Configurer des limites de conformité pour les enquêtes eDiscovery
Conseil
eDiscovery (préversion) est désormais disponible dans le nouveau portail Microsoft Purview. Pour en savoir plus sur l’utilisation de la nouvelle expérience eDiscovery, consultez En savoir plus sur eDiscovery (préversion).
Les conseils de cet article peuvent être appliqués lors de l’utilisation de Microsoft Purview eDiscovery (Standard) ou Microsoft Purview eDiscovery (Premium) pour gérer les investigations.
Les limites de conformité créent des limites logiques au sein d'une organisation qui contrôlent les emplacements de contenu utilisateur (tels que les boîtes aux lettres, les comptes OneDrive et les sites Microsoft Office SharePoint Online) que les gestionnaires de découverte électronique peuvent rechercher. Les limites de conformité contrôlent également qui peut accéder aux cas eDiscovery utilisés pour gérer les enquêtes juridiques, humaines ou autres au sein de votre organization.
La nécessité de limites de conformité est souvent nécessaire pour les sociétés multinationales qui doivent respecter les conseils géographiques et les réglementations, et pour les gouvernements, qui sont souvent divisés en différentes agences. Dans Microsoft 365, les limites de conformité vous aident à répondre à ces exigences lors de l’exécution de recherches de contenu et de la gestion des enquêtes avec des cas eDiscovery.
Nous allons utiliser l’exemple dans l’illustration suivante pour expliquer le fonctionnement des limites de conformité.
Dans cet exemple, Contoso LTD est une organization qui se compose de deux filiales, Fourth Coffee et Coho Winery. L’entreprise exige que les responsables et les enquêteurs eDiscovery puissent uniquement effectuer des recherches dans les boîtes aux lettres Exchange, les comptes OneDrive et les sites SharePoint de leur agence. En outre, les responsables et les enquêteurs eDiscovery peuvent uniquement voir les cas eDiscovery dans leur agence, et ils peuvent uniquement accéder aux cas dont ils sont membres. En outre, dans ce scénario, les enquêteurs ne peuvent pas mettre des emplacements de contenu en attente ou exporter du contenu à partir d’un cas. Voici comment les limites de conformité répondent à ces exigences.
La fonctionnalité de filtrage des autorisations de recherche pour eDiscovery contrôle les emplacements de contenu que les responsables eDiscovery et les enquêteurs peuvent rechercher. Ce contrôle signifie que les responsables eDiscovery et les enquêteurs de l’agence Fourth Coffee peuvent uniquement rechercher des emplacements de contenu dans la filiale Fourth Coffee. La même restriction s’applique à la filiale de Coho Winery.
Les groupes de rôles fournissent les fonctions suivantes pour les limites de conformité :
- Contrôler qui peut voir les cas eDiscovery dans le portail de conformité Microsoft Purview. Ce contrôle signifie que les responsables eDiscovery et les enquêteurs peuvent uniquement voir les cas eDiscovery dans leur agence.
- Contrôler qui peut affecter des membres à un cas eDiscovery. Ce contrôle signifie que les gestionnaires et les enquêteurs eDiscovery peuvent uniquement affecter des membres à des cas dont ils sont eux-mêmes membres.
- Contrôlez les tâches liées à eDiscovery que les membres peuvent effectuer en ajoutant ou en supprimant des rôles qui attribuent des autorisations spécifiques.
Lorsqu’un filtre d’autorisations de recherche est appliqué à un groupe de rôles, les membres du groupe de rôles peuvent effectuer les actions de recherche suivantes tant que les autorisations permettant d’effectuer une action sont affectées au groupe de rôles :
- Recherche de contenu
- Aperçu des résultats de la recherche
- Exporter les résultats de la recherche
- Vider les éléments retournés par une recherche
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Avant de configurer les limites de conformité
- Une licence Exchange Online doit être attribuée aux utilisateurs. Pour vérifier les affectations, utilisez l’applet de commande Get-User dans Exchange Online PowerShell.
Configuration des limites de conformité
Voici les étapes de configuration des limites de conformité :
- Étape 1 : Identifier un attribut utilisateur pour définir vos agences
- Étape 2 : Créer un groupe de rôles pour chaque agence
- Étape 3 : Créer un filtre d’autorisations de recherche pour appliquer la limite de conformité
- Étape 4 : Créer un cas eDiscovery pour une enquête intra-agence
Étape 1 : Identifier un attribut utilisateur pour définir vos agences
La première étape consiste à choisir un attribut à utiliser qui définira vos agences. Cet attribut est utilisé pour créer le filtre d’autorisations de recherche qui limite un gestionnaire eDiscovery à rechercher uniquement les emplacements de contenu des utilisateurs auxquels une valeur spécifique est affectée pour cet attribut. Par exemple, supposons que Contoso décide d’utiliser l’attribut Department . La valeur de cet attribut pour les utilisateurs de la filiale Fourth Coffee serait FourthCoffee
et la valeur pour les utilisateurs de la filiale Coho Winery serait CohoWinery
. À l’étape 3, vous utilisez cette attribute:value
paire (par exemple, Department :FourthCoffee) pour limiter les emplacements de contenu utilisateur que les gestionnaires eDiscovery peuvent rechercher.
Voici quelques exemples d’attributs utilisateur que vous pouvez utiliser pour les limites de conformité :
- Société
- CustomAttribute1 - CustomAttribute15
- Service
- Bureau
- CountryOrRegion (code pays à deux lettres)
Étape 2 : Créer un groupe de rôles pour chaque agence
L’étape suivante consiste à créer les groupes de rôles dans le portail de conformité qui s’alignent sur vos agences.
Pour créer les groupes de rôles, accédez à la page Autorisations dans le portail de conformité et créez un groupe de rôles pour chaque équipe de chaque agence qui utilisera les limites de conformité et les cas eDiscovery pour gérer les enquêtes.
Nous vous recommandons de ne pas attacher de rôles aux groupes de rôles créés pour la limite de conformité. Ce groupe de rôles doit uniquement être utilisé pour affecter des utilisateurs au groupe de rôles. Des groupes de rôles intégrés (Gestionnaire eDiscovery) ou personnalisés distincts doivent être utilisés pour attribuer des rôles aux membres. Pour plus d’informations sur les rôles liés à eDiscovery, consultez Attribuer des autorisations eDiscovery.
Remarque
Pour ce faire et mettre à jour des groupes de rôles avec des rôles vides, vous devez utiliser des applets de commande PowerShell. Pour plus d’informations, consultez New-RoleGroup et Add-RoleGroupMember.
À l’aide du scénario de limites de conformité Contoso, quatre groupes de rôles doivent être créés et les membres appropriés doivent être ajoutés à chacun d’eux.
- Gestionnaires eDiscovery de Fourth Coffee
- Enquêteurs Fourth Coffee
- Gestionnaires eDiscovery de Coho Winery
- Enquêteurs Coho Winery
Importante
Si un rôle est ajouté ou supprimé d’un groupe de rôles que vous avez ajouté en tant que membre d’un cas, le groupe de rôles est automatiquement supprimé en tant que membre du cas (ou tout cas dont le groupe de rôles est membre). La raison en est de protéger votre organization contre l’octroi par inadvertance d’autorisations supplémentaires aux membres d’un cas. Si un groupe de rôles est supprimé, il est supprimé de tous les cas dont il était membre. Nous vous recommandons de ne pas attribuer de rôles aux groupes de rôles créés pour les limites de conformité. Utilisez des groupes de rôles intégrés/personnalisés distincts pour attribuer des rôles aux membres.
Étape 3 : Créer un filtre d’autorisations de recherche pour appliquer la limite de conformité
Une fois que vous avez créé des groupes de rôles pour chaque agence, l’étape suivante consiste à créer les filtres d’autorisations de recherche qui associent chaque groupe de rôles à son agence spécifique et définissent la limite de conformité elle-même. Vous devez créer un filtre d’autorisations de recherche pour chaque agence. Pour plus d’informations sur la création de filtres d’autorisations de sécurité, consultez Configurer le filtrage des autorisations pour la recherche de contenu.
Voici la syntaxe utilisée pour créer un filtre d’autorisations de recherche utilisé pour les limites de conformité pour le scénario de cet article.
New-ComplianceSecurityFilter -FilterName <name of filter> -Users <role groups> -Filters "Mailbox_<MailboxPropertyName> -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"
Voici une description de chaque paramètre dans la commande :
FilterName
: spécifie le nom du filtre. Utilisez un nom qui décrit ou identifie l’agence dans laquelle le filtre est utilisé.Users
: spécifie les utilisateurs ou les groupes auxquels ce filtre est appliqué aux actions de recherche qu’ils effectuent. Pour les limites de conformité, ce paramètre spécifie les groupes de rôles (que vous avez créés à l’étape 2) dans l’agence pour laquelle vous créez le filtre. Ce paramètre étant un paramètre à valeurs multiples, vous pouvez inclure un ou plusieurs groupes de rôles, séparés par des virgules.Filters
: spécifie les critères de recherche du filtre. Pour les limites de conformité, vous définissez les filtres suivants. Chacun d’eux s’applique à différents emplacements de contenu.Mailbox
: spécifie les boîtes aux lettres ou les comptes OneDrive que les groupes de rôles définis dans leUsers
paramètre peuvent rechercher. Ce filtre permet aux membres du groupe de rôles de rechercher uniquement les boîtes aux lettres ou les comptes OneDrive d’une agence spécifique. par exemple,"Mailbox_Department -eq 'FourthCoffee'"
.SiteContent
: ce filtre comprend deux filtres distincts. La premièreSiteContent_Path
spécifie les sites SharePoint de l’agence que les groupes de rôles définis dans leUsers
paramètre peuvent rechercher. Par exemple :SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'
. Le deuxièmeSiteContent_Path
filtre (connecté au premierSiteContent_Path
filtre par l’opérateuror
) spécifie le domaine OneDrive de l’agence (également appelé domaine MySite ). Par exemple :SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'
. Vous pouvez également utiliser le filtre à laSite_Path
place duSiteContent
filtre. LesSite
filtres etSiteContent
sont interchangeables et n’affectent pas les filtres d’autorisations de recherche décrits dans cet article.Importante
Pourquoi le
SiteContent
filtre pour OneDrive est-il inclus dans le filtre d’autorisations de recherche précédent ? Bien que leMailbox
filtre s’applique aux boîtes aux lettres et aux comptes OneDrive, l’inclusion du filtre SharePoint exclut les comptes OneDrive si vous n’avez pas également inclus le filtre OneDriveSite
. Si le filtre d’autorisations de recherche n’incluait pas de filtre SharePoint, vous n’auriez pas besoin d’inclure un filtre OneDrive distinct, car le filtre boîte aux lettres inclurait des comptes OneDrive dans l’étendue de la limite de conformité. En d’autres termes, un filtre d’autorisations de recherche avec uniquement leMailbox
filtre inclut les boîtes aux lettres et les comptes OneDrive.
Voici quelques exemples de deux filtres d’autorisations de recherche qui seraient créés pour prendre en charge le scénario de limites de conformité Contoso. Ces deux exemples incluent une liste de filtres séparés par des virgules, dans laquelle les filtres de boîte aux lettres et de site sont inclus dans le même filtre des autorisations de recherche et sont séparés par une virgule.
Quatrième café
New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"
Coho Winery
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"
Remarque
La syntaxe des paramètres des Filters
exemples précédents inclut une liste de filtres. Une liste de filtres est un filtre qui inclut un filtre de boîte aux lettres et un filtre de chemin de site séparés par une virgule. Dans l’exemple précédent, notez qu’une virgule sépare Mailbox
et SiteContent
filtre : -Filters "Mailbox_<MailboxPropertyName> -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"
. Lorsque ce filtre est traité pendant l’exécution d’une recherche eDiscovery, deux filtres d’autorisations de recherche sont créés à partir de la liste des filtres : un filtre de boîte aux lettres et un filtre SharePoint/OneDrive. Une alternative à l’utilisation d’une liste de filtres consiste à créer deux filtres d’autorisations de recherche distincts pour chaque agence : un filtre d’autorisations de recherche pour l’attribut de boîte aux lettres et un filtre pour les attributs de site SharePoint et OneDrive. Dans les deux cas, les résultats seront les mêmes. L’utilisation d’une liste de filtres ou la création de filtres d’autorisations de recherche distincts sont une question de préférence.
Comment fonctionnent les filtres d’autorisations de recherche dans ce scénario ?
Voici comment les filtres d’autorisation de recherche sont appliqués pour chaque agence dans ce scénario.
Le
Mailbox
filtre est d’abord appliqué pour définir les emplacements de contenu que les gestionnaires eDiscovery peuvent rechercher. Dans ce cas, les responsables coho Winery eDiscovery peuvent uniquement rechercher dans les boîtes aux lettres et les comptes OneDrive des utilisateurs dont la propriété de boîte aux lettres Department a une valeur de FourthCoffee ; Les responsables de Coho Winery eDiscovery peuvent uniquement rechercher dans les boîtes aux lettres et les comptes OneDrive des utilisateurs dont la propriété de boîte aux lettres Department a une valeur de CohoWinery. LeMailbox
filtre est un filtre d’emplacement de contenu, car il spécifie les emplacements de contenu que les gestionnaires eDiscovery peuvent rechercher. Dans les deux filtres, les gestionnaires eDiscovery peuvent uniquement rechercher des emplacements de contenu avec une valeur de propriété de boîte aux lettres spécifique.Une fois que les emplacements de contenu pouvant faire l’objet d’une recherche sont définis, la partie suivante du filtre définit le contenu que les gestionnaires eDiscovery peuvent rechercher. Le premier
SiteContent
filtre permet aux gestionnaires Fourth Coffee eDiscovery de rechercher uniquement les documents qui ont une propriété de chemin d’accès de site qui contient (ou commence par)https://contoso.sharepoint.com/sites/FourthCoffee
; Les responsables coho Winery eDiscovery peuvent uniquement rechercher des documents qui ont une propriété de chemin d’accès de site qui contient (ou commence par)https://contoso.sharepoint.com/sites/CohoWinery
. Par conséquent, les deuxSiteContent
filtres sont des filtres de contenu , car ils définissent le contenu qui peut être recherché. Dans les deux filtres, les gestionnaires eDiscovery peuvent uniquement rechercher des documents avec une valeur de propriété de document spécifique. Tous les filtres liés à SharePoint sont des filtres de contenu, car les propriétés de site pouvant faire l’objet d’une recherche sont estampillées sur tous les documents. Pour plus d’informations, consultez Configurer le filtrage des autorisations pour eDiscovery.Remarque
Bien que le scénario de cet article ne les utilise pas, vous pouvez également utiliser des filtres de contenu de boîte aux lettres pour spécifier le contenu que les gestionnaires eDiscovery peuvent rechercher. La syntaxe des filtres de contenu de boîte aux lettres est
"MailboxContent_<property> -<comparison operator> '<value>'"
. Vous pouvez créer des filtres de contenu basés sur des plages de dates, des destinataires et des domaines ou toute propriété de messagerie pouvant faire l’objet d’une recherche. Par exemple, ce filtre permet aux gestionnaires eDiscovery de rechercher uniquement les éléments de courrier envoyés ou reçus par les utilisateurs dans le domaine contoso.com :"MailboxContent_Participants -like 'contoso.com'"
. Pour plus d’informations sur les filtres de contenu de boîte aux lettres, consultez Configurer le filtrage des autorisations de recherche.Le filtre d’autorisations de recherche est joint à la requête de recherche par l’opérateur AND Boolean. Cela signifie que lorsqu’un responsable eDiscovery de l’une des agences exécute une recherche eDiscovery, les éléments retournés par la recherche doivent correspondre à la requête de recherche et aux conditions définies dans le filtre d’autorisations de recherche.
Étape 4 : Créer un cas eDiscovery pour les enquêtes intra-agences
La dernière étape consiste à créer un cas eDiscovery (Standard) ou eDiscovery (Premium) dans le portail de conformité, puis à ajouter le groupe de rôles que vous avez créé à l’étape 2 en tant que membre du cas. Il en résulte deux caractéristiques importantes de l’utilisation des limites de conformité :
Seuls les membres du groupe de rôles ajoutés au cas pourront voir le cas et y accéder dans le portail de conformité. Par exemple, si le groupe de rôles Fourth Coffee Investigateur est le seul membre d’un cas, les membres du groupe de rôles Gestionnaires eDiscovery Fourth Coffee (ou les membres d’un autre groupe de rôles) ne pourront pas voir le cas ni y accéder.
Lorsqu’un membre du groupe de rôles affecté à un cas exécute une recherche associée au cas, il peut uniquement rechercher les emplacements de contenu au sein de son agence (défini par le filtre d’autorisations de recherche que vous avez créé à l’étape 3).
Pour créer un cas et affecter des membres :
Remarque
Pendant une durée limitée, cette expérience eDiscovery classique est également disponible dans le nouveau portail Microsoft Purview. Activez l’expérience eDiscovery classique du portail de conformité dans les paramètres de l’expérience eDiscovery (préversion) pour afficher l’expérience classique dans le nouveau portail Microsoft Purview.
Accédez à la page eDiscovery (Standard) ou eDiscovery (Premium) dans le portail de conformité et créez un cas.
Dans la liste des cas, sélectionnez le nom du cas que vous avez créé.
Ajoutez des groupes de rôles en tant que membres au cas. Pour obtenir des instructions, consultez l’un des articles suivants :
Remarque
Lorsque vous ajoutez un groupe de rôles à un cas, vous pouvez uniquement ajouter les groupes de rôles dont vous êtes membre.
Recherche et exportation de contenu dans des environnements multigéographiques
Les filtres d’autorisations de recherche vous permettent également de contrôler l’emplacement où le contenu est acheminé pour l’exportation et quel centre de données peut faire l’objet d’une recherche lors de la recherche d’emplacements de contenu dans un environnement SharePoint Multi-Géo.
Exporter les résultats de la recherche : Vous pouvez exporter les résultats de la recherche à partir de boîtes aux lettres Exchange, de sites SharePoint et de comptes OneDrive à partir d’un centre de données spécifique. Cela signifie que vous pouvez spécifier l’emplacement du centre de données à partir duquel les résultats de la recherche sont exportés.
Utilisez le paramètre Region pour les applets de commande New-ComplianceSecurityFilter ou Set-ComplianceSecurityFilter pour créer ou modifier le centre de données par lequel l’exportation est acheminée.
Valeur du paramètre Emplacement du centre de données NAM Amérique du Nord (les centres de données se trouvent aux États-Unis) EUR Europe APC Asie-Pacifique CAN Canada Acheminer les recherches de contenu : Vous pouvez acheminer les recherches de contenu des sites SharePoint et des comptes OneDrive vers un centre de données satellite. Cela signifie que vous pouvez spécifier l’emplacement du centre de données où les recherches sont exécutées.
Utilisez l’une des valeurs suivantes pour le paramètre Region afin de contrôler l’emplacement du centre de données dans lequel les recherches s’exécuteront lors de la recherche de sites SharePoint et de comptes OneDrive.
Valeur du paramètre Emplacements de routage du centre de données pour SharePoint NAM US EUR Europe APC Asie-Pacifique CAN US AUS Asie-Pacifique KOR Centre de données par défaut du organization GBR Europe JPN Asie-Pacifique IND Asie-Pacifique LAM US NOR Europe BRA Centres de données nord-américains Si vous ne spécifiez pas le paramètre Region pour un filtre d’autorisations de recherche, la région SharePoint principale de l’organization fait l’objet d’une recherche. Les résultats de la recherche sont exportés vers le centre de données le plus proche.
Pour simplifier le concept, le paramètre Région contrôle le centre de données utilisé pour rechercher du contenu dans SharePoint et OneDrive. Cela ne s’applique pas à la recherche de contenu dans Exchange, car les recherches de contenu Exchange ne sont pas liées par l’emplacement géographique des centres de données. En outre, la même valeur de paramètre Region peut également dicter le centre de données via lequel les exportations sont acheminées. Cela est souvent nécessaire pour contrôler le déplacement des données entre les bords géographiques.
Remarque
Si vous utilisez eDiscovery (Premium), le paramètre Region ne contrôle pas la région à partir de laquelle les données sont exportées. Les données sont exportées à partir de l’emplacement central du organization. En outre, la recherche de contenu dans SharePoint et OneDrive n’est pas liée par l’emplacement géographique des centres de données. Tous les centres de données font l’objet d’une recherche. Pour plus d’informations sur eDiscovery (Premium), consultez Vue d’ensemble de la solution eDiscovery (Premium) dans Microsoft 365.
Voici des exemples d’utilisation du paramètre Region lors de la création de filtres d’autorisation de recherche pour les limites de conformité. Cela suppose que la filiale Fourth Coffee est située à Amérique du Nord et que Coho Winery est en Europe.
New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region NAM
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region EUR
Gardez les éléments suivants à l’esprit lors de la recherche et de l’exportation de contenu dans des environnements multigéographiques.
Le paramètre Région ne contrôle pas les recherches dans les boîtes aux lettres Exchange. Tous les centres de données feront l’objet d’une recherche dans les boîtes aux lettres. Pour limiter l’étendue dans laquelle les boîtes aux lettres Exchange font l’objet d’une recherche, utilisez le paramètre Filters lors de la création ou de la modification d’un filtre d’autorisations de recherche.
S’il est nécessaire qu’un gestionnaire eDiscovery effectue des recherches dans plusieurs régions SharePoint, vous devez créer un autre compte d’utilisateur pour ce gestionnaire eDiscovery à utiliser dans le filtre des autorisations de recherche afin de spécifier la région où se trouvent les sites SharePoint ou les comptes OneDrive. Pour plus d’informations sur cette configuration, consultez la section « Recherche de contenu dans un environnement SharePoint Multi-Géo » dans Recherche de contenu.
Lors de la recherche de contenu dans SharePoint et OneDrive, le paramètre Région dirige les recherches vers l’emplacement principal ou satellite où le gestionnaire eDiscovery effectuera des enquêtes eDiscovery. Si un gestionnaire eDiscovery recherche des sites SharePoint et OneDrive en dehors de la région spécifiée dans le filtre d’autorisations de recherche, aucun résultat de recherche n’est retourné.
Lors de l’exportation des résultats de recherche à partir d’eDiscovery (Standard), le contenu de tous les emplacements de contenu (y compris Exchange, Skype Entreprise, SharePoint, OneDrive et d’autres services que vous pouvez rechercher à l’aide de l’outil de recherche de contenu) est chargé vers l’emplacement stockage Azure dans le centre de données spécifié par le paramètre Région. Cela permet aux organisations de rester en conformité en n’autorisant pas l’exportation de contenu au-delà des frontières contrôlées. Si aucune région n’est spécifiée dans le filtre d’autorisations de recherche, le contenu est chargé dans le centre de données principal de l’organization.
Lors de l’exportation de contenu à partir d’eDiscovery (Premium), vous ne pouvez pas contrôler l’emplacement de chargement du contenu à l’aide du paramètre Region . Le contenu est chargé vers un emplacement de stockage Azure dans un centre de données situé à l’emplacement central de votre organization. Pour obtenir la liste des emplacements géographiques en fonction de votre emplacement central, consultez Configuration de Microsoft 365 Multi-Geo eDiscovery.
Vous pouvez modifier un filtre d’autorisations de recherche existant pour ajouter ou modifier la région en exécutant la commande suivante :
Set-ComplianceSecurityFilter -FilterName <Filter name> -Region <Region>
Utilisation des limites de conformité pour les sites hub SharePoint
Les sites hub SharePoint s’alignent souvent sur les mêmes limites géographiques ou d’agence que les limites de conformité eDiscovery. Cela signifie que vous pouvez utiliser la propriété ID de site du site hub pour créer une limite de conformité. Pour ce faire, utilisez l’applet de commande Get-SPOHubSite dans SharePoint Online PowerShell pour obtenir le SiteId du site hub, puis utilisez cette valeur pour la propriété ID de service afin de créer un filtre d’autorisations de recherche.
Utilisez la syntaxe suivante pour créer un filtre d’autorisations de recherche pour un site hub SharePoint :
New-ComplianceSecurityFilter -FilterName <Filter Name> -Users <User or Group> -Filters "Site_Departmentid -eq '{SiteId of hub site}'"
Voici un exemple de création d’un filtre d’autorisations de recherche pour un site hub pour l’agence Coho Winery :
New-ComplianceSecurityFilter -FilterName "Coho Winery Hub Site Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Site_Departmentid -eq '44252d09-62c4-4913-9eb0-a2a8b8d7f863'"
Limites de conformité
Gardez à l’esprit les limitations suivantes lors de la gestion des cas et des enquêtes eDiscovery qui utilisent des limites de conformité.
Lors de la création et de l’exécution d’une recherche, vous pouvez sélectionner des emplacements de contenu extérieurs à votre organisation. Toutefois, en raison du filtre d’autorisation de recherche, le contenu de ces emplacements n’est pas inclus dans les résultats de recherche.
Les limites de conformité ne s’appliquent pas aux conservations dans les cas d’eDiscovery. Cela signifie qu’un gestionnaire eDiscovery dans une agence peut placer un utilisateur dans une autre agence en attente. Toutefois, la limite de conformité est appliquée si le gestionnaire eDiscovery recherche les emplacements du contenu de l'utilisateur mis en attente. Cela signifie que le gestionnaire eDiscovery ne pourra pas effectuer de recherche dans les emplacements de contenu des utilisateurs, même s’il a pu mettre l’utilisateur en attente.
Si vous êtes affecté à un filtre d’autorisations de recherche (une boîte aux lettres ou un filtre de site) et que vous essayez d’exporter des éléments non indexés pour une recherche qui inclut tous les sites SharePoint de votre organization, le message d’erreur suivant s’affiche :
Unable to execute the task. Reason: The scope options UnindexedItemsOnly or BothIndexedandUnindexedItems are not allowed when the executing user has a compliance security filter applied
. Si un filtre d’autorisations de recherche vous est attribué et que vous souhaitez exporter des éléments non indexés à partir de SharePoint, vous devez réexécuter la recherche et inclure des sites SharePoint spécifiques à rechercher. Sinon, vous pourrez uniquement exporter des éléments indexés à partir d’une recherche qui inclut tous les sites SharePoint. Pour plus d’informations sur les options d’exportation des résultats de recherche, consultez Exporter les résultats de la recherche de contenu.Les filtres d’autorisation de recherche ne sont pas appliqués aux dossiers publics Exchange.
Les filtres de recherche pris en charge incluent
-and
,-like
-or
,-not
,-eq
, et-ne
. Nous vous déconseillons d’utiliser d’autres filtres d’exclusion (comme l’utilisation-notlike)
de ,inotlike
, , etc. dans un filtre d’autorisations de recherche) pour une limite de conformité basée sur le contenu. L’utilisation de ces filtres d’exclusion peut avoir des résultats inattendus si le contenu avec des attributs récemment mis à jour n’a pas été indexé.Le respect des limites de conformité pour les sites OneDrive dans les recherches peut être affecté dans les cas suivants :
- Les sites (ou les boîtes aux lettres associées) sont déplacés ou réinscrits
- La propriété OneDrive est réaffectée, ou plusieurs propriétaires sont ajoutés
- Le site OneDrive est renommé/réédcrit
Le déplacement d’un site OneDrive peut modifier la propriété du contenu et peut inclure la création d’une boîte aux lettres d’arbitrage. Lorsque ces ressources sont déplacées, il est possible que les résultats de la recherche de contenu soient disponibles au-delà des limites de conformité. Lorsqu’un site OneDrive est réaffecté, renommé ou affecté à plusieurs propriétaires, il est possible que le contenu de ces sites soit disponible au-delà des limites de conformité.
Les limites de conformité des boîtes aux lettres peuvent être affectées dans les cas suivants :
- La boîte aux lettres n’est pas associée à un utilisateur sous licence (y compris les utilisateurs désactivés ou supprimés)
- Une boîte aux lettres n’est pas gérée ou synchronisée à partir de Microsoft Entra ID
En outre, il existe plusieurs types de boîtes aux lettres qui peuvent produire du contenu pendant la recherche, quelles que soient leurs limites de conformité. Ces types de boîtes aux lettres sont les suivants :
- ÉquipementMailbox
- GuestMailUser
- LinkedMailbox
- RoomList
- RoomMailbox
- PlanningMailbox
- SharedMailbox
- SystemMailbox
- TeamMailbox
Pour vous assurer que la recherche respecte vos limites de conformité comme prévu, vous devrez peut-être mettre à jour les autorisations et les rôles pour les ressources déplacées.
Plus d’informations
- Si une boîte aux lettres est supprimée ou supprimée de manière réversible, l’utilisateur n’est plus considéré dans la limite de conformité. Si une conservation a été placée sur la boîte aux lettres lors de sa suppression, le contenu conservé dans la boîte aux lettres est toujours soumis à une limite de conformité ou à un filtre d’autorisations de recherche.
- Si les limites de conformité et les filtres d’autorisations de recherche sont implémentés pour un utilisateur, nous vous recommandons de ne pas supprimer la boîte aux lettres d’un utilisateur et non son compte OneDrive. En d’autres termes, si vous supprimez la boîte aux lettres d’un utilisateur, vous devez également supprimer le compte OneDrive de l’utilisateur, car mailbox_RecipientFilter est utilisé pour appliquer le filtre d’autorisation de recherche pour OneDrive.
- Les limites de conformité et les filtres d’autorisations de recherche dépendent des attributs qui sont horodatés sur le contenu dans Exchange, OneDrive et SharePoint, et de l’indexation ultérieure de ce contenu estampillé.
Foire aux questions
Qui peut créer et gérer des filtres d’autorisations de recherche (à l’aide des applets de commande New-ComplianceSecurityFilter et Set-ComplianceSecurityFilter) ?
Pour créer, afficher et modifier des filtres d’autorisations de recherche, vous devez être membre du groupe de rôles Gestion de l’organisation dans le portail de conformité.
Si un responsable eDiscovery est affecté à plusieurs groupes de rôles qui s’étendent à plusieurs agences, comment recherchent-ils du contenu dans une agence ou l’autre ?
Le gestionnaire eDiscovery peut ajouter des paramètres à sa requête de recherche qui limitent la recherche à une agence spécifique. Par exemple, si un organization a spécifié la propriété CustomAttribute10 pour différencier les agences, il peut ajouter ce qui suit à sa requête de recherche pour rechercher des boîtes aux lettres et des comptes OneDrive dans une agence spécifique : CustomAttribute10:<value>
.
Que se passe-t-il si la valeur de l’attribut utilisé comme attribut de conformité dans un filtre d’autorisations de recherche est modifiée ?
Il faut jusqu’à trois jours pour qu’un filtre d’autorisations de recherche applique la limite de conformité si la valeur de l’attribut utilisé dans le filtre est modifiée. Par exemple, dans le scénario Contoso, supposons qu’un utilisateur de l’agence Fourth Coffee soit transféré à l’agence Coho Winery. Par conséquent, la valeur de l’attribut Department sur l’objet utilisateur passe de FourthCoffee à CohoWinery. Dans ce cas, Fourth Coffee eDiscovery et les investisseurs obtiendront les résultats de recherche de cet utilisateur pendant trois jours maximum après la modification de l’attribut. De même, il faut jusqu’à trois jours avant que les responsables et les enquêteurs de Coho Winery eDiscovery obtiennent les résultats de recherche pour l’utilisateur.
Un gestionnaire eDiscovery peut-il voir le contenu de deux limites de conformité distinctes ?
Oui, cela peut être fait lors de la recherche de boîtes aux lettres Exchange en ajoutant le gestionnaire eDiscovery aux groupes de rôles qui ont une visibilité pour les deux agences. Toutefois, lors de la recherche de sites SharePoint et de comptes OneDrive, un gestionnaire eDiscovery peut rechercher du contenu dans des limites de conformité différentes uniquement si les agences se trouvent dans la même région ou le même emplacement géographique. Note: Cette limitation pour les sites ne s’applique pas dans eDiscovery (Premium), car la recherche de contenu dans SharePoint et OneDrive n’est pas liée par l’emplacement géographique.
Les filtres d’autorisations de recherche fonctionnent-ils pour les conservations de cas eDiscovery, les stratégies de rétention Microsoft 365 ou DLP ?
Non, ce n’est actuellement pas possible.
Si je spécifie une région pour contrôler l’emplacement d’exportation du contenu, mais que je n’ai pas de organization SharePoint dans cette région, puis-je toujours effectuer une recherche dans SharePoint ?
Si la région spécifiée dans le filtre d’autorisations de recherche n’existe pas dans votre organization, la région par défaut est recherchée.
Quel est le nombre maximal de filtres d’autorisations de recherche qui peuvent être créés dans un organization ?
Il n’existe aucune limite au nombre de filtres d’autorisations de recherche qui peuvent être créés dans une organisation. Toutefois, une requête de recherche peut avoir un maximum de 100 conditions. Dans ce cas, une condition est définie comme un élément connecté à la requête par un opérateur booléen (par exemple, AND, OR et NEAR). La limite du nombre de conditions inclut la requête de recherche proprement dite ainsi que tous les filtres d’autorisations de recherche appliqués à l’utilisateur qui exécute la recherche. Par conséquent, plus vous disposez de filtres d’autorisations de recherche (en particulier si ces filtres sont appliqués au même utilisateur ou groupe d’utilisateurs), plus le risque de dépasser le nombre maximal de conditions pour une recherche est élevé.
Pour comprendre le fonctionnement de cette limite, vous devez comprendre qu’un filtre d’autorisations de recherche est ajouté à la requête de recherche lors de l’exécution d’une recherche. Un filtre d’autorisations de recherche est joint à la requête de recherche par l’opérateur booléen AND . La logique de requête pour la requête de recherche et un filtre d’autorisations de recherche unique se présenteraient comme suit :
<SearchQuery> AND <PermissionsFilter>
Plusieurs filtres d’autorisations de recherche sont combinés par l’opérateur booléen OR , puis ces conditions sont connectées à la requête de recherche par l’opérateur AND .
La logique de requête pour la requête de recherche et les filtres d’autorisations de recherche multiples se présente comme suit :
<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)
Il est possible que la requête de recherche elle-même soit constituée de plusieurs conditions connectées par des opérateurs booléens. Chaque condition de la requête de recherche est également comptabilisée dans la limite de 100 conditions.
En outre, le nombre de filtres d’autorisations de recherche ajoutés à une requête dépend de l’utilisateur qui exécute la recherche. Lorsqu’un utilisateur spécifique exécute une recherche, les filtres d’autorisations de recherche appliqués à l’utilisateur (qui est défini par le paramètre Users dans le filtre) sont ajoutés à la requête. Votre organization peut avoir des centaines de filtres d’autorisations de recherche, mais si plus de 100 filtres sont appliqués aux mêmes utilisateurs, il est probable que la limite de 100 conditions soit dépassée lorsque ces utilisateurs exécutent des recherches.
Il y a une autre chose à garder à l’esprit sur la limite de condition. Le nombre de sites SharePoint spécifiques inclus dans les filtres d’autorisations de recherche ou de requête de recherche est également comptabilisé par rapport à cette limite.
Pour empêcher votre organization d’atteindre la limite des conditions, conservez le nombre de filtres d’autorisations de recherche dans votre organization à un nombre restreint de filtres pour répondre aux besoins de votre entreprise.