電子情報開示のアクセス許可フィルターを構成する
ヒント
新しい Microsoft Purview ポータルで電子情報開示 (プレビュー) を使用できるようになりました。 新しい電子情報開示エクスペリエンスの使用の詳細については、「電子 情報開示 (プレビュー)」を参照してください。
検索アクセス許可フィルターを使用すると、電子情報開示マネージャーが組織内のメールボックスとサイトのサブセットのみを検索できます。 また、アクセス許可のフィルター処理を使用して、同じ電子情報開示管理者に特定の検索条件を満たすメールボックスやサイトのコンテンツのみを検索させることができます。
たとえば、電子情報開示マネージャーが特定の場所または部署のユーザーのメールボックスのみを検索する場合があります。 これを行うには、サポートされている受信者フィルターを使用して、特定のユーザーまたはユーザーのグループが検索できるメールボックスを制限するフィルターを作成します。 ユーザーが検索できるメールボックスの内容を指定するフィルターを作成することもできます。 これは、検索可能なメッセージ プロパティを使用するフィルターを作成することで行います。 同様に、電子情報開示マネージャーは、組織内の特定の SharePoint サイトのみを検索できます。 これは、検索可能なサイトを限定するフィルターを作成することで行います。 検索可能なサイトのコンテンツを指定するフィルターを作成することもできます。 これは、検索可能なサイト プロパティを使用するフィルターを作成することで行います。
検索アクセス許可フィルターは、Microsoft Purview コンプライアンス ポータルでコンテンツ検索、Microsoft Purview 電子情報開示 (Standard)、Microsoft Purview 電子情報開示 (Premium) を使用してコンテンツを検索するときに適用されます。 検索権限フィルターが特定のユーザーに適用されると、そのユーザーは次の検索関連のアクションを実行できます。
- コンテンツを検索する
- 検索結果のプレビュー
- 検索結果をエクスポートする
- 検索で返されたアイテムを削除する
また、検索アクセス許可フィルターを使用して、特定の電子情報開示マネージャーが検索できるユーザー コンテンツの場所 (メールボックス、SharePoint サイト、OneDrive アカウントなど) を制御する論理境界 ( コンプライアンス境界と呼ばれる) を組織内に作成することもできます。 詳細については、電子情報開示調査のコンプライアンス境界を設定するをご覧ください。
Security & Compliance PowerShell の次の 4 つのコマンドレットを使用すると、検索アクセス許可フィルターを構成および管理できます。
- New-ComplianceSecurityFilter
- Get-ComplianceSecurityFilter
- Set-ComplianceSecurityFilter
- Remove-ComplianceSecurityFilter
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
アクセス許可のフィルタリングを構成するための要件
- コンプライアンス セキュリティ フィルター コマンドレットを実行するには、コンプライアンス ポータルの Organization Management 役割グループのメンバーである必要があります。 詳細については、「セキュリティ/コンプライアンス センターのアクセス許可」を参照してください。
- コンプライアンス セキュリティ フィルター コマンドレットを使用するには、Exchange Online と Security & Compliance PowerShell の両方に接続する必要があります。 これらのコマンドレットはメールボックスのプロパティへのアクセスを必要とするため、これは必要です。そのため、Exchange Online PowerShell に接続する必要があります。 手順については、次のセクションを参照してください。
- アクセス許可の検索フィルターの詳細については、「More information」セクションを参照してください。
- 検索アクセス許可のフィルター処理は、非アクティブなメールボックスに適用されます。つまり、メールボックスとメールボックス コンテンツのフィルター処理を使用して、非アクティブなメールボックスを検索できるユーザーを制限することができます。 アクセス許可のフィルター処理と非アクティブなメールボックスの詳細については、「詳細情報」のセクションを参照してください。
- 検索アクセス許可のフィルター処理は、Exchange のパブリック フォルダーを検索できるユーザーを制限するのに使用することができません。
- 組織で作成できる検索アクセス許可フィルターの数に制限はありません。 ただし、検索クエリには最大 100 の条件を含めることができます。 この場合、条件はブール演算子 ( AND、 OR、 NEAR など) によってクエリに接続されるものとして定義されます。 条件数の制限には、検索クエリ自体と、検索を実行するユーザーに適用されるすべての検索アクセス許可フィルターが含まれます。 したがって、検索権限フィルターが多いほど (特に、これらのフィルターが同じユーザーまたはユーザー グループに適用される場合)、検索条件の最大数を超える可能性が高くなります。 組織が条件の制限に達しないようにするには、組織内の検索アクセス許可フィルターの数を、ビジネス要件を満たすためにできるだけ少なくします。 詳細については、電子情報開示調査のコンプライアンス境界を設定するをご覧ください。
1 つのセッションで Exchange Online とセキュリティ & コンプライアンス PowerShell に接続する
このセクションのスクリプトを正常に実行するには、Exchange Online PowerShell モジュールをダウンロードしてインストールする必要があります。 詳細については、「 Exchange Online PowerShell モジュールのインストールと保守」を参照してください。
のファイル名サフィックスを使用して、次のテキストを Windows PowerShell スクリプト ファイル .ps1保存します。 たとえば、 ConnectEXO-SCC.ps1という名前 のファイルに保存できます。
Import-Module ExchangeOnlineManagement $UserCredential = Get-Credential Connect-ExchangeOnline -Credential $UserCredential -ShowBanner:$false Connect-IPPSSession -Credential $UserCredential $Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Exchange Online + Security & Compliance)"
ローカル コンピューター上で、Windows PowerShell を開き、前の手順で作成したスクリプトが配置されているフォルダーに移動し、スクリプトを実行します。例:
.\ConnectEXO-SCC.ps1
これが機能したかどうかを知る方法 スクリプトを実行すると、Exchange Online PowerShell と Security & Compliance PowerShell のコマンドレットを使用できます。 何もエラーが表示されなければ、正常に接続されています。 簡単なテストでは、Exchange Online PowerShell コマンドレットとセキュリティ & コンプライアンス PowerShell コマンドレットを実行します。 たとえば、 Get-Mailbox と Get-ComplianceSearch を実行できます。
PowerShell 接続エラーのトラブルシューティングについては、次を参照してください。
New-ComplianceSecurityFilter
New-ComplianceSecurityFilter コマンドレットを使用して、検索アクセス許可フィルターを作成します。 このコマンドレットの基本的な構文は次のとおりです。
New-ComplianceSecurityFilter -FilterName <name of filter> -Users <user or role group> -Filters <filter>
次のセクションでは、このコマンドレットのパラメーターについて説明します。 検索権限フィルターを作成するには、すべてのパラメーターが必要です。
FilterName
FilterName パラメータは、権限フィルタの名前を指定します。 この名前は、Get ComplianceSecurityFilter、Set-ComplianceSecurityFilter、およびRemove-ComplianceSecurityFilter コマンドレットを使用する際に、フィルターを特定するために使用されます。
フィルター
Filters パラメータは、コンプライアンス セキュリティ フィルタの検索条件を指定します。 次の 3 つの異なる種類のフィルターを作成できます。
メールボックスまたは OneDrive のフィルター処理: この種類のフィルターはメールボックスを指定し、割り当てられたユーザー (Users パラメーターで指定) が検索できる OneDrive アカウント を 指定します。 このタイプのフィルタは、ユーザーが検索できるコンテンツの場所を定義するため、コンテンツの場所フィルタと呼ばれます。 この種類のフィルターの構文は Mailbox_MailboxPropertyName です。 MailboxPropertyName は、検索できるメールボックスと OneDrive アカウントのスコープを設定するために使用されるメールボックス プロパティを指定します。 たとえば、メールボックス フィルター
"Mailbox_CustomAttribute10 -eq 'OttawaUsers'"
を使用すると、このフィルターを割り当てたユーザーは、CustomAttribute10 プロパティの値 "OttawaUsers" を持つメールボックスと OneDrive アカウントのみを検索できます。サポートされているフィルタ可能な受信者プロパティは、メールボックスまたは OneDrive フィルタの MailboxPropertyName プロパティに使用できます。 次の表は、メールボックスまたは OneDrive フィルターの作成に使用される、一般的に使用される 4 つの受信者プロパティを示しています。 この表には、フィルタでプロパティを使用する例も含まれています。
プロパティ名 例 Alias "Mailbox_Alias -like 'v-'"
Company "Mailbox_Company -eq 'Contoso'"
CountryOrRegion "Mailbox_CountryOrRegion -eq 'United States'"
部署 "Mailbox_Department -eq 'Finance'"
メールボックスコンテンツフィルタリング: この種類のフィルターは、検索できるコンテンツに適用されます。 このタイプのフィルタは、割り当てられたユーザーが検索できるメールボックスのコンテンツまたは検索可能なメール プロパティを指定するため、コンテンツ フィルタと呼ばれます。 この種類のフィルターの構文は MailboxContent_SearchablePropertyName です。 SearchablePropertyName は、検索で指定できるキーワード クエリ言語 (KQL) プロパティを指定します。 たとえば、メールボックス コンテンツ フィルター
"MailboxContent_Recipients -like 'contoso.com'"
を使用すると、このフィルターを割り当てたユーザーは、contoso.com ドメイン内の受信者に送信されたメッセージのみを検索できます。 検索可能なメール プロパティのリストについては、電子情報開示のキーワード クエリと検索条件をご覧ください。重要
1 つの検索フィルターに、メールボックス フィルターとメールボックス コンテンツ フィルターを含めることはできません。 これらを 1 つのフィルターで結合するには、 フィルター リストを使用する必要があります。 ただし、フィルターには、同じタイプのより複雑なクエリを含めることができます。 たとえば、
"Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"
のように指定します。サイトとサイトコンテンツのフィルタリング: 割り当てられたユーザーが検索できるサイトまたはサイト コンテンツを指定するために使用できる 2 つの SharePoint および OneDrive 関連のフィルターがあります。
- Site_QueryableSiteProperty
- SiteContent_QueryableSiteProperty
これら 2 つのフィルターは交換可能です。 たとえば、
"Site_Path -like 'https://contoso.sharepoint.com/sites/doctors'"
と"SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'"
は同じ結果を返します。 検索可能なサイト プロパティのリストについては、電子情報開示のキーワード クエリと検索条件を参照してください。完全なリストについては、SharePoint でクロールおよび管理されるプロパティの概要を参照してください。 [クエリ可能] 列で [はい] とマークされているプロパティを使用して、サイトまたはサイトのコンテンツ フィルターを作成できます。重要
サポートされているプロパティの 1 つを使用してサイト フィルターを設定しても、フィルターのサイト プロパティがそのサイトのすべてのドキュメントに反映されるわけではありません。 つまり、ユーザーは、サイト フィルターが機能し、適切なコンテンツをキャプチャするために、そのサイト上のドキュメントに関連付けられている特定のプロパティ フィールドを設定する責任を引き続き負います。 たとえば、ユーザーにセキュリティ フィルター "Site_RefineableString00 -eq 'abc' が適用されている場合、ユーザーはキーワード クエリ "xyz" を使用して検索を実行します。 セキュリティ フィルターがクエリに追加され、実際に実行されるクエリは "xyz AND RefineableString0:'abc' になります。 ユーザーは、サイト上のドキュメントの RefineableString00 フィールドの値が「abc」であることを確認する必要があります。 そうでない場合、検索クエリは結果を返しません。
検索権限フィルタの Filters パラメータを設定する際は、次の点に注意してください:
- サイト フィルタはロケーション フィルタのように見えますが、メールボックスとは異なり、サイト用のコンテンツ ロケーション フィルタはありません。 SharePoint と OneDrive のすべてのフィルターは、コンテンツ フィルター ( Site_ フィルターと SiteContent_ フィルターが交換可能な理由でもあります)、 Path などのサイト関連のプロパティはドキュメントに直接スタンプされるためです。 これはなぜですか? これは、SharePoint の設計方法の結果です。 SharePoint には、Exchange メールボックスのようなプロパティを持つ "サイト オブジェクト" はありません。 したがって、Path プロパティはドキュメントにスタンプされ、ドキュメントが配置されているサイトの URL が含まれています。 このため、 サイト フィルターはコンテンツの場所フィルターではなく、コンテンツ フィルターと見なされます。
- 検索アクセス許可フィルターを作成して、ユーザーが特定のサービス内のコンテンツの場所を明示的に検索できないようにする必要があります (たとえば、ユーザーが Exchange メールボックスや SharePoint サイトを検索できないようにするなど)。 つまり、組織内のすべての SharePoint サイトをユーザーが検索できるようにする検索権限フィルターを作成しても、そのユーザーはメールボックスを検索できてしまいます。 たとえば、SharePoint 管理者が SharePoint サイトのみを検索できるようにするには、メールボックスを検索できないようにフィルターを作成する必要があります。 同様に、Exchange 管理者がメールボックスのみを検索できるようにするには、サイトを検索できないようにフィルターを作成する必要があります。
ユーザー
Users パラメータは、このフィルタを検索に適用するユーザーを指定します。 ユーザーのエイリアスまたはプライマリ SMTP アドレスでユーザーを特定します。 カンマで区切って複数の値を指定することも、値 All を使用してすべてのユーザーにフィルターを割り当てることもできます。
Users パラメータを使用して、コンプライアンス ポータルの役割グループを指定することもできます。 これにより、カスタムの役割グループを作成して、その役割グループに検索アクセス許可フィルターを割り当てることができます。 たとえば、多国籍企業の米国支社の電子情報開示管理者向けのカスタムの役割グループがあるとします。 Users パラメーターを使用すると、(役割グループの Name プロパティを使用して) この役割グループを指定し、Filter パラメーターを使用して、米国内のメールボックスのみを検索できます。 このパラメーターで配布グループを指定することはできません。|
フィルター リストを使用してフィルターの種類を結合する
フィルターの一覧は、メールボックス フィルターと、コンマで区切られたサイト フィルターを含むフィルターです。 このコンマは 、OR 演算子としても機能します。 フィルター リストの使用は、さまざまな種類のフィルターを組み合わせるための唯一の方法です。 次の例では、 メールボックス フィルターと サイト フィルターをコンマで区切る点に注意してください。
-Filters "Mailbox_CustomAttribute10 -eq 'OttawaUsers'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'"
検索の実行中にフィルター リストを含むフィルターが処理されると、フィルター リストから 2 つの検索アクセス許可フィルターが作成されます。コンマで区切られたフィルターごとに 1 つ。 そのため、前の例では、1 つのメールボックス検索アクセス許可フィルターと 1 つのサイト検索アクセス許可フィルターが作成されます。 これらのフィルターは 、OR 演算子によって接続されます。
フィルター リストを使用する代わりに、2 つの個別の検索アクセス許可フィルターを作成します。 そのため、前の例では、メールボックス属性に対して 1 つのフィルターを作成し、サイト属性に対して 1 つのフィルターを作成します。 どちらの場合も、結果は同じです。 フィルター リストを使用するか、別の検索アクセス許可フィルターを作成することが優先されます。
フィルター リストの使用については、次の点に注意してください。
フィルター リストを使用して、メールボックス フィルターと MailboxContent フィルターを含むフィルターを作成する必要があります。
フィルター リストの各コンポーネントには、複雑なフィルター構文を含めることができます。 たとえば、メールボックスとサイトのフィルターには、 -or 演算子で区切られた複数のフィルターを含めることができます。
-Filters "Mailbox_Department -eq 'CohoWinery' -or Mailbox_CustomAttribute10 -eq 'CohoUsers'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'"
検索アクセス許可フィルターの作成例
以下に、New-ComplianceSecurityFilter コマンドレットを使用して検索アクセス許可フィルターを作成する例を示します。
この例では、"US Discovery Managers" 役割グループのメンバーが、米国内のメールボックスと OneDrive アカウントのみを検索できるようにします。
New-ComplianceSecurityFilter -FilterName USDiscoveryManagers -Users "US Discovery Managers" -Filters "Mailbox_CountryOrRegion -eq 'United States'"
この例では、ユーザー annb@contoso.com がカナダのメールボックスと OneDrive アカウントに対してのみ検索アクションを実行できるようにします。 このフィルターには、ISO 3166 1 からカナダの 3 桁の数値の国コードが含まれています。
New-ComplianceSecurityFilter -FilterName CountryFilter -Users annb@contoso.com -Filters "Mailbox_CountryCode -eq '124'"
この例では、ユーザー の donh と suzanf が CustomAttribute1 メールボックス プロパティの値 "Marketing" を持つメールボックスと OneDrive アカウントのみを検索できます。
New-ComplianceSecurityFilter -FilterName MarketingFilter -Users donh,suzanf -Filters "Mailbox_CustomAttribute1 -eq 'Marketing'"
この例では、"Fourth Coffee 電子情報開示Managers" 役割グループのメンバーが、Department のメールボックス プロパティの値が "FourthCoffee" であるメールボックスと OneDrive アカウントのみを検索できるようにします。 このフィルターにより、役割グループのメンバーは、Fourth Coffee SharePoint サイトでドキュメントを検索することもできます。
New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"
注:
前の例では、役割グループ メンバーが OneDrive アカウント内のドキュメントを検索できるように、追加のサイト コンテンツ フィルター (SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'
) を含める必要があります。 このフィルターが含まれていない場合、フィルターは役割グループメンバーが https://contoso.sharepoint.com/sites/FourthCoffee
にあるドキュメントの検索のみを許可します。
この例では、電子情報開示Manager 役割グループのメンバーが、Ottawa Users 配布グループのメンバーのメールボックスと OneDrive アカウントのみを検索できるようにします。 Exchange Online PowerShell の Get-DistributionGroup コマンドレットを使用して、Ottawa Users グループのメンバーを検索します。
$DG = Get-DistributionGroup "Ottawa Users"
New-ComplianceSecurityFilter -FilterName DGFilter -Users eDiscoveryManager -Filters "Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"
この例では、どのユーザーも、Executive Team 配布グループのメンバーのメールボックスおよび OneDrive アカウントで検索操作を実行できないようにします。 つまり、ユーザーはこれらのメールボックスからコンテンツを削除できます。 Exchange Online PowerShell の Get-DistributionGroup コマンドレットを使用して、エグゼクティブ チーム グループのメンバーを検索します。
$DG = Get-DistributionGroup "Executive Team"
New-ComplianceSecurityFilter -FilterName NoExecutivesPreview -Users All -Filters "Mailbox_MemberOfGroup -ne '$($DG.DistinguishedName)'"
この例では、OneDrive 電子情報開示Managers カスタム役割グループのメンバーが、組織内の OneDrive アカウントのコンテンツのみを検索できるようにします。
New-ComplianceSecurityFilter -FilterName OneDriveOnly -Users "OneDrive eDiscovery Managers" -Filters "SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"
次の使用例は、ユーザーが 2015 年の暦年に送信された電子メール メッセージに対してのみ検索アクションを実行するように制限します。
New-ComplianceSecurityFilter -FilterName EmailDateRestrictionFilter -Users donh@contoso.com -Filters "MailboxContent_Received -ge '01-01-2015' -and MailboxContent_Received -le '12-31-2015'"
前の例と同様に、この例では、2015 年に最後に変更されたドキュメントに対してのみ検索アクションを実行するようにユーザーを制限します。
New-ComplianceSecurityFilter -FilterName DocumentDateRestrictionFilter -Users donh@contoso.com -Filters "SiteContent_LastModifiedTime -ge '01-01-2015' -and SiteContent_LastModifiedTime -le '12-31-2015'"
この例では、"OneDrive Discovery Managers" 役割グループのメンバーが、組織内のどのメールボックスに対しても検索操作を実行できないようにします。
New-ComplianceSecurityFilter -FilterName NoEXO -Users "OneDrive Discovery Managers" -Filters "Mailbox_Alias -notlike '*'"
この例では、組織内の誰もが、ジャネットまたはサラドによって送受信された電子メール メッセージに対して検索アクションを実行できないようにします。
New-ComplianceSecurityFilter -FilterName NoSaraJanet -Users All -Filters "MailboxContent_Participants -notlike 'janets@contoso.onmicrosoft.com' -and MailboxContent_Participants -notlike 'sarad@contoso.onmicrosoft.com'"
この例では、フィルター リストを使用して、メールボックス フィルターとサイト フィルターを結合します。 この例では、メールボックス フィルターはコンテンツの場所フィルターであり、サイト フィルターはコンテンツ フィルターです。
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'"
Get-ComplianceSecurityFilter
Get-ComplianceSecurityFilter はアクセス許可の検索フィルターの一覧を返すために使用します。 FilterName パラメーターを使用して、特定の検索フィルターの情報を返します。
Set-ComplianceSecurityFilter
Set-ComplianceSecurityFilter は既存のアクセス許可の検索フィルターを変更する場合に使用します。 次のセクションでは、このコマンドレットのパラメーターについて説明します。 必要なパラメーターは FilterName のみです。
FilterName
FilterName パラメータは、権限フィルタの名前を指定します。
ユーザー
Users パラメータは、このフィルタを検索に適用するユーザーを指定します。 これは複数値プロパティであるため、このパラメーターを使用してユーザーまたはユーザーのグループを指定すると、既存のユーザーの一覧が上書きされます。 選択したユーザーを追加および削除する構文については、次の例を参照してください。
Users パラメータを使用して、コンプライアンス ポータルの役割グループを指定することもできます。 これにより、カスタムの役割グループを作成して、その役割グループに検索アクセス許可フィルターを割り当てることができます。 たとえば、多国籍企業の米国支社の電子情報開示管理者向けのカスタムの役割グループがあるとします。 Users パラメーターを使用すると、(役割グループの Name プロパティを使用して) この役割グループを指定し、Filter パラメーターを使用して、米国内のメールボックスのみを検索できます。 このパラメーターでは、配布グループを指定することはできません。
フィルター
Filters パラメータは、コンプライアンス セキュリティ フィルタの検索条件を指定します。 次の 3 つの異なる種類のフィルターを作成できます。
メールボックスと OneDrive のフィルター処理: この種類のフィルターはメールボックスを指定し、割り当てられたユーザー (Users パラメーターで指定) が検索できる OneDrive アカウント を 指定します。 この種類のフィルターの構文は Mailbox_MailboxPropertyName です。 MailboxPropertyName は、検索可能なメールボックスのスコープを設定するために使用されるメールボックス プロパティを指定します。 たとえば、メールボックス フィルター
"Mailbox_CustomAttribute10 -eq 'OttawaUsers'"
では、このフィルターを割り当てられたユーザーが CustomAttribute10 プロパティの値 "OttawaUsers" を持つメールボックスのみを検索できます。 MailboxPropertyName プロパティには、サポートされているフィルター可能な受信者プロパティを使用できます。 サポートされているプロパティの一覧については、「-RecipientFilter パラメーターのフィルター可能なプロパティ」を参照してください。メールボックスコンテンツフィルタリング: この種類のフィルターは、検索できるコンテンツに適用されます。 これは、割り当てられたユーザーが検索できるメールボックス コンテンツを指定します。 この種類のフィルターの構文は MailboxContent_SearchablePropertyName です。 SearchablePropertyName は、検索で指定できるキーワード クエリ言語 (KQL) プロパティを指定します。 たとえば、メールボックス コンテンツ フィルター
"MailboxContent_Recipients -like 'contoso.com'"
を使用すると、このフィルターを割り当てたユーザーは、contoso.com ドメイン内の受信者に送信されたメッセージのみを検索できます。 検索可能なメール プロパティのリストについては、電子情報開示のキーワード クエリと検索条件をご覧ください。サイトとサイトコンテンツのフィルタリング: 割り当てられたユーザーが検索できるサイトまたはサイト コンテンツを指定するために使用できる SharePoint および OneDrive for Business サイト関連のフィルターは 2 つあります。
- Site_SearchableSiteProperty
- SiteContent_SearchableSiteProperty
これら 2 つのフィルターは交換可能です。 たとえば、
"Site_Path -like 'https://contoso.spoppe.com/sites/doctors*'"
と"SiteContent_Path -like 'https://contoso.spoppe.com/sites/doctors*'"
は同じ結果を返します。 検索可能なサイト プロパティの一覧については、「ロールされたプロパティと管理プロパティの概要」を参照してください。 [クエリ可能] 列で [はい] とマークされているプロパティを使用して、サイトまたはサイトのコンテンツ フィルターを作成できます。
検索アクセス許可フィルターの変更例
以下の例では、Get-ComplianceSecurityFilter コマンドレットと Set-ComplianceSecurityFilter コマンドレットを使用して、フィルターが割り当てられている既存のユーザーの一覧でユーザーを追加または削除する方法について説明します。 ユーザーをフィルターに追加またはフィルターから削除する場合は、SMTP アドレスを使用してユーザーを指定します。
この例では、フィルターにユーザーを追加します。
$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.add("pilarp@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users
以下の例では、フィルターからユーザーを削除します。
$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.remove("annb@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users
Remove-ComplianceSecurityFilter
Remove-ComplianceSecurityFilter は検索フィルターを削除する場合に使用します。 FilterName パラメーターを使用して、削除するフィルターを指定します。
詳細
検索アクセス許可のフィルター処理のしくみ。 検索の実行時に、アクセス許可フィルターが検索クエリに追加されます。 アクセス許可フィルターは、 AND ブール演算子によって検索クエリに参加します。 検索クエリとアクセス許可フィルターのクエリ ロジックは次のようになります。
<SearchQuery> AND <PermissionsFilter>
たとえば、Bob が Workers 配布グループのメンバーのメールボックスに対してすべての検索アクションを実行できるようにするアクセス許可フィルターがあります。 次に、Bob は、検索クエリ sender:jerry@adatum.com
を使用して、組織内のすべてのメールボックスで検索を実行します。 アクセス許可フィルターと検索クエリは AND 演算子によって論理的に結合されるため、検索では、 jerry@adatum.com によってワーカー配布グループの任意のメンバーに送信されたすべてのメッセージが返されます。
複数の検索アクセス許可フィルターがある場合。 検索クエリでは、 OR ブール演算子によって複数のアクセス許可フィルターが組み合わされます。 したがって、フィルターのいずれかに該当する場合に結果が返されます。 検索では、すべてのフィルター ( OR 演算子で結合) が AND 演算子による検索クエリと組み合わされます。
<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>)
前の例を見てみましょう。検索フィルターを使用すると、Bob は Workers 配布グループのメンバーのメールボックスのみを検索できます。 次に、Bob が Phil のメールボックスを検索することを防止する別のフィルターを作成します ("Mailbox_Alias -ne 'Phil'")。 また、Phil が Workers グループのメンバーであると仮定してみましょう。 Bob が組織内のすべてのメールボックスで (前の例の) 検索を実行すると、フィルターを適用して Bob が Phil のメールボックスを検索できないようにした場合でも、Phil のメールボックスの検索結果が返されます。 これは、Bob に Workers グループを検索することを許可する最初のフィルターに該当しているからです。 また、Phil が Workers グループのメンバーであるため、Bob は Phil のメールボックスを検索できます。
非アクティブなメールボックスで検索アクセス許可のフィルター処理は動作しますか。 はい、メールボックスとメールボックス コンテンツのフィルター処理を使用して、組織の非アクティブなメールボックスを検索できるユーザーを制限することができます。 通常のメールボックスのように、非アクティブなメールボックスは、アクセス許可のフィルターを作成するのに使用される受信者プロパティで設定する必要があります。 必要に応じて、Get-Mailbox -InactiveMailboxOnly コマンドを使用して非アクティブなメールボックスのプロパティを表示することができます。 詳細については、「 非アクティブなメールボックスの作成と管理」を参照してください。
パブリック フォルダーで検索アクセス許可のフィルター処理は動作しますか。 いいえ。 上で説明したように、検索アクセス許可のフィルター処理は、Exchange のパブリック フォルダーを検索できるユーザーを制限する目的には使用できません。 たとえば、パブリック フォルダーの場所にあるアイテムは、アクセス許可のフィルターによって、検索結果から除外することができません。
特定のサービスのすべてのコンテンツの場所をユーザーが検索できるようにした場合、ユーザーは他のサービスのコンテンツの場所を検索できないようになりますか。 いいえ。 前に説明したように、検索アクセス許可フィルターを作成して、ユーザーが特定のサービス内のコンテンツの場所を明示的に検索できないようにする必要があります (たとえば、ユーザーが Exchange メールボックスや SharePoint サイトを検索できないようにするなど)。 つまり、組織内のすべての SharePoint サイトをユーザーが検索できるようにする検索権限フィルターを作成しても、そのユーザーはメールボックスを検索できてしまいます。 たとえば、SharePoint 管理者が SharePoint サイトのみを検索できるようにするには、メールボックスを検索できないようにフィルターを作成する必要があります。 同様に、Exchange 管理者がメールボックスのみを検索できるようにするには、サイトを検索できないようにフィルターを作成する必要があります。
検索アクセス許可フィルターは、検索クエリの文字数制限に対してカウントされますか? はい。 検索アクセス許可フィルターは、検索クエリの文字数制限に対してカウントされます。 詳細については、「 電子情報開示の制限 (Premium)」を参照してください。
組織内で作成できる検索アクセス許可フィルターの最大数はいくつですか?
組織で作成できる検索アクセス許可フィルターの数に制限はありません。 ただし、検索クエリには最大 100 の条件を含めることができます。 この場合、条件はブール演算子 ( AND、 OR、 NEAR など) によってクエリに接続されるものとして定義されます。 条件の数の制限には、検索クエリ自体に加えて、検索を実行するユーザーに適用されるすべての検索アクセス許可フィルターが含まれます。 したがって、検索権限フィルターが多いほど (特に、これらのフィルターが同じユーザーまたはユーザー グループに適用される場合)、検索条件の最大数を超える可能性が高くなります。
この制限のしくみを理解するには、検索の実行時に検索アクセス許可フィルターが検索クエリに追加されることを理解する必要があります。 検索アクセス許可フィルターは、 AND ブール演算子によって検索クエリに参加します。 検索クエリと 1 つの検索アクセス許可フィルターのクエリ ロジックは次のようになります。
<SearchQuery> AND <PermissionsFilter>
OR ブール演算子によって複数の検索アクセス許可フィルターが組み合わされ、それらの条件が AND 演算子によって検索クエリに接続されます。
検索クエリと複数の検索アクセス許可フィルターのクエリ ロジックは次のようになります。
<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)
検索クエリ自体が、ブール演算子によって接続された複数の条件で構成されている可能性があります。 検索クエリの各条件も、100 条件の制限に対してカウントされます。
また、クエリに追加される検索アクセス許可フィルターの数は、検索を実行しているユーザーによって異なります。 特定のユーザーが検索を実行すると、ユーザーに適用される検索アクセス許可フィルター (フィルター内の Users パラメーターによって定義されます) がクエリに追加されます。 組織には何百もの検索アクセス許可フィルターがある可能性がありますが、100 を超えるフィルターが同じユーザーに適用されている場合、それらのユーザーが検索を実行すると、100 条件の制限を超える可能性があります。
条件制限については、もう 1 つ留意する必要があります。 検索クエリまたは検索アクセス許可フィルターに含まれる特定の SharePoint サイトの数も、この制限に対してカウントされます。
組織が条件の制限に達しないようにするには、組織内の検索アクセス許可フィルターの数を、ビジネス要件を満たすためにできるだけ少なくします。