Configurar el filtrado de permisos para Búsqueda de contenidoConfigure permissions filtering for Content Search

Puede usar el filtrado de permisos de búsqueda para permitir que un administrador de exhibición de documentos electrónicos busque solo en un subconjunto de buzones y sitios de la organización.You can use search permissions filtering to let an eDiscovery manager search only a subset of mailboxes and sites in your organization. También puede utilizar el filtrado de permisos para permitir que ese mismo administrador de exhibición de documentos electrónicos busque solo contenido de los buzones o los sitios que cumpla unos criterios concretos de búsqueda.You can also use permissions filtering to let that same eDiscovery manager search only for mailbox or site content that meets a specific search criteria. Por ejemplo, puede permitir que un administrador de exhibición de documentos electrónicos busque solo en los buzones de usuarios de un departamento o una ubicación en concreto.For example, you might let an eDiscovery manager search only the mailboxes of users in a specific location or department. Para ello, cree un filtro que use un filtro de destinatarios compatible para limitar los buzones que puede buscar un usuario o grupo de usuarios específico.You do this by creating a filter that uses a supported recipient filter to limit which mailboxes a specific user or group of users can search. También puede crear un filtro que especifique qué contenido de buzón puede buscar el usuario.You can also create a filter that specifies what mailbox content a user can search for. Para ello, debe crear un filtro que utilice una propiedad de mensaje que pueda buscarse.This is done by creating a filter that uses a searchable message property. De forma similar, puede permitir que un administrador de eDiscovery busque en sitios específicos de SharePoint en la organización.Similarly, you can let an eDiscovery manager search only specific SharePoint sites in your organization. Para hacerlo, debe crear un filtro que limite en qué sitio puede buscarse.You do this by creating a filter that limits which site can be searched. También puede crear un filtro que especifique qué contenido del sitio puede buscarse.You can also create a filter that specifies what site content can be searched. Para ello, debe crear un filtro que utilice una propiedad de sitio que pueda buscarse.This is done by creating a filter that uses a searchable site property.

También puede usar el filtrado de permisos de búsqueda para crear límites lógicos (denominados límites de cumplimiento) en una organización que controle las ubicaciones de contenido de usuario (como buzones de correo, sitios de SharePoint y cuentas de OneDrive) que los administradores de eDiscovery específicos pueden buscar.You can also use search permissions filtering to create logical boundaries (called compliance boundaries) within an organization that control the user content locations (such as mailboxes, SharePoint sites, and OneDrive accounts) that specific eDiscovery managers can search. Para obtener más información, consulte configurar límites de cumplimiento para investigaciones de eDiscovery en Office 365.For more information, see Set up compliance boundaries for eDiscovery investigations in Office 365.

El filtrado de permisos de búsqueda es compatible con la característica de búsqueda de contenido en el centro de seguridad & cumplimiento.Search permissions filtering is supported by the Content Search feature in the Security & Compliance Center. Estos cuatro cmdlets le permiten configurar y administrar los filtros de permisos de búsqueda:These four cmdlets let you configure and manage search permissions filters:

New-ComplianceSecurityFilterNew-ComplianceSecurityFilter

Get-ComplianceSecurityFilterGet-ComplianceSecurityFilter

Set-ComplianceSecurityFilterSet-ComplianceSecurityFilter

Remove-ComplianceSecurityFilterRemove-ComplianceSecurityFilter

Requisitos para configurar el filtrado de permisosRequirements to configure permissions filtering

  • Para ejecutar los cmdlets de filtro de seguridad de cumplimiento, debe ser miembro del grupo de roles de administración de la organización en el centro de seguridad & cumplimiento.To run the compliance security filter cmdlets, you have to be a member of the Organization Management role group in the Security & Compliance Center. Para obtener más información, vea Permisos en el Centro de seguridad y cumplimiento.For more information, see Permissions in the Security & Compliance Center.

  • Tiene que conectar Windows PowerShell al centro de seguridad & cumplimiento y a la organización de Exchange Online para usar los cmdlets de filtro de seguridad de cumplimiento.You have to connect Windows PowerShell to both the Security & Compliance Center and to your Exchange Online organization to use the compliance security filter cmdlets. Esto es necesario porque estos cmdlets necesitan acceso a las propiedades del buzón, que es por qué tiene que conectarse a Exchange Online.This is necessary because these cmdlets require access to mailbox properties, which is why you have to connect to Exchange Online. Vea los pasos en la sección siguiente.See the steps in the next section.

  • Consulte la sección More information para obtener información adicional acerca de los filtros de permisos de búsqueda.See the More information section for additional information about search permissions filters.

  • El filtrado de permisos de búsqueda se aplica a los buzones inactivos, lo que significa que puede usar el filtrado de contenido de buzones y buzones para limitar quién puede buscar en un buzón inactivo.Search permissions filtering is applicable to inactive mailboxes, which means you can use mailbox and mailbox content filtering to limit who can search an inactive mailbox. Consulte la sección More Information para obtener información adicional acerca del filtrado de permisos y de los buzones inactivos.See the More information section for additional information about permissions filtering and inactive mailboxes.

  • El filtrado de permisos de búsqueda no se puede usar para limitar quién puede buscar en las carpetas públicas de Exchange.Search permissions filtering can't be used to limit who can search public folders in Exchange.

  • No hay ningún límite en el número de filtros de permisos de búsqueda que se pueden crear en una organización.There is no limit to the number of search permissions filters that can be created in an organization. Pero el rendimiento de la búsqueda se verá afectado cuando haya más de 100 filtros de permisos de búsqueda.But search performance will be impacted when there are more than 100 search permissions filters. Para mantener el número de filtros de permisos de búsqueda en la organización tan pequeños como sea posible, cree filtros que combinen las reglas para Exchange, SharePoint y OneDrive en un único filtro siempre que sea posible.To keep the number of search permissions filters in your organization as small as possible, create filters that combine rules for Exchange, SharePoint, and OneDrive in a single filter whenever possible.

Conectarse al centro de seguridad & cumplimiento y a Exchange online en una única sesión de PowerShell en remotoConnect to the Security & Compliance Center and Exchange Online in a single remote PowerShell session

  1. Guarde el siguiente texto en un archivo de script de Windows PowerShell mediante un sufijo de nombre de archivo de . PS1.Save the following text to a Windows PowerShell script file by using a filename suffix of .ps1. Por ejemplo, puede guardarlo en un archivo denominado ConnectEXO-CC.ps1.For example, you could save it to a file named ConnectEXO-CC.ps1.

    $UserCredential = Get-Credential
    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell-liveid -Credential $UserCredential -Authentication Basic -AllowRedirection
    Import-PSSession $Session -DisableNameChecking
    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid -Credential $UserCredential -Authentication Basic -AllowRedirection
    Import-PSSession $Session -AllowClobber -DisableNameChecking
    $Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Exchange Online + Compliance Center)"
    
  2. En el equipo local, abra Windows PowerShell, vaya a la carpeta en la que se encuentra el script creado en el paso anterior y, a continuación, ejecute el script. por ejemplo:On your local computer, open Windows PowerShell, go to the folder where the script that you created in the previous step is located, and then run the script; for example:

    .\ConnectEXO-CC.ps1
    

¿Cómo se sabe si se ha completado correctamente?How do you know if this worked? Después de ejecutar el script, los cmdlets del centro de seguridad & cumplimiento y Exchange Online se importan a la sesión local de Windows PowerShell.After you run the script, cmdlets from the Security & Compliance Center and Exchange Online are imported into your local Windows PowerShell session. Si no se muestra ningún error, la conexión se habrá establecido correctamente.If you don't receive any errors, you connected successfully. Una prueba rápida es ejecutar un cmdlet del centro de cumplimiento de & de seguridad y un cmdlet de Exchange Online.A quick test is to run a Security & Compliance Center cmdlet and an Exchange Online cmdlet. Por ejemplo, puede ejecutar install-UnifiedCompliancePrerequisite y Get-Mailbox.For example, you can run Install-UnifiedCompliancePrerequisite and Get-Mailbox.

Si surgen errores, compruebe los requisitos siguientes:If you receive errors, check the following requirements:

  • Un problema habitual es una contraseña incorrecta. Vuelva a realizar los dos pasos y preste especial atención al nombre de usuario y la contraseña que escriba en el paso 1.A common problem is an incorrect password. Run the two steps again and pay close attention to the user name and password you enter in Step 1.

  • Compruebe que la cuenta tiene permiso para obtener acceso al centro de seguridad & cumplimiento.Verify that your account has permission to access the Security & Compliance Center. Para obtener más información, vea conceder acceso a los usuarios al centro de seguridad & cumplimiento.For details, see Give users access to the Security & Compliance Center.

  • Para evitar que se produzcan ataques por denegación de servicio (DoS), solo se pueden tener abiertas tres conexiones remotas de PowerShell al centro de seguridad & cumplimiento.To help prevent denial-of-service (DoS) attacks, you're limited to three open remote PowerShell connections to the Security & Compliance Center.

  • Windows PowerShell debe estar configurado para ejecutar scripts.Windows PowerShell must be configured to run scripts. Esto solo tiene que realizarse una vez, no cada vez que se conecte.This only has to be done once, not every time you connect. Para hacer que Windows PowerShell ejecute scripts firmados, ejecute el siguiente comando en una ventana de Windows PowerShell con permisos elevados (o sea, una ventana de Windows PowerShell que se abre seleccionando Ejecutar como administrador).To enable Windows PowerShell to run signed scripts, run the following command in an elevated Windows PowerShell window (a Windows PowerShell window you opened by selecting Run as administrator).

    Set-ExecutionPolicy RemoteSigned
    
  • Debe abrir el tráfico del puerto TCP 80 entre su equipo local y Office 365.TCP port 80 traffic needs to be open between your local computer and Office 365. Probablemente esté abierto, pero es un aspecto que se debe tener en cuenta si la directiva de acceso a Internet de su organización es restrictiva.It's probably open, but it's something to consider if your organization has a restrictive Internet access policy.

New-ComplianceSecurityFilterNew-ComplianceSecurityFilter

El New-ComplianceSecurityFilter se usa para crear un filtro de permisos de búsqueda.The New-ComplianceSecurityFilter is used to create a search permissions filter. En la siguiente tabla se describen los parámetros de este cmdlet.The following table describes the parameters for this cmdlet. Todos los parámetros son necesarios para crear un filtro de seguridad de cumplimiento.All parameters are required to create a compliance security filter.

ParámetroParameter DescripciónDescription
ActionAction
El parámetro Action especifica el tipo de acción de búsqueda al que se aplica el filtro.The Action parameter specifies that type of search action that the filter is applied to. Las acciones de Búsqueda de contenido posibles son:The possible Content Search actions are:

Exportar: El filtro se aplica al exportar los resultados de la búsqueda.Export: The filter is applied when exporting search results.
Vista previa: El filtro se aplica al obtener una vista previa de los resultados de búsqueda.Preview: The filter is applied when previewing search results.
Purgar: El filtro se aplica cuando se depuran los resultados de búsqueda.Purge: The filter is applied when purging search results.
Búsqueda: El filtro se aplica cuando se ejecuta una búsqueda.Search: The filter is applied when running a search.
Todo: El filtro se aplica a todas las acciones de búsqueda.All: The filter is applied to all search actions.
FilterNameFilterName
El parámetro filtername especifica el nombre del filtro de permisos.The FilterName parameter specifies the name of the permissions filter. Este nombre sirve para identificar un filtro al utilizar los cmdlets Get ComplianceSecurityFilter, Set-ComplianceSecurityFilter y Remove-ComplianceSecurityFilter.This name is used to identity a filter when using the Get-ComplianceSecurityFilter, Set-ComplianceSecurityFilter, and Remove-ComplianceSecurityFilter cmdlets.
FiltrosFilters
El parámetro Filters especifica los criterios de búsqueda para el filtro de seguridad de cumplimiento.The Filters parameter specifies the search criteria for the compliance security filter. Puede crear tres tipos de filtros diferentes:You can create three different types of filters:

Filtrado de buzones: Este tipo de filtro especifica los buzones que pueden buscar los usuarios asignados (especificados por el parámetro users ).Mailbox filtering: This type of filter specifies the mailboxes the assigned users (specified by the Users parameter) can search. La sintaxis de este tipo de filtro es Mailbox_ MailboxPropertyName, donde MailboxPropertyName especifica una propiedad de buzón que se usa para establecer el ámbito de los buzones que se pueden buscar.The syntax for this type of filter is Mailbox_ MailboxPropertyName, where MailboxPropertyName specifies a mailbox property used to scope the mailboxes that can be searched. Por ejemplo, el filtro de buzón "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" permitiría al usuario asignado a este filtro buscar solo los buzones que tengan el valor "OttawaUsers" en la propiedad CustomAttribute10.For example, the mailbox filter "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" would allow the user assigned this filter to search only the mailboxes that have the value "OttawaUsers" in the CustomAttribute10 property.
Se puede usar cualquier propiedad de destinatario filtrable admitida para la propiedad MailboxPropertyName .Any supported filterable recipient property can be used for the MailboxPropertyName property. Para obtener una lista de las propiedades admitidas, vea filterable Properties for the-RecipientFilter Parameter.For a list of supported properties, see Filterable properties for the -RecipientFilter parameter.

Filtrado de contenido de buzones: Este tipo de filtro se aplica al contenido que se puede buscar.Mailbox content filtering: This type of filter is applied on the content that can be searched. Especifica el contenido del buzón que los usuarios asignados pueden buscar.It specifies the mailbox content the assigned users can search for. La sintaxis de este tipo de filtro es MailboxContent_ SearchablePropertyName: Value, donde SearchablePropertyName especifica una propiedad de lenguaje de consulta de palabras clave (KQL) que se puede especificar en una búsqueda de contenido.The syntax for this type of filter is MailboxContent_ SearchablePropertyName: value, where SearchablePropertyName specifies a Keyword Query Language (KQL) property that can be specified in a Content Search. Por ejemplo, el filtro de contenido buzón MailboxContent_recipients:contoso.com permite que el usuario asignado a este filtro solo busque mensajes enviados a destinatarios en el dominio contoso.com.For example, the mailbox content filter MailboxContent_recipients:contoso.com would allow the user assigned this filter to only search for messages sent to recipients in the contoso.com domain.
Para obtener una lista de las propiedades de los mensajes que permiten búsquedas, consulte Keyword queries and search conditions for Content Search.For a list of searchable message properties, see Keyword queries and search conditions for Content Search.

Importante: Un único filtro de búsqueda no puede contener un filtro de buzón y un filtro de contenido de buzón.Important: A single search filter can't contain a mailbox filter and a mailbox content filter. Para combinarlas en un solo filtro, tiene que usar una lista de filtros.To combine these in a single filter, you have to use a filters list. Pero un filtro puede contener una consulta más compleja del mismo tipo.But a filter can contain a more complex query of the same type. Por ejemplo, "Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"For example, "Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"

Filtrado de sitio y contenido de sitio: Hay dos filtros relacionados con el sitio de SharePoint y OneDrive para la empresa que puede usar para especificar el sitio o el contenido del sitio que los usuarios asignados pueden buscar:Site and site content filtering: There are two SharePoint and OneDrive for Business site-related filters that you can use to specify what site or site content the assigned users can search:

- Site_ SearchableSiteProperty- Site_ SearchableSiteProperty
- SiteContent_ SearchableSiteProperty- SiteContent_ SearchableSiteProperty

Estos dos filtros son intercambiables.These two filters are interchangeable. Por ejemplo, "Site_Path -like 'https://contoso.sharepoint.com/sites/doctors*'" y "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors*'" devuelven los mismos resultados.For example, "Site_Path -like 'https://contoso.sharepoint.com/sites/doctors*'" and "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors*'" return the same results. Pero para ayudarle a identificar lo que hace un filtro, puede usar Site_ para especificar propiedades relacionadas con el sitio (como una dirección URL del sitio) y SiteContent_ para especificar propiedades relacionadas con el contenido (como tipos de documentos.But to help you identify what a filter does, you can use Site_ to specify site-related properties (such as a site URL) and SiteContent_ to specify content-related properties (such as document types. Por ejemplo, el filtro "Site_Path -like 'https://contoso.sharepoint.com/sites/doctors*'" permite que el usuario asignado a este filtro solo busque contenido en la https://contoso.sharepoint.com/sites/doctors colección de sitios.For example, the filter "Site_Path -like 'https://contoso.sharepoint.com/sites/doctors*'" would allow the user assigned this filter to only search for content in the https://contoso.sharepoint.com/sites/doctors site collection. El filtro "SiteContent_FileExtension -eq 'docx'" permitiría que el usuario asignado a este filtro sólo buscara documentos de Word (Word 2007 y versiones posteriores).The filter "SiteContent_FileExtension -eq 'docx'" would allow the user assigned this filter to only search for Word documents (Word 2007 and later).

Para obtener una lista de las propiedades de sitio que permiten búsquedas, vea información general sobre las propiedades administradas y rastreadas en SharePoint.For a list of searchable site properties, see Overview of crawled and managed properties in SharePoint. Las propiedades marcadas con en la columna consultable se pueden usar para crear un filtro de contenido de sitio o sitio.Properties marked with a Yes in the Queryable column can be used to create a site or site content filter.

Importante: Tiene que crear un filtro de permisos de búsqueda para impedir explícitamente que los usuarios busquen ubicaciones de contenido en un servicio específico (como evitar que un usuario busque en cualquier buzón de Exchange o en cualquier sitio de SharePoint).Important: You have to create a search permissions filter to explicitly prevent users from searching content locations in a specific service (such as preventing a user from searching any Exchange mailbox or any SharePoint site). Es decir, la creación de un filtro de permisos de búsqueda que permita a un usuario buscar en todos los sitios de SharePoint de la organización no impide que el usuario busque buzones de correo.In other words, creating a search permissions filter that allows a user to search all SharePoint sites in the organization doesn't prevent that user from searching mailboxes. Por ejemplo, para permitir que los administradores de SharePoint solo busquen sitios de SharePoint, tiene que crear un filtro que les impida buscar buzones de correo.For example, to allow SharePoint admins to only search SharePoint sites, you have to create a filter that prevents them from searching mailboxes. De forma similar, para permitir que los administradores de Exchange solo busquen buzones de correo, debe crear un filtro que les impida buscar en sitios.Similarly, to allow Exchange admins to only search mailboxes, you have to create a filter that prevents them from searching sites.
UsuariosUsers
El parámetro users especifica los usuarios que obtienen este filtro aplicado a sus búsquedas de contenido.The Users parameter specifies the users who get this filter applied to their Content Searches. Identifique a los usuarios por su alias o su dirección SMTP principal.Identify users by their alias or primary SMTP address. Se pueden especificar varios valores separados por comas, o bien puede asignar el filtro a todos los usuarios con el valor Todos.You can specify multiple values separated by commas, or you can assign the filter to all users by using the value All.
También puede usar el parámetro users para especificar un grupo de funciones del centro de cumplimiento de & de seguridad.You can also use the Users parameter to specify a Security & Compliance Center role group. Así, podrá crear un grupo de roles personalizado y, a continuación, asignar a ese grupo de roles un filtro de permisos de búsqueda.This lets you create a custom role group and then assign that role group a search permissions filter. Por ejemplo, supongamos que tiene un grupo de roles personalizado para los administradores de exhibición de documentos electrónicos de la sede en los Estados Unidos de una compañía multinacional.For example, let's say you have a custom role group for eDiscovery managers for the U.S. subsidiary of a multi-national corporation. Puede usar el parámetro users para especificar este grupo de funciones (mediante la propiedad Name del grupo de funciones) y, a continuación, usar el parámetro Filter para permitir que solo se busque en los buzones de los Estados Unidos.You can use the Users parameter to specify this role group (by using the Name property of the role group) and then use the Filter parameter to allow only mailboxes in the U.S. to be searched.
Con este parámetro no es posible especificar grupos de distribución.You can't specify distribution groups with this parameter.

Uso de una lista de filtros para combinar tipos de filtrosUsing a filters list to combine filter types

Una lista de filtros es un filtro que incluye un filtro de buzón y un filtro de sitio separados por una coma.A filters list is a filter that includes a mailbox filter and a site filter separated by a comma. El único método admitido para combinar distintos tipos de filtros es usar una lista de filtros.Using a filters list is the only supported method for combining different types of filters. En el ejemplo siguiente, observe que una coma separa los filtros de buzón de correo y sitio :In the following example, notice that a comma separates the Mailbox and Site filters:

-Filters "Mailbox_CustomAttribute10 -eq 'OttawaUsers'", "Site_Path -like 'https://contoso.sharepoint.com/sites/doctors*'"

Cuando se procesa un filtro que contiene una lista de filtros durante la ejecución de una búsqueda de contenido, se crean dos filtros de permisos de búsqueda a partir de la lista Filtros: uno para cada filtro que está separado por una coma.When a filter that contains a filters list is processed during the running of a content search, two search permissions filters are created from the filters list: One for each filter that's separated by a comma. Por lo tanto, en el ejemplo anterior, se crear? un filtro de permisos de búsqueda de buzones de correo y un filtro de permisos de búsqueda de sitio.So in the previous example, one mailbox search permissions filter and one site search permissions filter would be created.

Una alternativa al uso de una lista de filtros sería crear dos filtros de permisos de búsqueda independientes.An alternative to using a filters list would be to create two separate search permissions filters. Por lo tanto, en el ejemplo anterior, crearía un filtro para el atributo Mailbox y un filtro para el atributo site.So in the previous example, you'd create one filter for the mailbox attribute and one filter for the site attribute. En cualquier caso, los resultados son los mismos.In either case, the results are the same. El uso de una lista de filtros o la creación de filtros de permisos de búsqueda independientes es una cuestión de preferencia.Using a filters list or creating separate search permissions filters is a matter of preference.

Tenga en cuenta lo siguiente en cuanto al uso de una lista de filtros:Keep the following things in mind about using a filters list:

  • Tiene que usar una lista de filtros para crear un filtro que incluya un filtro de buzón y un filtro de MailboxContent .You have to use a filters list to create a filter that includes a Mailbox filter and a MailboxContent filter.

  • Como se sugirió anteriormente, no es necesario usar una lista de filtros para incluir un sitio y un filtro de SiteContent en un único filtro de permisos de búsqueda.As previously suggested, you don't have to use a filters list to include a Site and a SiteContent filter in a single search permissions filter. Por ejemplo, puede combinar los filtros de sitio y de SiteContent mediante un operador -or .For example, you can combine Site and a SiteContent filters using an -or operator.

    -Filters "Site_ComplianceAttribute -eq 'FourthCoffee' -or Site_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'"
    
  • Cada componente de una lista de filtros puede contener una sintaxis de filtro compleja.Each component of a filters list can contain a complex filter syntax. Por ejemplo, los filtros buzón de correo y sitio pueden contener varios filtros separados por un operador or :For example, the mailbox and site filters can contain multiple filters separated by an -or operator:

    -Filters "Mailbox_Department -eq 'CohoWinery' -or Mailbox_CustomAttribute10 -eq 'CohoUsers'", "Site_ComplianceAttribute -eq 'CohoWinery' -or Site_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'"
    

Ejemplos de creación de filtros de permisos de búsquedaExamples of creating search permissions filters

Vea a continuación ejemplos del uso del cmdlet New-ComplianceSecurityFilter para crear un filtro de permisos de búsqueda.Here are examples of using the New-ComplianceSecurityFilter cmdlet to create a search permissions filter.

Este ejemplo permite al usuario annb@contoso.com realizar todas las acciones de búsqueda de contenido solo para los buzones en Canadá.This example allows the user annb@contoso.com to perform all Content Search actions only for mailboxes in Canada. Este filtro contiene el código de país numérico de tres dígitos correspondiente a Canadá según la ISO 3166-1.This filter contains the three-digit numeric country code for Canada from ISO 3166-1.

New-ComplianceSecurityFilter -FilterName CountryFilter  -Users annb@contoso.com -Filters "Mailbox_CountryCode  -eq '124'" -Action All

En este ejemplo se permite que los usuarios ' donh y suzanf busquen solo los buzones que tienen el valor ' Marketing ' para la propiedad de buzón CustomAttribute1.This example allows the users' donh and suzanf to search only the mailboxes that have the value 'Marketing' for the CustomAttribute1 mailbox property.

New-ComplianceSecurityFilter -FilterName MarketingFilter  -Users donh,suzanf -Filters "Mailbox_CustomAttribute1  -eq 'Marketing'" -Action Search

En este ejemplo se permite que los miembros del grupo de roles "Administradores de detección de EE. UU." realicen todas las acciones de Búsqueda de contenido solo en los buzones de Estados Unidos. Este filtro contiene el código de país numérico de tres dígitos correspondiente a Estados Unidos según la ISO 3166-1.This example allows members of the "US Discovery Managers" role group to perform all Content Search actions only on mailboxes in the United States. This filter contains the three-digit numeric country code for the United States from ISO 3166-1.

New-ComplianceSecurityFilter -FilterName USDiscoveryManagers  -Users "US Discovery Managers" -Filters "Mailbox_CountryCode  -eq '840'" -Action All

En este ejemplo se permite que los miembros del grupo de roles eDiscovery Manager busquen solo los buzones de los miembros del grupo de distribución de usuarios de Ottawa.This example allows members of the eDiscovery Manager role group to search only the mailboxes of members of the Ottawa Users distribution group. El cmdlet Get-DistributionGroup de Exchange Online PowerShell se usa para buscar los miembros del grupo de usuarios de Ottawa.The Get-DistributionGroup cmdlet in Exchange Online PowerShell is used to find the members of the Ottawa Users group.

$DG = Get-DistributionGroup "Ottawa Users"
New-ComplianceSecurityFilter -FilterName DGFilter  -Users eDiscoveryManager -Filters "Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'" -Action Search

En este ejemplo se evita que cualquier usuario elimine contenido de los buzones de los miembros del grupo de distribución Executive Team.This example prevents any user from deleting content from the mailboxes of members of the Executive Team distribution group. El cmdlet Get-DistributionGroup de Exchange Online PowerShell se usa para encontrar los miembros del grupo de equipos ejecutivos.The Get-DistributionGroup cmdlet in Exchange Online PowerShell is used to find the members of the Executive Team group.

$DG = Get-DistributionGroup "Executive Team"
New-ComplianceSecurityFilter -FilterName NoExecutivesPreview  -Users All -Filters "Mailbox_MemberOfGroup -ne '$($DG.DistinguishedName)'" -Action Purge

En este ejemplo se permite a los miembros del grupo de roles personalizado OneDrive eDiscovery Managers buscar solo contenido en las ubicaciones de OneDrive para la empresa de la organización.This example allows members of the OneDrive eDiscovery Managers custom role group to only search for content in OneDrive for Business locations in the organization.

New-ComplianceSecurityFilter -FilterName OneDriveOnly  -Users "OneDrive eDiscovery Managers" -Filters "Site_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Action Search

Nota

Para restringir a los usuarios la búsqueda de sitios específicos, use el filtro Site_Path , como se muestra en el ejemplo anterior.To restrict users to searching specific sites, use the filter Site_Path, as shown in the previous example. El uso de Site_Site no funcionará.Using Site_Site will not work.

En este ejemplo se limita al usuario a realizar todas las acciones de Búsqueda de contenido solo en los mensajes de correo electrónico enviados durante el año natural 2015.This example restricts the user to performing all Content Search actions only on email messages sent during the calendar year 2015.

New-ComplianceSecurityFilter -FilterName EmailDateRestrictionFilter -Users donh@contoso.com -Filters "MailboxContent_Received -ge '01-01-2015' -and MailboxContent_Received -le '12-31-2015'" -Action All

De forma parecida al ejemplo anterior, este ejemplo limita al usuario a realizar todas las acciones de Búsqueda de contenido solo en los documentos que se modificaron por última vez durante el año natural 2015.Similar to the previous example, this example restricts the user to performing all Content Search actions on documents that were last changed sometime in the calendar year 2015.

New-ComplianceSecurityFilter -FilterName DocumentDateRestrictionFilter -Users donh@contoso.com -Filters "SiteContent_LastModifiedTime -ge '01-01-2015' -and SiteContent_LastModifiedTime -le '12-31-2015'" -Action All

En este ejemplo se impide que los miembros del grupo de roles "OneDrive Discovery Managers" realicen acciones de búsqueda de contenido en cualquier buzón de correo de la organización.This example prevents members of the "OneDrive Discovery Managers" role group from performing content search actions on any mailbox in the organization.

New-ComplianceSecurityFilter -FilterName NoEXO -Users "OneDrive Discovery Managers" -Filters "Mailbox_Alias -notlike '*'"  -Action All

En este ejemplo se impide que todos los usuarios de la organización busquen mensajes de correo electrónico enviados o recibidos por Jane o Sara.This example prevents anyone in the organization from searching for email messages that were sent or received by janets or sarad.

New-ComplianceSecurityFilter -FilterName NoSaraJanet -Users All -Filters "MailboxContent_Participants -notlike 'janets@contoso.onmicrosoft.com' -and MailboxContent_Participants -notlike 'sarad@contoso.onmicrosoft.com'" -Action Search

En este ejemplo se usa una lista de filtros para combinar los filtros de buzón de correo y de sitio.This example uses a filters list to combine mailbox and site filters.

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "Site_ComplianceAttribute -eq 'CohoWinery' -or Site_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'" -Action ALL

Get-ComplianceSecurityFilterGet-ComplianceSecurityFilter

El Get-ComplianceSecurityFilter se usa para devolver una lista de filtros de permisos de búsqueda.The Get-ComplianceSecurityFilter is used to return a list of search permissions filters. Utilice el parámetro filtername para devolver información de un filtro de búsqueda específico.Use the FilterName parameter to return information for a specific search filter.

Set-ComplianceSecurityFilterSet-ComplianceSecurityFilter

El set-ComplianceSecurityFilter se usa para modificar un filtro de permisos de búsqueda existente.The Set-ComplianceSecurityFilter is used to modify an existing search permissions filter. El único parámetro obligatorio es filtername.The only required parameter is FilterName.

ParámetroParameter DescripciónDescription
ActionAction El parámetro Action especifica el tipo de acción de búsqueda al que se aplica el filtro.The Action parameter specifies that type of search action that the filter is applied to. Las acciones de Búsqueda de contenido posibles son:The possible Content Search actions are:

Exportar: El filtro se aplica al exportar los resultados de la búsqueda.Export: The filter is applied when exporting search results.
Vista previa: El filtro se aplica al obtener una vista previa de los resultados de búsqueda.Preview: The filter is applied when previewing search results.
Purgar: El filtro se aplica cuando se depuran los resultados de búsqueda.Purge: The filter is applied when purging search results.
Búsqueda: El filtro se aplica cuando se ejecuta una búsqueda.Search: The filter is applied when running a search.
Todo: El filtro se aplica a todas las acciones de búsqueda.All: The filter is applied to all search actions.
FilterNameFilterName El parámetro filtername especifica el nombre del filtro de permisos.The FilterName parameter specifies the name of the permissions filter.
FiltrosFilters El parámetro Filters especifica los criterios de búsqueda para el filtro de seguridad de cumplimiento.The Filters parameter specifies the search criteria for the compliance security filter. Puede crear dos tipos diferentes de filtros:You can create two different types of filters:

Filtrado de buzones: Este tipo de filtro especifica los buzones que pueden buscar los usuarios asignados (especificados por el parámetro users ).Mailbox filtering: This type of filter specifies the mailboxes the assigned users (specified by the Users parameter) can search. La sintaxis de este tipo de filtro es Mailbox_ MailboxPropertyName, donde MailboxPropertyName especifica una propiedad de buzón que se usa para establecer el ámbito de los buzones que se pueden buscar.The syntax for this type of filter is Mailbox_ MailboxPropertyName, where MailboxPropertyName specifies a mailbox property used to scope the mailboxes that can be searched. Por ejemplo, el filtro de buzón "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" permitiría al usuario asignado a este filtro buscar solo los buzones que tengan el valor "OttawaUsers" en la propiedad CustomAttribute10.For example, the mailbox filter "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" would allow the user assigned this filter to search only the mailboxes that have the value "OttawaUsers" in the CustomAttribute10 property. Se puede usar cualquier propiedad de destinatario filtrable admitida para la propiedad MailboxPropertyName .Any supported filterable recipient property can be used for the MailboxPropertyName property. Para obtener una lista de las propiedades admitidas, vea filterable Properties for the-RecipientFilter Parameter.For a list of supported properties, see Filterable properties for the -RecipientFilter parameter.

Filtrado de contenido de buzones: Este tipo de filtro se aplica al contenido que se puede buscar.Mailbox content filtering: This type of filter is applied on the content that can be searched. Especifica el contenido del buzón que los usuarios asignados pueden buscar.It specifies the mailbox content the assigned users can search for. La sintaxis de este tipo de filtro es MailboxContent_ SearchablePropertyName: Value, donde SearchablePropertyName especifica una propiedad de lenguaje de consulta de palabras clave (KQL) que se puede especificar en una búsqueda de contenido.The syntax for this type of filter is MailboxContent_ SearchablePropertyName:value, where SearchablePropertyName specifies a Keyword Query Language (KQL) property that can be specified in a Content Search. Por ejemplo, el filtro de contenido buzón MailboxContent_recipients:contoso.com permite que el usuario asignado a este filtro solo busque mensajes enviados a destinatarios en el dominio contoso.com.For example, the mailbox content filter MailboxContent_recipients:contoso.com would allow the user assigned this filter to only search for messages sent to recipients in the contoso.com domain. Para obtener una lista de las propiedades de los mensajes que permiten búsquedas, consulte Keyword queries for Content Search.For a list of searchable message properties, see Keyword queries for Content Search.

Filtrado de sitio y contenido de sitio: Hay dos filtros relacionados con el sitio de SharePoint y OneDrive para la empresa que puede usar para especificar el sitio o el contenido del sitio que los usuarios asignados pueden buscar:Site and site content filtering: There are two SharePoint and OneDrive for Business site-related filters that you can use to specify what site or site content the assigned users can search:

- Site_ SearchableSiteProperty- Site_ SearchableSiteProperty
- SiteContentSearchableSiteProperty- SiteContentSearchableSiteProperty

Estos dos filtros son intercambiables.These two filters are interchangeable. Por ejemplo, "Site_Path -like 'https://contoso.spoppe.com/sites/doctors*'" y "SiteContent_Path -like 'https://contoso.spoppe.com/sites/doctors*'" devuelve los mismos resultados.For example, "Site_Path -like 'https://contoso.spoppe.com/sites/doctors*'" and "SiteContent_Path -like 'https://contoso.spoppe.com/sites/doctors*'" returns the same results. Pero para ayudarle a identificar lo que hace un filtro, puede usar Site_ para especificar propiedades relacionadas con el sitio (como una dirección URL del sitio) y SiteContent_ para especificar propiedades relacionadas con el contenido (como tipos de documentos.But to help you identify what a filter does, you can use Site_ to specify site-related properties (such as a site URL) and SiteContent_ to specify content-related properties (such as document types. Por ejemplo, el filtro "Site_Path -like 'https://contoso.spoppe.com/sites/doctors*'" permite que el usuario asignado a este filtro solo busque contenido en la https://contoso.spoppe.com/sites/doctors colección de sitios.For example, the filter "Site_Path -like 'https://contoso.spoppe.com/sites/doctors*'" would allow the user assigned this filter to only search for content in the https://contoso.spoppe.com/sites/doctors site collection. El filtro "SiteContent_FileExtension -eq 'docx'" permitiría que el usuario asignado a este filtro sólo buscara documentos de Word (Word 2007 y versiones posteriores).The filter "SiteContent_FileExtension -eq 'docx'" would allow the user assigned this filter to only search for Word documents (Word 2007 and later).

Para obtener una lista de las propiedades de sitio que permiten búsquedas, vea información general sobre las propiedades administradas y rastreadas en SharePoint.For a list of searchable site properties, see Overview of crawled and managed properties in SharePoint. Las propiedades marcadas con en la columna consultable se pueden usar para crear un filtro de contenido de sitio o sitio.Properties marked with a Yes in the Queryable column can be used to create a site or site content filter.

UsuariosUsers El parámetro users especifica los usuarios que obtienen este filtro aplicado a sus búsquedas de contenido.The Users parameter specifies the users who get this filter applied to their Content Searches. Como se trata de una propiedad de varios valores, especificar un usuario o un grupo de usuarios con este parámetro sobrescribe la lista de usuarios existente.Because this is a multi-value property, specifying a user or group of users with this parameter overwrite the existing list of users. Vea los siguientes ejemplos para ver la sintaxis para agregar y quitar usuarios seleccionados.See the following examples for the syntax to add and remove selected users.

También puede usar el parámetro users para especificar un grupo de funciones del centro de cumplimiento de & de seguridad.You can also use the Users parameter to specify a Security & Compliance Center role group. Así, podrá crear un grupo de roles personalizado y, a continuación, asignar a ese grupo de roles un filtro de permisos de búsqueda.This lets you create a custom role group and then assign that role group a search permissions filter. Por ejemplo, supongamos que tiene un grupo de roles personalizado para los administradores de exhibición de documentos electrónicos de la sede en los Estados Unidos de una compañía multinacional.For example, let's say you have a custom role group for eDiscovery managers for the U.S. subsidiary of a multi-national corporation. Puede usar el parámetro users para especificar este grupo de funciones (mediante la propiedad Name del grupo de funciones) y, a continuación, usar el parámetro Filter para permitir que solo se busque en los buzones de los Estados Unidos.You can use the Users parameter to specify this role group (by using the Name property of the role group) and then use the Filter parameter to allow only mailboxes in the U.S. to be searched.

Con este parámetro no es posible especificar grupos de distribución.You can't specify distribution groups with this parameter.

Ejemplos de cambio de filtros de permisos de búsquedaExamples of changing search permissions filters

Estos ejemplos muestran cómo usar los cmdlets Get-ComplianceSecurityFilter y set-ComplianceSecurityFilter para agregar o quitar un usuario de la lista de usuarios existente a la que está asignado el filtro.These examples show how to use the Get-ComplianceSecurityFilter and Set-ComplianceSecurityFilter cmdlets to add or remove a user to the existing list of users that the filter is assigned to. Al agregar o quitar usuarios de un filtro, especifique el usuario mediante su dirección SMTP.When you add or remove users from a filter, specify the user by using their SMTP address.

En este ejemplo se agrega un usuario al filtro.This example adds a user to the filter.

$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.add("pilarp@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users

En este ejemplo se quita un usuario del filtro.This example removes a user from the filter.

$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.remove("annb@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users

Remove-ComplianceSecurityFilterRemove-ComplianceSecurityFilter

Se usa Remove-ComplianceSecurityFilter para eliminar un filtro de búsqueda.The Remove-ComplianceSecurityFilter is used to delete a search filter. Utilice el parámetro filtername para especificar el filtro que desee eliminar.Use the FilterName parameter to specify the filter you want to delete.

Más informaciónMore information

  • **¿Cómo funciona el filtrado de permisos de búsqueda? **How does search permissions filtering work? El filtro de permisos se agrega a la consulta de búsqueda cuando se ejecuta una búsqueda de contenido.The permissions filter is added to the search query when a Content Search is run. El filtro de permisos se une a la consulta de búsqueda por el operador booleano and .The permissions filter is joined to the search query by the AND Boolean operator. Por ejemplo, tiene un filtro de permisos que permite a Bob realizar todas las acciones de búsqueda en los buzones de los miembros del grupo de distribución de trabajadores.For example, you have a permissions filter that allows Bob to perform all search actions on the mailboxes of members of the Workers distribution group. A continuación, Bob ejecuta una búsqueda de contenido en todos los buzones de la organización con la consulta de búsqueda sender:jerry@adatum.com .Then Bob runs a Content Search on all mailboxes in the organization with the search query sender:jerry@adatum.com. Dado que el filtro de permisos y la consulta de búsqueda se combinan lógicamente mediante un operador and , la búsqueda devuelve cualquier mensaje enviado por Jerry@adatum.com a cualquier miembro del grupo de distribución de trabajadores.Because the permissions filter and the search query are logically combined by an AND operator, the search returns any message sent by jerry@adatum.com to any member of the Workers distribution group.

  • ¿Qué sucede si tiene varios filtros de permisos de búsqueda?What happens if you have multiple search permissions filters? En una consulta de búsqueda de contenido, varios filtros de permisos se combinan mediante operadores booleanos.In a Content Search query, multiple permissions filters are combined by OR Boolean operators. Por lo tanto, se devolverán resultados si alguno de los filtros es true.So results will be returned if any of the filters are true. En una búsqueda de contenido, todos los filtros (combinados mediante operadores or ) se combinan con la consulta de búsqueda por el operador and .In a Content Search, all filters (combined by OR operators) are then combined with the search query by the AND operator. Vamos a echar el ejemplo anterior, en el que un filtro de búsqueda permite a Bob buscar sólo en los buzones de los miembros del grupo de distribución de trabajadores.Let's take the previous example, where a search filter allows Bob to search only the mailboxes of the members of the Workers distribution group. A continuación, creamos otro filtro que impida que Bob busque el buzón de correo de Phil ("Mailbox_Alias-ne" Phil "").Then we create another filter that prevents Bob from searching Phil's mailbox ("Mailbox_Alias -ne 'Phil'"). Además, supongamos que Phil es un miembro del grupo de trabajadores.And let's also assume that Phil is a member of the Workers group. Cuando Bob ejecuta una búsqueda de contenido (del ejemplo anterior) en todos los buzones de la organización, los resultados de la búsqueda se devuelven para el buzón de Phil, aunque haya aplicado el filtro para evitar que Bob busque en el buzón de Phil.When Bob runs a Content Search (from the previous example) on all mailboxes in the organization, search results are returned for Phil's mailbox even though you applied filter to prevent Bob from searching Phil's mailbox. Esto se debe a que el primer filtro, que permite a Bob buscar en el grupo de trabajadores, es verdadero.This is because the first filter, which allows Bob to search the Workers group, is true. Y debido a que Phil es miembro del grupo de trabajadores, Bob puede buscar el buzón de correo de Phil.And because Phil is a member of the Workers group, Bob can search Phil's mailbox.

  • ¿Funciona el filtrado de permisos de búsqueda para los buzones inactivos?Does search permissions filtering work for inactive mailboxes? Sí, puede usar los filtros de contenido buzón de correo y buzón de correo para limitar quién puede buscar buzones inactivos en su organización.Yes, you can use mailbox and mailbox content filters to limit who can search inactive mailboxes in your organization. Como un buzón normal, un buzón inactivo tiene que configurarse con la propiedad recipient que se usa para crear un filtro de permisos.Like a regular mailbox, an inactive mailbox has to be configured with the recipient property that's used to create a permissions filter. Si es necesario, puede usar el comando Get-Mailbox-InactiveMailboxOnly para mostrar las propiedades de los buzones inactivos.If necessary, you can use the Get-Mailbox -InactiveMailboxOnly command to display the properties of inactive mailboxes. Para obtener más información, vea crear y administrar buzones inactivos en Office 365.For more information, see Create and manage inactive mailboxes in Office 365.

  • ¿Funciona el filtrado de permisos de búsqueda para las carpetas públicas?Does search permissions filtering work for public folders? No.No. Como se explicó anteriormente, el filtrado de permisos de búsqueda no se puede usar para limitar quién puede buscar en las carpetas públicas de Exchange.As previously explained, search permissions filtering can't be used to limit who can search public folders in Exchange. Por ejemplo, los elementos de las ubicaciones de carpetas públicas no se pueden excluir de los resultados de búsqueda mediante un filtro de permisos.For example, items in public folder locations can't be excluded from the search results by a permissions filter.

  • ¿Permite que un usuario busque en todas las ubicaciones de contenido de un servicio específico, también les impide buscar ubicaciones de contenido en un servicio diferente?Does allowing a user to search all content locations in a specific service also prevent them from searching content locations in a different service? No.No. Como se ha explicado anteriormente, tiene que crear un filtro de permisos de búsqueda para impedir explícitamente que los usuarios busquen ubicaciones de contenido en un servicio específico (como evitar que un usuario busque en cualquier buzón de Exchange o en cualquier sitio de SharePoint).As previously explained, you have to create a search permissions filter to explicitly prevent users from searching content locations in a specific service (such as preventing a user from searching any Exchange mailbox or any SharePoint site). Es decir, la creación de un filtro de permisos de búsqueda que permita a un usuario buscar en todos los sitios de SharePoint de la organización no impide que el usuario busque buzones de correo.In other words, creating a search permissions filter that allows a user to search all SharePoint sites in the organization doesn't prevent that user from searching mailboxes. Por ejemplo, para permitir que los administradores de SharePoint solo busquen sitios de SharePoint, tiene que crear un filtro que les impida buscar buzones de correo.For example, to allow SharePoint admins to only search SharePoint sites, you have to create a filter that prevents them from searching mailboxes. De forma similar, para permitir que los administradores de Exchange solo busquen buzones de correo, debe crear un filtro que les impida buscar en sitios.Similarly, to allow Exchange admins to only search mailboxes, you have to create a filter that prevents them from searching sites.