分享方式:


設定電子文件探索調查的合規性界限

提示

新的 Microsoft Purview 入口網站現已提供電子檔探索 (預覽) 。 若要深入瞭解如何使用新的電子檔探索體驗,請參閱 瞭解電子檔探索 (預覽)

使用 Microsoft Purview 電子文件探索 (Standard) 或 Microsoft Purview 電子文件探索 (Premium) 來管理調查時,可以套用本文中的指導方針。

合規性界限可在組織中建立邏輯界限,以控制電子文件探索管理員可搜尋的使用者內容位置 (例如信箱、OneDrive 帳戶和 SharePoint 網站)。 合規性界限也會控制誰可以存取電子檔探索案例,這些案例是用來管理貴組織內的法律、人力資源或其他調查。

必須遵守地理邊界和法規的跨國公司,以及往往會分割為不同機關的政府機構,常常必須有合規性界限的需要。 在 Microsoft 365 中,合規性界限可協助您在執行內容搜尋及管理電子文件探索案例的調查時符合這些需求。

我們將使用下圖中的範例來說明合規性界限的運作方式。

合規性界限包含搜尋許可權篩選條件,可控制對控制電子檔探索案例存取權的機構和系統管理員角色群組的存取權。

在此範例中,Contoso LTD 是由 Fourth Coffee 和 Coho Winery 這兩個子公司組成的組織。 企業要求電子檔探索管理員和調查人員只能在其機構中搜尋 Exchange 信箱、OneDrive 帳戶和 SharePoint 網站。 電子文件探索管理員和調查人員也只能查看其機構中的電子文件探索案例,且只能存取其身為成員的案例。 此外,在此案例中,調查人員無法保留內容位置或從案例導出內容。 以下是合規性界限符合這些需求的方式。

  • 電子檔探索的搜尋許可權篩選功能會控制電子檔探索管理員和調查人員可以搜尋的內容位置。 此控件表示 Fourth Coffee 機構中的電子檔探索管理員和調查人員只能搜尋 Fourth Coffee 子公司中的內容位置。 Coho Winery 子公司也有相同的限制。

  • 角色群組提供以下的合規性界限功能:

    • 控制誰可以在 Microsoft Purview 合規性入口網站 中看到電子檔探索案例。 此控制項表示電子檔探索管理員和調查人員只能查看其機構中的電子檔探索案例。
    • 控制誰能夠將成員指派給電子文件探索案例。 此控件表示電子檔探索管理員和調查人員只能將成員指派給其本身所屬的案例。
    • 控制成員可以新增或移除指派特定權限角色來執行的電子文件探索相關工作。
  • 將搜尋許可權篩選套用至角色群組時,只要將執行動作的許可權指派給角色群組,角色群組的成員就可以執行下列與搜尋相關的動作:

    • 搜尋內容
    • 預覽搜尋結果
    • 匯出搜尋結果
    • 清除搜尋所傳回的項目

提示

如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

在設定合規性界限之前

  • 必須為使用者指派 Exchange Online 權限。 若要確認指派,請使用PowerShell Exchange Online Get-User Cmdlet。

設定合規性界限

以下是設定合規性界限的步驟:

步驟 1:識別使用者屬性以定義您的機構

第一個步驟是選擇要用來定義您機構的屬性。 此屬性用來建立搜尋權限篩選,以限制電子文件探索管理員只搜尋獲指派此屬性特定值之使用者的內容位置。 例如,假設 Contoso 決定使用 [部門] 屬性。 Fourth Coffee 子公司中使用者的這個屬性值會是 FourthCoffee ,而 Coho Winery 子公司中使用者的值會是 CohoWinery。 在步驟 3 中,您會使用這 attribute:value 組 (例如 Department:FourthCoffee) ,以限制電子檔探索管理員可以搜尋的用戶內容位置。

以下是一些可用於合規性界限的使用者屬性範例:

  • 公司
  • CustomAttribute1 - CustomAttribute15
  • 部門
  • 辦公室
  • CountryOrRegion (兩個字母的國碼 (地區碼))

步驟 2:為每個機構建立角色群組

下一個步驟是在合規性入口網站中建立與您機構一致的角色群組。

若要建立角色群組,請移至合規性入口網站中的 [許可權 ] 頁面, 併為每個機構中將使用合規性界限和電子檔探索案例來管理調查的每個小組建立角色群組。

我們建議為合規性界限建立的角色群組沒有任何附加的角色。 此角色群組只能用來將使用者指派給角色群組。 應該使用個別的內建 (電子檔探索管理員) 或自定義角色群組,將角色指派給成員。 如需有關電子文件探索相關角色的資訊,請參閱指派電子文件探索權限

注意事項

若要以空的角色來儲存和更新角色群組,您必須使用PowerShell Cmdlet。 如需詳細資訊,請參閱 New-RoleGroupAdd-RoleGroupMember

使用 Contoso 合規性界限範例案例需要建立四個角色群組,並於個別其中新增適當的成員。

  • Fourth Coffee 電子文件探索管理員
  • Fourth Coffee 調查人員
  • Coho Winery 電子文件探索管理員
  • Coho Winery 調查人員

重要事項

如果從您新增為案例成員的角色群組中新增或移除角色,則角色群組會自動移除為案例的成員 (或角色群組是) 的成員。 這樣做的原因是要保護您的組織,避免不小心為案例成員提供額外的許可權。 如果刪除角色群組,則會從其所屬的所有案例中移除該角色群組。 我們建議為合規性界限建立的角色群組沒有任何指派的角色。 使用個別的內建/自定義角色群組,將角色指派給成員。

步驟 3:建立搜尋權限篩選來強制執行合規性界限

為每個機構建立角色群組後,下一個步驟是建立搜尋權限篩選,可將每個角色群組與其特定機構建立關聯,並定義自身的合規性界限。 您必須為每個機構建立一個搜尋權限篩選。 如需建立安全性權限篩選的詳細資訊,請參閱設定內容搜尋的權限篩選

以下是用來建立搜尋許可權篩選器的語法,用於本文中案例的合規性界限。

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <role groups> -Filters "Mailbox_<MailboxPropertyName>  -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"

以下是命令中每個參數的描述:

  • FilterName:指定篩選的名稱。 使用描述或識別使用篩選器之機構的名稱。

  • Users:指定將這個篩選套用至其所執行之搜尋動作的使用者或群組。 針對合規性界限,此參數會指定您在要建立篩選條件之機構的步驟 2) 中建立的角色群組 (。 此參數是多重值參數,因此您可以包含一或多個角色群組,並以逗號分隔。

  • Filters:指定篩選的搜尋準則。 針對合規性界限,您可以定義下列篩選條件。 每一個都適用於不同的內容位置。

    • Mailbox:指定在 Users 參數中定義之角色群組可搜尋的信箱或 OneDrive 帳戶。 此篩選允許角色群組的成員只搜尋特定機構中的信箱或 OneDrive 帳戶;例如 "Mailbox_Department -eq 'FourthCoffee'"

    • SiteContent:此篩選器包含兩個不同的篩選條件。 第一個 SiteContent_Path 會指定代理程式中定義的角色群組可以搜尋的 Users SharePoint網站。 例如,SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'。 第二 SiteContent_Path 個篩選 (由操作員連線到第一個 SiteContent_Path 篩選 or) 指定機構的 OneDrive 網域 (也稱為 MySite 網域) 。 例如,SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'。 您也可以使用篩選 Site_Path 來取代 SiteContent 篩選。 和 SiteSiteContent 篩選條件是可互換的,而且不會影響本文所述的搜尋許可權篩選。

      重要事項

      為什麼先前的 SiteContent 搜尋許可權篩選中包含 OneDrive 的篩選? 雖然篩選Mailbox同時適用於信箱和 OneDrive 帳戶,但如果您未同時包含 OneDrive 篩選,包含 SharePoint 篩選器會排除 OneDrive Site 帳戶。 如果搜尋許可權篩選不包含 SharePoint 篩選,則您不需要包含個別的 OneDrive 篩選,因為信箱篩選器會在合規性界限的範圍內包含 OneDrive 帳戶。 換句話說,只有 Mailbox 篩選條件的搜尋許可權篩選會同時包含信箱和 OneDrive 帳戶。

以下是為了支援 Contoso 合規性界限案例所會建立的兩個搜尋權限篩選範例。 這兩個範例都包含逗號分隔篩選清單,信箱和網站篩選會包含在相同的搜尋權限篩選中,並以逗號分隔。

Fourth Coffee

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

Coho Winery

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

注意事項

先前範例中參數的語 Filters 法包含 篩選清單。 篩選清單是包含信箱篩選和網站路徑篩選的篩選 (以逗號分隔)。 在上述範例中,請注意逗號會 Mailbox 分隔和 SiteContent 篩選: -Filters "Mailbox_<MailboxPropertyName> -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"。 在執行電子檔探索搜尋期間處理此篩選時,會從篩選清單建立兩個搜尋許可權篩選:一個信箱篩選器和一個 SharePoint/OneDrive 篩選。 使用篩選清單的替代方案是為每個機構建立兩個不同的搜尋許可權篩選:一個信箱屬性的搜尋許可權篩選器,以及一個 SharePoint 和 OneDrive 網站屬性的篩選。 任何情況的結果都會相同。 請按照您的偏好使用篩選清單或建立個別的搜尋權限篩選。

在此案例中,搜尋許可權篩選如何運作?

以下是在此案例中如何針對每個機構套用搜尋許可權篩選。

  1. 篩選 Mailbox 會先套用以定義電子檔探索管理員可以搜尋的內容位置。 在此情況下,Coho Winery 電子檔探索管理員只能搜尋 Department 信箱屬性值為 FourthCoffee 之使用者的信箱和 OneDrive 帳戶;Coho Winery 電子檔探索管理員只能搜尋 Department 信箱屬性值為 CohoWinery 之使用者的信箱和 OneDrive 帳戶。 篩選 Mailbox內容位置篩選,因為它會指定電子檔探索管理員可以搜尋的內容位置。 在這兩個篩選中,電子檔探索管理員只能搜尋具有特定信箱屬性值的內容位置。

  2. 定義可搜尋的內容位置之後,篩選條件的下一個部分會定義電子檔探索管理員可以搜尋的內容。 第一個 SiteContent 篩選條件可讓Fourth Coffee電子檔探索管理員只搜尋網站路徑屬性包含 (或開頭為) https://contoso.sharepoint.com/sites/FourthCoffee的檔;Coho Winery 電子檔探索管理員只能搜尋網站路徑屬性包含 (或開頭為) https://contoso.sharepoint.com/sites/CohoWinery的檔。 因此,這兩 SiteContent 個篩選條件是 內容篩選條件 ,因為它們會定義可搜尋的內容。 在這兩個篩選中,電子檔探索管理員只能搜尋具有特定文檔屬性值的檔。 所有 SharePoint 相關的篩選都是內容篩選,因為可搜尋的網站屬性會在所有檔上加上戳記。 如需詳細資訊, 請參閱設定電子檔探索的許可權篩選。

    注意事項

    雖然本文中的案例不會使用它們,但您也可以使用信箱內容篩選來指定電子檔探索管理員可以搜尋的內容。 信箱內容篩選的語法是 "MailboxContent_<property> -<comparison operator> '<value>'"。 您可以根據日期範圍、收件者和網域或任何可搜尋的電子郵件屬性來建立內容篩選。 例如,此篩選條件可讓電子檔探索管理員只搜尋 contoso.com 網域中使用者所傳送或接收的郵件專案: "MailboxContent_Participants -like 'contoso.com'"。 如需信箱內容篩選的詳細資訊,請參閱設定 搜尋許可權篩選

  3. AND 布爾運算符會將搜尋許可權篩選條件聯結至搜尋查詢。 這表示當其中一個機構中的電子檔探索管理員執行電子檔探索搜尋時,搜尋所傳回的項目必須符合搜尋查詢和搜尋許可權篩選中定義的條件。

步驟 4:建立電子文件探索案例以進行機構內部調查

最後一個步驟是在合規性入口網站中建立 eDiscovery (Standard) 案例或 eDiscovery (Premium) 案例,然後將您在步驟 2 中建立的角色群組新增為案例的成員。 這會造成使用合規性界限的兩個重要特性結果:

  • 只有新增至案例的角色群組成員才能在合規性入口網站中查看和存取案例。 例如,如果 Fourth Coffee 調查人員角色群組是案例的唯一成員,則 Fourth Coffee 電子文件探索管理員角色群組的成員 (或任何其他角色群組的成員) 都無法查看或存取案例。

  • 當指派給案例的角色群組成員執行與案例相關聯的搜尋時,他們只能搜尋其機構 (內的內容位置,此位置是由您在步驟 3.) 中建立的搜尋許可權篩選所定義

若要建立案例並指派成員:

注意事項

在有限的時間內,此傳統電子檔探索體驗也可在新的 Microsoft Purview 入口網站中使用。 在電子檔探索 (預覽) 體驗設定中啟用合規性入口網站傳統電子檔探索體驗,以在新的 Microsoft Purview 入口網站中顯示傳統體驗。

  1. 移至合規性入口網站中的 eDiscovery (Standard) eDiscovery (Premium) 頁面,然後建立案例。

  2. 在案例清單中,選取您建立的案例名稱。

  3. 將角色群組新增為案例的成員。 如需指示,請參閱下列其中一個文章:

注意事項

將角色群組新增至案例時,您只可以新增您身為其中成員的角色群組。

在多地理位置環境中搜尋和導出內容

搜尋權限篩選也讓您控制內容要路由傳送以匯出的位置,以及當搜尋 SharePoint 多地理位置環境中的內容位置時,可以搜尋的資料中心。

  • 匯出搜尋結果:您可以從 Exchange 信箱、SharePoint 網站和特定資料中心中的 One Drive 帳戶中匯出搜尋結果。 這表示您可以指定要匯出搜尋結果的數據中心位置。

    使用 New-ComplianceSecurityFilterSet-ComplianceSecurityFilter Cmdlet 的 Region 參數來建立或變更導出所路由傳送的數據中心。

    參數值 資料中心位置
    NAM
    北美洲 (資料中心位於美國)
    EUR
    歐洲
    APC
    亞太地區
    CAN
    加拿大
  • 路由內容搜尋: 您可以將 SharePoint 網站和 OneDrive 帳戶的內容搜尋路由傳送至衛星資料中心。 這表示您可以指定執行搜尋的數據中心位置。

    為 [地區] 參數使用以下其中一個值,來控制搜尋 SharePoint 網站和 OneDrive 帳戶時會執行搜尋的資料中心位置。

    參數值 SharePoint 的資料中心路由位置
    NAM
    美國
    EUR
    歐洲
    APC
    亞太地區
    CAN
    美國
    AUS
    亞太地區
    KOR
    組織的預設資料中心
    GBR
    歐洲
    JPN
    亞太地區
    IND
    亞太地區
    LAM
    美國
    NOR
    歐洲
    BRA
    北美洲資料中心

    如果您未指定搜尋許可權篩選的 Region 參數,則會搜尋組織的主要 SharePoint 區域。 搜尋結果會匯出至最接近的資料中心。

    為了簡化概念,[地區] 參數會控制用來搜尋 SharePoint 和 OneDrive 中內容的資料中心。 這不適用於在 Exchange 中搜尋內容,因為 Exchange 內容搜尋不受資料中心的地理位置所限制。 此外,相同的 [地區] 參數值可能也會指定匯出要路由傳送經過的資料中心。 這通常是控制跨地理邊界資料的移動時所必須。

注意事項

如果您使用 eDiscovery (Premium ) ,Region 參數不會控制要從中匯出數據的區域。 資料會從組織的中央位置匯出。 此外,在 SharePoint 和 OneDrive 中搜尋內容不受資料中心的地理位置限制。 系統會搜尋所有資料中心。 如需 eDiscovery (Premium) 的詳細資訊,請參閱 Microsoft 365 中的電子檔探索 (進階) 解決方案概觀

以下是建立合規性界限的搜尋權限權篩選時使用的 [地區] 參數範例。 這假設 Fourth Coffee 子公司位於北美洲,而 Coho Winery 則位於歐洲。

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region NAM
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region EUR

在多地理位置環境中搜尋和匯出內容時,請留意下列事項。

  • [地區] 參數不會控制 Exchange 信箱的搜尋。 搜尋信箱時,也會搜尋所有資料中心。 若要限制搜尋 Exchange 信箱的範圍,請在建立或變更搜尋權限篩選時使用 [篩選] 參數。

  • 如果電子文件探索管理員必須跨多個 SharePoint 地區搜尋,請務必為電子文件探索管理員員建立不同的使用者帳戶在搜尋權限篩選中使用,以用來指定 SharePoint 網站或 OneDrive 帳戶所在的地區。 如需有關設定此項目的資訊,請參閱內容搜尋中的 <搜尋 SharePoint 多地理位置環境中的內容> 一節。

  • 在 SharePoint 和 OneDrive 中搜尋內容時,[地區] 參數會將搜尋導向至電子文件探索管理員會進行電子文件探索調查的主要或衛星位置。 如果電子文件探索管理員搜尋搜尋權限篩選指定之區域以外的 SharePoint 和 OneDrive 網站,則不會傳回搜尋結果。

  • 從 eDiscovery (Standard) 導出搜尋結果時,來自所有內容位置的內容 (包括 Exchange、商務用 Skype、SharePoint、OneDrive,以及您可以使用內容搜尋工具) 搜尋的其他服務,都會上傳至 Region 參數所指定數據中心內的 Azure 儲存器位置。 這可協助組織不允許跨受控制邊界匯出內容而保持合規性。 如果在搜尋權限篩選中未指定任何地區,則內容會上傳到組織的主要資料中心。

    從 eDiscovery 匯出內容 (Premium) 時,您無法使用 Region 參數控制內容上傳的位置。 內容會上傳到貴組織中央位置資料中心中的 Azure 儲存體位置。 如需根據您中央位置的地理位置清單,請參閱 Microsoft 365 多地理位置電子文件探索設定

  • 您可以執行下列命令,編輯現有的搜尋權限篩選以新增或變更地區:

    Set-ComplianceSecurityFilter -FilterName <Filter name>  -Region <Region>
    

使用 SharePoint 中樞網站的合規性界限

SharePoint 中樞網站通常與電子文件探索合規性界限所遵循的相同地理或機構界限保持一致。 這表示您可以使用中樞網站的網站識別碼屬性來建立合規性界限。 若要這樣做,請使用 SharePoint Online PowerShell 中的 Get-SPOHubSite Cmdlet 來取得中樞網站的 SiteId,然後針對部門標識符屬性使用此值來建立搜尋許可權篩選器。

使用下列語法來建立 SharePoint 中樞網站的搜尋權限權篩選:

New-ComplianceSecurityFilter -FilterName <Filter Name> -Users <User or Group> -Filters "Site_Departmentid -eq '{SiteId of hub site}'"

以下是為 Coho Winery 機構中樞網站建立搜尋權限篩選的範例:

New-ComplianceSecurityFilter -FilterName "Coho Winery Hub Site Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Site_Departmentid -eq '44252d09-62c4-4913-9eb0-a2a8b8d7f863'"

合規性界限限制

在管理使用合規性界限的電子文件探索案例和調查時,請考量到下列限制。

  • 在建立及執行搜尋時,您可以選取機構外部的內容位置。 不過,由於搜尋權限篩選的緣故,這些位置的內容不會包含在搜尋結果中。

  • 合規性界限不適用於電子文件探索案例中的保留。 這表示某家機構中的電子文件探索管理員可以保留不同機構中的使用者。 不過,如果電子文件探索管理員針對處於保留狀態的使用者搜尋其內容位置,則會強制執行合規性界限。 這表示電子文件探索管理員將無法搜尋使用者的內容位置,即使其可以保留使用者也沒有用。

  • 如果您獲指派搜尋權限篩選 (信箱或網站篩選),且嘗試匯出包含貴組織中所有 SharePoint 網站之搜尋的未編製索引項目,即會收到下列錯誤訊息: Unable to execute the task. Reason: The scope options UnindexedItemsOnly or BothIndexedandUnindexedItems are not allowed when the executing user has a compliance security filter applied。 如果您獲指派搜尋權限篩選,且要匯出 SharePoint 中的未編製索引項目,您必須重新執行搜尋,並包含要搜尋的特定 SharePoint 網站。 否則,您僅能從包含所有 SharePoint 網站的搜尋中匯出已編製索引的項目。 如需匯出搜尋結果時相關選項的詳細資訊,請參閱匯出內容搜尋結果

  • 搜尋權限篩選不適用於 Exchange 公用資料夾。

  • 支援的搜尋篩選器包括-and-or-like、、-not-eq-ne。 我們不建議在內容型合規性界限的搜尋許可權篩選) 中使用其他排除篩選 (,例如使用 -notlike)inotlike等等。 如果最近更新屬性的內容尚未編製索引,則使用這些排除篩選可能會產生非預期的結果。

  • 在下列情況下,可能會影響搜尋中 OneDrive 網站的合規性界限:

    • 網站 (或相關聯的信箱) 移動或重新儲存
    • 系統會重新指派 OneDrive 擁有權,或新增一個以上的擁有者
    • OneDrive 網站已重新命名/重新發行

    移動 OneDrive 網站可以變更內容的擁有權,而且可能包括建立仲裁信箱。 移動這些資源時,可能會有跨合規性界限提供內容搜尋結果。 當 OneDrive 網站重新指派、重新命名或指派給多個擁有者時,這些網站的內容可能會跨合規性界限提供。

  • 當下列情況時,信箱的合規性界限可能會受到影響:

    • 信箱未與授權使用者相關聯 (包括已停用或已刪除的使用者)
    • 信箱不會從 Microsoft Entra ID 管理或同步處理

    此外,有數種信箱類型可能會在搜尋期間產生內容,而不論其合規性界限為何。 這些信箱類型包括:

    • EquipmentMailbox
    • GuestMailUser
    • LinkedMailbox
    • RoomList
    • RoomMailbox
    • SchedulingMailbox
    • SharedMailbox
    • SystemMailbox
    • TeamMailbox

    若要確保搜尋如預期般遵守您的合規性界限,您可能需要更新已移動資源的許可權和角色。

其他資訊

  • 如果信箱已取消授權或虛刪除,則不會再將使用者視為在合規性界限內。 如果信箱在刪除時處於保留狀態,則信箱中保留的內容仍會受合規性界限或搜尋權限篩選的規範。
  • 如果已針對使用者實作合規性邊界和搜尋權限篩選,則建議您不要刪除該使用者的信箱以及其 OneDrive 帳戶。 換句話說,如果您刪除使用者的信箱,也應該移除該使用者的 OneDrive 帳戶,因為 mailbox_RecipientFilter 是用來強制執行 OneDrive 的搜尋權限篩選。
  • 合規性界限和搜尋權限選取決於在 Exchange、OneDrive 和 SharePoint 中內容上的戳記屬性,以及此戳記內容的後續索引。

常見問題集

誰可以建立和管理搜尋權限篩選 (使用 New-ComplianceSecurityFilter 和 Set-ComplianceSecurityFilter Cmdlet)?

若要建立、檢視及修改搜尋許可權篩選,您必須是合規性入口網站中組織管理角色群組的成員。

如果電子文件探索管理員獲指派超過一個跨多個機構的角色群組,他們如何在一家或另一家機構中搜尋內容?

電子文件探索管理員可以將參數新增至其搜尋查詢,以將搜尋限制為特定機構。 例如,如果組織已指定 CustomAttribute10 屬性來區分機構,他們可以將下列內容附加至其搜尋查詢,以搜尋特定機構中的信箱和 OneDrive 帳戶: CustomAttribute10:<value>

如果變更搜尋權限篩選中用來做為合規性屬性的屬性值,會發生什麼情況?

如果篩選中使用的屬性值已變更,搜尋權限篩選最多需要三天才能強制執行合規性界限。 例如,在 Contoso 案例中假設 Fourth Coffee 機構中的使用者已轉移到 Coho Winery 機構。 因此,使用者物件上的 [部門] 屬性值會從 FourthCoffee 變更為 CohoWinery。 在這種情況下,Fourth Coffee eDiscovery 和投資者會在屬性變更後最多三天內依舊取得該使用者的搜尋結果。 同樣地,Coho Winery 電子文件探索管理員和調查人員最多需要等三天的時間才能取得該使用者的搜尋結果。

電子文件探索管理員可以看到來自兩種個別合規性界限的內容嗎?

是,在搜尋 Exchange 信箱時,將電子文件探索管理員新增至可看到這兩個機構的角色群組,即可達成此作業。 然而當搜尋 SharePoint 網站和 OneDrive 帳戶時,只有在機構位於相同的地區或地理位置時,電子文件探索管理員才能搜尋不同合規性界限中的內容。 注意: 此網站限制不適用於電子檔探索 (Premium) ,因為在 SharePoint 和 OneDrive 中搜尋內容不受地理位置限制。

搜尋權限篩選是否適用於電子文件探索案例保留、Microsoft 365 保留原則或 DLP?

否,目前還不行。

如果我指定要控制內容匯出位置的地區,但我在該地區沒有 SharePoint 組織,是否仍可搜尋 SharePoint?

如果組織中不存在搜尋許可權篩選中指定的區域,則會搜尋預設區域。

組織中可建立的搜尋權限篩選數目上限?

並無限制可在組織中建立的搜尋權限篩選器數目。 不過,搜尋查詢最多可以有 100 個條件。 在此情況下,條件會定義為布爾運算符 (連線到查詢的內容,例如 ANDORNEAR) 。 條件數目限制包括搜尋查詢本身,以及套用至執行搜尋之使用者的所有搜尋許可權篩選條件。 因此,您的搜尋權限篩選條件越多 (特別是當這些篩選條件套用至相同的使用者或使用者群組時),超過搜尋條件數目上限的機會就越高。

若要瞭解此限制的運作方式,您必須了解搜尋許可權篩選器會在執行搜尋時附加至搜尋查詢。 AND 布爾運算符會將搜尋許可權篩選條件聯結至搜尋查詢。 搜尋查詢和單一搜尋許可權篩選器的查詢邏輯看起來會像這樣:

<SearchQuery> AND <PermissionsFilter>

OR 布爾運算 符會將多個搜尋許可權篩選條件合併在一起,然後 AND 運算 符會將這些條件連線到搜尋查詢。

搜尋查詢和多個搜尋許可權篩選條件的查詢邏輯看起來會像這樣:

<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)

搜尋查詢本身可能包含由布爾運算符連接的多個條件。 搜尋查詢中的每個條件也會計入 100 條件的限制。

此外,附加至查詢的搜尋許可權篩選數目取決於執行搜尋的使用者。 當特定使用者執行搜尋時,套用至使用者 (的搜尋許可權篩選會附加至查詢) 篩選器中的 Users 參數所定義。 您的組織可能會有數百個搜尋許可權篩選,但如果將超過100個篩選套用至相同的使用者,則當這些使用者執行搜尋時,可能會超過100個條件的限制。

關於條件限制,還有一件事要牢記在心。 搜尋查詢或搜尋許可權篩選器中包含的特定 SharePoint 網站數目也會計入此限制。

若要防止貴組織達到條件限制,請盡可能將組織中的搜尋許可權篩選器數目保持在最少,以符合您的商務需求。