Ámbitos de adaptación
Guía de licencias de Microsoft 365 para la seguridad y el cumplimiento.
Al crear una directiva de cumplimiento de comunicaciones o una directiva de retención, puede crear o agregar un ámbito adaptable para la directiva. Una sola directiva puede tener uno o varios ámbitos adaptables.
- Un ámbito adaptable usa una consulta que especifique, por lo que puede definir la pertenencia de usuarios o grupos incluidos en esa consulta. Estas consultas dinámicas se ejecutan diariamente en los atributos o propiedades que especifique para el ámbito seleccionado. Puede usar uno o varios ámbitos adaptables con una sola directiva.
- Por ejemplo, puede asignar diferentes configuraciones de directiva a los usuarios según su departamento mediante el uso de atributos de Microsoft Entra existentes sin la sobrecarga administrativa de crear y mantener grupos para este fin.
Ventajas del uso de ámbitos adaptables
Las ventajas de usar ámbitos adaptables incluyen:
- No hay límites en el número de elementos por directiva. Aunque las directivas adaptables siguen estando sujetas a las limitaciones de número máximo de directivas por inquilino, la configuración más flexible probablemente dará como resultado muchas menos directivas.
- Segmentación más eficaz para las directivas. Por ejemplo, puede asignar diferentes configuraciones a los usuarios según su ubicación geográfica sin la sobrecarga administrativa de crear y mantener grupos.
- Los ámbitos basados en consultas proporcionan resistencia frente a los cambios empresariales que podrían no reflejarse de forma confiable en la pertenencia a grupos o en procesos externos que se basan en la comunicación entre departamentos.
- Una sola directiva puede incluir ubicaciones para Microsoft Teams y Viva Engage, mientras que cuando no se usa un ámbito adaptable, cada ubicación requiere su propia directiva.
- Compatibilidad con Microsoft Entra unidades administrativas.
Para obtener ventajas específicas del uso de ámbitos adaptables específicos de las directivas de retención, consulte Información sobre las directivas de retención y las etiquetas de retención.
Para obtener información de configuración, vea Configurar ámbitos adaptables.
Cómo funcionan los ámbitos adaptables con Microsoft Entra unidades administrativas
Mientras que los ámbitos adaptables se crean y configuran en Microsoft Purview para admitir el destino dinámico de las directivas de cumplimiento, las unidades administrativas se crean y configuran en Microsoft Entra ID. Proporcionan la capacidad de asignar administradores a una o varias unidades administrativas, con el resultado de que estos administradores ahora restringidos solo pueden administrar a los usuarios de sus unidades administrativas asignadas. Esta configuración admite el procedimiento recomendado de seguridad de privilegios mínimos. Normalmente, las unidades administrativas se diseñan en torno a determinadas divisiones geográficas, de departamento o de negocio.
Este límite de administración fluye a Microsoft Purview en busca de soluciones admitidas para garantizar que los administradores restringidos puedan administrar solo los usuarios a los que se les ha asignado la administración.
Como ejemplo para mostrar cómo se integran las unidades administrativas con ámbitos adaptables, donde un administrador de cumplimiento restringido quiere crear un ámbito de usuario adaptable solo para los usuarios de Francia:
- A un administrador de cumplimiento se le asignan dos unidades administrativas: Todos los usuarios de Europa y Todos los usuarios de Norteamérica. Cuando crean un ámbito adaptable, pueden seleccionar y asignar solo estas unidades administrativas. No pueden crear un ámbito adaptable para administrar usuarios desde otras unidades administrativas.
- Crean un nuevo ámbito adaptable para los usuarios y seleccionan la unidad administrativa Todos los usuarios de Europa. A continuación, dado que quieren que el ámbito adaptable sea solo para los usuarios de Francia, usan el atributo Microsoft Entra ID Country o region para especificar Francia (CountryOrRegion = Francia). Si mal configuran este atributo y especifican un valor válido en Microsoft Entra ID, como India, pero los usuarios con ese valor no se incluyen en la unidad administrativa Todos los usuarios de Europa, el ámbito no contendrá ningún usuario.
- Cuando solo se selecciona este ámbito adaptable para una directiva destinada a todos los usuarios, la directiva se aplica solo a los usuarios de Francia.
- Como elemento de configuración reutilizable, se puede usar el mismo ámbito adaptable para otras directivas de cumplimiento.
Si el administrador de cumplimiento hubiera agregado ambas unidades administrativas a este ámbito adaptable, el resultado final seguiría siendo el mismo porque los usuarios del ámbito administrativo Norteamérica no tienen Francia especificada como su país o atributo de región. Sin embargo, el administrador de cumplimiento sabía que necesitaba dirigirse solo a los usuarios de Francia, por lo que es más eficaz ejecutar la consulta solo en la unidad administrativa de Europa. Si cambian los requisitos, siempre puede agregar o quitar unidades administrativas de un ámbito adaptable existente.
Valores máximos para ámbitos de directivas adaptables
No hay ningún límite en el número de ámbitos de directiva adaptable que puede agregar a una directiva, pero hay algunos límites máximos para la consulta que define cada ámbito adaptable:
- Longitud de cadena para valores de atributo o propiedad: 200
- Número de atributos o propiedades sin grupo o dentro de un grupo: 10
- Número de grupos: 10
- Número de caracteres en una consulta avanzada: 10 000
- No se admite la agrupación de atributos o propiedades dentro de un grupo. Por tanto, el número máximo de propiedades o atributos que se admiten en un único ámbito adaptable es 100.
Configuración de ámbitos adaptables
Si elige usar ámbitos adaptables, se le pedirá que seleccione qué tipo de ámbito adaptable desea. Hay tres tipos diferentes de ámbitos adaptables y cada uno admite diferentes atributos o propiedades:
Tipo de ámbito adaptable | Entre los atributos o propiedades admitidos se incluyen |
---|---|
Usuarios. Se aplica a: - Buzones de Exchange - Cuentas de OneDrive - Chats de Teams e interacciones de Copilot - Mensajes de canales privados de Teams - Viva Engage mensajes de usuario |
Nombre Apellidos Nombre para mostrar Puesto en la organización Departamento Oficina Dirección Ciudad Estado o provincia Código postal País o región Direcciones de correo Alias Atributos personalizados de Exchange: CustomAttribute1 - CustomAttribute15 |
Sitios de SharePoint. Se aplica a: - Sitios de SharePoint * - Cuentas de OneDrive |
Dirección URL del sitio Nombre del sitio Propiedades personalizadas (solo SharePoint): RefinableString00 - RefinableString99 |
Grupos de Microsoft 365. Se aplica a: - Buzones de microsoft 365 group & sitios - Mensajes de canal de Teams (estándar y compartidos) - Viva Engage mensajes de la comunidad |
Nombre Nombre para mostrar Descripción Direcciones de correo Alias Atributos personalizados de Exchange: CustomAttribute1 - CustomAttribute15 |
* Actualmente, los sitios de SharePoint de canal compartido no se admiten para ámbitos adaptables.
Nota:
Para las directivas de cumplimiento de comunicaciones:
- No se admiten sitios de SharePoint ni cuentas de OneDrive.
- Se admiten usuarios excluidos y grupos de Microsoft 365.
Los nombres de propiedad de los sitios se basan en las propiedades administradas del sitio de SharePoint. Para obtener información sobre los atributos personalizados, vea Usar propiedades personalizadas del sitio de SharePoint para aplicar la retención de Microsoft 365 con ámbitos de directiva adaptables.
Los nombres de atributo para usuarios y grupos se basan en propiedades de destinatario filtrables que se asignan a atributos Microsoft Entra. Por ejemplo:
- Alias se asigna al nombre LDAP mailNickname que se muestra como Email en el Centro de administración Microsoft Entra.
- Email direcciones se asigna al nombre LDAP proxyAddresses que se muestra como dirección proxy en el Centro de administración Microsoft Entra.
Los atributos y propiedades enumerados en la tabla se pueden especificar fácilmente al configurar un ámbito adaptable mediante el generador de consultas simple. Los atributos y propiedades adicionales se admiten con el generador de consultas avanzado, como se describe en la sección siguiente.
Configuración de un ámbito adaptable
Antes de configurar el ámbito adaptable, use la sección anterior para identificar qué tipo de ámbito crear y qué atributos y valores usará. Es posible que tenga que trabajar con otros administradores para confirmar esta información.
Tendrá que asignar los grupos de roles correctos a los administradores para crear un ámbito adaptable. Cualquier grupo de roles con el rol Administrador de ámbitos puede crear un ámbito adaptable. El rol Administrador de ámbito se incluye en los siguientes grupos de roles integrados:
- Administrador de cumplimiento
- Administrador de datos de cumplimiento
- Administración de la organización
- Records Management
- Cumplimiento de la comunicación
- Administradores de cumplimiento de comunicaciones
Específicamente para los sitios de SharePoint, es posible que se necesite una configuración adicional de SharePoint si planea usar propiedades de sitio personalizadas.
Para crear y configurar ámbitos adaptables, puede usar el portal de Microsoft Purview o el portal de cumplimiento Microsoft Purview.
En función del portal que use, vaya a una de las siguientes ubicaciones:
Inicio de sesión en el portal> de Microsoft PurviewConfiguración de la tarjeta >Roles y ámbitos Ámbitos>adaptables.
Si no se muestra la tarjeta Configuración de la solución, seleccione Ver todas las soluciones y, a continuación, seleccione Configuración en la sección Núcleo .
Inicie sesión en losámbitos adaptables portal de cumplimiento Microsoft Purview>Roles y scopes>.
Seleccione Ámbitos adaptables y, a continuación, + Create ámbito.
Siga las indicaciones de la configuración en la que primero se le pedirá que asigne una unidad administrativa. Si a la cuenta se le han asignado unidades administrativas, debe seleccionar una unidad administrativa que restrinja la pertenencia al ámbito.
Nota:
Dado que las unidades administrativas aún no admiten sitios de SharePoint, no podrá crear un ámbito adaptable para los sitios de SharePoint si selecciona unidades administrativas.
Si no desea restringir el ámbito adaptable mediante unidades administrativas o si su organización no ha configurado unidades administrativas, mantenga el valor predeterminado De directorio completo.
Seleccione el tipo de ámbito y, a continuación, seleccione los atributos o propiedades que desea usar para compilar la pertenencia dinámica y escriba los valores de atributo o propiedad.
Por ejemplo, para configurar un ámbito adaptable que se usará para identificar usuarios en Europa, primero seleccione Usuarios como tipo de ámbito y, a continuación, seleccione el atributo País o región y escriba Europa:
Una vez al día, esta consulta se ejecutará en Microsoft Entra ID e identificará a todos los usuarios que tengan el valor europa especificado para en su cuenta para el atributo Country o region.
Importante
Dado que la consulta no se ejecuta inmediatamente, no hay ninguna comprobación de que se haya especificado correctamente el valor.
Seleccione Agregar atributo (para usuarios y grupos) o Agregar propiedad (para sitios) para usar cualquier combinación de atributos o propiedades que sean compatibles con el tipo de ámbito, junto con operadores lógicos para crear consultas. Los operadores admitidos son es igual a, no es igual a, comienza por y no comienza por, y puede agrupar atributos o propiedades seleccionados. Por ejemplo:
Como alternativa, puede seleccionar Generador de consultas avanzadas para especificar sus propias consultas:
Para los ámbitos de Usuario y Grupos de Microsoft 365, use la Sintaxis de filtrado OPATH. Por ejemplo, para crear un ámbito de usuario que defina su pertenencia por departamento, país o región y estado:
Una de las ventajas de usar el generador de consultas avanzado para estos ámbitos es tener una opción más amplia de operadores de consulta:
- y
- o
- no
- eq (igual a)
- ne (no es igual a)
- lt (menor que)
- gt(mayor que)
- like (comparación de cadenas)
- notlike (comparación de cadenas)
Para ámbitos de sitios de SharePoint, use Lenguaje de consulta de palabras clave (KQL). Es posible que ya esté familiarizado con el uso de KQL para búsquedas en SharePoint mediante propiedades de sitio indexadas. Para ayudarle a especificar estas consultas KQL, vea Referencia de sintaxis del lenguaje de consulta de palabras clave (KQL).
Por ejemplo, dado que los ámbitos de sitio de SharePoint incluyen automáticamente todos los tipos de sitio de SharePoint, que incluyen sitios conectados a grupos de Microsoft 365 y OneDrive, puede usar la propiedad de sitio indexada SiteTemplate para incluir o excluir tipos de sitio específicos. Las plantillas que puede especificar:
SITEPAGEPUBLISHING
para sitios de comunicación modernosGROUP
para sitios conectados a grupos de Microsoft 365TEAMCHANNEL
para sitios de canal privado de Microsoft TeamsSTS
para un sitio de grupo clásico de SharePointSPSPERS
para sitios de OneDrive
Por lo tanto, para crear un ámbito adaptable que incluya solo sitios de comunicación modernos y excluya sitios de OneDrive y conectados a grupos de Microsoft 365, especifique la siguiente consulta de KQL:
SiteTemplate=SITEPAGEPUBLISHING
Puede validar estas consultas avanzadas independientemente de la configuración del ámbito.
Sugerencia
Debe usar el generador de consultas avanzado si desea excluir buzones de correo inactivos. O, por el contrario, dirigirse solo a buzones de correo inactivos. Para esta configuración, use la propiedad OPATH IsInactiveMailbox:
- Para excluir buzones de correo inactivos, asegúrese de que la consulta incluye:
(IsInactiveMailbox -eq "False")
- Para dirigirse solo a buzones inactivos, especifique:
(IsInactiveMailbox -eq "True")
Cree tantos ámbitos adaptables como necesite. Puede seleccionar uno o varios ámbitos adaptables al crear la directiva.
Nota:
Las consultas pueden tardar hasta cinco días en rellenarse por completo y los cambios no serán inmediatos. Tenga en cuenta este retraso esperando unos días antes de agregar un ámbito recién creado a una directiva.
Para confirmar la pertenencia actual y los cambios de pertenencia para un ámbito adaptable:
Haga doble clic (o seleccione y presione Entrar) en el ámbito en la página Ámbitos adaptables
En el panel Detalles del control flotante, seleccione Detalles del ámbito.
Revise la información que identifica a todos los usuarios, sitios o grupos actualmente en el ámbito, si se agregaron o quitaron automáticamente y la fecha y hora del cambio de pertenencia.
Sugerencia
Use la opción de Búsqueda de directivas para ayudarle a identificar las directivas que están asignadas actualmente a usuarios, sitios y grupos de Microsoft 365 específicos.
Validación de consultas avanzadas
Puede validar manualmente las consultas avanzadas mediante PowerShell y la búsqueda de SharePoint:
- Use PowerShell para los tipos de ámbito Usuarios y Grupos de Microsoft 365
- Use la búsqueda de SharePoint para el tipo de ámbito sitios de SharePoint
Para ejecutar una consulta con PowerShell:
Conectarse a Exchange Online PowerShell usando una cuenta con permisos de administrador de Exchange Online adecuados
Use Get-Recipient, Get-Mailbox o Get-User con el parámetro -Filtro y la consulta OPATH para el ámbito adaptativo encerrado entre corchetes (
{
,}
). Si los valores de atributo son cadenas, escríbalos entre comillas dobles o simples.Puede determinar si desea usar Get-Mailbox, Get-Recipient o Get-User para la validación mediante la identificación del cmdlet que admite la propiedad OPATH que elija para su consulta.
Importante
Get-Mailbox no admite el tipo de destinatario MailUser, por lo que se debe usar Get-Recipient o Get-User para validar consultas que incluyan buzones locales en un entorno híbrido.
Para validar un ámbito Usuario, use el comando adecuado:
Get-Mailbox
con -RecipientTypeDetails UserMailbox,SharedMailbox,RoomMailbox,EquipmentMailboxGet-Recipient
con -RecipientTypeDetails UserMailbox,MailUser,SharedMailbox,RoomMailbox,EquipmentMailbox
Para validar un ámbito de grupo de Microsoft 365, use:
Get-Mailbox
con -GroupMailbox oGet-Recipient
con -RecipientTypeDetails GroupMailbox
Por ejemplo, para validar un ámbito de usuario, puede usar:
Get-Recipient -RecipientTypeDetails UserMailbox,MailUser -Filter {Department -eq "Marketing"} -ResultSize Unlimited
Para validar un grupo de Microsoft 365, puede usar:
Get-Mailbox -RecipientTypeDetails GroupMailbox -Filter {CustomAttribute15 -eq "Marketing"} -ResultSize Unlimited
Sugerencia
Cuando se usan estos comandos para validar un ámbito de usuario, si el número de destinatarios devuelto es mayor de lo esperado, puede deberse a que incluye usuarios que no tienen una licencia válida para ámbitos adaptables. Estos usuarios no tendrán aplicada la configuración de directiva.
Por ejemplo, en un entorno híbrido, es posible que tenga cuentas de usuario sincronizadas sin licencia sin un buzón de Exchange en el entorno local o en Exchange Online. Puede identificar a estos usuarios mediante la ejecución del siguiente comando:
Get-User -RecipientTypeDetails User
Compruebe que el resultado coincide con los usuarios o grupos previstos en el ámbito adaptable. Si no es así, compruebe la consulta y los valores con el administrador correspondiente para Microsoft Entra ID o Exchange.
Para ejecutar una consulta mediante la búsqueda de SharePoint:
- Con una cuenta de administrador global o una cuenta que tenga el rol de administrador de SharePoint, vaya a
https://<your_tenant>.sharepoint.com/search
. - Use la barra de búsqueda para especificar la consulta KQL.
- Compruebe que los resultados de la búsqueda coincidan con las direcciones URL de sitio previstas para el ámbito adaptable. Si no es así, compruebe la consulta y las direcciones URL con el administrador de SharePoint correspondiente.