共用方式為

調適型範圍

Microsoft 365 安全性與合規性的授權指引

當您建立 通訊合規政策 或保留 政策時,可以為您的政策加入自適應範圍。 單一保單可以有一個或多個自適應範圍。

  • 自適應範圍使用你指定的查詢,因此你可以定義該查詢中包含的使用者或群組成員資格。 這些動態查詢每日會針對你為所選範圍指定的屬性或屬性執行。 你可以用一個或多個自適應範圍搭配單一政策。
  • 例如,你可以根據使用者部門依據其部門,使用現有的 Microsoft Entra 屬性,為使用者指派不同的政策設定,而不必負擔建立和維護群組的行政負擔。

使用自適應示波器的優點

使用自適應示波器的優點包括:

  • 每個原則的項目數量 沒有任何限制。 雖然調適型原則仍受限於 每個租用戶的原則數目上限 限制 ,但較彈性的設定可能會導致原則大幅減少。
  • 為您的保單提供更強大的目標鎖定。 例如,你可以根據使用者的地理位置指派不同設定,而不必負擔建立和維護群組的行政負擔。
  • 基於查詢的範圍能提供對業務變動的韌性,這些變化可能無法在群組成員或依賴跨部門溝通的外部流程中可靠反映。
  • 單一政策可以同時包含 Microsoft Teams 和 Viva Engage 的地點,而若不使用自適應範圍,則每個地點都需要自己的政策。
  • 支援 Microsoft Entra 管理單元

關於使用針對保留政策的自適應範圍的額外優勢,請參見「 自適應或靜態政策範圍用於保留」。

如需設定資訊,請參閱 設定調適型範圍

自適應範圍如何與 Microsoft Entra 管理單元合作

自適應範圍是在 Microsoft Purview 中建立與設定,以支援政策的動態目標鎖定以達成合規,而管理單元則是在 Microsoft Entra ID 中建立與設定。 它們提供將管理員指派到一個或多個管理單元的能力,因此這些受限制的管理員只能管理其分配管理單元內的使用者。 此配置支援最小權限的安全最佳實務。 通常,行政單位會圍繞特定的地理、部門或業務部門設計。

此管理邊界會匯入 Microsoft Purview,以支援解決方案,確保受限管理員只能管理他們被指派管理的使用者。

舉例來說明管理單元如何與自適應範圍整合,當受限合規管理員想為法國用戶建立一個自適應使用者範圍時:

  1. 合規管理員會被分配兩個行政單位:歐洲所有使用者北美洲所有使用者。 當他們建立自適應範圍時,可以選擇並指派這些行政單元。 他們無法建立一個自適應範圍來管理來自其他行政單位的使用者。
  2. 他們為使用者建立新的適應範圍,並選擇管理單位為 「所有歐洲使用者」。 接著,因為他們希望自適應範圍只適用於法國用戶,他們使用 Microsoft Entra ID 國家或地區屬性來指定法國 (CountryOrRegion = 法國) 。 如果他們錯誤設定了這個屬性,並在 Microsoft Entra ID(例如 India)中指定了有效值,但該值的使用者不包含在「所有歐洲使用者」管理單元中,那麼該範圍就不會包含任何使用者。
  3. 當只選擇此適應範圍針對所有使用者的政策時,該政策僅適用於法國用戶。
  4. 作為可重複使用的配置元素,相同的自適應範圍可用於其他合規政策。

如果合規管理員同時將兩個管理單元加入此自適應範圍,最終結果仍會相同,因為北美洲管理範圍的使用者並未指定法國為其國家或地區屬性。 不過,合規管理員知道他們必須只針對法國的使用者,因此只對歐洲行政單位查詢會更有效率。 如果需求有變動,你隨時可以新增或移除現有的自適應範圍中的管理單位。

調適型原則範圍的上限

你可以在政策中新增的自適應政策範圍數量沒有限制,但對於定義每個自適應範圍的查詢,有一些最大限制:

  • 屬性或內容值的字串長度:200
  • 沒有群組或在群組內的屬性或內容數目:10
  • 群組數目:10
  • 進階查詢中的字元數目:10,000
  • 不支援將群組內的屬性或內容群組。 這表示單一調適型範圍中支援的內容或屬性數目上限為 100。

配置自適應示波器

當您選擇使用調適型範圍時,系統會提示您選取想要的調適型類型。 有三種不同類型的調適型範圍,且每個範圍都支援不同的屬性或內容:

調適型範圍類型 支援的屬性或內容包括
使用者 - 適用於:
- 交換信箱
- OneDrive 帳戶
- Teams 聊天與副駕駛互動
- Teams 私人頻道訊息 (僅適用於 遷移前 的)
- Viva Engage 用戶訊息
- 團隊聊天
- Microsoft Copilot 使用體驗
- 企業級 AI 應用程式
- 其他 AI 應用程式		 名字
姓氏
顯示名稱
職稱
部門
辦公室
街道地址
城市
State 或 province
郵遞區號
國家或地區
電子郵件地址
別名
Exchange 自訂屬性:CustomAttribute1 - CustomAttribute15
SharePoint 網站 - 適用於:
- SharePoint 網站
- OneDrive 帳戶		 網站 URL
網站名稱
僅 SharePoint (自訂屬性) :RefinableString00 - RefinableString99
Microsoft 365 群組 - 適用於:
- Microsoft 365 群組信箱 & 站點
- Teams 頻道訊息 (標準、共享及私密 遷移後)
- Viva Engage 社群訊息
名稱
顯示名稱
描述
電子郵件地址
別名
Exchange 自訂屬性:CustomAttribute1 - CustomAttribute15

注意事項

關於通訊合規政策:

  • SharePoint 網站和 OneDrive 帳號不支援。
  • 支援排除使用者及 Microsoft 365 群組。

網站的屬性名稱是以 SharePoint 網站管理屬性為基礎。 如需自訂屬性的詳細資訊,請參閱 使用自訂 SharePoint 網站屬性套用具有調適型原則範圍的 Microsoft 365 保留

使用者與群組的屬性名稱基於可篩選的接收者屬性,這些屬性對應至 Microsoft Entra 屬性。 例如:

  • 別名會對應到 LDAP 名稱 mailNickname,該名稱在 Microsoft Entra 系統管理中心顯示為 Email
  • Email 位址會對應到 LDAP 名稱 proxyAddresses,該名稱在 Microsoft Entra 系統管理中心中顯示為代理位址

當您使用簡易查詢建立器設定調適型範圍時,可以輕鬆地指定表格中所列的屬性和內容。 使用「進階查詢建立器」支援的其他屬性和內容,如下列章節所述。

如何配置自適應示波器

設定調適型範圍之前,請使用上一章節以識別要建立的範圍類型,以及您將使用的屬性和值。 您可能需要與其他系統管理員合作以確認此資訊。

你需要為管理員指派正確的角色群組,建立自適應範圍。 任何擁有 範圍管理員 角色的角色群組都可以建立自適應範圍。 範圍經理角色包含於以下內建角色群組中:

  • 合規性系統管理員
  • 合規性資料系統管理員
  • 組織管理
  • 記錄管理
  • 通訊合規性
  • 通訊合規管理員

特別是在 SharePoint 網站中,如果您計畫使用自訂網站屬性,可能需要其他 SharePoint 設定。

要建立和配置自適應示波器,請使用以下指示。

  1. 登入 Microsoft Purview 入口網站>場景設定>角色與範圍>自適應瞄準鏡

  2. 自適應範圍頁面 ,選擇 + 建立範圍

  3. 請依照設定中首先要求指派行政單位的提示操作。 如果您的帳戶已被 分配管理單位,您必須選擇一個限制會員範圍的管理單位。

    注意事項

    由於管理單位尚未支援 SharePoint 站點,選擇管理單元時無法為 SharePoint 站點建立自適應範圍。

    如果你不想透過管理單元限制自適應範圍,或你的組織沒有設定管理單元,就保留 預設的 Full directory

  4. 選擇作用域類型,然後選擇你想用來建立動態成員的屬性或屬性,然後輸入屬性或屬性值。

    例如,若要設定將用來識別歐洲使用者的調適型範圍,請先選取 使用者 作為範圍類型,然後選取 國家/地區 屬性,然後輸入 歐洲

    調適型範圍設定範例。

    每日一次,此查詢會針對 Microsoft Entra ID 執行,並識別所有帳戶中國家或地區屬性中擁有歐洲指定值的用戶。

    重要事項

    因為不會立即執行此查詢,所以不會驗證您在值中的輸入是否正確。

    選取 新增屬性 (適用於使用者和群組) 或 新增屬性 (適用於網站),以使用受其範圍類型支援的任何屬性或內容組合,以及建立查詢的邏輯運算子。 受支援的運算子為 等於不等於開頭為開頭不為,且您可以將選取的屬性或內容組成群組。 例如:

    具有屬性群組的調適型範圍設定範例。

    或者,您可以選取 進階查詢建立器 指定您自己的查詢:

    • 對於 使用者Microsoft 365 群組 範圍:使用 OPATH 過濾語法。 例如,建立一個以部門、國家/地區及州定義會員資格的使用者範圍:

      使用進階查詢的調適型範圍範例。

      使用進階查詢建立器對這些範圍而言的其中一個優點,就是更廣泛的查詢運算子選擇:

      • and
      • or
      • not
      • eq (等於)
      • ne (不等於)
      • lt (小於)
      • gt (大於)
      • like (字串比較)
      • notlike (字串比較)

    • 對於 SharePoint 網站的範圍:使用 關鍵字查詢語言 (KeyQL) 。 你可能已經熟悉使用 KeyQL 透過索引網站屬性來搜尋 SharePoint。 為了幫助你指定這些KeyQL查詢,請參見關鍵字查詢語言 (KeyQL) 語法參考

      例如,由於 SharePoint 網站範圍自動包含所有 SharePoint 網站類型,包括 Microsoft 365 群組連接及 OneDrive 網站,你可以使用索引網站屬性 SiteTemplate 來包含或排除特定網站類型。 您可以指定的範本如下:

      • 新式通訊網站的 SITEPAGEPUBLISHING
      • Microsoft 365 群組連線網站的 GROUP
      • Microsoft Teams 私人頻道網站的 TEAMCHANNEL
      • 傳統 SharePoint 小組網站的 STS
      • OneDrive 網站的 SPSPERS

      因此,要建立一個只包含現代通訊網站且排除 Microsoft 365 連接網路及 OneDrive 網站的自適應範圍,請指定以下 KeyQL 查詢:

      SiteTemplate=SITEPAGEPUBLISHING

      您可以從範圍設定中單獨 驗證這些進階查詢

      提示

      若要排除非作用中信箱,您必須使用 [進階查詢建立器]。 反之,僅鎖定非作用中信箱。 針對此設定,請使用 OPATH 屬性 IsInactiveMailbox

      • 若要排除非作用中信箱,請確定此查詢包括:(IsInactiveMailbox -eq "False")
      • 若要僅鎖定非作用中信箱,請指定:(IsInactiveMailbox -eq "True")

  5. 視需要建立許多調適型範圍。 你可以在建立保單時選擇一個或多個自適應範圍。

最多可能需要 5 天的時間才能完整填入查詢,且變更不會立即生效。 請考慮這段延遲,請先等幾天再將新建立的範圍加入保單。

提示

對於資料生命週期管理與紀錄管理解決方案,請使用政策查詢選項,協助你辨識目前指派給特定使用者、站點及 Microsoft 365 群組的解決方案政策。

驗證進階查詢

您可以使用 PowerShell 和 SharePoint 搜尋來手動驗證進階查詢:

  • 針對範圍類型 使用者Microsoft 365 群組 使用 PowerShell
  • 使用 SharePoint 搜尋範圍類型 SharePoint 網站

若要使用 PowerShell 執行查詢:

  1. 使用具有適當 Exchange Online 系統管理員權限的帳戶連線到 Exchange Online PowerShell

  2. 使用 Get-RecipientGet-MailboxGet-User 搭配 -Filter 參數,並將您的 OPATH 查詢用於以大括弧括住的調適型範圍 ({})。 如果您的屬性值為字串,請使用雙引號或單引號括住這些值。

    您可以透過識別您所選擇查詢的 OPATH 屬性所支援的 Cmdlet,來判斷是否要使用 Get-Mailbox、Get-Recipient 或 Get-User 進行驗證。

    重要事項

    Get-Mailbox 不支援 MailUser 收件者類型,因此 Get-Recipient 或 Get-User 必須用於驗證在混合式環境中包含內部部署信箱的查詢。

    若要驗證使用者範圍,請使用適當的命令:

    • Get-Mailbox-RecipientTypeDetails UserMailbox,SharedMailbox,RoomMailbox,EquipmentMailbox
    • Get-Recipient-RecipientTypeDetails UserMailbox,MailUser,SharedMailbox,RoomMailbox,EquipmentMailbox

    若要驗證 Microsoft 365 群組 範圍,請使用:

    • Get-Mailbox-GroupMailboxGet-Recipient-RecipientTypeDetails GroupMailbox

    例如,為了驗證與部門屬性相關的使用者範圍,設定為 Marketing 值,你可以使用:

    Get-Recipient -RecipientTypeDetails UserMailbox,MailUser -Filter {Department -eq "Marketing"} -ResultSize Unlimited

    要驗證與 EmailAddresses 屬性相關的使用者範圍,通常需要 value 包含 smtp: 前綴。 例如排除一個 EmailAddresses 包含:admin@contoso.com

    Get-Mailbox -RecipientTypeDetails UserMailbox -Filter {EmailAddresses -notlike "smtp:admin@contoso.com"} -ResultSize Unlimited

    要驗證與 Microsoft 365 群組 範圍相關的 CustomAttribute15 屬性設定為 Marketing 值,您可以使用:

    Get-Mailbox -RecipientTypeDetails GroupMailbox -Filter {CustomAttribute15 -eq "Marketing"} -ResultSize Unlimited

    提示

    當您使用這些命令來驗證使用者範圍時,如果退回的收件者數目高於預期,則可能是因為它包含沒有調適型範圍有效授權的使用者。 這些使用者不會被套用政策設定。

    例如,在混合式環境中,您可能會有未授權的同步處理使用者帳戶,不具備 Exchange 信箱內部部署或是在 Exchange Online 之中。 您可以執行下列命令來識別這些使用者:Get-User -RecipientTypeDetails User

  3. 確認輸出符合調適型範圍的預期使用者或群組。 如果沒有,請向相關管理員查詢你的查詢及 Microsoft Entra ID 或 Exchange 的數值。

    提示

    這些指令的輸出可能與 Adaptive Scopes 頁面中同一篩選器的成員列表不符。 範圍細節中的成員清單顯示仲裁信箱在範圍內,而指令輸出則沒有。 此外,自適應範圍查詢變更可能需要長達 5 天才能生效,並反映在自適應範圍頁面的範圍細節檢視中。

若要使用 SharePoint 搜尋執行查詢:

  1. 使用擁有 SharePoint 管理員角色的帳號,請前往 https://<your_tenant>.sharepoint.com/search
  2. 使用搜尋欄指定您的 KeyQL 查詢。
  3. 請確認搜尋結果符合調適型範圍的預期網站 URL。 如果不是,請使用 SharePoint 的相關系統管理員檢查您的查詢和 URL。

查看自適應示波器會員資訊

在 Microsoft Purview 中建立自適應範圍查詢後,您可以查看該範圍的成員詳細資料。

請完成以下步驟以存取 Microsoft Purview 中自適應範圍的成員詳細頁面:

  1. 如果你還沒登入,請登入 Microsoft Purview 入口網站

  2. 選擇設定>角色與範圍> 自適應示波器

  3. 從列表中選擇一個現有的自適應示波器。

  4. 「詳情 」飛出窗格中,選擇 範圍詳細資料

  5. 畫面中顯示了範圍成員的名單。 請檢視列表中顯示「新增」的 狀態 欄位,該欄位顯示「 已新增 」或「 移除 」欄位,若該成員原本屬於自適應範圍但現在已移除,且已不再符合範圍查詢。

  6. 可選擇性地使用 匯出 選項,將顯示的範圍成員清單下載成 CSV 檔案。

注意事項

新增或移除成員的會員資料清單更新可能需要長達5天。 適應性範圍可能適用於超過100萬名會員;但會員資料最多只能顯示100萬名會員,涵蓋新增與移除會員。

  • Last updated on