在企业中,可能希望发现管理员仅搜索特定位置或部门的用户邮箱。通过创建自定义管理作用域可以实现这一功能。对于自定义的管理作用域来讲,其使用收件人筛选器来控制哪些邮箱可以搜索。收件人筛选器是根据收件人类型,或收件人的相关属性进行工作,筛选特定收件人的。
对于就地电子数据展示搜索来讲,在进行自定义作用域是,只有用户邮箱的“通讯组成员身份”这一属性值,才能用于创建收件人筛选器。如果使用其它属性,将会出现失败。
可以按如下步骤实现自定义管理作用域:
一、将被搜索的用户加入到通讯组
要搜索组织中的部分邮箱,或者需要缩小发现管理员可以搜索的源邮箱范围。可以将这部分邮箱分为一个或多个通讯组。当创建自定义管理作用域时,这些通讯组将作为收件人筛选器。如此,发现管理员将只搜索属于指定组内的用户邮箱。
这里的通讯组可以是已经存在的,也可以为特定的就地电子数据展示搜索专门建立的。关于通讯组的建立请参考《玩转Office 365中的Exchange Online服务 之十四 怎样管理Exchange Online的通讯组》一文,在此不再累述。
二、创建自定义管理作用域
创建自定义管理作用域只能通过PowerShell来实现。使用New-ManagementScope来完成自定义管理作用域的创建。比如,创建一个基于研发部通讯组的自定义管理作用域,用于搜索研发部用户的邮箱。
$DG = Get-DistributionGroup -Identity “研发部”
New-ManagementScope “研发部用户电子数据发现作用域” -RecipientRestrictionFilter “MemberOfGroup -eq ‘$($DG.DistinguishedName)'”
三、创建管理员角色
为上述自定义管理作用域创建一个管理员角色,并授予“Legal Hold”和“Mailbox Search”角色权限,那么只要是加入到该管理员角色的用户或通讯组内的用户,均能且只能对自定义管理作用域中的邮箱进行就地电子数据展示搜索,当然,如果一个用户属于多个类似的自定义发现管理员角色,那么该用户将具有这些自定义发现管理员角色作用域的一个并集。
可以通过EAC或PowerShell来创建和维护管理员角色,以下是通过PowerShell的New-RoleGroup命令创建一个自定义发现管理员角色。
New-RoleGroup “研发部电子数据发现管理组” -Roles “Mailbox Search”,”Legal Hold” -CustomRecipientWriteScope “研发部用户电子数据发现作用域” -Members “吴 十”
完成之后,利用Office 365全局管理员登录EAC,导航到“权限”,在“管理员角色”列表中,可以看到刚才创建的管理员角色,选中该角色,点击笔形编辑按钮。
在打开的编辑页中,可以看到其“写入作用域”和授权“角色”,以及“成员”列表。在此可以对其进行按需的修改。比如更改写入作用域选择,调整成员等。此处的“成员”列表如果添加的一个通讯组,那么该通讯组中的所有邮箱用户将具有该管理组权限。
四、一个比较好的建议
使用一个通讯组A作为就地电子数据展示搜索的自定义管理作用域,使用另一个通讯组B作为自定义发现管理组的成员。
如果需要扩展或缩小作用域范围,即调整自定义管理作用域的大小,只需要将邮箱收件人添加到通讯组A中,或者从通讯组A中去掉相应的邮箱收件人。
如果需要增加或减少对此自定义管理作用域进行就地电子数据展示搜索的人员,即调整自定义发现管理员的分配,只需要将只需要将邮箱收件人添加到通讯组B中,或者从通讯组B中去掉相应的邮箱收件人。