Configurar el filtrado de permisos de búsqueda

Completado

El filtrado de permisos de búsqueda permite al administrador de eDiscovery de una organización buscar solo en un subconjunto de buzones y sitios de la organización. También puede utilizar el filtrado de permisos para permitir que ese mismo administrador de eDiscovery busque solo contenido de los buzones o los sitios que cumpla unos criterios concretos de búsqueda. Por ejemplo:

  • Por ejemplo, puede permitir que un administrador de eDiscovery busque solo en los buzones de usuarios de un departamento o una ubicación en concreto. Para ello, cree un filtro que use un filtro de destinatarios admitido para limitar los buzones en los que puede buscar un usuario o grupo específico de usuarios.
  • Puede crear también un filtro que especifique qué contenido del buzón puede buscar un usuario. Para ello, debe crear un filtro que utilice una propiedad de mensaje que pueda buscarse.
  • Puede permitir que un administrador de eDiscovery busque solo sitios específicos de SharePoint en su organización. Para hacerlo, debe crear un filtro que limite en qué sitio puede buscarse.
  • También puede crear un filtro que especifique qué contenido del sitio puede buscarse. Para ello, debe crear un filtro que utilice una propiedad de sitio que pueda buscarse.

Los filtros de permisos de búsqueda se aplican al buscar contenido en el porta de cumplimiento de Microsoft Purview mediante cualquiera de sus características de búsqueda:

  • Búsqueda de contenido
  • Exhibición de documentos electrónicos de Microsoft Purview (estándar)
  • Exhibición de documentos electrónicos de Microsoft Purview (Premium)

Cuando se aplica un filtro de permisos de búsqueda a un usuario específico, ese usuario puede realizar las siguientes acciones relacionadas con la búsqueda:

  • Buscar contenido
  • Vista previa de los resultados de búsqueda
  • Exportar resultados de búsqueda
  • Purgar elementos devueltos por una búsqueda

También puede usar el filtrado de permisos de búsqueda para crear límites lógicos (denominados límites de cumplimiento) dentro de una organización. Estos límites controlan las ubicaciones de contenido de usuario (como buzones, sitios de SharePoint y cuentas de OneDrive) en las que pueden buscar administradores de eDiscovery específicos. Para obtener más información, consulte Configurar los límites de cumplimiento para investigaciones de eDiscovery en Office 365.

En el diagrama siguiente se muestra cómo se usan los filtros de seguridad de cumplimiento para crear límites de cumplimiento.

Diagrama que muestra cómo se usan los filtros de seguridad de cumplimiento para crear límites de cumplimiento.

Los cuatro cmdlets siguientes en el módulo de Seguridad y Cumplimiento de PowerShell permiten a las organizaciones configurar y administrar filtros de permisos de búsqueda:

Cmdlet Descripción
New-ComplianceSecurityFilter Este cmdlet crea un nuevo filtro de permisos de búsqueda.
Get-ComplianceSecurityFilters Este cmdlet devuelve una lista de filtros de permisos de búsqueda.
Set-ComplianceSecurityFilter Este cmdlet modifica un filtro de permisos de búsqueda existente.
Remove-ComplianceSecurityFilter Este cmdlet elimina un filtro de búsqueda.

Requisitos para configurar el filtrado de permisos

Una organización debe cumplir los siguientes requisitos para poder configurar el filtrado de permisos:

  • Para ejecutar los cmdlets del filtro de seguridad de cumplimiento, debe ser miembro del grupo de roles Administración de la organización en el Centro de seguridad y cumplimiento.
  • Debe conectarse al módulo de PowerShell de Exchange Online y al módulo de PowerShell de seguridad y cumplimiento para usar los cmdlets de filtro de seguridad de cumplimiento. Este requisito es necesario porque estos cmdlets acceden a las propiedades del buzón.
  • El filtrado de permisos de búsqueda es aplicable a los buzones inactivos. Por lo tanto, puede usar el filtrado de contenido de buzón y buzón para limitar quién puede buscar en un buzón inactivo.
  • El filtrado de permisos de búsqueda no se puede usar para limitar quién puede buscar carpetas públicas en Exchange.
  • No hay ningún límite en el número de filtros de permisos de búsqueda que se pueden crear en una organización. Sin embargo, una consulta de búsqueda puede tener un máximo de 100 condiciones. En este caso, una condición se define como algo que está conectado a la consulta mediante un operador booleano (como AND, OR y NEAR). El límite del número de condiciones incluye la propia consulta de búsqueda más todos los filtros de permisos de búsqueda que se aplican al usuario que ejecuta la búsqueda. Por lo tanto, cuantos más filtros de permisos de búsqueda tenga (especialmente si estos filtros se aplican al mismo usuario o grupo de usuarios), mayor será la posibilidad de superar el número máximo de condiciones para una búsqueda. Para evitar que su organización alcance el límite de condiciones, mantenga el número de filtros de permisos de búsqueda en su organización al menor número posible para satisfacer sus requisitos empresariales. Para obtener más información, consulte Configurar los límites de cumplimiento para investigaciones de eDiscovery en Office 365.

New-ComplianceSecurityFilter

El cmdlet New-ComplianceSecurityFilter se utiliza para crear un nuevo filtro de permisos de búsqueda. Esta es la sintaxis básica de este cmdlet:

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <user or role group> -Filters <filter>

En las secciones siguientes se describen los parámetros de este cmdlet. Todos los parámetros son necesarios para crear un filtro de permisos de búsqueda.

FilterName

El parámetro FilterName especifica el nombre del filtro de permisos. Este nombre sirve para identificar un filtro al utilizar los cmdlets Get ComplianceSecurityFilter, Set-ComplianceSecurityFilter y Remove-ComplianceSecurityFilter.

Filtros

El parámetro Filters especifica los criterios de búsqueda del filtro de seguridad de cumplimiento. Puede crear tres tipos de filtros diferentes:

  • Filtrado de buzones de correo o OneDrive. Este tipo de filtro especifica los buzones en los que los usuarios asignados (especificados con el parámetro Users) pueden buscar. Este tipo de filtro se denomina filtro de ubicación de contenido porque define las ubicaciones de contenido que un usuario puede buscar.

    La sintaxis de este tipo de filtro es Mailbox_MailboxPropertyName, donde MailboxPropertyName especifica una propiedad de buzón usada para determinar en qué buzones puede buscarse. Por ejemplo, el filtro de buzón "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" permitiría que el usuario con este filtro asignado buscara solo en los buzones con el valor "OttawaUsers" en la propiedad CustomAttribute10.

    Cualquier propiedad de destinatario filtrable admitida se puede usar para la propiedad MailboxPropertyName en un buzón o filtro de OneDrive. En la tabla siguiente se enumeran cuatro propiedades de destinatario usadas habitualmente para crear un buzón o un filtro de OneDrive. La tabla también incluye un ejemplo de uso de la propiedad en un filtro.

    Nombre de propiedad Ejemplo
    Alias "Mailbox_Alias -like 'v-'"
    Empresa "Mailbox_Company -eq 'Contoso'"
    CountryOrRegion "Mailbox_CountryOrRegion -eq 'Estados Unidos'"
    Departamento "Mailbox_Department -eq 'Finance'"
  • Filtro de contenido de buzones. Este tipo de filtro se aplica al contenido que se puede buscar. Este tipo de filtro se denomina filtro de contenido porque especifica el contenido del buzón o las propiedades de correo electrónico en las que se pueden buscar los usuarios asignados.

    La sintaxis para este tipo de filtro es MailboxContent_SearchablePropertyName, donde SearchablePropertyName especifica una propiedad del lenguaje de consulta de palabras clave (KQL) que puede especificarse en una búsqueda de contenido. Por ejemplo, el filtro de contenido de buzones "MailboxContent_recipients como 'contoso.com'" permitiría que el usuario al que se asignara este filtro solo pudiera buscar los mensajes enviados a destinatarios del dominio contoso.com.

    Para obtener una lista de las propiedades de correo electrónico que admiten búsquedas, vea Consultas de palabras clave y condiciones de búsqueda para eDiscovery.

    Importante

    Un filtro de búsqueda único no puede contener un filtro de buzón y un filtro de contenido de buzón. Para combinar estos dos filtros en un solo filtro, debe usar una lista de filtros. Sin embargo, un filtro puede contener una consulta más compleja del mismo tipo. Por ejemplo, "Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'".

  • Filtrado de sitio y contenido de sitio. Hay dos filtros de SharePoint y skydrive_pro relacionados con el sitio que puede usar para especificar qué sitio o contenido de sitio los usuarios con el filtro asignado pueden buscar:

    • Site_SearchableSiteProperty
    • SiteContent_SearchableSiteProperty

    Estos dos filtros son intercambiables. Por ejemplo, "Site_Path -like 'https://contoso.sharepoint.com/sites/doctors'" y "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'" devuelven los mismos resultados. Para obtener una lista de las propiedades del sitio que admiten búsquedas, vea Consultas de palabras clave y condiciones de búsqueda para eDiscovery . Para obtener una lista más completa, vea Información general sobre las propiedades rastreadas y administradas en SharePoint. Las propiedades marcadas con un Sí en la columna Consultable se pueden usar para crear un sitio o un filtro de contenido de sitio.

    Importante

    Configurar un filtro de sitio con una de las propiedades admitidas no significa que la propiedad del sitio del filtro se propague a todos los documentos de ese sitio. En su lugar, significa que el usuario sigue siendo responsable de rellenar los campos de propiedad específicos asociados a los documentos de ese sitio para que el filtro de sitio funcione y capture el contenido correcto.

    Por ejemplo, supongamos que el usuario tiene aplicado un filtro de seguridad "Site_RefineableString00 -eq 'abc'". A continuación, el usuario ejecuta una búsqueda mediante la consulta de palabra clave "xyz". El filtro de seguridad se anexa a la consulta y la consulta real que se ejecuta sería "xyz AND RefineableString0:'abc'". El usuario debe asegurarse de que los documentos del sitio realmente tienen valores en el campo RefineableString00 como "abc". Si no es así, la consulta de búsqueda no devolverá ningún resultado.

Tenga en cuenta las siguientes consideraciones al configurar el parámetro Filters para los filtros de permisos de búsqueda:

  • A diferencia de los buzones, no hay un filtro de ubicación de contenido para los sitios, aunque el filtro de Sitio parezca un filtro de ubicación. Todos los filtros para SharePoint y OneDrive son filtros de contenido (que también es el motivo por el que los filtros Site_ y SiteContent_ son intercambiables).

    ¿Por qué? Dado que las propiedades relacionadas con el sitio, como Path , se marcan directamente en los documentos. Es el resultado de la forma en que SharePoint está diseñado. En SharePoint, no hay un "objeto de sitio" con propiedades, como sucede con los buzones de Exchange. Por lo tanto, la propiedad Path se marca en el documento y contiene la dirección URL del sitio donde se encuentra el documento. Como resultado, un filtro de sitio se considera un filtro de contenido y no un filtro de ubicación de contenido.

  • Las organizaciones deben crear un filtro de permisos de búsqueda para impedir explícitamente que los usuarios busquen ubicaciones de contenido en un servicio específico (por ejemplo, impedir que un usuario busque en cualquier buzón de Exchange o en cualquier sitio de SharePoint). En otras palabras, crear un filtro de permisos de búsqueda que permita a un usuario buscar en todos los sitios de SharePoint de la organización no impide que ese usuario busque en buzones.

    Por ejemplo, para permitir que los administradores de SharePoint solo busquen sitios de SharePoint, debe crear un filtro que les impida buscar en buzones. Del mismo modo, para permitir que los administradores de Exchange solo busquen buzones, debe crear un filtro que les impida buscar en sitios.

Usuarios

El parámetro Users especifica los usuarios a los que se aplica este filtro en las búsquedas de contenido. Los usuarios se pueden identificar por su alias o dirección SMTP principal. Puede especificar distintos valores separados por comas. También puede asignar el filtro a todos los usuarios mediante el valor All.

También puede usar el parámetro Users para especificar un grupo de roles del portal del cumplimiento. Así, podrá crear un grupo de roles personalizado y, a continuación, asignar a ese grupo de roles un filtro de permisos de búsqueda.

Por ejemplo, supongamos que tiene un grupo de roles personalizado para los administradores de exhibición de documentos electrónicos de la sede en los Estados Unidos de una compañía multinacional. Puede usar el parámetro Users para especificar este grupo de roles (mediante la propiedad Name del grupo de roles). A continuación, puede usar el parámetro Filter para permitir que solo se busquen buzones de correo en Ee. UU. Con este parámetro no es posible especificar grupos de distribución.

Ejemplos de creación de filtros de permisos de búsqueda

Vea a continuación ejemplos del uso del cmdlet New-ComplianceSecurityFilter para crear un filtro de permisos de búsqueda.

En este ejemplo se permite a los miembros del grupo de roles "US Discovery Managers" para buscar sólo en los buzones y cuentas de OneDrive de Estados Unidos.

New-ComplianceSecurityFilter -FilterName USDiscoveryManagers -Users "US Discovery Managers" -Filters "Mailbox_CountryOrRegion -eq 'United States'"

Este ejemplo permite al usuario "annb@contoso.com" realizar acciones de búsqueda solo para buzones y cuentas de OneDrive en Canadá. Este filtro contiene el código de país numérico de tres dígitos correspondiente a Canadá según la ISO 3166-1.

New-ComplianceSecurityFilter -FilterName CountryFilter -Users annb@contoso.com -Filters "Mailbox_CountryCode -eq '124'"

Este ejemplo permite a los usuarios "donh" y "suzanf" buscar sólo en los buzones de correo y cuentas de OneDrive que tengan el valor 'Marketing' para la propiedad de buzón CustomAttribute1.

New-ComplianceSecurityFilter -FilterName MarketingFilter -Users donh,suzanf -Filters "Mailbox_CustomAttribute1 -eq 'Marketing'"

Este ejemplo permite a los miembros del grupo de roles "Fourth Coffee eDiscovery Managers" buscar solo los buzones y las cuentas de OneDrive que tienen el valor "FourthCoffee" para la propiedad de buzón Departamento. El filtro también permite a los miembros del grupo de roles buscar documentos en el sitio de SharePoint Cuarto Café.

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'"

Nota:

En el ejemplo anterior, se debe incluir un filtro de contenido de sitio adicional (SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal') para que los miembros del grupo de roles puedan buscar documentos en cuentas de OneDrive. Si no se incluye este filtro, el filtro solo permitiría a los miembros del grupo de roles buscar documentos ubicados en https://contoso.sharepoint.com/sites/FourthCoffee.

Este ejemplo permite a los miembros del grupo de funciones eDiscovery Manager buscar únicamente en los buzones de correo y las cuentas de OneDrive de los miembros del grupo de distribución Usuarios de Ottawa. El cmdlet Get-DistributionGroup de Exchange Online PowerShell se usa para buscar a los miembros del grupo Usuarios de Óspez.

$DG = Get-DistributionGroup "Ottawa Users"
New-ComplianceSecurityFilter -FilterName DGFilter -Users eDiscoveryManager -Filters "Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"

En este ejemplo se impide que cualquier usuario realice acciones de búsqueda en los buzones y cuentas de OneDrive de los miembros del grupo de distribución del equipo ejecutivo. Esto significa que los usuarios pueden eliminar contenido de estos buzones. El cmdlet Get-DistributionGroup de Exchange Online PowerShell se usa para buscar los miembros del grupo de equipo ejecutivo.

$DG = Get-DistributionGroup "Executive Team"
New-ComplianceSecurityFilter -FilterName NoExecutivesPreview -Users All -Filters "Mailbox_MemberOfGroup -ne '$($DG.DistinguishedName)'"

Este ejemplo permite a los miembros del grupo de funciones personalizadas OneDrive eDiscovery Managers buscar únicamente contenido en cuentas de OneDrive de la organización.

New-ComplianceSecurityFilter -FilterName OneDriveOnly -Users "OneDrive eDiscovery Managers" -Filters "SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'"

Este ejemplo restringe al usuario a realizar acciones de búsqueda sólo en mensajes de correo electrónico enviados durante el año natural 2020.

New-ComplianceSecurityFilter -FilterName EmailDateRestrictionFilter -Users donh@contoso.com -Filters "MailboxContent_Received -ge '01-01-2020' -and MailboxContent_Received -le '12-31-2020'"

De forma similar al ejemplo anterior, este ejemplo restringe al usuario a realizar acciones de búsqueda únicamente en documentos que se modificaron por última vez en algún momento del año natural 2020.

New-ComplianceSecurityFilter -FilterName DocumentDateRestrictionFilter -Users donh@contoso.com -Filters "SiteContent_LastModifiedTime -ge '01-01-2020' -and SiteContent_LastModifiedTime -le '12-31-2020'"

En este ejemplo se impide que los miembros del grupo de roles "Administradores de detección de OneDrive" realicen acciones de búsqueda en cualquier buzón de la organización.

New-ComplianceSecurityFilter -FilterName NoEXO -Users "OneDrive Discovery Managers" -Filters "Mailbox_Alias -notlike '*'"

En este ejemplo se impide que cualquier persona de la organización realice acciones de búsqueda en mensajes de correo electrónico enviados o recibidos por "beatriz" o "sarad".

New-ComplianceSecurityFilter -FilterName NoSaraJanet -Users All -Filters "MailboxContent_Participants -notlike 'janets@contoso.onmicrosoft.com' -and MailboxContent_Participants -notlike 'sarad@contoso.onmicrosoft.com'"

En este ejemplo se usa una lista de filtros para combinar filtros de buzón y de sitio. En este ejemplo, el filtro de buzón es un filtro de ubicación de contenido y el filtro de sitio es un filtro de contenido.

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery'"

Comprobación de conocimientos

Elija la mejor respuesta para cada una de las siguientes preguntas.

Compruebe sus conocimientos

1.

Como administrador de empresa de Northwind Traders, Allan Deyoung quiere ejecutar cmdlets de filtro de seguridad de cumplimiento en Windows PowerShell. ¿Cuál de los siguientes es un paso que Allan debe completar para ejecutar estos cmdlets?