Настройка границ соответствия для расследований обнаружения электронных данных

  • Статья

Рекомендации, приведенные в этой статье, можно применять при использовании Microsoft Purview eDiscovery (стандартный) или Microsoft Purview eDiscovery (премиум) для управления расследованиями.

Границы соответствия требованиям устанавливают логические границы в организации, которые управляют расположениями контента пользователей (такими как почтовые ящики, учетные записи OneDrive и сайты SharePoint), доступными для поиска которые могут искать менеджеры по обнаружению электронных данных. Границы соответствия также определяют, кто может получить доступ к случаям обнаружения электронных данных, используемым для управления юридическими, людскими ресурсами или другими расследованиями в вашей организации.

Необходимость соблюдения границ часто необходима для многонациональных корпораций, которые должны соблюдать географические границы и правила, а также для правительств, которые часто делятся на различные учреждения. В Microsoft 365 границы соответствия помогают соответствовать этим требованиям при выполнении поиска содержимого и управлении расследованиями с помощью случаев обнаружения электронных данных.

Мы будем использовать пример на следующем рисунке, чтобы объяснить, как работают границы соответствия.

Границы соответствия требованиям состоят из фильтров разрешений поиска, которые контролируют доступ к агентствам, и группы ролей администратора, которые контролируют доступ к делам обнаружения электронных данных.

В этом примере Contoso LTD — это организация, состоящая из двух дочерних компаний, Fourth Coffee и Coho Winery. Бизнес требует, чтобы менеджеры по обнаружению электронных данных и следователи могли выполнять поиск только в почтовых ящиках Exchange, учетных записях OneDrive и сайтах SharePoint в своем агентстве. Кроме того, менеджеры по обнаружению электронных данных и следователи могут видеть только случаи обнаружения электронных данных в своем агентстве, и они могут получить доступ только к тем случаям, в которые они являются членом. Кроме того, в этом сценарии следователи не могут размещать содержимое на удержание или экспортировать содержимое из дела. Вот как границы соответствия соответствуют этим требованиям.

  • Функция фильтрации разрешений на поиск для обнаружения электронных данных управляет расположениями содержимого, которые могут выполнять менеджеры и следователи обнаружения электронных данных. Этот контроль означает, что менеджеры по обнаружению электронных данных и следователи в агентстве Fourth Coffee могут искать содержимое только в местах, расположенных в филиале Fourth Coffee. Такое же ограничение применяется к дочерней компании Coho Winery.

  • Группы ролей предоставляют следующие функции для границ соответствия требованиям:

    • Управление тем, кто может просматривать случаи обнаружения электронных данных в Портал соответствия требованиям Microsoft Purview. Этот элемент управления означает, что руководители и следователи могут просматривать случаи обнаружения электронных данных только в своем агентстве.
    • Управление тем, кто может назначать участников делу обнаружения электронных данных. Этот контроль означает, что руководители и следователи обнаружения электронных данных могут назначать участников только тем случаям, членом которых они сами являются.
    • Управление задачами, связанными с обнаружением электронных данных, которые могут выполнять участники, путем добавления или удаления ролей, которые назначают определенные разрешения.

  • Когда фильтр разрешений поиска применяется к группе ролей, члены группы ролей могут выполнять следующие действия, связанные с поиском, при условии, что разрешения на выполнение действия назначены группе ролей:

    • Поиск содержимого
    • Предварительный просмотр результатов поиска
    • Экспорт результатов поиска
    • Очистка элементов, возвращенных поиском

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Перед настройкой границ соответствия требованиям

  • Пользователям должна быть назначена лицензия Exchange Online. Чтобы проверить назначения, используйте командлет Get-User в Exchange Online PowerShell.

Настройка границ соответствия требованиям

Ниже приведены действия по настройке границ соответствия требованиям.

Шаг 1. Определение атрибута пользователя для определения агентств

Первым шагом является выбор атрибута, который будет определять ваши агентства. Этот атрибут используется для создания фильтра разрешений поиска, который ограничивает диспетчер обнаружения электронных данных поиском только в расположении содержимого пользователей, которым назначено определенное значение для этого атрибута. Например, предположим, что contoso решает использовать атрибут Department . Значение этого атрибута для пользователей в дочерней компании Fourth Coffee будет равно FourthCoffee , а значение для пользователей в дочерней компании Coho Winery — CohoWinery. На шаге 3 вы используете эту attribute:value пару (например, Department:FourthCoffee) для ограничения расположений пользовательского содержимого, в которые могут искать менеджеры по обнаружению электронных данных.

Ниже приведены некоторые примеры атрибутов пользователя, которые можно использовать для границ соответствия:

  • Организация
  • CustomAttribute1 — CustomAttribute15
  • Отдел
  • Кабинет
  • CountryOrRegion (двухбуквенный код страны)

Полный список см. в полном списке поддерживаемых фильтров почтовых ящиков.

Шаг 2. Создание группы ролей для каждого агентства

Следующим шагом является создание групп ролей на портале соответствия требованиям, которые будут соответствовать вашим агентствам.

Чтобы создать группы ролей, перейдите на страницу Разрешения на портале соответствия требованиям и создайте группу ролей для каждой команды в каждом агентстве, которая будет использовать границы соответствия требованиям и случаи обнаружения электронных данных для управления расследованиями.

Рекомендуется, чтобы к группам ролей, созданным для границы соответствия, не было присоединенных ролей. Эта группа ролей должна использоваться только для назначения пользователей группе ролей. Для назначения ролей участникам следует использовать отдельные встроенные (диспетчер обнаружения электронных данных) или пользовательские группы ролей. Дополнительные сведения о ролях, связанных с обнаружением электронных данных, см. в разделе Назначение разрешений на обнаружение электронных данных.

В сценарии соответствия требованиям Contoso необходимо создать четыре группы ролей и добавить в каждую из них соответствующих участников.

  • Менеджеры по обнаружению электронных данных Fourth Coffee
  • Следователи Fourth Coffee
  • Менеджеры по обнаружению электронных данных Coho Winery
  • Следователи Coho Winery

Важно!

Если роль добавлена или удалена из группы ролей, которую вы добавили в качестве участника дела, то группа ролей автоматически удаляется как член дела (или в любом случае группа ролей является членом). Причина этого заключается в том, чтобы защитить организацию от непреднамеренного предоставления дополнительных разрешений участникам дела. При удалении группы ролей она удаляется из всех случаев, в которые она входила. Рекомендуется, чтобы группам ролей, созданным для границ соответствия требованиям, не было назначено ролей. Используйте отдельные встроенные или настраиваемые группы ролей для назначения ролей участникам.

Шаг 3. Создание фильтра разрешений поиска для принудительного применения границы соответствия

После создания групп ролей для каждого агентства следующим шагом является создание фильтров разрешений поиска, которые связывают каждую группу ролей с конкретным агентством и определяют саму границу соответствия. Необходимо создать один фильтр разрешений поиска для каждого агентства. Дополнительные сведения о создании фильтров разрешений безопасности см. в разделе Настройка фильтрации разрешений для поиска контента.

Ниже приведен синтаксис, который используется для создания фильтра разрешений поиска, используемого для границ соответствия для сценария, описанного в этой статье.

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <role groups> -Filters "Mailbox_<MailboxPropertyName>  -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"

Ниже приведено описание каждого параметра в команде:

  • FilterName: указывает имя фильтра. Используйте имя, описывающее или идентифицирующее агентство, в котором используется фильтр.

  • Users: указывает пользователей или группы, которые получают этот фильтр, применяемый к выполняемым ими действиям поиска. Для границ соответствия этому параметру указываются группы ролей (созданные на шаге 2) в агентстве, для котором создается фильтр. Этот параметр является многозначным, поэтому можно включить одну или несколько групп ролей, разделенных запятыми.

  • Filters: задает критерии поиска для фильтра. Для границ соответствия требованиям необходимо определить следующие фильтры. Каждый из них применяется к разным расположениям содержимого.

    • Mailbox: указывает почтовые ящики или учетные записи OneDrive, которые могут выполняться группами ролей, определенными в параметре Users . Этот фильтр позволяет членам группы ролей выполнять поиск только в почтовых ящиках или учетных записях OneDrive в определенном агентстве. например, "Mailbox_Department -eq 'FourthCoffee'".

    • SiteContent: этот фильтр включает два отдельных фильтра. Первый SiteContent_Path указывает сайты SharePoint в агентстве, которые группы ролей, определенные в параметре Users , могут выполнять поиск. Например, SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'. Второй SiteContent_Path фильтр (подключенный к первому SiteContent_Path фильтру or оператором) указывает домен OneDrive агентства (также называемый доменом MySite ). Например, SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'. Вместо фильтра также можно использовать Site_Path фильтр SiteContent . Site Фильтры и SiteContent являются взаимозаменяемыми и не влияют на фильтры разрешений на поиск, описанные в этой статье.

      Важно!

      SiteContent Почему фильтр для OneDrive включен в предыдущий фильтр разрешений для поиска? Mailbox Хотя фильтр применяется как к почтовым ящикам, так и к учетным записям OneDrive, включение фильтра SharePoint исключит учетные записи OneDrive, если вы также не включили фильтр OneDriveSite. Если фильтр разрешений на поиск не включал фильтр SharePoint, вам не придется включать отдельный фильтр OneDrive, так как фильтр почтовых ящиков будет включать учетные записи OneDrive в область границы соответствия. Иными словами, фильтр разрешений поиска с фильтром Mailbox будет включать как почтовые ящики, так и учетные записи OneDrive.

Вот примеры двух фильтров разрешений поиска, которые будут созданы для поддержки сценария с ограничениями для соответствия требованиям Contoso. Оба этих примера включают список фильтров, разделенных запятой, в котором фильтры почтовых ящиков и сайтов включены в один фильтр разрешений поиска и разделяются запятой.

Четвертый кофе

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

Винодельня Coho

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

Примечание.

Синтаксис Filters параметров в предыдущих примерах включает список фильтров. Список фильтров — это фильтр, включающий фильтр почтового ящика и фильтр пути к сайту, разделенный запятой. Обратите внимание, что в предыдущем примере запятая разделяет Mailbox и SiteContent фильтрует: -Filters "Mailbox_<MailboxPropertyName> -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'". При обработке этого фильтра во время поиска обнаружения электронных данных из списка фильтров создаются два фильтра разрешений поиска: один фильтр почтового ящика и один фильтр SharePoint/OneDrive. Вместо использования списка фильтров можно создать два отдельных фильтра разрешений на поиск для каждого агентства: один фильтр разрешений поиска для атрибута почтового ящика и один фильтр для атрибутов сайтов SharePoint и OneDrive. В любом случае результаты будут одинаковыми. Использование списка фильтров или создание отдельных фильтров разрешений на поиск является предпочтительной.

Как работают фильтры разрешений для поиска в этом сценарии?

Вот как фильтры разрешений поиска применяются к каждому агентству в этом сценарии.

  1. Фильтр Mailbox сначала применяется для определения расположений содержимого, в которые могут искать диспетчеры обнаружения электронных данных. В этом случае менеджеры coho Winery eDiscovery могут выполнять поиск только в почтовых ящиках и учетных записях OneDrive пользователей, свойство почтового ящика отдела которых имеет значение FourthCoffee. Менеджеры coho Winery eDiscovery могут выполнять поиск только в почтовых ящиках и учетных записях OneDrive пользователей, свойство почтовых ящиков отдела которых имеет значение CohoWinery. Фильтр Mailbox — это фильтр расположения содержимого, так как он указывает расположения содержимого, которые могут выполнять диспетчеры обнаружения электронных данных. В обоих фильтрах диспетчеры обнаружения электронных данных могут искать только расположения содержимого с определенным значением свойства почтового ящика.

  2. После определения расположений содержимого, в которых можно найти, следующая часть фильтра определяет содержимое, которое могут выполнять диспетчеры обнаружения электронных данных. Первый SiteContent фильтр позволяет диспетчерам eDiscovery Fourth Coffee искать только документы со свойством пути к сайту, которое содержит (или начинается с); https://contoso.sharepoint.com/sites/FourthCoffee Менеджеры coho Winery eDiscovery могут выполнять поиск только в документах со свойством пути к сайту, которое содержит (или начинается с). https://contoso.sharepoint.com/sites/CohoWinery Таким образом, два SiteContent фильтра являются фильтрами содержимого , так как они определяют содержимое, которое можно искать. В обоих фильтрах диспетчеры обнаружения электронных данных могут искать только документы с определенным значением свойства документа. Все фильтры, связанные с SharePoint, являются фильтрами содержимого, так как свойства сайта, доступные для поиска, помечены во всех документах. Дополнительные сведения см. в разделе Настройка фильтрации разрешений для обнаружения электронных данных.

    Примечание.

    Хотя сценарий в этой статье не использует их, вы также можете использовать фильтры содержимого почтовых ящиков, чтобы указать содержимое, которое могут искать диспетчеры обнаружения электронных данных. Для фильтров содержимого почтовых ящиков используется "MailboxContent_<property> -<comparison operator> '<value>'"синтаксис . Фильтры содержимого можно создавать на основе диапазонов дат, получателей и доменов или любого свойства электронной почты с возможностью поиска. Например, этот фильтр позволяет диспетчерам обнаружения электронных данных искать только почтовые элементы, отправленные или полученные пользователями в домене contoso.com: "MailboxContent_Participants -like 'contoso.com'". Дополнительные сведения о фильтрах содержимого почтовых ящиков см. в разделе Настройка фильтрации разрешений поиска.

  3. Фильтр разрешений для поиска присоединяется к поисковому запросу с помощью логического оператора AND . Это означает, что когда менеджер по обнаружению электронных данных в одном из агентств выполняет поиск eDiscovery, элементы, возвращаемые поиском, должны соответствовать поисковому запросу и условиям, определенным в фильтре разрешений на поиск.

Шаг 4. Создание дела обнаружения электронных данных для внутриведомственных расследований

Последний шаг — создать дело обнаружения электронных данных (стандартный) или дело eDiscovery (премиум) на портале соответствия требованиям, а затем добавить группу ролей, созданную на шаге 2, в качестве участника дела. Это приводит к двум важным характеристикам использования границ соответствия:

  • Только члены группы ролей, добавленной в дело, смогут просматривать дело и обращаться к ней на портале соответствия требованиям. Например, если группа ролей Fourth Coffee Investigators является единственным участником дела, члены группы ролей «Менеджеры обнаружения электронных данных для четвертого кофе» (или члены любой другой группы ролей) не смогут увидеть дело или получить доступ к ней.

  • Когда член группы ролей, назначенной делу, выполняет поиск, связанный с делом, он сможет выполнять поиск только в расположениях контента в своем агентстве (который определяется фильтром разрешений на поиск, созданным на шаге 3).

Чтобы создать дело и назначить участников, выполните приведенные ниже действия.

  1. Перейдите на страницу eDiscovery (стандартный) или eDiscovery (премиум) на портале соответствия требованиям и создайте дело.

  2. В списке случаев выберите имя созданного дела.

  3. Добавьте группы ролей в качестве участников в дело. Инструкции см. в одной из следующих статей:

Примечание.

При добавлении группы ролей в дело можно добавить только те группы ролей, в которых вы являетесь.

Поиск и экспорт содержимого в средах с несколькими регионами

Фильтры разрешений на поиск также позволяют контролировать, куда направляется содержимое для экспорта и в каком центре обработки данных можно искать при поиске в расположении контента в среде SharePoint с поддержкой нескольких регионов.

  • Экспорт результатов поиска: Результаты поиска можно экспортировать из почтовых ящиков Exchange, сайтов SharePoint и учетных записей OneDrive из определенного центра обработки данных. Это означает, что можно указать расположение центра обработки данных, из которых экспортируются результаты поиска.

    Используйте параметр Region для командлетов New-ComplianceSecurityFilter или Set-ComplianceSecurityFilter , чтобы создать или изменить центр обработки данных, через который направляется экспорт.

    Значение параметра Расположение центра обработки данных
    NAM
    		 Североамериканский (центры обработки данных находятся в США)
    EUR
    		 Европа
    APC
    		 Азиатско-Тихоокеанский регион
    CAN
    		 Канада

  • Маршрутизация поиска содержимого: Поиск содержимого сайтов SharePoint и учетных записей OneDrive можно направлять в вспомогательный центр обработки данных. Это означает, что можно указать расположение центра обработки данных, в котором выполняются поисковые запросы.

    Используйте одно из следующих значений для параметра Region , чтобы управлять расположением центра обработки данных, в который будет выполняться поиск при поиске сайтов SharePoint и учетных записей OneDrive.

    Значение параметра Расположения маршрутизации центров обработки данных для SharePoint
    NAM
    		 Россия
    EUR
    		 Европа
    APC
    		 Азиатско-Тихоокеанский регион
    CAN
    		 Россия
    AUS
    		 Азиатско-Тихоокеанский регион
    KOR
    		 Центр обработки данных организации по умолчанию
    GBR
    		 Европа
    JPN
    		 Азиатско-Тихоокеанский регион
    IND
    		 Азиатско-Тихоокеанский регион
    ЛАМ
    		 Россия
    NOR
    		 Европа
    BRA
    		 Центры обработки данных в Северной Америке

    Если не указать параметр Region для фильтра разрешений поиска, выполняется поиск в основном регионе SharePoint организации. Результаты поиска экспортируются в ближайший центр обработки данных.

    Чтобы упростить концепцию, параметр Region управляет центром обработки данных, который используется для поиска содержимого в SharePoint и OneDrive. Это не относится к поиску содержимого в Exchange, так как поиск контента Exchange не привязан к географическому расположению центров обработки данных. Кроме того, одно и то же значение параметра Region может также определять центр обработки данных, через который направляется экспорт. Это часто необходимо для управления перемещением данных по географическим границам.

Примечание.

Если вы используете обнаружение электронных данных (премиум), параметр Region не управляет регионом, из который экспортируются данные. Данные экспортируются из центрального расположения организации. Кроме того, поиск содержимого в SharePoint и OneDrive не связан с географическим расположением центров обработки данных. Выполняется поиск по всем центрам обработки данных. Дополнительные сведения об обнаружении электронных данных (премиум) см. в статье Обзор решения eDiscovery (премиум) в Microsoft 365.

Ниже приведены примеры использования параметра Region при создании фильтров разрешений поиска для границ соответствия. Это предполагает, что дочерняя компания Fourth Coffee находится в Северная Америка и что Coho Winery находится в Европе.

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region NAM

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region EUR

При поиске и экспорте содержимого в средах с несколькими регионами учитывайте следующее.

  • Параметр Регион не управляет поиском в почтовых ящиках Exchange. Поиск по всем центрам обработки данных будет выполняться при поиске в почтовых ящиках. Чтобы ограничить область в каких почтовых ящиках Exchange выполняется поиск, используйте параметр Filters при создании или изменении фильтра разрешений поиска.

  • Если диспетчеру обнаружения электронных данных необходимо выполнять поиск в нескольких регионах SharePoint, необходимо создать другую учетную запись пользователя для этого диспетчера обнаружения электронных данных, который будет использоваться в фильтре разрешений поиска, чтобы указать регион, в котором находятся сайты SharePoint или учетные записи OneDrive. Дополнительные сведения о настройке см. в разделе "Поиск содержимого в среде SharePoint с поддержкой нескольких регионов" статьи Поиск контента.

  • При поиске содержимого в SharePoint и OneDrive параметр Region направляет поиск в основное или вспомогательное расположение, где диспетчер обнаружения электронных данных будет проводить исследования обнаружения электронных данных. Если диспетчер обнаружения электронных данных выполняет поиск сайтов SharePoint и OneDrive за пределами региона, указанного в фильтре разрешений на поиск, результаты поиска не возвращаются.

  • При экспорте результатов поиска из eDiscovery (стандартный) содержимое из всех расположений содержимого (включая Exchange, Skype для бизнеса, SharePoint, OneDrive и другие службы, в которых можно выполнять поиск с помощью средства поиска контента) передается в хранилище Azure в центре обработки данных, заданное параметром Region. Это помогает организациям оставаться в рамках соответствия требованиям, не разрешая экспорт содержимого через контролируемые границы. Если в фильтре разрешений для поиска не указан ни один регион, содержимое отправляется в основной центр обработки данных организации.

    При экспорте содержимого из eDiscovery (премиум) нельзя управлять отправкой содержимого с помощью параметра Region . Содержимое отправляется в хранилище Azure в центре обработки данных в центральном расположении вашей организации. Список географических расположений, основанных на вашем центральном расположении, см. в разделе Конфигурация обнаружения электронных данных с несколькими регионами Microsoft 365.

  • Чтобы добавить или изменить регион, можно изменить существующий фильтр разрешений на поиск, выполнив следующую команду:

    Set-ComplianceSecurityFilter -FilterName <Filter name>  -Region <Region>

Использование границ соответствия для центральных сайтов SharePoint

Сайты центра SharePoint часто соответствуют тем же географическим границам или границам агентства, за которыми следуют границы соответствия eDiscovery. Это означает, что для создания границы соответствия можно использовать свойство идентификатора сайта концентратора. Для этого используйте командлет Get-SPOHubSite в SharePoint Online PowerShell, чтобы получить SiteId для центрального сайта, а затем используйте это значение для свойства идентификатора отдела, чтобы создать фильтр разрешений поиска.

Используйте следующий синтаксис, чтобы создать фильтр разрешений поиска для центрального сайта SharePoint:

New-ComplianceSecurityFilter -FilterName <Filter Name> -Users <User or Group> -Filters "Site_Departmentid -eq '{SiteId of hub site}'"

Ниже приведен пример создания фильтра разрешений поиска для центрального сайта для агентства Coho Winery:

New-ComplianceSecurityFilter -FilterName "Coho Winery Hub Site Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Site_Departmentid -eq '44252d09-62c4-4913-9eb0-a2a8b8d7f863'"

Ограничения границ соответствия

Учитывайте следующие ограничения при управлении случаями обнаружения электронных данных и исследованиями, которые используют границы соответствия.

  • При создании и выполнении поиска можно выбрать расположения содержимого, которые находятся за пределами вашего учреждения. Однако из-за фильтра разрешений поиска содержимое из этих мест не включается в результаты поиска.

  • Границы соответствия требованиям не применяются к удержаниям в случаях обнаружения электронных данных. Это означает, что менеджер по обнаружению электронных данных в одном учреждении может разместить пользователя в другом учреждении на удержании. Однако ограничение для соответствия требованиям будет принудительно применено, если менеджер по обнаружению электронных данных выполняет поиск в расположениях содержимого пользователя, помещенного на удержание. Это означает, что менеджер по обнаружению электронных данных не сможет выполнять поиск в расположениях содержимого пользователя, хотя и может поместить пользователя на удержание.

  • Если вам назначен фильтр разрешений на поиск (почтовый ящик или фильтр сайта) и вы пытаетесь экспортировать неиндексированные элементы для поиска, который включает все сайты SharePoint в вашей организации, вы получите следующее сообщение об ошибке: Unable to execute the task. Reason: The scope options UnindexedItemsOnly or BothIndexedandUnindexedItems are not allowed when the executing user has a compliance security filter applied. Если вам назначен фильтр разрешений на поиск и вы хотите экспортировать неиндексированные элементы из SharePoint, вам придется повторно запустить поиск и включить определенные сайты SharePoint для поиска. В противном случае вы сможете экспортировать только индексированные элементы из поиска, включающего все сайты SharePoint. Дополнительные сведения о параметрах при экспорте результатов поиска см. в разделе Экспорт результатов поиска контента.

  • Фильтры разрешений поиска не применяются к общедоступным папкам Exchange.

  • Поддерживаемые фильтры поиска: -and, -or, -like, -not, -eqи -ne. Мы не рекомендуем использовать другие фильтры исключений (например, использование -notlike), inotlikeи т. д. в фильтре разрешений для поиска) для границы соответствия на основе содержимого. Использование этих фильтров исключений может привести к непредвиденным результатам, если содержимое с недавно обновленными атрибутами не индексировано.

  • Соблюдение границ соответствия для сайтов OneDrive в поисковых запросах может быть затронуто в следующих случаях:

    • Сайты (или связанные почтовые ящики) перемещаются или повторно размещаются
    • Владение OneDrive назначается повторно или добавляется несколько владельцев
    • Сайт OneDrive переименован или повторно выпущен

    Перемещение сайта OneDrive может изменить владельца содержимого и может включать создание почтового ящика арбитража. При перемещении этих ресурсов результаты поиска контента могут быть доступны через границы соответствия требованиям. Если сайт OneDrive повторно назначается, именуется или назначается нескольким владельцам, содержимое с этих сайтов может быть доступно через границы соответствия требованиям.

  • Границы соответствия для почтовых ящиков могут быть затронуты, когда:

    • Почтовый ящик не связан с лицензированным пользователем (включает отключенных или удаленных пользователей).
    • Почтовый ящик не управляется и не синхронизируется с идентификатором Microsoft Entra

    Кроме того, существует несколько типов почтовых ящиков, которые могут создавать содержимое во время поиска, независимо от границ соответствия требованиям. К этим типам почтовых ящиков относятся:

    • EquipmentMailbox
    • GuestMailUser
    • LinkedMailbox
    • RoomList
    • RoomMailbox
    • SchedulingMailbox
    • SharedMailbox
    • Systemmailbox
    • TeamMailbox

    Чтобы убедиться, что поиск соответствует вашим границам соответствия требованиям, возможно, потребуется обновить разрешения и роли для перемещенных ресурсов.

Дополнительная информация

  • Если почтовый ящик делицензирования или обратимо удален, пользователь больше не будет рассматриваться в рамках границы соответствия. Если удержание было помещено в почтовый ящик при его удалении, на содержимое, сохраненное в почтовом ящике, по-прежнему применяется фильтр разрешений на соответствие требованиям или фильтр разрешений поиска.
  • Если для пользователя реализованы границы соответствия и фильтры разрешений на поиск, рекомендуется не удалять почтовый ящик пользователя, а не его учетную запись OneDrive. Другими словами, при удалении почтового ящика пользователя следует также удалить учетную запись Пользователя OneDrive, так как mailbox_RecipientFilter используется для принудительного применения фильтра разрешений поиска для OneDrive.
  • Границы соответствия требованиям и фильтры разрешений на поиск зависят от атрибутов, маркированных в содержимом в Exchange, OneDrive и SharePoint, а также от последующего индексирования этого содержимого с меткой.

Вопросы и ответы

Кто может создавать фильтры разрешений на поиск и управлять ими (с помощью командлетов New-ComplianceSecurityFilter и Set-ComplianceSecurityFilter)?

Чтобы создавать, просматривать и изменять фильтры разрешений на поиск, необходимо быть членом группы ролей "Управление организацией" на портале соответствия требованиям.

Если менеджеру по обнаружению электронных данных назначено несколько групп ролей, охватывающих несколько агентств, как он ищет содержимое в одном или другом агентстве?

Диспетчер обнаружения электронных данных может добавлять параметры в поисковый запрос, которые ограничивают поиск определенным агентством. Например, если организация указала свойство CustomAttribute10 для дифференцировать агентства, она может добавить в поисковый запрос к поисковым почтовым ящикам и учетным записям OneDrive в определенном агентстве следующее: CustomAttribute10:<value>.

Что произойдет, если значение атрибута, используемого в качестве атрибута соответствия в фильтре разрешений для поиска, изменится?

Фильтр разрешений поиска требует до трех дней, чтобы применить границу соответствия, если значение атрибута, используемого в фильтре, изменяется. Например, в сценарии Contoso предположим, что пользователь из агентства Fourth Coffee передается в агентство Coho Winery. В результате значение атрибута Department в объекте пользователя изменяется с FourthCoffee на CohoWinery. В этой ситуации компания Fourth Coffee eDiscovery и инвесторы будут получать результаты поиска для этого пользователя в течение трех дней после изменения атрибута. Аналогичным образом, руководители и следователи Coho Winery eDiscovery получат результаты поиска пользователя в течение трех дней.

Может ли диспетчер обнаружения электронных данных просматривать содержимое из двух отдельных границ соответствия требованиям?

Да, это можно сделать при поиске почтовых ящиков Exchange, добавив диспетчер обнаружения электронных данных в группы ролей, которые имеют видимость для обоих агентств. Однако при поиске сайтов SharePoint и учетных записей OneDrive менеджер по обнаружению электронных данных может искать содержимое в разных границах соответствия требованиям, только если агентства находятся в одном регионе или географическом расположении. Примечание: Это ограничение для сайтов не применяется к обнаружению электронных данных (премиум), так как поиск содержимого в SharePoint и OneDrive не связан с географическим расположением.

Работают ли фильтры разрешений поиска для удержаний случаев обнаружения электронных данных, политик хранения Microsoft 365 или защиты от потери данных?

В настоящее время нет.

Если я укажу регион для управления экспортом содержимого, но у меня нет организации SharePoint в этом регионе, можно ли по-прежнему выполнять поиск в SharePoint?

Если регион, указанный в фильтре разрешений на поиск, не существует в вашей организации, выполняется поиск в регионе по умолчанию.

Каково максимальное количество фильтров разрешений на поиск, которые можно создать в организации?

Количество фильтров разрешений поиска, которые можно создать в организации, не ограничено. Однако поисковый запрос может содержать не более 100 условий. В этом случае условие определяется как объект, связанный с запросом логическим оператором (например, AND, OR и NEAR). Ограничение количества условий включает сам поисковый запрос, а также все фильтры разрешений поиска, применяемые к пользователю, который выполняет поиск. Таким образом, чем больше фильтров разрешений поиска (особенно если эти фильтры применяются к одному и тому же пользователю или группе пользователей), тем выше вероятность превышения максимального количества условий для поиска.

Чтобы понять, как работает это ограничение, необходимо понимать, что фильтр разрешений поиска добавляется к поисковому запросу при выполнении поиска. Фильтр разрешений для поиска присоединяется к поисковому запросу с помощью логического оператора AND . Логика запроса для поискового запроса и одного фильтра разрешений поиска будет выглядеть следующим образом:

<SearchQuery> AND <PermissionsFilter>

Несколько фильтров разрешений поиска объединяются логическим оператором OR , а затем эти условия подключаются к поисковому запросу с помощью оператора AND .

Логика запроса для поискового запроса и нескольких фильтров разрешений поиска будет выглядеть следующим образом:

<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)

Возможно, сам поисковый запрос может состоять из нескольких условий, связанных логическими операторами. Каждое условие в поисковом запросе также будет учитываться с ограничением в 100 условий.

Кроме того, количество фильтров разрешений на поиск, добавленных в запрос, зависит от пользователя, выполняющего поиск. Когда конкретный пользователь выполняет поиск, к запросу добавляются фильтры разрешений поиска, применяемые к пользователю (который определяется параметром Users в фильтре). В вашей организации могут быть сотни фильтров разрешений на поиск, но если к тем же пользователям применяется более 100 фильтров, то, скорее всего, ограничение в 100 условий будет превышено, когда эти пользователи выполняют поиск.

Есть еще одна вещь, которую следует иметь в виду об ограничении условий. Количество определенных сайтов SharePoint, включенных в поисковый запрос или фильтры разрешений поиска, также учитывается в этом пределе.

Чтобы ваша организация не достигла предела условий, оставьте количество фильтров разрешений поиска в организации как можно меньше, чтобы соответствовать бизнес-требованиям.