Microsoft Purview

Adaptive Scopes für Microsoft Information Governance

9. April 2022

Information Governance Inhalte wie Retention oder Label Policies sind bisher statisch an Dienste und Gruppen/Benutzerkonten gebunden. Mit Adaptive Scopes ändert sich der statische Modus in einen dynamischen Modus.

Über Information Governance ist es Compliance Abteilungen möglich die Vorhaltezeit von definierten Inhalten aus den Microsoft Cloud Diensten vorzugeben.
Definiert heute ein Compliance Administrator im M365 Compliance Center eine Retention oder Label Policy muss sich der Admin entscheiden für welche Personen und Inhalte die Policy gilt, oder welche Objekte von der Policy ausgenommen sind. Es sind “Static Policies“.

Static Policies

Für einfache und sehr standardisierte Fälle kann die statische Konfiguration ausreichend sein. Microsoft zeigt ein Beispiel für eine statische Struktur. 4 Policies sind über die Abteilungen aufgeteilt. Jede Abteilung nutzt fast identische Dienste.

In diesen Policies ist es nicht vorgesehen, dass beispielsweise eine Person aus HR kurzzeitig in Sales mitarbeitet. Ein Compliance Administrator müsste die Person in Policy HR ausschliessen und in die Policy Sales inkludieren. Ist für die Person nur ein Dienst betroffen wird es noch komplizierter. In solchen Fällen beginnen Administratoren neue, vorübergehende Policies anzulegen. In dem Modus wird die Verwaltung sehr schnell kompliziert.

Hier sollen Adaptive Scopes helfen. Adaptive Scopes sind vergleichbar mit dynamischen Azure AD Gruppen. Im Scope wird ein Filter definiert, und jedes Objekt oder Dienst im Filter fällt in den Scope. Sowohl Retention Policies als auch Label Policies unterstützen Adaptive Scopes, und eine Policy kann mehrere Adaptive Scopes inkludieren. Die Policy fast alle Scopes zusammen. Daraus ergibt sich die dynamische Zusammensetzung für wen eine Policy gilt.
Für Compliance Administratoren hat es den Vorteil ein Scope aktualisiert sich laufend selbst. Es ist nicht mehr notwendig Inhalte manuell von einer Policy ein- oder auszuschliessen.
Microsoft hat Adaptive Scopes im Mai 2021 als Private Preview gestartet und damals ein Webinar über die Funktion abgehalten. Ab ca. 25:00 starten die Informationen zu Adaptive Scopes. Für das allgemeine Verständnis ist es von Vorteil die Session anzusehen. Mittlerweile haben Adaptive Scopes den Preview Status verlassen.

Adaptive Scopes gliedern sich in 3 auswählbare Typen:

  • User
  • Microsoft 365 Group
  • (SharePoint) Sites

Zu jedem Typ werden unterschiedliche Dienste und Attribute unterstützt. In einem Screenshot ist es abgebildet. Für SharePoint Administratoren kann die Erfassung von Custom Attributes interessant sein.

Lizenzierung

Laut Lizenzanforderung muss jedes Konto (Shared Mailbox inklusive), das von Adaptive Scope betroffen ist, korrekt lizenziert sein. Eine der folgenden Lizenzen ist erforderlich.

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5 Compliance
  • Microsoft 365 E5/A5 Information Protection and Governance
  • Microsoft 365 F5 Compliance
  • Microsoft 365 F5 Security and Compliance
  • Office 365 E5/A5/G5
Konfiguration

Generell muss ich erwähnen, Adaptive Scopes benötigen viel Zeit und vorab eine gute Planung. Eine Konfiguration schnell auszuprobieren und testen ist nicht ratsam. Laut Dokumentation kann es bis zu 5 Tage dauern bis sich ein neuer Scope vollständig aktualisiert. Oft macht es den Eindruck eine Konfiguration wäre falsch gesetzt. Nein, Geduld. Aktualisierungen von bestehenden Scopes dauern in der Regel 24 bis 48 Stunden.

Eine Konfiguration besteht aus 2 Teilen:

Teil 1 – Definieren von Adaptive Scopes
Im ersten Teil konfiguriert ein Administrator alle notwendigen Scopes. Ein Scope definiert für welche Elemente (wie User, Microsoft 365 Groups oder SharePoint Sites) eine Policy zukünftig gilt. Da ein neuer Scope bis zu 5 Tage für die vollständige Aktualisierung benötigt ist es der langwierigste Teil. Es sollte vorab über ein Konzept gut geplant sein. Ein Adaptive Scope aktualisiert sich später selbst.

Teil 2 – Definieren von Retention Policy
Im zweiten Teil weisst du die Adaptive Scopes einer Retention Policy zu und gibst an, wie lange Daten aus dem Scope vorgehalten werden.

Nachfolgend gehe ich beide Teile durch.

Teil 1
Definieren von Adaptive Scopes
  1. Öffne das M365 Compliance Center und wähle Information Governance > Adaptive Scopes.
  2. Erstelle einen neuen Scope und vergib einen Namen. Über das Namensschema solltest du dir vorab Gedanken machen. Der Name lässt sich nachträglich im GUI nicht mehr anpassen.
  3. Im nächsten Schritt wählst du den betroffenen Scope Typ wie Users, SharePoint Sites oder M365 Groups. Ein Scope ist ein konfigurierbarer Filter. Gehe davon aus du wirst mehrere Scopes erstellen. Alle erstellten Scopes kannst du später miteinander zu einem Gesamtfilter kombinieren. In meinem Beispiel erstelle ich zuerst einen Scope über User.
  1. Wie oben im Screenshot über Adaptive Types ersichtlich inkludiert der Users Scope verschiedene Attribute aus Azure AD Benutzerkonten. In meinem ersten Scope filtere alle Konten aus der Finance Abteilung. Für komplexere Queries ermöglicht der Assistent einen Editor, um Queries selbst zu schreiben. Da die Filter schnell an ihre Grenzen stossen wirst du Queries sehr bald selbst schreiben müssen.
  1. Für selbstgeschriebene Queries im Query Editor gilt.
  2. Speichere deinen ersten Scope.
  3. Als nächstes erstelle ich einen weiteren Scope für SharePoint Sites.
  1. Der Scope soll für alle SharePoint Sites aus der Finanzabteilung gelten, mit Ausnahme von Österreich. Öffne ich die Filtermöglichkeiten fällt auf es gibt jeweils nur 4 vordefinierte Filter. Jetzt ist es erforderlich selbst eine Query zu schreiben.
  1. Da der Scope SharePoint betrifft ist die Keyword Query Language (KQL) erforderlich. SharePoint Admins kennen KQL vielleicht aus der SharePoint Suche. Es sind dieselben Queries. Für einen Test welche Ergebnisse die Query zurückliefert kopiere die Query in das Suchfeld von Microsoft Search und lass dir die Ergebnisse anzeigen. Achte in erster Linie welche Seiten die Suche findet. So kannst du schnell testen, ob die Query gewünschte Ergebnisse liefert.
  1. Der Scope wird ebenfalls gespeichert.
  2. Jetzt dauert es bis zu 5 Tage, bis das System die Inhalte im Tenant auswertet und einem der Scopes zuordnet.

Hat das System den Scope aktualisiert öffne den Scope und wähle “Scope details”. Ich werte meine Beispiele aus.

Mitarbeitende aus der Abteilung Finance
Der Scope sollte Benutzerkonten mit Department Finance inkludieren. Ich öffne den Scope für User Finance und prüfe die Scope details.
In der Zusammenfassung zeigt es mein Kollege Pradeep hat die Abteilung verlassen und wurde durch Paul ersetzt. Der Scope hat die zwei Anpassungen erkannt und sich aktualisiert. Erwähnenswert ist, ein neuer Scope würde alle Konten mit der Abteilung Finance erkennen und nach der erstmaligen Erstellung für alle Konten ein Added durchführen. Für meinen Test fügte ich nur den zwei Konten die Abteilung Finance ein und entfernte es danach wieder für ein Konto. Mein Scope für Mitarbeitende in der Abteilung Finance ist damit korrekt.

SharePoint Sites von Finance, ausgenommen Österreich
In meinem Demo-Tenant erstellte ich 3 SharePoint Sites für Finance.

Im Scope konfigurierte ich alle SharePoint Seitentitel mit dem Begriff Finance zu inkludieren, ausser Österreich. In Scope details listet ich mir das Ergebnis und welche Änderung wann vorgenommen wurde. In meinem Fall fügte das System zwei Seiten hinzu. Österreich ist nicht inkludiert. Den Scope hat es damit korrekt erfasst.


Teil 2
Definieren von Retention Policy

Im nächsten Schritt müssen die erstellten Scopes zu einer Retention oder Label Policy zusammengefasst werden.

  1. Öffne im M365 Compliance Center > Information Governance > Retention Policies und erstelle eine neue Retention Policy. Alternativ unterstützen Adaptive Scopes Label Policies.
  2. Vergib der Policy einen Namen.
  3. Bei der Wahl für den Typ von Retention Policy hast du die Möglichkeit von Adaptive oder Static (der bisher bekannte Typ). Ich möchte meine Adaptive Scopes einsetzen und wähle daher Adaptive.
  1. Der Assistent möchte wissen für welche Adaptive Scopes die Policy gelten soll und passt die wählbaren Dienste dynamisch auf die möglichen Adaptive Scope Types an. Füge ich meinen Scope für Users ein ermöglicht es mir nur die Dienste für User auszuwählen. Ist Exchange aktiviert gilt die Policy für alle Benutzerkonten im Scope (in meinem Fall für alle Mitarbeitende der Finance Abteilung). Zur Erinnerung füge ich dem Screenshot die möglichen Dienste für den Type User ein.
Adaptive Scope mit Users
  1. Werden nun noch weitere Scopes ausgewählt erweitert es die möglichen Dienste. Ich meinem Beispiel füge ich den Scope für SharePoint Finance Switzerland ein. Damit kann ich dienstübergreifend eine Vorhaltezeit für Exchange, OneDrive, Teams Chats, Teams Private Channels, Yammer und SharePoint Sites vorgeben. Die Policy gilt zukünftig für alle Benutzerkonten und Sites wie es im Scope über die Filter konfiguriert wurde.
Adaptive Scope mit Users und SharePoint Sites

Hier ist der Unterschied gegenüber statischen Policies erkennbar. Beginnt morgen eine neue Person in der Abteilung Finance wird der Adaptive Scope das Konto innerhalb der nächsten 24 bis 48 Stunden in die Retention Policy aufnehmen. Bei einer statischen Policy müsste ein Administrator die Policy öffnen und das Konto manuell hinzufügen. Identisch verhält es sich mit neu erstellten SharePoint Sites.

  1. Der nächste Schritt ist wie in einer klassischen Retention Policy. Ich wähle wie lange Inhalte aus der Policy gespeichert sein sollen.
  1. Die Policy wird gespeichert und benötigt bis zu 24 Stunden zur vollständigen Aktivierung. Die Policy zeigt einen Vermerk, sobald die Aktivierung abgeschlossen ist.

Für einen Test lösche ich in meiner Finance Switzerland Seite einige Daten und werde in Seiteninhalt eine “Preservation Hold Library” finden. Da meine Dokumente für 5 Jahre vorzuhalten sind speichert es die Daten in der Library. Personen mit Berechtigungen könnten die Daten wiederherstellen. Vorgehaltene Daten aus einer Retention Policy zählen zum Speicherplatz der SharePoint Site.

Tags:

Share
Avatar-Foto

Tobias Asböck

Tobias ist ein Senior System Engineer mit rund 10 Jahren Berufserfahrung für Microsoft 365 Produkte wie SharePoint Online, OneDrive for Business, Teams Collaboration, Entra ID, Information Protection, Universal Print und Microsoft 365 Lizenzierung. Aus der Vergangenheit kennt er über einen Zeitraum von 15+ Jahren die Planung, Administration und den Betrieb von SharePoint Server Umgebungen. Tobias ist ein PowerShell Scripter mit Zertifizierungen für Microsoft 365 Produkte. In seiner Freizeit beschäftigt sich Tobias mit Aktualisierungen in der M365-Welt, ist mit seinem Rennvelo unterwegs und anderen sportlichen Aktivitäten beschäftigt. Bei Fragen kontaktiere mich über LinkedIn oder [email protected].

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert