Exchange Online Data Residency

  • 项目

Data Residency承诺可用

产品条款

必需条件:

租户的注册国家/地区包含在“本地区域地理”、“欧盟”或“美国”。

有关当前语言,请参阅隐私和安全产品条款 网页 ,并查看标题为“核心在线服务的静态客户数据的位置”部分。

承诺:

注意

如果客户在澳大利亚、巴西、加拿大、欧盟、法国、德国、印度、日本、挪威、卡塔尔、南非、韩国、瑞典、瑞士、阿拉伯联合酋长国、英国或美国预配其租户,Microsoft 将仅在该地理位置存储以下客户数据:Exchange Online邮箱内容 (电子邮件正文、日历条目以及电子邮件附件的内容)

高级Data Residency加载项

必需条件:

  1. 租户的注册国家/地区包含在 “本地区域地理”“扩展的本地区域地理位置”。
  2. 租户为租户中的所有用户提供有效的高级Data Residency订阅
  3. Exchange Online订阅客户数据是在“本地地理”或“扩展的本地地理位置”中预配的

承诺:

请参阅 ADR 承诺页 ,了解通过产品条款提供的特定承诺。 提交数据的示例包括:所有类型的邮箱,包括用户邮箱、资源邮箱和存档邮箱。

多地理位置加载项

必需条件:

  1. 租户具有有效的多地理位置订阅,该订阅涵盖分配给 附属地理位置的所有用户。
  2. 客户必须具有有效的企业协议。
  3. 购买的多地理位置单位总数必须大于租户中符合条件的用户总数的 5%。

承诺:

客户可以将 Multi-Geo 支持的“卫星地理”分配给受支持的邮箱类型。 有关详细信息,请参阅 Microsoft 365 多地理位置 页的 Microsoft 365 多地理位置可用性部分。 产品条款定义的邮箱Office 365服务的静态数据应存储在分配的卫星地理位置中。 支持的邮箱类型包括Exchange Online用户主邮箱和存档邮箱、资源邮箱、Microsoft 365 组邮箱和共享邮箱。

Exchange Online 中的多地理位置功能

客户可将 Multi-Geo 支持的“卫星地理” 分配给用户。 有关详细信息,请参阅 Microsoft 365 多地理位置 页的 Microsoft 365 多地理位置可用性部分。 产品条款定义的Office 365服务的静态数据应存储在分配的卫星地理位置中。 这包括所有类型的Exchange Online邮箱,包括用户邮箱、资源邮箱、Microsoft 365 组邮箱、共享邮箱和存档邮箱。

可以通过以下方式将邮箱放置在 “卫星地理位置” 位置:

  1. 直接在卫星地理位置创建新的Exchange Online邮箱。
  2. 通过更改用户的首选数据位置,将现有Exchange Online邮箱移动到卫星地理位置位置。
  3. 将邮箱从本地 Exchange 组织直接载入到 卫星地理位置 位置。

邮箱放置和移动

Microsoft 完成先决条件的多地理位置配置步骤后,Exchange Online将在 Microsoft Entra ID 中对用户对象使用 PreferredDataLocation 属性。 Exchange Online将 PreferredDataLocation 属性从 Microsoft Entra ID 同步到 Exchange Online 目录服务中的 MailboxRegion 属性。 MailboxRegion 的值确定放置用户邮箱和任何关联的存档邮箱的区域地理或本地区域地理位置。 无法将用户的主邮箱和存档邮箱配置为驻留在不同的 地理位置 。 每个用户对象只能配置一个 宏区域Geography 或 Local Region Geography

  • 在具有现有邮箱的用户上配置 PreferredDataLocation 时,邮箱将放入重定位队列中,并自动移动到指定的 “宏区域地理位置” 或“ 本地区域地理位置”。
  • 在没有现有邮箱的用户上配置 PreferredDataLocation 时,在预配邮箱时,它会预配到指定的 宏区域“地理” 或“ 本地区域地理位置”。
  • 如果未在用户上指定 PreferredDataLocation,则预配邮箱时,它会在 “主要预配地理位置”中预配。
  • 例如,如果 PreferredDataLocation 代码不正确 (NAN 而不是 NAM) 拼写错误,则会在 主要预配地理位置中预配邮箱。

注意

多地理位置功能和Skype for Business联机区域托管会议都对用户对象使用 PreferredDataLocation 属性来查找服务。 如果在区域托管会议的用户对象上配置 PreferredDataLocation 值,在 Microsoft 365 租户上启用多地理位置后,这些用户的邮箱将自动移动到指定的 “宏区域地理 ”或“ 本地区域地理 ”。

Exchange Online中多地理位置的功能限制

  • 安全性和合规性功能 (例如,在多地理位置组织中不提供 Exchange 管理中心提供的审核和电子数据展示) (EAC) 。 相反,需要使用 Microsoft Defender 和 Microsoft Purview 来配置安全性和合规性功能。
  • Outlook for Mac用户在将邮箱移动到新的 Geography 位置时,可能会暂时失去对其联机存档文件夹的访问权限。 如果用户的主邮箱和存档邮箱位于不同的 地理位置 ,则会出现这种情况,因为跨地理位置邮箱移动可能在不同的时间完成。
  • 用户无法在以前称为 Outlook Web App 或 OWA) 的 Outlook 网页版 (地理位置之间共享邮箱文件夹。 例如,欧盟用户无法使用 Outlook 网页版打开位于 美国 邮箱中的共享文件夹。 但是,Outlook 网页版用户可以通过使用单独的浏览器窗口在不同地理位置打开其他邮箱,如在 Outlook Web App 中的单独浏览器窗口中打开其他人的邮箱中所述。

注意

Windows 版 Outlook 支持跨地理位置邮箱文件夹共享。

  • 多地理位置组织支持公用文件夹。 但是,公用文件夹必须保留在 “主要预配的地理位置 ”位置。 无法将公用文件夹移动到卫星地理位置。
  • 在多地理位置环境中,不支持跨地理位置邮箱审核。 例如,如果向用户分配了访问不同 地理位置 的共享邮箱的权限,则该用户执行的邮箱操作不会记录到共享邮箱的邮箱审核日志中。 Exchange 管理员审核事件也仅适用于默认位置。 有关详细信息,请参阅管理邮箱审核。

管理 Exchange 多地理位置

在多地理位置环境中管理Exchange Online邮箱

Exchange Online PowerShell 是查看和配置 Microsoft 365 环境中的多地理位置属性所必需的。 若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell

在Exchange Online Multi-Geo环境中,无需执行任何手动步骤即可将地理位置添加到租户。 收到消息中心帖子,指出多地理位置已准备好Exchange Online后,所有可用的地理位置将准备就绪,并配置供你使用。

使用 Exchange Online PowerShell 直接连接到某个地理位置

通常,Exchange Online PowerShell 连接到主预配地理位置。 但是,也可以直接连接到 卫星地理位置 。 由于性能改进,建议仅在该位置管理用户时直接连接到 “卫星地理位置 ”位置。

安装和维护 Exchange Online PowerShell 模块中介绍了安装并使用 Exchange Online PowerShell 模块的要求。

若要Exchange Online PowerShell 连接到特定 Geography 位置,ConnectionUri 参数不同于常规连接说明。 命令和值的其余部分是相同的。

具体而言,需要将值添加到 ?email=<emailaddress> ConnectionUri 值的末尾,其中 <emailaddress> 是目标 Geography 位置中任何邮箱的电子邮件地址。 你对该邮箱的权限或与凭据的关系不是一个因素;电子邮件地址只是告知Exchange Online PowerShell 连接的位置。

Microsoft 365 或 Microsoft 365 GCC 客户通常不需要使用 ConnectionUri 参数连接到 Exchange Online PowerShell。 但是,若要连接到特定的 Geography 位置,确实需要使用 ConnectionUri 参数,以便在 ?email=<emailaddress> 值中使用。

在 PowerShell Exchange Online 连接到 Geography 位置

以下连接说明适用于为或未配置多重身份验证的帐户, (MFA) 。

  1. 在 Windows PowerShell 窗口中,通过运行以下命令加载 EXO V2 模块:
Import-Module ExchangeOnlineManagement
  1. 在以下示例中, admin@contoso.onmicrosoft.com 是管理员帐户,目标地理位置是邮箱 olga@contoso.onmicrosoft.com 所在的位置。
Connect-ExchangeOnline -UserPrincipalName admin@contoso.onmicrosoft.com -ConnectionUri https://outlook.office365.com/powershell?email=olga@contoso.onmicrosoft.com
  1. 在出现的提示中输入 admin@contoso.onmicrosoft.com 的密码。 如果为 MFA 配置了帐户,则还需要输入安全代码。

查看Exchange Online组织中配置的可用地理位置

若要查看 Microsoft 365 多地理位置中配置的地理位置列表,请在 Exchange Online PowerShell 中运行以下命令:

Get-OrganizationConfig | Select -ExpandProperty AllowedMailboxRegions | Format-Table

查看Exchange Online组织的主要预配地理位置

若要查看租户的主要预配地理位置,请在 PowerShell Exchange Online 运行以下命令:

Get-OrganizationConfig | Select DefaultMailboxRegion

查找邮箱的地理位置

Exchange Online PowerShell 中的 Get-Mailbox cmdlet 显示邮箱的以下多地理位置相关属性:

  • 数据库:数据库名称的前三个字母对应于 Geography 代码,该代码指示邮箱当前所在的位置。 对于在线存档邮箱,应使用 ArchiveDatabase 属性。
  • MailboxRegion:指定管理员设置的 Geography 位置代码 (从 Microsoft Entra ID) 中的 PreferredDataLocation 同步。
  • MailboxRegionLastUpdateTime:指明 MailboxRegion 的最后(自动或手动)更新时间。

若要查看邮箱的这些属性,请使用以下语法:

Get-Mailbox -Identity <MailboxIdentity> | Format-List Database,MailboxRegion*

例如,若要查看邮箱 chris@contoso.onmicrosoft.com的地理位置信息,请运行以下命令:

Get-Mailbox -Identity chris@contoso.onmicrosoft.com | Format-List Database, MailboxRegion*

此命令的输出如下所示:

Database   : EURPR03DG077-db007
MailboxRegion  : EUR
MailboxRegionLastUpdateTime : 2/6/2018 8:21:01 PM

注意

如果数据库名称中的 Geography 位置代码与 MailboxRegion 值不匹配,则邮箱将自动放入重定位队列,并移动到 MailboxRegion 值指定的 Geography 位置, (Exchange Online 查找这些属性值) 不匹配。

将现有的仅限云邮箱移动到特定地理位置

注意

Azure Active Directory (AzureAD) PowerShell 模块即将弃用,并替换为 Microsoft Graph PowerShell SDK。 可以使用 Microsoft Graph PowerShell SDK 访问所有 Microsoft Graph API。 有关详细信息,请参阅 Microsoft Graph PowerShell SDK 入门

另请参阅 安装 Microsoft Graph PowerShell SDK从 Azure AD PowerShell 升级到 Microsoft Graph PowerShell ,了解如何分别安装和升级到 Microsoft Graph PowerShell。

仅限云的用户是未通过 Microsoft Entra Connect 同步到租户的用户。 此用户直接在 Microsoft Entra ID 中创建。 使用 Microsoft Graph PowerShell SDK 中的 Get-MgUserSet-MgUser cmdlet 查看或指定将存储仅限云用户的邮箱的 Geography 位置。

首先,必须使用 Microsoft Graph PowerShell 会话中将执行的操作所需的权限范围连接到 Microsoft Graph。

Microsoft Graph PowerShell SDK 支持两种类型的身份验证:委派访问和仅应用访问。 在本指南中,你将使用委派访问权限以用户身份登录,授予 SDK 代表你执行操作的许可,并调用 Microsoft Graph。

有关对无人参与方案使用仅限应用访问的详细信息,请参阅将仅限应用的身份验证与 Microsoft Graph PowerShell SDK 配合使用。

确定所需的权限范围

Microsoft Graph 中的每个 API 都受一个或多个权限范围的保护。 登录的用户必须同意你计划使用的 API 所需的范围之一。 在此示例中,我们将使用以下 API。

列出用户以查找已登录用户的用户 ID。 修改用户的 PreferredDataLocation 值。

User.Read.All 权限范围启用第一次调用,User.ReadWrite.All 范围启用第二次调用。 这些权限需要管理员帐户。

有关如何确定所需的权限范围的详细信息,请参阅 使用 Find-MgGraphCommand cmdlet

若要连接到 Microsoft 365 组织,请运行以下命令:

Connect-MgGraph -Scopes "User.Read.All","Group.ReadWrite.All"

命令会提示你转到网页以使用凭据登录。 完成此操作后,命令指示“欢迎使用 Microsoft Graph”成功! 消息。 每个会话只需登录一次。

提示

可以通过使用新的权限范围重复 Connect-MgGraph 命令来增加权限。

若要查看用户的 PreferredDataLocation 值,请在 Microsoft Graph PowerShell 中使用以下语法:

Get-MgUser -ConsistencyLevel eventual -Count userCount -Search '"UserPrincipalName:<UserPrincipalName>"' | Format-List UserPrincipalName,PreferredDataLocation

例如,若要查看用户 michelle@contoso.onmicrosoft.com 的 PreferredDataLocation 值,请运行以下命令:

Get-MgUser -ConsistencyLevel eventual -Count userCount -Search '"UserPrincipalName:michelle@contoso.onmicrosoft.com"' | Format-List

若要修改仅限云的用户对象的 PreferredDataLocation 值,请在 Microsoft Graph PowerShell 中使用以下语法:

Update-MgUser -UserID <UserID> -PreferredDataLocation <GeoLocationCode>

例如,若要将 PreferredDataLocation 值设置为用户的 eu (EUR) geo michelle@contoso.onmicrosoft.com,请从最后一个命令输出中获取 UserID 值并运行以下命令:

Update-MgUser -UserID michelle@contoso.onmicrosoft.com -PreferredDataLocation EUR

注意

  • 如前所述,不能对本地 Active Directory中的同步用户对象使用此过程。 需要更改 Active Directory 中的 PreferredDataLocation 值,并使用 Microsoft Entra Connect 进行同步。 有关详细信息,请参阅 Azure Active Directory Connect 同步:为 Microsoft 365 资源配置首选数据位置

  • 将邮箱重定位到新的地理位置所花费的时间取决于若干因素:

  • 邮箱的大小和类型。

  • 正在移动的邮箱数量。

  • 移动资源的可用性。

将非活动邮箱移动到特定 地理位置

无法移动出于符合性目的而保留 (例如,通过更改 PreferredDataLocation 值) 诉讼保留上的邮箱。 若要将非活动邮箱移动到其他 Geography,请执行以下步骤:

  1. 恢复非活动邮箱。 有关说明,请参阅 恢复非活动邮箱

  2. 通过将 MailboxIdentity> 替换为<邮箱的名称、别名、帐户或电子邮件地址,并在 Exchange Online PowerShell 中运行以下命令,防止托管文件夹助理处理恢复的邮箱:

Set-Mailbox <MailboxIdentity> -ElcProcessingDisabled $true

  1. Exchange Online计划 2 许可证分配给恢复的邮箱。 此步骤需要将邮箱重新置于诉讼保留状态。 有关说明,请参阅 向用户分配许可证

  2. 在邮箱上配置 PreferredDataLocation 值,如上一部分所述。

  3. 确认邮箱移动到新的地理位置后,将恢复的邮箱重新置于诉讼保留状态。 有关说明,请参阅 将邮箱置于诉讼保留状态

  4. 验证诉讼保留是否已到位后,允许托管文件夹助理再次处理邮箱,方法是<将 MailboxIdentity> 替换为邮箱的名称、别名、帐户或电子邮件地址,并在 PowerShell Exchange Online 运行以下命令:

Set-Mailbox <MailboxIdentity> -ElcProcessingDisabled $false
  1. 通过删除与邮箱关联的用户帐户,使邮箱再次处于非活动状态。 有关说明,请参阅 从组织中删除用户。 此步骤还会发布用于其他用途的 Exchange Online 计划 2 许可证。

注意:将非活动邮箱移动到其他地理位置时,可能会影响内容搜索结果或从以前的地理位置搜索邮箱的能力。 有关详细信息,请参阅 在多地理位置环境中搜索和导出内容

在特定 地理位置 创建新的云邮箱

若要在特定 地理位置 创建新邮箱,需要执行以下步骤之一:

  • 在 Exchange Online 中创建邮箱之前,请配置 PreferredDataLocation 值,如将现有仅限云邮箱移动到特定地理位置部分中所述。 例如,在分配许可证之前,为用户配置 PreferredDataLocation 值。

  • 在设置 PreferredDataLocation 值的同时分配许可证。

若要在特定地理位置创建新的仅限云许可的用户 (不Microsoft Entra Connect 同步) ,请在 Microsoft Graph PowerShell 中使用以下语法:

$params = @{
	accountEnabled = $true
	displayName = "<display name>"
	mailNickname = "<mailbox name>"
	userPrincipalName = "<sign-in name>"
	usageLocation = "<ISO 3166-1 alpha-2 country code>"
	passwordProfile = @{
		forceChangePasswordNextSignIn = $true
		password = "<temp password>"
	}
}

$user = New-MgUser -BodyParameter $params

$EmsSku = Get-MgSubscribedSku -All | Where SkuPartNumber -eq '<license SKU ID>'
Set-MgUserLicense -UserId $user.Id -AddLicenses @{SkuId = $EmsSku.SkuId} -RemoveLicenses @()

提示

usageLocation ISO 标准 3166) (两个字母的国家/地区代码。 对于由于法律要求而分配许可证的用户需要检查国家/地区的服务可用性。 示例包括:US、JP 和 GB。

此示例使用以下值为 Elizabeth Brunner 创建新的用户帐户:

  • 用户主体名称:ebrunner@contoso.onmicrosoft.com
  • 名字:Elizabeth
  • 姓氏:Brunner
  • 显示名称:Elizabeth Brunner
  • 密码:以哈希表的形式手动添加密码
  • 许可证:contoso:ENTERPRISEPREMIUM (E5)
  • 位置:澳大利亚 (AU)

首先,使用 Microsoft Graph Powershell 连接到 Microsoft 365 租户

连接后,使用以下语法创建单个帐户:

$params = @{
	accountEnabled = $true
	displayName = "Elizabeth Brunner"
	mailNickname = "ElizabethB"
	userPrincipalName = "ebrunner@contoso.onmicrosoft.com"
	usageLocation = "AU"
	passwordProfile = @{
		forceChangePasswordNextSignIn = $true
		password = "xWwvJ]6NMw+bWH-d"
	}
}

$user = New-MgUser -BodyParameter $params

$EmsSku = Get-MgSubscribedSku -All | Where SkuPartNumber -eq 'ENTERPRISEPREMIUM'
Set-MgUserLicense -UserId $user.Id -AddLicenses @{SkuId = $EmsSku.SkuId} -RemoveLicenses @()

有关创建新用户帐户和在 Azure AD PowerShell 中查找 LicenseAssignment 值的详细信息,请参阅使用 PowerShell 创建用户帐户使用 PowerShell 查看许可证和服务

注意

如果使用 Exchange Online PowerShell 启用邮箱,并且需要直接在 PreferredDataLocation 中指定的地理位置创建邮箱,则需要直接针对云服务使用 Exchange Online cmdlet,例如 Enable-MailboxNew-Mailbox。 如果在本地 Exchange PowerShell 中使用 Enable-RemoteMailbox cmdlet,则会在 “主要预配的地理位置 ”位置创建邮箱。

在特定 地理位置 载入现有本地邮箱

你可以使用标准载入工具和流程将邮箱从本地 Exchange 组织迁移到 Exchange Online,这些工具和流程包括 EAC 中的“迁移”仪表板,以及 Exchange Online PowerShell 中的 New-MigrationBatch cmdlet。

第一步是验证每个要加入的邮箱是否存在用户对象,并验证在 Microsoft Entra ID 中配置了正确的 PreferredDataLocation 值。 载入工具遵循 PreferredDataLocation 值,并将邮箱直接迁移到指定的地理位置。

或者,可以使用以下步骤在 PowerShell 中使用 New-MoveRequest cmdlet 直接在特定地理位置加入邮箱Exchange Online。

  1. 验证要加入的每个邮箱是否存在用户对象,以及 PreferredDataLocation 是否设置为Microsoft Entra ID中所需的值。 PreferredDataLocation 的值将同步到 Exchange Online 中对应邮件用户对象的 MailboxRegion 属性。

  2. 使用本文前面的连接说明直接连接到特定的 卫星地理位置

  3. 在 Exchange Online PowerShell 中,运行以下命令,将用于执行邮箱迁移的本地管理员凭据存储在变量中:

$RC = Get-Credential
  1. 在 Exchange Online PowerShell 中,创建一个类似于以下示例的新 New-MoveRequest
New-MoveRequest -Remote -RemoteHostName mail.contoso.com -RemoteCredential $RC -Identity user@contoso.com -TargetDeliveryDomain <YourAppropriateDomain>

  1. 对需要从本地 Exchange 迁移到当前连接到的附属地理位置的每个邮箱重复步骤 4。

  2. 如果需要将其他邮箱迁移到不同的附属地理位置,请为每个特定位置重复步骤 2 到步骤 4。

多地理位置报告

注意

多地理位置报告功能目前为预览版,并非在所有组织中都可用,并且可能会发生更改。

Microsoft 365 管理中心中的多地理位置使用情况报告地理位置显示用户计数。 报表显示当前月份的用户分布情况,并提供过去六个月的历史数据。

迁移

由于将每个用户移动到单个租户的新数据中心 Geography 需要时间,因此在移动期间,某些用户将位于旧数据中心 Geography 中,而另一些用户则位于新数据中心 Geography 中。 这意味着,在移动过程中,涉及访问多个邮箱的某些功能可能无法完全正常工作,这可能会持续数周。 以下部分介绍了这些功能。

在 Outlook Web Access 中打开“共享文件夹”

某些用户从另一个邮箱打开共享文件夹文件夹, (该用户具有使用“共享文件夹”功能在 Outlook Web Access 中) 的读取或写入权限。 下表介绍了在邮箱移动期间如何访问共享文件夹。 请注意,对共享邮箱具有完全权限的用户可以在移动过程中使用 Outlook Web Access 打开邮箱。

配置 说明
用户具有对另一个邮箱的邮箱文件夹权限
 可能有限。
如果用户 A 和邮箱 B 在租户移动期间不在同一 地理位置 ,如果用户 A 仅有权访问邮箱 B 中的特定文件夹,则用户 A 无法在 Outlook Web Access 中打开邮箱 B 的文件夹。
若要添加共享文件夹,请右键单击左侧导航面板中的用户名,然后选择“ 添加共享文件夹”。
对另一个邮箱具有完全邮箱权限的用户
 完全支持。
如果用户 A 对邮箱 B 具有 完全访问权限 ,则用户 A 可以在 Outlook Web Access 的左侧导航面板中选择共享文件夹,以打开显示邮箱 B 的窗口。用户在移动过程中可以使用 Outlook Web Access 打开共享邮箱,而不会造成任何不利影响。 此限制仅适用于邮箱中的文件夹级共享。

在Exchange Online期间将电子邮件数据迁移到 Microsoft 365 的过程是一种常见方案,并且受支持。 数据中心地理位置之间的云迁移不会干扰任何本地到云邮箱的迁移。

如何确定客户数据位置?

可以在租户管理员中心中找到实际数据位置。 租户管理员可通过导航到“管理员-Settings-Org> Settings-Organization> Profile-Data>> Location”,找到已提交数据的实际数据位置。