Einrichten von Compliancegrenzen für eDiscovery-Untersuchungen

  • Artikel

Die Anleitung in diesem Artikel kann angewendet werden, wenn Microsoft Purview-eDiscovery (Standard) oder Microsoft Purview-eDiscovery (Premium) zum Verwalten von Untersuchungen verwendet wird.

Compliancegrenzen erstellen logische Grenzen innerhalb einer Organisation, welche die Benutzerinhaltsspeicherorte (z. B. Postfächer, OneDrive-Konten und SharePoint-Websites) steuern, die eDiscovery-Manager durchsuchen können. Compliancegrenzen steuern auch, wer auf eDiscovery-Fälle zugreifen kann, die zum Verwalten der rechtlichen, personal- oder anderen Untersuchungen in Ihrem organization verwendet werden.

Die Notwendigkeit von Compliance-Grenzen ist häufig für multinationale Unternehmen notwendig, die geografische Grenzen und Vorschriften einhalten müssen, und für Regierungen, die oft in verschiedene Agenturen unterteilt sind. In Microsoft 365 helfen Ihnen Compliance-Grenzen, diese Anforderungen zu erfüllen, wenn Sie Inhaltssuchen durchführen und Untersuchungen mit eDiscovery-Fällen verwalten.

Anhand des Beispiels in der folgenden Abbildung wird erläutert, wie Compliancegrenzen funktionieren.

Compliancegrenzen bestehen aus Suchberechtigungsfiltern, die den Zugriff auf Behörden und Administratorrollengruppen steuern, welche den Zugriff auf eDiscovery-Fälle steuern.

In diesem Beispiel ist Contoso LTD eine organization, die aus zwei Tochtergesellschaften besteht, Fourth Coffee und Coho Winery. Das Unternehmen erfordert, dass eDiscovery-Manager und Ermittler nur die Exchange-Postfächer, OneDrive-Konten und SharePoint-Websites in ihrer Agentur durchsuchen können. Außerdem können eDiscovery-Manager und Ermittler nur eDiscovery-Fälle in ihrer Agentur sehen, und sie können nur auf die Fälle zugreifen, in denen sie Mitglied sind. Darüber hinaus können Ermittler in diesem Szenario keine Inhaltsspeicherorte in den Halteraum setzen oder Inhalte aus einem Fall exportieren. Hier erfahren Sie, wie Compliancegrenzen diese Anforderungen erfüllen.

  • Die Filterfunktion für Suchberechtigungen für eDiscovery steuert die Inhaltsspeicherorte, die eDiscovery-Manager und Ermittler durchsuchen können. Diese Kontrolle bedeutet, dass eDiscovery-Manager und Ermittler in der Fourth Coffee-Agentur nur Inhaltsspeicherorte in der Fourth Coffee-Tochtergesellschaft durchsuchen können. Die gleiche Einschränkung gilt für die Coho Winery-Tochtergesellschaft.

  • Rollengruppen stellen die folgenden Funktionen für Compliancegrenzen bereit:

    • Steuern Sie, wer die eDiscovery-Fälle im Microsoft Purview-Complianceportal. Diese Kontrolle bedeutet, dass eDiscovery-Manager und Ermittler nur die eDiscovery-Fälle in ihrer Behörde sehen können.
    • Steuern Sie, wer Einem eDiscovery-Fall Mitglieder zuweisen kann. Diese Kontrolle bedeutet, dass eDiscovery-Manager und Ermittler nur Mitgliedern zu Fällen zuweisen können, in denen sie selbst Mitglied sind.
    • Steuern Sie die eDiscovery-bezogenen Aufgaben, die Mitglieder ausführen können, indem Sie Rollen hinzufügen oder entfernen, die bestimmte Berechtigungen zuweisen.

  • Wenn ein Filter für Suchberechtigungen auf eine Rollengruppe angewendet wird, können Mitglieder der Rollengruppe die folgenden suchbezogenen Aktionen ausführen, solange die Berechtigungen zum Ausführen einer Aktion der Rollengruppe zugewiesen sind:

    • Suchen nach Inhalten
    • Vorschau von Suchergebnissen
    • Exportieren von Suchergebnissen
    • Von einer Suche zurückgegebene Elemente bereinigen

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Vor dem Einrichten von Compliancegrenzen

  • Benutzern muss eine Exchange Online-Lizenz zugewiesen werden. Verwenden Sie zum Überprüfen von Zuweisungen das Cmdlet Get-User in Exchange Online PowerShell.

Einrichten von Compliancegrenzen

Hier sind die Schritte zum Einrichten von Compliancegrenzen:

Schritt 1: Identifizieren eines Benutzerattributes zum Definieren Ihrer Agenturen

Der erste Schritt besteht darin, ein Attribut auszuwählen, das Ihre Agenturen definiert. Dieses Attribut wird verwendet, um den Filter für Suchberechtigungen zu erstellen, der einen eDiscovery-Manager darauf beschränkt, nur die Inhaltsspeicherorte von Benutzern zu durchsuchen, denen ein bestimmter Wert für dieses Attribut zugewiesen ist. Angenommen, Contoso entscheidet sich für die Verwendung des Department-Attributs . Der Wert für dieses Attribut für Benutzer in der Tochtergesellschaft Fourth Coffee wäre FourthCoffee und der Wert für Benutzer in der Coho Winery-Tochtergesellschaft wäre CohoWinery. In Schritt 3 verwenden Sie dieses attribute:value Paar (z. B. Department:FourthCoffee), um die Speicherorte von Benutzerinhalten einzuschränken, die eDiscovery-Manager durchsuchen können.

Hier sind einige Beispiele für Benutzerattribute, die Sie für Compliancegrenzen verwenden können:

  • Unternehmen
  • CustomAttribute1 – CustomAttribute15
  • Abteilung
  • Büro
  • CountryOrRegion (zweistellige Länderkennzahl)

Eine vollständige Liste finden Sie in der vollständigen Liste der unterstützten Postfachfilter.

Schritt 2: Erstellen einer Rollengruppe für jede Agentur

Der nächste Schritt besteht darin, die Rollengruppen im Complianceportal zu erstellen, die ihren Agenturen entsprechen.

Um die Rollengruppen zu erstellen, wechseln Sie im Complianceportal zur Seite Berechtigungen , und erstellen Sie eine Rollengruppe für jedes Team in jeder Agentur, die Compliancegrenzen und eDiscovery-Fälle zum Verwalten von Untersuchungen verwendet.

Es wird empfohlen, dass den für die Konformitätsgrenze erstellten Rollengruppen keine Rollen angefügt sind. Diese Rollengruppe sollte nur verwendet werden, um der Rollengruppe Benutzer zuzuweisen. Separate integrierte Rollengruppen (eDiscovery-Manager) oder benutzerdefinierte Rollengruppen sollten verwendet werden, um Mitgliedern Rollen zuzuweisen. Weitere Informationen zu eDiscovery-bezogenen Rollen finden Sie unter Zuweisen von eDiscovery-Berechtigungen.

Bei Verwendung des Contoso-Konformitätsgrenzenszenarios müssen vier Rollengruppen erstellt und jeweils die entsprechenden Mitglieder hinzugefügt werden.

  • eDiscovery-Manager von Fourth Coffee
  • Fourth Coffee-Ermittler
  • eDiscovery-Manager von Coho Winery
  • Coho Winery-Ermittler

Wichtig

Wenn einer Rollengruppe, die Sie als Mitglied eines Falls hinzugefügt haben, eine Rolle hinzugefügt oder entfernt wird, wird die Rollengruppe automatisch als Mitglied des Falls entfernt (oder in jedem Fall, in dem die Rollengruppe Mitglied ist). Der Grund dafür besteht darin, Ihre organization vor unbeabsichtigter Bereitstellung zusätzlicher Berechtigungen für Mitglieder eines Falls zu schützen. Wenn eine Rollengruppe gelöscht wird, wird sie aus allen Fällen entfernt, in der sie Mitglied war. Es wird empfohlen, dass den rollengruppen, die für Compliancegrenzen erstellt wurden, keine Rollen zugewiesen sind. Verwenden Sie separate integrierte/benutzerdefinierte Rollengruppen, um Mitgliedern Rollen zuzuweisen.

Schritt 3: Erstellen eines Suchberechtigungsfilters zum Erzwingen der Konformitätsgrenze

Nachdem Sie Rollengruppen für jede Agentur erstellt haben, besteht der nächste Schritt darin, die Filter für Suchberechtigungen zu erstellen, die jede Rollengruppe ihrer jeweiligen Agentur zuordnen und die Compliancegrenze selbst definiert. Sie müssen einen Filter für Suchberechtigungen für jede Agentur erstellen. Weitere Informationen zum Erstellen von Filtern für Sicherheitsberechtigungen finden Sie unter Konfigurieren der Berechtigungsfilterung für die Inhaltssuche.

Dies ist die Syntax, die zum Erstellen eines Suchberechtigungsfilters verwendet wird, der für Compliancegrenzen für das Szenario in diesem Artikel verwendet wird.

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <role groups> -Filters "Mailbox_<MailboxPropertyName>  -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"

Hier ist eine Beschreibung der einzelnen Parameter im Befehl:

  • FilterName: Gibt den Namen des Filters an. Verwenden Sie einen Namen, der die Agentur beschreibt oder identifiziert, in der der Filter verwendet wird.

  • Users: Gibt die Benutzer oder Gruppen an, für die dieser Filter auf die von ihnen ausgeführten Suchaktionen angewendet wird. Für Compliancegrenzen gibt dieser Parameter die Rollengruppen (die Sie in Schritt 2 erstellt haben) in der Agentur an, für die Sie den Filter erstellen. Dieser Parameter ist ein mehrwertiger Parameter, sodass Sie eine oder mehrere Rollengruppen einschließen können, die durch Kommas getrennt sind.

  • Filters: Gibt die Suchkriterien für den Filter an. Für Compliancegrenzen definieren Sie die folgenden Filter. Jeder gilt für verschiedene Inhaltsspeicherorte.

    • Mailbox: Gibt die Postfächer oder OneDrive-Konten an, die die im Users Parameter definierten Rollengruppen durchsuchen können. Mit diesem Filter können Mitglieder der Rollengruppe nur die Postfächer oder OneDrive-Konten in einer bestimmten Agentur durchsuchen. Beispiel: "Mailbox_Department -eq 'FourthCoffee'".

    • SiteContent: Dieser Filter enthält zwei separate Filter. Die erste SiteContent_Path gibt die SharePoint-Websites in der Agentur an, die die im Users Parameter definierten Rollengruppen durchsuchen können. Beispiel: SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'. Der zweite SiteContent_Path Filter (der vom Operator mit dem or ersten SiteContent_Path Filter verbunden ist) gibt die OneDrive-Domäne der Agentur an (auch als MySite-Domäne bezeichnet). Beispiel: SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'. Sie können den Site_Path Filter auch anstelle des SiteContent Filters verwenden. Die Site Filter und SiteContent sind austauschbar und wirken sich nicht auf suchberechtigungsfilter aus, die in diesem Artikel beschrieben werden.

      Wichtig

      Warum ist der SiteContent Filter für OneDrive im vorherigen Filter für Suchberechtigungen enthalten? Obwohl der Mailbox Filter sowohl für Postfächer als auch für OneDrive-Konten gilt, würde die Aufnahme des SharePoint-Filters OneDrive-Konten ausschließen, wenn Sie nicht auch den OneDrive-Filter Site einschließen würden. Wenn der Filter für Suchberechtigungen keinen SharePoint-Filter enthält, müssten Sie keinen separaten OneDrive-Filter einschließen, da der Postfachfilter OneDrive-Konten in den Bereich der Compliancegrenze einschließen würde. Anders ausgedrückt: Ein Filter für Suchberechtigungen mit nur dem Mailbox Filter würde sowohl Postfächer als auch OneDrive-Konten umfassen.

Nachfolgend finden Sie Beispiele für die beiden Suchberechtigungsfilter, die zur Unterstützung des Szenarios mit den Compliance-Begrenzungen bei Contoso erstellt werden würden. Beide Beispiele umfassen eine durch Trennzeichen getrennte Filterliste, bei der die Postfach- und Websitefilter in den gleichen Suchberechtigungsfilter eingeschlossen sind und durch ein Komma getrennt sind.

Vierter Kaffee

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

Weingut Coho

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

Hinweis

Die Syntax für die Filters Parameter in den vorherigen Beispielen enthält eine Filterliste. Eine Filterliste ist ein Filter, der einen Postfachfilter und einen Websitepfadfilter enthält, der durch ein Komma getrennt ist. Beachten Sie im vorherigen Beispiel, dass ein Komma trennt und SiteContent filtertMailbox: -Filters "Mailbox_<MailboxPropertyName> -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'". Wenn dieser Filter während der Ausführung einer eDiscovery-Suche verarbeitet wird, werden aus der Filterliste zwei Filter für Suchberechtigungen erstellt: ein Postfachfilter und ein SharePoint-/OneDrive-Filter. Eine Alternative zur Verwendung einer Filterliste wäre, zwei separate Suchberechtigungsfilter für jede Agentur zu erstellen: einen Filter für Suchberechtigungen für das Postfachattribute und einen Filter für die SharePoint- und OneDrive-Websiteattribute. In beiden Fällen sind die Ergebnisse identisch. Die Verwendung einer Filterliste oder das Erstellen separater Filter für Suchberechtigungen ist eine Frage der Präferenz.

Wie funktionieren die Filter für Suchberechtigungen in diesem Szenario?

Hier erfahren Sie, wie die Suchberechtigungsfilter in diesem Szenario für jede Agentur angewendet werden.

  1. Der Mailbox Filter wird zuerst angewendet, um die Inhaltsspeicherorte zu definieren, die eDiscovery-Manager durchsuchen können. In diesem Fall können Coho Winery eDiscovery-Manager nur die Postfächer und OneDrive-Konten von Benutzern durchsuchen, deren Abteilungspostfacheigenschaft den Wert FourthCoffee aufweist. Coho Winery eDiscovery-Manager können nur die Postfächer und OneDrive-Konten von Benutzern durchsuchen, deren Abteilungspostfacheigenschaft den Wert CohoWinery aufweist. Der Mailbox Filter ist ein Inhaltsspeicherortfilter, da er die Inhaltsspeicherorte angibt, die eDiscovery-Manager durchsuchen können. In beiden Filtern können eDiscovery-Manager nur Inhaltsspeicherorte mit einem bestimmten Postfacheigenschaftswert durchsuchen.

  2. Nachdem die Durchsuchungsspeicherorte definiert wurden, definiert der nächste Teil des Filters die Inhalte, die eDiscovery-Manager durchsuchen können. Mit dem ersten SiteContent Filter können Fourth Coffee eDiscovery-Manager nur nach Dokumenten suchen, die über eine Websitepfadeigenschaft verfügen, die enthält (oder mit beginnt). https://contoso.sharepoint.com/sites/FourthCoffee Coho Winery eDiscovery-Manager können nur Dokumente durchsuchen, die über eine Websitepfadeigenschaft verfügen, die enthält (oder mit beginnt). https://contoso.sharepoint.com/sites/CohoWinery Daher sind die beiden SiteContent Filter Inhaltsfilter , da sie den Inhalt definieren, nach dem gesucht werden kann. In beiden Filtern können eDiscovery-Manager nur nach Dokumenten mit einem bestimmten Dokumenteigenschaftswert suchen. Alle SharePoint-bezogenen Filter sind Inhaltsfilter, da durchsuchbare Websiteeigenschaften für alle Dokumente gestempelt werden. Weitere Informationen finden Sie unter Konfigurieren der Berechtigungsfilterung für eDiscovery.

    Hinweis

    Obwohl sie im Szenario in diesem Artikel nicht verwendet werden, können Sie auch Postfachinhaltsfilter verwenden, um die Inhalte anzugeben, nach denen eDiscovery-Manager suchen können. Die Syntax für Postfachinhaltsfilter lautet "MailboxContent_<property> -<comparison operator> '<value>'". Sie können Inhaltsfilter basierend auf Datumsbereichen, Empfängern und Domänen oder einer beliebigen durchsuchbaren E-Mail-Eigenschaft erstellen. Mit diesem Filter können eDiscovery-Manager beispielsweise nur nach E-Mail-Elementen suchen, die von Benutzern in der contoso.com Domäne gesendet oder empfangen werden: "MailboxContent_Participants -like 'contoso.com'". Weitere Informationen zu Postfachinhaltsfiltern finden Sie unter Konfigurieren der Filterung von Suchberechtigungen.

  3. Der Filter für Suchberechtigungen wird durch den booleschen Operator AND mit der Suchabfrage verknüpft. Das bedeutet, wenn ein eDiscovery-Manager in einer der Agenturen eine eDiscovery-Suche ausführt, müssen die von der Suche zurückgegebenen Elemente der Suchabfrage und den im Filter für Suchberechtigungen definierten Bedingungen entsprechen.

Schritt 4: Erstellen eines eDiscovery-Falls für behördeninterne Untersuchungen

Der letzte Schritt besteht darin, einen eDiscovery -Fall (Standard) oder einen eDiscovery -Fall (Premium) im Complianceportal zu erstellen und dann die Rollengruppe hinzuzufügen, die Sie in Schritt 2 als Mitglied des Falls erstellt haben. Dies führt zu zwei wichtigen Merkmalen der Verwendung von Compliancegrenzen:

  • Nur Mitglieder der Rollengruppe, die dem Fall hinzugefügt wurden, können den Fall im Complianceportal anzeigen und darauf zugreifen. Wenn beispielsweise die Rollengruppe Fourth Coffee Investigators das einzige Mitglied eines Falls ist, können Mitglieder der Rollengruppe Fourth Coffee eDiscovery Managers (oder Mitglieder einer anderen Rollengruppe) den Fall nicht sehen oder darauf zugreifen.

  • Wenn ein Mitglied der Rollengruppe, die einem Fall zugewiesen ist, eine dem Fall zugeordnete Suche ausführt, kann es nur die Inhaltsspeicherorte innerhalb seiner Agentur durchsuchen (der durch den Suchberechtigungsfilter definiert wird, den Sie in Schritt 3 erstellt haben).

So erstellen Sie einen Fall und weisen Mitglieder zu:

  1. Wechseln Sie im Complianceportal zur Seite eDiscovery (Standard) oder eDiscovery (Premium), und erstellen Sie einen Fall.

  2. Wählen Sie in der Liste der Fälle den Namen des von Ihnen erstellten Falls aus.

  3. Fügen Sie dem Fall Rollengruppen als Mitglieder hinzu. Anweisungen finden Sie in einem der folgenden Artikel:

Hinweis

Beim Hinzufügen einer Rollengruppe zu einem Fall können Sie nur die Rollengruppen hinzufügen, in denen Sie Mitglied sind.

Suchen und Exportieren von Inhalten in Multi-Geo-Umgebungen

Mit Suchberechtigungsfiltern können Sie auch steuern, wo Inhalte für den Export weitergeleitet werden und welches Rechenzentrum beim Durchsuchen von Inhaltsspeicherorten in einer SharePoint Multi-Geo-Umgebung durchsucht werden kann.

  • Exportieren von Suchergebnissen: Sie können die Suchergebnisse aus Exchange-Postfächern, SharePoint-Websites und OneDrive-Konten aus einem bestimmten Rechenzentrum exportieren. Dies bedeutet, dass Sie den Rechenzentrumsspeicherort angeben können, aus dem Suchergebnisse exportiert werden.

    Verwenden Sie den Parameter Region für die Cmdlets New-ComplianceSecurityFilter oder Set-ComplianceSecurityFilter , um zu erstellen oder zu ändern, über welches Rechenzentrum der Export weitergeleitet wird.

    Übergebener Wert Standort des Rechenzentrums
    NAM
    		 Nordamerika (Rechenzentren befinden sich in den USA)
    EUR
    		 Europa
    APC
    		 Asiatisch-pazifischer Raum
    CAN
    		 Kanada

  • Weiterleiten von Inhaltssuchen: Sie können die Inhaltssuchen von SharePoint-Websites und OneDrive-Konten an ein Satellitenrechenzentrum weiterleiten. Dies bedeutet, dass Sie den Rechenzentrumsspeicherort angeben können, an dem Suchvorgänge ausgeführt werden.

    Verwenden Sie einen der folgenden Werte für den Parameter Region , um den Speicherort des Rechenzentrums zu steuern, in dem Suchvorgänge beim Durchsuchen von SharePoint-Websites und OneDrive-Konten ausgeführt werden.

    Übergebener Wert Routingpfade für Rechenzentren für SharePoint
    NAM
    		 US
    EUR
    		 Europa
    APC
    		 Asiatisch-pazifischer Raum
    CAN
    		 US
    AUS
    		 Asiatisch-pazifischer Raum
    KOR
    		 Standardrechenzentrum des organization
    GBR
    		 Europa
    JPN
    		 Asiatisch-pazifischer Raum
    IND
    		 Asiatisch-pazifischer Raum
    LAM
    		 US
    NOR
    		 Europa
    BRA
    		 Nordamerikanische Rechenzentren

    Wenn Sie den Parameter Region für einen Filter für Suchberechtigungen nicht angeben, wird die primäre SharePoint-Region des organization durchsucht. Suchergebnisse werden in das nächstgelegene Rechenzentrum exportiert.

    Zur Vereinfachung des Konzepts steuert der Parameter Region das Rechenzentrum, das zum Suchen nach Inhalten in SharePoint und OneDrive verwendet wird. Dies gilt nicht für die Suche nach Inhalten in Exchange, da Exchange-Inhaltssuchen nicht an den geografischen Standort von Rechenzentren gebunden sind. Außerdem kann derselbe Wert des Regionsparameters auch das Rechenzentrum diktieren, über das Exporte weitergeleitet werden. Dies ist häufig erforderlich, um die Verschiebung von Daten über geografische Grenzen hinweg zu steuern.

Hinweis

Wenn Sie eDiscovery (Premium) verwenden, steuert der Parameter Region nicht die Region, aus der Daten exportiert werden. Daten werden vom zentralen Standort des organization exportiert. Außerdem ist die Suche nach Inhalten in SharePoint und OneDrive nicht an den geografischen Standort von Rechenzentren gebunden. Alle Rechenzentren werden durchsucht. Weitere Informationen zu eDiscovery (Premium) finden Sie unter Übersicht über die eDiscovery (Premium)-Lösung in Microsoft 365.

Hier finden Sie Beispiele für die Verwendung des Parameters Region beim Erstellen von Suchberechtigungsfiltern für Compliancegrenzen. Dies setzt voraus, dass sich die Tochtergesellschaft Fourth Coffee in Nordamerika und Coho Winery in Europa befindet.

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region NAM

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region EUR

Beachten Sie beim Durchsuchen und Exportieren von Inhalten in Umgebungen mit mehreren geografischen Standorten folgendes:

  • Der Parameter Region steuert keine Suchvorgänge in Exchange-Postfächern. Beim Durchsuchen von Postfächern werden alle Rechenzentren durchsucht. Um den Bereich einzuschränken, in dem Exchange-Postfächer durchsucht werden, verwenden Sie beim Erstellen oder Ändern eines Suchberechtigungsfilters den Parameter Filters .

  • Wenn es erforderlich ist, dass ein eDiscovery-Manager mehrere SharePoint-Regionen durchsuchen kann, müssen Sie ein anderes Benutzerkonto für diesen eDiscovery-Manager erstellen, der im Filter für Suchberechtigungen verwendet werden soll, um die Region anzugeben, in der sich die SharePoint-Websites oder OneDrive-Konten befinden. Weitere Informationen zum Einrichten finden Sie im Abschnitt "Suchen nach Inhalten in einer SharePoint Multi-Geo-Umgebung" der Inhaltssuche.

  • Bei der Suche nach Inhalten in SharePoint und OneDrive leitet der Parameter Region Suchvorgänge entweder an den primären oder satellitengestützten Standort weiter, an dem der eDiscovery-Manager eDiscovery-Untersuchungen durchführt. Wenn ein eDiscovery-Manager SharePoint- und OneDrive-Websites außerhalb der Region durchsucht, die im Filter für Suchberechtigungen angegeben ist, werden keine Suchergebnisse zurückgegeben.

  • Beim Exportieren von Suchergebnissen aus eDiscovery (Standard) werden Inhalte aus allen Inhaltsspeicherorten (einschließlich Exchange, Skype for Business, SharePoint, OneDrive und anderen Diensten, die Sie mit dem Inhaltssuchetool durchsuchen können) in den Azure Storage-Speicherort im Rechenzentrum hochgeladen, der durch den Parameter Region angegeben wird. Dies hilft Organisationen dabei, die Compliance einzuhalten, indem sie nicht zulassen, dass Inhalte über kontrollierte Grenzen exportiert werden. Wenn im Filter für Suchberechtigungen keine Region angegeben ist, wird der Inhalt in das primäre Rechenzentrum des organization hochgeladen.

    Beim Exportieren von Inhalten aus eDiscovery (Premium) können Sie nicht steuern, wo Inhalte hochgeladen werden, indem Sie den Parameter Region verwenden. Inhalte werden an einen Azure Storage-Speicherort in einem Rechenzentrum am zentralen Standort Ihres organization hochgeladen. Eine Liste der geografischen Standorte basierend auf Ihrem zentralen Standort finden Sie unter Microsoft 365 Multi-Geo eDiscovery-Konfiguration.

  • Sie können einen vorhandenen Filter für Suchberechtigungen bearbeiten, um die Region hinzuzufügen oder zu ändern, indem Sie den folgenden Befehl ausführen:

    Set-ComplianceSecurityFilter -FilterName <Filter name>  -Region <Region>

Verwenden von Compliancegrenzen für SharePoint-Hubwebsites

SharePoint-Hubwebsites orientieren sich häufig an den gleichen geografischen oder Agenturgrenzen, denen eDiscovery-Compliancegrenzen folgen. Das bedeutet, dass Sie die Standort-ID-Eigenschaft des Hubstandorts verwenden können, um eine Konformitätsgrenze zu erstellen. Verwenden Sie dazu das Cmdlet Get-SPOHubSite in SharePoint Online PowerShell, um die SiteId für die Hubwebsite abzurufen, und verwenden Sie diesen Wert dann für die Abteilungs-ID-Eigenschaft, um einen Filter für Suchberechtigungen zu erstellen.

Verwenden Sie die folgende Syntax, um einen Suchberechtigungsfilter für eine SharePoint-Hubwebsite zu erstellen:

New-ComplianceSecurityFilter -FilterName <Filter Name> -Users <User or Group> -Filters "Site_Departmentid -eq '{SiteId of hub site}'"

Hier ist ein Beispiel für das Erstellen eines Suchberechtigungsfilters für eine Hubwebsite für die Agentur Coho Winery:

New-ComplianceSecurityFilter -FilterName "Coho Winery Hub Site Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Site_Departmentid -eq '44252d09-62c4-4913-9eb0-a2a8b8d7f863'"

Einschränkungen der Compliancegrenzen

Beachten Sie bei der Verwaltung von eDiscovery-Fällen und -Untersuchungen, die Compliancegrenzen verwenden, die folgenden Einschränkungen.

  • Beim Erstellen und Ausführen einer Suche können Sie Inhaltsspeicherorte auswählen, die sich außerhalb Ihrer Organisation befinden. Aufgrund des Filters für Suchberechtigungen sind Inhalte aus diesen Speicherorten jedoch nicht in den Suchergebnissen enthalten.

  • Compliancegrenzen gelten nicht für Haltebereiche in eDiscovery-Fällen. Dies bedeutet, dass ein eDiscovery-Manager in einer Organisation einen Benutzer in einer anderen Organisation im Haltebereich platzieren kann. Die Compliance-Begrenzung wird jedoch erzwungen, wenn der eDiscovery-Manager die Inhaltsspeicherorte des Benutzers durchsucht, der in den Haltebereich gesetzt wurde. Dies bedeutet, dass der eDiscovery-Manager nicht in der Lage ist, die Inhaltsspeicherorte des Benutzers zu durchsuchen, auch wenn er den Benutzer im Haltebereich platzieren konnte.

  • Wenn Ihnen ein Filter für Suchberechtigungen (ein Postfach oder ein Websitefilter) zugewiesen ist und Sie versuchen, nicht indizierte Elemente für eine Suche zu exportieren, die alle SharePoint-Websites in Ihrem organization enthält, erhalten Sie die folgende Fehlermeldung: Unable to execute the task. Reason: The scope options UnindexedItemsOnly or BothIndexedandUnindexedItems are not allowed when the executing user has a compliance security filter applied. Wenn Ihnen ein Filter für Suchberechtigungen zugewiesen ist und Sie nicht indizierte Elemente aus SharePoint exportieren möchten, müssen Sie die Suche erneut ausführen und bestimmte SharePoint-Websites für die Suche einschließen. Andernfalls können Sie nur indizierte Elemente aus einer Suche exportieren, die alle SharePoint-Websites umfasst. Weitere Informationen zu den Optionen beim Exportieren von Suchergebnissen finden Sie unter Exportieren von Inhaltssuchergebnissen.

  • Suchberechtigungsfilter werden nicht auf öffentliche Exchange-Ordner angewendet.

  • Unterstützte Suchfilter sind -and, , -like-or, -not-eq, und -ne. Es wird nicht empfohlen, andere Ausschlussfilter (z. B. die Verwendung von -notlike), inotlikeusw. in einem Suchberechtigungsfilter) für eine inhaltsbasierte Konformitätsgrenze zu verwenden. Die Verwendung dieser Ausschlussfilter kann zu unerwarteten Ergebnissen führen, wenn Inhalte mit kürzlich aktualisierten Attributen nicht indiziert wurden.

  • Die Einhaltung der Compliancegrenzen für OneDrive-Websites bei Suchvorgängen kann in folgenden Fällen beeinträchtigt werden:

    • Die Websites (oder zugeordneten Postfächer) werden verschoben oder neu gehostet.
    • Der OneDrive-Besitz wird erneut zugewiesen, oder es werden mehrere Besitzer hinzugefügt.
    • Die OneDrive-Website wird umbenannt/erneut ausgestellt.

    Das Verschieben einer OneDrive-Website kann den Besitz des Inhalts ändern und das Erstellen eines Vermittlungspostfachs umfassen. Wenn diese Ressourcen verschoben werden, besteht die Möglichkeit, dass Inhaltssuchergebnisse über Compliancegrenzen hinweg verfügbar sind. Wenn eine OneDrive-Website erneut zugewiesen, neu benannt oder mehreren Besitzern zugewiesen wird, ist es möglich, dass der Inhalt dieser Websites über Compliancegrenzen hinweg verfügbar ist.

  • Compliancegrenzen für Postfächer können in folgenden Fällen beeinträchtigt werden:

    • Das Postfach ist keinem lizenzierten Benutzer zugeordnet (einschließlich deaktivierter oder gelöschter Benutzer).
    • Ein Postfach wird nicht über Microsoft Entra ID verwaltet oder synchronisiert.

    Darüber hinaus gibt es mehrere Arten von Postfächern, die inhalte während der Suche erstellen können, unabhängig von ihren Compliancegrenzen. Zu diesen Postfachtypen gehören:

    • EquipmentMailbox
    • GuestMailUser
    • LinkedMailbox
    • RoomList
    • RoomMailbox
    • SchedulingMailbox
    • SharedMailbox
    • SystemMailbox
    • TeamMailbox

    Um sicherzustellen, dass die Suche Ihre Compliancegrenzen wie erwartet respektiert, müssen Sie möglicherweise die Berechtigungen und Rollen für die verschobenen Ressourcen aktualisieren.

Weitere Informationen

  • Wenn ein Postfach entlizenziert oder vorläufig gelöscht wird, wird der Benutzer nicht mehr innerhalb der Compliancegrenze berücksichtigt. Wenn für das Postfach beim Löschen ein Haltefeld platziert wurde, unterliegt der im Postfach beibehaltene Inhalt weiterhin einem Filter für Kompatibilitätsgrenzen oder Suchberechtigungen.
  • Wenn Compliancegrenzen und Filter für Suchberechtigungen für einen Benutzer implementiert sind, empfehlen wir, das Postfach eines Benutzers und nicht dessen OneDrive-Konto zu löschen. Anders ausgedrückt: Wenn Sie das Postfach eines Benutzers löschen, sollten Sie auch das OneDrive-Konto des Benutzers entfernen, da mailbox_RecipientFilter verwendet wird, um den Suchberechtigungsfilter für OneDrive zu erzwingen.
  • Kompatibilitätsgrenzen und Suchberechtigungsfilter hängen von Attributen ab, die für Inhalte in Exchange, OneDrive und SharePoint gestempelt werden, und von der nachfolgenden Indizierung dieses gestempelten Inhalts.

Häufig gestellte Fragen

Wer kann Filter für Suchberechtigungen erstellen und verwalten (mit New-ComplianceSecurityFilter- und Set-ComplianceSecurityFilter-Cmdlets)?

Zum Erstellen, Anzeigen und Ändern von Suchberechtigungsfiltern müssen Sie Mitglied der Rollengruppe Organisationsverwaltung im Complianceportal sein.

Wenn ein eDiscovery-Manager mehreren Rollengruppen zugewiesen ist, die mehrere Agenturen umfasst, wie sucht er dann in der einen oder anderen Agentur nach Inhalten?

Der eDiscovery-Manager kann seiner Suchabfrage Parameter hinzufügen, die die Suche auf eine bestimmte Agentur beschränken. Wenn beispielsweise ein organization die CustomAttribute10-Eigenschaft angegeben hat, um Agenturen zu unterscheiden, kann er Folgendes an seine Suchabfrage an die Suche nach Postfächern und OneDrive-Konten in einer bestimmten Agentur anfügen: CustomAttribute10:<value>.

Was geschieht, wenn der Wert des Attributs, das als Kompatibilitätsattribut in einem Suchberechtigungsfilter verwendet wird, geändert wird?

Es dauert bis zu drei Tage, bis ein Filter für Suchberechtigungen die Konformitätsgrenze erzwingt, wenn der Wert des attributs, das im Filter verwendet wird, geändert wird. Angenommen, im Contoso-Szenario wird ein Benutzer der Fourth Coffee-Agentur an die Agentur Coho Winery übertragen. Daher wird der Wert des Department-Attributs für das Benutzerobjekt von FourthCoffee in CohoWinery geändert. In dieser Situation erhalten Fourth Coffee eDiscovery und Investoren bis zu drei Tage lang Suchergebnisse für diesen Benutzer, nachdem das Attribut geändert wurde. Ebenso dauert es bis zu drei Tage, bis Coho Winery eDiscovery-Manager und Ermittler Suchergebnisse für den Benutzer erhalten.

Kann ein eDiscovery-Manager Inhalte aus zwei separaten Compliancegrenzen anzeigen?

Ja, dies kann beim Durchsuchen von Exchange-Postfächern erfolgen, indem Sie den eDiscovery-Manager zu Rollengruppen hinzufügen, die sichtbarkeit für beide Agenturen haben. Beim Durchsuchen von SharePoint-Websites und OneDrive-Konten kann ein eDiscovery-Manager jedoch nur dann nach Inhalten in unterschiedlichen Compliancegrenzen suchen, wenn sich die Agenturen in derselben Region oder am gleichen geografischen Standort befinden. Hinweis: Diese Einschränkung für Websites gilt nicht in eDiscovery (Premium), da die Suche nach Inhalten in SharePoint und OneDrive nicht an den geografischen Standort gebunden ist.

Funktionieren Suchberechtigungsfilter für eDiscovery-Fallsperren, Microsoft 365-Aufbewahrungsrichtlinien oder DLP?

Nein, derzeit nicht.

Wenn ich eine Region angibt, um zu steuern, wo Inhalte exportiert werden, aber keine SharePoint-organization in dieser Region habe, kann ich dann trotzdem sharePoint durchsuchen?

Wenn die im Filter für Suchberechtigungen angegebene Region in Ihrem organization nicht vorhanden ist, wird die Standardregion durchsucht.

Wie viele Suchberechtigungsfilter können maximal in einem organization erstellt werden?

Die Anzahl der Suchberechtigungsfilter, die in einer Organisation erstellt werden können, ist unbegrenzt. Eine Suchanfrage kann jedoch bis zu 100 Bedingungen enthalten. In diesem Fall wird eine Bedingung als etwas definiert, das durch einen booleschen Operator (z. B. AND, OR und NEAR) mit der Abfrage verbunden ist. Der Grenzwert der Anzahl von Bedingungen umfasst die Suchabfrage selbst sowie alle Filter für Suchberechtigungen, die auf den Benutzer angewendet werden, der die Suche ausführt. Je mehr Suchberechtigungsfilter Sie also haben (insbesondere wenn diese Filter auf denselben Benutzer oder dieselbe Benutzergruppe angewendet werden), desto größer ist die Wahrscheinlichkeit, dass die maximale Anzahl von Bedingungen für eine Suche überschritten wird.

Um zu verstehen, wie dieser Grenzwert funktioniert, müssen Sie wissen, dass ein Filter für Suchberechtigungen an die Suchabfrage angefügt wird, wenn eine Suche ausgeführt wird. Ein Filter für Suchberechtigungen wird mit der Suchabfrage durch den booleschen OPERATOR AND verknüpft. Die Abfragelogik für die Suchabfrage und ein einzelner Filter für Suchberechtigungen würden wie folgt aussehen:

<SearchQuery> AND <PermissionsFilter>

Mehrere Suchberechtigungsfilter werden durch den booleschen OR-Operator kombiniert, und dann werden diese Bedingungen durch den AND-Operator mit der Suchabfrage verbunden.

Die Abfragelogik für die Suchabfrage und mehrere Suchberechtigungsfilter würde wie folgt aussehen:

<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)

Es ist möglich, dass die Suchabfrage selbst aus mehreren Bedingungen besteht, die durch boolesche Operatoren verbunden sind. Jede Bedingung in der Suchabfrage würde auch auf den Grenzwert von 100 Bedingungen angerechnet.

Außerdem hängt die Anzahl von Suchberechtigungsfiltern, die an eine Abfrage angefügt werden, vom Benutzer ab, der die Suche ausführt. Wenn ein bestimmter Benutzer eine Suche ausführt, werden die Filter für Suchberechtigungen, die auf den Benutzer angewendet werden (der durch den Parameter Users im Filter definiert wird) an die Abfrage angefügt. Ihre organization könnte Hunderte von Filtern für Suchberechtigungen aufweisen. Wenn jedoch mehr als 100 Filter auf dieselben Benutzer angewendet werden, wird wahrscheinlich der Grenzwert von 100 Bedingungen überschritten, wenn diese Benutzer Suchvorgänge ausführen.

Es gibt noch eine weitere Sache, die Sie hinsichtlich des Bedingungslimits beachten sollten. Die Anzahl bestimmter SharePoint-Websites, die in den Filtern für Suchabfragen oder Suchberechtigungen enthalten sind, wird ebenfalls auf diesen Grenzwert angerechnet.

Um zu verhindern, dass Ihre organization den Grenzwert für Bedingungen erreichen, behalten Sie die Anzahl der Filter für Suchberechtigungen in Ihrem organization so wenig wie möglich bei, um Ihre geschäftsspezifischen Anforderungen zu erfüllen.