Configurare i limiti di conformità per le indagini di eDiscovery
Consiglio
eDiscovery (anteprima) è ora disponibile nel nuovo portale di Microsoft Purview. Per altre informazioni sull'uso della nuova esperienza di eDiscovery, vedere Informazioni su eDiscovery (anteprima).
Le indicazioni in questo articolo possono essere applicate quando si usano Microsoft Purview eDiscovery (Standard) o Microsoft Purview eDiscovery (Premium) per gestire le indagini.
I limiti di conformità creano confini logici all'interno di un'organizzazione che controllano le posizioni dei contenuti degli utenti, ad esempio delle cassette postali, degli account OneDrive e dei siti di SharePoint, in cui responsabili di eDiscovery possono cercare. I limiti di conformità controllano anche chi può accedere ai casi di eDiscovery usati per gestire le indagini legali, umane o di altro tipo all'interno dell'organizzazione.
La necessità di limiti di conformità è spesso necessaria per le società multinazionali che devono rispettare i consigli di amministrazione geografici e le normative e per i governi, che sono spesso divisi in diverse agenzie. In Microsoft 365, i limiti di conformità consentono di soddisfare questi requisiti quando si eseguono ricerche di contenuto e si gestiscono le indagini con i casi di eDiscovery.
L'esempio verrà usato nella figura seguente per spiegare come funzionano i limiti di conformità.
In questo esempio Contoso LTD è un'organizzazione costituita da due filiali, Fourth Coffee e Coho Winery. L'azienda richiede che i responsabili e gli investigatori di eDiscovery possano eseguire ricerche solo nelle cassette postali di Exchange, negli account di OneDrive e nei siti di SharePoint nella propria agenzia. Inoltre, i manager e gli investigatori di eDiscovery possono visualizzare solo i casi di eDiscovery nella loro agenzia e possono accedere solo ai casi di cui sono membri. Inoltre, in questo scenario, gli investigatori non possono inserire posizioni di contenuto in attesa o esportare contenuto da un caso. Ecco come i limiti di conformità soddisfano questi requisiti.
La funzionalità di filtro delle autorizzazioni di ricerca per eDiscovery controlla i percorsi del contenuto che possono essere cercati dai responsabili e dagli investigatori di eDiscovery. Questo controllo significa che i manager e gli investigatori di eDiscovery nell'agenzia Fourth Coffee possono cercare solo le posizioni dei contenuti nella filiale Fourth Coffee. La stessa limitazione vale per la filiale di Coho Winery.
I gruppi di ruoli forniscono le funzioni seguenti per i limiti di conformità:
- Controllare chi può visualizzare i casi di eDiscovery nel Portale di conformità di Microsoft Purview. Questo controllo significa che i manager e gli investigatori di eDiscovery possono visualizzare solo i casi di eDiscovery nella loro agenzia.
- Controllare chi può assegnare membri a un caso di eDiscovery. Questo controllo significa che i manager e gli investigatori di eDiscovery possono assegnare solo i membri ai casi di cui sono membri.
- Controllare le attività correlate a eDiscovery che i membri possono eseguire aggiungendo o rimuovendo ruoli che assegnano autorizzazioni specifiche.
Quando un filtro delle autorizzazioni di ricerca viene applicato a un gruppo di ruoli, i membri del gruppo di ruoli possono eseguire le azioni correlate alla ricerca seguenti, purché le autorizzazioni per eseguire un'azione siano assegnate al gruppo di ruoli:
- Cercare contenuto
- Visualizzare in anteprima i risultati della ricerca
- Esportare i risultati della ricerca
- Ripulire gli elementi restituiti da una ricerca
Consiglio
Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.
Prima di configurare i limiti di conformità
- Agli utenti deve essere assegnata una licenza di Exchange Online. Per verificare le assegnazioni, usare il cmdlet Get-User in Exchange Online PowerShell.
Configurazione dei limiti di conformità
Ecco i passaggi per configurare i limiti di conformità:
- Passaggio 1: Identificare un attributo utente per definire le agenzie
- Passaggio 2: Creare un gruppo di ruoli per ogni agenzia
- Passaggio 3: Creare un filtro delle autorizzazioni di ricerca per applicare il limite di conformità
- Passaggio 4: Creare un caso di eDiscovery per un'indagine intra-agenzia
Passaggio 1: Identificare un attributo utente per definire le agenzie
Il primo passaggio consiste nel scegliere un attributo da usare che definirà le agenzie. Questo attributo viene usato per creare il filtro delle autorizzazioni di ricerca che limita un gestore di eDiscovery a cercare solo i percorsi di contenuto degli utenti a cui è assegnato un valore specifico per questo attributo. Ad esempio, si supponga che Contoso decida di usare l'attributo Department . Il valore per questo attributo per gli utenti della filiale Fourth Coffee è FourthCoffee
e il valore per gli utenti della filiale Coho Winery è CohoWinery
. Nel passaggio 3 si usa questa attribute:value
coppia , ad esempio Department:FourthCoffee, per limitare le posizioni del contenuto utente che possono essere cercate dai responsabili di eDiscovery.
Ecco alcuni esempi di attributi utente che è possibile usare per i limiti di conformità:
- Company
- CustomAttribute1 - CustomAttribute15
- Reparto
- Ufficio
- CountryOrRegion (codice paese a due lettere)
Passaggio 2: Creare un gruppo di ruoli per ogni agenzia
Il passaggio successivo consiste nel creare i gruppi di ruoli nel portale di conformità che si allineeranno con le agenzie.
Per creare i gruppi di ruoli, passare alla pagina Autorizzazioni nel portale di conformità e creare un gruppo di ruoli per ogni team di ogni agenzia che userà i limiti di conformità e i casi di eDiscovery per gestire le indagini.
È consigliabile che ai gruppi di ruoli creati per il limite di conformità non siano associati ruoli. Questo gruppo di ruoli deve essere usato solo per assegnare utenti al gruppo di ruoli. Per assegnare ruoli ai membri, è necessario usare gruppi di ruoli separati predefiniti (eDiscovery Manager) o personalizzati. Per altre informazioni sui ruoli correlati a eDiscovery, vedere Assegnare autorizzazioni di eDiscovery.
Nota
Per eliminare e aggiornare i gruppi di ruoli con ruoli vuoti, è necessario usare i cmdlet di PowerShell. Per informazioni dettagliate, vedere New-RoleGroup e Add-RoleGroupMember.
Usando lo scenario dei limiti di conformità di Contoso, è necessario creare quattro gruppi di ruoli e aggiungere i membri appropriati a ognuno di essi.
- Manager di eDiscovery di Fourth Coffee
- Investigatori di Fourth Coffee
- Manager di eDiscovery di Coho Winery
- Investigatori di Coho Winery
Importante
Se un ruolo viene aggiunto o rimosso da un gruppo di ruoli aggiunto come membro di un caso, il gruppo di ruoli viene rimosso automaticamente come membro del caso (o in ogni caso il gruppo di ruoli è membro di ). Il motivo è la protezione dell'organizzazione dal fornire inavvertitamente autorizzazioni aggiuntive ai membri di un caso. Se un gruppo di ruoli viene eliminato, viene rimosso da tutti i casi di cui era membro. È consigliabile che ai gruppi di ruoli creati per i limiti di conformità non siano assegnati ruoli. Usare gruppi di ruoli predefiniti/personalizzati separati per assegnare ruoli ai membri.
Passaggio 3: Creare un filtro delle autorizzazioni di ricerca per applicare il limite di conformità
Dopo aver creato gruppi di ruoli per ogni agenzia, il passaggio successivo consiste nel creare i filtri delle autorizzazioni di ricerca che associano ogni gruppo di ruoli alla relativa agenzia specifica e definiscono il limite di conformità stesso. È necessario creare un filtro delle autorizzazioni di ricerca per ogni agenzia. Per altre informazioni sulla creazione di filtri per le autorizzazioni di sicurezza, vedere Configurare il filtro delle autorizzazioni per Ricerca contenuto.
Ecco la sintassi usata per creare un filtro delle autorizzazioni di ricerca usato per i limiti di conformità per lo scenario in questo articolo.
New-ComplianceSecurityFilter -FilterName <name of filter> -Users <role groups> -Filters "Mailbox_<MailboxPropertyName> -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"
Ecco una descrizione di ogni parametro nel comando:
FilterName
: specifica il nome del filtro. Usare un nome che descrive o identifica l'agenzia in cui viene usato il filtro.Users
: specifica gli utenti o i gruppi che ottengono questo filtro applicato alle azioni di ricerca eseguite. Per i limiti di conformità, questo parametro specifica i gruppi di ruoli creati nel passaggio 2 nell'agenzia per cui si sta creando il filtro. Questo parametro è un parametro multivalore, pertanto è possibile includere uno o più gruppi di ruoli separati da virgole.Filters
: specifica i criteri di ricerca per il filtro. Per i limiti di conformità, definire i filtri seguenti. Ognuno di essi si applica a posizioni di contenuto diverse.Mailbox
: specifica le cassette postali o gli account di OneDrive in cui i gruppi di ruoli definiti nel parametro possono eseguire ricercheUsers
. Questo filtro consente ai membri del gruppo di ruoli di cercare solo le cassette postali o gli account OneDrive in un'agenzia specifica; Ad esempio,"Mailbox_Department -eq 'FourthCoffee'"
.SiteContent
: questo filtro include due filtri separati. Il primoSiteContent_Path
specifica i siti di SharePoint nell'agenzia in cui i gruppi di ruoli definiti nel parametro possono eseguire ricercheUsers
. Ad esempio,SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'
. Il secondoSiteContent_Path
filtro (connesso al primoSiteContent_Path
filtro dall'operatoreor
) specifica il dominio di OneDrive dell'agenzia (detto anche dominio MySite ). Ad esempio,SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'
. È anche possibile usare ilSite_Path
filtro al posto delSiteContent
filtro. ISite
filtri eSiteContent
sono intercambiabili e non influiscono sui filtri delle autorizzazioni di ricerca descritti in questo articolo.Importante
Perché il
SiteContent
filtro per OneDrive è incluso nel filtro delle autorizzazioni di ricerca precedente? Anche se ilMailbox
filtro si applica sia alle cassette postali che agli account di OneDrive, l'inclusione del filtro di SharePoint escluderebbe gli account di OneDrive se non si includesse anche il filtro di OneDriveSite
. Se il filtro delle autorizzazioni di ricerca non include un filtro di SharePoint, non è necessario includere un filtro di OneDrive separato perché il filtro Cassette postali includerebbe gli account di OneDrive nell'ambito del limite di conformità. In altre parole, un filtro delle autorizzazioni di ricerca con solo ilMailbox
filtro includerà sia le cassette postali che gli account di OneDrive.
Ecco gli esempi dei due filtri di ricerca delle autorizzazioni che verrebbero creati per supportare lo scenario dei limiti di conformità di Contoso. Entrambi questi esempi includono un elenco di filtri separati da virgole, in cui i filtri relativi a cassetta postale e sito sono inclusi nello stesso filtro di ricerca delle autorizzazioni e sono separati da una virgola.
Quarto caffè
New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"
Coho Winery
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"
Nota
La sintassi per i Filters
parametri negli esempi precedenti include un elenco di filtri. Un elenco di filtri è un filtro che include un filtro cassetta postale e un filtro del percorso del sito separati da una virgola. Nell'esempio precedente si noti che una virgola separa Mailbox
e SiteContent
filtra: -Filters "Mailbox_<MailboxPropertyName> -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"
. Quando questo filtro viene elaborato durante l'esecuzione di una ricerca di eDiscovery, vengono creati due filtri per le autorizzazioni di ricerca dall'elenco dei filtri: un filtro cassetta postale e un filtro di SharePoint/OneDrive. Un'alternativa all'uso di un elenco di filtri consiste nel creare due filtri di autorizzazioni di ricerca separati per ogni agenzia: un filtro delle autorizzazioni di ricerca per l'attributo della cassetta postale e un filtro per gli attributi del sito di SharePoint e OneDrive. In entrambi i casi, i risultati saranno gli stessi. L'uso di un elenco di filtri o la creazione di filtri di autorizzazioni di ricerca separati è una questione di preferenza.
Come funzionano i filtri delle autorizzazioni di ricerca in questo scenario?
Ecco come vengono applicati i filtri delle autorizzazioni di ricerca per ogni agenzia in questo scenario.
Il
Mailbox
filtro viene prima applicato per definire i percorsi del contenuto che possono essere cercati dai responsabili di eDiscovery. In questo caso, i responsabili di Coho Winery eDiscovery possono eseguire ricerche solo nelle cassette postali e negli account OneDrive degli utenti la cui proprietà Department mailbox ha il valore FourthCoffee; I responsabili di Coho Winery eDiscovery possono eseguire ricerche solo nelle cassette postali e negli account OneDrive degli utenti la cui proprietà Department mailbox ha il valore CohoWinery. IlMailbox
filtro è un filtro della posizione del contenuto, perché specifica i percorsi del contenuto che i responsabili di eDiscovery possono cercare. In entrambi i filtri, i responsabili di eDiscovery possono eseguire ricerche solo nei percorsi del contenuto con un valore specifico della proprietà della cassetta postale.Dopo aver definito i percorsi del contenuto in cui è possibile eseguire la ricerca, la parte successiva del filtro definisce il contenuto che i responsabili di eDiscovery possono cercare. Il primo
SiteContent
filtro consente ai responsabili di Fourth Coffee eDiscovery di cercare solo i documenti con una proprietà del percorso del sito che contiene (o inizia con)https://contoso.sharepoint.com/sites/FourthCoffee
; I responsabili di Coho Winery eDiscovery possono cercare solo i documenti con una proprietà del percorso del sito che contiene (o inizia con)https://contoso.sharepoint.com/sites/CohoWinery
. Pertanto, i dueSiteContent
filtri sono filtri di contenuto perché definiscono il contenuto che può essere cercato. In entrambi i filtri, i responsabili di eDiscovery possono cercare solo documenti con un valore specifico della proprietà del documento. Tutti i filtri correlati a SharePoint sono filtri di contenuto perché le proprietà del sito ricercabili vengono contrassegnate in tutti i documenti. Per altre informazioni, vedere Configurare il filtro delle autorizzazioni per eDiscovery.Nota
Anche se lo scenario in questo articolo non li usa, è anche possibile usare i filtri del contenuto delle cassette postali per specificare il contenuto che i responsabili di eDiscovery possono cercare. La sintassi per i filtri di contenuto delle cassette postali è
"MailboxContent_<property> -<comparison operator> '<value>'"
. È possibile creare filtri del contenuto in base a intervalli di date, destinatari e domini o a qualsiasi proprietà di posta elettronica ricercabile. Ad esempio, questo filtro consente ai responsabili di eDiscovery di cercare solo gli elementi di posta elettronica inviati o ricevuti dagli utenti nel dominio contoso.com:"MailboxContent_Participants -like 'contoso.com'"
. Per altre informazioni sui filtri del contenuto delle cassette postali, vedere Configurare il filtro delle autorizzazioni di ricerca.Il filtro delle autorizzazioni di ricerca viene aggiunto alla query di ricerca dall'operatore booleano AND . Ciò significa che quando un manager di eDiscovery in una delle agenzie esegue una ricerca di eDiscovery, gli elementi restituiti dalla ricerca devono corrispondere alla query di ricerca e alle condizioni definite nel filtro delle autorizzazioni di ricerca.
Passaggio 4: Creare un caso di eDiscovery per le indagini all'interno dell'agenzia
Il passaggio finale consiste nel creare un caso eDiscovery (Standard) o un caso di eDiscovery (Premium) nel portale di conformità e quindi aggiungere il gruppo di ruoli creato nel passaggio 2 come membro del caso. Ciò comporta due caratteristiche importanti dell'uso dei limiti di conformità:
Solo i membri del gruppo di ruoli aggiunti al caso potranno visualizzare e accedere al caso nel portale di conformità. Ad esempio, se il gruppo di ruoli Fourth Coffee Investigators è l'unico membro di un caso, i membri del gruppo di ruoli Fourth Coffee eDiscovery Managers (o membri di qualsiasi altro gruppo di ruoli) non saranno in grado di visualizzare o accedere al caso.
Quando un membro del gruppo di ruoli assegnato a un caso esegue una ricerca associata al caso, sarà in grado di eseguire ricerche solo nei percorsi del contenuto all'interno della propria agenzia (definito dal filtro delle autorizzazioni di ricerca creato nel passaggio 3).
Per creare un caso e assegnare membri:
Nota
Per un periodo di tempo limitato, questa esperienza classica di eDiscovery è disponibile anche nel nuovo portale di Microsoft Purview. Abilitare l'esperienza eDiscovery classica del portale di conformità nelle impostazioni dell'esperienza di eDiscovery (anteprima) per visualizzare l'esperienza classica nel nuovo portale di Microsoft Purview.
Passare alla pagina eDiscovery (Standard) o eDiscovery (Premium) nel portale di conformità e creare un caso.
Nell'elenco dei casi selezionare il nome del caso creato.
Aggiungere gruppi di ruoli come membri al caso. Per istruzioni, vedere uno degli articoli seguenti:
Nota
Quando si aggiunge un gruppo di ruoli a un caso, è possibile aggiungere solo i gruppi di ruoli di cui si è membri.
Ricerca ed esportazione di contenuto in ambienti multi-geo
I filtri delle autorizzazioni di ricerca consentono anche di controllare dove il contenuto viene instradato per l'esportazione e quale data center può essere cercato durante la ricerca di percorsi di contenuto in un ambiente SharePoint Multi-Geo.
Esportare i risultati della ricerca: È possibile esportare i risultati della ricerca da cassette postali di Exchange, siti di SharePoint e account di OneDrive da un data center specifico. Ciò significa che è possibile specificare il percorso del data center da cui vengono esportati i risultati della ricerca.
Usare il parametro Region per i cmdlet New-ComplianceSecurityFilter o Set-ComplianceSecurityFilter per creare o modificare il data center attraverso il quale viene instradata l'esportazione.
Valore del parametro Posizione del data center NAM Nord America (i data center si trovano negli Stati Uniti) EUR Europa APC Asia Pacifico CAN Canada Ricerche di contenuto di route: È possibile instradare le ricerche di contenuto dei siti di SharePoint e degli account di OneDrive a un data center satellite. Ciò significa che è possibile specificare il percorso del data center in cui vengono eseguite le ricerche.
Usare uno dei valori seguenti per il parametro Region per controllare la posizione del data center in cui verranno eseguite le ricerche durante la ricerca di siti di SharePoint e account di OneDrive.
Valore del parametro Percorsi di routing dei data center per SharePoint NAM IT EUR Europa APC Asia Pacifico CAN IT AUS Asia Pacifico KOR Data center predefinito dell'organizzazione GBR Europa JPN Asia Pacifico IND Asia Pacifico PESTARE IT NOR Europa BRA Data center del Nord America Se non si specifica il parametro Region per un filtro delle autorizzazioni di ricerca, viene eseguita la ricerca nell'area di SharePoint principale dell'organizzazione. I risultati della ricerca vengono esportati nel data center più vicino.
Per semplificare il concetto, il parametro Region controlla il data center usato per cercare contenuto in SharePoint e OneDrive. Questo non si applica alla ricerca di contenuto in Exchange perché le ricerche di contenuto di Exchange non sono vincolate dalla posizione geografica dei data center. Inoltre, lo stesso valore del parametro Region può anche determinare il data center attraverso cui vengono instradate le esportazioni. Questo è spesso necessario per controllare lo spostamento dei dati tra i lavagnatori geografici.
Nota
Se si usa eDiscovery (Premium), il parametro Region non controlla l'area da cui vengono esportati i dati. I dati sono esportati dalla posizione centrale dell'organizzazione. Inoltre, la ricerca di contenuto in SharePoint e OneDrive non è associata alla posizione geografica dei data center. Vengono eseguite ricerche in tutti i data center. Per altre informazioni su eDiscovery (Premium), vedere Panoramica della soluzione eDiscovery (Premium) in Microsoft 365.
Di seguito sono riportati alcuni esempi di utilizzo del parametro Region durante la creazione di filtri di autorizzazione di ricerca per i limiti di conformità. Ciò presuppone che la società controllata Fourth Coffee si trovi in America del Nord e che la Coho Winery si trovi in Europa.
New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region NAM
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region EUR
Tenere presente quanto segue durante la ricerca e l'esportazione di contenuto in ambienti multi-geo.
Il parametro Area non controlla le ricerche nelle cassette postali di Exchange. Tutti i data center verranno cercati durante la ricerca nelle cassette postali. Per limitare l'ambito di ricerca delle cassette postali di Exchange, usare il parametro Filters durante la creazione o la modifica di un filtro delle autorizzazioni di ricerca.
Se è necessario che un manager di eDiscovery eservi ricerche in più aree di SharePoint, è necessario creare un account utente diverso da usare nel filtro delle autorizzazioni di ricerca per specificare l'area in cui si trovano i siti di SharePoint o gli account di OneDrive. Per altre informazioni sulla configurazione, vedere la sezione "Ricerca di contenuto in un ambiente SharePoint Multi-Geo" in Ricerca contenuto.
Quando si cerca contenuto in SharePoint e OneDrive, il parametro Region indirizza le ricerche alla posizione primaria o satellite in cui il manager di eDiscovery effettuerà indagini eDiscovery. Se un manager di eDiscovery cerca siti di SharePoint e OneDrive all'esterno dell'area specificata nel filtro delle autorizzazioni di ricerca, non vengono restituiti risultati di ricerca.
Quando si esportano i risultati della ricerca da eDiscovery (Standard), il contenuto di tutte le posizioni del contenuto (inclusi Exchange, Skype for Business, SharePoint, OneDrive e altri servizi che è possibile cercare usando lo strumento Ricerca contenuto) viene caricato nel percorso di Archiviazione di Azure nel data center specificato dal parametro Region. Ciò consente alle organizzazioni di rimanere conformi non consentendo l'esportazione di contenuto oltre i confini controllati. Se non viene specificata alcuna area nel filtro delle autorizzazioni di ricerca, il contenuto viene caricato nel data center primario dell'organizzazione.
Quando si esporta contenuto da eDiscovery (Premium), non è possibile controllare dove viene caricato il contenuto usando il parametro Region . Il contenuto viene caricato in una posizione di Archiviazione di Azure in un data center nella posizione centrale dell'organizzazione. Per un elenco delle posizioni geografiche in base alla posizione centrale, vedere Configurazione di Microsoft 365 Multi-Geo eDiscovery.
È possibile modificare un filtro delle autorizzazioni di ricerca esistente per aggiungere o modificare l'area eseguendo il comando seguente:
Set-ComplianceSecurityFilter -FilterName <Filter name> -Region <Region>
Uso dei limiti di conformità per i siti dell'hub di SharePoint
I siti hub di SharePoint spesso si allineano con gli stessi limiti geografici o di agenzia seguiti dai limiti di conformità di eDiscovery. Ciò significa che è possibile usare la proprietà ID sito del sito hub per creare un limite di conformità. A tale scopo, usare il cmdlet Get-SPOHubSite in SharePoint Online PowerShell per ottenere il SiteId per il sito hub e quindi usare questo valore per la proprietà ID reparto per creare un filtro delle autorizzazioni di ricerca.
Usare la sintassi seguente per creare un filtro delle autorizzazioni di ricerca per un sito hub di SharePoint:
New-ComplianceSecurityFilter -FilterName <Filter Name> -Users <User or Group> -Filters "Site_Departmentid -eq '{SiteId of hub site}'"
Ecco un esempio di creazione di un filtro delle autorizzazioni di ricerca per un sito hub per l'agenzia Coho Winery:
New-ComplianceSecurityFilter -FilterName "Coho Winery Hub Site Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Site_Departmentid -eq '44252d09-62c4-4913-9eb0-a2a8b8d7f863'"
Limitazioni dei limiti di conformità
Tenere presenti le limitazioni seguenti quando si gestiscono i casi di eDiscovery e le indagini che usano limiti di conformità.
Quando si crea e si esegue una ricerca, è possibile selezionare i percorsi dei contenuti che si trovano all'esterno dell'agenzia. Tuttavia, a causa del filtro di ricerca delle autorizzazioni, i contenuti di tali posizioni non vengono inclusi nei risultati della ricerca.
I limiti di conformità non si applicano ai blocchi nei casi di eDiscovery. Ciò significa che un manager di eDiscovery di un'agenzia può bloccare un utente in un'altra agenzia. Tuttavia, i limiti di conformità verranno applicati se il manager di eDiscovery cerca le posizioni dei contenuti dell'utente che è stato bloccato. Ciò significa che il manager di eDiscovery non potrà cercare le posizioni dei contenuti dell'utente, anche se è stato in grado di bloccare l'utente.
Se viene assegnato un filtro delle autorizzazioni di ricerca (una cassetta postale o un filtro del sito) e si tenta di esportare elementi non indicizzati per una ricerca che include tutti i siti di SharePoint nell'organizzazione, verrà visualizzato il messaggio di errore seguente:
Unable to execute the task. Reason: The scope options UnindexedItemsOnly or BothIndexedandUnindexedItems are not allowed when the executing user has a compliance security filter applied
. Se viene assegnato un filtro per le autorizzazioni di ricerca e si vogliono esportare elementi non indicizzati da SharePoint, è necessario eseguire di nuovo la ricerca e includere siti di SharePoint specifici per la ricerca. In caso contrario, sarà possibile esportare solo elementi indicizzati da una ricerca che include tutti i siti di SharePoint. Per altre informazioni sulle opzioni durante l'esportazione dei risultati della ricerca, vedere Esportare i risultati della ricerca contenuto.I filtri di ricerca delle autorizzazioni non vengono applicati alle cartelle pubbliche di Exchange.
I filtri di ricerca supportati includono
-and
,-or
,-like
,-not
-eq
e-ne
. Non è consigliabile usare altri filtri di esclusione (ad esempio l'uso di-notlike)
,inotlike
e così via in un filtro delle autorizzazioni di ricerca) per un limite di conformità basato sul contenuto. L'uso di questi filtri di esclusione può avere risultati imprevisti se il contenuto con attributi aggiornati di recente non è stato indicizzato.Il rispetto dei limiti di conformità per i siti di OneDrive nelle ricerche può essere influenzato quando:
- I siti (o le cassette postali associate) vengono spostati o ospitati di nuovo
- La proprietà di OneDrive viene riasssegnati o viene aggiunto più di un proprietario
- Il sito di OneDrive viene rinominato/rilasciato di nuovo
Lo spostamento di un sito di OneDrive può modificare la proprietà del contenuto e può includere la creazione di una cassetta postale di arbitrato. Quando queste risorse vengono spostate, è possibile che i risultati della ricerca di contenuto siano disponibili oltre i limiti di conformità. Quando un sito di OneDrive viene riassegnati, ridenozionato o assegnato a più proprietari, è possibile che il contenuto di questi siti sia disponibile oltre i limiti di conformità.
I limiti di conformità per le cassette postali possono essere interessati quando:
- La cassetta postale non è associata a un utente con licenza (include utenti disabilitati o eliminati)
- Una cassetta postale non viene gestita o sincronizzata da Microsoft Entra ID
Inoltre, esistono diversi tipi di cassette postali che possono produrre contenuto durante la ricerca, indipendentemente dai limiti di conformità. Questi tipi di cassette postali includono:
- EquipmentMailbox
- GuestMailUser
- LinkedMailbox
- RoomList
- RoomMailbox
- SchedulingMailbox
- SharedMailbox
- SystemMailbox
- TeamMailbox
Per assicurarsi che la ricerca rispetti i limiti di conformità come previsto, potrebbe essere necessario aggiornare le autorizzazioni e i ruoli per le risorse spostate.
Ulteriori informazioni
- Se una cassetta postale viene rimossa dalla licenza o eliminata temporaneamente, l'utente non verrà più considerato entro il limite di conformità. Se è stato inserito un blocco nella cassetta postale al momento dell'eliminazione, il contenuto conservato nella cassetta postale è comunque soggetto a un limite di conformità o a un filtro delle autorizzazioni di ricerca.
- Se vengono implementati limiti di conformità e filtri per le autorizzazioni di ricerca per un utente, è consigliabile non eliminare la cassetta postale di un utente e non il relativo account OneDrive. In altre parole, se si elimina la cassetta postale di un utente, è necessario rimuovere anche l'account OneDrive dell'utente poiché mailbox_RecipientFilter viene usato per applicare il filtro delle autorizzazioni di ricerca per OneDrive.
- I limiti di conformità e i filtri delle autorizzazioni di ricerca dipendono dagli attributi che vengono contrassegnati per il contenuto in Exchange, OneDrive e SharePoint e dalla successiva indicizzazione di questo contenuto stampato.
Domande frequenti
Chi può creare e gestire i filtri delle autorizzazioni di ricerca (usando i cmdlet New-ComplianceSecurityFilter e Set-ComplianceSecurityFilter)?
Per creare, visualizzare e modificare i filtri delle autorizzazioni di ricerca, è necessario essere membri del gruppo di ruoli Gestione organizzazione nel portale di conformità.
Se un manager di eDiscovery viene assegnato a più di un gruppo di ruoli che si estende su più agenzie, in che modo cerca contenuti in un'agenzia o nell'altra?
Il manager di eDiscovery può aggiungere parametri alla query di ricerca che limitano la ricerca a un'agenzia specifica. Ad esempio, se un'organizzazione ha specificato la proprietà CustomAttribute10 per differenziare le agenzie, può aggiungere quanto segue alla query di ricerca per cercare cassette postali e account OneDrive in un'agenzia specifica: CustomAttribute10:<value>
.
Cosa accade se il valore dell'attributo usato come attributo di conformità in un filtro delle autorizzazioni di ricerca viene modificato?
Un filtro delle autorizzazioni di ricerca richiede fino a tre giorni per applicare il limite di conformità se viene modificato il valore dell'attributo usato nel filtro. Ad esempio, nello scenario Contoso si supponga che un utente dell'agenzia Fourth Coffee venga trasferito all'agenzia Coho Winery. Di conseguenza, il valore dell'attributo Department nell'oggetto utente viene modificato da FourthCoffee a CohoWinery. In questa situazione, Fourth Coffee eDiscovery e gli investitori otterranno i risultati della ricerca per tale utente per un massimo di tre giorni dopo la modifica dell'attributo. Analogamente, ci vogliono fino a tre giorni prima che i responsabili e gli investigatori di Coho Winery eDiscovery ottengano i risultati della ricerca per l'utente.
Un manager di eDiscovery può visualizzare il contenuto da due limiti di conformità separati?
Sì, questa operazione può essere eseguita durante la ricerca nelle cassette postali di Exchange aggiungendo il responsabile di eDiscovery ai gruppi di ruoli che hanno visibilità su entrambe le agenzie. Tuttavia, durante la ricerca di siti di SharePoint e account OneDrive, un responsabile di eDiscovery può cercare contenuto in limiti di conformità diversi solo se le agenzie si trovano nella stessa area geografica o posizione geografica. Nota: Questa limitazione per i siti non si applica in eDiscovery (Premium) perché la ricerca di contenuto in SharePoint e OneDrive non è vincolata dalla posizione geografica.
I filtri delle autorizzazioni di ricerca funzionano per i blocchi dei casi di eDiscovery, i criteri di conservazione di Microsoft 365 o DLP?
Al momento no.
Se si specifica un'area per controllare dove viene esportato il contenuto, ma non si dispone di un'organizzazione di SharePoint in tale area, è comunque possibile eseguire ricerche in SharePoint?
Se l'area specificata nel filtro delle autorizzazioni di ricerca non esiste nell'organizzazione, viene eseguita la ricerca nell'area predefinita.
Qual è il numero massimo di filtri delle autorizzazioni di ricerca che è possibile creare in un'organizzazione?
Non è previsto alcun limite al numero di filtri per le autorizzazioni di ricerca che possono essere creati in un'organizzazione. Tuttavia, una query di ricerca può avere un massimo di 100 condizioni. In questo caso, una condizione viene definita come elemento connesso alla query da un operatore booleano , ad esempio AND, OR e NEAR. Il limite del numero di condizioni include la query di ricerca stessa e tutti i filtri delle autorizzazioni di ricerca applicati all'utente che esegue la ricerca. Di conseguenza, maggiore è il numero di filtri per le autorizzazioni di ricerca disponibili (soprattutto se questi filtri vengono applicati allo stesso utente o gruppo di utenti), maggiore è la probabilità di superare il numero massimo di condizioni per una ricerca.
Per comprendere il funzionamento di questo limite, è necessario comprendere che alla query di ricerca viene aggiunto un filtro delle autorizzazioni di ricerca quando viene eseguita una ricerca. Un filtro delle autorizzazioni di ricerca viene aggiunto alla query di ricerca dall'operatore booleano AND . La logica di query per la query di ricerca e un singolo filtro per le autorizzazioni di ricerca sono simili alle seguenti:
<SearchQuery> AND <PermissionsFilter>
Più filtri delle autorizzazioni di ricerca vengono combinati dall'operatore booleano OR e quindi tali condizioni vengono connesse alla query di ricerca dall'operatore AND .
La logica di query per la query di ricerca e più filtri per le autorizzazioni di ricerca sarà simile alla seguente:
<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)
È possibile che la query di ricerca sia costituita da più condizioni connesse da operatori booleani. Ogni condizione nella query di ricerca viene conteggiata anche rispetto al limite di 100 condizioni.
Inoltre, il numero di filtri delle autorizzazioni di ricerca aggiunti a una query dipende dall'utente che esegue la ricerca. Quando un utente specifico esegue una ricerca, i filtri delle autorizzazioni di ricerca applicati all'utente (definito dal parametro Users nel filtro) vengono aggiunti alla query. L'organizzazione potrebbe avere centinaia di filtri per le autorizzazioni di ricerca, ma se vengono applicati più di 100 filtri agli stessi utenti, è probabile che il limite di 100 condizioni venga superato quando tali utenti eseguono ricerche.
C'è un'altra cosa da tenere a mente circa il limite di condizione. Anche il numero di siti di SharePoint specifici inclusi nella query di ricerca o nei filtri delle autorizzazioni di ricerca viene conteggiato in base a questo limite.
Per impedire all'organizzazione di raggiungere il limite di condizioni, mantenere il numero di filtri delle autorizzazioni di ricerca nell'organizzazione al minor numero possibile per soddisfare i requisiti aziendali.