分享方式:


設定電子檔探索的許可權篩選

提示

新的 Microsoft Purview 入口網站現已提供電子檔探索 (預覽) 。 若要深入瞭解如何使用新的電子檔探索體驗,請參閱 瞭解電子檔探索 (預覽)

您可以使用搜尋許可權篩選,讓電子檔探索管理員只搜尋組織中信箱和網站的子集。 您也可以使用權限篩選,讓相同的 eDiscovery 管理員僅搜尋符合特定搜尋準則的信箱或網站內容。

例如,您可能想要電子檔案探索管理員只搜尋特定位置或部門中使用者的信箱。 若要這麼做,您可以建立篩選條件,以使用支援的收件者篩選條件來限制特定使用者或使用者群組可以搜尋的信箱。 您也可以建立篩選器來指定使用者可搜尋的信箱內容。 可以藉由建立篩選器來完成這個動作,該篩選器會使用可搜尋的郵件屬性。 同樣地,您可以讓電子檔探索管理員只搜尋組織中的特定 SharePoint 網站。 您可以藉由建立篩選器來完成這個動作,該篩選器會限制可搜尋的網站。 您也可以建立篩選器,指定可搜尋的網站內容。 可以藉由建立篩選器來完成這個動作,該篩選器會使用可搜尋的網站屬性。

當您在 Microsoft Purview 合規性入口網站中使用內容搜尋、Microsoft Purview eDiscovery (Standard) 和 Microsoft Purview 電子檔探索 (Premium) 搜尋內容時,會套用搜尋許可權篩選。 當搜尋權限篩選條件套用至特定使用者時,該使用者可以執行下列與搜尋相關的動作:

  • 搜尋內容
  • 預覽搜尋結果
  • 匯出搜尋結果
  • 清除搜尋所傳回的項目

您也可以使用搜尋許可權篩選來建立邏輯界限 (稱為 合規性界限) 組織內控制用戶內容位置 (例如信箱、SharePoint 網站和 OneDrive 帳戶,) 特定電子檔探索管理員可以搜尋。 如需詳細資訊,請參閱為電子文件探索調查設定合規性界限

安全性 & 合規性 PowerShell 中的下列四個 Cmdlet 可讓您設定和管理搜尋許可權篩選:

提示

如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

設定權限篩選條件的需求

  • 若要執行合規性安全性篩選 Cmdlet,您必須是合規性入口網站中 組織管理 角色群組的成員。 如需詳細資訊,請參閱安全性與合規性中心中的權限
  • 您必須連線到 Exchange Online 和安全性 & 合規性 PowerShell,才能使用合規性安全性篩選 Cmdlet。 這是必要的,因為這些 Cmdlet 需要存取信箱屬性,這就是您必須連線到 Exchange Online PowerShell 的原因。 請參閱下一節中的步驟。
  • 請參閱More information一節以取得搜尋權限篩選器的詳細資訊。
  • 搜尋許可權篩選適用於非作用中信箱,這表示您可以使用信箱和信箱內容篩選來限制可搜尋非作用中信箱的人員。 如需許可權篩選和非作用中信箱的其他資訊,請參閱 詳細資訊 一節。
  • 搜尋權限篩選條件無法用來限制可在 Exchange 中搜尋公用資料夾的人員。
  • 並無限制可在組織中建立的搜尋權限篩選器數目。 不過,搜尋查詢最多可以有 100 個條件。 在此情況下,條件會定義為布爾運算符 (連線到查詢的內容,例如 ANDORNEAR) 。 條件數目限制包括搜尋查詢本身,以及套用至運作搜尋之使用者的所有搜尋權限篩選條件。 因此,您的搜尋權限篩選條件越多 (特別是當這些篩選條件套用至相同的使用者或使用者群組時),超過搜尋條件數目上限的機會就越高。 若要防止貴組織達到條件限制,請盡可能將組織中的搜尋許可權篩選器數目保持在最少,以符合您的商務需求。 如需詳細資訊,請參閱為電子文件探索調查設定合規性界限

在單一會話中連線到 Exchange Online 和安全性 & 合規性 PowerShell

您必須先下載並安裝 Exchange Online PowerShell 模組,才能順利執行本節中的腳本。 如需詳細資訊,請 參閱安裝和維護 Exchange Online PowerShell 模組

  1. 使用.ps1的檔案名後綴,將下列文字儲存至 Windows PowerShell 腳稿檔案。 例如,您可以將它儲存到名為 ConnectEXO-SCC.ps1的檔案。

    Import-Module ExchangeOnlineManagement
    $UserCredential = Get-Credential
    Connect-ExchangeOnline -Credential $UserCredential -ShowBanner:$false
    Connect-IPPSSession -Credential $UserCredential
    $Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Exchange Online + Security & Compliance)"
    
  2. 在本機計算機上,開啟 Windows PowerShell,移至您在上一個步驟中建立的腳本所在的資料夾,然後執行腳本;例如:

    .\ConnectEXO-SCC.ps1
    

如何知道這是否正常運作? 執行腳本之後,可使用 Exchange Online PowerShell 和安全性 & 合規性 PowerShell 中的 Cmdlet。 如果您未收到任何錯誤,便已順利連線。 快速測試是執行 Exchange Online PowerShell 和安全性 & 合規性 PowerShell Cmdlet。 例如,您可以執行 和 Get-MailboxGet-ComplianceSearch

如需 PowerShell 連線錯誤的疑難解答,請參閱:

New-ComplianceSecurityFilter

New-ComplianceSecurityFilter Cmdlet 可用來建立搜尋許可權篩選。 以下是此 Cmdlet 的基本語法:

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <user or role group> -Filters <filter>

以下章節說明此 Cmdlet 的參數。 建立搜尋權限篩選器需要用到所有參數。

FilterName

FilterName 參數會指定權限篩選器的名稱。 使用 Get-ComplianceSecurityFilterSet-ComplianceSecurityFilterRemove-ComplianceSecurityFilter Cmdlet 時,此名稱可用來識別篩選。

篩選

Filters 參數會指定符合性安全性篩選器的搜尋準則。 您可以建立三個不同類型的篩選器:

  • 信箱或 OneDrive 篩選: 這種類型的篩選會指定已指派使用者的信箱和 OneDrive 帳戶, (用戶參數所 指定) 可以搜尋。 這種類型的篩選器被稱為內容位置篩選器,因為它會定義使用者可以搜尋的內容位置。 此篩選條件類型的語法 Mailbox_MailboxPropertyName,其中 MailboxPropertyName 會指定信箱屬性,用來設定可搜尋之信箱和 OneDrive 帳戶的範圍。 例如,信箱篩選 "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" 器可讓使用者指派此篩選器,只搜尋 CustomAttribute10 屬性中值為 “MarketplaceUsers” 的信箱和 OneDrive 帳戶。

    任何支援的可篩選收件者屬性都可以用於信箱中的 MailboxPropertyName 屬性或 OneDrive 篩選器。 下表列出四個用來建立信箱或 OneDrive 篩選器時常用的收件者屬性。 該表格也包含在篩選中使用屬性的範例。

    屬性名稱 範例
    別名 "Mailbox_Alias -like 'v-'"
    Company "Mailbox_Company -eq 'Contoso'"
    CountryOrRegion "Mailbox_CountryOrRegion -eq 'United States'"
    部門 "Mailbox_Department -eq 'Finance'"
  • 信箱內容篩選: 此類型的篩選條件會套用至可搜尋的內容。 這種類型的篩選器被稱為內容篩選,因為它會指定獲指派的使用者可以搜尋的「信箱內容」或「可搜尋電子郵件屬性」。 此篩選條件類型的語法 MailboxContent_SearchablePropertyName,其中 SearchablePropertyName 會指定可在搜尋中指定的關鍵詞查詢語言 (KQL) 屬性。 例如,信箱內容篩選 "MailboxContent_Recipients -like 'contoso.com'" 器可讓使用者指派此篩選器,只搜尋傳送給 contoso.com 網域中收件者的郵件。 如需可搜尋電子郵件屬性的清單,請參閱電子文件探索的關鍵字查詢與搜尋條件

    重要事項

    單一搜尋篩選器不能包含信箱篩選器和信箱內容篩選器。 若要在單一篩選中結合這些專案,您必須使用 篩選清單。 不過篩選器可以包含類型相同但較複雜的查詢。 例如,"Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"

  • 網站和網站內容篩選: 有兩個 SharePoint 和 OneDrive 相關篩選,您可以用來指定指派的使用者可以搜尋的網站或網站內容。

    • Site_QueryableSiteProperty
    • SiteContent_QueryableSiteProperty

    這兩個篩選器是可互換的。 例如, "Site_Path -like 'https://contoso.sharepoint.com/sites/doctors'""SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'" 會傳回相同的結果。 如要檢閱可搜尋網站屬性的清單,請參閱電子文件探索的關鍵字查詢與搜尋條件。如需更完整的清單,請參閱SharePoint 中已編目和受管理的概觀。 在 [可查詢] 數據列中標示為 [是] 的屬性可用來建立網站或網站內容篩選器。

    重要事項

    使用其中一個支援的屬性來設定網站篩選器,並不表示篩選中的網站屬性會傳播到該網站的所有文件上。 這表示使用者仍然負責填入與該網站上文件相關聯的特定屬性欄位,以便網站篩選器能夠運作並擷取正確的內容。 例如,如果使用者已套用安全性篩選器 「Site_RefineableString00 -eq 』abc』」,則使用者會使用關鍵詞查詢 「xyz」 執行搜尋。 安全性篩選條件會附加至查詢,而實際執行的查詢會是 「xyz AND RefineableString0:』abc』」。 使用者必須確定網站上的文件在 RefineableString00 欄位中確實具有「abc」的值。 如果沒有,搜尋查詢將不會傳回任何結果。

設定搜尋權限篩選條件的Filters參數時,請記住下列考量:

  • 不同于信箱,網站沒有內容位置篩選器,即使網站篩選器看起來就像是位置篩選器。 SharePoint 和 OneDrive 的所有篩選都是內容篩選 (這也是Site_和SiteContent_篩選器可互換) 的原因,因為 Path 之類的網站相關屬性會直接在檔上加上戳記。 為什麼會這樣? 這是 SharePoint 設計方式的結果。 在 SharePoint 中,並沒有 Exchange 信箱那種具有屬性的「網站物件」。 因此,Path 屬性的標記會被戳在文件上,並包含文件所在網站的 URL。 這就是為什麼 網站 篩選器會被視為內容篩選條件,而不是內容位置篩選。
  • 您必須建立搜尋許可權篩選,以明確防止使用者在特定服務 (中搜尋內容位置,例如防止用戶搜尋任何 Exchange 信箱或任何 SharePoint 網站) 。 換句話說,建立可讓使用者搜尋組織中所有 SharePoint 網站的搜尋權限篩選條件並不會防止該使用者搜尋信箱。 例如,若要允許 SharePoint 系統管理員只搜尋 SharePoint 網站,您必須建立可防止他們搜尋信箱的篩選條件。 同樣地,若要允許 Exchange 系統管理員只搜尋信箱,您必須建立可防止他們搜尋網站的篩選條件。

使用者

Users參數會指定將此篩選器套用至其內容搜尋的使用者。 依其別名或主要 SMTP 位址識別使用者。 您可以指定以逗號分隔的多個值,或者您也可以使用值 All 將篩選器指派給所有使用者。

您也可以使用Users參數來指定合規性入口網站角色群組。 這可讓您建立自訂角色群組,然後為該角色群組指派搜尋權限篩選器。 例如,假設您有多國公司的美國子公司的 eDiscovery 管理員的自訂角色群組。 您可以使用 Users 參數來指定此角色群組 (,方法是使用角色群組) 的 Name 屬性,然後使用 Filter 參數只允許在美國搜尋信箱。 您不能使用此參數來無法指定通訊群組。|

使用篩選清單結合篩選類型

篩選清單是一種篩選條件,其中包含信箱篩選器和以逗號分隔的網站篩選。 此逗號也可做為 OR 運算元。 使用篩選清單是結合不同篩選條件類型的唯一支援方法。 在下列範例中,請注意,逗號會分隔 信箱網站 篩選:

-Filters "Mailbox_CustomAttribute10 -eq 'OttawaUsers'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'"

當在搜尋執行期間處理包含篩選列表的篩選時,會從篩選清單建立兩個搜尋許可權篩選:每個以逗號分隔的篩選條件各一個。 因此,在先前的範例中,會建立一個信箱搜尋許可權篩選和一個網站搜尋許可權篩選。 這些篩選是由 OR 運算子連接。

使用篩選清單的替代方式是建立兩個不同的搜尋許可權篩選。 因此在上一個範例中,您會為信箱屬性建立一個篩選條件,併為網站屬性建立一個篩選條件。 不論是哪一種情況,結果都相同。 請按照您的偏好使用篩選清單或建立個別的搜尋權限篩選。

請記住下列有關使用篩選清單的事項:

  • 您必須使用篩選清單來建立包含信箱篩選和MailboxContent篩選的篩選。

  • 篩選清單的每個元件都可以包含複雜的篩選語法。 例如,信箱和網站篩選器可以包含以 -或 運算子分隔的多個篩選:

    -Filters "Mailbox_Department -eq 'CohoWinery' -or Mailbox_CustomAttribute10 -eq 'CohoUsers'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'"
    

建立搜尋權限篩選器的範例

以下是使用 New-ComplianceSecurityFilter Cmdlet 來建立搜尋權限篩選器的範例。

此範例允許「美國探索管理員」角色群組的成員僅搜尋美國的信箱和 OneDrive 帳戶。

New-ComplianceSecurityFilter -FilterName USDiscoveryManagers  -Users "US Discovery Managers" -Filters "Mailbox_CountryOrRegion  -eq 'United States'"

此範例允許使用者 annb@contoso.com 只針對加拿大的信箱和 OneDrive 帳戶執行搜尋動作。 此篩選器包含根據 ISO 3166-1 的三位數數字加拿大國碼。

New-ComplianceSecurityFilter -FilterName CountryFilter  -Users annb@contoso.com -Filters "Mailbox_CountryCode  -eq '124'"

此範例允許使用者 不要suzanf 只搜尋 CustomAttribute1 信箱屬性值為 'Marketing' 的信箱和 OneDrive 帳戶。

New-ComplianceSecurityFilter -FilterName MarketingFilter  -Users donh,suzanf -Filters "Mailbox_CustomAttribute1  -eq 'Marketing'"

此範例允許「Fourth Coffee 電子文件探索管理員」角色群組的成員只搜尋 Department 信箱屬性值為“FourthCoffee”的信箱和 OneDrive 帳戶。 篩選器也可讓角色群組成員搜尋 Fourth Coffee SharePoint 網站中的文件。

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

注意事項

在上述範例中,必須包含其他網站內容篩選 (SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*') ,角色群組成員才能在 OneDrive 帳戶中搜尋檔。 如果未包含此篩選條件,篩選只會允許角色群組成員搜尋位於 中 https://contoso.sharepoint.com/sites/FourthCoffee的檔。

此範例會指派允許電子文件探索管理員角色群組的成員僅搜尋 Ottawa Users 通訊群組成員的信箱和 OneDrive 帳戶。 Exchange Online PowerShell 中的 Get-DistributionGroup Cmdlet 可用來尋找 Ottawa Users 群組的成員。

$DG = Get-DistributionGroup "Ottawa Users"
New-ComplianceSecurityFilter -FilterName DGFilter  -Users eDiscoveryManager -Filters "Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"

此範例會防止任何使用者對 Executive Team 通訊群組成員的信箱和 OneDrive 帳戶執行搜尋動作。 這表示使用者可以從這些信箱刪除內容。 Exchange Online PowerShell 中的 Get-DistributionGroup Cmdlet 可用來尋找 Executive Team 群組的成員。

$DG = Get-DistributionGroup "Executive Team"
New-ComplianceSecurityFilter -FilterName NoExecutivesPreview  -Users All -Filters "Mailbox_MemberOfGroup -ne '$($DG.DistinguishedName)'"

此範例可讓 OneDrive 電子文件探索管理員自訂角色群組的成員僅搜尋組織中 OneDrive 帳戶的內容。

New-ComplianceSecurityFilter -FilterName OneDriveOnly  -Users "OneDrive eDiscovery Managers" -Filters "SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

此範例會限制使用者只對 2015 日曆年度期間傳送的電子郵件訊息執行搜尋動作。

New-ComplianceSecurityFilter -FilterName EmailDateRestrictionFilter -Users donh@contoso.com -Filters "MailboxContent_Received -ge '01-01-2015' -and MailboxContent_Received -le '12-31-2015'"

與上一個範例類似,此範例會限制使用者只在日曆年度 2015 的某個時間變更的檔上執行搜尋動作。

New-ComplianceSecurityFilter -FilterName DocumentDateRestrictionFilter -Users donh@contoso.com -Filters "SiteContent_LastModifiedTime -ge '01-01-2015' -and SiteContent_LastModifiedTime -le '12-31-2015'"

此範例會防止「OneDrive 探索管理員」角色群組的成員對組織中的任何信箱執行搜尋動作。

New-ComplianceSecurityFilter -FilterName NoEXO -Users "OneDrive Discovery Managers" -Filters "Mailbox_Alias -notlike '*'"

此範例會防止組織中的任何人對郵件傳送或接收的郵件執行搜尋動作。

New-ComplianceSecurityFilter -FilterName NoSaraJanet -Users All -Filters "MailboxContent_Participants -notlike 'janets@contoso.onmicrosoft.com' -and MailboxContent_Participants -notlike 'sarad@contoso.onmicrosoft.com'"

此範例使用篩選器清單來結合信箱和網站篩選器。 在此範例中,信箱篩選條件是內容位置篩選器,而網站篩選條件是內容篩選器。

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'"

Get-ComplianceSecurityFilter

Get-ComplianceSecurityFilter 可用來傳回搜尋許可權篩選的清單。 使用 FilterName 參數來傳回特定搜尋篩選器的資訊。

Set-ComplianceSecurityFilter

Set-ComplianceSecurityFilter 可用來修改現有的搜尋許可權篩選。 以下章節說明此 Cmdlet 的參數。 唯一必要的參數是 FilterName

FilterName

FilterName 參數會指定權限篩選器的名稱。

使用者

Users參數會指定將此篩選器套用至其內容搜尋的使用者。 因為這是多重值屬性,所以使用此參數指定使用者或使用者群組會覆寫現有的使用者清單。 如需新增和移除所選使用者的語法,請參閱下列範例。

您也可以使用Users參數來指定合規性入口網站角色群組。 這可讓您建立自訂角色群組,然後為該角色群組指派搜尋權限篩選器。 例如,假設您有多國公司的美國子公司的 eDiscovery 管理員的自訂角色群組。 您可以使用 Users 參數來指定此角色群組 (,方法是使用角色群組) 的 Name 屬性,然後使用 Filter 參數只允許在美國搜尋信箱。 使用此參數,無法指定通訊群組。

篩選

Filters 參數會指定符合性安全性篩選器的搜尋準則。 您可以建立三個不同類型的篩選器:

  • 信箱和 OneDrive 篩選: 這種類型的篩選會指定已指派使用者的信箱和 OneDrive 帳戶, (用戶參數所 指定) 可以搜尋。 此類型篩選器的語法是 Mailbox_MailboxPropertyName,其中 MailboxPropertyName 會指定用來設定可搜尋信箱範圍的信箱屬性。 例如,信箱篩選 "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" 器可讓使用者指派此篩選器,只搜尋 CustomAttribute10 屬性中值為 “MarketplaceUsers” 的信箱。 任何支援的可篩選收件者屬性都可用於 MailboxPropertyName 屬性。 如需支援的屬性清單,請 參閱 -RecipientFilter 參數的可篩選屬性

  • 信箱內容篩選: 此類型的篩選條件會套用至可搜尋的內容。 它會指定指派的使用者可以搜尋的信箱內容。 此篩選條件類型的語法 MailboxContent_SearchablePropertyName,其中 SearchablePropertyName 會指定可在搜尋中指定的關鍵詞查詢語言 (KQL) 屬性。 例如,信箱內容篩選 "MailboxContent_Recipients -like 'contoso.com'" 器可讓使用者指派此篩選器,只搜尋傳送給 contoso.com 網域中收件者的郵件。 如需可搜尋電子郵件屬性的清單,請參閱電子文件探索的關鍵字查詢與搜尋條件

  • 網站和網站內容篩選: 有兩個 SharePoint 和商務用 OneDrive 網站相關篩選,您可以用來指定指派的使用者可以搜尋的網站或網站內容:

    • Site_SearchableSiteProperty
    • SiteContent_SearchableSiteProperty

    這兩個篩選器是可互換的。 例如, "Site_Path -like 'https://contoso.spoppe.com/sites/doctors*'""SiteContent_Path -like 'https://contoso.spoppe.com/sites/doctors*'" 會傳回相同的結果。 如需可搜尋網站屬性的清單,請參閱 SharePoint 中編目和受控屬性的概觀。 在 [可查詢] 數據列中標示為 [是] 的屬性可用來建立網站或網站內容篩選器。

變更搜尋許可權篩選的範例

這些範例示範如何使用 Get-ComplianceSecurityFilterSet-ComplianceSecurityFilter Cmdlet,將使用者加入或移除至已指派篩選條件的現有用戶清單。 當您新增或移除篩選器的使用者時,使用其 SMTP 位址指定使用者。

此範例會將使用者新增至篩選器。

$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.add("pilarp@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users

此範例會從篩選器移除使用者。

$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.remove("annb@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users

Remove-ComplianceSecurityFilter

Remove-ComplianceSecurityFilter 可用來刪除搜尋篩選。 使用 FilterName 參數來指定您想要刪除的篩選器。

其他相關資訊

搜尋權限篩選如何運作? 執行搜尋時,許可權篩選會附加至搜尋查詢。 AND 布爾運算 符會將許可權篩選條件聯結至搜尋查詢。 搜尋查詢和權限篩選條件的查詢邏輯如下所示:

<SearchQuery> AND <PermissionsFilter>

例如,您具有許可權篩選條件,可讓 Bob 在背景工作通訊群組成員的信箱上執行所有搜尋動作。 然後 Bob 會使用搜尋查詢 sender:jerry@adatum.com在組織中的所有信箱上執行搜尋。 由於許可權篩選和搜尋查詢是由 AND 運算符以邏輯方式結合,因此搜尋會傳回由 jerry@adatum.com 傳送至背景工作通訊群組任何成員的任何訊息。

如果您有多個搜尋權限篩選器會發生什麼情況? 在搜尋查詢中, OR 布爾運算 符會結合多個許可權篩選條件。 因此任何篩選器為 true,則會傳回結果。 在搜尋中,OR 運算子 (結合的所有篩選 ) 然後由 AND 運算子與搜尋查詢結合。

<SearchQuery> AND  (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>)

讓我們採用先前的範例,其中搜尋篩選條件可讓Bob只搜尋背景工作通訊群組成員的信箱。 然後我們建立另一個篩選器,防止 Bob 搜尋 Phil 的信箱 ("Mailbox_Alias -ne 'Phil'")。 同時假設 Phil 是 Workers 群組的成員。 當 Bob 在組織中的所有信箱上執行前一個範例) 的搜尋 (時,即使您套用篩選來防止 Bob 搜尋 Phil 的信箱,仍會傳回搜尋結果。 原因是允許 Bob 搜尋 Workers 群組的第一個篩選器為 true。 且由於 Phil 是 Workers 群組的成員,因此 Bob 可搜尋 Phil 的信箱。

搜尋許可權篩選是否適用於非作用中信箱? 是,您可以使用信箱和信箱內容篩選來限制誰可以在組織中搜尋非作用中的信箱。 就像一般信箱一樣,非作用中信箱必須使用用來建立許可權篩選的收件者屬性來設定。 如有必要,您可以使用 Get-Mailbox -InactiveMailboxOnly 命令來顯示非作用中信箱的屬性。 如需詳細資訊,請 參閱建立和管理非作用中信箱

搜尋許可權篩選是否適用於公用資料夾? 不能。 如先前所述,搜尋許可權篩選無法用來限制可在 Exchange 中搜尋公用資料夾的人員。 例如,公用資料夾位置中的項目無法由許可權篩選從搜尋結果中排除。

是否允許使用者搜尋特定服務中的所有內容位置,也會防止他們在不同的服務中搜尋內容位置? 不能。 如先前所述,您必須建立搜尋許可權篩選,以明確防止使用者在特定服務中搜尋內容位置 (例如防止使用者搜尋任何 Exchange 信箱或任何 SharePoint 網站) 。 換句話說,建立可讓使用者搜尋組織中所有 SharePoint 網站的搜尋權限篩選條件並不會防止該使用者搜尋信箱。 例如,若要允許 SharePoint 系統管理員只搜尋 SharePoint 網站,您必須建立可防止他們搜尋信箱的篩選條件。 同樣地,若要允許 Exchange 系統管理員只搜尋信箱,您必須建立可防止他們搜尋網站的篩選條件。

搜尋許可權是否根據搜尋查詢字元限制進行篩選? 是。 搜尋許可權會根據搜尋查詢的字元限制進行篩選。 如需詳細資訊,請參閱 電子檔探索 (Premium) 中的限制

組織中可建立的搜尋權限篩選數目上限?

並無限制可在組織中建立的搜尋權限篩選器數目。 不過,搜尋查詢最多可以有 100 個條件。 在此情況下,條件會定義為布爾運算符 (連線到查詢的內容,例如 ANDORNEAR) 。 條件數目限制包括搜尋查詢本身,以及套用至執行搜尋之使用者的所有搜尋許可權篩選條件。 因此,您的搜尋權限篩選條件越多 (特別是當這些篩選條件套用至相同的使用者或使用者群組時),超過搜尋條件數目上限的機會就越高。

若要瞭解此限制的運作方式,您必須了解搜尋許可權篩選器會在執行搜尋時附加至搜尋查詢。 AND 布爾運算符會將搜尋許可權篩選條件聯結至搜尋查詢。 搜尋查詢和單一搜尋許可權篩選器的查詢邏輯看起來會像這樣:

<SearchQuery> AND <PermissionsFilter>

OR 布爾運算 符會將多個搜尋許可權篩選條件合併在一起,然後 AND 運算 符會將這些條件連線到搜尋查詢。

搜尋查詢和多個搜尋許可權篩選條件的查詢邏輯看起來會像這樣:

<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)

搜尋查詢本身可能包含由布爾運算符連接的多個條件。 搜尋查詢中的每個條件也會計入 100 條件的限制。

此外,附加至查詢的搜尋許可權篩選數目取決於執行搜尋的使用者。 當特定使用者執行搜尋時,套用至使用者 (的搜尋許可權篩選會附加至查詢) 篩選器中的 Users 參數所定義。 您的組織可能會有數百個搜尋許可權篩選,但如果將超過100個篩選套用至相同的使用者,則當這些使用者執行搜尋時,可能會超過100個條件的限制。

關於條件限制,還有一件事要牢記在心。 搜尋查詢或搜尋許可權篩選器中包含的特定 SharePoint 網站數目也會計入此限制。

若要防止貴組織達到條件限制,請盡可能將組織中的搜尋許可權篩選器數目保持在最少,以符合您的商務需求。