed calendar items, versions in Recoverable Items, and purged content.
Litigation Hold wird pro Postfach aktiviert und wirkt unabhängig von einzelnen Ordnern oder Benutzeraktionen. Kapazitäts- und Lizenzplanung sind deshalb wichtig.Litigation Hold is enabled per mailbox and acts independently of individual folders or user actions. Capacity and licensing planning are therefore important.
| ThemaTopic | DetailsDetails |
|---|---|
| AktivierungEnablement | Set-Mailbox -LitigationHoldEnabled $true aktiviert die Funktion pro Postfach.Set-Mailbox -LitigationHoldEnabled $true enables the feature per mailbox. |
| DauerDuration | LitigationHoldDuration bestimmt einen Zeitraum; leer bedeutet unbegrenzt.LitigationHoldDuration defines a period; blank means indefinite. |
| BewahrungPreserved content | Deleted Items, Purges, Versions und weitere Recoverable-Items-Unterordner werden geschützt.Deleted Items, Purges, versions, and other Recoverable Items subfolders are protected. |
| BenutzerwirkungUser impact | Benutzer können Elemente scheinbar löschen, diese bleiben aber für Compliance verfügbar.Users can appear to delete items, but the content remains available for compliance. |
| OperationsOperations | Recoverable-Items-Quota und Monitoring sind bei langjährigen Holds essenziell.Recoverable Items quota and monitoring are essential for long-term holds. |
ImplementierungImplementation
- Voraussetzungen, Rollen und Abhängigkeiten für Litigation Hold dokumentieren.Document prerequisites, roles, and dependencies for Litigation Hold.
- Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
- Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
- Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.
Betrieb & HinweiseOperations & Notes
- Dokumentieren Sie den rechtlichen Zweck und Eigentümer jeder Hold-Aktivierung.Document the legal purpose and owner of every hold activation.
- Kombinieren Sie Holds nicht unkontrolliert mit MRM-Löschaktionen.Do not combine holds with MRM deletion actions without control.
- Überwachen Sie Recoverable Items bei VIP-, Shared- und Journalpostfächern besonders eng.Monitor Recoverable Items especially closely for VIP, shared, and journal mailboxes.
- Ein Hold ersetzt keine eDiscovery-Prozesse, sondern unterstützt sie.A hold does not replace eDiscovery processes; it supports them.
PowerShellPowerShell
Set-Mailbox user@contoso.com -LitigationHoldEnabled $true -LitigationHoldDuration 3650 -RetentionComment "Legal hold"
Get-Mailbox user@contoso.com | Format-List LitigationHoldEnabled,LitigationHoldDurationIn-Place Hold / eDiscovery HoldIn-Place Hold / eDiscovery Hold
Klassische In-Place Holds wurden funktional von Purview eDiscovery Holds abgelöst, insbesondere wenn query-basierte Aufbewahrung nötig ist.Classic In-Place Holds have functionally been replaced by Purview eDiscovery holds, especially when query-based preservation is required.
Moderne Holds werden über Purview Cases, Hold Policies und Hold Rules verwaltet. Dadurch lassen sich Suchabfragen, mehrere Workloads und Case-gebundene Governance konsistent abbilden.Modern holds are managed through Purview cases, hold policies, and hold rules. This enables consistent governance across search queries, multiple workloads, and case-bound processes.
In Projekten tauchen oft noch Begriffe wie In-Place Hold auf. Operativ sollten Sie neue Anforderungen jedoch gegen Purview eDiscovery Standard oder Premium ausrichten.Projects often still use terms such as In-Place Hold. Operationally, however, new requirements should be aligned with Purview eDiscovery Standard or Premium.
| ThemaTopic | DetailsDetails |
|---|---|
| Modernes ModellModern model | Case Hold Policy plus Case Hold Rule ersetzt klassische Exchange-zentrierte Hold-Konzepte.Case hold policy plus case hold rule replaces classic Exchange-centric hold concepts. |
| Query-based HoldQuery-based hold | Abfragen nach Stichworten, Sendern, Domänen oder Zeitbereichen sind weiterhin möglich.Queries by keywords, senders, domains, or date ranges remain possible. |
| Mehrere WorkloadsMultiple workloads | Exchange, SharePoint, OneDrive und Teams können in denselben Case-Kontext eingebunden werden.Exchange, SharePoint, OneDrive, and Teams can be included in the same case context. |
| GovernanceGovernance | Legal Teams erhalten Fallakte, Zuweisung und Auditierbarkeit der Maßnahmen.Legal teams get case ownership, assignment, and auditability of actions. |
| Exchange-BezugExchange relevance | Exchange-Mailboxen bleiben häufig Kern des Holds, aber nicht mehr der einzige Scope.Exchange mailboxes often remain the core of a hold, but no longer the only scope. |
ImplementierungImplementation
- Voraussetzungen, Rollen und Abhängigkeiten für In-Place Hold / eDiscovery Hold dokumentieren.Document prerequisites, roles, and dependencies for In-Place Hold / eDiscovery Hold.
- Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
- Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
- Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.
Betrieb & HinweiseOperations & Notes
- Migrieren Sie alte Begriffe in neue Betriebsdokumentation, damit keine doppelte Tool-Landschaft entsteht.Translate legacy terminology into modern runbooks to avoid a split tool landscape.
- Bewerten Sie Lizenzanforderungen für Purview eDiscovery vor Einführung.Review Purview eDiscovery licensing before rollout.
- Query-basierte Holds benötigen Tests, damit Suchsyntax und Spracheffekte verstanden werden.Query-based holds require testing so search syntax and language effects are understood.
- Verknüpfen Sie Hold-Prozesse mit Legal- und Datenschutz-Freigaben.Connect hold processes with legal and privacy approvals.
PowerShellPowerShell
Connect-IPPSSession
New-CaseHoldPolicy -Name "CaseA-Hold" -Case "CaseA" -ExchangeLocation user@contoso.com
New-CaseHoldRule -Name "CaseA-Query" -Policy "CaseA-Hold" -ContentMatchQuery 'from:"ceo@contoso.com"'MRM Retention PoliciesMRM Retention Policies
Exchange MRM verwendet Retention Tags und Policies, um Elemente nach Alter zu archivieren oder zu löschen.Exchange MRM uses retention tags and policies to archive or delete items based on age.
Relevant sind Default Policy Tags, Retention Policy Tags für Standardordner und Personal Tags für benutzerdefinierte Zuweisung. Aktionen umfassen MoveToArchive, DeleteAndAllowRecovery und PermanentlyDelete.Relevant elements include default policy tags, retention policy tags for default folders, and personal tags for user-assigned retention. Actions include MoveToArchive, DeleteAndAllowRecovery, and PermanentlyDelete.
MRM koexistiert mit Purview Retention, erfüllt aber andere Aufgaben. Vermeiden Sie widersprüchliche Regeln aus beiden Welten.MRM coexists with Purview retention but serves different purposes. Avoid conflicting rules from both worlds.
| ThemaTopic | DetailsDetails |
|---|---|
| DPTDPT | Default Policy Tag gilt tenantweit oder postfachweit als Standard für nicht speziell getaggte Inhalte.Default policy tag acts as the baseline for content that is not explicitly tagged. |
| RPTRPT | Retention Policy Tags gelten für Standardordner wie Inbox, Deleted Items oder Sent Items.Retention policy tags apply to default folders such as Inbox, Deleted Items, or Sent Items. |
| Personal TagPersonal tag | Benutzer oder Administratoren können zusätzliche persönliche Retention Labels für Ordner/Elemente nutzen.Users or administrators can use personal retention tags for folders or items. |
| AktionenActions | MoveToArchive, DeleteAndAllowRecovery und PermanentlyDelete bestimmen den Lebenszyklus.MoveToArchive, DeleteAndAllowRecovery, and PermanentlyDelete define the lifecycle. |
| PolicyPolicy | Policies bündeln Tags und werden per Set-Mailbox oder Standardzuweisung auf Postfächer angewendet.Policies group tags and are assigned to mailboxes via Set-Mailbox or defaults. |
ImplementierungImplementation
- Voraussetzungen, Rollen und Abhängigkeiten für MRM Retention Policies dokumentieren.Document prerequisites, roles, and dependencies for MRM Retention Policies.
- Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
- Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
- Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.
Betrieb & HinweiseOperations & Notes
- MRM-Änderungen wirken nicht sofort; der Managed Folder Assistant verarbeitet sie zeitversetzt.MRM changes are not immediate; the Managed Folder Assistant processes them later.
- Archive und Deleted Items sollten vor einer Massenaktivierung testweise bewertet werden.Archives and Deleted Items should be reviewed in pilot form before broad rollout.
- Verwenden Sie klare Namenskonventionen für Tags, damit Helpdesk und Audit sie verstehen.Use clear naming conventions for tags so the help desk and audit teams can understand them.
- Dokumentieren Sie Überschneidungen zu Purview Retention Policies.Document any overlap with Purview retention policies.
PowerShellPowerShell
New-RetentionPolicyTag -Name "Archive after 2 years" -Type All -AgeLimitForRetention 730 -RetentionAction MoveToArchive
New-RetentionPolicy -Name "KnowledgeWorkers" -RetentionPolicyTagLinks "Archive after 2 years"
Set-Mailbox user@contoso.com -RetentionPolicy "KnowledgeWorkers"JournalingJournaling
Journaling erstellt Journalberichte für Nachrichtenkopien und wird vor allem für regulatorische oder Archivierungsanforderungen verwendet.Journaling creates journal reports with copies of messages and is mainly used for regulatory or archive requirements.
Unterschieden wird nach Standard- und Premium-Journaling sowie nach internen, externen oder globalen Scopes. Journalberichte werden an einen Journalempfänger übermittelt.A distinction is made between standard and premium journaling and between internal, external, or global scope. Journal reports are sent to a journaling recipient.
Journaling erzeugt erhebliche Datenmengen, hat Datenschutzimplikationen und benötigt hochverfügbaren Empfang beim Journalziel.Journaling creates significant data volume, has privacy implications, and requires highly available reception on the journal target.
| ThemaTopic | DetailsDetails |
|---|---|
| Journal RuleJournal rule | Legt Empfänger- oder Gruppenbezug, Journalempfänger und Scope fest.Defines recipient or group scope, journaling recipient, and journaling scope. |
| Journal RecipientJournal recipient | Sollte ein externes Archiv oder dedizierter Journal-Sammelpunkt mit hoher Verfügbarkeit sein.Should be an external archive or dedicated high-availability journaling endpoint. |
| Standard vs PremiumStandard vs premium | Premium bezieht Daten regelbasiert auf Verteiler- oder Empfängerscopes; Standard ist einfacher und grober.Premium applies rule-based scoping to groups or recipients; standard is simpler and broader. |
| ScopeScope | Internal, external oder global steuern, für welche Nachrichten Journalberichte erzeugt werden.Internal, external, or global control which messages generate journal reports. |
| Journal ReportsJournal reports | Die Originalnachricht bleibt eingebettet; Reporting und Archiv müssen dieses Format verstehen.The original message remains embedded; reporting and archive systems must understand this format. |
ImplementierungImplementation
- Voraussetzungen, Rollen und Abhängigkeiten für Journaling dokumentieren.Document prerequisites, roles, and dependencies for Journaling.
- Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
- Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
- Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.
Betrieb & HinweiseOperations & Notes
- Journaling ist nicht identisch mit Purview Retention oder eDiscovery.Journaling is not identical to Purview retention or eDiscovery.
- Fehlerhafte Journalziele können Mailflow-Auswirkungen haben oder regulatorische Lücken erzeugen.Failed journaling targets can affect mail flow or create regulatory gaps.
- Bewerten Sie Datenschutz, Betriebsrat und Datenminimierung frühzeitig.Assess privacy, works council, and data minimization early.
- Dokumentieren Sie Notfallverfahren für Journalempfänger-Ausfälle.Document emergency procedures for journaling recipient failures.
PowerShellPowerShell
New-JournalRule -Name "External Journaling" -JournalEmailAddress archive@journal.contoso.com -Scope Global -Enabled $true
Get-JournalRule | Format-Table Name,Scope,JournalEmailAddress,EnabledMicrosoft Purview Message Encryption (OME)Microsoft Purview Message Encryption (OME)
OME verschlüsselt Nachrichten transportbasiert oder labelbasiert und stellt Empfängern ein Portal- oder Client-Erlebnis für geschützte Inhalte bereit.OME encrypts messages through transport or label-based controls and provides recipients with a portal or client experience for protected content.
Bekannte Optionen sind Encrypt-Only, Do Not Forward, Branding, benutzerdefinierte Templates und in manchen Szenarien Widerruf. Das Erlebnis für externe Empfänger hängt von deren Mailplattform und Identität ab.Well-known options include Encrypt-Only, Do Not Forward, branding, custom templates, and revocation in some scenarios. The external recipient experience depends on their mail platform and identity.
Nicht nur die Richtlinie zählt: Helpdesk, Branding, externe Empfängerkommunikation und das Verhalten auf Mobilgeräten entscheiden über die Akzeptanz.It is not just the policy that matters: help desk readiness, branding, recipient communication, and mobile behavior determine adoption.
| ThemaTopic | DetailsDetails |
|---|---|
| Encrypt-OnlyEncrypt-Only | Schützt die Nachricht, erlaubt aber übliche Weiterverarbeitung im Rahmen des Clients.Protects the message while allowing common downstream use within the client experience. |
| Do Not ForwardDo Not Forward | Erweitert Schutz um Einschränkungen für Weiterleitung, Kopieren und teilweise Drucken.Extends protection with limits on forwarding, copying, and in some cases printing. |
| BrandingBranding | OME-Branding passt Logos, Farben und Disclaimer für externe Empfänger an.OME branding customizes logos, colors, and disclaimers for external recipients. |
| Custom TemplatesCustom templates | Eigene RMS-/OME-Templates ermöglichen maßgeschneiderte Schutzstufen.Custom RMS/OME templates enable tailored protection levels. |
| RevocationRevocation | In geeigneten Szenarien kann der Zugriff nachträglich entzogen werden.In supported scenarios, access can be revoked after sending. |
ImplementierungImplementation
- Voraussetzungen, Rollen und Abhängigkeiten für Microsoft Purview Message Encryption (OME) dokumentieren.Document prerequisites, roles, and dependencies for Microsoft Purview Message Encryption (OME).
- Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
- Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
- Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.
Betrieb & HinweiseOperations & Notes
- Testen Sie externe Empfängerpfade mit Microsoft-, Google- und generischen SMTP-Konten.Test external recipient paths with Microsoft, Google, and generic SMTP accounts.
- Absender brauchen klare Regeln, wann Encrypt-Only oder Do Not Forward eingesetzt werden soll.Senders need clear guidance on when to use Encrypt-Only or Do Not Forward.
- Branding-Änderungen sollten mit Corporate Communications abgestimmt werden.Branding changes should be aligned with corporate communications.
- Transport Rules und Sensitivity Labels können dieselben Verschlüsselungsdienste nutzen.Transport rules and sensitivity labels can use the same encryption services.
PowerShellPowerShell
Get-OMEConfiguration
Set-OMEConfiguration -Identity "OME Configuration" -ExternalMailExpiryInDays 7
New-OMEConfiguration -Identity "Contoso OME" -DisclaimerText "Encrypted by Contoso"Information Rights ManagementInformation Rights Management
IRM verbindet Exchange Online mit Azure RMS bzw. Purview Information Protection und erzwingt Nutzungsschutz für Nachrichten und Anhänge.IRM connects Exchange Online with Azure RMS or Purview Information Protection and enforces usage protection for messages and attachments.
IRM kann in Outlook, OWA und via Transportregeln wirksam werden. Häufig werden RMS-Templates durch Transport Rules oder Benutzeraktionen angewendet.IRM can take effect in Outlook, OWA, and through transport rules. RMS templates are often applied through transport rules or user actions.
Vor dem produktiven Einsatz müssen RMS-Integration, Lizenzierung, Clientunterstützung und Ausnahmeszenarien wie Journaling oder Archivierung abgestimmt sein.Before production use, RMS integration, licensing, client support, and exception scenarios such as journaling or archiving must be aligned.
| ThemaTopic | DetailsDetails |
|---|---|
| Azure RMS IntegrationAzure RMS integration | Exchange nutzt den Rights-Management-Dienst für Vorlagen und Schlüsselausgabe.Exchange uses the rights management service for templates and key issuance. |
| IRM in ExchangeIRM in Exchange | Schutz kann clientseitig oder per Transportregel auf Nachrichten angewendet werden.Protection can be applied client-side or by transport rule. |
| Transport RulesTransport rules | RMS-Templates lassen sich automatisiert anhand von Bedingungen auf Nachrichten anwenden.RMS templates can be applied automatically to messages based on conditions. |
| ClientverhaltenClient behavior | Outlook und OWA bieten je nach Plattform unterschiedliche Schutzfunktionen und Einschränkungen.Outlook and OWA provide different protection capabilities and limitations depending on platform. |
| AbhängigkeitenDependencies | Lizenz, Identität, Template-Design und Schlüsselvertrauen müssen konsistent sein.Licensing, identity, template design, and key trust must be consistent. |
ImplementierungImplementation
- Voraussetzungen, Rollen und Abhängigkeiten für Information Rights Management dokumentieren.Document prerequisites, roles, and dependencies for Information Rights Management.
- Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
- Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
- Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.
Betrieb & HinweiseOperations & Notes
- IRM kann Interoperabilität mit Drittarchiven oder alten Clients beeinflussen.IRM can affect interoperability with third-party archives or older clients.
- Testen Sie OWA, Outlook Desktop und mobile Clients getrennt.Test OWA, Outlook desktop, and mobile clients separately.
- Dokumentieren Sie Ausnahmen für Scanner, Journaling oder Anwendungen mit automatisierter Verarbeitung.Document exceptions for scanners, journaling, or apps with automated processing.
- Passen Sie RMS-Templates an reale Schutzklassen im Unternehmen an.Adapt RMS templates to real-world protection classes in the organization.
PowerShellPowerShell
Set-IRMConfiguration -AzureRMSLicensingEnabled $true
Get-IRMConfiguration | Format-List AzureRMSLicensingEnabled,InternalLicensingEnabled,JournalReportDecryptionEnabledMailbox AuditingMailbox Auditing
Mailbox Auditing protokolliert Aktionen von Owner, Delegate und Admin auf Mailboxebene und unterstützt Untersuchungen sowie forensische Auswertungen.Mailbox auditing records owner, delegate, and admin actions at mailbox level and supports investigations plus forensic review.
Relevante Aktionen umfassen Create, HardDelete, MailItemsAccessed, MoveToDeletedItems, Send, SoftDelete, Update sowie delegierte Aktionen wie SendAs und SendOnBehalf. Bypass-Zuordnungen und erweiterte Auditlizenzen müssen mitbetrachtet werden.Relevant actions include Create, HardDelete, MailItemsAccessed, MoveToDeletedItems, Send, SoftDelete, Update, and delegated operations such as SendAs and SendOnBehalf. Bypass associations and advanced audit licensing must be considered.
Planen Sie Suchprozesse, Aufbewahrungsdauern und Verantwortlichkeiten. Ohne standardisierte Auswertung bleibt Mailbox-Audit ein ungenutzter Datenstrom.Plan search processes, retention periods, and responsibilities. Without standardized review, mailbox audit remains an unused data stream.
| ThemaTopic | DetailsDetails |
|---|---|
| CreateCreate | Owner: Ja; Delegate: Ja; Admin: Ja – Erstellung oder Anlegen von Elementen im Mailboxkontext.Owner: Yes; Delegate: Yes; Admin: Yes – creation of items within the mailbox context. |
| HardDelete / SoftDeleteHardDelete / SoftDelete | Owner: Ja; Delegate: Ja; Admin: Ja – endgültiges oder weiches Löschen von Inhalten.Owner: Yes; Delegate: Yes; Admin: Yes – hard or soft deletion of content. |
| MailItemsAccessedMailItemsAccessed | Owner: Ja; Delegate: Ja; Admin: Ja – protokolliert den Zugriff auf Nachrichteninhalte.Owner: Yes; Delegate: Yes; Admin: Yes – records access to message content. |
| MoveToDeletedItems / UpdateMoveToDeletedItems / Update | Owner: Ja; Delegate: Ja; Admin: Ja – Verschieben in Gelöschte Elemente oder Aktualisierung.Owner: Yes; Delegate: Yes; Admin: Yes – move to Deleted Items or update operations. |
| Send / SendAs / SendOnBehalfSend / SendAs / SendOnBehalf | Owner: Send; Delegate: Send, SendAs, SendOnBehalf; Admin: in der Regel keine normalen Send-Aktionen.Owner: Send; Delegate: Send, SendAs, SendOnBehalf; Admin: typically no normal send actions. |
| BypassBypass | Get-MailboxAuditBypassAssociation zeigt Konten, die von Auditing ausgenommen sind.Get-MailboxAuditBypassAssociation shows accounts excluded from auditing. |
ImplementierungImplementation
- Voraussetzungen, Rollen und Abhängigkeiten für Mailbox Auditing dokumentieren.Document prerequisites, roles, and dependencies for Mailbox Auditing.
- Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
- Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
- Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.
Betrieb & HinweiseOperations & Notes
- Vermeiden Sie Audit-Bypass außer in klar begründeten technischen Sonderfällen.Avoid audit bypass except for clearly justified technical exceptions.
- MailItemsAccessed und Advanced Audit sollten mit Lizenz- und Datenschutzbewertung eingeführt werden.MailItemsAccessed and advanced audit should be introduced with licensing and privacy review.
- Definieren Sie Standardabfragen für VIP-Postfächer, Shared Mailboxes und Security Incidents.Define standard queries for VIP mailboxes, shared mailboxes, and security incidents.
- Kombinieren Sie Mailbox Audit mit Unified Audit Logs für vollständige Fallbilder.Combine mailbox audit with unified audit logs for complete case context.
PowerShellPowerShell
Get-MailboxAuditBypassAssociation
Search-MailboxAuditLog -Identity user@contoso.com -LogonTypes Owner,Delegate,Admin -ShowDetails -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date)Data GovernanceData Governance
Data Governance in Exchange verbindet Retention Labels, Auto-Apply, Disposition und organisatorische Lebenszyklusentscheidungen für E-Mail-Daten.Data governance in Exchange combines retention labels, auto-apply, disposition, and organizational lifecycle decisions for email data.
Purview Labels können auf Exchange-Inhalte wirken, automatisch oder manuell vergeben werden und mit Disposition Reviews gekoppelt sein. Governance umfasst dabei nicht nur Technik, sondern auch Record-Owner und Review-Prozesse.Purview labels can apply to Exchange content, be assigned automatically or manually, and be connected with disposition reviews. Governance covers not only technology, but also record owners and review processes.
Retention- und Disposition-Entscheidungen sollten nicht ausschließlich von IT getroffen werden. Eigentümer aus Legal, Datenschutz und Fachbereich müssen einbezogen werden.Retention and disposition decisions should not be made by IT alone. Owners from legal, privacy, and business units must participate.
| ThemaTopic | DetailsDetails |
|---|---|
| Retention LabelsRetention labels | Können auf E-Mails angewendet werden und bestimmen Aufbewahrung, Löschung oder Records-Verhalten.Can be applied to emails and determine retention, deletion, or records behavior. |
| Auto-ApplyAuto-apply | Labels werden automatisch anhand von Inhalten, Metadaten oder trainierbaren Klassifizierern gesetzt.Labels are applied automatically based on content, metadata, or trainable classifiers. |
| DispositionDisposition | Ablaufende Inhalte können in einen Review-Prozess überführt werden, statt direkt gelöscht zu werden.Expiring content can enter a review process instead of being deleted immediately. |
| RecordsRecords | Bestimmte Labels können Inhalte als Record oder Regulatory Record behandeln.Certain labels can treat content as a record or regulatory record. |
| Exchange-RelevanzExchange relevance | Vor allem Shared Mailboxes, Journalbestände und fachliche Sonderpostfächer profitieren von klarer Data Governance.Shared mailboxes, journaling datasets, and special business mailboxes benefit most from clear data governance. |
ImplementierungImplementation
- Voraussetzungen, Rollen und Abhängigkeiten für Data Governance dokumentieren.Document prerequisites, roles, and dependencies for Data Governance.
- Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
- Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
- Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.
Betrieb & HinweiseOperations & Notes
- Auto-Apply erfordert Testläufe, um Fehlklassifikation und Übertagging zu vermeiden.Auto-apply requires pilots to avoid misclassification and over-tagging.
- Disposition Reviews brauchen definierte Eigentümer und Eskalationswege.Disposition reviews need defined owners and escalation paths.
- Prüfen Sie, wie Governance auf Archive und freigegebene Postfächer wirkt.Review how governance applies to archives and shared mailboxes.
- Dokumentieren Sie Label-Bedeutungen in einfacher Sprache für Endanwender.Document label meanings in plain language for end users.
PowerShellPowerShell
Connect-IPPSSession
Get-Label
Get-RetentionCompliancePolicySensitivity Labels in ExchangeSensitivity Labels in Exchange
Sensitivity Labels steuern Verschlüsselung, Markierung und Schutz für E-Mails und können manuell, automatisch oder per Standardwert angewendet werden.Sensitivity labels control encryption, marking, and protection for email and can be applied manually, automatically, or by default.
Im Exchange-Kontext sind besonders labelbasierte Verschlüsselung, automatische Labelung, Auswirkung auf externe Empfänger und die Verzahnung mit Purview Information Protection relevant.In the Exchange context, label-based encryption, auto-labeling, impact on external recipients, and integration with Purview Information Protection are especially relevant.
Benutzer sehen Labels direkt im Mailclient. Deshalb müssen Bedeutung, Schutzwirkung und mögliche Einschränkungen verständlich kommuniziert werden.Users see labels directly in the mail client. Therefore the meaning, protection effect, and possible restrictions must be communicated clearly.
| ThemaTopic | DetailsDetails |
|---|---|
| Label-based EncryptionLabel-based encryption | Labels können Encrypt-Only, Do Not Forward oder benutzerdefinierte RMS-Vorlagen auslösen.Labels can trigger Encrypt-Only, Do Not Forward, or custom RMS templates. |
| Auto-LabelingAuto-labeling | E-Mails können anhand sensibler Informationen oder trainierbarer Klassifizierer automatisch gelabelt werden.Emails can be auto-labeled based on sensitive information or trainable classifiers. |
| MarkingMarking | Header, Footer und Watermarks sind im E-Mail-Kontext eingeschränkt, aber Governance-Botschaften bleiben relevant.Headers, footers, and watermarks are limited in email, but governance signaling remains relevant. |
| External RecipientsExternal recipients | Das Empfängererlebnis hängt von Verschlüsselungsart, B2B-Kontext und Clientfähigkeiten ab.Recipient experience depends on encryption type, B2B context, and client capabilities. |
| Policy DesignPolicy design | Standardlabel, Pflichtlabel und Empfehlung sollten auf reale Benutzergruppen abgestimmt sein.Default label, mandatory labeling, and recommendations should align with real user groups. |
ImplementierungImplementation
- Voraussetzungen, Rollen und Abhängigkeiten für Sensitivity Labels in Exchange dokumentieren.Document prerequisites, roles, and dependencies for Sensitivity Labels in Exchange.
- Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
- Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
- Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.
Betrieb & HinweiseOperations & Notes
- Vermeiden Sie zu viele Labels mit ähnlicher Bedeutung; das senkt die Akzeptanz.Avoid too many labels with similar meanings; it lowers adoption.
- Testen Sie Labels mit Outlook Desktop, OWA, mobilem Outlook und externen Empfängern.Test labels with Outlook desktop, OWA, Outlook mobile, and external recipients.
- Koppeln Sie Auto-Labeling mit klaren Ausnahmen, damit Geschäftsmail nicht blockiert wird.Pair auto-labeling with clear exceptions so business mail is not blocked.
- Beachten Sie Überschneidungen zu Transportregeln, OME und DLP.Be aware of overlaps with transport rules, OME, and DLP.
PowerShellPowerShell
Connect-IPPSSession
Get-Label
Get-AutoSensitivityLabelPolicyDiese Referenz ergänzt Purview- und Exchange-Basisdokumentation mit workload-spezifischen Exchange-Details.This reference complements Purview and Exchange baseline documentation with Exchange-specific workload details.
Basisarchitektur und Betriebsmodell.Baseline architecture and operating model.
Arbeitsbereiche für Labels, DLP und eDiscovery.Workspaces for labels, DLP, and eDiscovery.
Mailflow-Policies und Transport Controls.Mail flow policies and transport controls.