Configurar el filtrado de permisos para eDiscovery

Puede usar el filtrado de permisos de búsqueda para permitir que un administrador de exhibición de documentos electrónicos busque solo un subconjunto de buzones y sitios de la organización. También puede utilizar el filtrado de permisos para permitir que ese mismo administrador de exhibición de documentos electrónicos busque solo contenido de los buzones o los sitios que cumpla unos criterios concretos de búsqueda. Por ejemplo, puede permitir que un administrador de exhibición de documentos electrónicos busque solo en los buzones de usuarios de un departamento o una ubicación en concreto. Para ello, cree un filtro que use un filtro de destinatarios admitido para limitar los buzones que un usuario o grupo de usuarios específicos pueden buscar. También puede crear un filtro que especifique qué contenido de buzón puede buscar un usuario. Para ello, debe crear un filtro que utilice una propiedad de mensaje que pueda buscarse. Del mismo modo, puede permitir que un administrador de exhibición de documentos electrónicos busque solo sitios SharePoint específicos de la organización. Para hacerlo, debe crear un filtro que limite en qué sitio puede buscarse. También puede crear un filtro que especifique qué contenido del sitio puede buscarse. Para ello, debe crear un filtro que utilice una propiedad de sitio que pueda buscarse.

Los filtros de permisos de búsqueda se aplican al buscar contenido mediante la búsqueda de contenido, la exhibición de documentos electrónicos principal y Advanced eDiscovery en el Centro de cumplimiento de Microsoft 365. Cuando se aplica un filtro de permisos de búsqueda a un usuario específico, dicho usuario puede realizar las siguientes acciones relacionadas con la búsqueda:

  • Buscar contenido

  • Vista previa de los resultados de búsqueda

  • Exportar resultados de búsqueda

  • Purgar elementos devueltos por una búsqueda

También puede usar el filtrado de permisos de búsqueda para crear límites lógicos (denominados límites de cumplimiento) dentro de una organización que controlan las ubicaciones de contenido de usuario (como buzones, sitios de SharePoint y cuentas de OneDrive) que los administradores de exhibición de documentos electrónicos específicos pueden buscar. Para obtener más información, vea Set up compliance boundaries for eDiscovery investigations.

Los cuatro cmdlets siguientes de PowerShell de seguridad & cumplimiento le permiten configurar y administrar filtros de permisos de búsqueda:

New-ComplianceSecurityFilter

Get-ComplianceSecurityFilter

Set-ComplianceSecurityFilter

Remove-ComplianceSecurityFilter

Requisitos para configurar el filtrado de permisos

  • Para ejecutar los cmdlets de filtro de seguridad de cumplimiento, debe ser miembro del grupo de roles Administración de la organización en el Centro de cumplimiento de Microsoft 365. Para obtener más información, vea Permisos en el Centro de seguridad y cumplimiento.

  • Debe conectarse a PowerShell Exchange Online y security & Compliance Center para usar los cmdlets de filtro de seguridad de cumplimiento. Esto es necesario porque estos cmdlets requieren acceso a las propiedades del buzón de correo, por lo que debe conectarse a Exchange Online PowerShell. Vea los pasos en la sección siguiente.

  • Consulte la sección More information para obtener información adicional acerca de los filtros de permisos de búsqueda.

  • El filtrado de permisos de búsqueda se aplica a los buzones inactivos, lo que significa que puede usar el filtrado de contenido de buzones y buzones para limitar quién puede buscar en un buzón inactivo. Vea la sección Más información para obtener información adicional sobre el filtrado de permisos y los buzones inactivos.

  • El filtrado de permisos de búsqueda no se puede usar para limitar quién puede buscar carpetas públicas en Exchange.

  • No hay ningún límite en el número de filtros de permisos de búsqueda que se pueden crear en una organización. Sin embargo, una consulta de búsqueda puede tener un máximo de 100 condiciones. En este caso, una condición se define como algo que está conectado a la consulta por un operador booleano (como AND, OR y NEAR). El límite para el número de condiciones incluye la propia consulta de búsqueda y todos los filtros de permisos de búsqueda que se aplican al usuario que ejecuta la búsqueda. Por lo tanto, cuanto más filtros de permisos de búsqueda tenga (especialmente si estos filtros se aplican al mismo usuario o grupo de usuarios), mayor será la posibilidad de superar el número máximo de condiciones para una búsqueda. Para evitar que su organización alcance el límite de condiciones, mantenga el número de filtros de permisos de búsqueda en su organización en pocos minutos como sea posible para cumplir los requisitos de su empresa. Para obtener más información, vea Set up compliance boundaries for eDiscovery investigations.

Conectar powerShell Exchange Online y security & Compliance Center en una sola sesión

Para poder ejecutar correctamente el script en esta sección, debe descargar e instalar el módulo Exchange Online PowerShell V2. Para obtener información, vea Acerca de Exchange Online módulo de PowerShell V2.

  1. Guarde el texto siguiente en un archivo Windows PowerShell script mediante un sufijo de nombre de archivo de.ps1. Por ejemplo, puede guardarlo en un archivo denominado ConnectEXO-SCC.ps1.

    Import-Module ExchangeOnlineManagement
    $UserCredential = Get-Credential
    Connect-ExchangeOnline -Credential $UserCredential -ShowBanner:$false
    Connect-IPPSSession -Credential $UserCredential
    $Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Exchange Online + Compliance Center)"
    
  2. En el equipo local, abra Windows PowerShell, vaya a la carpeta donde se encuentra el script que creó en el paso anterior y, a continuación, ejecute el script; por ejemplo:

    .\ConnectEXO-SCC.ps1
    

¿Cómo se sabe si se ha completado correctamente? Después de ejecutar el script, los cmdlets de Exchange Online y Security & Compliance PowerShell se importan a la sesión Windows PowerShell local. Si no se muestra ningún error, la conexión se habrá establecido correctamente. Una prueba rápida es ejecutar los cmdlets de PowerShell Exchange Online y Security & Compliance Center. Por ejemplo, puede ejecutar y Get-Mailbox y Get-ComplianceSearch.

Para solucionar errores de conexión de PowerShell, vea:

New-ComplianceSecurityFilter

New-ComplianceSecurityFilter se usa para crear un filtro de permisos de búsqueda. Esta es la sintaxis básica de este cmdlet:

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <user or role group> -Filters <filter>

En las secciones siguientes se describen los parámetros de este cmdlet. Todos los parámetros son necesarios para crear un filtro de permisos de búsqueda.

FilterName

El parámetro FilterName especifica el nombre del filtro de permisos. Este nombre sirve para identificar un filtro al utilizar los cmdlets Get ComplianceSecurityFilter, Set-ComplianceSecurityFilter y Remove-ComplianceSecurityFilter.

Filtros

El parámetro Filters especifica los criterios de búsqueda para el filtro de seguridad de cumplimiento. Puede crear tres tipos de filtros diferentes:

  • Filtrado de buzones o OneDrive de correo: este tipo de filtro especifica los buzones y las OneDrive que pueden buscar los usuarios asignados (especificados por el parámetro Users). Este tipo de filtro se denomina filtro de ubicación de contenido porque define las ubicaciones de contenido que un usuario puede buscar. La sintaxis de este tipo de filtro es Mailbox_ MailboxPropertyName, donde MailboxPropertyName especifica una propiedad de buzón usada para establecer el ámbito de los buzones y OneDrive cuentas que se pueden buscar. Por ejemplo, el filtro de buzones de correo permitiría al usuario asignado este filtro buscar solo los buzones y las cuentas OneDrive que tienen el valor "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" "OttawaUsers" en la propiedad CustomAttribute10.

    Cualquier propiedad de destinatario filtrable admitida se puede usar para la propiedad MailboxPropertyName en un buzón o OneDrive filtro. En la tabla siguiente se desumo cuatro propiedades de destinatario usadas con frecuencia que se usan para crear un buzón o OneDrive filtro. La tabla también incluye un ejemplo de uso de la propiedad en un filtro.

    Nombre de propiedad Ejemplo
    Alias "Mailbox_Alias -like 'v-'"
    Company "Mailbox_Company -eq 'Contoso'"
    CountryOrRegion "Mailbox_CountryOrRegion -eq 'United States'"
    Departamento "Mailbox_Department -eq 'Finance'"
  • Filtrado de contenido de buzones: Este tipo de filtro se aplica al contenido que se puede buscar. Este tipo de filtro se denomina filtro de contenido porque especifica el contenido del buzón o las propiedades de correo electrónico que pueden buscar los usuarios asignados. La sintaxis de este tipo de filtro es MailboxContent_ _SearchablePropertyName, donde SearchablePropertyName especifica una propiedad de lenguaje de consulta de palabras clave (KQL) que se puede especificar en una búsqueda. Por ejemplo, el filtro de contenido de buzón de correo permitiría al usuario asignado este filtro buscar solo los mensajes enviados a los destinatarios del "MailboxContent_Recipients -like 'contoso.com'" contoso.com correo. Para obtener una lista de las propiedades de correo electrónico que se pueden buscar, vea Consultas de palabras clave y condiciones de búsqueda para eDiscovery.

    Importante

    Un filtro de búsqueda único no puede contener un filtro de buzón y un filtro de contenido de buzón. Para combinarlos en un solo filtro, debe usar una lista de filtros. Pero un filtro puede contener una consulta más compleja del mismo tipo. Por ejemplo: "Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"

  • Filtrado de contenido de sitio y sitio: Hay dos filtros SharePoint y OneDrive relacionados con el sitio que puede usar para especificar qué sitio o contenido de sitio pueden buscar los usuarios asignados.

    • Site_SearchableSiteProperty

    • SiteContent_SearchableSiteProperty

    Estos dos filtros son intercambiables. Por ejemplo, "Site_Path -like 'https://contoso.sharepoint.com/sites/doctors'" y devuelva los mismos "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'" resultados. Para obtener una lista de propiedades de sitio que se pueden buscar, vea Consultas de palabras clave y condiciones de búsqueda para eDiscovery Para obtener una lista más completa, vea Overview of crawled and managed properties in SharePoint. Las propiedades marcadas con sí en la columna Consultable se pueden usar para crear un filtro de contenido de sitio o sitio.

    Importante

    La configuración de un filtro de sitio con una de las propiedades admitidas no significa que la propiedad site del filtro se propagará a todos los documentos de ese sitio. Esto significa que el usuario sigue siendo responsable de rellenar los campos de propiedad específicos asociados con los documentos de ese sitio para que el filtro de sitio funcione y capture el contenido correcto. Por ejemplo, si el usuario tiene un filtro de seguridad "Site_RefineableString00 -eq 'abc'" aplicado y, a continuación, el usuario ejecuta una búsqueda con la consulta de palabra clave "xyz". El filtro de seguridad se anexa a la consulta y la consulta real que se ejecuta sería "xyz AND RefineableString0:'abc'". El usuario debe asegurarse de que los documentos del sitio tengan valores en el campo RefineableString00 como "abc". Si no es así, la consulta de búsqueda no devolverá ningún resultado.

Tenga en cuenta las siguientes consideraciones al configurar el parámetro Filters para los filtros de permisos de búsqueda:

  • A diferencia de los buzones de correo, no hay un filtro de ubicación de contenido para sitios aunque el filtro de sitio parezca un filtro de ubicación. Todos los filtros de SharePoint y OneDrive son filtros de contenido (por lo que los filtros Site_ y SiteContent_ son intercambiables) porque las propiedades relacionadas con el sitio como Path se marcan directamente en los documentos. ¿Qué significa esto? Es el resultado de la forma en que se SharePoint diseño. En SharePoint, no hay un "objeto de sitio" con propiedades, como lo hay con Exchange buzones de correo. Por lo tanto, la propiedad Path se marca en el documento y contiene la dirección URL del sitio donde se encuentra el documento. Por este motivo, un filtro de sitio se considera un filtro de contenido y no un filtro de ubicación de contenido.

  • Debe crear un filtro de permisos de búsqueda para impedir explícitamente que los usuarios busquen ubicaciones de contenido en un servicio específico (por ejemplo, impedir que un usuario busque en cualquier buzón de Exchange o en cualquier sitio SharePoint). En otras palabras, la creación de un filtro de permisos de búsqueda que permite a un usuario buscar en todos los SharePoint de la organización no impide que ese usuario busque buzones. Por ejemplo, para permitir que SharePoint administradores solo busquen sitios SharePoint, debe crear un filtro que les impida buscar buzones. Del mismo modo, para permitir que Exchange administradores solo busquen buzones de correo, debe crear un filtro que les impida buscar sitios.

Users

El parámetro Users especifica los usuarios que obtienen este filtro aplicado a sus búsquedas. Identifique a los usuarios por su alias o su dirección SMTP principal. Se pueden especificar varios valores separados por comas, o bien puede asignar el filtro a todos los usuarios con el valor Todos.

También puede usar el parámetro Users para especificar un Centro de cumplimiento de Microsoft 365 de roles. Así, podrá crear un grupo de roles personalizado y, a continuación, asignar a ese grupo de roles un filtro de permisos de búsqueda. Por ejemplo, supongamos que tiene un grupo de roles personalizado para los administradores de exhibición de documentos electrónicos de la sede en los Estados Unidos de una compañía multinacional. Puede usar el parámetro Users para especificar este grupo de roles (mediante la propiedad Name del grupo de roles) y, a continuación, usar el parámetro Filter para permitir que solo se busquen buzones en Estados Unidos. No puede especificar grupos de distribución con este parámetro.|

Uso de una lista de filtros para combinar tipos de filtro

Una lista de filtros es un filtro que incluye un filtro de buzón de correo y un filtro de sitio separado por una coma. Esta coma también funciona como un operador OR. El uso de una lista de filtros es el único método admitido para combinar diferentes tipos de filtros. En el ejemplo siguiente, observe que una coma separa los filtros Buzón y Sitio:

-Filters "Mailbox_CustomAttribute10 -eq 'OttawaUsers'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'"

Cuando se procesa un filtro que contiene una lista de filtros durante la ejecución de una búsqueda, se crean dos filtros de permisos de búsqueda a partir de la lista de filtros: uno para cada filtro separado por una coma. Por lo tanto, en el ejemplo anterior, se crearía un filtro de permisos de búsqueda de buzones de correo y un filtro de permisos de búsqueda de sitio. Estos filtros están conectados por el operador OR.

Una alternativa al uso de una lista de filtros sería crear dos filtros de permisos de búsqueda independientes. Por lo tanto, en el ejemplo anterior, crearía un filtro para el atributo de buzón y un filtro para el atributo site. En cualquier caso, los resultados son los mismos. El uso de una lista de filtros o la creación de filtros de permisos de búsqueda independientes es una cuestión de preferencia.

Tenga en cuenta lo siguiente sobre cómo usar una lista de filtros:

  • Debe usar una lista de filtros para crear un filtro que incluya un filtro buzón de correo y un filtro MailboxContent.

  • Cada componente de una lista de filtros puede contener una sintaxis de filtro compleja. Por ejemplo, los filtros de buzones y sitios pueden contener varios filtros separados por un operador -or:

    -Filters "Mailbox_Department -eq 'CohoWinery' -or Mailbox_CustomAttribute10 -eq 'CohoUsers'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'"
    

Ejemplos de creación de filtros de permisos de búsqueda

Vea a continuación ejemplos del uso del cmdlet New-ComplianceSecurityFilter para crear un filtro de permisos de búsqueda.

En este ejemplo se permite a los miembros del grupo de roles "Administradores de detección de Estados Unidos" buscar solo los buzones y OneDrive cuentas en Estados Unidos.

New-ComplianceSecurityFilter -FilterName USDiscoveryManagers  -Users "US Discovery Managers" -Filters "Mailbox_CountryOrRegion  -eq 'United States'"

Este ejemplo permite al usuario annb@contoso.com realizar acciones de búsqueda solo para buzones y OneDrive cuentas en Canadá. Este filtro contiene el código de país numérico de tres dígitos correspondiente a Canadá según la ISO 3166-1.

New-ComplianceSecurityFilter -FilterName CountryFilter  -Users annb@contoso.com -Filters "Mailbox_CountryCode  -eq '124'"

Este ejemplo permite a los usuarios donh y suzanf buscar solo los buzones y las cuentas OneDrive que tienen el valor "Marketing" para la propiedad de buzón CustomAttribute1.

New-ComplianceSecurityFilter -FilterName MarketingFilter  -Users donh,suzanf -Filters "Mailbox_CustomAttribute1  -eq 'Marketing'"

En este ejemplo se permite a los miembros del grupo de roles "Fourth Coffee eDiscovery Managers" buscar solo los buzones y las cuentas OneDrive que tienen el valor "FourthCoffee" para la propiedad de buzón de departamento. El filtro también permite a los miembros del grupo de roles buscar documentos en el sitio SharePoint cuarto café.

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'"

Nota

En el ejemplo anterior, se debe incluir un filtro de contenido de sitio adicional ( ) para que los miembros del grupo de roles puedan buscar documentos en SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal' OneDrive cuentas. Si no se incluye este filtro, el filtro solo permitiría a los miembros del grupo de roles buscar documentos ubicados en https://contoso.sharepoint.com/sites/FourthCoffee .

En este ejemplo se permite a los miembros del grupo de roles administrador de exhibición de documentos electrónicos buscar solo los buzones y las OneDrive de los miembros del grupo de distribución Usuarios de Ottawa. El cmdlet Get-DistributionGroup en Exchange Online PowerShell se usa para buscar los miembros del grupo Usuarios de Ottawa.

$DG = Get-DistributionGroup "Ottawa Users"
New-ComplianceSecurityFilter -FilterName DGFilter  -Users eDiscoveryManager -Filters "Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"

En este ejemplo se impide que cualquier usuario realice acciones de búsqueda en los buzones y OneDrive de los miembros del grupo de distribución del equipo ejecutivo. Esto significa que los usuarios pueden eliminar contenido de estos buzones. El cmdlet Get-DistributionGroup en Exchange Online PowerShell se usa para buscar los miembros del grupo de equipos ejecutivos.

$DG = Get-DistributionGroup "Executive Team"
New-ComplianceSecurityFilter -FilterName NoExecutivesPreview  -Users All -Filters "Mailbox_MemberOfGroup -ne '$($DG.DistinguishedName)'" 

En este ejemplo, los miembros del OneDrive de roles personalizado de administradores de exhibición de documentos electrónicos solo pueden buscar contenido en OneDrive cuentas de la organización.

New-ComplianceSecurityFilter -FilterName OneDriveOnly  -Users "OneDrive eDiscovery Managers" -Filters "SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'"

En este ejemplo se restringe al usuario a realizar acciones de búsqueda solo en los mensajes de correo electrónico enviados durante el año calendario de 2015.

New-ComplianceSecurityFilter -FilterName EmailDateRestrictionFilter -Users donh@contoso.com -Filters "MailboxContent_Received -ge '01-01-2015' -and MailboxContent_Received -le '12-31-2015'"

Al igual que en el ejemplo anterior, este ejemplo restringe al usuario a realizar acciones de búsqueda solo en documentos que se cambiaron por última vez en algún momento del año calendario de 2015.

New-ComplianceSecurityFilter -FilterName DocumentDateRestrictionFilter -Users donh@contoso.com -Filters "SiteContent_LastModifiedTime -ge '01-01-2015' -and SiteContent_LastModifiedTime -le '12-31-2015'" 

En este ejemplo se impide que los miembros del grupo de roles "administradores de OneDrive de detección" realicen acciones de búsqueda en cualquier buzón de la organización.

New-ComplianceSecurityFilter -FilterName NoEXO -Users "OneDrive Discovery Managers" -Filters "Mailbox_Alias -notlike '*'"

En este ejemplo se impide que cualquier persona de la organización realice acciones de búsqueda en los mensajes de correo electrónico enviados o recibidos por janets o sarad.

New-ComplianceSecurityFilter -FilterName NoSaraJanet -Users All -Filters "MailboxContent_Participants -notlike 'janets@contoso.onmicrosoft.com' -and MailboxContent_Participants -notlike 'sarad@contoso.onmicrosoft.com'"

En este ejemplo se usa una lista de filtros para combinar filtros de buzones y sitios. En este ejemplo, el filtro de buzón es un filtro de ubicación de contenido y el filtro de sitio es un filtro de contenido.

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery'"

Get-ComplianceSecurityFilter

Get-ComplianceSecurityFilter se usa para devolver una lista de filtros de permisos de búsqueda. Use el parámetro FilterName para devolver información de un filtro de búsqueda específico.

Set-ComplianceSecurityFilter

Set-ComplianceSecurityFilter se usa para modificar un filtro de permisos de búsqueda existente. En las secciones siguientes se describen los parámetros de este cmdlet. El único parámetro necesario es FilterName.

FilterName

El parámetro FilterName especifica el nombre del filtro de permisos.

Users

El parámetro Users especifica los usuarios que obtienen este filtro aplicado a sus búsquedas. Dado que se trata de una propiedad de varios valores, la especificación de un usuario o grupo de usuarios con este parámetro sobrescribe la lista de usuarios existente. Vea los ejemplos siguientes para ver la sintaxis para agregar y quitar usuarios seleccionados.

También puede usar el parámetro Users para especificar un Centro de cumplimiento de Microsoft 365 de roles. Así, podrá crear un grupo de roles personalizado y, a continuación, asignar a ese grupo de roles un filtro de permisos de búsqueda. Por ejemplo, supongamos que tiene un grupo de roles personalizado para los administradores de exhibición de documentos electrónicos de la sede en los Estados Unidos de una compañía multinacional. Puede usar el parámetro Users para especificar este grupo de roles (mediante la propiedad Name del grupo de roles) y, a continuación, usar el parámetro Filter para permitir que solo se busquen buzones en Estados Unidos. Con este parámetro no es posible especificar grupos de distribución.

Filtros

El parámetro Filters especifica los criterios de búsqueda para el filtro de seguridad de cumplimiento. Puede crear tres tipos de filtros diferentes:

  • Filtrado de buzones OneDrive de correo: este tipo de filtro especifica los buzones y las OneDrive que los usuarios asignados (especificados por el parámetro Users) pueden buscar. La sintaxis de este tipo de filtro es Mailbox_ MailboxPropertyName, donde MailboxPropertyName especifica una propiedad de buzón usada para establecer el ámbito de los buzones que se pueden buscar. Por ejemplo, el filtro de buzones de correo permitiría al usuario asignado a este filtro buscar solo los buzones que tienen el valor "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" "OttawaUsers" en la propiedad CustomAttribute10. Cualquier propiedad de destinatario filtrable compatible se puede usar para la propiedad MailboxPropertyName. Para obtener una lista de las propiedades admitidas, vea Filterable properties for the -RecipientFilter parameter.

  • Filtrado de contenido de buzones: Este tipo de filtro se aplica al contenido que se puede buscar. Especifica el contenido del buzón que los usuarios asignados pueden buscar. La sintaxis de este tipo de filtro es MailboxContent_SearchablePropertyName, donde SearchablePropertyName especifica una propiedad de lenguaje de consulta de palabras clave (KQL) que se puede especificar en una búsqueda. Por ejemplo, el filtro de contenido de buzón de correo permitiría al usuario asignado este filtro buscar solo los mensajes enviados a los destinatarios del "MailboxContent_Recipients -like 'contoso.com'" contoso.com correo. Para obtener una lista de las propiedades de correo electrónico que se pueden buscar, vea Consultas de palabras clave y condiciones de búsqueda para eDiscovery.

  • Filtrado de contenido de sitio y sitio: Hay dos filtros SharePoint y OneDrive para la Empresa relacionados con el sitio que puede usar para especificar qué sitio o contenido de sitio pueden buscar los usuarios asignados:

    • Site_ SearchableSiteProperty
    • SiteContent _ SearchableSiteProperty

    Estos dos filtros son intercambiables. Por ejemplo, "Site_Path -like 'https://contoso.spoppe.com/sites/doctors*'" y devuelva los mismos "SiteContent_Path -like 'https://contoso.spoppe.com/sites/doctors*'" resultados. Para obtener una lista de propiedades de sitio que se pueden buscar, vea Overview of crawled and managed properties in SharePoint. Las propiedades marcadas con sí en la columna Consultable se pueden usar para crear un filtro de contenido de sitio o sitio.

Ejemplos de cambio de filtros de permisos de búsqueda

En estos ejemplos se muestra cómo usar los cmdlets Get-ComplianceSecurityFilter y Set-ComplianceSecurityFilter para agregar o quitar un usuario a la lista de usuarios existente a la que está asignado el filtro. Al agregar o quitar usuarios de un filtro, especifique el usuario mediante su dirección SMTP.

En este ejemplo se agrega un usuario al filtro.

$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.add("pilarp@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users

En este ejemplo se quita un usuario del filtro.

$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.remove("annb@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users

Remove-ComplianceSecurityFilter

Remove-ComplianceSecurityFilter se usa para eliminar un filtro de búsqueda. Use el parámetro FilterName para especificar el filtro que desea eliminar.

Más información

  • ¿Cómo funciona el filtrado de permisos de búsqueda? El filtro de permisos se anexa a la consulta de búsqueda cuando se ejecuta una búsqueda. El filtro de permisos se une a la consulta de búsqueda mediante el operador booleano AND. La lógica de consulta para la consulta de búsqueda y el filtro de permisos tendría este aspecto:

    <SearchQuery> AND <PermissionsFilter>
    

    Por ejemplo, tiene un filtro de permisos que permite a Bob realizar todas las acciones de búsqueda en los buzones de los miembros del grupo de distribución Trabajadores. A continuación, Bob ejecuta una búsqueda en todos los buzones de la organización con la consulta de búsqueda sender:jerry@adatum.com . Dado que el filtro de permisos y la consulta de búsqueda se combinan lógicamente por un operador AND, la búsqueda devuelve cualquier mensaje enviado por jerry@adatum.com a cualquier miembro del grupo de distribución Trabajadores.

  • ¿Qué sucede si tiene varios filtros de permisos de búsqueda? En una consulta de búsqueda, los operadores booleanos OR combinan varios filtros de permisos. Por lo tanto, los resultados se devolverán si alguno de los filtros es true. En una búsqueda, todos los filtros (combinados por operadores OR) se combinan con la consulta de búsqueda por el operador AND.

    <SearchQuery> AND  (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>)
    

    Tomemos el ejemplo anterior, donde un filtro de búsqueda permite a Bob buscar solo los buzones de los miembros del grupo de distribución Trabajadores. A continuación, creamos otro filtro que impide que Bob busque en el buzón de Phil ("Mailbox_Alias -ne 'Phil'"). Además, supongamos que Phil es miembro del grupo Trabajadores. Cuando Bob ejecuta una búsqueda (del ejemplo anterior) en todos los buzones de la organización, los resultados de la búsqueda se devuelven para el buzón de Correo de Phil aunque haya aplicado un filtro para impedir que Bob busque el buzón de Phil. Esto se debe a que el primer filtro, que permite a Bob buscar en el grupo Trabajadores, es true. Y como Phil es miembro del grupo Trabajadores, Bob puede buscar en el buzón de Phil.

  • ¿Funciona el filtrado de permisos de búsqueda para buzones inactivos? Sí, puede usar filtros de contenido de buzones y buzones de correo para limitar quién puede buscar buzones inactivos en su organización. Al igual que un buzón normal, un buzón inactivo debe configurarse con la propiedad recipient que se usa para crear un filtro de permisos. Si es necesario, puede usar el comando Get-Mailbox -InactiveMailboxOnly para mostrar las propiedades de los buzones inactivos. Para obtener más información, vea Create and manage inactive mailboxes.

  • ¿Funciona el filtrado de permisos de búsqueda para carpetas públicas? No. Como se explicó anteriormente, el filtrado de permisos de búsqueda no se puede usar para limitar quién puede buscar carpetas públicas en Exchange. Por ejemplo, los elementos de las ubicaciones de carpetas públicas no se pueden excluir de los resultados de búsqueda mediante un filtro de permisos.

  • ¿Permitir que un usuario busque en todas las ubicaciones de contenido de un servicio específico también impide que busquen ubicaciones de contenido en un servicio diferente? No. Como se explicó anteriormente, debe crear un filtro de permisos de búsqueda para impedir explícitamente que los usuarios busquen ubicaciones de contenido en un servicio específico (como impedir que un usuario busque en cualquier buzón de Exchange o en cualquier sitio SharePoint). En otras palabras, la creación de un filtro de permisos de búsqueda que permite a un usuario buscar en todos los SharePoint de la organización no impide que ese usuario busque buzones. Por ejemplo, para permitir que SharePoint administradores solo busquen sitios SharePoint, debe crear un filtro que les impida buscar buzones. Del mismo modo, para permitir que Exchange administradores solo busquen buzones de correo, debe crear un filtro que les impida buscar sitios.

  • ¿Cuentan los filtros de permisos de búsqueda con respecto a los límites de caracteres de consulta de búsqueda? Sí. Los filtros de permisos de búsqueda cuentan con el límite de caracteres para las consultas de búsqueda. Para obtener más información, vea Limits in Advanced eDiscovery.

¿Cuál es el número máximo de filtros de permisos de búsqueda que se pueden crear en una organización?

No hay ningún límite en el número de filtros de permisos de búsqueda que se pueden crear en una organización. Sin embargo, una consulta de búsqueda puede tener un máximo de 100 condiciones. En este caso, una condición se define como algo que está conectado a la consulta por un operador booleano (como AND, OR y NEAR). El límite del número de condiciones incluye la propia consulta de búsqueda y todos los filtros de permisos de búsqueda que se aplican al usuario que ejecuta la búsqueda. Por lo tanto, cuanto más filtros de permisos de búsqueda tenga (especialmente si estos filtros se aplican al mismo usuario o grupo de usuarios), mayor será la posibilidad de superar el número máximo de condiciones para una búsqueda.

Para comprender cómo funciona este límite, debe comprender que un filtro de permisos de búsqueda se anexa a la consulta de búsqueda cuando se ejecuta una búsqueda. El operador booleano AND une un filtro de permisos de búsqueda a la consulta de búsqueda. La lógica de consulta para la consulta de búsqueda y un único filtro de permisos de búsqueda tendría este aspecto:

<SearchQuery> AND <PermissionsFilter>

El operador booleano OR combina varios filtros de permisos de búsqueda y, a continuación, el operador AND conecta esas condiciones a la consulta de búsqueda.

La lógica de consulta para la consulta de búsqueda y varios filtros de permisos de búsqueda tendría este aspecto:

<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)

Es posible que la consulta de búsqueda en sí conste de varias condiciones conectadas por operadores booleanos. Cada condición de la consulta de búsqueda también contaría con el límite de 100 condiciones.

Además, el número de filtros de permisos de búsqueda anexados a una consulta depende del usuario que ejecuta la búsqueda. Cuando un usuario específico ejecuta una búsqueda, los filtros de permisos de búsqueda que se aplican al usuario (que se define mediante el parámetro Users en el filtro) se anexan a la consulta. Su organización podría tener cientos de filtros de permisos de búsqueda, pero si se aplican más de 100 filtros a los mismos usuarios, es probable que se supere el límite de 100 condiciones cuando esos usuarios ejecuten búsquedas.

Hay una cosa más que tener en cuenta sobre el límite de condición. El número de sitios SharePoint específicos que se incluyen en los filtros de permisos de búsqueda o consulta de búsqueda también cuentan con este límite.

Para evitar que su organización alcance el límite de condiciones, mantenga el número de filtros de permisos de búsqueda en su organización en pocos minutos como sea posible para cumplir los requisitos de su empresa.