配置电子数据展示的权限筛选
可以使用搜索权限筛选让电子数据展示管理员仅搜索组织中的一部分邮箱和网站。 您还可以使用权限筛选功能让该电子数据展示管理员仅搜索满足特定搜索条件的邮箱或站点内容。
例如,你可能希望电子数据展示管理员仅搜索特定位置或部门的用户的邮箱。 为此,可以创建一个筛选器,该筛选器使用受支持的收件人筛选器来限制特定用户或用户组可以搜索的邮箱。 还可创建一个筛选器,指定用户可以搜索的邮箱内容。 这是通过创建使用可搜索邮件属性的筛选器来完成的。 同样,您可以让电子数据展示管理器仅搜索组织中的特定 SharePoint 网站。 通过创建限制可以搜索哪些站点的筛选器执行此操作。 您还可以创建指定可以搜索哪些站点内容的筛选器。 这是通过创建使用可搜索站点属性的筛选器来完成的。
在Microsoft Purview 合规门户中使用内容搜索、Microsoft Purview 电子数据展示 (标准) 和Microsoft Purview 电子数据展示 (高级) 搜索内容时,将应用搜索权限筛选器。 将搜索权限筛选器应用于特定用户时,该用户可以执行以下与搜索相关的操作:
- 搜索内容
- 预览搜索结果
- 导出搜索结果
- 清除搜索返回的项目
还可以使用搜索权限筛选创建逻辑边界, (称为 合规性边界) 组织内控制用户内容位置 (,例如邮箱、SharePoint 网站和 OneDrive 帐户,) 特定电子数据展示管理员可以搜索。 有关详细信息,请参阅为电子数据展示调查设置合规性边界。
安全性 & 合规性 PowerShell 中的以下四个 cmdlet 可用于配置和管理搜索权限筛选器:
- New-ComplianceSecurityFilter
- Get-ComplianceSecurityFilter
- Set-ComplianceSecurityFilter
- Remove-ComplianceSecurityFilter
提示
如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
配置权限筛选的要求
- 若要运行合规性安全筛选器 cmdlet,你必须是合规性门户中 “组织管理 ”角色组的成员。 有关详细信息,请参阅安全与合规中心中的权限。
- 必须同时连接到 Exchange Online 和安全 & 合规性 PowerShell 才能使用合规性安全筛选器 cmdlet。 这是必需的,因为这些 cmdlet 需要访问邮箱属性,这就是为什么你必须连接到 Exchange Online PowerShell。 请参阅下一节中的步骤。
- 请参阅More information部分,了解有关搜索权限筛选器的其他信息。
- 搜索权限筛选适用于非活动邮箱,这意味着可以使用邮箱和邮箱内容筛选来限制谁可以搜索非活动邮箱。 有关权限筛选和非活动邮箱的其他信息,请参阅 详细信息 部分。
- 搜索权限筛选不能用于限制谁可以在 Exchange 中搜索公用文件夹。
- 可在组织中创建的搜索权限筛选器的数量没有限制。 但是,搜索查询最多可以有 100 个条件。 在这种情况下,条件定义为由布尔运算符 ((如 AND、 OR 和 NEAR) )连接到查询的内容。 条件数的限制包括搜索查询本身以及应用于运行搜索的用户的所有搜索权限筛选器。 因此,拥有的搜索权限筛选器越多(尤其是在将这些筛选器应用于同一用户或用户组时),越有可能超出搜索的最大条件数。 若要防止组织达到条件限制,请将组织中的搜索权限筛选器数量保持在尽可能少,以满足业务需求。 有关详细信息,请参阅为电子数据展示调查设置合规性边界。
在单个会话中连接到Exchange Online和安全性 & 合规性 PowerShell
在成功运行本部分中的脚本之前,必须下载并安装 Exchange Online PowerShell 模块。 有关信息,请参阅安装和维护 Exchange Online PowerShell 模块。
使用文件名后缀.ps1将以下文本保存到Windows PowerShell脚本文件。 例如,可以将它保存到名为 ConnectEXO-SCC.ps1的文件。
Import-Module ExchangeOnlineManagement $UserCredential = Get-Credential Connect-ExchangeOnline -Credential $UserCredential -ShowBanner:$false Connect-IPPSSession -Credential $UserCredential $Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Exchange Online + Security & Compliance)"在本地计算机上,打开Windows PowerShell,转到在上一步中创建的脚本所在的文件夹,然后运行该脚本;例如:
.\ConnectEXO-SCC.ps1
您如何知道这是否有效? 运行脚本后,Exchange Online PowerShell 和安全性 & 合规性 PowerShell 中的 cmdlet 可用。 如果未收到任何错误,说明连接成功。 快速测试是运行Exchange Online PowerShell 和安全性 & 合规性 PowerShell cmdlet。 例如,可以运行 和 Get-Mailbox 和 Get-ComplianceSearch。
若要排查 PowerShell 连接错误,请参阅:
New-ComplianceSecurityFilter
New-ComplianceSecurityFilter cmdlet 用于创建搜索权限筛选器。 下面是此 cmdlet 的基本语法:
New-ComplianceSecurityFilter -FilterName <name of filter> -Users <user or role group> -Filters <filter>
以下部分介绍此 cmdlet 的参数。 创建搜索权限筛选器需要所有参数。
FilterName
FilterName 参数指定权限筛选器的名称。 使用 Get-ComplianceSecurityFilter、Set-ComplianceSecurityFilter 和 Remove-ComplianceSecurityFilter cmdlet 时,此名称用于标识筛选器。
筛选器
Filters 参数指定合规性安全筛选器的搜索条件。 您可以创建三种不同类型的筛选器:
邮箱或 OneDrive 筛选: 此类型的筛选器指定由 Users 参数指定的邮箱和 OneDrive 帐户 (,) 可以搜索。 这种类型的筛选器称为内容位置筛选器,因为它定义了用户可以搜索的内容位置。 此类型筛选器的语法 为 Mailbox_MailboxPropertyName,其中 MailboxPropertyName 指定用于限定可搜索的邮箱和 OneDrive 帐户的范围的邮箱属性。 例如,邮箱筛选器
"Mailbox_CustomAttribute10 -eq 'OttawaUsers'"将允许分配此筛选器的用户仅搜索 CustomAttribute10 属性中值为“OttawaUsers”的邮箱和 OneDrive 帐户。任何受支持的可筛选收件人属性都可以用于邮箱或 OneDrive 筛选器中的 MailboxPropertyName 属性。 下表列出了用于创建邮箱或 OneDrive 筛选器的四个常用收件人属性。 该表还包括在筛选器中使用属性的示例。
属性名称 示例 别名 "Mailbox_Alias -like 'v-'"公司 "Mailbox_Company -eq 'Contoso'"CountryOrRegion "Mailbox_CountryOrRegion -eq 'United States'"部门 "Mailbox_Department -eq 'Finance'"邮箱内容筛选: 此类型的筛选器应用于可搜索的内容。 此类筛选器称为内容筛选器,因为它指定分配的用户可以搜索的邮箱内容或可搜索的电子邮件属性。 此类型筛选器的语法 为 MailboxContent_SearchablePropertyName,其中 SearchablePropertyName 指定可在搜索中指定的关键字查询语言 (KQL) 属性。 例如,邮箱内容筛选器
"MailboxContent_Recipients -like 'contoso.com'"将允许分配此筛选器的用户仅搜索发送到 contoso.com 域中收件人的邮件。 有关可搜索电子邮件属性的列表,请参阅电子数据展示的关键字查询和搜索条件。重要
单个搜索筛选器不能包含邮箱筛选器和邮箱内容筛选器。 若要将它们合并到单个筛选器中,必须使用 筛选器列表。 但筛选器可以包含相同类型的更复杂的查询。 例如,
"Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"网站和网站内容筛选: 有两个与 SharePoint 和 OneDrive 相关的筛选器,可用于指定分配的用户可以搜索的网站或网站内容。
- Site_QueryableSiteProperty
- SiteContent_QueryableSiteProperty
这两个筛选器可互换。 例如,
"Site_Path -like 'https://contoso.sharepoint.com/sites/doctors'"和"SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'"返回相同的结果。 有关可搜索网站属性的列表,请参阅电子数据展示的关键字查询和搜索条件 有关更完整的列表,请参阅 SharePoint 中的已爬网属性和托管属性概述。 “可查询”列中标有“是”的属性可用于创建网站或网站内容筛选器。重要
使用受支持的属性之一设置站点筛选器并不意味着筛选器中的站点属性将传播到该站点上的所有文档。 这意味着用户仍负责填充与该网站的文档关联的特定属性字段,以便网站筛选器正常工作并捕获正确的内容。 例如,如果用户应用了安全筛选器“Site_RefineableString00 -eq 'abc'”,然后用户使用关键字 (keyword) 查询“xyz”运行搜索。 安全筛选器将追加到查询中,运行的实际查询将是“xyz AND RefineableString0:'abc'”。 用户需要确保站点上的文档在 RefineableString00 字段中确实具有 "abc" 值。 否则,搜索查询不会返回任何结果。
为搜索权限筛选器配置 Filters 参数时,请记住以下注意事项:
- 与邮箱不同,网站没有内容位置筛选器,即使网站筛选器看起来像位置筛选器。 SharePoint 和 OneDrive 的所有筛选器都是 (这也是 Site_ 和 SiteContent_ 筛选器) 可互换的原因,因为与网站相关的属性(如 路径 )直接在文档中标记。 这是什么原因? 这是 SharePoint 设计方式的结果。 在 SharePoint 中,没有具有属性的“网站对象”,就像 Exchange 邮箱中那样。 因此, Path 属性在文档上标记,并包含文档所在的网站的 URL。 这就是为什么 网站 筛选器被视为内容筛选器而不是内容位置筛选器的原因。
- 您必须创建搜索权限筛选器,以显式阻止用户搜索特定服务 (中的内容位置,例如阻止用户搜索任何 Exchange 邮箱或任何 SharePoint 网站) 。 换而言之,创建允许用户搜索组织中所有 SharePoint 网站的搜索权限筛选器不会阻止该用户搜索邮箱。 例如,若要允许 SharePoint 管理员仅搜索 SharePoint 网站,必须创建一个筛选器来阻止他们搜索邮箱。 同样,若要允许 Exchange 管理员仅搜索邮箱,必须创建一个筛选器来阻止他们搜索网站。
用户
Users 参数指定将此筛选器应用于其搜索的用户。 按其别名或主要 SMTP 地址标识用户。 您可以指定用逗号分隔的多个值,也可以通过使用值 All 将筛选器分配给所有用户。
还可以使用 Users 参数指定合规性门户角色组。 这可让您创建一个自定义角色组,然后为该角色组分配搜索权限筛选器。 例如,假设您具有一家跨国公司美国子公司的电子数据展示管理员自定义角色组。 可以使用 Users 参数指定此角色组 (,方法是使用角色组的 Name 属性) 然后使用 Filter 参数仅允许搜索美国中的邮箱。 不能使用此参数指定通讯组。
使用筛选器列表合并筛选器类型
筛选器列表是一个筛选器,其中包含邮箱筛选器和以逗号分隔的网站筛选器。 此逗号还充当 OR 运算符。 使用筛选器列表是组合不同类型的筛选器的唯一受支持的方法。 在以下示例中,请注意,逗号分隔 邮箱 和 网站 筛选器:
-Filters "Mailbox_CustomAttribute10 -eq 'OttawaUsers'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'"
在运行搜索期间处理包含筛选器列表的筛选器时,将从筛选器列表中创建两个搜索权限筛选器:每个筛选器各有一个,用逗号分隔。 因此,在前面的示例中,将创建一个邮箱搜索权限筛选器和一个网站搜索权限筛选器。 这些筛选器由 OR 运算符连接。
使用筛选器列表的替代方法是创建两个单独的搜索权限筛选器。 因此,在前面的示例中,你将为邮箱属性创建一个筛选器,为网站属性创建一个筛选器。 在任一情况下,结果都是相同的。 使用筛选器列表或创建单独的搜索权限筛选器是首选问题。
使用筛选器列表时,请记住以下事项:
必须使用筛选器列表来创建包含 邮箱 筛选器和 MailboxContent 筛选器的筛选器。
筛选器列表的每个组件都可以包含复杂的筛选器语法。 例如,邮箱和网站筛选器可以包含由 -或 运算符分隔的多个筛选器:
-Filters "Mailbox_Department -eq 'CohoWinery' -or Mailbox_CustomAttribute10 -eq 'CohoUsers'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'"
创建搜索权限筛选器的示例
下面是使用 New-ComplianceSecurityFilter cmdlet 创建搜索权限筛选器的示例。
此示例允许“US Discovery Manager”角色组的成员仅搜索美国境内的邮箱和 OneDrive 帐户。
New-ComplianceSecurityFilter -FilterName USDiscoveryManagers -Users "US Discovery Managers" -Filters "Mailbox_CountryOrRegion -eq 'United States'"
此示例允许用户 annb@contoso.com 仅对加拿大的邮箱和 OneDrive 帐户执行搜索操作。 此筛选器包含 ISO 3166-1 标准的加拿大三位数字国家/地区代码。
New-ComplianceSecurityFilter -FilterName CountryFilter -Users annb@contoso.com -Filters "Mailbox_CountryCode -eq '124'"
此示例允许用户 donh 和 suzanf 仅搜索具有 CustomAttribute1 邮箱属性值“Marketing”的邮箱和 OneDrive 帐户。
New-ComplianceSecurityFilter -FilterName MarketingFilter -Users donh,suzanf -Filters "Mailbox_CustomAttribute1 -eq 'Marketing'"
此示例允许“Fourth Coffee 电子数据展示管理器”角色组的成员仅搜索具有部门邮箱属性值“FourthCoffee”的邮箱和 OneDrive 帐户。 筛选器还允许角色组成员在 Fourth Coffee SharePoint 网站中搜索文档。
New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"
注意
在前面的示例中,必须包含其他网站内容筛选器 (SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*') ,以便角色组成员可以在 OneDrive 帐户中搜索文档。 如果未包含此筛选器,则筛选器将仅允许角色组成员搜索位于 中的 https://contoso.sharepoint.com/sites/FourthCoffee文档。
本示例允许电子数据展示管理器角色组中的成员仅搜索渥太华用户通讯组的成员邮箱和 OneDrive 账户。 Exchange Online PowerShell 中的 Get-DistributionGroup cmdlet 用于查找渥太华用户组的成员。
$DG = Get-DistributionGroup "Ottawa Users"
New-ComplianceSecurityFilter -FilterName DGFilter -Users eDiscoveryManager -Filters "Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"
此示例阻止任何用户对执行团队通讯组成员的邮箱和 OneDrive 帐户执行搜索操作。 这意味着用户可以从这些邮箱中删除内容。 Exchange Online PowerShell 中的 Get-DistributionGroup cmdlet 用于查找执行团队组的成员。
$DG = Get-DistributionGroup "Executive Team"
New-ComplianceSecurityFilter -FilterName NoExecutivesPreview -Users All -Filters "Mailbox_MemberOfGroup -ne '$($DG.DistinguishedName)'"
此示例允许 OneDrive 电子数据展示管理器自定义角色组的成员仅搜索组织中 OneDrive 帐户中的内容。
New-ComplianceSecurityFilter -FilterName OneDriveOnly -Users "OneDrive eDiscovery Managers" -Filters "SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"
此示例将用户限制为仅对 2015 日历年发送的电子邮件执行搜索操作。
New-ComplianceSecurityFilter -FilterName EmailDateRestrictionFilter -Users donh@contoso.com -Filters "MailboxContent_Received -ge '01-01-2015' -and MailboxContent_Received -le '12-31-2015'"
与上一个示例类似,此示例将用户限制为仅对上次在 2015 日历年某个时间更改的文档执行搜索操作。
New-ComplianceSecurityFilter -FilterName DocumentDateRestrictionFilter -Users donh@contoso.com -Filters "SiteContent_LastModifiedTime -ge '01-01-2015' -and SiteContent_LastModifiedTime -le '12-31-2015'"
此示例阻止“OneDrive 发现管理器”角色组的成员对组织中的任何邮箱执行搜索操作。
New-ComplianceSecurityFilter -FilterName NoEXO -Users "OneDrive Discovery Managers" -Filters "Mailbox_Alias -notlike '*'"
此示例阻止组织中的任何人对由 janets 或 sarad 发送或接收的电子邮件执行搜索操作。
New-ComplianceSecurityFilter -FilterName NoSaraJanet -Users All -Filters "MailboxContent_Participants -notlike 'janets@contoso.onmicrosoft.com' -and MailboxContent_Participants -notlike 'sarad@contoso.onmicrosoft.com'"
此示例使用筛选器列表来合并邮箱和网站筛选器。 在此示例中,邮箱筛选器是内容位置筛选器,网站筛选器是内容筛选器。
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'"
Get-ComplianceSecurityFilter
Get-ComplianceSecurityFilter 用于返回搜索权限筛选器的列表。 使用 FilterName 参数返回特定搜索筛选器的信息。
Set-ComplianceSecurityFilter
Set-ComplianceSecurityFilter 用于修改现有搜索权限筛选器。 以下部分介绍此 cmdlet 的参数。 所需的唯一参数是 FilterName。
FilterName
FilterName 参数指定权限筛选器的名称。
用户
Users 参数指定将此筛选器应用于其搜索的用户。 由于这是多值属性,因此使用此参数指定用户或用户组将覆盖现有用户列表。 有关添加和删除所选用户的语法,请参阅以下示例。
还可以使用 Users 参数指定合规性门户角色组。 这可让您创建一个自定义角色组,然后为该角色组分配搜索权限筛选器。 例如,假设您具有一家跨国公司美国子公司的电子数据展示管理员自定义角色组。 可以使用 Users 参数指定此角色组 (,方法是使用角色组的 Name 属性) 然后使用 Filter 参数仅允许搜索美国中的邮箱。 不能使用此参数指定通讯组。
筛选器
Filters 参数指定合规性安全筛选器的搜索条件。 您可以创建三种不同类型的筛选器:
邮箱和 OneDrive 筛选: 此类型的筛选器指定由 Users 参数指定的邮箱和 OneDrive 帐户 (,) 可以搜索。 这种类型的筛选器的语法是 Mailbox_MailboxPropertyName,其中 MailboxPropertyName 指定用于限制可以搜索的邮箱范围的邮箱属性。 例如,邮箱筛选器
"Mailbox_CustomAttribute10 -eq 'OttawaUsers'"将允许分配此筛选器的用户仅搜索 CustomAttribute10 属性中值为“OttawaUsers”的邮箱。 任何受支持的可筛选收件人属性均可用于 MailboxPropertyName 属性。 有关支持的属性列表,请参阅 -RecipientFilter 参数的可筛选属性。邮箱内容筛选: 此类型的筛选器应用于可搜索的内容。 它指定分配的用户可以搜索的邮箱内容。 此类型筛选器的语法 为 MailboxContent_SearchablePropertyName,其中 SearchablePropertyName 指定可在搜索中指定的关键字查询语言 (KQL) 属性。 例如,邮箱内容筛选器
"MailboxContent_Recipients -like 'contoso.com'"将允许分配此筛选器的用户仅搜索发送到 contoso.com 域中收件人的邮件。 有关可搜索电子邮件属性的列表,请参阅电子数据展示的关键字查询和搜索条件。网站和网站内容筛选:有两个 SharePoint 和OneDrive for Business网站相关筛选器,可用于指定分配的用户可以搜索的网站或网站内容:
- Site_SearchableSiteProperty
- SiteContent_SearchableSiteProperty
这两个筛选器可互换。 例如,
"Site_Path -like 'https://contoso.spoppe.com/sites/doctors*'"和"SiteContent_Path -like 'https://contoso.spoppe.com/sites/doctors*'"返回相同的结果。 有关可搜索网站属性的列表,请参阅 SharePoint 中已爬网和托管属性概述。 “可查询”列中标有“是”的属性可用于创建网站或网站内容筛选器。
更改搜索权限筛选器的示例
这些示例演示如何使用 Get-ComplianceSecurityFilter 和 Set-ComplianceSecurityFilter cmdlet 向分配给筛选器的现有用户列表添加或删除用户。 当您在筛选器中添加或删除用户时,使用这些用户的 SMTP 地址指定用户。
此示例是将用户添加到筛选器。
$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.add("pilarp@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users
此示例是从筛选器中删除用户。
$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.remove("annb@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users
Remove-ComplianceSecurityFilter
Remove-ComplianceSecurityFilter 用于删除搜索筛选器。 使用 FilterName 参数可以指定要删除的筛选器。
更多信息
搜索权限筛选功能的工作原理是什么? 运行搜索时,权限筛选器将追加到搜索查询。 权限筛选器由 AND 布尔运算符联接到搜索查询。 搜索查询和权限筛选器的查询逻辑如下所示:
<SearchQuery> AND <PermissionsFilter>
例如,你有一个权限筛选器,允许 Bob 对 Worker 通讯组成员的邮箱执行所有搜索操作。 然后,Bob 使用搜索查询 sender:jerry@adatum.com对组织中的所有邮箱运行搜索。 由于权限筛选器和搜索查询在逻辑上由 AND 运算符组合,因此搜索将返回发送到 jerry@adatum.com Worker 通讯组的任何成员的任何消息。
如果您有多个搜索权限筛选器会怎么样? 在搜索查询中,多个权限筛选器由 OR 布尔运算符组合在一起。 因此,如果满足任意筛选器,将会返回结果。 在搜索中, (OR 运算符) 组合的所有筛选器随后由 AND 运算符与搜索查询结合使用。
<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>)
以上一个示例为例,其中搜索筛选器允许 Bob 仅搜索辅助角色通讯组成员的邮箱。 然后,我们创建另一个筛选器来阻止 Bob 搜索 Phil 的邮箱(“Mailbox_Alias -ne 'Phil'”)。 并且,让我们假设 Phil 是工作人员组的成员。 当 Bob 对组织中的所有邮箱运行上一个示例 () 搜索时,即使你应用了筛选器来阻止 Bob 搜索 Phil 的邮箱,也会返回 Phil 邮箱的搜索结果。 这是因为满足允许 Bob 搜索工作人员组的第一个筛选器的条件。 还因为 Phil 是工作人员组的成员,所以 Bob 可以搜索 Phil 的邮箱。
搜索权限筛选是否适用于非活动邮箱? 是的,可以使用邮箱和邮箱内容筛选器来限制谁可以在组织中搜索非活动邮箱。 与常规邮箱一样,非活动邮箱必须配置用于创建权限筛选器的 recipient 属性。 如有必要,可以使用 Get-Mailbox -InactiveMailboxOnly 命令显示非活动邮箱的属性。 有关详细信息,请参阅 创建和管理非活动邮箱。
搜索权限筛选是否适用于公用文件夹? 否。 如前所述,搜索权限筛选不能用于限制谁可以在 Exchange 中搜索公用文件夹。 例如,不能通过权限筛选器从搜索结果中排除公用文件夹位置中的项目。
允许用户在特定服务中搜索所有内容位置是否也会阻止他们搜索其他服务中的内容位置? 否。 如前所述,必须创建搜索权限筛选器,以显式阻止用户搜索特定服务中的内容位置 (例如阻止用户搜索任何 Exchange 邮箱或任何 SharePoint 网站) 。 换而言之,创建允许用户搜索组织中所有 SharePoint 网站的搜索权限筛选器不会阻止该用户搜索邮箱。 例如,若要允许 SharePoint 管理员仅搜索 SharePoint 网站,必须创建一个筛选器来阻止他们搜索邮箱。 同样,若要允许 Exchange 管理员仅搜索邮箱,必须创建一个筛选器来阻止他们搜索网站。
搜索权限筛选器是否计入搜索查询字符限制? 能。 搜索权限筛选器根据搜索查询的字符限制计数。 有关详细信息,请参阅 电子数据展示 (Premium) 中的限制 。
在组织中可以创建的搜索权限筛选器的最大数目是多少?
可在组织中创建的搜索权限筛选器的数量没有限制。 但是,搜索查询最多可以有 100 个条件。 在这种情况下,条件定义为由布尔运算符 ((如 AND、 OR 和 NEAR) )连接到查询的内容。 条件数的限制包括搜索查询本身以及应用于运行搜索的用户的所有搜索权限筛选器。 因此,拥有的搜索权限筛选器越多(尤其是在将这些筛选器应用于同一用户或用户组时),越有可能超出搜索的最大条件数。
若要了解此限制的工作原理,需要了解在运行搜索时,搜索权限筛选器会追加到搜索查询。 搜索权限筛选器由 AND 布尔运算符联接到搜索查询。 搜索查询的查询逻辑和单个搜索权限筛选器如下所示:
<SearchQuery> AND <PermissionsFilter>
多个搜索权限筛选器由 OR 布尔运算符组合在一起,然后由 AND 运算符将这些条件连接到搜索查询。
搜索查询和多个搜索权限筛选器的查询逻辑如下所示:
<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)
搜索查询本身可能由布尔运算符连接的多个条件组成。 搜索查询中的每个条件也会计入 100 个条件的限制。
此外,追加到查询的搜索权限筛选器数取决于运行搜索的用户。 当特定用户运行搜索时,应用于用户 (的搜索权限筛选器(由筛选器) 中的 Users 参数定义)将追加到查询中。 你的组织可能有数百个搜索权限筛选器,但如果向同一用户应用了超过 100 个筛选器,则在这些用户运行搜索时,可能会超过 100 个条件的限制。
关于条件限制,还有一点需要记住。 搜索查询或搜索权限筛选器中包含的特定 SharePoint 网站数也计入此限制。
若要防止组织达到条件限制,请将组织中的搜索权限筛选器数量保持在尽可能少,以满足业务需求。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈