検索アクセス許可のフィルター処理を構成する

  • 5 分

検索アクセス許可のフィルタリングにより、組織の電子情報開示マネージャーは、組織内のメールボックスとサイトのサブセットのみを検索できます。 アクセス許可のフィルタリングにより、同じ電子情報開示マネージャーが、特定の検索条件を満たすメールボックスまたはサイトのコンテンツのみを検索できるようになります。 例:

  • 特定の場所または部門のユーザーのメールボックスのみを 電子情報開示マネージャーに検索させることができます。 これを行うには、サポートされている受信者フィルターを使用するフィルターを作成して、特定のユーザーまたはユーザー グループが検索できるメールボックスを制限します。
  • ユーザーが検索できるメールボックスの内容を指定するフィルターを作成することもできます。 これを行うには、検索可能なメッセージ プロパティを使用するフィルターを作成します。
  • 電子情報開示マネージャーが組織内の特定の SharePoint サイトのみを検索できるようにすることができます。 これを行うには、検索できるサイトを制限するフィルターを作成します。
  • 検索可能なサイトのコンテンツを指定するフィルターを作成することもできます。 これを行うには、検索可能なサイト プロパティを使用するフィルターを作成します。

検索アクセス許可フィルターは、検索機能のいずれかを使用して Microsoft Purview コンプライアンス ポータルでコンテンツを検索するときに適用されます。

  • コンテンツ検索
  • Microsoft Purview eDiscovery (Standard)
  • Microsoft Purview 電子情報開示 (プレミアム)

検索権限フィルターが特定のユーザーに適用されると、そのユーザーは次の検索関連のアクションを実行できます。

  • コンテンツを検索する
  • 検索結果のプレビュー
  • 検索結果をエクスポートする
  • 検索で返されたアイテムを削除する

検索権限のフィルタリングを使用して、組織内に論理的な境界 (コンプライアンスの境界と呼ばれる) を作成することもできます。 これらの境界は、特定の電子情報開示マネージャーが検索できるユーザー コンテンツの場所 (メールボックス、SharePoint サイト、OneDrive アカウントなど) を制御します。 詳細については、電子情報開示調査のコンプライアンス境界を設定するをご覧ください。

次の図は、コンプライアンス セキュリティ フィルターを使用してコンプライアンス境界を作成する方法を示しています。

コンプライアンス セキュリティ フィルタを使用してコンプライアンス境界を作成する方法を示す図。

セキュリティとコンプライアンス PowerShell モジュールの次の 4 つのコマンドレットを使用すると、組織は検索アクセス許可フィルターを構成および管理できます。

コマンドレット 説明
New-ComplianceSecurityFilter このコマンドレットは、新しい検索アクセス許可フィルターを作成します。
Get-ComplianceSecurityFilters このコマンドレットは、検索アクセス許可フィルターのリストを返します。
Set-ComplianceSecurityFilter このコマンドレットは、既存の検索アクセス許可フィルターを変更します。
Remove-ComplianceSecurityFilter このコマンドレットは、検索フィルターを削除します。

アクセス許可のフィルタリングを構成するための要件

アクセス許可のフィルタリングを構成する前に、組織は次の要件を満たす必要があります。

  • コンプライアンス セキュリティ フィルタ コマンドレットを実行するには、コンプライアンス ポータルの Organization Management 役割グループのメンバーである必要があります。
  • コンプライアンス セキュリティ フィルター コマンドレットを使用するには、Exchange Online PowerShell モジュールとセキュリティとコンプライアンス PowerShell モジュールの両方に接続する必要があります。 これらのコマンドレットはメールボックスのプロパティにアクセスするため、この要件が必要です。
  • 検索アクセス許可のフィルタリングは、非アクティブなメールボックスに適用されます。 そのため、メールボックスとメールボックス コンテンツ フィルタリングを使用して、非アクティブなメールボックスを検索できるユーザーを制限できます。
  • 検索アクセス許可のフィルター処理は、Exchange のパブリック フォルダーを検索できるユーザーを制限するのに使用することができません。
  • 組織で作成できる検索アクセス許可フィルターの数に制限はありません。 ただし、検索クエリには最大 100 の条件を含めることができます。 この場合、条件は、ブール演算子 (AND、OR、NEAR など) によってクエリに関連付けられたものとして定義されます。 条件数の制限には、検索クエリ自体と、検索を実行するユーザーに適用されるすべての検索アクセス許可フィルターが含まれます。 したがって、検索権限フィルターが多いほど (特に、これらのフィルターが同じユーザーまたはユーザー グループに適用される場合)、検索条件の最大数を超える可能性が高くなります。 組織が条件の制限に達しないようにするには、ビジネス要件を満たすために、組織内の検索アクセス許可フィルターの数をできるだけ少なくしてください。 詳細については、電子情報開示調査のコンプライアンス境界を設定するをご覧ください。

New-ComplianceSecurityFilter

New-ComplianceSecurityFilter は、検索権限フィルタを作成するために使用されます。 このコマンドレットの基本的な構文は次のとおりです。

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <user or role group> -Filters <filter>

次のセクションでは、このコマンドレットのパラメーターについて説明します。 検索権限フィルターを作成するには、すべてのパラメーターが必要です。

FilterName

FilterName パラメータは、権限フィルタの名前を指定します。 この名前は、Get-ComplianceSecurityFilterSet-ComplianceSecurityFilter、および Remove-ComplianceSecurityFilter コマンドレットを使用するときにフィルタを識別するために使用されます。

フィルター

Filters パラメータは、コンプライアンス セキュリティ フィルタの検索条件を指定します。 次の 3 つの異なる種類のフィルターを作成できます。

  • メールボックスまたは OneDrive のフィルタリング。 このタイプのフィルタは、割り当てられたユーザー (Users パラメータで指定) が検索できるメールボックスと OneDrive アカウントを指定します。 このタイプのフィルタは、ユーザーが検索できるコンテンツの場所を定義するため、コンテンツの場所フィルタと呼ばれます。

    このタイプのフィルタの構文は Mailbox_ MailboxPropertyName です。ここで、MailboxPropertyName は、検索可能なメールボックスと OneDrive アカウントのスコープに使用されるメールボックス プロパティを指定します。 たとえば、メールボックス フィルター "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" を使用すると、このフィルターを割り当てられたユーザーは、CustomAttribute10 プロパティの値が "OttawaUsers" であるメールボックスと OneDrive アカウントのみを検索できます。

    サポートされているフィルタ可能な受信者プロパティは、メールボックスまたは OneDrive フィルタの MailboxPropertyName プロパティに使用できます。 次の表は、メールボックスまたは OneDrive フィルターの作成に使用される、一般的に使用される 4 つの受信者プロパティを示しています。 この表には、フィルタでプロパティを使用する例も含まれています。

    プロパティ名
    Alias "Mailbox_Alias -like 'v-'"
    会社名 "Mailbox_Company -eq 'Contoso'"
    CountryOrRegion "Mailbox_CountryOrRegion -eq 'United States'"
    部署 "Mailbox_Department -eq 'Finance'"

  • メールボックス コンテンツ フィルタリング。 これは、割り当てられたユーザーが検索できるメールボックスのコンテンツを指定します。 このタイプのフィルタは、割り当てられたユーザーが検索できるメールボックスのコンテンツまたは検索可能なメール プロパティを指定するため、コンテンツ フィルタと呼ばれます。

    このタイプのフィルタの構文は MailboxContent__SearchablePropertyName です。SearchablePropertyName は、検索で指定できるキーワード クエリ言語 (KQL) プロパティを指定します。 たとえば、メールボックス コンテンツ フィルター "MailboxContent_Recipients -like 'contoso.com'" を使用すると、このフィルターを割り当てられたユーザーは、contoso.com ドメインの受信者に送信されたメッセージのみを検索できます。

    検索可能なメール プロパティのリストについては、電子情報開示のキーワード クエリと検索条件をご覧ください。

    重要

    1 つの検索フィルターに、メールボックス フィルターとメールボックス コンテンツ フィルターを含めることはできません。 これら 2 つのフィルタを 1 つのフィルタに結合するには、フィルタ リストを使用する必要があります。 ただし、フィルターには、同じタイプのより複雑なクエリを含めることができます。 たとえば、「Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'」

  • サイトとサイト コンテンツのフィルタリング。 割り当てられたユーザーが検索できるサイトまたはサイト コンテンツを指定するために使用できる 2 つの SharePoint 関連および OneDrive 関連のフィルターがあります。

    • Site_SearchableSiteProperty
    • SiteContent_SearchableSiteProperty

    これら 2 つのフィルターは交換可能です。 たとえば、"Site_Path -like 'https://contoso.sharepoint.com/sites/doctors'" と "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'" は同じ結果を返します。 検索可能なサイト プロパティのリストについては、電子情報開示のキーワード クエリと検索条件を参照してください。完全なリストについては、SharePoint でクロールおよび管理されるプロパティの概要を参照してください。 [クエリ可能] 列で [はい] とマークされているプロパティを使用して、サイトまたはサイトのコンテンツ フィルターを作成できます。

    重要

    サポートされているプロパティの 1 つを使用してサイト フィルターを設定しても、フィルターのサイト プロパティがそのサイトのすべてのドキュメントに反映されるわけではありません。 代わりに、サイト フィルターが機能して適切なコンテンツをキャプチャするために、ユーザーはそのサイトのドキュメントに関連付けられた特定のプロパティ フィールドを入力する必要があることを意味します。

    たとえば、ユーザーにセキュリティ フィルタ「Site_RefineableString00 -eq 'abc'」が適用されているとします。 次に、ユーザーはキーワード クエリ「xyz」を使用して検索を実行します。 セキュリティ フィルターがクエリに追加され、実際に実行されるクエリは "xyz AND RefineableString0:'abc'" になります。 ユーザーは、サイト上のドキュメントの RefineableString00 フィールドの値が「abc」であることを確認する必要があります。 そうでない場合、検索クエリは結果を返しません。

検索権限フィルタの Filters パラメータを設定する際は、次の点に注意してください:

  • サイト フィルタはロケーション フィルタのように見えますが、メールボックスとは異なり、サイト用のコンテンツ ロケーション フィルタはありません。 SharePoint と OneDrive のすべてのフィルタはコンテンツ フィルタです (これが、Site_ フィルタと SiteContent_ フィルタが交換可能である理由でもあります)。

    どうしてでしょうか? Path などのサイト関連のプロパティは、ドキュメントに直接スタンプされるためです。 これは、SharePoint の設計方法の結果です。 SharePoint には、Exchange メールボックスのようなプロパティを持つ "サイト オブジェクト" はありません。 したがって、Path プロパティはドキュメントにスタンプされ、ドキュメントが配置されているサイトの URL が含まれています。 その結果、サイト フィルタは、コンテンツの場所のフィルタではなく、コンテンツのフィルタと見なされます。

  • 組織は、ユーザーが特定のサービスでコンテンツの場所を検索できないようにする (たとえば、ユーザーが Exchange メールボックスまたは SharePoint サイトを検索できないようにするなど) ために、検索アクセス許可フィルターを作成する必要があります。 つまり、組織内のすべての SharePoint サイトをユーザーが検索できるようにする検索権限フィルターを作成しても、そのユーザーはメールボックスを検索できてしまいます。

    たとえば、SharePoint 管理者が SharePoint サイトのみを検索できるようにするには、管理者がメールボックスを検索できないようにするフィルターを作成する必要があります。 同様に、Exchange 管理者がメールボックスのみを検索できるようにするには、サイトを検索できないようにするフィルターを作成する必要があります。

ユーザー

Users パラメータは、このフィルタを検索に適用するユーザーを指定します。 ユーザーは、エイリアスまたはプライマリ SMTP アドレスで識別できます。 複数の値をコンマで区切って指定できます。 値 All を使用して、フィルタをすべてのユーザーに割り当てることもできます。

Users パラメータを使用して、コンプライアンス ポータルの役割グループを指定することもできます。 これにより、カスタムの役割グループを作成し、その役割グループに検索アクセス許可フィルターを割り当てることができます。

たとえば、多国籍企業の米国支社の電子情報開示管理者向けのカスタムの役割グループがあるとします。 Users パラメータを使用して、この役割グループを指定できます (役割グループの Name プロパティを使用)。 その後、Filter パラメータを使用して、米国内のメールボックスのみを検索できるようにします。 このパラメーターで配布グループを指定することはできません。|

検索アクセス許可フィルターの作成例

このセクションでは、New-ComplianceSecurityFilter コマンドレットを使用して検索権限フィルタを作成する例を示します。

この例では、"US Discovery Managers" 役割グループのメンバーが、米国内のメールボックスと OneDrive アカウントのみを検索できるようにします。

New-ComplianceSecurityFilter -FilterName USDiscoveryManagers -Users "US Discovery Managers" -Filters "Mailbox_CountryOrRegion -eq 'United States'"

この例では、ユーザー "annb@contoso.com" がカナダのメールボックスと OneDrive アカウントに対してのみ検索操作を実行できるようにします。 このフィルターには、ISO 3166 1 からカナダの 3 桁の数値の国コードが含まれています。

New-ComplianceSecurityFilter -FilterName CountryFilter -Users annb@contoso.com -Filters "Mailbox_CountryCode -eq '124'"

この例では、ユーザー "donh" と "suzanf" が CustomAttribute1 メールボックス プロパティの値が "Marketing" であるメールボックスと OneDrive アカウントのみを検索できるようにします。

New-ComplianceSecurityFilter -FilterName MarketingFilter -Users donh,suzanf -Filters "Mailbox_CustomAttribute1 -eq 'Marketing'"

この例では、"Fourth Coffee 電子情報開示Managers" 役割グループのメンバーが、Department のメールボックス プロパティの値が "FourthCoffee" であるメールボックスと OneDrive アカウントのみを検索できるようにします。 このフィルターにより、役割グループのメンバーは、Fourth Coffee SharePoint サイトでドキュメントを検索することもできます。

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'"

注:

前の例では、役割グループのメンバーが OneDrive アカウントでドキュメントを検索できるように、追加のサイト コンテンツ フィルター (SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal') を含める必要があります。 このフィルターが含まれていない場合、フィルターは、役割グループのメンバーのみが https://contoso.sharepoint.com/sites/FourthCoffee にあるドキュメントを検索できるようにします。

この例では、電子情報開示Manager 役割グループのメンバーが、Ottawa Users 配布グループのメンバーのメールボックスと OneDrive アカウントのみを検索できるようにします。 Exchange Online PowerShell の Get-DistributionGroup コマンドレットを使用して、Ottawa Users グループのメンバーを検索します。

$DG = Get-DistributionGroup "Ottawa Users"

New-ComplianceSecurityFilter -FilterName DGFilter -Users eDiscoveryManager -Filters "Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"

この例では、どのユーザーも、Executive Team 配布グループのメンバーのメールボックスおよび OneDrive アカウントで検索操作を実行できないようにします。 つまり、ユーザーはこれらのメールボックスからコンテンツを削除できます。 Exchange Online PowerShell の Get-DistributionGroup コマンドレットを使用して、エグゼクティブ チーム グループのメンバーを検索します。

$DG = Get-DistributionGroup "Executive Team"

New-ComplianceSecurityFilter -FilterName NoExecutivesPreview -Users All -Filters "Mailbox_MemberOfGroup -ne '$($DG.DistinguishedName)'"

この例では、OneDrive 電子情報開示Managers カスタム役割グループのメンバーが、組織内の OneDrive アカウントのコンテンツのみを検索できるようにします。

New-ComplianceSecurityFilter -FilterName OneDriveOnly -Users "OneDrive eDiscovery Managers" -Filters "SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'"

この例では、ユーザーが 2020 年に送信された電子メール メッセージに対してのみ検索アクションを実行するように制限します。

New-ComplianceSecurityFilter -FilterName EmailDateRestrictionFilter -Users donh@contoso.com -Filters "MailboxContent_Received -ge '01-01-2020' -and MailboxContent_Received -le '12-31-2020'"

前の例と同様に、この例では、2020 年の暦年に最後に変更されたドキュメントに対してのみ検索アクションを実行するようにユーザーを制限します。

New-ComplianceSecurityFilter -FilterName DocumentDateRestrictionFilter -Users donh@contoso.com -Filters "SiteContent_LastModifiedTime -ge '01-01-2020' -and SiteContent_LastModifiedTime -le '12-31-2020'"

この例では、"OneDrive Discovery Managers" 役割グループのメンバーが、組織内のどのメールボックスに対しても検索操作を実行できないようにします。

New-ComplianceSecurityFilter -FilterName NoEXO -Users "OneDrive Discovery Managers" -Filters "Mailbox_Alias -notlike '*'"

この例では、組織内の誰もが、"janets" または "sarad" によって送受信された電子メール メッセージに対して検索アクションを実行できないようにします。

New-ComplianceSecurityFilter -FilterName NoSaraJanet -Users All -Filters "MailboxContent_Participants -notlike 'janets@contoso.onmicrosoft.com' -and MailboxContent_Participants -notlike 'sarad@contoso.onmicrosoft.com'"

この例では、フィルター リストを使用して、メールボックス フィルターとサイト フィルターを結合します。 この例では、メールボックス フィルターはコンテンツの場所フィルターであり、サイト フィルターはコンテンツ フィルターです。

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery'"

理解度チェック

次の各質問に最適な回答を選択します。

自分の知識をチェックする

1.

Northwind Traders のエンタープライズ管理者である Allan Deyoung は、Windows PowerShell でコンプライアンス セキュリティ フィルター コマンドレットを実行したいと考えています。 これらのコマンドレットを実行するために Allan が完了する必要がある手順は、次のうちどれですか?