Настройка фильтрации разрешений для обнаружения электронных данных
Совет
Обнаружение электронных данных (предварительная версия) теперь доступно на новом портале Microsoft Purview. Дополнительные сведения об использовании нового интерфейса обнаружения электронных данных см. в статье Сведения об обнаружении электронных данных (предварительная версия).
Фильтрация разрешений на поиск позволяет диспетчеру обнаружения электронных данных искать только подмножество почтовых ящиков и сайтов в вашей организации. Кроме того, фильтрацию разрешений можно использовать, чтобы разрешить диспетчеру eDiscovery поиск только содержимого почтовых ящиков или сайтов, которое отвечает определенным условиям поиска.
Например, может потребоваться, чтобы диспетчер обнаружения электронных данных искал только почтовые ящики пользователей в определенном расположении или отделе. Для этого создайте фильтр, который использует поддерживаемый фильтр получателей, чтобы ограничить количество почтовых ящиков, которые может выполнять конкретный пользователь или группа пользователей. Вы также можете создать фильтр, определяющий доступное для поиска пользователем содержимое почтового ящика. Для этого нужно создать фильтр, который использует свойство сообщений, поддерживающее поиск. Аналогичным образом можно разрешить диспетчеру обнаружения электронных данных выполнять поиск только определенных сайтов SharePoint в вашей организации. Для этого нужно создать фильтр, ограничивающий доступные для поиска сайты. Кроме того, вы можете создать фильтр, определяющий доступное для поиска содержимое сайта. Для этого нужно создать фильтр, который использует свойство сайта, поддерживающее поиск.
Фильтры разрешений на поиск применяются при поиске содержимого с помощью поиска контента, обнаружения электронных данных Microsoft Purview (стандартный) и обнаружения электронных данных Microsoft Purview (премиум) на портале соответствия требованиям Microsoft Purview. Когда фильтр разрешений поиска применяется к конкретному пользователю, пользователь может выполнять следующие действия, связанные с поиском:
- Поиск содержимого
- Предварительный просмотр результатов поиска
- Экспорт результатов поиска
- Очистка элементов, возвращенных поиском
Фильтрацию разрешений на поиск можно также использовать для создания логических границ (называемых границами соответствия) в организации, которая управляет расположениями пользовательского содержимого (например, почтовыми ящиками, сайтами SharePoint и учетными записями OneDrive), которые могут выполнять определенные менеджеры по обнаружению электронных данных. Дополнительные сведения см. в статье Установка ограничений соответствия требованиям для исследований обнаружения электронных данных.
Следующие четыре командлета в PowerShell для соответствия требованиям безопасности & позволяют настраивать фильтры разрешений на поиск и управлять ими:
- New-ComplianceSecurityFilter
- Get-ComplianceSecurityFilter
- Set-ComplianceSecurityFilter
- Remove-ComplianceSecurityFilter
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Требования для настройки фильтрации разрешений
- Чтобы выполнить командлеты фильтра безопасности соответствия требованиям, необходимо быть членом группы ролей Управление организацией на портале соответствия требованиям. Дополнительные сведения см. в статье Разрешения в Центре безопасности и соответствия требованиям.
- Чтобы использовать командлеты фильтра безопасности для соответствия требованиям, необходимо подключиться к Exchange Online и Безопасности & PowerShell. Это необходимо, так как для этих командлетов требуется доступ к свойствам почтового ящика, поэтому необходимо подключиться к Exchange Online PowerShell. См. инструкции в следующем разделе.
- Дополнительные сведения о фильтрах разрешений поиска см. в статье More information.
- Фильтрация разрешений на поиск применима к неактивным почтовым ящикам. Это означает, что вы можете использовать фильтрацию содержимого почтовых ящиков и почтовых ящиков, чтобы ограничить число пользователей, которые могут выполнять поиск в неактивном почтовом ящике. Дополнительные сведения о фильтрации разрешений и неактивных почтовых ящиках см. в разделе Дополнительные сведения .
- Фильтрация разрешений поиска не может использоваться для ограничения числа пользователей, которые могут выполнять поиск в общедоступных папках в Exchange.
- Количество фильтров разрешений поиска, которые можно создать в организации, не ограничено. Однако поисковый запрос может содержать не более 100 условий. В этом случае условие определяется как объект, связанный с запросом логическим оператором (например, AND, OR и NEAR). Ограничение на количество условий включает сам поисковый запрос, а также все фильтры разрешений на поиск, которые применяются к пользователю, выполняющему поиск. Таким образом, чем больше фильтров разрешений поиска (особенно если эти фильтры применяются к одному и тому же пользователю или группе пользователей), тем выше вероятность превышения максимального количества условий для поиска. Чтобы ваша организация не достигла предела условий, оставьте количество фильтров разрешений поиска в организации как можно меньше, чтобы соответствовать бизнес-требованиям. Дополнительные сведения см. в статье Установка ограничений соответствия требованиям для исследований обнаружения электронных данных.
Подключение к Exchange Online и безопасности & соответствия требованиям PowerShell за один сеанс
Прежде чем успешно запустить скрипт в этом разделе, необходимо скачать и установить модуль PowerShell Exchange Online. Дополнительные сведения см. в статье Установка и обслуживание модуля Exchange Online PowerShell.
Сохраните следующий текст в файл скрипта Windows PowerShell с помощью суффикса имени файла .ps1. Например, его можно сохранить в файл с именемConnectEXO-SCC.ps1.
Import-Module ExchangeOnlineManagement $UserCredential = Get-Credential Connect-ExchangeOnline -Credential $UserCredential -ShowBanner:$false Connect-IPPSSession -Credential $UserCredential $Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Exchange Online + Security & Compliance)"
На локальном компьютере откройте Windows PowerShell, перейдите в папку, в которой находится скрипт, созданный на предыдущем шаге, и запустите скрипт. Например:
.\ConnectEXO-SCC.ps1
Как узнать, работает ли это? После выполнения скрипта доступны командлеты Из Exchange Online PowerShell и PowerShell для обеспечения безопасности & соответствия. Если при этом не возникают ошибки, подключение установлено. Краткий тест заключается в выполнении командлетов PowerShell для Exchange Online и безопасности & соответствия требованиям. Например, можно запустить и Get-Mailbox и Get-ComplianceSearch.
Сведения об устранении ошибок подключения PowerShell см. в следующей статье:
- Подключение к PowerShell Exchange Online
- Подключение к PowerShell безопасности и соответствия требованиям
New-ComplianceSecurityFilter
Командлет New-ComplianceSecurityFilter используется для создания фильтра разрешений поиска. Ниже приведен базовый синтаксис этого командлета:
New-ComplianceSecurityFilter -FilterName <name of filter> -Users <user or role group> -Filters <filter>
В таблице ниже описаны параметры этого командлета. Все параметры необходимы для создания фильтра разрешений поиска
FilterName
Параметр FilterName определяет имя фильтра разрешений. Это имя используется для идентификации фильтра при использовании командлетов Get-ComplianceSecurityFilter, Set-ComplianceSecurityFilter и Remove-ComplianceSecurityFilter .
Фильтры
Параметр Filters определяет критерии поиска для фильтра соответствия требованиям безопасности. Можно создать три различных типа фильтров, указанные ниже.
Фильтрация почтовых ящиков или OneDrive: Этот тип фильтра определяет почтовые ящики и учетные записи OneDrive, которые могут выполнять поиск назначенных пользователей (указанных параметром Users ). Этот тип фильтра называется фильтром расположения содержимого, так как он определяет расположения содержимого, которые пользователь может искать. Синтаксис этого типа фильтра — Mailbox_MailboxPropertyName, где MailboxPropertyName указывает свойство почтового ящика, используемое для области почтовых ящиков и учетных записей OneDrive, в которых можно выполнять поиск. Например, фильтр
"Mailbox_CustomAttribute10 -eq 'OttawaUsers'"
почтовых ящиков позволит пользователю, назначаемому этому фильтру, выполнять поиск только в почтовых ящиках и учетных записях OneDrive со значением "OttawaUsers" в свойстве CustomAttribute10.Для свойства MailboxPropertyName в почтовом ящике или фильтре OneDrive можно использовать любое поддерживаемое свойство получателя с возможностью фильтрации. В следующей таблице перечислены четыре часто используемых свойства получателя, используемых для создания почтового ящика или фильтра OneDrive. Таблица также содержит пример использования свойства в фильтре.
Имя свойства Пример Alias "Mailbox_Alias -like 'v-'"
Организация "Mailbox_Company -eq 'Contoso'"
CountryOrRegion "Mailbox_CountryOrRegion -eq 'United States'"
Отдел "Mailbox_Department -eq 'Finance'"
Фильтрация содержимого почтового ящика: Этот тип фильтра применяется к содержимому, по которому можно искать. Этот тип фильтра называется фильтром содержимого, так как он определяет содержимое почтового ящика или доступные для поиска свойства электронной почты, которые могут искать назначенные пользователи. Синтаксис этого типа фильтра — MailboxContent_SearchablePropertyName, где SearchablePropertyName указывает свойство KQL, которое можно указать в поиске. Например, фильтр
"MailboxContent_Recipients -like 'contoso.com'"
содержимого почтового ящика позволит пользователю, назначаемому этому фильтру, искать только сообщения, отправленные получателям в домене contoso.com. Список свойств электронной почты, доступных для поиска, см. в статье Запросы по ключевым словам и условия поиска для обнаружения электронных данных.Важно!
Один фильтр поиска не может содержать фильтр почтового ящика и фильтр содержимого почтового ящика. Чтобы объединить их в одном фильтре, необходимо использовать список фильтров. Однако он может содержать более сложный запрос одного типа. Пример:
"Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"
Фильтрация сайта и содержимого сайта: Существует два фильтра, связанных с SharePoint и OneDrive, которые можно использовать, чтобы указать, какой сайт или содержимое сайта могут искать назначенные пользователи.
- Site_QueryableSiteProperty
- SiteContent_QueryableSiteProperty
Эти два фильтра являются взаимозаменяемыми. Например,
"Site_Path -like 'https://contoso.sharepoint.com/sites/doctors'"
и"SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'"
возвращают те же результаты. Список доступных для поиска свойств сайта см. в статье Запросы по ключевым словам и условия поиска для обнаружения электронных данных. Более полный список см. в статье Обзор свойств для обхода и управляемых свойств в SharePoint. Свойства, помеченные как Да в столбце Запрашиваемая возможность , можно использовать для создания сайта или фильтра содержимого сайта.Важно!
Настройка фильтра сайта с одним из поддерживаемых свойств не означает, что свойство сайта в фильтре будет распространяться на все документы на этом сайте. Это означает, что пользователь по-прежнему несет ответственность за заполнение определенных полей свойств, связанных с документами на этом сайте, чтобы фильтр сайта работал и захватывал нужное содержимое. Например, если к пользователю применен фильтр безопасности "Site_RefineableString00 -eq "abc", а затем пользователь выполняет поиск с помощью запроса по ключевому слову "xyz". Фильтр безопасности добавляется к запросу, и фактически выполняемый запрос будет "xyz AND RefineableString0:'abc'". Пользователь должен убедиться, что документы на сайте действительно имеют значения в поле RefineableString00 как "abc". В противном случае поисковый запрос не вернет никаких результатов.
При настройке параметра Filters для фильтров разрешений поиска следует учитывать следующие моменты:
- В отличие от почтовых ящиков, для сайтов не существует фильтра расположения содержимого, даже если фильтр сайта выглядит как фильтр расположения. Все фильтры для SharePoint и OneDrive являются фильтрами содержимого (поэтому Site_ и SiteContent_ фильтры являются взаимозаменяемыми), так как связанные с сайтом свойства, такие как Path , помечены непосредственно в документах. Почему это происходит? Это результат того, как разработан SharePoint. В SharePoint нет "объекта сайта" со свойствами, как в почтовых ящиках Exchange. Таким образом, свойство Path проставляется в документе и содержит URL-адрес сайта, на котором находится документ. Именно поэтому фильтр сайта считается фильтром содержимого, а не фильтром расположения контента.
- Необходимо создать фильтр разрешений на поиск, чтобы явным образом запретить пользователям искать содержимое в определенных службах (например, запретить пользователю поиск в любом почтовом ящике Exchange или на любом сайте SharePoint). Иными словами, создание фильтра разрешений поиска, который позволяет пользователю выполнять поиск на всех сайтах SharePoint в организации, не мешает этому пользователю выполнять поиск в почтовых ящиках. Например, чтобы разрешить администраторам SharePoint выполнять поиск только на сайтах SharePoint, необходимо создать фильтр, который запрещает им выполнять поиск в почтовых ящиках. Аналогичным образом, чтобы разрешить администраторам Exchange выполнять поиск только в почтовых ящиках, необходимо создать фильтр, который запрещает им выполнять поиск на сайтах.
Пользователи
Параметр Users определяет пользователей, для которых применяется этот фильтр при выполнении поиска. Пользователи определяются по псевдониму или основному SMTP-адресу. Вы можете указать несколько значений, разделенных запятыми, или назначить фильтр всем пользователям, используя значение All.
Параметр Users также можно использовать для определения группы ролей портала соответствия требованиям. С его помощью можно создать настраиваемую группу ролей, а затем назначить ей фильтр разрешений поиска. Предположим, у вас есть настраиваемая группа ролей для диспетчеров eDiscovery в дочернем подразделении международной корпорации, находящемся в США. Можно использовать параметр Users для указания этой группы ролей (с помощью свойства Name группы ролей), а затем использовать параметр Filter , чтобы разрешить поиск только почтовым ящикам в США. Этот параметр не позволяет указать группы рассылки.|
Использование списка фильтров для объединения типов фильтров
Список фильтров — это фильтр, включающий фильтр почтового ящика и фильтр сайта, разделенные запятой. Эта запятая также функционирует как оператор OR . Использование списка фильтров является единственным поддерживаемым методом для объединения различных типов фильтров. В следующем примере обратите внимание, что запятая разделяет фильтры почтовых ящиков и сайтов :
-Filters "Mailbox_CustomAttribute10 -eq 'OttawaUsers'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'"
При обработке фильтра, содержащего список фильтров, во время выполнения поиска из списка фильтров создаются два фильтра разрешений на поиск: по одному для каждого фильтра, разделенного запятой. Таким образом, в предыдущем примере будет создан один фильтр разрешений для поиска почтовых ящиков и один фильтр разрешений для поиска на сайте. Эти фильтры подключаются оператором OR .
Альтернативой использованию списка фильтров является создание двух отдельных фильтров разрешений для поиска. Таким образом, в предыдущем примере вы создали один фильтр для атрибута почтового ящика и один фильтр для атрибута сайта. В любом случае результаты совпадают. Использование списка фильтров или создание отдельных фильтров разрешений на поиск является предпочтительной.
Помните о том, как использовать список фильтров:
Чтобы создать фильтр, включающий фильтр почтовых ящиков и фильтр MailboxContent , необходимо использовать список фильтров фильтров.
Каждый компонент списка фильтров может содержать сложный синтаксис фильтра. Например, фильтры почтовых ящиков и сайтов могут содержать несколько фильтров, разделенных оператором -или :
-Filters "Mailbox_Department -eq 'CohoWinery' -or Mailbox_CustomAttribute10 -eq 'CohoUsers'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'"
Примеры создания фильтров разрешений поиска
Ниже приведены примеры использования командлета New-ComplianceSecurityFilter для создания фильтра разрешений поиска.
В этом примере членам группы ролей "US Discovery Managers" разрешается выполнять поиск только в почтовых ящиках и учетных записях OneDrive в США.
New-ComplianceSecurityFilter -FilterName USDiscoveryManagers -Users "US Discovery Managers" -Filters "Mailbox_CountryOrRegion -eq 'United States'"
В этом примере пользователь annb@contoso.com может выполнять действия поиска только для почтовых ящиков и учетных записей OneDrive в Канаде. Этот фильтр содержит трехзначный числовой код Канады по стандарту ISO 3166-1.
New-ComplianceSecurityFilter -FilterName CountryFilter -Users annb@contoso.com -Filters "Mailbox_CountryCode -eq '124'"
В этом примере пользователи donh и suzanf могут искать только почтовые ящики и учетные записи OneDrive со значением Marketing для свойства CustomAttribute1 mailbox.
New-ComplianceSecurityFilter -FilterName MarketingFilter -Users donh,suzanf -Filters "Mailbox_CustomAttribute1 -eq 'Marketing'"
В этом примере участники группы ролей "Fourth Coffee eDiscovery Managers" могут выполнять поиск только в почтовых ящиках и учетных записях OneDrive со значением "FourthCoffee" для свойства почтовых ящиков отдела. Фильтр также позволяет участникам группы ролей искать документы на сайте SharePoint Fourth Coffee.
New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"
Примечание.
В предыдущем примере необходимо включить дополнительный фильтр содержимого сайта (SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'
), чтобы участники группы ролей могли искать документы в учетных записях OneDrive. Если этот фильтр не включен, он позволит только членам группы ролей искать документы, расположенные в https://contoso.sharepoint.com/sites/FourthCoffee
.
В этом примере члены группы ролей "eDiscovery Manager" могут выполнять поиск только в почтовых ящиках и учетных записях OneDrive членов группы рассылки Ottawa Users. Командлет Get-DistributionGroup в Exchange Online PowerShell используется для поиска членов группы "Ottawa Users".
$DG = Get-DistributionGroup "Ottawa Users"
New-ComplianceSecurityFilter -FilterName DGFilter -Users eDiscoveryManager -Filters "Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"
В этом примере всем пользователям запрещается выполнять поиск в почтовых ящиках и учетных записях OneDrive, принадлежащих членам группы рассылки Executive Team. Это означает, что пользователи могут удалять содержимое из этих почтовых ящиков. Командлет Get-DistributionGroup в Exchange Online PowerShell используется для поиска членов группы "Executive Team".
$DG = Get-DistributionGroup "Executive Team"
New-ComplianceSecurityFilter -FilterName NoExecutivesPreview -Users All -Filters "Mailbox_MemberOfGroup -ne '$($DG.DistinguishedName)'"
В этом примере членам настраиваемой группы ролей OneDrive "eDiscovery Managers" разрешается искать содержимое только в учетных записях OneDrive в организации.
New-ComplianceSecurityFilter -FilterName OneDriveOnly -Users "OneDrive eDiscovery Managers" -Filters "SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"
В этом примере пользователь может выполнять действия поиска только в сообщениях электронной почты, отправленных в течение 2015 календарного года.
New-ComplianceSecurityFilter -FilterName EmailDateRestrictionFilter -Users donh@contoso.com -Filters "MailboxContent_Received -ge '01-01-2015' -and MailboxContent_Received -le '12-31-2015'"
Как и в предыдущем примере, в этом примере пользователь может выполнять действия поиска только по документам, которые в последний раз были изменены в 2015 календарном году.
New-ComplianceSecurityFilter -FilterName DocumentDateRestrictionFilter -Users donh@contoso.com -Filters "SiteContent_LastModifiedTime -ge '01-01-2015' -and SiteContent_LastModifiedTime -le '12-31-2015'"
В этом примере участники группы ролей "OneDrive Discovery Managers" не могут выполнять действия поиска в любом почтовом ящике в организации.
New-ComplianceSecurityFilter -FilterName NoEXO -Users "OneDrive Discovery Managers" -Filters "Mailbox_Alias -notlike '*'"
В этом примере любой пользователь в организации не может выполнять действия по поиску сообщений электронной почты, отправленных или полученных janets или sarad.
New-ComplianceSecurityFilter -FilterName NoSaraJanet -Users All -Filters "MailboxContent_Participants -notlike 'janets@contoso.onmicrosoft.com' -and MailboxContent_Participants -notlike 'sarad@contoso.onmicrosoft.com'"
В этом примере список фильтров используется для объединения фильтров почтовых ящиков и сайтов. В этом примере фильтр почтового ящика является фильтром расположения содержимого, а фильтр сайта — фильтром содержимого.
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'"
Get-ComplianceSecurityFilter
Get-ComplianceSecurityFilter используется для возврата списка фильтров разрешений поиска. С помощью параметра FilterName можно просмотреть сведения о конкретном фильтре поиска.
Set-ComplianceSecurityFilter
Set-ComplianceSecurityFilter используется для изменения существующего фильтра разрешений поиска. В таблице ниже описаны параметры этого командлета. Единственный обязательный параметр — это FilterName.
FilterName
Параметр FilterName определяет имя фильтра разрешений.
Пользователи
Параметр Users определяет пользователей, для которых применяется этот фильтр при выполнении поиска. Так как это многозначное свойство, указывающее пользователя или группу пользователей с этим параметром, перезаписывает существующий список пользователей. Синтаксис добавления и удаления выбранных пользователей см. в следующих примерах.
Параметр Users также можно использовать для определения группы ролей портала соответствия требованиям. С его помощью можно создать настраиваемую группу ролей, а затем назначить ей фильтр разрешений поиска. Предположим, у вас есть настраиваемая группа ролей для диспетчеров eDiscovery в дочернем подразделении международной корпорации, находящемся в США. Можно использовать параметр Users для указания этой группы ролей (с помощью свойства Name группы ролей), а затем использовать параметр Filter , чтобы разрешить поиск только почтовым ящикам в США. Этот параметр не позволяет указать группы рассылки.
Фильтры
Параметр Filters определяет критерии поиска для фильтра соответствия требованиям безопасности. Можно создать три различных типа фильтров, указанные ниже.
Фильтрация почтовых ящиков и OneDrive: Этот тип фильтра определяет почтовые ящики и учетные записи OneDrive, которые могут выполнять поиск назначенных пользователей (указанных параметром Users ). Синтаксис этого типа фильтра: Mailbox_MailboxPropertyName, где параметр MailboxPropertyName определяет свойство почтового ящика, ограничивающее доступные для поиска почтовые ящики. Например, фильтр
"Mailbox_CustomAttribute10 -eq 'OttawaUsers'"
почтовых ящиков позволит пользователю, назначаемому этому фильтру, выполнять поиск только в почтовых ящиках со значением "OttawaUsers" в свойстве CustomAttribute10. Для свойства MailboxPropertyName можно использовать любое поддерживаемое фильтруемое свойство получателя. Список поддерживаемых свойств см. в разделе Фильтруемые свойства для параметра -RecipientFilter.Фильтрация содержимого почтового ящика: Этот тип фильтра применяется к содержимому, по которому можно искать. Он указывает содержимое почтового ящика, которое назначенные пользователи могут искать. Синтаксис этого типа фильтра — MailboxContent_SearchablePropertyName, где SearchablePropertyName указывает свойство KQL, которое можно указать в поиске. Например, фильтр
"MailboxContent_Recipients -like 'contoso.com'"
содержимого почтового ящика позволит пользователю, назначаемому этому фильтру, искать только сообщения, отправленные получателям в домене contoso.com. Список свойств электронной почты, доступных для поиска, см. в статье Запросы по ключевым словам и условия поиска для обнаружения электронных данных.Фильтрация сайта и содержимого сайта: Существуют два фильтра, связанных с сайтами SharePoint и OneDrive для бизнеса, которые можно использовать, чтобы указать, какой сайт или содержимое сайта могут искать назначенные пользователи:
- Site_SearchableSiteProperty
- SiteContent_SearchableSiteProperty
Эти два фильтра являются взаимозаменяемыми. Например,
"Site_Path -like 'https://contoso.spoppe.com/sites/doctors*'"
и"SiteContent_Path -like 'https://contoso.spoppe.com/sites/doctors*'"
возвращают те же результаты. Список свойств сайта, доступных для поиска, см. в статье Обзор свойств для обхода и управляемых свойств в SharePoint. Свойства, помеченные как Да в столбце Запрашиваемая возможность , можно использовать для создания сайта или фильтра содержимого сайта.
Примеры изменения фильтров разрешений поиска
В этих примерах показано, как использовать командлеты Get-ComplianceSecurityFilter и Set-ComplianceSecurityFilter для добавления или удаления пользователя в существующий список пользователей, которому назначен фильтр. При добавлении или удалении пользователей из фильтра укажите их SMTP-адрес.
В этом примере пользователь добавляется к фильтру.
$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.add("pilarp@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users
В этом примере пользователь удаляется из фильтра.
$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.remove("annb@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users
Remove-ComplianceSecurityFilter
Remove-ComplianceSecurityFilter используется для удаления фильтра поиска. Параметр FilterName позволяет указать фильтр, который требуется удалить.
Дополнительная информация
Как работает фильтрация разрешений поиска? Фильтр разрешений добавляется к поисковому запросу при выполнении поиска. Фильтр разрешений присоединяется к поисковому запросу с помощью логического оператора AND . Логика запроса для поискового запроса и фильтра разрешений будет выглядеть следующим образом:
<SearchQuery> AND <PermissionsFilter>
Например, у вас есть фильтр разрешений, который позволяет Бобу выполнять все действия поиска в почтовых ящиках членов группы рассылки Рабочие роли. Затем Боб выполняет поиск по всем почтовым ящикам в организации с помощью поискового запроса sender:jerry@adatum.com
. Так как фильтр разрешений и поисковый запрос логически объединяются оператором AND , поиск возвращает любое сообщение, отправленное jerry@adatum.com любому члену группы рассылки Рабочие роли.
Что происходит, если у вас несколько фильтров разрешений поиска? В поисковом запросе несколько фильтров разрешений объединяются логическими операторами OR . Поэтому результаты возвращаются, если применяется любой из фильтров. В поиске все фильтры (объединенные операторами OR ) затем объединяются с поисковым запросом оператором AND .
<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>)
Рассмотрим предыдущий пример, где фильтр поиска позволяет Бобу выполнять поиск только по почтовым ящикам членов группы рассылки "Рабочие роли". Затем создадим другой фильтр, который запрещает Ивану выполнять поиск в почтовом ящике Глеба (Mailbox_Alias -ne 'Gleb'). Допустим, что Глеб входит в группу "Сотрудники". Когда Боб выполняет поиск (из предыдущего примера) во всех почтовых ящиках в организации, результаты поиска возвращаются для почтового ящика Фила, даже если вы применили фильтр, чтобы запретить Бобу выполнять поиск в почтовом ящике Фила. Дело в том, что применяется первый фильтр (который разрешает Ивану выполнять поиск в группе "Сотрудники"). А так как Глеб входит в группу "Сотрудники", Иван может выполнять поиск в почтовом ящике Глеба.
Работает ли фильтрация разрешений поиска для неактивных почтовых ящиков? Да, вы можете использовать фильтры содержимого почтовых ящиков и почтовых ящиков, чтобы ограничить количество пользователей, которые могут искать неактивные почтовые ящики в вашей организации. Как и обычный почтовый ящик, неактивный почтовый ящик должен быть настроен с помощью свойства получателя, которое используется для создания фильтра разрешений. При необходимости можно использовать команду Get-Mailbox -InactiveMailboxOnly для отображения свойств неактивных почтовых ящиков. Дополнительные сведения см. в статье Создание неактивных почтовых ящиков и управление ими.
Работает ли фильтрация разрешений поиска для общедоступных папок? Нет. Как уже говорилось ранее, фильтрация разрешений на поиск не может использоваться для ограничения числа пользователей, которые могут выполнять поиск в общедоступных папках в Exchange. Например, элементы в общедоступных папках не могут быть исключены из результатов поиска с помощью фильтра разрешений.
Запрещает ли пользователь выполнять поиск по всем расположениям контента в определенной службе искать расположения контента в другой службе? Нет. Как уже говорилось ранее, необходимо создать фильтр разрешений поиска, чтобы явным образом запретить пользователям выполнять поиск в расположениях содержимого в определенной службе (например, запретить пользователю выполнять поиск в любом почтовом ящике Exchange или на любом сайте SharePoint). Иными словами, создание фильтра разрешений поиска, который позволяет пользователю выполнять поиск на всех сайтах SharePoint в организации, не мешает этому пользователю выполнять поиск в почтовых ящиках. Например, чтобы разрешить администраторам SharePoint выполнять поиск только на сайтах SharePoint, необходимо создать фильтр, который запрещает им выполнять поиск в почтовых ящиках. Аналогичным образом, чтобы разрешить администраторам Exchange выполнять поиск только в почтовых ящиках, необходимо создать фильтр, который запрещает им выполнять поиск на сайтах.
Учитываются ли фильтры разрешений поиска в отношении ограничений символов поискового запроса? Да. Разрешения на поиск фильтруют количество символов в поисковых запросах. Дополнительные сведения см. в разделе Ограничения в обнаружении электронных данных (премиум).
Каково максимальное количество фильтров разрешений на поиск, которые можно создать в организации?
Количество фильтров разрешений поиска, которые можно создать в организации, не ограничено. Однако поисковый запрос может содержать не более 100 условий. В этом случае условие определяется как объект, связанный с запросом логическим оператором (например, AND, OR и NEAR). Ограничение количества условий включает сам поисковый запрос, а также все фильтры разрешений поиска, применяемые к пользователю, который выполняет поиск. Таким образом, чем больше фильтров разрешений поиска (особенно если эти фильтры применяются к одному и тому же пользователю или группе пользователей), тем выше вероятность превышения максимального количества условий для поиска.
Чтобы понять, как работает это ограничение, необходимо понимать, что фильтр разрешений поиска добавляется к поисковому запросу при выполнении поиска. Фильтр разрешений для поиска присоединяется к поисковому запросу с помощью логического оператора AND . Логика запроса для поискового запроса и одного фильтра разрешений поиска будет выглядеть следующим образом:
<SearchQuery> AND <PermissionsFilter>
Несколько фильтров разрешений поиска объединяются логическим оператором OR , а затем эти условия подключаются к поисковому запросу с помощью оператора AND .
Логика запроса для поискового запроса и нескольких фильтров разрешений поиска будет выглядеть следующим образом:
<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)
Возможно, сам поисковый запрос может состоять из нескольких условий, связанных логическими операторами. Каждое условие в поисковом запросе также будет учитываться с ограничением в 100 условий.
Кроме того, количество фильтров разрешений на поиск, добавленных в запрос, зависит от пользователя, выполняющего поиск. Когда конкретный пользователь выполняет поиск, к запросу добавляются фильтры разрешений поиска, применяемые к пользователю (который определяется параметром Users в фильтре). В вашей организации могут быть сотни фильтров разрешений на поиск, но если к тем же пользователям применяется более 100 фильтров, то, скорее всего, ограничение в 100 условий будет превышено, когда эти пользователи выполняют поиск.
Есть еще одна вещь, которую следует иметь в виду об ограничении условий. Количество определенных сайтов SharePoint, включенных в поисковый запрос или фильтры разрешений поиска, также учитывается в этом пределе.
Чтобы ваша организация не достигла предела условий, оставьте количество фильтров разрешений поиска в организации как можно меньше, чтобы соответствовать бизнес-требованиям.