Администрирование среды с поддержкой нескольких регионовAdministering a multi-geo environment

Из этой статьи вы узнаете, как службы OneDrive и SharePoint работают в среде с поддержкой нескольких регионов.Here's a look at how OneDrive and SharePoint services work in a multi-geo environment.

Интерфейс администрирования OneDriveOneDrive Administrator Experience

В Центре администрирования OneDrive есть вкладка Географические расположения на левой панели навигации, где представлена карта, на которой можно просматривать географические расположения и управлять ими. Эта страница используется для добавления и удаления географических расположений для клиента.The OneDrive admin center has a Geo locations tab in the left navigation which features a geo locations map where you can view and manage your geo locations. Use this page to add or delete geo locations for your tenant.

ТаксономияTaxonomy

Мы поддерживаем единую таксономию для управляемых корпоративных метаданных в разных географических расположениях, где главная копия находится в центральном расположении для компании. Рекомендуем управлять глобальной таксономией из центрального расположения и добавлять термины для определенных расположений только в таксономию периферийного расположения. Глобальные термины таксономии будут синхронизироваться с периферийными расположениями.We support a unified taxonomy for enterprise managed metadata across geo locations, with the master being hosted in the central location for your company. We recommend that you manage your global taxonomy from the central location and only add location-specific terms to the satellite location’s Taxonomy. Global taxonomy terms will synchronize to the satellite locations.

Общий доступSharing

Администраторы могут добавлять политики общего доступа и управлять ими для каждого из расположений. На сайтах OneDrive в каждом географическом расположении будут действовать только параметры общего доступа для соответствующего географического расположения. (Например, вы можете разрешить внешний общий доступ для центрального расположения, но не для периферийного, или наоборот.) Обратите внимание, что параметры общего доступа не позволяют настраивать ограничения доступа между разными географическими расположениями.Administrators can set and manage sharing policies for each of their locations. The OneDrive sites in each geo location will honor only the corresponding geo specific sharing settings. (For example, you can allow external sharing for your central location, but not for your satellite location or vice versa.) Note that the sharing settings do not allow configuring sharing limitations between geo locations.

В OneDrive с поддержкой нескольких регионов необходимо управлять параметрами общего доступа в каждом географическом расположении, так как они не синхронизируются в клиенте. Управлять общим доступом можно на странице параметров общего доступа в Центре администрирования OneDrive. По умолчанию внешний доступ разрешен всем в каждом спутниковом расположении.For OneDrive Multi-Geo, you must manage your sharing settings at each geo location as these are not synchronized across the tenant. To manage sharing visit the OneDrive admin center sharing settings page. By default external sharing is enabled with Anyone in each satellite location.

Приложение профилей пользователейUser Profile Application

В каждом географическом расположении есть приложение профилей пользователей. Данные профиля каждого пользователя хранятся в каждом географическом расположении и доступны администратору этого расположения.There is a user profile application in each geo location. Each user’s profile information is hosted in their geo location and available to the administrator for that geo location.

Если у вас есть настраиваемые свойства профиля, рекомендуем использовать одну и ту же схему профилей в разных регионах и заполнять настраиваемые свойства профиля либо во всех географических расположениях, либо там, где это необходимо. Для программного заполнения данных профиля пользователя используйте API массового обновления профилей.If you have custom profile properties, then we recommend that you use the same profile schema across geographies and populate your custom profile properties either in all geo locations or where needed. For guidance regarding how to populate user profile data programmatically, please refer to the Bulk User Profile Update API

BCS, Secure Store, приложенияBCS, Secure Store, Apps

Для служб BCS, Secure Store и приложений есть отдельные экземпляры в каждом периферийном расположении, поэтому администратор SharePoint Online должен управлять этими службами и настраивать их отдельно для каждого периферийного расположения.BCS, Secure Store, and Apps all have separate instances in each satellite location, therefore the SharePoint Online administrator should manage and configure these services separately from each satellite location.

Центр администрирования безопасности и соответствия требованиямSecurity and Compliance Admin Center

Для клиента с поддержкой нескольких регионов используется один центральный центр соответствия требованиям — Центр безопасности и соответствия требованиям Office 365.There is one central compliance center for a multi-geo tenant: Office 365 Security & Compliance Center.

Политика защиты от потери данных (DLP) для службы Information Protection (IP)Information Protection (IP) Data Loss Prevention (DLP) Policy

Вы можете настраивать политики IP DLP для OneDrive для бизнеса в Центре безопасности и соответствия требованиям, задавая нужную область действия политик для всего клиента или для всех соответствующих пользователей. Например, если вам нужно выбрать политику для пользователя OneDrive в спутниковом расположении, вы можете применить ее к определенной службе OneDrive и указать URL-адрес OneDrive пользователя. Общие рекомендации по созданию политик защиты от потери данных см. в статье Обзор политик защиты от потери данных.You can set your IP DLP policies for OneDrive for Business in the Security and Compliance center, scoping policies as needed to the whole tenant or to applicable users. For example: If you wish to select a policy for a OneDrive user in a satellite location, select to apply the policy to a specific OneDrive and enter the user’s OneDrive url. See Overview of data loss prevention policies for general guidance in creating DLP policies.

Политики защиты от потери данных автоматически синхронизируются в соответствии с их применимостью к каждому географическому расположению.The DLP policies are automatically synchronized based on their applicability to each geo location.

Реализовать службу Information Protection и политик защиты от потери данных для всех пользователей в определенном географическом расположении с помощью пользовательского интерфейса невозможно. Вместо этого необходимо выбрать применимые учетные данные OneDrive для политики или применить политику глобально для всех учетных записей OneDrive.Implementing Information Protection and Data Loss prevention policies to all users in a geo location is not an option available in the UI, instead you must select the applicable OneDrive accounts for the policy or apply the policy globally to all OneDrive accounts.

Обнаружение электронных данныхeDiscovery

По умолчанию менеджер по обнаружению электронных данных или администратор в клиенте с поддержкой нескольких регионов сможет обнаруживать электронные данные только в центральном расположении для этого клиента. Чтобы обеспечить поддержку обнаружения электронных данных для спутниковых расположений, в PowerShell добавлен новый параметр Region для фильтра соответствия требованиям безопасности.By default, an eDiscovery Manager or Administrator of a multi-geo tenant will be able to conduct eDiscovery only in the central location of that tenant. To support the ability to conduct eDiscovery for satellite locations, a new Compliance Security Filter parameter called “Region” is available via PowerShell.

Глобальный администратор Office 365 должен предоставить менеджеру по обнаружению электронных данных право разрешать другим пользователям выполнять обнаружение электронных данных и назначать параметр Region в соответствующем фильтре соответствия требованиям безопасности, чтобы указывать спутниковое расположение в качестве региона для обнаружения электронных данных. В противном случае обнаружение электронных данных не будет выполняться для спутникового расположения.The Office 365 global administrator must assign eDiscovery Manager permissions to allow others to perform eDiscovery and assign a “Region” parameter in their applicable Compliance Security Filter to specify the region for conducting eDiscovery as satellite location, otherwise no eDiscovery will be carried out for the satellite location.

Если роль менеджера по обнаружению электронных данных или администратора задана для определенного периферийного расположения, то соответствующий пользователь сможет выполнять операции поиска с обнаружением электронных данных только на сайтах SharePoint и OneDrive, расположенных в этом периферийном расположении. Если менеджер по обнаружению электронных данных попробует выполнить поиск на сайтах SharePoint или OneDrive за пределами указанного периферийного расположения, результаты не будут возвращаться. Кроме того, когда менеджер по обнаружению электронных данных или администратор для периферийного расположения запускает экспорт, данные экспортируются в экземпляр Azure в этом регионе. Это помогает организациям обеспечивать соответствие требованиям, не разрешая экспорт содержимого через контролируемые границы.When the eDiscovery Manager or Administrator role is set for a particular satellite location, the eDiscovery Manager or Administrator will only be able to perform eDiscovery search actions against the SharePoint sites and OneDrive sites located in that satellite location. If an eDiscovery Manager or Administrator attempts to search SharePoint or OneDrive sites outside the specified satellite location, no results will be returned. Also, when the eDiscovery Manager or Administrator for a satellite location triggers an export, data is exported to the Azure instance of that region. This helps organizations stay in compliance by not allowing content to be exported across controlled borders.

Примечание

Если менеджеру по обнаружению электронных данных требуется искать содержимое в нескольких периферийных расположениях SharePoint, необходимо создать для него еще одну учетную запись, указывающую альтернативное периферийное расположение, где находятся сайты OneDrive или SharePoint.If it's necessary for an eDiscovery Manager to search across multiple SharePoint satellite locations, another user account will need to be created for the eDiscovery Manager which specifies the alternate satellite location where the OneDrive or SharePoint sites are located.

Географические расположения с поддержкой нескольких регионовMulti-Geo supported Geo Locations Расположение больших двоичных объектов Azure, в котором будет выполняться обнаружение электронных данных, экспортированных из SharePointeDiscovery for SharePoint Exported data will be in this Azure Blob data location…
APCAPC Центры обработки данных в Юго-Восточной или Восточной АзииSoutheast or East Asia datacenters
AUSAUS Центры обработки данных в Юго-Восточной или Восточной АзииSoutheast or East Asia datacenters
CANCAN Центры обработки данных в СШАUS datacenters
EUREUR Центры обработки данных в ЕвропеEurope datacenters
FRAFRA Центры обработки данных в ЕвропеEurope datacenters
GBRGBR Центры обработки данных в ЕвропеEurope datacenters
INDIND
KORKOR Центры обработки данных в Юго-Восточной или Восточной АзииSoutheast or East Asia datacenters
JPN JPN Центры обработки данных в Юго-Восточной или Восточной АзииSoutheast or East Asia datacenters
NAMNAM Центры обработки данных в СШАUS datacenters

Установка фильтра соответствия требованиям безопасности для региона:To set the Compliance Security Filter for a Region:

  1. Откройте Windows PowerShellOpen Windows PowerShell

  2. Введите следующие команды:Enter
    $s = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid -Credential $cred -Authentication Basic -AllowRedirection -SessionOption (New-PSSessionOption -SkipCACheck -SkipCNCheck -SkipRevocationCheck)$s = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid -Credential $cred -Authentication Basic -AllowRedirection -SessionOption (New-PSSessionOption -SkipCACheck -SkipCNCheck -SkipRevocationCheck)

    $a = Import-PSSession $s -AllowClobber$a = Import-PSSession $s -AllowClobber

  3. New-ComplianceSecurityFilter -Action ALL -FilterName Введите_нужное_имя -Region Введите_параметр_региона -Users Введите_имя_субъекта-пользователяNew-ComplianceSecurityFilter -Action ALL -FilterName EnterTheNameYouWantToAssign -Region EnterTheRegionParameter -Users EnterTheUserPrincipalName

    Пример: New-ComplianceSecurityFilter -Action ALL -FilterName NAMEDISCOVERYMANAGERS -Region NAM -Users adwood@contosodemosx.onmicrosoft.comFor Example: New-ComplianceSecurityFilter -Action ALL -FilterName NAMEDISCOVERYMANAGERS -Region NAM -Users adwood@contosodemosx.onmicrosoft.com

Дополнительные параметры и синтаксис рассматриваются в статье New-ComplianceSecurityFilter.See the New-ComplianceSecurityFilter article for additional parameters and syntax

Единый журнал аудита для всех периферийных расположений доступен на странице поиска в журнале аудита Office 365. Вы можете просматривать все записи журнала аудита из всех регионов. Например, действия пользователей из регионов NAM и EUR отображаются в одном организационном представлении, после чего вы можете применять существующие фильтры для просмотра действий определенного пользователя.A unified Audit log for all your satellite locations is available from the Office 365 audit log search page. You can see all the audit log entries from across geos, for example, NAM & EUR geo users’ activities will show up in one org view and then you can apply existing filters to see specific user’s activities.