Configurare i limiti di conformità in eDiscovery

I limiti di conformità creano confini logici all'interno di un'organizzazione che controllano le posizioni dei contenuti degli utenti, ad esempio delle cassette postali, degli account OneDrive e dei siti di SharePoint, in cui responsabili di eDiscovery possono cercare. I limiti di conformità controllano anche chi può accedere ai casi di eDiscovery usati per gestire le indagini legali, umane o di altro tipo all'interno dell'organizzazione.

Spesso sono necessari limiti di conformità per le multinazionali che devono rispettare i confini geografici e le normative e per i governi divisi in diverse agenzie. In Microsoft 365, i limiti di conformità consentono di soddisfare questi requisiti quando si eseguono ricerche di contenuto e si gestiscono le indagini con i casi di eDiscovery.

Esempio di scenario

La figura seguente mostra come funzionano i limiti di conformità.

In questo esempio Contoso LTD è un'organizzazione costituita da due filiali, Fourth Coffee e Coho Winery. L'azienda richiede che i responsabili e gli investigatori di eDiscovery possano eseguire ricerche solo nelle cassette postali di Exchange, negli account di OneDrive e nei siti di SharePoint nella propria agenzia. Inoltre, i manager e gli investigatori di eDiscovery possono visualizzare solo i casi di eDiscovery nella loro agenzia e possono accedere solo ai casi di cui sono membri. Inoltre, in questo scenario, gli investigatori non possono inserire posizioni di contenuto in attesa o esportare contenuto da un caso. Ecco come i limiti di conformità soddisfano questi requisiti.

• La funzionalità di filtro delle autorizzazioni di ricerca per eDiscovery controlla i percorsi del contenuto che possono essere cercati dai responsabili e dagli investigatori di eDiscovery. Questo controllo significa che i manager e gli investigatori di eDiscovery nell'agenzia Fourth Coffee possono cercare solo le posizioni dei contenuti nella filiale Fourth Coffee. La stessa limitazione vale per la filiale di Coho Winery.

• I gruppi di ruoli forniscono le funzioni seguenti per i limiti di conformità:

  • Controllare chi può visualizzare i casi di eDiscovery nel portale di Microsoft Purview. Questo controllo significa che i manager e gli investigatori di eDiscovery possono visualizzare solo i casi di eDiscovery nella loro agenzia.
  • Controllare chi può assegnare membri a un caso di eDiscovery. Questo controllo significa che i manager e gli investigatori di eDiscovery possono assegnare solo i membri ai casi di cui sono membri.
  • Controllare le attività correlate a eDiscovery che i membri possono eseguire aggiungendo o rimuovendo ruoli che assegnano autorizzazioni specifiche.

• Quando un filtro delle autorizzazioni di ricerca viene applicato a un gruppo di ruoli, i membri del gruppo di ruoli possono eseguire le azioni correlate alla ricerca seguenti, purché le autorizzazioni per eseguire un'azione siano assegnate al gruppo di ruoli:

  • Cercare contenuto
  • Visualizzare in anteprima i risultati della ricerca
  • Esportare i risultati della ricerca
  • Ripulire gli elementi restituiti da una ricerca

Prima di configurare i limiti di conformità

• Agli utenti deve essere assegnata una licenza di Exchange Online. Per verificare le assegnazioni, usare il cmdlet Get-User in Exchange Online PowerShell.

Configurazione dei limiti di conformità

Ecco i passaggi per configurare i limiti di conformità:

• Passaggio 1: Identificare un attributo utente per definire le agenzie
• Passaggio 2: Creare un gruppo di ruoli per ogni agenzia
• Passaggio 3: Creare un filtro delle autorizzazioni di ricerca per applicare il limite di conformità
• Passaggio 4: Creare un caso di eDiscovery per un'indagine intra-agenzia

Passaggio 1: Identificare un attributo utente per definire le agenzie

Scegliere un attributo per definire le agenzie. Usare questo attributo per creare il filtro delle autorizzazioni di ricerca che limita un gestore di eDiscovery a cercare solo i percorsi di contenuto degli utenti a cui è assegnato un valore specifico per questo attributo. Ad esempio, Contoso usa l'attributo Department . Il valore per questo attributo per gli utenti della filiale Fourth Coffee è FourthCoffee e il valore per gli utenti della filiale Coho Winery è CohoWinery. Nel passaggio 3 usare questa attribute:value coppia, ad esempio Department:FourthCoffee, per limitare le posizioni del contenuto utente che i responsabili di eDiscovery possono cercare.

Ecco alcuni esempi di attributi utente che è possibile usare per i limiti di conformità:

• Company
• CustomAttribute1 - CustomAttribute15
• Reparto
• Ufficio
• CountryOrRegion (codice paese/area geografica a due lettere)

Passaggio 2: Creare un gruppo di ruoli per ogni agenzia

Creare gruppi di ruoli nel portale di Microsoft Purview in linea con le agenzie.

Per creare i gruppi di ruoli, passare a Ruoli delle impostazioni>e ambiti nel portale di Microsoft Purview. Creare un gruppo di ruoli per ogni team di ogni agenzia che usa i limiti di conformità e i casi di eDiscovery per gestire le indagini.

È possibile usare un singolo gruppo di ruoli per assegnare sia i ruoli di eDiscovery che il filtro di sicurezza ai relativi membri. L'appartenenza a questo gruppo di ruoli gestisce sia i ruoli assegnati all'investigatore che i percorsi del contenuto in cui possono eseguire ricerche.

Usare gruppi di ruoli separati. Usare un gruppo di ruoli per assegnare il filtro di sicurezza per il limite di conformità e un altro gruppo di ruoli per assegnare i ruoli di eDiscovery. Usando due gruppi di ruoli separati, è possibile gestire i ruoli assegnati a un investigatore in modo indipendente dalle posizioni del contenuto in cui esegue la ricerca. Usare il gruppo di ruoli per il limite di conformità solo per applicare il filtro di sicurezza ai membri. Usare gruppi di ruoli predefiniti separati (eDiscovery Manager) o gruppi di ruoli personalizzati per assegnare ruoli ai membri. Per altre informazioni sui ruoli correlati a eDiscovery, vedere Assegnare autorizzazioni di eDiscovery.

Usando lo scenario dei limiti di conformità di Contoso, creare quattro gruppi di ruoli e aggiungere i membri appropriati a ognuno di essi.

• Manager di eDiscovery di Fourth Coffee
• Investigatori di Fourth Coffee
• Manager di eDiscovery di Coho Winery
• Investigatori di Coho Winery

Passaggio 3: Creare un filtro delle autorizzazioni di ricerca per applicare il limite di conformità

Dopo aver creato gruppi di ruoli per ogni agenzia, creare filtri di autorizzazioni di ricerca che associano ogni gruppo di ruoli alla relativa agenzia specifica e definiscono il limite di conformità. È necessario creare un filtro delle autorizzazioni di ricerca per ogni agenzia. Per altre informazioni sulla creazione di filtri per le autorizzazioni di sicurezza, vedere Configurare il filtro delle autorizzazioni per eDiscovery.

Ecco la sintassi usata per creare un filtro delle autorizzazioni di ricerca usato per i limiti di conformità per lo scenario in questo articolo.

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <role groups> -Filters "Mailbox_<MailboxPropertyName>  -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"

Ecco una descrizione di ogni parametro nel comando:

• FilterName: specifica il nome del filtro. Usare un nome che descrive o identifica l'agenzia in cui viene usato il filtro.

• Users: specifica gli utenti o i gruppi che ottengono questo filtro applicato alle azioni di ricerca eseguite. Per i limiti di conformità, questo parametro specifica i gruppi di ruoli creati nel passaggio 2 nell'agenzia per cui si sta creando il filtro. Questo parametro è un parametro multivalore, pertanto è possibile includere uno o più gruppi di ruoli separati da virgole.

• Filters: specifica i criteri di ricerca per il filtro. Per i limiti di conformità, definire i filtri seguenti. Ognuno di essi si applica a posizioni di contenuto diverse.

  • Mailbox: specifica le cassette postali o gli account di OneDrive in cui i gruppi di ruoli definiti nel parametro possono eseguire ricerche Users . Questo filtro consente ai membri del gruppo di ruoli di cercare solo le cassette postali o gli account OneDrive in un'agenzia specifica; Ad esempio, "Mailbox_Department -eq 'FourthCoffee'".

    Nota

    I filtri delle cassette postali si applicano anche alle cassette postali di gruppo di Microsoft 365 e ai siti di SharePoint connessi. Per restituire i risultati da un sito di SharePoint connesso a un gruppo di Microsoft 365, i filtri Cassette postali e SiteContent devono corrispondere sia alla cassetta postale del gruppo di Microsoft 365 che al sito di SharePoint associato.

• SiteContent: questo filtro include due filtri separati. Il primo SiteContent_Path specifica i siti di SharePoint nell'agenzia in cui i gruppi di ruoli definiti nel parametro possono eseguire ricerche Users . Ad esempio, SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'. Il secondo SiteContent_Path filtro (connesso al primo SiteContent_Path filtro dall'operatore or ) specifica il dominio di OneDrive dell'agenzia (detto anche dominio MySite ). Ad esempio, SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'. È anche possibile usare il Site_Path filtro al posto del SiteContent filtro. I Site filtri e SiteContent sono intercambiabili e non influiscono sui filtri delle autorizzazioni di ricerca descritti in questo articolo.

  Importante

  Perché il SiteContent filtro per OneDrive è incluso nel filtro delle autorizzazioni di ricerca precedente? Anche se il Mailbox filtro si applica sia alle cassette postali che agli account di OneDrive, l'inclusione del filtro di SharePoint escluderebbe gli account di OneDrive se non si includesse anche il filtro di OneDrive Site . Se il filtro delle autorizzazioni di ricerca non include un filtro di SharePoint, non è necessario includere un filtro di OneDrive separato perché il filtro Cassette postali includerebbe gli account di OneDrive nell'ambito del limite di conformità. In altre parole, un filtro delle autorizzazioni di ricerca con solo il Mailbox filtro includerà sia le cassette postali che gli account di OneDrive.

Di seguito sono riportati alcuni esempi dei due filtri delle autorizzazioni di ricerca creati per supportare lo scenario dei limiti di conformità di Contoso. Entrambi questi esempi includono un elenco di filtri separati da virgole, in cui i filtri relativi a cassetta postale e sito sono inclusi nello stesso filtro di ricerca delle autorizzazioni e sono separati da una virgola.

Quarto caffè

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

Coho Winery

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

Come funzionano i filtri delle autorizzazioni di ricerca in questo scenario?

Ecco come vengono applicati i filtri delle autorizzazioni di ricerca per ogni agenzia in questo scenario.

1. Il Mailbox filtro viene prima applicato per definire i percorsi del contenuto che possono essere cercati dai responsabili di eDiscovery. In questo caso, i responsabili di Coho Winery eDiscovery possono eseguire ricerche solo nelle cassette postali e negli account OneDrive degli utenti la cui proprietà Department mailbox ha il valore FourthCoffee; I responsabili di Coho Winery eDiscovery possono eseguire ricerche solo nelle cassette postali e negli account OneDrive degli utenti la cui proprietà Department mailbox ha il valore CohoWinery. Il Mailbox filtro è un filtro della posizione del contenuto, perché specifica i percorsi del contenuto che i responsabili di eDiscovery possono cercare. In entrambi i filtri, i responsabili di eDiscovery possono eseguire ricerche solo nei percorsi del contenuto con un valore specifico della proprietà della cassetta postale.

2. Dopo aver definito i percorsi del contenuto in cui è possibile eseguire la ricerca, la parte successiva del filtro definisce il contenuto che i responsabili di eDiscovery possono cercare. Il primo SiteContent filtro consente ai responsabili di Fourth Coffee eDiscovery di cercare solo i documenti con una proprietà del percorso del sito che contiene (o inizia con) https://contoso.sharepoint.com/sites/FourthCoffee; I responsabili di Coho Winery eDiscovery possono cercare solo i documenti con una proprietà del percorso del sito che contiene (o inizia con) https://contoso.sharepoint.com/sites/CohoWinery. Pertanto, i due SiteContent filtri sono filtri di contenuto perché definiscono il contenuto che può essere cercato. In entrambi i filtri, i responsabili di eDiscovery possono cercare solo documenti con un valore specifico della proprietà del documento. Tutti i filtri correlati a SharePoint sono filtri di contenuto perché le proprietà del sito ricercabili vengono contrassegnate in tutti i documenti. Per altre informazioni, vedere Configurare il filtro delle autorizzazioni per eDiscovery.

   Nota

   Anche se lo scenario in questo articolo non li usa, è anche possibile usare i filtri del contenuto delle cassette postali per specificare il contenuto che i responsabili di eDiscovery possono cercare. La sintassi per i filtri di contenuto delle cassette postali è "MailboxContent_<property> -<comparison operator> '<value>'". È possibile creare filtri del contenuto in base a intervalli di date, destinatari e domini o a qualsiasi proprietà di posta elettronica ricercabile. Ad esempio, questo filtro consente ai responsabili di eDiscovery di cercare solo gli elementi di posta elettronica inviati o ricevuti dagli utenti nel dominio contoso.com: "MailboxContent_Participants -like 'contoso.com'". Per altre informazioni sui filtri del contenuto delle cassette postali, vedere Configurare il filtro delle autorizzazioni di ricerca.

3. Il filtro delle autorizzazioni di ricerca viene aggiunto alla query di ricerca dall'operatore booleano AND . Ciò significa che quando un manager di eDiscovery in una delle agenzie esegue una ricerca di eDiscovery, gli elementi restituiti dalla ricerca devono corrispondere alla query di ricerca e alle condizioni definite nel filtro delle autorizzazioni di ricerca.

Passaggio 4: Creare un caso di eDiscovery per le indagini all'interno dell'agenzia

Nel passaggio finale creare un caso di eDiscovery nel portale di Microsoft Purview. Aggiungere quindi il gruppo di ruoli creato nel passaggio 2 come membro del caso. Questo approccio offre due vantaggi importanti quando si usano i limiti di conformità:

• Solo i membri del gruppo di ruoli aggiunti al caso possono visualizzare e accedere al caso nel portale di Microsoft Purview. Ad esempio, se il gruppo di ruoli Fourth Coffee Investigators è l'unico membro di un caso, i membri del gruppo di ruoli Fourth Coffee eDiscovery Managers (o membri di qualsiasi altro gruppo di ruoli) non possono visualizzare o accedere al caso.

• Quando un membro del gruppo di ruoli assegnato a un caso esegue una ricerca associata al caso, può eseguire ricerche solo nei percorsi del contenuto all'interno della propria agenzia. Questa restrizione è definita dal filtro delle autorizzazioni di ricerca creato nel passaggio 3.

Per creare un caso e assegnare membri:

1. Passare a eDiscovery nel portale di Microsoft Purview e creare un caso.
2. Nell'elenco dei casi selezionare il nome del caso creato.
3. Aggiungere gruppi di ruoli come membri al caso.

Ricerca ed esportazione di contenuto in ambienti multi-geo

I filtri delle autorizzazioni di ricerca consentono anche di controllare dove il contenuto viene instradato per l'esportazione e quale data center può essere cercato durante la ricerca di posizioni di contenuto in un ambiente multigeo di SharePoint.

• Esportare i risultati della ricerca: È possibile esportare i risultati della ricerca da cassette postali di Exchange, siti di SharePoint e account di OneDrive da un data center specifico. Ciò significa che è possibile specificare il percorso del data center da cui vengono esportati i risultati della ricerca.

  Usare il parametro Region per i cmdlet New-ComplianceSecurityFilter o Set-ComplianceSecurityFilter per creare o modificare il data center attraverso il quale viene instradata l'esportazione.

  Valore del parametro	Posizione del data center
  NAM	Nord America (i data center si trovano negli Stati Uniti)
  EUR	Europa
  APC	Asia Pacifico
  CAN	Canada

• Ricerche di contenuto di route: È possibile instradare le ricerche di contenuto dei siti di SharePoint e degli account di OneDrive a un data center satellite. Ciò significa che è possibile specificare il percorso del data center in cui vengono eseguite le ricerche.

  Usare uno dei valori seguenti per il parametro Region per controllare la posizione del data center in cui vengono eseguite le ricerche durante la ricerca di siti di SharePoint e account di OneDrive.

  Valore del parametro	Datacenter percorsi di routing per SharePoint
  NAM	IT
  EUR	Europa
  APC	Asia Pacifico
  CAN	IT
  AUS	Asia Pacifico
  KOR	Data center predefinito dell'organizzazione
  GBR	Europa
  JPN	Asia Pacifico
  IND	Asia Pacifico
  PESTARE	IT
  NOR	Europa
  BRA	Data center del Nord America

  Se non si specifica il parametro Region per un filtro delle autorizzazioni di ricerca, viene eseguita la ricerca nell'area di SharePoint principale dell'organizzazione. I risultati della ricerca vengono esportati nel data center più vicino.

  Per semplificare il concetto, il parametro Region controlla il data center usato per cercare contenuto in SharePoint e OneDrive. Questo parametro non si applica alla ricerca di contenuto in Exchange perché le ricerche di contenuto di Exchange non sono associate alla posizione geografica dei data center. Inoltre, lo stesso valore del parametro Region potrebbe anche determinare il data center attraverso cui vengono instradate le esportazioni. Questo routing è spesso necessario per controllare lo spostamento dei dati attraverso i confini geografici.

Di seguito sono riportati alcuni esempi di utilizzo del parametro Region durante la creazione di filtri di autorizzazione di ricerca per i limiti di conformità. In questo esempio si presuppone che la filiale Fourth Coffee si trovi in America del Nord e che Coho Winery si trovi in Europa.

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region NAM

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region EUR

Durante la ricerca e l'esportazione di contenuto in ambienti multigeo, tenere presente quanto segue.

• Il parametro Area non controlla le ricerche nelle cassette postali di Exchange. Quando eseguono ricerche nelle cassette postali, la ricerca viene estesa a tutti i datacenter. Per limitare l'ambito di ricerca delle cassette postali di Exchange, usare il parametro Filters durante la creazione o la modifica di un filtro delle autorizzazioni di ricerca.

• Se è necessario che un manager di eDiscovery eservi ricerche in più aree di SharePoint, è necessario creare un account utente diverso da usare nel filtro delle autorizzazioni di ricerca per specificare l'area in cui si trovano i siti di SharePoint o gli account di OneDrive. Per altre informazioni sulla configurazione, vedere la sezione "Ricerca di contenuto in un ambiente SharePoint Multi-Geo" in Ricerca contenuto.

• Durante la ricerca di contenuto in SharePoint e OneDrive, il parametro Region indirizza le ricerche alla posizione primaria o satellite in cui il manager di eDiscovery conduce indagini eDiscovery. Se un manager di eDiscovery cerca siti di SharePoint e OneDrive all'esterno dell'area specificata nel filtro delle autorizzazioni di ricerca, non vengono restituiti risultati di ricerca.

• Quando si esportano i risultati della ricerca da eDiscovery, il contenuto di tutte le posizioni del contenuto (inclusi Exchange, Skype for Business, SharePoint, OneDrive e altri servizi che è possibile cercare usando lo strumento Ricerca contenuto) viene caricato nel percorso di Archiviazione di Azure nel data center specificato dal parametro Region. Questo comportamento consente alle organizzazioni di rimanere conformi non consentendo l'esportazione del contenuto oltre i confini controllati. Se non viene specificata alcuna area nel filtro delle autorizzazioni di ricerca, il contenuto viene caricato nel data center primario dell'organizzazione.

  Quando si esporta il contenuto con le funzionalità premium di eDiscovery abilitate, non è possibile controllare dove viene caricato il contenuto usando il parametro Region . Il contenuto viene caricato in una posizione di Archiviazione di Azure in un data center nella posizione centrale dell'organizzazione. Per un elenco delle posizioni geografiche in base alla posizione centrale, vedere Configurazione di Microsoft 365 Multi-Geo eDiscovery.

• È possibile modificare un filtro delle autorizzazioni di ricerca esistente per aggiungere o modificare l'area eseguendo il comando seguente:

  Set-ComplianceSecurityFilter -FilterName <Filter name>  -Region <Region>
  

Uso dei limiti di conformità per i siti dell'hub di SharePoint

I siti hub di SharePoint spesso si allineano con gli stessi limiti geografici o di agenzia seguiti dai limiti di conformità di eDiscovery. È possibile usare la proprietà ID sito del sito hub per creare un limite di conformità. A tale scopo, usare il cmdlet Get-SPOHubSite in SharePoint Online PowerShell per ottenere siteId per il sito hub, quindi usare questo valore per la proprietà ID reparto per creare un filtro delle autorizzazioni di ricerca.

Usare la sintassi seguente per creare un filtro delle autorizzazioni di ricerca per un sito hub di SharePoint:

New-ComplianceSecurityFilter -FilterName <Filter Name> -Users <User or Group> -Filters "Site_Departmentid -eq '{SiteId of hub site}'"

Ecco un esempio di creazione di un filtro delle autorizzazioni di ricerca per un sito hub per l'agenzia Coho Winery:

New-ComplianceSecurityFilter -FilterName "Coho Winery Hub Site Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Site_Departmentid -eq '44252d09-62c4-4913-9eb0-a2a8b8d7f863'"

Considerazioni sul limite di conformità

Quando si gestiscono i casi e le indagini di eDiscovery che usano limiti di conformità, tenere presenti le considerazioni seguenti:

• Quando si crea ed esegue una ricerca, è possibile selezionare le posizioni del contenuto esterne all'agenzia. Tuttavia, a causa del filtro di ricerca delle autorizzazioni, i contenuti di tali posizioni non vengono inclusi nei risultati della ricerca.

• I limiti di conformità non si applicano ai blocchi nei casi di eDiscovery. Ciò significa che un manager di eDiscovery di un'agenzia può bloccare un utente in un'altra agenzia. Tuttavia, il limite di conformità viene applicato se il manager di eDiscovery cerca i percorsi del contenuto dell'utente che è stato messo in attesa. Ciò significa che il manager di eDiscovery non può eseguire ricerche nei percorsi del contenuto dell'utente, anche se è stato in grado di mettere l'utente in attesa.

• Se viene assegnato un filtro delle autorizzazioni di ricerca, ovvero una cassetta postale o un filtro del sito, e si tenta di esportare elementi parzialmente indicizzati da una ricerca che include tutti i siti di SharePoint nell'organizzazione, usando l'opzione di ambito per includere elementi parzialmente indicizzati anche da posizioni senza riscontri di ricerca (vedere Esportare i risultati della ricerca), l'esportazione contiene elementi parzialmente indicizzati da tutti i siti, inclusi quelli al di fuori del limite di conformità assegnato.

• Quando si recuperano elementi parzialmente indicizzati da siti che contengono riscontri di ricerca, eDiscovery usa un approccio basato su prefisso. Ad esempio, se un sito http://contoso.com/sales viene identificato come percorso corrispondente alla query di ricerca, i risultati potrebbero includere anche elementi da un sito con prefisso simile, ad http://contoso.com/salesdepartmentesempio , anche se il http://contoso.com/salesdepartment sito non rientra nel limite di conformità configurato. Questo comportamento può verificarsi quando il filtro non è basato sul percorso del sito. Ad esempio, se il limite di conformità è definito come Property -eq 'abc', un sito che non corrisponde al valore 'abc' della proprietà potrebbe essere incluso se il relativo percorso condivide un prefisso con un sito che corrisponde alla proprietà .

• I filtri di ricerca delle autorizzazioni non vengono applicati alle cartelle pubbliche di Exchange.

• I filtri di ricerca supportati includono -and, -or, -like, -not-eqe -ne. Non usare altri filtri di esclusione, ad esempio l'uso di -notlike), inotlikee così via in un filtro delle autorizzazioni di ricerca, per un limite di conformità basato sul contenuto. L'uso di questi filtri di esclusione può avere risultati imprevisti se il contenuto con attributi aggiornati di recente non è stato indicizzato.

• Il rispetto dei limiti di conformità per i siti di OneDrive nelle ricerche potrebbe essere influenzato quando:

  • I siti (o le cassette postali associate) vengono spostati o rehomed
  • La proprietà di OneDrive viene riassegnata o viene aggiunto più di un proprietario
  • Il sito di OneDrive viene rinominato/rilasciato di nuovo
  • Lo spostamento di un sito di OneDrive può modificare la proprietà del contenuto e può includere la creazione di una cassetta postale di arbitrato. Quando queste risorse vengono spostate, è possibile che i risultati della ricerca di contenuto siano disponibili oltre i limiti di conformità. Quando un sito di OneDrive viene riassegnato, rinominato o assegnato a più proprietari, è possibile che il contenuto di questi siti sia disponibile oltre i limiti di conformità.

• I limiti di conformità per le cassette postali potrebbero essere interessati quando:

  • La cassetta postale non è associata a un utente con licenza (include utenti disabilitati o eliminati)
  • Una cassetta postale non viene gestita o sincronizzata da Microsoft Entra ID

• Inoltre, diversi tipi di cassette postali potrebbero produrre contenuto durante la ricerca, indipendentemente dai limiti di conformità. Questi tipi di cassette postali includono:

  • EquipmentMailbox
  • GuestMailUser
  • LinkedMailbox
  • RoomList
  • RoomMailbox
  • SchedulingMailbox
  • SharedMailbox
  • SystemMailbox
  • TeamMailbox

• Per assicurarsi che la ricerca rispetti i limiti di conformità previsti per queste cassette postali, impostare gli attributi per le cassette postali condivise, le cassette postali delle apparecchiature e altre cassette postali usando il cmdlet Set-Mailbox o Invoke-ComplianceSecurityFilterAction per assicurarsi che l'attributo sia impostato correttamente. Se si configura correttamente l'attributo e lo si allinea all'attributo limite di conformità, la cassetta postale rispetta il limite di conformità.

Ulteriori informazioni

• Se si elimina temporaneamente una cassetta postale, l'utente non si trova più entro il limite di conformità. Se si inserisce un blocco nella cassetta postale quando viene eliminato, il contenuto conservato nella cassetta postale è ancora soggetto a un limite di conformità o a un filtro delle autorizzazioni di ricerca.
• Se si implementano limiti di conformità e filtri per le autorizzazioni di ricerca per un utente, non eliminare la cassetta postale dell'utente o il relativo account OneDrive. Se si elimina la cassetta postale di un utente, è necessario rimuovere anche l'account OneDrive dell'utente poiché mailbox_RecipientFilter applica il filtro delle autorizzazioni di ricerca per OneDrive.
• I limiti di conformità e i filtri delle autorizzazioni di ricerca dipendono dagli attributi contrassegnati per il contenuto in Exchange, OneDrive e SharePoint e dalla successiva indicizzazione di questo contenuto stampato.

Domande frequenti

Chi può creare e gestire i filtri delle autorizzazioni di ricerca (usando i cmdlet New-ComplianceSecurityFilter e Set-ComplianceSecurityFilter)?

Per creare, visualizzare e modificare i filtri delle autorizzazioni di ricerca nel portale di Microsoft Purview, è necessario assegnare i ruoli Gestione organizzazione e Amministratore di eDiscovery .

Se un manager di eDiscovery viene assegnato a più di un gruppo di ruoli che si estende su più agenzie, in che modo cerca contenuti in un'agenzia o nell'altra?

Il manager di eDiscovery può aggiungere parametri alla query di ricerca che limitano la ricerca a un'agenzia specifica. Ad esempio, se un'organizzazione specifica la proprietà CustomAttribute10 per differenziare le agenzie, può aggiungere quanto segue alla query di ricerca per cercare cassette postali e account OneDrive in un'agenzia specifica: CustomAttribute10:<value>.

Cosa accade se il valore dell'attributo usato come attributo di conformità in un filtro delle autorizzazioni di ricerca viene modificato?

Un filtro delle autorizzazioni di ricerca richiede fino a tre giorni per applicare il limite di conformità se viene modificato il valore dell'attributo usato nel filtro. Si supponga, ad esempio, che un utente dell'agenzia Fourth Coffee venga trasferito all'agenzia Coho Winery. Di conseguenza, il valore dell'attributo Department nell'oggetto utente viene modificato da FourthCoffee a CohoWinery. In questa situazione, Fourth Coffee eDiscovery e gli investitori ottengono i risultati della ricerca per tale utente per un massimo di tre giorni dopo la modifica dell'attributo. Analogamente, ci vogliono fino a tre giorni prima che i responsabili e gli investigatori di Coho Winery eDiscovery ottengano i risultati della ricerca per l'utente.

Un manager di eDiscovery può visualizzare il contenuto da due limiti di conformità separati?

Sì, questa operazione può essere eseguita durante la ricerca nelle cassette postali di Exchange aggiungendo il responsabile di eDiscovery ai gruppi di ruoli che hanno visibilità su entrambe le agenzie. Tuttavia, durante la ricerca di siti di SharePoint e account di OneDrive, un responsabile di eDiscovery può cercare contenuto in limiti di conformità diversi solo se le agenzie si trovano nella stessa area o posizione geografica.

I filtri delle autorizzazioni di ricerca funzionano per i blocchi dei casi di eDiscovery, i criteri di conservazione di Microsoft 365 o DLP?

Al momento no.

Se si specifica un'area per controllare dove viene esportato il contenuto, ma non si dispone di un'organizzazione di SharePoint in tale area, è comunque possibile eseguire ricerche in SharePoint?

Se l'area specificata nel filtro delle autorizzazioni di ricerca non esiste nell'organizzazione, viene eseguita la ricerca nell'area predefinita.

Qual è il numero massimo di filtri delle autorizzazioni di ricerca che è possibile creare in un'organizzazione?

Non è previsto alcun limite al numero di filtri per le autorizzazioni di ricerca che possono essere creati in un'organizzazione. Tuttavia, una query di ricerca può avere un massimo di 100 condizioni. In questo caso, una condizione viene definita come elemento connesso alla query da un operatore booleano , ad esempio AND, OR e NEAR. Il limite del numero di condizioni include la query di ricerca stessa e tutti i filtri delle autorizzazioni di ricerca applicati all'utente che esegue la ricerca. Di conseguenza, maggiore è il numero di filtri per le autorizzazioni di ricerca disponibili (soprattutto se questi filtri vengono applicati allo stesso utente o gruppo di utenti), maggiore è la probabilità di superare il numero massimo di condizioni per una ricerca.

Per comprendere il funzionamento di questo limite, è necessario comprendere che alla query di ricerca viene aggiunto un filtro delle autorizzazioni di ricerca quando viene eseguita una ricerca. Un filtro delle autorizzazioni di ricerca viene aggiunto alla query di ricerca dall'operatore booleano AND . La logica di query per la query di ricerca e un singolo filtro delle autorizzazioni di ricerca sono simili alle seguenti:

<SearchQuery> AND <PermissionsFilter>

Più filtri delle autorizzazioni di ricerca vengono combinati dall'operatore booleano OR e quindi tali condizioni vengono connesse alla query di ricerca dall'operatore AND .

La logica di query per la query di ricerca e i filtri per più autorizzazioni di ricerca sono simili ai seguenti:

<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)

È possibile che la query di ricerca sia costituita da più condizioni connesse da operatori booleani. Ogni condizione nella query di ricerca viene conteggiata anche rispetto al limite di 100 condizioni.

Inoltre, il numero di filtri delle autorizzazioni di ricerca aggiunti a una query dipende dall'utente che esegue la ricerca. Quando un utente specifico esegue una ricerca, i filtri delle autorizzazioni di ricerca applicati all'utente (definito dal parametro Users nel filtro) vengono aggiunti alla query. L'organizzazione potrebbe avere centinaia di filtri per le autorizzazioni di ricerca, ma se vengono applicati più di 100 filtri agli stessi utenti, è probabile che venga superato il limite di 100 condizioni quando tali utenti eseguono ricerche.

C'è un'altra cosa da tenere a mente circa il limite di condizione. Anche il numero di siti di SharePoint specifici inclusi nella query di ricerca o nei filtri delle autorizzazioni di ricerca viene conteggiato in base a questo limite.

Per impedire all'organizzazione di raggiungere il limite di condizioni, mantenere il numero di filtri delle autorizzazioni di ricerca nell'organizzazione al minor numero possibile per soddisfare i requisiti aziendali.

In che modo i filtri delle cassette postali influiscono sulle ricerche nei siti di SharePoint connessi a OneDrive e al gruppo M365?

I siti di OneDrive e i siti di SharePoint connessi al gruppo di Microsoft 365 sono collegati all'utente associato o alla cassetta postale del gruppo di Microsoft 365 in Exchange. Per i filtri di sicurezza che includono sia un filtro Cassette postali che un filtro SiteContent, per restituire i risultati dai siti di SharePoint connessi a OneDrive o a Microsoft 365 Group devono essere entrambi corrispondenti. Il filtro Cassette postali viene valutato in base all'utente connesso o alla cassetta postale del gruppo di Microsoft 365 prima di valutare gli elementi di SharePoint e OneDrive in base al filtro SiteContent.

Che cos'è una cassetta postale di arbitrato nel contesto dei siti di OneDrive?

Per gli utenti attivi e con licenza che dispongono sia di una cassetta postale di Exchange che di un account OneDrive, è presente un collegamento tra la cassetta postale e il sito di OneDrive. Ciò significa che il filtro Cassette postali assegnato a un limite di conformità viene valutato rispetto alla cassetta postale dell'utente per verificare la presenza di una corrispondenza prima che vengano restituiti i risultati.

Quando questo collegamento viene perso tra una cassetta postale e un sito di OneDrive, OneDrive è invece associato a una cassetta postale di arbitrato. Questa cassetta postale di arbitrato non dispone di alcuna delle proprietà della cassetta postale originale applicata.

Ricerca per categorie controllare lo stato di un sito di OneDrive per determinare se è associato a una cassetta postale di arbitrato?

Usare il cmdlet Invoke-ComplianceSecurityFilterAction per esaminare un sito di OneDrive specifico e verificare se è in arbitrato o collegato alla cassetta postale di un utente.

Usare la sintassi seguente per controllare lo stato di un sito di OneDrive:

Invoke-ComplianceSecurityFilterAction -Action GetStatus -PropertyName <Boundary Property> -SiteUrl <SharePoint/OneDrive URL>

Per un sito di OneDrive che non è in arbitrato, i comandi restituiscono il valore BoundaryType come UserMailbox, come illustrato nell'esempio seguente:

PS C:\> Invoke-ComplianceSecurityFilterAction -action GetStatus -PropertNname "CustomAttribute10" -siteurl "https://contoso-my.sharepoint.com/personal/lila_contoso_onmicrosoft_com"
   
SiteUrlOrEmailAddress : https://contoso-my.sharepoint.com/personal/lila_contoso_onmicrosoft_com 
BoundaryType          : UserMailbox 
BoundaryInstruction   : Set via Set-Mailbox 
BoundaryObjectId      : SPO_4531d99e-21df-4903-a8c1-76cc3ec82685@SPO_525ef3f5-fbf7-4f91-bb4a-e3c24116c8a9 
BoundaryStatus        : Success 
BoundaryProperty      : CustomAttribute10 
BoundaryPropertyValue : Dept-CH

Per un sito di OneDrive in arbitrato, i comandi restituiscono un valore vuoto o Null per il valore BoundaryType , come illustrato nell'esempio seguente.

PS C:\> Invoke-ComplianceSecurityFilterAction -action GetStatus -PropertyName "CustomAttribute10" -siteurl "https://contoso-my.sharepoint.com/personal/lila_contoso_onmicrosoft_com"   

SiteUrlOrEmailAddress : https://contoso-my.sharepoint.com/personal/lila_contoso_onmicrosoft_com 
BoundaryType          :  
BoundaryInstruction   :  
BoundaryObjectId      : SPO_4531d99e-21df-4903-a8c1-76cc3ec82685@SPO_525ef3f5-fbf7-4f91-bb4a-e3c24116c8a9 
BoundaryStatus        : Success 
BoundaryProperty      : CustomAttribute10 
BoundaryPropertyValue : 

In che modo un sito di OneDrive nell'arbitrato influisce sui risultati restituiti da eDiscovery Manager con i limiti di conformità applicati?

Questo comportamento dipende dalla modalità di configurazione del filtro di sicurezza per il limite di conformità. Quando un sito di OneDrive è in arbitrato, un filtro Cassette postali non lo include nei risultati restituiti.

Per i filtri di sicurezza che usano solo un filtro Cassette postali, gli elementi di OneDrive vengono restituiti all'interno dei risultati di una ricerca perché il filtro delle cassette postali non si applica in questo scenario.

Per i filtri di sicurezza che usano sia un filtro cassetta postale che un filtro SiteContent, vengono restituiti risultati se il filtro SiteContent corrisponde agli elementi nell'istanza di OneDrive in arbitrato. Se non è presente alcuna corrispondenza, i risultati non vengono restituiti. Ad esempio, se il filtro di SiteContent_Path viene usato come agenzie separate ha un URL di OneDrive univoco a causa della distribuzione di Microsoft 365 Multi-Geo, il percorso degli elementi di OneDrive filtra i risultati di OneDrive nell'arbitrato.

Come è possibile aggiornare un sito di OneDrive nell'arbitrato in modo che i filtri delle cassette postali continuino ad essere applicati?

Usare il cmdlet Invoke-ComplianceSecurityFilterAction per impostare i valori da CustomAttribute1 a CustomAttribute15 nelle istanze di OneDrive che si collegano a una cassetta postale di arbitrato.

Usare la sintassi seguente per impostare lo stato di un sito di OneDrive:

Invoke-ComplianceSecurityFilterAction -Action Set -PropertyName <Boundary Property> -SiteUrl <SharePoint/OneDrive URL>

Dopo averlo impostato in OneDrive, rispetta i filtri Cassetta postale che usano la proprietà CustomAttribute impostata in OneDrive.

Quali scenari causano il collegamento di un sito di OneDrive a una cassetta postale di arbitrato?

Molti scenari possono causare la perdita del collegamento di un sito di OneDrive alla cassetta postale dell'utente e il collegamento a una cassetta postale di arbitrato. Per altre informazioni, vedere la sezione Limiti di conformità. Di conseguenza, quando si sposta, si modifica o riassegna un OneDrive, usare il cmdlet Invoke-ComplianceSecurityFilterAction per verificare che il filtro Cassette postali pertinente si comporti come previsto.

Come parte dei processi di deprovisioning degli utenti, eseguire il cmdlet Invoke-ComplianceSecurityFilterAction su OneDrive dell'utente per impostare il valore CustomAttribute richiesto.

Perché è consigliabile usare CustomAttribute1 fino a CustomAttribute15 per i filtri di sicurezza delle cassette postali?

Anche se altri attributi cassetta postale funzionano con i filtri di sicurezza, usare CustomAttributes quando si definisce il filtro di sicurezza Cassette postali per i motivi seguenti:

• Tutte le cassette postali Exchange Online supportano questi attributi.
• Gli attributi vengono contrassegnati direttamente nella cassetta postale, non nell'oggetto utente associato, quindi rimangono impostati in scenari in cui non è presente alcun oggetto utente associato.
• Il cmdlet Invoke-ComplianceSecurityFilterAction supporta solo l'impostazione di CustomAttribute nelle istanze di OneDrive collegate a una cassetta postale di arbitrato.