Configurar a filtragem de permissões para descoberta eletrônica

Você pode usar a filtragem de permissões de pesquisa para permitir que um gerenciador de descoberta eletrônica pesquise apenas um subconjunto de caixas de correio e sites em sua organização. Você também pode usar permissões de filtragem para que esse mesmo gerente de Descoberta Eletrônica procure somente o conteúdo da caixa de correio ou site que atende aos critérios de pesquisa específicos.

Por exemplo, talvez você queira que um gerenciador de descoberta eletrônica pesquise apenas as caixas de correio dos usuários em um local ou departamento específico. Você faz isso criando um filtro que usa um filtro de destinatário com suporte para limitar quais caixas de correio um usuário ou grupo específico de usuários pode pesquisar. Você também pode criar um filtro que especifica qual conteúdo de caixa de correio pode ser pesquisado. Isso é feito criando um filtro que usa uma propriedade de mensagem pesquisável. Da mesma forma, você pode permitir que um gerenciador de descoberta eletrônica pesquise apenas sites específicos do SharePoint em sua organização. Você pode fazer isso criando um filtro que limita qual site pode ser pesquisado. Você também pode criar um filtro que especifica qual conteúdo de site pode ser pesquisado. Isso é feito criando um filtro que usa uma propriedade de site pesquisável.

Os filtros de permissões de pesquisa são aplicados quando você pesquisa conteúdo usando pesquisa de conteúdo, Descoberta Eletrônica do Microsoft Purview (Standard) e Descoberta Eletrônica do Microsoft Purview (Premium) no portal de conformidade do Microsoft Purview. Quando um filtro de permissões de pesquisa é aplicado a um usuário específico, esse usuário pode executar as seguintes ações relacionadas à pesquisa:

• Pesquisar conteúdo
• Visualização de resultados de pesquisa
• Exportar resultados da pesquisa
• Limpar itens retornados por uma pesquisa

Você também pode usar a filtragem de permissões de pesquisa para criar limites lógicos ( chamados de limites de conformidade) em uma organização que controla os locais de conteúdo do usuário (como caixas de correio, sites do SharePoint e contas do OneDrive) que gerentes de descoberta eletrônica específicos podem pesquisar. Para obter mais informações, consulte Como configurar limites de conformidade para investigações de Descoberta Eletrônica.

Os quatro cmdlets a seguir no PowerShell de Conformidade do & de Segurança permitem configurar e gerenciar filtros de permissões de pesquisa:

• New-ComplianceSecurityFilter
• Get-ComplianceSecurityFilter
• Set-ComplianceSecurityFilter
• Remove-ComplianceSecurityFilter

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Requisitos para configurar a filtragem de permissões

• Para executar os cmdlets de filtro de segurança de conformidade, você precisa ser membro do grupo de funções gerenciamento de organização no portal de conformidade. Para saber mais, confira Permissões no Centro de Conformidade de Segurança.
• Você precisa se conectar ao Exchange Online e ao Security & Compliance PowerShell para usar os cmdlets de filtro de segurança de conformidade. Isso é necessário porque esses cmdlets exigem acesso às propriedades da caixa de correio, razão pela qual você precisa se conectar ao Exchange Online PowerShell. Veja as etapas na próxima seção.
• Consulte a seção Mais informações para obter informações adicionais sobre os filtros de permissões de pesquisa.
• A filtragem de permissões de pesquisa é aplicável a caixas de correio inativas, o que significa que você pode usar a filtragem de conteúdo de caixa de correio e caixa de correio para limitar quem pode pesquisar uma caixa de correio inativa. Consulte a seção Mais informações para obter informações adicionais sobre a filtragem de permissões e caixas de correio inativas.
• A filtragem de permissões de pesquisa não pode ser usada para limitar quem pode pesquisar pastas públicas no Exchange.
• Não há limite para o número de filtros de permissões de pesquisa que podem ser criados em uma organização. No entanto, uma consulta de pesquisa pode ter no máximo 100 condições. Nesse caso, uma condição é definida como algo que está conectado à consulta por um operador booliano (como AND, OR e NEAR). O limite para o número de condições inclui a própria consulta de pesquisa, além de todos os filtros de permissões de pesquisa aplicados ao usuário que executa a pesquisa. Portanto, mais filtros de permissões de pesquisa você tem (especialmente se esses filtros forem aplicados ao mesmo usuário ou grupo de usuários), maior será a chance de exceder o número máximo de condições para uma pesquisa. Para impedir que sua organização atinja o limite de condições, mantenha o número de filtros de permissões de pesquisa em sua organização como poucos possíveis para atender aos seus requisitos comerciais. Para obter mais informações, consulte Como configurar limites de conformidade para investigações de Descoberta Eletrônica.

Conectar-se ao Exchange Online e ao PowerShell de Conformidade do & de Segurança em uma única sessão

Antes de executar o script com êxito nesta seção, você precisa baixar e instalar o módulo Exchange Online PowerShell. Para obter informações, consulte Instalar e manter o módulo Exchange Online PowerShell.

1. Salve o texto a seguir em um arquivo de script Windows PowerShell usando um sufixo de nome de arquivo de.ps1. Por exemplo, você pode salvá-lo em um arquivo chamado ConnectEXO-SCC.ps1.

   Import-Module ExchangeOnlineManagement
   $UserCredential = Get-Credential
   Connect-ExchangeOnline -Credential $UserCredential -ShowBanner:$false
   Connect-IPPSSession -Credential $UserCredential
   $Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Exchange Online + Security & Compliance)"
   

2. No computador local, abra Windows PowerShell, vá para a pasta em que o script que você criou na etapa anterior está localizado e execute o script; por exemplo:

   .\ConnectEXO-SCC.ps1
   

Como saber se funcionou? Depois de executar o script, os cmdlets de Exchange Online PowerShell e Segurança & Compliance PowerShell estão disponíveis. Se nenhum erro aparecer, a conexão terá sido estabelecida. Um teste rápido é executar Exchange Online cmdlets PowerShell e Security & Compliance PowerShell. Por exemplo, você pode executar e Get-Mailbox e Get-ComplianceSearch.

Para solucionar problemas de erros de conexão do PowerShell, consulte:

• Conectar-se ao PowerShell do Exchange Online
• Conectar-se ao PowerShell de Segurança e Conformidade

New-ComplianceSecurityFilter

O cmdlet New-ComplianceSecurityFilter é usado para criar um filtro de permissões de pesquisa. Esta é a sintaxe básica para este cmdlet:

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <user or role group> -Filters <filter>

As seções a seguir descrevem os parâmetros para este cmdlet. Todos os parâmetros são necessários para criar um filtro de permissões de pesquisa.

FilterName

O parâmetro FilterName especifica o nome do filtro de permissões. Esse nome é usado para identificar um filtro ao usar os cmdlets Get-ComplianceSecurityFilter, Set-ComplianceSecurityFilter e Remove-ComplianceSecurityFilter .

Filtros

O parâmetro Filters especifica os critérios de pesquisa para o filtro de segurança de conformidade. Você pode criar três tipos diferentes de filtros:

• Caixa de correio ou filtragem do OneDrive: Esse tipo de filtro especifica as caixas de correio e as contas do OneDrive que os usuários atribuídos (especificados pelo parâmetro Usuários ) podem pesquisar. Esse tipo de filtro é chamado de filtro de local de conteúdo porque define os locais de conteúdo que um usuário pode pesquisar. A sintaxe desse tipo de filtro é Mailbox_MailboxPropertyName, em que MailboxPropertyName especifica uma propriedade de caixa de correio usada para escopo das caixas de correio e contas do OneDrive que podem ser pesquisadas. Por exemplo, o filtro "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" de caixa de correio permitiria que o usuário atribuisse esse filtro para pesquisar apenas as caixas de correio e contas do OneDrive que têm o valor "OttawaUsers" na propriedade CustomAttribute10.

  Qualquer propriedade de destinatário filtrável com suporte pode ser usada para a propriedade MailboxPropertyName em uma caixa de correio ou filtro do OneDrive. A tabela a seguir lista quatro propriedades de destinatário comumente usadas para criar uma caixa de correio ou um filtro do OneDrive. A tabela também inclui um exemplo de como usar a propriedade em um filtro.

  Nome da propriedade	Exemplo
  Alias	"Mailbox_Alias -like 'v-'"
  Empresa	"Mailbox_Company -eq 'Contoso'"
  CountryOrRegion	"Mailbox_CountryOrRegion -eq 'United States'"
  Departamento	"Mailbox_Department -eq 'Finance'"

• Filtragem de conteúdo da caixa de correio: Esse tipo de filtro é aplicado no conteúdo que pode ser pesquisado. Esse tipo de filtro é chamado de filtro de conteúdo porque especifica o conteúdo da caixa de correio ou as propriedades de email pesquisáveis que os usuários atribuídos podem pesquisar. A sintaxe desse tipo de filtro é MailboxContent_SearchablePropertyName, em que SearchablePropertyName especifica uma propriedade KQL (Linguagem de Consulta de Palavra-Chave) que pode ser especificada em uma pesquisa. Por exemplo, o filtro "MailboxContent_Recipients -like 'contoso.com'" de conteúdo da caixa de correio permitiria que o usuário atribuído a esse filtro pesquisasse apenas mensagens enviadas aos destinatários no domínio contoso.com. Para obter uma lista de propriedades de email pesquisáveis, consulte Consultas de palavra-chave e condições de pesquisa para Descoberta Eletrônica.

  Importante

  Um único filtro de pesquisa não pode conter um filtro de caixa de correio e um filtro de conteúdo de caixa de correio. Para combiná-los em um único filtro, você precisa usar uma lista de filtros. No entanto, um filtro pode conter uma consulta mais complexa do mesmo tipo. Por exemplo, "Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"

• Filtragem de conteúdo do site e do site: Há dois filtros relacionados ao SharePoint e ao OneDrive que você pode usar para especificar qual site ou conteúdo do site os usuários atribuídos podem pesquisar.

  • Site_QueryableSiteProperty
  • SiteContent_QueryableSiteProperty

  Esses dois filtros são intercambiáveis. Por exemplo, "Site_Path -like 'https://contoso.sharepoint.com/sites/doctors'" e "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'" retorne os mesmos resultados. Para obter uma lista de propriedades de site pesquisáveis, vejaConsultas de palavra-chave e condições de pesquisa para Descoberta Eletrônica. Para obter uma lista mais completa, consulte Visão geral das propriedades rastreadas e gerenciadas no SharePoint. Propriedades marcadas com um Sim na coluna Queryable podem ser usadas para criar um filtro de conteúdo de site ou site.

  Importante

  Configurar um filtro de site com uma das propriedades com suporte não significa que a propriedade do site no filtro será propagada para todos os documentos nesse site. Isso significa que o usuário ainda é responsável por preencher os campos de propriedade específicos associados aos documentos naquele site para que o filtro do site funcione e capture o conteúdo certo. Por exemplo, se o usuário tiver um filtro de segurança "Site_RefineableString00 -eq 'abc'" aplicado e o usuário executar uma pesquisa usando palavra-chave consulta "xyz". O filtro de segurança é acrescentado à consulta e a consulta real em execução seria "xyz AND RefineableString0:'abc'". O usuário precisa garantir que os documentos no site realmente tenham valores no campo RefineableString00 como "abc". Caso contrário, a consulta de pesquisa não retornará nenhum resultado.

Lembre-se das seguintes considerações ao configurar o parâmetro Filters para filtros de permissões de pesquisa:

• Ao contrário das caixas de correio, não há um filtro de local de conteúdo para sites, embora o filtro Site se pareça com um filtro de localização. Todos os filtros para SharePoint e OneDrive são filtros de conteúdo (e é também por isso que Site_ e SiteContent_ filtros são intercambiáveis) porque propriedades relacionadas ao site, como Path , são carimbadas diretamente nos documentos. Por que isso ocorre? É um resultado da maneira como o SharePoint foi projetado. No SharePoint, não há um "objeto de site" com propriedades, como há com caixas de correio do Exchange. Portanto, a propriedade Path é carimbada no documento e contém a URL do site onde o documento está localizado. É por isso que um filtro de site é considerado um filtro de conteúdo e não um filtro de local de conteúdo.
• Você precisa criar um filtro de permissões de pesquisa para impedir explicitamente que os usuários pesquisem locais de conteúdo em um serviço específico (como impedir que um usuário pesquise qualquer caixa de correio do Exchange ou qualquer site do SharePoint). Em outras palavras, a criação de um filtro de permissões de pesquisa que permite que um usuário pesquise todos os sites do SharePoint na organização não impede que esse usuário pesquise caixas de correio. Por exemplo, para permitir que os administradores do SharePoint pesquisem apenas sites do SharePoint, você precisa criar um filtro que os impeça de pesquisar caixas de correio. Da mesma forma, para permitir que os administradores do Exchange pesquisem apenas caixas de correio, você precisa criar um filtro que os impeça de pesquisar sites.

Usuários

O parâmetro Users especifica os usuários que têm este filtro aplicado a suas pesquisas de conteúdo. Identifica os usuários por seus alias ou endereço SMTP principal. Você pode especificar vários valores separados por vírgulas ou pode atribuir o filtro a todos os usuários usando o valor All.

Você também pode usar o parâmetro Users para especificar um grupo de função do portal de conformidade. Isso permite que você crie um grupo de função personalizada e, em seguida, atribua esse grupo de função a um filtro de permissões de pesquisa. Por exemplo, digamos que você tenha um grupo de função personalizada para gerentes de Descoberta Eletrônica para a subsidiária americana de uma multinacional. Você pode usar o parâmetro Usuários para especificar esse grupo de funções (usando a propriedade Name do grupo de funções) e, em seguida, usar o parâmetro Filtrar para permitir que apenas caixas de correio nos EUA sejam pesquisadas. Você não pode especificar um grupo de distribuição com esse parâmetro.

Usando uma lista de filtros para combinar tipos de filtro

Uma lista de filtros é um filtro que inclui um filtro de caixa de correio e um filtro de site separado por uma vírgula. Essa vírgula também funciona como um operador OR . Usar uma lista de filtros é o único método com suporte para combinar diferentes tipos de filtros. No exemplo a seguir, observe que uma vírgula separa os filtros Caixa de Correio e Site :

-Filters "Mailbox_CustomAttribute10 -eq 'OttawaUsers'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'"

Quando um filtro que contém uma lista de filtros é processado durante a execução de uma pesquisa, dois filtros de permissões de pesquisa são criados a partir da lista de filtros: um para cada filtro separado por uma vírgula. Portanto, no exemplo anterior, um filtro de permissões de pesquisa de caixa de correio e um filtro de permissões de pesquisa de site seriam criados. Esses filtros são conectados pelo operador OR .

Uma alternativa ao uso de uma lista de filtros seria criar dois filtros de permissões de pesquisa separados. Portanto, no exemplo anterior, você criaria um filtro para o atributo de caixa de correio e um filtro para o atributo do site. Em ambos os casos, os resultados são os mesmos. Usar uma lista de filtros ou criar filtros de permissões de pesquisa separados é uma questão de preferência.

Lembre-se das seguintes coisas sobre como usar uma lista de filtros:

• Você precisa usar uma lista de filtros para criar um filtro que inclua um filtro de caixa de correio e um filtro MailboxContent .

• Cada componente de uma lista de filtros pode conter uma sintaxe de filtro complexa. Por exemplo, a caixa de correio e os filtros de site podem conter vários filtros separados por um operador - ou :

  -Filters "Mailbox_Department -eq 'CohoWinery' -or Mailbox_CustomAttribute10 -eq 'CohoUsers'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'"
  

Exemplos de criação de filtros de permissões de pesquisa

Estes são exemplos de como usar o cmdlet New-ComplianceSecurityFilter para criar um filtro de permissões de pesquisa.

Este exemplo permite que os membros do grupo de função "Gerentes de Descoberta dos EUA" pesquisem apenas as caixas de correio e as contas do OneDrive no Estados Unidos.

New-ComplianceSecurityFilter -FilterName USDiscoveryManagers  -Users "US Discovery Managers" -Filters "Mailbox_CountryOrRegion  -eq 'United States'"

Este exemplo permite que o usuário annb@contoso.com execute ações de pesquisa apenas para caixas de correio e contas do OneDrive no Canadá. O filtro usa o código de país numérico de três dígitos para o Canadá da ISO 3166-1.

New-ComplianceSecurityFilter -FilterName CountryFilter  -Users annb@contoso.com -Filters "Mailbox_CountryCode  -eq '124'"

Este exemplo permite que os usuários donh e suzanf pesquisem apenas as caixas de correio e contas do OneDrive que têm o valor 'Marketing' para a propriedade de caixa de correio CustomAttribute1.

New-ComplianceSecurityFilter -FilterName MarketingFilter  -Users donh,suzanf -Filters "Mailbox_CustomAttribute1  -eq 'Marketing'"

Este exemplo permite que os membros do grupo de função "Gerentes de Descoberta Eletrônica do Fourth Coffee" pesquisem apenas as caixas de correio e as contas do OneDrive que têm o valor "FourthCoffee" para a propriedade de caixa de correio Department. O filtro também permite que os membros do grupo de funções pesquisem documentos no site do SharePoint do Fourth Coffee .

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

Observação

No exemplo anterior, um filtro de conteúdo de site adicional (SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*') precisa ser incluído para que os membros do grupo de funções possam pesquisar documentos em contas do OneDrive. Se esse filtro não estiver incluído, o filtro só permitirá que os membros do grupo de funções pesquisem documentos localizados em https://contoso.sharepoint.com/sites/FourthCoffee.

Este exemplo permite que os membros do grupo de função Gerente de Descoberta Eletrônica pesquisem apenas as caixas de correio dos membros do grupo de distribuição Usuários de Ottawa. O cmdlet Get-DistributionGroup no PowerShell do Exchange Online é usado para localizar os membros do grupo Usuários de Ottawa.

$DG = Get-DistributionGroup "Ottawa Users"

New-ComplianceSecurityFilter -FilterName DGFilter  -Users eDiscoveryManager -Filters "Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"

Este exemplo impede que qualquer usuário execute ações de pesquisa nas caixas de correio e nas contas do OneDrive de membros do grupo de distribuição da Equipe Executiva. Isso significa que os usuários podem excluir o conteúdo dessas caixas de correio. O cmdlet Get-DistributionGroup no PowerShell do Exchange Online é usado para localizar os membros do grupo de Equipe Executiva.

$DG = Get-DistributionGroup "Executive Team"

New-ComplianceSecurityFilter -FilterName NoExecutivesPreview  -Users All -Filters "Mailbox_MemberOfGroup -ne '$($DG.DistinguishedName)'"

Este exemplo permite que os membros do grupo de funções personalizado Gerentes de descoberta eletrônica do OneDrive pesquisem apenas o conteúdo em contas do OneDrive na organização.

New-ComplianceSecurityFilter -FilterName OneDriveOnly  -Users "OneDrive eDiscovery Managers" -Filters "SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

Este exemplo restringe o usuário a executar ações de pesquisa apenas em mensagens de email enviadas durante o ano civil de 2015.

New-ComplianceSecurityFilter -FilterName EmailDateRestrictionFilter -Users donh@contoso.com -Filters "MailboxContent_Received -ge '01-01-2015' -and MailboxContent_Received -le '12-31-2015'"

Semelhante ao exemplo anterior, este exemplo restringe o usuário a executar ações de pesquisa apenas em documentos que foram alterados pela última vez em algum momento do ano civil de 2015.

New-ComplianceSecurityFilter -FilterName DocumentDateRestrictionFilter -Users donh@contoso.com -Filters "SiteContent_LastModifiedTime -ge '01-01-2015' -and SiteContent_LastModifiedTime -le '12-31-2015'"

Esse exemplo impede que os membros do grupo de função "Gerenciadores de Descoberta do OneDrive" executem ações de pesquisa em qualquer caixa de correio na organização.

New-ComplianceSecurityFilter -FilterName NoEXO -Users "OneDrive Discovery Managers" -Filters "Mailbox_Alias -notlike '*'"

Este exemplo impede que qualquer pessoa na organização realize ações de pesquisa em mensagens de email enviadas ou recebidas por janets ou sarad.

New-ComplianceSecurityFilter -FilterName NoSaraJanet -Users All -Filters "MailboxContent_Participants -notlike 'janets@contoso.onmicrosoft.com' -and MailboxContent_Participants -notlike 'sarad@contoso.onmicrosoft.com'"

Este exemplo usa uma lista de filtros para combinar filtros de caixa de correio e de site. Neste exemplo, o filtro de caixa de correio é um filtro de local de conteúdo e o filtro de site é um filtro de conteúdo.

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'"

Get-ComplianceSecurityFilter

O Get-ComplianceSecurityFilter é usado para retornar uma lista de filtros de permissões de pesquisa. Use o parâmetro FilterName para retornar informações para um filtro de pesquisa específico.

Set-ComplianceSecurityFilter

O Set-ComplianceSecurityFilter é usado para modificar um filtro de permissões de pesquisa existente. As seções a seguir descrevem os parâmetros para este cmdlet. O único parâmetro necessário é o FilterName.

FilterName

O parâmetro FilterName especifica o nome do filtro de permissões.

Usuários

O parâmetro Users especifica os usuários que têm este filtro aplicado a suas pesquisas de conteúdo. Como essa é uma propriedade de vários valores, especificar um usuário ou um grupo de usuários com esse parâmetro substitui a lista de usuários existente. Confira os exemplos a seguir para que a sintaxe adicione e remova usuários selecionados.

Você também pode usar o parâmetro Users para especificar um grupo de função do portal de conformidade. Isso permite que você crie um grupo de função personalizada e, em seguida, atribua esse grupo de função a um filtro de permissões de pesquisa. Por exemplo, digamos que você tenha um grupo de função personalizada para gerentes de Descoberta Eletrônica para a subsidiária americana de uma multinacional. Você pode usar o parâmetro Usuários para especificar esse grupo de funções (usando a propriedade Name do grupo de funções) e, em seguida, usar o parâmetro Filtrar para permitir que apenas caixas de correio nos EUA sejam pesquisadas. Você não pode especificar um grupo de distribuição com esse parâmetro.

Filtros

O parâmetro Filters especifica os critérios de pesquisa para o filtro de segurança de conformidade. Você pode criar três tipos diferentes de filtros:

• Caixa de correio e filtragem do OneDrive: Esse tipo de filtro especifica as caixas de correio e as contas do OneDrive que os usuários atribuídos (especificados pelo parâmetro Usuários ) podem pesquisar. A sintaxe para esse tipo de filtro é Mailbox_MailboxPropertyName, onde MailboxPropertyName especifica uma propriedade de caixa de correio usada para criar o escopo de caixas de correio que podem ser pesquisadas. Por exemplo, o filtro "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" de caixa de correio permitiria que o usuário atribuisse esse filtro para pesquisar apenas as caixas de correio que têm o valor "OttawaUsers" na propriedade CustomAttribute10. Qualquer propriedade de destinatário filtrável com suporte pode ser usada para a propriedade MailboxPropertyName. Para obter uma lista de propriedades com suporte, consulte Propriedades filtradas para o parâmetro -RecipientFilter.

• Filtragem de conteúdo da caixa de correio: Esse tipo de filtro é aplicado no conteúdo que pode ser pesquisado. Ele especifica o conteúdo da caixa de correio que os usuários atribuídos podem pesquisar. A sintaxe desse tipo de filtro é MailboxContent_SearchablePropertyName, em que SearchablePropertyName especifica uma propriedade KQL (Linguagem de Consulta de Palavra-Chave) que pode ser especificada em uma pesquisa. Por exemplo, o filtro "MailboxContent_Recipients -like 'contoso.com'" de conteúdo da caixa de correio permitiria que o usuário atribuído a esse filtro pesquisasse apenas mensagens enviadas aos destinatários no domínio contoso.com. Para obter uma lista de propriedades de email pesquisáveis, consulte Consultas de palavra-chave e condições de pesquisa para Descoberta Eletrônica.

• Filtragem de conteúdo do site e do site: Há dois filtros relacionados ao Site do SharePoint e OneDrive for Business que você pode usar para especificar qual site ou conteúdo do site os usuários atribuídos podem pesquisar:

  • Site_SearchableSiteProperty
  • SiteContent_SearchableSiteProperty

  Esses dois filtros são intercambiáveis. Por exemplo, "Site_Path -like 'https://contoso.spoppe.com/sites/doctors*'" e "SiteContent_Path -like 'https://contoso.spoppe.com/sites/doctors*'" retorne os mesmos resultados. Para obter uma lista de propriedades de site pesquisáveis, consulte Visão geral das propriedades rastreadas e gerenciadas no SharePoint. Propriedades marcadas com um Sim na coluna Queryable podem ser usadas para criar um filtro de conteúdo de site ou site.

Exemplos de alteração de filtros de permissões de pesquisa

Esses exemplos mostram como usar os cmdlets Get-ComplianceSecurityFilter e Set-ComplianceSecurityFilter para adicionar ou remover um usuário à lista existente de usuários aos quais o filtro é atribuído. Quando você adiciona ou remove usuários de um filtro, especifique o usuário com o endereço SMTP correspondente.

Este exemplo adiciona um usuário ao filtro.

$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter

$filterusers.users.add("pilarp@contoso.com")

Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users

Este exemplo remove um usuário do filtro.

$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter

$filterusers.users.remove("annb@contoso.com")

Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users

Remove-ComplianceSecurityFilter

O Remove-ComplianceSecurityFilter é usado para excluir um filtro de pesquisa. Use o parâmetro FilterName para especificar o filtro que você deseja excluir.

Mais informações

Como funciona a filtragem de permissões de pesquisa? O filtro de permissões é acrescentado à consulta de pesquisa quando uma pesquisa é executada. O filtro de permissões é ingressado na consulta de pesquisa pelo operador booliano E . A lógica de consulta para a consulta de pesquisa e o filtro de permissões seriam semelhantes a esta:

<SearchQuery> AND <PermissionsFilter>

Por exemplo, você tem um filtro de permissões que permite ao Bob executar todas as ações de pesquisa nas caixas de correio de membros do grupo de distribuição Workers. Em seguida, Bob executa uma pesquisa em todas as caixas de correio da organização com a consulta de pesquisa sender:jerry@adatum.com. Como o filtro de permissões e a consulta de pesquisa são logicamente combinados por um operador AND , a pesquisa retorna qualquer mensagem enviada por jerry@adatum.com qualquer membro do grupo de distribuição Workers.

O que acontece se você tiver vários filtros de permissões de pesquisa? Em uma consulta de pesquisa, vários filtros de permissões são combinados por operadores boolianos OR . Dessa forma, os resultados serão retornados se qualquer um dos filtros for verdadeiro. Em uma pesquisa, todos os filtros (combinados por operadores OR ) são combinados com a consulta de pesquisa pelo operador AND .

<SearchQuery> AND  (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>)

Vamos usar o exemplo anterior, em que um filtro de pesquisa permite que Bob pesquise apenas as caixas de correio dos membros do grupo de distribuição Workers. Em seguida, vamos criar outro filtro que impede que Paulo pesquise a caixa de correio do Pedro ("Mailbox_Alias -ne 'Pedro'"). E vamos supor também que Pedro seja membro do grupo Funcionários. Quando Bob executa uma pesquisa (do exemplo anterior) em todas as caixas de correio da organização, os resultados da pesquisa são retornados para a caixa de correio de Phil, mesmo que você tenha aplicado filtro para impedir bob de pesquisar na caixa de correio de Phil. Isso ocorre porque o primeiro filtro, que permite que Paulo pesquise no grupo Funcionários, é verdadeiro. Assim, como Pedro é um membro do grupo Funcionários, Paulo pode pesquisar na caixa de correio dele.

A filtragem de permissões de pesquisa funciona para caixas de correio inativas? Sim, você pode usar filtros de conteúdo de caixa de correio e caixa de correio para limitar quem pode pesquisar caixas de correio inativas em sua organização. Como uma caixa de correio regular, uma caixa de correio inativa precisa ser configurada com a propriedade do destinatário usada para criar um filtro de permissões. Se necessário, você pode usar o comando Get-Mailbox -InactiveMailboxOnly para exibir as propriedades das caixas de correio inativas. Para obter mais informações, consulte Criar e gerenciar caixas de correio inativas.

A filtragem de permissões de pesquisa funciona para pastas públicas? Não. Como explicado anteriormente, a filtragem de permissões de pesquisa não pode ser usada para limitar quem pode pesquisar pastas públicas no Exchange. Por exemplo, itens em locais de pasta pública não podem ser excluídos dos resultados da pesquisa por um filtro de permissões.

Permitir que um usuário pesquise todos os locais de conteúdo em um serviço específico também os impede de pesquisar locais de conteúdo em um serviço diferente? Não. Como explicado anteriormente, você precisa criar um filtro de permissões de pesquisa para impedir explicitamente que os usuários pesquisem locais de conteúdo em um serviço específico (como impedir que um usuário pesquise qualquer caixa de correio do Exchange ou qualquer site do SharePoint). Em outras palavras, a criação de um filtro de permissões de pesquisa que permite que um usuário pesquise todos os sites do SharePoint na organização não impede que esse usuário pesquise caixas de correio. Por exemplo, para permitir que os administradores do SharePoint pesquisem apenas sites do SharePoint, você precisa criar um filtro que os impeça de pesquisar caixas de correio. Da mesma forma, para permitir que os administradores do Exchange pesquisem apenas caixas de correio, você precisa criar um filtro que os impeça de pesquisar sites.

Os filtros de permissões de pesquisa contam com limites de caracteres de consulta de pesquisa? Sim. Os filtros de permissões de pesquisa contam com o limite de caracteres para consultas de pesquisa. Para obter mais informações, confira Limites na descoberta eletrônica (Premium).

Qual é o número máximo de filtros de permissões de pesquisa que podem ser criados em uma organização?

Não há limite para o número de filtros de permissões de pesquisa que podem ser criados em uma organização. No entanto, uma consulta de pesquisa pode ter no máximo 100 condições. Nesse caso, uma condição é definida como algo que está conectado à consulta por um operador booliano (como AND, OR e NEAR). O limite do número de condições inclui a consulta de pesquisa em si, além de todos os filtros de permissões de pesquisa que são aplicados ao usuário que executa a pesquisa. Portanto, mais filtros de permissões de pesquisa você tem (especialmente se esses filtros forem aplicados ao mesmo usuário ou grupo de usuários), maior será a chance de exceder o número máximo de condições para uma pesquisa.

Para entender como esse limite funciona, você precisa entender que um filtro de permissões de pesquisa é acrescentado à consulta de pesquisa quando uma pesquisa é executada. Um filtro de permissões de pesquisa é ingressado na consulta de pesquisa pelo operador booliano E . A lógica de consulta para a consulta de pesquisa e um único filtro de permissões de pesquisa seriam semelhantes a esta:

<SearchQuery> AND <PermissionsFilter>

Vários filtros de permissões de pesquisa são combinados pelo operador booliano OR e, em seguida, essas condições são conectadas à consulta de pesquisa pelo operador AND .

A lógica de consulta para a consulta de pesquisa e vários filtros de permissões de pesquisa seria semelhante a esta:

<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)

É possível que a consulta de pesquisa em si possa consistir em várias condições conectadas por operadores boolianos. Cada condição na consulta de pesquisa também contaria com o limite de 100 condições.

Além disso, o número de filtros de permissões de pesquisa acrescentados a uma consulta depende do usuário que está executando a pesquisa. Quando um usuário específico executa uma pesquisa, as permissões de pesquisa filtram que são aplicadas ao usuário (que é definido pelo parâmetro Usuários no filtro) são acrescentadas à consulta. Sua organização pode ter centenas de filtros de permissões de pesquisa, mas se mais de 100 filtros forem aplicados aos mesmos usuários, é provável que o limite de 100 condições seja excedido quando esses usuários executarem pesquisas.

Há mais uma coisa a ter em mente sobre o limite de condição. O número de sites específicos do SharePoint incluídos nos filtros de consulta de pesquisa ou permissões de pesquisa também conta com esse limite.

Para impedir que sua organização atinja o limite de condições, mantenha o número de filtros de permissões de pesquisa em sua organização como poucos possíveis para atender aos seus requisitos comerciais.