使用通讯簿策略分隔 Office 365 中的用户

为什么首先要分离用户？

Microsoft 365 内置了许多控件来管理用户的外部通信方式，但是，这些控件通常不会扩展到内部通信。虽然这在大多数环境中都很好，但存在需要一定程度分离的情况。

例如，大学希望阻止学生与设施成员进行通信，或者拥有多个子公司的组织希望限制员工与其他子公司进行通信。 然而，一种选择是运行多个租户，这会带来额外的复杂性和管理工作量。通常，更好的解决方案是创建和使用 Exchange Online 通讯簿策略。

地址簿政策

地址簿策略 (ABP) 对于 Exchange Online 来说并不新鲜。它们的存在是为了通过将用户分组为“虚拟组织”来提供隔离，每个组织都有自己的地址列表、全局地址列表 (GAL)、房间列表和脱机地址簿 (OAB)。这与分层地址簿不同，分层地址簿在地址列表上强加结构但不强制隔离。 ABP 还可以扩展到 Microsoft Teams，以覆盖目录搜索范围 - 但有一些注意事项。

在本文中，我详细介绍了通讯簿策略的配置，以及如何扩展它们以包含 Teams。

配置地址列表

在创建任何 ABP 之前，您必须定义策略将管理的对象。每个 ABP 至少需要 1 个 GAL、1 个 OAB、1 个地址列表和 1 个房间列表。要创建两个 ABP，每个组件至少需要两个，范围仅限于您想要分离的用户集。

在下面的 PowerShell 示例中，我根据 Azure AD 帐户所属的公司用户（Contoso 或 Fabrikam）创建了每个组件。您还可以根据代码创建其他地址列表，例如分发列表：

##Create two GALs
New-GlobalAddressList -Name "Contoso GAL" -IncludedRecipients AllRecipients -ConditionalCompany Contoso
New-GlobalAddressList -Name "Fabrikam GAL" -IncludedRecipients AllRecipients -ConditionalCompany Fabrikam

##Create two Address Lists
New-AddressList -Name "Contoso" -IncludedRecipients MailboxUsers -ConditionalCompany Contoso
New-AddressList -Name "Fabrikam" -IncludedRecipients MailboxUsers -ConditionalCompany "Fabrikam"

##Create two Room Lists
New-AddressList -Name "Contoso Rooms" -RecipientFilter {(Company -eq "Contoso")-and (RecipientDisplayType -eq 'ConferenceRoomMailbox')}
New-AddressList -Name "Fabrikam Rooms" -RecipientFilter {(Company -eq "Fabrikam")-and (RecipientDisplayType -eq 'ConferenceRoomMailbox')}

##Create two OABs
New-OfflineAddressBook -Name "OAB_Contoso" -AddressLists "\Contoso", "\Contoso Rooms"
New-OfflineAddressBook -Name "OAB_Fabrikam" -AddressLists "\Fabrikam", "\Fabrikam Rooms"

注意：要管理地址列表，必须在 Exchange Online 中为您的帐户分配“地址列表”角色 - 该角色不属于组织管理角色组。

创建地址簿策略

要创建 ABP，请在 Exchange Online 传输配置中启用“地址簿策略路由”。这可以通过运行 Set-TransportConfig cmdlet 将 AddressBookPolicyRouting 设置为 True 来启用租户中的 ABP 功能。其效果是指示 Exchange 传输服务将不同 GAL 中的用户视为彼此的外部收件人，这意味着标记外部收件人等功能有效：

Set-TransportConfig -AddressBookPolicyRoutingEnabled $true

最后，使用 New-AddressBookPolicy cmdlet 创建 ABP。在下面的示例中，我根据之前为 Contoso 和 Fabrikam 创建的对象创建了两个 ABP：

##Create two ABPs
New-AddressBookPolicy -Name "Contoso" -AddressLists "\Contoso" -OfflineAddressBook "\OAB_Contoso" -GlobalAddressList "\Contoso GAL" -RoomList "\Contoso Rooms"
New-AddressBookPolicy -Name "Fabrikam" -AddressLists "\Fabrikam" -OfflineAddressBook "\OAB_Fabrikam" -GlobalAddressList "\Fabrikam GAL" -RoomList "\Fabrikam Rooms" 

创建后，可以使用 Get-AddressBookPolicy cmdlet 验证策略，如图 1 所示：

将策略分配给用户

可以将 ABP 分配给 Exchange 管理中心中的各个邮箱。当规模较大时，需要为数百个邮箱进行分配，这是不切实际的。使用 Set-Mailbox cmdlet 设置策略要快得多。

例如，下面我找到所有具有正确公司属性的用户邮箱，并将它们添加到相关的ABP中。此方法的好处是可以对其进行调度，以便将新用户添加到正确的 ABP 作为夜间作业的一部分。如何分配策略并不重要。重要的是为正确的邮箱分配正确的 ABP。

##Assign ABP to users
Get-Recipient -Filter '(Company -eq "Contoso") -and (recipienttypedetails -eq "usermailbox")' | Set-Mailbox -AddressBookPolicy Contoso
Get-Recipient -Filter '(Company -eq "Fabrikam") -and (recipienttypedetails -eq "usermailbox")' | Set-Mailbox -AddressBookPolicy Fabrikam

阅读更多内容：“断开连接的权利” - 使用 Azure 自动化在 Exchange Online 中实施定时免责声明

应用策略后，用户现在只能看到由分配给其邮箱的策略定义的地址列表和成员，如下图 2 所示：

管理异常

有时，用户可能需要查看来自不同策略的多个地址列表的成员。无法绕过为用户分配的通讯簿策略，因此需要新的策略。此策略应包含用户需要联系的每个人的地址列表。

例如，如果 Contoso 和 Fabrikam 共用一位 CEO，则无论是哪家公司，他们都需要让所有员工都能看到。可以创建一个新策略，如下例所示，以允许 CEO 查看所有地址列表：

##Create “All Staff” ABP
New-AddressBookPolicy -Name "All Staff Visible" -AddressLists "\Fabrikam", "\Contoso" -OfflineAddressBook "\Default OAB” -GlobalAddressList "\All Users GAL" -RoomList "\All Rooms" 

在此示例中，可以使用单个附加 ABP，但满足每个用例和用户组合可能会变得难以管理，因此最好保持简单。

在团队中使用 ABP

通过从 Teams 管理中心的 Teams 设置部分启用“使用 Exchange 通讯簿策略的范围目录搜索”选项，可以将 ABP 扩展到 Microsoft Teams，如图 3 所示：

启用此设置后，在 Teams 中搜索的用户会看到受分配的 ABP 限制的结果，如图 4 所示：

在 Teams 中启用范围目录搜索时需要注意一些副作用，因此在决定启用它之前考虑到这一点非常重要。

信息壁垒

信息屏障 (IB) 与 APB 类似，因为它们也旨在提供内部隔离。不同之处在于，IB 还完全阻止 SharePoint、OneDrive 和 Teams 的协作。 IB 取代了租户中的 ABP，因此当环境中仍有任何 ABP 时，它们无法使用。当配置 IB 并分配分段时，用户的范围将限于他们所分配的分段。

注意：IB 至少需要 Office 365 E5 许可或 Office 365 A1/A3/A5 许可

阅读更多内容：如何使用适用于 PowerShell 的 Microsoft Graph SDK 生成 Office 365 许可报告

何时使用 ABP

在决定部署 ABP 之前，需要注意一些注意事项：

• 更改的复制不会是即时的；更新策略更改需要几个小时，如果用户在 Outlook 中使用缓存模式，则需要更长的时间
• 如果您有 ABP，则无法使用信息障碍。删除 ABP 来准备信息障碍需要付出一些努力来删除所有用户（包括非活动邮箱）的策略
• ABP 不会阻止电子邮件（IB 也不会）或 Teams 消息的发送
• 将 ABP 扩展到 Teams 会影响团队发现
• 大量 ABP 的管理可能会变得复杂
• ABP 不会阻止用户通过其他 Office 365 应用程序查看其他应用程序（如果启用了范围目录搜索，则 Teams 除外）

总之

对于大多数租户来说，ABP 是不需要的，只会使环境管理变得复杂。但是，如果您需要隔离不同用户组之间的通信，ABP 可能会非常有帮助。