Configurar limites de conformidade para investigações de Deteção de Dados Eletrónicos
Dica
A Deteção de Dados Eletrónicos (pré-visualização) está agora disponível no novo portal do Microsoft Purview. Para saber mais sobre como utilizar a nova experiência de Deteção de Dados Eletrónicos, veja Saiba mais sobre a Deteção de Dados Eletrónicos (pré-visualização).
As orientações neste artigo podem ser aplicadas ao utilizar Descoberta Eletrônica do Microsoft Purview (Standard) ou Descoberta Eletrônica do Microsoft Purview (Premium) para gerir investigações.
Os limites de conformidade criam limites lógicos em uma organização que controla os locais de conteúdo do usuário (como caixas de correio, contas do OneDrive e sites do SharePoint) que os gerentes de Descoberta Eletrônica Avançada podem pesquisar. Os limites de conformidade também controlam quem pode aceder a casos de Deteção de Dados Eletrónicos utilizados para gerir as investigações legais, de recursos humanos ou de outras investigações na sua organização.
A necessidade de limites de conformidade é muitas vezes necessária para as empresas multinacionais que têm de respeitar os quadros geográficos e os regulamentos e para os governos, que muitas vezes estão divididos em diferentes agências. No Microsoft 365, os limites de conformidade ajudam-no a cumprir estes requisitos ao realizar pesquisas de conteúdos e gerir investigações com casos de Deteção de Dados Eletrónicos.
Vamos utilizar o exemplo na ilustração seguinte para explicar como funcionam os limites de conformidade.
Neste exemplo, a Contoso LTD é uma organização constituída por duas subsidiárias, a Fourth Coffee e a Coho Winery. A empresa requer que os gestores de Deteção de Dados Eletrónicos e os investigadores só possam procurar nas caixas de correio do Exchange, nas contas do OneDrive e nos sites do SharePoint na respetiva agência. Além disso, os gestores de Deteção de Dados Eletrónicos e os investigadores só podem ver casos de Deteção de Dados Eletrónicos na sua agência, e só podem aceder aos casos dos quais são membros. Além disso, neste cenário, os investigadores não podem colocar localizações de conteúdo em espera ou exportar conteúdo de um caso. Eis como os limites de conformidade cumprem estes requisitos.
A funcionalidade de filtragem de permissões de pesquisa da Deteção de Dados Eletrónicos controla as localizações de conteúdo que os gestores de Deteção de Dados Eletrónicos e os investigadores podem pesquisar. Este controlo significa que os gestores de Deteção de Dados Eletrónicos e os investigadores da agência Fourth Coffee só podem procurar localizações de conteúdo na subsidiária Fourth Coffee. A mesma restrição se aplica à subsidiária Coho Winery.
Os grupos de funções fornecem as seguintes funções para limites de conformidade:
- Controle quem pode ver os casos de Deteção de Dados Eletrónicos no portal de conformidade do Microsoft Purview. Este controlo significa que os gestores de Deteção de Dados Eletrónicos e os investigadores só podem ver os casos de Deteção de Dados Eletrónicos na sua agência.
- Controlar quem pode atribuir membros a um caso de Deteção de Dados Eletrónicos. Este controlo significa que os gestores de Deteção de Dados Eletrónicos e os investigadores só podem atribuir membros a casos dos quais eles próprios são membros.
- Controle as tarefas relacionadas com a Deteção de Dados Eletrónicos que os membros podem executar ao adicionar ou remover funções que atribuem permissões específicas.
Quando um filtro de permissões de pesquisa é aplicado a um grupo de funções, os membros do grupo de funções podem realizar as seguintes ações relacionadas com a pesquisa, desde que as permissões para efetuar uma ação são atribuídas ao grupo de funções:
- Pesquisar conteúdo
- Visualização de resultados de pesquisa
- Exportar resultados da pesquisa
- Limpar itens retornados por uma pesquisa
Dica
Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.
Antes de configurar os limites de conformidade
- Tem de ser atribuída uma licença Exchange Online aos utilizadores. Para verificar as atribuições, utilize o cmdlet Get-User no Exchange Online PowerShell.
Configurar limites de conformidade
Eis os passos para configurar limites de conformidade:
- Passo 1: identificar um atributo de utilizador para definir as suas agências
- Passo 2: criar um grupo de funções para cada agência
- Passo 3: criar um filtro de permissões de pesquisa para impor o limite de conformidade
- Passo 4: Criar um caso de Deteção de Dados Eletrónicos para investigações intra-agências
Passo 1: identificar um atributo de utilizador para definir as suas agências
O primeiro passo é escolher um atributo a utilizar que defina as suas agências. Este atributo é utilizado para criar o filtro de permissões de pesquisa que limita um gestor de Deteção de Dados Eletrónicos a procurar apenas as localizações de conteúdo dos utilizadores a quem é atribuído um valor específico para este atributo. Por exemplo, digamos que a Contoso decide utilizar o atributo Departamento . O valor deste atributo para os utilizadores na subsidiária Fourth Coffee seria FourthCoffee
e o valor para os utilizadores na subsidiária da Coho Winery seria CohoWinery
. No Passo 3, vai utilizar este attribute:value
par (por exemplo, Department:FourthCoffee) para limitar as localizações de conteúdo de utilizador que os gestores de Deteção de Dados Eletrónicos podem pesquisar.
Eis alguns exemplos de atributos de utilizador que pode utilizar para limites de conformidade:
- Empresa
- CustomAttribute1 - CustomAttribute15
- Departamento
- Escritório
- CountryOrRegion (Código de país de duas letras)
Passo 2: criar um grupo de funções para cada agência
O próximo passo consiste em criar os grupos de funções no portal de conformidade que serão alinhados com as suas agências.
Para criar os grupos de funções, aceda à página Permissões no portal de conformidade e crie um grupo de funções para cada equipa em cada agência que utilize limites de conformidade e casos de Deteção de Dados Eletrónicos para gerir investigações.
Recomendamos que os grupos de funções criados para o limite de conformidade não tenham quaisquer funções associadas ao mesmo. Este grupo de funções só deve ser utilizado para atribuir utilizadores ao grupo de funções. Devem ser utilizados grupos de funções personalizados ou incorporados separados (Gestor de Deteção de Dados Eletrónicos) para atribuir funções aos membros. Para obter mais informações sobre as funções relacionadas com a Deteção de Dados Eletrónicos, veja Assign eDiscovery permissions (Atribuir permissões de Deteção de Dados Eletrónicos).
Observação
Para cessar e atualizar grupos de funções com funções vazias, tem de utilizar cmdlets do PowerShell. Para obter detalhes, veja New-RoleGroup e Add-RoleGroupMember.
Ao utilizar o cenário de limites de conformidade da Contoso, é necessário criar quatro grupos de funções e os membros adequados adicionados a cada um deles.
- Gerenciadores da Descoberta Eletrônica da Fourth Coffee
- Investigadores da Fourth Coffee
- Gerenciadores da Descoberta Eletrônica da Coho Winery
- Investigadores da Coho Winery
Importante
Se uma função for adicionada ou removida de um grupo de funções que tenha adicionado como membro de um caso, o grupo de funções será automaticamente removido como membro do caso (ou, em qualquer caso, o grupo de funções é membro). O motivo para tal é proteger a sua organização de fornecer inadvertidamente permissões adicionais aos membros de um caso. Se um grupo de funções for eliminado, será removido de todos os casos em que foi membro. Recomendamos que os grupos de funções criados para limites de conformidade não tenham quaisquer funções atribuídas aos mesmos. Utilize grupos de funções incorporados/personalizados separados para atribuir funções a membros.
Passo 3: criar um filtro de permissões de pesquisa para impor o limite de conformidade
Depois de criar grupos de funções para cada agência, o passo seguinte consiste em criar os filtros de permissões de pesquisa que associam cada grupo de funções à respetiva agência específica e define o próprio limite de conformidade. Tem de criar um filtro de permissões de pesquisa para cada agência. Para obter mais informações sobre como criar filtros de permissões de segurança, veja Configurar a filtragem de permissões para a Pesquisa de Conteúdos.
Eis a sintaxe utilizada para criar um filtro de permissões de pesquisa utilizado para limites de conformidade para o cenário neste artigo.
New-ComplianceSecurityFilter -FilterName <name of filter> -Users <role groups> -Filters "Mailbox_<MailboxPropertyName> -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"
Eis uma descrição de cada parâmetro no comando:
FilterName
: especifica o nome do filtro. Utilize um nome que descreva ou identifique a agência na qual o filtro é utilizado.Users
: especifica os utilizadores ou grupos que obtêm este filtro aplicado às ações de pesquisa que executam. Para limites de conformidade, este parâmetro especifica os grupos de funções (que criou no Passo 2) na agência para a qual está a criar o filtro. Este parâmetro é um parâmetro de valores múltiplos, pelo que pode incluir um ou mais grupos de funções, separados por vírgulas.Filters
: especifica os critérios de pesquisa do filtro. Para limites de conformidade, defina os seguintes filtros. Cada uma aplica-se a diferentes localizações de conteúdo.Mailbox
: especifica as caixas de correio ou contas do OneDrive que os grupos de funções definidos noUsers
parâmetro podem procurar. Este filtro permite que os membros do grupo de funções pesquisem apenas as caixas de correio ou contas do OneDrive numa agência específica; por exemplo,"Mailbox_Department -eq 'FourthCoffee'"
.SiteContent
: este filtro inclui dois filtros separados. O primeiroSiteContent_Path
especifica os sites do SharePoint na agência que os grupos de funções definidos noUsers
parâmetro podem procurar. Por exemplo,SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'
. O segundoSiteContent_Path
filtro (ligado ao primeiroSiteContent_Path
filtro peloor
operador) especifica o domínio do OneDrive da agência (também denominado domínio MySite ). Por exemplo,SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'
. Também pode utilizar oSite_Path
filtro em vez doSiteContent
filtro. OsSite
filtros eSiteContent
são intercambiáveis e não afetam os filtros de permissões de pesquisa descritos neste artigo.Importante
Por que motivo o filtro do
SiteContent
OneDrive está incluído no filtro de permissões de pesquisa anterior? Embora oMailbox
filtro se aplique às caixas de correio e às contas do OneDrive, a inclusão do filtro do SharePoint excluiria as contas do OneDrive se também não incluísse o filtro do OneDriveSite
. Se o filtro de permissões de pesquisa não incluísse um filtro do SharePoint, não teria de incluir um filtro separado do OneDrive porque o filtro Caixa de Correio incluiria contas do OneDrive no âmbito do limite de conformidade. Por outras palavras, um filtro de permissões de pesquisa apenas com oMailbox
filtro incluiria caixas de correio e contas do OneDrive.
Aqui estão exemplos de dois filtros de permissões de pesquisa que seria criado para apoiar o cenário de limites de conformidade da Contoso. Esses dois exemplos incluem uma lista de filtros separados por vírgula, nos quais os filtros de site e caixa de correio estão incluídos no mesmo filtro de permissões de pesquisa e são separados por vírgula.
Quarto Café
New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"
Adega Coho
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"
Observação
A sintaxe dos Filters
parâmetros nos exemplos anteriores inclui uma lista de filtros. Uma lista de filtros é um filtro que inclui um filtro de caixa de correio e um filtro de caminho do site separado por uma vírgula. No exemplo anterior, repare que uma vírgula separa Mailbox
e SiteContent
filtra: -Filters "Mailbox_<MailboxPropertyName> -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"
. Quando este filtro é processado durante a execução de uma pesquisa de Deteção de Dados Eletrónicos, são criados dois filtros de permissões de pesquisa a partir da lista de filtros: um filtro de caixa de correio e um filtro do SharePoint/OneDrive. Uma alternativa à utilização de uma lista de filtros seria criar dois filtros de permissões de pesquisa separados para cada agência: um filtro de permissões de pesquisa para o atributo da caixa de correio e um filtro para os atributos de site do SharePoint e do OneDrive. Em ambos os casos, os resultados serão os mesmos. Utilizar uma lista de filtros ou criar filtros de permissões de pesquisa separados é uma questão de preferência.
Como funcionam os filtros de permissões de pesquisa neste cenário?
Eis como os filtros de permissão de pesquisa são aplicados a cada agência neste cenário.
O
Mailbox
filtro é aplicado primeiro para definir as localizações de conteúdo que os gestores de Deteção de Dados Eletrónicos podem pesquisar. Neste caso, os gestores de Deteção de Dados Eletrónicos da Coho Winery só podem procurar nas caixas de correio e nas contas do OneDrive de utilizadores cuja propriedade de caixa de correio do Departamento tem um valor de FourthCoffee; Os gestores de Deteção de Dados Eletrónicos da Coho Winery só podem procurar nas caixas de correio e nas contas do OneDrive de utilizadores cuja propriedade de caixa de correio do Departamento tem um valor cohoWinery. OMailbox
filtro é um filtro de localização de conteúdo, porque especifica as localizações de conteúdo que os gestores de Deteção de Dados Eletrónicos podem pesquisar. Em ambos os filtros, os gestores de Deteção de Dados Eletrónicos só podem procurar localizações de conteúdo com um valor de propriedade de caixa de correio específico.Depois de definidas as localizações de conteúdo que podem ser pesquisadas, a próxima parte do filtro define o conteúdo que os gestores de Deteção de Dados Eletrónicos podem procurar. O primeiro
SiteContent
filtro permite que os gestores de Deteção de Dados Eletrónicos do Quarto Café procurem apenas documentos que tenham uma propriedade de caminho do site que contenha (ou comece com)https://contoso.sharepoint.com/sites/FourthCoffee
; Os gestores de Deteção de Dados Eletrónicos da Coho Winery só podem procurar documentos que tenham uma propriedade de caminho do site que contenha (ou comece com)https://contoso.sharepoint.com/sites/CohoWinery
. Por conseguinte, os doisSiteContent
filtros são filtros de conteúdo porque definem o conteúdo que pode ser procurado. Em ambos os filtros, os gestores de Deteção de Dados Eletrónicos só podem procurar documentos com um valor de propriedade de documento específico. Todos os filtros relacionados com o SharePoint são filtros de conteúdo porque as propriedades pesquisáveis do site estão carimbadas em todos os documentos. Para obter mais informações, veja Configurar a filtragem de permissões para Deteção de Dados Eletrónicos.Observação
Embora o cenário neste artigo não os utilize, também pode utilizar filtros de conteúdo de caixa de correio para especificar o conteúdo que os gestores de Deteção de Dados Eletrónicos podem procurar. A sintaxe dos filtros de conteúdo da caixa de correio é
"MailboxContent_<property> -<comparison operator> '<value>'"
. Pode criar filtros de conteúdo com base em intervalos de datas, destinatários e domínios ou em qualquer propriedade de e-mail pesquisável. Por exemplo, este filtro permitiria que os gestores de Deteção de Dados Eletrónicos procurassem apenas itens de correio enviados ou recebidos por utilizadores no domínio contoso.com:"MailboxContent_Participants -like 'contoso.com'"
. Para obter mais informações sobre filtros de conteúdo de caixa de correio, consulte Configurar a filtragem de permissões de pesquisa.O filtro de permissões de pesquisa é associado à consulta de pesquisa pelo operador E Booleano. Isto significa que, quando um gestor de Deteção de Dados Eletrónicos numa das agências executa uma pesquisa de Deteção de Dados Eletrónicos, os itens devolvidos pela pesquisa têm de corresponder à consulta de pesquisa e às condições definidas no filtro de permissões de pesquisa.
Passo 4: Criar um caso de Deteção de Dados Eletrónicos para investigações intra-agências
O passo final é criar um caso de Deteção de Dados Eletrónicos (Standard) ou um caso de Deteção de Dados Eletrónicos (Premium) no portal de conformidade e, em seguida, adicionar o grupo de funções que criou no Passo 2 como membro do caso. Isto resulta em duas características importantes da utilização de limites de conformidade:
Apenas os membros do grupo de funções adicionados ao caso poderão ver e aceder ao caso no portal de conformidade. Por exemplo, se o grupo de funções Fourth Coffee Researchers for o único membro de um caso, os membros do grupo de funções Gestores de Deteção de Dados Eletrónicos do Quarto Café (ou membros de qualquer outro grupo de funções) não poderão ver ou aceder ao caso.
Quando um membro do grupo de funções atribuído a um caso executa uma pesquisa associada ao caso, só poderá procurar as localizações de conteúdo na respetiva agência (que é definida pelo filtro de permissões de pesquisa que criou no Passo 3).)
Para criar um caso e atribuir membros:
Observação
Durante um período de tempo limitado, esta experiência de Deteção de Dados Eletrónicos clássica também está disponível no novo portal do Microsoft Purview. Ative a experiência de Deteção de Dados Eletrónicos clássica do Portal de Conformidade nas definições da experiência de Deteção de Dados Eletrónicos (pré-visualização) para apresentar a experiência clássica no novo portal do Microsoft Purview.
Aceda à página Deteção de Dados Eletrónicos (Standard) ou Deteção de Dados Eletrónicos (Premium) no portal de conformidade e crie um caso.
Na lista de casos, selecione o nome do caso que criou.
Adicione grupos de funções como membros ao caso. Para obter instruções, consulte um dos seguintes artigos:
Observação
Ao adicionar um grupo de funções a um caso, só pode adicionar os grupos de funções dos quais é membro.
Procurar e exportar conteúdo em ambientes multigeográficos
Os filtros de permissões de pesquisa também lhe permitem controlar onde o conteúdo é encaminhado para exportação e que datacenter pode ser pesquisado ao procurar localizações de conteúdo num ambiente SharePoint Multi-Geo.
Exportar resultados da pesquisa: Pode exportar os resultados da pesquisa a partir de caixas de correio do Exchange, sites do SharePoint e contas do OneDrive a partir de um datacenter específico. Isto significa que pode especificar a localização do datacenter a partir da qual os resultados da pesquisa são exportados.
Utilize o parâmetro Região para os cmdlets New-ComplianceSecurityFilter ou Set-ComplianceSecurityFilter para criar ou alterar o datacenter através do qual a exportação é encaminhada.
Valor do parâmetro localização Datacenter NAM Norte-Americano (os datacenters estão nos EUA) EUR Europa APC Pacífico Asiático CAN Canadá Encaminhar pesquisas de conteúdo: Pode encaminhar as pesquisas de conteúdos de sites do SharePoint e contas do OneDrive para um datacenter por satélite. Isto significa que pode especificar a localização do datacenter onde as pesquisas são executadas.
Utilize um dos seguintes valores para o parâmetro Região para controlar a localização do datacenter em que as pesquisas serão executadas ao pesquisar sites do SharePoint e contas do OneDrive.
Valor do parâmetro Datacenter localizações de encaminhamento para o SharePoint NAM EUA EUR Europa APC Pacífico Asiático CAN EUA AUS Pacífico Asiático KOR O datacenter predefinido da organização GBR Europa JPN Pacífico Asiático IND Pacífico Asiático LAM EUA NOR Europa BRA Datacenters norte-americanos Se não especificar o parâmetro Região para um filtro de permissões de pesquisa, a região principal do SharePoint da organização é pesquisada. Os resultados da pesquisa são exportados para o datacenter mais próximo.
Para simplificar o conceito, o parâmetro Região controla o datacenter utilizado para procurar conteúdos no SharePoint e no OneDrive. Isto não se aplica à pesquisa de conteúdos no Exchange porque as pesquisas de conteúdos do Exchange não estão vinculadas pela localização geográfica dos datacenters. Além disso, o mesmo valor do parâmetro Região também pode ditar o datacenter através do qual as exportações são encaminhadas. Muitas vezes, isto é necessário para controlar o movimento de dados entre quadros geográficos.
Observação
Se estiver a utilizar a Deteção de Dados Eletrónicos (Premium), o parâmetro Região não controla a região a partir da qual os dados são exportados. Os dados são exportados a partir da localização central da organização. Além disso, a pesquisa de conteúdos no SharePoint e no OneDrive não está vinculada pela localização geográfica dos datacenters. Todos os datacenters são pesquisados. Para obter mais informações sobre a Deteção de Dados Eletrónicos (Premium), consulte Descrição geral da solução de Deteção de Dados Eletrónicos (Premium) no Microsoft 365.
Seguem-se exemplos de utilização do parâmetro Região ao criar filtros de permissão de pesquisa para limites de conformidade. Isto pressupõe que a subsidiária Fourth Coffee está localizada em América do Norte e que a Coho Winery está na Europa.
New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region NAM
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region EUR
Tenha em atenção os seguintes aspetos ao procurar e exportar conteúdos em ambientes multigeográficos.
O parâmetro Região não controla as pesquisas de caixas de correio do Exchange. Todos os datacenters serão procurados quando pesquisar caixas de correio. Para limitar o âmbito do qual as caixas de correio do Exchange são pesquisadas, utilize o parâmetro Filtros ao criar ou alterar um filtro de permissões de pesquisa.
Se for necessário que um Gestor de Deteção de Dados Eletrónicos pesquise em várias regiões do SharePoint, tem de criar uma conta de utilizador diferente para esse gestor de Deteção de Dados Eletrónicos utilizar no filtro de permissões de pesquisa para especificar a região onde estão localizados os sites do SharePoint ou as contas do OneDrive. Para obter mais informações sobre como configurar esta definição, consulte a secção "Procurar conteúdo num ambiente SharePoint Multi-Geo" na Pesquisa de Conteúdos.
Ao procurar conteúdo no SharePoint e no OneDrive, o parâmetro Região direciona as pesquisas para a localização primária ou por satélite onde o gestor de Deteção de Dados Eletrónicos irá realizar investigações de Deteção de Dados Eletrónicos. Se um gestor de Deteção de Dados Eletrónicos pesquisar sites do SharePoint e do OneDrive fora da região especificada no filtro de permissões de pesquisa, não são devolvidos resultados da pesquisa.
Ao exportar os resultados da pesquisa da Deteção de Dados Eletrónicos (Standard), os conteúdos de todas as localizações de conteúdo (incluindo o Exchange, Skype for Business, o SharePoint, o OneDrive e outros serviços que pode pesquisar com a ferramenta Pesquisa de Conteúdos) são carregados para a localização do Armazenamento do Azure no datacenter especificado pelo parâmetro Região. Isto ajuda as organizações a manterem-se em conformidade ao não permitirem que o conteúdo seja exportado através de limites controlados. Se não for especificada nenhuma região no filtro de permissões de pesquisa, o conteúdo é carregado para o datacenter principal da organização.
Ao exportar conteúdo da Deteção de Dados Eletrónicos (Premium), não pode controlar onde o conteúdo é carregado com o parâmetro Região . O conteúdo é carregado para uma localização do Armazenamento do Azure num datacenter na localização central da sua organização. Para obter uma lista de localizações geográficas com base na sua localização central, veja Configuração da Deteção de Dados Eletrónicos Multigeográficos do Microsoft 365.
Pode editar um filtro de permissões de pesquisa existente para adicionar ou alterar a região ao executar o seguinte comando:
Set-ComplianceSecurityFilter -FilterName <Filter name> -Region <Region>
Utilizar limites de conformidade para sites hub do SharePoint
Os sites hub do SharePoint alinham-se frequentemente com os mesmos limites geográficos ou de agência que os limites de conformidade da Deteção de Dados Eletrónicos seguem. Isto significa que pode utilizar a propriedade ID do site do hub para criar um limite de conformidade. Para tal, utilize o cmdlet Get-SPOHubSite no PowerShell do SharePoint Online para obter o SiteId do site hub e, em seguida, utilize este valor para a propriedade ID do departamento para criar um filtro de permissões de pesquisa.
Utilize a seguinte sintaxe para criar um filtro de permissões de pesquisa para um site hub do SharePoint:
New-ComplianceSecurityFilter -FilterName <Filter Name> -Users <User or Group> -Filters "Site_Departmentid -eq '{SiteId of hub site}'"
Eis um exemplo da criação de um filtro de permissões de pesquisa para um site central para a agência Coho Winery:
New-ComplianceSecurityFilter -FilterName "Coho Winery Hub Site Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Site_Departmentid -eq '44252d09-62c4-4913-9eb0-a2a8b8d7f863'"
Limitações de limites de conformidade
Tenha em atenção as seguintes limitações ao gerir casos de Deteção de Dados Eletrónicos e investigações que utilizam limites de conformidade.
Ao criar e executar uma pesquisa, você pode selecionar locais de conteúdo que estão fora da sua agência. No entanto, por causa do filtro das permissões de pesquisa, o conteúdo desses locais não são incluídos nos resultados da pesquisa.
Os limites de conformidade não se aplicam a retenções em casos de Deteção de Dados Eletrónicos. Isso significa que um gerenciador da Descoberta Eletrônica pode colocar um usuário de uma outra agência em retenção. No entanto, o limite de conformidade será imposto se o gerenciador da Descoberta Eletrônica pesquisa os locais de conteúdo do usuário colocado em modo de retenção. Isso significa que o gerenciador da Descoberta Eletrônica não poderá pesquisar os locais de conteúdo do usuário, mesmo se conseguirem colocar o usuário em retenção.
Se lhe for atribuído um filtro de permissões de pesquisa (uma caixa de correio ou um filtro de site) e tentar exportar itens nãondexados para uma pesquisa que inclua todos os sites do SharePoint na sua organização, receberá a seguinte mensagem de erro:
Unable to execute the task. Reason: The scope options UnindexedItemsOnly or BothIndexedandUnindexedItems are not allowed when the executing user has a compliance security filter applied
. Se lhe for atribuído um filtro de permissões de pesquisa e quiser exportar itens não filtrados do SharePoint, terá de executar novamente a pesquisa e incluir sites específicos do SharePoint para pesquisar. Caso contrário, só poderá exportar itens indexados de uma pesquisa que inclua todos os sites do SharePoint. Para obter mais informações sobre as opções ao exportar os resultados da pesquisa, consulte Exportar resultados de pesquisa de Conteúdo.Filtros de permissões de pesquisa não são aplicados a pastas públicas do Exchange.
Os filtros de pesquisa suportados incluem , , , , e
-ne
-eq
.-not
-like
-or
-and
Não recomendamos a utilização de outros filtros de exclusão (como utilizar-notlike)
,inotlike
, etc. num filtro de permissões de pesquisa) para um limite de conformidade baseado em conteúdo. A utilização destes filtros de exclusão pode ter resultados inesperados se o conteúdo com atributos recentemente atualizados não tiver sido indexado.O respeito pelos limites de conformidade dos sites do OneDrive nas pesquisas pode ser afetado quando:
- Os sites (ou caixas de correio associadas) são movidos ou realojados
- A propriedade do OneDrive é reatribuída ou é adicionado mais do que um proprietário
- O nome do site do OneDrive foi mudado/foi novamente emitido
Mover um site do OneDrive pode alterar a propriedade do conteúdo e pode incluir a criação de uma caixa de correio de arbitragem. Quando estes recursos são movidos, é possível que os resultados da pesquisa de conteúdos estejam disponíveis em limites de conformidade. Quando um site do OneDrive é reatribuído, re-nomeado ou atribuído a mais do que um proprietário, é possível que os conteúdos destes sites estejam disponíveis para além dos limites de conformidade.
Os limites de conformidade das caixas de correio podem ser afetados quando:
- A caixa de correio não está associada a um utilizador licenciado (inclui utilizadores desativados ou eliminados)
- Uma caixa de correio não é gerida ou sincronizada a partir de Microsoft Entra ID
Além disso, existem vários tipos de caixas de correio que podem produzir conteúdo durante a pesquisa, independentemente dos limites de conformidade. Estes tipos de caixa de correio incluem:
- Caixa de Correio de Equipamento
- GuestMailUser
- LinkedMailbox
- RoomList
- RoomMailbox
- SchedulingMailbox
- SharedMailbox
- SystemMailbox
- TeamMailbox
Para se certificar de que a pesquisa respeita os limites de conformidade conforme esperado, poderá ter de atualizar as permissões e funções dos recursos movidos.
Mais informações
- Se uma caixa de correio for desativada ou eliminada de forma recuperável, o utilizador deixará de ser considerado dentro do limite de conformidade. Se tiver sido colocada uma suspensão na caixa de correio quando foi eliminada, o conteúdo preservado na caixa de correio continuará sujeito a um limite de conformidade ou filtro de permissões de pesquisa.
- Se forem implementados limites de conformidade e filtros de permissões de pesquisa para um utilizador, recomendamos que não elimine a caixa de correio de um utilizador e não a respetiva conta do OneDrive. Por outras palavras, se eliminar a caixa de correio de um utilizador, também deve remover a conta do OneDrive do utilizador, uma vez que mailbox_RecipientFilter é utilizado para impor o filtro de permissão de pesquisa para o OneDrive.
- Os limites de conformidade e os filtros de permissões de pesquisa dependem de atributos carimbados em conteúdos no Exchange, OneDrive e SharePoint e na indexação subsequente deste conteúdo carimbado.
Perguntas frequentes
Quem pode criar e gerir filtros de permissões de pesquisa (com New-ComplianceSecurityFilter e Set-ComplianceSecurityFilter cmdlets)?
Para criar, ver e modificar filtros de permissões de pesquisa, tem de ser membro do grupo de funções Gestão da Organização no portal de conformidade.
Se um gestor de Deteção de Dados Eletrónicos for atribuído a mais do que um grupo de funções que abrange várias agências, como é que procuram conteúdos numa agência ou noutra?
O gestor de Deteção de Dados Eletrónicos pode adicionar parâmetros à consulta de pesquisa que restringem a pesquisa a uma agência específica. Por exemplo, se uma organização tiver especificado a propriedade CustomAttribute10 para diferenciar as agências, pode acrescentar o seguinte à consulta de pesquisa para procurar caixas de correio e contas do OneDrive numa agência específica: CustomAttribute10:<value>
.
O que acontece se o valor do atributo utilizado como atributo de compatibilidade num filtro de permissões de pesquisa for alterado?
Um filtro de permissões de pesquisa demora até três dias a impor o limite de conformidade se o valor do atributo utilizado no filtro for alterado. Por exemplo, no cenário da Contoso, digamos que um utilizador na agência Fourth Coffee é transferido para a agência Coho Winery. Como resultado, o valor do atributo Departamento no objeto de utilizador é alterado de FourthCoffee para CohoWinery. Nesta situação, a Quarta Deteção de Dados Eletrónicos de Café e os investidores obterão resultados de pesquisa para esse utilizador até três dias após a alteração do atributo. Da mesma forma, demora até três dias até que os gestores de Deteção de Dados Eletrónicos da Coho Winery e os investigadores obtenham resultados de pesquisa para o utilizador.
Um gestor de Deteção de Dados Eletrónicos pode ver o conteúdo de dois limites de conformidade separados?
Sim, isto pode ser feito ao procurar caixas de correio do Exchange ao adicionar o gestor de Deteção de Dados Eletrónicos a grupos de funções que têm visibilidade para ambas as agências. No entanto, ao pesquisar sites do SharePoint e contas do OneDrive, um gestor de Deteção de Dados Eletrónicos só pode procurar conteúdos em diferentes limites de conformidade se as agências estiverem na mesma região ou localização geográfica. Nota: Esta limitação para sites não se aplica na Deteção de Dados Eletrónicos (Premium), porque a pesquisa de conteúdos no SharePoint e no OneDrive não está vinculada por localização geográfica.
Os filtros de permissões de pesquisa funcionam para retenções de casos de Deteção de Dados Eletrónicos, políticas de retenção do Microsoft 365 ou DLP?
Não no momento.
Se especificar uma região para controlar onde o conteúdo é exportado, mas não tenho uma organização do SharePoint nessa região, posso continuar a procurar no SharePoint?
Se a região especificada no filtro de permissões de pesquisa não existir na sua organização, a região predefinida é pesquisada.
Qual é o número máximo de filtros de permissões de pesquisa que podem ser criados numa organização?
Não há limite para o número de filtros de permissões de pesquisa que podem ser criados em uma organização. No entanto, uma consulta de pesquisa pode ter no máximo 100 condições. Neste caso, uma condição é definida como algo que está ligado à consulta por um operador Booleano (como AND, OR e NEAR). O limite do número de condições inclui a própria consulta de pesquisa e todos os filtros de permissões de pesquisa que são aplicados ao utilizador que executa a pesquisa. Portanto, mais filtros de permissões de pesquisa você tem (especialmente se esses filtros forem aplicados ao mesmo usuário ou grupo de usuários), maior será a chance de exceder o número máximo de condições para uma pesquisa.
Para compreender como funciona este limite, tem de compreender que um filtro de permissões de pesquisa é anexado à consulta de pesquisa quando uma pesquisa é executada. Um filtro de permissões de pesquisa é associado à consulta de pesquisa pelo operador E Booleano. A lógica de consulta para a consulta de pesquisa e um único filtro de permissões de pesquisa teria o seguinte aspeto:
<SearchQuery> AND <PermissionsFilter>
Vários filtros de permissões de pesquisa são combinados pelo operador BOOleano OR e, em seguida, essas condições são ligadas à consulta de pesquisa pelo operador AND .
A lógica de consulta para a consulta de pesquisa e vários filtros de permissões de pesquisa teria o seguinte aspeto:
<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)
É possível que a própria consulta de pesquisa possa consistir em várias condições ligadas por operadores booleanos. Cada condição na consulta de pesquisa também contaria com o limite de 100 condições.
Além disso, o número de filtros de permissões de pesquisa anexados a uma consulta depende do utilizador que está a executar a pesquisa. Quando um utilizador específico executa uma pesquisa, os filtros de permissões de pesquisa que são aplicados ao utilizador (que é definido pelo parâmetro Utilizadores no filtro) são anexados à consulta. A sua organização pode ter centenas de filtros de permissões de pesquisa, mas se forem aplicados mais de 100 filtros aos mesmos utilizadores, é provável que o limite de 100 condições seja excedido quando esses utilizadores executarem pesquisas.
Há mais uma coisa a ter em conta sobre o limite de condições. O número de sites específicos do SharePoint incluídos na consulta de pesquisa ou nos filtros de permissões de pesquisa também é contabilizado neste limite.
Para impedir que a sua organização atinja o limite de condições, mantenha o número de filtros de permissões de pesquisa na sua organização para poucos para satisfazer os seus requisitos empresariais.