Configuración de límites de cumplimiento para las investigaciones de eDiscovery
Sugerencia
eDiscovery (versión preliminar) ya está disponible en el nuevo portal de Microsoft Purview. Para obtener más información sobre el uso de la nueva experiencia de exhibición de documentos electrónicos, consulte Información sobre eDiscovery (versión preliminar).
Las instrucciones de este artículo se pueden aplicar al usar Microsoft Purview eDiscovery (Estándar) o Microsoft Purview eDiscovery (Premium) para administrar las investigaciones.
Los límites de cumplimiento crean límites lógicos dentro de una organización que controlan las ubicaciones de contenido de usuario (como buzones, cuentas de OneDrive y sitios de SharePoint) en las que los administradores de eDiscovery pueden buscar. Los límites de cumplimiento también controlan quién puede acceder a los casos de exhibición de documentos electrónicos que se usan para administrar los recursos legales, humanos u otras investigaciones dentro de la organización.
La necesidad de límites de cumplimiento a menudo es necesaria para las empresas multinacionales que tienen que respetar los consejos y reglamentos geográficos y para los gobiernos, que a menudo se dividen en diferentes organismos. En Microsoft 365, los límites de cumplimiento le ayudan a cumplir estos requisitos al realizar búsquedas de contenido y administrar investigaciones con casos de eDiscovery.
Usaremos el ejemplo de la ilustración siguiente para explicar cómo funcionan los límites de cumplimiento.
En este ejemplo, Contoso LTD es una organización que consta de dos subsidiarias, Fourth Coffee y Coho Winery. La empresa requiere que los administradores e investigadores de eDiscovery solo puedan buscar en los buzones de Exchange, las cuentas de OneDrive y los sitios de SharePoint de su agencia. Además, los administradores e investigadores de eDiscovery solo pueden ver casos de exhibición de documentos electrónicos en su agencia y solo pueden acceder a los casos de los que son miembros. Además, en este escenario, los investigadores no pueden colocar ubicaciones de contenido en espera ni exportar contenido de un caso. Este es el modo en que los límites de cumplimiento cumplen estos requisitos.
La funcionalidad de filtrado de permisos de búsqueda para eDiscovery controla las ubicaciones de contenido que los administradores e investigadores de eDiscovery pueden buscar. Este control significa que los administradores e investigadores de eDiscovery de la agencia Fourth Coffee solo pueden buscar ubicaciones de contenido en la filial Fourth Coffee. La misma restricción se aplica a la subsidiaria Coho Winery.
Los grupos de roles proporcionan las siguientes funciones para los límites de cumplimiento:
- Controlar quién puede ver los casos de eDiscovery en el portal de cumplimiento Microsoft Purview. Este control significa que los administradores e investigadores de eDiscovery solo pueden ver los casos de eDiscovery en su agencia.
- Controlar quién puede asignar miembros a un caso de exhibición de documentos electrónicos. Este control significa que los administradores e investigadores de eDiscovery solo pueden asignar miembros a los casos de los que ellos mismos son miembros.
- Controle las tareas relacionadas con eDiscovery que los miembros pueden realizar agregando o quitando roles que asignan permisos específicos.
Cuando se aplica un filtro de permisos de búsqueda a un grupo de roles, los miembros del grupo de roles pueden realizar las siguientes acciones relacionadas con la búsqueda siempre y cuando los permisos para realizar una acción se asignen al grupo de roles:
- Buscar contenido
- Vista previa de los resultados de búsqueda
- Exportar resultados de búsqueda
- Purgar elementos devueltos por una búsqueda
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Antes de configurar los límites de cumplimiento
- A los usuarios se les debe asignar una licencia de Exchange Online. Para comprobar las asignaciones, use el cmdlet Get-User en Exchange Online PowerShell.
Configuración de límites de cumplimiento
Estos son los pasos para configurar los límites de cumplimiento:
- Paso 1: Identificar un atributo de usuario para definir las agencias
- Paso 2: Creación de un grupo de roles para cada agencia
- Paso 3: Crear un filtro de permisos de búsqueda para aplicar el límite de cumplimiento
- Paso 4: Crear un caso de exhibición de documentos electrónicos para investigaciones dentro de la agencia
Paso 1: Identificar un atributo de usuario para definir las agencias
El primer paso es elegir un atributo que se usará que defina las agencias. Este atributo se usa para crear el filtro de permisos de búsqueda que limita un administrador de exhibición de documentos electrónicos para buscar solo las ubicaciones de contenido de los usuarios a los que se asigna un valor específico para este atributo. Por ejemplo, supongamos que Contoso decide usar el atributo Department . El valor de este atributo para los usuarios de la filial Fourth Coffee sería FourthCoffee
y el valor para los usuarios de la filial de Coho Winery sería CohoWinery
. En el paso 3, se usa este attribute:value
par (por ejemplo, Department:FourthCoffee) para limitar las ubicaciones de contenido de usuario que los administradores de eDiscovery pueden buscar.
Estos son algunos ejemplos de atributos de usuario que puede usar para los límites de cumplimiento:
- Company
- CustomAttribute1: CustomAttribute15
- Departamento
- Oficina
- CountryOrRegion (código de país de dos letras)
Paso 2: Creación de un grupo de roles para cada agencia
El siguiente paso es crear los grupos de roles en el portal de cumplimiento que se alinearán con las agencias.
Para crear los grupos de roles, vaya a la página Permisos del portal de cumplimiento y cree un grupo de roles para cada equipo de cada agencia que usará los límites de cumplimiento y los casos de eDiscovery para administrar las investigaciones.
Se recomienda que los grupos de roles creados para el límite de cumplimiento no tengan ningún rol asociado. Este grupo de roles solo debe usarse para asignar usuarios al grupo de roles. Se deben usar grupos de roles personalizados o integrados independientes (Administrador de exhibición de documentos electrónicos) para asignar roles a los miembros. Para obtener más información sobre los roles relacionados con eDiscovery, vea Asignar permisos de exhibición de documentos electrónicos.
Nota:
Para cegar y actualizar grupos de roles con roles vacíos, debe usar cmdlets de PowerShell. Para obtener más información, vea New-RoleGroup y Add-RoleGroupMember.
Con el escenario de límites de cumplimiento de Contoso, es necesario crear cuatro grupos de roles y agregar los miembros adecuados a cada uno.
- Administradores de eDiscovery de Fourth Coffee
- Investigadores de Fourth Coffee
- Administradores de eDiscovery de Coho Winery
- Investigadores de Coho Winery
Importante
Si se agrega o quita un rol de un grupo de roles que ha agregado como miembro de un caso, el grupo de roles se quita automáticamente como miembro del caso (o en cualquier caso, el grupo de roles es miembro). El motivo es proteger su organización de proporcionar accidentalmente permisos adicionales a los miembros de un caso. Si se elimina un grupo de roles, se quita de todos los casos de los que era miembro. Se recomienda que los grupos de roles creados para los límites de cumplimiento no tengan ningún rol asignado. Use grupos de roles integrados o personalizados independientes para asignar roles a los miembros.
Paso 3: Crear un filtro de permisos de búsqueda para aplicar el límite de cumplimiento
Después de crear grupos de roles para cada agencia, el siguiente paso es crear los filtros de permisos de búsqueda que asocian cada grupo de roles a su agencia específica y define el propio límite de cumplimiento. Debe crear un filtro de permisos de búsqueda para cada agencia. Para obtener más información sobre cómo crear filtros de permisos de seguridad, vea Configurar el filtrado de permisos para búsqueda de contenido.
Esta es la sintaxis que se usa para crear un filtro de permisos de búsqueda que se usa para los límites de cumplimiento para el escenario de este artículo.
New-ComplianceSecurityFilter -FilterName <name of filter> -Users <role groups> -Filters "Mailbox_<MailboxPropertyName> -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"
Esta es una descripción de cada parámetro del comando:
FilterName
: especifica el nombre del filtro. Use un nombre que describa o identifique la agencia en la que se usa el filtro.Users
: especifica los usuarios o grupos que obtienen este filtro aplicado a las acciones de búsqueda que realizan. Para los límites de cumplimiento, este parámetro especifica los grupos de roles (que creó en el paso 2) en la agencia para la que va a crear el filtro. Este parámetro es un parámetro de varios valores, por lo que puede incluir uno o varios grupos de roles separados por comas.Filters
: especifica los criterios de búsqueda para el filtro. Para los límites de cumplimiento, defina los siguientes filtros. Cada una de ellas se aplica a diferentes ubicaciones de contenido.Mailbox
: especifica los buzones de correo o las cuentas de OneDrive en los que los grupos de roles definidos en elUsers
parámetro pueden buscar. Este filtro permite a los miembros del grupo de roles buscar solo los buzones de correo o cuentas de OneDrive en una agencia específica; por ejemplo,"Mailbox_Department -eq 'FourthCoffee'"
.SiteContent
: este filtro incluye dos filtros independientes. La primeraSiteContent_Path
especifica los sitios de SharePoint de la agencia en los que los grupos de roles definidos en elUsers
parámetro pueden buscar. Por ejemplo,SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'
. El segundoSiteContent_Path
filtro (conectado al primerSiteContent_Path
filtro por elor
operador) especifica el dominio de OneDrive de la agencia (también denominado dominio MySite ). Por ejemplo,SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'
. También puede usar elSite_Path
filtro en lugar delSiteContent
filtro. LosSite
filtros ySiteContent
son intercambiables y no afectan a los filtros de permisos de búsqueda descritos en este artículo.Importante
¿Por qué se incluye el
SiteContent
filtro de OneDrive en el filtro de permisos de búsqueda anterior? Aunque elMailbox
filtro se aplica tanto a los buzones como a las cuentas de OneDrive, la inclusión del filtro de SharePoint excluiría las cuentas de OneDrive si no incluyese también el filtro de OneDriveSite
. Si el filtro de permisos de búsqueda no incluye un filtro de SharePoint, no tendría que incluir un filtro de OneDrive independiente porque el filtro Buzón incluiría cuentas de OneDrive en el ámbito del límite de cumplimiento. En otras palabras, un filtro de permisos de búsqueda con solo elMailbox
filtro incluiría tanto buzones como cuentas de OneDrive.
Estos son algunos ejemplos de los dos filtros de permisos de búsqueda que se crearían para admitir el escenario de límites de cumplimiento de Contoso. Estos dos ejemplos incluyen una lista de filtros separados por comas, en la que el buzón y los filtros de sitio se incluyen en el mismo filtro de permisos de búsqueda y se separan con una coma.
Cuarto café
New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"
Bodega Coho
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"
Nota:
La sintaxis de los Filters
parámetros de los ejemplos anteriores incluye una lista de filtros. Una lista de filtros es un filtro que incluye un filtro de buzón de correo y un filtro de ruta de acceso de sitio separados por una coma. En el ejemplo anterior, observe que una coma separa Mailbox
y SiteContent
filtra: -Filters "Mailbox_<MailboxPropertyName> -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"
. Cuando este filtro se procesa durante la ejecución de una búsqueda de exhibición de documentos electrónicos, se crean dos filtros de permisos de búsqueda a partir de la lista de filtros: un filtro de buzón y un filtro de SharePoint/OneDrive. Una alternativa al uso de una lista de filtros sería crear dos filtros de permisos de búsqueda independientes para cada agencia: un filtro de permisos de búsqueda para el atributo mailbox y un filtro para los atributos de sitio de SharePoint y OneDrive. En cualquier caso, los resultados serán los mismos. El uso de una lista de filtros o la creación de filtros de permisos de búsqueda independientes es una cuestión de preferencia.
¿Cómo funcionan los filtros de permisos de búsqueda en este escenario?
Aquí se muestra cómo se aplican los filtros de permisos de búsqueda para cada agencia en este escenario.
El
Mailbox
filtro se aplica primero para definir las ubicaciones de contenido que los administradores de eDiscovery pueden buscar. En este caso, los administradores de eDiscovery de Coho Winery solo pueden buscar en los buzones de correo y las cuentas de OneDrive de los usuarios cuya propiedad de buzón de correo department tiene un valor de FourthCoffee; Los administradores de eDiscovery de Coho Winery solo pueden buscar en los buzones y las cuentas de OneDrive de los usuarios cuya propiedad de buzón department tiene un valor de CohoWinery. ElMailbox
filtro es un filtro de ubicación de contenido, ya que especifica las ubicaciones de contenido que los administradores de eDiscovery pueden buscar. En ambos filtros, los administradores de eDiscovery solo pueden buscar ubicaciones de contenido con un valor de propiedad de buzón específico.Una vez definidas las ubicaciones de contenido que se pueden buscar, la siguiente parte del filtro define el contenido que los administradores de eDiscovery pueden buscar. El primer
SiteContent
filtro permite a los administradores de exhibición de documentos electrónicos de Fourth Coffee buscar únicamente documentos que tengan una propiedad de ruta de acceso de sitio que contenga (o empiece por)https://contoso.sharepoint.com/sites/FourthCoffee
; Los administradores de eDiscovery de Coho Winery solo pueden buscar documentos que tengan una propiedad de ruta de acceso de sitio que contenga (o empiece por).https://contoso.sharepoint.com/sites/CohoWinery
Por lo tanto, los dosSiteContent
filtros son filtros de contenido porque definen el contenido que se puede buscar. En ambos filtros, los administradores de eDiscovery solo pueden buscar documentos con un valor de propiedad de documento específico. Todos los filtros relacionados con SharePoint son filtros de contenido porque las propiedades de sitio que se pueden buscar se marcan en todos los documentos. Para obtener más información, vea Configurar el filtrado de permisos para eDiscovery.Nota:
Aunque el escenario de este artículo no los usa, también puede usar filtros de contenido de buzón para especificar el contenido que los administradores de eDiscovery pueden buscar. La sintaxis de los filtros de contenido de buzón es
"MailboxContent_<property> -<comparison operator> '<value>'"
. Puede crear filtros de contenido basados en intervalos de fechas, destinatarios y dominios o en cualquier propiedad de correo electrónico que se pueda buscar. Por ejemplo, este filtro permitiría a los administradores de exhibición de documentos electrónicos buscar solo elementos de correo enviados o recibidos por los usuarios en el dominio contoso.com:"MailboxContent_Participants -like 'contoso.com'"
. Para obtener más información sobre los filtros de contenido de buzón de correo, consulte Configuración del filtrado de permisos de búsqueda.El operador booleano AND une el filtro de permisos de búsqueda a la consulta de búsqueda. Esto significa que cuando un administrador de exhibición de documentos electrónicos de una de las agencias ejecuta una búsqueda de exhibición de documentos electrónicos, los elementos devueltos por la búsqueda deben coincidir con la consulta de búsqueda y las condiciones definidas en el filtro de permisos de búsqueda.
Paso 4: Crear un caso de exhibición de documentos electrónicos para investigaciones dentro de la agencia
El último paso consiste en crear un caso de exhibición de documentos electrónicos (estándar) o un caso de exhibición de documentos electrónicos (Premium) en el portal de cumplimiento y, a continuación, agregar el grupo de roles que creó en el paso 2 como miembro del caso. Esto da como resultado dos características importantes del uso de límites de cumplimiento:
Solo los miembros del grupo de roles agregados al caso podrán ver y acceder al caso en el portal de cumplimiento. Por ejemplo, si el grupo de roles Fourth Coffee Investigators es el único miembro de un caso, los miembros del grupo de roles Fourth Coffee eDiscovery Managers (o miembros de cualquier otro grupo de roles) no podrán ver ni acceder al caso.
Cuando un miembro del grupo de roles asignado a un caso ejecuta una búsqueda asociada al caso, solo podrá buscar en las ubicaciones de contenido de su agencia (que se define mediante el filtro de permisos de búsqueda que creó en el paso 3).
Para crear un caso y asignar miembros:
Nota:
Por un tiempo limitado, esta experiencia clásica de exhibición de documentos electrónicos también está disponible en el nuevo portal de Microsoft Purview. Habilite la experiencia de exhibición de documentos electrónicos clásica del portal de cumplimiento en la configuración de la experiencia de eDiscovery (versión preliminar) para mostrar la experiencia clásica en el nuevo portal de Microsoft Purview.
Vaya a la página eDiscovery (Estándar) o eDiscovery (Premium) del portal de cumplimiento y cree un caso.
En la lista de casos, seleccione el nombre del caso que creó.
Agregue grupos de roles como miembros al caso. Para obtener instrucciones, consulte uno de los artículos siguientes:
Nota:
Al agregar un grupo de roles a un caso, solo puede agregar los grupos de roles de los que es miembro.
Búsqueda y exportación de contenido en entornos multigeográficos
Los filtros de permisos de búsqueda también permiten controlar dónde se enruta el contenido para la exportación y qué centro de datos se puede buscar al buscar ubicaciones de contenido en un entorno de SharePoint Multi-Geo.
Exportar resultados de búsqueda: Puede exportar los resultados de la búsqueda desde buzones de Exchange, sitios de SharePoint y cuentas de OneDrive desde un centro de datos específico. Esto significa que puede especificar la ubicación del centro de datos desde la que se exportan los resultados de la búsqueda.
Use el parámetro Region para los cmdlets New-ComplianceSecurityFilter o Set-ComplianceSecurityFilter para crear o cambiar el centro de datos por el que se enruta la exportación.
Valor del parámetro Ubicación del centro de datos NAM Norteamérica (los centros de datos están en EE. UU.) EUR Europa APC Asia Pacífico CAN Canadá Enrutar búsquedas de contenido: Puede enrutar las búsquedas de contenido de sitios de SharePoint y cuentas de OneDrive a un centro de datos satélite. Esto significa que puede especificar la ubicación del centro de datos donde se ejecutan las búsquedas.
Use uno de los siguientes valores para el parámetro Region para controlar la ubicación del centro de datos en la que se ejecutarán las búsquedas al buscar sitios de SharePoint y cuentas de OneDrive.
Valor del parámetro Ubicaciones de enrutamiento del centro de datos para SharePoint NAM EE. UU. EUR Europa APC Asia Pacífico CAN EE. UU. AUS Asia Pacífico KOR Centro de datos predeterminado de la organización GBR Europa JPN Asia Pacífico IND Asia Pacífico LAM EE. UU. NOR Europa BRA Centros de datos de Norteamérica Si no especifica el parámetro Region para un filtro de permisos de búsqueda, se busca en la región principal de SharePoint de la organización. Los resultados de la búsqueda se exportan al centro de datos más cercano.
Para simplificar el concepto, el parámetro Region controla el centro de datos que se usa para buscar contenido en SharePoint y OneDrive. Esto no se aplica a la búsqueda de contenido en Exchange porque las búsquedas de contenido de Exchange no están enlazadas por la ubicación geográfica de los centros de datos. Además, el mismo valor de parámetro Region también puede dictar el centro de datos por el que se enrutan las exportaciones. Esto suele ser necesario para controlar el movimiento de los datos entre los tableros geográficos.
Nota:
Si usa eDiscovery (Premium), el parámetro Region no controla la región desde la que se exportan los datos. Los datos se exportan desde la ubicación central de la organización. Además, la búsqueda de contenido en SharePoint y OneDrive no está enlazada por la ubicación geográfica de los centros de datos. Se busca en todos los centros de datos. Para obtener más información sobre eDiscovery (Premium), consulte Información general sobre la solución eDiscovery (Premium) en Microsoft 365.
Estos son ejemplos de uso del parámetro Region al crear filtros de permisos de búsqueda para los límites de cumplimiento. Esto supone que la filial Fourth Coffee se encuentra en Norteamérica y que Coho Winery está en Europa.
New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region NAM
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region EUR
Tenga en cuenta lo siguiente al buscar y exportar contenido en entornos multigeográficos.
El parámetro Region no controla las búsquedas de los buzones de Exchange. Se buscarán todos los centros de datos al buscar buzones de correo. Para limitar el ámbito en el que se buscan los buzones de Exchange, use el parámetro Filters al crear o cambiar un filtro de permisos de búsqueda.
Si es necesario que un Administrador de exhibición de documentos electrónicos busque en varias regiones de SharePoint, debe crear una cuenta de usuario diferente para que ese administrador de exhibición de documentos electrónicos se use en el filtro de permisos de búsqueda para especificar la región donde se encuentran los sitios de SharePoint o las cuentas de OneDrive. Para obtener más información sobre cómo configurarlo, consulte la sección "Búsqueda de contenido en un entorno de SharePoint Multi-Geo" en Búsqueda de contenido.
Al buscar contenido en SharePoint y OneDrive, el parámetro Region dirige las búsquedas a la ubicación principal o satélite donde el administrador de exhibición de documentos electrónicos llevará a cabo investigaciones de eDiscovery. Si un administrador de exhibición de documentos electrónicos busca sitios de SharePoint y OneDrive fuera de la región especificada en el filtro de permisos de búsqueda, no se devuelve ningún resultado de búsqueda.
Al exportar los resultados de la búsqueda desde eDiscovery (Estándar), el contenido de todas las ubicaciones de contenido (incluidos Exchange, Skype Empresarial, SharePoint, OneDrive y otros servicios que puede buscar mediante la herramienta Búsqueda de contenido) se carga en la ubicación de Azure Storage del centro de datos especificado por el parámetro Region. Esto ayuda a las organizaciones a mantenerse dentro del cumplimiento al no permitir que el contenido se exporte entre fronteras controladas. Si no se especifica ninguna región en el filtro de permisos de búsqueda, el contenido se carga en el centro de datos principal de la organización.
Al exportar contenido desde eDiscovery (Premium), no se puede controlar dónde se carga el contenido mediante el parámetro Region . El contenido se carga en una ubicación de Azure Storage en un centro de datos de la ubicación central de la organización. Para obtener una lista de ubicaciones geográficas basadas en su ubicación central, consulte Configuración de eDiscovery multigeográfica de Microsoft 365.
Puede editar un filtro de permisos de búsqueda existente para agregar o cambiar la región mediante la ejecución del siguiente comando:
Set-ComplianceSecurityFilter -FilterName <Filter name> -Region <Region>
Uso de límites de cumplimiento para sitios centrales de SharePoint
Los sitios centrales de SharePoint a menudo se alinean con los mismos límites geográficos o de agencia que siguen los límites de cumplimiento de eDiscovery. Esto significa que puede usar la propiedad de identificador de sitio del sitio central para crear un límite de cumplimiento. Para ello, use el cmdlet Get-SPOHubSite en PowerShell de SharePoint Online para obtener el SiteId del sitio central y, a continuación, use este valor para la propiedad department ID para crear un filtro de permisos de búsqueda.
Use la sintaxis siguiente para crear un filtro de permisos de búsqueda para un sitio central de SharePoint:
New-ComplianceSecurityFilter -FilterName <Filter Name> -Users <User or Group> -Filters "Site_Departmentid -eq '{SiteId of hub site}'"
Este es un ejemplo de creación de un filtro de permisos de búsqueda para un sitio central para la agencia Coho Winery:
New-ComplianceSecurityFilter -FilterName "Coho Winery Hub Site Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Site_Departmentid -eq '44252d09-62c4-4913-9eb0-a2a8b8d7f863'"
Limitaciones de límites de cumplimiento
Tenga en cuenta las siguientes limitaciones al administrar casos e investigaciones de exhibición de documentos electrónicos que usan límites de cumplimiento.
Al crear y ejecutar una búsqueda, puede seleccionar ubicaciones de contenido que estén fuera de su organismo. Sin embargo, debido al filtro de permisos de búsqueda, el contenido de esas ubicaciones no se incluye en los resultados de búsqueda.
Los límites de cumplimiento no se aplican a las retenciones en casos de exhibición de documentos electrónicos. Eso significa que un administrador de eDiscovery en una agencia puede poner a un usuario en una agencia distinta en espera. Sin embargo, se aplicará el límite de cumplimiento si el administrador de eDiscovery busca las ubicaciones de contenido del usuario que se ha colocado en espera. Esto significa que el administrador de eDiscovery no podrá buscar en las ubicaciones de contenido del usuario, incluso aunque colocaron al usuario en espera.
Si se le asigna un filtro de permisos de búsqueda (un buzón o un filtro de sitio) e intenta exportar elementos sin indexar para una búsqueda que incluye todos los sitios de SharePoint de su organización, recibirá el siguiente mensaje de error:
Unable to execute the task. Reason: The scope options UnindexedItemsOnly or BothIndexedandUnindexedItems are not allowed when the executing user has a compliance security filter applied
. Si se le asigna un filtro de permisos de búsqueda y desea exportar elementos sin indexar desde SharePoint, tendrá que volver a ejecutar la búsqueda e incluir sitios de SharePoint específicos para buscar. De lo contrario, solo podrá exportar elementos indexados desde una búsqueda que incluya todos los sitios de SharePoint. Para obtener más información sobre las opciones al exportar resultados de búsqueda, vea Exportar resultados de búsqueda de contenido.Los filtros de permisos de búsqueda no se aplican a las carpetas públicas de Exchange.
Los filtros de búsqueda admitidos incluyen
-and
,-or
,-like
,-not
,-eq
y-ne
. No se recomienda usar otros filtros de exclusión (como ,-notlike)
inotlike
, etc. en un filtro de permisos de búsqueda) para un límite de cumplimiento basado en contenido. El uso de estos filtros de exclusión puede tener resultados inesperados si no se ha indexado el contenido con atributos actualizados recientemente.El respeto de los límites de cumplimiento de los sitios de OneDrive en las búsquedas puede verse afectado cuando:
- Los sitios (o buzones asociados) se mueven o vuelven a albergar
- Se vuelve a asignar la propiedad de OneDrive o se agrega más de un propietario.
- Se cambia el nombre del sitio de OneDrive o se vuelve a emitir
Mover un sitio de OneDrive puede cambiar la propiedad del contenido y puede incluir la creación de un buzón de arbitraje. Cuando se mueven estos recursos, existe la posibilidad de que los resultados de búsqueda de contenido estén disponibles a través de los límites de cumplimiento. Cuando un sitio de OneDrive se vuelve a asignar, asignar o asignar a más de un propietario, es posible que el contenido de estos sitios esté disponible a través de los límites de cumplimiento.
Los límites de cumplimiento de los buzones de correo pueden verse afectados cuando:
- El buzón de correo no está asociado a un usuario con licencia (incluye usuarios deshabilitados o eliminados).
- Un buzón no se administra ni sincroniza desde Microsoft Entra ID
Además, hay varios tipos de buzones que pueden generar contenido durante la búsqueda, independientemente de sus límites de cumplimiento. Estos tipos de buzón incluyen:
- EquipmentMailbox
- GuestMailUser
- LinkedMailbox
- RoomList
- RoomMailbox
- SchedulingMailbox
- SharedMailbox
- SystemMailbox
- TeamMailbox
Para asegurarse de que la búsqueda respeta los límites de cumplimiento según lo previsto, es posible que tenga que actualizar los permisos y roles de los recursos movidos.
Más información
- Si un buzón de correo no tiene licencia o se elimina temporalmente, el usuario ya no se considerará dentro del límite de cumplimiento. Si se ha colocado una suspensión en el buzón cuando se eliminó, el contenido conservado en el buzón sigue estando sujeto a un filtro de límites de cumplimiento o permisos de búsqueda.
- Si los límites de cumplimiento y los filtros de permisos de búsqueda se implementan para un usuario, se recomienda no eliminar el buzón de un usuario y no su cuenta de OneDrive. En otras palabras, si elimina el buzón de un usuario, también debe quitar la cuenta de OneDrive del usuario, ya que mailbox_RecipientFilter se usa para aplicar el filtro de permisos de búsqueda para OneDrive.
- Los límites de cumplimiento y los filtros de permisos de búsqueda dependen de los atributos que se marcan en el contenido de Exchange, OneDrive y SharePoint y de la indexación posterior de este contenido marcado.
Preguntas frecuentes
¿Quién puede crear y administrar filtros de permisos de búsqueda (mediante cmdlets de New-ComplianceSecurityFilter y Set-ComplianceSecurityFilter)?
Para crear, ver y modificar filtros de permisos de búsqueda, debe ser miembro del grupo de roles Administración de la organización en el portal de cumplimiento.
Si un administrador de eDiscovery está asignado a más de un grupo de roles que abarca varias agencias, ¿cómo buscan contenido en una agencia u otra?
El administrador de eDiscovery puede agregar parámetros a su consulta de búsqueda que restrinjan la búsqueda a una agencia específica. Por ejemplo, si una organización ha especificado la propiedad CustomAttribute10 para diferenciar las agencias, puede anexar lo siguiente a su consulta de búsqueda para buscar buzones y cuentas de OneDrive en una agencia específica: CustomAttribute10:<value>
.
¿Qué ocurre si se cambia el valor del atributo que se usa como atributo de cumplimiento en un filtro de permisos de búsqueda?
Un filtro de permisos de búsqueda tarda hasta tres días en aplicar el límite de cumplimiento si se cambia el valor del atributo que se usa en el filtro. Por ejemplo, en el escenario de Contoso, supongamos que un usuario de la agencia Fourth Coffee se transfiere a la agencia Coho Winery. Como resultado, el valor del atributo Department en el objeto de usuario se cambia de FourthCoffee a CohoWinery. En esta situación, Fourth Coffee eDiscovery y los inversores obtendrán resultados de búsqueda para ese usuario durante un máximo de tres días después de que se cambie el atributo. De forma similar, los administradores eDiscovery de Coho Winery y los investigadores tardan hasta tres días en obtener resultados de búsqueda para el usuario.
¿Puede un administrador de eDiscovery ver contenido de dos límites de cumplimiento independientes?
Sí, esto se puede hacer al buscar buzones de Exchange agregando el administrador de exhibición de documentos electrónicos a grupos de roles que tienen visibilidad para ambas agencias. Sin embargo, al buscar sitios de SharePoint y cuentas de OneDrive, un administrador de exhibición de documentos electrónicos puede buscar contenido en límites de cumplimiento diferentes solo si las agencias están en la misma región o ubicación geográfica. Nota: Esta limitación para los sitios no se aplica en eDiscovery (Premium) porque la búsqueda de contenido en SharePoint y OneDrive no está enlazada por ubicación geográfica.
¿Funcionan los filtros de permisos de búsqueda para las retenciones de casos de exhibición de documentos electrónicos, las directivas de retención de Microsoft 365 o DLP?
De momento, no.
Si especifica una región para controlar dónde se exporta el contenido, pero no tengo una organización de SharePoint en esa región, ¿puedo seguir buscando en SharePoint?
Si la región especificada en el filtro de permisos de búsqueda no existe en su organización, se busca en la región predeterminada.
¿Cuál es el número máximo de filtros de permisos de búsqueda que se pueden crear en una organización?
No hay ningún límite en el número de filtros de permisos de búsqueda que se pueden crear en una organización. Sin embargo, una consulta de búsqueda puede tener un máximo de 100 condiciones. En este caso, una condición se define como algo que está conectado a la consulta por un operador booleano (como AND, OR y NEAR). El límite del número de condiciones incluye la propia consulta de búsqueda y todos los filtros de permisos de búsqueda que se aplican al usuario que ejecuta la búsqueda. Por lo tanto, cuantos más filtros de permisos de búsqueda tenga (especialmente si estos filtros se aplican al mismo usuario o grupo de usuarios), mayor será la posibilidad de superar el número máximo de condiciones para una búsqueda.
Para comprender cómo funciona este límite, debe comprender que se anexa un filtro de permisos de búsqueda a la consulta de búsqueda cuando se ejecuta una búsqueda. El operador booleano AND une un filtro de permisos de búsqueda a la consulta de búsqueda. La lógica de consulta de la consulta de búsqueda y un único filtro de permisos de búsqueda tendrían este aspecto:
<SearchQuery> AND <PermissionsFilter>
El operador booleano OR combina varios filtros de permisos de búsqueda y, a continuación, el operador AND conecta esas condiciones a la consulta de búsqueda.
La lógica de consulta para la consulta de búsqueda y varios filtros de permisos de búsqueda tendría este aspecto:
<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)
Es posible que la propia consulta de búsqueda conste de varias condiciones conectadas por operadores booleanos. Cada condición de la consulta de búsqueda también contaría con el límite de 100 condiciones.
Además, el número de filtros de permisos de búsqueda anexados a una consulta depende del usuario que ejecuta la búsqueda. Cuando un usuario específico ejecuta una búsqueda, los filtros de permisos de búsqueda que se aplican al usuario (que se define mediante el parámetro Users en el filtro) se anexan a la consulta. Su organización podría tener cientos de filtros de permisos de búsqueda, pero si se aplican más de 100 filtros a los mismos usuarios, es probable que se supere el límite de 100 condiciones cuando esos usuarios ejecuten búsquedas.
Hay una cosa más que debe tener en cuenta sobre el límite de la condición. El número de sitios de SharePoint específicos que se incluyen en los filtros de permisos de búsqueda o consulta de búsqueda también cuenta con respecto a este límite.
Para evitar que su organización alcance el límite de condiciones, mantenga el número de filtros de permisos de búsqueda en su organización a la menor cantidad posible para satisfacer sus requisitos empresariales.