配置内容搜索的权限筛选

注意:  我们希望能够尽快以你的语言为你提供最新的帮助内容。 本页面是自动翻译的,可能包含语法错误或不准确之处。我们的目的是使此内容能对你有所帮助。可以在本页面底部告诉我们此信息是否对你有帮助吗? 请在此处查看本文的 英文版本 以便参考。

您可以使用搜索权限筛选功能让电子数据展示管理员仅搜索 Office 365 组织中的邮箱和站点的子集。您还可以使用权限筛选功能让该电子数据展示管理员仅搜索满足特定搜索条件的邮箱或站点内容。例如,您可能会让电子数据展示管理员仅搜索特定位置或部门的用户的邮箱。通过创建使用受支持的收件人筛选器来限制可以搜索哪些邮箱的筛选器执行此操作。您还可以创建指定可以搜索哪些邮箱内容的筛选器。这是通过创建使用可搜索邮件属性的筛选器来完成的。同样,您可能会让电子数据展示管理员仅搜索组织中的特定 SharePoint 站点。通过创建限制可以搜索哪些站点的筛选器执行此操作。您还可以创建指定可以搜索哪些站点内容的筛选器。这是通过创建使用可搜索站点属性的筛选器来完成的。

筛选搜索权限受支持中Office 365 安全与合规中心的内容搜索功能。 以下四个 cmdlet 允许您配置和管理安全筛选:

新 ComplianceSecurityFilter

获取 ComplianceSecurityFilter

设置 ComplianceSecurityFilter

删除 ComplianceSecurityFilter

有关使用这些 cmdlet 的详细信息,请参阅"内容搜索 cmdlet"部分中的,在Office 365 安全和合规性中心 cmdlet

开始之前

  • 若要运行的合规性安全筛选 cmdlet,您必须是安全与合规中心组织管理角色组的成员。有关详细信息,请参阅在 Office 365 安全和合规性中心中的权限

  • 您必须将 Windows PowerShell同时连接到 安全与合规中心 和您的 Exchange Online 组织才能使用遵从性安全筛选器 cmdlet。这是必要的,因为这些 cmdlet 需要访问邮箱属性,这就是为什么您必须连接到 Exchange Online。请参阅下一节中的步骤。

  • 请参阅有关搜索权限筛选器的其他信息的详细信息部分。

  • 搜索筛选的权限是适用于非活动状态的邮箱,这意味着您可以使用邮箱和邮箱内容筛选可以搜索处于非活动状态的邮箱的限制。 请参阅有关筛选的权限和非活动状态的邮箱的其他信息的详细信息部分。

  • 可以搜索Exchange中的公用文件夹的限制,不能用于筛选搜索权限。

  • 没有限制搜索权限筛选器,可以在组织中创建的数量。但是,超过 100 个搜索权限筛选器时,将会影响搜索性能。要保留您的组织中的搜索权限筛选器数尽可能小,创建将Exchange、 SharePoint和OneDrive规则合并到单个搜索权限筛选器尽可能的筛选器。

在单个的远程 PowerShell 会话中连接到安全与合规中心和Exchange Online

  1. 使用 .ps1 文件名后缀将以下文本保存到 Windows PowerShell 脚本文件。例如,您可以将其保存至名为 ConnectEXO-CC.ps1 的文件。

    $UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell-liveid -Credential $UserCredential -Authentication Basic -AllowRedirection
Import-PSSession $Session -DisableNameChecking
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid -Credential $UserCredential -Authentication Basic -AllowRedirection
Import-PSSession $Session -AllowClobber -DisableNameChecking
$Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Exchange Online + Compliance Center)"

  2. 在本地计算机上,打开 Windows PowerShell,转到您在上一步中创建的脚本所在的文件夹,然后运行该脚本;例如:

    .\ConnectEXO-CC.ps1

您如何知道这是否有效?运行脚本之后,安全与合规中心 和 Exchange Online 中的 cmdlet 将导入到本地 Windows PowerShell 会话。如果未收到任何错误,则说明连接成功。一个快速的测试方法是运行 安全与合规中心 cmdlet(例如 Install-unifiedcomplianceprerequisite)以及 Exchange Online cmdlet(如 Get-mailbox)。

如果收到错误,则查看以下要求:

  • 常见问题是密码错误。重新运行上述两个步骤,并仔细查看在步骤 1 中输入的用户名和密码。

  • 验证您的帐户有权访问安全与合规中心。有关详细信息,请参阅授予用户访问权限的安全和合规性中心

  • 为了帮助防止受到拒绝服务 (DoS) 攻击,您最多只能打开三次与安全与合规中心的远程 PowerShell 连接。

  • Windows PowerShell需要配置运行脚本。您需要配置此设置仅一次在计算机上不每次连接。若要启用Windows PowerShell运行签名的脚本,请提升的Windows PowerShell窗口 (通过选择以管理员身份运行打开Windows PowerShell窗口) 中运行以下命令。

    Set-ExecutionPolicy RemoteSigned

  • 需要打开本地计算机和 Office 365 之间的 TCP 端口 80 通信。它可能已经打开了,但是要考虑您的组织是否存在严格的 Internet 访问政策。

返回页首

新 ComplianceSecurityFilter

New-ComplianceSecurityFilter 用于创建新的搜索权限筛选器。 下表描述了用于此 cmdlet 的参数。创建合规性安全筛选器所需的所有参数。

参数

说明

Action

Action参数指定这种类型的筛选器应用于的搜索操作。内容搜索操作可以是:

  • 导出   导出搜索结果时,应用的筛选器。

  • 预览   预览搜索结果时,应用的筛选器。

  • 清除   清除搜索结果时应用筛选器。

  • 搜索   运行搜索时,应用的筛选器。

  • 所有   筛选器应用于所有搜索操作。

FilterName

FilterName 参数指定权限筛选器的名称。在使用 Get-ComplianceSecurityFilterSet-ComplianceSecurityFilterRemove-ComplianceSecurityFilter cmdlet 时,此名称可用于标识筛选器。

Filters

Filters 参数指定遵从性安全筛选器的搜索条件。您可以创建三个不同类型的筛选器:

  • 邮箱筛选      这种类型的筛选器指定分配的用户(通过 Users 参数指定)可以搜索的邮箱。这种类型的筛选器的语法是 Mailbox_MailboxPropertyName,其中 MailboxPropertyName 指定用于限制可以搜索的邮箱范围的邮箱属性。例如,邮箱筛选器 "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" 允许分配了此筛选器的用户仅搜索在 CustomAttribute10 属性中具有值“OttawaUsers”的邮箱。

    MailboxPropertyName属性,可以使用任何支持可筛选收件人的属性。支持的属性的列表,请参阅可筛选属性-RecipientFilter 参数

  • 邮箱内容筛选      将在可搜索的内容上应用这种类型的筛选器。它指定分配的用户可以搜索的邮箱内容。这种类型的筛选器的语法是 MailboxContent_SearchablePropertyName:value,其中 SearchablePropertyName 指定可以在内容搜索中指定的关键字查询语言 (KQL) 属性。例如,邮箱内容筛选器 MailboxContent_recipients:contoso.com 将允许分配了此筛选器的用户仅搜索发送到 contoso.com 域中的收件人的邮件。

    有关可搜索邮件属性的列表,请参阅Keyword queries for Content Search

  • 站点和站点内容筛选      有两个 SharePoint 和 OneDrive for Business 站点相关筛选器,您可用来指定分配的用户可以搜索的站点或站点内容:

    • Site_SearchableSiteProperty

    • SiteContent_SearchableSiteProperty

    以下两个筛选器互换;例如"Site_Path -like 'https://contoso.sharepoint.com/sites/doctors*'""SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors*'"将返回相同的结果。但若要帮助确定筛选器的用途,您可以使用Site_指定网站相关的属性 (如网站 URL) 和SiteContent_若要指定内容相关的属性 (如文档类型。例如,筛选器"Site_Path -like 'https://contoso.sharepoint.com/sites/doctors*'"将允许用户分配此筛选器仅搜索 https://contoso.sharepoint.com/sites/doctors 网站集内的内容。筛选器"SiteContent_FileExtension -eq 'docx'"将允许用户分配此筛选以仅搜索的 Word 文档 (Word 2007 和更高版本)。

    有关可搜索的网站属性的列表,请参阅 SharePoint 中的爬网和托管属性概述。“可查询”列中标记为“是”的属性可用于创建网站或网站内容筛选器。

重要: 一个搜索筛选器只能有一种类型的筛选器;它不能同时包含邮箱筛选器和站点筛选器。同样,它不能同时包含邮箱筛选器和邮箱内容筛选器。但是,筛选器可以包含同类型的更复杂的查询。例如,"Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"

重要: 您必须创建搜索权限筛选器以显式禁止用户在特定Office 365服务 (如阻止用户搜索任何Exchange邮箱或任何SharePoint网站) 中搜索内容的位置。换言之,创建允许用户在组织中搜索所有SharePoint网站的搜索权限筛选器不会阻止该用户搜索邮箱。例如,若要允许SharePoint仅搜索 SharePoint 网站的管理员,您需要创建的筛选器阻止它们搜索邮箱的创建。同样,若要允许Exchange管理员仅搜索邮箱,您需要创建的筛选器阻止它们搜索网站的创建。

Users

Users参数指定的用户获取此筛选器应用于其内容的搜索。 确定用户通过别名或主 SMTP 地址。您可以指定用逗号分隔的多个值,也可以使用的所有值为所有用户分配筛选器。

您还可以使用 Users 参数可以指定一个 安全与合规中心 角色组。这可让您创建一个自定义角色组,然后为该角色组分配搜索权限筛选器。例如,假设您具有一家跨国公司美国子公司的电子数据展示管理员自定义角色组。您可以使用 Users 参数指定此角色组(通过使用角色组的“名称”属性),然后使用 Filter 参数仅允许搜索美国的邮箱。

您不能使用此参数指定通讯组。

返回页首

示例

下面是使用 New-ComplianceSecurityFilter cmdlet 创建搜索权限筛选器的示例。

此示例允许用户 annb@contoso.com 仅对加拿大的邮箱执行所有内容搜索操作。此筛选器包含 ISO 3166-1 标准的加拿大三位数字国家/地区代码。

New-ComplianceSecurityFilter -FilterName CountryFilter  -Users annb@contoso.com -Filters "Mailbox_CountryCode  -eq '124'" -Action All

此示例允许用户 donh 和 suzanf 仅搜索 CustomAttribute1 邮箱属性中具有值“Marketing”的邮箱。

New-ComplianceSecurityFilter -FilterName MarketingFilter  -Users donh,suzanf -Filters "Mailbox_CustomAttribute1  -eq 'Marketing'" -Action Search

此示例允许“美国发现管理员”角色组的成员仅对美国的邮箱执行所有内容搜索操作。此筛选器包含 ISO 3166-1 标准的美国三位数字国家/地区代码。

New-ComplianceSecurityFilter -FilterName USDiscoveryManagers  -Users "US Discovery Managers" -Filters "Mailbox_CountryCode  -eq '840'" -Action All

此分配示例将允许电子数据展示管理员角色组的成员仅搜索渥太华用户通讯组成员的邮箱。

$DG = Get-DistributionGroup "Ottawa Users"
 
New-ComplianceSecurityFilter -FilterName DGFilter  -Users eDiscoveryManager -Filters "Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'" -Action Search

此示例防止任何用户删除执行团队通讯组成员邮箱中的内容。

$DG = Get-DistributionGroup "Executive Team"
 
New-ComplianceSecurityFilter -FilterName NoExecutivesPreview  -Users all -Filters "Mailbox_MemberOfGroup -ne '$($DG.DistinguishedName)'" -Action Purge

此示例允许 OneDrive 电子数据展示管理员自定义角色组的成员仅搜索组织中 OneDrive for Business 位置的内容。

New-ComplianceSecurityFilter -FilterName OneDriveOnly  -Users "OneDrive eDiscovery Managers" -Filters "Site_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Action Search

注意: 若要限制搜索特定网站的用户,使用筛选器Site_Path中,如上例中所示。使用Site_Site不起作用。

此示例将用户限制为仅对 2015 日历年期间发送的电子邮件执行所有内容搜索操作。

New-ComplianceSecurityFilter -FilterName EmailDateRestrictionFilter -Users donh@contoso.com -Filters "MailboxContent_Received -ge '01-01-2015' -and MailboxContent_Received -le '12-31-2015'" -Action All

与上一示例类似,此示例将用户限制为对最近更改时间为 2015 日历年某个时间的文档执行所有内容搜索操作。

New-ComplianceSecurityFilter -FilterName DocumentDateRestrictionFilter -Users donh@contoso.com -Filters "SiteContent_LastModifiedTime -ge '01-01-2015' -and SiteContent_LastModifiedTime -le '12-31-2015'" -Action All

本示例可防止在组织中的任何邮箱执行内容搜索操作的"OneDrive 发现经理"角色组成员。

New-ComplianceSecurityFilter -FilterName NoEXO -Users "OneDrive Discovery Managers" -Filters "Mailbox_Alias -notlike '*'"  -Action All

返回页首

Get-ComplianceSecurityFilter

Get-ComplianceSecurityFilter 用于返回搜索权限筛选器列表。使用 FilterName 参数返回特定搜索筛选器的信息。

设置 ComplianceSecurityFilter

Set-ComplianceSecurityFilter 用于修改现有搜索权限筛选器。所需的唯一参数是 FilterName。

参数

说明

Action

Action参数指定这种类型的筛选器应用于的搜索操作。内容搜索操作可以是:

  • 导出   导出搜索结果时,应用的筛选器。

  • 预览   预览搜索结果时,应用的筛选器。

  • 清除   清除搜索结果时应用筛选器。

  • 搜索   运行搜索时,应用的筛选器。

  • 所有   筛选器应用于所有搜索操作。

FilterName

FilterName 参数指定权限筛选器的名称。

Filters

Filters 参数指定遵从性安全筛选器的搜索条件。您可以创建两个不同种类的筛选器:

  • 邮箱筛选      这种类型的筛选器指定分配的用户(通过 Users 参数指定)可以搜索的邮箱。这种类型的筛选器的语法是 Mailbox_MailboxPropertyName,其中 MailboxPropertyName 指定用于限制可以搜索的邮箱范围的邮箱属性。例如,邮箱筛选器 "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" 允许分配了此筛选器的用户仅搜索在 CustomAttribute10 属性中具有值“OttawaUsers”的邮箱。

    MailboxPropertyName属性,可以使用任何支持可筛选收件人的属性。支持的属性的列表,请参阅可筛选属性-RecipientFilter 参数

  • 邮箱内容筛选      将在可搜索的内容上应用这种类型的筛选器。它指定分配的用户可以搜索的邮箱内容。这种类型的筛选器的语法是 MailboxContent_SearchablePropertyName:value,其中 SearchablePropertyName 指定可以在内容搜索中指定的关键字查询语言 (KQL) 属性。例如,邮箱内容筛选器 MailboxContent_recipients:contoso.com 将允许分配了此筛选器的用户仅搜索发送到 contoso.com 域中的收件人的邮件。

    搜索邮件属性的列表,请参阅为内容搜索关键字查询

  • 站点和站点内容筛选      有两个 SharePoint 和 OneDrive for Business 站点相关筛选器,您可用来指定分配的用户可以搜索的站点或站点内容:

    • Site_SearchableSiteProperty

    • SiteContent_SearchableSiteProperty

    以下两个筛选器互换;例如"Site_Path -like 'https://contoso.spoppe.com/sites/doctors*'""SiteContent_Path -like 'https://contoso.spoppe.com/sites/doctors*'"将返回相同的结果。但若要帮助确定筛选器的用途,您可以使用Site_指定网站相关的属性 (如网站 URL) 和SiteContent_若要指定内容相关的属性 (如文档类型。例如,筛选器"Site_Path -like 'https://contoso.spoppe.com/sites/doctors*'"将允许用户分配此筛选器仅搜索 https://contoso.spoppe.com/sites/doctors 网站集内的内容。筛选器"SiteContent_FileExtension -eq 'docx'"将允许用户分配此筛选以仅搜索的 Word 文档 (Word 2007 和更高版本)。

    有关可搜索的网站属性的列表,请参阅 SharePoint 中的爬网和托管属性概述。“可查询”列中标记为“是”的属性可用于创建网站或网站内容筛选器。

重要: 一个搜索筛选器只能有一种类型的筛选器;它不能同时包含邮箱筛选器和站点筛选器。同样,它不能同时包含邮箱筛选器和邮箱内容筛选器。但是,筛选器可以包含同类型的更复杂的查询。例如,"Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"

Users

Users 参数指定将此筛选器应用于其内容搜索的用户。因为这是一个多值属性,所以使用此参数指定用户或用户组将覆盖现有用户列表。请参阅下面的示例了解有关添加和删除选定用户的语法。

您还可以使用 Users 参数可以指定一个 安全与合规中心 角色组。这可让您创建一个自定义角色组,然后为该角色组分配搜索权限筛选器。例如,假设您具有一家跨国公司美国子公司的电子数据展示管理员自定义角色组。您可以使用 Users 参数指定此角色组(通过使用角色组的“名称”属性),然后使用 Filter 参数仅允许搜索美国的邮箱。

您不能使用此参数指定通讯组。

返回页首

示例

以下示例显示如何使用 Get-ComplianceSecurityFilterSet-ComplianceSecurityFilter cmdlet 在分配了该筛选器的现有用户列表中添加或删除用户。当您在筛选器中添加或删除用户时,使用这些用户的 SMTP 地址指定用户。

此示例是将用户添加到筛选器。

$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
 
$filterusers.users.add("pilarp@contoso.com")
 
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users

此示例是从筛选器中删除用户。

$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
 
$filterusers.users.remove("annb@contoso.com")
 
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users

返回页首

删除 ComplianceSecurityFilter

Remove-ComplianceSecurityFilter 用于删除搜索筛选器。使用 FilterName 参数可以指定要删除的筛选器。

详细信息

  • 如何执行搜索筛选工作的权限?     内容搜索运行时,权限筛选器将添加到搜索查询。权限筛选实际上联接布尔运算符搜索查询。例如,假设您有权限筛选器,使何石上的工作人员通讯组的成员的邮箱中执行搜索的所有操作。然后何石运行搜索查询sender:jerry@adatum.com与组织中的所有邮箱内容的搜索。权限筛选器和搜索查询逻辑运算符的组合,因为搜索将返回由 jerry@adatum.com 发送到的工作人员通讯组的任何成员的任何邮件。

  • 如果您有多个搜索权限筛选器会发生什么情况?     在内容搜索查询中,由布尔运算符组合多个权限筛选器。因此任何筛选器是否为 true,则将返回结果。 在内容搜索,所有筛选器 (运算符的组合) 然后合并在一起搜索查询运算符。 让我们的上一示例中,在其中搜索筛选器允许何石仅搜索的工作人员通讯组的成员的邮箱。 然后,我们创建另一个筛选器阻止何石搜索 Phil 的邮箱 ("Mailbox_Alias-新 'Phil")。然后,我们也假设 Phil 是工作人员组的成员。 何石运行时内容搜索 (从上一示例中) 在组织中的所有邮箱,搜索结果将返回 Phil 的邮箱中,即使应用筛选器以防止何石搜索 Phil 的邮箱。这是因为第一个筛选器,它允许何石搜索同事组中,为 true。 然后何石因为 Phil 是工作人员组的成员,可以搜索 Phil 的邮箱。

  • 是否搜索筛选工作处于非活动状态的邮箱的权限?   是,您可以使用邮箱和邮箱内容筛选器来限制谁可以搜索您的组织中的非活动状态的邮箱。常规邮箱,如非活动状态的邮箱具有用于创建权限筛选器的收件人属性用来配置。如有必要,您可以使用Get-Mailbox -InactiveMailboxOnly命令以显示非活动状态的邮箱的属性。 有关详细信息,请参阅联机在 Exchange 管理处于非活动状态的邮箱

  • 是否搜索筛选工作的公用文件夹的权限?   不。为前面所述,搜索筛选的权限,也不能用于限制哪些人可以在Exchange中搜索公用文件夹。例如,不能通过权限筛选搜索结果中排除公用文件夹位置中的项目。

  • 不允许用户搜索特定服务中的所有内容的位置也阻止它们在其他服务中搜索内容的位置?   不。为前面所述,您必须创建搜索权限筛选器以显式禁止用户在特定Office 365服务 (如阻止用户搜索任何Exchange邮箱或任何SharePoint中搜索内容的位置网站)。换言之,创建允许用户在组织中搜索所有SharePoint网站的搜索权限筛选器不会阻止该用户搜索邮箱。例如,若要允许SharePoint仅搜索 SharePoint 网站的管理员,您需要创建的筛选器阻止它们搜索邮箱的创建。同样,若要允许Exchange管理员仅搜索邮箱,您需要创建的筛选器阻止它们搜索网站的创建。

返回页首

扩展你的 Office 技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×