Étendues adaptatives

Guide de sécurité et conformité pour les licences Microsoft 365.

Lorsque vous créez une stratégie de conformité des communications ou une stratégie de rétention, vous pouvez ajouter une étendue adaptative pour votre stratégie. Une stratégie unique peut avoir une ou plusieurs étendues adaptatives.

• Une étendue adaptative utilise une requête que vous spécifiez, ce qui vous permet de définir l’appartenance des utilisateurs ou des groupes inclus dans cette requête. Ces requêtes dynamiques s’exécutent quotidiennement sur les attributs ou les propriétés que vous spécifiez pour l’étendue sélectionnée. Vous pouvez utiliser une ou plusieurs étendues adaptatives avec une seule stratégie.
• Par exemple, vous pouvez attribuer différents paramètres de stratégie aux utilisateurs en fonction de leur service en utilisant des attributs Microsoft Entra existants sans la surcharge administrative liée à la création et à la gestion des groupes à cet effet.

Avantages de l’utilisation d’étendues adaptatives

Les avantages de l’utilisation d’étendues adaptatives sont les suivants :

• Aucune limite sur le nombre d’éléments par stratégie. Bien que les stratégies adaptatives soient toujours soumises au nombre maximal de stratégies par client, une configuration plus flexible entraîne probablement beaucoup moins de stratégies.
• Ciblage plus puissant pour vos stratégies. Par exemple, vous pouvez attribuer des paramètres différents aux utilisateurs en fonction de leur emplacement géographique sans la surcharge administrative liée à la création et à la gestion des groupes.
• Les étendues basées sur les requêtes fournissent une résilience contre les changements métier qui peuvent ne pas être reflétés de manière fiable dans l’appartenance à un groupe ou les processus externes qui s’appuient sur la communication entre services.
• Une stratégie unique peut inclure des emplacements pour Microsoft Teams et Viva Engage, alors que lorsque vous n’utilisez pas d’étendue adaptative, chaque emplacement nécessite sa propre stratégie.
• Prise en charge des unités administratives Microsoft Entra.

Pour connaître les avantages spécifiques de l’utilisation d’étendues adaptatives spécifiques aux stratégies de rétention, consultez En savoir plus sur les stratégies de rétention et les étiquettes de rétention.

Pour plus d’informations sur la configuration, voir Configuration des étendues adaptatives.

Fonctionnement des étendues adaptatives avec les unités administratives Microsoft Entra

Alors que les étendues adaptatives sont créées et configurées dans Microsoft Purview pour prendre en charge le ciblage dynamique des stratégies de conformité, les unités administratives sont créées et configurées dans Microsoft Entra ID. Ils permettent d’affecter des administrateurs à une ou plusieurs unités administratives, de sorte que ces administrateurs désormais restreints peuvent gérer uniquement les utilisateurs dans les unités administratives qui leur sont affectées. Cette configuration prend en charge la meilleure pratique de sécurité du privilège minimum. En règle générale, les unités administratives sont conçues autour de zones géographiques, de départements ou de divisions commerciales spécifiques.

Cette limite de gestion est transmise à Microsoft Purview pour les solutions prises en charge afin de garantir que les administrateurs restreints peuvent gérer uniquement les utilisateurs auxquels ils ont été affectés.

À titre d’exemple pour montrer comment les unités administratives s’intègrent aux étendues adaptatives, où un administrateur de conformité restreinte souhaite créer une étendue utilisateur adaptative uniquement pour les utilisateurs en France :

1. Un administrateur de conformité se voit attribuer deux unités administratives : Tous les utilisateurs en Europe et Tous les utilisateurs dans Amérique du Nord. Lorsqu’ils créent une étendue adaptative, ils peuvent sélectionner et affecter uniquement ces unités administratives. Ils ne peuvent pas créer d’étendue adaptative pour gérer les utilisateurs d’autres unités administratives.
2. Ils créent une nouvelle étendue adaptative pour les utilisateurs et sélectionnent l’unité administrative Tous les utilisateurs en Europe. Ensuite, comme ils veulent que l’étendue adaptative soit uniquement pour les utilisateurs en France, ils utilisent l’attribut Microsoft Entra ID Pays ou région pour spécifier France (CountryOrRegion = France). S’ils configurent mal cet attribut et spécifient une valeur valide dans Microsoft Entra ID, comme l’Inde, mais que les utilisateurs avec cette valeur ne sont pas inclus dans l’unité administrative Tous les utilisateurs en Europe, l’étendue ne contient aucun utilisateur.
3. Lorsque cette seule étendue adaptative est sélectionnée pour une stratégie ciblant tous les utilisateurs, la stratégie est appliquée uniquement aux utilisateurs en France.
4. En tant qu’élément de configuration réutilisable, la même étendue adaptative peut être utilisée pour d’autres stratégies de conformité.

Si l’administrateur de conformité avait ajouté les deux unités administratives à cette étendue adaptative, le résultat final serait toujours le même, car les utilisateurs de l’étendue administrative Amérique du Nord n’ont pas la France spécifiée comme attribut pays ou région. Toutefois, l’administrateur de conformité savait qu’il devait cibler uniquement les utilisateurs en France. Il est donc plus efficace d’exécuter la requête uniquement sur l’unité administrative Europe. Si les exigences changent, vous pouvez toujours ajouter ou supprimer des unités administratives d’une étendue adaptative existante.

Maximums pour les étendues de stratégie adaptative

Il n’existe aucune limite au nombre d’étendues de stratégie adaptative que vous pouvez ajouter à une stratégie, mais il existe des limites maximales pour la requête qui définit chaque étendue adaptative :

• Longueur de chaîne pour les valeurs d’attribut ou de propriété : 200
• Nombre d’attributs ou de propriétés sans groupe ou au sein d’un groupe : 10
• Nombre de groupes de sécurité : 10
• Nombre de caractères dans une requête avancée : 10 000
• Le regroupement d’attributs ou de propriétés au sein d’un groupe n’est pas pris en charge. Cela signifie que le nombre maximal de propriétés ou d’attributs pris en charge dans une seule étendue adaptative est de 100.

Configurer des étendues adaptatives

Lorsque vous choisissez d’utiliser des étendues adaptatives, vous êtes invité à sélectionner le type d’étendue adaptative souhaité. Il existe trois types d’étendues adaptatives différents et chacune prend en charge des attributs ou des propriétés différents :

Type d’étendue adaptative	Les attributs ou propriétés pris en charge sont les suivants :
Utilisateurs : s’applique à : - Boîtes aux lettres Exchange Comptes OneDrive - Conversations Teams et interactions Copilot Messages d’un canal privé Teams - Viva Engage messages utilisateur	Prénom Nom Nom d’affichage Fonction Service Bureau Rue Ville Département ou région Code postal Pays ou région Adresses de messagerie Alias Attributs personnalisés Exchange : attributs personnalisés1 : attributs personnalisés15
Microsoft Office SharePoint Online : s’applique à : - Sites SharePoint * Comptes OneDrive	URL du site Nom du site Propriétés personnalisées (SharePoint uniquement) : RefinableString00 - RefinableString99
Groupes Microsoft 365 : s’applique à : - Boîtes aux lettres de groupe Microsoft 365 & sites - Messages de canal Teams (standard et partagés) - Viva Engage messages de la communauté	Nom Nom Description Adresses de messagerie Alias Attributs personnalisés Exchange : attributs personnalisés1 : attributs personnalisés15

^* Actuellement, les sites SharePoint de canal partagé ne sont pas pris en charge pour les étendues adaptatives.

Note

Pour les stratégies de conformité des communications :

• Les sites SharePoint et les comptes OneDrive ne sont pas pris en charge.
• Les utilisateurs exclus et les groupes Microsoft 365 sont pris en charge.

Les noms des propriétés des sites sont basés sur les propriétés gérées des sites SharePoint. Pour plus d'informations sur les attributs personnalisés, voir Utilisation de propriétés de site SharePoint personnalisées pour appliquer la rétention Microsoft 365 avec des étendues de politique adaptative.

Les noms d’attributs pour les utilisateurs et les groupes sont basés sur les propriétés de destinataire filtrables qui mappent aux attributs Microsoft Entra. Par exemple :

• L’alias est mappé au nom LDAP mailNickname qui s’affiche en tant que Email dans le centre d’administration Microsoft Entra.
• Email adresses correspond au nom LDAP proxyAddresses qui s’affiche en tant qu’adresse proxy dans le centre d’administration Microsoft Entra.

Les attributs et propriétés répertoriés dans la table peuvent être facilement spécifiés lorsque vous configurez une étendue adaptative à l’aide du générateur de requêtes simple. Les attributs et propriétés supplémentaires sont pris en charge avec le générateur de requêtes avancé, comme décrit dans la section suivante.

Guide pratique pour configurer une étendue adaptative

Avant de configurer votre portée adaptative, utilisez la section précédente pour identifier le type de portée à créer et les attributs et valeurs que vous utiliserez. Vous devrez peut-être travailler avec d'autres administrateurs pour confirmer ces informations.

Vous devez attribuer les groupes de rôles appropriés aux administrateurs pour créer une étendue adaptative. Tout groupe de rôles avec le rôle Gestionnaire d’étendues est autorisé à créer une étendue adaptative. Le rôle Gestionnaire d’étendues est inclus dans les groupes de rôles intégrés suivants :

• Administrateur de conformité
• Administrateur de conformité des données
• Gestion de l’organisation
• Gestion des enregistrements
• Conformité des communications
• Administrateurs de conformité des communications

Pour les sites SharePoint, une configuration SharePoint supplémentaire peut être nécessaire si vous prévoyez d'utiliser des propriétés de site personnalisées.

Pour créer et configurer des étendues adaptatives, vous pouvez utiliser le portail Microsoft Purview ou le portail de conformité Microsoft Purview.

1. Selon le portail que vous utilisez, accédez à l’un des emplacements suivants :

   • Se connecter au portail> Microsoft PurviewParamètres carte >Rôles et étendues Étendues>adaptatives.

     Si la solution Paramètres carte n’est pas affichée, sélectionnez Afficher toutes les solutions, puis Paramètres dans la section Core.

   • Connectez-vous aux étendues & portail de conformité Microsoft Purview>Roles Étendues>adaptatives.

2. Sélectionnez Étendues adaptatives, puis + Créer une étendue.

3. Suivez les invites de la configuration dans laquelle vous serez invité à attribuer une unité administrative. Si des unités administratives ont été affectées à votre compte, vous devez sélectionner une unité administrative qui limitera l’appartenance à l’étendue.

   Note

   Étant donné que les unités administratives ne prennent pas encore en charge les sites SharePoint, vous ne pourrez pas créer d’étendue adaptative pour les sites SharePoint si vous sélectionnez des unités administratives.

   Si vous ne souhaitez pas restreindre l’étendue adaptative à l’aide d’unités administratives, ou si votre organization n’a pas configuré d’unités administratives, conservez la valeur par défaut répertoire complet.

4. Sélectionnez le type d’étendue, puis sélectionnez les attributs ou les propriétés que vous souhaitez utiliser pour générer l’appartenance dynamique, puis tapez les valeurs d’attribut ou de propriété.

   Par exemple, pour configurer une étendue adaptative qui sera utilisée pour identifier les utilisateurs en Europe, commencez par sélectionner Utilisateurs comme type d’étendue, puis sélectionnez l’attribut pays ou région, puis tapez Europe :

   

   Une fois par jour, cette requête s’exécute sur Microsoft Entra ID et identifie tous les utilisateurs dont la valeur Europe est spécifiée dans leur compte pour l’attribut Pays ou région.

   Important

   Étant donné que la requête ne s’exécute pas immédiatement, il n’y a aucune validation que vous ailliez tapée correctement dans la valeur.

   Sélectionnez Ajouter des attributs (pour les utilisateurs et les groupes) ou Ajouter des propriétés (pour les sites) pour utiliser toute combinaison d’attributs ou de propriétés prises en charge pour leur type d’étendue, ainsi que des opérateurs logiques pour générer des requêtes. Les opérateurs pris en charge sont est égal à, n’est pas égal à, commence avec, et ne commence pas avec, et vous pouvez regrouper les attributs ou propriétés sélectionnés. Par exemple :

   

   Vous pouvez également sélectionner Générateur de requêtes pour spécifier vos propres requêtes :

   • Pour utilisateur et étendues degroupe Microsoft 365, utilisezSyntaxe de filtrage OPATH. Par exemple, pour créer une étendue utilisateur qui définit son appartenance par département, pays/région et état :

     

     L'un des avantages de l'utilisation du générateur de requêtes avancées pour ces champs d'application est un choix plus large d'opérateurs de requête :

     • et
     • ou
     • pas
     • eq (égal à)
     • ne (n’est pas égal à)
     • lt (inférieur à)
     • gt (supérieur à)
     • like(comparaison de chaînes)
     • n’aime pas(comparaison de chaînes)

   • Pour lessites Microsoft Office SharePoint Online étendues, utilisez le langage KQL (Keyword Query Language). Vous connaissez peut-être déjà l’utilisation de KQL pour rechercher Microsoft Office SharePoint Online à l’aide de propriétés de site indexées. Pour vous aider à spécifier ces requêtes KQL, consultez En savoir plus sur la syntaxe KQL.

     Par exemple, étant donné que les étendues de site SharePoint incluent automatiquement tous les types de sites SharePoint, notamment les sites connectés à un groupe Microsoft 365 et Les sites OneDrive, vous pouvez utiliser la propriété site indexée SiteTemplate pour inclure ou exclure des types de sites spécifiques. Les modèles que vous pouvez spécifier :

     • SITEPAGEPUBLISHING pour les sites de communication modernes
     • GROUP pour les sites Microsoft 365 connectés à un groupe
     • TEAMCHANNEL pour les sites de canal privé Microsoft Teams
     • STS pour un site d’équipe SharePoint classique
     • SPSPERS pour les sites OneDrive

     Ainsi, pour créer une portée adaptative qui inclut uniquement les sites de communication modernes et exclut les sites Microsoft 365 connectés à un groupe et les sites OneDrive, spécifiez la requête KQL suivante :

     Console

     SiteTemplate=SITEPAGEPUBLISHING
     

     Vous pouvez valider ces requêtes avancéesindépendamment de la configuration de l’étendue.

     Conseil

     Vous devez utiliser le générateur de requêtes avancé si vous souhaitez exclure des boîtes aux lettres inactives. Ou inversement, ciblez simplement les boîtes aux lettres inactives. Pour cette configuration, utilisez la propriété OPATH IsInactiveMailbox:

     • Pour exclure les boîtes aux lettres inactives, assurez-vous que la requête inclut : (IsInactiveMailbox -eq "False")
     • Pour cibler uniquement les boîtes aux lettres inactives, spécifiez : (IsInactiveMailbox -eq "True")

5. Créez autant d’étendues adaptatives que nécessaire. Vous pouvez sélectionner une ou plusieurs étendues adaptatives lorsque vous créez votre stratégie.

Note

Le remplissage complet des requêtes peut prendre jusqu’à cinq jours et les modifications ne seront pas immédiates. Tenez compte de ce délai en attendant quelques jours avant d’ajouter une étendue nouvellement créée à une stratégie.

Pour confirmer les modifications actuelles de l’appartenance et de l’appartenance pour une étendue adaptative :

1. Double-cliquez (ou sélectionnez et appuyez sur Entrée) sur l’étendue dans la page étendues adaptatives

2. Dans le volet Détails, sélectionnez Détails de l’étendue.

   Passez en revue les informations qui identifient tous les utilisateurs, sites ou groupes actuellement dans l’étendue, s’ils ont été automatiquement ajoutés ou supprimés, ainsi que la date et l’heure de ce changement d’appartenance.

Conseil

Pour les solutions de gestion du cycle de vie des données et de gestion des enregistrements, utilisez l’option de recherche de stratégie pour vous aider à identifier les stratégies de solution actuellement affectées à des utilisateurs, des sites et des groupes Microsoft 365 spécifiques.

Valider les requêtes avancées

Vous pouvez valider manuellement les requêtes avancées à l’aide de PowerShell et de la recherche Microsoft Office SharePoint Online :

• Utilisez PowerShell pour les types d’étendue Utilisateurs et Groupes Microsoft 365
• Utilisez la recherche Microsoft Office SharePoint Online pour le type d’étendue Sites Microsoft Office SharePoint Online

Pour exécuter une requête à l’aide de PowerShell :

1. Connecter à Exchange Online PowerShell à l’aide d’un compte avec les autorisations Exchange Online administrateur appropriés.

2. Utilisez Get-Recipient, Get-Mailbox ou Get-User avec le paramètre -Filter et votre Requête OPATH pour l’étendue adaptative entre crochets ({,}). Si vos valeurs d’attribut sont des chaînes, mettez ces valeurs entre guillemets doubles ou simples.

   Vous pouvez déterminer s’il faut utiliser Get-Mailbox, Get-Recipient ou Get-User pour la validation en identifiant l’applet de commande prise en charge par la Propriété OPATH que vous choisissez pour votre requête.

   Important

   Get-Mailbox ne prend pas en charge le type de destinataire MailUser. Par conséquent, Get-Recipient ou Get-User doit être utilisé pour valider les requêtes qui incluent des boîtes aux lettres locales dans un environnement hybride.

   Pour valider une étendue Utilisateur, utilisez la commande appropriée :

   • Get-Mailbox avec -RecipientTypeDetails UserMailbox,SharedMailbox,RoomMailbox,EquipmentMailbox
   • Get-Recipient avec -RecipientTypeDetails UserMailbox,MailUser,SharedMailbox,RoomMailbox,EquipmentMailbox

   Pour valider une étendue groupe Microsoft 365 utilisez :

   • Get-Mailbox avec -GroupMailbox ou Get-Recipient avec -RecipientTypeDetails GroupMailbox

   Par exemple, pour valider une étendue Utilisateur liée à l’attribut Department défini sur la valeur Marketing, vous pouvez utiliser :

   PowerShell

   Get-Recipient -RecipientTypeDetails UserMailbox,MailUser -Filter {Department -eq "Marketing"} -ResultSize Unlimited
   

   Pour valider une étendue utilisateur liée à l’attribut EmailAddresses , la valeur doit généralement inclure le préfixe smtp : . Par exemple, pour exclure un utilisateur où EmailAddresses inclut admin@contoso.com:

   PowerShell

   Get-Mailbox -RecipientTypeDetails UserMailbox -Filter {EmailAddresses -notlike "smtp:admin@contoso.com"} -ResultSize Unlimited
   

   Pour valider une étendue de groupe Microsoft 365 liée à l’attribut CustomAttribute15 du groupe défini sur Marketing comme valeur, vous pouvez utiliser :

   PowerShell

   Get-Mailbox -RecipientTypeDetails GroupMailbox -Filter {CustomAttribute15 -eq "Marketing"} -ResultSize Unlimited
   

   Conseil

   Lorsque vous utilisez ces commandes pour valider une étendue utilisateur, si le nombre de destinataires renvoyés est supérieur à celui attendu, cela peut être dû au fait qu’elle inclut les utilisateurs qui n’ont pas de licence valide pour les étendues adaptatives. Les paramètres de stratégie ne sont pas appliqués à ces utilisateurs.

   Par exemple, dans un environnement hybride, vous pouvez avoir des comptes d’utilisateurs synchronisés sans licence sans boîte aux lettres Exchange localement ou dans Exchange Online. Vous pouvez identifier ces utilisateurs en exécutant la commande suivante : Get-User -RecipientTypeDetails User

3. Vérifiez que la sortie correspond aux utilisateurs ou groupes attendus pour votre étendue adaptative. Si ce n’est pas le cas, case activée votre requête et les valeurs avec l’administrateur approprié pour Microsoft Entra ID ou Exchange.

   Conseil

   La sortie de ces commandes peut ne pas correspondre à la liste des membres pour le même filtre dans les détails de l’étendue dans la page Étendues adaptatives. La liste des membres dans les détails de l’étendue affiche les boîtes aux lettres d’arbitrage dans l’étendue, contrairement à la sortie de la commande. En outre, les modifications de requête d’étendue adaptative peuvent prendre jusqu’à 5 jours pour devenir effectives et reflétées dans la vue des détails de l’étendue de la page Étendues adaptatives.

Pour exécuter une requête à l’aide de la recherche Microsoft Office SharePoint Online :

1. À l’aide d’un compte qui a le rôle d’administrateur SharePoint, accédez à https://<your_tenant>.sharepoint.com/search.
2. Utilisez la barre de recherche pour spécifier votre requête KQL.
3. Vérifiez que les résultats de la recherche correspondent aux URL de site attendues pour votre étendue adaptative. Si ce n’est pas le cas, vérifiez votre requête et les URL auprès de l’administrateur approprié pour Microsoft Office SharePoint Online.