Escopos adaptáveis
Diretrizes de licenciamento do Microsoft 365 para segurança e conformidade.
Quando cria uma política de conformidade de comunicação ou uma política de retenção, pode adicionar um âmbito adaptável à sua política. Uma única política pode ter um ou muitos âmbitos adaptáveis.
- Um âmbito adaptável utiliza uma consulta especificada por si, para que possa definir a associação de utilizadores ou grupos incluídos nessa consulta. Estas consultas dinâmicas são executadas diariamente em relação aos atributos ou propriedades que especificar para o âmbito selecionado. Pode utilizar um ou mais âmbitos adaptáveis com uma única política.
- Por exemplo, pode atribuir diferentes definições de política aos utilizadores de acordo com o respetivo departamento ao utilizar atributos de Microsoft Entra existentes sem a sobrecarga administrativa de criar e manter grupos para esta finalidade.
Vantagens da utilização de âmbitos adaptáveis
As vantagens da utilização de âmbitos adaptáveis incluem:
- Não há limites para o de itens por política. Embora as políticas adaptáveis ainda estejam sujeitas número máximo de políticas por locatário limitações, a configuração mais flexível provavelmente resultará em muito menos políticas.
- Segmentação mais poderosa para as suas políticas. Por exemplo, pode atribuir definições diferentes aos utilizadores de acordo com a respetiva localização geográfica sem a sobrecarga administrativa de criar e manter grupos.
- Os âmbitos baseados em consultas fornecem resiliência contra alterações empresariais que podem não ser refletidas de forma fiável na associação a grupos ou em processos externos que dependem da comunicação entre departamentos.
- Uma única política pode incluir localizações para o Microsoft Teams e Viva Engage, enquanto que quando não utiliza um âmbito adaptável, cada localização requer a sua própria política.
- Suporte para Microsoft Entra unidades administrativas.
Para obter vantagens específicas da utilização de âmbitos adaptáveis específicos das políticas de retenção, veja Saiba mais sobre políticas de retenção e etiquetas de retenção.
Para obter informações de configuração, consulte configuração de escopos adaptáveis.
Como funcionam os âmbitos adaptáveis com Microsoft Entra unidades administrativas
Enquanto os âmbitos adaptáveis são criados e configurados no Microsoft Purview para suportar a segmentação dinâmica de políticas de conformidade, as unidades administrativas são criadas e configuradas no Microsoft Entra ID. Fornecem a capacidade de atribuir administradores a uma ou mais unidades administrativas, pelo que estes administradores agora restritos só podem gerir os utilizadores nas unidades administrativas atribuídas. Esta configuração suporta a melhor prática de segurança de menor privilégio. Normalmente, as unidades administrativas são concebidas em torno de divisões específicas de geografia, departamento ou negócios.
Este limite de gestão flui para o Microsoft Purview para obter soluções suportadas para garantir que os administradores restritos só podem gerir os utilizadores que lhes foram atribuídos para gerir.
Como exemplo, para mostrar como as unidades administrativas se integram com âmbitos adaptáveis, em que um administrador de conformidade restrito quer criar um âmbito de utilizador adaptável apenas para utilizadores em França:
- São atribuídas duas unidades administrativas a um administrador de conformidade, Todos os utilizadores na Europa e Todos os utilizadores no América do Norte. Quando criam um âmbito adaptável, podem selecionar e atribuir apenas estas unidades administrativas. Não podem criar um âmbito adaptável para gerir utilizadores a partir de outras unidades administrativas.
- Criam um novo âmbito adaptável para os utilizadores e selecionam a unidade administrativa Todos os utilizadores na Europa. Em seguida, uma vez que pretendem que o âmbito adaptável seja apenas para os utilizadores em França, utilizam o atributo Microsoft Entra ID País ou região para especificar França (CountryOrRegion = França). Se configurarem incorretamente este atributo e especificarem um valor válido no Microsoft Entra ID, como a Índia, mas os utilizadores com esse valor não estiverem incluídos na unidade administrativa Todos os utilizadores na Europa, o âmbito não conterá nenhum utilizador.
- Quando apenas este âmbito adaptável está selecionado para uma política direcionada a todos os utilizadores, a política é aplicada apenas aos utilizadores em França.
- Como elemento de configuração reutilizável, o mesmo âmbito adaptável pode ser utilizado para outras políticas de conformidade.
Se o administrador de conformidade tivesse adicionado ambas as unidades administrativas a este âmbito adaptável, o resultado final continuaria a ser o mesmo porque os utilizadores no âmbito administrativo América do Norte não têm a França especificada como o atributo país ou região. No entanto, o administrador de conformidade sabia que precisava de visar apenas os utilizadores em França, pelo que é mais eficiente executar a consulta apenas na unidade administrativa europeia. Se os requisitos forem alterados, pode sempre adicionar ou remover unidades administrativas de um âmbito adaptável existente.
Máximos para escopos de política adaptáveis
Não existe um limite para o número de âmbitos de política adaptáveis que pode adicionar a uma política, mas existem alguns limites máximos para a consulta que define cada âmbito adaptável:
- Comprimento da cadeia de caracteres para valores de atributo ou propriedade: 200
- Número de atributos ou propriedades sem um grupo ou em um grupo: 10
- Número de grupos: 10
- Número de caracteres em uma consulta avançada: 10.000
- Não há suporte para o agrupamento de atributos ou propriedades em um grupo. Isso significa que o número máximo de propriedades ou atributos com suporte em um único escopo adaptável é 100.
Configurar âmbitos adaptáveis
Ao optar por usar escopos adaptáveis, você é solicitado a selecionar o tipo de escopo adaptável desejado. Há três tipos diferentes de escopos adaptáveis e cada um dá suporte a atributos ou propriedades diferentes:
Tipo de escopo adaptável | Atributos ou propriedades com suporte incluem |
---|---|
Usuários – aplica-se a: - Caixas de correio do Exchange - Contas do OneDrive - Conversas do Teams e interações do Copilot - Mensagens do canal privado do Teams - Viva Engage mensagens de utilizador |
Nome Sobrenome Nome de exibição Cargo Departamento Escritório Endereço Cidade Estado ou província CEP País ou região Emails Alias Atributos personalizados do Exchange: CustomAttribute1 - CustomAttribute15 |
Sites do SharePoint – aplica-se a: - Sites do SharePoint * - Contas do OneDrive |
URL do site Nome do site Propriedades personalizadas (apenas SharePoint): RefinableString00 - RefinableString99 |
Grupos do Microsoft 365 – aplica-se a: - Caixas de correio de Grupo do Microsoft 365 & sites - Mensagens de canal do Teams (padrão e compartilhado) - Viva Engage mensagens da comunidade |
Nome Nome Descrição Emails Alias Atributos personalizados do Exchange: CustomAttribute1 - CustomAttribute15 |
* Atualmente, os sites sharePoint de canal partilhado não são suportados para âmbitos adaptáveis.
Observação
Para políticas de conformidade de comunicação:
- Os sites do SharePoint e as contas do OneDrive não são suportados.
- Os utilizadores excluídos e os grupos do Microsoft 365 são suportados.
Os nomes de propriedades para sites são baseados nas propriedades gerenciadas do site em SharePoint. Para obter informações sobre os atributos personalizados, consulte Usando propriedades personalizadas do site do SharePoint Site para aplicar a retenção do Microsoft 365 com escopos de política adaptáveis.
Os nomes de atributos para utilizadores e grupos baseiam-se em propriedades de destinatário filtráveis que mapeiam para atributos Microsoft Entra. Por exemplo:
- O alias mapeia para o nome LDAP mailNickname que é apresentado como Email no centro de administração do Microsoft Entra.
- Email endereços mapeia para o nome LDAP proxyAddresses que é apresentado como endereço Proxy no centro de administração do Microsoft Entra.
Os atributos e propriedades listados na tabela podem ser facilmente especificados ao configurar um escopo adaptável usando o construtor de consulta simples. Atributos e propriedades adicionais têm suporte com o construtor de consultas avançadas, conforme descrito na seção a seguir.
Como configurar um âmbito adaptável
Antes de configurar o escopo adaptável, use a seção anterior para identificar qual tipo de escopo criar e quais atributos e valores você usará. Talvez seja necessário trabalhar com outros administradores para confirmar as informações.
Terá de atribuir os grupos de funções corretos aos administradores para criar um âmbito adaptável. Qualquer grupo de funções com a função Gestor de Âmbitos tem permissão para criar um âmbito adaptável. A função Scope Manger está incluída nos seguintes grupos de funções incorporados:
- Administrador de Conformidade
- Administrador de Dados de Conformidade
- Gerenciamento de Organização
- Gerenciamento de Registros
- Conformidade em comunicações
- Administradores de Conformidade de Comunicações
Especificamente para os sites do SharePoint, pode haver uma configuração SharePoint adicional necessária se você planeja usar propriedades de site personalizadas.
Para criar e configurar âmbitos adaptáveis, pode utilizar o portal do Microsoft Purview ou o portal de conformidade do Microsoft Purview.
Dependendo do portal que estiver usando, navegue até um dos seguintes locais:
Iniciar sessão no portal> do Microsoft PurviewDefinições card >Funções e âmbitos Âmbitos>ajustáveis.
Se a solução Definições card não for apresentada, selecione Ver todas as soluções e, em seguida, selecione Definições na secção Núcleo.
Inicie sessão no portal de conformidade do Microsoft Purview>Roles & âmbitos>Ajustáveis.
Selecione Âmbitos ajustáveis e, em seguida, + Criar âmbito.
Siga as instruções na configuração em que lhe será pedido para atribuir uma unidade administrativa. Se tiverem sido atribuídas unidades administrativas à sua conta, tem de selecionar uma unidade administrativa que restrinja a associação ao âmbito.
Observação
Uma vez que as unidades administrativas ainda não suportam sites do SharePoint, não poderá criar um âmbito adaptável para sites do SharePoint se selecionar unidades administrativas.
Se não quiser restringir o âmbito adaptável através de unidades administrativas ou se a sua organização não tiver configurado unidades administrativas, mantenha a predefinição de Diretório completo.
Selecione o tipo de âmbito e, em seguida, selecione os atributos ou propriedades que pretende utilizar para criar a associação dinâmica e escreva os valores de atributo ou propriedade.
Por exemplo, para configurar um escopo adaptável que será usado para identificar usuários da Europa, selecione primeiro Usuários como o tipo de escopo e, em seguida, selecione o atributo País ou região e digite Europa:
Uma vez diária, esta consulta será executada em relação a Microsoft Entra ID e identificará todos os utilizadores que têm o valor que a Europa especificou na respetiva conta para o atributo País ou região.
Importante
Como a consulta não é executada imediatamente, não há nenhuma validação digitada corretamente no valor.
Selecione Adicionar atributo (para usuários e grupos) ou Adicionar propriedade (para sites) para usar qualquer combinação de atributos ou propriedades com suporte para seu tipo de escopo, juntamente com operadores lógicos para criar consultas. Os operadores com suporte são é igual a, é diferente de, começa com e não começa com, e você pode agrupar os atributos ou propriedades selecionados. Por exemplo:
Como alternativa, você pode selecionar Construtor avançado de consultas para especificar suas próprias consultas:
Para escopos de Usuário e Grupos do Microsoft 365, use Sintaxe de filtragem OPATH. Por exemplo, para criar um âmbito de utilizador que define a respetiva associação por departamento, país/região e estado:
Uma das vantagens de usar o construtor avançado de consultas para esses escopos é por ele ser uma opção mais ampla dos operadores de consulta:
- and
- or
- not
- eq (igual)
- ne (diferente)
- lt (menor que)
- gt (maior que)
- like (comparação de cadeia de caracteres)
- notlike (comparação de cadeia de caracteres)
Para Sites do SharePoint, use KQL (Idioma de Consulta de Palavra-chave). Você pode já estar familiarizado com o uso de KQL para pesquisar no SharePoint usando propriedades de site indexadas. Para ajudar a especificar essas consultas KQL, confira Referência de sintaxe KQL (Idioma de Consulta de Palavra-chave).
Por exemplo, uma vez que os âmbitos de sites do SharePoint incluem automaticamente todos os tipos de sites do SharePoint, que incluem sites ligados a grupos do Microsoft 365 e do OneDrive, pode utilizar a propriedade de site indexada SiteTemplate para incluir ou excluir tipos de site específicos. Os modelos que você pode especificar:
-
SITEPAGEPUBLISHING
para sites de comunicação modernos -
GROUP
para sites conectados ao grupo do Microsoft 365 -
TEAMCHANNEL
para sites de canal privado do Microsoft Teams -
STS
para um site equipe clássico do SharePoint -
SPSPERS
para sites do OneDrive
Portanto, para criar um escopo adaptável que inclua apenas sites de comunicação modernos e exclua sites do Grupo do Microsoft 365 conectados ao OneDrive, especifique a seguinte consulta KQL:
SiteTemplate=SITEPAGEPUBLISHING
Você pode validar essas consultas avançadas independentemente da configuração do escopo.
Dica
Você deve usar o construtor de consulta avançada se quiser excluir caixas de correio inativas. Ou, inversamente, segmente apenas caixas de correio inativas. Para esta configuração, use a propriedade PATH Is InactiveMailbox:
- Para excluir caixas de correio inativas, certifique-se de que a consulta inclui:
(IsInactiveMailbox -eq "False")
- Para direcionar apenas caixas de correio inativas, especifique:
(IsInactiveMailbox -eq "True")
-
Crie quantos escopos adaptáveis você precisar. Pode selecionar um ou mais âmbitos ajustáveis quando criar a sua política.
Observação
Pode levar até cinco dias para que as consultas sejam preenchidas totalmente e as alterações não serão imediatas. Tenha em conta este atraso ao aguardar alguns dias antes de adicionar um âmbito recém-criado a uma política.
Para confirmar a associação atual e as alterações de associação para um escopo adaptável:
Clique duas vezes (ou selecione e pressione Enter) no escopo na página Escopos Adaptáveis
No painel Detalhes do submenu, selecione Detalhes do escopo.
Revise as informações que identificam todos os usuários, sites ou grupos atualmente no escopo, se eles foram automaticamente adicionados ou removidos, bem como a data e hora dessa alteração de associação.
Dica
Para as soluções de gestão do ciclo de vida de dados e gestão de registos, utilize a opção de pesquisa de políticas para o ajudar a identificar políticas de solução atualmente atribuídas a utilizadores, sites e grupos do Microsoft 365 específicos.
Validar consultas avançadas
Você pode validar manualmente consultas avançadas usando o PowerShell e a pesquisa do SharePoint:
- Usar o PowerShell para os tipos de escopo de Usuários e Grupos do Microsoft 365
- Use a pesquisa do SharePoint para o tipo de escopo de Sites do SharePoint
Para executar uma consulta usando o PowerShell:
Conecte-se ao Exchange Online PowerShell usando uma conta com permissões apropriadas de Administrador do Exchange Online.
Use Get-Recipient, Get-Mailbox ou Get-User com o parâmetro -Filter e sua consulta OPATH para o escopo adaptável entre chaves (
{
,}
). Se seus valores de atributo são cadeias de caracteres, coloque esses valores entre aspas duplas ou simples.Você pode determinar se deve usar Get-Mailbox, Get-Recipient ou Get-User para validação identificando qual cmdlet é suportado pela propriedade OPATH escolhida para a consulta.
Importante
Get-Mailbox não dá suporte ao tipo de destinatário MailUser, portanto, Get-Recipient ou Get-User deve ser usado para validar consultas que incluem caixas de correio locais em um ambiente híbrido.
Para validar um escopo de Usuário, use o comando apropriado:
-
Get-Mailbox
com -RecipientTypeDetails UserMailbox,SharedMailbox,RoomMailbox,EquipmentMailbox -
Get-Recipient
com -RecipientTypeDetails UserMailbox,MailUser,SharedMailbox,RoomMailbox,EquipmentMailbox
Para validar um escopo do Grupo do Microsoft 365, use:
-
Get-Mailbox
com -GroupMailbox ouGet-Recipient
com -RecipientTypeDetails GroupMailbox
Por exemplo, para validar um âmbito de Utilizador relacionado com o atributo Departamento definido para o valor Marketing, pode utilizar:
Get-Recipient -RecipientTypeDetails UserMailbox,MailUser -Filter {Department -eq "Marketing"} -ResultSize Unlimited
Para validar um âmbito de Utilizador relacionado com o atributo EmailAddresses geralmente requer o valor para incluir o prefixo smtp: . Por exemplo, para excluir um utilizador em que EmailAddresses inclui admin@contoso.com:
Get-Mailbox -RecipientTypeDetails UserMailbox -Filter {EmailAddresses -notlike "smtp:admin@contoso.com"} -ResultSize Unlimited
Para validar um âmbito do Grupo do Microsoft 365 relacionado com o atributo CustomAttribute15 do grupo definido como Marketing como o valor, pode utilizar:
Get-Mailbox -RecipientTypeDetails GroupMailbox -Filter {CustomAttribute15 -eq "Marketing"} -ResultSize Unlimited
Dica
Quando você usa esses comandos para validar um escopo de usuário, se o número de destinatários retornados for maior do que o esperado, pode ser porque inclui usuários que não têm uma licença válida para escopos adaptáveis. Estes utilizadores não terão as definições de política aplicadas aos mesmos.
Por exemplo, em um ambiente híbrido, você pode ter contas de usuário sincronizadas não licenciadas sem uma caixa de correio do Exchange local ou no Exchange Online. Para identificar esses usuários, execute o seguinte comando:
Get-User -RecipientTypeDetails User
-
Verifique se a saída corresponde aos usuários ou grupos esperados para seu escopo adaptável. Caso contrário, marcar a consulta e os valores com o administrador relevante para Microsoft Entra ID ou o Exchange.
Dica
O resultado destes comandos pode não corresponder à lista de membros do mesmo filtro nos detalhes do âmbito na página Âmbitos Ajustáveis. A lista de membros nos detalhes do âmbito mostra caixas de correio de arbitragem no âmbito, enquanto a saída do comando não. Além disso, as alterações à consulta de âmbito adaptável podem demorar até 5 dias a entrar em vigor e refletir-se na vista de detalhes do âmbito da página Âmbitos Ajustáveis.
Para executar uma consulta usando a pesquisa do SharePoint:
- Com uma conta que tenha a função de administrador do SharePoint, aceda a
https://<your_tenant>.sharepoint.com/search
. - Use a barra de pesquisa para especificar sua consulta KQL.
- Verifique se os resultados da pesquisa corresponderão às URLs de site esperadas para seu escopo adaptável. Se não, verifique a consulta e as URLs com o administrador relevante do SharePoint.