Configurare il filtro delle autorizzazioni per eDiscovery
Consiglio
eDiscovery (anteprima) è ora disponibile nel nuovo portale di Microsoft Purview. Per altre informazioni sull'uso della nuova esperienza di eDiscovery, vedere Informazioni su eDiscovery (anteprima).
È possibile usare il filtro delle autorizzazioni di ricerca per consentire a un manager di eDiscovery di cercare solo un subset di cassette postali e siti nell'organizzazione. È inoltre possibile filtrare le autorizzazioni per consentire allo stesso gestore di eDiscovery di eseguire le ricerche solo per i contenuti delle cassette postali e dei siti che rispondono a un criterio di ricerca specifico.
Ad esempio, è possibile che un manager di eDiscovery cerchi solo le cassette postali degli utenti in una posizione o in un reparto specifico. A tale scopo, creare un filtro che usa un filtro destinatario supportato per limitare le cassette postali in cui un utente o un gruppo di utenti specifico può eseguire ricerche. È anche possibile creare un filtro che specifica il contenuto della cassetta postale che un utente può cercare. Questa operazione viene eseguita creando un filtro che utilizza una proprietà dei messaggi disponibili per la ricerca. Analogamente, è possibile consentire a un manager di eDiscovery di cercare solo siti di SharePoint specifici nell'organizzazione. Questa operazione viene eseguita creando un filtro che consente di limitare il sito disponibile per la ricerca. È inoltre possibile creare un filtro che consente di specificare i contenuti dei siti che è possibile ricercare. Questa operazione viene eseguita creando un filtro che utilizza una proprietà dei siti disponibili per la ricerca.
I filtri delle autorizzazioni di ricerca vengono applicati quando si cerca contenuto usando Ricerca contenuto, Microsoft Purview eDiscovery (Standard) e Microsoft Purview eDiscovery (Premium) nel portale di conformità di Microsoft Purview. Quando un filtro delle autorizzazioni di ricerca viene applicato a un utente specifico, tale utente può eseguire le azioni correlate alla ricerca seguenti:
- Cercare contenuto
- Visualizzare in anteprima i risultati della ricerca
- Esportare i risultati della ricerca
- Ripulire gli elementi restituiti da una ricerca
È anche possibile usare il filtro delle autorizzazioni di ricerca per creare limiti logici (denominati limiti di conformità) all'interno di un'organizzazione che controllano i percorsi del contenuto utente (ad esempio cassette postali, siti di SharePoint e account OneDrive) su cui possono eseguire ricerche specifici responsabili di eDiscovery. Per altre informazioni, vedere Configurare i limiti di conformità per le indagini di eDiscovery.
I quattro cmdlet seguenti in Security & Compliance PowerShell consentono di configurare e gestire i filtri delle autorizzazioni di ricerca:
- New-ComplianceSecurityFilter
- Get-ComplianceSecurityFilter
- Set-ComplianceSecurityFilter
- Remove-ComplianceSecurityFilter
Consiglio
Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione del portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.
Requisiti per configurare il filtro delle autorizzazioni
- Per eseguire i cmdlet del filtro di sicurezza della conformità, è necessario essere membri del gruppo di ruoli Gestione organizzazione nel portale di conformità. Per altre informazioni, vedere Autorizzazioni nel Centro sicurezza e conformità.
- È necessario connettersi sia a Exchange Online che a Security & Compliance PowerShell per usare i cmdlet del filtro di sicurezza della conformità. Ciò è necessario perché questi cmdlet richiedono l'accesso alle proprietà delle cassette postali, motivo per cui è necessario connettersi a PowerShell di Exchange Online. Vedere la procedura descritta nella sezione successiva.
- Consultare la sezione More information per ulteriori informazioni sui filtri delle autorizzazioni di ricerca.
- Il filtro delle autorizzazioni di ricerca è applicabile alle cassette postali inattive, il che significa che è possibile usare il filtro del contenuto delle cassette postali e delle cassette postali per limitare gli utenti che possono eseguire ricerche in una cassetta postale inattiva. Per altre informazioni sul filtro delle autorizzazioni e sulle cassette postali inattive, vedere la sezione Altre informazioni .
- Non è possibile usare il filtro delle autorizzazioni di ricerca per limitare chi può eseguire ricerche nelle cartelle pubbliche in Exchange.
- Non è previsto alcun limite al numero di filtri per le autorizzazioni di ricerca che possono essere creati in un'organizzazione. Tuttavia, una query di ricerca può avere un massimo di 100 condizioni. In questo caso, una condizione viene definita come elemento connesso alla query da un operatore booleano , ad esempio AND, OR e NEAR. Il limite per il numero di condizioni include la query di ricerca stessa e tutti i filtri delle autorizzazioni di ricerca applicati all'utente che esegue la ricerca. Di conseguenza, maggiore è il numero di filtri per le autorizzazioni di ricerca disponibili (soprattutto se questi filtri vengono applicati allo stesso utente o gruppo di utenti), maggiore è la probabilità di superare il numero massimo di condizioni per una ricerca. Per impedire all'organizzazione di raggiungere il limite di condizioni, mantenere il numero di filtri delle autorizzazioni di ricerca nell'organizzazione al minor numero possibile per soddisfare i requisiti aziendali. Per altre informazioni, vedere Configurare i limiti di conformità per le indagini di eDiscovery.
Connettersi a PowerShell per la conformità di Exchange Online e Sicurezza & in una singola sessione
Prima di poter eseguire correttamente lo script in questa sezione, è necessario scaricare e installare il modulo PowerShell di Exchange Online. Per informazioni, vedere Installare e gestire il modulo PowerShell di Exchange Online.
Salvare il testo seguente in un file di script di Windows PowerShell usando un suffisso di nome file di.ps1. Ad esempio, è possibile salvarlo in un file denominato ConnectEXO-SCC.ps1.
Import-Module ExchangeOnlineManagement $UserCredential = Get-Credential Connect-ExchangeOnline -Credential $UserCredential -ShowBanner:$false Connect-IPPSSession -Credential $UserCredential $Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Exchange Online + Security & Compliance)"
Nel computer locale aprire Windows PowerShell, passare alla cartella in cui si trova lo script creato nel passaggio precedente, quindi eseguire lo script; Per esempio:
.\ConnectEXO-SCC.ps1
Come fai a sapere se ha funzionato? Dopo aver eseguito lo script, sono disponibili i cmdlet di PowerShell per Exchange Online e PowerShell per la sicurezza & conformità. Se non vengono visualizzati errori, la connessione è stata eseguita correttamente. Un test rapido consiste nell'eseguire i cmdlet powershell di PowerShell per Exchange Online e Sicurezza & conformità. Ad esempio, è possibile eseguire e Get-Mailbox e Get-ComplianceSearch.
Per la risoluzione degli errori di connessione di PowerShell, vedere:
New-ComplianceSecurityFilter
Il cmdlet New-ComplianceSecurityFilter viene usato per creare un filtro delle autorizzazioni di ricerca. Ecco la sintassi di base per questo cmdlet:
New-ComplianceSecurityFilter -FilterName <name of filter> -Users <user or role group> -Filters <filter>
Le sezioni seguenti descrivono i parametri per questo cmdlet. Tutti i parametri sono necessari per creare un filtro delle autorizzazioni di ricerca.
FilterName
Il parametro FilterName consente di specificare il nome del filtro delle autorizzazioni. Questo nome viene usato per identificare un filtro quando si usano i cmdlet Get-ComplianceSecurityFilter, Set-ComplianceSecurityFilter e Remove-ComplianceSecurityFilter .
Filtri
Il parametro Filters consente di specificare i criteri di ricerca per il filtro di sicurezza di conformità. È possibile creare tre diverse tipologie di filtri:
Filtro cassetta postale o OneDrive: Questo tipo di filtro specifica le cassette postali e gli account OneDrive che gli utenti assegnati (specificati dal parametro Users ) possono cercare. Questo tipo di filtro viene definito filtro della posizione del contenuto perché definisce i percorsi di contenuto che un utente può cercare. La sintassi per questo tipo di filtro è Mailbox_MailboxPropertyName, dove MailboxPropertyName specifica una proprietà della cassetta postale utilizzata per definire l'ambito delle cassette postali e degli account di OneDrive che è possibile cercare. Ad esempio, il filtro
"Mailbox_CustomAttribute10 -eq 'OttawaUsers'"
delle cassette postali consente all'utente assegnato a questo filtro di cercare solo le cassette postali e gli account OneDrive con il valore "OttawaUsers" nella proprietà CustomAttribute10.Qualsiasi proprietà del destinatario filtrabile supportata può essere usata per la proprietà MailboxPropertyName in una cassetta postale o in un filtro di OneDrive. Nella tabella seguente sono elencate quattro proprietà dei destinatari di uso comune usate per creare una cassetta postale o un filtro di OneDrive. La tabella include anche un esempio di utilizzo della proprietà in un filtro.
Nome della proprietà Esempio Alias "Mailbox_Alias -like 'v-'"
Company "Mailbox_Company -eq 'Contoso'"
CountryOrRegion "Mailbox_CountryOrRegion -eq 'United States'"
Reparto "Mailbox_Department -eq 'Finance'"
Filtro del contenuto delle cassette postali: Questo tipo di filtro viene applicato al contenuto in cui è possibile eseguire la ricerca. Questo tipo di filtro viene chiamato filtro del contenuto perché specifica il contenuto della cassetta postale o le proprietà di posta elettronica ricercabili che gli utenti assegnati possono cercare. La sintassi per questo tipo di filtro è MailboxContent_SearchablePropertyName, dove SearchablePropertyName specifica una proprietà KQL (Keyword Query Language) che può essere specificata in una ricerca. Ad esempio, il filtro
"MailboxContent_Recipients -like 'contoso.com'"
del contenuto delle cassette postali consentirebbe all'utente assegnato a questo filtro di cercare solo i messaggi inviati ai destinatari nel dominio contoso.com. Per un elenco delle proprietà di posta elettronica ricercabili, vedere Query con parole chiave e condizioni di ricerca per eDiscovery.Importante
Un singolo filtro di ricerca non può contenere un filtro cassetta postale e un filtro del contenuto della cassetta postale. Per combinarli in un singolo filtro, è necessario usare un elenco di filtri. Ma un filtro può contenere una query più complessa dello stesso tipo. Ad esempio,
"Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"
Filtro contenuto sito e sito: Sono disponibili due filtri correlati a SharePoint e OneDrive che è possibile usare per specificare il contenuto del sito o del sito che gli utenti assegnati possono cercare.
- Site_QueryableSiteProperty
- SiteContent_QueryableSiteProperty
Questi due filtri sono intercambiabili. Ad esempio,
"Site_Path -like 'https://contoso.sharepoint.com/sites/doctors'"
e"SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'"
restituire gli stessi risultati. Per un elenco delle proprietà del sito ricercabili, vedere Query con parole chiave e condizioni di ricerca per eDiscovery Per un elenco più completo, vedere Panoramica delle proprietà sottoposte a ricerca per indicizzazione e gestite in SharePoint. Le proprietà contrassegnate con un valore Yes nella colonna Queryable possono essere usate per creare un filtro del contenuto del sito o del sito.Importante
La configurazione di un filtro del sito con una delle proprietà supportate non significa che la proprietà del sito nel filtro verrà propagata a tutti i documenti del sito. Ciò significa che l'utente è ancora responsabile del popolamento dei campi di proprietà specifici associati ai documenti in tale sito affinché il filtro del sito funzioni e acquisi il contenuto corretto. Ad esempio, se all'utente è applicato un filtro di sicurezza "Site_RefineableString00 -eq 'abc'" e quindi l'utente esegue una ricerca usando la query con parole chiave "xyz". Il filtro di sicurezza viene aggiunto alla query e la query effettiva in esecuzione è "xyz AND RefineableString0:'abc'". L'utente deve assicurarsi che i documenti nel sito abbiano effettivamente valori nel campo RefineableString00 come "abc". In caso contrario, la query di ricerca non restituirà alcun risultato.
Quando si configura il parametro Filters per i filtri delle autorizzazioni di ricerca, tenere presenti le considerazioni seguenti:
- A differenza delle cassette postali, non esiste un filtro per la posizione del contenuto per i siti, anche se il filtro Sito è simile a un filtro di posizione. Tutti i filtri per SharePoint e OneDrive sono filtri di contenuto (motivo per cui i filtri Site_ e SiteContent_ sono intercambiabili) perché le proprietà correlate al sito come Path vengono stampate direttamente nei documenti. Perché è così? È il risultato della progettazione di SharePoint. In SharePoint non esiste un "oggetto sito" con proprietà, come accade con le cassette postali di Exchange. Di conseguenza, la proprietà Path viene contrassegnata nel documento e contiene l'URL del sito in cui si trova il documento. Questo è il motivo per cui un filtro sito viene considerato un filtro di contenuto e non un filtro della posizione del contenuto.
- È necessario creare un filtro delle autorizzazioni di ricerca per impedire in modo esplicito agli utenti di eseguire ricerche nei percorsi del contenuto in un servizio specifico, ad esempio impedire a un utente di eseguire ricerche in qualsiasi cassetta postale di Exchange o in qualsiasi sito di SharePoint. In altre parole, la creazione di un filtro delle autorizzazioni di ricerca che consenta a un utente di eseguire ricerche in tutti i siti di SharePoint nell'organizzazione non impedisce all'utente di eseguire ricerche nelle cassette postali. Ad esempio, per consentire agli amministratori di SharePoint di eseguire ricerche solo nei siti di SharePoint, è necessario creare un filtro che impedisca agli amministratori di eseguire ricerche nelle cassette postali. Analogamente, per consentire agli amministratori di Exchange di eseguire ricerche solo nelle cassette postali, è necessario creare un filtro che impedisca agli amministratori di eseguire ricerche nei siti.
Utenti
Il parametro Users consente di specificare gli utenti per i quali verrà applicato questo filtro alle ricerche di contenuto. Identificare gli utenti in base all'alias o all'indirizzo SMTP primario. È possibile specificare più valori separati da virgole oppure assegnare il filtro a tutti gli utenti utilizzando il valore Tutto.
È anche possibile usare il parametro Users per specificare un gruppo di ruoli del portale di conformità. Ciò consente di creare un gruppo di ruoli personalizzato e di assegnare a tale gruppo di ruoli un filtro delle autorizzazioni di ricerca. Si supponga, ad esempio, di disporre di un gruppo di ruoli personalizzato per i gestori di eDiscovery per la filiale americana di una multinazionale. È possibile utilizzare il parametro Users per specificare questo gruppo di ruoli (utilizzando la proprietà Name del gruppo di ruoli) e quindi usare il parametro Filter per consentire la ricerca solo delle cassette postali negli Stati Uniti. Non è possibile specificare i gruppi di distribuzione con questo parametro.|
Uso di un elenco di filtri per combinare i tipi di filtro
Un elenco di filtri è un filtro che include un filtro cassetta postale e un filtro del sito separati da una virgola. Questa virgola funziona anche come operatore OR . L'uso di un elenco di filtri è l'unico metodo supportato per la combinazione di diversi tipi di filtri. Nell'esempio seguente si noti che una virgola separa i filtri Cassetta postale e Sito :
-Filters "Mailbox_CustomAttribute10 -eq 'OttawaUsers'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'"
Quando un filtro che contiene un elenco di filtri viene elaborato durante l'esecuzione di una ricerca, vengono creati due filtri per le autorizzazioni di ricerca dall'elenco dei filtri: uno per ogni filtro separato da una virgola. Nell'esempio precedente vengono quindi creati un filtro delle autorizzazioni di ricerca delle cassette postali e un filtro delle autorizzazioni di ricerca del sito. Questi filtri sono connessi dall'operatore OR .
Un'alternativa all'uso di un elenco di filtri consiste nel creare due filtri di autorizzazioni di ricerca separati. Nell'esempio precedente si creerebbe quindi un filtro per l'attributo cassetta postale e un filtro per l'attributo del sito. In entrambi i casi, i risultati sono gli stessi. L'uso di un elenco di filtri o la creazione di filtri di autorizzazioni di ricerca separati è una questione di preferenza.
Tenere presente quanto segue sull'uso di un elenco di filtri:
È necessario usare un elenco di filtri per creare un filtro che includa un filtro Cassette postali e un filtro MailboxContent .
Ogni componente di un elenco di filtri può contenere una sintassi di filtro complessa. Ad esempio, i filtri cassetta postale e sito possono contenere più filtri separati da un operatore o :
-Filters "Mailbox_Department -eq 'CohoWinery' -or Mailbox_CustomAttribute10 -eq 'CohoUsers'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'"
Esempi di creazione di filtri per le autorizzazioni di ricerca
Di seguito sono riportati esempi di utilizzo del cmdlet New-ComplianceSecurityFilter per creare un filtro delle autorizzazioni di ricerca.
Questo esempio consente ai membri del gruppo di ruoli "Us Discovery Manager" di cercare solo le cassette postali e gli account di OneDrive nel Stati Uniti.
New-ComplianceSecurityFilter -FilterName USDiscoveryManagers -Users "US Discovery Managers" -Filters "Mailbox_CountryOrRegion -eq 'United States'"
Questo esempio consente all'utente annb@contoso.com di eseguire azioni di ricerca solo per le cassette postali e gli account OneDrive in Canada. Questo filtro contiene il codice numerico a tre cifre per il Canada fornito dall'ISO 3166-1.
New-ComplianceSecurityFilter -FilterName CountryFilter -Users annb@contoso.com -Filters "Mailbox_CountryCode -eq '124'"
Questo esempio consente agli utenti donh e suzanf di cercare solo le cassette postali e gli account OneDrive con il valore 'Marketing' per la proprietà della cassetta postale CustomAttribute1.
New-ComplianceSecurityFilter -FilterName MarketingFilter -Users donh,suzanf -Filters "Mailbox_CustomAttribute1 -eq 'Marketing'"
Questo esempio consente ai membri del gruppo di ruoli "Fourth Coffee eDiscovery Manager" di cercare solo le cassette postali e gli account di OneDrive con il valore 'FourthCoffee' per la proprietà Cassetta postale reparto. Il filtro consente inoltre ai membri del gruppo di ruoli di cercare documenti nel sito Fourth Coffee SharePoint.
New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"
Nota
Nell'esempio precedente deve essere incluso un filtro del contenuto del sito aggiuntivo (SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'
) in modo che i membri del gruppo di ruoli possano cercare documenti negli account di OneDrive. Se questo filtro non è incluso, il filtro consentirà solo ai membri del gruppo di ruoli di cercare i documenti che si trovano in https://contoso.sharepoint.com/sites/FourthCoffee
.
Questo esempio consente ai membri del gruppo di ruoli Manager di eDiscovery di cercare solo le cassette postali e gli account Di OneDrive dei membri del gruppo di distribuzione Utenti DiDiscovery. Il cmdlet Get-DistributionGroup in PowerShell di Exchange Online viene utilizzato per trovare i membri del gruppo Users di Administrators.
$DG = Get-DistributionGroup "Ottawa Users"
New-ComplianceSecurityFilter -FilterName DGFilter -Users eDiscoveryManager -Filters "Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"
Questo esempio impedisce a qualsiasi utente di eseguire azioni di ricerca nelle cassette postali e negli account OneDrive dei membri del gruppo di distribuzione Executive Team. Ciò significa che gli utenti possono eliminare il contenuto da queste cassette postali. Il cmdlet Get-DistributionGroup in Exchange Online PowerShell viene usato per trovare i membri del gruppo Executive Team.
$DG = Get-DistributionGroup "Executive Team"
New-ComplianceSecurityFilter -FilterName NoExecutivesPreview -Users All -Filters "Mailbox_MemberOfGroup -ne '$($DG.DistinguishedName)'"
In questo esempio si consente ai membri del gruppo di ruoli personalizzato OneDrive eDiscovery Managers di eseguire ricerche solo per il contenuto nei percorsi di exOneDriveForBusiness nell'organizzazione.
New-ComplianceSecurityFilter -FilterName OneDriveOnly -Users "OneDrive eDiscovery Managers" -Filters "SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"
Questo esempio limita l'utente all'esecuzione di azioni di ricerca solo sui messaggi di posta elettronica inviati durante l'anno di calendario 2015.
New-ComplianceSecurityFilter -FilterName EmailDateRestrictionFilter -Users donh@contoso.com -Filters "MailboxContent_Received -ge '01-01-2015' -and MailboxContent_Received -le '12-31-2015'"
Analogamente all'esempio precedente, questo esempio limita l'utente all'esecuzione di azioni di ricerca solo nei documenti che sono stati modificati per l'ultima volta nell'anno di calendario 2015.
New-ComplianceSecurityFilter -FilterName DocumentDateRestrictionFilter -Users donh@contoso.com -Filters "SiteContent_LastModifiedTime -ge '01-01-2015' -and SiteContent_LastModifiedTime -le '12-31-2015'"
Questo esempio impedisce ai membri del gruppo di ruoli "OneDrive Discovery Managers" di eseguire azioni di ricerca in qualsiasi cassetta postale dell'organizzazione.
New-ComplianceSecurityFilter -FilterName NoEXO -Users "OneDrive Discovery Managers" -Filters "Mailbox_Alias -notlike '*'"
Questo esempio impedisce a chiunque nell'organizzazione di eseguire azioni di ricerca sui messaggi di posta elettronica inviati o ricevuti da janets o sarad.
New-ComplianceSecurityFilter -FilterName NoSaraJanet -Users All -Filters "MailboxContent_Participants -notlike 'janets@contoso.onmicrosoft.com' -and MailboxContent_Participants -notlike 'sarad@contoso.onmicrosoft.com'"
In questo esempio viene usato un elenco di filtri per combinare i filtri delle cassette postali e del sito. In questo esempio, il filtro delle cassette postali è un filtro della posizione del contenuto e il filtro del sito è un filtro di contenuto.
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'"
Get-ComplianceSecurityFilter
Get-ComplianceSecurityFilter viene usato per restituire un elenco di filtri per le autorizzazioni di ricerca. Utilizzare il parametro FilterName per restituire le informazioni per un filtro di ricerca specifico.
Set-ComplianceSecurityFilter
Set-ComplianceSecurityFilter viene usato per modificare un filtro di autorizzazioni di ricerca esistente. Le sezioni seguenti descrivono i parametri per questo cmdlet. L'unico parametro obbligatorio è FilterName.
FilterName
Il parametro FilterName consente di specificare il nome del filtro delle autorizzazioni.
Utenti
Il parametro Users consente di specificare gli utenti per i quali verrà applicato questo filtro alle ricerche di contenuto. Poiché si tratta di una proprietà multivalore, specificando un utente o un gruppo di utenti con questo parametro sovrascrivere l'elenco esistente di utenti. Vedere gli esempi seguenti per la sintassi per aggiungere e rimuovere utenti selezionati.
È anche possibile usare il parametro Users per specificare un gruppo di ruoli del portale di conformità. Ciò consente di creare un gruppo di ruoli personalizzato e di assegnare a tale gruppo di ruoli un filtro delle autorizzazioni di ricerca. Si supponga, ad esempio, di disporre di un gruppo di ruoli personalizzato per i gestori di eDiscovery per la filiale americana di una multinazionale. È possibile utilizzare il parametro Users per specificare questo gruppo di ruoli (utilizzando la proprietà Name del gruppo di ruoli) e quindi usare il parametro Filter per consentire la ricerca solo delle cassette postali negli Stati Uniti. Non è possibile specificare gruppi di distribuzione con questo parametro.
Filtri
Il parametro Filters consente di specificare i criteri di ricerca per il filtro di sicurezza di conformità. È possibile creare tre diverse tipologie di filtri:
Filtri per cassette postali e OneDrive: Questo tipo di filtro specifica le cassette postali e gli account OneDrive che gli utenti assegnati (specificati dal parametro Users ) possono cercare. La sintassi per questo tipo di filtro è Mailbox_MailboxPropertyName, dove MailboxPropertyName indica una proprietà delle cassette postali utilizzata per identificare le cassette disponibili per la ricerca. Ad esempio, il filtro
"Mailbox_CustomAttribute10 -eq 'OttawaUsers'"
delle cassette postali consente all'utente assegnato a questo filtro di cercare solo le cassette postali con il valore "OttawaUsers" nella proprietà CustomAttribute10. Qualsiasi proprietà del destinatario filtrabile supportata può essere utilizzata per la proprietà MailboxPropertyName. Per un elenco delle proprietà supportate, vedere Proprietà filtrabili per il parametro -RecipientFilter.Filtro del contenuto delle cassette postali: Questo tipo di filtro viene applicato al contenuto in cui è possibile eseguire la ricerca. Specifica il contenuto della cassetta postale che gli utenti assegnati possono cercare. La sintassi per questo tipo di filtro è MailboxContent_SearchablePropertyName, dove SearchablePropertyName specifica una proprietà KQL (Keyword Query Language) che può essere specificata in una ricerca. Ad esempio, il filtro
"MailboxContent_Recipients -like 'contoso.com'"
del contenuto delle cassette postali consentirebbe all'utente assegnato a questo filtro di cercare solo i messaggi inviati ai destinatari nel dominio contoso.com. Per un elenco delle proprietà di posta elettronica ricercabili, vedere Query con parole chiave e condizioni di ricerca per eDiscovery.Filtro contenuto sito e sito: Esistono due filtri correlati al sito di SharePoint e OneDrive for Business che è possibile usare per specificare il contenuto del sito o del sito in cui gli utenti assegnati possono eseguire ricerche:
- Site_SearchableSiteProperty
- SiteContent_SearchableSiteProperty
Questi due filtri sono intercambiabili. Ad esempio,
"Site_Path -like 'https://contoso.spoppe.com/sites/doctors*'"
e"SiteContent_Path -like 'https://contoso.spoppe.com/sites/doctors*'"
restituire gli stessi risultati. Per un elenco delle proprietà del sito ricercabili, vedere Panoramica delle proprietà sottoposte a ricerca per indicizzazione e gestite in SharePoint. Le proprietà contrassegnate con un valore Yes nella colonna Queryable possono essere usate per creare un filtro del contenuto del sito o del sito.
Esempi di modifica dei filtri delle autorizzazioni di ricerca
Questi esempi illustrano come usare i cmdlet Get-ComplianceSecurityFilter e Set-ComplianceSecurityFilter per aggiungere o rimuovere un utente all'elenco esistente di utenti a cui è assegnato il filtro. Quando si aggiungono o si rimuovono utenti da un filtro, specificare l'utente mediante l'indirizzo SMTP.
In questo esempio viene aggiunto un utente al filtro.
$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.add("pilarp@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users
In questo esempio viene rimosso un utente dal filtro.
$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.remove("annb@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users
Remove-ComplianceSecurityFilter
Il filtro Remove-ComplianceSecurityFilter viene usato per eliminare un filtro di ricerca. Utilizzare il parametro FilterName per specificare il filtro che si desidera eliminare.
Ulteriori informazioni
Come funziona il filtro delle autorizzazioni di ricerca? Il filtro delle autorizzazioni viene aggiunto alla query di ricerca quando viene eseguita una ricerca. Il filtro delle autorizzazioni viene aggiunto alla query di ricerca dall'operatore booleano AND . La logica di query per la query di ricerca e il filtro delle autorizzazioni sono simili ai seguenti:
<SearchQuery> AND <PermissionsFilter>
Ad esempio, è disponibile un filtro delle autorizzazioni che consente a Bob di eseguire tutte le azioni di ricerca nelle cassette postali dei membri del gruppo di distribuzione Ruoli di lavoro. Bob esegue quindi una ricerca in tutte le cassette postali dell'organizzazione con la query sender:jerry@adatum.com
di ricerca . Poiché il filtro delle autorizzazioni e la query di ricerca vengono combinati logicamente da un operatore AND , la ricerca restituisce qualsiasi messaggio inviato da jerry@adatum.com a qualsiasi membro del gruppo di distribuzione Workers.
Cosa accade se si dispone di più filtri delle autorizzazioni di ricerca? In una query di ricerca, più filtri delle autorizzazioni vengono combinati da operatori booleani OR . Pertanto, verranno restituiti risultati che rispondono a tali filtri. In una ricerca, tutti i filtri (combinati dagli operatori OR ) vengono quindi combinati con la query di ricerca dall'operatore AND .
<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>)
Si prenda ora l'esempio precedente, in cui un filtro di ricerca consente a Bob di cercare solo le cassette postali dei membri del gruppo di distribuzione Ruoli di lavoro. È possibile creare un altro filtro che impedisce a Bob di effettuare la ricerca nella cassetta postale di Phil ("Mailbox_Alias -ne 'Phil'"). Si supponga, inoltre, che Phil sia un membro del gruppo "Workers". Quando Bob esegue una ricerca (nell'esempio precedente) in tutte le cassette postali dell'organizzazione, i risultati della ricerca vengono restituiti per la cassetta postale di Phil, anche se è stato applicato un filtro per impedire a Bob di eseguire ricerche nella cassetta postale di Phil. Questo perché il primo filtro, che consente a Bob di eseguire la ricerca nel gruppo Workers, è valido. E poiché Phil è un membro del gruppo Workers, Bob può eseguire la ricerca nella cassetta postale di Phil.
Il filtro delle autorizzazioni di ricerca funziona per le cassette postali inattive? Sì, è possibile usare i filtri del contenuto delle cassette postali e delle cassette postali per limitare gli utenti che possono eseguire ricerche nelle cassette postali inattive nell'organizzazione. Come una normale cassetta postale, una cassetta postale inattiva deve essere configurata con la proprietà del destinatario usata per creare un filtro delle autorizzazioni. Se necessario, è possibile usare il comando Get-Mailbox -InactiveMailboxOnly per visualizzare le proprietà delle cassette postali inattive. Per altre informazioni, vedere Creare e gestire cassette postali inattive.
Il filtro delle autorizzazioni di ricerca funziona per le cartelle pubbliche? No. Come spiegato in precedenza, non è possibile usare il filtro delle autorizzazioni di ricerca per limitare gli utenti che possono eseguire ricerche nelle cartelle pubbliche in Exchange. Ad esempio, gli elementi nei percorsi delle cartelle pubbliche non possono essere esclusi dai risultati della ricerca da un filtro delle autorizzazioni.
Consentire a un utente di eseguire ricerche in tutte le posizioni del contenuto in un servizio specifico impedisce anche la ricerca di posizioni di contenuto in un servizio diverso? No. Come spiegato in precedenza, è necessario creare un filtro delle autorizzazioni di ricerca per impedire in modo esplicito agli utenti di eseguire ricerche nei percorsi del contenuto in un servizio specifico, ad esempio impedire a un utente di eseguire ricerche in qualsiasi cassetta postale di Exchange o in qualsiasi sito di SharePoint. In altre parole, la creazione di un filtro delle autorizzazioni di ricerca che consenta a un utente di eseguire ricerche in tutti i siti di SharePoint nell'organizzazione non impedisce all'utente di eseguire ricerche nelle cassette postali. Ad esempio, per consentire agli amministratori di SharePoint di eseguire ricerche solo nei siti di SharePoint, è necessario creare un filtro che impedisca agli amministratori di eseguire ricerche nelle cassette postali. Analogamente, per consentire agli amministratori di Exchange di eseguire ricerche solo nelle cassette postali, è necessario creare un filtro che impedisca agli amministratori di eseguire ricerche nei siti.
I filtri delle autorizzazioni di ricerca vengono conteggiati in base ai limiti dei caratteri della query di ricerca? Sì. I filtri delle autorizzazioni di ricerca vengono conteggiati in base al limite di caratteri per le query di ricerca. Per altre informazioni, vedere Limiti in eDiscovery (Premium).For more information, see Limits in eDiscovery (Premium).
Qual è il numero massimo di filtri delle autorizzazioni di ricerca che è possibile creare in un'organizzazione?
Non è previsto alcun limite al numero di filtri per le autorizzazioni di ricerca che possono essere creati in un'organizzazione. Tuttavia, una query di ricerca può avere un massimo di 100 condizioni. In questo caso, una condizione viene definita come elemento connesso alla query da un operatore booleano , ad esempio AND, OR e NEAR. Il limite del numero di condizioni include la query di ricerca stessa e tutti i filtri delle autorizzazioni di ricerca applicati all'utente che esegue la ricerca. Di conseguenza, maggiore è il numero di filtri per le autorizzazioni di ricerca disponibili (soprattutto se questi filtri vengono applicati allo stesso utente o gruppo di utenti), maggiore è la probabilità di superare il numero massimo di condizioni per una ricerca.
Per comprendere il funzionamento di questo limite, è necessario comprendere che alla query di ricerca viene aggiunto un filtro delle autorizzazioni di ricerca quando viene eseguita una ricerca. Un filtro delle autorizzazioni di ricerca viene aggiunto alla query di ricerca dall'operatore booleano AND . La logica di query per la query di ricerca e un singolo filtro per le autorizzazioni di ricerca sono simili alle seguenti:
<SearchQuery> AND <PermissionsFilter>
Più filtri delle autorizzazioni di ricerca vengono combinati dall'operatore booleano OR e quindi tali condizioni vengono connesse alla query di ricerca dall'operatore AND .
La logica di query per la query di ricerca e più filtri per le autorizzazioni di ricerca sarà simile alla seguente:
<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)
È possibile che la query di ricerca sia costituita da più condizioni connesse da operatori booleani. Ogni condizione nella query di ricerca viene conteggiata anche rispetto al limite di 100 condizioni.
Inoltre, il numero di filtri delle autorizzazioni di ricerca aggiunti a una query dipende dall'utente che esegue la ricerca. Quando un utente specifico esegue una ricerca, i filtri delle autorizzazioni di ricerca applicati all'utente (definito dal parametro Users nel filtro) vengono aggiunti alla query. L'organizzazione potrebbe avere centinaia di filtri per le autorizzazioni di ricerca, ma se vengono applicati più di 100 filtri agli stessi utenti, è probabile che il limite di 100 condizioni venga superato quando tali utenti eseguono ricerche.
C'è un'altra cosa da tenere a mente circa il limite di condizione. Anche il numero di siti di SharePoint specifici inclusi nella query di ricerca o nei filtri delle autorizzazioni di ricerca viene conteggiato in base a questo limite.
Per impedire all'organizzazione di raggiungere il limite di condizioni, mantenere il numero di filtri delle autorizzazioni di ricerca nell'organizzazione al minor numero possibile per soddisfare i requisiti aziendali.