Adaptivní obory

  • Článek

Když vytvoříte zásadu dodržování předpisů komunikace nebo zásadu pro uchovávání informací, můžete pro zásadu vytvořit nebo přidat adaptivní rozsah. Jedna zásada může mít jeden nebo více adaptivních oborů.

  • Adaptivní obor používá dotaz, který zadáte, takže můžete definovat členství uživatelů nebo skupin zahrnutých v daném dotazu. Tyto dynamické dotazy se spouštějí každý den pro atributy nebo vlastnosti, které zadáte pro vybraný obor. S jednou zásadou můžete použít jeden nebo více adaptivních oborů.
  • Můžete například uživatelům přiřadit různá nastavení zásad podle jejich oddělení pomocí existujících atributů Azure AD bez administrativní režie související s vytvářením a údržbou skupin pro tento účel.

Výhody používání adaptivních oborů

Mezi výhody použití adaptivních oborů patří:

  • Počet položek na zásadu není nijak omezen. I když adaptivní zásady stále podléhají maximálnímu počtu omezení zásad na tenanta, flexibilnější konfigurace pravděpodobně povede k mnohem menšímu počtu zásad.
  • Výkonné cílení na požadavky zásad. Můžete například vytvořit adaptivní obor pro definování vlastní distribuční skupiny pro konkrétní zásady.
  • Obory založené na dotazech poskytují odolnost proti obchodním změnám, které se nemusí spolehlivě projevit ve členství ve skupinách nebo externích procesech závislých na komunikaci mezi odděleními.
  • Jedna zásada může zahrnovat umístění pro Microsoft Teams i Yammer, zatímco pokud nepoužíváte adaptivní rozsah, každé umístění vyžaduje vlastní zásady.
  • Podpora Azure AD jednotek pro správu

Konkrétní výhody používání adaptivních oborů specifických pro zásady uchovávání informací najdete v tématu Informace o zásadách uchovávání informací a popiscích uchovávání informací.

Informace o konfiguraci najdete v tématu Konfigurace adaptivních oborů.

Maximální hodnoty pro rozsahy adaptivních zásad

Počet rozsahů adaptivních zásad, které můžete přidat do zásad, není nijak omezený, ale existují určitá maximální omezení pro dotaz, který definuje jednotlivé adaptivní obory:

  • Délka řetězce pro hodnoty atributu nebo vlastnosti: 200
  • Počet atributů nebo vlastností bez skupiny nebo v rámci skupiny: 10
  • Počet skupin: 10
  • Počet znaků v rozšířeném dotazu: 10 000
  • Seskupování atributů nebo vlastností v rámci skupiny se nepodporuje. To znamená, že maximální počet vlastností nebo atributů podporovaných v rámci jednoho adaptivního oboru je 100.

Konfigurace adaptivních oborů

Když se rozhodnete použít adaptivní obory, zobrazí se výzva k výběru požadovaného typu adaptivního oboru. Existují tři různé typy adaptivních oborů a každý z nich podporuje různé atributy nebo vlastnosti:

Typ adaptivního oboru Podporované atributy nebo vlastnosti zahrnují
Uživatelé – platí pro:
- Poštovní schránky Exchange
– Účty OneDrivu
– Chaty v Teams
– Zprávy soukromého kanálu Teams
– Uživatelské zprávy Yammeru		 Jméno
Příjmení:   
Zobrazovaný název
Pracovní pozice
Department
Office
Ulice:   
Město
Stát nebo kraj
Psč
Země nebo oblast
Email adresy
Alias
Vlastní atributy exchange: CustomAttribute1 – CustomAttribute15
Sharepointové weby – platí pro:
– SharePointové weby *
– Účty OneDrivu		 Adresa URL webu
Název webu
Vlastní vlastnosti SharePointu: RefinableString00 – RefinableString99
Skupiny Microsoft 365 – platí pro:
– Weby skupinových poštovních & schránek Microsoftu 365
– Zprávy kanálu Teams (standardní a sdílené)
– Zprávy komunity Yammeru
 Name (Název)
Zobrazovaný název
Popis
Email adresy
Alias
Vlastní atributy exchange: CustomAttribute1 – CustomAttribute15

* Weby SharePointu se sdíleným kanálem v současné době nepodporují pro adaptivní obory.

Poznámka

Zásady dodržování předpisů pro komunikaci:

  • Weby SharePointu a účty OneDrivu se nepodporují.
  • Podporují se vyloučení uživatelé a skupiny Microsoftu 365.

Názvy vlastností pro weby jsou založené na vlastnostech spravovaných sharepointovými weby. Informace o vlastních atributech najdete v tématu Použití vlastních vlastností webu Služby SharePoint k použití uchovávání informací v Microsoftu 365 s obory adaptivních zásad.

Názvy atributů pro uživatele a skupiny jsou založené na filtrovatelných vlastnostech příjemců, které se mapují na atributy Azure AD. Příklady:

  • Alias se mapuje na název ldap mailNickname, který se v Centru pro správu Azure AD zobrazuje jako Email.
  • Email adresy se mapuje na název ldap proxyAddresses, který se v Centru pro správu Azure AD zobrazuje jako adresa proxy serveru.

Atributy a vlastnosti uvedené v tabulce je možné snadno určit při konfiguraci adaptivního oboru pomocí jednoduchého tvůrce dotazů. Pokročilé tvůrce dotazů podporuje další atributy a vlastnosti, jak je popsáno v následující části.

Konfigurace adaptivního rozsahu

Před konfigurací adaptivního oboru použijte předchozí část k určení typu oboru, který se má vytvořit a jaké atributy a hodnoty použijete. Možná budete muset tyto informace potvrdit ve spolupráci s jinými správci.

Abyste mohli vytvořit adaptivní obor, budete muset správcům přiřadit správné skupiny rolí. Jakákoli skupina rolí s rolí Správce oborů může vytvářet adaptivní obory. Role Správce oboru je součástí následujících předdefinovaných skupin rolí:

  • Správce dodržování předpisů
  • Správce dat dodržování předpisů
  • Manažer eDiscovery
  • Správa organizace
  • Správa záznamů
  • Dodržování předpisů pro komunikaci
  • Správci dodržování předpisů pro komunikaci

Konkrétně pro sharepointové weby může být potřeba další konfigurace SharePointu, pokud plánujete používat vlastní vlastnosti webu.

  1. Přihlaste se k Portál dodržování předpisů Microsoft Purview pomocí přihlašovacích údajů pro účet správce ve vaší organizaci Microsoft 365.

  2. Na portálu pro dodržování předpisů vyberte Role a obory.

  3. Vyberte Adaptivní obory a pak + Vytvořit obor.

  4. Postupujte podle pokynů v konfiguraci, kde se nejprve zobrazí výzva k přiřazení jednotky pro správu. Pokud má váš účet přiřazené jednotky pro správu, musíte vybrat jednu jednotku pro správu, která omezí členství v oboru.

    Poznámka

    Vzhledem k tomu, že jednotky pro správu zatím nepodporují sharepointové weby, nebudete moct vytvořit adaptivní rozsah pro sharepointové weby, pokud vyberete jednotky pro správu.

    Pokud nechcete adaptivní obor omezit pomocí jednotek pro správu nebo pokud vaše organizace nenakonfigurovala jednotky pro správu, ponechte výchozí hodnotu Úplný adresář.

  5. Vyberte typ oboru a pak vyberte atributy nebo vlastnosti, které chcete použít k vytvoření dynamického členství, a zadejte hodnoty atributu nebo vlastnosti.

    Pokud například chcete nakonfigurovat adaptivní obor, který se použije k identifikaci uživatelů v Evropě, vyberte nejprve jako typ oboru možnost Uživatelé a pak vyberte atribut Země nebo oblast a zadejte text Evropa:

    Příklad konfigurace adaptivního oboru

    Jednou denně se tento dotaz spustí pro Azure AD a identifikuje všechny uživatele, kteří mají hodnotu Evropa zadanou ve svém účtu pro atribut Země nebo oblast.

    Důležité

    Vzhledem k tomu, že se dotaz nespustí okamžitě, nedochází k ověření, že jste do hodnoty zadali správně.

    Vyberte Přidat atribut (pro uživatele a skupiny) nebo Přidat vlastnost (pro weby), pokud chcete použít libovolnou kombinaci atributů nebo vlastností podporovaných pro jejich typ oboru, společně s logickými operátory k vytváření dotazů. Podporované operátory se rovnají, nerovnají se, začínají na a ne na a můžete seskupit vybrané atributy nebo vlastnosti. Příklady:

    Příklad konfigurace adaptivního oboru se seskupeními atributů

    Případně můžete vybrat Rozšířený tvůrce dotazů a zadat vlastní dotazy:

    • Pro obory uživatelů a skupin Microsoftu 365 použijte syntaxi filtrování OPATH. Pokud chcete například vytvořit obor uživatele, který definuje jeho členství podle oddělení, země a státu:

      Příklad adaptivního rozsahu s pokročilým dotazem

      Jednou z výhod použití pokročilého tvůrce dotazů pro tyto obory je širší výběr operátorů dotazů:

      • a
      • Nebo
      • Ne
      • eq (rovná se)
      • ne (ne rovná se)
      • lt (menší než)
      • gt (větší než)
      • like (porovnání řetězců)
      • notlike (porovnání řetězců)

    • Pro obory webů SharePointu použijte dotazovací jazyk KQL (Keyword Query Language). Možná už víte, jak používat KQL k vyhledávání v SharePointu pomocí vlastností indexovaného webu. Pokud chcete tyto dotazy KQL zadat, přečtěte si článek Referenční informace k syntaxi KQL (Keyword Query Language).

      Protože například obory sharepointového webu automaticky zahrnují všechny typy sharepointových webů, mezi které patří weby připojené ke skupině Microsoftu 365 a OneDrive, můžete použít vlastnost indexovaného webu SiteTemplate k zahrnutí nebo vyloučení konkrétních typů webů. Šablony, které můžete zadat:

      • SITEPAGEPUBLISHING pro moderní komunikační weby
      • GROUP pro weby Microsoft 365 připojené ke skupině
      • TEAMCHANNEL pro weby privátních kanálů Microsoft Teams
      • STS pro klasický týmový web SharePointu
      • SPSPERS pro weby OneDrivu

      Pokud tedy chcete vytvořit adaptivní rozsah, který zahrnuje pouze moderní komunikační weby a nezahrnuje weby Připojené k Microsoftu 365 s goupem a OneDrive, zadejte následující dotaz KQL:

      SiteTemplate=SITEPAGEPUBLISHING

    Tyto pokročilé dotazy můžete ověřit nezávisle na konfiguraci oboru.

    Tip

    Pokud chcete vyloučit neaktivní poštovní schránky, musíte použít pokročilého tvůrce dotazů. Nebo naopak cílit jen na neaktivní poštovní schránky. Pro tuto konfiguraci použijte vlastnost OPATH IsInactiveMailbox:

    • Pokud chcete vyloučit neaktivní poštovní schránky, ujistěte se, že dotaz obsahuje: (IsInactiveMailbox -eq "False")
    • Pokud chcete cílit jenom na neaktivní poštovní schránky, zadejte: (IsInactiveMailbox -eq "True")

  6. Vytvořte libovolný počet adaptivních oborů, kolik potřebujete. Při vytváření zásad můžete vybrat jeden nebo více adaptivních oborů.

Poznámka

Úplné naplnění dotazů může trvat až pět dní a změny nebudou okamžité. Toto zpoždění zohládejte tím, že několik dní počkáte, než do zásady přidáte nově vytvořený obor.

Potvrzení aktuálního členství a změn členství pro adaptivní rozsah:

  1. Poklikejte (nebo vyberte a stiskněte Enter) obor na stránce Adaptivní obory .

  2. V podokně Podrobnosti informačního rámečku vyberte Podrobnosti oboru.

    Zkontrolujte informace, které identifikují všechny uživatele, weby nebo skupiny aktuálně v oboru, jestli byly automaticky přidány nebo odebrány, a datum a čas změny tohoto členství.

Tip

Možnost vyhledávání zásad vám pomůže identifikovat zásady, které jsou aktuálně přiřazené konkrétním uživatelům, webům a skupinám Microsoftu 365.

Ověření pokročilých dotazů

Rozšířené dotazy můžete ručně ověřit pomocí powershellového a sharepointového vyhledávání:

  • Použití PowerShellu pro oborové typy Uživatelé a Skupiny Microsoft 365
  • Použití sharepointového vyhledávání pro obor typu Weby SharePointu

Spuštění dotazu pomocí PowerShellu:

  1. Připojte se k Exchange Online PowerShellu pomocí účtu s příslušnými oprávněními správce Exchange Online.

  2. Použijte příkaz Get-Recipient, Get-Mailbox nebo Get-User s parametrem -Filter a dotaz OPATH pro adaptivní obor uzavřený ve složených závorkách ({,}). Pokud jsou hodnoty atributů řetězce, uzavřete je do dvojitých nebo jednoduchých uvozovek.

    Pokud chcete určit, jestli chcete k ověření použít rutinu Get-Mailbox, Get-Recipient nebo Get-User, zjistíte, kterou rutinu podporuje vlastnost OPATH , kterou pro dotaz zvolíte.

    Důležité

    Get-Mailbox nepodporuje typ příjemce MailUser , takže Get-Recipient nebo Get-User se musí použít k ověření dotazů, které obsahují místní poštovní schránky v hybridním prostředí.

    K ověření oboru uživatele použijte příslušný příkaz:

    • Get-Mailbox with -RecipientTypeDetails UserMailbox,SharedMailbox,RoomMailbox,EquipmentMailbox
    • Get-Recipient with -RecipientTypeDetails UserMailbox,MailUser,SharedMailbox,RoomMailbox,EquipmentMailbox

    Pokud chcete ověřit rozsah skupiny Microsoftu 365 , použijte:

    • Get-Mailbox pomocí -GroupMailbox nebo Get-Recipient-RecipientTypeDetails GroupMailbox

    Například k ověření oboru uživatele můžete použít:

    Get-Recipient -RecipientTypeDetails UserMailbox,MailUser -Filter {Department -eq "Marketing"} -ResultSize Unlimited

    K ověření rozsahu skupiny Microsoftu 365 můžete použít:

    Get-Mailbox -RecipientTypeDetails GroupMailbox -Filter {CustomAttribute15 -eq "Marketing"} -ResultSize Unlimited

    Tip

    Pokud tyto příkazy použijete k ověření oboru uživatele a počet vrácených příjemců je vyšší, než se čekalo, může to být proto, že zahrnuje uživatele, kteří nemají platnou licenci pro adaptivní obory. U těchto uživatelů se nastavení zásad nepoužije.

    Například v hybridním prostředí můžete mít nelicencované synchronizované uživatelské účty bez poštovní schránky Exchange v místním prostředí nebo v Exchange Online. Tyto uživatele můžete identifikovat spuštěním následujícího příkazu: Get-User -RecipientTypeDetails User

  3. Ověřte, že výstup odpovídá očekávaným uživatelům nebo skupinám pro váš adaptivní rozsah. Pokud ne, zkontrolujte dotaz a hodnoty u příslušného správce pro Azure AD nebo Exchange.

Spuštění dotazu pomocí vyhledávání na SharePointu:

  1. Pomocí účtu globálního správce nebo účtu, který má roli správce SharePointu, přejděte na https://<your_tenant>.sharepoint.com/search.
  2. Pomocí panelu hledání zadejte dotaz KQL.
  3. Ověřte, že výsledky hledání odpovídají očekávaným adresám URL webu pro váš adaptivní rozsah. Pokud ne, zkontrolujte dotaz a adresy URL u příslušného správce SharePointu.