自适应范围

Microsoft 365 安全性与合规性许可指南

创建 通信合规性策略保留策略时,可以为策略添加自适应范围。 单个策略可以具有一个或多个自适应范围。

  • 自适应范围使用指定的查询,因此可以定义该查询中包含的用户或组的成员身份。 这些动态查询每天针对为所选范围指定的属性运行一次。 可以将一个或多个自适应范围用于单个策略。
  • 例如,可以使用现有的Microsoft Entra属性,根据用户部门分配不同的策略设置,而无需为此目的创建和维护组的管理开销。

使用自适应范围的优点

使用自适应范围的优点包括:

  • 每个策略的项目数目没有限制。 尽管自适应策略仍受每个租户的策略的最大数量限制,但更灵活的配置可能会导致策略少得多。
  • 更强大的策略目标。 例如,可以根据用户的地理位置为其分配不同的设置,而无需创建和维护组的管理开销。
  • 基于查询的范围提供对业务更改的复原能力,这些更改可能无法可靠地反映在依赖于跨部门通信的组成员身份或外部流程中。
  • 单个策略可以包含Microsoft Teams 和Viva Engage的位置,而如果不使用自适应范围,则每个位置都需要自己的策略。
  • 支持Microsoft Entra管理单元

有关使用特定于保留策略的自适应范围的特定优势,请参阅 了解保留策略和保留标签

有关配置信息,请参阅配置自适应作用域

自适应范围如何与Microsoft Entra管理单元配合使用

在 Microsoft Purview 中创建和配置自适应范围以支持针对合规性的策略的动态目标,而管理单元是在 Microsoft Entra ID 中创建和配置的。 它们提供将管理员分配到一个或多个管理单元的功能,因此,这些受限制的管理员现在只能管理其分配的管理单元中的用户。 此配置支持最低特权的安全最佳做法。 通常,管理单元是围绕特定的地理位置、部门或业务部门设计的。

此管理边界将流入支持的解决方案的 Microsoft Purview 中,以确保受限制的管理员只能管理已分配要管理的用户。

例如,演示管理单元如何与自适应范围集成,其中受限合规性管理员希望仅为法国用户创建自适应用户范围:

  1. 合规性管理员分配有两个管理单元:欧洲的所有用户北美的所有用户。 创建自适应范围时,只能选择和分配这些管理单元。 他们无法创建自适应范围来管理其他管理单元中的用户。
  2. 他们为用户创建新的自适应范围,并选择管理单元 “欧洲所有用户”。 然后,由于他们希望自适应范围仅适用于法国的用户,因此他们使用 Microsoft Entra ID 国家或地区属性指定 France (CountryOrRegion = France) 。 如果他们错误地配置了此属性,并在 Microsoft Entra ID(如 India)中指定了有效值,但具有该值的用户未包含在“欧洲所有用户”管理单元中,则范围将不包含任何用户。
  3. 当仅为面向所有用户的策略选择此自适应范围时,该策略将仅应用于法国的用户。
  4. 作为可重用配置元素,同一自适应范围可用于其他符合性策略。

如果符合性管理员已将这两个管理单元添加到此自适应范围,则最终结果仍将相同,因为北美管理范围内的用户没有将 France 指定为其国家或地区属性。 但是,合规性管理员知道他们需要仅面向法国的用户,因此仅针对欧洲管理单位运行查询会更高效。 如果要求发生更改,可以随时在现有自适应范围中添加或删除管理单元。

自适应策略范围的最大值

可以添加到策略的自适应策略范围数量没有限制,但定义每个自适应范围的查询有一些最大限制:

  • 特性或属性值的字符串长度:200
  • 没有组或组内的属性数:10
  • 组数:10
  • 高级查询中的字符数:10,000
  • 不支持对组中的属性或属性进行分组。 这意味着单个自适应范围内支持的最大属性数为 100。

配置自适应范围

当选择使用自适应作用域时,会提示选择想要的自适应作用域类型。 有三种不同类型的自适应作用域,且每个作用域都支持不同的特性或属性:

自适应作用域类型 支持的属性包括
用户 - 适用于:
- Exchange 邮箱
- OneDrive 帐户
- Teams 聊天和 Copilot 交互
- Teams 专用频道消息
- Viva Engage用户消息
名字

显示名称
职务
部门
办公室
街道地址
市/县
省/市/自治区
邮政编码
国家或地区
电子邮件地址
别名
Exchange 自定义特性: CustomAttribute1 - CustomAttribute15
SharePoint 网站 - 适用于:
- SharePoint 网站 *
- OneDrive 帐户
网站 URL
网站名称
仅 sharePoint) (自定义属性:RefinableString00 - RefinableString99
Microsoft 365 组 - 适用于:
- Microsoft 365 个组邮箱 & 网站
- Teams 频道消息(标准和共享)
- Viva Engage社区消息
名称
显示名称
说明
电子邮件地址
别名
Exchange 自定义特性: CustomAttribute1 - CustomAttribute15

* 目前,自适应范围不支持 共享通道 SharePoint 网站

注意

对于通信合规性策略:

  • 不支持 SharePoint 网站和 OneDrive 帐户。
  • 支持排除的用户和Microsoft 365 个组。

网站的属性名称基于 SharePoint 网站托管属性。 有关自定义属性的信息,请参阅 使用自定义 SharePoint 网站属性通过自适应策略作用域应用 Microsoft 365 保留

用户和组的属性名称基于映射到Microsoft Entra属性的可筛选收件人属性。 例如:

  • 别名映射到在Microsoft Entra 管理中心显示为Email的 LDAP 名称 mailNickname
  • Email地址映射到在Microsoft Entra 管理中心中显示为代理地址的 LDAP 名称 proxyAddresses

配置自适应作用域时,可以通过使用简单查询生成器轻松指定表中列出的属性。 高级查询生成器将支持其他属性,如下一节所述。

如何配置自适应范围

在配置自适应作用域之前,根据上节确定要创建的作用域类型以及将使用的特性和值。 可能需要与其他管理员协作来确认此信息。

需要将正确的角色组分配给管理员,以创建自适应范围。 允许具有 范围管理器 角色的任何角色组创建自适应范围。 作用域管理器角色包含在以下内置角色组中

  • 合规管理员
  • 合规数据管理员
  • 组织管理
  • 记录管理
  • 通信合规性
  • 通信合规性管理员

特别是对于 SharePoint 网站,如果计划使用 自定义网站属性,则可能需要其他 SharePoint 配置。

若要创建和配置自适应范围,可以使用 Microsoft Purview 门户Microsoft Purview 合规门户

  1. 根据所使用的门户,导航到以下位置之一:

  2. 选择 “自适应范围”,然后选择“ + 创建范围”。

  3. 按照配置中的提示进行操作,系统首先会要求你分配管理单元。 如果帐户已 分配管理单元,则必须选择一个将限制范围成员身份的管理单元。

    注意

    由于管理单元尚不支持 SharePoint 网站,因此如果选择管理单元,则无法为 SharePoint 网站创建自适应范围。

    如果不想使用管理单元来限制自适应范围,或者组织尚未配置管理单元,请保留默认的 “完整目录”。

  4. 选择范围类型,然后选择要用于生成动态成员身份的属性或属性,并键入属性或属性值。

    例如,要配置将用于识别欧洲用户的自适应作用域,请先将 用户 选为作用域类型,然后选择 国家或地区 特性并键入 欧洲:

    自适应作用域配置示例。

    每天一次,此查询将针对Microsoft Entra ID运行,并标识在其帐户中为“国家或地区”属性指定的“欧洲”值的所有用户。

    重要

    由于查询不会立即运行,因此无法验证键入的值是否正确。

    选择 添加特性 (对于用户和组)或 添加属性 (对于网站),从而使用其作用域类型受支持的特性或属性的任意组合以及逻辑运算符以生成查询。 受支持的运算符为 等于不等于 开头以及 不以开头,可以对选定特性或属性进行分组。 例如:

    具有特性分组的自适应作用域配置示例。

    或者,可以选择 高级查询生成器 以指定自己的查询:

    • 对于 用户Microsoft 365 组 作用域,请使用 OPATH 筛选语法。 例如,若要创建按部门、国家/地区和州定义其成员身份的用户范围::

      具有高级查询的自适应作用域示例。

      使用高级查询生成器的其中一个优势是查询运算符的选择范围更广:

      • eq (等于)
      • ne (不等于)
      • lt (小于)
      • gt (大于)
      • like (字符串比较)
      • notlike (字符串比较)
    • 对于 SharePoint 网站 作用域,请使用关键字查询语言(KQL)。 你可能已经熟悉使用已编制索引的网站属性通过 KQL 通过搜索 SharePoint。 为了帮助你指定这些 KQL 查询,请参阅 关键字查询语言(KQL)语法参考

      例如,由于 SharePoint 网站范围自动包括所有 SharePoint 网站类型(包括Microsoft 365 组连接和 OneDrive 网站),因此可以使用索引网站属性 SiteTemplate 包含或排除特定网站类型。 可以指定的模板:

      • 新式通信网站的 SITEPAGEPUBLISHING
      • Microsoft 365 组连接站点的 GROUP
      • Microsoft Teams 私人频道网站的 TEAMCHANNEL
      • 经典 SharePoint 团队网站的 STS
      • OneDrive 网站的 SPSPERS

      因此,若要创建仅包含新式通信网站的的自适应作用域,并排除 Microsoft 365 组连接和 OneDrive 的网站,请指定以下 KQL 查询:

      SiteTemplate=SITEPAGEPUBLISHING
      

      可以独立于作用域配置 验证这些高级查询

      提示

      如果要排除非活动邮箱,则必须使用高级查询生成器。 或者相反,可以仅面向非活动邮箱。 对于此配置,请使用 OPATH 属性 IsInactiveMailbox

      • 若要排除非活动邮箱,请确保查询包括: (IsInactiveMailbox -eq "False")
      • 若要仅面向非活动邮箱,请指定: (IsInactiveMailbox -eq "True")
  5. 根据需要创建尽可能多的自适应作用域。 创建策略时,可以选择一个或多个自适应范围。

注意

查询可能需要长达五天的时间才可完全填充,且不会立即进行更改。 在将新创建的范围添加到策略之前,请等待几天来考虑此延迟。

要确认自适应作用域的当前成员资格和成员资格更改:

  1. 双击(或选择并按 Enter) 自适应作用域 页面上的作用域

  2. 详细信息 飞出窗格中,选择 作用域详细信息

    查看识别当前作用域内的所有用户、网站或组(如果其已自动添加或删除)的信息以及该成员资格更改的日期和时间。

提示

对于数据生命周期管理和记录管理解决方案,请使用策略查找选项来帮助你识别当前分配给特定用户、站点和Microsoft 365 组的解决方案策略。

验证高级查询

可以使用 PowerShell 和 SharePoint 搜索手动验证高级查询:

  • 将 PowerShell 用于 用户Microsoft 365 组 作用域类型
  • 将 SharePoint 搜索用于 SharePoint 网站 作用域类型

要使用 PowerShell 运行查询:

  1. 使用具有 相应 Exchange Online 管理员权限 的账户 连接到 Exchange Online PowerShell

  2. 使用带有 -Filter 参数的 Get-RecipientGet-MailboxGet-User 和你的 OPATH 查询,适应范围用大括号 ({,}) 括起来。 如果属性值为字符串,则使用双引号或单引号将这些值括起来。

    可以通过标识为查询选择的 OPATH 属性 所支持的 cmdlet 来确定是使用 Get-Mailbox、Get-Recipient 还是 Get-User 进行验证。

    重要

    Get-Mailbox 不支持 MailUser 收件人类型,因此必须使用 Get-Recipient 或 Get-User 来验证在混合环境中包含本地邮箱的查询。

    若要验证 用户 范围,请使用相应的命令:

    • Get-Mailbox 使用 -RecipientTypeDetails UserMailbox,SharedMailbox,RoomMailbox,EquipmentMailbox
    • Get-Recipient 使用 -RecipientTypeDetails UserMailbox,MailUser,SharedMailbox,RoomMailbox,EquipmentMailbox

    要验证 Microsoft 365 组 范围,请使用:

    • Get-Mailbox 使用 -GroupMailboxGet-Recipient 使用 -RecipientTypeDetails GroupMailbox

    例如,若要验证与设置为 Marketing 值的 Department 属性相关的用户范围,可以使用:

    Get-Recipient -RecipientTypeDetails UserMailbox,MailUser -Filter {Department -eq "Marketing"} -ResultSize Unlimited
    

    若要验证与 EmailAddresses 属性相关的用户范围,通常需要值以包含 smtp: 前缀。 例如 ,排除 EmailAddresses 包含 admin@contoso.com的用户:

    Get-Mailbox -RecipientTypeDetails UserMailbox -Filter {EmailAddresses -notlike "smtp:admin@contoso.com"} -ResultSize Unlimited
    

    若要验证与组的 CustomAttribute15 属性设置为 Marketing 作为值的Microsoft 365 组范围,可以使用:

    Get-Mailbox -RecipientTypeDetails GroupMailbox -Filter {CustomAttribute15 -eq "Marketing"} -ResultSize Unlimited
    

    提示

    使用这些命令验证用户范围时,如果返回的收件人数高于预期,可能是因为它包括没有自适应作用域的有效许可证用户。 这些用户不会应用策略设置。

    例如,在混合环境中,你可能有未经许可的同步用户账户,但在本地或在 Exchange Online 中没有 Exchange 邮箱。 可以通过运行以下命令来标识这些用户: Get-User -RecipientTypeDetails User

  3. 验证输出是否与自适应作用域的预期用户或组匹配。 否则,请向 Microsoft Entra ID 或 Exchange 的相关管理员检查查询和值。

    提示

    这些命令的输出可能与“自适应作用域”页上的范围详细信息中同一筛选器的成员列表不匹配。 范围详细信息中的成员列表显示作用域中的仲裁邮箱,而命令输出则不显示。 此外,自适应范围查询更改最长可能需要 5 天才能生效,并反映在“自适应范围”页的范围详细信息视图中。

要使用 SharePoint 搜索运行查询:

  1. 使用具有 SharePoint 管理员角色的帐户,转到 https://<your_tenant>.sharepoint.com/search
  2. 使用搜索栏指定 KQL 查询。
  3. 验证搜索结果是否与自适应作用域的预期网站 URL 匹配。 如果不匹配,请与 SharePoint 的相关管理员共同检查查询和 URL。