Exchange Online 的 Data Residency

  • 發行項

Data Residency 承諾可用

產品條款

必要條件:

租用戶的註冊國家/地區包含在區域地理位置、歐盟或 美國 中。

如需目前的語言,請參閱隱私權和安全性產品條款 網頁 ,並檢視標題為「Core Online Services 的客戶待用數據位置」一節。

承諾:

注意事項

如果客戶在澳洲、巴西、加拿大、歐盟、法國、德國、印度、日本、挪威、卡達、南非、南韓、瑞典、瑞士、阿拉伯聯合大公國、英國或 美國 布建其租使用者,Microsoft 只會在該地理位置內儲存下列待用客戶數據:Exchange Online 信箱內容 (電子郵件內文、行事歷專案,以及電子郵件附件的內容)

進階 Data Residency 附加元件

必要條件:

  1. 租用戶的註冊國家/地區包含在 [ 區域地理 位置] 或 [ 擴充的區域地理位置] 中
  2. 租使用者具有適用於租使用者中所有使用者的有效進階 Data Residency 訂用帳戶
  3. Exchange Online 訂用帳戶客戶數據會布建在本機地理位置或擴充的本機地理位置

承諾:

請參閱 ADR 承諾用量頁面 ,以瞭解透過產品條款提供的特定承諾。 認可數據的範例包括:所有類型的信箱,包括使用者信箱、資源信箱和封存信箱。

多地理位置附加元件

必要條件:

  1. 租使用者具有有效的多地理位置訂用帳戶,其中涵蓋指派給 衛星地理位置的所有使用者。
  2. 客戶必須有作用中的 Enterprise 合約。
  3. 購買的多地理位置單位總數必須大於租使用者中合格用戶總數的5%。

承諾:

客戶可以將多地理位置支援的附屬地理位置指派給支援的信箱類型。 如需詳細資訊,請參閱 Microsoft 365 多地理 位置頁面的 Microsoft 365 多地理位置可用性一節。 產品條款所定義之信箱的待用數據 Office 365 服務,應儲存在指派的附屬地理位置中。 支援的信箱類型包括 Exchange Online 使用者主要和封存信箱、資源信箱、Microsoft 365 群組信箱和共用信箱。

Exchange Online 中的多地理位置功能

客戶可以將多地理位置支援的 附屬地理 位置指派給使用者。 如需詳細資訊,請參閱 Microsoft 365 多地理 位置頁面的 Microsoft 365 多地理位置可用性一節。 產品條款所定義的 Office 365 服務的使用者待用數據,應儲存在指派的附屬地理位置中。 這包括所有類型的 Exchange Online 信箱,包括使用者信箱、資源信箱、Microsoft 365 群組信箱、共用信箱和封存信箱。

您可以透過下列方式,將信箱放在 衛星地理 位置:

  1. 直接在衛星地理位置建立新的 Exchange Online 信箱。
  2. 藉由變更使用者的慣用數據位置,將現有的 Exchange Online 信箱移至衛星地理位置。
  3. 將來自內部部署 Exchange 組織的信箱直接上線至 衛星地理 位置。

信箱放置及移動

在 Microsoft 完成必要條件多地理位置設定步驟之後,Exchange Online 會接受 Microsoft Entra ID 中用戶物件的 PreferredDataLocation 屬性。 Exchange Online 會將 PreferredDataLocation 屬性從 Microsoft Entra ID 同步處理至 Exchange Online 目錄服務中的 MailboxRegion 屬性。 MailboxRegion 的值會決定放置使用者信箱和任何相關聯封存信箱的 宏區域地理 位置或 區域地理 位置。 您無法將使用者的主要信箱和封存信箱設定為位於不同的 地理 位置。 每個用戶物件只能設定一個 宏區域地理 位置或 區域地理 位置。

  • 在具有現有信箱的用戶上設定 PreferredDataLocation 時,信箱會放入重新配置佇列,並自動移至指定的 宏區域地理 位置或 區域地理位置
  • 在沒有現有信箱的用戶上設定 PreferredDataLocation 時,當您布建信箱時,信箱會布建到指定的 宏區域地理 位置或 區域地理位置。
  • 當使用者未指定 PreferredDataLocation 時,當您布建信箱時,信箱會布建在主要布建 的地理位置中。
  • 例如,如果 PreferredDataLocation 程式代碼不正確 (,則會在主要佈建 地理位置中布建 NAN 而非 NAM) 錯字。

注意事項

多地理位置功能和 商務用 Skype 在線地區託管會議都會在用戶物件上使用 PreferredDataLocation 屬性來尋找服務。 如果您在區域託管會議的用戶對象上設定 PreferredDataLocation 值,在 Microsoft 365 租使用者上啟用多地理位置之後,這些使用者的信箱將會自動移至指定的 宏區域地理 位置或 區域地理 位置。

Exchange Online 中多地理位置的功能限制

  • 安全性與合規性功能 (例如,Exchange 系統管理中心 (EAC) 中提供的稽核和電子檔探索) 不適用於多地理位置組織。 相反地,您需要使用 Microsoft Defender 和 Microsoft Purview 來設定安全性與合規性功能。
  • 當您將使用者的信箱移至新的地理位置時,Mac 版 Outlook 使用者可能會暫時無法存取其在線封存資料夾。 當使用者的主要和封存信箱位於不同的 地理 位置時,就會發生此情況,因為跨地理位置的信箱移動可能會在不同時間完成。
  • 用戶無法在先前稱為 Outlook Web App 或 OWA) 的 Outlook 網頁版 (地理位置之間共用信箱資料夾。 例如,歐盟的使用者無法使用 Outlook 網頁版 在位於 美國 的信箱中開啟共享資料夾。 不過,網頁版 Outlook 使用者可以使用個別的瀏覽器視窗,在不同的地理位置開啟其他信箱,如在 Outlook Web App 中於不同的瀏覽器視窗中開啟另一個人的信箱中所述。

注意事項

Windows 上的 Outlook 支援跨地理位置信箱資料夾共用。

  • 多地理位置組織支援公用資料夾。 不過,公用資料夾必須保留在 主要布建的地理 位置。 您無法將公用資料夾移動至衛星地理位置。
  • 在多地理位置環境中,不支援跨地理位置信箱稽核。 例如,如果用戶獲指派存取不同 Geography 位置中共用信箱的許可權,該使用者所執行的信箱動作就不會記錄在共用信箱的信箱稽核記錄中。 Exchange 系統管理員稽核事件也僅適用於預設位置。 如需詳細資訊,請參閱管理信箱稽核。

管理 Exchange 多地理位置

在多地理位置環境中管理 Exchange Online 信箱

Exchange Online 需要 PowerShell,才能在 Microsoft 365 環境中檢視和設定多地理位置屬性。 若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell

在 Exchange Online 多地理位置 環境中,您不需要執行任何手動步驟,即可將地理位置新增至您的租使用者。 當您收到訊息中心文章指出多地理位置已準備好 Exchange Online 之後,所有可用的地理位置都會準備就緒並設定為可供您使用。

使用 Exchange Online PowerShell 直接連線到地理位置

一般而言,Exchange Online PowerShell 會連線到主要布建的地理位置。 但是,您也可以直接連線到 衛星地理 位置。 由於效能改善,建議您只在該位置管理使用者時,直接連線到 衛星地理 位置。

安裝和使用 Exchange Online PowerShell 模組的需求,請參閱安裝和維護 Exchange Online PowerShell 模組

若要 Exchange Online PowerShell 連線到特定的 Geography 位置,ConnectionUri 參數與一般連線指示不同。 其餘命令和值則是相同的。

具體而言,您需要將值新?email=<emailaddress>增至 ConnectionUri 值的結尾,其中 <emailaddress> 是目標 Geography 位置中任何信箱的電子郵件位址。 您對該信箱的許可權或認證的關聯性不是因素;電子郵件位址只會告訴 Exchange Online PowerShell 要連線的位置。

Microsoft 365 或 Microsoft 365 GCC 客戶通常不需要使用 ConnectionUri 參數連線到 Exchange Online PowerShell。 但是,若要連線到特定 的 Geography 位置,您必須使用 ConnectionUri 參數,以便在 值中使用 ?email=<emailaddress>

線上到 PowerShell 中 Exchange Online 地理位置

下列連線指示適用於已設定或未針對 MFA) (多重要素驗證的帳戶。

  1. 在 Windows PowerShell 視窗中,執行下列命令來載入 EXO V2 模組:
Import-Module ExchangeOnlineManagement
  1. 在下列範例中, admin@contoso.onmicrosoft.com 是系統管理員帳戶,而目標地理位置是信箱 olga@contoso.onmicrosoft.com 所在的位置。
Connect-ExchangeOnline -UserPrincipalName admin@contoso.onmicrosoft.com -ConnectionUri https://outlook.office365.com/powershell?email=olga@contoso.onmicrosoft.com
  1. 在出現的提示中輸入 的 admin@contoso.onmicrosoft.com 密碼。 如果帳戶設定為 MFA,您也需要輸入安全性代碼。

檢視您 Exchange Online 組織中設定的可用地理位置

若要查看 Microsoft 365 多地理位置中已設定的地理位置清單,請在 Exchange Online PowerShell 中執行下列命令:

Get-OrganizationConfig | Select -ExpandProperty AllowedMailboxRegions | Format-Table

檢視 Exchange Online 組織的主要布建地理位置

若要檢視租使用者的主要布建地理位置,請在 Exchange Online PowerShell 中執行下列命令:

Get-OrganizationConfig | Select DefaultMailboxRegion

尋找信箱的 地理 位置

Exchange Online PowerShell 中的 Get-Mailbox Cmdlet 會顯示信箱上的下列多地理位置相關屬性:

  • 資料庫:資料庫名稱的前三個字母會對應至 Geography 程式代碼,該程式代碼會告訴您信箱目前所在的位置。 若為線上封存信箱,則應該使用 ArchiveDatabase 屬性。
  • MailboxRegion:指定系統管理員 (從 Microsoft Entra ID) 中的 PreferredDataLocation 同步處理的地理位置代碼。
  • MailboxRegionLastUpdateTime:指出 MailboxRegion 的上次更新時間 (自動或手動)。

若要查看信箱的這些屬性,請使用下列語法:

Get-Mailbox -Identity <MailboxIdentity> | Format-List Database,MailboxRegion*

例如,若要查看信箱chris@contoso.onmicrosoft.com的地理位置資訊,請執行下列命令:

Get-Mailbox -Identity chris@contoso.onmicrosoft.com | Format-List Database, MailboxRegion*

此命令的輸出看起來像這樣:

Database   : EURPR03DG077-db007
MailboxRegion  : EUR
MailboxRegionLastUpdateTime : 2/6/2018 8:21:01 PM

注意事項

如果資料庫名稱中的 Geography 位置代碼不符合 MailboxRegion 值,信箱會自動放入重新配置佇列,並移至 MailboxRegion 值所指定的 Geography 位置, (Exchange Online 尋找這些屬性值) 不符。

將現有僅雲端信箱移動至特定的地理位置

注意事項

Azure Active Directory (AzureAD) PowerShell 模組即將淘汰,並由 Microsoft Graph PowerShell SDK 取代。 您可以使用 Microsoft Graph PowerShell SDK 來存取所有的 Microsoft Graph API。 如需詳細資訊,請參閱 開始使用 Microsoft Graph PowerShell SDK

另請參閱 安裝 Microsoft Graph PowerShell SDK從 Azure AD PowerShell 升級至 Microsoft Graph PowerShell ,以取得如何分別安裝和升級至 Microsoft Graph PowerShell 的相關信息。

僅限雲端使用者是未透過 Microsoft Entra Connect 同步至租用戶的使用者。 此使用者是直接在 Microsoft Entra ID 中建立的。 使用 Microsoft Graph PowerShell SDK 中的 Get-MgUserSet-MgUser Cmdlet 來檢視或指定僅限雲端使用者信箱的地理位置。

首先,您必須使用您將在 Microsoft Graph PowerShell 工作階段中採取之動作的必要許可權範圍來連線到 Microsoft Graph。

Microsoft Graph PowerShell SDK 支援兩種驗證類型:委派存取和僅限應用程式存取。 在本指南中,您將使用委派的存取權以使用者身分登入、同意 SDK 代表您採取行動,以及呼叫 Microsoft Graph。

如需針對自動案例使用僅限應用程式存取的詳細資訊,請參閱搭配 Microsoft Graph PowerShell SDK 使用僅限應用程式驗證。

判斷必要的許可權範圍

Microsoft Graph 中的每個 API 都會受到一或多個許可權範圍的保護。 登入的用戶必須同意您計劃使用之 API 的其中一個必要範圍。 在此範例中,我們將使用下列 API。

列出用戶以尋找登入使用者的使用者標識碼。 修改使用者的 PreferredDataLocation 值。

User.Read.All 許可權範圍會啟用第一個呼叫,而 User.ReadWrite.All 範圍會啟用第二個呼叫。 這些許可權需要系統管理員帳戶。

如需如何判斷您需要哪些許可權範圍的詳細資訊,請參 閱使用 Find-MgGraphCommand Cmdlet

若要連線到您的 Microsoft 365 組織,請執行下列命令:

Connect-MgGraph -Scopes "User.Read.All","Group.ReadWrite.All"

命令會提示您移至網頁,以使用您的認證登入。 完成此動作之後,命令會以歡迎使用 Microsoft Graph 表示成功! 消息。 每個會話只需要登入一次。

提示

您可以使用新的許可權範圍重複 Connect-MgGraph 命令,以累加許可權。

若要檢視使用者的 PreferredDataLocation 值,請在 Microsoft Graph PowerShell 中使用此語法:

Get-MgUser -ConsistencyLevel eventual -Count userCount -Search '"UserPrincipalName:<UserPrincipalName>"' | Format-List UserPrincipalName,PreferredDataLocation

例如,若要查看使用者 michelle@contoso.onmicrosoft.com 的 PreferredDataLocation 值,請執行下列命令:

Get-MgUser -ConsistencyLevel eventual -Count userCount -Search '"UserPrincipalName:michelle@contoso.onmicrosoft.com"' | Format-List

若要修改僅限雲端用戶物件的 PreferredDataLocation 值,請在 Microsoft Graph PowerShell 中使用下列語法:

Update-MgUser -UserID <UserID> -PreferredDataLocation <GeoLocationCode>

例如,若要將 PreferredDataLocation 值設定為 michelle@contoso.onmicrosoft.com使用者的歐盟 (EUR) 地理位置,請從最後一個命令輸出取得 UserID 值,然後執行下列命令:

Update-MgUser -UserID michelle@contoso.onmicrosoft.com -PreferredDataLocation EUR

注意事項

  • 如先前所述,您無法將此程式用於從 內部部署的 Active Directory 同步處理的用戶物件。 您需要變更 Active Directory 中的 PreferredDataLocation 值,並使用 Microsoft Entra Connect 進行同步處理。 如需詳細資訊,請參閱 Azure Active Directory Connect 同步處理:設定 Microsoft 365 資源的慣用資料位置

  • 將信箱重新定位到新的地理位置所需的時間取決於數個因素:

  • 信箱的大小和類型。

  • 要移動的信箱數量。

  • 移動資源的可用性。

將非使用中信箱移至特定 地理位置

您無法移動基於合規性目的保留的非作用中信箱 (例如,訴訟保留上的信箱) ,方法是變更其 PreferredDataLocation 值。 若要將非使用中信箱移至不同的 地理位置,請執行下列步驟:

  1. 復原非作用中的信箱。 如需指示,請參閱 復原非作用中的信箱

  2. 使用信箱的名稱、別名、帳戶或電子郵件位址取代<MailboxIdentity>,並在 Exchange Online powerShell 中執行下列命令,以防止受管理的資料夾小幫手處理已復原的信箱:

Set-Mailbox <MailboxIdentity> -ElcProcessingDisabled $true

  1. Exchange Online 方案 2 授權指派給復原的信箱。 需要執行此步驟,才能將信箱放回訴訟保留。 如需指示, 請參閱指派授權給使用者

  2. 如上一節所述,在信箱上設定 PreferredDataLocation 值。

  3. 確認信箱移至新的地理位置之後,請將復原的信箱放回訴訟保留。 如需指示,請參閱將信箱置於訴訟保留。

  4. 確認訴訟保留已就緒之後,請允許受控資料夾小幫手以信箱的名稱、別名、帳戶或電子郵件位址取代<MailboxIdentity>,然後在Exchange Online PowerShell 中執行下列命令,以再次處理信箱:

Set-Mailbox <MailboxIdentity> -ElcProcessingDisabled $false
  1. 拿掉與信箱相關聯的用戶帳戶,讓信箱再次處於非作用中狀態。 如需指示,請 參閱從您的組織刪除使用者。 此步驟也會針對其他用途發行 Exchange Online 方案 2 授權。

注意:當您將非使用中信箱移至不同的地理位置時,可能會影響內容搜尋結果,或從先前的地理位置搜尋信箱的能力。 如需詳細資訊,請 參閱在多地理位置環境中搜尋和導出內容

在特定 地理 位置中建立新的雲端信箱

若要在特定 地理 位置建立新的信箱,您需要執行下列其中一個步驟:

  • 如先前在 Exchange Online 中建立信箱之前,將現有的僅限雲端信箱移至特定地理位置一節中所述,設定 PreferredDataLocation 值。 例如,在您指派授權之前,先在用戶上設定 PreferredDataLocation 值。

  • 在設定 PreferredDataLocation 值的同時指派授權。

若要建立新的僅限雲端授權使用者, (不 Microsoft Entra 在特定地理位置) 進行連線同步處理,請在 Microsoft Graph PowerShell 中使用下列語法:

$params = @{
	accountEnabled = $true
	displayName = "<display name>"
	mailNickname = "<mailbox name>"
	userPrincipalName = "<sign-in name>"
	usageLocation = "<ISO 3166-1 alpha-2 country code>"
	passwordProfile = @{
		forceChangePasswordNextSignIn = $true
		password = "<temp password>"
	}
}

$user = New-MgUser -BodyParameter $params

$EmsSku = Get-MgSubscribedSku -All | Where SkuPartNumber -eq '<license SKU ID>'
Set-MgUserLicense -UserId $user.Id -AddLicenses @{SkuId = $EmsSku.SkuId} -RemoveLicenses @()

提示

usageLocation是 ISO 標準 3166) (兩個字母的國家/地區代碼。 因法律需求而獲指派授權的使用者需要檢查國家/地區中服務的可用性。 範例包括:US、JP 和 GB。

此範例會使用下列值,建立新用戶帳戶來建立具有下列值的新用戶帳戶:

  • 使用者主體名稱:ebrunner@contoso.onmicrosoft.com
  • 名字:Elizabeth
  • 姓氏:Brunner
  • 顯示名稱:Elizabeth Brunner
  • 密碼:以哈希表的形式手動新增密碼
  • 授權:contoso:ENTERPRISEPREMIUM (E5)
  • 位置:澳大利亞 (AU)

首先,使用 Microsoft Graph Powershell 連線到您的 Microsoft 365 租 使用者。

線上之後,請使用下列語法來建立個別帳戶:

$params = @{
	accountEnabled = $true
	displayName = "Elizabeth Brunner"
	mailNickname = "ElizabethB"
	userPrincipalName = "ebrunner@contoso.onmicrosoft.com"
	usageLocation = "AU"
	passwordProfile = @{
		forceChangePasswordNextSignIn = $true
		password = "xWwvJ]6NMw+bWH-d"
	}
}

$user = New-MgUser -BodyParameter $params

$EmsSku = Get-MgSubscribedSku -All | Where SkuPartNumber -eq 'ENTERPRISEPREMIUM'
Set-MgUserLicense -UserId $user.Id -AddLicenses @{SkuId = $EmsSku.SkuId} -RemoveLicenses @()

如需建立新的使用者帳戶和在 Azure AD PowerShell 中尋找 LicenseAssignment 值的詳細資訊,請參閱使用 PowerShell 建立使用者帳戶使用 PowerShell 檢視授權與服務

注意事項

如果您使用 Exchange Online PowerShell 來啟用信箱,而且需要直接在 PreferredDataLocation 中指定的地理位置建立信箱,則必須直接針對雲端服務使用 Exchange Online Cmdlet,例如 Enable-MailboxNew-Mailbox。 如果您在內部部署 Exchange PowerShell 中使用 Enable-RemoteMailbox Cmdlet,信箱將會建立在 主要布建的地理 位置。

將特定 地理 位置中的現有內部部署信箱上線

您可以使用標準的上線工具和程序,將信箱從內部部署 Exchange 組織移轉至 Exchange Online,包括 EAC 中的移轉儀表板,以及 Exchange Online PowerShell 中的 New-MigrationBatch Cmdlet。

第一個步驟是確認每個要上線的信箱都有用戶物件,並確認已在 Microsoft Entra ID 中設定正確的 PreferredDataLocation 值。 上線工具會遵守 PreferredDataLocation 值,並將信箱直接移轉至指定的地理位置。

或者,您可以使用下列步驟,在 PowerShell 中使用 New-MoveRequest Cmdlet,直接在特定地理位置 Exchange Online 上線信箱。

  1. 確認每個要上線的信箱都存在用戶物件,且 PreferredDataLocation 已設定為 Microsoft Entra ID 中所需的值。 PreferredDataLocation 的值會同步處理至 Exchange Online 中對應郵件使用者物件的 MailboxRegion 屬性。

  2. 使用本文稍早的連線指示,直接連線到特定 的衛星地理 位置。

  3. 在 Exchange Online PowerShell 中,執行下列命令,將用來執行信箱移轉的內部部署系統管理員認證儲存在變數中:

$RC = Get-Credential
  1. 在 Exchange Online PowerShell 中,建立新的 New-MoveRequest,類似以下範例:
New-MoveRequest -Remote -RemoteHostName mail.contoso.com -RemoteCredential $RC -Identity user@contoso.com -TargetDeliveryDomain <YourAppropriateDomain>

  1. 針對您需要從內部部署 Exchange 移轉至您目前連線之衛星地理位置的每個信箱,重複步驟 4。

  2. 如果您需要將其他信箱移轉至不同的衛星地理位置,請針對每個特定位置重複步驟 2 到 4。

多地理位置報告

注意事項

多地理位置報告功能目前處於預覽狀態,並非所有組織都可使用,而且可能會變更。

Microsoft 365 系統管理中心 中的多地理位置使用量報告會依地理位置顯示用戶計數。 此報表會顯示當月的用戶分佈,並提供過去六個月的歷程記錄數據。

移轉

因為將每個使用者移至單一租使用者的新數據中心 Geography 需要一些時間,所以在移動期間,有些用戶會位於舊的數據中心 Geography 中,而其他使用者則位於新的數據中心 Geography 中。 這表示某些涉及存取多個信箱的功能可能無法在行動程式的一段時間內完全運作,這可能會持續數周。 下列各節將說明這些功能。

在 Outlook Web Access 中開啟 「共享資料夾」

有些使用者從另一個信箱開啟共用郵件資料夾, (使用者具有使用「共享資料夾」功能在 Outlook Web Access 中) 的讀取或寫入許可權。 下表描述在信箱移動期間,共用資料夾的存取如何運作。 請注意,具有共用信箱完整許可權的用戶可以在移動期間使用 Outlook Web Access 來開啟信箱。

組態 說明
使用者具有另一個信箱的信箱資料夾許可權
 可能受到限制。
如果使用者 A 和信箱 B 在租用戶移動期間不在相同的 地理 位置,如果使用者 A 只具有信箱 B 中特定資料夾的許可權,使用者 A 就無法在 Outlook Web Access 中開啟 Mailbox B 的資料夾。
若要新增共享資料夾,請以滑鼠右鍵按下左側瀏覽面板中的使用者名稱,然後選取 [ 新增共用資料夾]
具有其他信箱完整信箱許可權的使用者
 完全支援。
如果使用者 A 具有信箱 B 的完整存取權 限,則使用者 A 可以在 Outlook Web Access 的左側瀏覽面板中選取共用資料夾,以開啟顯示信箱 B 的視窗。用戶可以在移動期間使用 Outlook Web Access 開啟共用信箱,而不會造成任何不良影響。 此限制僅適用於信箱中的資料夾層級共用。

在 Exchange Online 期間將電子郵件數據遷移至 Microsoft 365 的程式是常見的案例,並受到支援。 數據中心地理位置之間的雲端移轉不會干擾任何內部部署到雲端信箱的移轉。

如何判斷客戶數據位置?

您可以在租使用者 管理員 中心找到實際的數據位置。 身為租用戶系統管理員,您可以流覽至 [管理員-Settings-Org Settings-Organization>>> Profile-Data> Location],以尋找已認可數據的實際數據位置。