Configurare i filtri delle autorizzazioni di ricerca
Il filtro delle autorizzazioni di ricerca consente al responsabile di eDiscovery di un'organizzazione di eseguire ricerche solo in un subset di cassette postali e siti dell'organizzazione. Il filtro delle autorizzazioni può anche consentire allo stesso responsabile di eDiscovery di cercare solo il contenuto della cassetta postale o del sito che soddisfa uno specifico criterio di ricerca. Ad esempio:
- È possibile consentire a un responsabile di eDiscovery di cercare solo le cassette postali degli utenti in una posizione o un reparto specifico. A tale scopo, creare un filtro che usa un filtro destinatario supportato per limitare le cassette postali che un utente o un gruppo specifico di utenti può cercare.
- È anche possibile creare un filtro che specifica il contenuto della cassetta postale che un utente può cercare. A tale scopo, creare un filtro che usa una proprietà di messaggio ricercabile.
- È possibile consentire a un responsabile di eDiscovery di cercare solo siti di SharePoint specifici nell'organizzazione. A tale scopo, creare un filtro che limiti il sito in cui è possibile eseguire la ricerca.
- È inoltre possibile creare un filtro che consente di specificare i contenuti dei siti che è possibile ricercare. A tale scopo, creare un filtro che usa una proprietà del sito ricercabile.
I filtri delle autorizzazioni di ricerca vengono applicati quando si cerca contenuto nella porta di conformità di Microsoft Purview usando una delle funzionalità di ricerca:
- Ricerca contenuto
- Microsoft Purview eDiscovery (Standard)
- Microsoft Purview eDiscovery (Premium)
Quando un filtro delle autorizzazioni di ricerca viene applicato a un utente specifico, tale utente può eseguire le azioni correlate alla ricerca seguenti:
- Cercare contenuto
- Visualizzare in anteprima i risultati della ricerca
- Esportare i risultati della ricerca
- Ripulire gli elementi restituiti da una ricerca
È anche possibile usare il filtro delle autorizzazioni di ricerca per creare limiti logici (denominati limiti di conformità) all'interno di un'organizzazione. Questi limiti controllano le posizioni dei contenuti utente (ad esempio cassette postali, siti di SharePoint e account di OneDrive) in cui specifici responsabili di eDiscovery possono eseguire ricerche. Per altre informazioni, vedere Configurare i limiti di conformità per le indagini di eDiscovery.
Il diagramma seguente mostra come vengono usati i filtri di sicurezza di conformità per creare limiti di conformità.
I quattro cmdlet seguenti nel modulo PowerShell Sicurezza e conformità consentono alle organizzazioni di configurare e gestire i filtri delle autorizzazioni di ricerca:
| Cmdlet | Descrizione |
|---|---|
| New-ComplianceSecurityFilter | Questo cmdlet crea un nuovo filtro delle autorizzazioni di ricerca. |
| Get-ComplianceSecurityFilters | Questo cmdlet restituisce un elenco di filtri per le autorizzazioni di ricerca. |
| Set-ComplianceSecurityFilter | Questo cmdlet modifica un filtro delle autorizzazioni di ricerca esistente. |
| Remove-ComplianceSecurityFilter | Questo cmdlet elimina un filtro di ricerca. |
Requisiti per configurare il filtro delle autorizzazioni
Un'organizzazione deve soddisfare i requisiti seguenti prima di poter configurare il filtro delle autorizzazioni:
- Per eseguire i cmdlet del filtro di sicurezza di conformità, è necessario essere un membro del gruppo di ruoli Gestione dell'organizzazione nel portale di conformità.
- È necessario connettersi sia al modulo PowerShell di Exchange Online che al modulo Di sicurezza e conformità di PowerShell per usare i cmdlet del filtro di sicurezza di conformità. Questo requisito è necessario perché questi cmdlet accedono alle proprietà della cassetta postale.
- Il filtro delle autorizzazioni di ricerca è applicabile alle cassette postali inattive. Di conseguenza, è possibile usare il filtro del contenuto della cassetta postale e della cassetta postale per limitare chi può eseguire ricerche in una cassetta postale inattiva.
- Non è possibile usare il filtro delle autorizzazioni di ricerca per limitare chi può eseguire ricerche nelle cartelle pubbliche in Exchange.
- Non è previsto alcun limite al numero di filtri per le autorizzazioni di ricerca che possono essere creati in un'organizzazione. Tuttavia, una query di ricerca può avere un massimo di 100 condizioni. In questo caso, una condizione viene definita come un elemento connesso alla query da un operatore booleano, ad esempio AND, OR e NEAR. Il limite per il numero di condizioni include la query di ricerca stessa e tutti i filtri delle autorizzazioni di ricerca applicati all'utente che esegue la ricerca. Di conseguenza, maggiore è il numero di filtri per le autorizzazioni di ricerca disponibili (soprattutto se questi filtri vengono applicati allo stesso utente o gruppo di utenti), maggiore è la probabilità di superare il numero massimo di condizioni per una ricerca. Per impedire all'organizzazione di raggiungere il limite di condizioni, mantenere il numero massimo possibile di filtri delle autorizzazioni di ricerca nell'organizzazione per soddisfare i requisiti aziendali. Per altre informazioni, vedere Configurare i limiti di conformità per le indagini di eDiscovery.
New-ComplianceSecurityFilter
Il cmdlet New-ComplianceSecurityFilter viene utilizzato per creare un nuovo filtro delle autorizzazioni di ricerca. Ecco la sintassi di base per questo cmdlet:
New-ComplianceSecurityFilter -FilterName <name of filter> -Users <user or role group> -Filters <filter>
Le sezioni seguenti descrivono i parametri per questo cmdlet. Tutti i parametri sono necessari per creare un filtro delle autorizzazioni di ricerca.
FilterName
Il parametro FilterName consente di specificare il nome del filtro delle autorizzazioni. Questo nome è utilizzato per identificare un filtro quando si utilizzano i cmdlet Get-ComplianceSecurityFilter, Set-ComplianceSecurityFilter e Remove-ComplianceSecurityFilter.
Filtri
Il parametro Filters consente di specificare i criteri di ricerca per il filtro di sicurezza di conformità. È possibile creare tre diverse tipologie di filtri:
Filtro cassetta postale o OneDrive. Questo tipo di filtro consente di specificare le cassette postali in cui gli utenti con le autorizzazioni necessarie (specificati dal parametro Users) possono effettuare le ricerche. Questo tipo di filtro viene definito filtro della posizione del contenuto perché definisce i percorsi di contenuto che un utente può cercare.
La sintassi per questo tipo di filtro è Mailbox_ MailboxPropertyName, dove MailboxPropertyName specifica una proprietà della cassetta postale utilizzata per definire l'ambito delle cassette postali e degli account di OneDrive che è possibile cercare. Account di OneDriveAd esempio, il filtro delle cassette postali "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" consentirebbe all'utente con le autorizzazioni necessarie per tale filtro di eseguire ricerche solo nelle cassette postali che presentano il valore "OttawaUsers" nella proprietà CustomAttribute10.
Qualsiasi proprietà del destinatario filtrabile supportata può essere usata per la proprietà MailboxPropertyName in una cassetta postale o in un filtro di OneDrive. Nella tabella seguente sono elencate quattro proprietà dei destinatari di uso comune usate per creare una cassetta postale o un filtro di OneDrive. La tabella include anche un esempio di utilizzo della proprietà in un filtro.
Nome proprietà Esempio Alias "Mailbox_Alias -like 'v-'" Company "Mailbox_Company -eq 'Contoso'" CountryOrRegion "Mailbox_CountryOrRegion -eq 'Stati Uniti'" Reparto "Mailbox_Department -eq 'Finance'" Filtro dei contenuti delle cassette postali. Questo tipo di filtro si applica ai contenuti disponibili per la ricerca. Questo tipo di filtro viene chiamato filtro del contenuto perché specifica il contenuto della cassetta postale o le proprietà di posta elettronica ricercabili che gli utenti assegnati possono cercare.
La sintassi per questo tipo di filtro è MailboxContent__SearchablePropertyName, dove SearchablePropertyName specifica una proprietà KQL (Keyword Query Language) che può essere specificata in una ricerca. Per i messaggiAd esempio, il filtro dei contenuti delle cassette postali MailboxContent_recipients:contoso.com consentirebbe all'utente con le autorizzazioni necessarie per tale filtro di cercare solo i messaggi inviati ai destinatari nel dominio contoso.com.
Per un elenco delle proprietà di posta elettronica ricercabili, vedere Query con parole chiave e condizioni di ricerca per eDiscovery.
Importante
Un singolo filtro di ricerca non può contenere un filtro cassetta postale e un filtro del contenuto della cassetta postale. Per combinare questi due filtri in un unico filtro, è necessario usare un elenco di filtri. Ma un filtro può contenere una query più complessa dello stesso tipo. Ad esempio, "Mailbox_CustomAttribute10 -eq 'FTE' -e Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"
Filtro dei siti e dei contenuti dei siti. Sono disponibili due filtri correlati a SharePoint e OneDrive che è possibile usare per specificare il contenuto del sito o del sito che gli utenti assegnati possono cercare.
- Site_SearchableSiteProperty
- SiteContent_SearchableSiteProperty
Questi due filtri sono intercambiabili. Ad esempio, "Site_Path -like 'https://contoso.sharepoint.com/sites/doctors'" e "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'" restituiscono gli stessi risultati. Per un elenco delle proprietà del sito ricercabili, vedere Query con parole chiave e condizioni di ricerca per eDiscovery Per un elenco più completo, vedere Panoramica delle proprietà sottoposte a ricerca per indicizzazione e gestite in SharePoint. Le proprietà contrassegnate con Sì nella colonna Disponibile per query possono essere utilizzate per creare un filtro dei siti o dei contenuti dei siti.
Importante
La configurazione di un filtro del sito con una delle proprietà supportate non significa che la proprietà del sito nel filtro verrà propagata a tutti i documenti del sito. Al contrario, significa che l'utente è ancora responsabile del popolamento dei campi di proprietà specifici associati ai documenti in tale sito affinché il filtro del sito funzioni e acquisisca il contenuto corretto.
Si supponga ad esempio che all'utente sia applicato un filtro di sicurezza "Site_RefineableString00 -eq 'abc'". L'utente esegue quindi una ricerca usando la query con parole chiave "xyz". Il filtro di sicurezza viene aggiunto alla query e la query effettiva in esecuzione sarà "xyz AND RefineableString0:'abc'". L'utente deve assicurarsi che i documenti nel sito abbiano effettivamente valori nel campo RefineableString00 come "abc". In caso contrario, la query di ricerca non restituirà alcun risultato.
Quando si configura il parametro Filters per i filtri delle autorizzazioni di ricerca, tenere presenti le considerazioni seguenti:
A differenza delle cassette postali, non esiste un filtro per la posizione del contenuto per i siti, anche se il filtro Sito è simile a un filtro di posizione. Tutti i filtri per SharePoint e OneDrive sono filtri di contenuto. Questo è anche il motivo per cui i filtri Site_ e SiteContent_ sono intercambiabili.
Perché? Poiché le proprietà correlate al sito come Path vengono contrassegnate direttamente nei documenti. È il risultato della progettazione di SharePoint. In SharePoint non esiste un "oggetto sito" con proprietà, come accade con le cassette postali di Exchange. Di conseguenza, la proprietà Path viene contrassegnata nel documento e contiene l'URL del sito in cui si trova il documento. Di conseguenza, un filtro Sito viene considerato un filtro di contenuto e non un filtro della posizione del contenuto.
Le organizzazioni devono creare un filtro delle autorizzazioni di ricerca per impedire in modo esplicito agli utenti di cercare percorsi di contenuto in un servizio specifico, ad esempio impedendo a un utente di eseguire ricerche in qualsiasi cassetta postale di Exchange o in qualsiasi sito di SharePoint. In altre parole, la creazione di un filtro delle autorizzazioni di ricerca che consenta a un utente di eseguire ricerche in tutti i siti di SharePoint nell'organizzazione non impedisce all'utente di eseguire ricerche nelle cassette postali.
Ad esempio, per consentire agli amministratori di SharePoint di eseguire ricerche solo nei siti di SharePoint, è necessario creare un filtro che ne impedisca la ricerca nelle cassette postali. Analogamente, per consentire agli amministratori di Exchange di cercare solo le cassette postali, è necessario creare un filtro che ne impedisca la ricerca nei siti.
Utenti
Il parametro Users consente di specificare gli utenti per i quali verrà applicato questo filtro alle ricerche di contenuto. Gli utenti possono essere identificati dall'alias o dall'indirizzo SMTP primario. È possibile specificare più valori separati da virgole. È anche possibile assegnare il filtro a tutti gli utenti usando il valore All.
È anche possibile usare il parametro Users per specificare un gruppo di ruoli del portale di conformità. In questo modo, è possibile creare un gruppo di ruoli personalizzato e quindi assegnare a tale gruppo di ruoli un filtro delle autorizzazioni di ricerca.
Si supponga, ad esempio, di disporre di un gruppo di ruoli personalizzato per i gestori di eDiscovery per la filiale americana di una multinazionale. È possibile utilizzare il parametro Users per specificare questo gruppo di ruoli (utilizzando la proprietà Name del gruppo di ruoli). È quindi possibile usare il parametro Filter per consentire la ricerca solo delle cassette postali negli Stati Uniti. Non è possibile specificare i gruppi di distribuzione con questo parametro.|
Esempi di creazione di filtri per le autorizzazioni di ricerca
In questa sezione vengono forniti esempi di utilizzo del cmdlet New-ComplianceSecurityFilter per creare un filtro delle autorizzazioni di ricerca.
Questo esempio consente ai membri del gruppo di ruoli "Us Discovery Manager" di cercare solo le cassette postali e gli account di OneDrive nel Stati Uniti.
New-ComplianceSecurityFilter -FilterName USDiscoveryManagers -Users "US Discovery Managers" -Filters "Mailbox_CountryOrRegion -eq 'United States'"
Questo esempio consente all'utente "annb@contoso.com" di eseguire azioni di ricerca solo per le cassette postali e gli account di OneDrive in Canada. Questo filtro contiene il codice numerico a tre cifre per il Canada fornito dall'ISO 3166-1.
New-ComplianceSecurityFilter -FilterName CountryFilter -Users annb@contoso.com -Filters "Mailbox_CountryCode -eq '124'"
Questo esempio consente agli utenti "donh" e "suzanf" di cercare solo le cassette postali e gli account di OneDrive con il valore 'Marketing' per la proprietà della cassetta postale CustomAttribute1.
New-ComplianceSecurityFilter -FilterName MarketingFilter -Users donh,suzanf -Filters "Mailbox_CustomAttribute1 -eq 'Marketing'"
Questo esempio consente ai membri del gruppo di ruoli "Fourth Coffee eDiscovery Manager" di cercare solo le cassette postali e gli account di OneDrive con il valore 'FourthCoffee' per la proprietà Cassetta postale reparto. Il filtro consente inoltre ai membri del gruppo di ruoli di cercare documenti nel sito Fourth Coffee SharePoint.
New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'"
Nota
Nell'esempio precedente è necessario includere un filtro del contenuto del sito aggiuntivo (SiteContent_Path simile a 'https://contoso-my.sharepoint.com/personal') in modo che i membri del gruppo di ruoli possano cercare documenti negli account di OneDrive. Se questo filtro non è incluso, il filtro consentirà solo ai membri del gruppo di ruoli di cercare i documenti che si trovano in https://contoso.sharepoint.com/sites/FourthCoffee.
Questo esempio consente ai membri del gruppo di ruoli Manager di eDiscovery di cercare solo le cassette postali e gli account Di OneDrive dei membri del gruppo di distribuzione Utenti DiDiscovery. Il cmdlet Get-DistributionGroup in PowerShell di Exchange Online viene utilizzato per trovare i membri del gruppo Users di Administrators.
$DG = Get-DistributionGroup "Ottawa Users"
New-ComplianceSecurityFilter -FilterName DGFilter -Users eDiscoveryManager -Filters "Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"
Questo esempio impedisce a qualsiasi utente di eseguire azioni di ricerca nelle cassette postali e negli account OneDrive dei membri del gruppo di distribuzione Executive Team. Ciò significa che gli utenti possono eliminare il contenuto da queste cassette postali. Il cmdlet Get-DistributionGroup in Exchange Online PowerShell viene usato per trovare i membri del gruppo Executive Team.
$DG = Get-DistributionGroup "Executive Team"
New-ComplianceSecurityFilter -FilterName NoExecutivesPreview -Users All -Filters "Mailbox_MemberOfGroup -ne '$($DG.DistinguishedName)'"
In questo esempio si consente ai membri del gruppo di ruoli personalizzato OneDrive eDiscovery Managers di eseguire ricerche solo per il contenuto nei percorsi di exOneDriveForBusiness nell'organizzazione.
New-ComplianceSecurityFilter -FilterName OneDriveOnly -Users "OneDrive eDiscovery Managers" -Filters "SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'"
Questo esempio limita l'utente a eseguire azioni di ricerca solo sui messaggi di posta elettronica inviati nell'anno solare 2020.
New-ComplianceSecurityFilter -FilterName EmailDateRestrictionFilter -Users donh@contoso.com -Filters "MailboxContent_Received -ge '01-01-2020' -and MailboxContent_Received -le '12-31-2020'"
Analogamente all'esempio precedente, questo esempio limita l'utente a eseguire azioni di ricerca solo sui documenti che sono stati modificati l'ultima volta nell'anno solare 2020.
New-ComplianceSecurityFilter -FilterName DocumentDateRestrictionFilter -Users donh@contoso.com -Filters "SiteContent_LastModifiedTime -ge '01-01-2020' -and SiteContent_LastModifiedTime -le '12-31-2020'"
Questo esempio impedisce ai membri del gruppo di ruoli "OneDrive Discovery Managers" di eseguire azioni di ricerca in qualsiasi cassetta postale dell'organizzazione.
New-ComplianceSecurityFilter -FilterName NoEXO -Users "OneDrive Discovery Managers" -Filters "Mailbox_Alias -notlike '*'"
Questo esempio impedisce a chiunque nell'organizzazione di eseguire azioni di ricerca sui messaggi di posta elettronica inviati o ricevuti da "janets" o "sarad".
New-ComplianceSecurityFilter -FilterName NoSaraJanet -Users All -Filters "MailboxContent_Participants -notlike 'janets@contoso.onmicrosoft.com' -and MailboxContent_Participants -notlike 'sarad@contoso.onmicrosoft.com'"
In questo esempio viene usato un elenco di filtri per combinare i filtri delle cassette postali e del sito. In questo esempio, il filtro delle cassette postali è un filtro della posizione del contenuto e il filtro del sito è un filtro di contenuto.
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery'"
Verifica delle conoscenze
Scegliere la risposta migliore per ognuna delle domande seguenti.