Condividi tramite


Ambiti adattivi

Indicazioni per l'assegnazione di licenze di Microsoft 365 per sicurezza e conformità.

Quando si creano criteri di conformità delle comunicazioni o criteri per la conservazione, è possibile aggiungere un ambito adattivo per i criteri. Un singolo criterio può avere uno o più ambiti adattivi.

  • Un ambito adattivo usa una query specificata, in modo da poter definire l'appartenenza di utenti o gruppi inclusi nella query. Queste query dinamiche vengono eseguite quotidianamente sugli attributi o sulle proprietà specificati per l'ambito selezionato. È possibile usare uno o più ambiti adattivi con un singolo criterio.
  • Ad esempio, è possibile assegnare impostazioni di criteri diverse agli utenti in base al proprio reparto usando attributi di Microsoft Entra esistenti senza il sovraccarico amministrativo di creazione e gestione dei gruppi a questo scopo.

Vantaggi dell'uso di ambiti adattivi

I vantaggi dell'uso degli ambiti adattivi includono:

  • Nessun limite al numero di elementi per criterio. Anche se i criteri adattivi sono ancora soggetti alle limitazioni del numero massimo di criteri per ogni tenant, la configurazione più flessibile comporterà probabilmente un numero molto inferiore di criteri.
  • Targeting più potente per i criteri. Ad esempio, è possibile assegnare impostazioni diverse agli utenti in base alla posizione geografica senza il sovraccarico amministrativo della creazione e della gestione dei gruppi.
  • Gli ambiti basati su query offrono resilienza rispetto alle modifiche aziendali che potrebbero non essere riflesse in modo affidabile nell'appartenenza ai gruppi o nei processi esterni che si basano sulla comunicazione tra reparti.
  • Un singolo criterio può includere posizioni sia per Microsoft Teams che per Viva Engage, mentre quando non si usa un ambito adattivo, ogni località richiede criteri specifici.
  • Supporto per le unità amministrative Microsoft Entra.

Per vantaggi specifici dell'uso di ambiti adattivi specifici per i criteri di conservazione, vedere Informazioni sui criteri di conservazione e sulle etichette di conservazione.

Per informazioni sulla configurazione, vedere Configurazione degli ambiti adattivi.

Funzionamento degli ambiti adattivi con le unità amministrative Microsoft Entra

Mentre gli ambiti adattivi vengono creati e configurati in Microsoft Purview per supportare la destinazione dinamica dei criteri per la conformità, le unità amministrative vengono create e configurate in Microsoft Entra ID. Consentono di assegnare amministratori a una o più unità amministrative, con il risultato che questi amministratori con restrizioni possono gestire solo gli utenti nelle unità amministrative assegnate. Questa configurazione supporta la procedura consigliata per la sicurezza dei privilegi minimi. In genere, le unità amministrative sono progettate in base a aree geografiche, reparti o divisioni aziendali specifiche.

Questo limite di gestione passa a Microsoft Purview per le soluzioni supportate per garantire che gli amministratori con restrizioni possano gestire solo gli utenti che sono stati assegnati a gestire.

Come esempio per mostrare come le unità amministrative si integrano con gli ambiti adattivi, in cui un amministratore di conformità con restrizioni vuole creare un ambito utente adattivo solo per gli utenti in Francia:

  1. A un amministratore di conformità vengono assegnate due unità amministrative, Tutti gli utenti in Europa e Tutti gli utenti in America del Nord. Quando creano un ambito adattivo, possono selezionare e assegnare solo queste unità amministrative. Non possono creare un ambito adattivo per gestire gli utenti da altre unità amministrative.
  2. Creano un nuovo ambito adattivo per gli utenti e selezionano l'unità amministrativa Tutti gli utenti in Europa. Quindi, poiché vogliono che l'ambito adattivo sia solo per gli utenti in Francia, usano l'attributo Microsoft Entra ID Paese o area geografica per specificare la Francia (CountryOrRegion = Francia). Se l'attributo viene erroneamente configurato e specifica un valore valido in Microsoft Entra ID, ad esempio l'India, ma gli utenti con tale valore non sono inclusi nell'unità amministrativa Tutti gli utenti in Europa, l'ambito non conterrà alcun utente.
  3. Quando si seleziona solo questo ambito adattivo per un criterio destinato a tutti gli utenti, il criterio viene applicato solo agli utenti in Francia.
  4. Come elemento di configurazione riutilizzabile, lo stesso ambito adattivo può essere usato per altri criteri di conformità.

Se l'amministratore della conformità avesse aggiunto entrambe le unità amministrative a questo ambito adattivo, il risultato finale sarebbe comunque lo stesso perché gli utenti nell'ambito amministrativo America del Nord non hanno specificato la Francia come attributo del paese o dell'area geografica. Tuttavia, l'amministratore della conformità sapeva di dover indirizzare solo gli utenti in Francia, quindi è più efficiente eseguire la query solo sull'unità amministrativa Europa. Se i requisiti cambiano, è sempre possibile aggiungere o rimuovere unità amministrative da un ambito adattivo esistente.

Valori massimi per gli ambiti dei criteri adattivi

Non esiste alcun limite al numero di ambiti di criteri adattivi che è possibile aggiungere a un criterio, ma esistono alcuni limiti massimi per la query che definisce ogni ambito adattivo:

  • Lunghezza stringa per i valori di attributo o proprietà: 200
  • Numero di attributi o proprietà senza un gruppo o all'interno di un gruppo: 10
  • Numero di gruppi: 10
  • Numero di caratteri in una query avanzata: 10.000
  • Il raggruppamento di attributi o proprietà all'interno di un gruppo non è supportato. Ciò significa che il numero massimo di proprietà o attributi supportati in un singolo ambito adattivo è 100.

Configurare gli ambiti adattivi

Quando si sceglie di utilizzare gli ambiti adattivi, viene richiesto di selezionare il tipo di ambito adattivo desiderato. Esistono tre diversi tipi di ambiti adattivi e ognuno supporta attributi o proprietà diversi:

Tipo di ambito adattivo Gli attributi o le proprietà supportati includono
Utenti - si applica a:
- Cassette postali di Exchange
- Account di OneDrive
- Chat di Teams e interazioni con Copilot
- Messaggi del canale privato di Teams
- Viva Engage messaggi utente
Nome
Cognome
Nome visualizzato
Titolo professionale
Reparto
Ufficio
Indirizzo
Città
Stato o provincia
Codice postale
Paese o area geografica
Indirizzi di posta elettronica
Alias
Attributi personalizzati di Exchange: CustomAttribute1 - CustomAttribute15
SharePoint siti - si applica a:
- Siti di SharePoint *
- Account di OneDrive
URL del sito
Nome del sito
Proprietà personalizzate (solo SharePoint): RefinableString00 - RefinableString99
Microsoft 365 - si applica a:
- Cassette postali del gruppo di Microsoft 365 & siti
- Messaggi del canale Teams (standard e condivisi)
- Viva Engage messaggi della community
Nome
Nome visualizzato
Descrizione
Indirizzi di posta elettronica
Alias
Attributi personalizzati di Exchange: CustomAttribute1 - CustomAttribute15

* Attualmente, i siti di SharePoint del canale condiviso non sono supportati per gli ambiti adattivi.

Nota

Per i criteri di conformità delle comunicazioni:

  • I siti di SharePoint e gli account di OneDrive non sono supportati.
  • Sono supportati gli utenti esclusi e i gruppi di Microsoft 365.

I nomi delle proprietà per i siti sono basati sulle proprietà gestite dal sito di SharePoint. Per informazioni sugli attributi personalizzati, vedere Utilizzo delle proprietà personalizzate del sito di SharePoint per applicare la conservazione Microsoft 365 con gli ambiti dei criteri adattivi.

I nomi degli attributi per utenti e gruppi si basano sulle proprietà dei destinatari filtrabili mappate agli attributi Microsoft Entra. Ad esempio:

  • Alias esegue il mapping al nome LDAP mailNickname visualizzato come Email nel Interfaccia di amministrazione di Microsoft Entra.
  • Email indirizzi esegue il mapping al nome LDAP proxyAddresses visualizzato come indirizzo proxy nel Interfaccia di amministrazione di Microsoft Entra.

Gli attributi e le proprietà elencati nella tabella possono essere specificati facilmente quando si configura un ambito adattivo utilizzando il generatore di query semplice. Ulteriori attributi e proprietà sono supportati con il generatore di query avanzato, come descritto nella sezione seguente.

Come configurare un ambito adattivo

Prima di configurare l'ambito adattivo, utilizzare la sezione precedente per identificare il tipo di ambito da creare e gli attributi e i valori che verranno utilizzati. Potrebbe essere necessario collaborare con altri amministratori per confermare queste informazioni.

È necessario assegnare i gruppi di ruoli corretti agli amministratori per creare un ambito adattivo. Qualsiasi gruppo di ruoli con il ruolo Scope Manager può creare un ambito adattivo. Il ruolo Scope Manger è incluso nei gruppi di ruoli predefiniti seguenti:

  • Amministratore di conformità
  • Amministratore dati di conformità
  • Gestione organizzazione
  • Gestione record
  • Conformità delle comunicazioni
  • Amministratori della conformità delle comunicazioni

In particolare per i siti di SharePoint, potrebbe essere necessaria una configurazione aggiuntiva di SharePoint se si prevede di utilizzare proprietà del sito personalizzate.

Per creare e configurare ambiti adattivi, è possibile usare il portale di Microsoft Purview o il Portale di conformità di Microsoft Purview.

  1. A seconda del portale in uso, passare a una delle posizioni seguenti:

    • Accedere al portale> di Microsoft Purview>Scheda ImpostazioniRuoli e ambiti>Ambiti adattivi.

      Se la scheda della soluzione Impostazioni non è visualizzata, selezionare Visualizza tutte le soluzioni e quindi selezionare Impostazioni nella sezione Core .

    • Accedere agliambiti adattivi Portale di conformità di Microsoft Purview >Roles &>.

  2. Selezionare Ambiti adattivi e quindi + Crea ambito.

  3. Seguire le istruzioni nella configurazione in cui verrà richiesto di assegnare un'unità amministrativa. Se all'account sono state assegnate unità amministrative, è necessario selezionare un'unità amministrativa che limiterà l'appartenenza all'ambito.

    Nota

    Poiché le unità amministrative non supportano ancora i siti di SharePoint, non sarà possibile creare un ambito adattivo per i siti di SharePoint se si selezionano le unità amministrative.

    Se non si vuole limitare l'ambito adattivo usando unità amministrative o se l'organizzazione non ha configurato le unità amministrative, mantenere l'impostazione predefinita Directory completa.

  4. Selezionare il tipo di ambito e quindi selezionare gli attributi o le proprietà da usare per compilare l'appartenenza dinamica e digitare i valori dell'attributo o della proprietà.

    Ad esempio, per configurare un ambito adattivo che verrà utilizzato per identificare gli utenti in Europa, selezionare prima Utenti come tipo di ambito, quindi selezionare l'attributo Paese o area geografica e digitare in Europa:

    Esempio di configurazione dell'ambito adattivo.

    Una volta al giorno, questa query verrà eseguita su Microsoft Entra ID e identificherà tutti gli utenti con il valore Europa specificato per nel proprio account per l'attributo Paese o area geografica.

    Importante

    Poiché la query non viene eseguita immediatamente, non è presente alcuna convalida che il valore inserito sia corretto.

    Selezionare Aggiungi attributo (per utenti e gruppi) o Aggiungi proprietà (per i siti) per utilizzare qualsiasi combinazione di attributi o proprietà supportati per il tipo di ambito, insieme agli operatori logici per compilare le query. Gli operatori supportati sonouguali a, diverso da, inizia con e non inizia con, ed è possibile raggruppare attributi o proprietà selezionati. Ad esempio:

    Esempio di configurazione dell'ambito adattivo con raggruppamenti di attributi.

    In alternativa, è possibile selezionare Generatore di query avanzato per specificare query personalizzate:

    • Per gli ambiti Utente e Gruppo di Microsoft 365, utilizzare la sintassi di filtro OPATH. Ad esempio, per creare un ambito utente che ne definisce l'appartenenza per reparto, paese/area geografica e stato:

      Esempio di ambito adattivo con query avanzata.

      Uno dei vantaggi dell'utilizzo del generatore di query avanzato per questi ambiti è una scelta più ampia di operatori di query:

      • and
      • or
      • not
      • eq (uguale a)
      • ne (diverso da)
      • lt (minore di)
      • gt(maggiore di)
      • like (confronto tra stringhe)
      • notlike (confronto tra stringhe)
    • Per ambiti di siti di SharePoint, utilizzare Keyword Query Language (KQL). È possibile che si abbia già familiarità con l'utilizzo di KQL per eserguire ricerche in SharePoint usando le proprietà del sito indicizzate. Per informazioni su come specificare queste query KQL, vedere riferimenti di sintassi di Keyword Query Language (KQL).

      Ad esempio, poiché gli ambiti del sito di SharePoint includono automaticamente tutti i tipi di sito di SharePoint, inclusi i siti connessi al gruppo di Microsoft 365 e OneDrive, è possibile usare la proprietà del sito indicizzata SiteTemplate per includere o escludere tipi di sito specifici. I modelli che è possibile specificare:

      • SITEPAGEPUBLISHING per i siti di comunicazione moderni
      • GROUP per i siti connessi al gruppo di Microsoft 365
      • TEAMCHANNEL per i siti del canale privato di Microsoft Teams
      • STS per un sito del team di SharePoint classico
      • SPSPERS per i siti di OneDrive

      Quindi, per creare un ambito adattivo che includa solo siti di comunicazione moderni ed escluda i siti connessi al gruppo di Microsoft 365 e OneDrive, specificare la query KQL seguente:

      SiteTemplate=SITEPAGEPUBLISHING
      

      È possibile convalidare queste query avanzate indipendentemente dalla configurazione dell'ambito.

      Consiglio

      È necessario utilizzare il generatore di query avanzato se si desidera escludere le cassette postali inattive. O, al contrario, scegliere come destinazione solo le cassette postali inattive. Per questa configurazione, utilizzare la proprietà OPATH IsInactiveMailbox:

      • Per escludere le cassette postali inattive, verificare che la query includa: (IsInactiveMailbox -eq "False")
      • Per impostare come destinazione solo le cassette postali inattive, specificare: (IsInactiveMailbox -eq "True")
  5. Creare tutti gli ambiti adattivi necessari. È possibile selezionare uno o più ambiti adattivi quando si creano i criteri.

Nota

La compilazione completa delle query può richiedere fino a cinque giorni e le modifiche non saranno immediate. Tenere conto di questo ritardo attendendo alcuni giorni prima di aggiungere un ambito appena creato a un criterio.

Per confermare l'attuale appartenenze e le modifiche correnti di appartenenza per un ambito adattivo:

  1. Fare doppio clic (o selezionare e premere INVIO) sull'ambito nella pagina Ambiti adattivi

  2. Nel riquadro a comparsa Dettagli, selezionare Dettagli ambito.

    Esaminare le informazioni che identificano tutti gli utenti, i siti o i gruppi attualmente presenti nell'ambito, se sono stati aggiunti o rimossi automaticamente e la data e l'ora di modifica dell'appartenenza.

Consiglio

Per le soluzioni di gestione del ciclo di vita dei dati e di gestione dei record, usare l'opzione di ricerca dei criteri per identificare i criteri della soluzione attualmente assegnati a utenti, siti e gruppi di Microsoft 365 specifici.

Convalidare query avanzate

È possibile convalidare manualmente le query avanzate utilizzando PowerShell e la ricerca di SharePoint:

  • Usare PowerShell per i tipi di ambito Utenti e Gruppi di Microsoft 365
  • Utilizzare la ricerca di SharePoint per il tipo di ambito siti diSharePoint

Per eseguire una query tramite PowerShell:

  1. Connettersi a PowerShell di Exchange Online usando un account con autorizzazioni di amministratore di Exchange Online.

  2. Utilizzare Get-Recipient, Get-Mailbox o Get-User con il parametro -Filter e la query OPATH per l'ambito adattivo racchiuso tra parentesi graffe ({,}). Se i valori degli attributi sono stringhe, racchiudere tali valori tra virgolette doppie o singole.

    È possibile determinare se usare Get-Mailbox, Get-Recipient o Get-User per la convalida identificando il cmdlet supportato dalla proprietà OPATH scelta per la query.

    Importante

    Get-Mailbox non supporta il tipo di destinatario MailUser, pertanto è necessario usare Get-Recipient o Get-User per convalidare le query che includono cassette postali locali in un ambiente ibrido.

    Per convalidare un ambito Utente usare il comando appropriato:

    • Get-Mailbox con -RecipientTypeDetails UserMailbox,SharedMailbox,RoomMailbox,EquipmentMailbox
    • Get-Recipient con -RecipientTypeDetails UserMailbox,MailUser,SharedMailbox,RoomMailbox,EquipmentMailbox

    Per convalidare un ambito Gruppo Microsoft 365, utilizzare:

    • Get-Mailbox con -GroupMailbox o Get-Recipient con -RecipientTypeDetails GroupMailbox

    Ad esempio, per convalidare un ambito utente correlato all'attributo Department impostato sul valore Marketing, è possibile usare:

    Get-Recipient -RecipientTypeDetails UserMailbox,MailUser -Filter {Department -eq "Marketing"} -ResultSize Unlimited
    

    Per convalidare un ambito Utente correlato all'attributo EmailAddresses , in genere è necessario che il valore includa il prefisso smtp: . Ad esempio, per escludere un utente in cui EmailAddresses include admin@contoso.com:

    Get-Mailbox -RecipientTypeDetails UserMailbox -Filter {EmailAddresses -notlike "smtp:admin@contoso.com"} -ResultSize Unlimited
    

    Per convalidare un ambito del gruppo di Microsoft 365 correlato all'attributo CustomAttribute15 del gruppo impostato su Marketing come valore, è possibile usare:

    Get-Mailbox -RecipientTypeDetails GroupMailbox -Filter {CustomAttribute15 -eq "Marketing"} -ResultSize Unlimited
    

    Consiglio

    Quando si usano questi comandi per convalidare un ambito utente, se il numero di destinatari restituiti è superiore al previsto, potrebbe essere perché include utenti che non dispongono di una licenza valida per gli ambiti adattivi. A questi utenti non verranno applicate le impostazioni dei criteri.

    Ad esempio, in un ambiente ibrido potrebbero essere presenti account utente sincronizzati senza licenza senza una cassetta postale Exchange locale o in Exchange Online. È possibile identificare questi utenti eseguendo il comando seguente: Get-User -RecipientTypeDetails User

  3. Verificare che l'output corrisponda agli utenti o ai gruppi previsti per l'ambito adattivo. In caso contrario, controllare la query e i valori con l'amministratore pertinente per Microsoft Entra ID o Exchange.

    Consiglio

    L'output di questi comandi potrebbe non corrispondere all'elenco di membri per lo stesso filtro all'interno dei dettagli dell'ambito nella pagina Ambiti adattivi. L'elenco dei membri nei dettagli dell'ambito mostra le cassette postali di arbitrato nell'ambito, mentre l'output del comando non lo fa. Inoltre, le modifiche delle query dell'ambito adattivo possono richiedere fino a 5 giorni per diventare effettive e riflesse nella visualizzazione dei dettagli dell'ambito della pagina Ambiti adattivi.

Per eseguire una query utilizzando la ricerca di SharePoint:

  1. Usando un account con il ruolo di amministratore di SharePoint, passare a https://<your_tenant>.sharepoint.com/search.
  2. Utilizzare la barra di ricerca per specificare la query KQL.
  3. Verificare che i risultati della ricerca corrispondano agli URL previsti per l'ambito adattivo. In caso contrario, controllare la query e gli URL con l'amministratore pertinente per SharePoint.