Gestire i criteri delle barriere di informazioniManage information barrier policies

Dopo aver definito i criteridelle barriere di informazioni, potrebbe essere necessario apportare modifiche a tali criteri o ai segmenti di utenti, come parte della risoluzione dei problemi o come manutenzione regolare.After you have defined information barrier policies, you might need to make changes to those policies or to your user segments, as part of troubleshooting or as regular maintenance. Usa questo articolo come guida.Use this article as a guide.

Operazione desiderataWhat do you want to do?

AzioneAction DescrizioneDescription
Modificare gli attributi dell'account utenteEdit user account attributes Compilare gli attributi in Azure Active Directory che possono essere usati per definire i segmenti.Fill in attributes in Azure Active Directory that can be used to define segments.
Modificare gli attributi dell'account utente quando gli utenti non sono inclusi nei segmenti che dovrebbero essere, per modificare i segmenti in cui sono presenti gli utenti o per definire segmenti con attributi diversi.Edit user account attributes when users are not included in segments they should be, to change which segments users are in, or to define segments using different attributes.
Modificare un segmentoEdit a segment Modifica i segmenti quando vuoi modificare la modalità di definizione di un segmento.Edit segments when you want to change how a segment is defined.
È possibile, ad esempio, che i segmenti originariamente definiti utilizzino Department e che ora si desideri utilizzare un altro attributo, ad esempio MemberOf.For example, you might have originally defined segments using Department and now want to use another attribute, such as MemberOf.
Modificare un criterioEdit a policy Modificare un criterio di barriere di informazioni quando si desidera modificare il funzionamento di un criterio.Edit an information barrier policy when you want to change how a policy works.
Ad esempio, invece di bloccare le comunicazioni tra due segmenti, potresti decidere di consentire la comunicazione solo tra determinati segmenti.For example, instead of blocking communications between two segments, you might decide you want to allow communications to occur only between certain segments.
Impostare un criterio sullo stato inattivoSet a policy to inactive status Impostare un criterio sullo stato inattivo quando si desidera apportare modifiche a un criterio o quando non si desidera che un criterio sia attivo.Set a policy to inactive status when you want to make changes to a policy, or when you don't want a policy to be in effect.
Rimuovere un criterioRemove a policy Rimuovere un criterio di barriere di informazioni quando non è più necessario un criterio specifico.Remove an information barrier policy when you no longer need a particular policy in place.
Arrestare un'applicazione di criteriStop a policy application Eseguire questa azione quando si desidera interrompere il processo di applicazione dei criteri delle barriere di informazioni.Take this action when you want to stop the process of applying information barrier policies.
L'interruzione di un'applicazione dei criteri non è immediata e non annulla i criteri già applicati agli utenti.Stopping a policy application is not instant, and it does not undo policies that are already applied to users.
Definire i criteri per le barriere in fatto di informazioniDefine policies for information barriers Definire un criterio di limitazione delle informazioni quando non si dispone già di tali criteri ed è necessario limitare o limitare le comunicazioni tra gruppi specifici di utenti.Define an information barrier policy when you do not already have such policies in place, and you must restrict or limit communications between specific groups of users.
Risoluzione dei problemi relativi alle barriere informativeTroubleshooting information barriers Fare riferimento a questo articolo quando si verificano problemi imprevisti con le barriere di informazioni.Refer to this article when you run into unexpected issues with information barriers.

Importante

Per eseguire le attività descritte in questo articolo, è necessario disporre di un ruolo appropriato, ad esempio uno dei seguenti:To perform the tasks described in this article, you must be assigned an appropriate role, such as one of the following:
- Amministratore globale dell'organizzazione di Microsoft 365- Microsoft 365 Enterprise Global Administrator
- Amministratore globale- Global Administrator
- Amministratore conformità- Compliance Administrator
- IB Compliance Management (questo è un nuovo ruolo!)- IB Compliance Management (this is a new role!)

Per ulteriori informazioni sui prerequisiti per le barriere delle informazioni, vedere Prerequisiti (per i criteri delle barriere di informazioni).To learn more about prerequisites for information barriers, see Prerequisites (for information barrier policies).

Assicurarsi di connettersi a PowerShell & Centro sicurezza e conformità.Make sure to connect to the Security & Compliance Center PowerShell.

Modificare gli attributi dell'account utenteEdit user account attributes

Utilizzare questa procedura per modificare gli attributi utilizzati per segmentare gli utenti.Use this procedure to edit attributes that are used for segmenting users. Ad esempio, se si utilizza un attributo Department e uno o più account utente non hanno alcun valore elencato per Department, è necessario modificare tali account utente in modo da includere le informazioni relative al reparto.For example, if you are using a Department attribute, and one or more user accounts do not currently have any values listed for Department, you must edit those user accounts to include Department information. Gli attributi dell'account utente vengono utilizzati per definire i segmenti in modo che i criteri delle barriere di informazioni possano essere assegnati.User account attributes are used for defining segments so that information barrier policies can be assigned.

  1. Per visualizzare i dettagli di un account utente specifico, ad esempio i valori degli attributi e i segmenti assegnati, utilizzare il cmdlet Get-InformationBarrierRecipientStatus con i parametri Identity.To view details for a specific user account, such as attribute values and assigned segment(s), use the Get-InformationBarrierRecipientStatus cmdlet with Identity parameters.

    SintassiSyntax EsempioExample
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    È possibile utilizzare qualsiasi valore che identifichi ogni utente in modo univoco, ad esempio nome, alias, nome distinto, nome di dominio canonico, indirizzo di posta elettronica o GUID.You can use any value that uniquely identifies each user, such as name, alias, distinguished name, canonical domain name, email address, or GUID.

    È inoltre possibile utilizzare questo cmdlet per un singolo Get-InformationBarrierRecipientStatus -Identity <value> utente:(You can also use this cmdlet for a single user: Get-InformationBarrierRecipientStatus -Identity <value>)

    Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    In questo esempio si fa riferimento a due account utente in Office 365: meganb per Megan e alexw per Alex.In this example, we refer to two user accounts in Office 365: meganb for Megan, and alexw for Alex.

  2. Determinare l'attributo che si desidera modificare per i profili dell'account utente.Determine which attribute you want to edit for your user account profile(s). Per ulteriori informazioni, vedere Attributi per i criteri delle barriere di informazioni.For more information, see Attributes for information barrier policies.

  3. Modificare uno o più account utente per includere i valori per l'attributo selezionato nel passaggio precedente.Edit one or more user accounts to include values for the attribute you selected in the previous step. Per eseguire questa operazione, utilizzare una delle procedure seguenti:To take this action, use one of the following procedures:

Modificare un segmentoEdit a segment

Utilizzare questa procedura per modificare la definizione di un segmento di utenti.Use this procedure edit the definition of a user segment. Ad esempio, puoi modificare il nome di un segmento o il filtro usato per determinare chi è incluso nel segmento.For example, you might change the name of a segment, or the filter that is used to determine who's included in the segment.

  1. Per visualizzare tutti i segmenti esistenti, utilizzare il cmdlet Get-OrganizationSegment.To view all existing segments, use the Get-OrganizationSegment cmdlet.

    Sintassi: Get-OrganizationSegmentSyntax: Get-OrganizationSegment

    Verrà visualizzato un elenco di segmenti e dettagli per ognuno, ad esempio il tipo di segmento, il relativo valore UserGroupFilter, l'utente che lo ha creato o modificato per l'ultima volta, il GUID e così via.You will see a list of segments and details for each, such as segment type, its UserGroupFilter value, who created or last modified it, GUID, and so on.

    Suggerimento

    Stampa o salva l'elenco di segmenti per riferimento in un secondo momento.Print or save your list of segments for reference later. Ad esempio, se si desidera modificare un segmento, è necessario conoscerne il nome o identificare il valore (utilizzato con il parametro Identity).For example, if you want to edit a segment, you will need to know its name or identify value (this is used with the Identity parameter).

  2. Per modificare un segmento, utilizzare il cmdlet Set-OrganizationSegment con il parametro Identity e i dettagli pertinenti.To edit a segment, use the Set-OrganizationSegment cmdlet with the Identity parameter and relevant details.

    SintassiSyntax EsempioExample
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"

    In questo esempio, per il segmento con GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, il nome del reparto è stato aggiornato in "HRDept".In this example, for the segment that has the GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, we updated the department name to "HRDept".

Dopo aver completato la modifica dei segmenti per l'organizzazione, è possibile definire o modificare i criteri delle barriere di informazioni.When you have finished editing segments for your organization, you can either define or edit information barrier policies.

Modificare un criterioEdit a policy

  1. Per visualizzare un elenco dei criteri correnti delle barriere di informazioni, utilizzare il cmdlet Get-InformationBarrierPolicy.To view a list of current information barrier policies, use the Get-InformationBarrierPolicy cmdlet.

    Sintassi: Get-InformationBarrierPolicySyntax: Get-InformationBarrierPolicy

    Nell'elenco dei risultati identificare il criterio che si desidera modificare.In the list of results, identify the policy that you want to change. Prendere nota del GUID e del nome del criterio.Note the policy's GUID and name.

  2. Utilizzare il cmdlet Set-InformationBarrierPolicy con un parametro Identity e specificare le modifiche che si desidera apportare.Use the Set-InformationBarrierPolicy cmdlet with an Identity parameter, and specify the changes you want to make.

    Esempio: si supponga che sia stato definito un criterio per impedire al segmento Ricerche di comunicare con i segmenti Vendite e Marketing.Example: Suppose a policy was defined to block the Research segment from communicating with the Sales and Marketing segments. Il criterio è stato definito utilizzando questo cmdlet: New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"The policy was defined by using this cmdlet: New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"

    Si supponga di volerla modificare in modo che gli utenti del segmento Ricerca possano comunicare solo con persone del segmento HR.Suppose we want to change it so that people in the Research segment can only communicate with people in the HR segment. Per apportare questa modifica, viene utilizzato questo cmdlet: Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"To make this change, we use this cmdlet: Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"

    In questo esempio abbiamo modificato "SegmentsBlocked" in "SegmentsAllowed" e specificato il segmento HR.In this example, we changed "SegmentsBlocked" to "SegmentsAllowed" and specified the HR segment.

  3. Dopo aver completato la modifica di un criterio, assicurati di applicare le modifiche.When you are finished editing a policy, make sure to apply your changes. (Vedi Applicare i criteri delle barriere di informazioni.)(See Apply information barrier policies.)

Impostare un criterio sullo stato inattivoSet a policy to inactive status

  1. Per visualizzare un elenco dei criteri correnti delle barriere di informazioni, utilizzare il cmdlet Get-InformationBarrierPolicy.To view a list of current information barrier policies, use the Get-InformationBarrierPolicy cmdlet.

    Sintassi: Get-InformationBarrierPolicySyntax: Get-InformationBarrierPolicy

    Nell'elenco dei risultati identificare il criterio che si desidera modificare o rimuovere.In the list of results, identify the policy that you want to change (or remove). Prendere nota del GUID e del nome del criterio.Note the policy's GUID and name.

  2. Per impostare lo stato del criterio su inattivo, utilizzare il cmdlet Set-InformationBarrierPolicy con un parametro Identity e il parametro State impostato su Inactive.To set the policy's status to inactive, use the Set-InformationBarrierPolicy cmdlet with an Identity parameter and the State parameter set to Inactive.

    SintassiSyntax EsempioExample
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive

    In questo esempio viene impostato uno stato inattivo di un criterio di barriere di informazioni con GUID 43c37853-ea10-4b90-a23d-ab8c9377247.In this example, we set an information barrier policy that has GUID 43c37853-ea10-4b90-a23d-ab8c9377247 to an inactive status.

  3. Per applicare le modifiche, utilizzare il cmdlet Start-InformationBarrierPoliciesApplication.To apply your changes, use the Start-InformationBarrierPoliciesApplication cmdlet.

    Sintassi: Start-InformationBarrierPoliciesApplicationSyntax: Start-InformationBarrierPoliciesApplication

    Le modifiche vengono applicate, utente per utente, per l'organizzazione.Changes are applied, user by user, for your organization. Se l'organizzazione è di grandi dimensioni, il completamento di questo processo può richiedere 24 ore (o più).If your organization is large, it can take 24 hours (or more) for this process to complete. Come linea guida generale, l'elaborazione di 5.000 account utente richiede circa un'ora.(As a general guideline, it takes about an hour to process 5,000 user accounts.)

A questo punto, uno o più criteri delle barriere di informazioni sono impostati sullo stato inattivo.At this point, one or more information barrier policies are set to inactive status. Da qui è possibile eseguire una delle operazioni seguenti:From here, you can do any of the following actions:

Rimuovere un criterioRemove a policy

  1. Per visualizzare un elenco dei criteri correnti delle barriere di informazioni, utilizzare il cmdlet Get-InformationBarrierPolicy.To view a list of current information barrier policies, use the Get-InformationBarrierPolicy cmdlet.

    Sintassi: Get-InformationBarrierPolicySyntax: Get-InformationBarrierPolicy

    Nell'elenco dei risultati identificare il criterio che si desidera rimuovere.In the list of results, identify the policy that you want to remove. Prendere nota del GUID e del nome del criterio.Note the policy's GUID and name. Verificare che il criterio sia impostato sullo stato inattivo.Make sure the policy is set to inactive status.

  2. Utilizzare il cmdlet Remove-InformationBarrierPolicy con un parametro Identity.Use the Remove-InformationBarrierPolicy cmdlet with an Identity parameter.

    SintassiSyntax EsempioExample
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471

    In questo esempio viene rimosso il criterio con GUID 43c37853-ea10-4b90-a23d-ab8c93772471.In this example, we are removing the policy that has GUID 43c37853-ea10-4b90-a23d-ab8c93772471.

    Quando richiesto, confermare la modifica.When prompted, confirm the change.

  3. Ripetere i passaggi da 1 a 2 per ogni criterio che si desidera rimuovere.Repeat steps 1-2 for each policy you want to remove.

  4. Al termine della rimozione dei criteri, applicare le modifiche.When you are finished removing policies, apply your changes. Per eseguire questa operazione, utilizzare il cmdlet Start-InformationBarrierPoliciesApplication.To take this action, use the Start-InformationBarrierPoliciesApplication cmdlet.

    Sintassi: Start-InformationBarrierPoliciesApplicationSyntax: Start-InformationBarrierPoliciesApplication

    Le modifiche vengono applicate, utente per utente, per l'organizzazione.Changes are applied, user by user, for your organization. Se l'organizzazione è di grandi dimensioni, il completamento di questo processo può richiedere 24 ore (o più).If your organization is large, it can take 24 hours (or more) for this process to complete.

Arrestare un'applicazione di criteriStop a policy application

Dopo aver avviato l'applicazione dei criteri delle barriere di informazioni, se si desidera impedire l'applicazione di tali criteri, eseguire la procedura seguente.After you have started applying information barrier policies, if you want to stop those policies from being applied, use the following procedure. L'avvio del processo richiederà circa 30-35 minuti.It will take approximately 30-35 minutes for the process to begin.

  1. Per visualizzare lo stato dell'applicazione dei criteri di protezione delle informazioni più recente, utilizzare il cmdlet Get-InformationBarrierPoliciesApplicationStatus.To view the status of the most recent information barrier policy application, use the Get-InformationBarrierPoliciesApplicationStatus cmdlet.

    Sintassi: Get-InformationBarrierPoliciesApplicationStatusSyntax: Get-InformationBarrierPoliciesApplicationStatus

    Prendere nota del GUID dell'applicazione.Note the application's GUID.

  2. Utilizzare il cmdlet Stop-InformationBarrierPoliciesApplication con un parametro Identity.Use the Stop-InformationBarrierPoliciesApplication cmdlet with an Identity parameter.

    SintassiSyntax EsempioExample
    Stop-InformationBarrierPoliciesApplication -Identity GUID Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1

    In questo esempio, stiamo interrompendo l'applicazione dei criteri delle barriere di informazioni.In this example, we are stopping information barrier policies from being applied.

RisorseResources