Freigeben über


Konfigurieren der Berechtigungsfilterung für eDiscovery

Tipp

eDiscovery (Vorschauversion) ist jetzt im neuen Microsoft Purview-Portal verfügbar. Weitere Informationen zur Verwendung der neuen eDiscovery-Benutzeroberfläche finden Sie unter Informationen zu eDiscovery (Vorschauversion).

Sie können die Filterung von Suchberechtigungen verwenden, damit ein eDiscovery-Manager nur eine Teilmenge von Postfächern und Websites in Ihrer Organisation durchsuchen kann. Sie können Berechtigungsfilter auch verwenden, um demselben eDiscovery-Managers zu ermöglichen, nur nach Postfach- oder Websiteinhalt zu suchen, der bestimmten Suchkriterien entspricht.

Beispielsweise möchten Sie, dass ein eDiscovery-Manager nur die Postfächer von Benutzern an einem bestimmten Standort oder einer bestimmten Abteilung durchsucht. Dazu erstellen Sie einen Filter, der einen unterstützten Empfängerfilter verwendet, um einzuschränken, welche Postfächer ein bestimmter Benutzer oder eine gruppe von Benutzern durchsuchen kann. Sie können außerdem einen Filter erstellen, der angibt, nach welchen Postfachinhalten ein Benutzer suchen kann. Dies erfolgt durch das Erstellen eines Filters, der eine durchsuchbare Nachrichteneigenschaft verwendet. Ebenso können Sie einem eDiscovery-Manager erlauben, nur bestimmte SharePoint-Websites in Ihrer Organisation zu durchsuchen. Hierzu erstellen Sie einen Filter, der einschränkt, welche Website durchsucht werden kann. Sie können auch einen Filter erstellen, der angibt, welcher Websiteinhalt durchsucht werden kann. Dies erfolgt durch das Erstellen eines Filters, der eine durchsuchbare Website-Eigenschaft verwendet.

Filter für Suchberechtigungen werden angewendet, wenn Sie mithilfe der Inhaltssuche, microsoft Purview eDiscovery (Standard) und Microsoft Purview eDiscovery (Premium) im Microsoft Purview-Complianceportal nach Inhalten suchen. Wenn ein Suchberechtigungsfilter auf einen bestimmten Benutzer angewendet wird, kann dieser Benutzer die folgenden suchbezogenen Aktionen durchführen:

  • Suchen nach Inhalten
  • Vorschau von Suchergebnissen
  • Exportieren von Suchergebnissen
  • Von einer Suche zurückgegebene Elemente bereinigen

Sie können auch die Filterung von Suchberechtigungen verwenden, um logische Grenzen (als Compliancegrenzen bezeichnet) innerhalb einer Organisation zu erstellen, die die Speicherorte von Benutzerinhalten (z. B. Postfächer, SharePoint-Websites und OneDrive-Konten) steuern, die bestimmte eDiscovery-Manager durchsuchen können. Weitere Informationen finden Sie unter Einrichten von Compliance-Grenzen für eDiscovery-Untersuchungen.

Mit den folgenden vier Cmdlets in Security & Compliance PowerShell können Sie Filter für Suchberechtigungen konfigurieren und verwalten:

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Anforderungen zum Konfigurieren der Berechtigungsfilterung

  • Um die Cmdlets für den Konformitätssicherheitsfilter auszuführen, müssen Sie Mitglied der Rollengruppe Organisationsverwaltung im Complianceportal sein. Weitere Informationen finden Sie unter Berechtigungen im Security & Compliance Center.
  • Sie müssen eine Verbindung mit Exchange Online und Security & Compliance PowerShell herstellen, um die Cmdlets für den Konformitätssicherheitsfilter verwenden zu können. Dies ist erforderlich, da diese Cmdlets Zugriff auf Postfacheigenschaften erfordern, weshalb Sie eine Verbindung mit Exchange Online PowerShell herstellen müssen. Weitere Informationen finden Sie in den Schritten im nächsten Abschnitt.
  • Weitere Informationen über Berechtigungsfilter für die Suche finden Sie im Abschnitt More information.
  • Die Filterung von Suchberechtigungen gilt für inaktive Postfächer. Dies bedeutet, dass Sie postfach- und postfachinhaltsfiltern können, um einzuschränken, wer ein inaktives Postfach durchsuchen kann. Weitere Informationen zum Filtern von Berechtigungen und inaktiven Postfächern finden Sie im Abschnitt Weitere Informationen .
  • Die Filterung von Suchberechtigungen kann nicht verwendet werden, um einzuschränken, wer öffentliche Ordner in Exchange durchsuchen darf.
  • Die Anzahl der Suchberechtigungsfilter, die in einer Organisation erstellt werden können, ist unbegrenzt. Eine Suchanfrage kann jedoch bis zu 100 Bedingungen enthalten. In diesem Fall wird eine Bedingung als etwas definiert, das durch einen booleschen Operator (z. B. AND, OR und NEAR) mit der Abfrage verbunden ist. Der Grenzwert für die Anzahl der Bedingungen umfasst die Suchanfrage selbst sowie alle Filter für die Suchberechtigung, die auf den Benutzer, der die Suche ausführt, angewendet werden. Je mehr Suchberechtigungsfilter Sie also haben (insbesondere wenn diese Filter auf denselben Benutzer oder dieselbe Benutzergruppe angewendet werden), desto größer ist die Wahrscheinlichkeit, dass die maximale Anzahl von Bedingungen für eine Suche überschritten wird. Um zu verhindern, dass Ihre Organisation den Grenzwert für Bedingungen erreicht, halten Sie die Anzahl der Filter für Suchberechtigungen in Ihrer Organisation so wenig wie möglich, um Ihre Geschäftsanforderungen zu erfüllen. Weitere Informationen finden Sie unter Einrichten von Compliance-Grenzen für eDiscovery-Untersuchungen.

Herstellen einer Verbindung mit Exchange Online und Security & Compliance PowerShell in einer einzigen Sitzung

Bevor Sie das Skript in diesem Abschnitt erfolgreich ausführen können, müssen Sie das Exchange Online PowerShell-Modul herunterladen und installieren. Weitere Informationen finden Sie unter Installieren und Verwalten des Exchange Online PowerShell-Moduls.

  1. Speichern Sie den folgenden Text in einer Windows PowerShell-Skriptdatei, indem Sie das Dateinamensuffix .ps1verwenden. Sie können sie beispielsweise in einer Datei namens ConnectEXO-SCC.ps1speichern.

    Import-Module ExchangeOnlineManagement
    $UserCredential = Get-Credential
    Connect-ExchangeOnline -Credential $UserCredential -ShowBanner:$false
    Connect-IPPSSession -Credential $UserCredential
    $Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Exchange Online + Security & Compliance)"
    
  2. Öffnen Sie auf Ihrem lokalen Computer Windows PowerShell, wechseln Sie zu dem Ordner, in dem sich das skript befindet, das Sie im vorherigen Schritt erstellt haben, und führen Sie dann das Skript aus. Zum Beispiel:

    .\ConnectEXO-SCC.ps1
    

Woher wissen Sie, dass dieses Verfahren erfolgreich war? Nachdem Sie das Skript ausgeführt haben, sind Cmdlets aus Exchange Online PowerShell und Security & Compliance PowerShell verfügbar. Wenn Sie keine Fehlermeldungen erhalten, wurde die Verbindung erfolgreich hergestellt. Ein kurzer Test besteht darin, Exchange Online PowerShell- und Security & Compliance-PowerShell-Cmdlets auszuführen. Sie können beispielsweise und Get-Mailbox und Get-ComplianceSearch ausführen.

Informationen zur Problembehandlung bei PowerShell-Verbindungsfehlern finden Sie unter:

New-ComplianceSecurityFilter

Das Cmdlet New-ComplianceSecurityFilter wird verwendet, um einen Filter für Suchberechtigungen zu erstellen. Dies ist die grundlegende Syntax für dieses Cmdlet:

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <user or role group> -Filters <filter>

In den folgenden Abschnitten werden die Parameter für dieses Cmdlet beschrieben. Alle Parameter sind erforderlich, um einen Suchberechtigungsfilter zu erstellen.

FilterName

Der Parameter FilterName gibt den Namen des Berechtigungsfilters an. Dieser Name wird verwendet, um einen Filter zu identifizieren, wenn die Cmdlets Get-ComplianceSecurityFilter, Set-ComplianceSecurityFilter und Remove-ComplianceSecurityFilter verwendet werden.

Filter

Der Parameter Filters gibt die Suchkriterien für den Compliance-Sicherheitsfilter an. Sie können drei unterschiedliche Filtertypen erstellen:

  • Postfach- oder OneDrive-Filterung: Dieser Filtertyp gibt die Postfächer und OneDrive-Konten an, die die zugewiesenen Benutzer (durch den Users-Parameter angegeben) durchsuchen können. Dieser Filtertyp wird als Inhaltsort-Filter bezeichnet, weil er die Inhaltsorte definiert, die ein Benutzer durchsuchen kann. Die Syntax für diesen Filtertyp lautet Mailbox_MailboxPropertyName, wobei MailboxPropertyName eine Postfacheigenschaft angibt, die zum Festlegen des Bereichs der Postfächer und OneDrive-Konten verwendet wird, die durchsucht werden können. Der Postfachfilter "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" würde z. B. dem Benutzer, dem dieser Filter zugewiesen ist, erlauben, nur die Postfächer und OneDrive-Konten zu durchsuchen, die in der CustomAttribute10-Eigenschaft den Wert "OttawaUsers" aufweisen.

    Jede unterstützte filterbare Empfängereigenschaft kann für die Eigenschaft MailboxPropertyName in einem Postfach- oder OneDrive-Filter verwendet werden. In der folgenden Tabelle sind vier häufig verwendete Empfängereigenschaften aufgeführt, die zum Erstellen eines Postfachs oder OneDrive-Filters verwendet werden. Die Tabelle enthält auch ein Beispiel für die Verwendung der Eigenschaft in einem Filter.

    Eigenschaftenname Beispiel
    Alias "Mailbox_Alias -like 'v-'"
    Unternehmen "Mailbox_Company -eq 'Contoso'"
    CountryOrRegion "Mailbox_CountryOrRegion -eq 'United States'"
    Department "Mailbox_Department -eq 'Finance'"
  • Filtern von Postfachinhalten: Dieser Filtertyp wird auf den Inhalt angewendet, der durchsucht werden kann. Dieser Filtertyp wird als Inhaltsfilter bezeichnet, da er den Postfachinhalt oder durchsuchbare E-Mail-Eigenschaften angibt, nach denen zugewiesene Benutzer suchen können. Die Syntax für diesen Filtertyp ist MailboxContent_SearchablePropertyName, wobei SearchablePropertyName eine KQL-Eigenschaft (Keyword Query Language) angibt, die in einer Suche angegeben werden kann. Beispielsweise würde der Postfachinhaltsfilter "MailboxContent_Recipients -like 'contoso.com'" dem Benutzer, dem dieser Filter zugewiesen ist, erlauben, nur nach Nachrichten zu suchen, die an Empfänger in der contoso.com Domäne gesendet wurden. Eine Liste der durchsuchbaren E-Mail-Eigenschaften finden Sie unter Schlüsselwortabfragen und Suchbedingungen für eDiscovery.

    Wichtig

    Ein einzelner Suchfilter kann keinen Postfachfilter und keinen Postfachinhaltsfilter enthalten. Um diese in einem einzelnen Filter zu kombinieren, müssen Sie eine Filterliste verwenden. Ein Filter kann aber eine komplexere Abfrage desselben Typs enthalten. Beispiel: "Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"

  • Filtern von Website- und Websiteinhalten: Es gibt zwei SharePoint- und OneDrive-bezogene Filter, mit denen Sie angeben können, welche Website- oder Websiteinhalte die zugewiesenen Benutzer durchsuchen können.

    • Site_QueryableSiteProperty
    • SiteContent_QueryableSiteProperty

    Diese beiden Filter sind austauschbar. Beispiel: "Site_Path -like 'https://contoso.sharepoint.com/sites/doctors'" und "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'" geben die gleichen Ergebnisse zurück. Eine Liste der durchsuchbaren Seiteneigenschaften finden Sie unter Schlüsselwortabfragen und Suchbedingungen für eDiscovery Eine vollständigere Liste finden Sie unter Übersicht der durchforsteten und verwalteten Eigenschaften in SharePoint. Eigenschaften, die in der Spalte Abfragbar mit Ja gekennzeichnet sind, können verwendet werden, um einen Website- oder Websiteinhaltsfilter zu erstellen.

    Wichtig

    Das Einrichten eines Websitefilters mit einer der unterstützten Eigenschaften bedeutet nicht, dass die Websiteeigenschaft im Filter auf alle Dokumente dieser Website übertragen wird. Dies bedeutet, dass der Benutzer weiterhin dafür verantwortlich ist, die spezifischen Eigenschaftenfelder aufzufüllen, die den Dokumenten auf dieser Website zugeordnet sind, damit der Websitefilter funktioniert und den richtigen Inhalt erfasst. Wenn der Benutzer beispielsweise einen Sicherheitsfilter "Site_RefineableString00 -eq 'abc'" angewendet hat und der Benutzer eine Suche mit der Schlüsselwortabfrage "xyz" ausführt. Der Sicherheitsfilter wird an die Abfrage angefügt, und die eigentliche ausgeführte Abfrage lautet "xyz AND RefineableString0:'abc'". Der Benutzer muss sicherstellen, dass die Dokumente auf der Website tatsächlich werte im Feld RefineableString00 als "abc" enthalten. Wenn dies nicht der Fall ist, gibt die Suchabfrage keine Ergebnisse zurück.

Beachten Sie bei der Konfiguration des Filter-Parameters für Suchberechtigungsfilter die folgenden Punkte:

  • Im Gegensatz zu Postfächern gibt es für Websites keinen Standortfilter für Inhalte, obwohl der Websitefilter wie ein Standortfilter aussieht. Alle Filter für SharePoint und OneDrive sind Inhaltsfilter (aus diesem Grund sind auch Site_ und SiteContent_ Filter austauschbar), da websitebezogene Eigenschaften wie Path direkt in den Dokumenten gestempelt werden. Wie kommt das? Dies ist ein Ergebnis der Art und Weise, wie SharePoint entworfen wird. In SharePoint gibt es kein "Websiteobjekt" mit Eigenschaften, wie es bei Exchange-Postfächern der Fall ist. Daher wird die Pfad-Eigenschaft für das Dokument gestempelt und enthält die URL der Website, auf der sich das Dokument befindet. Aus diesem Grund wird ein Websitefilter als Inhaltsfilter und nicht als Inhaltsspeicherortfilter betrachtet.
  • Sie müssen einen Filter für Suchberechtigungen erstellen, um benutzer explizit daran zu hindern, Inhaltsspeicherorte in einem bestimmten Dienst zu durchsuchen (z. B. verhindern, dass ein Benutzer ein Exchange-Postfach oder eine SharePoint-Website durchsucht). Anders ausgedrückt: Durch Erstellen eines Suchberechtigungsfilters, der zulässt, dass ein Benutzer alle SharePoint-Websites in der Organisation durchsucht, wird nicht verhindert, dass ein Benutzer Postfächer durchsuchen kann. Damit SharePoint-Administratoren beispielsweise nur SharePoint-Websites durchsuchen können, müssen Sie einen Filter erstellen, der verhindert, dass sie Postfächer durchsuchen können. Damit Exchange-Administratoren nur Postfächer durchsuchen können, müssen Sie einen Filter erstellen, der verhindert, dass sie Websites durchsuchen können.

Benutzer

Der Parameter Benutzer gibt die Benutzer an, für die dieser Filter bei der Inhaltssuche angewendet wird. Identifizieren Sie die Benutzer durch ihren Aliasnamen oder die primäre SMTP-Adresse. Sie können mehrere durch Kommas getrennte Werte angeben, oder Sie können den Filter allen Benutzern zuweisen, indem Sie den Wert Alle angeben.

Sie können den Parameter Benutzer auch verwenden, um eine Rollengruppe für das Complianceportal anzugeben. Auf diese Weise können Sie eine benutzerdefinierte Rollengruppe erstellen und diese Rollengruppe als Berechtigungsfilter für die Suche zuweisen. Nehmen Sie zum Beispiel einmal an, dass Sie eine benutzerdefinierte Rollengruppe für eDiscovery-Manager in der US-Niederlassung eines internationalen Unternehmens haben. Sie können den Parameter Users verwenden, um diese Rollengruppe anzugeben (mithilfe der Name-Eigenschaft der Rollengruppe), und dann den Parameter Filter verwenden, um nur Postfächer in den USA zu durchsuchen. Mit diesem Parameter können keine Verteilergruppen angegeben werden.|

Verwenden einer Filterliste zum Kombinieren von Filtertypen

Eine Filterliste ist ein Filter, der einen Postfachfilter und einen durch ein Komma getrennten Websitefilter enthält. Dieses Komma fungiert auch als OR-Operator . Die Verwendung einer Filterliste ist die einzige unterstützte Methode zum Kombinieren verschiedener Filtertypen. Beachten Sie im folgenden Beispiel, dass ein Komma die Filter Postfach und Website trennt:

-Filters "Mailbox_CustomAttribute10 -eq 'OttawaUsers'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'"

Wenn ein Filter, der eine Filterliste enthält, während der Ausführung einer Suche verarbeitet wird, werden aus der Filterliste zwei Filter für Suchberechtigungen erstellt: einer für jeden Filter, der durch ein Komma getrennt ist. Im vorherigen Beispiel würden also ein Filter für Postfachsuchberechtigungen und ein Filter für Websitesuchberechtigungen erstellt. Diese Filter werden durch den OR-Operator verbunden.

Eine Alternative zur Verwendung einer Filterliste wäre das Erstellen von zwei separaten Filtern für Suchberechtigungen. Im vorherigen Beispiel würden Sie also einen Filter für das Postfach-Attribut und einen Filter für das Website-Attribut erstellen. In beiden Fällen sind die Ergebnisse identisch. Die Verwendung einer Filterliste oder das Erstellen separater Filter für Suchberechtigungen ist eine Frage der Präferenz.

Beachten Sie bei der Verwendung einer Filterliste folgendes:

  • Sie müssen eine Filterliste verwenden, um einen Filter zu erstellen, der einen Postfachfilter und einen MailboxContent-Filter enthält.

  • Jede Komponente einer Filterliste kann eine komplexe Filtersyntax enthalten. Beispielsweise können die Postfach- und Websitefilter mehrere Filter enthalten, die durch einen -- oder - Operator getrennt sind:

    -Filters "Mailbox_Department -eq 'CohoWinery' -or Mailbox_CustomAttribute10 -eq 'CohoUsers'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'"
    

Beispiele für das Erstellen von Suchberechtigungsfiltern

Nachfolgend finden Sie Beispiele für die Verwendung des New-ComplianceSecurityFilter-Cmdlets zum Erstellen eines Berechtigungsfilters für die Suche.

In diesem Beispiel können Mitglieder der Rollengruppe "US Discovery Managers" nur die Postfächer und OneDrive-Konten in den Vereinigten Staaten durchsuchen.

New-ComplianceSecurityFilter -FilterName USDiscoveryManagers  -Users "US Discovery Managers" -Filters "Mailbox_CountryOrRegion  -eq 'United States'"

In diesem Beispiel kann der Benutzer annb@contoso.com Suchaktionen nur für Postfächer und OneDrive-Konten in Kanada ausführen. Dieser Filter enthält die dreistellige Landeskennzahl für Kanada gemäß ISO 3166-1.

New-ComplianceSecurityFilter -FilterName CountryFilter  -Users annb@contoso.com -Filters "Mailbox_CountryCode  -eq '124'"

In diesem Beispiel können die Benutzer donh und suzanf nur die Postfächer und OneDrive-Konten durchsuchen, die den Wert "Marketing" für die CustomAttribute1-Postfacheigenschaft aufweisen.

New-ComplianceSecurityFilter -FilterName MarketingFilter  -Users donh,suzanf -Filters "Mailbox_CustomAttribute1  -eq 'Marketing'"

In diesem Beispiel können Mitglieder der Rollengruppe "Fourth Coffee eDiscovery Managers" nur die Postfächer und OneDrive-Konten durchsuchen, die den Wert "FourthCoffee" für die Postfach-Eigenschaft "Abteilung" aufweisen. Der Filter ermöglicht den Mitgliedern der Rollengruppe auch die Suche nach Dokumenten auf der SharePoint-Website Fourth Coffee.

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

Hinweis

Im vorherigen Beispiel muss ein zusätzlicher Websiteinhaltsfilter (SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*') enthalten sein, damit Mitglieder der Rollengruppe nach Dokumenten in OneDrive-Konten suchen können. Wenn dieser Filter nicht enthalten ist, erlaubt der Filter nur Mitgliedern der Rollengruppe, nach Dokumenten zu suchen, die sich in https://contoso.sharepoint.com/sites/FourthCoffeebefinden.

In diesem Beispiel können Mitglieder der Rollengruppe eDiscovery Manager nur die Postfächer und OneDrive-Konten von Mitgliedern der Verteilungsgruppe "Ottawa-Benutzer" durchsuchen. Das Cmdlet "Get-DistributionGroup" in Exchange Online PowerShell wird verwendet, um die Mitglieder der Gruppe "Ottawa Benutzer" zu finden.

$DG = Get-DistributionGroup "Ottawa Users"
New-ComplianceSecurityFilter -FilterName DGFilter  -Users eDiscoveryManager -Filters "Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"

In diesem Beispiel wird verhindert, dass ein Benutzer Suchaktionen in den Postfächern und OneDrive-Konten von Mitgliedern der Verteilergruppe "Executive Team" durchführen kann. Das bedeutet, dass Benutzer Inhalte aus diesen Postfächern löschen können. Das Cmdlet "Get-DistributionGroup" in Exchange Online PowerShell wird verwendet, um die Mitglieder der Gruppe "Executive Team" zu finden.

$DG = Get-DistributionGroup "Executive Team"
New-ComplianceSecurityFilter -FilterName NoExecutivesPreview  -Users All -Filters "Mailbox_MemberOfGroup -ne '$($DG.DistinguishedName)'"

In diesem Beispiel können Mitglieder der benutzerdefinierten Rollengruppe OneDrive eDiscovery-Manager nur nach Inhalten in OneDrive-Konten in der Organisation suchen.

New-ComplianceSecurityFilter -FilterName OneDriveOnly  -Users "OneDrive eDiscovery Managers" -Filters "SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

In diesem Beispiel wird der Benutzer auf die Ausführung von Suchaktionen nur für E-Mail-Nachrichten beschränkt, die im Kalenderjahr 2015 gesendet wurden.

New-ComplianceSecurityFilter -FilterName EmailDateRestrictionFilter -Users donh@contoso.com -Filters "MailboxContent_Received -ge '01-01-2015' -and MailboxContent_Received -le '12-31-2015'"

Ähnlich wie im vorherigen Beispiel beschränkt dieses Beispiel den Benutzer auf die Ausführung von Suchaktionen nur für Dokumente, die zuletzt im Kalenderjahr 2015 geändert wurden.

New-ComplianceSecurityFilter -FilterName DocumentDateRestrictionFilter -Users donh@contoso.com -Filters "SiteContent_LastModifiedTime -ge '01-01-2015' -and SiteContent_LastModifiedTime -le '12-31-2015'"

In diesem Beispiel wird verhindert, dass Mitglieder der Rollengruppe "OneDrive Discovery Managers" Suchaktionen für beliebige Postfächer in der Organisation durchführen können.

New-ComplianceSecurityFilter -FilterName NoEXO -Users "OneDrive Discovery Managers" -Filters "Mailbox_Alias -notlike '*'"

In diesem Beispiel wird verhindert, dass personen in der Organisation Suchaktionen für E-Mail-Nachrichten ausführen, die von Janets oder Sarad gesendet oder empfangen wurden.

New-ComplianceSecurityFilter -FilterName NoSaraJanet -Users All -Filters "MailboxContent_Participants -notlike 'janets@contoso.onmicrosoft.com' -and MailboxContent_Participants -notlike 'sarad@contoso.onmicrosoft.com'"

In diesem Beispiel wird eine Filterliste verwendet, um Postfach- und Websitefilter zu kombinieren. In diesem Beispiel ist der Postfachfilter ein Inhaltsortfilter, und der Websitefilter ist ein Inhaltsfilter.

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'"

Get-ComplianceSecurityFilter

Der Get-ComplianceSecurityFilter wird verwendet, um eine Liste von Suchberechtigungsfiltern zurückzugeben. Verwenden Sie den Parameter FilterName, um Informationen für einen bestimmten Filter zurückzugeben.

Set-ComplianceSecurityFilter

Der Set-ComplianceSecurityFilter wird verwendet, um einen vorhandenen Filter für Suchberechtigungen zu ändern. In den folgenden Abschnitten werden die Parameter für dieses Cmdlet beschrieben. Es ist nur der Parameter FilterName erforderlich.

FilterName

Der Parameter FilterName gibt den Namen des Berechtigungsfilters an.

Benutzer

Der Parameter Benutzer gibt die Benutzer an, für die dieser Filter bei der Inhaltssuche angewendet wird. Da es sich um eine mehrwertige Eigenschaft handelt, überschreibt die Angabe eines Benutzers oder einer Benutzergruppe mit diesem Parameter die vorhandene Benutzerliste. Die syntax zum Hinzufügen und Entfernen ausgewählter Benutzer finden Sie in den folgenden Beispielen.

Sie können den Parameter Benutzer auch verwenden, um eine Rollengruppe für das Complianceportal anzugeben. Auf diese Weise können Sie eine benutzerdefinierte Rollengruppe erstellen und diese Rollengruppe als Berechtigungsfilter für die Suche zuweisen. Nehmen Sie zum Beispiel einmal an, dass Sie eine benutzerdefinierte Rollengruppe für eDiscovery-Manager in der US-Niederlassung eines internationalen Unternehmens haben. Sie können den Parameter Users verwenden, um diese Rollengruppe anzugeben (mithilfe der Name-Eigenschaft der Rollengruppe), und dann den Parameter Filter verwenden, um nur Postfächer in den USA zu durchsuchen. Sie können mit diesem Parameter keine Verteilergruppen angeben.

Filter

Der Parameter Filters gibt die Suchkriterien für den Compliance-Sicherheitsfilter an. Sie können drei unterschiedliche Filtertypen erstellen:

  • Postfach- und OneDrive-Filterung: Dieser Filtertyp gibt die Postfächer und OneDrive-Konten an, die die zugewiesenen Benutzer (durch den Users-Parameter angegeben) durchsuchen können. Die Syntax für diesen Filtertyp ist Mailbox_MailboxPropertyName, wobei MailboxPropertyName eine Postfacheigenschaft angibt, die zum Bereich der Postfächer verwendet wird, die durchsucht werden können. Der Postfachfilter "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" würde z. B. zulassen, dass der Benutzer, dem dieser Filter zugewiesen ist, nur die Postfächer durchsuchen kann, die in der CustomAttribute10-Eigenschaft den Wert "OttawaUsers" aufweisen. Als MailboxPropertyName-Eigenschaft kann jede Empfängereigenschaft verwendet werden, die gefiltert werden kann. Eine Liste der unterstützten Eigenschaften finden Sie unter Filterbare Eigenschaften für den Parameter -RecipientFilter.

  • Filtern von Postfachinhalten: Dieser Filtertyp wird auf den Inhalt angewendet, der durchsucht werden kann. Es gibt den Postfachinhalt an, nach dem die zugewiesenen Benutzer suchen können. Die Syntax für diesen Filtertyp ist MailboxContent_SearchablePropertyName, wobei SearchablePropertyName eine KQL-Eigenschaft (Keyword Query Language) angibt, die in einer Suche angegeben werden kann. Beispielsweise würde der Postfachinhaltsfilter "MailboxContent_Recipients -like 'contoso.com'" dem Benutzer, dem dieser Filter zugewiesen ist, erlauben, nur nach Nachrichten zu suchen, die an Empfänger in der contoso.com Domäne gesendet wurden. Eine Liste der durchsuchbaren E-Mail-Eigenschaften finden Sie unter Schlüsselwortabfragen und Suchbedingungen für eDiscovery.

  • Filtern von Website- und Websiteinhalten: Es gibt zwei SharePoint- und OneDrive for Business-websitebezogene Filter, mit denen Sie angeben können, welche Website- oder Websiteinhalte die zugewiesenen Benutzer durchsuchen können:

    • Site_SearchableSiteProperty
    • SiteContent_SearchableSiteProperty

    Diese beiden Filter sind austauschbar. Beispiel: "Site_Path -like 'https://contoso.spoppe.com/sites/doctors*'" und "SiteContent_Path -like 'https://contoso.spoppe.com/sites/doctors*'" geben die gleichen Ergebnisse zurück. Eine Liste der durchsuchbaren Websiteeigenschaften finden Sie unter Übersicht über durchforstete und verwaltete Eigenschaften in SharePoint. Eigenschaften, die in der Spalte Abfragbar mit Ja gekennzeichnet sind, können verwendet werden, um einen Website- oder Websiteinhaltsfilter zu erstellen.

Beispiele für das Ändern von Suchberechtigungsfiltern

In diesen Beispielen wird gezeigt, wie Sie die Cmdlets Get-ComplianceSecurityFilter und Set-ComplianceSecurityFilter verwenden, um der vorhandenen Liste der Benutzer, denen der Filter zugewiesen ist, einen Benutzer hinzuzufügen oder zu entfernen. Wenn Sie einem Filter Benutzer hinzufügen oder Benutzer daraus entfernen, geben Sie den Benutzer durch seine SMTP-Adresse an.

In diesem Beispiel wird dem Filter ein Benutzer hinzugefügt.

$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.add("pilarp@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users

In diesem Beispiel wird ein Benutzer aus dem Filter entfernt.

$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.remove("annb@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users

Remove-ComplianceSecurityFilter

Der Remove-ComplianceSecurityFilter wird verwendet, um einen Suchfilter zu löschen. Verwenden Sie den Parameter FilterName, um den Filter anzugeben, den Sie löschen möchten.

Weitere Informationen

Wie funktionieren Berechtigungsfilter für die Suche? Der Berechtigungsfilter wird an die Suchabfrage angefügt, wenn eine Suche ausgeführt wird. Der Berechtigungsfilter wird durch den booleschen AND-Operator mit der Suchabfrage verknüpft. Die Abfragelogik für die Suchabfrage und der Berechtigungsfilter sieht wie folgt aus:

<SearchQuery> AND <PermissionsFilter>

Beispielsweise verfügen Sie über einen Berechtigungsfilter, mit dem Bob alle Suchaktionen für die Postfächer von Mitgliedern der Verteilergruppe Worker ausführen kann. Anschließend führt Bob eine Suche für alle Postfächer in der Organisation mit der Suchabfrage sender:jerry@adatum.comaus. Da der Berechtigungsfilter und die Suchabfrage logisch durch einen AND-Operator kombiniert werden, gibt die Suche jede Nachricht zurück, die von jerry@adatum.com an ein beliebiges Mitglied der Worker-Verteilergruppe gesendet wird.

Was passiert, wenn Sie über mehrere Berechtigungsfilter für die Suche verfügen? In einer Suchabfrage werden mehrere Berechtigungsfilter mit booleschen OR-Operatoren kombiniert. Daher werden Ergebnisse zurückgegeben, wenn nur einer der Filter zutrifft. In einer Suche werden dann alle Filter (kombiniert durch OR-Operatoren) mit der Suchabfrage durch den AND-Operator kombiniert.

<SearchQuery> AND  (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>)

Nehmen wir das vorherige Beispiel, in dem ein Suchfilter Es Bob ermöglicht, nur die Postfächer der Mitglieder der Verteilergruppe Worker zu durchsuchen. Wir erstellen dann einen weiteren Filter, der verhindert, dass Bob das Postfach von Phil („Mailbox_Alias - ne 'Phil'“) durchsuchen kann. Außerdem nehmen wir an, dass Phil ein Mitglied der Gruppe „Worker“ ist. Wenn Bob eine Suche (aus dem vorherigen Beispiel) für alle Postfächer in der Organisation ausführt, werden Suchergebnisse für Phils Postfach zurückgegeben, obwohl Sie einen Filter angewendet haben, um zu verhindern, dass Bob das Postfach von Phil durchsucht. Dies liegt daran, dass der erste Filter, der Bob erlaubt, die Gruppe „Worker“ zu durchsuchen „wahr“ ist. Da Phil Mitglied der Gruppe „Worker“ ist, kann Bob das Postfach von Phil durchsuchen.

Funktioniert das Filtern von Suchberechtigungen für inaktive Postfächer? Ja, Sie können Postfach- und Postfachinhaltsfilter verwenden, um einzuschränken, wer inaktive Postfächer in Ihrer Organisation durchsuchen kann. Wie ein normales Postfach muss ein inaktives Postfach mit der Empfängereigenschaft konfiguriert werden, die zum Erstellen eines Berechtigungsfilters verwendet wird. Bei Bedarf können Sie den Befehl Get-Mailbox -InactiveMailboxOnly verwenden, um die Eigenschaften inaktiver Postfächer anzuzeigen. Weitere Informationen finden Sie unter Erstellen und Verwalten inaktiver Postfächer.

Funktioniert das Filtern von Suchberechtigungen für öffentliche Ordner? Nein Wie bereits erläutert, kann die Filterung von Suchberechtigungen nicht verwendet werden, um einzuschränken, wer öffentliche Ordner in Exchange durchsuchen kann. Beispielsweise können Elemente an Speicherorten öffentlicher Ordner nicht durch einen Berechtigungsfilter aus den Suchergebnissen ausgeschlossen werden.

Hindert ein Benutzer, alle Inhaltsspeicherorte in einem bestimmten Dienst zu durchsuchen, auch daran, Inhaltsspeicherorte in einem anderen Dienst zu durchsuchen? Nein Wie bereits erläutert, müssen Sie einen Filter für Suchberechtigungen erstellen, um benutzer explizit daran zu hindern, Inhaltsspeicherorte in einem bestimmten Dienst zu durchsuchen (z. B. verhindern, dass ein Benutzer ein Exchange-Postfach oder eine SharePoint-Website durchsucht). Anders ausgedrückt: Durch Erstellen eines Suchberechtigungsfilters, der zulässt, dass ein Benutzer alle SharePoint-Websites in der Organisation durchsucht, wird nicht verhindert, dass ein Benutzer Postfächer durchsuchen kann. Damit SharePoint-Administratoren beispielsweise nur SharePoint-Websites durchsuchen können, müssen Sie einen Filter erstellen, der verhindert, dass sie Postfächer durchsuchen können. Damit Exchange-Administratoren nur Postfächer durchsuchen können, müssen Sie einen Filter erstellen, der verhindert, dass sie Websites durchsuchen können.

Werden Filter für Suchberechtigungen mit den Zeichenbeschränkungen für Suchabfragen gezählt? Ja. Filter für Suchberechtigungen werden auf den Zeichengrenzwert für Suchabfragen angerechnet. Weitere Informationen finden Sie unter Grenzwerte in eDiscovery (Premium).For more information, see Limits in eDiscovery (Premium).

Wie viele Suchberechtigungsfilter können maximal in einer Organisation erstellt werden?

Die Anzahl der Suchberechtigungsfilter, die in einer Organisation erstellt werden können, ist unbegrenzt. Eine Suchanfrage kann jedoch bis zu 100 Bedingungen enthalten. In diesem Fall wird eine Bedingung als etwas definiert, das durch einen booleschen Operator (z. B. AND, OR und NEAR) mit der Abfrage verbunden ist. Der Grenzwert der Anzahl von Bedingungen umfasst die Suchabfrage selbst sowie alle Filter für Suchberechtigungen, die auf den Benutzer angewendet werden, der die Suche ausführt. Je mehr Suchberechtigungsfilter Sie also haben (insbesondere wenn diese Filter auf denselben Benutzer oder dieselbe Benutzergruppe angewendet werden), desto größer ist die Wahrscheinlichkeit, dass die maximale Anzahl von Bedingungen für eine Suche überschritten wird.

Um zu verstehen, wie dieser Grenzwert funktioniert, müssen Sie wissen, dass ein Filter für Suchberechtigungen an die Suchabfrage angefügt wird, wenn eine Suche ausgeführt wird. Ein Filter für Suchberechtigungen wird mit der Suchabfrage durch den booleschen OPERATOR AND verknüpft. Die Abfragelogik für die Suchabfrage und ein einzelner Filter für Suchberechtigungen würden wie folgt aussehen:

<SearchQuery> AND <PermissionsFilter>

Mehrere Suchberechtigungsfilter werden durch den booleschen OR-Operator kombiniert, und dann werden diese Bedingungen durch den AND-Operator mit der Suchabfrage verbunden.

Die Abfragelogik für die Suchabfrage und mehrere Suchberechtigungsfilter würde wie folgt aussehen:

<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)

Es ist möglich, dass die Suchabfrage selbst aus mehreren Bedingungen besteht, die durch boolesche Operatoren verbunden sind. Jede Bedingung in der Suchabfrage würde auch auf den Grenzwert von 100 Bedingungen angerechnet.

Außerdem hängt die Anzahl von Suchberechtigungsfiltern, die an eine Abfrage angefügt werden, vom Benutzer ab, der die Suche ausführt. Wenn ein bestimmter Benutzer eine Suche ausführt, werden die Filter für Suchberechtigungen, die auf den Benutzer angewendet werden (der durch den Parameter Users im Filter definiert wird) an die Abfrage angefügt. Ihre Organisation könnte über Hunderte von Suchberechtigungsfiltern verfügen, aber wenn mehr als 100 Filter auf dieselben Benutzer angewendet werden, wird wahrscheinlich der Grenzwert von 100 Bedingungen überschritten, wenn diese Benutzer Suchvorgänge ausführen.

Es gibt noch eine weitere Sache, die Sie hinsichtlich des Bedingungslimits beachten sollten. Die Anzahl bestimmter SharePoint-Websites, die in den Filtern für Suchabfragen oder Suchberechtigungen enthalten sind, wird ebenfalls auf diesen Grenzwert angerechnet.

Um zu verhindern, dass Ihre Organisation den Grenzwert für Bedingungen erreicht, halten Sie die Anzahl der Filter für Suchberechtigungen in Ihrer Organisation so wenig wie möglich, um Ihre Geschäftsanforderungen zu erfüllen.