Partager via

Configurer les limites de conformité dans eDiscovery

Les limites de conformité créent des limites logiques au sein d'une organisation qui contrôlent les emplacements de contenu utilisateur (tels que les boîtes aux lettres, les comptes OneDrive et les sites Microsoft Office SharePoint Online) que les gestionnaires de découverte électronique peuvent rechercher. Les limites de conformité contrôlent également qui peut accéder aux cas eDiscovery utilisés pour gérer les enquêtes juridiques, humaines ou autres au sein de votre organization.

Vous avez souvent besoin de limites de conformité pour les sociétés multinationales qui doivent respecter les frontières géographiques et les réglementations, et pour les gouvernements qui sont divisés en différentes agences. Dans Microsoft 365, les limites de conformité vous aident à répondre à ces exigences lors de l’exécution de recherches de contenu et de la gestion des investigations à l’aide de cas eDiscovery.

Conseil

Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.

Exemple de scénario

L’illustration suivante montre comment fonctionnent les limites de conformité.

Les limites de conformité consistent en des filtres d'autorisations de recherche qui contrôlent l'accès aux agences et aux groupes de rôles d'administrateur qui contrôlent l'accès aux cas de découverte électronique.

Dans cet exemple, Contoso LTD est une organization qui se compose de deux filiales, Fourth Coffee et Coho Winery. L’entreprise exige que les responsables et les enquêteurs eDiscovery puissent uniquement effectuer des recherches dans les boîtes aux lettres Exchange, les comptes OneDrive et les sites SharePoint de leur agence. En outre, les responsables et les enquêteurs eDiscovery peuvent uniquement voir les cas eDiscovery dans leur agence, et ils peuvent uniquement accéder aux cas dont ils sont membres. Dans ce scénario, les enquêteurs ne peuvent pas mettre des emplacements de contenu en attente ou exporter du contenu à partir d’un cas. Voici comment les limites de conformité répondent à ces exigences.

  • La fonctionnalité de filtrage des autorisations de recherche pour eDiscovery contrôle les emplacements de contenu que les responsables eDiscovery et les enquêteurs peuvent rechercher. Ce contrôle signifie que les responsables eDiscovery et les enquêteurs de l’agence Fourth Coffee peuvent uniquement rechercher des emplacements de contenu dans la filiale Fourth Coffee. La même restriction s’applique à la filiale de Coho Winery.

  • Les groupes de rôles fournissent les fonctions suivantes pour les limites de conformité :

    • Contrôler qui peut voir les cas eDiscovery dans le portail Microsoft Purview. Ce contrôle signifie que les responsables eDiscovery et les enquêteurs peuvent uniquement voir les cas eDiscovery dans leur agence.
    • Contrôler qui peut affecter des membres à un cas eDiscovery. Ce contrôle signifie que les gestionnaires et les enquêteurs eDiscovery peuvent uniquement affecter des membres à des cas dont ils sont eux-mêmes membres.
    • Contrôlez les tâches liées à eDiscovery que les membres peuvent effectuer en ajoutant ou en supprimant des rôles qui attribuent des autorisations spécifiques.

  • Lorsqu’un filtre d’autorisations de recherche est appliqué à un groupe de rôles, les membres du groupe de rôles peuvent effectuer les actions de recherche suivantes tant que les autorisations permettant d’effectuer une action sont affectées au groupe de rôles :

    • Recherche de contenu
    • Aperçu des résultats de la recherche
    • Exporter les résultats de la recherche
    • Vider les éléments retournés par une recherche

Avant de configurer les limites de conformité

  • Attribuez aux utilisateurs une licence Exchange Online. Pour vérifier les affectations, utilisez l’applet de commande Get-User dans Exchange Online PowerShell.

Configuration des limites de conformité

Pour configurer les limites de conformité, procédez comme suit :

Étape 1 : Identifier un attribut utilisateur pour définir vos agences

Choisissez un attribut pour définir vos agences. Utilisez cet attribut pour créer le filtre d’autorisations de recherche qui limite un gestionnaire eDiscovery à rechercher uniquement les emplacements de contenu des utilisateurs auxquels une valeur spécifique est affectée pour cet attribut. Par exemple, Contoso utilise l’attribut Department . La valeur de cet attribut pour les utilisateurs de la filiale Fourth Coffee est FourthCoffee et la valeur pour les utilisateurs de la filiale Coho Winery est CohoWinery. À l’étape 3, utilisez cette attribute:value paire (par exemple, Department :FourthCoffee) pour limiter les emplacements de contenu utilisateur que les gestionnaires eDiscovery peuvent rechercher.

Voici quelques exemples d’attributs utilisateur que vous pouvez utiliser pour les limites de conformité :

  • Société
  • CustomAttribute1 - CustomAttribute15
  • Service
  • Bureau
  • CountryOrRegion (code pays/région à deux lettres)

Remarque

Lorsque vous sélectionnez les attributs du filtre de sécurité, tenez compte des attributs pris en charge par différents types de boîtes aux lettres dans Exchange Online. Utilisez CustomAttribute1 à CustomAttribute15, car tous les types de boîtes aux lettres dans Exchange prennent en charge ces attributs.

Étape 2 : Créer un groupe de rôles pour chaque agence

Créez des groupes de rôles dans le portail Microsoft Purview qui s’alignent sur vos agences.

Pour créer les groupes de rôles, accédez à Paramètres>Rôles et étendues dans le portail Microsoft Purview. Créez un groupe de rôles pour chaque équipe de chaque agence qui utilise des limites de conformité et des cas eDiscovery pour gérer les enquêtes.

Vous pouvez utiliser un seul groupe de rôles pour attribuer les rôles eDiscovery et le filtre de sécurité à ses membres. L’appartenance à ce groupe de rôles gère à la fois les rôles attribués à l’enquêteur et les emplacements de contenu qu’ils peuvent rechercher.

Utilisez des groupes de rôles distincts. Utilisez un groupe de rôles pour attribuer le filtre de sécurité pour la limite de conformité et un autre groupe de rôles pour attribuer les rôles eDiscovery. En utilisant deux groupes de rôles distincts, vous gérez les rôles attribués à un enquêteur indépendamment des emplacements de contenu qu’il recherche. Utilisez le groupe de rôles pour la limite de conformité uniquement pour appliquer le filtre de sécurité aux membres. Utilisez des groupes de rôles intégrés distincts (Gestionnaire eDiscovery) ou personnalisés pour attribuer des rôles aux membres. Pour plus d’informations sur les rôles liés à eDiscovery, consultez Attribuer des autorisations eDiscovery.

Importante

Les groupes de rôles avec un filtre de sécurité attribué doivent avoir au moins un rôle ajouté pour qu’il prenne effet.

À l’aide du scénario de limites de conformité Contoso, créez quatre groupes de rôles et ajoutez les membres appropriés à chacun d’eux.

  • Gestionnaires eDiscovery de Fourth Coffee
  • Enquêteurs Fourth Coffee
  • Gestionnaires eDiscovery de Coho Winery
  • Enquêteurs Coho Winery

Importante

Si vous ajoutez ou supprimez un rôle à partir d’un groupe de rôles que vous avez ajouté en tant que membre d’un cas, le groupe de rôles est automatiquement supprimé en tant que membre du cas (ou tout cas dont le groupe de rôles est membre). Ce comportement protège vos organization de fournir par inadvertance des autorisations supplémentaires aux membres d’un cas. Si vous supprimez un groupe de rôles, vous le supprimez de tous les cas dont il était membre.

Étape 3 : Créer un filtre d’autorisations de recherche pour appliquer la limite de conformité

Après avoir créé des groupes de rôles pour chaque agence, créez des filtres d’autorisations de recherche qui associent chaque groupe de rôles à son agence spécifique et définissent la limite de conformité. Vous devez créer un filtre d’autorisations de recherche pour chaque agence. Pour plus d’informations sur la création de filtres d’autorisations de sécurité, consultez Configurer le filtrage des autorisations pour eDiscovery.

Voici la syntaxe utilisée pour créer un filtre d’autorisations de recherche utilisé pour les limites de conformité pour le scénario de cet article.

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <role groups> -Filters "Mailbox_<MailboxPropertyName>  -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"

Voici une description de chaque paramètre dans la commande :

  • FilterName: spécifie le nom du filtre. Utilisez un nom qui décrit ou identifie l’agence dans laquelle le filtre est utilisé.

  • Users: spécifie les utilisateurs ou les groupes auxquels ce filtre est appliqué aux actions de recherche qu’ils effectuent. Pour les limites de conformité, ce paramètre spécifie les groupes de rôles (que vous avez créés à l’étape 2) dans l’agence pour laquelle vous créez le filtre. Ce paramètre étant un paramètre à valeurs multiples, vous pouvez inclure un ou plusieurs groupes de rôles, séparés par des virgules.

  • Filters: spécifie les critères de recherche du filtre. Pour les limites de conformité, vous définissez les filtres suivants. Chacun d’eux s’applique à différents emplacements de contenu.

    • Mailbox: spécifie les boîtes aux lettres ou les comptes OneDrive que les groupes de rôles définis dans le Users paramètre peuvent rechercher. Ce filtre permet aux membres du groupe de rôles de rechercher uniquement les boîtes aux lettres ou les comptes OneDrive d’une agence spécifique. par exemple, "Mailbox_Department -eq 'FourthCoffee'".

      Remarque

      Les filtres de boîte aux lettres s’appliquent également aux boîtes aux lettres de groupe Microsoft 365 et aux sites SharePoint connectés. Pour retourner les résultats d’un site SharePoint connecté à un groupe Microsoft 365, les filtres Boîte aux lettres et Contenu du site doivent correspondre à la fois à la boîte aux lettres de groupe Microsoft 365 et au site SharePoint associé.

  • SiteContent: ce filtre comprend deux filtres distincts. La première SiteContent_Path spécifie les sites SharePoint de l’agence que les groupes de rôles définis dans le Users paramètre peuvent rechercher. Par exemple : SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'. Le deuxième SiteContent_Path filtre (connecté au premier SiteContent_Path filtre par l’opérateur or ) spécifie le domaine OneDrive de l’agence (également appelé domaine MySite ). Par exemple : SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'. Vous pouvez également utiliser le filtre à la Site_Path place du SiteContent filtre. Les Site filtres et SiteContent sont interchangeables et n’affectent pas les filtres d’autorisations de recherche décrits dans cet article.

    Importante

    Pourquoi le SiteContent filtre pour OneDrive est-il inclus dans le filtre d’autorisations de recherche précédent ? Bien que le Mailbox filtre s’applique aux boîtes aux lettres et aux comptes OneDrive, l’inclusion du filtre SharePoint exclut les comptes OneDrive si vous n’avez pas également inclus le filtre OneDrive Site . Si le filtre d’autorisations de recherche n’incluait pas de filtre SharePoint, vous n’auriez pas besoin d’inclure un filtre OneDrive distinct, car le filtre boîte aux lettres inclurait des comptes OneDrive dans l’étendue de la limite de conformité. En d’autres termes, un filtre d’autorisations de recherche avec uniquement le Mailbox filtre inclut les boîtes aux lettres et les comptes OneDrive.

Voici des exemples des deux filtres d’autorisations de recherche que vous créez pour prendre en charge le scénario de limites de conformité Contoso. Ces deux exemples incluent une liste de filtres séparés par des virgules, dans laquelle les filtres de boîte aux lettres et de site sont inclus dans le même filtre des autorisations de recherche et sont séparés par une virgule.

Quatrième café

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

Coho Winery

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

Remarque

La syntaxe des paramètres des Filters exemples précédents inclut une liste de filtres. Une liste de filtres est un filtre qui inclut un filtre de boîte aux lettres et un filtre de chemin de site séparés par une virgule. Dans l’exemple précédent, notez qu’une virgule sépare Mailbox et SiteContent filtre : -Filters "Mailbox_<MailboxPropertyName> -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'". Lorsque ce filtre est traité pendant l’exécution d’une recherche eDiscovery, deux filtres d’autorisations de recherche sont créés à partir de la liste des filtres : un filtre de boîte aux lettres et un filtre SharePoint/OneDrive. Une alternative à l’utilisation d’une liste de filtres consiste à créer deux filtres d’autorisations de recherche distincts pour chaque agence : un filtre d’autorisations de recherche pour l’attribut de boîte aux lettres et un filtre pour les attributs de site SharePoint et OneDrive. Dans les deux cas, les résultats sont les mêmes. L’utilisation d’une liste de filtres ou la création de filtres d’autorisations de recherche distincts sont une question de préférence.

Comment fonctionnent les filtres d’autorisations de recherche dans ce scénario ?

Voici comment les filtres d’autorisation de recherche sont appliqués pour chaque agence dans ce scénario.

  1. Le Mailbox filtre est d’abord appliqué pour définir les emplacements de contenu que les gestionnaires eDiscovery peuvent rechercher. Dans ce cas, les responsables coho Winery eDiscovery peuvent uniquement rechercher dans les boîtes aux lettres et les comptes OneDrive des utilisateurs dont la propriété de boîte aux lettres Department a une valeur de FourthCoffee ; Les responsables de Coho Winery eDiscovery peuvent uniquement rechercher dans les boîtes aux lettres et les comptes OneDrive des utilisateurs dont la propriété de boîte aux lettres Department a une valeur de CohoWinery. Le Mailbox filtre est un filtre d’emplacement de contenu, car il spécifie les emplacements de contenu que les gestionnaires eDiscovery peuvent rechercher. Dans les deux filtres, les gestionnaires eDiscovery peuvent uniquement rechercher des emplacements de contenu avec une valeur de propriété de boîte aux lettres spécifique.

  2. Une fois que les emplacements de contenu pouvant faire l’objet d’une recherche sont définis, la partie suivante du filtre définit le contenu que les gestionnaires eDiscovery peuvent rechercher. Le premier SiteContent filtre permet aux gestionnaires Fourth Coffee eDiscovery de rechercher uniquement les documents qui ont une propriété de chemin d’accès de site qui contient (ou commence par) https://contoso.sharepoint.com/sites/FourthCoffee; Les responsables coho Winery eDiscovery peuvent uniquement rechercher des documents qui ont une propriété de chemin d’accès de site qui contient (ou commence par) https://contoso.sharepoint.com/sites/CohoWinery. Par conséquent, les deux SiteContent filtres sont des filtres de contenu , car ils définissent le contenu qui peut être recherché. Dans les deux filtres, les gestionnaires eDiscovery peuvent uniquement rechercher des documents avec une valeur de propriété de document spécifique. Tous les filtres liés à SharePoint sont des filtres de contenu, car les propriétés de site pouvant faire l’objet d’une recherche sont estampillées sur tous les documents. Pour plus d’informations, consultez Configurer le filtrage des autorisations pour eDiscovery.

    Remarque

    Bien que le scénario de cet article ne les utilise pas, vous pouvez également utiliser des filtres de contenu de boîte aux lettres pour spécifier le contenu que les gestionnaires eDiscovery peuvent rechercher. La syntaxe des filtres de contenu de boîte aux lettres est "MailboxContent_<property> -<comparison operator> '<value>'". Vous pouvez créer des filtres de contenu basés sur des plages de dates, des destinataires et des domaines ou toute propriété de messagerie pouvant faire l’objet d’une recherche. Par exemple, ce filtre permet aux gestionnaires eDiscovery de rechercher uniquement les éléments de courrier envoyés ou reçus par les utilisateurs dans le domaine contoso.com : "MailboxContent_Participants -like 'contoso.com'". Pour plus d’informations sur les filtres de contenu de boîte aux lettres, consultez Configurer le filtrage des autorisations de recherche.

  3. Le filtre d’autorisations de recherche est joint à la requête de recherche par l’opérateur AND Boolean. Cela signifie que lorsqu’un responsable eDiscovery de l’une des agences exécute une recherche eDiscovery, les éléments retournés par la recherche doivent correspondre à la requête de recherche et aux conditions définies dans le filtre d’autorisations de recherche.

Étape 4 : Créer un cas eDiscovery pour les enquêtes intra-agences

Dans la dernière étape, créez un cas eDiscovery dans le portail Microsoft Purview. Ensuite, ajoutez le groupe de rôles que vous avez créé à l’étape 2 en tant que membre du cas. Cette approche offre deux avantages importants lors de l’utilisation des limites de conformité :

  • Seuls les membres du groupe de rôles ajoutés au cas peuvent voir le cas et y accéder dans le portail Microsoft Purview. Par exemple, si le groupe de rôles Enquêteurs quatrième café est le seul membre d’un cas, les membres du groupe de rôles Gestionnaires eDiscovery Fourth Coffee (ou les membres d’un autre groupe de rôles) ne peuvent pas voir le cas ni y accéder.

  • Lorsqu’un membre du groupe de rôles affecté à un cas exécute une recherche associée au cas, il peut uniquement rechercher les emplacements de contenu au sein de son agence. Cette restriction est définie par le filtre d’autorisations de recherche que vous avez créé à l’étape 3.

Pour créer un cas et affecter des membres :

  1. Accédez à eDiscovery dans le portail Microsoft Purview et créez un cas.
  2. Dans la liste des cas, sélectionnez le nom du cas que vous avez créé.
  3. Ajoutez des groupes de rôles en tant que membres au cas.

Remarque

Lorsque vous ajoutez un groupe de rôles à un cas, vous pouvez uniquement ajouter les groupes de rôles dont vous êtes membre.

Recherche et exportation de contenu dans des environnements multigéo

Les filtres d’autorisations de recherche vous permettent également de contrôler l’emplacement où le contenu est acheminé pour l’exportation et quel centre de données peut faire l’objet d’une recherche lors de la recherche d’emplacements de contenu dans un environnement multigéographique SharePoint.

  • Exporter les résultats de la recherche : Vous pouvez exporter les résultats de la recherche à partir de boîtes aux lettres Exchange, de sites SharePoint et de comptes OneDrive à partir d’un centre de données spécifique. Cela signifie que vous pouvez spécifier l’emplacement du centre de données à partir duquel les résultats de la recherche sont exportés.

    Utilisez le paramètre Region pour les applets de commande New-ComplianceSecurityFilter ou Set-ComplianceSecurityFilter pour créer ou modifier le centre de données par lequel l’exportation est acheminée.

    Valeur du paramètre Emplacement du centre de données
    NAM Amérique du Nord (les centres de données se trouvent aux États-Unis)
    EUR Europe
    APC Asie-Pacifique
    CAN Canada

  • Acheminer les recherches de contenu : Vous pouvez acheminer les recherches de contenu des sites SharePoint et des comptes OneDrive vers un centre de données satellite. Cela signifie que vous pouvez spécifier l’emplacement du centre de données où les recherches sont exécutées.

    Remarque

    Si vous utilisez des fonctionnalités eDiscovery Premium, le paramètre Region ne contrôle pas la région à partir de laquelle les données sont exportées. Les données sont exportées à partir de l’emplacement central du organization. En outre, la recherche de contenu dans SharePoint et OneDrive n’est pas liée par l’emplacement géographique des centres de données. Tous les centres de données font l’objet d’une recherche.

    Utilisez l’une des valeurs suivantes pour le paramètre Region afin de contrôler l’emplacement du centre de données dans lequel les recherches s’exécutent lors de la recherche de sites SharePoint et de comptes OneDrive.

    Valeur du paramètre Datacenter emplacements de routage pour SharePoint
    NAM US
    EUR Europe
    APC Asie-Pacifique
    CAN US
    AUS Asie-Pacifique
    KOR Centre de données par défaut du organization
    GBR Europe
    JPN Asie-Pacifique
    IND Asie-Pacifique
    LAM US
    NOR Europe
    BRA Centres de données nord-américains

    Si vous ne spécifiez pas le paramètre Region pour un filtre d’autorisations de recherche, la région SharePoint principale de l’organization fait l’objet d’une recherche. Les résultats de la recherche sont exportés vers le centre de données le plus proche.

    Pour simplifier le concept, le paramètre Région contrôle le centre de données utilisé pour rechercher du contenu dans SharePoint et OneDrive. Ce paramètre ne s’applique pas à la recherche de contenu dans Exchange, car les recherches de contenu Exchange ne sont pas liées par l’emplacement géographique des centres de données. En outre, la même valeur de paramètre Region peut également dicter le centre de données via lequel les exportations sont acheminées. Ce routage est souvent nécessaire pour contrôler le déplacement des données au-delà des frontières géographiques.

    Importante

    Lors de la création d’un filtre de conformité de sécurité et de la définition d’une région GEO spécifique : ESP, ITA, NZL et SWE ne sont pas des régions valides et génèrent une erreur de redirection vers des valeurs de région valides. Cette erreur inclut les régions valides suivantes : ARE, APC, AUS, AUT, BRA, CAN, CHE, CHL, DEU, EUR, FRA, GBR, IDN, IND, JPN, KOR, LAM, MYS, NAM, NOR, POL, QAT, ZAF.

Voici des exemples d’utilisation du paramètre Region lors de la création de filtres d’autorisation de recherche pour les limites de conformité. Cet exemple suppose que la filiale Fourth Coffee se trouve dans Amérique du Nord et que Coho Winery se trouve en Europe.

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region NAM

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region EUR

Gardez les éléments suivants à l’esprit lors de la recherche et de l’exportation de contenu dans des environnements multigéo.

  • Le paramètre Région ne contrôle pas les recherches dans les boîtes aux lettres Exchange. Lorsque vous effectuez des recherches dans des boîtes aux lettres, elles s’appliquent à tous les centres de données. Pour limiter l’étendue dans laquelle les boîtes aux lettres Exchange font l’objet d’une recherche, utilisez le paramètre Filters lors de la création ou de la modification d’un filtre d’autorisations de recherche.

  • S’il est nécessaire qu’un gestionnaire eDiscovery effectue des recherches dans plusieurs régions SharePoint, vous devez créer un autre compte d’utilisateur pour ce gestionnaire eDiscovery à utiliser dans le filtre des autorisations de recherche afin de spécifier la région où se trouvent les sites SharePoint ou les comptes OneDrive. Pour plus d’informations sur cette configuration, consultez la section « Recherche de contenu dans un environnement SharePoint Multi-Géo » dans Recherche de contenu.

  • Lors de la recherche de contenu dans SharePoint et OneDrive, le paramètre Région dirige les recherches vers l’emplacement principal ou satellite où le gestionnaire eDiscovery mène des enquêtes eDiscovery. Si un gestionnaire eDiscovery recherche des sites SharePoint et OneDrive en dehors de la région spécifiée dans le filtre d’autorisations de recherche, aucun résultat de recherche n’est retourné.

  • Lors de l’exportation des résultats de recherche à partir d’eDiscovery, le contenu de tous les emplacements de contenu (y compris Exchange, Skype Entreprise, SharePoint, OneDrive et d’autres services que vous pouvez rechercher à l’aide de l’outil recherche de contenu) est chargé vers l’emplacement de stockage Azure dans le centre de données spécifié par le paramètre Région. Ce comportement permet aux organisations de rester en conformité en n’autorisant pas l’exportation de contenu au-delà des frontières contrôlées. Si vous ne spécifiez pas de région dans le filtre d’autorisations de recherche, le contenu est chargé dans le centre de données principal de l’organization.

    Lorsque vous exportez du contenu avec les fonctionnalités eDiscovery Premium activées, vous ne pouvez pas contrôler l’emplacement de chargement du contenu à l’aide du paramètre Region . Le contenu est chargé vers un emplacement de stockage Azure dans un centre de données situé à l’emplacement central de votre organization. Pour obtenir la liste des emplacements géographiques en fonction de votre emplacement central, consultez Configuration de Microsoft 365 Multi-Geo eDiscovery.

  • Vous pouvez modifier un filtre d’autorisations de recherche existant pour ajouter ou modifier la région en exécutant la commande suivante :

    Set-ComplianceSecurityFilter -FilterName <Filter name>  -Region <Region>

Utilisation des limites de conformité pour les sites hub SharePoint

Les sites hub SharePoint s’alignent souvent sur les mêmes limites géographiques ou d’agence que les limites de conformité eDiscovery. Vous pouvez utiliser la propriété d’ID de site du site hub pour créer une limite de conformité. Pour ce faire, utilisez l’applet de commande Get-SPOHubSite dans SharePoint Online PowerShell pour obtenir le SiteId du site hub, puis utilisez cette valeur pour la propriété DEPARTMENT ID pour créer un filtre d’autorisations de recherche.

Utilisez la syntaxe suivante pour créer un filtre d’autorisations de recherche pour un site hub SharePoint :

New-ComplianceSecurityFilter -FilterName <Filter Name> -Users <User or Group> -Filters "Site_Departmentid -eq '{SiteId of hub site}'"

Voici un exemple de création d’un filtre d’autorisations de recherche pour un site hub pour l’agence Coho Winery :

New-ComplianceSecurityFilter -FilterName "Coho Winery Hub Site Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Site_Departmentid -eq '44252d09-62c4-4913-9eb0-a2a8b8d7f863'"

Considérations relatives aux limites de conformité

Gardez les considérations suivantes à l’esprit lors de la gestion des cas et des enquêtes eDiscovery qui utilisent des limites de conformité :

  • Lorsque vous créez et exécutez une recherche, vous pouvez sélectionner des emplacements de contenu en dehors de votre agence. Toutefois, en raison du filtre d’autorisation de recherche, le contenu de ces emplacements n’est pas inclus dans les résultats de recherche.

  • Les limites de conformité ne s’appliquent pas aux conservations dans les cas d’eDiscovery. Cette condition signifie qu’un responsable eDiscovery dans une agence peut placer un utilisateur dans une autre agence en attente. Toutefois, la limite de conformité est appliquée si le gestionnaire eDiscovery recherche les emplacements de contenu de l’utilisateur qui a été mis en attente. Cette condition signifie que le gestionnaire eDiscovery ne peut pas rechercher les emplacements de contenu de l’utilisateur, même s’il a pu placer l’utilisateur en attente.

  • Si un filtre d’autorisations de recherche (filtres de boîte aux lettres ou de site) vous est attribué et que vous tentez d’exporter des éléments partiellement indexés à partir d’une recherche qui inclut tous les sites SharePoint de votre organization, en utilisant l’option d’étendue pour inclure des éléments partiellement indexés même à partir d’emplacements sans résultats de recherche (voir Exporter les résultats de la recherche)), l’exportation contient des éléments partiellement indexés de tous les sites, y compris ceux situés en dehors de la limite de conformité attribuée.

  • Lors de la récupération d’éléments partiellement indexés à partir de sites qui contiennent des résultats de recherche, eDiscovery utilise une approche basée sur des préfixes. Par exemple, si un site http://contoso.com/sales est identifié comme un emplacement correspondant à la requête de recherche, les résultats peuvent également inclure des éléments d’un site préfixé de même type, http://contoso.com/salesdepartmentpar exemple , même si le http://contoso.com/salesdepartment site se trouve en dehors de la limite de conformité configurée. Ce comportement peut se produire lorsque le filtre n’est pas basé sur le chemin du site. Par instance, si la limite de conformité est définie comme Property -eq 'abc', un site qui ne correspond pas à la valeur 'abc' de propriété peut être inclus si son chemin d’accès partage un préfixe avec un site qui correspond à la propriété .

  • Les filtres d’autorisation de recherche ne sont pas appliqués aux dossiers publics Exchange.

  • Les filtres de recherche pris en charge incluent -and, -like-or, -not, -eq, et -ne. N’utilisez pas d’autres filtres d’exclusion, tels que -notlike ou inotlike, dans un filtre d’autorisations de recherche pour une limite de conformité basée sur le contenu. L’utilisation de ces filtres d’exclusion peut avoir des résultats inattendus si le contenu avec des attributs récemment mis à jour n’a pas été indexé.

  • Le respect des limites de conformité pour les sites OneDrive dans les recherches peut être affecté dans les cas suivants :

    • Les sites ou les boîtes aux lettres associées sont déplacés ou relogés.
    • La propriété OneDrive est réaffectée ou plusieurs propriétaires sont ajoutés.
    • Le site OneDrive est renommé ou réédcrit.
    • Le déplacement d’un site OneDrive peut modifier la propriété du contenu et peut inclure la création d’une boîte aux lettres d’arbitrage. Lorsque vous déplacez ces ressources, il est possible que les résultats de la recherche de contenu soient disponibles au-delà des limites de conformité. Lorsqu’un site OneDrive est réaffecté, renommé ou affecté à plusieurs propriétaires, il est possible que le contenu de ces sites soit disponible au-delà des limites de conformité.

  • Les limites de conformité des boîtes aux lettres peuvent être affectées dans les cas suivants :

    • La boîte aux lettres n’est pas associée à un utilisateur sous licence, ce qui inclut les utilisateurs désactivés ou supprimés.
    • Une boîte aux lettres n’est pas gérée ou synchronisée à partir de Microsoft Entra ID.

  • En outre, plusieurs types de boîtes aux lettres peuvent produire du contenu pendant la recherche, quelles que soient leurs limites de conformité. Ces types de boîtes aux lettres sont les suivants :

    • ÉquipementMailbox
    • GuestMailUser
    • LinkedMailbox
    • RoomList
    • RoomMailbox
    • PlanningMailbox
    • SharedMailbox
    • SystemMailbox
    • TeamMailbox

  • Pour vous assurer que la recherche respecte les limites de conformité comme prévu pour ces boîtes aux lettres, définissez des attributs sur les boîtes aux lettres partagées, les boîtes aux lettres d’équipement et d’autres boîtes aux lettres à l’aide de l’applet de commande Set-Mailbox ou en utilisant Invoke-ComplianceSecurityFilterAction pour vous assurer que l’attribut est correctement défini. Si vous configurez correctement l’attribut et l’alignez sur l’attribut de limite de conformité, la boîte aux lettres respecte la limite de conformité.

Plus d’informations

  • Si vous déliez ou supprimez de manière réversible une boîte aux lettres, l’utilisateur n’est plus dans la limite de conformité. Si vous placez une mise en attente sur la boîte aux lettres lorsque vous la supprimez, le contenu conservé dans la boîte aux lettres est toujours soumis à une limite de conformité ou à un filtre d’autorisations de recherche.
  • Si vous implémentez des limites de conformité et des filtres d’autorisations de recherche pour un utilisateur, ne supprimez pas la boîte aux lettres de l’utilisateur ou son compte OneDrive. Si vous supprimez la boîte aux lettres d’un utilisateur, supprimez également le compte OneDrive de l’utilisateur, car mailbox_RecipientFilter applique le filtre d’autorisation de recherche pour OneDrive.
  • Les limites de conformité et les filtres d’autorisations de recherche dépendent des attributs estampillés sur le contenu dans Exchange, OneDrive et SharePoint, ainsi que de l’indexation ultérieure de ce contenu estampillé.

Foire aux questions

Qui peut créer et gérer des filtres d’autorisations de recherche à l’aide des applets de commande New-ComplianceSecurityFilter et Set-ComplianceSecurityFilter ?

Pour créer, afficher et modifier des filtres d’autorisations de recherche dans le portail Microsoft Purview, vous devez disposer des rôles Gestion de l’organisation et Administrateur eDiscovery attribués.

Si un responsable eDiscovery est affecté à plusieurs groupes de rôles qui s’étendent à plusieurs agences, comment recherchent-ils du contenu dans une agence ou l’autre ?

Le gestionnaire eDiscovery peut ajouter des paramètres à sa requête de recherche qui limitent la recherche à une agence spécifique. Par exemple, si un organization spécifie la propriété CustomAttribute10 pour différencier les agences, il peut ajouter ce qui suit à sa requête de recherche pour rechercher des boîtes aux lettres et des comptes OneDrive dans une agence spécifique : CustomAttribute10:<value>.

Que se passe-t-il si je modifie la valeur de l’attribut utilisé comme attribut de conformité dans un filtre d’autorisations de recherche ?

Il faut jusqu’à trois jours pour qu’un filtre d’autorisation de recherche applique la limite de conformité si vous modifiez la valeur de l’attribut utilisé dans le filtre. Par exemple, supposons qu’un utilisateur de l’agence Fourth Coffee soit transféré à l’agence Coho Winery. Par conséquent, la valeur de l’attribut Department sur l’objet utilisateur passe de FourthCoffee à CohoWinery. Dans ce cas, Fourth Coffee eDiscovery et les investisseurs obtiennent les résultats de recherche pour cet utilisateur pendant trois jours maximum après la modification de l’attribut. De même, il faut jusqu’à trois jours avant que les responsables et les enquêteurs de Coho Winery eDiscovery obtiennent les résultats de recherche pour l’utilisateur.

Un gestionnaire eDiscovery peut-il voir le contenu de deux limites de conformité distinctes ?

Oui, cette fonctionnalité est disponible lors de la recherche de boîtes aux lettres Exchange en ajoutant le gestionnaire eDiscovery aux groupes de rôles qui ont une visibilité pour les deux agences. Toutefois, lors de la recherche de sites SharePoint et de comptes OneDrive, un gestionnaire eDiscovery peut rechercher du contenu dans des limites de conformité différentes uniquement si les agences se trouvent dans la même région ou le même emplacement géographique.

Remarque

Cette limitation pour les sites ne s’applique pas lorsque les fonctionnalités eDiscovery Premium sont activées, car la recherche de contenu dans SharePoint et OneDrive n’est pas liée par l’emplacement géographique.

Les filtres d’autorisations de recherche fonctionnent-ils pour les conservations de cas eDiscovery, les stratégies de rétention Microsoft 365 ou DLP ?

Non, ce n’est actuellement pas possible.

Si je spécifie une région pour contrôler l’emplacement d’exportation du contenu, mais que je n’ai pas de organization SharePoint dans cette région, puis-je toujours effectuer une recherche dans SharePoint ?

Si la région spécifiée dans le filtre d’autorisations de recherche n’existe pas dans votre organization, la région par défaut est recherchée.

Quel est le nombre maximal de filtres d’autorisations de recherche que je peux créer dans un organization ?

Il n’existe aucune limite au nombre de filtres d’autorisations de recherche que vous pouvez créer dans un organization. Toutefois, une requête de recherche peut avoir un maximum de 100 conditions. Dans ce cas, une condition est définie comme un élément connecté à la requête par un opérateur booléen (par exemple, AND, OR et NEAR). La limite du nombre de conditions inclut la requête de recherche proprement dite ainsi que tous les filtres d’autorisations de recherche appliqués à l’utilisateur qui exécute la recherche. Par conséquent, plus vous disposez de filtres d’autorisations de recherche (en particulier si ces filtres sont appliqués au même utilisateur ou groupe d’utilisateurs), plus le risque de dépasser le nombre maximal de conditions pour une recherche est élevé.

Pour comprendre le fonctionnement de cette limite, vous devez comprendre qu’un filtre d’autorisations de recherche est ajouté à la requête de recherche lors de l’exécution d’une recherche. Un filtre d’autorisations de recherche est joint à la requête de recherche par l’opérateur booléen AND . La logique de requête pour la requête de recherche et un filtre d’autorisations de recherche unique ressemble à ceci :

<SearchQuery> AND <PermissionsFilter>

Plusieurs filtres d’autorisations de recherche sont combinés par l’opérateur booléen OR , puis ces conditions sont connectées à la requête de recherche par l’opérateur AND .

La logique de requête pour la requête de recherche et les filtres d’autorisations de recherche multiples ressemble à ceci :

<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)

Il est possible que la requête de recherche elle-même soit constituée de plusieurs conditions connectées par des opérateurs booléens. Chaque condition de la requête de recherche est également comptabilisée dans la limite de 100 conditions.

En outre, le nombre de filtres d’autorisations de recherche ajoutés à une requête dépend de l’utilisateur qui exécute la recherche. Lorsqu’un utilisateur spécifique exécute une recherche, les filtres d’autorisations de recherche appliqués à l’utilisateur (qui est défini par le paramètre Users dans le filtre) sont ajoutés à la requête. Votre organization peut avoir des centaines de filtres d’autorisations de recherche, mais si vous appliquez plus de 100 filtres aux mêmes utilisateurs, il est probable que la limite de 100 conditions soit dépassée lorsque ces utilisateurs exécutent des recherches.

Il y a une autre chose à garder à l’esprit sur la limite de condition. Le nombre de sites SharePoint spécifiques inclus dans les filtres d’autorisations de recherche ou de requête de recherche est également comptabilisé par rapport à cette limite.

Pour empêcher votre organization d’atteindre la limite des conditions, conservez le nombre de filtres d’autorisations de recherche dans votre organization aussi peu que possible pour répondre aux besoins de votre entreprise.

Comment les filtres de boîtes aux lettres affectent-ils les recherches sur les sites SharePoint connectés à OneDrive et M365 Group ?

Les sites OneDrive et les sites SharePoint connectés au groupe Microsoft 365 sont liés à l’utilisateur associé ou à la boîte aux lettres du groupe Microsoft 365 dans Exchange. Pour les filtres de sécurité qui incluent à la fois une boîte aux lettres et un filtre SiteContent, pour retourner les résultats des sites SharePoint connectés au groupe OneDrive ou Microsoft 365 Group doivent correspondre aux deux. Le filtre Boîte aux lettres est évalué par rapport à l’utilisateur connecté ou à la boîte aux lettres de groupe Microsoft 365 avant d’évaluer les éléments SharePoint et OneDrive par rapport au filtre SiteContent.

Qu’est-ce qu’une boîte aux lettres d’arbitrage dans le contexte des sites OneDrive ?

Pour les utilisateurs actifs et sous licence qui ont à la fois une boîte aux lettres Exchange et un compte OneDrive, il existe un lien entre la boîte aux lettres et leur site OneDrive. Cela signifie que le filtre de boîte aux lettres affecté à une limite de conformité est évalué par rapport à la boîte aux lettres de l’utilisateur pour case activée pour une correspondance avant que les résultats ne soient retournés.

Lorsque ce lien est perdu entre une boîte aux lettres et un site OneDrive, OneDrive est associé à une boîte aux lettres d’arbitrage à la place. Aucune des propriétés de boîte aux lettres de la boîte aux lettres d’origine n’est appliquée à cette boîte aux lettres d’arbitrage.

Comment faire case activée la status d’un site OneDrive pour déterminer s’il est associé à une boîte aux lettres d’arbitrage ?

Pour passer en revue un site OneDrive spécifique et case activée s’il est en arbitrage ou lié à la boîte aux lettres d’un utilisateur, utilisez l’applet de commande Invoke-ComplianceSecurityFilterAction.

Utilisez la syntaxe suivante pour case activée la status d’un site OneDrive :

Invoke-ComplianceSecurityFilterAction -Action GetStatus -PropertyName <Boundary Property> -SiteUrl <SharePoint/OneDrive URL>

Pour un site OneDrive qui n’est pas en arbitrage, les commandes renvoient la valeur BoundaryType sous la forme UserMailbox, comme indiqué dans l’exemple suivant :

PS C:\> Invoke-ComplianceSecurityFilterAction -action GetStatus -PropertNname "CustomAttribute10" -siteurl "https://contoso-my.sharepoint.com/personal/lila_contoso_onmicrosoft_com"
   
SiteUrlOrEmailAddress : https://contoso-my.sharepoint.com/personal/lila_contoso_onmicrosoft_com 
BoundaryType          : UserMailbox 
BoundaryInstruction   : Set via Set-Mailbox 
BoundaryObjectId      : SPO_4531d99e-21df-4903-a8c1-76cc3ec82685@SPO_525ef3f5-fbf7-4f91-bb4a-e3c24116c8a9 
BoundaryStatus        : Success 
BoundaryProperty      : CustomAttribute10 
BoundaryPropertyValue : Dept-CH

Pour un site OneDrive en arbitrage, les commandes renvoient une valeur vide ou null pour la valeur BoundaryType , comme indiqué dans l’exemple suivant.

PS C:\> Invoke-ComplianceSecurityFilterAction -action GetStatus -PropertyName "CustomAttribute10" -siteurl "https://contoso-my.sharepoint.com/personal/lila_contoso_onmicrosoft_com"   

SiteUrlOrEmailAddress : https://contoso-my.sharepoint.com/personal/lila_contoso_onmicrosoft_com 
BoundaryType          :  
BoundaryInstruction   :  
BoundaryObjectId      : SPO_4531d99e-21df-4903-a8c1-76cc3ec82685@SPO_525ef3f5-fbf7-4f91-bb4a-e3c24116c8a9 
BoundaryStatus        : Success 
BoundaryProperty      : CustomAttribute10 
BoundaryPropertyValue :

Comment un site OneDrive en arbitrage affecte-t-il les résultats retournés par un gestionnaire eDiscovery avec des limites de conformité qui leur sont appliquées ?

Ce comportement dépend de la façon dont le filtre de sécurité est configuré pour la limite de conformité. Lorsqu’un site OneDrive est en arbitrage, un filtre de boîte aux lettres ne l’inclut pas dans les résultats retournés.

Pour les filtres de sécurité qui utilisent uniquement un filtre de boîte aux lettres, les éléments de OneDrive sont retournés dans les résultats d’une recherche, car le filtre de boîte aux lettres ne s’applique pas dans ce scénario.

Pour les filtres de sécurité qui utilisent à la fois un filtre de boîte aux lettres et un filtre SiteContent, les résultats sont retournés si le filtre SiteContent correspond aux éléments du instance OneDrive en cours d’arbitrage. S’il n’y a pas de correspondance, les résultats ne sont pas retournés. Par exemple, si le filtre SiteContent_Path est utilisé comme des agences distinctes ont une URL OneDrive unique en raison du déploiement de Microsoft 365 Multi-Geo, le chemin d’accès des éléments OneDrive filtre les résultats de OneDrive en arbitrage.

Comment puis-je mettre à jour un site OneDrive en arbitrage afin que les filtres de boîte aux lettres continuent de s’appliquer ?

Utilisez l’applet de commande Invoke-ComplianceSecurityFilterAction pour définir les valeurs CustomAttribute1 à sur CustomAttribute15 sur les instances OneDrive liées à une boîte aux lettres d’arbitrage.

Utilisez la syntaxe suivante pour définir la status d’un site OneDrive :

Invoke-ComplianceSecurityFilterAction -Action Set -PropertyName <Boundary Property> -SiteUrl <SharePoint/OneDrive URL>

Une fois que vous l’avez défini sur OneDrive, il respecte les filtres de boîte aux lettres qui utilisent la propriété CustomAttribute définie sur OneDrive.

Dans quels scénarios un site OneDrive est-il lié à une boîte aux lettres d’arbitrage ?

De nombreux scénarios peuvent entraîner la perte d’un site OneDrive de son lien vers la boîte aux lettres de l’utilisateur et d’un lien vers une boîte aux lettres d’arbitrage. Pour plus d’informations, consultez la section Limites de conformité. Par conséquent, lorsque vous déplacez, modifiez ou réassignez un OneDrive, utilisez l’applet de commande Invoke-ComplianceSecurityFilterAction pour vérifier que le filtre de boîte aux lettres approprié se comporte comme prévu.

Dans le cadre des processus de déprovisionnement de l’utilisateur, exécutez l’applet de commande Invoke-ComplianceSecurityFilterAction sur OneDrive de l’utilisateur pour définir la valeur CustomAttribute requise.

Pourquoi utiliser CustomAttribute1 à CustomAttribute15 pour les filtres de sécurité de boîte aux lettres ?

Bien que d’autres attributs de boîte aux lettres fonctionnent avec des filtres de sécurité, utilisez customAttributes lorsque vous définissez le filtre de sécurité de boîte aux lettres pour les raisons suivantes :

  • Toutes les boîtes aux lettres Exchange Online prennent en charge ces attributs.
  • Les attributs marquent directement sur la boîte aux lettres, et non sur l’objet utilisateur associé, de sorte qu’ils restent définis dans les scénarios où aucun objet utilisateur n’est associé.
  • L’applet de commande Invoke-ComplianceSecurityFilterAction prend uniquement en charge la définition de CustomAttribute sur les instances OneDrive liées à une boîte aux lettres d’arbitrage.
  • Last updated on