Escopos adaptáveis

  • Artigo

Diretrizes de licenciamento do Microsoft 365 para segurança e conformidade.

Ao criar uma política de conformidade de comunicação ou uma política de retenção, você pode criar ou adicionar um escopo adaptável para sua política. Uma única política pode ter um ou muitos escopos adaptáveis.

  • Um escopo adaptável usa uma consulta especificada, para que você possa definir a associação de usuários ou grupos incluídos nessa consulta. Essas consultas dinâmicas são executadas diariamente nos atributos ou propriedades especificadas para o escopo selecionado. Você pode usar um ou mais escopos adaptáveis com uma única política.
  • Por exemplo, você pode atribuir diferentes configurações de política aos usuários de acordo com seu departamento usando atributos Microsoft Entra existentes sem a sobrecarga administrativa de criar e manter grupos para essa finalidade.

Vantagens de usar escopos adaptáveis

As vantagens de usar escopos adaptáveis incluem:

  • Não há limites para o de itens por política. Embora as políticas adaptáveis ainda estejam sujeitas número máximo de políticas por locatário limitações, a configuração mais flexível provavelmente resultará em muito menos políticas.
  • Direcionamento mais poderoso para suas políticas. Por exemplo, você pode atribuir configurações diferentes aos usuários de acordo com sua localização geográfica sem a sobrecarga administrativa de criar e manter grupos.
  • Os escopos baseados em consulta fornecem resiliência em relação a alterações comerciais que podem não ser refletidas de forma confiável em associação de grupo ou processos externos que dependem da comunicação entre departamentos.
  • Uma única política pode incluir locais para o Microsoft Teams e Viva Engage, enquanto quando você não usa um escopo adaptável, cada local requer sua própria política.
  • Suporte para Microsoft Entra unidades administrativas.

Para obter vantagens específicas do uso de escopos adaptáveis específicos às políticas de retenção, consulte Saiba mais sobre políticas de retenção e rótulos de retenção.

Para obter informações de configuração, consulte configuração de escopos adaptáveis.

Como os escopos adaptáveis funcionam com Microsoft Entra unidades administrativas

Enquanto escopos adaptáveis são criados e configurados no Microsoft Purview para dar suporte ao direcionamento dinâmico de políticas para conformidade, as unidades administrativas são criadas e configuradas em Microsoft Entra ID. Eles fornecem a capacidade de atribuir administradores a uma ou mais unidades administrativas, com o resultado de que esses administradores agora restritos podem gerenciar apenas os usuários em suas unidades administrativas atribuídas. Essa configuração dá suporte à melhor prática de segurança de privilégio mínimo. Normalmente, as unidades administrativas são projetadas em torno de divisões específicas de geografia, departamento ou negócios.

Esse limite de gerenciamento flui para o Microsoft Purview para obter soluções com suporte para garantir que os administradores restritos possam gerenciar apenas os usuários que foram atribuídos para gerenciar.

Como exemplo para mostrar como as unidades administrativas se integram aos escopos adaptáveis, em que um administrador de conformidade restrito deseja criar um escopo de usuário adaptável apenas para usuários na França:

  1. Um administrador de conformidade recebe duas unidades administrativas, todos os usuários na Europa e todos os usuários em América do Norte. Quando eles criam um escopo adaptável, eles podem selecionar e atribuir apenas essas unidades administrativas. Eles não podem criar um escopo adaptável para gerenciar usuários de outras unidades administrativas.
  2. Eles criam um novo escopo adaptável para usuários e selecionam a unidade administrativa Todos os usuários na Europa. Em seguida, como eles querem que o escopo adaptável seja apenas para usuários na França, eles usam o atributo Microsoft Entra ID País ou região para especificar a França (CountryOrRegion = França). Se eles fizerem uma configuração incorreta desse atributo e especificarem um valor válido em Microsoft Entra ID, como a Índia, mas os usuários com esse valor não forem incluídos na unidade administrativa Todos os usuários na Europa, o escopo não conterá nenhum usuário.
  3. Quando apenas esse escopo adaptável é selecionado para uma política direcionada a todos os usuários, a política é aplicada apenas aos usuários na França.
  4. Como um elemento de configuração reutilizável, o mesmo escopo adaptável pode ser usado para outras políticas de conformidade.

Se o administrador de conformidade tivesse adicionado ambas as unidades administrativas a esse escopo adaptável, o resultado final ainda seria o mesmo porque os usuários no escopo administrativo América do Norte não têm a França especificada como seu atributo de país ou região. No entanto, o administrador de conformidade sabia que precisava direcionar apenas usuários na França, por isso é mais eficiente executar a consulta apenas na unidade administrativa da Europa. Se os requisitos forem alterados, você sempre poderá adicionar ou remover unidades administrativas de um escopo adaptável existente.

Máximos para escopos de política adaptáveis

Não há limite para o número de escopos de política adaptáveis que você pode adicionar a uma política, mas há alguns limites máximos para a consulta que define cada escopo adaptável:

  • Comprimento da cadeia de caracteres para valores de atributo ou propriedade: 200
  • Número de atributos ou propriedades sem um grupo ou em um grupo: 10
  • Número de grupos: 10
  • Número de caracteres em uma consulta avançada: 10.000
  • Não há suporte para o agrupamento de atributos ou propriedades em um grupo. Isso significa que o número máximo de propriedades ou atributos com suporte em um único escopo adaptável é 100.

Configurar escopos adaptáveis

Ao optar por usar escopos adaptáveis, você é solicitado a selecionar o tipo de escopo adaptável desejado. Há três tipos diferentes de escopos adaptáveis e cada um dá suporte a atributos ou propriedades diferentes:

Tipo de escopo adaptável Atributos ou propriedades com suporte incluem
Usuários – aplica-se a:
– Trocar caixas de correio
- Contas do OneDrive
– Chats do Teams e interações de Copilot
- Mensagens do canal privado do Teams
- Viva Engage mensagens de usuário		 Nome
Sobrenome
Nome de exibição
Cargo
Departamento
Escritório
Endereço
Cidade
Estado ou província
CEP
País ou região
Emails
Alias
Atributos personalizados do Exchange: CustomAttribute1 - CustomAttribute15
Sites do SharePoint – aplica-se a:
- Sites do SharePoint *
- Contas do OneDrive		 URL do site
Nome do site
Propriedades personalizadas do SharePoint: RefinableString00 - RefinableString99
Grupos do Microsoft 365 – aplica-se a:
- Caixas de correio do Grupo Microsoft 365 & sites
- Mensagens de canal do Teams (padrão e compartilhado)
- Viva Engage mensagens da comunidade
 Nome
Nome
Descrição
Emails
Alias
Atributos personalizados do Exchange: CustomAttribute1 - CustomAttribute15

* Atualmente, sites do SharePoint de canal compartilhado não têm suporte para escopos adaptáveis.

Observação

Para políticas de conformidade de comunicação:

  • Não há suporte para sites do SharePoint e contas do OneDrive.
  • Há suporte para usuários excluídos e grupos do Microsoft 365.

Os nomes de propriedades para sites são baseados nas propriedades gerenciadas do site em SharePoint. Para obter informações sobre os atributos personalizados, consulte Usando propriedades personalizadas do site do SharePoint Site para aplicar a retenção do Microsoft 365 com escopos de política adaptáveis.

Os nomes de atributo para usuários e grupos são baseados em propriedades de destinatário filtradas que mapeiam para Microsoft Entra atributos. Por exemplo:

  • Alias mapeia para o nome LDAP mailNickname que é exibido como Email no centro de administração do Microsoft Entra.
  • Email endereços mapeia para o proxy de nome LDAPAddresses que são exibidos como endereço Proxy no centro de administração do Microsoft Entra.

Os atributos e propriedades listados na tabela podem ser facilmente especificados ao configurar um escopo adaptável usando o construtor de consulta simples. Atributos e propriedades adicionais têm suporte com o construtor de consultas avançadas, conforme descrito na seção a seguir.

Como configurar um escopo adaptável

Antes de configurar o escopo adaptável, use a seção anterior para identificar qual tipo de escopo criar e quais atributos e valores você usará. Talvez seja necessário trabalhar com outros administradores para confirmar as informações.

Você precisará atribuir os grupos de função corretos aos administradores para criar um escopo adaptável. Qualquer grupo de funções com a função do Gerenciador de Escopo tem permissão para criar um escopo adaptável. A função Gerenciador de Escopo está incluída nos seguintes grupos de funções internos:

  • Administrador de Conformidade
  • Administrador de Dados de Conformidade
  • Gerenciamento de Organização
  • Gerenciamento de Registros
  • Conformidade em comunicações
  • Administradores de Conformidade de Comunicação

Especificamente para os sites do SharePoint, pode haver uma configuração SharePoint adicional necessária se você planeja usar propriedades de site personalizadas.

Para criar e configurar escopos adaptáveis, você pode usar o portal do Microsoft Purview ou o portal de conformidade do Microsoft Purview.

  1. Dependendo do portal que você está usando, navegue até um dos seguintes locais:

    • Entrar no portal> do Microsoft PurviewConfigurações cartão >Funções e escopos escopos>adaptáveis.

      Se a solução Configurações cartão não for exibida, selecione Exibir todas as soluções e selecione Configurações na seção Core.

    • Entre nos escopos> adaptável portal de conformidade do Microsoft Purview >Roles e escoposadaptáveis.

  2. Selecione Escopos adaptáveis e + Criar escopo.

  3. Siga os prompts na configuração em que você será solicitado pela primeira vez a atribuir uma unidade administrativa. Se sua conta tiver sido atribuída unidades administrativas, você deverá selecionar uma unidade administrativa que restrinja a associação de escopo.

    Observação

    Como as unidades administrativas ainda não dão suporte a sites do SharePoint, você não poderá criar um escopo adaptável para sites do SharePoint se selecionar unidades administrativas.

    Se você não quiser restringir o escopo adaptável usando unidades administrativas ou sua organização não tiver configurado unidades administrativas, mantenha o padrão do diretório completo.

  4. Selecione o tipo de escopo e selecione os atributos ou propriedades que você deseja usar para criar a associação dinâmica e digite os valores de atributo ou propriedade.

    Por exemplo, para configurar um escopo adaptável que será usado para identificar usuários da Europa, selecione primeiro Usuários como o tipo de escopo e, em seguida, selecione o atributo País ou região e digite Europa:

    Exemplo de configuração de escopo adaptável.

    Uma vez por dia, essa consulta será executada em Microsoft Entra ID e identificará todos os usuários que têm o valor que a Europa especificou em sua conta para o atributo País ou região.

    Importante

    Como a consulta não é executada imediatamente, não há nenhuma validação digitada corretamente no valor.

    Selecione Adicionar atributo (para usuários e grupos) ou Adicionar propriedade (para sites) para usar qualquer combinação de atributos ou propriedades com suporte para seu tipo de escopo, juntamente com operadores lógicos para criar consultas. Os operadores com suporte são é igual a, é diferente de, começa com e não começa com, e você pode agrupar os atributos ou propriedades selecionados. Por exemplo:

    Exemplo de configuração de escopo adaptável com agrupações de atributos.

    Como alternativa, você pode selecionar Construtor avançado de consultas para especificar suas próprias consultas:

    • Para escopos de Usuário e Grupos do Microsoft 365, use Sintaxe de filtragem OPATH. Por exemplo, para criar um escopo de usuário que defina sua associação por departamento, país/região e estado:

      Exemplo de escopo adaptável com consulta avançada.

      Uma das vantagens de usar o construtor avançado de consultas para esses escopos é por ele ser uma opção mais ampla dos operadores de consulta:

      • and
      • or
      • not
      • eq (igual)
      • ne (diferente)
      • lt (menor que)
      • gt (maior que)
      • like (comparação de cadeia de caracteres)
      • notlike (comparação de cadeia de caracteres)

    • Para Sites do SharePoint, use KQL (Idioma de Consulta de Palavra-chave). Você pode já estar familiarizado com o uso de KQL para pesquisar no SharePoint usando propriedades de site indexadas. Para ajudar a especificar essas consultas KQL, confira Referência de sintaxe KQL (Idioma de Consulta de Palavra-chave).

      Por exemplo, como os escopos do site do SharePoint incluem automaticamente todos os tipos de site do SharePoint, que incluem sites do Microsoft 365 conectados ao grupo e do OneDrive, você pode usar a propriedade de site indexada SiteTemplate para incluir ou excluir tipos de site específicos. Os modelos que você pode especificar:

      • SITEPAGEPUBLISHING para sites de comunicação modernos
      • GROUP para sites conectados ao grupo do Microsoft 365
      • TEAMCHANNEL para sites de canal privado do Microsoft Teams
      • STS para um site equipe clássico do SharePoint
      • SPSPERS para sites do OneDrive

      Portanto, para criar um escopo adaptável que inclua apenas sites de comunicação modernos e exclua sites do Grupo do Microsoft 365 conectados ao OneDrive, especifique a seguinte consulta KQL:

      SiteTemplate=SITEPAGEPUBLISHING

    Você pode validar essas consultas avançadas independentemente da configuração do escopo.

    Dica

    Você deve usar o construtor de consulta avançada se quiser excluir caixas de correio inativas. Ou, inversamente, segmente apenas caixas de correio inativas. Para esta configuração, use a propriedade PATH Is InactiveMailbox:

    • Para excluir caixas de correio inativas, certifique-se de que a consulta inclui: (IsInactiveMailbox -eq "False")
    • Para direcionar apenas caixas de correio inativas, especifique: (IsInactiveMailbox -eq "True")

  5. Crie quantos escopos adaptáveis você precisar. Você pode selecionar um ou mais escopos adaptáveis ao criar sua política.

Observação

Pode levar até cinco dias para que as consultas sejam preenchidas totalmente e as alterações não serão imediatas. Fator neste atraso aguardando alguns dias antes de adicionar um escopo recém-criado a uma política.

Para confirmar a associação atual e as alterações de associação para um escopo adaptável:

  1. Clique duas vezes (ou selecione e pressione Enter) no escopo na página Escopos Adaptáveis

  2. No painel Detalhes do submenu, selecione Detalhes do escopo.

    Revise as informações que identificam todos os usuários, sites ou grupos atualmente no escopo, se eles foram automaticamente adicionados ou removidos, bem como a data e hora dessa alteração de associação.

Dica

Use a opção de pesquisa de política para ajudar a identificar as políticas atribuídas atualmente a específicos usuários, sites e grupos do Microsoft 365.

Validar consultas avançadas

Você pode validar manualmente consultas avançadas usando o PowerShell e a pesquisa do SharePoint:

  • Usar o PowerShell para os tipos de escopo de Usuários e Grupos do Microsoft 365
  • Use a pesquisa do SharePoint para o tipo de escopo de Sites do SharePoint

Para executar uma consulta usando o PowerShell:

  1. Conecte-se ao Exchange Online PowerShell usando uma conta com permissões apropriadas de Administrador do Exchange Online.

  2. Use Get-Recipient, Get-Mailbox ou Get-User com o parâmetro -Filter e sua consulta OPATH para o escopo adaptável entre chaves ({,}). Se seus valores de atributo são cadeias de caracteres, coloque esses valores entre aspas duplas ou simples.

    Você pode determinar se deve usar Get-Mailbox, Get-Recipient ou Get-User para validação identificando qual cmdlet é suportado pela propriedade OPATH escolhida para a consulta.

    Importante

    Get-Mailbox não dá suporte ao tipo de destinatário MailUser, portanto, Get-Recipient ou Get-User deve ser usado para validar consultas que incluem caixas de correio locais em um ambiente híbrido.

    Para validar um escopo de Usuário, use o comando apropriado:

    • Get-Mailbox com -RecipientTypeDetails UserMailbox,SharedMailbox,RoomMailbox,EquipmentMailbox
    • Get-Recipient com -RecipientTypeDetails UserMailbox,MailUser,SharedMailbox,RoomMailbox,EquipmentMailbox

    Para validar um escopo do Grupo do Microsoft 365, use:

    • Get-Mailbox com -GroupMailbox ou Get-Recipient com -RecipientTypeDetails GroupMailbox

    Por exemplo, para validar um escopo de Usuário, você pode usar:

    Get-Recipient -RecipientTypeDetails UserMailbox,MailUser -Filter {Department -eq "Marketing"} -ResultSize Unlimited

    Para validar um escopo do Grupo do Microsoft 365, você pode usar:

    Get-Mailbox -RecipientTypeDetails GroupMailbox -Filter {CustomAttribute15 -eq "Marketing"} -ResultSize Unlimited

    Dica

    Quando você usa esses comandos para validar um escopo de usuário, se o número de destinatários retornados for maior do que o esperado, pode ser porque inclui usuários que não têm uma licença válida para escopos adaptáveis. Esses usuários não terão as configurações de política aplicadas a eles.

    Por exemplo, em um ambiente híbrido, você pode ter contas de usuário sincronizadas não licenciadas sem uma caixa de correio do Exchange local ou no Exchange Online. Para identificar esses usuários, execute o seguinte comando: Get-User -RecipientTypeDetails User

  3. Verifique se a saída corresponde aos usuários ou grupos esperados para seu escopo adaptável. Se não o fizer, marcar sua consulta e os valores com o administrador relevante para Microsoft Entra ID ou Exchange.

Para executar uma consulta usando a pesquisa do SharePoint:

  1. Usando uma conta de administrador global ou uma conta que tenha a função de administrador do SharePoint, vá para https://<your_tenant>.sharepoint.com/search.
  2. Use a barra de pesquisa para especificar sua consulta KQL.
  3. Verifique se os resultados da pesquisa corresponderão às URLs de site esperadas para seu escopo adaptável. Se não, verifique a consulta e as URLs com o administrador relevante do SharePoint.