設定搜尋權限篩選
搜尋權限篩選條件可讓組織的電子文件探索管理員僅搜尋組織中的信箱子集和網站子集。 權限篩選器也能讓該名電子文件探索管理員僅搜尋符合特定搜尋準則的信箱或網站內容。 例如:
- 您可以讓電子文件探索管理員僅搜尋特定位置或部門中的使用者信箱。 若要這麼做,您可以建立使用支援收件者篩選條件的篩選器,來限制特定使用者或使用者群組可以搜尋的信箱。
- 您也可以建立篩選器來指定使用者可搜尋的信箱內容。 要完成這個動作,您需要建立一個會使用可搜尋訊息屬性的篩選器。
- 您可以讓電子文件探索管理員僅搜尋組織中的特定 SharePoint 網站。 要完成這個動作,您需要建立一個會限制可搜尋網站的篩選器。
- 您也可以建立篩選器,指定可搜尋的網站內容。 要完成這個動作,您需要建立一個會使用可搜尋網站屬性的篩選器。
當您在 Microsoft Purview 合規性入口網站使用該網站的任何搜尋功能來搜尋內容時,會套用搜尋權限篩選條件:
- 內容搜尋
- Microsoft Purview 電子文件探索 (標準版)
- Microsoft Purview 電子文件探索 (進階版)
當搜尋權限篩選條件套用至特定使用者時,該使用者可以執行下列與搜尋相關的動作:
- 搜尋內容
- 預覽搜尋結果
- 匯出搜尋結果
- 清除搜尋所傳回的項目
您也可以使用搜尋權限篩選條件來建立組織內的邏輯界限 (被稱為 合規性界限)。 這些界限會控制特定電子文件探索管理員可以搜尋的使用者內容位置 (例如信箱、SharePoint 網站和 OneDrive 帳戶)。 如需詳細資訊,請參閱為電子文件探索調查設定合規性界限。
下圖顯示如何使用合規性安全性篩選器來建立合規性界限。
下列四個安全性與合規性 PowerShell 模組中的 Cmdlet 可讓組織設定和管理搜尋權限篩選條件:
| 指令程式 | 描述 |
|---|---|
| New-ComplianceSecurityFilter | 此 Cmdlet 會建立新的搜尋權限篩選器。 |
| Get-ComplianceSecurityFilters | 此 Cmdlet 會傳回搜尋權限篩選器的清單。 |
| Set-ComplianceSecurityFilter | 此 Cmdlet 會修改現有的搜尋權限篩選器。 |
| Remove-ComplianceSecurityFilter | 此 Cmdlet 會刪除搜尋篩選條件。 |
設定權限篩選條件的需求
組織必須先滿足下列需求,才能設定權限篩選條件:
- 若要執行合規性安全性篩選器 Cmdlet,您必須是合規性入口網站中組織管理角色群組的成員。
- 您必須連線到 Exchange Online PowerShell 模組和安全性與合規性 PowerShell 模組,才能使用合規性安全性篩選器 Cmdlet。 這項需求是必要的,因為這些 Cmdlet 會存取信箱屬性。
- 搜尋權限篩選器適用于閒置中的信箱。 因此,您可以使用信箱和信箱內容篩選條件來限制可搜尋閒置中信箱的人員。
- 搜尋權限篩選條件無法用來限制可在 Exchange 中搜尋公用資料夾的人員。
- 並無限制可在組織中建立的搜尋權限篩選器數目。 不過,搜尋查詢最多可以有 100 個條件。 在此情況下,條件會被定義為「被布林值運算子連線至查詢的東西」 (例如 AND、OR 和 NEAR)。 條件數目限制包括搜尋查詢本身,以及套用至運作搜尋之使用者的所有搜尋權限篩選條件。 因此,您的搜尋權限篩選條件越多 (特別是當這些篩選條件套用至相同的使用者或使用者群組時),超過搜尋條件數目上限的機會就越高。 若要防止組織達到條件限制,請盡可能將組織中的搜尋權限篩選條件數量保持得越少越好,以滿足您的商業需求。 如需詳細資訊,請參閱為電子文件探索調查設定合規性界限。
New-ComplianceSecurityFilter
New-ComplianceSecurityFilter被用來建立搜尋權限篩選器。 以下是此 Cmdlet 的基本語法:
New-ComplianceSecurityFilter -FilterName <name of filter> -Users <user or role group> -Filters <filter>
以下章節說明此 Cmdlet 的參數。 建立搜尋權限篩選器需要用到所有參數。
FilterName
FilterName 參數會指定權限篩選器的名稱。 當使用Get-ComplianceSecurityFilter、Set-ComplianceSecurityFilter和Remove-ComplianceSecurityFilter Cmdlet 時,此名稱用來識別篩選器。
篩選
Filters 參數會指定符合性安全性篩選器的搜尋準則。 您可以建立三個不同類型的篩選器:
信箱或 OneDrive 篩選條件。 這種篩選器會指定受指派的使用者 (由 Users 參數指定) 可以搜尋的信箱和 OneDrive 帳戶。 這種類型的篩選器被稱為內容位置篩選器,因為它會定義使用者可以搜尋的內容位置。
此類型篩選器的語法是Mailbox_MailboxPropertyName,其中MailboxPropertyName負責指定信箱屬性,將可搜尋的信箱和 OneDrive 帳戶框入範圍。 例如,信箱篩選器「Mailbox_CustomAttribute10 -eq ‘OttawaUsers'」允許獲指派此篩選條件的使用者只搜尋在 CustomAttribute10 屬性中具有值「OttawaUsers」的信箱。
任何支援的可篩選收件者屬性都可以用於信箱中的 MailboxPropertyName 屬性或 OneDrive 篩選器。 下表列出四個用來建立信箱或 OneDrive 篩選器時常用的收件者屬性。 該表格也包含在篩選中使用屬性的範例。
屬性名稱 範例 別名 「Mailbox_Alias -like 'v-'」 Company 「Mailbox_Company -eq 'Contoso'」 CountryOrRegion 「Mailbox_CountryOrRegion -eq 'United States'」 部門 「Mailbox_Department -eq 'Finance'」 信箱內容篩選條件。 此類型篩選器會套用到可搜尋的內容。 這種類型的篩選器被稱為內容篩選,因為它會指定獲指派的使用者可以搜尋的「信箱內容」或「可搜尋電子郵件屬性」。
此類型篩選器的語法是MailboxContent__SearchablePropertyName,其中SearchablePropertyName負責指定可以在搜尋中指定的關鍵字查詢語言 (KQL) 屬性。 例如,信箱內容篩選器「MailboxContent_recipients:contoso.com」可讓獲指派此篩選條件的使用者只搜尋傳送至“contoso.com”網域中收件者的郵件。
如需可搜尋電子郵件屬性的清單,請參閱電子文件探索的關鍵字查詢與搜尋條件。
重要事項
單一搜尋篩選器不能包含信箱篩選器和信箱內容篩選器。 若要將這兩個篩選器合併成單一篩選器,您必須使用篩選器清單。 不過篩選器可以包含類型相同但較複雜的查詢。 例如,"Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"
網站與網站內容篩選條件。 有兩個 SharePoint 和 OneDrive 相關的篩選器供您使用,以指定獲指派的使用者可搜尋哪些網站或網站內容。
- Site_SearchableSiteProperty
- SiteContent_SearchableSiteProperty
這兩個篩選器是可互換的。 例如,「Site_Path -like 'https://contoso.sharepoint.com/sites/doctors'」和「SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors'」會傳回相同的結果。 如要檢閱可搜尋網站屬性的清單,請參閱電子文件探索的關鍵字查詢與搜尋條件。如需更完整的清單,請參閱SharePoint 中已編目和受管理的概觀。 在 [可查詢] 欄中標示為 [是] 的內容可以用來建立網站或網站內容篩選器。
重要事項
使用其中一個支援的屬性來設定網站篩選器,並不表示篩選中的網站屬性會傳播到該網站的所有文件上。 相反地,這表示使用者仍然需要填入與該網站上文件相關聯的特定屬性欄位,以便網站篩選器能夠運作並擷取正確的內容。
例如,假設使用者已套用安全性篩選器 「Site_RefineableString00 -eq 'abc」。 接著,使用者會使用關鍵字查詢「xyz」來執行搜尋。 安全性篩選器會附加至查詢,而實際執行的查詢會是「xyz AND RefineableString0:’abc'」。 使用者必須確定網站上的文件在 RefineableString00 欄位中確實具有「abc」的值。 如果沒有,搜尋查詢將不會傳回任何結果。
設定搜尋權限篩選條件的Filters參數時,請記住下列考量:
不同于信箱,網站沒有內容位置篩選器,即使網站篩選器看起來就像是位置篩選器。 SharePoint 和 OneDrive 的所有篩選器都是內容篩選器 (因此Site_ 和 SiteContent_ 篩選條件可互換)。
為什麼? 因為Path之類的網站相關屬性會直接在文件上加上戳記。 這是 SharePoint 設計方式的結果。 在 SharePoint 中,並沒有 Exchange 信箱那種具有屬性的「網站物件」。 因此,Path 屬性的標記會被戳在文件上,並包含文件所在網站的 URL。 因此,網站篩選條件會被視為內容篩選器,而不是內容位置篩選器。
組織必須建立搜尋權限篩選器,以明確防止使用者在特定服務中搜尋內容位置 (例如防止使用者搜尋任何 Exchange 信箱或任何 SharePoint 網站)。 換句話說,建立可讓使用者搜尋組織中所有 SharePoint 網站的搜尋權限篩選條件並不會防止該使用者搜尋信箱。
例如,若要允許 SharePoint 管理員只搜尋 SharePoint 網站,您必須建立可防止他們搜尋信箱的篩選條件。 同樣地,若要允許 Exchange 系統管理員僅搜尋信箱,您必須建立可防止他們搜尋網站的篩選條件。
使用者
Users參數會指定將此篩選器套用至其內容搜尋的使用者。 可以透過使用者別名或其主要 SMTP 位址來識別使用者。 您可以指定多個以逗號分隔的值。 您可以使用值All將篩選器指派給所有使用者。
您也可以使用Users參數來指定合規性入口網站角色群組。 這可讓您建立自訂角色群組,然後為該角色群組指派搜尋權限篩選器。
例如,假設您有多國公司的美國子公司的 eDiscovery 管理員的自訂角色群組。 您可以透過使用角色群組的 Name 屬性來使用Users參數,以指定此角色群組。 您可以使用Filter參數來允許只有位於美國的信箱可被搜尋。 您不能使用此參數來無法指定通訊群組。|
建立搜尋權限篩選器的範例
此章節展示了使用New-ComplianceSecurityFilter Cmdlet 來建立搜尋權限篩選器的範例。
此範例允許「美國探索管理員」角色群組的成員僅搜尋美國的信箱和 OneDrive 帳戶。
New-ComplianceSecurityFilter -FilterName USDiscoveryManagers -Users "US Discovery Managers" -Filters "Mailbox_CountryOrRegion -eq 'United States'"
此範例允許使用者「annb@contoso.com」只對加拿大的信箱和 OneDrive 帳戶執行搜尋動作。 此篩選器包含根據 ISO 3166-1 的三位數數字加拿大國碼。
New-ComplianceSecurityFilter -FilterName CountryFilter -Users annb@contoso.com -Filters "Mailbox_CountryCode -eq '124'"
此範例允許使用者「donh」和「suzanf」僅搜尋 CustomAttribute1 信箱屬性中具有值‘Marketing’的信箱和 OneDrive 帳戶。
New-ComplianceSecurityFilter -FilterName MarketingFilter -Users donh,suzanf -Filters "Mailbox_CustomAttribute1 -eq 'Marketing'"
此範例允許「Fourth Coffee 電子文件探索管理員」角色群組的成員只搜尋 Department 信箱屬性值為“FourthCoffee”的信箱和 OneDrive 帳戶。 篩選器也可讓角色群組成員搜尋 Fourth Coffee SharePoint 網站中的文件。
New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'"
注意事項
在上個範例中,必須包含額外的網站內容篩選條件 (SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal') ,角色群組成員才能在 OneDrive 帳戶中搜尋文件。 如果未包含此篩選條件,篩選器只會允許角色群組成員搜尋「https://contoso.sharepoint.com/sites/FourthCoffee」中的文件。
此範例會指派允許電子文件探索管理員角色群組的成員僅搜尋 Ottawa Users 通訊群組成員的信箱和 OneDrive 帳戶。 Exchange Online PowerShell 中的 Get-DistributionGroup Cmdlet 可用來尋找 Ottawa Users 群組的成員。
$DG = Get-DistributionGroup "Ottawa Users"
New-ComplianceSecurityFilter -FilterName DGFilter -Users eDiscoveryManager -Filters "Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"
此範例會防止任何使用者對 Executive Team 通訊群組成員的信箱和 OneDrive 帳戶執行搜尋動作。 這表示使用者可以從這些信箱刪除內容。 Exchange Online PowerShell 中的 Get-DistributionGroup Cmdlet 可用來尋找 Executive Team 群組的成員。
$DG = Get-DistributionGroup "Executive Team"
New-ComplianceSecurityFilter -FilterName NoExecutivesPreview -Users All -Filters "Mailbox_MemberOfGroup -ne '$($DG.DistinguishedName)'"
此範例可讓 OneDrive 電子文件探索管理員自訂角色群組的成員僅搜尋組織中 OneDrive 帳戶的內容。
New-ComplianceSecurityFilter -FilterName OneDriveOnly -Users "OneDrive eDiscovery Managers" -Filters "SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal'"
此範例會限制使用者只能對在 2020 年期間傳送的電子郵件訊息執行搜尋動作。
New-ComplianceSecurityFilter -FilterName EmailDateRestrictionFilter -Users donh@contoso.com -Filters "MailboxContent_Received -ge '01-01-2020' -and MailboxContent_Received -le '12-31-2020'"
與先前的範例類似,此範例會限制使用者只能對在 2020 年進行最後變更的文件執行內容搜尋。
New-ComplianceSecurityFilter -FilterName DocumentDateRestrictionFilter -Users donh@contoso.com -Filters "SiteContent_LastModifiedTime -ge '01-01-2020' -and SiteContent_LastModifiedTime -le '12-31-2020'"
此範例會防止「OneDrive 探索管理員」角色群組的成員對組織中的任何信箱執行搜尋動作。
New-ComplianceSecurityFilter -FilterName NoEXO -Users "OneDrive Discovery Managers" -Filters "Mailbox_Alias -notlike '*'"
此範例會防止組織中的任何人對由「janets」或「sarad」傳送或接收的電子郵件訊息執行搜尋動作。
New-ComplianceSecurityFilter -FilterName NoSaraJanet -Users All -Filters "MailboxContent_Participants -notlike 'janets@contoso.onmicrosoft.com' -and MailboxContent_Participants -notlike 'sarad@contoso.onmicrosoft.com'"
此範例使用篩選器清單來結合信箱和網站篩選器。 在此範例中,信箱篩選條件是內容位置篩選器,而網站篩選條件是內容篩選器。
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery'"
知識檢查
為以下每個問題選擇最佳的回應。