设置为在 Office 365 中的电子数据展示调查的合规性边界

注意: 我们希望能够尽快以你的语言为你提供最新的帮助内容。本页面是自动翻译的,可能包含语法错误或不准确之处。我们的目的是使此内容能对你有所帮助。可以在本页面底部告诉我们此信息是否对你有帮助吗?请在此处查看本文的英文版本以便参考。

合规性边界创建控制用户内容的位置 (如邮箱、 SharePoint网站和OneDrive帐户),可以搜索电子数据展示管理Office 365组织内的逻辑边界。此外,合规性边界控制哪些人可以访问用于管理法律、 人力资源或在您的组织内的其他调查的电子数据展示事例。合规性边界需要通常是必需的多国家/地区公司,必须尊重地理边框和法规,以及政府,通常分为不同机构。在Office 365,合规性边界可帮助您满足这些要求,在执行内容搜索和管理电子数据展示事例的调查。

我们将使用该示例在下图中用于解释如何工作的合规性边界。

合规性边界包含搜索权限筛选器控制对机构和管理员角色的访问组控制对 eDisocovery 事例的访问

在本示例中,Contoso LTD 是组成的两个子公司,商贸和 Coho WineryOffice 365组织。业务要求,电子数据展示经理和调查人员能够仅搜索Exchange邮箱、 OneDrive帐户和SharePoint网站在其机构。此外,电子数据展示管理和调查人员只能看到在电子数据展示事例在其机构,并且只能访问它们作为其中成员的情况。下面介绍了如何合规性边界满足这些要求。

  • 筛选电子数据展示管理和调查人员可以搜索的内容位置的内容搜索控件中的功能搜索权限。这意味着电子数据展示管理和调查商贸机构中的人员可以仅搜索内容的位置中的第四个 Coffee 子公司。相同的限制适用于 Coho Winery 子公司。

    可以查看Office 365 安全和合规性中心在电子数据展示事例的角色组控件。这意味着电子数据展示管理和调查人员可以仅查看其机构中的电子数据展示事例。

  • 角色组还控制谁可以分配电子数据展示事例的成员。这意味着电子数据展示管理和调查人员可以仅将成员分配到他们自己的成员的情况下。

下面是设置合规性边界的过程。本主题还将介绍的限制,并在SharePoint多地理环境中使用合规性边界。

步骤 1: 确定要定义您的机构中用户属性

步骤 2: 文件与 Microsoft 技术支持人员的请求同步到 OneDrive 帐户的用户属性

步骤 3: 创建每个机构的角色组

步骤 4: 创建搜索权限筛选器以实施合规性边界

步骤 5: 创建内机构调查的电子数据展示事例

合规性边界限制

搜索和导出 SharePoint 在多个地理环境中的内容

常见问题

步骤 1: 确定要定义您的机构中用户属性

第一步是以选择要使用的Azure Active Directory属性将定义您的机构。此属性将用于搜索权限筛选器,用于限制电子数据展示管理器创建要搜索的用户分配了此属性的特定值仅内容的位置。例如,假设 Contoso 决定使用部门属性。第四个 Coffee 子公司中的用户的此属性的值将为FourthCoffee和 Coho Winery 子公司中的用户的值将为CohoWinery。在步骤 4 中,您将使用此属性: 值对 (例如,部门: FourthCoffee) 来限制电子数据展示管理器可以搜索用户内容位置。

下面介绍了可用于合规性边界的Azure Active Directory用户属性的列表:

  • Company

  • CountryCode

  • CustomAttribute1-CustomAttribute15

  • 部门

  • 办公室

虽然,尤其是Exchange邮箱提供更多用户的属性,上面列出的属性是唯一OneDrive目前支持。

返回页首

步骤 2: 文件与 Microsoft 技术支持人员的请求同步到 OneDrive 帐户的用户属性

下一步是使用 Microsoft 支持请求以同步您选择在步骤 1 中所有OneDrive帐户在您的组织中的Azure Active Directory属性。此同步时,该属性 (和其值) 之后您在步骤 1 中选择将映射到SharePoint名为ComplianceAttribute中的隐藏托管属性。您将使用此属性在步骤 4 中创建OneDrive搜索权限筛选器。

提交到 Microsoft 支持请求时,请包括以下信息:

  • Office 365组织的默认域的名称

  • (从第 1 步) Azure Active Directory属性的名称

  • 以下标题或说明支持请求的用途:"启用 OneDrive for Business 同步与 Azure 活动目录的合规性安全筛选器"。这有助于将请求路由至Office 365电子数据展示工程团队将实现请求。

工程更改,并且该属性同步到OneDrive后,Microsoft 支持将向您发送版本号所做的更改和估计的部署日期。请注意部署过程通常采用 4 至 6 周后提交支持请求。

重要:在部署更改之前,您可以完成步骤 3 到步骤 5。但运行内容搜索不会返回文档从OneDrive筛选中指定搜索权限直到部署更改后的网站。

返回页首

步骤 3: 创建每个机构的角色组

下一步是在将与您的机构对齐Office 365 安全和合规性中心中创建的角色组。我们建议您创建一个新的角色组通过复制内置电子数据展示管理器组、 添加适当的成员,并删除可能不适用于您的需求的角色。有关电子数据展示相关的角色的详细信息,请参阅在 Office 365 安全和合规性中心中的电子数据展示权限分配

若要创建的角色组,请转到安全和合规性中心中的权限页面,然后在每个将使用合规性边界和电子数据展示事例管理调查的机构中创建每个组的角色组。

使用 Contoso 合规性边界方案,需要创建四个角色组和相应的成员添加到每个。

  • 第四个休息电子数据展示管理器

  • 第四个休息调查人员

  • 天地葡萄酒厂电子数据展示管理器

  • 天地葡萄酒厂调查人员

返回页首

步骤 4: 创建搜索权限筛选器以实施合规性边界

您已创建的每个机构的角色组后下, 一步是将其特定机构到每个角色组相关联的搜索权限筛选器创建和定义的合规性边界本身。您需要创建一个搜索权限的筛选器的每个机构。有关创建安全权限筛选器的详细信息,请参阅配置内容搜索筛选的权限

下面是用于创建用于合规性边界搜索权限筛选器的语法。

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <role groups> -Filters "Mailbox_<Compliance attribute from Step 1> -eq '<AttributeVale>'", "Site_ComplianceAttribute  -eq <AttributeValue>' -or Site_Path -like <SharePointURL>*'" -Action <Action>

下面是在命令中的每个参数的说明:

  • FilterName  指定筛选器的名称。将以使用使用介绍或标识筛选的机构的名称。

  • Users  指定用户或组访问此筛选器应用于他们执行的内容搜索操作。合规性边界,此参数指定的角色组 (即您在步骤 3 中创建) 在您正在创建的筛选器的机构中。请注意,这是多值参数,所以可以包含一个或多个以逗号分隔的角色组。

  • Filters  指定筛选器的搜索条件。合规性边界,您将定义以下筛选器。每个适用于用户内容的位置。

    • Mailbox  指定可以搜索Users参数中定义的角色组邮箱。合规性边界ComplianceAttribute是您在步骤 1 中标识的相同属性和AttributeValue指定机构。此筛选器允许仅搜索范围的特定机构; 在邮箱的角色组的成员例如, "Mailbox_Department -eq 'FourthCoffee'"

    • Site  指定可以搜索角色组Users参数中定义的OneDrive帐户。对于OneDrive筛选器,请使用实际字符串ComplianceAttribute中;这会映射到相同的属性,您在步骤 1 中标识的同步到您在步骤 2 中提交支持请求因OneDrive帐户AttributeValue指定机构。此筛选器允许要仅在一个特定的机构; 搜索OneDrive帐户的角色组的成员例如, "Site_ComplianceAttribute -eq 'FourthCoffee'"

    • Site_Path  指定可以搜索角色组Users参数中定义的SharePoint站点。SharePointURL指定的角色组成员可以搜索; 的机构中的网站例如, Site_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'"

  • Action  指定的筛选器应用于的合规性搜索操作的类型。例如, -Action Search仅会应用筛选器定义Users参数中的角色组成员运行内容搜索时。在这种情况下,导出搜索结果时,不会应用的筛选器。合规性边界,使用-Action All以便筛选器应用于所有搜索操作。

    内容搜索操作的列表,请参阅配置内容搜索筛选的权限中的"新建 ComplianceSecurityFilter"一节。

以下是将创建支持 Contoso 合规性边界方案的两个搜索权限筛选器的示例。

Fourth Coffee

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "Site_ComplianceAttribute -eq 'FourthCoffee' -or Site_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'" -Action ALL

天地葡萄酒厂

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "Site_ComplianceAttribute -eq 'CohoWinery' -or Site_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'" -Action ALL

返回页首

步骤 5: 创建内机构调查的电子数据展示事例

最后一步是在安全和合规性中心中创建新的电子数据展示案例,然后添加角色组 — 您在步骤 3 中创建 — 作为案例的成员。这会导致使用合规性边界的两个重要特征:

  • 仅添加到这种情况的角色组的成员能够查看和访问安全和合规性中心这种情况。例如,如果第四个 Coffee 调查人员角色组是唯一的大小写的成员,然后商贸电子数据展示管理器角色组 (或任何其他角色组的成员) 的成员无法若要查看或访问大小写。

  • 当分配给事例的角色组的成员在运行搜索与事例相关联时,他们将仅能够搜索其机构 (这由您在步骤 4 中创建搜索权限筛选器。) 内内容的位置

  1. 转到安全和合规性中心中的电子数据展示页面并创建一个新的情形。

  2. 在电子数据展示事例的列表中,单击您刚刚创建的大小写的名称。

  3. 管理此事例飞出页面,在管理角色组,单击 “添加”图标 添加

    添加角色组成员的电子数据展示事例
  4. 在角色组的列表中,选择您在步骤 3 中创建的角色组之一,然后单击添加

  5. 这种情况下管理飞出,以保存更改,单击保存

返回页首

合规性边界限制

管理电子数据展示事例和使用的合规性边界的调查时,请牢记以下限制。

  • 当创建和运行内容搜索时,您可以选择是在您的机构以外的内容的位置。但是,由于搜索权限筛选器,这些位置中的内容不包括在搜索结果。

  • 合规性边界不能应用于保留在电子数据展示事例。这意味着在一个机构电子数据展示管理器可将用户放入不同机构置于保持状态。但是,如果电子数据展示管理器中搜索内容的位置的用户的已置于保持状态,则将强制合规性边界。这意味着电子数据展示管理器将不会将无法搜索用户的内容的位置,即使他们都能够将用户在保存。

    此外,按住统计信息将仅应用到机构中的内容的位置。

  • 搜索权限筛选器不应用于Exchange公用文件夹中。

返回页首

搜索和导出SharePoint多地理环境中的内容

搜索权限筛选器也允许您控制位置传送内容以供导出和SharePoint 多地理环境中的数据中心可以搜索SharePoint网站和OneDrive帐户:

  • 从特定数据中心导出搜索结果。这意味着您可以指定数据中心的结果将被导出从该搜索的位置。

  • 将搜索SharePoint网站和OneDrive帐户路由到卫星数据中心。这意味着您可以指定数据中心位置进行搜索。

使用New-ComplianceSecurityFilterSet-ComplianceSecurityFilter cmdlet地区参数以创建或更改将通过路由导出的数据中心:

参数值

数据中心的位置

名称

北美地区 (实际数据中心是在美国)

欧元

欧洲

APC

亚太

CAN

Canada(加拿大)

同样,您可以使用地区参数值为以下值来控制搜索SharePoint和OneDrive位置时,将在中运行内容搜索哪些数据中心。请注意下面的表格还显示将通过路由导出的数据中心。

参数值

数据中心导出路由的位置

名称

美国

欧元

Europe

APC

亚太

可以

美国

澳大利亚

亚太

KOR

组织的默认数据中心

GBR

Europe

日语

亚太

IND

亚太

LAM

美国

注意:如果您未指定地区参数的搜索权限筛选器,然后搜索结果将被导出从最接近的数据中心。

下面是使用的示例-地区参数时创建的合规性边界搜索权限筛选器。这假定商贸子公司位于北美地区和天地葡萄酒厂是欧洲。

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "Site_Department -eq 'FourthCoffee' -or Site_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'" -Action ALL -Region NAM
New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "Site_Department -eq 'CohoWinery' -or Site_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*'" -Action ALL -Region EUR

请注意下列事项搜索和导出SharePoint和OneDrive多地理环境中的内容时。

  • 地区参数不控制搜索的Exchange邮箱;搜索邮箱时,将搜索所有数据中心。若要限制其Exchange邮箱可以将搜索范围,请使用筛选器参数时创建或更改搜索权限筛选器。

  • 如有必要为电子数据展示管理器在SharePoint的多个区域中进行搜索,您需要搜索权限筛选器来指定备用区域中创建不同的用户帐户的电子数据展示管理器,可在其中SharePoint网站或OneDrive帐户位于。

  • 地区参数时搜索SharePoint和OneDrive中的内容,定向到任一主搜索或卫星电子数据展示管理器将在其中进行电子数据展示调查的位置。如果电子数据展示管理器搜索搜索权限筛选中指定的区域以外的SharePoint和OneDrive网站时,将不返回任何搜索结果。

  • 从所有内容的位置 (包括Exchange、 Skype for Business、 SharePoint、 OneDrive和您可以使用内容搜索工具搜索其他Office 365服务) 的内容时导出搜索结果,请将上载到Azure地区参数所指定的数据中心中的存储位置。这可以帮助组织合规性内保持不允许跨控制边框要导出的内容。如果搜索权限筛选器中指定的区域,则内容会上载到组织的默认区域中。

  • 您可以编辑现有搜索权限筛选器以添加或更改区域通过运行以下命令。

    Set-ComplianceSecurityFilter -FilterName <Filter name> -Region <Region>

返回页首

常见问题

谁可以创建和管理搜索权限筛选器 (使用新建 ComplianceSecurityFilter 和设置 ComplianceSecurityFilter cmdlet)?

若要创建,查看和修改搜索权限筛选器,您必须是安全和合规性中心组织管理角色组的成员。

如果有多个跨多个机构的角色组分配电子数据展示管理器,将如何他们搜索或另一个机构中的内容?

电子数据展示管理器可以向他们将将搜索限制到特定代理人的搜索查询添加参数。例如,如果组织已经指定要区分机构的CustomAttribute10属性,他们可以将以下附加到其搜索中邮箱和OneDrive帐户中的特定机构: CustomAttribute10:<value> AND Site_ComplianceAttribute:<value>

用作中搜索权限筛选器的合规性属性的属性的值更改时,会发生什么情况?

需要 3 天搜索权限筛选器以实施合规性边界,如果更改了筛选器中使用的属性的值。例如,在 Contoso 方案假设即商贸机构中的用户传输到 Coho Winery 代理人。因此,用户对象上的部门属性的值是从FourthCoffee更改为CohoWinery。在这种情况下,商贸电子数据展示和投资方将 3 天后更改属性设置为该用户获取搜索结果。同样,它将花费 3 日之前 Coho Winery 电子数据展示管理和调查人员将为用户获取搜索结果。

电子数据展示管理器可以查看来自两个单独的合规性边界的内容?

是的。这可以通过将用户添加到角色组具有这两个机构的可见性。

搜索电子数据展示事例保留、 Office 365 的保留策略,或 DLP 权限筛选器工作?

否,不是这次

如果我指定到控件,在其中导出内容,但该区域中都没有SharePoint组织的区域,可以仍搜索SharePoint?

如果您的组织中,搜索权限筛选器中指定的区域不存在,将搜索默认的区域。

可以在组织中创建的搜索权限筛选器的最大数量是什么?

没有限制搜索权限筛选器,可以在组织中创建的数量。但是,超过 100 个搜索权限筛选器时,将会影响搜索性能。要保留您的组织中的搜索权限筛选器数尽可能小,创建将Exchange、 SharePoint和OneDrive规则合并到单个搜索权限筛选器尽可能的筛选器。

返回页首

扩展你的 Office 技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×