为电子数据展示调查设置合规性边界

提示

电子数据展示 (预览) 现已在新的 Microsoft Purview 门户中提供。 若要详细了解如何使用新的电子数据展示体验,请参阅 了解电子数据展示 (预览版)

使用 Microsoft Purview 电子数据展示 (Standard) 或 Microsoft Purview 电子数据展示 (Premium) 管理调查时,可以应用本文中的指南。

合规性边界会在组织内创建逻辑边界,以控制电子数据展示管理器可以搜索的用户内容位置(例如邮箱、OneDrive 帐户和 SharePoint 网站)。 合规性边界还控制谁可以访问用于管理组织内的法律、人力资源或其他调查的电子数据展示案例。

对于必须尊重地理委员会和法规的多国公司以及政府来说,通常需要遵守合规性边界,而政府往往被划分为不同的机构。 在 Microsoft 365 中,合规性边界可帮助你在使用电子数据展示案例执行内容搜索和管理调查时满足这些要求。

我们将使用下图中的 示例来解释合规性边界的工作原理。

合规性边界由搜索权限筛选器组成,这些筛选器控制对代理和管理员角色组(控制对电子数据展示案例的访问权限)的访问权限。

在此示例中,Contoso LTD 是一个由两家子公司(第四咖啡和 Coho Winery)组成的组织。 业务要求电子数据展示管理员和调查人员只能在其代理中搜索 Exchange 邮箱、OneDrive 帐户和 SharePoint 网站。 此外,电子数据展示经理和调查人员只能查看其代理中的电子数据展示案例,并且他们只能访问他们所属的案例。 此外,在此方案中,调查人员无法将内容位置置于保留状态或从案例中导出内容。 以下是合规性边界如何满足这些要求。

  • 电子数据展示的搜索权限筛选功能控制电子数据展示管理员和调查人员可以搜索的内容位置。 这种控制意味着第四咖啡机构的电子数据展示经理和调查人员只能搜索第四咖啡子公司中的内容位置。 共同的限制适用于 Coho Winery 子公司。

  • 角色组 为合规性边界提供以下函数:

    • 控制谁可以查看Microsoft Purview 合规门户中的电子数据展示事例。 这种控制意味着电子数据展示经理和调查人员只能查看其机构中的电子数据展示案例。
    • 控制谁可以向电子数据展示案例分配成员。 此控制意味着电子数据展示经理和调查人员只能将成员分配到他们自己所属的案例。
    • 通过添加或删除分配特定权限的角色来控制成员可以执行的与电子数据展示相关的任务。
  • 将搜索权限筛选器应用于角色组时,只要向角色组分配了执行操作的权限,角色组的成员就可以执行以下与搜索相关的操作:

    • 搜索内容
    • 预览搜索结果
    • 导出搜索结果
    • 清除搜索返回的项目

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

设置合规性边界之前

  • 必须为用户分配Exchange Online许可证。 若要验证分配,请使用 Exchange Online PowerShell 中的 Get-User cmdlet。

设置合规性边界

下面是设置合规性边界的步骤:

步骤 1:标识用于定义代理的用户属性

第一步是选择要使用的属性来定义你的机构。 此属性用于创建搜索权限筛选器,该筛选器限制电子数据展示管理器仅搜索为此属性分配了特定值的用户的内容位置。 例如,假设 Contoso 决定使用 Department 属性。 第四咖啡子公司用户此属性的值将为 FourthCoffee ,Coho Winery 子公司用户的值将为 CohoWinery。 在步骤 3 中,使用此 attribute:value 对 (例如 Department:FourthCoffee) 来限制电子数据展示管理员可以搜索的用户内容位置。

下面是可用于合规性边界的用户属性的一些示例:

  • 公司
  • CustomAttribute1 - CustomAttribute15
  • 部门
  • 办公室
  • CountryOrRegion (双字母国家/地区代码)

步骤 2:为每个机构创建角色组

下一步是在合规性门户中创建与你的机构保持一致的角色组。

若要创建角色组,请转到合规性门户中的 “权限” 页,为每个机构中的每个团队创建一个角色组,该团队将使用合规性边界和电子数据展示案例来管理调查。

建议为合规性边界创建的角色组不附加任何角色。 此角色组应仅用于将用户分配到角色组。 应使用单独的内置 (电子数据展示管理器) 或自定义角色组将角色分配给成员。 有关电子数据展示相关角色的详细信息,请参阅 分配电子数据展示权限

注意

若要使用空角色来访问和更新角色组,必须使用 PowerShell cmdlet。 有关详细信息,请参阅 New-RoleGroupAdd-RoleGroupMember

使用 Contoso 符合性边界方案,需要创建四个角色组,并为每个角色组添加相应的成员。

  • Fourth Coffee 电子数据展示管理者
  • Fourth Coffee 调查员
  • Coho Winery 电子数据展示经理
  • Coho Winery Wines

重要

如果已从已添加为案例成员的角色组添加或删除角色,则会自动删除该角色组作为案例的成员 (或该角色组是) 成员的任何案例。 这样做的原因是为了防止组织无意中向案例成员提供其他权限。 如果删除角色组,则会从其所属的所有情况下将其删除。 我们建议为符合性边界创建的角色组不分配任何角色。 使用单独的内置/自定义角色组将角色分配给成员。

步骤 3:创建搜索权限筛选器以强制实施合规性边界

为每个机构创建角色组后,下一步是创建搜索权限筛选器,将每个角色组关联到其特定机构,并定义合规性边界本身。 需要为每个机构创建一个搜索权限筛选器。 有关创建安全权限筛选器的详细信息,请参阅 配置内容搜索的权限筛选

下面是用于创建搜索权限筛选器的语法,该筛选器用于本文中方案的合规性边界。

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <role groups> -Filters "Mailbox_<MailboxPropertyName>  -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"

下面是命令中每个参数的说明:

  • FilterName:指定筛选器的名称。 使用描述或标识使用筛选器的代理的名称。

  • Users:指定将此筛选器应用于其执行的搜索操作的用户或组。 对于合规性边界,此参数指定在步骤 2) 创建筛选器的机构中创建的角色组 (。 此参数是一个多值参数,因此可以包含一个或多个角色组,用逗号分隔。

  • Filters:指定筛选器的搜索条件。 对于符合性边界,请定义以下筛选器。 每个位置适用于不同的内容位置。

    • Mailbox:指定参数中定义的角色组可以搜索的 Users 邮箱或 OneDrive 帐户。 此筛选器允许角色组的成员仅搜索特定机构中的邮箱或 OneDrive 帐户;例如 。 "Mailbox_Department -eq 'FourthCoffee'"

    • SiteContent:此筛选器包括两个单独的筛选器。 第一个 SiteContent_Path 指定机构中参数中定义的角色组可以搜索的 Users SharePoint 网站。 例如,SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'。 第二SiteContent_Path个筛选器 (由or操作员连接到第一个SiteContent_Path筛选器) 指定代理的 OneDrive 域 (也称为 MySite 域) 。 例如,SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'。 还可以使用 Site_Path 筛选器来代替 SiteContent 筛选器。 SiteSiteContent 筛选器可互换,不会影响本文中所述的搜索权限筛选器。

      重要

      为什么 OneDrive 的 SiteContent 筛选器包含在以前的搜索权限筛选器中? 尽管筛选器Mailbox同时适用于邮箱和 OneDrive 帐户,但如果不包括 OneDrive 筛选器,则包含 SharePoint 筛选器将排除 OneDrive Site 帐户。 如果搜索权限筛选器不包括 SharePoint 筛选器,则无需包含单独的 OneDrive 筛选器,因为邮箱筛选器将包含符合性边界范围内的 OneDrive 帐户。 换句话说,仅包含筛选器的 Mailbox 搜索权限筛选器将同时包含邮箱和 OneDrive 帐户。

下面是为支持 Contoso 合规性边界方案而创建的两个搜索权限筛选器的示例。 这两个示例包括逗号分隔的筛选器列表,列表中包括邮箱和网站筛选器在同一搜索权限筛选器中,并用逗号分隔。

第四杯咖啡

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

科霍酒厂

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

注意

前面示例中参数的语法 Filters 包括 筛选器列表。 筛选器列表是一个筛选器,其中包含邮箱筛选器和以逗号分隔的网站路径筛选器。 在前面的示例中,请注意逗号分隔 MailboxSiteContent 筛选器: -Filters "Mailbox_<MailboxPropertyName> -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"。 在运行电子数据展示搜索期间处理此筛选器时,将从筛选器列表中创建两个搜索权限筛选器:一个邮箱筛选器和一个 SharePoint/OneDrive 筛选器。 使用筛选器列表的替代方法是为每个机构创建两个单独的搜索权限筛选器:一个用于邮箱属性的搜索权限筛选器,一个用于 SharePoint 和 OneDrive 网站属性的筛选器。 在任一情况下,结果都是相同的。 使用筛选器列表或创建单独的搜索权限筛选器是首选问题。

搜索权限筛选器在此方案中如何工作?

下面介绍如何在此方案中为每个机构应用搜索权限筛选器。

  1. 首先 Mailbox 应用筛选器来定义电子数据展示管理员可以搜索的内容位置。 在这种情况下,Coho Winery 电子数据展示管理员只能搜索 其 Department 邮箱属性值为 FourthCoffee 的用户的邮箱和 OneDrive 帐户;Coho Winery 电子数据展示管理员只能搜索 其 Department 邮箱属性具有 CohoWinery 值的用户的邮箱和 OneDrive 帐户。 筛选器 Mailbox内容位置筛选器,因为它指定了电子数据展示管理员可以搜索的内容位置。 在这两个筛选器中,电子数据展示管理员只能搜索具有特定邮箱属性值的内容位置。

  2. 定义可搜索的内容位置后,筛选器的下一部分定义电子数据展示管理员可以搜索的内容。 第一个 SiteContent 筛选器允许 Fourth Coffee 电子数据展示管理员仅搜索包含 (或以) https://contoso.sharepoint.com/sites/FourthCoffee开头的网站路径属性的文档;Coho Winery 电子数据展示管理员只能搜索具有包含 (或以) https://contoso.sharepoint.com/sites/CohoWinery开头的网站路径属性的文档。 因此,这两个 SiteContent 筛选器是 内容筛选器 ,因为它们定义了可以搜索的内容。 在这两个筛选器中,电子数据展示管理员只能搜索具有特定文档属性值的文档。 所有与 SharePoint 相关的筛选器都是内容筛选器,因为所有文档上都带有可搜索网站属性的标记。 有关详细信息,请参阅 配置电子数据展示的权限筛选

    注意

    尽管本文中的方案不使用它们,但也可以使用邮箱内容筛选器来指定电子数据展示管理员可以搜索的内容。 邮箱内容筛选器的语法为 "MailboxContent_<property> -<comparison operator> '<value>'"。 可以根据日期范围、收件人和域或任何可搜索的电子邮件属性创建内容筛选器。 例如,此筛选器允许电子数据展示管理员仅搜索 contoso.com 域中用户发送或接收的邮件项目: "MailboxContent_Participants -like 'contoso.com'"。 有关邮箱内容筛选器的详细信息,请参阅 配置搜索权限筛选

  3. 搜索权限筛选器由 AND 布尔运算符联接到搜索查询。 这意味着,当某个机构中的电子数据展示经理运行电子数据展示搜索时,搜索返回的项目必须与搜索查询和搜索权限筛选器中定义的条件匹配。

步骤 4:为机构内部调查创建电子数据展示案例

最后一步是在合规性门户中创建电子数据展示 (Standard) 案例或电子数据展示 (Premium) 案例,然后将在步骤 2 中创建的角色组添加为案例的成员。 这会产生使用合规性边界的两个重要特征:

  • 只有添加到案例的角色组的成员才能在合规性门户中查看和访问案例。 例如,如果第四咖啡调查员角色组是案例的唯一成员,则第四咖啡电子数据展示管理员角色组的成员 (或任何其他角色组的成员) 将无法查看或访问该案例。

  • 当分配给案例的角色组成员运行与案例关联的搜索时,他们只能搜索其代理 (的内容位置由你在步骤 3.)

若要创建事例并分配成员,请:

注意

在有限的时间内,新的 Microsoft Purview 门户中也提供了此经典电子数据展示体验。 在电子数据展示 (预览版中启用合规性门户经典电子数据展示体验) 体验设置,以便在新的 Microsoft Purview 门户中显示经典体验。

  1. 转到合规性门户中的 电子数据展示 (标准) 电子数据展示 (高级) 页,然后创建案例。

  2. 在事例列表中,选择所创建事例的名称。

  3. 将角色组作为成员添加到案例中。 有关说明,请参阅以下文章之一:

注意

向案例添加角色组时,只能添加所属的角色组。

在多地理位置环境中搜索和导出内容

搜索权限筛选器还允许你控制在SharePoint Multi-Geo环境中搜索内容位置时,可以路由内容以用于导出的位置,以及可以搜索哪个数据中心。

  • 导出搜索结果: 可以从特定数据中心导出 Exchange 邮箱、SharePoint 网站和 OneDrive 帐户的搜索结果。 这意味着可以指定从中导出搜索结果的数据中心位置。

    使用 New-ComplianceSecurityFilterSet-ComplianceSecurityFilter cmdlet 的 Region 参数来创建或更改路由导出所通过的数据中心。

    参数值 数据中心位置
    NAM
    北美 (数据中心位于美国)
    EUR
    欧洲
    APC
    亚太地区
    CAN
    加拿大
  • 路由内容搜索: 可以将 SharePoint 网站和 OneDrive 帐户的内容搜索路由到附属数据中心。 这意味着可以指定运行搜索的数据中心位置。

    Region 参数使用以下值之一来控制在搜索 SharePoint 网站和 OneDrive 帐户时将运行搜索的数据中心位置。

    参数值 SharePoint 的数据中心路由位置
    NAM
    美国
    EUR
    欧洲
    APC
    亚太地区
    CAN
    美国
    AUS
    亚太地区
    KOR
    组织的默认数据中心
    GBR
    欧洲
    JPN
    亚太地区
    IND
    亚太地区
    议员
    美国
    NOR
    欧洲
    BRA
    北美数据中心

    如果未为搜索权限筛选器指定 Region 参数,则会搜索组织的主要 SharePoint 区域。 搜索结果将导出到最近的数据中心。

    为了简化概念, Region 参数控制用于在 SharePoint 和 OneDrive 中搜索内容的数据中心。 这不适用于在 Exchange 中搜索内容,因为 Exchange 内容搜索不受数据中心地理位置的约束。 此外,同一 Region 参数值还可能指示通过路由导出的数据中心。 这通常是控制数据跨地理板移动所必需的。

注意

如果使用电子数据展示 (Premium) , 则 Region 参数不会控制从中导出数据的区域。 数据从组织的中心位置导出。 此外,在 SharePoint 和 OneDrive 中搜索内容不受数据中心地理位置的约束。 将搜索所有数据中心。 有关电子数据展示 (Premium) 的详细信息,请参阅 Microsoft 365 中的电子数据展示 (Premium) 解决方案概述

下面是在为符合性边界创建搜索权限筛选器时使用 Region 参数的示例。 这假定第四咖啡子公司位于北美,而科霍酒厂位于欧洲。

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region NAM
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region EUR

在多地理位置环境中搜索和导出内容时,请记住以下事项。

  • Region 参数不控制 Exchange 邮箱的搜索。 搜索邮箱时,将搜索所有数据中心。 若要限制搜索 Exchange 邮箱的范围,请在创建或更改搜索权限筛选器时使用 Filters 参数。

  • 如果电子数据展示管理器需要跨多个 SharePoint 区域进行搜索,则需要为该电子数据展示管理器创建一个不同的用户帐户,以便在搜索权限筛选器中使用,以指定 SharePoint 网站或 OneDrive 帐户所在的区域。 有关此设置的详细信息,请参阅内容搜索中的“在SharePoint Multi-Geo环境中搜索内容”部分。

  • 在 SharePoint 和 OneDrive 中搜索内容时, Region 参数会将搜索定向到电子数据展示经理将执行电子数据展示调查的主要位置或附属位置。 如果电子数据展示管理器在搜索权限筛选器中指定的区域之外搜索 SharePoint 和 OneDrive 网站,则不会返回任何搜索结果。

  • 从电子数据展示 (标准) 导出搜索结果时,来自所有内容位置的内容 (包括 Exchange、Skype for Business、SharePoint、OneDrive 和其他可使用内容搜索工具进行搜索的服务,) 将上传到由 Region 参数指定的数据中心内的 Azure 存储位置。 这通过不允许跨受管制的边界导出内容来帮助组织保持合规性。 如果未在搜索权限筛选器中指定区域,则内容将上传到组织的主数据中心。

    从电子数据展示 (Premium) 导出内容时,无法使用 Region 参数控制上传内容的位置。 内容将上传到组织中心位置数据中心内的 Azure 存储位置。 有关基于中心位置的地理位置列表,请参阅 Microsoft 365 多地理位置电子数据展示配置

  • 可以通过运行以下命令来编辑现有搜索权限筛选器以添加或更改区域:

    Set-ComplianceSecurityFilter -FilterName <Filter name>  -Region <Region>
    

对 SharePoint 中心网站使用合规性边界

SharePoint 中心网站 通常与电子数据展示合规性边界遵循的相同地理或代理边界保持一致。 这意味着可以使用中心站点的站点 ID 属性创建符合性边界。 为此,请使用 SharePoint Online PowerShell 中的 Get-SPOHubSite cmdlet 获取中心网站的 SiteId,然后使用部门 ID 属性的此值来创建搜索权限筛选器。

使用以下语法为 SharePoint 中心网站创建搜索权限筛选器:

New-ComplianceSecurityFilter -FilterName <Filter Name> -Users <User or Group> -Filters "Site_Departmentid -eq '{SiteId of hub site}'"

下面是为 Coho Winery 代理中心网站创建搜索权限筛选器的示例:

New-ComplianceSecurityFilter -FilterName "Coho Winery Hub Site Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Site_Departmentid -eq '44252d09-62c4-4913-9eb0-a2a8b8d7f863'"

符合性边界限制

管理使用合规性边界的电子数据展示案例和调查时,请记住以下限制。

  • 创建和运行搜索时,可选择公司外部的内容位置。 但是由于搜索权限筛选器,因此这些位置的内容不包含在搜索结果中。

  • 符合性边界不适用于电子数据展示案例中的保留。 这意味着一个公司中的电子数据展示管理者可以将用户放在不同的公司中保留。 但是,如果电子数据展示管理器搜索已保留用户的内容位置,将实施合规性边界。 这意味着电子数据展示管理器无法搜索用户的内容位置,即使他们能够保留用户。

  • 如果您分配了搜索权限筛选器 (邮箱或网站筛选器) 并且您尝试导出包含组织中所有 SharePoint 网站的搜索的未编制索引的项目,则会收到以下错误消息: Unable to execute the task. Reason: The scope options UnindexedItemsOnly or BothIndexedandUnindexedItems are not allowed when the executing user has a compliance security filter applied。 如果分配了搜索权限筛选器,并且想要从 SharePoint 导出未编制索引的项目,则必须重新运行搜索并包括要搜索的特定 SharePoint 网站。 否则,只能从包含所有 SharePoint 网站的搜索导出索引项。 有关导出搜索结果时的选项的详细信息,请参阅 导出内容搜索结果

  • 搜索权限筛选器未应用于 Exchange 公用文件夹。

  • 支持的搜索筛选器包括 -and、、-or-like-not-eq-ne。 我们不建议在搜索权限筛选器中使用其他排除筛选器 (例如在基于内容的合规性边界) 使用 -notlike)inotlike、 等。 如果未为具有最近更新的属性的内容编制索引,则使用这些排除筛选器可能会产生意外结果。

  • 在以下情况下,搜索中 OneDrive 网站的合规性边界可能会受到影响:

    • 网站 (或关联邮箱) 移动或重新驻留
    • 重新分配 OneDrive 所有权,或添加多个所有者
    • OneDrive 网站已重命名/重新颁发

    移动 OneDrive 网站可能会更改内容的所有权,可能包括创建仲裁邮箱。 移动这些资源时,内容搜索结果有可能跨合规性边界可用。 当 OneDrive 网站重新分配、重新命名或分配给多个所有者时,这些网站中的内容可能跨合规性边界可用。

  • 在以下情况下,邮箱的合规性边界可能会受到影响:

    • 邮箱不与许可用户关联, (包括禁用或删除的用户)
    • 邮箱未从Microsoft Entra ID进行管理或同步

    此外,有几种类型的邮箱可能会在搜索期间生成内容,而不管其符合性边界如何。 这些邮箱类型包括:

    • EquipmentMailbox
    • GuestMailUser
    • LinkedMailbox
    • RoomList
    • RoomMailbox
    • SchedulingMailbox
    • SharedMailbox
    • SystemMailbox
    • TeamMailbox

    若要确保搜索按预期遵循合规性边界,可能需要更新已移动资源的权限和角色。

更多信息

  • 如果邮箱已取消许可或软删除,则不再在合规性边界内考虑该用户。 如果在删除邮箱时对邮箱进行了保留,则邮箱中保留的内容仍受合规性边界或搜索权限筛选器的约束。
  • 如果为用户实现了合规性边界和搜索权限筛选器,建议不要删除用户的邮箱,不要删除其 OneDrive 帐户。 换句话说,如果删除用户的邮箱,还应删除用户的 OneDrive 帐户,因为mailbox_RecipientFilter用于强制实施 OneDrive 的搜索权限筛选器。
  • 合规性边界和搜索权限筛选器取决于 Exchange、OneDrive 和 SharePoint 中内容上标记的属性以及此标记内容的后续索引。

常见问题解答

谁可以使用 New-ComplianceSecurityFilter 和 Set-ComplianceSecurityFilter cmdlet) (创建和管理搜索权限筛选器?

若要创建、查看和修改搜索权限筛选器,你必须是合规性门户中“组织管理”角色组的成员。

如果电子数据展示经理被分配到跨多个代理的多个角色组,他们如何在一个或另一个机构中搜索内容?

电子数据展示经理可以向其搜索查询添加参数,以将搜索限制为特定机构。 例如,如果组织已指定 CustomAttribute10 属性来区分代理,则可以在其搜索查询中追加以下内容,以搜索特定机构中的邮箱和 OneDrive 帐户: CustomAttribute10:<value>

如果更改了在搜索权限筛选器中用作合规性属性的属性的值,会发生什么情况?

如果筛选器中使用的属性值发生更改,搜索权限筛选器最多需要三天才能强制实施符合性边界。 例如,在 Contoso 方案中,假设第四咖啡代理中的用户已转移到 Coho Winery 代理。 因此,用户对象上的 Department 属性的值从 FourthCoffee 更改为 CohoWinery。 在这种情况下,第四咖啡电子数据展示和投资者将在属性更改后三天内获得该用户的搜索结果。 同样,Coho Winery 电子数据展示经理和调查人员最多需要三天时间才能获得用户的搜索结果。

电子数据展示管理员是否可以查看两个单独的合规性边界中的内容?

可以,这可以在搜索 Exchange 邮箱时完成,方法是将电子数据展示管理器添加到对两个机构都有可见性的角色组。 但是,在搜索 SharePoint 网站和 OneDrive 帐户时,仅当代理位于同一区域或地理位置时,电子数据展示管理员才能在不同的合规性边界中搜索内容。 注意: 此网站限制不适用于电子数据展示 (Premium) ,因为在 SharePoint 和 OneDrive 中搜索内容不受地理位置的约束。

搜索权限筛选器是否适用于电子数据展示事例保留、Microsoft 365 保留策略或 DLP?

否,目前不可以。

如果我指定了要控制内容导出位置的区域,但该区域中没有 SharePoint 组织,我是否仍可搜索 SharePoint?

如果组织中不存在搜索权限筛选器中指定的区域,则搜索默认区域。

在组织中可以创建的搜索权限筛选器的最大数目是多少?

可在组织中创建的搜索权限筛选器的数量没有限制。 但是,搜索查询最多可以有 100 个条件。 在这种情况下,条件定义为由布尔运算符 ((如 ANDORNEAR) )连接到查询的内容。 条件数的限制包括搜索查询本身以及应用于运行搜索的用户的所有搜索权限筛选器。 因此,拥有的搜索权限筛选器越多(尤其是在将这些筛选器应用于同一用户或用户组时),越有可能超出搜索的最大条件数。

若要了解此限制的工作原理,需要了解在运行搜索时,搜索权限筛选器会追加到搜索查询。 搜索权限筛选器由 AND 布尔运算符联接到搜索查询。 搜索查询的查询逻辑和单个搜索权限筛选器如下所示:

<SearchQuery> AND <PermissionsFilter>

多个搜索权限筛选器由 OR 布尔运算符组合在一起,然后由 AND 运算符将这些条件连接到搜索查询。

搜索查询和多个搜索权限筛选器的查询逻辑如下所示:

<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)

搜索查询本身可能由布尔运算符连接的多个条件组成。 搜索查询中的每个条件也会计入 100 个条件的限制。

此外,追加到查询的搜索权限筛选器数取决于运行搜索的用户。 当特定用户运行搜索时,应用于用户 (的搜索权限筛选器(由筛选器) 中的 Users 参数定义)将追加到查询中。 你的组织可能有数百个搜索权限筛选器,但如果向同一用户应用了超过 100 个筛选器,则在这些用户运行搜索时,可能会超过 100 个条件的限制。

关于条件限制,还有一点需要记住。 搜索查询或搜索权限筛选器中包含的特定 SharePoint 网站数也计入此限制。

若要防止组织达到条件限制,请将组织中的搜索权限筛选器数量保持在尽可能少,以满足业务需求。