הגדרת גבולות תאימות עבור חקירות גילוי אלקטרוני

  • מאמר
  • 18 דקות לקריאה

ניתן להחיל את ההנחיות במאמר זה בעת שימוש ב- גילוי אלקטרוני ב- Microsoft Purview (רגיל) או ב- גילוי אלקטרוני ב- Microsoft Purview (Premium) לניהול חקירות.

גבולות תאימות יוצרים גבולות לוגיים בתוך ארגון הלשליטה במיקומים של תוכן המשתמש (כגון תיבות דואר, חשבונות OneDrive ואתרי SharePoint) שמנהלי גילוי אלקטרוני יכולים לחפש. כמו כן, גבולות התאימות מאפשרים לקבוע מי יוכל לגשת למקרי גילוי אלקטרוני המשמשים לניהול החקירות המשפטיות, משאבי ה אנוש או חקירות אחרות בארגון שלך. הצורך בגבולות תאימות נדרש לעתים קרובות עבור תאגידים רב-לאומיים שיש לכבד לוחות ותקנות גיאוגרפיים ולרשויות ממשלתיות, אשר לעתים קרובות מחולקות לסוכנויות שונות. ב- Microsoft 365, גבולות התאימות עוזרים לך לעמוד בדרישות אלה בעת ביצוע חיפושי תוכן וניהול חקירות עם אירועי גילוי אלקטרוני.

אנו משתמשים בדוגמה באיור הבא כדי להסביר כיצד גבולות התאימות פועלים.

גבולות התאימות מורכבים ממסנןי הרשאות חיפוש שקוננים בגישה לסוכנויות ולקבוצות תפקידי מנהל מערכת שלשליטה בגישה למקרי גילוי אלקטרוני.

בדוגמה זו, Contoso LTD היא ארגון המורכב משתי חברות בת, יקב Fourth Coffee ו- Coho. העסק דורש שמנהלי גילוי אלקטרוני לחוקרים יוכלו לחפש רק בתיבות הדואר של Exchange, בחשבונות OneDrive ובהאתרים של SharePoint בסוכנות שלהם. בנוסף, מנהלי גילוי אלקטרוני לחוקרים יכולים לראות רק מקרי גילוי אלקטרוני בסוכנות שלהם, והם יכולים לגשת רק למקרים שבהם הם חברים. בנוסף, בתרחיש זה, חוקרים אינם יכולים להציב מיקומי תוכן בהמתנה או לייצא תוכן מ מקרה. כך גבולות התאימות עומדים בדרישות אלה.

  • הפונקציונליות לסינון הרשאות חיפוש עבור גילוי אלקטרוני שולטת על מיקומי התוכן שמנהלי הגילוי האלקטרוני והחוקרים יכולים לחפש. משמעות הדבר היא שמנהלי גילוי אלקטרוני לחוקרים בסוכנות הקפה הרביעית יכולים רק לחפש מיקומי תוכן בצוות הבת הרביעי של הקפה. אותה הגבלה חלה על חברת הבת של יקב הקוהו.

  • קבוצות תפקידים מספקות את הפונקציות הבאות עבור גבולות תאימות:

    • קבע מי יכול לראות את מקרי הגילוי האלקטרוני פורטל התאימות של Microsoft Purview. משמעות הדבר היא שמנהלי גילוי אלקטרוני לחוקרים יכולים לראות רק את מקרי הגילוי האלקטרוני בסוכנות שלהם.
    • קבע מי יכול להקצות חברים לאירוע גילוי אלקטרוני. משמעות הדבר היא שמנהלי גילוי אלקטרוני לחוקרים יכולים להקצות רק חברים למקרים שהם עצמם חברים בהם.
    • שלוט במשימות הקשורות לגילוי אלקטרוני לחברים שניתן לבצע על-ידי הוספה או הסרה של תפקידים המקצה הרשאות ספציפיות.

  • כאשר מסנן הרשאות חיפוש מוחל על קבוצת תפקידים, החברים בקבוצת התפקידים יכולים לבצע את הפעולות הבאות הקשורות לחיפוש כל עוד ההרשאות לביצוע פעולה מוקצות לקבוצת התפקידים:

    • חפש תוכן
    • תצוגה מקדימה של תוצאות חיפוש
    • ייצוא תוצאות חיפוש
    • מחיקה לצמיתות של פריטים שהוחזרו על-ידי חיפוש

הנה התהליך להגדרת גבולות תאימות:

שלב 1: זיהוי תכונת משתמש להגדרת הסוכנויות שלך שלב 2: יצירת קבוצת תפקיד עבור כל סוכנות שלב 3: יצירת מסנן הרשאות חיפוש כדי לאכוף את גבול התאימות שלב 4: יצירת אירוע גילוי אלקטרוני עבור חקירות בתוך סוכנויות

עצה

אם אינך לקוח E5, השתמש בגירסת הניסיון של פתרונות Microsoft Purview ל- 90 יום כדי לגלות כיצד יכולות Purview נוספות יכולות לעזור לארגון שלך לנהל צרכי אבטחה ותאימות של נתונים. התחל עכשיו במרכז פורטל התאימות של Microsoft Purview הניסיון. למד פרטים אודות הרשמה ותנאי ניסיון.

לפני שתגדיר גבולות תאימות

  • יש להקצות למשתמשים רשיון Exchange Online זה. כדי לאמת זאת, השתמש ב- cmdlet Get-User ב Exchange Online PowerShell.

שלב 1: זיהוי תכונת משתמש להגדרת הסוכנויות שלך

השלב הראשון הוא לבחור תכונה שתגדיר את הסוכנויות שלך. תכונה זו משמשת ליצירת מסנן הרשאות החיפוש המגביל מנהל גילוי אלקטרוני כדי לחפש רק את מיקומי התוכן של משתמשים שהוקצה להם ערך ספציפי עבור תכונה זו. לדוגמה, נניח ש- Contoso מחליט להשתמש בתכונה 'מחלקה '. הערך עבור תכונה זו עבור משתמשים ב- Fourth Coffee subsidiary יהיה FourthCoffee והערך עבור משתמשים ב- Coho Winery subsidiarry יהיה CohoWinery. בשלב 3, עליך attribute:value להשתמש בזוג זה (לדוגמה, מחלקה :FourthCoffee) כדי להגביל את מיקומי תוכן המשתמש שמנהלי גילוי אלקטרוני יכולים לחפש.

להלן כמה דוגמאות של תכונות משתמש שניתן להשתמש בהן עבור גבולות תאימות:

  • Company
  • CustomAttribute1 - CustomAttribute15
  • Department
  • Office
  • CountryOrRegion (קוד מדינה בן שתי אותיות)

לקבלת רשימה מלאה, עיין ברשימה המלאה של מסנני תיבות הדואר הנתמכים.

שלב 2: יצירת קבוצת תפקידים עבור כל סוכנות

השלב הבא הוא ליצור את קבוצות התפקידים בפורטל התאימות שיתואמות לסוכנויות שלך. מומלץ ליצור קבוצת תפקידים על-ידי העתקת הקבוצה המוכללת של מנהלי גילוי אלקטרוני, הוספת החברים המתאימים והסרה של תפקידים שייתכן שאינם ישימים לצרכים שלך. לקבלת מידע נוסף אודות תפקידים הקשורים לגילוי אלקטרוני, ראה הקצאת הרשאות גילוי אלקטרוני.

כדי ליצור את קבוצות התפקידים, עבור אל הדף הרשאות בפורטל התאימות וצור קבוצת תפקידים עבור כל צוות בכל סוכנות שתשתמש בגבולות תאימות ובהמקרים של גילוי אלקטרוני כדי לנהל חקירות.

באמצעות תרחיש גבולות התאימות של Contoso, יש ליצור ארבע קבוצות תפקידים ואת החברים המתאימים שנוספו לכל אחת מהן.

  • מנהלי גילוי אלקטרוני של קפה רביעי
  • חוקרי קפה רביעיים
  • מנהלי גילוי אלקטרוני של יקב Coho
  • חוקרי יקב קוהו

כדי לעמוד בדרישות של תרחיש גבולות התאימות של Contoso, עליך גם להסיר את תפקידי ההחזקה והייצוא מקבוצות התפקידים של החוקרים כדי למנוע מהחוקרים להציב חסימות על מיקומי תוכן ולייצא תוכן למקרה.

חשוב

אם תפקיד נוסף או מוסר מקבוצה תפקיד שהוספת כחבר אירוע, קבוצת התפקידים תוסר באופן אוטומטי כחברה במקרה (או בכל מקרה שבו קבוצת התפקידים היא חברה). הסיבה לכך היא להגן על הארגון שלך מפני מתן הרשאות נוספות לחברי אירוע בשוגג. באופן דומה, אם קבוצת תפקידים נמחקת, היא תוסר מכל המקרים שבהם היא היתה חברה.

שלב 3: יצירת מסנן הרשאות חיפוש כדי לאכוף את גבול התאימות

לאחר שיצרת קבוצות תפקידים עבור כל סוכנות, השלב הבא הוא ליצור את מסנני הרשאות החיפוש המשייךים כל קבוצת תפקיד לסוכנות הספציפית שלה ומגדירים את גבול התאימות עצמו. עליך ליצור מסנן הרשאות חיפוש אחד עבור כל סוכנות. לקבלת מידע נוסף אודות יצירת מסנני הרשאות אבטחה, ראה קביעת תצורה של סינון הרשאות עבור חיפוש תוכן.

להלן התחביר המשמש ליצירת מסנן הרשאות חיפוש המשמש לגבולות תאימות עבור התרחיש במאמר זה.

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <role groups> -Filters "Mailbox_<MailboxPropertyName>  -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"

להלן תיאור של כל פרמטר בפקודה:

  • FilterName: מציין את שם המסנן. השתמש בשם המתאר או מזהה את הסוכנות שבה נעשה שימוש במסנן.

  • Users: מציין את המשתמשים או הקבוצות שהוחל מסנן זה על פעולות החיפוש שהם מבצעים. עבור גבולות תאימות, פרמטר זה מציין את קבוצות התפקידים (שיצרת בשלב 2) בסוכנות שעבורה אתה יוצר את המסנן. שים לב זהו פרמטר מרובה ערכים, כך שתוכל לכלול קבוצה אחת או יותר של תפקידים, המופרדות באמצעות פסיקים.

  • Filters: מציין את קריטריוני החיפוש עבור המסנן. עבור גבולות תאימות, עליך להגדיר את המסננים הבאים. כל אחד מהם חל על מיקומי תוכן שונים.

    • Mailbox: מציין את תיבות הדואר או חשבונות OneDrive שקבוצות התפקידים המוגדרות בפרמטר Users יכולות לחפש. מסנן זה מאפשר לחברים בקבוצת התפקידים לחפש רק בתיבות הדואר או בחשבונות OneDrive בסוכנות ספציפית; לדוגמה, "Mailbox_Department -eq 'FourthCoffee'".

    • SiteContent: מסנן זה כולל שני מסננים נפרדים. SiteContent_Path הראשון מציין את אתרי SharePoint בסוכנות שקבוצות התפקידים המוגדרות בפרמטר Users יכולות לחפש. לדוגמה, SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee'. המסנן SiteContent_Path השני (המחובר SiteContent_Pathor למסנן הראשון על-ידי האופרטור) מציין את תחום OneDrive של הסוכנות (שנקרא גם התחום 'האתר שלי'). לדוגמה, SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'. באפשרותך גם להשתמש במסנן Site_Path במקום המסנן SiteContent . המסננים SiteSiteContent וניתנים להחלפה ואינם משפיעים על מסנני הרשאות חיפוש המתוארים במאמר זה.

      חשוב

      מדוע המסנן SiteContent עבור OneDrive כלול במסנן הרשאות החיפוש הקודם? למרות שהמסנן Mailbox חל הן על תיבות דואר והן על חשבונות OneDrive, הכללת מסנן SharePoint לא תכלול חשבונות OneDrive אם לא כללת גם את המסנן OneDriveSite. אם מסנן הרשאות החיפוש לא כלל מסנן SharePoint, לא תצטרך לכלול מסנן OneDrive נפרד מכיוון שמסנן תיבת הדואר יכלול חשבונות OneDrive בטווח של גבול התאימות. במילים אחרות, מסנן הרשאות חיפוש עם המסנן בלבד יכלול Mailbox הן תיבות דואר והן חשבונות OneDrive.

להלן דוגמאות לשני מסנני הרשאות החיפוש שתיווצר כדי לתמוך בתרחיש גבולות התאימות של Contoso. שתי דוגמאות אלה כוללות רשימת מסננים המופרדת באמצעות פסיק, שבה מסנני תיבת הדואר והאתר כלולים באותו מסנן הרשאות חיפוש, כשהם מופרדים באמצעות פסיק.

קפה רביעי

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'"

יקב קוהו

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'"

הערה

התחביר של Filters הפרמטרים בדוגמאות הקודמות כולל רשימת מסננים. רשימת מסננים היא מסנן הכולל מסנן תיבת דואר ומסנן נתיב אתר המופרד באמצעות פסיק. בדוגמה הקודמת, שים לב כי פסיק מפריד ומסננים MailboxSiteContent : -Filters "Mailbox_<MailboxPropertyName> -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'". כאשר מסנן זה מעובד במהלך הפעלת חיפוש גילוי אלקטרוני, נוצרים שני מסנני הרשאות חיפוש מרשימת המסננים: מסנן תיבות דואר אחד ומסנן אחד של SharePoint/OneDrive. חלופה לשימוש ברשימת מסננים היא ליצור שני מסנני הרשאות חיפוש נפרדים עבור כל סוכנות: מסנן הרשאות חיפוש אחד עבור תכונת תיבת הדואר ומסנן אחד עבור תכונות האתר של SharePoint ו- OneDrive. בכל מקרה, התוצאות יהיו זהות. השימוש ברשימת מסננים או יצירת מסנני הרשאות חיפוש נפרדים הוא עניין של העדפה.

כיצד מסנני הרשאות החיפוש פועלים בתרחיש זה?

כך מוחלים מסנני הרשאות החיפוש עבור כל סוכנות בתרחיש זה.

  1. המסנן Mailbox מוחל תחילה כדי להגדיר את מיקומי התוכן שמנהלי גילוי אלקטרוני יכולים לחפש. במקרה זה, מנהלי גילוי אלקטרוני של יקב Coho יכולים לחפש רק בתיבות הדואר ובחשבונות OneDrive של משתמשים שמאפיין תיבת הדואר של המחלקה שלהם הוא FourthCoffee; מנהלי גילוי אלקטרוני של יקב Coho יכולים לחפש רק בתיבות הדואר ובחשבונות OneDrive של משתמשים שמאפיין תיבת הדואר של המחלקה שלהם הוא CohoWinery. המסנן Mailbox הוא מסנן מיקום תוכן, מאחר שהוא מציין את מיקומי התוכן שמנהלי גילוי אלקטרוני יכולים לחפש. בשני המסננים, מנהלי גילוי אלקטרוני יכולים רק לחפש מיקומי תוכן עם ערך מאפיין ספציפי של תיבת דואר.

  2. לאחר הגדרת מיקומי התוכן שניתן לחפש, החלק הבא של המסנן מגדיר את התוכן שמנהלי גילוי אלקטרוני יכולים לחפש בו. המסנן SiteContent הראשון מאפשר למנהלי גילוי אלקטרוני של Fourth Coffee לחפש רק מסמכים בעלי מאפיין נתיב אתר המכיל (או מתחיל ב) https://contoso.sharepoint.com/sites/FourthCoffee; מנהלי גילוי אלקטרוני של יקב Coho יכולים לחפש רק במסמכים בעלי מאפיין נתיב אתר המכיל (או מתחיל ב) https://contoso.sharepoint.com/sites/CohoWinery. לכן, שני SiteContent המסננים הם מסנני תוכן מכיוון שהם מגדירים את התוכן שניתן לחפש. בשני המסננים, מנהלי גילוי אלקטרוני יכולים לחפש מסמכים עם ערך מאפיין מסמך ספציפי בלבד. כל המסננים הקשורים ל- SharePoint הם מסנני תוכן מאחר שמאפיינים של אתר הניתנים לחיפוש מסומנים בכל המסמכים. לקבלת מידע נוסף, ראה קביעת תצורה של סינון הרשאות עבור גילוי אלקטרוני.

    הערה

    למרות שהתרחיש במאמר זה אינו משתמש בהם, באפשרותך גם להשתמש במסנני תוכן של תיבת דואר כדי לציין את התוכן שמנהלי גילוי אלקטרוני יכולים לחפש. התחביר עבור מסנני תוכן של תיבת דואר הוא "MailboxContent_<property> -<comparison operator> '<value>'". באפשרותך ליצור מסנני תוכן בהתבסס על טווחי תאריכים, נמענים ותחום או כל מאפיין דואר אלקטרוני הניתן לחיפוש. לדוגמה, מסנן זה יאפשר למנהלי גילוי אלקטרוני לחפש רק פריטי דואר שנשלחו או התקבלו על-ידי משתמשים בתחום contoso.com שלך: "MailboxContent_Participants -like 'contoso.com'". לקבלת מידע נוסף אודות מסנני תוכן של תיבת דואר, ראה קביעת תצורה של סינון הרשאות חיפוש.

  3. מסנן הרשאות החיפוש מצורף לשאילתת החיפוש על-ידי האופרטור AND Boolean. משמעות הדבר היא כי כאשר מנהל גילוי אלקטרוני באחת הסוכנויות מבצע חיפוש גילוי אלקטרוני, הפריטים המוחזרים על-ידי החיפוש חייבים להתאים לשאילתת החיפוש ולתנאים המוגדרים במסנן הרשאות החיפוש.

שלב 4: יצירת אירוע גילוי אלקטרוני עבור חקירות בתוך סוכנויות

השלב האחרון הוא ליצור אירוע גילוי אלקטרוני (רגיל) או אירוע גילוי אלקטרוני (Premium) בפורטל התאימות ולאחר מכן להוסיף את קבוצת התפקידים שיצרת בשלב 2 כחבר באירוע. התוצאה היא שני מאפיינים חשובים לשימוש בגבולות תאימות:

  • רק חברים בקבוצת התפקידים שנוספו למקרה יוכלו לראות את האירוע בפורטל התאימות ולגשת אליו. לדוגמה, אם קבוצת התפקידים 'חוקרי הקפה הרביעי' היא החבר היחיד באירוע, החברים בקבוצת התפקידים 'מנהלי גילוי אלקטרוני של קפה רביעי' (או חברים בקבוצת תפקידים אחרת) לא יוכלו לראות את האירוע או לגשת אליו.

  • כאשר חבר בקבוצת התפקידים שהוקצה למקרה מפעיל חיפוש המשויך למקרה, הוא יוכל רק לחפש את מיקומי התוכן בתוך הסוכנות שלו (המוגדר על-ידי מסנן הרשאות החיפוש שיצרת בשלב 3.)

כדי ליצור אירוע ולהקצות חברים:

  1. עבור אל הדף גילוי אלקטרוני (רגיל) או גילוי אלקטרוני (Premium) בפורטל התאימות וצור אירוע.

  2. ברשימת המקרים, בחר את שם האירוע שיצרת.

  3. הוסף קבוצות תפקידים כאיברים למקרה. לקבלת הוראות, עיין באחד המאמרים הבאים:

הערה

בעת הוספת קבוצת תפקידים למקרה, באפשרותך להוסיף רק את קבוצות התפקידים שאתה חבר שבהם.

חיפוש וייצוא של תוכן בסביבות מרובות גיאוגרפיות

מסנני הרשאות חיפוש גם מאפשרים לך לקבוע היכן ינותב תוכן לייצוא לאיזה מרכז נתונים ניתן לחפש בעת חיפוש מיקומי תוכן SharePoint Multi-Geo אחרת.

  • ייצוא תוצאות חיפוש: באפשרותך לייצא את תוצאות החיפוש מתיבות דואר של Exchange, אתרי SharePoint וחשבונות OneDrive ממרכז נתונים ספציפי. משמעות הדבר היא שבאפשרותך לציין את מיקום מרכז הנתונים ממנו ייוצאו תוצאות החיפוש.

    השתמש בפרמטר Region עבור רכיבי cmdlet של New-ComplianceSecurityFilter או Set-ComplianceSecurityFilter כדי ליצור או לשנות את מרכז הנתונים שאליו ינותב הייצוא.

    ערך פרמטר מיקום מרכז הנתונים
    NAM
    		 צפון אמריקה (מרכזי נתונים נמצאים בארה"ב)
    EUR
    		 אירופה
    APC
    		 אסיה והאוקיינוס השקט
    CAN
    		 קנדה

  • נתב חיפושי תוכן: באפשרותך לנתב את חיפושי התוכן של אתרי SharePoint וחשבונות OneDrive אל מרכז נתונים של לוויין. משמעות הדבר היא שבאפשרותך לציין את מיקום מרכז הנתונים שבו יפעילו חיפושים.

    השתמש באחד מהערכים הבאים עבור הפרמטר Region כדי לשלוט במיקום מרכז הנתונים שבו יפעילו החיפושים בעת חיפוש באתרי SharePoint ובחשבונות OneDrive.

    ערך פרמטר מיקומי ניתוב מרכז נתונים עבור SharePoint
    NAM
    		 לנו
    EUR
    		 אירופה
    APC
    		 אסיה והאוקיינוס השקט
    CAN
    		 לנו
    AUS
    		 אסיה והאוקיינוס השקט
    KOR
    		 מרכז הנתונים המוגדר כברירת מחדל של הארגון
    GBR
    		 אירופה
    JPN
    		 אסיה והאוקיינוס השקט
    IND
    		 אסיה והאוקיינוס השקט
    לאם
    		 לנו
    NOR
    		 אירופה
    BRA
    		 מרכזי נתונים של צפון אמריקה

    אם לא תציין את הפרמטר Region עבור מסנן הרשאות חיפוש, יתבצע חיפוש באזור SharePoint הראשי של הארגון. תוצאות החיפוש מיוצאות אל מרכז הנתונים הקרוב ביותר.

    כדי לפשט את הרעיון, הפרמטר Region שולט במרכז הנתונים המשמש לחיפוש תוכן ב- SharePoint וב- OneDrive. הדבר אינו חל על חיפוש תוכן ב- Exchange מאחר שחיפושי תוכן של Exchange אינם מאוגדים על-ידי המיקום הגיאוגרפי של מרכזי נתונים. כמו כן, אותו ערך פרמטר של Region עשוי גם להכתיב את מרכז הנתונים שייצא מנותב דרך. הדבר נחוץ לעתים קרובות כדי לשלוט בתנועה של נתונים בין לוחות גיאוגרפיים.

הערה

אם אתה משתמש בגילוי אלקטרוני (Premium), הפרמטר Region אינו שולט באזור שמיוצאים ממנו נתונים. הנתונים מיוצאים מהמיקום המרכזי של הארגון. כמו כן, חיפוש תוכן ב- SharePoint וב- OneDrive אינו מאוגד למיקום הגיאוגרפי של מרכזי נתונים. כל מרכזי הנתונים זמינים בחיפוש. לקבלת מידע נוסף אודות גילוי אלקטרוני (Premium), ראה מבט כולל על פתרון הגילוי האלקטרוני (Premium) ב- Microsoft 365.

להלן דוגמאות לשימוש בפרמטר Region בעת יצירת מסנני הרשאות חיפוש עבור גבולות תאימות. ההנחה היא כי חברת הבת Fourth Coffee ממוקמת בצפון אמריקה ויקב קוהו נמצא באירופה.

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'" -Region NAM

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'" -Region EUR

זכור את הדברים הבאים בעת חיפוש וייצוא של תוכן בסביבות מרובות גיאוגרפיות.

  • הפרמטר Region אינו שולט בחיפושים בתיבות דואר של Exchange. יתבצע חיפוש בכל מרכזי הנתונים בעת חיפוש בתיבות דואר. כדי להגביל את הטווח שבו מתבצע חיפוש בתיבות דואר של Exchange, השתמש בפרמטר Filters בעת יצירה או שינוי של מסנן הרשאות חיפוש.

  • אם יש צורך שמנהל גילוי אלקטרוני יחפש באזורים מרובים של SharePoint, עליך ליצור חשבון משתמש אחר כדי שמנהל גילוי אלקטרוני זה ישתמש במסנן הרשאות החיפוש כדי לציין את האזור שבו ממוקמים אתרי SharePoint או חשבונות OneDrive. לקבלת מידע נוסף אודות הגדרת הגדרה זו, עיין בסעיף "חיפוש תוכן בסביבה SharePoint Multi-Geo" בחיפוש תוכן.

  • בעת חיפוש תוכן ב- SharePoint וב- OneDrive, הפרמטר Region מפנה חיפושים למיקום הראשי או לוויין שבו מנהל הגילוי האלקטרוני ינהל חקירות גילוי אלקטרוני. אם מנהל גילוי אלקטרוני מחפש באתרי SharePoint ו- OneDrive מחוץ לאזור שצוין במסנן הרשאות החיפוש, לא מוחזרות תוצאות חיפוש.

  • בעת ייצוא תוצאות חיפוש מגילוי אלקטרוני (רגיל), תוכן מכל מיקומי התוכן (כולל Exchange, Skype for Business, SharePoint, OneDrive ושירותים אחרים שניתן לחפש בהם באמצעות הכלי 'חיפוש תוכן') מועלים למיקום האחסון של Azure במרכז הנתונים שצוין על-ידי הפרמטר Region. הדבר מסייע לארגונים לשמור על תאימות בכך שהם אינם מאפשרים ייצוא תוכן בין גבולות מבוקרים. אם לא צוין אזור במסנן הרשאות החיפוש, התוכן מועלה אל מרכז הנתונים הראשי של הארגון.

    בעת ייצוא תוכן מגילוי אלקטרוני (Premium), אין באפשרותך לקבוע היכן תוכן מועלה באמצעות הפרמטר Region . התוכן מועלה למיקום אחסון של Azure במרכז נתונים במיקום המרכזי של הארגון שלך. לקבלת רשימה של מיקומים גיאוגרפיים המבוססים על המיקום המרכזי שלך, ראה תצורת גילוי אלקטרוני רב-גיאוגרפי של Microsoft 365.

  • באפשרותך לערוך מסנן הרשאות חיפוש קיים כדי להוסיף או לשנות את האזור על-ידי הפעלת הפקודה הבאה:

    Set-ComplianceSecurityFilter -FilterName <Filter name>  -Region <Region>

שימוש בגבולות תאימות עבור אתרי רכזת של SharePoint

אתרי רכזת של SharePoint מתיישרים לעתים קרובות עם אותם גבולות גיאוגרפיים או סוכנויות שגבולות התאימות של גילוי אלקטרוני עוקבים אחריהם. משמעות הדבר היא שבאפשרותך להשתמש במאפיין מזהה האתר של אתר הרכזת כדי ליצור גבול תאימות. לשם כך, השתמש ב- cmdlet Get-SPOHubSite ב- SharePoint Online PowerShell כדי להשיג את ה- SiteId עבור אתר הרכזת ולאחר מכן השתמש בערך זה עבור המאפיין 'מזהה מחלקה' כדי ליצור מסנן הרשאות חיפוש.

השתמש בתחביר הבא כדי ליצור מסנן הרשאות חיפוש עבור אתר רכזת של SharePoint:

New-ComplianceSecurityFilter -FilterName <Filter Name> -Users <User or Group> -Filters "Site_Departmentid -eq '{SiteId of hub site}'"

להלן דוגמה ליצירת מסנן הרשאות חיפוש עבור אתר רכזת עבור הסוכנות ליקב Coho:

New-ComplianceSecurityFilter -FilterName "Coho Winery Hub Site Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Site_Departmentid -eq '44252d09-62c4-4913-9eb0-a2a8b8d7f863'"

מגבלות גבול תאימות

זכור את המגבלות הבאות בעת ניהול מקרים וחקירות של גילוי אלקטרוני המשתמשים בגבולות תאימות.

  • בעת יצירה והפעלה של חיפוש, באפשרותך לבחור מיקומי תוכן מחוץ לסוכנות שלך. עם זאת, עקב מסנן הרשאות החיפוש, תוכן ממיקומים אלה אינו נכלל בתוצאות החיפוש.
  • גבולות תאימות אינם חלים על חסימות במקרי גילוי אלקטרוני. משמעות הדבר היא שמנהל גילוי אלקטרוני בסוכנות אחת יכול להעביר משתמש לסוכנות אחרת להמתנה. עם זאת, גבול התאימות ייאכף אם מנהל הגילוי האלקטרוני יחפש את מיקומי התוכן של המשתמש שהוצב בחסמה. משמעות הדבר היא שמנהל הגילוי האלקטרוני לא יוכל לחפש את מיקומי התוכן של המשתמש, למרות שהוא הצליח להעביר את המשתמש להמתנה.
  • אם הוקצה לך מסנן הרשאות חיפוש (תיבת דואר או מסנן אתר) ואתה מנסה לייצא פריטים שאינם כוללים אינדקס עבור חיפוש הכולל את כל אתרי SharePoint בארגון שלך, תקבל את הודעת השגיאה הבאה: Unable to execute the task. Reason: The scope options UnindexedItemsOnly or BothIndexedandUnindexedItems are not allowed when the executing user has a compliance security filter applied. אם הוקצה לך מסנן הרשאות חיפוש וברצונך לייצא פריטים שאינם כוללים אינדקס מ- SharePoint, יהיה עליך להפעיל מחדש את החיפוש ולכלול אתרי SharePoint ספציפיים לחיפוש. אחרת, תוכל לייצא רק פריטים סדורים באינדקס מחיפוש הכולל את כל אתרי SharePoint. לקבלת מידע נוסף אודות האפשרויות בעת ייצוא תוצאות חיפוש, ראה ייצוא תוצאות חיפוש של תוכן.
  • מסנני הרשאות חיפוש אינם מוחלים על תיקיות ציבוריות של Exchange.

מידע נוסף

  • אם תיבת דואר תימחק ללא רשיון או תימחק זמנית, המשתמש לא ייחשב עוד במסגרת גבול התאימות. אם הועברה חסימה לתיבת הדואר בעת מחיקתה, התוכן שנשמר בתיבת הדואר עדיין כפוף למסנן גבול תאימות או הרשאות חיפוש.
  • אם גבולות התאימות ומסנני הרשאות החיפוש מיושמות עבור משתמש, מומלץ לא למחוק תיבת דואר של משתמש ולא את חשבון OneDrive שלו. במילים אחרות, אם תמחק תיבת דואר של משתמש, עליך גם להסיר את חשבון OneDrive של המשתמש מאחר mailbox_RecipientFilter משמש לאכיפת מסנן הרשאות חיפוש עבור OneDrive.
  • מסנני גבולות התאימות והרשאות החיפוש תלויים בתכונות המוחתמת בתוכן ב- Exchange, OneDrive ו- SharePoint ובצירת האינדקס הבאה של תוכן זה עם חותמת.
  • איננו ממליצים להשתמש במסנני אי-הכללה ( -not() כגון שימוש במסנן הרשאות חיפוש) עבור גבול תאימות מבוסס תוכן. שימוש במסנן אי-הכללה יכול לכלול תוצאות בלתי צפויות אם תוכן עם תכונות מעודכנות לאחרונה לא נכלל באינדקס.

שאלות נפוצות

מי יכול ליצור ולנהל מסנני הרשאות חיפוש (באמצעות New-ComplianceSecurityFilter ורכיבי Set-ComplianceSecurityFilter cmdlet)?

כדי ליצור, להציג ולשנות מסנני הרשאות חיפוש, עליך להיות חבר בקבוצת התפקידים 'ניהול ארגון' בפורטל התאימות.

אם מנהל גילוי אלקטרוני מוקצה ליותר מקבוצה אחת של תפקידים המשתרעת על פני סוכנויות מרובות, כיצד הוא מחפש תוכן בסוכנות אחת או בסוכנויות אחרות?

מנהל הגילוי האלקטרוני יכול להוסיף פרמטרים לשאילתת החיפוש שלו שמגבילים את החיפוש לסוכנות ספציפית. לדוגמה, אם ארגון ציין את המאפיין CustomAttribute10 כדי להבחין בין סוכנויות, הוא יוכל להוסיף את הפריטים הבאים לשאילתת החיפוש שלהם כדי לחפש בתיבות דואר ובחשבונות OneDrive בסוכנות ספציפית: CustomAttribute10:<value>.

מה קורה אם הערך של התכונה המשמשת כתכונת התאימות במסנן הרשאות חיפוש משתנה?

נדרשים עד שלושה ימים עד שמסנן הרשאות חיפוש יאכוף את גבול התאימות אם הערך של התכונה שנמצאת בשימוש במסנן משתנה. לדוגמה, בתרחיש Contoso, נניח שמשתמש בסוכנות הקפה הרביעית מועבר לסוכנות יקב Coho. כתוצאה מכך, הערך של התכונה Department באובייקט המשתמש משתנה מ- FourthCoffee ל - CohoWinery. במצב זה, גילוי אלקטרוני של קפה רביעי ומשקיעים יקבלו תוצאות חיפוש עבור משתמש זה במשך שלושה ימים לאחר שינוי התכונה. באופן דומה, לוקח עד שלושה ימים לפני שמנהלי גילוי אלקטרוני של יקב Coho מקבלים תוצאות חיפוש עבור המשתמש.

האם מנהל גילוי אלקטרוני יכול לראות תוכן משני גבולות תאימות נפרדים?

כן, ניתן לעשות זאת בעת חיפוש בתיבות דואר של Exchange על-ידי הוספת מנהל הגילוי האלקטרוני לקבוצות תפקידים עם ניראות לשני הסוכנויות. עם זאת, בעת חיפוש באתרי SharePoint ובחשבונות OneDrive, מנהל גילוי אלקטרוני יכול לחפש תוכן בגבולות תאימות שונים רק אם הסוכנויות נמצאות באותו אזור או באותו מיקום גיאוגרפי. הערה: מגבלה זו עבור אתרים אינה חלה בגילוי אלקטרוני (Premium) מאחר שחיפוש תוכן ב- SharePoint וב- OneDrive אינו מאוגד לפי מיקום גיאוגרפי.

האם מסנני הרשאות חיפוש פועלים עבור חסימות אירוע גילוי אלקטרוני, מדיניות שמירה של Microsoft 365 או DLP?

לא, לא בשלב זה.

אם אני מציין אזור לשליטה במיקום הייצוא של תוכן, אך אין לי ארגון SharePoint באזור זה, האם עדיין אוכל לחפש ב- SharePoint?

אם האזור שצוין במסנן הרשאות החיפוש אינו קיים בארגון שלך, יתבצע חיפוש באזור ברירת המחדל.

מהו המספר המרבי של מסנני הרשאות חיפוש שניתן ליצור בארגון?

אין מגבלה על מספר מסנני הרשאות החיפוש שניתן ליצור בארגון. עם זאת, שאילתת חיפוש יכולה לכלול עד 100 תנאים. במקרה זה, תנאי מוגדר כפריט המחובר לשאילתה באמצעות אופרטור בוליאני (כגון AND, OR ו- NEAR). מגבלת מספר התנאים כוללת את שאילתת החיפוש עצמה וכן את כל מסנני הרשאות החיפוש המוחלים על המשתמש שמפעיל את החיפוש. לכן, מספר המסננים של הרשאות החיפוש גדול יותר (במיוחד אם מסננים אלה מוחלים על אותו משתמש או על קבוצת משתמשים), כך הסיכוי לחרוג טוב יותר ממספר התנאים המרבי עבור חיפוש.

כדי להבין כיצד מגבלה זו פועלת, עליך להבין שמסנן הרשאות חיפוש מצורף לשאילתת החיפוש בעת הפעלת חיפוש. מסנן הרשאות חיפוש מצורף לשאילתת החיפוש על-ידי האופרטור AND Boolean. לוגיקת השאילתה עבור שאילתת החיפוש ומסנן הרשאות חיפוש יחיד ייראו כך:

<SearchQuery> AND <PermissionsFilter>

מסנני הרשאות חיפוש מרובים משולבים יחד על-ידי האופרטור OR Boolean, ולאחר מכן תנאים אלה מחוברים לשאילתת החיפוש על-ידי האופרטור AND .

לוגיקת השאילתה עבור שאילתת החיפוש ומסנני הרשאות חיפוש מרובים תיראו כך:

<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)

ייתכן שהשאילתה עצמה עשויה להיות מורכבת מתנאים מרובים המחוברים על-ידי אופרטורים בוליאניים. כל תנאי בשאילתת החיפוש נספר גם הוא כנגד מגבלת 100 ה מצבים.

כמו כן, מספר מסנני הרשאות החיפוש המצורפים לשאילתה תלוי במשתמש שבו פועל החיפוש. כאשר משתמש ספציפי מפעיל חיפוש, מסנני הרשאות החיפוש המוחלים על המשתמש (המוגדר על-ידי הפרמטר Users במסנן) מצורפים לשאילתה. ייתכן שהארגון שלך כולל מאות מסנני הרשאות חיפוש, אך אם יותר מ- 100 מסננים מוחלים על אותם משתמשים, תחול חריגה ממגבלת 100 ההותנים כאשר משתמשים אלה יפעילו חיפושים.

יש עוד דבר אחד שיש לזכור לגבי מגבלת התנאי. גם מספר אתרי SharePoint ספציפיים הכלולים במסנני שאילתת החיפוש או הרשאות החיפוש נכללים גם הם במגבלה זו.

כדי למנוע מהארגון שלך להגיע למגבלת התנאים, שמור על מספר המסננים של הרשאות החיפוש בארגון שלך למספר קטן ככל האפשר כדי לעמוד בדרישות העסקיות שלך.