分享方式:


調適型範圍

Microsoft 365 安全性與合規性的授權指引

當您建立 通訊合規性政策保留原則時,您可以建立或新增原則的調適型範圍。 單一原則可以有一或多個調適型範圍。

  • 調適型範圍會使用您指定的查詢,因此您可以定義該查詢中包含之使用者或群組的成員資格。 這些動態查詢會每天針對您為選取的範圍指定的屬性執行。 您可以搭配單一原則使用一或多個調適型範圍。
  • 例如,您可以使用現有的 Microsoft Entra 屬性,根據使用者的部門將不同的原則設定指派給使用者,而不需要為此目的建立和維護群組的系統管理額外負荷。

使用調適型範圍的優點

使用調適型範圍的優點包括:

  • 每個原則的項目數量 沒有任何限制。 雖然調適型原則仍受限於 每個租用戶的原則數目上限 限制 ,但較彈性的設定可能會導致原則大幅減少。
  • 更強大的原則目標。 例如,您可以根據使用者的地理位置將不同的設定指派給使用者,而不需要建立和維護群組的系統管理額外負荷。
  • 查詢型範圍可針對業務變更提供復原能力,這些變更可能不會可靠地反映在依賴跨部門通訊的群組成員資格或外部程式中。
  • 單一原則可以同時包含 Microsoft Teams 和 Viva Engage 的位置,而當您不使用調適型範圍時,每個位置都需要自己的原則。
  • 支援 Microsoft Entra 管理單位

如需使用保留原則專屬調適型範圍的特定優點,請參閱 瞭解保留原則和保留標籤

如需設定資訊,請參閱 設定調適型範圍

調適型範圍如何與 Microsoft Entra 管理單位搭配運作

雖然調適型範圍是在 Microsoft Purview 中建立和設定,以支援合規性原則的動態目標,但系統管理單位會在 Microsoft Entra ID 中建立和設定。 他們提供將系統管理員指派給一或多個管理單位的能力,結果是這些現在受限制的系統管理員只能管理其指派管理單位中的使用者。 此設定支援最低許可權的安全性最佳做法。 一般而言,系統管理單位是針對特定地理位置、部門或營業單位所設計。

此管理界限會流入 Microsoft Purview 以取得支持的解決方案,以確保受限制的系統管理員只能管理他們已指派要管理的使用者。

示範管理單位如何與調適型範圍整合的範例,其中受限制的合規性系統管理員只想要為法國的使用者建立調適型用戶範圍:

  1. 合規性系統管理員會獲指派兩個管理單位:歐洲的所有使用者北美洲 中的所有使用者。 當他們建立調適型範圍時,只能選取並指派這些管理單位。 他們無法建立自適性範圍來管理來自其他管理單位的使用者。
  2. 他們會為使用者建立新的調適型範圍,然後選取管理單位 [歐洲的所有使用者]。 然後,因為他們希望調適型範圍只適用於法國的使用者,所以會使用 Microsoft Entra ID Country 或 region 屬性來指定法國 (CountryOrRegion = France) 。 如果他們設定錯誤的這個屬性,並在 Microsoft Entra ID 中指定有效的值,例如印度,但該值的用戶並未包含在 [所有歐洲使用者] 管理單位中,則範圍不會包含任何使用者。
  3. 針對以所有用戶為目標的原則選取此調適型範圍時,原則只會套用至法國的使用者。
  4. 作為可重複使用的組態專案,相同的自適性範圍可用於其他合規性原則。

如果合規性系統管理員已將這兩個管理單位新增至此調適型範圍,最終結果仍會相同,因為 北美洲 系統管理範圍中的用戶並未將法國指定為其國家或地區屬性。 不過,合規性系統管理員知道他們需要只以法國的用戶為目標,因此只對歐洲管理單位執行查詢會更有效率。 如果需求變更,您一律可以從現有的調適型範圍新增或移除管理單位。

調適型原則範圍的上限

您可以新增至原則的調適型原則範圍數目沒有限制,但查詢有一些最大限制可定義每個調適型範圍:

  • 屬性或內容值的字串長度:200
  • 沒有群組或在群組內的屬性或內容數目:10
  • 群組數目:10
  • 進階查詢中的字元數目:10,000
  • 不支援將群組內的屬性或內容群組。 這表示單一調適型範圍中支援的內容或屬性數目上限為 100。

設定調適型範圍

當您選擇使用調適型範圍時,系統會提示您選取想要的調適型類型。 有三種不同類型的調適型範圍,且每個範圍都支援不同的屬性或內容:

調適型範圍類型 支援的屬性或內容包括
使用者 - 適用於:
- Exchange 信箱
- OneDrive 帳戶
- Teams 聊天和 Copilot 互動
- Teams 私人頻道訊息
- Viva Engage 使用者訊息
名字
姓氏
顯示名稱
職稱
部門
辦公室
街道地址
城市
State 或 province
郵遞區號
國家或地區
電子郵件地址
別名
Exchange 自訂屬性:CustomAttribute1 - CustomAttribute15
SharePoint 網站 - 適用於:
- SharePoint 網站 *
- OneDrive 帳戶
網站 URL
網站名稱
僅限 SharePoint (自定義屬性) :RefinableString00 - RefinableString99
Microsoft 365 群組 - 適用於:
- Microsoft 365 群組信箱 & 網站
-Teams 頻道 (標準和共用)
- Viva Engage 社群訊息
名稱
顯示名稱
描述
電子郵件地址
別名
Exchange 自訂屬性:CustomAttribute1 - CustomAttribute15

* 目前,自適性範圍不支持 共用通道 SharePoint 網站

注意事項

針對通訊合規性原則:

  • 不支援 SharePoint 網站和 OneDrive 帳戶。
  • 支援排除的使用者和 Microsoft 365 群組。

網站的屬性名稱是以 SharePoint 網站管理屬性為基礎。 如需自訂屬性的詳細資訊,請參閱 使用自訂 SharePoint 網站屬性套用具有調適型原則範圍的 Microsoft 365 保留

使用者和群組的屬性名稱是以對應至 Microsoft Entra 屬性的可篩選收件者屬性為基礎。 例如:

  • 別名會對應至LDAP名稱mailNickname,該名稱在 Microsoft Entra 系統管理中心 中顯示為 Email
  • Email 位址會對應至在 Microsoft Entra 系統管理中心 中顯示為 Proxy 位址的LDAP名稱 proxyAddresses

當您使用簡易查詢建立器設定調適型範圍時,可以輕鬆地指定表格中所列的屬性和內容。 使用「進階查詢建立器」支援的其他屬性和內容,如下列章節所述。

如何設定調適型範圍

設定調適型範圍之前,請使用上一章節以識別要建立的範圍類型,以及您將使用的屬性和值。 您可能需要與其他系統管理員合作以確認此資訊。

您必須將正確的角色群組指派給系統管理員,以建立調適型範圍。 任何具有 範圍管理員 角色的角色群組都可建立調適型範圍。 範圍管理員角色包含在下列內建角色群組中

  • 合規性系統管理員
  • 合規性資料系統管理員
  • 組織管理
  • 記錄管理
  • 通訊合規性
  • 通訊合規性系統管理員

特別是在 SharePoint 網站中,如果您計畫使用自訂網站屬性,可能需要其他 SharePoint 設定。

若要建立和設定調適型範圍,您可以使用 Microsoft Purview 入口網站Microsoft Purview 合規性入口網站

  1. 根據您使用的入口網站,流覽至下列其中一個位置:

  2. 選取 [調適型範圍],然後選取 [+ Create 範圍]

  3. 遵循設定中的提示,系統會先要求您指派管理單位。 如果您的帳戶已 獲指派管理單位,您必須選取一個將限制範圍成員資格的管理單位。

    注意事項

    由於管理單位尚不支援 SharePoint 網站,因此如果您選取管理單位,就無法為 SharePoint 網站建立調適型範圍。

    如果您不想使用管理單位來限制調適型範圍,或您的組織尚未設定管理單位,請保留 [ 完整目錄] 的預設值。

  4. 選取範圍類型,然後選取您要用來建置動態成員資格的屬性或屬性,然後輸入屬性或屬性值。

    例如,若要設定將用來識別歐洲使用者的調適型範圍,請先選取 使用者 作為範圍類型,然後選取 國家/地區 屬性,然後輸入 歐洲

    調適型範圍設定範例。

    每天一次,此查詢會針對 Microsoft Entra ID 執行,並識別在其國家或地區屬性帳戶中指定歐洲值的所有使用者。

    重要事項

    因為不會立即執行此查詢,所以不會驗證您在值中的輸入是否正確。

    選取 新增屬性 (適用於使用者和群組) 或 新增屬性 (適用於網站),以使用受其範圍類型支援的任何屬性或內容組合,以及建立查詢的邏輯運算子。 受支援的運算子為 等於不等於開頭為開頭不為,且您可以將選取的屬性或內容組成群組。 例如:

    具有屬性群組的調適型範圍設定範例。

    或者,您可以選取 進階查詢建立器 指定您自己的查詢:

    • 針對 使用者Microsoft 365 群組 範圍,使用OPATH 篩選語法。 例如,若要建立依部門、國家/地區和州定義其成員資格的用戶範圍:

      使用進階查詢的調適型範圍範例。

      使用進階查詢建立器對這些範圍而言的其中一個優點,就是更廣泛的查詢運算子選擇:

      • and
      • or
      • not
      • eq (等於)
      • ne (不等於)
      • lt (小於)
      • gt (大於)
      • like (字串比較)
      • notlike (字串比較)
    • 針對 SharePoint 網站 範圍,請使用關鍵字查詢語言 (KQL)。 您可能已熟悉透過使用已編制索引的網站內容, 使用 KQL 搜尋 SharePoint。 若要協助您指定這些 KQL 查詢,請參閱 關鍵字查詢語言 (KQL) 語法參考

      例如,因為 SharePoint 網站範圍會自動包含所有 SharePoint 網站類型,包括 Microsoft 365 群組連線和 OneDrive 網站,所以您可以使用索引網站屬性 SiteTemplate 來包含或排除特定網站類型。 您可以指定的範本如下:

      • 新式通訊網站的 SITEPAGEPUBLISHING
      • Microsoft 365 群組連線網站的 GROUP
      • Microsoft Teams 私人頻道網站的 TEAMCHANNEL
      • 傳統 SharePoint 小組網站的 STS
      • OneDrive 網站的 SPSPERS

      因此,若要建立只包括新式通訊網站的調適型範圍,並排除 Microsoft 365 群組連線和 OneDrive 網站,請指定下列 KQL 查詢:

      SiteTemplate=SITEPAGEPUBLISHING
      

    您可以從範圍設定中單獨 驗證這些進階查詢

    提示

    若要排除非作用中信箱,您必須使用 [進階查詢建立器]。 反之,僅鎖定非作用中信箱。 針對此設定,請使用 OPATH 屬性 IsInactiveMailbox

    • 若要排除非作用中信箱,請確定此查詢包括:(IsInactiveMailbox -eq "False")
    • 若要僅鎖定非作用中信箱,請指定:(IsInactiveMailbox -eq "True")
  5. 視需要建立許多調適型範圍。 您可以在建立原則時選取一或多個調適型範圍。

注意事項

最多可能需要 5 天的時間才能完整填入查詢,且變更不會立即生效。 在您將新建立的範圍新增至原則之前等候數天,以納入此延遲。

若要確認調適型範圍的目前成員資格和成員資格變更:

  1. 按兩下 (或選取並按 Enter) 調適型範圍 頁面上的範圍

  2. 從飛出視窗 詳細資料 窗格中,選取 範圍詳細資料

    檢視可識別範圍中所有使用者、網站或群組的目前狀態資訊 (如果這些使用者、網站或群組已自動新增或遭到移除),以及該成員資格變更的日期和時間。

提示

使用 原則查閱 選項,協助您識別目前指派至特定使用者、網站和 Microsoft 365 群組的原則。

驗證進階查詢

您可以使用 PowerShell 和 SharePoint 搜尋來手動驗證進階查詢:

  • 針對範圍類型 使用者Microsoft 365 群組 使用 PowerShell
  • 使用 SharePoint 搜尋範圍類型 SharePoint 網站

若要使用 PowerShell 執行查詢:

  1. 使用具有適當 Exchange Online 系統管理員權限的帳戶連線到 Exchange Online PowerShell

  2. 使用 Get-RecipientGet-MailboxGet-User 搭配 -Filter 參數,並將您的 OPATH 查詢用於以大括弧括住的調適型範圍 ({})。 如果您的屬性值為字串,請使用雙引號或單引號括住這些值。

    您可以透過識別您所選擇查詢的 OPATH 屬性所支援的 Cmdlet,來判斷是否要使用 Get-Mailbox、Get-Recipient 或 Get-User 進行驗證。

    重要事項

    Get-Mailbox 不支援 MailUser 收件者類型,因此 Get-Recipient 或 Get-User 必須用於驗證在混合式環境中包含內部部署信箱的查詢。

    若要驗證使用者範圍,請使用適當的命令:

    • Get-Mailbox-RecipientTypeDetails UserMailbox,SharedMailbox,RoomMailbox,EquipmentMailbox
    • Get-Recipient-RecipientTypeDetails UserMailbox,MailUser,SharedMailbox,RoomMailbox,EquipmentMailbox

    若要驗證 Microsoft 365 群組 範圍,請使用:

    • Get-Mailbox-GroupMailboxGet-Recipient-RecipientTypeDetails GroupMailbox

    例如,若要驗證使用者範圍,您可以使用:

    Get-Recipient -RecipientTypeDetails UserMailbox,MailUser -Filter {Department -eq "Marketing"} -ResultSize Unlimited
    

    若要驗證 Microsoft 365 的群組範圍,您可以使用:

    Get-Mailbox -RecipientTypeDetails GroupMailbox -Filter {CustomAttribute15 -eq "Marketing"} -ResultSize Unlimited
    

    提示

    當您使用這些命令來驗證使用者範圍時,如果退回的收件者數目高於預期,則可能是因為它包含沒有調適型範圍有效授權的使用者。 這些使用者不會套用原則設定。

    例如,在混合式環境中,您可能會有未授權的同步處理使用者帳戶,不具備 Exchange 信箱內部部署或是在 Exchange Online 之中。 您可以執行下列命令來識別這些使用者:Get-User -RecipientTypeDetails User

  3. 確認輸出符合調適型範圍的預期使用者或群組。 如果沒有,請向相關系統管理員檢查您的查詢和值,以取得 Microsoft Entra ID 或 Exchange。

若要使用 SharePoint 搜尋執行查詢:

  1. 使用全域系統管理員帳戶或具有 SharePoint 系統管理員角色的帳戶,請移至 https://<your_tenant>.sharepoint.com/search
  2. 使用搜尋列以指定您的 KQL 查詢。
  3. 請確認搜尋結果符合調適型範圍的預期網站 URL。 如果不是,請使用 SharePoint 的相關系統管理員檢查您的查詢和 URL。