アダプティブ スコープ
通信コンプライアンス ポリシーまたは保持ポリシーを作成する場合は、ポリシーのアダプティブ スコープを作成または追加できます。 1 つのポリシーに 1 つまたは複数のアダプティブ スコープを設定できます。
- アダプティブ スコープでは、指定したクエリを使用するため、そのクエリに含まれるユーザーまたはグループのメンバーシップを定義できます。 これらの動的クエリは、選択したスコープに指定した属性またはプロパティに対して毎日実行されます。 1 つのポリシーで 1 つ以上のアダプティブ スコープを使用できます。
- たとえば、この目的のためにグループを作成および管理する管理オーバーヘッドなしで、既存のMicrosoft Entra属性を使用して、部署に応じて異なるポリシー設定をユーザーに割り当てることができます。
アダプティブ スコープを使用する利点
アダプティブ スコープを使用する利点は次のとおりです。
- ポリシーごとのアイテム数に制限がありません。 アダプティブ ポリシーは、引き続きテナントごとのポリシーの最大数の制限対象となりますが、柔軟性のより高い構成ほど、ポリシーがはるかに少なくなる可能性があります。
- ポリシーのより強力なターゲット設定。 たとえば、グループの作成と管理の管理オーバーヘッドなしで、地理的な場所に応じてユーザーに異なる設定を割り当てることができます。
- クエリベースのスコープは、部門間通信に依存するグループ メンバーシップや外部プロセスに確実に反映されない可能性があるビジネス変更に対する回復性を提供します。
- 1 つのポリシーに Microsoft Teams とViva Engageの両方の場所を含めることができますが、アダプティブ スコープを使用しない場合、各場所には独自のポリシーが必要です。
- Microsoft Entra管理単位のサポート。
リテンション期間のポリシーに固有のアダプティブ スコープを使用する具体的な利点については、「 アイテム保持ポリシーと保持ラベルについて」を参照してください。
構成情報については、「アダプティブ スコープの構成」を参照してください。
アダプティブ スコープがMicrosoft Entra管理単位とどのように連携するか
コンプライアンスに関するポリシーの動的なターゲット設定をサポートするように Microsoft Purview でアダプティブ スコープが作成および構成されているのに対し、管理単位はMicrosoft Entra IDで作成および構成されます。 これにより、管理者を 1 つ以上の管理単位に割り当てることができます。その結果、制限された管理者は割り当てられた管理単位のユーザーのみを管理できるようになりました。 この構成では、最小限の特権のセキュリティベスト プラクティスがサポートされています。 通常、管理単位は、特定の地域、部署、またはビジネス部門を中心に設計されます。
この管理の境界は、サポートされているソリューションのために Microsoft Purview に流れ込み、制限付き管理者が管理に割り当てられているユーザーのみを確実に管理できるようにします。
管理単位とアダプティブ スコープの統合方法を示す例として、制限付きコンプライアンス管理者がフランスのユーザー専用のアダプティブ ユーザー スコープを作成したいと考えています。
- コンプライアンス管理者には、ヨーロッパのすべてのユーザーと北米のすべてのユーザーの 2 つの管理単位が割り当てられます。 アダプティブ スコープを作成するときに、これらの管理単位のみを選択して割り当てることができます。 他の管理単位からユーザーを管理するためのアダプティブ スコープを作成することはできません。
- ユーザーに対して新しいアダプティブ スコープを作成し、管理単位 [ ヨーロッパのすべてのユーザー] を選択します。 次に、アダプティブ スコープをフランスのユーザー専用にするため、Microsoft Entra ID Country 属性または region 属性を使用してフランス (CountryOrRegion = France) を指定します。 この属性を誤って構成し、インドなどのMicrosoft Entra IDで有効な値を指定したが、その値を持つユーザーがヨーロッパのすべてのユーザー管理単位に含まれていない場合、スコープにはユーザーは含まれません。
- すべてのユーザーを対象とするポリシーに対してこのアダプティブ スコープのみを選択すると、ポリシーはフランスのユーザーのみに適用されます。
- 再利用可能な構成要素として、同じアダプティブ スコープを他のコンプライアンス ポリシーに使用できます。
コンプライアンス管理者がこのアダプティブ スコープに両方の管理単位を追加した場合でも、北米管理スコープのユーザーにフランスが国または地域の属性として指定されていないため、最終的な結果は同じになります。 ただし、コンプライアンス管理者は、フランスのユーザーだけをターゲットにする必要があることを知っていたため、ヨーロッパの管理単位に対してクエリを実行する方が効率的です。 要件が変更された場合は、既存のアダプティブ スコープから管理単位をいつでも追加または削除できます。
アダプティブ ポリシー スコープの最大数
ポリシーに追加できるアダプティブ ポリシー スコープの数に制限はありませんが、各アダプティブ スコープを定義するクエリにはいくつかの上限があります。
- 属性値またはプロパティ値の文字列の長さ: 200
- グループのない場合またはグループ内の属性またはプロパティの数: 10
- グループの数: 10
- 高度なクエリの文字数: 10,000
- グループ内の属性またはプロパティのグループ化はサポートされていません。 つまり、単一のアダプティブ スコープでサポートされるプロパティまたは属性の最大数は 100 です。
アダプティブ スコープを構成する
アダプティブ スコープの使用を選択すると、必要なアダプティブ スコープの種類を選択するように求められます。 アダプティブ スコープには 3 つの異なる種類があり、それぞれが異なる属性またはプロパティをサポートしています。
アダプティブ スコープの種類 | サポートされている属性またはプロパティは次の通りです |
---|---|
Users - 適用対象: - Exchange メールボックス OneDrive: アカウント - Teams チャットと Copilot 操作 Teams の非公開チャネル メッセージ - ユーザー メッセージをViva Engageする |
名 姓 表示名 役職 部署 事業所 番地 都市 都道府県 郵便番号 国または地域 電子メール アドレス Alias Exchange カスタム属性: CustomAttribute1 - CustomAttribute15 |
SharePoint sites - 適用対象: - SharePoint サイト * - OneDrive アカウント |
サイトの URL サイト名 カスタム プロパティ (SharePoint のみ): RefinableString00 - RefinableString99 |
Microsoft 365 Groups - 適用対象: - Microsoft 365 グループ メールボックス & サイト - Teams チャネル メッセージ (標準および共有) - コミュニティ メッセージをViva Engageする |
名前 表示名 説明 電子メール アドレス Alias Exchange カスタム属性: CustomAttribute1 - CustomAttribute15 |
* 現在、 共有チャネル SharePoint サイト はアダプティブ スコープではサポートされていません。
注:
コミュニケーション コンプライアンス ポリシーの場合:
- SharePoint サイトと OneDrive アカウントはサポートされていません。
- 除外されたユーザーと Microsoft 365 グループがサポートされています。
サイトのプロパティ名は、SharePoint サイトで管理されているプロパティに基づいています。 カスタム属性の詳細については、「カスタム SharePoint サイトプロパティを使用した Adaptive Policy Scope sでの Microsoft 365保持の適用」を参照してください。
ユーザーとグループの属性名は、Microsoft Entra属性にマップされるフィルター可能な受信者プロパティに基づいています。 例:
- エイリアスは、Microsoft Entra 管理センターにEmailとして表示される LDAP 名 mailNickname にマップされます。
- Emailアドレスは、Microsoft Entra 管理センターでプロキシ アドレスとして表示される LDAP 名 proxyAddresses にマップされます。
表にリストされている属性とプロパティは、単純なクエリ ビルダーを使用してアダプティブ スコープを構成するときに簡単に指定できます。 次のセクションで説明するように、追加の属性とプロパティは高度なクエリ ビルダーでサポートされています。
アダプティブ スコープを構成する方法
アダプティブ スコープを構成する前に、前のセクションを使用して、作成するスコープの種類と使用する属性と値を特定します。 この情報を確認するには、他の管理者と協力する必要がある場合があります。
アダプティブ スコープを作成するには、管理者に正しいロール グループを割り当てる必要があります。 Scope Manager ロールを持つロール グループは、アダプティブ スコープを作成できます。 Scope Manger ロールは、次の組み込みロール グループに含まれています。
- コンプライアンス管理者
- コンプライアンス データ管理者
- 組織の管理
- レコード管理
- 通信コンプライアンス
- コミュニケーション コンプライアンス管理者
特に SharePoint サイトの場合、カスタム サイト プロパティを使用する場合は、追加の SharePoint 構成が必要になることがあります。
アダプティブ スコープを作成して構成するには、Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルのいずれかを使用できます。
使用しているポータルに応じて、次のいずれかの場所に移動します。
Microsoft Purview ポータル>にサインインする[設定] カード >[ロールとスコープ>] アダプティブ スコープ。
[設定] ソリューション カードが表示されない場合は、[すべてのソリューションを表示] を選択し、[コア] セクションから [設定] を選択します。
Microsoft Purview コンプライアンス ポータル>Roles とスコープアダプティブ スコープに>サインインします。
[アダプティブ スコープ] を選択し、[+ Create スコープ] を選択します。
最初に管理単位の割り当てを求められる構成のプロンプトに従います。 アカウントに 管理単位が割り当てられている場合は、スコープ メンバーシップを制限する 1 つの管理単位を選択する必要があります。
注:
管理単位はまだ SharePoint サイトをサポートしていないため、管理単位を選択した場合、SharePoint サイトのアダプティブ スコープを作成することはできません。
管理単位を使用してアダプティブ スコープを制限しない場合、またはorganizationが管理単位を構成していない場合は、既定の [完全ディレクトリ] のままにします。
スコープの種類を選択し、動的メンバーシップの構築に使用する属性またはプロパティを選択し、属性またはプロパティ値を入力します。
たとえば、ヨーロッパのユーザーを識別するために使用するアダプティブ スコープを構成するには、まずスコープの種類として Users を選択します。 次に、Country または region 属性を選択し、Europe を入力します:
1 日に 1 回、このクエリは Microsoft Entra ID に対して実行され、Country 属性または region 属性のアカウントで Europe が指定された値を持つすべてのユーザーを特定します。
重要
クエリはすぐには実行されないため、値を正しく入力したかどうかの検証はできません。
[属性の追加] (ユーザーとグループの場合) または [プロパティの追加] (サイトの場合) を選択して、スコープの種類でサポートされている属性またはプロパティの任意の組み合わせを使用し、論理演算子と共にクエリを構築します。 サポートされている演算子は、EQUAL、NOT EQUALSTART WITH および NOT STRT WITH で、選択した属性またはプロパティをグループ化できます。 例:
または、[高度なクエリ ビルダー] を選択して、独自のクエリを指定することもできます。
User および Microsoft 365 Group スコープの場合は、OPATH フィルタリング構文を使用します。 たとえば、部署、国/地域、および状態ごとにメンバーシップを定義するユーザー スコープを作成するには、次のようにします。
これらの範囲に高度なクエリ ビルダーを使用する利点の 1 つは、クエリ演算子の選択肢が広いということです。
- and
- or
- not
- eq (等しい)
- ne (等しくない)
- lt (より小さい)
- gt (より大きい)
- like (文字列比較)
- notlike (文字列比較)
SharePoint sites スコープの場合は、キーワード クエリ言語 (KQL) を使用します。 KQL を使用してインデックス付きサイト プロパティを使用して SharePoint を検索する方法はすでにご存じかも知れません。 これらの KQL クエリを指定するには「Keyword Query Language (KQL) 構文リファレンス」を参照してください。
たとえば、SharePoint サイトスコープには、Microsoft 365 グループ接続サイトと OneDrive サイトを含むすべての SharePoint サイトの種類が自動的に含まれるため、インデックス付きサイト プロパティ SiteTemplate を使用して、特定のサイトの種類を含めたり除外したりできます。 指定できるテンプレート:
- 最新のコミュニケーション サイトの
SITEPAGEPUBLISHING
- Microsoft 365 グループ接続サイトの
GROUP
- Microsoft Teams プライベート チャネル サイトの
TEAMCHANNEL
- 従来の SharePoint チーム サイトの
STS
- OneDrive サイトの
SPSPERS
したがって、最新の通信サイトのみを含み、Microsoft 365 の goup 接続サイトと OneDrive サイトを除外するアダプティブ スコープを作成するには、次の KQL クエリを指定します。
SiteTemplate=SITEPAGEPUBLISHING
- 最新のコミュニケーション サイトの
スコープ構成とは別に、これらの高度なクエリを検証できます。
ヒント
非アクティブなメールボックスを除外する場合は、高度なクエリ ビルダーを使用する必要があります。 または逆に、非アクティブなメールボックスのみをターゲットにします。 この構成では、OPATH プロパティ IsInactiveMailbox を使用します。
- 非アクティブなメールボックスを除外するには、クエリに次のものが含まれていることを確認してください:
(IsInactiveMailbox -eq "False")
- 非アクティブなメールボックスのみをターゲットにするには、次のように指定します:
(IsInactiveMailbox -eq "True")
必要な数だけアダプティブ スコープを作成します。 ポリシーを作成するときに、1 つ以上のアダプティブ スコープを選択できます。
注:
クエリが完全に設定されるまでに最大 5 日かかる場合があり、変更はすぐには行われません。 新しく作成したスコープをポリシーに追加する前に数日待つなど、この遅延を考慮してください。
アダプティブ スコープの現在のメンバーシップとメンバーシップの変更を確認するには:
アダプティブ スコープ ページでスコープをダブルクリックします (または選択して Enter キーを押します)。
ポップアップ [詳細] ウィンドウで、[スコープの詳細] を選択します。
現在スコープ内にあるすべてのユーザー、サイト、またはグループが自動的に追加または削除された場合、そのメンバーシップの日付と時刻を識別する情報を確認します。
ヒント
ポリシー検索 オプションを使用すると、特定のユーザー、サイト、および Microsoft 365 グループに現在割り当てられているポリシーを識別できます。
高度なクエリを検証する
PowerShell と SharePoint 検索を使用して、高度なクエリを手動で検証できます:
- スコープの種類 Users と Microsoft 365 Groups には PowerShell を使います
- スコープの種類 SharePoint sites には SharePoint 検索を使います
PowerShell を使用してクエリを実行するには:
適切な Exchange Online 管理者権限を持つアカウントを使用して Exchange Online PowerShell に接続します。
Get-Recipient、Get-Mailbox、または Get-User のいずれかを -Filter パラメーターと一緒に使用し、中括弧 (
{
、}
) で囲まれたアダプティブ スコープの OPATH クエリ を使用します。 属性値が文字列の場合は、属性値を二重引用符または単一引用符で囲みます。クエリに選択した OPATH プロパティ でサポートされているコマンドレットを特定すると、検証用に Get-Mailbox、Get-Recipient、または Get-User のどれかの使用を決定できるようになります。
重要
Get-Mailbox は MailUser 受信者タイプをサポートしていないため、ハイブリッド環境でオンプレミスのメールボックスを含むクエリを検証するには、Get-Recipient または Get-User を使用する必要があります。
User スコープを検証するには、適切なコマンドを使用します。
- -RecipientTypeDetails UserMailbox,SharedMailbox,RoomMailbox,EquipmentMailbox を使用する
Get-Mailbox
- -RecipientTypeDetails UserMailbox,MailUser,SharedMailbox,RoomMailbox,EquipmentMailbox を使用する
Get-Recipient
Microsoft 365 グループ スコープを検証するには、次を使用します。
- -GroupMailbox を使用する
Get-Mailbox
、または -RecipientTypeDetails GroupMailbox を使用するGet-Recipient
たとえば、ユーザー スコープを検証するには、次を使用できます。
Get-Recipient -RecipientTypeDetails UserMailbox,MailUser -Filter {Department -eq "Marketing"} -ResultSize Unlimited
Microsoft 365 グループ スコープを検証するには、次を使用できます。
Get-Mailbox -RecipientTypeDetails GroupMailbox -Filter {CustomAttribute15 -eq "Marketing"} -ResultSize Unlimited
ヒント
これらのコマンドを使用してユーザー スコープを検証する場合、返される受信者の数が予想より多いのは、アダプティブ スコープの有効なライセンスを持たないユーザーが含まれている可能性があるからです。 これらのユーザーにはポリシー設定が適用されません。
たとえば、ハイブリッド環境では、オンプレミスまたは Exchange Online に Exchange メールボックスがなく、ライセンスのない同期ユーザー アカウントがあることがあります。 これらのユーザーを識別するには、次のコマンドを実行します:
Get-User -RecipientTypeDetails User
- -RecipientTypeDetails UserMailbox,SharedMailbox,RoomMailbox,EquipmentMailbox を使用する
出力が、アダプティブ スコープの予想されるユーザーまたはグループと一致することを確認します。 そうでない場合は、クエリと値をMicrosoft Entra IDまたは Exchange の関連する管理者にチェックします。
SharePoint 検索を使用してクエリを実行するには:
- グローバル管理者アカウントまたは SharePoint 管理者ロールを持つアカウントを使用して、
https://<your_tenant>.sharepoint.com/search
に移動します。 - 検索バーを使用して KQL クエリを指定します。
- 検索結果が、アダプティブ スコープの想定されるサイト URL と一致することを確認します。 一致しない場合は、SharePoint の管理者にクエリと URL を確認します。