Compartilhar via


Configurar a filtragem de permissões para Deteção de Dados Eletrónicos

Dica

A Deteção de Dados Eletrónicos (pré-visualização) está agora disponível no novo portal do Microsoft Purview. Para saber mais sobre como utilizar a nova experiência de Deteção de Dados Eletrónicos, veja Saiba mais sobre a Deteção de Dados Eletrónicos (pré-visualização).

Pode utilizar a filtragem de permissões de pesquisa para permitir que um gestor de Deteção de Dados Eletrónicos pesquise apenas um subconjunto de caixas de correio e sites na sua organização. Você também pode usar permissões de filtragem para que esse mesmo gerente de Descoberta Eletrônica procure somente o conteúdo da caixa de correio ou site que atende aos critérios de pesquisa específicos.

Por exemplo, poderá querer que um gestor de Deteção de Dados Eletrónicos pesquise apenas as caixas de correio dos utilizadores numa localização ou departamento específico. Pode fazê-lo ao criar um filtro que utiliza um filtro de destinatário suportado para limitar as caixas de correio que um utilizador específico ou grupo de utilizadores pode procurar. Você também pode criar um filtro que especifica qual conteúdo de caixa de correio pode ser pesquisado. Isso é feito criando um filtro que usa uma propriedade de mensagem pesquisável. Da mesma forma, pode permitir que um gestor de Deteção de Dados Eletrónicos pesquise apenas sites específicos do SharePoint na sua organização. Você pode fazer isso criando um filtro que limita qual site pode ser pesquisado. Você também pode criar um filtro que especifica qual conteúdo de site pode ser pesquisado. Isso é feito criando um filtro que usa uma propriedade de site pesquisável.

Os filtros de permissões de pesquisa são aplicados quando procura conteúdos com a Pesquisa de conteúdos, a Deteção de Dados Eletrónicos do Microsoft Purview (Standard) e a Deteção de Dados Eletrónicos do Microsoft Purview (Premium) no portal de conformidade do Microsoft Purview. Quando um filtro de permissões de pesquisa é aplicado a um usuário específico, esse usuário pode executar as seguintes ações relacionadas à pesquisa:

  • Pesquisar conteúdo
  • Visualização de resultados de pesquisa
  • Exportar resultados da pesquisa
  • Limpar itens retornados por uma pesquisa

Também pode utilizar a filtragem de permissões de pesquisa para criar limites lógicos ( denominados limites de conformidade) numa organização que controla as localizações de conteúdo do utilizador (como caixas de correio, sites do SharePoint e contas do OneDrive) que gestores de Deteção de Dados Eletrónicos específicos podem pesquisar. Para obter mais informações, consulte Como configurar limites de conformidade para investigações de Descoberta Eletrônica.

Os quatro cmdlets seguintes no PowerShell de Conformidade do & de Segurança permitem-lhe configurar e gerir filtros de permissões de pesquisa:

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Requisitos para configurar a filtragem de permissões

  • Para executar os cmdlets de filtro de segurança de conformidade, tem de ser membro do grupo de funções Gestão da Organização no portal de conformidade. Para saber mais, confira Permissões no Centro de Conformidade de Segurança.
  • Tem de se ligar ao Exchange Online e ao PowerShell de Conformidade do & de Segurança para utilizar os cmdlets de filtro de segurança de conformidade. Isto é necessário porque estes cmdlets requerem acesso às propriedades da caixa de correio, razão pela qual tem de se ligar ao PowerShell do Exchange Online. Veja as etapas na próxima seção.
  • Consulte a seção Mais informações para obter informações adicionais sobre os filtros de permissões de pesquisa.
  • A filtragem de permissões de pesquisa é aplicável a caixas de correio inativas, o que significa que pode utilizar a filtragem de conteúdo da caixa de correio e da caixa de correio para limitar quem pode procurar numa caixa de correio inativa. Consulte a secção Mais informações para obter informações adicionais sobre a filtragem de permissões e caixas de correio inativas.
  • A filtragem de permissões de pesquisa não pode ser usada para limitar quem pode pesquisar pastas públicas no Exchange.
  • Não há limite para o número de filtros de permissões de pesquisa que podem ser criados em uma organização. No entanto, uma consulta de pesquisa pode ter no máximo 100 condições. Neste caso, uma condição é definida como algo que está ligado à consulta por um operador Booleano (como AND, OR e NEAR). O limite para o número de condições inclui a própria consulta de pesquisa, além de todos os filtros de permissões de pesquisa aplicados ao usuário que executa a pesquisa. Portanto, mais filtros de permissões de pesquisa você tem (especialmente se esses filtros forem aplicados ao mesmo usuário ou grupo de usuários), maior será a chance de exceder o número máximo de condições para uma pesquisa. Para impedir que a sua organização atinja o limite de condições, mantenha o número de filtros de permissões de pesquisa na sua organização para poucos para satisfazer os seus requisitos empresariais. Para obter mais informações, consulte Como configurar limites de conformidade para investigações de Descoberta Eletrônica.

Ligar ao PowerShell de Conformidade & e Segurança do Exchange Online numa única sessão

Antes de poder executar o script com êxito nesta secção, tem de transferir e instalar o módulo do PowerShell do Exchange Online. Para obter informações, consulte Instalar e manter o módulo do PowerShell do Exchange Online.

  1. Guarde o seguinte texto num ficheiro de script do Windows PowerShell com um sufixo de nome de ficheiro de .ps1. Por exemplo, pode guardá-lo num ficheiro com o nome ConnectEXO-SCC.ps1.

    Import-Module ExchangeOnlineManagement
    $UserCredential = Get-Credential
    Connect-ExchangeOnline -Credential $UserCredential -ShowBanner:$false
    Connect-IPPSSession -Credential $UserCredential
    $Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Exchange Online + Security & Compliance)"
    
  2. No seu computador local, abra o Windows PowerShell, aceda à pasta onde está localizado o script que criou no passo anterior e, em seguida, execute o script; Por exemplo:

    .\ConnectEXO-SCC.ps1
    

Como saber se funcionou? Depois de executar o script, estão disponíveis os cmdlets do PowerShell do Exchange Online e do PowerShell de Conformidade do & de Segurança. Se nenhum erro aparecer, a conexão terá sido estabelecida. Um teste rápido consiste em executar cmdlets do PowerShell do PowerShell do Exchange Online e do PowerShell de Conformidade de & de Segurança. Por exemplo, pode executar Get-Mailbox e Get-ComplianceSearch.

Para resolver erros de ligação do PowerShell, veja:

New-ComplianceSecurityFilter

O cmdlet New-ComplianceSecurityFilter é utilizado para criar um filtro de permissões de pesquisa. Esta é a sintaxe básica para este cmdlet:

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <user or role group> -Filters <filter>

As seções a seguir descrevem os parâmetros para este cmdlet. Todos os parâmetros são necessários para criar um filtro de permissões de pesquisa.

FilterName

O parâmetro FilterName especifica o nome do filtro de permissões. Este nome é utilizado para identificar um filtro ao utilizar os cmdlets Get-ComplianceSecurityFilter, Set-ComplianceSecurityFilter e Remove-ComplianceSecurityFilter .

Filtros

O parâmetro Filters especifica os critérios de pesquisa para o filtro de segurança de conformidade. Você pode criar três tipos diferentes de filtros:

  • Filtragem da caixa de correio ou do OneDrive: Este tipo de filtro especifica as caixas de correio e as contas do OneDrive que os utilizadores atribuídos (especificados pelo parâmetro Utilizadores ) podem procurar. Esse tipo de filtro é chamado de filtro de local de conteúdo porque define os locais de conteúdo que um usuário pode pesquisar. A sintaxe para este tipo de filtro é Mailbox_MailboxPropertyName, em que MailboxPropertyName especifica uma propriedade de caixa de correio utilizada para definir o âmbito das caixas de correio e das contas do OneDrive que podem ser pesquisadas. Por exemplo, o filtro "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" de caixa de correio permitiria que o utilizador atribuído a este filtro pesquisasse apenas as caixas de correio e contas do OneDrive que têm o valor "OttawaUsers" na propriedade CustomAttribute10.

    Qualquer propriedade de destinatário filtrável com suporte pode ser usada para a propriedade MailboxPropertyName em uma caixa de correio ou filtro do OneDrive. A tabela a seguir lista quatro propriedades de destinatário comumente usadas para criar uma caixa de correio ou um filtro do OneDrive. A tabela também inclui um exemplo de como usar a propriedade em um filtro.

    Nome da propriedade Exemplo
    Alias "Mailbox_Alias -like 'v-'"
    Empresa "Mailbox_Company -eq 'Contoso'"
    CountryOrRegion "Mailbox_CountryOrRegion -eq 'United States'"
    Departamento "Mailbox_Department -eq 'Finance'"
  • Filtragem de conteúdo da caixa de correio: Este tipo de filtro é aplicado ao conteúdo que pode ser pesquisado. Esse tipo de filtro é chamado de filtro de conteúdo porque especifica o conteúdo da caixa de correio ou as propriedades de email pesquisáveis que os usuários atribuídos podem pesquisar. A sintaxe para este tipo de filtro é MailboxContent_SearchablePropertyName, em que SearchablePropertyName especifica uma propriedade linguagem KQL (Keyword Query Language) que pode ser especificada numa pesquisa. Por exemplo, o filtro "MailboxContent_Recipients -like 'contoso.com'" de conteúdo da caixa de correio permitiria que o utilizador atribuído a este filtro procurasse apenas mensagens enviadas aos destinatários no domínio contoso.com. Para obter uma lista de propriedades de email pesquisáveis, consulte Consultas de palavra-chave e condições de pesquisa para Descoberta Eletrônica.

    Importante

    Um único filtro de pesquisa não pode conter um filtro de caixa de correio e um filtro de conteúdo de caixa de correio. Para combiná-los num único filtro, tem de utilizar uma lista de filtros. No entanto, um filtro pode conter uma consulta mais complexa do mesmo tipo. Por exemplo, "Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"

  • Filtragem de conteúdo de site e site: Existem dois filtros relacionados com o SharePoint e o OneDrive que pode utilizar para especificar o conteúdo do site ou site que os utilizadores atribuídos podem procurar.

    • Site_QueryableSiteProperty
    • SiteContent_QueryableSiteProperty

    Esses dois filtros são intercambiáveis. Por exemplo, "Site_Path -like 'https://contoso.sharepoint.com/sites/doctors'" e "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'" devolve os mesmos resultados. Para obter uma lista de propriedades de site pesquisáveis, vejaConsultas de palavra-chave e condições de pesquisa para Descoberta Eletrônica. Para obter uma lista mais completa, consulte Visão geral das propriedades rastreadas e gerenciadas no SharePoint. As propriedades marcadas com um Sim na coluna Queryable podem ser utilizadas para criar um filtro de conteúdo de site ou site.

    Importante

    Configurar um filtro de site com uma das propriedades com suporte não significa que a propriedade do site no filtro será propagada para todos os documentos nesse site. Isto significa que o utilizador ainda é responsável por preencher os campos de propriedade específicos associados aos documentos nesse site para que o filtro do site funcione e capture o conteúdo certo. Por exemplo, se o utilizador tiver um filtro de segurança "Site_RefineableString00 -eq "abc" aplicado e, em seguida, o utilizador executar uma pesquisa com a consulta de palavra-chave "xyz". O filtro de segurança é anexado à consulta e a consulta real em execução seria "xyz AND RefineableString0:'abc"". O usuário precisa garantir que os documentos no site realmente tenham valores no campo RefineableString00 como "abc". Caso contrário, a consulta de pesquisa não retornará nenhum resultado.

Lembre-se das seguintes considerações ao configurar o parâmetro Filters para filtros de permissões de pesquisa:

  • Ao contrário das caixas de correio, não há um filtro de local de conteúdo para sites, embora o filtro Site se pareça com um filtro de localização. Todos os filtros do SharePoint e do OneDrive são filtros de conteúdo (razão pela qual os filtros Site_ e SiteContent_ são intercambiáveis) porque as propriedades relacionadas com o site, como Path , são carimbadas diretamente nos documentos. Por que isso ocorre? É um resultado da maneira como o SharePoint foi projetado. No SharePoint, não há um "objeto de site" com propriedades, como há com caixas de correio do Exchange. Portanto, a propriedade Path é carimbada no documento e contém a URL do site onde o documento está localizado. É por isso que um filtro de Site é considerado um filtro de conteúdo e não um filtro de localização de conteúdo.
  • Tem de criar um filtro de permissões de pesquisa para impedir explicitamente os utilizadores de procurarem localizações de conteúdo num serviço específico (como impedir um utilizador de procurar em qualquer caixa de correio do Exchange ou em qualquer site do SharePoint). Em outras palavras, a criação de um filtro de permissões de pesquisa que permite que um usuário pesquise todos os sites do SharePoint na organização não impede que esse usuário pesquise caixas de correio. Por exemplo, para permitir que os administradores do SharePoint procurem apenas sites do SharePoint, tem de criar um filtro que os impeça de procurar caixas de correio. Da mesma forma, para permitir que os administradores do Exchange procurem apenas caixas de correio, tem de criar um filtro que os impeça de procurar sites.

Usuários

O parâmetro Users especifica os usuários que têm este filtro aplicado a suas pesquisas de conteúdo. Identifica os usuários por seus alias ou endereço SMTP principal. Você pode especificar vários valores separados por vírgulas ou pode atribuir o filtro a todos os usuários usando o valor All.

Você também pode usar o parâmetro Users para especificar um grupo de função do portal de conformidade. Isso permite que você crie um grupo de função personalizada e, em seguida, atribua esse grupo de função a um filtro de permissões de pesquisa. Por exemplo, digamos que você tenha um grupo de função personalizada para gerentes de Descoberta Eletrônica para a subsidiária americana de uma multinacional. Pode utilizar o parâmetro Utilizadores para especificar este grupo de funções (utilizando a propriedade Nome do grupo de funções) e, em seguida, utilizar o parâmetro Filter para permitir que apenas as caixas de correio nos E.U.A. sejam pesquisadas. Você não pode especificar um grupo de distribuição com esse parâmetro.

Utilizar uma lista de filtros para combinar tipos de filtro

Uma lista de filtros é um filtro que inclui um filtro de caixa de correio e um filtro de site separado por uma vírgula. Esta vírgula também funciona como um operador OR . A utilização de uma lista de filtros é o único método suportado para combinar diferentes tipos de filtros. No exemplo seguinte, repare que uma vírgula separa os filtros Caixa de Correio e Site :

-Filters "Mailbox_CustomAttribute10 -eq 'OttawaUsers'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'"

Quando um filtro que contém uma lista de filtros é processado durante a execução de uma pesquisa, são criados dois filtros de permissões de pesquisa a partir da lista de filtros: um para cada filtro separado por uma vírgula. Assim, no exemplo anterior, seria criado um filtro de permissões de pesquisa de caixa de correio e um filtro de permissões de pesquisa de sites. Estes filtros estão ligados pelo operador OR .

Uma alternativa à utilização de uma lista de filtros seria criar dois filtros de permissões de pesquisa separados. Assim, no exemplo anterior, iria criar um filtro para o atributo da caixa de correio e um filtro para o atributo site. Em ambos os casos, os resultados são os mesmos. Utilizar uma lista de filtros ou criar filtros de permissões de pesquisa separados é uma questão de preferência.

Tenha em atenção os seguintes aspetos sobre a utilização de uma lista de filtros:

  • Tem de utilizar uma lista de filtros para criar um filtro que inclua um filtro caixa de correio e um filtro MailboxContent .

  • Cada componente de uma lista de filtros pode conter uma sintaxe de filtro complexa. Por exemplo, a caixa de correio e os filtros de site podem conter vários filtros separados por um operador -ou :

    -Filters "Mailbox_Department -eq 'CohoWinery' -or Mailbox_CustomAttribute10 -eq 'CohoUsers'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'"
    

Exemplos de criação de filtros de permissões de pesquisa

Estes são exemplos de como usar o cmdlet New-ComplianceSecurityFilter para criar um filtro de permissões de pesquisa.

Este exemplo permite que os membros do grupo de função "Gerentes de Descoberta dos EUA" pesquisem apenas as caixas de correio e as contas do OneDrive no Estados Unidos.

New-ComplianceSecurityFilter -FilterName USDiscoveryManagers  -Users "US Discovery Managers" -Filters "Mailbox_CountryOrRegion  -eq 'United States'"

Este exemplo permite que o utilizador annb@contoso.com efetue ações de pesquisa apenas para caixas de correio e contas do OneDrive no Canadá. O filtro usa o código de país numérico de três dígitos para o Canadá da ISO 3166-1.

New-ComplianceSecurityFilter -FilterName CountryFilter  -Users annb@contoso.com -Filters "Mailbox_CountryCode  -eq '124'"

Este exemplo permite que os utilizadores donh e suzanf procurem apenas as caixas de correio e as contas do OneDrive que têm o valor "Marketing" para a propriedade da caixa de correio CustomAttribute1.

New-ComplianceSecurityFilter -FilterName MarketingFilter  -Users donh,suzanf -Filters "Mailbox_CustomAttribute1  -eq 'Marketing'"

Este exemplo permite que os membros do grupo de função "Gerentes de Descoberta Eletrônica do Fourth Coffee" pesquisem apenas as caixas de correio e as contas do OneDrive que têm o valor "FourthCoffee" para a propriedade de caixa de correio Department. O filtro também permite que os membros do grupo de funções pesquisem documentos no site do SharePoint do Fourth Coffee .

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

Observação

No exemplo anterior, tem de ser incluído um filtro de conteúdo de site adicional (SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*') para que os membros do grupo de funções possam procurar documentos em contas do OneDrive. Se este filtro não estiver incluído, o filtro só permitirá que os membros do grupo de funções procurem documentos localizados em https://contoso.sharepoint.com/sites/FourthCoffee.

Este exemplo permite que os membros do grupo de função Gerente de Descoberta Eletrônica pesquisem apenas as caixas de correio dos membros do grupo de distribuição Usuários de Ottawa. O cmdlet Get-DistributionGroup no PowerShell do Exchange Online é usado para localizar os membros do grupo Usuários de Ottawa.

$DG = Get-DistributionGroup "Ottawa Users"
New-ComplianceSecurityFilter -FilterName DGFilter  -Users eDiscoveryManager -Filters "Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"

Este exemplo impede que qualquer usuário execute ações de pesquisa nas caixas de correio e nas contas do OneDrive de membros do grupo de distribuição da Equipe Executiva. Isso significa que os usuários podem excluir o conteúdo dessas caixas de correio. O cmdlet Get-DistributionGroup no PowerShell do Exchange Online é usado para localizar os membros do grupo de Equipe Executiva.

$DG = Get-DistributionGroup "Executive Team"
New-ComplianceSecurityFilter -FilterName NoExecutivesPreview  -Users All -Filters "Mailbox_MemberOfGroup -ne '$($DG.DistinguishedName)'"

Este exemplo permite que os membros do grupo de funções personalizado Gerentes de descoberta eletrônica do OneDrive pesquisem apenas o conteúdo em contas do OneDrive na organização.

New-ComplianceSecurityFilter -FilterName OneDriveOnly  -Users "OneDrive eDiscovery Managers" -Filters "SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

Este exemplo restringe o utilizador a realizar ações de pesquisa apenas em mensagens de e-mail enviadas durante o ano civil de 2015.

New-ComplianceSecurityFilter -FilterName EmailDateRestrictionFilter -Users donh@contoso.com -Filters "MailboxContent_Received -ge '01-01-2015' -and MailboxContent_Received -le '12-31-2015'"

Semelhante ao exemplo anterior, este exemplo restringe o utilizador a realizar ações de pesquisa apenas em documentos que foram alterados pela última vez no ano civil de 2015.

New-ComplianceSecurityFilter -FilterName DocumentDateRestrictionFilter -Users donh@contoso.com -Filters "SiteContent_LastModifiedTime -ge '01-01-2015' -and SiteContent_LastModifiedTime -le '12-31-2015'"

Esse exemplo impede que os membros do grupo de função "Gerenciadores de Descoberta do OneDrive" executem ações de pesquisa em qualquer caixa de correio na organização.

New-ComplianceSecurityFilter -FilterName NoEXO -Users "OneDrive Discovery Managers" -Filters "Mailbox_Alias -notlike '*'"

Este exemplo impede que qualquer pessoa na organização efetue ações de pesquisa em mensagens de e-mail enviadas ou recebidas por janets ou sarad.

New-ComplianceSecurityFilter -FilterName NoSaraJanet -Users All -Filters "MailboxContent_Participants -notlike 'janets@contoso.onmicrosoft.com' -and MailboxContent_Participants -notlike 'sarad@contoso.onmicrosoft.com'"

Este exemplo usa uma lista de filtros para combinar filtros de caixa de correio e de site. Neste exemplo, o filtro de caixa de correio é um filtro de local de conteúdo e o filtro de site é um filtro de conteúdo.

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'"

Get-ComplianceSecurityFilter

O Get-ComplianceSecurityFilter é utilizado para devolver uma lista de filtros de permissões de pesquisa. Use o parâmetro FilterName para retornar informações para um filtro de pesquisa específico.

Set-ComplianceSecurityFilter

O Set-ComplianceSecurityFilter é utilizado para modificar um filtro de permissões de pesquisa existente. As seções a seguir descrevem os parâmetros para este cmdlet. O único parâmetro necessário é o FilterName.

FilterName

O parâmetro FilterName especifica o nome do filtro de permissões.

Usuários

O parâmetro Users especifica os usuários que têm este filtro aplicado a suas pesquisas de conteúdo. Uma vez que se trata de uma propriedade de múltiplos valores, especificar um utilizador ou grupo de utilizadores com este parâmetro substitui a lista de utilizadores existente. Veja os seguintes exemplos de sintaxe para adicionar e remover utilizadores selecionados.

Você também pode usar o parâmetro Users para especificar um grupo de função do portal de conformidade. Isso permite que você crie um grupo de função personalizada e, em seguida, atribua esse grupo de função a um filtro de permissões de pesquisa. Por exemplo, digamos que você tenha um grupo de função personalizada para gerentes de Descoberta Eletrônica para a subsidiária americana de uma multinacional. Pode utilizar o parâmetro Utilizadores para especificar este grupo de funções (utilizando a propriedade Nome do grupo de funções) e, em seguida, utilizar o parâmetro Filter para permitir que apenas as caixas de correio nos E.U.A. sejam pesquisadas. Você não pode especificar um grupo de distribuição com esse parâmetro.

Filtros

O parâmetro Filters especifica os critérios de pesquisa para o filtro de segurança de conformidade. Você pode criar três tipos diferentes de filtros:

  • Caixa de correio e filtragem do OneDrive: Este tipo de filtro especifica as caixas de correio e as contas do OneDrive que os utilizadores atribuídos (especificados pelo parâmetro Utilizadores ) podem procurar. A sintaxe para esse tipo de filtro é Mailbox_MailboxPropertyName, onde MailboxPropertyName especifica uma propriedade de caixa de correio usada para criar o escopo de caixas de correio que podem ser pesquisadas. Por exemplo, o filtro "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" de caixa de correio permitiria ao utilizador atribuir este filtro para procurar apenas as caixas de correio que têm o valor "OttawaUsers" na propriedade CustomAttribute10. Qualquer propriedade de destinatário filtrável com suporte pode ser usada para a propriedade MailboxPropertyName. Para obter uma lista das propriedades suportadas, veja Propriedades filtráveis para o parâmetro -RecipientFilter.

  • Filtragem de conteúdo da caixa de correio: Este tipo de filtro é aplicado ao conteúdo que pode ser pesquisado. Especifica o conteúdo da caixa de correio que os utilizadores atribuídos podem procurar. A sintaxe para este tipo de filtro é MailboxContent_SearchablePropertyName, em que SearchablePropertyName especifica uma propriedade linguagem KQL (Keyword Query Language) que pode ser especificada numa pesquisa. Por exemplo, o filtro "MailboxContent_Recipients -like 'contoso.com'" de conteúdo da caixa de correio permitiria que o utilizador atribuído a este filtro procurasse apenas mensagens enviadas aos destinatários no domínio contoso.com. Para obter uma lista de propriedades de email pesquisáveis, consulte Consultas de palavra-chave e condições de pesquisa para Descoberta Eletrônica.

  • Filtragem de conteúdo de site e site: Existem dois filtros relacionados com o site do SharePoint e do OneDrive para Empresas que pode utilizar para especificar o conteúdo do site ou site que os utilizadores atribuídos podem procurar:

    • Site_SearchableSiteProperty
    • SiteContent_SearchableSiteProperty

    Esses dois filtros são intercambiáveis. Por exemplo, "Site_Path -like 'https://contoso.spoppe.com/sites/doctors*'" e "SiteContent_Path -like 'https://contoso.spoppe.com/sites/doctors*'" devolve os mesmos resultados. Para obter uma lista das propriedades do site pesquisáveis, veja Descrição geral das propriedades pesquisadas e geridas no SharePoint. As propriedades marcadas com um Sim na coluna Queryable podem ser utilizadas para criar um filtro de conteúdo de site ou site.

Exemplos de alteração de filtros de permissões de pesquisa

Estes exemplos mostram como utilizar os cmdlets Get-ComplianceSecurityFilter e Set-ComplianceSecurityFilter para adicionar ou remover um utilizador da lista de utilizadores existente a que o filtro está atribuído. Quando você adiciona ou remove usuários de um filtro, especifique o usuário com o endereço SMTP correspondente.

Este exemplo adiciona um usuário ao filtro.

$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.add("pilarp@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users

Este exemplo remove um usuário do filtro.

$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.remove("annb@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users

Remove-ComplianceSecurityFilter

Remove-ComplianceSecurityFilter é utilizado para eliminar um filtro de pesquisa. Use o parâmetro FilterName para especificar o filtro que você deseja excluir.

Mais informações

Como funciona a filtragem de permissões de pesquisa? O filtro de permissões é anexado à consulta de pesquisa quando é executada uma pesquisa. O filtro de permissões é associado à consulta de pesquisa pelo operador E Booleano. A lógica de consulta para a consulta de pesquisa e o filtro de permissões teria o seguinte aspeto:

<SearchQuery> AND <PermissionsFilter>

Por exemplo, tem um filtro de permissões que permite ao João efetuar todas as ações de pesquisa nas caixas de correio dos membros do grupo de distribuição Trabalhos. Em seguida, o João executa uma pesquisa em todas as caixas de correio na organização com a consulta de pesquisa sender:jerry@adatum.com. Uma vez que o filtro de permissões e a consulta de pesquisa são combinados logicamente por um operador AND , a pesquisa devolve qualquer mensagem enviada por jerry@adatum.com para qualquer membro do grupo de distribuição Trabalhos.

O que acontece se você tiver vários filtros de permissões de pesquisa? Numa consulta de pesquisa, vários filtros de permissões são combinados por operadores booleanos OR . Dessa forma, os resultados serão retornados se qualquer um dos filtros for verdadeiro. Numa pesquisa, todos os filtros (combinados por operadores OR ) são combinados com a consulta de pesquisa pelo operador AND .

<SearchQuery> AND  (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>)

Vejamos o exemplo anterior, em que um filtro de pesquisa permite que o João pesquise apenas as caixas de correio dos membros do grupo de distribuição Trabalhos. Em seguida, vamos criar outro filtro que impede que Paulo pesquise a caixa de correio do Pedro ("Mailbox_Alias -ne 'Pedro'"). E vamos supor também que Pedro seja membro do grupo Funcionários. Quando o João executa uma pesquisa (a partir do exemplo anterior) em todas as caixas de correio na organização, os resultados da pesquisa são devolvidos para a caixa de correio do João, apesar de ter aplicado um filtro para impedir o João de procurar na caixa de correio do João. Isso ocorre porque o primeiro filtro, que permite que Paulo pesquise no grupo Funcionários, é verdadeiro. Assim, como Pedro é um membro do grupo Funcionários, Paulo pode pesquisar na caixa de correio dele.

A filtragem de permissões de pesquisa funciona para caixas de correio inativas? Sim, pode utilizar filtros de conteúdo de caixa de correio e caixa de correio para limitar quem pode procurar caixas de correio inativas na sua organização. Tal como uma caixa de correio normal, uma caixa de correio inativa tem de ser configurada com a propriedade do destinatário que é utilizada para criar um filtro de permissões. Se necessário, pode utilizar o comando Get-Mailbox -InactiveMailboxOnly para apresentar as propriedades das caixas de correio inativas. Para obter mais informações, consulte Criar e gerir caixas de correio inativas.

A filtragem de permissões de pesquisa funciona para pastas públicas? Não. Conforme explicado anteriormente, a filtragem de permissões de pesquisa não pode ser utilizada para limitar quem pode procurar pastas públicas no Exchange. Por exemplo, os itens em localizações de pastas públicas não podem ser excluídos dos resultados da pesquisa por um filtro de permissões.

Permitir que um utilizador pesquise todas as localizações de conteúdo num serviço específico também impede que pesquise localizações de conteúdo num serviço diferente? Não. Conforme explicado anteriormente, tem de criar um filtro de permissões de pesquisa para impedir explicitamente os utilizadores de procurarem localizações de conteúdo num serviço específico (como impedir um utilizador de procurar em qualquer caixa de correio do Exchange ou em qualquer site do SharePoint). Em outras palavras, a criação de um filtro de permissões de pesquisa que permite que um usuário pesquise todos os sites do SharePoint na organização não impede que esse usuário pesquise caixas de correio. Por exemplo, para permitir que os administradores do SharePoint procurem apenas sites do SharePoint, tem de criar um filtro que os impeça de procurar caixas de correio. Da mesma forma, para permitir que os administradores do Exchange procurem apenas caixas de correio, tem de criar um filtro que os impeça de procurar sites.

Os filtros de permissões de pesquisa contam para os limites de carateres da consulta de pesquisa? Sim. Os filtros de permissões de pesquisa contam para o limite de carateres das consultas de pesquisa. Para obter mais informações, veja Limites na Deteção de Dados Eletrónicos (Premium).

Qual é o número máximo de filtros de permissões de pesquisa que podem ser criados numa organização?

Não há limite para o número de filtros de permissões de pesquisa que podem ser criados em uma organização. No entanto, uma consulta de pesquisa pode ter no máximo 100 condições. Neste caso, uma condição é definida como algo que está ligado à consulta por um operador Booleano (como AND, OR e NEAR). O limite do número de condições inclui a própria consulta de pesquisa e todos os filtros de permissões de pesquisa que são aplicados ao utilizador que executa a pesquisa. Portanto, mais filtros de permissões de pesquisa você tem (especialmente se esses filtros forem aplicados ao mesmo usuário ou grupo de usuários), maior será a chance de exceder o número máximo de condições para uma pesquisa.

Para compreender como funciona este limite, tem de compreender que um filtro de permissões de pesquisa é anexado à consulta de pesquisa quando uma pesquisa é executada. Um filtro de permissões de pesquisa é associado à consulta de pesquisa pelo operador E Booleano. A lógica de consulta para a consulta de pesquisa e um único filtro de permissões de pesquisa teria o seguinte aspeto:

<SearchQuery> AND <PermissionsFilter>

Vários filtros de permissões de pesquisa são combinados pelo operador BOOleano OR e, em seguida, essas condições são ligadas à consulta de pesquisa pelo operador AND .

A lógica de consulta para a consulta de pesquisa e vários filtros de permissões de pesquisa teria o seguinte aspeto:

<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)

É possível que a própria consulta de pesquisa possa consistir em várias condições ligadas por operadores booleanos. Cada condição na consulta de pesquisa também contaria com o limite de 100 condições.

Além disso, o número de filtros de permissões de pesquisa anexados a uma consulta depende do utilizador que está a executar a pesquisa. Quando um utilizador específico executa uma pesquisa, os filtros de permissões de pesquisa que são aplicados ao utilizador (que é definido pelo parâmetro Utilizadores no filtro) são anexados à consulta. A sua organização pode ter centenas de filtros de permissões de pesquisa, mas se forem aplicados mais de 100 filtros aos mesmos utilizadores, é provável que o limite de 100 condições seja excedido quando esses utilizadores executarem pesquisas.

Há mais uma coisa a ter em conta sobre o limite de condições. O número de sites específicos do SharePoint incluídos na consulta de pesquisa ou nos filtros de permissões de pesquisa também é contabilizado neste limite.

Para impedir que a sua organização atinja o limite de condições, mantenha o número de filtros de permissões de pesquisa na sua organização para poucos para satisfazer os seus requisitos empresariais.