Adaptive Bereiche
Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance.
Wenn Sie eine Kommunikationskonformitätsrichtlinie oder eine Richtlinie für die Aufbewahrung erstellen, können Sie einen adaptiven Bereich für Ihre Richtlinie hinzufügen. Eine einzelne Richtlinie kann über einen oder mehrere adaptive Bereiche verfügen.
- Ein adaptiver Bereich verwendet eine von Ihnen angegebene Abfrage, sodass Sie die Mitgliedschaft von Benutzern oder Gruppen definieren können, die in dieser Abfrage enthalten sind. Diese dynamischen Abfragen werden täglich für die Attribute oder Eigenschaften ausgeführt, die Sie für den ausgewählten Bereich angeben. Sie können einen oder mehrere adaptive Bereiche mit einer einzelnen Richtlinie verwenden.
- Beispielsweise können Sie Benutzern je nach Abteilung unterschiedliche Richtlinieneinstellungen zuweisen, indem Sie vorhandene Microsoft Entra Attribute verwenden, ohne den Verwaltungsaufwand für das Erstellen und Verwalten von Gruppen für diesen Zweck zu verwenden.
Vorteile der Verwendung adaptiver Bereiche
Die Verwendung adaptiver Bereiche hat folgende Vorteile:
- Keine Grenzwerte für die Anzahl der Elemente pro Richtlinie. Obwohl adaptive Richtlinien weiterhin der maximalen Anzahl von Richtlinien pro Mandant unterliegen, führt die flexiblere Konfiguration sehr wahrscheinlich zu deutlich weniger Richtlinien.
- Leistungsfähigere Zielgruppenadressierung für Ihre Richtlinien. Beispielsweise können Sie Benutzern je nach geografischem Standort unterschiedliche Einstellungen zuweisen, ohne dass der Verwaltungsaufwand für das Erstellen und Verwalten von Gruppen entsteht.
- Abfragebasierte Bereiche bieten Resilienz gegenüber Geschäftsänderungen, die sich möglicherweise nicht zuverlässig in Gruppenmitgliedschaften oder externen Prozessen widerspiegeln, die auf abteilungsübergreifender Kommunikation basieren.
- Eine einzelne Richtlinie kann Standorte sowohl für Microsoft Teams als auch für Viva Engage enthalten. Wenn Sie jedoch keinen adaptiven Bereich verwenden, erfordert jeder Standort eine eigene Richtlinie.
- Unterstützung für Microsoft Entra Verwaltungseinheiten.
Spezifische Vorteile der Verwendung adaptiver Bereiche, die für Aufbewahrungsrichtlinien spezifisch sind, finden Sie unter Informationen zu Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungen.
Informationen zur Konfiguration finden Sie unter Konfigurieren adaptiver Bereiche.
Funktionsweise adaptiver Bereiche mit Microsoft Entra Verwaltungseinheiten
Während adaptive Bereiche in Microsoft Purview erstellt und konfiguriert werden, um die dynamische Ausrichtung von Richtlinien für Compliance zu unterstützen, werden Verwaltungseinheiten in Microsoft Entra ID erstellt und konfiguriert. Sie bieten die Möglichkeit, Administratoren einer oder mehreren Verwaltungseinheiten zuzuweisen, sodass diese jetzt eingeschränkten Administratoren nur die Benutzer in ihren zugewiesenen Verwaltungseinheiten verwalten können. Diese Konfiguration unterstützt die bewährte Sicherheitsmethode der geringsten Rechte. In der Regel sind Verwaltungseinheiten für bestimmte Geografien, Abteilungen oder Geschäftsbereiche konzipiert.
Diese Verwaltungsgrenze fließt in Microsoft Purview für unterstützte Lösungen, um sicherzustellen, dass eingeschränkte Administratoren nur die Benutzer verwalten können, denen sie zugewiesen wurden.
Beispiel für die Integration von Verwaltungseinheiten in adaptive Bereiche, bei denen ein Administrator mit eingeschränkter Compliance einen adaptiven Benutzerbereich nur für Benutzer in Frankreich erstellen möchte:
- Einem Complianceadministrator werden zwei Verwaltungseinheiten zugewiesen: Alle Benutzer in Europa und Alle Benutzer in Nordamerika. Wenn sie einen adaptiven Bereich erstellen, können sie nur diese Verwaltungseinheiten auswählen und zuweisen. Sie können keinen adaptiven Bereich erstellen, um Benutzer aus anderen Verwaltungseinheiten zu verwalten.
- Sie erstellen einen neuen adaptiven Bereich für Benutzer und wählen die Verwaltungseinheit Alle Benutzer in Europa aus. Da der adaptive Bereich dann nur für Benutzer in Frankreich gelten soll, verwenden sie das Attribut Microsoft Entra ID Land oder Region, um Frankreich (CountryOrRegion = France) anzugeben. Wenn sie dieses Attribut falsch konfigurieren und einen gültigen Wert in Microsoft Entra ID angeben, z. B. Indien, aber die Benutzer mit diesem Wert nicht in der Verwaltungseinheit Alle Benutzer in Europa enthalten sind, enthält der Bereich keine Benutzer.
- Wenn nur dieser adaptive Bereich für eine Richtlinie ausgewählt wird, die für alle Benutzer gilt, wird die Richtlinie nur auf Benutzer in Frankreich angewendet.
- Als wiederverwendbares Konfigurationselement kann derselbe adaptive Bereich für andere Konformitätsrichtlinien verwendet werden.
Wenn der Complianceadministrator beide Verwaltungseinheiten zu diesem adaptiven Bereich hinzugefügt hätte, wäre das Endergebnis immer noch dasselbe, da für Benutzer im Nordamerika Verwaltungsbereich nicht Frankreich als Land- oder Regionssattribut angegeben ist. Der Complianceadministrator wusste jedoch, dass er nur Benutzer in Frankreich ansprechen musste, sodass es effizienter ist, die Abfrage nur für die Verwaltungseinheit Europa auszuführen. Wenn sich die Anforderungen ändern, können Sie jederzeit Verwaltungseinheiten zu einem vorhandenen adaptiven Bereich hinzufügen oder daraus entfernen.
Maximalwerte für adaptive Richtlinienbereiche
Es gibt keine Beschränkung für die Anzahl adaptiver Richtlinienbereiche, die Sie einer Richtlinie hinzufügen können, aber es gibt einige MaximaleInschränkungen für die Abfrage, die jeden adaptiven Bereich definiert:
- Zeichenfolgenlänge für Attribut- oder Eigenschaftswerte: 200
- Anzahl der Attribute oder Eigenschaften ohne Gruppe oder innerhalb einer Gruppe: 10
- Anzahl von Gruppen: 10
- Anzahl der Zeichen in einer erweiterten Abfrage: 10.000
- Das Gruppieren von Attributen oder Eigenschaften innerhalb einer Gruppe wird nicht unterstützt. Dies bedeutet, dass die maximale Anzahl von Eigenschaften oder Attributen, die in einem einzelnen adaptiven Bereich unterstützt werden, 100 beträgt.
Konfigurieren adaptiver Bereiche
Wenn Sie sich für die Verwendung adaptiver Bereiche entscheiden, werden Sie aufgefordert, den gewünschten Typ des adaptiven Bereichs auszuwählen. Es gibt drei verschiedene Arten von adaptiven Bereichen und jeder unterstützt unterschiedliche Attribute oder Eigenschaften:
Adaptiver Bereichstyp | Unterstützte Attribute oder Eigenschaften umfassen |
---|---|
Benutzer – gilt für: – Exchange-Postfächer – OneDrive: Konten – Teams-Chats und Copilot-Interaktionen – Private Teams-Kanalnachrichten – Viva Engage Benutzernachrichten |
Vorname Nachname Anzeigename Position Abteilung Büro Adresse Stadt/Ort Bundesland oder Kanton Postleitzahl Land oder Region E-Mail-Adressen Alias Benutzerdefinierte Attribute austauschen: CustomAttribute1 – CustomAttribute15 |
SharePoint Sites – gilt für: – SharePoint-Websites * – OneDrive: Konten |
Website-URL Sitename Benutzerdefinierte Eigenschaften (nur SharePoint): RefinableString00 – RefinableString99 |
Microsoft 365-Gruppen – gilt für: – Microsoft 365-Gruppenpostfächer & Websites – Teams-Kanalnachrichten (Standard und freigegeben) – Viva Engage Communitynachrichten |
Name Anzeigename Beschreibung E-Mail-Adressen Alias Benutzerdefinierte Attribute austauschen: CustomAttribute1 – CustomAttribute15 |
* SharePoint-Websites für freigegebene Kanäle werden derzeit für adaptive Bereiche nicht unterstützt.
Hinweis
Für Kommunikationskonformitätsrichtlinien:
- SharePoint-Websites und OneDrive-Konten werden nicht unterstützt.
- Ausgeschlossene Benutzer und Microsoft 365-Gruppen werden unterstützt.
Die Eigenschaftennamen für Websites basieren auf verwalteten SharePoint-Websiteeigenschaften. Informationen zu den benutzerdefinierten Attributen finden Sie unter Verwenden von benutzerdefinierten SharePoint-Websiteeigenschaften zum Anwenden der Microsoft 365 Aufbewahrung mit adaptiven Richtlinienbereichen.
Die Attributnamen für Benutzer und Gruppen basieren auf filterbaren Empfängereigenschaften, die Microsoft Entra Attributen zugeordnet sind. Zum Beispiel:
- Alias wird dem LDAP-Namen mailNickname zugeordnet, der im Microsoft Entra Admin Center als Email angezeigt wird.
- Email Adressen werden dem LDAP-Namen proxyAddresses zugeordnet, der im Microsoft Entra Admin Center als Proxyadresse angezeigt wird.
Die in der Tabelle aufgeführten Attribute und Eigenschaften können problemlos angegeben werden, wenn Sie einen adaptiven Bereich mithilfe des einfachen Abfrage-Generators konfigurieren. Zusätzliche Attribute und Eigenschaften werden mit dem erweiterten Abfrage-Generator unterstützt, wie im folgenden Abschnitt beschrieben.
Konfigurieren eines adaptiven Bereichs
Bevor Sie Ihren adaptiven Bereich konfigurieren, verwenden Sie den vorherigen Abschnitt, um zu bestimmen, welche Art von Bereich erstellt werden soll und welche Attribute und Werte Sie verwenden werden. Möglicherweise müssen Sie mit anderen Administratoren zusammenarbeiten, um diese Informationen zu bestätigen.
Sie müssen Administratoren die richtigen Rollengruppen zuweisen, um einen adaptiven Bereich zu erstellen. Jede Rollengruppe mit der Rolle "Bereichs-Manager " darf einen adaptiven Bereich erstellen. Die Rolle Bereichsverwaltung ist in den folgenden integrierten Rollengruppen enthalten:
- Complianceadministrator
- Compliancedatenadministrator
- Organisationsverwaltung
- Datensatzverwaltung
- Kommunikationscompliance
- Kommunikationscompliance-Administratoren
Insbesondere für SharePoint-Websites ist möglicherweise eine zusätzliche SharePoint-Konfiguration erforderlich, wenn Sie benutzerdefinierte Websiteeigenschaften verwenden möchten.
Zum Erstellen und Konfigurieren adaptiver Bereiche können Sie entweder das Microsoft Purview-Portal oder die Microsoft Purview-Complianceportal verwenden.
Navigieren Sie abhängig vom verwendeten Portal zu einem der folgenden Speicherorte:
Anmelden beim Microsoft Purview-Portal>Einstellungen Karte >Rollen und Bereiche>adaptive Bereiche.
Wenn die Einstellungslösung Karte nicht angezeigt wird, wählen Sie Alle Projektmappen anzeigen und dann einstellungen im Abschnitt Kern aus.
Melden Sie sich bei der Microsoft Purview-Complianceportal>Roles & bereichs>Adaptive Bereiche an.
Wählen Sie Adaptive Bereiche und dann + Bereich erstellen aus.
Befolgen Sie die Anweisungen in der Konfiguration, in denen Sie zuerst aufgefordert werden, eine Verwaltungseinheit zuzuweisen. Wenn Ihrem Konto Verwaltungseinheiten zugewiesen wurden, müssen Sie eine Verwaltungseinheit auswählen, die die Bereichsmitgliedschaft einschränkt.
Hinweis
Da Verwaltungseinheiten SharePoint-Websites noch nicht unterstützen, können Sie keinen adaptiven Bereich für SharePoint-Websites erstellen, wenn Sie Verwaltungseinheiten auswählen.
Wenn Sie den adaptiven Bereich nicht mithilfe von Verwaltungseinheiten einschränken möchten oder Ihr organization keine Verwaltungseinheiten konfiguriert hat, behalten Sie den Standardwert Vollständiges Verzeichnis bei.
Wählen Sie den Typ des Bereichs und dann die Attribute oder Eigenschaften aus, die Sie zum Erstellen der dynamischen Mitgliedschaft verwenden möchten, und geben Sie die Attribut- oder Eigenschaftswerte ein.
Um beispielsweise einen adaptiven Bereich zu konfigurieren, der zum Identifizieren von Benutzern in Europa verwendet wird, wählen Sie zuerst Benutzer als Bereichstyp und dann das Attribut Land oder Region aus, und geben Sie Europa ein:
Einmal täglich wird diese Abfrage für Microsoft Entra ID ausgeführt und identifiziert alle Benutzer, deren Wert europa in ihrem Konto für das Attribut Land oder Region angegeben ist.
Wichtig
Da die Abfrage nicht sofort ausgeführt wird, wird nicht überprüft, ob Sie den Wert richtig eingegeben haben.
Wählen Sie Attribut hinzufügen (für Benutzer und Gruppen) oder Eigenschaft hinzufügen (für Sites) aus, um eine beliebige Kombination von Attributen oder Eigenschaften, die für ihren Bereichstyp unterstützt werden, zusammen mit logischen Operatoren zum Erstellen von Abfragen zu verwenden. Die unterstützten Operatoren sind gleich, ist nicht gleich, beginnt mit und beginnt nicht mit, und Sie können ausgewählte Attribute oder Eigenschaften gruppieren. Beispiel:
Alternativ können Sie den erweiterten Abfrage-Generator auswählen, um Ihre eigenen Abfragen anzugeben:
Verwenden Sie für Benutzer- und Microsoft 365 Gruppenbereiche die OPATH-Filtersyntax. So erstellen Sie beispielsweise einen Benutzerbereich, der seine Mitgliedschaft nach Abteilung, Land/Region und Bundesland definiert:
Einer der Vorteile der Verwendung des erweiterten Abfrage-Generators für diese Bereiche ist eine größere Auswahl von Abfrageoperatoren:
- und
- oder
- nicht
- eq (gleich)
- ne (ungleich)
- lt (kleiner als)
- gt (größer als)
- wie (Zeichenfolgenvergleich)
- nicht wie (Zeichenfolgenvergleich)
Verwenden Sie für SharePoint Sitebereiche die Keyword Query Language (KQL). Möglicherweise sind Sie bereits mit der Verwendung von KQL zum Durchsuchen von SharePoint mithilfe indizierter Siteeigenschaften vertraut. Informationen zum Angeben dieser KQL-Abfragen finden Sie unter KQL-Syntaxreferenz (Keyword Query Language).
Da SharePoint-Websitebereiche z. B. automatisch alle SharePoint-Websitetypen enthalten, zu denen microsoft 365-Gruppen und OneDrive-Websites gehören, können Sie die indizierte Websiteeigenschaft SiteTemplate verwenden, um bestimmte Websitetypen einzu- oder auszuschließen. Die Vorlagen, die Sie angeben können:
-
SITEPAGEPUBLISHING
für moderne Kommunikationswebsites -
GROUP
für Microsoft 365 mit Gruppen verbundenen Websites -
TEAMCHANNEL
für private Microsoft Teams-Kanalwebsites -
STS
für eine klassische SharePoint-Teamwebsite -
SPSPERS
für OneDrive Websites
Um also einen adaptiven Bereich zu erstellen, der nur moderne Kommunikationswebsites umfasst und Microsoft 365 gruppenverbundene und OneDrive-Websites ausschließt, geben Sie die folgende KQL-Abfrage an:
SiteTemplate=SITEPAGEPUBLISHING
Sie können diese erweiterten Abfragen unabhängig von der Bereichskonfiguration validieren.
Tipp
Sie müssen den erweiterten Abfrage-Generator verwenden, wenn Sie inaktive Postfächer ausschließen möchten. Umgekehrt können Sie nur auf inaktive Postfächer abzielen. Verwenden Sie für diese Konfiguration die OPATH-Eigenschaft IsInactiveMailbox:
- Um inaktive Postfächer auszuschließen, stellen Sie sicher, dass die Abfrage Folgendes enthält:
(IsInactiveMailbox -eq "False")
- Wenn Sie nur auf inaktive Postfächer abzielen möchten, geben Sie Folgendes an:
(IsInactiveMailbox -eq "True")
-
Erstellen Sie so viele adaptive Bereiche, wie Sie benötigen. Sie können einen oder mehrere adaptive Bereiche auswählen, wenn Sie Ihre Richtlinie erstellen.
Hinweis
Es kann bis zu fünf Tage dauern, bis die Abfragen vollständig ausgefüllt sind, und Änderungen erfolgen nicht sofort. Berücksichtigen Sie diese Verzögerung, indem Sie einige Tage warten, bevor Sie einer Richtlinie einen neu erstellten Bereich hinzufügen.
So bestätigen Sie die aktuelle Mitgliedschaft und Mitgliedschaftsänderungen für einen adaptiven Bereich:
Doppelklicken Sie auf den Bereich auf der Seite "Adaptive Bereiche" (oder wählen Sie ihn aus und drücken Sie die Eingabetaste).
Wählen Sie im Detailbereich des Flyouts die Option Bereichsdetails aus.
Überprüfen Sie die Informationen, die alle Benutzer, Sites oder Gruppen identifizieren, die sich derzeit im Bereich befinden, ob sie automatisch hinzugefügt oder entfernt wurden, sowie Datum und Uhrzeit dieser Mitgliedschaftsänderung.
Tipp
Verwenden Sie für die Lösungen für die Datenlebenszyklusverwaltung und datensatzverwaltung die Option Richtliniensuche, um Lösungsrichtlinien zu identifizieren, die derzeit bestimmten Benutzern, Websites und Microsoft 365-Gruppen zugewiesen sind.
Überprüfen erweiterter Abfragen
Sie können erweiterte Abfragen manuell validieren, indem Sie die PowerShell- und SharePoint-Suche verwenden:
- Verwenden von PowerShell für die Bereichstypen "Benutzer" und "Microsoft 365"-Gruppen
- Verwenden SharePoint Suchen nach dem Bereichstyp SharePoint Websites
So führen Sie eine Abfrage mithilfe von PowerShell aus:
Stellen Sie eine Verbindung mit Exchange Online PowerShell unter Verwendung eines Kontos mit den angemessenen Exchange Online-Administratorberechtigungen.
Verwenden Sie entweder Get-Recipient, Get-Mailbox oder Get-User mit dem Parameter -Filter und ihrer OPATH-Abfrage für den adaptiven Bereich, angegeben in geschweiften Klammern (
{
,}
). Wenn Ihre Attributwerte Zeichenfolgen sind, setzen Sie diese Werte in doppelte oder einfache Anführungszeichen.Sie können bestimmen, ob Get-Mailbox, Get-Recipient oder Get-User für die Validierung verwendet werden soll, indem Sie feststellen, welches cmdlet von der OPATH-Eigenschaft unterstützt wird, die Sie für Ihre Abfrage auswählen.
Wichtig
Get-Mailbox unterstützt nicht den Empfängertyp MailUser. Daher muss Get-Recipient oder Get-User zur Validierung von Abfragen verwendet werden, die lokale Postfächer in einer hybriden Umgebung einschließen.
Verwenden Sie zum Überprüfen eines Benutzerbereichs den entsprechenden Befehl:
-
Get-Mailbox
with -RecipientTypeDetails UserMailbox,SharedMailbox,RoomMailbox,EquipmentMailbox -
Get-Recipient
with -RecipientTypeDetails UserMailbox,MailUser,SharedMailbox,RoomMailbox,EquipmentMailbox
Um einen Microsoft 365 Gruppenbereich zu überprüfen, verwenden Sie Folgendes:
-
Get-Mailbox
mit -GroupMailbox oderGet-Recipient
mit -RecipientTypeDetails GroupMailbox
Um beispielsweise einen Benutzerbereich zu überprüfen, der sich auf das Department-Attribut bezieht, das auf den Wert Marketing festgelegt ist, können Sie Folgendes verwenden:
Get-Recipient -RecipientTypeDetails UserMailbox,MailUser -Filter {Department -eq "Marketing"} -ResultSize Unlimited
Um einen Benutzerbereich im Zusammenhang mit dem EmailAddresses-Attribut zu überprüfen, muss der Wert in der Regel das Präfix smtp: enthalten. So schließen Sie beispielsweise einen Benutzer aus , bei dem EmailAddresses enthält admin@contoso.com:
Get-Mailbox -RecipientTypeDetails UserMailbox -Filter {EmailAddresses -notlike "smtp:admin@contoso.com"} -ResultSize Unlimited
Um einen Microsoft 365-Gruppenbereich zu überprüfen, der sich auf das CustomAttribute15-Attribut der Gruppe bezieht, das auf Marketing als Wert festgelegt ist, können Sie Folgendes verwenden:
Get-Mailbox -RecipientTypeDetails GroupMailbox -Filter {CustomAttribute15 -eq "Marketing"} -ResultSize Unlimited
Tipp
Wenn Sie diese Befehle zum Überprüfen eines Benutzerbereichs verwenden, und die Anzahl der zurückgegebenen Empfänger höher als erwartet ist, liegt dies möglicherweise daran, dass Benutzer, die nicht über eine gültige Lizenz für adaptive Bereiche verfügen, miteinbezogen sind. Für diese Benutzer werden die Richtlinieneinstellungen nicht angewendet.
In einer Hybridumgebung haben Sie möglicherweise nicht lizenzierte Benutzerkonten ohne lokales Exchange Postfach oder in Exchange Online. Sie können diese Benutzer identifizieren, indem Sie den folgenden Befehl ausführen:
Get-User -RecipientTypeDetails User
-
Stellen Sie sicher, dass die Ausgabe mit den erwarteten Benutzern oder Gruppen für Ihren adaptiven Bereich übereinstimmt. Wenn dies nicht der Fall ist, überprüfen Sie Ihre Abfrage und die Werte beim entsprechenden Administrator für Microsoft Entra ID oder Exchange.
Tipp
Die Ausgabe dieser Befehle entspricht möglicherweise nicht der Memberliste für denselben Filter innerhalb der Bereichsdetails auf der Seite Adaptive Bereiche. Die Mitgliederliste in den Bereichsdetails zeigt Schiedspostfächer im Bereich an, während die Befehlsausgabe dies nicht tut. Darüber hinaus kann es bis zu 5 Tage dauern, bis Änderungen der Abfrage des adaptiven Bereichs wirksam werden und sich in der Bereichsdetailseite der Seite Adaptive Bereiche widerspiegeln.
So führen Sie eine Abfrage mit der SharePoint-Suche aus:
- Wechseln Sie mithilfe eines Kontos mit der SharePoint-Administratorrolle zu
https://<your_tenant>.sharepoint.com/search
. - Verwenden Sie die Suchleiste, um Ihre KQL-Abfrage anzugeben.
- Stellen Sie sicher, dass die Suchergebnisse mit den erwarteten Site-URLs für Ihren adaptiven Bereich übereinstimmen. Wenn dies nicht der Fall ist, überprüfen Sie Ihre Abfrage und die URLs mit dem zuständigen Administrator für SharePoint.