Omezení vyhledávání pomocí eDiscovery

Office 365 nabízí funkci eDiscovery, což je vyhledávání informací napříč tenantem. Díky tomu mohou vybraní uživatelé prohledávat prakticky všechna data v Office 365, což znamená například i uživatelské mailboxy. To se hodí v případech, kdy je nutné například kvůli nějakému soudnímu sporu dohledat některé informace.

Pro některé větší organizace může být ale problém, pokud by tito vybraní uživatelé mohli prohledávat opravdu celý tenant napříč všemi daty a všemi uživatelskými mailboxy. Může být tudíž potřeba takové vyhledávání nějak omezit, aby například compliance manager z České republiky mohl hledat pouze napříč českými uživateli, ale nikoliv napříč celým tenantem a tedy uživateli z ostatních zemí. Nebo to může být limitované třeba podle oddělení ve firmách.

Microsoft proto nabízí tzv. eDiscovery boundaries, což je právě možnost specifikovat, kteří uživatelé (nebo skupiny uživatelů) mohou prohledávat jaká data, resp. jaké mailboxy.

Nastavení eDiscovery boundaries

Nastavení je možné udělat částečně v GUI (role v Exchange Online, role v Security & Compliance Center), ale částečně je k tomu potřeba PowerShell. Proto celý návod budu popisovat pomocí PowerShellu.

Definice skupin uživatelů

Nejprve je nutné si definovat skupiny uživatelů, kteří budou moct být prohledáváni jednou skupinou administrátorů. Mohou to být tedy například všichni uživatelé z jedné země nebo jednoho oddělení. K tomu můžeme použít Azure Active Directory (AAD) atributy Company , CountryCode , CustomAttribute1  až CustomAttribute15 , Department  nebo Office .

V tomto příkladu použiji hodnotu atributu  CustomAttribute8 , která v mém případě nabývá hodnot czech , usa , denmark .

Vytvoření skupin oprávnění v Security & Compliance Center

Dalším krokem je vytvoření skupin oprávnění (Role Groups) pro každou skupinu administrátorů, kteří budou moct vyhledávat nad jednou skupinou uživatelů definovanou jedním AAD atributem.

Tyto skupiny oprávnění můžeme přiřadit konkrétním uživatelům nebo uživatelským skupinám (security groups). Důležité je, že každá skupina uživatelů, v tomto případě každá skupina administrátorů pro každou zemi, musí mít svou vlastní skupinu oprávnění.

Těmto skupinám oprávnění je následně nutné dát práva na samotné vyhledávání, což uděláte nejlépe zkopírováním předdefinované skupiny oprávnění eDiscovery Managers.

V mém případě tedy vytvářím tři nové skupiny oprávnění ( Local Compliance Managers - Czech , Local Compliance Managers - USA  a Local Compliance Managers - Denmark ) s právy zkopírovanými z eDiscovery Managers.

Nejprve je nutné se připojit do Security & Compliance Center

Následně můžeme vytvořit nové skupiny oprávnění

Vytvoření skupin oprávnění v Exchange Online

V Exchange Online již nemusíme mít extra skupinu oprávnění pro každou skupinu uživatelů, ale stačí nám jedna skupina oprávnění, kde budou všichni uživatelé nebo uživatelské skupiny.

Nejprve se připojíme do Exchange Online PowerShellu

Následně můžeme vytvořit novou skupinu oprávnění Local Compliance Managers s potřebnými právy Legal Hold  a Mailbox Search .

Vytvoření compliance filtru

Posledním krokem je vytvoření samotného filtru, který bude provádět „mapování“ práv compliance managerů na uživatele. Tento filtr tedy umožní compliance manažerovi prohledávat jen ty mailboxy, které patři do definované skupiny uživatelů specifikované pomocí CustomAttribute8.

Toto nastavení provádíme opět přes Security & Compliance Center PowerShell

Tím je hotovo. V tuto chvíli je již nastavení aplikované a aktivní.