Configurar a filtragem de permissões da pesquisa

Concluído

A filtragem de permissões de pesquisa permite que o gerente de Descoberta Eletrônica de uma organização pesquise apenas um subconjunto de caixas de correio e sites na organização. Você também pode usar permissões de filtragem para que esse mesmo gerente de Descoberta Eletrônica procure somente o conteúdo da caixa de correio ou site que atende aos critérios de pesquisa específicos. Por exemplo:

  • Por exemplo, você pode permitir que um gerente de Descoberta Eletrônica pesquise apenas as caixas de correio de usuários em um local ou departamento específico. Você faz isso criando um filtro que usa um filtro de destinatário com suporte para limitar quais caixas de correio um usuário ou grupo específico de usuários pode pesquisar.
  • Você também pode criar um filtro que especifica qual conteúdo de caixa de correio pode ser pesquisado. Isso é feito criando um filtro que usa uma propriedade de mensagem pesquisável.
  • Você pode permitir que um gerente de Descoberta Eletrônica pesquise apenas sites específicos do SharePoint em sua organização. Você pode fazer isso criando um filtro que limita qual site pode ser pesquisado.
  • Você também pode criar um filtro que especifica qual conteúdo de site pode ser pesquisado. Isso é feito criando um filtro que usa uma propriedade de site pesquisável.

Os filtros de permissões de pesquisa são aplicados quando você pesquisa conteúdo na porta de conformidade do Microsoft Purview usando qualquer um de seus recursos de pesquisa:

  • Pesquisa de conteúdo
  • Descoberta Eletrônica do Microsoft Purview (Standard)
  • Descoberta Eletrônica do Microsoft Purview (Premium)

Quando um filtro de permissões de pesquisa é aplicado a um usuário específico, esse usuário pode executar as seguintes ações relacionadas à pesquisa:

  • Pesquisar conteúdo
  • Visualização de resultados de pesquisa
  • Exportar resultados da pesquisa
  • Limpar itens retornados por uma pesquisa

Você também pode usar a filtragem de permissões de pesquisa para criar limites lógicos chamados de limites de conformidade) dentro da organização. Esses limites controlam os locais de conteúdo do usuário (como caixas de correio, sites do SharePoint e contas do OneDrive) que os gerentes de Descoberta Eletrônica específicos podem pesquisar. Para obter mais informações, consulte Configurar limites de conformidade para investigações de Descoberta Eletrônica.

O diagrama a seguir mostra como os filtros de segurança de conformidade são usados para criar limites de conformidade.

Diagrama mostrando como os filtros de segurança de conformidade são usados para criar limites de conformidade.

Os quatro cmdlets a seguir no módulo Segurança e Conformidade do PowerShell permitem que as organizações configurem e gerenciem filtros de permissões de pesquisa:

Cmdlet Descrição
New-ComplianceSecurityFilter Esse cmdlet cria um novo filtro de permissões de pesquisa.
Get-ComplianceSecurityFilters Este cmdlet retorna uma lista de filtros de permissões de pesquisa.
Set-ComplianceSecurityFilter Esse cmdlet modifica um filtro de permissões de pesquisa existente.
Remove-ComplianceSecurityFilter Esse cmdlet exclui um filtro de pesquisa.

Requisitos para configurar a filtragem de permissões

A organização deve atender aos seguintes requisitos antes de configurar a filtragem de permissões:

  • Para executar os cmdlets de filtro de segurança de conformidade, você deve ser um membro do grupo de funções de Gerenciamento da Organização no portal de conformidade.
  • Você precisa se conectar ao módulo do PowerShell do Exchange Online e ao módulo do PowerShell de Segurança e Conformidade para usar os cmdlets de filtro de segurança de conformidade. Esse requisito é necessário porque esses cmdlets acessam as propriedades da caixa de correio.
  • A filtragem de permissões de pesquisa é aplicável a caixas de correio inativas. Dessa forma, você pode usar a filtragem de conteúdo de caixa de correio e caixa de correio para limitar quem pode pesquisar uma caixa de correio inativa.
  • A filtragem de permissões de pesquisa não pode ser usada para limitar quem pode pesquisar pastas públicas no Exchange.
  • Não há limite para o número de filtros de permissões de pesquisa que podem ser criados em uma organização. No entanto, uma consulta de pesquisa pode ter no máximo 100 condições. Nesse caso, uma condição é definida como algo conectado à consulta por um operador booliano (como AND, OR e NEAR). O limite para o número de condições inclui a própria consulta de pesquisa, além de todos os filtros de permissões de pesquisa aplicados ao usuário que executa a pesquisa. Portanto, mais filtros de permissões de pesquisa você tem (especialmente se esses filtros forem aplicados ao mesmo usuário ou grupo de usuários), maior será a chance de exceder o número máximo de condições para uma pesquisa. Para impedir que sua organização atinja o limite de condições, mantenha o número de filtros de permissões de pesquisa em sua organização para o mínimo possível para atender aos seus requisitos de negócios. Para obter mais informações, consulte Como configurar limites de conformidade para investigações de Descoberta Eletrônica.

New-ComplianceSecurityFilter

O New-ComplianceSecurityFilter é usado para criar um novo filtro de permissões de pesquisa. Esta é a sintaxe básica para este cmdlet:

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <user or role group> -Filters <filter>

As seções a seguir descrevem os parâmetros para este cmdlet. Todos os parâmetros são necessários para criar um filtro de permissões de pesquisa.

FilterName

O parâmetro FilterName especifica o nome do filtro de permissões. Esse nome é usado para identificar um filtro ao usar os seguintes cmdlets: Get-ComplianceSecurityFilter, Set-ComplianceSecurityFilter e Remove-ComplianceSecurityFilter.

Filtros

O parâmetro Filters especifica os critérios de pesquisa para o filtro de segurança de conformidade. Você pode criar três tipos diferentes de filtros:

  • Filtragem de Caixa de Correio ou OneDrive. Este tipo de filtro especifica as caixas de correio que os usuários atribuídos (especificados pelo parâmetro Users) podem pesquisar. Esse tipo de filtro é chamado de filtro de local de conteúdo porque define os locais de conteúdo que um usuário pode pesquisar.

    A sintaxe para esse tipo de filtro é Mailbox_ MailboxPropertyName em que MailboxPropertyName especifica uma propriedade de caixa de correio usada para criar o escopo de caixas de correio que podem ser pesquisadas. Por exemplo, o filtro de caixa de correio "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" permitiria que o usuário atribuído por esse filtro pesquisasse apenas caixas de correio que tenham o valor "OttawaUsers" na propriedade CustomAttribute10.

    Qualquer propriedade de destinatário filtrável com suporte pode ser usada para a propriedade MailboxPropertyName em uma caixa de correio ou filtro do OneDrive. A tabela a seguir lista quatro propriedades de destinatário comumente usadas para criar uma caixa de correio ou um filtro do OneDrive. A tabela também inclui um exemplo de como usar a propriedade em um filtro.

    Nome da propriedade Exemplo
    Alias "Mailbox_Alias -like 'v-'"
    Empresa "Mailbox_Company -eq 'Contoso'"
    CountryOrRegion "Mailbox_CountryOrRegion -eq 'United States'"
    Department "Mailbox_Department -eq 'Finance'"
  • Filtragem de conteúdo de caixa de correio. Esse tipo de filtro é aplicado no conteúdo que pode ser pesquisado. Esse tipo de filtro é chamado de filtro de conteúdo porque especifica o conteúdo da caixa de correio ou as propriedades de email pesquisáveis que os usuários atribuídos podem pesquisar.

    A sintaxe desse tipo de filtro é MailboxContent__SearchablePropertyName, em que SearchablePropertyName especifica uma propriedade de Linguagem de Consulta de Palavras-chave (KQL) que pode ser especificada em uma pesquisa de conteúdo. Por exemplo, o filtro de conteúdo de caixa de correio MailboxContent_recipients:contoso.com permitiria que o usuário ao qual esse filtro foi atribuído procurasse somente as mensagens enviadas para os destinatários no domínio contoso.com.

    Para obter uma lista de propriedades de email pesquisáveis, consulte Consultas de palavra-chave e condições de pesquisa para Descoberta Eletrônica.

    Importante

    Um único filtro de pesquisa não pode conter um filtro de caixa de correio e um filtro de conteúdo de caixa de correio. Para combinar esses dois filtros em um único filtro, você deve usar uma lista de filtros. No entanto, um filtro pode conter uma consulta mais complexa do mesmo tipo. Por exemplo, "Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"

  • Site e filtragem de conteúdo de site. Há dois filtros relacionados ao SharePoint e ao OneDrive que você pode usar para especificar quais sites ou conteúdo de sites os usuários atribuídos podem pesquisar:

    • Site_SearchableSiteProperty
    • SiteContent_SearchableSiteProperty

    Esses dois filtros são intercambiáveis. Por exemplo, "Site_Path -like 'https://contoso.sharepoint.com/sites/doctors'" e "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'" retornam os mesmos resultados. Para obter uma lista de propriedades de site pesquisáveis, vejaConsultas de palavra-chave e condições de pesquisa para Descoberta Eletrônica. Para obter uma lista mais completa, consulte Visão geral das propriedades rastreadas e gerenciadas no SharePoint. As propriedades marcadas com um Sim na coluna Consultável podem ser usadas para criar um filtro de site ou de conteúdo de site.

    Importante

    Configurar um filtro de site com uma das propriedades com suporte não significa que a propriedade do site no filtro será propagada para todos os documentos nesse site. Em vez disso, significa que o usuário ainda é responsável por preencher os campos de propriedade específicos associados aos documentos nesse site para que o filtro de site funcione e capture o conteúdo correto.

    Por exemplo, vamos supor que o usuário tenha um filtro de segurança "Site_RefineableString00 -eq 'abc'" aplicado. Em seguida, o usuário executa uma pesquisa usando a consulta de palavra-chave "xyz". O filtro de segurança é acrescentado à consulta e a consulta real em execução seria "xyz AND RefineableString0:'abc'". O usuário precisa garantir que os documentos no site realmente tenham valores no campo RefineableString00 como "abc". Caso contrário, a consulta de pesquisa não retornará nenhum resultado.

Lembre-se das seguintes considerações ao configurar o parâmetro Filters para filtros de permissões de pesquisa:

  • Ao contrário das caixas de correio, não há um filtro de local de conteúdo para sites, embora o filtro Site se pareça com um filtro de localização. Todos os filtros para o SharePoint e o OneDrive são filtros de conteúdo ( é por isso também que os filtrosSite_ e SiteContent_ são intercambiáveis).

    Por quê? Porque as propriedades relacionadas ao site, como Path, são marcadas diretamente nos documentos. É um resultado da maneira como o SharePoint foi projetado. No SharePoint, não há um "objeto de site" com propriedades, como há com caixas de correio do Exchange. Portanto, a propriedade Path é carimbada no documento e contém a URL do site onde o documento está localizado. Como resultado, um filtro de Site é considerado um filtro de conteúdo e não um filtro de local de conteúdo.

  • As organizações devem criar um filtro de permissões de pesquisa para impedir explicitamente que os usuários pesquisem locais de conteúdo em um serviço específico (como impedir que um usuário pesquise qualquer caixa de correio do Exchange ou qualquer site do SharePoint). Em outras palavras, a criação de um filtro de permissões de pesquisa que permite que um usuário pesquise todos os sites do SharePoint na organização não impede que esse usuário pesquise caixas de correio.

    Por exemplo, para permitir que os administradores do SharePoint pesquisem apenas sites do SharePoint, você deve criar um filtro que os impeça de pesquisar caixas de correio. Da mesma forma, para permitir que os administradores do Exchange pesquisem apenas caixas de correio, você deve criar um filtro que os impeça de pesquisar sites.

Usuários

O parâmetro Users especifica os usuários que têm este filtro aplicado a suas pesquisas de conteúdo. Os usuários podem ser identificados por seu alias ou endereço SMTP primário. Vários valores, separados por vírgulas, podem ser especificados. Você também pode atribuir o filtro a todos os usuários usando o valor All.

Você também pode usar o parâmetro Users para especificar um grupo de função do portal de conformidade. Isso permite que você crie um grupo de função personalizada e, em seguida, atribua esse grupo de função a um filtro de permissões de pesquisa.

Por exemplo, digamos que você tenha um grupo de função personalizada para gerentes de Descoberta Eletrônica para a subsidiária americana de uma multinacional. Você pode usar o parâmetro Users para especificar esse grupo de função (usando a propriedade Nome do grupo de função). Em seguida, você pode usar o parâmetro Filter para permitir que apenas caixas de correio nos EUA sejam pesquisadas. Você não pode especificar um grupo de distribuição com esse parâmetro.

Exemplos de criação de filtros de permissões de pesquisa

Estes são exemplos de como usar o cmdletNew-ComplianceSecurityFilter para criar um filtro de permissões de pesquisa.

Este exemplo permite que os membros do grupo de função "Gerentes de Descoberta dos EUA" pesquisem apenas as caixas de correio e as contas do OneDrive no Estados Unidos.

New-ComplianceSecurityFilter -FilterName USDiscoveryManagers -Users "US Discovery Managers" -Filters "Mailbox_CountryOrRegion -eq 'United States'"

Este exemplo permite que o usuário "annb@contoso.com" execute ações de pesquisa somente para caixas de correio e contas do OneDrive no Canadá. O filtro usa o código de país numérico de três dígitos para o Canadá da ISO 3166-1.

New-ComplianceSecurityFilter -FilterName CountryFilter -Users annb@contoso.com -Filters "Mailbox_CountryCode -eq '124'"

Este exemplo permite que os usuários "donh" e "suzanf" pesquisem apenas as caixas de correio que têm o valor "Marketing" para a propriedade de caixa de correio CustomAttribute1.

New-ComplianceSecurityFilter -FilterName MarketingFilter -Users donh,suzanf -Filters "Mailbox_CustomAttribute1 -eq 'Marketing'"

Este exemplo permite que os membros do grupo de função "Gerentes de Descoberta Eletrônica do Fourth Coffee" pesquisem apenas as caixas de correio e as contas do OneDrive que têm o valor "FourthCoffee" para a propriedade de caixa de correio Department. O filtro também permite que os membros do grupo de funções pesquisem documentos no site do SharePoint do Fourth Coffee .

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'"

Observação

No exemplo anterior, um filtro de conteúdo de site extra (SiteContent_Path -like "https://contoso-my.sharepoint.com/personal") deve ser incluído para que os membros do grupo de funções possam pesquisar documentos em contas do OneDrive. Se esse filtro não estiver incluído, o filtro só permitirá que os membros do grupo de funções pesquisem documentos localizados em https://contoso.sharepoint.com/sites/FourthCoffee.

Este exemplo permite que os membros do grupo de função Gerente de Descoberta Eletrônica pesquisem apenas as caixas de correio dos membros do grupo de distribuição Usuários de Ottawa. O cmdlet Get-DistributionGroup no PowerShell do Exchange Online é usado para localizar os membros do grupo Usuários de Ottawa.

$DG = Get-DistributionGroup "Ottawa Users"
New-ComplianceSecurityFilter -FilterName DGFilter -Users eDiscoveryManager -Filters "Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"

Este exemplo impede que qualquer usuário execute ações de pesquisa nas caixas de correio e nas contas do OneDrive de membros do grupo de distribuição da Equipe Executiva. Isso significa que os usuários podem excluir o conteúdo dessas caixas de correio. O cmdlet Get-DistributionGroup no PowerShell do Exchange Online é usado para localizar os membros do grupo de Equipe Executiva.

$DG = Get-DistributionGroup "Executive Team"
New-ComplianceSecurityFilter -FilterName NoExecutivesPreview -Users All -Filters "Mailbox_MemberOfGroup -ne '$($DG.DistinguishedName)'"

Este exemplo permite que os membros do grupo de funções personalizado Gerentes de descoberta eletrônica do OneDrive pesquisem apenas o conteúdo em contas do OneDrive na organização.

New-ComplianceSecurityFilter -FilterName OneDriveOnly -Users "OneDrive eDiscovery Managers" -Filters "SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'"

Esse exemplo restringe o usuário a executar todas as ações de Pesquisa de Conteúdo somente em mensagens de email enviadas durante o ano de 2020.

New-ComplianceSecurityFilter -FilterName EmailDateRestrictionFilter -Users donh@contoso.com -Filters "MailboxContent_Received -ge '01-01-2020' -and MailboxContent_Received -le '12-31-2020'"

Semelhante ao exemplo anterior, este exemplo restringe o usuário a executar todas as ações de pesquisa de conteúdo em documentos alterados pela última vez em algum ponto no ano de 2020.

New-ComplianceSecurityFilter -FilterName DocumentDateRestrictionFilter -Users donh@contoso.com -Filters "SiteContent_LastModifiedTime -ge '01-01-2020' -and SiteContent_LastModifiedTime -le '12-31-2020'"

Esse exemplo impede que os membros do grupo de função "Gerenciadores de Descoberta do OneDrive" executem ações de pesquisa em qualquer caixa de correio na organização.

New-ComplianceSecurityFilter -FilterName NoEXO -Users "OneDrive Discovery Managers" -Filters "Mailbox_Alias -notlike '*'"

Este exemplo impede que qualquer pessoa na organização execute ações de pesquisa em mensagens de email que foram enviadas ou recebidas por "janets" or "sarad".

New-ComplianceSecurityFilter -FilterName NoSaraJanet -Users All -Filters "MailboxContent_Participants -notlike 'janets@contoso.onmicrosoft.com' -and MailboxContent_Participants -notlike 'sarad@contoso.onmicrosoft.com'"

Este exemplo usa uma lista de filtros para combinar filtros de caixa de correio e de site. Neste exemplo, o filtro de caixa de correio é um filtro de local de conteúdo e o filtro de site é um filtro de conteúdo.

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery'"

Verificação de conhecimentos

Escolha a melhor resposta para as perguntas abaixo.

Verifique seu conhecimento

1.

Como administrador corporativo da Northwind Traders, Pedro Tavares deseja executar cmdlets de filtro de segurança de conformidade no Windows PowerShell. Qual das seguintes é uma etapa que Pedro deve concluir para executar esses cmdlets?