配置搜索权限筛选
搜索权限筛选使组织的电子数据展示管理器能够仅搜索组织中的一部分邮箱和网站。 权限筛选功能还可让该电子数据展示管理员仅搜索满足特定搜索条件的邮箱或站点内容。 例如:
- 可能会让电子数据展示管理员仅搜索特定位置或部门的用户的邮箱。 为此,请创建一个筛选器,该筛选器使用受支持的收件人筛选器来限制特定用户或用户组可以搜索的邮箱。
- 还可创建一个筛选器,指定用户可以搜索的邮箱内容。 为此,可以创建使用可搜索邮件属性的筛选器。
- 可以让电子数据展示管理器仅搜索组织中的特定 SharePoint 网站。 为此,可以创建一个筛选器来限制可以搜索的网站。
- 您还可以创建指定可以搜索哪些站点内容的筛选器。 为此,请创建使用可搜索网站属性的筛选器。
在 Microsoft Purview 合规性门户中使用其任何搜索功能查找内容时,将应用搜索权限筛选器:
- 内容搜索
- Microsoft Purview 电子数据展示(标准版)
- Microsoft Purview 电子数据展示(高级版)
将搜索权限筛选器应用于特定用户时,该用户可以执行以下与搜索相关的操作:
- 搜索内容
- 预览搜索结果
- 导出搜索结果
- 清除搜索返回的项目
还可以使用搜索权限筛选在组织内创建逻辑边界(称为合规性边界)。 这些边界控制特定电子数据展示管理器可以搜索的用户内容位置(如邮箱、SharePoint 网站和 OneDrive 帐户)。 有关详细信息,请参阅为电子数据展示调查设置合规性边界。
下图显示了如何使用合规性安全筛选器来创建合规性边界。
安全性与合规性 PowerShell 模块中的以下四个 cmdlet 使组织能够配置和管理搜索权限筛选器:
| Cmdlet | 说明 |
|---|---|
| New-ComplianceSecurityFilter | 使用此 cmdlet 可创建新的搜索权限筛选器。 |
| Get-ComplianceSecurityFilters | 使用此 cmdlet 可返回搜索权限筛选器的列表。 |
| Set-ComplianceSecurityFilter | 使用此 cmdlet 可修改现有的搜索权限筛选器。 |
| Remove-ComplianceSecurityFilter | 使用此 cmdlet 可删除搜索筛选器。 |
配置权限筛选的要求
组织必须满足以下要求,才能配置权限筛选:
- 如果要运行合规性安全筛选器 cmdlet,你必须是合规性门户中组织管理角色组的成员。
- 必须连接到 Exchange Online PowerShell 模块和安全性与合规性 PowerShell 模块,才能使用合规性安全筛选器 cmdlet。 此要求是必需的,因为这些 cmdlet 访问邮箱属性。
- 搜索权限筛选适用于非活动邮箱。 因此,可以使用邮箱和邮箱内容筛选来限制可搜索非活动邮箱的人员。
- 搜索权限筛选不能用于限制谁可以在 Exchange 中搜索公用文件夹。
- 可在组织中创建的搜索权限筛选器的数量没有限制。 但是,搜索查询最多可以有 100 个条件。 在这种情况下,条件定义为通过布尔运算符(例如 AND、OR 和 NEAR)所连接的查询内容。 条件数的限制包括搜索查询本身以及应用于运行搜索的用户的所有搜索权限筛选器。 因此,拥有的搜索权限筛选器越多(尤其是在将这些筛选器应用于同一用户或用户组时),越有可能超出搜索的最大条件数。 如果要防止组织达到条件限制,请将组织中的搜索权限筛选器数量尽可能少,以满足业务要求。 有关详细信息,请参阅为电子数据展示调查设置合规性边界。
New-ComplianceSecurityFilter
New-ComplianceSecurityFilter 用于创建搜索权限筛选器。 下面是此 cmdlet 的基本语法:
New-ComplianceSecurityFilter -FilterName <name of filter> -Users <user or role group> -Filters <filter>
以下部分介绍此 cmdlet 的参数。 创建搜索权限筛选器需要所有参数。
FilterName
FilterName 参数指定权限筛选器的名称。 在使用 Get-ComplianceSecurityFilter、Set-ComplianceSecurityFilter 和 Remove-ComplianceSecurityFilter 时,此名称可用于标识筛选器。
筛选器
Filters 参数指定合规性安全筛选器的搜索条件。 您可以创建三种不同类型的筛选器:
邮箱或 OneDrive 筛选。 这种类型的筛选器指定分配的用户(通过 Users 参数指定)可以搜索的邮箱和 OneDrive 账户。 这种类型的筛选器称为内容位置筛选器,因为它定义了用户可以搜索的内容位置。
这种类型的筛选器的语法是 Mailbox_ MailboxPropertyName,其中 MailboxPropertyName 指定用于限制可以搜索的邮箱和 OneDrive 账户范围的邮箱属性。 例如,邮箱筛选器 "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" 允许分配了此筛选器的用户仅搜索在 CustomAttribute10 属性中具有值“OttawaUsers”的邮箱和 OneDrive 账户。
任何受支持的可筛选收件人属性都可以用于邮箱或 OneDrive 筛选器中的 MailboxPropertyName 属性。 下表列出了用于创建邮箱或 OneDrive 筛选器的四个常用收件人属性。 该表还包括在筛选器中使用属性的示例。
属性名称 示例 别名 "Mailbox_Alias -like 'v-'" 公司 "Mailbox_Company -eq 'Contoso'" CountryOrRegion "Mailbox_CountryOrRegion -eq 'United States'" 部门 "Mailbox_Department -eq 'Finance'" 邮箱内容筛选。 将在可搜索的内容上应用这种类型的筛选器。 此类筛选器称为内容筛选器,因为它指定分配的用户可以搜索的邮箱内容或可搜索的电子邮件属性。
这种类型的筛选器的语法是 MailboxContent__SearchablePropertyName,其中 SearchablePropertyName 指定可以在搜索中指定的关键字查询语言 (KQL) 属性。 例如,邮箱内容筛选器 "MailboxContent_Recipients -like 'contoso.com'" 将允许分配了此筛选器的用户仅搜索发送到 contoso.com 域中的收件人的邮件。
有关可搜索电子邮件属性的列表,请参阅电子数据展示的关键字查询和搜索条件。
重要
单个搜索筛选器不能包含邮箱筛选器和邮箱内容筛选器。 如果要将这两个筛选器合并为单个筛选器,必须使用筛选器列表。 但筛选器可以包含相同类型的更复杂的查询。 例如,"Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"
站点和站点内容筛选。 有两个与 SharePoint 和 OneDrive 相关的筛选器,可用于指定分配的用户可以搜索的网站或网站内容。
- Site_SearchableSiteProperty
- SiteContent_SearchableSiteProperty
这两个筛选器可互换。 例如, "Site_Path -like 'https://contoso.sharepoint.com/sites/doctors'" 和 "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'" 返回相同的结果。 有关可搜索网站属性的列表,请参阅电子数据展示的关键字查询和搜索条件 有关更完整的列表,请参阅 SharePoint 中的已爬网属性和托管属性概述。 “可查询”列中标记为“是”的属性可用于创建网站或网站内容筛选器。
重要
使用受支持的属性之一设置站点筛选器并不意味着筛选器中的站点属性将传播到该站点上的所有文档。 相反,这意味着用户仍负责填充与该网站上的文档关联的特定属性字段,以便使网站筛选器能够正常工作并捕获正确的内容。
例如,假设用户应用了安全筛选器 "Site_RefineableString00 -eq 'abc'"。 然后,用户使用关键字查询 "xyz" 运行搜索。 安全筛选器将追加到查询中,运行的实际查询将是 "xyz AND RefineableString0:'abc'"。 用户需要确保站点上的文档在 RefineableString00 字段中确实具有 "abc" 值。 否则,搜索查询不会返回任何结果。
为搜索权限筛选器配置 Filters 参数时,请记住以下注意事项:
与邮箱不同,网站没有内容位置筛选器,即使网站筛选器看起来像位置筛选器。 SharePoint 和 OneDrive 的所有筛选器都是内容筛选器 (这也是 Site_ 和 SiteContent_ 筛选器) 可互换的原因。
为什么? 因为与网站相关的属性(如 Path )直接在文档上标记。 这是 SharePoint 设计方式的结果。 在 SharePoint 中,没有具有属性的“网站对象”,就像 Exchange 邮箱中那样。 因此, Path 属性在文档上标记,并包含文档所在的网站的 URL。 因此,网站筛选器被视为内容筛选器,而不是内容位置筛选器。
组织必须创建搜索权限筛选器,以显式阻止用户搜索特定服务中的内容位置(例如阻止用户搜索任何 Exchange 邮箱或任何 SharePoint 网站)。 换而言之,创建允许用户搜索组织中所有 SharePoint 网站的搜索权限筛选器不会阻止该用户搜索邮箱。
例如,如果要允许 SharePoint 管理员仅搜索 SharePoint 网站,必须创建阻止他们搜索邮箱的筛选器。 同样,如果要允许 Exchange 管理员仅搜索邮箱,必须创建阻止其搜索网站的筛选器。
用户
Users 参数指定将此筛选器应用于其搜索的用户。 用户可以通过其别名或主 SMTP 地址进行标识。 可以指定用逗号分隔的多个值。 还可以使用 All 值,将筛选器分配给所有用户。
还可以使用 Users 参数指定合规性门户角色组。 通过执行此操作,可以创建自定义角色组,然后为该角色组分配搜索权限筛选器。
例如,假设您具有一家跨国公司美国子公司的电子数据展示管理员自定义角色组。 可以使用 Users 参数指定此角色组(通过使用角色组的“Name”属性)。 然后,可以使用 Filter 参数仅允许搜索美国境内的邮箱。 不能使用此参数指定通讯组。
创建搜索权限筛选器的示例
本部分提供使用 New-ComplianceSecurityFilter cmdlet 创建搜索权限筛选器的示例。
此示例允许“US Discovery Manager”角色组的成员仅搜索美国境内的邮箱和 OneDrive 帐户。
New-ComplianceSecurityFilter -FilterName USDiscoveryManagers -Users "US Discovery Managers" -Filters "Mailbox_CountryOrRegion -eq 'United States'"
此示例允许用户 "annb@contoso.com" 仅对加拿大境内的邮箱和 OneDrive 帐户执行搜索操作。 此筛选器包含 ISO 3166-1 标准的加拿大三位数字国家/地区代码。
New-ComplianceSecurityFilter -FilterName CountryFilter -Users annb@contoso.com -Filters "Mailbox_CountryCode -eq '124'"
此示例允许用户 donh 和 suzanf 仅搜索 CustomAttribute1 邮箱属性中具有值“Marketing”的邮箱和 OneDrive 账户。
New-ComplianceSecurityFilter -FilterName MarketingFilter -Users donh,suzanf -Filters "Mailbox_CustomAttribute1 -eq 'Marketing'"
此示例允许“Fourth Coffee 电子数据展示管理器”角色组的成员仅搜索具有部门邮箱属性值“FourthCoffee”的邮箱和 OneDrive 帐户。 筛选器还允许角色组成员在 Fourth Coffee SharePoint 网站中搜索文档。
New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'"
注意
在前面的示例中,必须包含一个额外的网站内容筛选器(SiteContent_Path-like 'https://contoso-my.sharepoint.com/personal'),以便角色组成员可以在 OneDrive 帐户中搜索文档。 如果未包括此筛选器,筛选器将只允许角色组成员搜索位于 https://contoso.sharepoint.com/sites/FourthCoffee中的文档。
本示例允许电子数据展示管理器角色组中的成员仅搜索渥太华用户通讯组的成员邮箱和 OneDrive 账户。 Exchange Online PowerShell 中的 Get-DistributionGroup cmdlet 用于查找渥太华用户组的成员。
$DG = Get-DistributionGroup "Ottawa Users"
New-ComplianceSecurityFilter -FilterName DGFilter -Users eDiscoveryManager -Filters "Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"
此示例阻止任何用户对执行团队通讯组成员的邮箱和 OneDrive 帐户执行搜索操作。 这意味着用户可以从这些邮箱中删除内容。 Exchange Online PowerShell 中的 Get-DistributionGroup cmdlet 用于查找执行团队组的成员。
$DG = Get-DistributionGroup "Executive Team"
New-ComplianceSecurityFilter -FilterName NoExecutivesPreview -Users All -Filters "Mailbox_MemberOfGroup -ne '$($DG.DistinguishedName)'"
此示例允许 OneDrive 电子数据展示管理器自定义角色组的成员仅搜索组织中 OneDrive 帐户中的内容。
New-ComplianceSecurityFilter -FilterName OneDriveOnly -Users "OneDrive eDiscovery Managers" -Filters "SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'"
此示例将用户限制为仅对 2020 日历年发送的电子邮件执行搜索操作。
New-ComplianceSecurityFilter -FilterName EmailDateRestrictionFilter -Users donh@contoso.com -Filters "MailboxContent_Received -ge '01-01-2020' -and MailboxContent_Received -le '12-31-2020'"
与上一示例类似,此示例将用户限制为仅对日历年 2020 年某个时间上次更改的文档执行搜索操作。
New-ComplianceSecurityFilter -FilterName DocumentDateRestrictionFilter -Users donh@contoso.com -Filters "SiteContent_LastModifiedTime -ge '01-01-2020' -and SiteContent_LastModifiedTime -le '12-31-2020'"
此示例阻止“OneDrive 发现管理器”角色组的成员对组织中的任何邮箱执行搜索操作。
New-ComplianceSecurityFilter -FilterName NoEXO -Users "OneDrive Discovery Managers" -Filters "Mailbox_Alias -notlike '*'"
此示例阻止组织中的任何人对“chriss”或“sarad”发送或接收的电子邮件执行搜索操作。
New-ComplianceSecurityFilter -FilterName NoSaraJanet -Users All -Filters "MailboxContent_Participants -notlike 'janets@contoso.onmicrosoft.com' -and MailboxContent_Participants -notlike 'sarad@contoso.onmicrosoft.com'"
此示例使用筛选器列表来合并邮箱和网站筛选器。 在此示例中,邮箱筛选器是内容位置筛选器,网站筛选器是内容筛选器。
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery'"
知识检查
为以下每个问题选择最佳答案。