設定內容搜尋的權限篩選

重要:  本文係由機器翻譯而成,請參閱免責聲明。本文的英文版本請見這裡,以供參考。

您可以使用搜尋權限篩選,讓 eDiscovery 管理員僅搜尋您的 Office 365 組織中的信箱和網站的子集。您也可以使用權限篩選,讓相同的 eDiscovery 管理員僅搜尋符合特定搜尋準則的信箱或網站內容。例如,您可以讓 eDiscovery 管理員只在特定位置或部門中搜尋使用者的信箱。您可以藉由建立篩選器來完成這個動作,該篩選器使用支援的收件者篩選器以限制可搜尋的信箱。您也可以建立篩選器,指定可搜尋的信箱內容。可以藉由建立篩選器來完成這個動作,該篩選器會使用可搜尋的郵件屬性。同樣地,您可能會讓 eDiscovery 管理員只搜尋組織中特定 SharePoint 網站。您可以藉由建立篩選器來完成這個動作,該篩選器會限制可搜尋的網站。您也可以建立篩選器,指定可搜尋的網站內容。可以藉由建立篩選器來完成這個動作,該篩選器會使用可搜尋的網站屬性。

搜尋篩選的權限是由Office 365 安全性與合規性中心的內容搜尋功能支援。 這些四個 cmdlet 可讓您設定及管理安全性篩選:

新 ComplianceSecurityFilter

取得 ComplianceSecurityFilter

設定 ComplianceSecurityFilter

移除 ComplianceSecurityFilter

如需有關這些 cmdlet 的詳細資訊,請參閱Office 365 的安全性與規範中心 cmdlet的 「 內容搜尋 cmdlet 」 一節。

開始之前

  • 若要執行的規範安全性篩選指令程式,您必須是安全性與合規性中心的組織管理角色群組成員。如需詳細資訊,請參閱在 Office 365 的安全性與規範中心的權限

  • 您必須將 Windows PowerShell「同時」連接至 安全性與合規性中心 和您的 Exchange Online 組織,以使用符合性安全性篩選器 Cmdlet。這是必要的,因為這些 Cmdlet 需要存取信箱屬性,這就是為什麼您必須連接至 Exchange Online。請參閱下一節中的步驟。

  • 請參閱有關搜尋的權限篩選的其他資訊的詳細資訊] 區段。

  • 搜尋篩選的權限適用於非作用中的信箱],這表示您可以使用信箱和篩選,來限制人員可以搜尋非作用中的信箱的信箱內容。 請參閱有關篩選的權限和非使用中的信箱的其他資訊的詳細資訊] 區段。

  • 搜尋篩選的權限無法用來限制人員可以在Exchange中搜尋公用資料夾。

在單一的遠端 PowerShell 工作階段中連線至安全性與合規性中心和Exchange Online

  1. 將下列文字儲存至 Windows PowerShell 指令碼檔案,方法是使用 .ps1 檔名尾碼。例如,您可以儲存至名為 ConnectEXO-CC.ps1 的檔案。

    $UserCredential = Get-Credential
    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell-liveid -Credential $UserCredential -Authentication Basic -AllowRedirection
    Import-PSSession $Session -DisableNameChecking
    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid -Credential $UserCredential -Authentication Basic -AllowRedirection
    Import-PSSession $Session -AllowClobber -DisableNameChecking
    $Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Exchange Online + Compliance Center)"
  2. 在您的本機電腦中開啟 Windows PowerShell,移至前一步驟建立之指令碼的所在資料夾,然後執行指令碼,例如:

    .\ConnectEXO-CC.ps1

如何知道這是否正常運作?執行指令碼之後,安全性與合規性中心 和 Exchange Online 的 Cmdlet 會匯入至您的本機 Windows PowerShell 工作階段。如果您未收到任何錯誤,便已順利連線。若要做快速測試,您可以執行一個 安全性與合規性中心 Cmdlet (例如 Install-UnifiedCompliancePrerequisite),和一個 Exchange Online Cmdlet (例如 Get-Mailbox)。

如果您收到錯誤,請檢查下列需求:

  • 密碼錯誤是常見的問題。再次執行這兩個步驟,並密切注意您在步驟 1 中輸入的使用者名稱和密碼。

  • 請確認您的帳戶有權存取安全性與合規性中心。如需詳細資訊,請參閱授與使用者存取權的安全性與規範中心

  • 為防止拒絕服務 (DoS) 攻擊,您最多只能對 安全性與合規性中心 建立三個遠端 PowerShell 連線。

  • Windows PowerShell必須設定為執行指令碼。您需要設定此設定只有一次在電腦上,不每當您連線。若要啟用Windows PowerShell執行已簽署的指令碼,請執行下列命令提高權限的Windows PowerShell視窗 ( Windows PowerShell您開啟以選取 [以系統管理員身分執行] 視窗) 中。

    Set-ExecutionPolicy RemoteSigned
  • 本機電腦與 Office 365 之間必須開啟 TCP 連接埠 80 流量。該連接埠可能已開啟,但必須考量您的組織是否有限制性網際網路存取原則。

回到頁首

新 ComplianceSecurityFilter

New-ComplianceSecurityFilter 用來建立新的搜尋權限篩選。 下表說明需此 cmdlet 的參數。所有參數,都才能建立規範安全性篩選。

參數

描述

Action

Action參數會指定搜尋動作的篩選套用到該類型。可能的內容搜尋動作是:

  • 匯出   匯出搜尋結果時,就會套用篩選。

  • 預覽   預覽搜尋結果時,就會套用篩選。

  • 清除   清除搜尋結果時,就會套用篩選。

  • 搜尋   執行搜尋時,就會套用篩選。

  • 所有   篩選會套用至所有搜尋巨集指令。

FilterName

FilterName 參數會指定權限篩選器的名稱。此名稱是用來在使用 Get-ComplianceSecurityFilterSet-ComplianceSecurityFilter,Remove-ComplianceSecurityFilter Cmdlet 時識別篩選器。

Filters

Filters 參數會指定符合性安全性篩選器的搜尋準則。您可以建立三個不同類型的篩選器:

  • 信箱篩選      這種篩選器會指定受指派使用者 (由 Users 參數指定) 可以搜尋的信箱。此類型篩選器的語法是 Mailbox_MailboxPropertyName,其中 MailboxPropertyName 會指定用來設定可搜尋信箱範圍的信箱屬性。例如,信箱篩選器 "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" 允許獲指派此篩選器的使用者只搜尋在 CustomAttribute10 屬性中具有值 "OttawaUsers" 的信箱。

    任何支援的了收件者屬性可以用於MailboxPropertyName屬性。支援的屬性的清單,請參閱了屬性-RecipientFilter 參數

  • 信箱內容篩選      此類型篩選器會套用到可搜尋的內容。這會指定指派的使用者可以搜尋的信箱內容。此類型篩選器的語法是 MailboxContent_SearchablePropertyName:value,其中SearchablePropertyName 指定可以在內容搜尋中指定的關鍵字查詢語言 (KQL) 屬性。例如,信箱內容篩選器 MailboxContent_recipients:contoso.com 可讓獲指派此篩選器的使用者只搜尋傳送至 contoso.com 網域中收件者的郵件。

    如需可搜尋郵件屬性的清單,請參閱Keyword queries for Content Search

  • 網站與網站內容篩選      有兩個 SharePoint 和 商務用 OneDrive 網站相關的篩選器可用來指定受指派的使用者可以搜尋哪些網站或網站內容:

    • Site_SearchableSiteProperty

    • SiteContent_SearchableSiteProperty

    下列兩個篩選則交換;例如"Site_Path -like 'https://contoso.sharepoint.com/sites/doctors*'""SiteContent_Path -like 'https://contoso.sharepoint.com/sites/doctors*'"會傳回相同的結果。但是,協助您識別篩選功能,您可以使用Site_指定與網站相關的屬性 (例如網站 URL) 與SiteContent_指定內容相關的屬性 (例如文件類型。例如,篩選"Site_Path -like 'https://contoso.sharepoint.com/sites/doctors*'"可讓使用者指派給此篩選,只搜尋 https://contoso.sharepoint.com/sites/doctors 網站集合中的內容。篩選"SiteContent_FileExtension -eq 'docx'"可讓使用者指派至 Word 文件 (Word 2007 及更新版本) 只搜尋這個篩選器。

    如需可搜尋的網站內容清單,請參閱 SharePoint 中已編目和受管理內容的概觀。[可查詢] 欄標示 [是] 的內容,可以用來建立網站或網站內容篩選器。

重要: 單一搜尋篩選器只能有一種類型的篩選器;它不能包含信箱篩選器和網站篩選器;同樣地,它不能包含信箱篩選器和信箱內容篩選器。不過,篩選器可以包含相同類型的較複雜查詢。例如,"Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"

重要: 您必須建立搜尋權限篩選明確防止使用者特定Office 365服務 (例如,防止使用者搜尋任何Exchange信箱或任何SharePoint網站) 中搜尋內容的位置。換句話說,建立可讓使用者在組織中搜尋所有SharePoint網站都搜尋權限篩選無法阻止該使用者搜尋信箱。例如,若要允許SharePoint只搜尋 SharePoint 網站的管理員,您必須建立建立防止搜尋信箱的篩選。同樣地,若要允許只搜尋信箱Exchange管理員,您必須建立建立可防止搜尋網站的篩選。

Users

Users參數會指定取得此將篩選套用到內容搜尋結果的使用者。 找出使用者使用其別名或主要的 SMTP 位址。您可以指定多個以逗號分隔的值,或者您也可以使用所有值的所有使用者指派篩選。

您也可以使用 Users 參數以指定 安全性與合規性中心 角色群組。這可讓您建立自訂角色群組,然後為該角色群組指派搜尋權限篩選器。例如,假設您有多國公司的美國子公司的 eDiscovery 管理員的自訂角色群組。您可以使用 Users 參數來指定此角色群組 (使用角色群組的 Name 內容),然後使用 Filter 參數僅允許搜尋在美國的信箱。

使用此參數,無法指定通訊群組。

回到頁首

範例

以下是使用 New-ComplianceSecurityFilter Cmdlet 來建立搜尋權限篩選器的範例。

此範例允許使用者 annb@contoso.com 僅針對加拿大的信箱執行所有內容搜尋動作。此篩選器包含根據 ISO 3166-1 的三位數數字加拿大國碼。

New-ComplianceSecurityFilter -FilterName CountryFilter  -Users annb@contoso.com -Filters "Mailbox_CountryCode  -eq '124'" -Action All

此範例允許使用者 donh 和 suzanf 僅搜尋針對 CustomAttribute1 信箱屬性具有值「行銷」的信箱。

New-ComplianceSecurityFilter -FilterName MarketingFilter  -Users donh,suzanf -Filters "Mailbox_CustomAttribute1  -eq 'Marketing'" -Action Search

此範例允許「美國探索管理員」角色群組的成員僅針對美國的信箱執行所有內容搜尋動作。此篩選器包含根據 ISO 3166-1 的三位數數字美國國碼。

New-ComplianceSecurityFilter -FilterName USDiscoveryManagers  -Users "US Discovery Managers" -Filters "Mailbox_CountryCode  -eq '840'" -Action All

此範例會指派允許 eDiscovery 管理員角色群組的成員僅搜尋 Ottawa Users 通訊群組成員的信箱。

$DG = Get-DistributionGroup "Ottawa Users"
New-ComplianceSecurityFilter -FilterName DGFilter  -Users eDiscoveryManager -Filters "Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'" -Action Search

此範例可防止任何使用者從 Executive Team 通訊群組成員的信箱刪除內容。

$DG = Get-DistributionGroup "Executive Team"
New-ComplianceSecurityFilter -FilterName NoExecutivesPreview  -Users all -Filters "Mailbox_MemberOfGroup -ne '$($DG.DistinguishedName)'" -Action Purge

此範例可讓「OneDrive eDiscovery 管理員」自訂角色群組的成員僅搜尋組織中 商務用 OneDrive 位置的內容。

New-ComplianceSecurityFilter -FilterName OneDriveOnly  -Users "OneDrive eDiscovery Managers" -Filters "Site_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Action Search

附註: 若要限制搜尋特定網站的使用者,請使用篩選Site_Path,在先前範例所示。使用Site_Site將無法運作。

此範例會限制使用者只能對 2015 年期間傳送的電子郵件執行所有內容搜尋動作。

New-ComplianceSecurityFilter -FilterName EmailDateRestrictionFilter -Users donh@contoso.com -Filters "MailboxContent_Received -ge '01-01-2015' -and MailboxContent_Received -le '12-31-2015'" -Action All

類似於先前的範例,此範例會限制使用者對於在 2015 年進行最後變更的文件執行所有內容搜尋動作。

New-ComplianceSecurityFilter -FilterName DocumentDateRestrictionFilter -Users donh@contoso.com -Filters "SiteContent_LastModifiedTime -ge '01-01-2015' -and SiteContent_LastModifiedTime -le '12-31-2015'" -Action All

本範例會防止組織中的任何信箱上執行內容搜尋動作 」 OneDrive 探索管理員 」 角色群組的成員。

New-ComplianceSecurityFilter -FilterName NoEXO -Users "OneDrive Discovery Managers" -Filters "Mailbox_Alias -notlike '*'"  -Action All

回到頁首

Get-ComplianceSecurityFilter

Get-ComplianceSecurityFilter 是用來傳回搜尋權限篩選器的清單。使用 FilterName 參數來傳回特定搜尋篩選器的資訊。

設定 ComplianceSecurityFilter

Set-ComplianceSecurityFilter 是用來修改現有的搜尋權限篩選器。唯一必要的參數是 FilterName。

參數

描述

Action

Action參數會指定搜尋動作的篩選套用到該類型。可能的內容搜尋動作是:

  • 匯出   匯出搜尋結果時,就會套用篩選。

  • 預覽   預覽搜尋結果時,就會套用篩選。

  • 清除   清除搜尋結果時,就會套用篩選。

  • 搜尋   執行搜尋時,就會套用篩選。

  • 所有   篩選會套用至所有搜尋巨集指令。

FilterName

FilterName 參數會指定權限篩選器的名稱。

Filters

Filters 參數會指定符合性安全性篩選器的搜尋準則。您可以建立兩個不同類型的篩選器:

  • 信箱篩選      這種篩選器會指定受指派使用者 (由 Users 參數指定) 可以搜尋的信箱。此類型篩選器的語法是 Mailbox_MailboxPropertyName,其中 MailboxPropertyName 會指定用來設定可搜尋信箱範圍的信箱屬性。例如,信箱篩選器 "Mailbox_CustomAttribute10 -eq 'OttawaUsers'" 允許獲指派此篩選器的使用者只搜尋在 CustomAttribute10 屬性中具有值 "OttawaUsers" 的信箱。

    任何支援的了收件者屬性可以用於MailboxPropertyName屬性。支援的屬性的清單,請參閱了屬性-RecipientFilter 參數

  • 信箱內容篩選      此類型篩選器會套用到可搜尋的內容。這會指定指派的使用者可以搜尋的信箱內容。此類型篩選器的語法是 MailboxContent_SearchablePropertyName:value,其中SearchablePropertyName 指定可以在內容搜尋中指定的關鍵字查詢語言 (KQL) 屬性。例如,信箱內容篩選器 MailboxContent_recipients:contoso.com 可讓獲指派此篩選器的使用者只搜尋傳送至 contoso.com 網域中收件者的郵件。

    可以搜尋郵件內容的清單,請參閱內容搜尋關鍵字查詢

  • 網站與網站內容篩選      有兩個 SharePoint 和 商務用 OneDrive 網站相關的篩選器可用來指定受指派的使用者可以搜尋哪些網站或網站內容:

    • Site_SearchableSiteProperty

    • SiteContent_SearchableSiteProperty

    下列兩個篩選則交換;例如"Site_Path -like 'https://contoso.spoppe.com/sites/doctors*'""SiteContent_Path -like 'https://contoso.spoppe.com/sites/doctors*'"會傳回相同的結果。但是,協助您識別篩選功能,您可以使用Site_指定與網站相關的屬性 (例如網站 URL) 與SiteContent_指定內容相關的屬性 (例如文件類型。例如,篩選"Site_Path -like 'https://contoso.spoppe.com/sites/doctors*'"可讓使用者指派給此篩選,只搜尋 https://contoso.spoppe.com/sites/doctors 網站集合中的內容。篩選"SiteContent_FileExtension -eq 'docx'"可讓使用者指派至 Word 文件 (Word 2007 及更新版本) 只搜尋這個篩選器。

    如需可搜尋的網站內容清單,請參閱 SharePoint 中已編目和受管理內容的概觀。[可查詢] 欄標示 [是] 的內容,可以用來建立網站或網站內容篩選器。

重要: 單一搜尋篩選器只能有一種類型的篩選器;它不能包含信箱篩選器和網站篩選器;同樣地,它不能包含信箱篩選器和信箱內容篩選器。不過,篩選器可以包含相同類型的較複雜查詢。例如,"Mailbox_CustomAttribute10 -eq 'FTE' -and Mailbox_MemberOfGroup -eq '$($DG.DistinguishedName)'"

Users

Users 參數會指定將此篩選器套用至其內容搜尋的使用者。由於這是多重值屬性,使用此參數指定使用者或使用者群組將會覆寫現有的使用者清單。請參閱下列範例以了解新增和移除選取的使用者的語法。

您也可以使用 Users 參數以指定 安全性與合規性中心 角色群組。這可讓您建立自訂角色群組,然後為該角色群組指派搜尋權限篩選器。例如,假設您有多國公司的美國子公司的 eDiscovery 管理員的自訂角色群組。您可以使用 Users 參數來指定此角色群組 (使用角色群組的 Name 內容),然後使用 Filter 參數僅允許搜尋在美國的信箱。

使用此參數,無法指定通訊群組。

回到頁首

範例

這些範例顯示如何使用 Get-ComplianceSecurityFilterSet-ComplianceSecurityFilter Cmdlet,來新增或移除獲指派此篩選器的現有使用者清單中的使用者。當您新增或移除篩選器的使用者時,使用其 SMTP 位址指定使用者。

此範例會將使用者新增至篩選器。

$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.add("pilarp@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users

此範例會從篩選器移除使用者。

$filterusers = Get-ComplianceSecurityFilter -FilterName OttawaUsersFilter
$filterusers.users.remove("annb@contoso.com")
Set-ComplianceSecurityFilter -FilterName OttawaUsersFilter -Users $filterusers.users

回到頁首

移除 ComplianceSecurityFilter

Remove-ComplianceSecurityFilter 是用來刪除搜尋篩選器。使用 FilterName 參數來指定您想要刪除的篩選器。

其他資訊

  • 如何並搜尋篩選工作的權限?     [權限] 篩選會新增至搜尋查詢執行內容的搜尋。權限篩選基本上加入搜尋查詢布林值運算子。例如,假設您有權限篩選可讓同事通訊群組的成員的信箱上執行所有的搜尋動作百勝。然後百勝執行搜尋查詢sender:jerry@adatum.com與組織中的所有信箱內容的搜尋。權限篩選搜尋查詢以邏輯方式結合運算子,因為搜尋會傳回 jerry@adatum.com 傳送給同事通訊群組的任何成員的所有郵件。

  • 如果您有多個搜尋權限篩選,會發生什麼情況?     在內容搜尋查詢中,布林值運算子藉由組合多個權限篩選。因此,任何篩選器是否均為 true,會傳回結果。 在內容搜尋,所有篩選 (運算子都合併) 會都合併搜尋查詢運算子。 讓我們來看前一個範例中,位置搜尋篩選可讓百勝只搜尋同事通訊群組的成員的信箱。 然後,我們建立另一個篩選的防止百勝搜尋費歐的信箱 (「 Mailbox_Alias-ne '費歐' 」)。然後,我們也假設費歐是工作者群組的成員。 百勝執行時內容的搜尋 (從先前的範例) 在組織中所有的信箱,搜尋結果會傳回費歐的信箱,即使您套用篩選,以防止百勝搜尋費歐的信箱。這是因為第一個篩選,可讓同事群組搜尋百勝,則為 true。 然後百勝因為費歐工作者群組的成員,可以搜尋費歐的信箱。

  • 會搜尋篩選工作非作用中的信箱的權限?   是的您可以使用信箱 」 和 「 信箱內容篩選,來限制誰可以搜尋您組織中的非作用中的信箱。像一般的信箱,非使用中的信箱必須使用 [收件者] 屬性,可用來建立權限篩選設定。如有需要,您可以使用 [ Get-Mailbox -InactiveMailboxOnly ] 命令,顯示的非作用中的信箱的內容。 如需詳細資訊,請參閱管理信箱停用在 Exchange Online

  • 會搜尋篩選工作的公用資料夾的權限?   [否]。為先前所解釋,搜尋篩選的權限不能用來限制人員可以在Exchange中搜尋公用資料夾。例如,公用資料夾位置中的項目無法從搜尋結果排除,權限篩選。

  • 會讓使用者以搜尋特定服務中的所有內容的位置防止使用者從其他服務中搜尋內容的位置?   [否]。如先前所解釋,您必須建立搜尋權限篩選明確防止使用者特定Office 365服務 (例如,防止使用者搜尋任何Exchange信箱或任何SharePoint中搜尋內容的位置網站)。換句話說,建立可讓使用者在組織中搜尋所有SharePoint網站都搜尋權限篩選無法阻止該使用者搜尋信箱。例如,若要允許SharePoint只搜尋 SharePoint 網站的管理員,您必須建立建立防止搜尋信箱的篩選。同樣地,若要允許只搜尋信箱Exchange管理員,您必須建立建立可防止搜尋網站的篩選。

回到頁首

附註: 機器翻譯免責聲明︰本文係以電腦系統翻譯而成,未經人為介入。Microsoft 提供此等機器翻譯旨在協助非英語系使用者輕鬆閱讀 Microsoft 產品、服務及技術相關內容。基於本文乃由機器翻譯而成,因此文中可能出現詞辭、語法、文法上之錯誤。

擴展您的技能
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×