Cree un ámbito de administración personalizado para In-Place búsquedas de eDiscovery en Exchange Online

  • Artículo

Puede usar un ámbito de administración personalizado para permitir que personas o grupos específicos usen In-Place eDiscovery para buscar en un subconjunto de buzones de correo de la organización de Exchange Online. Por ejemplo, quizás quiera permitir que un administrador de detección realice búsquedas solo en los buzones de los usuarios de un departamento o una ubicación en particular. Para ello, puede crear un ámbito de administración personalizado. Este ámbito de administración personalizado usa un filtro de destinatarios para controlar los buzones de correo en los que se pueden realizar búsquedas. Los ámbitos de filtro de destinatario usan filtros para dirigirse a destinatarios específicos en función del tipo de destinatario o de otras propiedades del destinatario.

Para In-Place eDiscovery, la única propiedad de un buzón de usuario que puede usar para crear un filtro de destinatarios para un ámbito personalizado es la pertenencia a grupos de distribución (el nombre de propiedad real es MemberOfGroup). Si usa otras propiedades, como CustomAttributeN, Department o PostalCode, se produce un error en la búsqueda cuando la ejecuta un miembro del grupo de roles al que se asigna el ámbito personalizado.

Para obtener más información sobre los ámbitos de administración, vea:

¿Qué necesita saber antes de empezar?

  • Tiempo estimado para finalizar: 15 minutos

  • Como se ha indicado anteriormente, solo puede usar la pertenencia a grupos como el filtrado de destinatarios para crear un ámbito de filtrado de destinatarios personalizado que se usará para la exhibición de documentos electrónicos. No se puede usar ninguna otra propiedad de destinatario para crear un ámbito personalizado para las búsquedas de exhibición de documentos electrónicos. Tenga en cuenta que tampoco se puede usar la pertenencia a grupos en un grupo de distribución dinámica.

  • Realice los pasos 1 a 3 para permitir que un administrador de detección exporte los resultados de la búsqueda para una búsqueda de exhibición de documentos electrónicos que use un ámbito de administración personalizado.

  • Si el administrador de detección no necesita obtener una vista previa de los resultados de la búsqueda, puede omitir el paso 4.

  • Si el administrador de detección no necesita copiar los resultados de la búsqueda, puede omitir el paso 5.

Paso 1: organizar a los usuarios en grupos de distribución para la exhibición de documentos electrónicos

Para buscar un subconjunto de buzones en su organización o para restringir el ámbito de los buzones de origen en los que puede buscar un administrador de detección, deberá agrupar los subconjuntos de buzones en uno o varios grupos de distribución. Cuando cree un ámbito de administración personalizado en el paso 2, usará estos grupos de distribución como el filtro de destinatarios para crear un ámbito de administración personalizado. Esto permite que el administrador de detección busque únicamente en los buzones de los usuarios que son miembros de un grupo especificado.

Puede usar grupos de distribución existentes para la exhibición de documentos electrónicos o crear nuevos grupos. Vea More information al final de este tema para obtener sugerencias sobre cómo crear grupos de distribución que se puedan usar para limitar las búsquedas de exhibición de documentos electrónicos.

Paso 2: crear un ámbito de administración personalizado

Ahora creará un ámbito de administración personalizado definido por la pertenencia a un grupo de distribución (mediante el filtro de destinatarios MemberOfGroup ). Cuando se aplica este ámbito a un grupo de roles usado para la exhibición de documentos electrónicos, los miembros del grupo de roles pueden buscar los buzones de usuarios que son miembros del grupo de distribución que se usó para crear el ámbito de administración personalizado.

Este procedimiento usa Exchange Online comandos de PowerShell para crear un ámbito personalizado denominado Ámbito de exhibición de documentos electrónicos de usuarios de Ottawa. Especifica el grupo de distribución denominado Usuarios de Ottawa para el filtro de destinatarios del ámbito personalizado.

  1. Ejecute este comando para obtener y guardar las propiedades del grupo de usuarios de Ottawa como una variable, que se usa en el próximo comando.

    $DG = Get-DistributionGroup -Identity "Ottawa Users"

  2. Ejecute este comando para crear un ámbito de administración personalizado en función de la pertenencia al grupo de distribución de usuarios de Ottawa.

    New-ManagementScope "Ottawa Users eDiscovery Scope" -RecipientRestrictionFilter "MemberOfGroup -eq '$($DG.DistinguishedName)'"

El nombre distintivo del grupo de distribución, que forma parte de la variable $DG, se usa para crear el filtro de destinatarios para el nuevo ámbito de administración.

Paso 3: crear un grupo de roles de administración

En este paso, debe crear un nuevo grupo de roles de administración y asignar el ámbito personalizado que creó en el paso 2. Agregue los roles de suspensión legal y de búsqueda en el buzón de modo que los miembros del grupo de roles puedan realizar búsquedas en la exhibición de documentos electrónicos local y colocar los buzones en retención por juicio o conservación local. También puede agregar miembros a este grupo de roles para que puedan realizar búsquedas en los buzones de los miembros del grupo de distribución que se usó para crear el ámbito personalizado en el paso 2.

En los siguientes ejemplos, el grupo de seguridad de administradores de la exhibición de documentos electrónicos de usuarios de Ottawa se agregará como miembro del grupo de roles. Puede usar Exchange Online PowerShell o el EAC para este paso.

Uso de Exchange Online PowerShell para crear un grupo de roles de administración

Ejecute este comando para crear un nuevo grupo de roles que use el ámbito personalizado creado en el paso 2. El comando también agrega los roles de suspensión legal y de búsqueda en el buzón y agrega a los administradores de la exhibición de documentos electrónicos de usuarios de Ottawa como miembros del nuevo grupo de roles.

New-RoleGroup "Ottawa Discovery Management" -Roles "Mailbox Search","Legal Hold" -CustomRecipientWriteScope "Ottawa Users eDiscovery Scope" -Members "Ottawa Users eDiscovery Managers"

Usar el EAC para crear un grupo de roles de administración

  1. En el EAC, vaya a Permisos>Administración roles y, a continuación, haga clic en Nuevoicono agregar.

  2. En Nuevo grupo de roles, proporcione la siguiente información:

    • Nombre: proporcione un nombre descriptivo para el nuevo grupo de roles. Para este ejemplo, usamos Administración de detección de Ottawa.

    • Ámbito de escritura: seleccione el ámbito de administración personalizado que creó en el paso 2. Este ámbito se aplicará al nuevo grupo de roles.

    • Roles: haga clic en Agregar icono agregar y agregue los roles de suspensión legal y buzón Búsqueda al nuevo grupo de roles.

    • Miembros: haga clic en Agregar icono agregar y seleccione los usuarios, el grupo de seguridad o los grupos de roles que desea agregar como miembros del nuevo grupo de roles. Para este ejemplo, los miembros del grupo de seguridad Administradores de la exhibición de documentos electrónicos de usuarios de Ottawa podrán buscar solo en los buzones de los usuarios que son miembros del grupo de distribución de usuarios de Ottawa.

  3. Haga clic en Guardar para crear el grupo de roles.

    Aquí hay un ejemplo de cómo se verá la ventana Nuevo grupo de roles cuando haya finalizado.

    Cree un nuevo grupo de roles para un ámbito personalizado.

Paso 4 (opcional): agregar administradores de detección como miembros del grupo de distribución usado para crear el ámbito de administración personalizado

Solo debe llevar a cabo este paso si quiere que un administrador de detección obtenga una vista previa de los resultados de la búsqueda de la exhibición de documentos electrónicos.

Ejecute este comando para agregar el grupo de seguridad de administradores de la exhibición de documentos electrónicos de usuarios de Ottawa como miembro del grupo de distribución de usuarios de Ottawa.

Add-DistributionGroupMember -Identity "Ottawa Users" -Member "Ottawa Users eDiscovery Managers"

Nota:

Para Exchange local, los administradores de detección tendrán que agregarse directamente al grupo de distribución que se usa para crear el ámbito de administración. Los grupos anidados no funcionarán.

También puede usar el EAC para agregar miembros a un grupo de distribución. Para obtener más información, consulte Creación y administración de grupos de distribución.

Paso 5 (opcional): agregar un buzón de correo de detección como miembro del grupo de distribución usado para crear el ámbito de administración personalizado

Solo debe llevar a cabo este paso si quiere que un administrador de detección pueda copiar los resultados de la búsqueda de la exhibición de documentos electrónicos.

Ejecute este comando para agregar un buzón de correo de detección llamado Buzón de correo de detección de Ottawa como miembro del grupo de distribución de usuarios de Ottawa.

Add-DistributionGroupMember -Identity "Ottawa Users" -Member "Ottawa Discovery Mailbox"

Nota:

Para abrir un buzón de correo de detección y ver los resultados de la búsqueda, los administradores de detección deben tener asignados permisos de acceso total al buzón de correo de detección. Para más información, vea Crear un buzón de correo de detección.

¿Cómo saber si el proceso se ha completado correctamente?

Aquí le presentamos algunas formas de comprobar si ha implementado correctamente los ámbitos de administración personalizados para la exhibición de documentos electrónicos. Cuando realice la comprobación, asegúrese de que el usuario que ejecuta las búsquedas en la exhibición de documentos electrónicos sea miembro del grupo de roles que usa el ámbito de administración personalizado.

  • Cree una búsqueda de exhibición de documentos electrónicos y seleccione el grupo de distribución que se usó para crear el ámbito de administración personalizado como origen de los buzones de correo en los que se realizará la búsqueda. Debe poder buscarse correctamente en todos los buzones de correo.

  • Cree una búsqueda de exhibición de documentos electrónicos y busque los buzones de correo de los usuarios que no son miembros del grupo de distribución que se usó para crear el ámbito de administración personalizado. La búsqueda debe presentar un error porque el administrador de detección solo puede buscar los buzones de correo de los usuarios que son miembros del grupo de distribución que se usó para crear el ámbito de administración personalizado. En este caso, se devolverá un error como "No se puede buscar el nombre del buzón< de correo > porque el usuario actual no tiene permisos para acceder al buzón".

  • Cree una búsqueda de exhibición de documentos electrónicos y busque los buzones de correo de los usuarios que son miembros del grupo de distribución que se usó para crear el ámbito de administración personalizado. En la misma búsqueda, incluya los buzones de correo de los usuarios que no son miembros. Podrá realizar la búsqueda parcialmente. Podrá buscar sin problemas los buzones de correo de los miembros del grupo de distribución usado para crear el ámbito de administración personalizado. No podrá realizar la búsqueda de los buzones de los usuarios que no son miembros del grupo.

Más información

  • Debido a que los grupos de distribución se usan en este escenario para limitar las búsquedas de exhibición de documentos electrónicos y no para el envío de mensajes, considere lo siguiente al crear y configurar los grupos de distribución para la exhibición de documentos electrónicos:

    • Cree grupos de distribución con una pertenencia cerrada para que solo los propietarios del grupo puedan agregar o quitar miembros del grupo. Si va a crear el grupo en Exchange Online PowerShell, use la sintaxis MemberJoinRestriction closed y MemberDepartRestriction closed.

    • Habilite la moderación del grupo de modo que todos los mensajes enviados al grupo primero lleguen a los moderadores del grupo para que puedan aprobar o rechazar el mensaje según corresponda. Si va a crear el grupo en Exchange Online PowerShell, use la sintaxis ModerationEnabled $true. Si quiere usar el EAC, puede habilitar la moderación después de que se crea el grupo.

    • Oculte el grupo de distribución de la libreta de direcciones compartida de la organización. Use el EAC o el cmdlet Set-DistributionGroup una vez que se creó el grupo. Si usa Exchange Online PowerShell, use la sintaxis HiddenFromAddressListsEnabled $true.

      En el siguiente ejemplo, el primer comando crea un grupo de distribución con pertenencia cerrada y moderación habilitada. El segundo comando oculta el grupo de la libreta de direcciones compartida.

      New-DistributionGroup -Name "Vancouver Users eDiscovery Scope" -Alias VancouverUserseDiscovery -MemberJoinRestriction closed -MemberDepartRestriction closed -ModerationEnabled $true

      Set-DistributionGroup "Vancouver Users eDiscovery Scope" -HiddenFromAddressListsEnabled $true

      Para obtener más información sobre cómo crear y administrar grupos de distribución, consulte Creación y administración de grupos de distribución.

  • Si bien solo puede usar la pertenencia a grupos de distribución como filtro de destinatarios para un ámbito de administración personalizado que se usa para la exhibición de documentos electrónicos, puede usar otras propiedades de los destinatarios para agregar usuarios al grupo de distribución. Aquí hay algunos ejemplos de cómo usar los cmdlets Get-Mailbox y Get-Recipient para obtener un grupo específico de usuarios en función de atributos comunes de usuarios o buzones de correo.

    Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'Department -eq "HR"'

    Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'CustomAttribute15 -eq "VancouverSubsidiary"'

    Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'PostalCode -eq "98052"'

    Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'StateOrProvince -eq "WA"'

    Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited -OrganizationalUnit "namsr01a002.sdf.exchangelabs.com/Microsoft Exchange Hosted Organizations/contoso.onmicrosoft.com"

  • Luego, puede usar los ejemplos anteriores para crear una variable que se puede usar con el cmdlet Add-DistributionGroupMember para agregar un grupo de usuarios a un grupo de distribución. En el ejemplo siguiente, el primer comando crea una variable que contiene todos los buzones de usuario que tienen el valor Vancouver para la propiedad Department en su cuenta de usuario. El segundo comando agrega estos usuarios al grupo de distribución de usuarios de Vancouver.

    $members = Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize unlimited -Filter 'Department -eq "Vancouver"'

    $members | ForEach {Add-DistributionGroupMember "Ottawa Users" -Member $_.Name}

  • Puede usar el cmdlet Add-RoleGroupMember para agregar un miembro a un grupo de roles existente que se usa para limitar las búsquedas en la exhibición de documentos electrónicos. Por ejemplo, el siguiente comando agrega el usuario admin@ottawa.contoso.com al grupo de roles Administración de detección de Ottawa.

    Add-RoleGroupMember "Vancouver Discovery Management" -Member paralegal@vancouver.contoso.com

    También puede usar el EAC para agregar miembros a un grupo de roles. Para obtener más información, consulte la sección "Modificar grupos de roles" en Administrar grupos de roles en Exchange Online.

  • En Exchange Online, no se puede usar un ámbito de administración personalizado para la exhibición de documentos electrónicos para buscar buzones inactivos. Esto es porque un buzón inactivo no puede ser miembro de un grupo de distribución. Por ejemplo, supongamos que un usuario es miembro de un grupo de distribución que se usó para crear un ámbito de administración personalizado para la exhibición de documentos electrónicos. A continuación, ese usuario deja la organización y su buzón se deja inactivo (mediante la colocación de una suspensión por juicio o In-Place suspensión en el buzón de correo y, a continuación, la eliminación de la cuenta de usuario correspondiente). El resultado es que se ha quitado el usuario como miembro de cualquier grupo de distribución, incluido el grupo que se usó para crear el ámbito de administración personalizado utilizado para la exhibición de documentos electrónicos. Si un administrador de detección (que es miembro del grupo de roles asignado el ámbito de administración personalizado) intenta buscar el buzón inactivo, la búsqueda producirá un error. Para buscar buzones inactivos, un administrador de detección debe ser miembro del grupo de roles de administración de detección o cualquier grupo de roles que tenga permisos para buscar en toda la organización.

    Para obtener más información sobre los buzones inactivos, consulte Creación y administración de buzones inactivos.