Поделиться через

Адаптивные области

Руководство по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям.

При создании политики соответствия требованиям к обмену данными или политики хранения можно добавить адаптивный область для своей политики. Одна политика может иметь одну или несколько адаптивных областей.

  • Адаптивная область использует указанный запрос, чтобы можно было определить членство пользователей или групп, включенных в этот запрос. Эти динамические запросы выполняются ежедневно к атрибутам или свойствам, указанным для выбранного область. Можно использовать одну или несколько адаптивных областей с одной политикой.
  • Например, вы можете назначать пользователям различные параметры политики в соответствии с их отделом, используя существующие атрибуты Microsoft Entra без административных затрат на создание и обслуживание групп для этой цели.

Преимущества использования адаптивных областей

Преимущества использования адаптивных областей:

  • Нет ограничений количества элементов в каждой политике. Хотя на адаптивные политики по-прежнему распространяется максимальное количество политик на клиент, более гибкая конфигурация, скорее всего, приведет к гораздо меньшему числу политик.
  • Более эффективное нацеливание для политик. Например, вы можете назначать пользователям различные параметры в соответствии с их географическим расположением без дополнительных административных издержек, связанных с созданием и обслуживанием групп.
  • Области на основе запросов обеспечивают устойчивость к бизнес-изменениям, которые могут быть ненадежно отражены в членстве в группах или внешних процессах, которые зависят от взаимодействия между отделами.
  • Одна политика может включать расположения как для Microsoft Teams, так и для Viva Engage, тогда как если вы не используете адаптивный область, каждое расположение требует собственной политики.
  • Поддержка Microsoft Entra административных единиц.

Дополнительные преимущества использования адаптивных областей, характерных для политик хранения, см. в статье Адаптивные или статические области политики для хранения.

Сведения о конфигурации см. в статье Настройка адаптивных областей.

Как адаптивные области работают с Microsoft Entra административными единицами

В то время как адаптивные области создаются и настраиваются в Microsoft Purview для поддержки динамического нацеливания политик для соответствия требованиям, административные единицы создаются и настраиваются в Microsoft Entra ID. Они предоставляют возможность назначать администраторов одной или нескольким административным единицам, в результате чего эти ограниченные администраторы могут управлять только пользователями в назначенных административных единицах. Эта конфигурация поддерживает рекомендации по обеспечению безопасности с минимальными привилегиями. Как правило, административные единицы разрабатываются на основе конкретных географических регионов, отделов или бизнес-подразделений.

Эта граница управления передается в Microsoft Purview для поддерживаемых решений, чтобы администраторы с ограниченным доступом могли управлять только пользователями, которыми они были назначены.

В качестве примера, чтобы показать, как административные единицы интегрируются с адаптивными областями, рассмотрим ограниченного администратора соответствия требованиям, который хочет создать адаптивный пользовательский область только для пользователей во Франции:

  1. Администратору соответствия требованиям назначаются две административные единицы: Все пользователи в Европе и Все пользователи в Северная Америка. При создании адаптивной область они могут выбирать и назначать только эти административные единицы. Они не могут создать адаптивный область для управления пользователями из других административных единиц.
  2. Они создают новую адаптивную область для пользователей и выбирают административную единицу Все пользователи в Европе. Затем, так как они хотят, чтобы адаптивный область был только для пользователей во Франции, они используют атрибут Microsoft Entra ID Страна или регион, чтобы указать France (CountryOrRegion = France). Если они неправильно настраивают этот атрибут и указывают допустимое значение в Microsoft Entra ID, например в Индии, но пользователи с этим значением не включаются в административную единицу Все пользователи в Европе, область не будет содержать пользователей.
  3. Если только эта адаптивная область выбрана для политики, ориентированной на всех пользователей, политика применяется только к пользователям во Франции.
  4. В качестве повторно используемого элемента конфигурации тот же адаптивный область можно использовать для других политик соответствия.

Если администратор соответствия требованиям добавляет обе административные единицы в этот адаптивный область, конечный результат по-прежнему будет одинаковым, так как у пользователей в Северная Америка административных область не указана Франция в качестве атрибута страны или региона. Однако администратор соответствия требованиям знает, что он должен ориентироваться только на пользователей во Франции, поэтому эффективнее выполнять запрос только к административной единице Европы. Если требования меняются, вы всегда можете добавить или удалить административные единицы из существующей адаптивной область.

Максимальные значения для областей адаптивной политики

Количество областей адаптивной политики, которые можно добавить в политику, не ограничено, но существуют некоторые максимальные ограничения для запроса, определяющего каждую адаптивную область:

  • Длина строки для значений атрибута или свойства: 200
  • Количество атрибутов или свойств без группы или в группе: 10
  • Количество групп: 10
  • Количество символов в расширенном запросе: 10 000
  • Атрибуты группировки и свойства внутри группы не поддерживаются. Это ограничение означает, что максимальное число свойств или атрибутов, поддерживаемых в рамках одного адаптивного область, равно 100.

Настройка адаптивных областей

При выборе адаптивных областей вам будет предложено выбрать тип адаптивных область. Существует три разных типа адаптивных областей, каждый из которых поддерживает различные атрибуты или свойства:

Тип адаптивной области Поддерживаемые атрибуты или свойства
Пользователи — применяется к:
— Почтовые ящики Exchange
- учетным записям OneDrive
— Чаты Teams и взаимодействие с Copilot
— Сообщения приватного канала Teams (применимо только для предварительной миграции ).
— Viva Engage сообщений пользователей
— Командные чаты
— Microsoft Copilot интерфейсы
— Корпоративные приложения ИИ
— Другие приложения ИИ		 Имя
Фамилия
Отображаемое имя
Должность
Отдел
Кабинет
Адрес (улица, дом)
Город
Область, край;
Почтовый индекс
Страна или регион
Адреса электронной почты
Alias (Псевдоним)
Настраиваемые атрибуты Exchange: CustomAttribute1 - CustomAttribute15
Сайты SharePoint — применяется к:
- сайтам SharePoint
- учетным записям OneDrive		 URL-адрес сайта
имя сайта.
Пользовательские свойства (только SharePoint): RefinableString00 — RefinableString99
Группы Microsoft 365 — применяется к:
— Почтовые ящики групп Microsoft 365 & сайтов
— Сообщения каналов Teams (стандартные, общие и частные после миграции)
— сообщения сообщества Viva Engage
Имя
Отображаемое имя
Описание
Адреса электронной почты
Alias (Псевдоним)
Настраиваемые атрибуты Exchange: CustomAttribute1 - CustomAttribute15

Примечание.

Для политик соответствия требованиям к обмену данными:

  • Сайты SharePoint и учетные записи OneDrive не поддерживаются.
  • Поддерживаются исключенные пользователи и группы Microsoft 365.

Имена свойств сайтов основаны на управляемых свойствах сайта SharePoint. Сведения о настраиваемых атрибутах см. в статье Использование настраиваемых свойств сайта SharePoint для применения удержания Microsoft 365 с помощью областей адаптивной политики.

Имена атрибутов для пользователей и групп основаны на свойствах фильтруемых получателей, которые сопоставляются с атрибутами Microsoft Entra. Например, вы можете:

  • Псевдоним сопоставляется с именем LDAP mailNickname, которое отображается как Email в Центр администрирования Microsoft Entra.
  • Email адреса сопоставляется с именем LDAP proxyAddresses, которое отображается в качестве адреса прокси-сервера в Центр администрирования Microsoft Entra.

Атрибуты и свойства, перечисленные в таблице, можно легко указать при настройке адаптивного область с помощью простого построителя запросов. Расширенный построитель запросов поддерживает дополнительные атрибуты и свойства, как описано в следующем разделе.

Настройка адаптивного область

Перед настройкой адаптивного область используйте предыдущий раздел, чтобы определить, какой тип область создавать, какие атрибуты и значения следует использовать. Возможно, вам потребуется работать с другими администраторами, чтобы подтвердить эту информацию.

Необходимо назначить правильные группы ролей администраторам, чтобы создать адаптивную область. Любая группа ролей с ролью диспетчера областей может создать адаптивный область. Роль "Администратор области" входит в следующие встроенные группы ролей:

  • Администратор соответствия требованиям
  • Администратор данных соответствия требованиям
  • Управление организацией
  • Управление записями
  • Соответствие требованиям к обмену данными
  • Администраторы соответствия требованиям к обмену данными

Для сайтов SharePoint может потребоваться дополнительная конфигурация SharePoint, если вы планируете использовать пользовательские свойства сайта.

Чтобы создать и настроить адаптивные области, используйте следующие инструкции.

  1. Вход на портал> Microsoft PurviewПараметры>Роли и области>Адаптивные области.

  2. На странице Адаптивные области выберите + Создать область.

  3. Следуйте инструкциям в конфигурации, в которой вам сначала будет предложено назначить административную единицу. Если вашей учетной записи назначены административные единицы, необходимо выбрать одну административную единицу, которая ограничивает область членства.

    Примечание.

    Так как административные единицы пока не поддерживают сайты SharePoint, вы не сможете создать адаптивный область для сайтов SharePoint при выборе административных единиц.

    Если вы не хотите ограничивать адаптивную область с помощью административных единиц или ваша организация не настроила административные единицы, оставьте значение по умолчанию Полный каталог.

  4. Выберите тип область, а затем выберите атрибуты или свойства, которые необходимо использовать для создания динамического членства. Введите значения атрибута или свойства.

    Например, чтобы настроить адаптивную область, которая идентифицирует пользователей в Европе, сначала выберите Пользователи в качестве типа область. Затем выберите атрибут Страна или регион и введите в Поле Европа:

    Пример конфигурации адаптивной области.

    Один раз в день этот запрос выполняется с идентификатором Entra и определяет всех пользователей, у которых в учетной записи для атрибута Страна или регион указано значение Europe.

    Важно!

    Так как запрос не запускается немедленно, проверка правильности введенного значения не проводится.

    Выберите Добавить атрибут (для пользователей и групп) или Добавить свойство (для сайтов), чтобы использовать любое сочетание атрибутов или свойств, поддерживаемых для типа область. Используйте логические операторы для создания запросов. Поддерживаемые операторы равны, не равны, начинаются с и не начинаются с. Вы можете группировать выбранные атрибуты или свойства. Например, вы можете:

    Пример конфигурации адаптивной области с группировками атрибутов.

    Кроме того, вы можете выбрать Расширенный конструктор запросов, чтобы указать собственные запросы:

    • Для областей пользователей и групп Microsoft 365 : используйте синтаксис фильтрации OPATH. Например, чтобы создать пользовательский область, определяющий его членство по отделам, стране или региону и состоянию:

      Пример адаптивной области с расширенным запросом.

      Одним из преимуществ использования расширенного конструктора запросов для этих областей является увеличение набора операторов запросов:

      • и
      • или
      • не
      • eq (равно)
      • ne (не равно)
      • -lt (меньше)
      • -gt (больше)
      • like (сравнение строк)
      • notlike (сравнение строк)

    • Для областей сайтов SharePoint: используйте язык KeyQL (KeyQL). Возможно, вы уже знакомы с использованием KeyQL для поиска в SharePoint с помощью индексированных свойств сайта. Чтобы указать эти KeyQL запросы, см. справочник по синтаксису язык KeyQL (KeyQL).

      Например, так как области сайтов SharePoint автоматически включают все типы сайтов SharePoint, включая сайты, подключенные к группе Microsoft 365, и OneDrive, можно использовать свойство индексированного сайта SiteTemplate , чтобы включить или исключить определенные типы сайтов. Шаблоны, которые можно указать:

      • SITEPAGEPUBLISHING для современных информационных сайтов
      • GROUP для сайтов, подключенных к группам Microsoft 365
      • TEAMCHANNEL для сайтов частных каналов Microsoft Teams
      • STS для классического сайта группы SharePoint
      • SPSPERS для сайтов OneDrive

      Чтобы создать адаптивную область, которая включает только современные информационные сайты и исключает сайты, подключенные к группам Microsoft 365 и OneDrive, укажите следующий запрос KeyQL:

      SiteTemplate=SITEPAGEPUBLISHING

      Эти расширенные запросы можно проверить независимо от конфигурации области.

      Примечание.

      Чтобы исключить неактивные почтовые ящики, необходимо использовать расширенный конструктор запросов. Или, наоборот, настроить таргетинг только на неактивные почтовые ящики. Для этой конфигурации используйте свойство OPATH IsInactiveMailbox:

      • Чтобы исключить неактивные почтовые ящики, убедитесь, что запрос включает: (IsInactiveMailbox -eq "False")
      • Чтобы настроить таргетинг только на неактивные почтовые ящики, укажите: (IsInactiveMailbox -eq "True")

  5. Создайте столько адаптивных областей, сколько вам нужно. При создании политики можно выбрать одну или несколько адаптивных областей.

Полное заполнение запросов может занять до пяти дней, а изменения не будут немедленно. Учитывайте эту задержку, подождав несколько дней перед добавлением в политику только что созданного область.

Совет

Для решений по управлению жизненным циклом данных и записями используйте параметр поиска политик , который помогает определить политики, назначенные в настоящее время определенным пользователям, сайтам и группам Microsoft 365.

Проверка расширенных запросов

Расширенные запросы можно проверять вручную с помощью PowerShell и поиска SharePoint:

  • Используйте PowerShell для типов областей Пользователи и Группы Microsoft 365
  • Используйте поиск SharePoint для областей типа Сайты SharePoint

Выполнение запроса с помощью PowerShell

  1. Подключитесь к Exchange Online PowerShell с помощью учетной записи с соответствующими разрешениями администратора Exchange Online.

  2. Используйте Get-Recipient, Get-Mailbox или Get-User с параметром -Filter и запросом OPATH для адаптивной области, заключенной в фигурные скобки ({,}). Если значения атрибута являются строками, заключите эти значения в двойные или одинарные кавычки.

    Можно указать, следует ли использовать Get-Mailbox, Get-Recipient или Get-User для проверки. Для этого укажите, какой из командлетов поддерживается свойством OPATH, выбранным для запроса.

    Важно!

    Get-Mailbox не поддерживает тип получателя MailUser , поэтому необходимо использовать Get-Recipient или Get-User для проверки запросов, включающих локальные почтовые ящики в гибридной среде.

    Чтобы проверить область User, используйте соответствующую команду:

    • Get-Mailbox с -RecipientTypeDetails UserMailbox,SharedMailbox,RoomMailbox,EquipmentMailbox
    • Get-Recipient с -RecipientTypeDetails UserMailbox,MailUser,SharedMailbox,RoomMailbox,EquipmentMailbox

    Чтобы проверить область Microsoft 365 group, используйте:

    • Get-Mailbox с -GroupMailbox или Get-Recipient с -RecipientTypeDetails GroupMailbox

    Например, для проверки область пользователя, связанного с атрибутом Department, для параметра Marketing, можно использовать:

    Get-Recipient -RecipientTypeDetails UserMailbox,MailUser -Filter {Department -eq "Marketing"} -ResultSize Unlimited

    Для проверки область пользователя, связанного с атрибутом EmailAddresses, обычно требуется, чтобы значение включало префикс SMTP: . Например, чтобы исключить пользователя, где EmailAddresses включает [email protected]:

    Get-Mailbox -RecipientTypeDetails UserMailbox -Filter {EmailAddresses -notlike "smtp:[email protected]"} -ResultSize Unlimited

    Чтобы проверить область группы Microsoft 365, связанный с атрибутом CustomAttribute15 группы, для параметра Marketing в качестве значения, можно использовать:

    Get-Mailbox -RecipientTypeDetails GroupMailbox -Filter {CustomAttribute15 -eq "Marketing"} -ResultSize Unlimited

    Совет

    При использовании этих команд для проверки области пользователей: если возвращенное количество получателей больше ожидаемого, причина может заключаться в том, что возвращенное количество включает пользователей, у которых нет лицензий для адаптивных областей. К этим пользователям не применяются параметры политики.

    Например, в гибридной среде могут быть нелицензированные синхронизированные учетные записи пользователей без почтового ящика Exchange (локального или в Exchange Online). Вы можете определить этих пользователей, выполнив следующую команду: Get-User -RecipientTypeDetails User

  3. Убедитесь, что выводимые данные соответствуют ожидаемым пользователям или группам для адаптивной области. Если это не так, проверка запрос и значения с соответствующим администратором для Microsoft Entra ID или Exchange.

    Примечание.

    Выходные данные этих команд могут не соответствовать списку участников для одного и того же фильтра в область сведения на странице Адаптивные области. В списке участников в область сведениях отображаются почтовые ящики арбитража в область тогда как выходные данные команды — нет. Кроме того, изменение адаптивного область запросов может занять до пяти дней и отразиться в представлении сведений область на странице Адаптивные области.

  1. Используя учетную запись с ролью администратора SharePoint, перейдите на страницу https://<your_tenant>.sharepoint.com/search.
  2. Используйте строку поиска, чтобы указать KeyQL запрос.
  3. Убедитесь, что результаты поиска соответствуют ожидаемым URL-адресам сайтов для адаптивной области. Если они не соответствуют ожидаемым URL-адресам, проверьте запрос и URL-адреса у соответствующего администратора SharePoint.

Просмотр сведений о членстве в адаптивной область

После создания запроса для адаптивного область в Microsoft Purview можно просмотреть сведения об элементе область.

Выполните следующие действия, чтобы получить доступ к странице сведений о члене адаптивного область в Microsoft Purview:

  1. Войдите на портал Microsoft Purview, если вы еще не вошли в систему.

  2. Выберите Параметры Роли>и области Адаптивные>области.

  3. Выберите в списке существующий адаптивный область.

  4. Во всплывающей области Сведения выберите Сведения о области.

  5. Отобразится список область членов. Просмотрите столбец Состояние в списке, в котором отображается Добавлено для членов в адаптивном область или Удалено, если элемент ранее был в адаптивном область, но удален теперь он больше не соответствует запросу область.

  6. При необходимости используйте параметр Экспорт, чтобы скачать список отображаемых область членов в CSV-файл.

    Если членство в область велико (1000 или более) или вы хотите настроить экспорт, используйте командлет PowerShell Get-AdaptiveScopeMembers.

Примечание.

Обновление добавленных или удаленных участников в списке сведений об участниках может занять до пяти дней. Адаптивная область может применяться к более чем 1 миллиону участников. Однако в сведениях об участниках может отображаться только до 1 миллиона элементов как для добавленных, так и для удаленных элементов.

  • Last updated on