Microsoft 365 アイテム保持ポリシーのアダプティブ スコープの使用

Microsoft 365 アイテム保持ポリシーのアダプティブ スコープの使用

静的ロケーションから動的ロケーションへの移動

Microsoft 365 のアイテム保持ポリシーを使用すると、組織は複数のワークロードに対する情報の保持方法と削除方法を制御できます。最近まで、保持ポリシーは静的でした。つまり、ポリシーを作成すると、管理者がポリシーを更新して場所 (メールボックス、サイト、グループ) を追加または削除するまで、ポリシーのターゲットの場所は変更されません。たとえば、新しい役員が入社し、管理者が役員に適用するアイテム保持ポリシーを修正して、メールボックスとビジネス アカウントの OneDrive を追加するとします。

2021 年 8 月に可用性のフラグが設定されました。Microsoft では、保持ポリシーのアダプティブ スコープをパブリック プレビューで利用できるようになるのに少し時間がかかりました。これで、Office 365 E5 ライセンスまたは Microsoft 365 E5 コンプライアンス ライセンスを持つテナントは、Microsoft 365 コンプライアンス センターの情報ガバナンス セクションで利用可能な適応範囲を確認する必要があります。一般的な可用性は、おそらく2022年初頭に、そのうちに続くでしょう。

適応範囲とは何ですか?

アダプティブ スコープは、ターゲット位置のサブセットを識別するために使用されるフィルターです。Microsoft 365 は既に Exchange Online 動的配布リストや動的な Microsoft 365 グループ (およびチーム) などの機能でフィルタを使用しているため、これは画期的なテクノロジではありません。違いは、1 つ以上のアダプティブ スコープを保持ポリシーに関連付けることができるということです。この場合、Microsoft 365 は、ポリシーのターゲットの場所のセットを識別するために、Azure AD に対してアダプティブ スコープに含まれるフィルターを解決し、スコープ条件を満たすか満たさない場所を含めるか除外するかを継続的に行います。つまり、アダプティブ スコープは、保持ポリシーの場所管理を自動的に行う必要があります。次のようなシナリオでの保持ポリシーの適用に対応する場合に適しています。

  • 特定の部門に属している、または特定の国に所在するすべての Azure AD アカウント。
  • 特定の種類のすべての SharePoint オンライン サイト。
  • 製品情報を保持するすべての Microsoft 365 グループ。

実際、カスタム プロパティを使用してユーザー、グループ、またはサイトを特定できる場所であればどこでも、アダプティブ スコープを使用して、その場所にアイテム保持ポリシーを検索して適用できます。

この記事では、ユーザーとグループのアイテム保持ポリシーでアダプティブ スコープを使用する方法について説明します。SharePoint Online と OneDrive for Business を対象とした保持ポリシーの適応型スコープは、同じ基本的なアプローチを使用しますが、独自の癖があるので、別の記事で説明します。

適応型スコープ要件

適応範囲の仕組みの詳細を説明する前に、2つの重要な点を理解する必要があります。まず、静的な場所を使用して適応型スコープを使用する既存のアイテム保持ポリシーを更新することはできません。代わりに、同じ場所のセットを検索し、古い静的ポリシーを置き換えるためにそれを使用する適応スコープを持つ新しい保持ポリシーを作成します。スイッチオーバーを円滑に行うために、新しいポリシーがすべてのターゲットの場所でアクティブになるまで、古いポリシーはそのまま残る必要があります。

2 つ目のポイントは、静的保持ポリシーは Office 365 E3 でカバーされますが、適応型スコープには Office 365 E5 または Microsoft 365 E5 ライセンスが必要です。つまり、アダプティブ スコープのメリットを得るアカウントには、E5 ライセンスが必要です。これは、ライセンスが Microsoft 365 内の自動管理に E5 ライセンスを必要とする通常の方法に従っているため、この方法が期待されます。

スコープの種類

アダプティブ スコープは、Microsoft 365 コンプライアンス センターの情報ガバナンス セクション (または既にそのソリューションを使用している場合はレコード管理) を通じて管理され、次の 3 つのタイプがあります。

  • ユーザー: メールボックス、ビジネス アカウントの OneDrive、および Exchange Online でキャプチャされたコンプライアンス レコードに適用されますチームのチャットの会話と Yammer ユーザー メッセージ (Yammer ネットワークが Microsoft 365 ネイティブ モードの場合)。この種類のスコープは、チームおよび Yammer メッセージに明示的にフィルター処理されません。これらは、他のユーザーのメールボックスの内容と共に処理されます。
  • サイト: SharePoint オンライン サイトとビジネス アカウントの OneDrive (URL、名前、または絞り込み可能な文字列で識別される場合)。
  • マイクロソフト 365 グループ: この種類のスコープは、グループ メールボックスのコンプライアンス レコードとしてキャプチャされた Teams チャネルの会話と Yammer コミュニティ メッセージを対象とします。

アダプティブ スコープ内での場所の種類 (サイトやメールボックスなど) を混在させることはできませんが、1 つのアイテム保持ポリシーに複数のアダプティブ スコープを含め、複数のアイテム保持設定を複数のアイテムに適用できます。ワークロードを確認します。また、同じ種類の複数の適応型スコープ (ユーザーの 3 つのアダプティブ スコープなど) を 1 つのアイテム保持ポリシーに含めることもできます。

当然ながら、保持ポリシー内でアダプティブ スコープを混合して一致させることにより、柔軟性が大幅に向上します。Microsoft 365 では Azure AD に対するフィルターが継続的に評価されるため、組織全体に適用されない静的保持ポリシー (100 の SharePoint Online サイトや 1,000 個のメールボックスなど) に含まれる場所に対して存在する制限は存在しません。適応範囲は、500,000 ユーザーまたは 100,000 サイトをカバーできます。

ユーザー適応スコープの作成

動的な Azure AD グループで動作するため、ユーザー アダプティブ スコープの種類は、作成と理解が最も簡単です。Microsoft 365 コンプライアンス センターの[情報ガバナンス]セクションで、[適応型スコープ (プレビュー)]を選択し、新しいスコープを作成します。スコープに名前と説明を付け、スコープの種類を定義します。この時点で、ユーザー、サイト、および Microsoft 365 グループから 1 つを選択します。[ユーザー]を選択します。

コンプライアンス センターが開き、フィルターで使用されるプロパティと値を定義できるクエリ ビルダーが開きます (図 1)。

Azure AD アカウントを検索するためのユーザー 適応スコープの作成
図 1: Azure AD アカウントを検索するためのユーザー アダプティブ スコープの作成

クエリ ビルダーは簡単で、説明はあまり必要ありません。クエリ ビルダは、次の 4 つの演算子をサポートします。

  • は等しい。
  • は等しくありません。
  • で始まります。
  • で始まりではありません。

クエリは Azure AD に対して行われるため、すべてのメールボックス プロパティをクエリに含めるわけではありません。図 1 に示すプロパティを使用できます (15 個の単一値カスタム属性は使用できますが、5 つの複数値のカスタム属性は使用できません)。同じプロパティの複数の値をチェックする場合は、複数のテストを使用します (図 1 では、役職のバリエーションを確認します)。

高度なクエリ ビルダーは、OPATH 構文でクエリを入力するフィールドに過ぎません。たとえば、IT 部門に属し、職務に就いているユーザーが “Architect" で、カスタム属性 4 に “IC" がある場合、クエリは次のようになります。

高度なクエリでは、より幅広い演算子セットを使用できます( という感じで そして 好きではない 文字列比較)。たとえば、次のクエリでは、営業部門で始まるすべての部門のユーザーが検索され、その職権にはマネージャが含まれています。

高度なクエリはより柔軟ですが、Azure AD アカウント プロパティの同じセットに制限されます。たとえば、動的グループで使用される OPATH クエリを使用してテストし、Office 365 E5 でライセンス供与されたアカウントを見つけました (以下)。Azure AD は、クエリを解決してグループ メンバーシップを計算できます。しかし、適応スコープでは機能しません。

スコープの結果の検証

マイクロソフトはすでにたくさんの人を持っています 保存処理に使用されるプロセス.ソースによると、新しいプロセスは、スコープが検索する場所を決定するためにアダプティブ スコープのクエリを解決しました。プロセスは毎日実行されますが、可能なすべての場所を見つけるためにいくつかの実行が必要な場合があります。クエリ ビルダーはクエリを解決しないか、期待される結果を表示する方法がないため、スコープが EXP を返すことをすぐに証明する方法はありませんアカウント、サイト、またはグループの一連のエクスクト。代わりに、バックグラウンド ジョブがスコープを処理して結果を使用可能にする前に待機する必要があります。Microsoft によると、これには最大 5 日かかる可能性があり (通常はユーザーやグループの場合は高速です)、適応型スコープの展開が非常に面倒な場合があります。保持ポリシーで作成した直後にスコープを使用できるため、スコープの計算された場所のセットを確認する必要はありません。ただし、アイテム保持ポリシーで使用する前に、スコープが適切なアカウントを見つけることを確信する方が明らかに優れています。

スコープに対して計算されたターゲットの場所のセットを確認するには、そのスコープを選択し、フライアウト ペインでスコープの詳細を選択します (図 2)。「」が表示される場合は、利用できるデータがありませんつまり、クエリが何も見つからなかったか、バックグラウンド プロセスでクエリがまだ解決されていないかを意味します。

ユーザー適応スコープによって検出された場所のセットの確認
図 2: ユーザー適応スコープによって検出された場所のセットの確認

クエリの結果が不完全である可能性もあります。1 日ほど後にスコープの結果を確認し、2 つのメールボックスを見つけ、別の日の後にもう一度チェックして、期待していたフル セットを見つけました。Microsoft 365 は、数十万台のサーバーに分散した非常に分散した環境であるため、処理に時間がかかることは理解できます。それでも、Azure AD が動的グループ メンバーシップを高速に計算する可能性があることを考えると、適応型スコープの結果が非常に遅い理由は不可解です。

一連のスコープ結果が表示されたら、ユーザー アダプティブ スコープに対して返される場所のセットを比較できます。 受信者を取得する 同じクエリを使用してコマンドレットを実行します。たとえば、同等の 受信者を取得する OPATH クエリのコマンド:

です:

両方の場合 受信者を取得する スコープの詳細が一致し (図 2 のリストに基づくように)、スコープが期待どおりに機能していることを確認できます。

グループアダプティブ スコープの作成

グループアダプティブ スコープを作成するプロセスは、グループ アダプティブ スコープを作成する場合と同様ですが、クエリの構築に使用できるプロパティのセットが小さいという点だけが異なります。グループには、通常、部門、都市、国などが割り当てられていません。実際には、表示名や説明でフィルター処理できますが、カスタム プロパティは、グループアダプティブ スコープで使用されるほとんどのフィルターのベースとなる可能性があります。図 3 は、使用可能なプロパティのセットを示しています。

Microsoft 365 グループのアダプティブ スコープの作成
図 3: Microsoft 365 グループのアダプティブ スコープの作成

図 3 ではフィルター条件は表示できませんが、CustomAttribute15 で “France" が設定されているグループを探すことを選択しました。同等の 受信者を取得する コマンドは次のとおりです。

ここでも、スコープの詳細を使用して、アダプティブ スコープが見つけたグループを確認できます。

アダプティブ スコープで見つかった Microsoft 365 グループのセットの表示
図 4: アダプティブ スコープで見つかった Microsoft 365 グループのセットを表示する

保持ポリシーでのアダプティブ スコープの使用

アダプティブ スコープを使用して、保持ポリシーのターゲットの場所を選択するのは簡単です。保持ポリシーを静的から適応型にアップグレードすることはできませんので、アダプティブ スコープを使用するには新しいポリシーを作成する必要があります。

新しい保持ポリシーを作成する場合は、静的または適応性を選択できます。次の手順では、使用するアダプティブ スコープを少なくとも 1 つ選択します。複数のヨーロッパ諸国の従業員に同じ保持ポリシーを適用する例のように、1 つのアイテム保持ポリシーに複数のスコープを組み合わせることができます。

図 5 では、保持ポリシーには 2 つの適応可能なスコープがあります。アダプティブ スコープを選択すると、Microsoft 365 は有効な場所の種類を計算します。この場合、どちらもユーザー適応スコープであるため、ターゲットの場所はこのスコープタイプに対して有効な場所です。

Microsoft 365 アイテム保持ポリシーのアダプティブ スコープの使用
図 5: 保持ポリシーのアダプティブ スコープの選択

保存設定の選択に違いはありません (たとえば、5 年後にすべてのアイテムを削除する)。変更されたのは、保持ポリシーの場所のターゲット設定の動的な性質です。新しいポリシーを保存すると、Microsoft 365 は、その詳細をワークロードに公開し、保存設定の適用を担当します。

エンタープライズのスコープ

アダプティブ スコープは、保存期間が変更されることが多い場所の組織で問題を解決します。従業員の人口が多く分散している企業は、おそらく最も恩恵を受けるでしょうし、E5ライセンスを持っている可能性が最も高い組織であるため、余分なコストでこの新しいメリットを享受することができます。小規模な組織や、E5 に含まれる機能がコストの価値があるとまだ確信していない組織の場合、保持ポリシーを更新する他の方法 (手動または PowerShell を使用) が存在するため、アダプティブ スコープがアップグレードのポイントになる可能性は低くなります。

クエリ ビルダーの柔軟性が高まり、アダプティブ スコープの結果を生成するためのクエリの適用速度が遅すぎることを確認します (一般的には GUI と同様)。これは V1.0 リリースであり、マイクロソフトが適応範囲の動作を時間の経過と同時にスムーズにすることを願っています。




未分類

Posted by admin