Configurare i limiti di conformità per le indagini di eDiscoverySet up compliance boundaries for eDiscovery investigations

Le indicazioni contenute in questo articolo possono essere applicate quando si utilizza eDiscovery core o Advanced eDiscovery per gestire le indagini.The guidance in this article can be applied when using either Core eDiscovery or Advanced eDiscovery to manage investigations.

I limiti di conformità creano confini logici all'interno di un'organizzazione che controllano i percorsi dei contenuti degli utenti, ad esempio le cassette postali, i siti di SharePoint e gli account di OneDrive, che i responsabili di eDiscoveryCompliance boundaries create logical boundaries within an organization that control the user content locations (such as mailboxes, SharePoint sites, and OneDrive accounts) that eDiscovery managers can search. Inoltre, i limiti di conformità controllano chi può accedere ai casi di eDiscovery utilizzati per gestire le indagini legali, umane o di altro tipo all'interno dell'organizzazione.Also, compliance boundaries control who can access eDiscovery cases used to manage the legal, human resources, or other investigations within your organization. La necessità di limiti di conformità è spesso necessaria per le multinazionali che devono rispettare confini geografici e regolamenti e per i governi, che spesso sono divisi in diverse agenzie.The need for compliance boundaries is often necessary for multi-national corporations that have to respect geographical boarders and regulations and for governments, which are often divided into different agencies. In Microsoft 365, i limiti di conformità consentono di soddisfare questi requisiti quando eseguono ricerche di contenuto e gestiscono indagini con casi di eDiscovery.In Microsoft 365, compliance boundaries help you meet these requirements when performing content searches and managing investigations with eDiscovery cases.

Nell'esempio riportato di seguito viene illustrato il funzionamento dei limiti di conformità.We use the example in the following illustration to explain how compliance boundaries work.

I limiti di conformità consistono nei filtri delle autorizzazioni di ricerca che controllano l'accesso alle agenzie e ai gruppi di ruoli amministrativi che controllano l'accesso a eDiscovery

In questo esempio, contoso LTD è un'organizzazione costituita da due consociate, Fourth Coffee e Coho Winery.In this example, Contoso LTD is an organization that consists of two subsidiaries, Fourth Coffee and Coho Winery. L'azienda richiede che i gestori e gli investigatori di eDiscovery possano cercare solo le cassette postali di Exchange, gli account di OneDrive e i siti di SharePoint nell'agenzia.The business requires that eDiscovery mangers and investigators can only search the Exchange mailboxes, OneDrive accounts, and SharePoint sites in their agency. Inoltre, i responsabili e gli investigatori di eDiscovery possono vedere solo i casi di eDiscovery nell'agenzia e possono accedere solo ai casi in cui sono membri.Also, eDiscovery managers and investigators can only see eDiscovery cases in their agency, and they can only access the cases that they're a member of. Ecco come i limiti di conformità soddisfano questi requisiti.Here's how compliance boundaries meet these requirements.

  • La funzionalità di filtro delle autorizzazioni di ricerca nella ricerca contenuto controlla i percorsi di contenuto in cui i responsabili e gli investigatori di eDiscovery possono eseguire ricerche.The search permissions filtering functionality in Content Search controls the content locations that eDiscovery managers and investigators can search. Questo significa che i responsabili e gli investigatori di eDiscovery della Fourth Coffee Agency possono solo ricercare i percorsi dei contenuti nell'affiliata di Fourth Coffee.This means eDiscovery managers and investigators in the Fourth Coffee agency can only search content locations in the Fourth Coffee subsidiary. La stessa restrizione si applica alla filiale di Coho Winery.The same restriction applies to the Coho Winery subsidiary.

    I gruppi di ruoli controllano gli utenti che possono visualizzare i casi di eDiscovery nel centro sicurezza & Compliance.Role groups control who can see the eDiscovery cases in the Security & Compliance Center. Questo significa che i responsabili e gli investigatori di eDiscovery possono vedere solo i casi di eDiscovery nell'agenzia.This means that eDiscovery managers and investigators can only see the eDiscovery cases in their agency.

  • I gruppi di ruoli consentono anche di controllare chi può assegnare membri a un caso di eDiscovery.Role groups also control who can assign members to an eDiscovery case. Questo significa che i responsabili e gli investigatori di eDiscovery possono solo assegnare i membri ai casi in cui essi stessi sono membri.This means eDiscovery managers and investigators can only assign members to cases that they themselves are a member of.

Ecco la procedura per configurare i limiti di conformità:Here's the process for setting up compliance boundaries:

Passaggio 1: identificare un attributo utente per definire le agenzieStep 1: Identify a user attribute to define your agencies

Passaggio 2: presentare una richiesta con il supporto tecnico Microsoft per sincronizzare l'attributo dell'utente con gli account di OneDriveStep 2: File a request with Microsoft Support to synchronize the user attribute to OneDrive accounts

Passaggio 3: creare un gruppo di ruoli per ogni agenziaStep 3: Create a role group for each agency

Passaggio 4: creare un filtro delle autorizzazioni di ricerca per applicare il limite di conformitàStep 4: Create a search permissions filter to enforce the compliance boundary

Passaggio 5: creare un caso di eDiscovery per indagini intra-AgencyStep 5: Create an eDiscovery case for an intra-agency investigations

Passaggio 1: identificare un attributo utente per definire le agenzieStep 1: Identify a user attribute to define your agencies

Il primo passaggio consiste nel scegliere un attributo di Azure Active Directory da utilizzare che definirà le agenzie.The first step is to choose an Azure Active Directory attribute to use that will define your agencies. Questo attributo viene utilizzato per creare il filtro delle autorizzazioni di ricerca che limita un Manager di eDiscovery per cercare solo i percorsi di contenuto degli utenti a cui è assegnato un valore specifico per questo attributo.This attribute is used to create the search permissions filter that limits an eDiscovery manager to search only the content locations of users who are assigned a specific value for this attribute. Si supponga, ad esempio, che contoso decida di utilizzare l'attributo Department .For example, let's say Contoso decides to use the Department attribute. Il valore di questo attributo per gli utenti nella quarta filiale del caffè dovrebbe essere FourthCoffee e il valore per gli utenti nella filiale di Coho Winery sarebbe CohoWinery .The value for this attribute for users in the Fourth Coffee subsidiary would be FourthCoffee and the value for users in Coho Winery subsidiary would be CohoWinery. Nel passaggio 4, è possibile utilizzare questa attribute:value coppia, ad esempio Department: fourthcoffee, per limitare i percorsi di contenuto utente che possono essere cercati dai responsabili di eDiscovery.In Step 4, you use this attribute:value pair (for example, Department:FourthCoffee) to limit the user content locations that eDiscovery managers can search.

Ecco un elenco di Azure Active Directory User Attributes che è possibile utilizzare per i limiti di conformità:Here's a list of Azure Active Directory user attributes that you can use for compliance boundaries:

  • CompanyCompany

  • CustomAttribute1-CustomAttribute15CustomAttribute1 - CustomAttribute15

  • RepartoDepartment

  • UfficioOffice

  • C (codice paese a due lettere) *C (Two-letter country code) *

    Nota

    * Questo attributo viene mappato alla proprietà CountryOrRegion restituita eseguendo il cmdlet Get-User in PowerShell di Exchange Online.* This attribute maps to the CountryOrRegion property that is returned by running the Get-User cmdlet in Exchange Online PowerShell. Il cmdlet restituisce il nome del paese localizzato, che viene convertito dal codice paese a due lettere.The cmdlet returns the localized country name, which is translated from the two-letter country code. Per ulteriori informazioni, vedere la descrizione del parametro CountryOrRegion nell'articolo di riferimento del cmdlet set-user .For more information, see the CountryOrRegion parameter description in the Set-User cmdlet reference article.

Anche se sono disponibili più attributi degli utenti, in particolare per le cassette postali di Exchange, gli attributi sopra elencati sono gli unici attualmente supportati da OneDrive.Although more user attributes are available, particularly for Exchange mailboxes, the attributes listed above are the only ones currently supported by OneDrive.

Passaggio 2: presentare una richiesta con il supporto tecnico Microsoft per sincronizzare l'attributo dell'utente con gli account di OneDriveStep 2: File a request with Microsoft Support to synchronize the user attribute to OneDrive accounts

Il passaggio successivo consiste nel presentare una richiesta con il supporto tecnico Microsoft per sincronizzare l'attributo di Azure Active Directory che si è scelto nel passaggio 1 per tutti gli account di OneDrive nell'organizzazione.The next step is to file a request with Microsoft Support to synchronize the Azure Active Directory attribute that you chose in Step 1 to all OneDrive accounts in your organization. Dopo che si è verificata la sincronizzazione, l'attributo e il relativo valore scelto nel passaggio 1 verranno mappati a una proprietà gestita nascosta denominata ComplianceAttribute .After this synchronization occurs, the attribute (and its value) that you chose in Step 1 will be mapped to a hidden managed property named ComplianceAttribute. Questo attributo viene utilizzato per creare il filtro delle autorizzazioni di ricerca per OneDrive nel passaggio 4.You use this attribute to create the search permissions filter for OneDrive in Step 4.

Includere le informazioni seguenti quando si invia la richiesta al supporto tecnico Microsoft:Include the following information when you submit the request to Microsoft support:

  • Il nome di dominio predefinito dell'organizzazioneThe default domain name of your organization

  • Nome dell'attributo di Azure Active Directory (del passaggio 1)The name of the Azure Active Directory attribute (from Step 1)

  • Il titolo seguente o la descrizione dello scopo della richiesta di supporto: "abilitare la sincronizzazione di OneDrive for business con Azure Active Directory per i filtri di sicurezza di conformità".The following title or description of the purpose of the support request: "Enable OneDrive for Business Synchronization with Azure Active Directory for Compliance Security Filters". Ciò consente di instradare la richiesta al team di progettazione di eDiscovery che implementa la richiesta.This helps route the request to the eDiscovery engineering team who implements the request.

Dopo aver apportato la modifica dell'ingegneria e l'attributo è sincronizzato con OneDrive, il supporto tecnico Microsoft invierà il numero di build in cui è stata apportata la modifica e la data di distribuzione stimata.After the engineering change is made and the attribute is synchronized to OneDrive, Microsoft Support will send you the build number that the change was made in and an estimated deployment date. Il processo di distribuzione richiede solitamente 4 – 6 settimane dopo aver inviato la richiesta di supporto.The deployment process usually takes 4–6 weeks after you submit the support request.

Importante

È possibile completare il passaggio 3 al passaggio 5 prima della distribuzione di questa modifica dell'attributo.You can complete Step 3 through Step 5 before this attribute change is deployed. Tuttavia, l'esecuzione di ricerche di contenuto non restituirà documenti dai siti di OneDrive specificati nel filtro delle autorizzazioni di ricerca fino a quando non viene distribuita la modifica.But running content searches won't return documents from OneDrive sites specified in the search permissions filter until after the change is deployed.

Passaggio 3: creare un gruppo di ruoli per ogni agenziaStep 3: Create a role group for each agency

Il passaggio successivo consiste nel creare i gruppi di ruoli nel centro sicurezza & Compliance che si allineerà con le agenzie.The next step is to create the role groups in the Security & Compliance Center that will align with your agencies. È consigliabile creare un gruppo di ruoli copiando il gruppo dei responsabili di eDiscovery incorporati, aggiungendo i membri corretti e rimuovendo i ruoli che potrebbero non essere applicabili alle proprie esigenze.We recommend that you create a role group by copying the built-in eDiscovery Managers group, adding the appropriate members, and removing roles that may not be applicable to your needs. Per ulteriori informazioni sui ruoli correlati a eDiscovery, vedere assign eDiscovery Permissions in the Office 365 Security & Compliance Center.For more information about eDiscovery-related roles, see Assign eDiscovery permissions in the Office‍ 365 Security & Compliance Center.

Per creare i gruppi di ruoli, passare alla pagina autorizzazioni nel centro sicurezza & conformità e creare un gruppo di ruoli per ogni team in ogni agenzia che utilizzerà i limiti di conformità e i casi di eDiscovery per gestire le indagini.To create the role groups, go to the Permissions page in the Security & Compliance Center and create a role group for each team in each agency that will use compliance boundaries and eDiscovery cases to manage investigations.

Utilizzando lo scenario dei limiti di conformità di Contoso, è necessario creare quattro gruppi di ruoli e aggiungere i membri corretti a ognuno di essi.Using the Contoso compliance boundaries scenario, four role groups need to be created and the appropriate members added to each one.

  • Fourth Coffee eDiscovery managersFourth Coffee eDiscovery Managers

  • Ricercatori del Coffee FourthFourth Coffee Investigators

  • Coho Winery eDiscovery managersCoho Winery eDiscovery Managers

  • Ricercatori della cantina di CohoCoho Winery Investigators

Passaggio 4: creare un filtro delle autorizzazioni di ricerca per applicare il limite di conformitàStep 4: Create a search permissions filter to enforce the compliance boundary

Dopo aver creato i gruppi di ruoli per ogni agenzia, il passaggio successivo consiste nel creare i filtri delle autorizzazioni di ricerca che associano ciascun gruppo di ruoli alla propria agenzia specifica e definisce il limite di conformità stesso.After you've created role groups for each agency, the next step is to create the search permissions filters that associate each role group to its specific agency and defines the compliance boundary itself. È necessario creare un filtro delle autorizzazioni di ricerca per ogni agenzia.You need to create one search permissions filter for each agency. Per ulteriori informazioni sulla creazione di filtri per le autorizzazioni di sicurezza, vedere Configure Permissions Filtering for content search.For more information about creating security permissions filters, see Configure permissions filtering for Content Search.

Di seguito viene riportata la sintassi utilizzata per creare un filtro delle autorizzazioni di ricerca utilizzato per i limiti di conformità.Here's the syntax that's used to create a search permissions filter used for compliance boundaries.

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <role groups> -Filters "Mailbox_<ComplianceAttribute>  -eq '<AttributeVale> '", "Site_<ComplianceAttribute>  -eq '<AttributeValue>' -or Site_Path -like '<SharePointURL>*'" -Action <Action >

Di seguito è riportato una descrizione di ogni parametro nel comando:Here's a description of each parameter in the command:

  • FilterName: Specifica il nome del filtro.FilterName: Specifies the name of the filter. Utilizzare un nome che descriva o identifichi l'Agenzia in cui viene utilizzato il filtro.Use a name that describes or identifies the agency that the filter is used in.

  • Users: Specifica gli utenti o i gruppi a cui viene applicato il filtro per le azioni di ricerca del contenuto eseguite.Users: Specifies the users or groups who get this filter applied to the Content Search actions they perform. Per i limiti di conformità, questo parametro consente di specificare i gruppi di ruoli (creati al passaggio 3) nell'agenzia per la quale si sta creando il filtro.For compliance boundaries, this parameter specifies the role groups (that you created in Step 3) in the agency that you're creating the filter for. Si tratta di un parametro multivalore in modo che sia possibile includere uno o più gruppi di ruoli, separati da virgole.Note this is a multi-value parameter so you can include one or more role groups, separated by commas.

  • Filters: Specifica i criteri di ricerca per il filtro.Filters: Specifies the search criteria for the filter. Per i limiti di conformità, è possibile definire i filtri seguenti.For the compliance boundaries, you define the following filters. Ognuna si applica a una posizione di contenuto.Each one applies to a content location.

    • Mailbox: Specifica le cassette postali che i gruppi di ruoli definiti nel Users parametro possono eseguire una ricerca.Mailbox: Specifies the mailboxes that the role groups defined in the Users parameter can search. Per i limiti di conformità, ComplianceAttribute è lo stesso attributo identificato nel passaggio 1 e AttributeValue specifica l'Agenzia.For compliance boundaries, ComplianceAttribute is the same attribute that you identified in Step 1 and AttributeValue specifies the agency. Questo filtro consente ai membri del gruppo di ruolo di eseguire ricerche solo nelle cassette postali di una determinata agenzia. ad esempio, "Mailbox_Department -eq 'FourthCoffee'" .This filter allows members of the role group to search only the mailboxes in a specific agency; for example, "Mailbox_Department -eq 'FourthCoffee'".

    • Site: Specifica gli account di OneDrive che i gruppi di ruoli definiti nel Users parametro possono eseguire la ricerca.Site: Specifies the OneDrive accounts that the role groups defined in the Users parameter can search. Per il filtro OneDrive, utilizzare la stringa Actual ComplianceAttribute .For the OneDrive filter, use the actual string ComplianceAttribute. Questo mapping allo stesso attributo che è stato identificato nel passaggio 1 e che è sincronizzato con gli account di OneDrive a causa della richiesta di supporto inviata al passaggio 2. AttributeValue specifica l'Agenzia.This maps to the same attribute that you identified in Step 1 and that's synchronized to OneDrive accounts as a result of the support request that you submitted in Step 2; AttributeValue specifies the agency. Questo filtro consente ai membri del gruppo di ruolo di cercare solo gli account di OneDrive in una determinata agenzia. ad esempio, "Site_ComplianceAttribute -eq 'FourthCoffee'" .This filter allows members of the role group to search only the OneDrive accounts in a specific agency; for example, "Site_ComplianceAttribute -eq 'FourthCoffee'".

    • Site_Path: Specifica i siti di SharePoint che i gruppi di ruoli definiti nel Users parametro possono eseguire una ricerca.Site_Path: Specifies the SharePoint sites that the role groups defined in the Users parameter can search. SharePointURL specifica i siti nell'agenzia che i membri del gruppo di ruoli possono eseguire la ricerca.The SharePointURL specifies the sites in the agency that members of the role group can search. Ad esempio, "Site_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'".For example, "Site_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'". Si noti Site che i Site_Path filtri e sono connessi tramite un operatore or .Notice the Site and Site_Path filters are connected by an -or operator.

    Nota

    La sintassi per il Filters parametro include un elenco di filtri.The syntax for the Filters parameter includes a filters list. Un elenco di filtri è un filtro che include un filtro per le cassette postali e un filtro sito separato da una virgola.A filters list is a filter that includes a mailbox filter and a site filter separated by a comma. Nell'esempio precedente, si noti che una virgola separa Mailbox_ComplianceAttribute e Site_ComplianceAttribute: -Filters "Mailbox_<ComplianceAttribute> -eq '<AttributeVale> '", "Site_ComplianceAttribute -eq '<AttributeValue>' -or Site_Path -like '<SharePointURL>*'" .In the previous example, notice that a comma separates Mailbox_ComplianceAttribute and Site_ComplianceAttribute: -Filters "Mailbox_<ComplianceAttribute> -eq '<AttributeVale> '", "Site_ComplianceAttribute -eq '<AttributeValue>' -or Site_Path -like '<SharePointURL>*'". Quando il filtro viene elaborato durante l'esecuzione di una ricerca di contenuto, vengono creati due filtri per le autorizzazioni di ricerca dall'elenco filtri: un filtro per le cassette postali e un filtro sito.When this filter is processed during the running of a content search, two search permissions filters are created from the filters list: one mailbox filter and one site filter. Un'alternativa all'utilizzo di un elenco di filtri consiste nel creare due filtri di autorizzazioni di ricerca distinti per ogni agenzia: un filtro delle autorizzazioni di ricerca per l'attributo della cassetta postale e un filtro per gli attributi del sito.An alternative to using a filters list would be to create two separate search permissions filters for each agency: one search permissions filter for the mailbox attribute and one filter for the site attributes. In entrambi i casi, i risultati saranno gli stessi.In either case, the results will be the same. L'utilizzo di un elenco filtri o la creazione di filtri di autorizzazioni di ricerca distinti è una questione di preferenza.Using a filters list or creating separate search permissions filters is a matter of preference.

  • Action: Specifica il tipo di azione di ricerca di conformità a cui viene applicato il filtro.Action: Specifies the type of Compliance Search action that the filter is applied to. Ad esempio, -Action Search il filtro verrebbe applicato solo quando i membri del gruppo di ruoli definiti nel Users parametro eseguono una ricerca di contenuto.For example, -Action Search would only apply the filter when members of the role group defined in the Users parameter run a content search. In questo caso, il filtro non verrebbe applicato quando si esportano i risultati della ricerca.In this case, the filter wouldn't be applied when exporting search results. Per i limiti di conformità, utilizzare -Action All in modo che il filtro si applichi a tutte le azioni di ricerca.For compliance boundaries, use -Action All so the filter applies to all search actions.

    Per un elenco delle azioni di ricerca del contenuto, vedere la sezione "New-ComplianceSecurityFilter" in Configure Permissions Filtering for content search.For a list of the Content Search actions, see the "New-ComplianceSecurityFilter" section in Configure permissions filtering for Content Search.

Di seguito sono riportati alcuni esempi dei due filtri delle autorizzazioni di ricerca che verrebbero creati per supportare lo scenario dei limiti di conformità di contoso.Here are examples of the two search permissions filters that would be created to support the Contoso compliance boundaries scenario. In entrambi gli esempi è incluso un elenco di filtri separati da virgole, in cui la cassetta postale e i filtri del sito sono inclusi nello stesso filtro delle autorizzazioni di ricerca e sono separati da una virgola.Both of these examples include a comma-separated filters list, in which the mailbox and site filters are included in the same search permissions filter and are separated by a comma.

Fourth CoffeeFourth Coffee

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "Site_ComplianceAttribute -eq 'FourthCoffee' -or Site_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'" -Action ALL

Azienda vinicola CohoCoho Winery

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "Site_ComplianceAttribute -eq 'CohoWinery' -or Site_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'" -Action ALL

Passaggio 5: creare un caso di eDiscovery per le indagini intra-AgencyStep 5: Create an eDiscovery case for intra-agency investigations

Il passaggio finale consiste nel creare un caso di eDiscovery nel centro sicurezza & compliance e quindi aggiungere il gruppo di ruoli creato nel passaggio 3 come membro del caso.The final step is to create a eDiscovery case in the Security & Compliance Center and then add the role group that you created in Step 3 as a member of the case. Questo comporta due importanti caratteristiche dell'utilizzo dei limiti di conformità:This results in two important characteristics of using compliance boundaries:

  • Solo i membri del gruppo di ruoli aggiunti al caso saranno in grado di visualizzare e accedere al caso nel centro sicurezza & conformità.Only members of the role group added to the case will be able to see and access the case in the Security & Compliance Center. Ad esempio, se il gruppo di ruolo investigatori di Fourth Coffee è l'unico membro di un caso, i membri del gruppo di ruoli Fourth Coffee eDiscovery Managers (o membri di qualsiasi altro gruppo di ruoli) non potranno visualizzare o accedere al caso.For example, if the Fourth Coffee Investigators role group is the only member of a case, then members of the Fourth Coffee eDiscovery Managers role group (or members of any other role group) won't be able to see or access the case.

  • Quando un membro del gruppo di ruoli assegnato a un caso esegue una ricerca associata al caso, sarà in grado di eseguire la ricerca solo nei percorsi di contenuto all'interno della propria agenzia (definiti dal filtro delle autorizzazioni di ricerca creato nel passaggio 4).When a member of the role group assigned to a case runs a search associated with the case, they will only be able to search the content locations within their agency (which is defined by the search permissions filter that you created in Step 4.)

Per creare un caso e assegnare membri:To create a case and assign members:

  1. Passare alla pagina eDiscovery o Advanced eDiscovery nel centro sicurezza & compliance e creare un caso.Go to the eDiscovery or Advanced eDiscovery page in the Security & Compliance Center and create a case.

  2. Nell'elenco dei casi di eDiscovery, fare clic sul nome del caso creato.In the list of eDiscovery cases, click the name of the case you created.

  3. Nella pagina Gestisci il riquadro a comparsa di questo caso, in Manage role groupsfare clic su  Aggiungi icona Aggiungi.In the Manage this case flyout page, under Manage role groups, click Add icon Add.

    Aggiungere un gruppo di ruoli come membro di un caso di eDiscovery

  4. Nell'elenco dei gruppi di ruoli, selezionare uno dei gruppi di ruoli creati nel passaggio 3, quindi fare clic su Aggiungi.In the list of role groups, select one of the role groups that you created in Step 3, and click Add.

  5. Fare clic su Salva nel riquadro a comparsa Gestisci questo caso per salvare la modifica.Click Save on the Manage this case flyout to save the change.

Ricerca ed esportazione di contenuto in ambienti multi-GeoSearching and exporting content in Multi-Geo environments

I filtri per le autorizzazioni di ricerca consentono inoltre di controllare il percorso del contenuto per l'esportazione e il Data Center in cui è possibile eseguire ricerche nei percorsi di contenuto in un ambiente multi-geografico di SharePoint.Search permissions filters also let you control where content is routed for export and which datacenter can be searched when searching content locations in a SharePoint Multi-Geo environment.

  • Esportare i risultati della ricerca: È possibile esportare i risultati della ricerca da cassette postali di Exchange, siti di SharePoint e account OneDrive da un datacenter specifico.Export search results: You can export the search results from Exchange mailboxes, SharePoint sites, and OneDrive accounts from a specific datacenter. Questo significa che è possibile specificare la posizione del centro dati da cui verranno esportati i risultati della ricerca.This means that you can specify the datacenter location that search results will be exported from.

    Utilizzare il parametro Region per i cmdlet New-ComplianceSecurityFilter o set-ComplianceSecurityFilter per creare o modificare il Data Center in cui verrà instradata l'esportazione.Use the Region parameter for New-ComplianceSecurityFilter or Set-ComplianceSecurityFilter cmdlets to create or change which datacenter the export will be routed through.

    Valore del parametroParameter value Percorso del datacenterDatacenter location
    NAMNAM
    Nordamericano (i datacenter sono negli Stati Uniti)North American (datacenters are in the US)
    EUREUR
    EuropaEurope
    APCAPC
    Asia PacificoAsia Pacific
    CANCAN
    CanadaCanada
  • Instradare le ricerche contenuto: È possibile instradare le ricerche di contenuto dei siti di SharePoint e gli account di OneDrive a un Data Center satellite.Route content searches: You can route the content searches of SharePoint sites and OneDrive accounts to a satellite data center. Questo significa che è possibile specificare la posizione del centro dati in cui verranno eseguite le ricerche.This means you can specify the datacenter location where searches will be run.

    Utilizzare uno dei seguenti valori per il parametro Region per controllare la posizione del Data Center in cui verranno eseguite ricerche durante la ricerca di siti di SharePoint e di account OneDrive.Use one of the following values for the Region parameter to control the datacenter location that searches will run in when searching SharePoint sites and OneDrive accounts.

    Valore del parametroParameter value Percorsi di routing dei datacenter per SharePointDatacenter routing locations for SharePoint
    NAMNAM
    NOIUS
    EUREUR
    EuropaEurope
    APCAPC
    Asia PacificoAsia Pacific
    CANCAN
    NOIUS
    AUSAUS
    Asia PacificoAsia Pacific
    KORKOR
    Data Center predefinito dell'organizzazioneThe organization's default datacenter
    GBRGBR
    EuropaEurope
    JPNJPN
    Asia PacificoAsia Pacific
    INDIND
    Asia PacificoAsia Pacific
    LAMLAM
    NOIUS

    Se non si specifica il parametro Region per un filtro delle autorizzazioni di ricerca, verrà eseguita la ricerca nell'area di SharePoint predefinita dell'organizzazione.If you don't specify the Region parameter for a search permissions filter, the organization's default SharePoint region will be searched. I risultati della ricerca vengono esportati nel centro dati più vicino.Search results are exported to the closest datacenter.

    Per semplificare il concetto, il parametro Region controlla il Data Center utilizzato per la ricerca di contenuto in SharePoint e OneDrive.To simplify the concept, the Region parameter controls the datacenter that is used to search for content in SharePoint and OneDrive. Questo non si applica alla ricerca di contenuto in Exchange perché le ricerche di contenuto di Exchange non sono associate alla posizione geografica dei datacenter.This doesn't apply to searching for content in Exchange because Exchange content searches aren't bound by the geographic location of datacenters. Inoltre, lo stesso valore del parametro Region può anche dettare il Data Center in cui vengono instradate le esportazioni.Also, the same Region parameter value may also dictate the datacenter that exports are routed through. Questo è spesso necessario per controllare lo spostamento dei dati tra i boarder geografici.This is often necessary to control the movement of data across geographic boarders.

Nota

Se si utilizza Advanced eDiscovery, il parametro Region non controlla l'area da cui vengono esportati i dati.If you're using Advanced eDiscovery, the Region parameter doesn't control the region that data is exported from. Inoltre, la ricerca di contenuto in SharePoint e OneDrive non è associata alla posizione geografica dei data center.Also, searching for content in SharePoint and OneDrive isn't bound by the geographic location of datacenters. Viene eseguita la ricerca in tutti i datacenter.All datacenters are searched. Per ulteriori informazioni su Advanced eDiscovery, vedere Overview of the Advanced eDiscovery Solution in Microsoft 365.For more information about Advanced eDiscovery, see Overview of the Advanced eDiscovery solution in Microsoft 365.

Di seguito sono riportati alcuni esempi di utilizzo del parametro Region quando si creano filtri delle autorizzazioni di ricerca per i limiti di conformità.Here are examples of using the Region parameter when creating search permission filters for compliance boundaries. Ciò presuppone che la quarta filiale del caffè si trovi in Nord America e che Coho Winery sia in Europa.This assumes that the Fourth Coffee subsidiary is located in North America and that Coho Winery is in Europe.

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "Site_Department -eq 'FourthCoffee' -or Site_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'" -Action ALL -Region NAM
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "Site_Department -eq 'CohoWinery' -or Site_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'" -Action ALL -Region EUR

Quando si esegue la ricerca e l'esportazione di contenuto in ambienti multi-Geo, tenere presente quanto segue.Keep the following things in mind when searching and exporting content in multi-geo environments.

  • Il parametro Area non controlla le ricerche nelle cassette postali di Exchange.The Region parameter doesn't control searches of Exchange mailboxes. Quando si esegue la ricerca delle cassette postali, vengono ricercati tutti i Data Center.All data centers will be searched when you search mailboxes. Per limitare l'ambito di ricerca delle cassette postali di Exchange, utilizzare il parametro Filters durante la creazione o la modifica di un filtro delle autorizzazioni di ricerca.To limit the scope of which Exchange mailboxes are searched, use the Filters parameter when creating or changing a search permissions filter.

  • Se è necessario che un Manager di eDiscovery sia in grado di eseguire ricerche in più aree di SharePoint, è necessario creare un account utente diverso per il responsabile di eDiscovery da utilizzare nel filtro delle autorizzazioni di ricerca per specificare l'area in cui si trovano i siti di SharePoint o gli account di OneDrive.If it's necessary for an eDiscovery Manager to search across multiple SharePoint regions, you need to create a different user account for that eDiscovery manager to use in the search permissions filter to specify the region where the SharePoint sites or OneDrive accounts are located. Per ulteriori informazioni sull'impostazione di questo articolo, vedere la sezione "ricerca di contenuto in un ambiente multi-geo di SharePoint" in Ricerca contenuto.For more information about setting this up, see the "Searching for content in a SharePoint Multi-Geo environment" section in Content Search.

  • Quando si esegue la ricerca di contenuto in SharePoint e OneDrive, il parametro Region indirizza le ricerche verso la posizione principale o via satellite in cui il responsabile di eDiscovery conterrà le indagini di eDiscovery.When searching for content in SharePoint and OneDrive, the Region parameter directs searches to either the main or satellite location where the eDiscovery manager will conduct eDiscovery investigations. Se un Manager di eDiscovery cerca i siti di SharePoint e OneDrive all'esterno dell'area specificata nel filtro delle autorizzazioni di ricerca, non vengono restituiti i risultati della ricerca.If an eDiscovery manager searches SharePoint and OneDrive sites outside of the region that's specified in the search permissions filter, no search results are returned.

  • Quando si esportano i risultati della ricerca, il contenuto proveniente da tutti i percorsi di contenuto (compresi Exchange, Skype for business, SharePoint, OneDrive e altri servizi che è possibile cercare tramite lo strumento di ricerca del contenuto) viene caricato nel percorso di archiviazione di Azure nel datacenter specificato dal parametro Region .When exporting search results, content from all content locations (including Exchange, Skype for Business, SharePoint, OneDrive, and other services that you can search by using the Content Search tool) are uploaded to the Azure Storage location in the datacenter that's specified by the Region parameter. Questo consente alle organizzazioni di rimanere all'interno della conformità, non consentendo l'esportazione di contenuto nei confini controllati.This helps organizations stay within compliance by not allowing content to be exported across controlled borders. Se nel filtro delle autorizzazioni di ricerca non è specificata alcuna area, il contenuto viene caricato nell'area predefinita dell'organizzazione.If no region is specified in the search permissions filter, content is uploaded to the organization's default region.

  • È possibile modificare un filtro delle autorizzazioni di ricerca esistente per aggiungere o modificare l'area eseguendo il comando riportato di seguito:You can edit an existing search permissions filter to add or change the region by running the following command:

    Set-ComplianceSecurityFilter -FilterName <Filter name>  -Region <Region>
    

Utilizzo dei limiti di conformità per i siti hub di SharePointUsing compliance boundaries for SharePoint hub sites

I siti hub di SharePoint spesso vengono allineati con gli stessi confini geografici o di agenzie che seguono i limiti di conformità eDiscovery.SharePoint hub sites often align with the same geographical or agency boundaries that eDiscovery compliance boundaries follow. Questo significa che è possibile utilizzare la proprietà ID sito del sito hub per creare un limite di conformità.That means you can use the site ID property of the hub site to create a compliance boundary. A tale scopo, utilizzare il cmdlet Get-SPOHubSite in PowerShell di SharePoint Online per ottenere SiteId per il sito hub e quindi utilizzare questo valore per la proprietà Department ID per creare un filtro delle autorizzazioni di ricerca.To do this, use the Get-SPOHubSite cmdlet in SharePoint Online PowerShell to obtain the SiteId for the hub site and then use this value for the department ID property to create a search permissions filter.

Utilizzare la sintassi seguente per creare un filtro delle autorizzazioni di ricerca per un sito hub di SharePoint:Use the following syntax to create a search permissions filter for a SharePoint hub site:

New-ComplianceSecurityFilter -FilterName <Filter Name> -Users <User or Group> -Filters "Site_Departmentid -eq '{SiteId of hub site}'" -Action ALL

Di seguito è riportato un esempio di creazione di un filtro delle autorizzazioni di ricerca per un sito hub per l'Coho Winery Agency:Here's an example of creating a search permissions filter for a hub site for the Coho Winery agency:

New-ComplianceSecurityFilter -FilterName "Coho Winery Hub Site Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Site_Departmentid -eq '44252d09-62c4-4913-9eb0-a2a8b8d7f863'" -Action ALL

Limitazioni relative ai limiti di conformitàCompliance boundary limitations

Quando si gestiscono i casi di eDiscovery e le indagini sull'utilizzo dei limiti di conformità, tenere presente le limitazioni seguenti.Keep the following limitations in mind when managing eDiscovery cases and investigations that use of compliance boundaries.

  • Durante la creazione e l'esecuzione di una ricerca, è possibile selezionare i percorsi di contenuto esterni all'organizzazione.When creating and running a search, you can select content locations that are outside of your agency. Tuttavia, a causa del filtro delle autorizzazioni di ricerca, il contenuto proveniente da tali posizioni non è incluso nei risultati della ricerca.However, because of the search permissions filter, content from those locations isn't included in the search results.

  • I limiti di conformità non si applicano alle esenzioni nei casi di eDiscovery.Compliance boundaries don't apply to holds in eDiscovery cases. Questo significa che un Manager di eDiscovery in un'agenzia può mettere in attesa un utente in un'altra agenzia.That means an eDiscovery manager in one agency can place a user in a different agency on hold. Tuttavia, il limite di conformità verrà applicato se eDiscovery Manager cerca i percorsi di contenuto dell'utente che è stato messo in attesa.However, the compliance boundary will be enforced if the eDiscovery manager searches the content locations of the user who was placed on hold. Questo significa che il responsabile di eDiscovery non è in grado di eseguire ricerche nei percorsi di contenuto dell'utente, anche se è stato in grado di bloccare l'utente.That means the eDiscovery manager won't be able search the user's content locations, even though they were able to place the user on hold.

    Inoltre, le statistiche di esenzione si applicano solo ai percorsi di contenuto nell'agenzia.Also, hold statistics will only apply to content locations in the agency.

  • I filtri delle autorizzazioni di ricerca non vengono applicati alle cartelle pubbliche di Exchange.Search permissions filters aren't applied to Exchange public folders.

Domande frequentiFrequently asked questions

Chi può creare e gestire i filtri delle autorizzazioni di ricerca (utilizzando i cmdlet New-ComplianceSecurityFilter e set-ComplianceSecurityFilter)?Who can create and manage search permissions filters (using New-ComplianceSecurityFilter and Set-ComplianceSecurityFilter cmdlets)?

Per creare, visualizzare e modificare i filtri delle autorizzazioni di ricerca, è necessario essere membri del gruppo di ruoli Gestione organizzazione nel centro sicurezza & Compliance.To create, view, and modify search permissions filters, you have to be a member of the Organization Management role group in the Security & Compliance Center.

Se un responsabile di eDiscovery viene assegnato a più di un gruppo di ruoli che si estende su più agenzie, in che modo viene eseguita la ricerca del contenuto in un'agenzia o nell'altra?If an eDiscovery manager is assigned to more than one role group that spans multiple agencies, how do they search for content in one agency or the other?

Il responsabile di eDiscovery può aggiungere parametri alla query di ricerca che limita la ricerca a un'agenzia specifica.The eDiscovery manager can add parameters to their search query that restrict the search to a specific agency. Ad esempio, se un'organizzazione ha specificato la proprietà CustomAttribute10 per distinguere le agenzie, è possibile accodare quanto segue alla query di ricerca per cercare le cassette postali e gli account di OneDrive in una specifica agenzia: CustomAttribute10:<value> AND Site_ComplianceAttribute:<value> .For example, if an organization has specified the CustomAttribute10 property to differentiate agencies, they can append the following to their search query to search mailboxes and OneDrive accounts in a specific agency: CustomAttribute10:<value> AND Site_ComplianceAttribute:<value>.

Cosa succede se il valore dell'attributo utilizzato come attributo di conformità in un filtro delle autorizzazioni di ricerca è cambiato?What happens if the value of the attribute that's used as the compliance attribute in a search permissions filter is changed?

Il filtro delle autorizzazioni di ricerca impiega fino a tre giorni per applicare il limite di conformità se il valore dell'attributo utilizzato nel filtro viene modificato.It takes up to three days for a search permissions filter to enforce the compliance boundary if the value of the attribute that's used in the filter is changed. Nello scenario di Contoso, ad esempio, si supponga che un utente del Fourth Coffee Agency venga trasferito all'agenzia di Coho Winery.For example, in the Contoso scenario let's say that a user in the Fourth Coffee agency is transferred to the Coho Winery agency. Di conseguenza, il valore dell'attributo Department nell'oggetto User viene modificato da fourthcoffee a cohowinery.As a result, the value of the Department attribute on the user object is changed from FourthCoffee to CohoWinery. In questa situazione, Fourth Coffee eDiscovery and Investors otterrà i risultati di ricerca per l'utente per un massimo di tre giorni dopo la modifica dell'attributo.In this situation, Fourth Coffee eDiscovery and investors will get search results for that user for up three days after the attribute is changed. Analogamente, sono necessari fino a tre giorni prima che i responsabili e gli investigatori di Coho Winery eDiscovery ottenere risultati di ricerca per l'utente.Similarly, it takes up to three days before Coho Winery eDiscovery managers and investigators get search results for the user.

È possibile che un Manager di eDiscovery veda contenuto da due limiti di conformità distinti?Can an eDiscovery manager see content from two separate compliance boundaries?

Sì, è possibile eseguire questa operazione quando si eseguono ricerche nelle cassette postali di Exchange aggiungendo eDiscovery Manager ai gruppi di ruoli che dispongono di visibilità per entrambe le agenzie.Yes, this can be done when searching Exchange mailboxes by adding the eDiscovery manager to role groups that have visibility to both agencies. Tuttavia, durante la ricerca di siti di SharePoint e account di OneDrive, un responsabile di eDiscovery può cercare contenuto in limiti di conformità diversi solo se le agenzie si trovano nella stessa area geografica o geografica.However when searching SharePoint sites and OneDrive accounts, an eDiscovery manager can search for content in different compliance boundaries only if the agencies are in the same region or geo location. Nota: Questa limitazione per i siti non è applicabile in Advanced eDiscovery poiché la ricerca di contenuto in SharePoint e OneDrive non è associata per località geografica.Note: This limitation for sites doesn't apply in Advanced eDiscovery because searching for content in SharePoint and OneDrive isn't bound by geographic location.

I filtri per le autorizzazioni di ricerca funzionano per il caso eDiscovery, criteri di conservazione Microsoft 365 o DLP?Do search permissions filters work for eDiscovery case holds, Microsoft 365 retention policies, or DLP?

No, non in questo momento.No, not at this time.

Se si specifica un'area geografica in cui controllare il contenuto esportato, ma non si dispone di un'organizzazione di SharePoint in tale area, è comunque possibile eseguire la ricerca di SharePoint?If I specify a region to control where content is exported, but I don't have a SharePoint organization in that region, can I still search SharePoint?

Se l'area specificata nel filtro delle autorizzazioni di ricerca non esiste nell'organizzazione, verrà eseguita la ricerca nell'area predefinita.If the region specified in the search permissions filter doesn't exist in your organization, the default region will be searched.

Qual è il numero massimo di filtri per le autorizzazioni di ricerca che è possibile creare in un'organizzazione?What is the maximum number of search permissions filters that can be created in an organization?

Non esiste alcun limite al numero di filtri per le autorizzazioni di ricerca che è possibile creare in un'organizzazione.There is no limit to the number of search permissions filters that can be created in an organization. Tuttavia, le prestazioni di ricerca avranno un impatto se sono presenti più di 100 filtri delle autorizzazioni di ricerca.However, search performance will be impacted when there are more than 100 search permissions filters. Per mantenere il minor numero possibile di filtri per le autorizzazioni di ricerca nell'organizzazione, creare filtri che consentano di combinare le regole per Exchange, SharePoint e OneDrive in un unico filtro delle autorizzazioni di ricerca quando possibile.To keep the number of search permissions filters in your organization as small as possible, create filters that combine rules for Exchange, SharePoint, and OneDrive into a single search permissions filter whenever possible.