Адаптивные области

Руководство по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям.

При создании политики соответствия требованиям к обмену данными или политики хранения можно создать или добавить адаптивный область для своей политики. Одна политика может иметь одну или несколько адаптивных областей.

• Адаптивная область использует указанный запрос, чтобы можно было определить членство пользователей или групп, включенных в этот запрос. Эти динамические запросы выполняются ежедневно к атрибутам или свойствам, указанным для выбранного область. Можно использовать одну или несколько адаптивных областей с одной политикой.
• Например, вы можете назначать пользователям различные параметры политики в соответствии с их отделом, используя существующие атрибуты Microsoft Entra без административных затрат на создание и обслуживание групп для этой цели.

Преимущества использования адаптивных областей

Преимущества использования адаптивных областей:

• Нет ограничений количества элементов в каждой политике. Для адаптивных политик по-прежнему действуют ограничения максимального количества политик для каждого клиента, но благодаря более высокой гибкости вам потребуется гораздо меньше таких политик.
• Более эффективное нацеливание для политик. Например, вы можете назначать пользователям различные параметры в соответствии с их географическим расположением без дополнительных административных издержек, связанных с созданием и обслуживанием групп.
• Области на основе запросов обеспечивают устойчивость к бизнес-изменениям, которые могут быть ненадежно отражены в членстве в группах или внешних процессах, которые зависят от взаимодействия между отделами.
• Одна политика может включать расположения как для Microsoft Teams, так и для Viva Engage, тогда как если вы не используете адаптивный область, каждое расположение требует собственной политики.
• Поддержка Microsoft Entra административных единиц.

Конкретные преимущества использования адаптивных областей, характерных для политик хранения, см . в статье Сведения о политиках хранения и метках хранения.

Сведения о конфигурации см. в статье Настройка адаптивных областей.

Как адаптивные области работают с Microsoft Entra административными единицами

В то время как адаптивные области создаются и настраиваются в Microsoft Purview для поддержки динамического нацеливания политик для соответствия требованиям, административные единицы создаются и настраиваются в Microsoft Entra ID. Они предоставляют возможность назначать администраторов одной или нескольким административным единицам, в результате чего эти ограниченные администраторы могут управлять только пользователями в назначенных административных единицах. Эта конфигурация поддерживает рекомендации по обеспечению безопасности с минимальными привилегиями. Как правило, административные единицы разрабатываются на основе конкретных географических регионов, отделов или бизнес-подразделений.

Эта граница управления передается в Microsoft Purview для поддерживаемых решений, чтобы администраторы с ограниченным доступом могли управлять только пользователями, которыми они были назначены.

В качестве примера показано, как административные единицы интегрируются с адаптивными областями, где администратор с ограниченным соответствием требованиям хочет создать адаптивный пользовательский область только для пользователей во Франции:

1. Администратору соответствия требованиям назначаются две административные единицы: Все пользователи в Европе и Все пользователи в Северная Америка. При создании адаптивной область они могут выбирать и назначать только эти административные единицы. Они не могут создать адаптивный область для управления пользователями из других административных единиц.
2. Они создают новую адаптивную область для пользователей и выбирают административную единицу Все пользователи в Европе. Затем, так как они хотят, чтобы адаптивный область был только для пользователей во Франции, они используют атрибут Microsoft Entra ID Страна или регион, чтобы указать France (CountryOrRegion = France). Если они неправильно настраивают этот атрибут и указывают допустимое значение в Microsoft Entra ID, например в Индии, но пользователи с этим значением не включаются в административную единицу Все пользователи в Европе, область не будет содержать пользователей.
3. Если только эта адаптивная область выбрана для политики, ориентированной на всех пользователей, политика применяется только к пользователям во Франции.
4. В качестве повторно используемого элемента конфигурации тот же адаптивный область можно использовать для других политик соответствия.

Если администратор соответствия требованиям добавил обе административные единицы в эту адаптивную область, конечный результат по-прежнему будет одинаковым, так как у пользователей в Северная Америка административных область не указана Франция в качестве атрибута страны или региона. Тем не менее, администратор соответствия требованиям знал, что им нужно ориентироваться только на пользователей во Франции, поэтому эффективнее выполнять запрос только к административной единице Европы. Если требования меняются, вы всегда можете добавить или удалить административные единицы из существующей адаптивной область.

Максимальные значения для областей адаптивной политики

Количество областей адаптивной политики, которые можно добавить в политику, не ограничено, но существуют некоторые максимальные ограничения для запроса, определяющего каждую адаптивную область:

• Длина строки для значений атрибута или свойства: 200
• Количество атрибутов или свойств без группы или в группе: 10
• Количество групп: 10
• Количество символов в расширенном запросе: 10 000
• Атрибуты группировки и свойства внутри группы не поддерживаются. Это означает, что максимальное поддерживаемое количество свойств или атрибутов в одной адаптивной области равно 100.

Настройка адаптивных областей

Если вы решите использовать адаптивные области, вам будет предложено выбрать тип адаптивной области. Существует три различных типа адаптивной области, каждый из которых поддерживает различные атрибуты или свойства:

Тип адаптивной области	Атрибуты или поддерживаемые свойства включают
Пользователи — применяется к: — Почтовые ящики Exchange - учетным записям OneDrive — Чаты Teams и взаимодействие с Copilot - сообщениям закрытого канала Teams — Viva Engage сообщений пользователей	Имя Фамилия Отображаемое имя Должность Отдел Кабинет Адрес (улица, дом) Город Область, край; Почтовый индекс Страна или регион Адреса электронной почты Alias (Псевдоним) Настраиваемые атрибуты Exchange: CustomAttribute1 - CustomAttribute15
Сайты SharePoint — применяется к: — Сайты SharePoint * - учетным записям OneDrive	URL-адрес сайта имя сайта. Настраиваемые свойства SharePoint: RefinableString00 - RefinableString99
Группы Microsoft 365 — применяется к: — Почтовые ящики групп Microsoft 365 & сайтов - сообщениям каналов Teams (стандартные и общие) — сообщения сообщества Viva Engage	Имя Отображаемое имя Описание Адреса электронной почты Alias (Псевдоним) Настраиваемые атрибуты Exchange: CustomAttribute1 - CustomAttribute15

^* В настоящее время сайты SharePoint с общим каналом не поддерживаются для адаптивных областей.

Примечание.

Для политик соответствия требованиям к обмену данными:

• Сайты SharePoint и учетные записи OneDrive не поддерживаются.
• Поддерживаются исключенные пользователи и группы Microsoft 365.

Имена свойств сайтов основаны на управляемых свойствах сайта SharePoint. Сведения о настраиваемых атрибутах см. в статье Использование настраиваемых свойств сайта SharePoint для применения удержания Microsoft 365 с помощью областей адаптивной политики.

Имена атрибутов для пользователей и групп основаны на свойствах фильтруемых получателей, которые сопоставляются с атрибутами Microsoft Entra. Например:

• Псевдоним сопоставляется с именем LDAP mailNickname, которое отображается как Email в Центр администрирования Microsoft Entra.
• Email адреса сопоставляется с именем LDAP proxyAddresses, которое отображается в качестве адреса прокси-сервера в Центр администрирования Microsoft Entra.

Атрибуты и свойства, перечисленные в таблице, можно легко указать при настройке адаптивной области с помощью простого конструктора запросов. Дополнительные атрибуты и свойства поддерживаются с помощью расширенного конструктора запросов, как описано в следующем разделе.

Настройка адаптивного область

Перед настройкой адаптивной области используйте предыдущий раздел, чтобы определить тип области для создания, а также используемые атрибуты и их значения. Возможно, вам потребуется работать с другими администраторами, чтобы подтвердить эту информацию.

Чтобы создать адаптивную область, необходимо назначить правильные группы ролей администраторам. Любая группа ролей с ролью диспетчера областей может создавать адаптивный область. Роль "Администратор области" входит в следующие встроенные группы ролей:

• Администратор соответствия требованиям
• Администратор данных соответствия требованиям
• Управление организацией
• Управление записями
• Соответствие требованиям к обмену данными
• Администраторы соответствия требованиям к обмену данными

Специально для SharePoint сайтов может потребоваться дополнительная конфигурация SharePoint, если вы планируете использовать настраиваемые свойства сайта.

Для создания и настройки адаптивных областей можно использовать портал Microsoft Purview или Портал соответствия требованиям Microsoft Purview.

1. В зависимости от используемого портала перейдите в одно из следующих расположений:

   • Вход на портал> Microsoft PurviewПараметры карта >Роли и области Адаптивные>области.

     Если карта решения Параметры не отображается, выберите Просмотреть все решения, а затем выберите Параметры в разделе Основные.

   • Войдите в Портал соответствия требованиям Microsoft Purview>Роли и области Адаптивные>области.

2. Выберите Адаптивные области, а затем + Создать область.

3. Следуйте инструкциям в конфигурации, где сначала будет предложено назначить административную единицу. Если вашей учетной записи назначены административные единицы, необходимо выбрать одну административную единицу, которая будет ограничивать область членства.

   Примечание.

   Так как административные единицы еще не поддерживают сайты SharePoint, вы не сможете создать адаптивный область для сайтов SharePoint при выборе административных единиц.

   Если вы не хотите ограничивать адаптивную область с помощью административных единиц или ваша организация не настроила административные единицы, оставьте значение по умолчанию Полный каталог.

4. Выберите тип область, а затем выберите атрибуты или свойства, которые необходимо использовать для создания динамического членства, а затем введите значения атрибутов или свойств.

   Например, чтобы настроить адаптивную область для идентификации пользователей в Европе, сначала выберите тип области Пользователи, затем выберите атрибут Страна или регион и введите Европа:

   

   Ежедневно этот запрос будет выполняться к Microsoft Entra ID и определять всех пользователей, у которых в учетной записи для атрибута Страна или регион указано значение Europe.

   Важно!

   Так как запрос не запускается немедленно, проверка правильности введенного значения не проводится.

   Выберите Добавить атрибут (для пользователей и групп) или Добавить свойство (для сайтов), чтобы использовать любое сочетание атрибутов и свойств, поддерживаемых для типа области, вместе с логическими операторами для построения запросов. Поддерживаемые операторы: равно, не равно, начинается с и не начинается с. Можно также группировать выбранные атрибуты и свойства. Например:

   

   Кроме того, вы можете выбрать Расширенный конструктор запросов, чтобы указать собственные запросы:

   • Для областей Пользователь и Группа Microsoft 365 используйте Синтаксис фильтрации OPATH. Например, чтобы создать пользовательский область, определяющий его членство по отделам, стране или региону и состоянию:

     

     Одним из преимуществ использования расширенного конструктора запросов для этих областей является увеличение набора операторов запросов:

     • и
     • или
     • не
     • eq (равно)
     • ne (не равно)
     • -lt (меньше)
     • -gt (больше)
     • like (сравнение строк)
     • notlike (сравнение строк)

   • Для областей Сайтов SharePoint используйте язык запросов по ключевым словам (KQL). Возможно, вы уже знакомы с использованием KQL для поиска в SharePoint с помощью индексированных свойств сайта. О том, как уточнить эти запросы KQL, см. ссылку на Синтаксис языка запросов по ключевым словам (KQL)

     Например, так как области сайтов SharePoint автоматически включают все типы сайтов SharePoint, включая сайты, подключенные к группе Microsoft 365, и OneDrive, можно использовать свойство индексированного сайта SiteTemplate , чтобы включить или исключить определенные типы сайтов. Шаблоны, которые можно указать:

     • SITEPAGEPUBLISHING для современных информационных сайтов
     • GROUP для сайтов, подключенных к группам Microsoft 365
     • TEAMCHANNEL для сайтов частных каналов Microsoft Teams
     • STS для классического сайта группы SharePoint
     • SPSPERS для сайтов OneDrive

     Таким образом, чтобы создать адаптивную область, включающую только современные информационные сайты и исключающую сайты, подключенные к Microsoft 365, и сайты OneDrive, укажите следующий KQL-запрос:

     SiteTemplate=SITEPAGEPUBLISHING
     

   Эти расширенные запросы можно проверить независимо от конфигурации области.

   Совет

   Чтобы исключить неактивные почтовые ящики, необходимо использовать расширенный конструктор запросов. Или, наоборот, настроить таргетинг только на неактивные почтовые ящики. Для этой конфигурации используйте свойство OPATH IsInactiveMailbox:

   • Чтобы исключить неактивные почтовые ящики, убедитесь, что запрос включает: (IsInactiveMailbox -eq "False")
   • Чтобы настроить таргетинг только на неактивные почтовые ящики, укажите: (IsInactiveMailbox -eq "True")

5. Создайте столько адаптивных областей, сколько вам нужно. При создании политики можно выбрать одну или несколько адаптивных областей.

Примечание.

Заполнение запросов может занять до пяти дней, и внесенные изменения будут отражены не сразу. Учитывайте эту задержку, подождав несколько дней перед добавлением в политику только что созданного область.

Чтобы подтвердить текущий состав и изменения состава членов для адаптивной области:

1. Дважды щелкните по области (или выберите область и нажмите кнопку "Ввод") на странице Адаптивные области

2. Из всплывающего элемента Подробности выберите Подробно об области.

   Перепроверьте информацию, идентифицирующую всех пользователей, все сайты или группы, принадлежащие области в настоящее время, если они были автоматически добавлены или удалены, а также дату и время такого изменения членства.

Совет

Используйте Поиск политики, чтобы выявить политики, которые в настоящее время назначены определенным пользователям, сайтам и группам Microsoft 365.

Проверка расширенных запросов

Расширенные запросы можно проверять вручную с помощью PowerShell и поиска SharePoint:

• Используйте PowerShell для типов областей Пользователи и Группы Microsoft 365
• Используйте поиск SharePoint для областей типа Сайты SharePoint

Для выполнения запроса с помощью PowerShell:

1. Подключение к Exchange Online PowerShell с помощью учетной записи с соответствующими разрешениями администратора Exchange Online.

2. Используйте Get-Recipient, Get-Mailbox или Get-User с параметром -Filter и запросом OPATH для адаптивной области, заключенной в фигурные скобки ({,}). Если значения атрибута являются строками, заключите эти значения в двойные или одинарные кавычки.

   Можно указать, следует ли использовать Get-Mailbox, Get-Recipient или Get-User для проверки. Для этого укажите, какой из командлетов поддерживается свойством OPATH, выбранным для запроса.

   Важно!

   Get-Mailbox не поддерживает тип получателей MailUser, поэтому для проверки запросов, включающих локальные почтовые ящики в гибридной среде, необходимо использовать Get-Recipient или Get-User.

   Чтобы проверить область User, используйте соответствующую команду:

   • Get-Mailbox с -RecipientTypeDetails UserMailbox,SharedMailbox,RoomMailbox,EquipmentMailbox
   • Get-Recipient с -RecipientTypeDetails UserMailbox,MailUser,SharedMailbox,RoomMailbox,EquipmentMailbox

   Чтобы проверить область Microsoft 365 group, используйте:

   • Get-Mailbox с -GroupMailbox или Get-Recipient с -RecipientTypeDetails GroupMailbox

   Например, для проверки области пользователя можно использовать:

   Get-Recipient -RecipientTypeDetails UserMailbox,MailUser -Filter {Department -eq "Marketing"} -ResultSize Unlimited
   

   Для проверки области Microsoft 365 group можно использовать:

   Get-Mailbox -RecipientTypeDetails GroupMailbox -Filter {CustomAttribute15 -eq "Marketing"} -ResultSize Unlimited
   

   Совет

   При использовании этих команд для проверки области пользователей: если возвращенное количество получателей больше ожидаемого, причина может заключаться в том, что возвращенное количество включает пользователей, у которых нет лицензий для адаптивных областей. К этим пользователям не будут применены параметры политики.

   Например, в гибридной среде могут быть нелицензированные синхронизированные учетные записи пользователей без почтового ящика Exchange (локального или в Exchange Online). Вы можете определить этих пользователей, выполнив следующую команду: Get-User -RecipientTypeDetails User

3. Убедитесь, что выводимые данные соответствуют ожидаемым пользователям или группам для адаптивной области. Если это не так, проверка запрос и значения с соответствующим администратором для Microsoft Entra ID или Exchange.

Для выполнения запроса при помощи поиска SharePoint:

1. Используя учетную запись глобального администратора компании или учетную запись с ролью администратора SharePoint, перейдите к https://<your_tenant>.sharepoint.com/search.
2. Введите запрос KQL в строке поиска.
3. Убедитесь, что результаты поиска соответствуют ожидаемым URL-адресам сайтов для адаптивной области. Если они не соответствуют ожидаемым URL-адресам, проверьте запрос и URL-адреса у соответствующего администратора SharePoint.