Configurar limites de conformidade na Deteção de Dados Eletrónicos

Os limites de conformidade criam limites lógicos em uma organização que controla os locais de conteúdo do usuário (como caixas de correio, contas do OneDrive e sites do SharePoint) que os gerentes de Descoberta Eletrônica Avançada podem pesquisar. Os limites de conformidade também controlam quem pode aceder a casos de Deteção de Dados Eletrónicos utilizados para gerir as investigações legais, de recursos humanos ou de outras investigações na sua organização.

Muitas vezes, precisa de limites de conformidade para as empresas multinacionais que têm de respeitar as fronteiras geográficas e os regulamentos, e para os governos que estão divididos em diferentes agências. No Microsoft 365, os limites de conformidade ajudam-no a cumprir estes requisitos ao realizar pesquisas de conteúdos e gerir investigações através de casos de Deteção de Dados Eletrónicos.

Exemplo de cenário

A ilustração seguinte mostra como funcionam os limites de conformidade.

Neste exemplo, a Contoso LTD é uma organização constituída por duas subsidiárias, a Fourth Coffee e a Coho Winery. A empresa requer que os gestores de Deteção de Dados Eletrónicos e os investigadores só possam procurar nas caixas de correio do Exchange, nas contas do OneDrive e nos sites do SharePoint na respetiva agência. Além disso, os gestores de Deteção de Dados Eletrónicos e os investigadores só podem ver casos de Deteção de Dados Eletrónicos na sua agência, e só podem aceder aos casos dos quais são membros. Neste cenário, os investigadores não podem colocar localizações de conteúdo em espera ou exportar conteúdo de um caso. Eis como os limites de conformidade cumprem estes requisitos.

• A funcionalidade de filtragem de permissões de pesquisa da Deteção de Dados Eletrónicos controla as localizações de conteúdo que os gestores de Deteção de Dados Eletrónicos e os investigadores podem pesquisar. Este controlo significa que os gestores de Deteção de Dados Eletrónicos e os investigadores da agência Fourth Coffee só podem procurar localizações de conteúdo na subsidiária Fourth Coffee. A mesma restrição se aplica à subsidiária Coho Winery.

• Os grupos de funções fornecem as seguintes funções para limites de conformidade:

  • Controle quem pode ver os casos de Deteção de Dados Eletrónicos no portal do Microsoft Purview. Este controlo significa que os gestores de Deteção de Dados Eletrónicos e os investigadores só podem ver os casos de Deteção de Dados Eletrónicos na sua agência.
  • Controlar quem pode atribuir membros a um caso de Deteção de Dados Eletrónicos. Este controlo significa que os gestores de Deteção de Dados Eletrónicos e os investigadores só podem atribuir membros a casos dos quais eles próprios são membros.
  • Controle as tarefas relacionadas com a Deteção de Dados Eletrónicos que os membros podem executar ao adicionar ou remover funções que atribuem permissões específicas.

• Quando um filtro de permissões de pesquisa é aplicado a um grupo de funções, os membros do grupo de funções podem realizar as seguintes ações relacionadas com a pesquisa, desde que as permissões para efetuar uma ação sejam atribuídas ao grupo de funções:

  • Pesquisar conteúdo
  • Visualização de resultados de pesquisa
  • Exportar resultados da pesquisa
  • Limpar itens retornados por uma pesquisa

Antes de configurar os limites de conformidade

• Atribua aos utilizadores uma licença de Exchange Online. Para verificar as atribuições, utilize o cmdlet Get-User no Exchange Online PowerShell.

Configurar limites de conformidade

Siga estes passos para configurar os limites de conformidade:

• Passo 1: identificar um atributo de utilizador para definir as suas agências
• Passo 2: criar um grupo de funções para cada agência
• Passo 3: criar um filtro de permissões de pesquisa para impor o limite de conformidade
• Passo 4: Criar um caso de Deteção de Dados Eletrónicos para investigações intra-agências

Passo 1: identificar um atributo de utilizador para definir as suas agências

Escolha um atributo para definir as suas agências. Utilize este atributo para criar o filtro de permissões de pesquisa que limita um gestor de Deteção de Dados Eletrónicos para procurar apenas as localizações de conteúdo dos utilizadores a quem é atribuído um valor específico para este atributo. Por exemplo, a Contoso utiliza o atributo Departamento . O valor para este atributo para os utilizadores na subsidiária Fourth Coffee é FourthCoffee e o valor para os utilizadores na subsidiária da Coho Winery é CohoWinery. No Passo 3, utilize este attribute:value par (por exemplo, Department:FourthCoffee) para limitar as localizações de conteúdo de utilizador que os gestores de Deteção de Dados Eletrónicos podem pesquisar.

Eis alguns exemplos de atributos de utilizador que pode utilizar para limites de conformidade:

• Empresa
• CustomAttribute1 - CustomAttribute15
• Departamento
• Escritório
• CountryOrRegion (Código de país/região de duas letras)

Passo 2: criar um grupo de funções para cada agência

Crie grupos de funções no portal do Microsoft Purview que se alinham com as suas agências.

Para criar os grupos de funções, aceda a Definições>Funções e âmbitos no portal do Microsoft Purview. Crie um grupo de funções para cada equipa em cada agência que utilize limites de conformidade e casos de Deteção de Dados Eletrónicos para gerir investigações.

Pode utilizar um único grupo de funções para atribuir as funções de Deteção de Dados Eletrónicos e o filtro de segurança aos respetivos membros. A associação a este grupo de funções gere as funções atribuídas ao investigador e as localizações de conteúdo que podem procurar.

Utilize grupos de funções separados. Utilize um grupo de funções para atribuir o filtro de segurança para o limite de conformidade e outro grupo de funções para atribuir as funções de Deteção de Dados Eletrónicos. Ao utilizar dois grupos de funções separados, gere as funções atribuídas a um investigador independentemente das localizações de conteúdo que pesquisam. Utilize o grupo de funções para o limite de conformidade apenas para aplicar o filtro de segurança aos membros. Utilize grupos de funções incorporados separados (Gestor de Deteção de Dados Eletrónicos) ou grupos de funções personalizados para atribuir funções a membros. Para obter mais informações sobre as funções relacionadas com a Deteção de Dados Eletrónicos, veja Assign eDiscovery permissions (Atribuir permissões de Deteção de Dados Eletrónicos).

Com o cenário de limites de conformidade da Contoso, crie quatro grupos de funções e adicione os membros adequados a cada um deles.

• Gerenciadores da Descoberta Eletrônica da Fourth Coffee
• Investigadores da Fourth Coffee
• Gerenciadores da Descoberta Eletrônica da Coho Winery
• Investigadores da Coho Winery

Passo 3: criar um filtro de permissões de pesquisa para impor o limite de conformidade

Depois de criar grupos de funções para cada agência, crie filtros de permissões de pesquisa que associem cada grupo de funções à respetiva agência específica e defina o limite de conformidade. Tem de criar um filtro de permissões de pesquisa para cada agência. Para obter mais informações sobre como criar filtros de permissões de segurança, veja Configurar a filtragem de permissões para Deteção de Dados Eletrónicos.

Eis a sintaxe utilizada para criar um filtro de permissões de pesquisa utilizado para limites de conformidade para o cenário neste artigo.

New-ComplianceSecurityFilter -FilterName <name of filter> -Users <role groups> -Filters "Mailbox_<MailboxPropertyName>  -eq '<Value> '", "SiteContent_Path -like '<SharePointURL>' -or SiteContent_Path -like '<OneDriveURL>'"

Eis uma descrição de cada parâmetro no comando:

• FilterName: especifica o nome do filtro. Utilize um nome que descreva ou identifique a agência na qual o filtro é utilizado.

• Users: especifica os utilizadores ou grupos que obtêm este filtro aplicado às ações de pesquisa que executam. Para limites de conformidade, este parâmetro especifica os grupos de funções (que criou no Passo 2) na agência para a qual está a criar o filtro. Este parâmetro é um parâmetro de valores múltiplos, pelo que pode incluir um ou mais grupos de funções, separados por vírgulas.

• Filters: especifica os critérios de pesquisa do filtro. Para limites de conformidade, defina os seguintes filtros. Cada uma aplica-se a diferentes localizações de conteúdo.

  • Mailbox: especifica as caixas de correio ou contas do OneDrive que os grupos de funções definidos no Users parâmetro podem procurar. Este filtro permite que os membros do grupo de funções pesquisem apenas as caixas de correio ou contas do OneDrive numa agência específica; por exemplo, "Mailbox_Department -eq 'FourthCoffee'".

    Observação

    Os filtros de caixa de correio também se aplicam a caixas de correio de grupo do Microsoft 365 e sites do SharePoint ligados. Para devolver resultados de um site do SharePoint ligado a um grupo do Microsoft 365, os filtros Caixa de Correio e SiteContent têm de corresponder à caixa de correio do grupo do Microsoft 365 e ao site do SharePoint associado.

• SiteContent: este filtro inclui dois filtros separados. O primeiro SiteContent_Path especifica os sites do SharePoint na agência que os grupos de funções definidos no Users parâmetro podem procurar. Por exemplo, SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*'. O segundo SiteContent_Path filtro (ligado ao primeiro SiteContent_Path filtro pelo or operador) especifica o domínio do OneDrive da agência (também denominado domínio MySite ). Por exemplo, SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'. Também pode utilizar o Site_Path filtro em vez do SiteContent filtro. Os Site filtros e SiteContent são intercambiáveis e não afetam os filtros de permissões de pesquisa descritos neste artigo.

  Importante

  Por que motivo o filtro do SiteContent OneDrive está incluído no filtro de permissões de pesquisa anterior? Embora o Mailbox filtro se aplique às caixas de correio e às contas do OneDrive, a inclusão do filtro do SharePoint excluiria as contas do OneDrive se também não incluísse o filtro do OneDrive Site . Se o filtro de permissões de pesquisa não incluísse um filtro do SharePoint, não teria de incluir um filtro separado do OneDrive porque o filtro Caixa de Correio incluiria contas do OneDrive no âmbito do limite de conformidade. Por outras palavras, um filtro de permissões de pesquisa apenas com o Mailbox filtro incluiria caixas de correio e contas do OneDrive.

Eis exemplos dos dois filtros de permissões de pesquisa que cria para suportar o cenário de limites de conformidade da Contoso. Esses dois exemplos incluem uma lista de filtros separados por vírgula, nos quais os filtros de site e caixa de correio estão incluídos no mesmo filtro de permissões de pesquisa e são separados por vírgula.

Quarto Café

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

Adega Coho

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'"

Como funcionam os filtros de permissões de pesquisa neste cenário?

Eis como os filtros de permissão de pesquisa são aplicados a cada agência neste cenário.

1. O Mailbox filtro é aplicado primeiro para definir as localizações de conteúdo que os gestores de Deteção de Dados Eletrónicos podem pesquisar. Neste caso, os gestores de Deteção de Dados Eletrónicos da Coho Winery só podem procurar nas caixas de correio e nas contas do OneDrive de utilizadores cuja propriedade de caixa de correio do Departamento tem um valor de FourthCoffee; Os gestores de Deteção de Dados Eletrónicos da Coho Winery só podem procurar nas caixas de correio e nas contas do OneDrive de utilizadores cuja propriedade de caixa de correio do Departamento tem um valor cohoWinery. O Mailbox filtro é um filtro de localização de conteúdo, porque especifica as localizações de conteúdo que os gestores de Deteção de Dados Eletrónicos podem pesquisar. Em ambos os filtros, os gestores de Deteção de Dados Eletrónicos só podem procurar localizações de conteúdo com um valor de propriedade de caixa de correio específico.

2. Depois de definidas as localizações de conteúdo que podem ser pesquisadas, a próxima parte do filtro define o conteúdo que os gestores de Deteção de Dados Eletrónicos podem procurar. O primeiro SiteContent filtro permite que os gestores de Deteção de Dados Eletrónicos do Quarto Café procurem apenas documentos que tenham uma propriedade de caminho do site que contenha (ou comece com) https://contoso.sharepoint.com/sites/FourthCoffee; Os gestores de Deteção de Dados Eletrónicos da Coho Winery só podem procurar documentos que tenham uma propriedade de caminho do site que contenha (ou comece com) https://contoso.sharepoint.com/sites/CohoWinery. Por conseguinte, os dois SiteContent filtros são filtros de conteúdo porque definem o conteúdo que pode ser procurado. Em ambos os filtros, os gestores de Deteção de Dados Eletrónicos só podem procurar documentos com um valor de propriedade de documento específico. Todos os filtros relacionados com o SharePoint são filtros de conteúdo porque as propriedades pesquisáveis do site estão carimbadas em todos os documentos. Para obter mais informações, veja Configurar a filtragem de permissões para Deteção de Dados Eletrónicos.

   Observação

   Embora o cenário neste artigo não os utilize, também pode utilizar filtros de conteúdo de caixa de correio para especificar o conteúdo que os gestores de Deteção de Dados Eletrónicos podem procurar. A sintaxe dos filtros de conteúdo da caixa de correio é "MailboxContent_<property> -<comparison operator> '<value>'". Pode criar filtros de conteúdo com base em intervalos de datas, destinatários e domínios ou em qualquer propriedade de e-mail pesquisável. Por exemplo, este filtro permitiria que os gestores de Deteção de Dados Eletrónicos procurassem apenas itens de correio enviados ou recebidos por utilizadores no domínio contoso.com: "MailboxContent_Participants -like 'contoso.com'". Para obter mais informações sobre filtros de conteúdo de caixa de correio, consulte Configurar a filtragem de permissões de pesquisa.

3. O filtro de permissões de pesquisa é associado à consulta de pesquisa pelo operador E Booleano. Isto significa que, quando um gestor de Deteção de Dados Eletrónicos numa das agências executa uma pesquisa de Deteção de Dados Eletrónicos, os itens devolvidos pela pesquisa têm de corresponder à consulta de pesquisa e às condições definidas no filtro de permissões de pesquisa.

Passo 4: Criar um caso de Deteção de Dados Eletrónicos para investigações intra-agências

No passo final, crie um caso de Deteção de Dados Eletrónicos no portal do Microsoft Purview. Em seguida, adicione o grupo de funções que criou no Passo 2 como membro do caso. Esta abordagem proporciona dois benefícios importantes ao utilizar limites de conformidade:

• Apenas os membros do grupo de funções adicionados ao caso podem ver e aceder ao caso no portal do Microsoft Purview. Por exemplo, se o grupo de funções Fourth Coffee Researchers for o único membro de um caso, os membros do grupo de funções Gestores de Deteção de Dados Eletrónicos do Quarto Café (ou membros de qualquer outro grupo de funções) não podem ver ou aceder ao caso.

• Quando um membro do grupo de funções atribuído a um caso executa uma pesquisa associada ao caso, só pode procurar nas localizações de conteúdo na respetiva agência. Esta restrição é definida pelo filtro de permissões de pesquisa que criou no Passo 3.

Para criar um caso e atribuir membros:

1. Aceda à Deteção de Dados Eletrónicos no portal do Microsoft Purview e crie um caso.
2. Na lista de casos, selecione o nome do caso que criou.
3. Adicione grupos de funções como membros ao caso.

Procurar e exportar conteúdo em ambientes multigeo

Os filtros de permissões de pesquisa também lhe permitem controlar onde o conteúdo é encaminhado para exportação e que datacenter pode ser pesquisado ao procurar localizações de conteúdo num ambiente multigeo do SharePoint.

• Exportar resultados da pesquisa: Pode exportar os resultados da pesquisa a partir de caixas de correio do Exchange, sites do SharePoint e contas do OneDrive a partir de um datacenter específico. Isto significa que pode especificar a localização do datacenter a partir da qual os resultados da pesquisa são exportados.

  Utilize o parâmetro Região para os cmdlets New-ComplianceSecurityFilter ou Set-ComplianceSecurityFilter para criar ou alterar o datacenter através do qual a exportação é encaminhada.

  Valor do parâmetro	Local do datacenter
  NAM	Norte-Americano (os datacenters estão nos EUA)
  EUR	Europa
  APC	Pacífico Asiático
  CAN	Canadá

• Encaminhar pesquisas de conteúdo: Pode encaminhar as pesquisas de conteúdos de sites do SharePoint e contas do OneDrive para um datacenter por satélite. Isto significa que pode especificar a localização do datacenter onde as pesquisas são executadas.

  Observação

  Se estiver a utilizar funcionalidades de Deteção de Dados Eletrónicos premium, o parâmetro Região não controla a região a partir da qual os dados são exportados. Os dados são exportados a partir da localização central da organização. Além disso, a pesquisa de conteúdos no SharePoint e no OneDrive não está vinculada pela localização geográfica dos datacenters. Todos os datacenters são pesquisados.

  Utilize um dos seguintes valores para o parâmetro Região para controlar a localização do datacenter em que as pesquisas são executadas ao pesquisar sites do SharePoint e contas do OneDrive.

  Valor do parâmetro	Datacenter localizações de encaminhamento para o SharePoint
  NAM	EUA
  EUR	Europa
  APC	Pacífico Asiático
  CAN	EUA
  AUS	Pacífico Asiático
  KOR	O datacenter predefinido da organização
  GBR	Europa
  JPN	Pacífico Asiático
  IND	Pacífico Asiático
  LAM	EUA
  NOR	Europa
  BRA	Datacenters norte-americanos

  Se não especificar o parâmetro Região para um filtro de permissões de pesquisa, a região principal do SharePoint da organização é pesquisada. Os resultados da pesquisa são exportados para o datacenter mais próximo.

  Para simplificar o conceito, o parâmetro Região controla o datacenter utilizado para procurar conteúdos no SharePoint e no OneDrive. Este parâmetro não se aplica à pesquisa de conteúdos no Exchange porque as pesquisas de conteúdos do Exchange não estão vinculadas pela localização geográfica dos datacenters. Além disso, o mesmo valor do parâmetro Região também pode ditar o datacenter através do qual as exportações são encaminhadas. Este encaminhamento é, muitas vezes, necessário para controlar o movimento de dados através dos limites geográficos.

  Importante

  Ao criar o filtro de conformidade de segurança e definir uma região GEOGRÁFICA específica: ESP, ITA, NZL e SWE não são regiões válidas e geram um erro ao redirecionar para valores de região válidos. Este erro inclui as seguintes regiões válidas: ARE, APC, AUS, AUT, BRA, CAN, CHE, CHL, DEU, EUR, FRA, GBR, IDN, IND, JPN, KOR, LAM, MYS, NAM, NOR, POL, QAT, ZAF.

Seguem-se exemplos de utilização do parâmetro Região ao criar filtros de permissão de pesquisa para limites de conformidade. Este exemplo pressupõe que a subsidiária Fourth Coffee está localizada em América do Norte e que a Coho Winery está na Europa.

New-ComplianceSecurityFilter -FilterName "Fourth Coffee Security Filter" -Users "Fourth Coffee eDiscovery Managers", "Fourth Coffee Investigators" -Filters "Mailbox_Department -eq 'FourthCoffee'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/FourthCoffee*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region NAM

New-ComplianceSecurityFilter -FilterName "Coho Winery Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Mailbox_Department -eq 'CohoWinery'", "SiteContent_Path -like 'https://contoso.sharepoint.com/sites/CohoWinery*' -or SiteContent_Path -like 'https://contoso-my.sharepoint.com/personal*'" -Region EUR

Tenha em atenção os seguintes aspetos ao procurar e exportar conteúdo em ambientes multigeo.

• O parâmetro Região não controla as pesquisas de caixas de correio do Exchange. Todos os datacenters são pesquisados quando se pesquisa caixas de correio. Para limitar o âmbito do qual as caixas de correio do Exchange são pesquisadas, utilize o parâmetro Filtros ao criar ou alterar um filtro de permissões de pesquisa.

• Se for necessário que um Gestor de Deteção de Dados Eletrónicos pesquise em várias regiões do SharePoint, tem de criar uma conta de utilizador diferente para esse gestor de Deteção de Dados Eletrónicos utilizar no filtro de permissões de pesquisa para especificar a região onde estão localizados os sites do SharePoint ou as contas do OneDrive. Para obter mais informações sobre como configurar esta definição, consulte a secção "Procurar conteúdo num ambiente SharePoint Multi-Geo" na Pesquisa de Conteúdos.

• Ao procurar conteúdo no SharePoint e no OneDrive, o parâmetro Região direciona as pesquisas para a localização primária ou por satélite onde o gestor de Deteção de Dados Eletrónicos realiza investigações de Deteção de Dados Eletrónicos. Se um gestor de Deteção de Dados Eletrónicos pesquisar sites do SharePoint e do OneDrive fora da região especificada no filtro de permissões de pesquisa, não são devolvidos resultados da pesquisa.

• Ao exportar os resultados da pesquisa da Deteção de Dados Eletrónicos, os conteúdos de todas as localizações de conteúdo (incluindo o Exchange, Skype for Business, SharePoint, OneDrive e outros serviços que pode pesquisar com a ferramenta Pesquisa de Conteúdos) são carregados para a localização de Armazenamento do Azure no datacenter especificado pelo parâmetro Região. Este comportamento ajuda as organizações a manterem-se em conformidade ao não permitir que os conteúdos sejam exportados através de limites controlados. Se não especificar uma região no filtro de permissões de pesquisa, o conteúdo é carregado para o datacenter principal da organização.

  Ao exportar conteúdo com funcionalidades de Deteção de Dados Eletrónicos premium ativadas, não pode controlar onde o conteúdo é carregado com o parâmetro Região . O conteúdo é carregado para uma localização de Armazenamento Azure num datacenter na localização central da sua organização. Para obter uma lista de localizações geográficas com base na sua localização central, veja Configuração da Deteção de Dados Eletrónicos Multigeográficos do Microsoft 365.

• Pode editar um filtro de permissões de pesquisa existente para adicionar ou alterar a região ao executar o seguinte comando:

  Set-ComplianceSecurityFilter -FilterName <Filter name>  -Region <Region>
  

Utilizar limites de conformidade para sites hub do SharePoint

Os sites hub do SharePoint alinham-se frequentemente com os mesmos limites geográficos ou de agência que os limites de conformidade da Deteção de Dados Eletrónicos seguem. Pode utilizar a propriedade ID do site do hub para criar um limite de conformidade. Para tal, utilize o cmdlet Get-SPOHubSite no PowerShell do SharePoint Online para obter o SiteId do site hub e, em seguida, utilize este valor para a propriedade ID do departamento para criar um filtro de permissões de pesquisa.

Utilize a seguinte sintaxe para criar um filtro de permissões de pesquisa para um site hub do SharePoint:

New-ComplianceSecurityFilter -FilterName <Filter Name> -Users <User or Group> -Filters "Site_Departmentid -eq '{SiteId of hub site}'"

Eis um exemplo da criação de um filtro de permissões de pesquisa para um site central para a agência Coho Winery:

New-ComplianceSecurityFilter -FilterName "Coho Winery Hub Site Security Filter" -Users "Coho Winery eDiscovery Managers", "Coho Winery Investigators" -Filters "Site_Departmentid -eq '44252d09-62c4-4913-9eb0-a2a8b8d7f863'"

Considerações sobre limites de conformidade

Tenha em atenção as seguintes considerações ao gerir casos de Deteção de Dados Eletrónicos e investigações que utilizam limites de conformidade:

• Quando cria e executa uma pesquisa, pode selecionar localizações de conteúdo fora da sua agência. No entanto, por causa do filtro das permissões de pesquisa, o conteúdo desses locais não são incluídos nos resultados da pesquisa.

• Os limites de conformidade não se aplicam a retenções em casos de Deteção de Dados Eletrónicos. Esta condição significa que um gestor de Deteção de Dados Eletrónicos numa agência pode colocar um utilizador numa agência diferente em espera. No entanto, o limite de conformidade é imposto se o gestor de Deteção de Dados Eletrónicos pesquisar as localizações de conteúdo do utilizador que foi colocado em espera. Essa condição significa que o gestor de Deteção de Dados Eletrónicos não consegue procurar nas localizações de conteúdo do utilizador, apesar de ter conseguido colocar o utilizador em espera.

• Se lhe for atribuído um filtro de permissões de pesquisa - filtros de caixa de correio ou de site - e tentar exportar itens parcialmente indexados de uma pesquisa que inclui todos os sites do SharePoint na sua organização, utilizando a opção de âmbito para incluir itens parcialmente indexados mesmo a partir de localizações sem acessos de pesquisa (consulte Exportar resultados de pesquisa), a exportação contém itens parcialmente indexados de todos os sites, incluindo aqueles fora do limite de conformidade atribuído.

• Ao obter itens parcialmente indexados de sites que contêm resultados de pesquisa, a Deteção de Dados Eletrónicos utiliza uma abordagem baseada em prefixos. Por exemplo, se um site http://contoso.com/sales for identificado como uma localização que corresponde à consulta de pesquisa, os resultados também podem incluir itens de um site com um prefixo semelhante, como http://contoso.com/salesdepartment, mesmo que o http://contoso.com/salesdepartment site fique fora do limite de conformidade configurado. Este comportamento pode ocorrer quando o filtro não se baseia no caminho do site. Por exemplo, se o limite de conformidade for definido como Property -eq 'abc', um site que não corresponda ao valor 'abc' da propriedade poderá ser incluído se o respetivo caminho partilhar um prefixo com um site que corresponda à propriedade.

• Filtros de permissões de pesquisa não são aplicados a pastas públicas do Exchange.

• Os filtros de pesquisa suportados incluem , , , , e -ne-eq. -not-like-or-and Não utilize outros filtros de exclusão, como -notlike ou inotlike, num filtro de permissões de pesquisa para um limite de conformidade baseado em conteúdo. A utilização destes filtros de exclusão pode ter resultados inesperados se o conteúdo com atributos recentemente atualizados não tiver sido indexado.

• O respeito pelos limites de conformidade dos sites do OneDrive nas pesquisas pode ser afetado quando:

  • Os sites ou caixas de correio associadas são movidos ou realojados.
  • A propriedade do OneDrive é reatribuída ou é adicionado mais do que um proprietário.
  • O nome do site do OneDrive foi mudado ou foi novamente emitido.
  • Mover um site do OneDrive pode alterar a propriedade do conteúdo e pode incluir a criação de uma caixa de correio de arbitragem. Quando move estes recursos, existe a possibilidade de os resultados da pesquisa de conteúdos estarem disponíveis entre limites de conformidade. Quando um site do OneDrive é reatribuído, renomeado ou atribuído a mais do que um proprietário, é possível que os conteúdos destes sites estejam disponíveis para além dos limites de conformidade.

• Os limites de conformidade das caixas de correio podem ser afetados quando:

  • A caixa de correio não está associada a um utilizador licenciado, que inclui utilizadores desativados ou eliminados.
  • Uma caixa de correio não é gerida ou sincronizada a partir de Microsoft Entra ID.

• Além disso, vários tipos de caixas de correio podem produzir conteúdo durante a pesquisa, independentemente dos respetivos limites de conformidade. Estes tipos de caixa de correio incluem:

  • Caixa de Correio de Equipamento
  • GuestMailUser
  • LinkedMailbox
  • RoomList
  • RoomMailbox
  • SchedulingMailbox
  • SharedMailbox
  • SystemMailbox
  • TeamMailbox

• Para se certificar de que a pesquisa respeita os limites de conformidade conforme esperado para estas caixas de correio, defina atributos em caixas de correio partilhadas, caixas de correio de equipamento e outras caixas de correio utilizando o cmdlet Set-Mailbox ou utilizando Invoke-ComplianceSecurityFilterAction para garantir que o atributo está definido corretamente. Se configurar corretamente o atributo e o alinhar com o atributo de limite de conformidade, a caixa de correio respeita o limite de conformidade.

Mais informações

• Se anular ou eliminar de forma recuperável uma caixa de correio, o utilizador deixará de estar dentro do limite de conformidade. Se colocar uma suspensão na caixa de correio quando a eliminar, o conteúdo preservado na caixa de correio continua sujeito a um limite de conformidade ou filtro de permissões de pesquisa.
• Se implementar limites de conformidade e filtros de permissões de pesquisa para um utilizador, não elimine a caixa de correio do utilizador ou a respetiva conta do OneDrive. Se eliminar a caixa de correio de um utilizador, remova também a conta do OneDrive do utilizador, uma vez mailbox_RecipientFilter que impõe o filtro de permissão de pesquisa do OneDrive.
• Os limites de conformidade e os filtros de permissões de pesquisa dependem de atributos carimbados em conteúdos no Exchange, OneDrive e SharePoint e na indexação subsequente deste conteúdo carimbado.

Perguntas frequentes

Quem pode criar e gerir filtros de permissões de pesquisa com os cmdlets New-ComplianceSecurityFilter e Set-ComplianceSecurityFilter?

Para criar, ver e modificar filtros de permissões de pesquisa no portal do Microsoft Purview, tem de ter atribuídas as funções de Administrador de Gestão e Deteção de Dados Eletrónicos da Organização.

Se um gestor de Deteção de Dados Eletrónicos for atribuído a mais do que um grupo de funções que abrange várias agências, como é que procuram conteúdos numa agência ou noutra?

O gestor de Deteção de Dados Eletrónicos pode adicionar parâmetros à consulta de pesquisa que restringem a pesquisa a uma agência específica. Por exemplo, se uma organização especificar a propriedade CustomAttribute10 para diferenciar as agências, pode acrescentar o seguinte à consulta de pesquisa para procurar caixas de correio e contas do OneDrive numa agência específica: CustomAttribute10:<value>.

O que acontece se alterar o valor do atributo utilizado como atributo de compatibilidade num filtro de permissões de pesquisa?

Um filtro de permissão de pesquisa demora até três dias a impor o limite de conformidade se alterar o valor do atributo utilizado no filtro. Por exemplo, digamos que um utilizador da agência Fourth Coffee é transferido para a agência Coho Winery. Como resultado, o valor do atributo Departamento no objeto de utilizador muda de FourthCoffee para CohoWinery. Nesta situação, a Quarta Deteção de Dados Eletrónicos de Café e os investidores obtêm resultados de pesquisa para esse utilizador até três dias após a alteração do atributo. Da mesma forma, demora até três dias até que os gestores de Deteção de Dados Eletrónicos da Coho Winery e os investigadores obtenham resultados de pesquisa para o utilizador.

Um gestor de Deteção de Dados Eletrónicos pode ver o conteúdo de dois limites de conformidade separados?

Sim, esta capacidade está disponível ao procurar caixas de correio do Exchange ao adicionar o gestor de Deteção de Dados Eletrónicos a grupos de funções que têm visibilidade para ambas as agências. No entanto, ao pesquisar sites do SharePoint e contas do OneDrive, um gestor de Deteção de Dados Eletrónicos só pode procurar conteúdos em diferentes limites de conformidade se as agências estiverem na mesma região ou localização geográfica.

Os filtros de permissões de pesquisa funcionam para retenções de casos de Deteção de Dados Eletrónicos, políticas de retenção do Microsoft 365 ou DLP?

Não no momento.

Se especificar uma região para controlar onde o conteúdo é exportado, mas não tenho uma organização do SharePoint nessa região, posso continuar a procurar no SharePoint?

Se a região especificada no filtro de permissões de pesquisa não existir na sua organização, a região predefinida é pesquisada.

Qual é o número máximo de filtros de permissões de pesquisa que posso criar numa organização?

Não existe limite para o número de filtros de permissões de pesquisa que pode criar numa organização. No entanto, uma consulta de pesquisa pode ter no máximo 100 condições. Neste caso, uma condição é definida como algo que está ligado à consulta por um operador Booleano (como AND, OR e NEAR). O limite do número de condições inclui a própria consulta de pesquisa e todos os filtros de permissões de pesquisa que são aplicados ao utilizador que executa a pesquisa. Portanto, mais filtros de permissões de pesquisa você tem (especialmente se esses filtros forem aplicados ao mesmo usuário ou grupo de usuários), maior será a chance de exceder o número máximo de condições para uma pesquisa.

Para compreender como funciona este limite, tem de compreender que um filtro de permissões de pesquisa é anexado à consulta de pesquisa quando uma pesquisa é executada. Um filtro de permissões de pesquisa é associado à consulta de pesquisa pelo operador E Booleano. A lógica de consulta para a consulta de pesquisa e um único filtro de permissões de pesquisa tem o seguinte aspeto:

<SearchQuery> AND <PermissionsFilter>

Vários filtros de permissões de pesquisa são combinados pelo operador BOOleano OR e, em seguida, essas condições são ligadas à consulta de pesquisa pelo operador AND .

A lógica de consulta para a consulta de pesquisa e vários filtros de permissões de pesquisa tem o seguinte aspeto:

<SearchQuery> AND (<PermissionsFilter1> OR <PermissionsFilter2> OR <PermissionsFilter3>...)

É possível que a consulta de pesquisa em si possa consistir em várias condições ligadas por operadores booleanos. Cada condição na consulta de pesquisa também conta para o limite de 100 condições.

Além disso, o número de filtros de permissões de pesquisa anexados a uma consulta depende do utilizador que está a executar a pesquisa. Quando um utilizador específico executa uma pesquisa, os filtros de permissões de pesquisa que são aplicados ao utilizador (que é definido pelo parâmetro Utilizadores no filtro) são anexados à consulta. A sua organização pode ter centenas de filtros de permissões de pesquisa, mas se aplicar mais de 100 filtros aos mesmos utilizadores, é provável que o limite de 100 condições seja excedido quando esses utilizadores executarem pesquisas.

Há mais uma coisa a ter em conta sobre o limite de condições. O número de sites específicos do SharePoint incluídos na consulta de pesquisa ou nos filtros de permissões de pesquisa também é contabilizado neste limite.

Para impedir que a sua organização atinja o limite de condições, mantenha o número de filtros de permissões de pesquisa na sua organização o menor número possível para satisfazer os seus requisitos empresariais.

Como é que os filtros de caixa de correio afetam as pesquisas nos sites do SharePoint ligados ao OneDrive e ao Grupo M365?

Os sites do OneDrive e os sites do SharePoint ligados ao Grupo do Microsoft 365 estão ligados ao utilizador associado ou à caixa de correio do Grupo do Microsoft 365 no Exchange. Para filtros de segurança que incluem um filtro Caixa de Correio e SiteContent, para devolver os resultados dos sites sharePoint ligados ao Grupo Do OneDrive ou do Microsoft 365, ambos têm de ser uma correspondência. O filtro Caixa de Correio é avaliado em relação ao utilizador ligado ou à Caixa de Correio de Grupo do Microsoft 365 primeiro antes de avaliar os itens do SharePoint e do OneDrive relativamente ao filtro SiteContent.

O que é uma caixa de correio de arbitragem no contexto dos sites do OneDrive?

Para utilizadores ativos e licenciados que tenham uma caixa de correio do Exchange e uma conta do OneDrive, existe uma ligação entre a caixa de correio e o respetivo site do OneDrive. Isto significa que o filtro caixa de correio atribuído a um limite de conformidade é avaliado em relação à caixa de correio do utilizador para marcar para uma correspondência antes de os resultados serem devolvidos.

Quando esta ligação é perdida entre uma caixa de correio e um site do OneDrive, o OneDrive é associado a uma caixa de correio de arbitragem. Esta caixa de correio de arbitragem não tem nenhuma das propriedades da caixa de correio original aplicada à mesma.

Como fazer marcar o status de um site do OneDrive para determinar se está associado a uma caixa de correio de arbitragem?

Para rever um site específico do OneDrive e marcar se estiver em arbitragem ou ligado à caixa de correio de um utilizador, utilize o cmdlet Invoke-ComplianceSecurityFilterAction.

Utilize a seguinte sintaxe para marcar a status de um site do OneDrive:

Invoke-ComplianceSecurityFilterAction -Action GetStatus -PropertyName <Boundary Property> -SiteUrl <SharePoint/OneDrive URL>

Para um site do OneDrive que não está em arbitragem, os comandos devolvem o valor BoundaryType como UserMailbox, conforme mostrado no exemplo seguinte:

PS C:\> Invoke-ComplianceSecurityFilterAction -action GetStatus -PropertNname "CustomAttribute10" -siteurl "https://contoso-my.sharepoint.com/personal/lila_contoso_onmicrosoft_com"
   
SiteUrlOrEmailAddress : https://contoso-my.sharepoint.com/personal/lila_contoso_onmicrosoft_com 
BoundaryType          : UserMailbox 
BoundaryInstruction   : Set via Set-Mailbox 
BoundaryObjectId      : SPO_4531d99e-21df-4903-a8c1-76cc3ec82685@SPO_525ef3f5-fbf7-4f91-bb4a-e3c24116c8a9 
BoundaryStatus        : Success 
BoundaryProperty      : CustomAttribute10 
BoundaryPropertyValue : Dept-CH

Para um site do OneDrive em arbitragem, os comandos devolvem um valor vazio ou nulo para o valor BoundaryType , conforme mostrado no exemplo seguinte.

PS C:\> Invoke-ComplianceSecurityFilterAction -action GetStatus -PropertyName "CustomAttribute10" -siteurl "https://contoso-my.sharepoint.com/personal/lila_contoso_onmicrosoft_com"   

SiteUrlOrEmailAddress : https://contoso-my.sharepoint.com/personal/lila_contoso_onmicrosoft_com 
BoundaryType          :  
BoundaryInstruction   :  
BoundaryObjectId      : SPO_4531d99e-21df-4903-a8c1-76cc3ec82685@SPO_525ef3f5-fbf7-4f91-bb4a-e3c24116c8a9 
BoundaryStatus        : Success 
BoundaryProperty      : CustomAttribute10 
BoundaryPropertyValue : 

Como é que um site do OneDrive em arbitragem afeta os resultados devolvidos por um Gestor de Deteção de Dados Eletrónicos com limites de conformidade aplicados aos mesmos?

Este comportamento depende da forma como o filtro de segurança é configurado para o limite de conformidade. Quando um site do OneDrive está em arbitragem, um filtro de Caixa de Correio não o inclui nos resultados devolvidos.

Para filtros de segurança que utilizam apenas um filtro de Caixa de Correio, os itens do OneDrive são devolvidos nos resultados de uma pesquisa porque o filtro da caixa de correio não se aplica neste cenário.

Para filtros de segurança que utilizam um filtro de caixa de correio e um filtro SiteContent, os resultados são devolvidos se o filtro SiteContent corresponder aos itens na instância do OneDrive que está em arbitragem. Se não houver correspondência, os resultados não serão devolvidos. Por exemplo, se o filtro de SiteContent_Path for utilizado como agências separadas tiver um URL exclusivo do OneDrive devido à implementação do Microsoft 365 Multi-Geo, o caminho dos itens do OneDrive filtra ou sai dos resultados do OneDrive em arbitragem.

Como posso atualizar um site do OneDrive em arbitragem para que os filtros da Caixa de Correio continuem a ser aplicados?

Utilize o cmdlet Invoke-ComplianceSecurityFilterAction para definir os valores CustomAttribute1 para CustomAttribute15 em instâncias do OneDrive que ligam a uma caixa de correio de arbitragem.

Utilize a seguinte sintaxe para definir o status de um site do OneDrive:

Invoke-ComplianceSecurityFilterAction -Action Set -PropertyName <Boundary Property> -SiteUrl <SharePoint/OneDrive URL>

Depois de o definir no OneDrive, este honra os filtros da Caixa de Correio que utilizam a propriedade CustomAttribute definida no OneDrive.

Que cenários fazem com que um site do OneDrive ligue a uma caixa de correio de arbitragem?

Muitos cenários podem fazer com que um site do OneDrive perca a ligação para a caixa de correio do utilizador e ligue a uma caixa de correio de arbitragem. Veja a secção Limitações de Limites de Conformidade para obter mais informações. Como resultado, quando mover, alterar ou reatribuir um OneDrive, utilize o cmdlet Invoke-ComplianceSecurityFilterAction para validar se o filtro da Caixa de Correio relevante se comporta conforme esperado.

Como parte dos processos de desaprovisionamento do utilizador, execute o cmdlet Invoke-ComplianceSecurityFilterAction no OneDrive do utilizador para definir o valor CustomAttribute necessário.

Por que motivo devo utilizar CustomAttribute1 através de CustomAttribute15 para filtros de segurança da Caixa de Correio?

Embora outros atributos da Caixa de Correio funcionem com filtros de segurança, utilize CustomAttributes quando definir o filtro de segurança caixa de correio pelos seguintes motivos:

• Todas as Exchange Online caixas de correio suportam estes atributos.
• Os atributos carimbam diretamente na caixa de correio, não no objeto de utilizador associado, pelo que permanecem definidos em cenários em que não existe nenhum objeto de utilizador associado.
• O cmdlet Invoke-ComplianceSecurityFilterAction só suporta a definição CustomAttribute em instâncias do OneDrive ligadas a uma caixa de correio de arbitragem.