Configurar limites de conformidade para investigações de Descobertas EDiscoverySet up compliance boundaries for eDiscovery investigations

As diretrizes neste artigo podem ser aplicadas ao usar a Descoberta Interna ou Advanced eDiscovery gerenciar investigações.The guidance in this article can be applied when using either Core eDiscovery or Advanced eDiscovery to manage investigations.

Os limites de conformidade criam limites lógicos em uma organização que controla os locais de conteúdo do usuário (como caixas de correio, contas OneDrive e sites SharePoint) que os gerentes de Descoberta Eletrônico podem pesquisar.Compliance boundaries create logical boundaries within an organization that control the user content locations (such as mailboxes, OneDrive accounts, and SharePoint sites) that eDiscovery managers can search. Além disso, os limites de conformidade controlam quem pode acessar os casos de Descobertas Escobertas usados para gerenciar as investigações legais, de recursos humanos ou de outras investigações em sua organização.Also, compliance boundaries control who can access eDiscovery cases used to manage the legal, human resources, or other investigations within your organization. A necessidade de limites de conformidade geralmente é necessária para corporações multi-nacionais que precisam respeitar os tabuleiros geográficos e os regulamentos e para os governos, que geralmente são divididos em agências diferentes.The need for compliance boundaries is often necessary for multi-national corporations that have to respect geographical boarders and regulations and for governments, which are often divided into different agencies. Em Microsoft 365, os limites de conformidade ajudam você a atender a esses requisitos ao executar pesquisas de conteúdo e gerenciar investigações com casos de Descobertas EDiscovery.In Microsoft 365, compliance boundaries help you meet these requirements when performing content searches and managing investigations with eDiscovery cases.

Usamos o exemplo na ilustração a seguir para explicar como funcionam os limites de conformidade.We use the example in the following illustration to explain how compliance boundaries work.

Os limites de conformidade consistem em filtros de permissões de pesquisa que controlam o acesso a agências e grupos de funções de administrador que controlam o acesso a casos de Descoberta EDiscovery

Neste exemplo, Contoso LTD é uma organização que consiste em duas subsidiárias, Fourth Coffee e Coho Winery.In this example, Contoso LTD is an organization that consists of two subsidiaries, Fourth Coffee and Coho Winery. A empresa exige que os agentes e investigadores de Descoberta Exchange pesquisem apenas as caixas de correio Exchange, contas OneDrive e sites SharePoint em sua agência.The business requires that eDiscovery mangers and investigators can only search the Exchange mailboxes, OneDrive accounts, and SharePoint sites in their agency. Além disso, os gerentes e os investigadores de Descoberta Desdiscovery só podem ver casos de Descoberta eDiscovery em sua agência, e eles só podem acessar os casos dos quais são membros.Also, eDiscovery managers and investigators can only see eDiscovery cases in their agency, and they can only access the cases that they're a member of. Além disso, neste cenário, os investigadores não podem colocar locais de conteúdo em espera ou exportar conteúdo de um caso.Additionally in this scenario, investigators cannot place content locations on hold or export content from a case. Veja como os limites de conformidade atendem a esses requisitos.Here's how compliance boundaries meet these requirements.

  • A funcionalidade de filtragem de permissões de pesquisa de conteúdo controla os locais de conteúdo que os gerentes e investigadores de Descoberta De Descoberta De Conteúdo podem pesquisar.The search permissions filtering functionality in Content search controls the content locations that eDiscovery managers and investigators can search. Isso significa que gerenciadores e investigadores da Descoberta Eletrônica na agência Fourth Coffee podem pesquisar apenas locais de conteúdo na subsidiária Fourth Coffee.This means eDiscovery managers and investigators in the Fourth Coffee agency can only search content locations in the Fourth Coffee subsidiary. A mesma restrição se aplica à subsidiária Coho Winery.The same restriction applies to the Coho Winery subsidiary.

  • Os grupos de funções fornecem as seguintes funções para limites de conformidade:Role groups provide the following functions for compliance boundaries:

    • Controle quem pode ver os casos de Descoberta Digital no Centro de Conformidade & Segurança.Control who can see the eDiscovery cases in the Security & Compliance Center. Isso significa que gerenciadores e investigadores da Descoberta Eletrônica podem ver apenas os casos da Descoberta Eletrônica da sua agência. This means that eDiscovery managers and investigators can only see the eDiscovery cases in their agency.

    • Controle quem pode atribuir membros a um caso de Descoberta E.Control who can assign members to an eDiscovery case. Isso significa que gerenciadores e investigadores da Descoberta Eletrônica podem atribuir apenas membros aos casos dos quais eles mesmos são membros.This means eDiscovery managers and investigators can only assign members to cases that they themselves are a member of.

    • Controle as tarefas relacionadas à Descoberta e que os membros podem executar adicionando ou removendo funções que atribuem permissões específicas.Control the eDiscovery-related tasks that members can perform by adding or removing roles that assign specific permissions.

Este é o processo de configuração de limites de conformidade:Here's the process for setting up compliance boundaries:

Etapa 1: identificar um atributo de usuário para definir suas agênciasStep 1: Identify a user attribute to define your agencies

Etapa 2: arquivar uma solicitação com o Suporte da Microsoft para sincronizar o atributo do usuário com OneDrive contasStep 2: File a request with Microsoft Support to synchronize the user attribute to OneDrive accounts

Etapa 3: Criar um grupo de funções para cada agênciaStep 3: Create a role group for each agency

Etapa 4: Criar um filtro de permissões de pesquisa para impor o limite de conformidadeStep 4: Create a search permissions filter to enforce the compliance boundary

Etapa 5: Criar um caso de Descoberta e Para investigações dentro da agênciaStep 5: Create an eDiscovery case for an intra-agency investigations

Antes de configurar limites de conformidadeBefore you set up compliance boundaries

Você precisa atender aos seguintes pré-requisitos antes que o atributo Azure Active Directory (Azure AD) que você identidade (na Etapa 1) possa ser sincronizado com êxito com a conta OneDrive de um usuário (na Etapa 2):You have to meet the following prerequisites before the Azure Active Directory (Azure AD) attribute that you identity (in Step 1) can be successfully synched to a user's OneDrive account (in Step 2):

  • Os usuários devem ter uma licença Exchange Online e uma licença SharePoint Online.Users must be assigned an Exchange Online license and a SharePoint Online license.

  • As caixas de correio de usuário devem ter pelo menos 10 MB de tamanho.User mailboxes must be at least 10 MB in size. Se a caixa de correio de um usuário for menor que 10 MB, o atributo usado para definir suas agências não será sincronizado com a conta de OneDrive do usuário.If a user's mailbox is less than 10 MB, the attribute used to define your agencies won't be synched to the user's OneDrive account.

  • Os limites de conformidade e os atributos usados para criar filtros de permissões de pesquisa exigem que Azure Active Directory atributos do Azure AD sejam sincronizados com caixas de correio de usuário.Compliance boundaries and the attributes used to create search permissions filters require that Azure Active Directory (Azure AD) attributes are synchronized to user mailboxes. Para verificar se os atributos que você deseja usar foram sincronizados, execute o cmdlet Get-User no Exchange Online PowerShell.To verify that the attributes that you want to use have been synchronized, run the Get-User cmdlet in Exchange Online PowerShell. A saída deste cmdlet exibe os atributos do Azure AD sincronizados com Exchange Online.The output of this cmdlet displays the Azure AD attributes synchronized to Exchange Online.

Etapa 1: identificar um atributo de usuário para definir suas agênciasStep 1: Identify a user attribute to define your agencies

A primeira etapa é escolher um atributo do Azure AD a ser usado que definirá suas agências.The first step is to choose an Azure AD attribute to use that will define your agencies. Esse atributo é usado para criar o filtro de permissões de pesquisa que limita um gerente de Descoberta e para pesquisar apenas os locais de conteúdo dos usuários que têm um valor específico para esse atributo.This attribute is used to create the search permissions filter that limits an eDiscovery manager to search only the content locations of users who are assigned a specific value for this attribute. Por exemplo, digamos que a Contoso decida usar o atributo Department.For example, let's say Contoso decides to use the Department attribute. O valor para esse atributo para usuários na subsidiária Quarto Café seria e o valor para usuários na FourthCoffee subsidiária coho Winery seria CohoWinery .The value for this attribute for users in the Fourth Coffee subsidiary would be FourthCoffee and the value for users in Coho Winery subsidiary would be CohoWinery. Na Etapa 4, você usa esse attribute:value par (por exemplo, Department:FourthCoffee) para limitar os locais de conteúdo do usuário que os gerentes de Descobertas Públicas podem pesquisar.In Step 4, you use this attribute:value pair (for example, Department:FourthCoffee) to limit the user content locations that eDiscovery managers can search.

Aqui está uma lista de atributos de usuário do Azure AD que você pode usar para limites de conformidade:Here's a list of Azure AD user attributes that you can use for compliance boundaries:

  • EmpresaCompany

  • CustomAttribute1 - CustomAttribute15CustomAttribute1 - CustomAttribute15

  • DepartamentoDepartment

  • EscritórioOffice

  • C (Código de país de duas letras) *C (Two-letter country code) *

    Observação

    *Esse atributo é mapeado para a propriedade CountryOrRegion retornada executando o cmdlet Get-User no Exchange Online PowerShell.* This attribute maps to the CountryOrRegion property that is returned by running the Get-User cmdlet in Exchange Online PowerShell. O cmdlet retorna o nome de país localizado, que é traduzido do código de país de duas letras.The cmdlet returns the localized country name, which is translated from the two-letter country code. Para obter mais informações, consulte a descrição do parâmetro CountryOrRegion no artigo de referência do cmdlet Set-User.For more information, see the CountryOrRegion parameter description in the Set-User cmdlet reference article.

Embora mais atributos de usuário estão disponíveis, especialmente para caixas de correio Exchange, os atributos listados acima são os únicos atualmente suportados pelo OneDrive.Although more user attributes are available, particularly for Exchange mailboxes, the attributes listed above are the only ones currently supported by OneDrive.

Etapa 2: arquivar uma solicitação com o Suporte da Microsoft para sincronizar o atributo do usuário com OneDrive contasStep 2: File a request with Microsoft Support to synchronize the user attribute to OneDrive accounts

Importante

Esta etapa não é mais necessária.This step is no longer required. A partir de junho de 2021, os filtros de caixa de correio serão aplicados a OneDrive for Business.Starting in June 2021, mailbox filters will apply to OneDrive for Business. As solicitações de suporte para sincronizar o atributo OneDrive serão recusadas porque não é mais necessário.Support requests to synchronize the attribute to OneDrive will be declined because it's no longer required. Este artigo será atualizado em um futuro próximo.This article will be updated in the near future.

A próxima etapa é arquivar uma solicitação com o Suporte da Microsoft para sincronizar o atributo do Azure AD que você escolheu na Etapa 1 para todas as OneDrive de sua organização.The next step is to file a request with Microsoft Support to synchronize the Azure AD attribute that you chose in Step 1 to all OneDrive accounts in your organization. Depois que essa sincronização ocorrer, o atributo (e seu valor) escolhido na Etapa 1 será mapeado para uma propriedade gerenciada oculta chamada ComplianceAttribute .After this synchronization occurs, the attribute (and its value) that you chose in Step 1 will be mapped to a hidden managed property named ComplianceAttribute. Use esse atributo para criar o filtro de permissões de pesquisa para OneDrive na Etapa 4.You use this attribute to create the search permissions filter for OneDrive in Step 4.

Inclua as seguintes informações ao enviar a solicitação para o suporte da Microsoft:Include the following information when you submit the request to Microsoft support:

  • O nome de domínio padrão da sua organizaçãoThe default domain name of your organization

  • O nome do atributo Azure AD (da Etapa 1)The name of the Azure AD attribute (from Step 1)

  • O seguinte título ou descrição da finalidade da solicitação de suporte: "Habilitar OneDrive for Business sincronização com o Azure AD para filtros de segurança de conformidade".The following title or description of the purpose of the support request: "Enable OneDrive for Business Synchronization with Azure AD for Compliance Security Filters". Isso ajuda a encaminhar a solicitação para a equipe de engenharia de Descoberta e Que implementa a solicitação.This helps route the request to the eDiscovery engineering team who implements the request.

Depois que a alteração de engenharia for feita e o atributo for sincronizado com OneDrive, o Suporte da Microsoft enviará o número de com build em que a alteração foi feita e uma data de implantação estimada.After the engineering change is made and the attribute is synchronized to OneDrive, Microsoft Support will send you the build number that the change was made in and an estimated deployment date. O processo de implantação geralmente leva de 4 a 6 semanas após você enviar a solicitação de suporte.The deployment process usually takes 4–6 weeks after you submit the support request.

Importante

Você pode concluir a Etapa 3 até a Etapa 5 antes que essa alteração de atributo seja implantada.You can complete Step 3 through Step 5 before this attribute change is deployed. Mas a execução de pesquisas de conteúdo não retornará documentos de OneDrive contas especificadas em um filtro de permissões de pesquisa até depois que a sincronização de atributos for implantada.But running content searches won't return documents from OneDrive accounts that are specified in a search permissions filter until after the attribute synch is deployed.

Etapa 3: Criar um grupo de funções para cada agênciaStep 3: Create a role group for each agency

A próxima etapa é criar os grupos de função no Centro de Conformidade & segurança que se alinhará às suas agências.The next step is to create the role groups in the Security & Compliance Center that will align with your agencies. Recomendamos criar um grupo de funções copiando o grupo de gerenciadores internos da Descoberta Eletrônica, adicionando membros adequados e removendo funções que podem não ser aplicáveis as suas necessidades.We recommend that you create a role group by copying the built-in eDiscovery Managers group, adding the appropriate members, and removing roles that may not be applicable to your needs. Para obter mais informações sobre funções relacionadas à Descoberta E, consulte Assign eDiscovery permissions.For more information about eDiscovery-related roles, see Assign eDiscovery permissions.

Para criar grupos de funções, vá para a página Permissões no Centro de Conformidade e Segurança e crie um grupo de funções para cada equipe em cada agência que usará os limites de conformidade e os casos da Descoberta Eletrônica para gerenciar investigações.To create the role groups, go to the Permissions page in the Security & Compliance Center and create a role group for each team in each agency that will use compliance boundaries and eDiscovery cases to manage investigations.

Usando o cenário de limites de conformidade da Contoso, quatro grupos de funções precisam ser criados e os membros apropriados adicionados a cada um.Using the Contoso compliance boundaries scenario, four role groups need to be created and the appropriate members added to each one.

  • Gerenciadores da Descoberta Eletrônica da Fourth CoffeeFourth Coffee eDiscovery Managers

  • Investigadores da Fourth CoffeeFourth Coffee Investigators

  • Gerenciadores da Descoberta Eletrônica da Coho WineryCoho Winery eDiscovery Managers

  • Investigadores da Coho WineryCoho Winery Investigators

Para atender aos requisitos do cenário de limites de conformidade da Contoso, você também removeria as funções de Remoção e Exportação dos grupos de função de investigadores para impedir que os investigadores colocarem regiões de conteúdo e exportar conteúdo de um caso.To meet the requirements of the Contoso compliance boundaries scenario, you would also remove the Hold and Export roles from the investigators role groups to prevent investigators from placing holds on content locations and exporting content from a case.

Etapa 4: Criar um filtro de permissões de pesquisa para impor o limite de conformidadeStep 4: Create a search permissions filter to enforce the compliance boundary

Depois de criar grupos de função para cada agência, a próxima etapa é criar os filtros de permissões de pesquisa que associam cada grupo de funções à sua agência específica e define o próprio limite de conformidade.After you've created role groups for each agency, the next step is to create the search permissions filters that associate each role group to its specific agency and defines the compliance boundary itself. Você precisa criar um filtro de permissões de pesquisa para cada agência.You need to create one search permissions filter for each agency. Para obter mais informações sobre como criar filtros de permissões de segurança, consulte Configure permissions filtering for Content Search.For more information about creating security permissions filters, see Configure permissions filtering for Content Search.

Esta é a sintaxe usada para criar um filtro de permissões de pesquisa usado para limites de conformidade.Here's the syntax that's used to create a search permissions filter used for compliance boundaries.

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <role groups> -Filters "Mailbox_<ComplianceAttribute>  -eq '<AttributeVale> '", "Site_<ComplianceAttribute>  -eq '<AttributeValue>' -or Site_Path -like '<SharePointURL>*'" -Action <Action >

Aqui está uma descrição de cada parâmetro no comando:Here's a description of each parameter in the command:

  • FilterName: Especifica o nome do filtro.FilterName: Specifies the name of the filter. Use um nome que descreva ou identifique a agência em que o filtro é usado.Use a name that describes or identifies the agency that the filter is used in.

  • Users: Especifica os usuários ou grupos que têm esse filtro aplicado às ações de pesquisa que executam.Users: Specifies the users or groups who get this filter applied to the search actions they perform. Para limites de conformidade, este parâmetro especifica os grupos de função (que você criou na Etapa 3) na agência para a que você está criando o filtro.For compliance boundaries, this parameter specifies the role groups (that you created in Step 3) in the agency that you're creating the filter for. Observe que este é um parâmetro de vários valores para que você possa incluir um ou mais grupos de função, separados por vírgulas.Note this is a multi-value parameter so you can include one or more role groups, separated by commas.

  • Filters: Especifica os critérios de pesquisa do filtro.Filters: Specifies the search criteria for the filter. Para os limites de conformidade, você define os seguintes filtros.For the compliance boundaries, you define the following filters. Cada uma se aplica a um local de conteúdo.Each one applies to a content location.

    • Mailbox: Especifica as caixas de correio que os grupos de função definidos no Users parâmetro podem pesquisar.Mailbox: Specifies the mailboxes that the role groups defined in the Users parameter can search. Para limites de conformidade, ComplianceAttribute é o mesmo atributo identificado na Etapa 1 e AttributeValue especifica a agência.For compliance boundaries, ComplianceAttribute is the same attribute that you identified in Step 1 and AttributeValue specifies the agency. Esse filtro permite que os membros do grupo de funções pesquisem apenas as caixas de correio em uma agência específica; por exemplo, "Mailbox_Department -eq 'FourthCoffee'" .This filter allows members of the role group to search only the mailboxes in a specific agency; for example, "Mailbox_Department -eq 'FourthCoffee'".

    • Site: Especifica as contas OneDrive que os grupos de função definidos no Users parâmetro podem pesquisar.Site: Specifies the OneDrive accounts that the role groups defined in the Users parameter can search. Para o OneDrive, use a cadeia de caracteres ComplianceAttribute real .For the OneDrive filter, use the actual string ComplianceAttribute. Isso mapeia para o mesmo atributo que você identificou na Etapa 1 e sincronizado com contas OneDrive como resultado da solicitação de suporte que você enviou na Etapa 2; AttributeValue especifica a agência.This maps to the same attribute that you identified in Step 1 and that's synchronized to OneDrive accounts as a result of the support request that you submitted in Step 2; AttributeValue specifies the agency. Esse filtro permite que os membros do grupo de funções pesquisem apenas as contas OneDrive em uma agência específica; por exemplo, "Site_ComplianceAttribute -eq 'FourthCoffee'" .This filter allows members of the role group to search only the OneDrive accounts in a specific agency; for example, "Site_ComplianceAttribute -eq 'FourthCoffee'".

    • Site_Path: Especifica os sites SharePoint que os grupos de função definidos no Users parâmetro podem pesquisar.Site_Path: Specifies the SharePoint sites that the role groups defined in the Users parameter can search. O SharePointURL especifica os sites na agência que os membros do grupo de função podem pesquisar.The SharePointURL specifies the sites in the agency that members of the role group can search. Por exemplo, "Site_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'".For example, "Site_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'". Observe que Site os Site_Path filtros e são conectados por um operador -ou.Notice the Site and Site_Path filters are connected by an -or operator.

    Observação

    A sintaxe do Filters parâmetro inclui uma lista de filtros.The syntax for the Filters parameter includes a filters list. Uma lista de filtros é um filtro que inclui um filtro de caixa de correio e um filtro de site separado por uma vírgula.A filters list is a filter that includes a mailbox filter and a site filter separated by a comma. No exemplo anterior, observe que uma vírgula separa Mailbox_ComplianceAttribute e Site_ComplianceAttribute: -Filters "Mailbox_<ComplianceAttribute> -eq '<AttributeVale> '", "Site_ComplianceAttribute -eq '<AttributeValue>' -or Site_Path -like '<SharePointURL>*'" .In the previous example, notice that a comma separates Mailbox_ComplianceAttribute and Site_ComplianceAttribute: -Filters "Mailbox_<ComplianceAttribute> -eq '<AttributeVale> '", "Site_ComplianceAttribute -eq '<AttributeValue>' -or Site_Path -like '<SharePointURL>*'". Quando esse filtro é processado durante a execução de uma pesquisa de conteúdo, dois filtros de permissões de pesquisa são criados a partir da lista de filtros: um filtro de caixa de correio e um filtro de site.When this filter is processed during the running of a content search, two search permissions filters are created from the filters list: one mailbox filter and one site filter. Uma alternativa ao uso de uma lista de filtros seria criar dois filtros de permissões de pesquisa separados para cada agência: um filtro de permissões de pesquisa para o atributo de caixa de correio e um filtro para os atributos do site.An alternative to using a filters list would be to create two separate search permissions filters for each agency: one search permissions filter for the mailbox attribute and one filter for the site attributes. Em ambos os casos, os resultados serão os mesmos.In either case, the results will be the same. Usar uma lista de filtros ou criar filtros de permissões de pesquisa separados é uma questão de preferência.Using a filters list or creating separate search permissions filters is a matter of preference.

  • Action: Especifica o tipo de ação de pesquisa ao qual o filtro é aplicado.Action: Specifies the type of search action the filter is applied to. Por exemplo, só aplicaria o filtro quando membros do grupo de funções -Action Search definidos no Users parâmetro executar uma pesquisa.For example, -Action Search would only apply the filter when members of the role group defined in the Users parameter run a search. Nesse caso, o filtro não seria aplicado ao exportar resultados da pesquisa.In this case, the filter wouldn't be applied when exporting search results. Para limites de conformidade, use -Action All para que o filtro se aplique a todas as ações de pesquisa.For compliance boundaries, use -Action All so the filter applies to all search actions.

    Para ver uma lista das ações de pesquisa, consulte a seção "New-ComplianceSecurityFilter" em Configure permissions filtering for Content Search.For a list of the search actions, see the "New-ComplianceSecurityFilter" section in Configure permissions filtering for Content Search.

Aqui estão exemplos de dois filtros de permissões de pesquisa que seria criado para apoiar o cenário de limites de conformidade da Contoso.Here are examples of the two search permissions filters that would be created to support the Contoso compliance boundaries scenario. Esses dois exemplos incluem uma lista de filtros separados por vírgula, nos quais os filtros de site e caixa de correio estão incluídos no mesmo filtro de permissões de pesquisa e são separados por vírgula.Both of these examples include a comma-separated filters list, in which the mailbox and site filters are included in the same search permissions filter and are separated by a comma.

Quarto CaféFourth Coffee

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "Site_ComplianceAttribute -eq 'FourthCoffee' -or Site_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'" -Action ALL

Vinícola CohoCoho Winery

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "Site_ComplianceAttribute -eq 'CohoWinery' -or Site_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'" -Action ALL

Etapa 5: Criar um caso de Descoberta Interna para investigações dentro da agênciaStep 5: Create an eDiscovery case for intra-agency investigations

A etapa final é criar um caso de Descoberta Básica ou Advanced eDiscovery no centro de conformidade do Microsoft 365 e, em seguida, adicionar o grupo de função que você criou na Etapa 3 como membro do caso.The final step is to create a Core eDiscovery case or Advanced eDiscovery case in the Microsoft 365 compliance center and then add the role group that you created in Step 3 as a member of the case. Isso resulta em duas características importantes do uso de limites de conformidade:This results in two important characteristics of using compliance boundaries:

  • Somente os membros do grupo de função adicionados ao caso poderão ver e acessar o caso no Centro de Conformidade & Segurança.Only members of the role group added to the case will be able to see and access the case in the Security & Compliance Center. Por exemplo, se o grupo de função Quatro Investigadores de Café for o único membro de um caso, os membros do grupo de função Quatro Gerentes de Descoberta De Café (ou membros de qualquer outro grupo de funções) não poderão ver ou acessar o caso.For example, if the Fourth Coffee Investigators role group is the only member of a case, then members of the Fourth Coffee eDiscovery Managers role group (or members of any other role group) won't be able to see or access the case.

  • Quando um membro do grupo de função atribuído a um caso executa uma pesquisa associada ao caso, ele só poderá pesquisar os locais de conteúdo em sua agência (que é definido pelo filtro de permissões de pesquisa que você criou na Etapa 4.)When a member of the role group assigned to a case runs a search associated with the case, they will only be able to search the content locations within their agency (which is defined by the search permissions filter that you created in Step 4.)

Para criar uma ocorrência e atribuir membros:To create a case and assign members:

  1. Vá para a página Descoberta Básica ou Advanced eDiscovery no centro de conformidade Microsoft 365 e crie uma ocorrência. Go to the Core eDiscovery or Advanced eDiscovery page in the Microsoft 365 compliance center and create a case.

  2. Na lista de casos, clique no nome do caso criado.In the list of cases, click the name of the case you created.

  3. Adicione grupos de função como membros ao caso.Add role groups as members to the case. Para obter instruções, consulte um dos seguintes artigos:For instructions, see the one of the following articles:

Observação

Ao adicionar um grupo de função a um caso, você só pode adicionar os grupos de função dos que você é membro.When adding a role group to a case, you can only add the role groups that you are a member of.

Pesquisar e exportar conteúdo em ambientes multi-geoSearching and exporting content in Multi-Geo environments

Os filtros de permissões de pesquisa também permitem controlar onde o conteúdo é roteado para exportação e qual datacenter pode ser pesquisado ao pesquisar locais de conteúdo em um SharePoint Multi-Geo ambiente.Search permissions filters also let you control where content is routed for export and which datacenter can be searched when searching content locations in a SharePoint Multi-Geo environment.

  • Exportar resultados da pesquisa: Você pode exportar os resultados da pesquisa Exchange caixas de correio, SharePoint sites e OneDrive contas de um datacenter específico.Export search results: You can export the search results from Exchange mailboxes, SharePoint sites, and OneDrive accounts from a specific datacenter. Isso significa que você pode especificar o local do datacenter do qual os resultados da pesquisa serão exportados.This means that you can specify the datacenter location that search results will be exported from.

    Use o parâmetro Region para cmdlets New-ComplianceSecurityFilter ou Set-ComplianceSecurityFilter para criar ou alterar o datacenter pelo qual a exportação será roteada.Use the Region parameter for New-ComplianceSecurityFilter or Set-ComplianceSecurityFilter cmdlets to create or change which datacenter the export will be routed through.

    Valor do parâmetroParameter value Local do datacenterDatacenter location
    NAMNAM
    Norte-americano (datacenters estão nos EUA)North American (datacenters are in the US)
    EUREUR
    EuropaEurope
    APCAPC
    Pacífico AsiáticoAsia Pacific
    CANCAN
    CanadáCanada
  • Roteia pesquisas de conteúdo: Você pode rotear as pesquisas de conteúdo de SharePoint sites e OneDrive contas para um datacenter via satélite.Route content searches: You can route the content searches of SharePoint sites and OneDrive accounts to a satellite datacenter. Isso significa que você pode especificar o local do datacenter onde as pesquisas serão executados.This means you can specify the datacenter location where searches will be run.

    Use um dos seguintes valores para o parâmetro Region para controlar o local do datacenter em que as pesquisas serão executados ao pesquisar SharePoint sites e OneDrive contas.Use one of the following values for the Region parameter to control the datacenter location that searches will run in when searching SharePoint sites and OneDrive accounts.

    Valor do parâmetroParameter value Locais de roteamento de datacenter para SharePointDatacenter routing locations for SharePoint
    NAMNAM
    EUAUS
    EUREUR
    EuropaEurope
    APCAPC
    Pacífico AsiáticoAsia Pacific
    CANCAN
    EUAUS
    AUSAUS
    Pacífico AsiáticoAsia Pacific
    KORKOR
    Datacenter padrão da organizaçãoThe organization's default datacenter
    GBRGBR
    EuropaEurope
    JPNJPN
    Pacífico AsiáticoAsia Pacific
    INDIND
    Pacífico AsiáticoAsia Pacific
    LAMLAM
    EUAUS
    NORNOR
    EuropaEurope
    BRABRA
    Datacenters norte-americanosNorth American datacenters

    Se você não especificar o parâmetro Region para um filtro de permissões de pesquisa, a região de SharePoint principal da organização será pesquisada.If you don't specify the Region parameter for a search permissions filter, the organization's primary SharePoint region will be searched. Os resultados da pesquisa são exportados para o datacenter mais próximo.Search results are exported to the closest datacenter.

    Para simplificar o conceito, o parâmetro Region controla o datacenter usado para pesquisar conteúdo em SharePoint e OneDrive.To simplify the concept, the Region parameter controls the datacenter that is used to search for content in SharePoint and OneDrive. Isso não se aplica à pesquisa de conteúdo no Exchange porque Exchange pesquisas de conteúdo não estão vinculadas à localização geográfica dos datacenters.This doesn't apply to searching for content in Exchange because Exchange content searches aren't bound by the geographic location of datacenters. Além disso, o mesmo valor do parâmetro Region também pode ditar o datacenter pelo o que as exportações são roteados.Also, the same Region parameter value may also dictate the datacenter that exports are routed through. Isso geralmente é necessário para controlar a movimentação de dados entre os boarders geográficos.This is often necessary to control the movement of data across geographic boarders.

Observação

Se você estiver usando Advanced eDiscovery, o parâmetro Region não controlará a região de onde os dados são exportados.If you're using Advanced eDiscovery, the Region parameter doesn't control the region that data is exported from. Os dados são exportados do datacenter principal da organização.Data is exported from the organization's primary datacenter. Além disso, procurar conteúdo em SharePoint e OneDrive não está vinculado à localização geográfica dos datacenters.Also, searching for content in SharePoint and OneDrive isn't bound by the geographic location of datacenters. Todos os datacenters são pesquisados.All datacenters are searched. Para obter mais informações sobre Advanced eDiscovery, consulte Overview of the Advanced eDiscovery solution in Microsoft 365.For more information about Advanced eDiscovery, see Overview of the Advanced eDiscovery solution in Microsoft 365.

Aqui estão exemplos de uso do parâmetro Region ao criar filtros de permissão de pesquisa para limites de conformidade.Here are examples of using the Region parameter when creating search permission filters for compliance boundaries. Isso pressupo que a subsidiária quarto café está localizada na América do Norte e que Coho Winery está na Europa.This assumes that the Fourth Coffee subsidiary is located in North America and that Coho Winery is in Europe.

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "Site_Department -eq 'FourthCoffee' -or Site_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'" -Action ALL -Region NAM
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "Site_Department -eq 'CohoWinery' -or Site_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'" -Action ALL -Region EUR

Lembre-se das seguintes coisas ao pesquisar e exportar conteúdo em ambientes multi-geo.Keep the following things in mind when searching and exporting content in multi-geo environments.

  • O parâmetro Região não controla as pesquisas de caixas de correio do Exchange.The Region parameter doesn't control searches of Exchange mailboxes. Todos os datacenters serão pesquisados quando você pesquisar caixas de correio.All datacenters will be searched when you search mailboxes. Para limitar o escopo do qual Exchange caixas de correio são pesquisadas, use o parâmetro Filters ao criar ou alterar um filtro de permissões de pesquisa.To limit the scope of which Exchange mailboxes are searched, use the Filters parameter when creating or changing a search permissions filter.

  • Se for necessário que um Gerenciador de Descobertas Digitais pesquise em várias regiões SharePoint, você precisará criar uma conta de usuário diferente para que o gerente de Descoberta Digital use no filtro de permissões de pesquisa para especificar a região onde os sites SharePoint ou contas OneDrive estão localizadas.If it's necessary for an eDiscovery Manager to search across multiple SharePoint regions, you need to create a different user account for that eDiscovery manager to use in the search permissions filter to specify the region where the SharePoint sites or OneDrive accounts are located. Para obter mais informações sobre como configurar isso, consulte a seção "Pesquisar conteúdo em um SharePoint Multi-Geo ambiente" em Pesquisa de Conteúdo.For more information about setting this up, see the "Searching for content in a SharePoint Multi-Geo environment" section in Content Search.

  • Ao pesquisar conteúdo em SharePoint e OneDrive, o parâmetro Region direciona as pesquisas para o local principal ou por satélite onde o gerente de Descoberta eDiscovery conduzirá investigações de Descoberta e.When searching for content in SharePoint and OneDrive, the Region parameter directs searches to either the primary or satellite location where the eDiscovery manager will conduct eDiscovery investigations. Se um gerente de Descoberta SharePoint pesquisar OneDrive sites fora da região especificada no filtro de permissões de pesquisa, nenhum resultado de pesquisa será retornado.If an eDiscovery manager searches SharePoint and OneDrive sites outside of the region that's specified in the search permissions filter, no search results are returned.

  • Ao exportar resultados da pesquisa, o conteúdo de todos os locais de conteúdo (incluindo Exchange, Skype for Business, SharePoint, OneDrive e outros serviços que você pode pesquisar usando a ferramenta pesquisa de conteúdo) é carregado no local do Armazenamento do Azure no datacenter especificado pelo parâmetro Region.When exporting search results, content from all content locations (including Exchange, Skype for Business, SharePoint, OneDrive, and other services that you can search by using the Content Search tool) are uploaded to the Azure Storage location in the datacenter that's specified by the Region parameter. Isso ajuda as organizações a permanecer em conformidade, não permitindo que o conteúdo seja exportado entre bordas controladas.This helps organizations stay within compliance by not allowing content to be exported across controlled borders. Se nenhuma região for especificada no filtro de permissões de pesquisa, o conteúdo será carregado no datacenter principal da organização.If no region is specified in the search permissions filter, content is uploaded to the organization's primary datacenter.

  • Você pode editar um filtro de permissões de pesquisa existente para adicionar ou alterar a região executando o seguinte comando:You can edit an existing search permissions filter to add or change the region by running the following command:

    Set-ComplianceSecurityFilter -FilterName <Filter name>  -Region <Region>
    

Usando limites de conformidade para SharePoint de hubUsing compliance boundaries for SharePoint hub sites

SharePoint sites de hub geralmente se alinham com os mesmos limites geográficos ou de agência que os limites de conformidade da Descoberta Online seguem.SharePoint hub sites often align with the same geographical or agency boundaries that eDiscovery compliance boundaries follow. Isso significa que você pode usar a propriedade ID do site do hub para criar um limite de conformidade.That means you can use the site ID property of the hub site to create a compliance boundary. Para fazer isso, use o cmdlet Get-SPOHubSite no powershell do SharePoint Online para obter o SiteId para o site do hub e, em seguida, use esse valor para a propriedade ID do departamento para criar um filtro de permissões de pesquisa.To do this, use the Get-SPOHubSite cmdlet in SharePoint Online PowerShell to obtain the SiteId for the hub site and then use this value for the department ID property to create a search permissions filter.

Use a sintaxe a seguir para criar um filtro de permissões de pesquisa para um SharePoint de hub:Use the following syntax to create a search permissions filter for a SharePoint hub site:

New-ComplianceSecurityFilter -FilterName <Filter Name> -Users <User or Group> -Filters "Site_Departmentid -eq '{SiteId of hub site}'" -Action ALL

Veja um exemplo de criação de um filtro de permissões de pesquisa para um site de hub para a agência Coho Winery:Here's an example of creating a search permissions filter for a hub site for the Coho Winery agency:

New-ComplianceSecurityFilter -FilterName "Coho Winery Hub Site Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Site_Departmentid -eq '44252d09-62c4-4913-9eb0-a2a8b8d7f863'" -Action ALL

Limitações de limite de conformidadeCompliance boundary limitations

Tenha em mente as seguintes limitações ao gerenciar casos e investigações de Descobertas e Descobertas Que usam limites de conformidade.Keep the following limitations in mind when managing eDiscovery cases and investigations that use of compliance boundaries.

  • Ao criar e executar uma pesquisa, você pode selecionar locais de conteúdo que estão fora da sua agência.When creating and running a search, you can select content locations that are outside of your agency. No entanto, por causa do filtro das permissões de pesquisa, o conteúdo desses locais não são incluídos nos resultados da pesquisa.However, because of the search permissions filter, content from those locations isn't included in the search results.

  • Os limites de conformidade não se aplicam a resções em casos de Descoberta E.Compliance boundaries don't apply to holds in eDiscovery cases. Isso significa que um gerenciador da Descoberta Eletrônica pode colocar um usuário de uma outra agência em retenção.That means an eDiscovery manager in one agency can place a user in a different agency on hold. No entanto, o limite de conformidade será imposto se o gerenciador da Descoberta Eletrônica pesquisa os locais de conteúdo do usuário colocado em modo de retenção.However, the compliance boundary will be enforced if the eDiscovery manager searches the content locations of the user who was placed on hold. Isso significa que o gerenciador da Descoberta Eletrônica não poderá pesquisar os locais de conteúdo do usuário, mesmo se conseguirem colocar o usuário em retenção.That means the eDiscovery manager won't be able search the user's content locations, even though they were able to place the user on hold.

    Além disso, estatísticas de retenção se aplicam somente aos locais de conteúdo na agência.Also, hold statistics will only apply to content locations in the agency.

  • Se você tiver atribuído um filtro de permissões de pesquisa (uma caixa de correio ou um filtro de site) e tentar exportar itens não índicedos para uma pesquisa que inclua todos os sites SharePoint em sua organização, receberá a seguinte mensagem de erro: Unable to execute the task. Reason: The scope options UnindexedItemsOnly or BothIndexedandUnindexedItems are not allowed when the executing user has a compliance security filter applied .If you're assigned a search permissions filter (either a mailbox or a site filter) and you try to export unindexed items for a search that includes all SharePoint sites in your organization, you'll receive the following error message: Unable to execute the task. Reason: The scope options UnindexedItemsOnly or BothIndexedandUnindexedItems are not allowed when the executing user has a compliance security filter applied. Se você tiver atribuído um filtro de permissões de pesquisa e quiser exportar itens não SharePoint, você terá que reprisar a pesquisa e incluir sites SharePoint específicos para pesquisar.If you're assigned a search permissions filter and you want to export unindexed items from SharePoint, you'll have to rerun the search and include specific SharePoint sites to search. Caso contrário, você só poderá exportar itens indexados de uma pesquisa que inclui todos os SharePoint sites.Otherwise, you'll only be able to export indexed items from a search that includes all SharePoint sites. Para obter mais informações sobre as opções ao exportar resultados da pesquisa, consulte Exportar resultados da pesquisa de conteúdo.For more information about the options when you export search results, see Export Content search results.

  • Filtros de permissões de pesquisa não são aplicados a pastas públicas do Exchange.Search permissions filters aren't applied to Exchange public folders.

Mais InformaçõesMore information

  • Se uma caixa de correio for des licenciada ou excluída de forma suave, os atributos do Azure AD não serão mais sincronizados com a caixa de correio.If a mailbox is de-licensed or soft-deleted, Azure AD attributes are no longer synchronized to the mailbox. Se uma espera foi colocada na caixa de correio quando foi excluída, o conteúdo preservado na caixa de correio ainda está sujeito a um limite de conformidade ou filtro de permissões de pesquisa com base na última vez em que os atributos do Azure AD foram sincronizados antes da caixa de correio ser excluída.If a hold was placed on the mailbox when it was deleted, the content preserved in the mailbox is still subject to a compliance boundary or search permissions filter based on the last time the Azure AD attributes were synchronized before the mailbox was deleted.

    Além disso, a sincronização entre a caixa de correio do usuário e a conta OneDrive será cessada se a caixa de correio for des licenciada ou excluída.Additionally, the synchronization between the user's mailbox and OneDrive account will cease if the mailbox is de-licensed or soft-deleted. O último valor carimbado do atributo de conformidade da conta OneDrive permanecerá em vigor.The last stamped value of the compliance attribute for the OneDrive account will remain in effect.

  • O atributo de conformidade é sincronizado da caixa de correio de Exchange do usuário para sua conta OneDrive a cada sete dias.The compliance attribute is synchronized from a user's Exchange mailbox to their OneDrive account every seven days. Conforme mencionado anteriormente, essa sincronização só ocorre quando o usuário recebe uma licença Exchange Online e SharePoint Online e a caixa de correio do usuário é de pelo menos 10 MB.As previously stated, this synchronization only occurs when the user is assigned both an Exchange Online and SharePoint Online license and the user's mailbox is at least 10 MB.

  • Se os limites de conformidade e os filtros de permissões de pesquisa são implementados para a caixa de correio de um usuário e uma conta OneDrive, recomendamos que você não exclua a caixa de correio de um usuário e não a conta OneDrive usuário.If compliance boundaries and search permissions filters are implemented for both a user's mailbox and OneDrive account, then we recommend that you don't delete a user's mailbox and not their OneDrive account. Em outras palavras, se você excluir a caixa de correio de um usuário, também deverá remover a conta OneDrive usuário.In other words, if you delete a user's mailbox, you should also remove the user's OneDrive account.

  • Há situações (como um funcionário que retorna) em que um usuário pode ter duas ou mais OneDrive contas.There are situations (such as a returning employee) where a user might have two or more OneDrive accounts. Nesses casos, somente a conta OneDrive principal associada ao usuário no Azure AD será sincronizada.In these cases, only the primary OneDrive account associated with the user in Azure AD will be synchronized.

  • Os limites de conformidade e os filtros de permissões de pesquisa dependem dos atributos que estão sendo carimbados no conteúdo em Exchange, OneDrive e SharePoint e na indexação subsequente desse conteúdo carimbado.Compliance boundaries and search permissions filters depend on attributes being stamped on content in Exchange, OneDrive, and SharePoint and the subsequent indexing of this stamped content.

  • Não recomendamos o uso de filtros de exclusão (como o uso em um filtro de permissões de pesquisa) para um limite -not() de conformidade baseado em conteúdo.We don't recommend using exclusion filters (such as using -not() in a search permissions filter) for a content-based compliance boundary. O uso de um filtro de exclusão pode ter resultados inesperados se o conteúdo com atributos atualizados recentemente não tiver sido indexado.Using an exclusion filter can have unexpected results if content with recently updated attributes hasn't been indexed.

Perguntas frequentesFrequently asked questions

Who pode criar e gerenciar filtros de permissões de pesquisa (usando New-ComplianceSecurityFilter e Set-ComplianceSecurityFilter cmdlets)?Who can create and manage search permissions filters (using New-ComplianceSecurityFilter and Set-ComplianceSecurityFilter cmdlets)?

Para criar, exibir e modificar filtros de permissões de pesquisa &, você precisa ser membro do grupo de função Gerenciamento da Organização no Centro de Conformidade e Segurança.To create, view, and modify search permissions filters, you have to be a member of the Organization Management role group in the Security & Compliance Center.

Se um gerente de Descoberta De eDiscovery for atribuído a mais de um grupo de funções que abrange várias agências, como eles pesquisam conteúdo em uma agência ou em outra?If an eDiscovery manager is assigned to more than one role group that spans multiple agencies, how do they search for content in one agency or the other?

O gerente de Descoberta Desdiscovery pode adicionar parâmetros à consulta de pesquisa que restringem a pesquisa a uma agência específica.The eDiscovery manager can add parameters to their search query that restrict the search to a specific agency. Por exemplo, se uma organização especificou a propriedade CustomAttribute10 para diferenciar agências, elas poderão anexar o seguinte à consulta de pesquisa para pesquisar caixas de correio e OneDrive contas em uma agência específica: CustomAttribute10:<value> AND Site_ComplianceAttribute:<value> .For example, if an organization has specified the CustomAttribute10 property to differentiate agencies, they can append the following to their search query to search mailboxes and OneDrive accounts in a specific agency: CustomAttribute10:<value> AND Site_ComplianceAttribute:<value>.

O que acontece se o valor do atributo usado como atributo de conformidade em um filtro de permissões de pesquisa for alterado?What happens if the value of the attribute that's used as the compliance attribute in a search permissions filter is changed?

Leva até três dias para um filtro de permissões de pesquisa impor o limite de conformidade se o valor do atributo usado no filtro for alterado.It takes up to three days for a search permissions filter to enforce the compliance boundary if the value of the attribute that's used in the filter is changed. Por exemplo, no cenário Contoso, digamos que um usuário na agência Quarto Café seja transferido para a agência de Vinícola Coho.For example, in the Contoso scenario let's say that a user in the Fourth Coffee agency is transferred to the Coho Winery agency. Como resultado, o valor do atributo Department no objeto user é alterado de FourthCoffee para CohoWinery.As a result, the value of the Department attribute on the user object is changed from FourthCoffee to CohoWinery. Nessa situação, a Descoberta EDiscovery do Quarto Café e os investidores obterão resultados de pesquisa para esse usuário por até três dias após a alteração do atributo.In this situation, Fourth Coffee eDiscovery and investors will get search results for that user for up three days after the attribute is changed. Da mesma forma, leva até três dias para que os gerentes e investigadores de Descoberta e Descoberta De Coho Winery recebam resultados de pesquisa para o usuário.Similarly, it takes up to three days before Coho Winery eDiscovery managers and investigators get search results for the user.

Um gerente de Descoberta E pode ver o conteúdo de dois limites de conformidade separados?Can an eDiscovery manager see content from two separate compliance boundaries?

Sim, isso pode ser feito ao pesquisar Exchange caixas de correio adicionando o gerente de Descoberta Eletrônico a grupos de funções que têm visibilidade para ambas as agências.Yes, this can be done when searching Exchange mailboxes by adding the eDiscovery manager to role groups that have visibility to both agencies. No entanto, ao pesquisar SharePoint sites e contas OneDrive, um gerente de Descoberta Desdiscovery pode pesquisar conteúdo em diferentes limites de conformidade somente se as agências estão na mesma região ou localização geográfica.However when searching SharePoint sites and OneDrive accounts, an eDiscovery manager can search for content in different compliance boundaries only if the agencies are in the same region or geo location. Observação: Essa limitação para sites não se aplica Advanced eDiscovery porque pesquisar conteúdo em SharePoint e OneDrive não está vinculada à localização geográfica.Note: This limitation for sites doesn't apply in Advanced eDiscovery because searching for content in SharePoint and OneDrive isn't bound by geographic location.

Os filtros de permissões de pesquisa funcionam para retenções de caso de Descoberta Microsoft 365, políticas de retenção ou DLP?Do search permissions filters work for eDiscovery case holds, Microsoft 365 retention policies, or DLP?

Não, não neste momento.No, not at this time.

Se eu especificar uma região para controlar onde o conteúdo é exportado, mas não tenho uma organização SharePoint nessa região, ainda posso pesquisar SharePoint?If I specify a region to control where content is exported, but I don't have a SharePoint organization in that region, can I still search SharePoint?

Se a região especificada no filtro de permissões de pesquisa não existir em sua organização, a região padrão será pesquisada.If the region specified in the search permissions filter doesn't exist in your organization, the default region will be searched.

Qual é o número máximo de filtros de permissões de pesquisa que podem ser criados em uma organização?What is the maximum number of search permissions filters that can be created in an organization?

Não há limite para o número de filtros de permissões de pesquisa que podem ser criados em uma organização.There is no limit to the number of search permissions filters that can be created in an organization. No entanto, o desempenho da pesquisa será afetado quando houver mais de 100 filtros de permissões de pesquisa.However, search performance will be impacted when there are more than 100 search permissions filters. Para manter o número de filtros de permissões de pesquisa em sua organização o menor possível, crie filtros que combinem regras para Exchange, SharePoint e OneDrive em um único filtro de permissões de pesquisa sempre que possível.To keep the number of search permissions filters in your organization as small as possible, create filters that combine rules for Exchange, SharePoint, and OneDrive into a single search permissions filter whenever possible.