Настройка границ соответствия для расследований обнаружения электронных данных

Примечание

Microsoft 365 теперь называется Microsoft Purview, а решения в области соответствия были изменены. Дополнительные сведения о Microsoft Purview см. в объявлении блога.

Рекомендации, приведенные в этой статье, можно применять при использовании обнаружения электронных данных Microsoft Purview (standard) или Microsoft Purview eDiscovery (Premium) для управления расследованиями.

Границы соответствия требованиям устанавливают логические границы в организации, которые управляют расположениями контента пользователей (такими как почтовые ящики, учетные записи OneDrive и сайты SharePoint), доступными для поиска которые могут искать менеджеры по обнаружению электронных данных. Кроме того, границы соответствия управляют доступом к делам обнаружения электронных данных, используемым для управления юридическими, кадровыми ресурсами или другими расследованиями в вашей организации. Необходимость в границах соответствия часто необходима для нескольких национальных корпораций, которым необходимо соблюдать географические границы и нормативные акты, а также для государственных организаций, которые часто делятся на различные учреждения. В Microsoft 365, границы соответствия помогают соответствовать этим требованиям при выполнении поиска контента и управлении расследованиями с помощью дела обнаружения электронных данных.

Мы используем пример на следующем рисунке, чтобы объяснить, как работают границы соответствия.

Границы соответствия требованиям состоят из фильтров разрешений поиска, которые контролируют доступ к агентствам, и группы ролей администратора, которые контролируют доступ к делам обнаружения электронных данных.

В этом примере Contoso LTD — это организация, состоящая из двух дочерних подразделений: Fourth Coffee и Coho Winery. Компании требуется, чтобы менеджеры по обнаружению электронных данных и исследователи могут выполнять поиск только в почтовых ящиках Exchange, OneDrive учетных записях и SharePoint сайтах в своем агентстве. Кроме того, руководители и исследователи по обнаружению электронных данных могут просматривать дела обнаружения электронных данных только в своем агентстве, и они могут получить доступ только к тем делам, участником которых они являются. Кроме того, в этом сценарии исследователи не могут помещать расположения содержимого на удержание или экспортировать содержимое из дела. Ниже описано, как границы соответствия требованиям соответствуют этим требованиям.

  • Функция фильтрации разрешений поиска для обнаружения электронных данных управляет расположениями содержимого, которые могут искать руководители и исследователи eDiscovery. Это означает, что менеджеры по обнаружению электронных данных и исследователи из учреждения Fourth Coffee могут искать содержимое только в дочерней компании Fourth Coffee. Такое же ограничение применяется к дочерней компании Coho Winery.

  • Группы ролей предоставляют следующие функции для границ соответствия:

    • Укажите, кто может просматривать дела обнаружения электронных данных на портале соответствия требованиям Microsoft Purview. Это означает, что менеджеры по обнаружению электронных данных и следователи могут видеть дела обнаружения электронных данных только в своих учреждениях.

    • Управление тем, кто может назначать участников дела обнаружения электронных данных. Это означает, что менеджеры по обнаружению электронных данных и следователи могут назначать участников только тем делам, участниками которых сами являются.

    • Управление задачами, связанными с обнаружением электронных данных, которые могут выполнять участники, добавляя или удаляя роли, которые назначают определенные разрешения.

  • При применении фильтра разрешений поиска к группе ролей члены группы ролей могут выполнять следующие действия, связанные с поиском, при условии, что разрешения на выполнение действия назначены группе ролей:

    • Поиск содержимого

    • Предварительный просмотр результатов поиска

    • Экспорт результатов поиска

    • Очистка элементов, возвращаемых поиском

Ниже приведен процесс настройки границ соответствия.

Шаг 1. Определение атрибута пользователя для определения учреждений

Шаг 2. Создание группы ролей для каждого агентства

Шаг 3. Создание фильтра разрешений поиска для применения границы соответствия

Шаг 4. Создание дела обнаружения электронных данных для расследований внутри агентства

Перед настройкой границ соответствия

  • Пользователям должна быть назначена Exchange Online лицензия. Чтобы проверить это, используйте командлет Get-User в Exchange Online PowerShell.

Шаг 1. Определение атрибута пользователя для определения учреждений

Первым шагом является выбор атрибута, который будет определять ваши учреждения. Этот атрибут используется для создания фильтра разрешений поиска, который ограничивает диспетчер обнаружения электронных данных поиском только в расположениях содержимого пользователей, которым назначено определенное значение для этого атрибута. Например, предположим, что Contoso решает использовать атрибут Department . Значение этого атрибута для пользователей в дочерней компании Fourth Coffee FourthCoffee будет таким же, как и для пользователей в дочерней компании Coho Winery CohoWinery. На шаге 3 attribute:value эта пара (например, Department:FourthCoffee) используется для ограничения расположений пользовательского содержимого, которые могут искать руководители eDiscovery.

Ниже приведены некоторые примеры атрибутов пользователей, которые можно использовать для границ соответствия.

  • Company

  • CustomAttribute1 — CustomAttribute15

  • Отдел

  • Кабинет

  • CountryOrRegion (двухбуквенный код страны)

Полный список поддерживаемых фильтров почтовых ящиков см. в полном списке.

Шаг 2. Создание группы ролей для каждого агентства

Следующим шагом является создание групп ролей на портале соответствия требованиям, которые будут согласованы с вашими учреждениями. Мы рекомендуем создать группу ролей путем копирования встроенной группы менеджеров по обнаружению электронных данных, добавления соответствующих участников и удаления ролей, которые могут быть не применимы к вашим потребностям. Дополнительные сведения о ролях, связанных с обнаружением электронных данных, см. в разделе "Назначение разрешений для обнаружения электронных данных".

Чтобы создать группы ролей, перейдите на страницу "Разрешения" на портале соответствия требованиям и создайте группу ролей для каждой команды в каждом агентстве, которая будет использовать границы соответствия и дела обнаружения электронных данных для управления расследованиями.

В сценарии границ соответствия contoso необходимо создать четыре группы ролей и добавить в каждую из них соответствующих участников.

  • Менеджеры по обнаружению электронных данных Fourth Coffee

  • Следователи Fourth Coffee

  • Менеджеры по обнаружению электронных данных Coho Winery

  • Следователи Coho Winery

Чтобы соответствовать требованиям сценария границ соответствия Contoso, вы также удалите роли удержания и экспорта из групп ролей исследователей, чтобы не допустить удержания в расположениях содержимого и экспорта содержимого из дела.

Важно!

Если роль добавляется или удаляется из группы ролей, добавленной в качестве участника дела, то группа ролей будет автоматически удалена в качестве участника дела (или в любом случае группа ролей является членом). Это необходимо для защиты организации от непреднамеренного предоставления дополнительных разрешений участникам дела. Аналогичным образом, при удалении группы ролей она будет удалена из всех случаев, в которые она входит.

Шаг 3. Создание фильтра разрешений поиска для применения границы соответствия

После создания групп ролей для каждого агентства следующим шагом является создание фильтров разрешений поиска, которые связывают каждую группу ролей с конкретным учреждением и определяют границы соответствия. Необходимо создать один фильтр разрешений поиска для каждого агентства. Дополнительные сведения о создании фильтров разрешений безопасности см. в разделе "Настройка фильтрации разрешений для поиска контента".

Ниже приведен синтаксис, используемый для создания фильтра разрешений поиска, используемого для границ соответствия для сценария, описанного в этой статье.

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <role groups> -Filters "Mailbox_<MailboxPropertyName>  -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"

Ниже приведено описание каждого параметра в команде:

  • FilterName: указывает имя фильтра. Используйте имя, описывающее или определяющее агентство, в котором используется фильтр.

  • Users: указывает пользователей или группы, которые получают этот фильтр, применяемый к выполняемым ими действиям поиска. Для границ соответствия этот параметр указывает группы ролей (созданные на шаге 3) в агентствах, для которых создается фильтр. Обратите внимание, что это параметр с несколькими значениями, поэтому можно включить одну или несколько групп ролей, разделенных запятыми.

  • Filters: задает критерии поиска для фильтра. Для границ соответствия требованиям необходимо определить следующие фильтры. Каждое из них применяется к разным расположениям контента.

    • Mailbox: указывает почтовые ящики или OneDrive учетные записи, которые группы ролей, определенные в параметреUsers, могут выполнять поиск. Этот фильтр позволяет членам группы ролей выполнять поиск только в почтовых ящиках или OneDrive учетных записях в определенном агентстве, "Mailbox_Department -eq 'FourthCoffee'"например.

    • SiteContent: этот фильтр включает два отдельных фильтра. Первый указывает SiteContent_Path SharePoint сайтов в агентствах, которые группы ролей, определенные в параметреUsers, могут выполнять поиск. Например, SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee'. Второй фильтр SiteContent_Path (подключенный SiteContent_Path or к первому фильтру оператором) указывает домен OneDrive агентства (также называемый доменом MySite). Например, SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'. Вместо фильтра Site_Path можно также использовать фильтр SiteContent . Фильтры Site SiteContent и фильтры являются взаимозаменяемыми и не влияют на фильтры разрешений поиска, описанные в этой статье.

      Важно!

      Почему фильтр для SiteContent OneDrive включен в предыдущий фильтр разрешений поиска? Хотя фильтр применяется как к почтовым ящикам, так и к учетным записям OneDrive, включение фильтра SharePoint Site исключит OneDrive учетные записи, если вы не включили OneDrive фильтр.Mailbox Если фильтр разрешений поиска не включает фильтр SharePoint, вам не нужно включать отдельный фильтр OneDrive, так как фильтр почтовых ящиков будет включать OneDrive учетные записи в области границы соответствия. Иными словами, фильтр Mailbox разрешений поиска только с фильтром будет включать как почтовые ящики, так и OneDrive учетные записи.

Вот примеры двух фильтров разрешений поиска, которые будут созданы для поддержки сценария с ограничениями для соответствия требованиям Contoso. Оба этих примера включают список фильтров, разделенных запятой, в котором фильтры почтовых ящиков и сайтов включены в один фильтр разрешений поиска и разделяются запятой.

Четвертый кофе

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'"

Coho Winery

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'"

Примечание

Синтаксис параметров Filters в предыдущих примерах включает список фильтров. Список фильтров — это фильтр, который включает фильтр почтовых ящиков и фильтр пути к сайту, разделенный запятой. В предыдущем примере обратите внимание, что запятая Mailbox разделяется и фильтрует SiteContent : -Filters "Mailbox_<MailboxPropertyName> -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'". При обработке этого фильтра во время поиска eDiscovery из списка фильтров создаются два фильтра разрешений поиска: один фильтр почтовых ящиков и один SharePoint/OneDrive фильтр. Альтернативой использованию списка фильтров может быть создание двух отдельных фильтров разрешений поиска для каждого агентства: один фильтр разрешений поиска для атрибута почтового ящика и один фильтр для атрибутов SharePoint и OneDrive сайта. В любом случае результаты будут одинаковыми. Использование списка фильтров или создание отдельных фильтров разрешений поиска является вопросом предпочтения.

Как фильтры разрешений поиска работают в этом сценарии?

Ниже описано, как фильтры разрешений поиска применяются для каждого агентства в этом сценарии.

  1. Сначала Mailbox фильтр применяется для определения расположений содержимого, которые могут искать руководители eDiscovery. В этом случае диспетчеры обнаружения электронных данных Coho Winery могут выполнять поиск только в почтовых ящиках и OneDrive учетных записях пользователей, свойство почтового ящика Department которых имеет значение FourthCoffee; Менеджеры по обнаружению электронных данных Coho Winery могут выполнять поиск только в почтовых ящиках и OneDrive учетных записях пользователей, свойство почтового ящика Department которых имеет значение CohoWinery. Фильтр Mailbox представляет собой фильтр расположения содержимого, так как он указывает расположения содержимого, которые могут искать диспетчеры обнаружения электронных данных. В обоих фильтрах диспетчеры обнаружения электронных данных могут искать только расположения контента с определенным значением свойства почтового ящика.

  2. После определения расположений контента, для которых можно выполнить поиск, следующая часть фильтра определяет содержимое, которое диспетчеры обнаружения электронных данных могут искать. Первый фильтр SiteContent позволяет менеджерам Fourth Coffee eDiscovery искать только документы, которые имеют свойство пути к сайту, содержащее (или начинается с). https://contoso.sharepoint.com/sites/FourthCoffee Руководители coho Winery eDiscovery могут выполнять поиск только в документах, которые имеют свойство пути к сайту, содержащее (или начинается с). https://contoso.sharepoint.com/sites/CohoWinery Таким образом, эти два SiteContent фильтра являются фильтрами содержимого, так как они определяют содержимое, которое можно найти. В обоих фильтрах диспетчеры обнаружения электронных данных могут искать только документы с определенным значением свойства документа. Все SharePoint, связанные с контентом, являются фильтрами содержимого, так как свойства сайтов, доступных для поиска, помечаются во всех документах. Дополнительные сведения см. в разделе "Настройка фильтрации разрешений для обнаружения электронных данных".

    Примечание

    Хотя в сценарии, описанном в этой статье, они не используются, можно также использовать фильтры содержимого почтовых ящиков, чтобы указать содержимое, которое могут искать менеджеры по обнаружению электронных данных. Синтаксис фильтров содержимого почтовых ящиков:"MailboxContent_<property> -<comparison operator> '<value>'" Фильтры содержимого можно создавать на основе диапазонов дат, получателей и доменов или любого свойства электронной почты с возможностью поиска. Например, этот фильтр позволит диспетчерам обнаружения электронных данных искать только элементы почты, отправленные или полученные пользователями в contoso.com домене. "MailboxContent_Participants -like 'contoso.com'" Дополнительные сведения о фильтрах содержимого почтовых ящиков см. в разделе "Настройка фильтрации разрешений поиска".

  3. Фильтр разрешений поиска присоединяется к поисковому запросу оператором AND Boolean. Это означает, что когда менеджер по обнаружению электронных данных в одном из учреждений выполняет поиск по обнаружению электронных данных, элементы, возвращаемые поиском, должны соответствовать поисковому запросу и условиям, определенным в фильтре разрешений поиска.

Шаг 4. Создание дела обнаружения электронных данных для расследований внутри агентства

Последним шагом является создание дела обнаружения электронных данных (standard) или eDiscovery (Premium) на портале соответствия требованиям, а затем добавление группы ролей, созданной на шаге 2, в качестве участника дела. Это приводит к двум важным характеристикам использования границ соответствия:

  • Только члены группы ролей, добавленной в дело, смогут просматривать дело и получать к нему доступ на портале соответствия требованиям. Например, если группа ролей Fourth Coffee Investigators является единственным участником дела, участники группы ролей Fourth Coffee eDiscovery Managers (или члены любой другой группы ролей) не смогут просматривать дело или получать к нему доступ.

  • Когда член группы ролей, назначенный делу, выполняет поиск, связанный с делом, он сможет выполнять поиск только в расположениях контента в своем агентстве (которое определяется фильтром разрешений поиска, созданным на шаге 3).)

Чтобы создать дело и назначить участников:

  1. Перейдите на страницу обнаружения электронных данных (standard) или eDiscovery (Premium) на портале соответствия требованиям и создайте дело.

  2. В списке вариантов щелкните имя созданного дела.

  3. Добавьте группы ролей в качестве членов в дело. Инструкции см. в одной из следующих статей:

Примечание

При добавлении группы ролей в дело можно добавить только группы ролей, в которые вы входите.

Поиск и экспорт содержимого в средах с поддержкой нескольких регионов

Фильтры разрешений поиска также позволяют контролировать, куда направляется содержимое для экспорта и какой центр обработки данных можно искать при поиске расположений содержимого в SharePoint с поддержкой нескольких регионов среде.

  • Экспорт результатов поиска: Результаты поиска можно экспортировать из Exchange почтовых ящиков, SharePoint сайтов и OneDrive из определенного центра обработки данных. Это означает, что можно указать расположение центра обработки данных, из которого будут экспортированы результаты поиска.

    Используйте параметр Region для командлетов New-ComplianceSecurityFilter или Set-ComplianceSecurityFilter , чтобы создать или изменить центр обработки данных, через который будет выполняться экспорт.

    Значение параметра Расположение центра обработки данных
    NAM
    Северная Америка (центры обработки данных находятся в США)
    EUR
    Европа
    APC
    Азиатско-Тихоокеанский регион
    CAN
    Канада
  • Маршрутизация поиска контента: Вы можете направлять поиск контента SharePoint сайтов и OneDrive в вспомогательный центр обработки данных. Это означает, что можно указать расположение центра обработки данных, в котором будут выполняться поиски.

    Используйте одно из следующих значений параметра Region для управления расположением центра обработки данных, в котором будут выполняться поиски при поиске SharePoint сайтов и OneDrive учетных записей.

    Значение параметра Расположения маршрутизации центра обработки данных для SharePoint
    NAM
    Россия
    EUR
    Европа
    APC
    Азиатско-Тихоокеанский регион
    CAN
    Россия
    AUS
    Азиатско-Тихоокеанский регион
    KOR
    Центр обработки данных организации по умолчанию
    GBR
    Европа
    JPN
    Азиатско-Тихоокеанский регион
    IND
    Азиатско-Тихоокеанский регион
    ЛАМ
    Россия
    НИ
    Европа
    БЮСТГАЛЬТЕР
    Центры обработки данных в Северной Америке

    Если не указать параметр Region для фильтра разрешений поиска, будет выполняться поиск в основном регионе SharePoint организации. Результаты поиска экспортируются в ближайший центр обработки данных.

    Чтобы упростить концепцию, параметр Region управляет центром обработки данных, используемым для поиска содержимого в SharePoint и OneDrive. Это не применяется к поиску содержимого в Exchange, Exchange поиск контента не привязан к географическому расположению центров обработки данных. Кроме того, то же значение параметра Region также может определять центр обработки данных, через который выполняется экспорт. Это часто необходимо для управления перемещением данных между географическими досками.

Примечание

Если вы используете обнаружение электронных данных (Premium), параметр Region не определяет регион, из которого экспортируются данные. Данные экспортируются из центрального расположения организации. Кроме того, поиск содержимого в SharePoint и OneDrive не привязан к географическому расположению центров обработки данных. Поиск выполняется во всех центрах обработки данных. Дополнительные сведения об обнаружении электронных данных (Premium) см. в обзоре решения eDiscovery (Premium) в Microsoft 365.

Ниже приведены примеры использования параметра Region при создании фильтров разрешений поиска для границ соответствия. Предполагается, что дочернее предприятие Fourth Coffee находится в Северная Америка а Coho Winery — в Европе.

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'" -Region NAM
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'" -Region EUR

При поиске и экспорте содержимого в средах с поддержкой нескольких регионов учитывайте следующие моменты.

  • Параметр Регион не управляет поиском в почтовых ящиках Exchange. Поиск будет выполняться во всех центрах обработки данных при поиске в почтовых ящиках. Чтобы ограничить область поиска Exchange почтовых ящиков, используйте параметр Filters при создании или изменении фильтра разрешений поиска.

  • Если диспетчеру обнаружения электронных данных необходимо выполнять поиск в нескольких регионах SharePoint, необходимо создать другую учетную запись пользователя для этого диспетчера обнаружения электронных данных, чтобы использовать его в фильтре разрешений поиска, чтобы указать регион, в котором находятся сайты SharePoint или OneDrive учетные записи. Дополнительные сведения о настройке см. в разделе "Поиск контента в среде SharePoint с поддержкой нескольких регионов" в разделе "Поиск контента".

  • При поиске содержимого в SharePoint и OneDrive параметр Region направляет поиск в основное или вспомогательное расположение, где диспетчер обнаружения электронных данных будет проводить исследования обнаружения электронных данных. Если диспетчер обнаружения электронных данных выполняет поиск SharePoint и OneDrive за пределами региона, указанного в фильтре разрешений поиска, результаты поиска не возвращаются.

  • При экспорте результатов поиска из обнаружения электронных данных (цен. категория "Стандартный") содержимое из всех расположений контента (включая Exchange, Skype для бизнеса, SharePoint, OneDrive и другие службы, которые можно искать с помощью средства поиска контента), отправляется в служба хранилища Azure в центре обработки данных, указанном параметром Region. Это помогает организациям обеспечить соответствие требованиям, не разрешая экспортировать содержимое через контролируемые границы. Если в фильтре разрешений поиска не указан ни один регион, содержимое отправляется в основной центр обработки данных организации.

    При экспорте содержимого из обнаружения электронных данных (Premium) невозможно управлять отправкой содержимого с помощью параметра Region. Содержимое отправляется в служба хранилища Azure в центре обработки данных в центральном расположении вашей организации. Список географических расположений, основанных на центральном расположении, см. в Microsoft 365 конфигурации обнаружения электронных данных с поддержкой нескольких регионов.

  • Вы можете изменить существующий фильтр разрешений поиска, чтобы добавить или изменить регион, выполнив следующую команду:

    Set-ComplianceSecurityFilter -FilterName <Filter name>  -Region <Region>
    

Использование границ соответствия для SharePoint центральных сайтов

SharePoint центральных сайтов часто соответствуют тем же географическим или корпоративным границам, которым соответствуют границы соответствия для обнаружения электронных данных. Это означает, что для создания границы соответствия можно использовать свойство идентификатора сайта центрального сайта. Для этого используйте командлет Get-SPOHubSite в SharePoint Online PowerShell, чтобы получить Идентификатор сайта для центрального сайта, а затем используйте это значение для свойства идентификатора отдела, чтобы создать фильтр разрешений поиска.

Используйте следующий синтаксис для создания фильтра разрешений поиска для SharePoint центрального сайта:

New-ComplianceSecurityFilter -FilterName <Filter Name> -Users <User or Group> -Filters "Site_Departmentid -eq '{SiteId of hub site}'"

Ниже приведен пример создания фильтра разрешений поиска для центрального сайта для агентства Coho Winery:

New-ComplianceSecurityFilter -FilterName "Coho Winery Hub Site Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Site_Departmentid -eq '44252d09-62c4-4913-9eb0-a2a8b8d7f863'"

Ограничения границ соответствия

При управлении делами обнаружения электронных данных и расследованиями, в которых используются границы соответствия, учитывайте следующие ограничения.

  • При создании и выполнении поиска можно выбрать расположения содержимого, которые находятся за пределами вашего учреждения. Однако из-за фильтра разрешений поиска содержимое из этих мест не включается в результаты поиска.

  • Границы соответствия не применяются к удержаниям в делах обнаружения электронных данных. Это означает, что менеджер по обнаружению электронных данных в одном учреждении может разместить пользователя в другом учреждении на удержании. Однако ограничение для соответствия требованиям будет принудительно применено, если менеджер по обнаружению электронных данных выполняет поиск в расположениях содержимого пользователя, помещенного на удержание. Это означает, что менеджер по обнаружению электронных данных не сможет выполнять поиск в расположениях содержимого пользователя, хотя и может поместить пользователя на удержание.

  • Если вам назначен фильтр разрешений поиска (почтовый ящик или фильтр сайта) и вы пытаетесь экспортировать неиндексированные элементы для поиска, включающего все сайты SharePoint в организации, вы получите следующее сообщение об ошибке: Unable to execute the task. Reason: The scope options UnindexedItemsOnly or BothIndexedandUnindexedItems are not allowed when the executing user has a compliance security filter applied. Если вам назначен фильтр разрешений поиска и вы хотите экспортировать неиндексированные элементы из SharePoint, вам придется повторно запустить поиск и включить определенные сайты SharePoint для поиска. В противном случае вы сможете экспортировать только индексированные элементы из поиска, который включает все SharePoint сайтов. Дополнительные сведения о параметрах при экспорте результатов поиска см. в разделе "Экспорт результатов поиска контента".

  • Фильтры разрешений поиска не применяются к общедоступным папкам Exchange.

Дополнительная информация

  • Если почтовый ящик не лицензирован или обратимо удален, пользователь больше не будет рассматриваться в пределах границы соответствия. Если при удалении почтового ящика было помещено удержание, содержимое, сохраненное в почтовом ящике, по-прежнему зависит от границы соответствия или фильтра разрешений поиска.

  • Если для пользователя реализованы границы соответствия и фильтры разрешений поиска, рекомендуется не удалять почтовый ящик пользователя, а не его учетную запись OneDrive. Другими словами, при удалении почтового ящика пользователя необходимо также удалить учетную запись OneDrive пользователя, так как mailbox_RecipientFilter используется для применения фильтра разрешений поиска для OneDrive.

  • Границы соответствия и фильтры разрешений поиска зависят от атрибутов, которые были отметок в содержимом Exchange, OneDrive и SharePoint и последующего индексирования этого содержимого с метками.

  • Мы не рекомендуем использовать фильтры исключений ( -not() например, в фильтре разрешений поиска) для границы соответствия требованиям на основе содержимого. Использование фильтра исключений может привести к непредвиденным результатам, если содержимое с недавно обновленными атрибутами не было проиндексированно.

Вопросы и ответы

Кто можно создавать фильтры разрешений поиска и управлять ими (с помощью New-ComplianceSecurityFilter и Set-ComplianceSecurityFilter командлетов)?

Чтобы создавать, просматривать и изменять фильтры разрешений поиска, необходимо быть членом группы ролей "Управление организацией" на портале соответствия требованиям.

Если менеджеру по обнаружению электронных данных назначено несколько групп ролей, охватывающих несколько учреждений, как он выполняет поиск контента в одном или другом учреждении?

Диспетчер обнаружения электронных данных может добавлять параметры в поисковый запрос, которые ограничивают поиск определенным учреждением. Например, если организация указала свойство CustomAttribute10 для различения учреждений, они могут добавить следующий код в поисковый запрос для поиска почтовых ящиков и учетных записей OneDrive в определенном учреждении: CustomAttribute10:<value>.

Что произойдет при изменении значения атрибута, используемого в качестве атрибута соответствия в фильтре разрешений поиска?

Для применения границы соответствия фильтру разрешений поиска требуется до трех дней, если значение атрибута, используемого в фильтре, изменилось. Например, в сценарии Contoso предположим, что пользователь из четвертого агентства Coffee передается в агентство Coho Winery. В результате значение атрибута Department в объекте пользователя меняется с FourthCoffee на CohoWinery. В этом случае fourth Coffee eDiscovery и пользователи будут получать результаты поиска для этого пользователя в течение трех дней после изменения атрибута. Аналогичным образом, чтобы руководители и исследователи Coho Winery eDiscovery получить результаты поиска для пользователя, требуется до трех дней.

Может ли менеджер по обнаружению электронных данных просматривать содержимое из двух отдельных границ соответствия?

Да, это можно сделать при поиске Exchange почтовых ящиков путем добавления диспетчера обнаружения электронных данных в группы ролей, которые имеют видимость для обоих учреждений. Однако при поиске SharePoint сайтов и OneDrive учетных записей диспетчер обнаружения электронных данных может выполнять поиск контента в разных границах соответствия, только если учреждения находятся в одном регионе или географическом расположении. Примечание: Это ограничение для сайтов не применяется при обнаружении электронных данных (Premium), так как поиск контента в SharePoint и OneDrive не привязан к географическому расположению.

Работают ли фильтры разрешений поиска для удержаний дела обнаружения электронных данных, Microsoft 365 политик хранения или защиты от потери данных?

В настоящее время нет.

Если указать регион для управления экспортом содержимого, но у меня нет SharePoint организации в этом регионе, можно ли выполнять поиск SharePoint?

Если регион, указанный в фильтре разрешений поиска, не существует в вашей организации, будет выполняться поиск по региону по умолчанию.

Каково максимальное число фильтров разрешений поиска, которые можно создать в организации?

Количество фильтров разрешений поиска, которые могут быть созданы в организации, не ограничивается. Однако поисковый запрос может содержать не более 100 условий. В этом случае условие определяется как что-то, подключенное к запросу логическим оператором (например, AND, OR и NEAR). Ограничение количества условий включает в себя сам поисковый запрос, а также все фильтры разрешений поиска, применяемые к пользователю, который выполняет поиск. Таким образом, чем больше у вас фильтров разрешений поиска (особенно если эти фильтры применяются к одному пользователю или группе пользователей), тем выше вероятность превышения максимального количества условий для поиска.

Чтобы понять, как работает это ограничение, необходимо понимать, что фильтр разрешений поиска добавляется к поисковому запросу при выполнении поиска. Фильтр разрешений поиска присоединяется к поисковому запросу оператором AND Boolean. Логика запроса для поискового запроса и одного фильтра разрешений поиска будет выглядеть следующим образом:

<SearchQuery> AND <PermissionsFilter>

Несколько фильтров разрешений поиска объединяются оператором OR Boolean, а затем эти условия подключаются к поисковому запросу оператором AND .

Логика запроса для поискового запроса и нескольких фильтров разрешений поиска будет выглядеть следующим образом:

<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)

Возможно, поисковый запрос может состоять из нескольких условий, связанных логическими операторами. Каждое условие в поисковом запросе также будет считаться ограничением в 100 условий.

Кроме того, количество фильтров разрешений поиска, добавленных к запросу, зависит от пользователя, который выполняет поиск. Когда конкретный пользователь выполняет поиск, к запросу добавляются фильтры разрешений поиска, применяемые к пользователю (который определяется параметром Users в фильтре). В вашей организации могут быть сотни фильтров разрешений поиска, но если к тем же пользователям применено более 100 фильтров, то, скорее всего, ограничение в 100 условий будет превышено при выполнении поиска этими пользователями.

Есть еще один момент, который следует учитывать при ограничении условий. Количество определенных сайтов SharePoint, включенных в поисковый запрос или фильтры разрешений поиска, также учитывается в этом ограничении.

Чтобы ваша организация не достигла ограничения условий, оставьте число фильтров разрешений поиска в организации минимальным для удовлетворения бизнес-требований.