Erste Schritte mit Informationsbarrieren

Hinweis

Microsoft 365 Compliance wird jetzt Microsoft Purview genannt, und die Lösungen im Compliancebereich wurden umbenannt. Weitere Informationen zu Microsoft Purview finden Sie in der Blog-Ankündigung.

In diesem Artikel wird beschrieben, wie Sie Richtlinien für Informationsbarrieren (IB) in Ihrer Organisation konfigurieren. Es sind mehrere Schritte erforderlich. Überprüfen Sie daher den gesamten Prozess, bevor Sie mit der Konfiguration von IB-Richtlinien beginnen.

Sie konfigurieren IB in Ihrer Organisation mithilfe der Microsoft Purview-Complianceportal oder mithilfe von Office 365 Security and Compliance PowerShell. Für Organisationen, die IB zum ersten Mal konfigurieren, empfehlen wir die Verwendung der Lösung für Informationsbarrieren im Complianceportal. Wenn Sie eine vorhandene IB-Konfiguration verwalten und mit PowerShell vertraut sind, haben Sie weiterhin diese Option.

Weitere Informationen zu IB-Szenarien und -Features finden Sie unter Informationen zu Informationsbarrieren.

Tipp

Um Ihnen bei der Vorbereitung Ihres Plans zu helfen, ist in diesem Artikel ein Beispielszenario enthalten.

Erforderliche Abonnements und Berechtigungen

Bevor Sie mit IB beginnen, sollten Sie Ihr Microsoft 365-Abonnement und alle Add-Ons bestätigen. Um auf IB zugreifen und diese verwenden zu können, muss Ihre Organisation über eines der folgenden Abonnements oder Add-Ons verfügen:

  • Microsoft 365 E5/A5-Abonnement (kostenpflichtige oder Testversion)
  • Office 365 E5/A5/A3/A1-Abonnement (kostenpflichtige oder Testversion)
  • Office 365 Advanced Compliance-Add-On (für neue Abonnements nicht mehr verfügbar)
  • Microsoft 365 E3/A3/A1-Abonnement + das Microsoft 365 E5/A5 Compliance-Add-On
  • Microsoft 365 E3/A3/A1-Abonnement + das Microsoft 365 E5/A5-Insider-Risikomanagement-Add-On

Weitere Informationen finden Sie unter Microsoft 365 Lizenzierungsleitfaden für Sicherheit & Compliance.

Zum Verwalten von IB-Richtlinien muss Ihnen eine der folgenden Rollen zugewiesen sein:

  • Globaler Microsoft 365-Administrator
  • Globaler Office 365-Administrator
  • Complianceadministrator
  • IB-Compliance-Management

Weitere Informationen zu Rollen und Berechtigungen finden Sie unter Berechtigungen im Office 365 Security & Compliance Center.

Konfigurationskonzepte

Wenn Sie IB konfigurieren, arbeiten Sie mit mehreren Objekten und Konzepten.

  • Benutzerkontoattribute sind in Azure Active Directory (oder Exchange Online) definiert. Diese Attribute können Abteilung, Position, Standort, Teamname und andere Auftragsprofildetails umfassen. Sie weisen Benutzer oder Gruppen Segmenten mit diesen Attributen zu.

  • Segmente sind Gruppen oder Benutzergruppen, die im Complianceportal oder mithilfe von PowerShell definiert sind, die ausgewählte Gruppen- oder Benutzerkontoattribute verwenden. Ausführliche Informationen finden Sie in der Liste der von IB unterstützten Attribute .

  • IB-Richtlinien bestimmen Kommunikationsgrenzwerte oder -beschränkungen. Wenn Sie IB-Richtlinien definieren, wählen Sie aus zwei Arten von Richtlinien aus:

    • Richtlinien zum Blockieren verhindern, dass ein Segment mit einem anderen kommuniziert.

    • Richtlinien zum Zulassen erlauben einem Segment, nur mit bestimmten anderen Segmenten zu kommunizieren.

      Hinweis

      Für Zulassungsrichtlinien sind Nicht-IB-Gruppen und -Benutzer für Benutzer, die in IB-Segmenten und -Richtlinien enthalten sind, nicht sichtbar. Wenn Nicht-IB-Gruppen und Benutzer für Benutzer sichtbar sein müssen, die in IB-Segmenten und -Richtlinien enthalten sind, müssen Sie Blockrichtlinien verwenden.

  • Die Richtlinienanwendung erfolgt, nachdem alle IB-Richtlinien definiert wurden, und Sie sind bereit, sie in Ihrer Organisation anzuwenden.

  • Sichtbarkeit von Nicht-IB-Benutzern und -Gruppen. Nicht-IB-Benutzer und -Gruppen sind Benutzer und Gruppen, die von IB-Segmenten und -Richtlinien ausgeschlossen sind. Je nach Typ der IB-Richtlinien (Blockieren oder Zulassen) unterscheidet sich das Verhalten für diese Benutzer und Gruppen in Microsoft Teams, SharePoint, OneDrive und in Ihrer globalen Adressliste. Für Benutzer, die in Zulassungsrichtlinien definiert sind, sind Nicht-IB-Gruppen und Benutzer für Benutzer, die in IB-Segmenten und -Richtlinien enthalten sind, nicht sichtbar. Für Benutzer, die in Blockrichtlinien definiert sind, sind Nicht-IB-Gruppen und Benutzer für Benutzer sichtbar, die in IB-Segmenten und -Richtlinien enthalten sind.

  • Gruppenunterstützung. Nur moderne Gruppen werden derzeit in IB unterstützt, und Verteilerlisten/Sicherheitsgruppen werden als Nicht-IB-Gruppen behandelt.

  • Ausgeblendete/deaktivierte Benutzerkonten. Für ausgeblendete/deaktivierte Konten in Ihrer Organisation wird der Parameter HiddenFromAddressListEnabled automatisch auf "True" festgelegt, wenn die Benutzerkonten ausgeblendet oder deaktiviert sind. In IB-fähigen Organisationen werden diese Konten daran gehindert, mit allen anderen Benutzerkonten zu kommunizieren. In Microsoft Teams werden alle Chats einschließlich dieser Konten gesperrt oder die Benutzer automatisch aus Unterhaltungen entfernt.

Übersicht über die Konfiguration

Schritte Was beteiligt ist
Schritt 1: Sicherstellen, dass die Voraussetzungen erfüllt sind – Überprüfen Sie, ob Sie über die erforderlichen Abonnements und Berechtigungen verfügen.
- Stellen Sie sicher, dass Ihr Verzeichnis Daten zur Segmentierung von Benutzern enthält
– Aktivieren der Suche nach Namen für Microsoft Teams
- Stellen Sie sicher, dass die Audit-Protokollierung aktiviert ist
- Stellen Sie sicher, dass keine Exchange-Adressbuchrichtlinien vorhanden sind
– Erteilen der Administratorzustimmung für Microsoft Teams (Schritte sind enthalten)
Schritt 2: Segmentieren von Benutzern in Ihrer Organisation - Bestimmen Sie, welche Richtlinien erforderlich sind
- Erstellen Sie eine Liste der zu definierenden Segmente
- Identifizieren Sie, welche Attribute verwendet werden sollen
- Definieren Sie Segmente in Bezug auf Richtlinienfilter
Schritt 3: Erstellen von Richtlinien für Informationsbarrieren – Erstellen Sie Ihre Richtlinien (noch nicht zutreffend)
- Wählen Sie aus zwei Arten (blockieren oder zulassen)
Schritt 4: Anwenden von Richtlinien für Informationsbarrieren - Versetzen Sie Richtlinien in den aktiven Status
- Führen Sie die Richtlinienanwendung aus
- Zeigen Sie den Richtlinienstatus an
Schritt 5: Konfiguration für Informationsbarrieren für SharePoint und OneDrive (optional) – Konfigurieren von IB für SharePoint und OneDrive
Schritt 6: Informationsbarrierenmodi (optional) - Aktualisieren von IB-Modi, falls zutreffend

Schritt 1: Sicherstellen, dass die Voraussetzungen erfüllt sind

Stellen Sie zusätzlich zu den erforderlichen Abonnements und Berechtigungen sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie IB konfigurieren:

  • Verzeichnisdaten: Stellen Sie sicher, dass sich die Struktur Ihrer Organisation in den Verzeichnisdaten widerspiegelt. Um diese Aktion auszuführen, stellen Sie sicher, dass Benutzerkontoattribute (z. B. Gruppenmitgliedschaft, Abteilungsname usw.) in Azure Active Directory (oder Exchange Online) ordnungsgemäß ausgefüllt sind. Weitere Informationen hierzu finden Sie in den folgenden Ressourcen:

  • Bereichsverzeichnissuche: Bevor Sie die erste IB-Richtlinie Ihrer Organisation definieren, müssen Sie die bereichsbezogene Verzeichnissuche in Microsoft Teams aktivieren. Warten Sie nach dem Aktivieren der bereichsbezogenen Verzeichnissuche mindestens 24 Stunden, bevor Sie IB-Richtlinien einrichten oder definieren.

  • Überprüfen, ob die Überwachungsprotokollierung aktiviert ist: Um den Status einer IB-Richtlinienanwendung nachzuschlagen, muss die Überwachungsprotokollierung aktiviert sein. Die Überwachung ist für Microsoft 365-Organisationen standardmäßig aktiviert. Einige Organisationen haben die Überwachung möglicherweise aus bestimmten Gründen deaktiviert. Wenn die Überwachung für Ihre Organisation deaktiviert ist, kann dies daran liegen, dass ein anderer Administrator sie deaktiviert hat. Es wird empfohlen, zu bestätigen, dass es in Ordnung ist, die Überwachung wieder zu aktivieren, wenn Sie diesen Schritt abschließen. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren der Überwachungsprotokollsuche.

  • Entfernen vorhandener Exchange Online Adressbuchrichtlinien: Bevor Sie IB-Richtlinien definieren und anwenden, müssen Sie alle vorhandenen Exchange Online Adressbuchrichtlinien in Ihrer Organisation entfernen. IB-Richtlinien basieren auf Adressbuchrichtlinien, und vorhandene Richtlinien für Abps sind nicht mit den von IB erstellten ABPs kompatibel. Informationen zum Entfernen ihrer vorhandenen Adressbuchrichtlinien finden Sie unter Entfernen einer Adressbuchrichtlinie in Exchange Online. Weitere Informationen zu IB-Richtlinien und Exchange Online finden Sie unter Informationsbarrieren und Exchange Online.

  • Verwalten mithilfe von PowerShell (optional): IB-Segmente und -Richtlinien können in Office 365 Security & Compliance PowerShell definiert und verwaltet werden. Obwohl in diesem Artikel mehrere Beispiele bereitgestellt werden, müssen Sie mit PowerShell-Cmdlets und -Parametern vertraut sein, wenn Sie PowerShell zum Konfigurieren und Verwalten von IB-Segmenten und -Richtlinien verwenden. Wenn Sie diese Konfigurationsoption auswählen, benötigen Sie auch das Azure Active Directory PowerShell-Modul.

  • Administratorzustimmung für IB in Microsoft Teams: Wenn Ihre IB-Richtlinien eingerichtet sind, können sie Nicht-IB-Compliancebenutzer aus Gruppen entfernen (z. B. Teams Kanäle, die auf Gruppen basieren). Diese Konfiguration trägt dazu bei, sicherzustellen, dass Ihre Organisation den Richtlinien und Vorschriften entspricht. Verwenden Sie das folgende Verfahren, um ib-Richtlinien so zu aktivieren, dass sie in Microsoft Teams wie erwartet funktionieren.

    1. Voraussetzung: Installieren Sie Azure Active Directory PowerShell für Graph.

    2. Führen Sie die folgenden PowerShell-Cmdlets aus:

      Connect-AzureAD -Tenant "<yourtenantdomain.com>"  //for example: Connect-AzureAD -Tenant "Contoso.onmicrosoft.com"
      $appId="bcf62038-e005-436d-b970-2a472f8c1982" 
      $sp=Get-AzureADServicePrincipal -Filter "appid eq '$($appid)'"
      if ($sp -eq $null) { New-AzureADServicePrincipal -AppId $appId }
      Start-Process  "https://login.microsoftonline.com/common/adminconsent?client_id=$appId"
      
    3. Wenn Sie dazu aufgefordert werden, melden Sie sich mit Ihrem Arbeits-, Schul- oder Unikonto für Office 365 an.

    4. Überprüfen Sie im Dialogfeld "Angeforderte Berechtigungen " die Informationen, und wählen Sie " Annehmen" aus.

Wenn alle Voraussetzungen erfüllt sind, fahren Sie mit dem nächsten Schritt fort.

Schritt 2: Segmentieren von Benutzern in Ihrer Organisation

In diesem Schritt bestimmen Sie, welche IB-Richtlinien erforderlich sind, erstellen eine Liste von Segmenten zum Definieren und Definieren Ihrer Segmente. Das Definieren von Segmenten wirkt sich nicht auf Benutzer aus, es legt lediglich die Phase fest, in der IB-Richtlinien definiert und dann angewendet werden.

Ermitteln, welche Richtlinien erforderlich sind

Ermitteln Sie unter Berücksichtigung der Anforderungen Ihrer Organisation die Gruppen in Ihrer Organisation, die IB-Richtlinien benötigen. Stellen Sie sich die folgenden Fragen:

  • Gibt es interne, rechtliche oder branchenspezifische Vorschriften, die die Einschränkung der Kommunikation und Zusammenarbeit zwischen Gruppen und Benutzern in Ihrer Organisation erfordern?
  • Gibt es Gruppen oder Benutzer, die daran gehindert werden sollten, mit einer anderen Benutzergruppe zu kommunizieren?
  • Gibt es Gruppen oder Benutzer, die nur mit einer oder zwei anderen Benutzergruppen kommunizieren dürfen?

Denken Sie an die Richtlinien, die Sie benötigen, um zu einem von zwei Typen zu gehören:

  • Richtlinien zum Blockieren verhindern, dass eine Gruppe mit einer anderen Gruppe kommuniziert.
  • Zulassen von Richtlinien, dass eine Gruppe nur mit bestimmten Gruppen kommunizieren kann.

Wenn Sie ihre erste Liste der erforderlichen Gruppen und Richtlinien haben, fahren Sie mit der Identifizierung der Segmente fort, die Sie für die IB-Richtlinien benötigen.

Segmente identifizieren

Erstellen Sie zusätzlich zu Ihrer anfänglichen Liste der Richtlinien eine Liste der Segmente für Ihre Organisation. Benutzer, die in IB-Richtlinien einbezogen werden, sollten zu einem Segment gehören. Planen Sie Ihre Segmente sorgfältig, da sich ein Benutzer nur in einem Segment befinden kann. Für jedes Segment kann nur eine IB-Richtlinie angewendet werden.

Wichtig

Ein Benutzer kann sich nur in einem Segment befinden.

Bestimmen Sie, welche Attribute in den Verzeichnisdaten Ihrer Organisation Sie zum Definieren von Segmenten verwenden. Sie können Abteilung, MemberOf oder eines der unterstützten IB-Attribute verwenden. Stellen Sie sicher, dass das Attribut, das Sie für Benutzer auswählen, Werte aufweist. Weitere Informationen finden Sie unter den unterstützten Attributen für IB.

Wichtig

Bevor Sie mit dem nächsten Abschnitt fortfahren, stellen Sie sicher, dass Ihre Verzeichnisdaten Werte für Attribute aufweisen, die Sie zum Definieren von Segmenten verwenden können. Wenn Ihre Verzeichnisdaten keine Werte für die Attribute haben, die Sie verwenden möchten, müssen die Benutzerkonten aktualisiert werden, um diese Informationen einzuschließen, bevor Sie mit der Konfiguration von IB fortfahren. Hilfe hierzu finden Sie in den folgenden Ressourcen:
- Konfigurieren von Benutzerkontoeigenschaften mit Office 365 PowerShell
- Hinzufügen oder Aktualisieren der Profilinformationen eines Benutzers mithilfe von Azure Active Directory

Definieren von Segmenten mithilfe des Complianceportals

Führen Sie die folgenden Schritte aus, um Segmente im Complianceportal zu definieren:

  1. Melden Sie sich mit den Anmeldeinformationen für ein Administratorkonto in Ihrer Organisation beim Complianceportal an.

  2. Wählen Sie im Complianceportal "Information barriersSegments > " aus.

  3. Wählen Sie auf der Seite "Segmente " die Option "Neues Segment " aus, um ein neues Segment zu erstellen und zu konfigurieren.

  4. Geben Sie auf der Seite "Name " einen Namen für das Segment ein. Sie können ein Segment nicht umbenennen, nachdem es erstellt wurde.

  5. Wählen Sie Weiter aus.

  6. Wählen Sie auf der Seite " Benutzergruppenfilter " die Option "Hinzufügen" aus, um die Gruppen- und Benutzerattribute für das Segment zu konfigurieren. Wählen Sie ein Attribut für das Segment aus der Liste der verfügbaren Attribute aus.

  7. Wählen Sie für das ausgewählte Attribut " Gleich " oder " Nicht gleich " aus, und geben Sie dann den Wert für das Attribut ein. Wenn Sie beispielsweise "Abteilung " als Attribut und "Gleich" ausgewählt haben, können Sie "Marketing " als definierte Abteilung für diese Segmentbedingung eingeben. Sie können zusätzliche Bedingungen für ein Attribut hinzufügen, indem Sie " Bedingung hinzufügen" auswählen. Wenn Sie eine Attribut- oder Attributbedingung löschen müssen, wählen Sie das Löschsymbol für das Attribut oder die Bedingung aus.

  8. Fügen Sie nach Bedarf zusätzliche Attribute auf der Filterseite der Benutzergruppe hinzu, und wählen Sie dann "Weiter" aus.

  9. Überprüfen Sie auf der Seite "Einstellungen überprüfen " die Einstellungen, die Sie für das Segment ausgewählt haben, sowie alle Vorschläge oder Warnungen für Ihre Auswahl. Wählen Sie "Bearbeiten" aus, um eines der Segmentattribute und -bedingungen zu ändern, oder wählen Sie "Absenden " aus, um das Segment zu erstellen.

    Wichtig

    Stellen Sie sicher, dass die Segmente nicht überlappen. Jeder Benutzer, der von IB-Richtlinien betroffen ist, sollte zu einem (und nur einem) Segment gehören. Kein Benutzer sollte zu zwei oder mehr Segmenten gehören. Ein Beispielszenario finden Sie in den definierten Segmenten von Contoso in diesem Artikel.

Definieren von Segmenten mithilfe von PowerShell

Führen Sie die folgenden Schritte aus, um Segmente mit PowerShell zu definieren:

  1. Verwenden Sie das Cmdlet "New-OrganizationSegment " mit dem Parameter "UserGroupFilter ", der dem attribut entspricht , das Sie verwenden möchten.

    Syntax Beispiel
    New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'" New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"

    In diesem Beispiel wird ein Segment namens "HR " mithilfe von HR definiert, einem Wert im Department-Attribut . Der " -eq"- Teil des Cmdlets bezieht sich auf "gleich". (Alternativ können Sie "-ne " verwenden, um "ungleich" zu bedeuten. Siehe Verwenden von "equals" und "not equals" in Segmentdefinitionen.)

    Nachdem Sie jedes Cmdlet ausgeführt haben, sollte eine Liste mit Details zum neuen Segment angezeigt werden. Details umfassen den Typ des Segments, wer es erstellt oder zuletzt geändert hat usw.

  2. Wiederholen Sie diesen Vorgang für jedes Segment, das Sie definieren möchten.

    Wichtig

    Stellen Sie sicher, dass die Segmente nicht überlappen. Jeder Benutzer, der von IB-Richtlinien betroffen ist, sollte zu einem (und nur einem) Segment gehören. Kein Benutzer sollte zu zwei oder mehr Segmenten gehören. Ein Beispielszenario finden Sie in den definierten Segmenten von Contoso in diesem Artikel.

Nachdem Sie Ihre Segmente definiert haben, fahren Sie mit Schritt 3 fort: Erstellen von IB-Richtlinien.

Verwenden von "equals" und "not equals" in PowerShell-Segmentdefinitionen

Im folgenden Beispiel konfigurieren wir IB-Segmente mithilfe von PowerShell und definieren ein Segment so, dass "Abteilung gleich Personalwesen" ist.

Beispiel Hinweis
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" Beachten Sie, dass in diesem Beispiel die Segmentdefinition einen "equals"-Parameter enthält, der als -eq bezeichnet wird.

Sie können Segmente auch mithilfe eines Parameters "ungleich" definieren, der wie in der folgenden Tabelle dargestellt als "-ne" bezeichnet wird:

Syntax Beispiel
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" In diesem Beispiel haben wir ein Segment mit dem Namen "NotSales " definiert, das alle Personen enthält, die nicht in "Vertrieb" sind. Der " -ne"- Teil des Cmdlets bezieht sich auf "ungleich".

Zusätzlich zum Definieren von Segmenten mit "equals" oder "not equals" können Sie ein Segment mit den Parametern "equals" und "not equals" definieren. Sie können auch komplexe Gruppenfilter mit logischen UND- und OR-Operatoren definieren.

Syntax Beispiel
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" In diesem Beispiel wurde ein Segment namens LocalFTE definiert, das Benutzer enthält, die sich lokal befinden und deren Positionen nicht als temporär aufgeführt sind.
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq 'group1@contoso.com'' -and MemberOf -ne 'group3@contoso.com'" In diesem Beispiel wurde ein Segment namens Segment1 definiert, das Benutzer enthält, die Mitglieder von group1@contoso.com und keine Mitglieder von group3@contoso.com sind.
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq 'group2@contoso.com' -or MemberOf -ne 'group3@contoso.com'" In diesem Beispiel wurde ein Segment namens Segment2 definiert, das Benutzer enthält, die Mitglieder von group2@contoso.com und keine Mitglieder von group3@contoso.com sind.
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq 'group1@contoso.com' -or MemberOf -eq 'group2@contoso.com') -and MemberOf -ne 'group3@contoso.com'" In diesem Beispiel wurde ein Segment namens Segment1and2 definiert, das Benutzer in group1@contoso.com und group2@contoso.com und nicht Mitglieder von group3@contoso.com enthält.

Tipp

Verwenden Sie nach Möglichkeit Segmentdefinitionen, die "-eq" oder "-ne" enthalten. Versuchen Sie nicht, komplexe Segmentdefinitionen zu definieren.

Schritt 3: Erstellen von IB-Richtlinien

Wenn Sie Ihre IB-Richtlinien erstellen, bestimmen Sie, ob Sie die Kommunikation zwischen bestimmten Segmenten verhindern oder die Kommunikation auf bestimmte Segmente beschränken müssen. Im Idealfall verwenden Sie die mindeste Anzahl von IB-Richtlinien, um sicherzustellen, dass Ihre Organisation den internen, rechtlichen und branchenspezifischen Anforderungen entspricht. Sie können das Complianceportal oder PowerShell verwenden, um IB-Richtlinien zu erstellen und anzuwenden.

Tipp

Aus Gründen der Konsistenz der Benutzererfahrung empfehlen wir, wenn möglich, Blockrichtlinien für die meisten Szenarien zu verwenden.

Wählen Sie mit Ihrer Liste der Benutzersegmente und den IB-Richtlinien, die Sie definieren möchten, ein Szenario aus, und führen Sie dann die Schritte aus.

Wichtig

Stellen Sie sicher, dass Sie während der Definition von Richtlinien einem Segment nicht mehr als eine Richtlinie zuweisen. Wenn Sie beispielsweise eine Richtlinie für ein Segment namens "Vertrieb" definieren, definieren Sie keine zusätzliche Richtlinie für das Segment "Vertrieb ".
Stellen Sie außerdem beim Definieren von IB-Richtlinien sicher, dass diese Richtlinien auf den inaktiven Status festgelegt werden, bis Sie bereit sind, sie anzuwenden. Das Definieren (oder Bearbeiten) von Richtlinien wirkt sich nicht auf Benutzer aus, bis diese Richtlinien auf den aktiven Status festgelegt und dann angewendet werden.

Szenario 1: Blockieren der Kommunikation zwischen Segmenten

Wenn Sie die Kommunikation von Segmenten miteinander blockieren möchten, definieren Sie zwei Richtlinien: eine für jede Richtung. Jede Richtlinie blockiert die Kommunikation nur in eine Richtung.

Angenommen, Sie möchten die Kommunikation zwischen Segment A und Segment B blockieren. In diesem Fall würden Sie zwei Richtlinien definieren:

  • Eine Richtlinie, die verhindert, dass Segment A mit Segment B kommuniziert
  • Eine zweite Richtlinie, die verhindert, dass Segment B mit Segment A kommuniziert

Erstellen von Richtlinien mithilfe des Complianceportals für Szenario 1

Führen Sie die folgenden Schritte aus, um Richtlinien im Complianceportal zu definieren:

  1. Melden Sie sich mit den Anmeldeinformationen für ein Administratorkonto in Ihrer Organisation beim Complianceportal an.

  2. Wählen Sie im Complianceportal "InformationsbarrierenPolicies > " aus.

  3. Wählen Sie auf der Seite "Richtlinien " die Option "Richtlinie erstellen " aus, um eine neue IB-Richtlinie zu erstellen und zu konfigurieren.

  4. Geben Sie auf der Seite "Name " einen Namen für die Richtlinie ein, und wählen Sie " Weiter" aus.

  5. Wählen Sie auf der Seite "Zugewiesenes Segment " die Option "Segment auswählen" aus. Verwenden Sie das Suchfeld, um nach einem Segment anhand des Namens zu suchen, oder scrollen Sie, um das Segment aus der angezeigten Liste auszuwählen. Wählen Sie "Hinzufügen" aus, um das ausgewählte Segment zur Richtlinie hinzuzufügen. Sie können nur ein Segment auswählen.

  6. Wählen Sie Weiter aus.

  7. Wählen Sie auf der Seite "Kommunikation und Zusammenarbeit " den Richtlinientyp im Feld "Kommunikation und Zusammenarbeit " aus. Die Richtlinienoptionen sind entweder zulässig oder blockiert. In diesem Beispielszenario wird " Blockiert " für die erste Richtlinie ausgewählt.

    Wichtig

    Der Status "Zulässig" und "Blockiert" für Segmente kann nach dem Erstellen einer Richtlinie nicht geändert werden. Um den Status nach dem Erstellen einer Richtlinie zu ändern, müssen Sie die Richtlinie löschen und eine neue erstellen.

  8. Wählen Sie "Segment auswählen" aus, um die Aktionen für das Zielsegment zu definieren. In diesem Schritt können Sie mehrere Segmente zuweisen. Wenn Sie beispielsweise verhindern möchten, dass Benutzer in einem Segment namens "Vertrieb " mit Benutzern in einem Segment namens "Recherchieren" kommunizieren, hätten Sie das Segment " Vertrieb" in Schritt 5 definiert, und Sie würden " Recherchieren " in der Option "Segment auswählen" in diesem Schritt zuweisen.

  9. Wählen Sie Weiter aus.

  10. Schalten Sie auf der Seite " Richtlinienstatus " den aktiven Richtlinienstatus auf "Ein" um. Wählen Sie Weiter aus, um fortzufahren.

  11. Überprüfen Sie auf der Seite "Einstellungen überprüfen " die Einstellungen, die Sie für die Richtlinie ausgewählt haben, sowie alle Vorschläge oder Warnungen für Ihre Auswahl. Wählen Sie "Bearbeiten" aus, um eines der Richtliniensegmente und den Status zu ändern, oder wählen Sie "Absenden " aus, um die Richtlinie zu erstellen.

In diesem Beispiel wiederholen Sie die vorherigen Schritte, um eine zweite Blockrichtlinie zu erstellen, um zu verhindern, dass Benutzer in einem Segment namens "Recherchieren " mit Benutzern in einem Segment namens "Vertrieb" kommunizieren. Sie hätten das Segment "Recherchieren " in Schritt 5 definiert und würden " Vertrieb " (oder mehrere Segmente) in der Option "Segment auswählen" zuweisen.

Erstellen von Richtlinien mithilfe von PowerShell für Szenario 1

Führen Sie die folgenden Schritte aus, um Richtlinien mit PowerShell zu definieren:

  1. Verwenden Sie zum Definieren Ihrer ersten Blockierungsrichtlinie das Cmdlet New-InformationBarrierPolicy mit dem Parameter "SegmentsBlocked ".

    Syntax Beispiel
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsBlocked "segment2name" New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

    In diesem Beispiel haben wir eine Richtlinie namens "Sales-Research " für ein Segment namens "Sales" definiert. Wenn sie aktiv und angewendet wird, verhindert diese Richtlinie, dass Benutzer im Vertrieb mit Benutzern in einem Segment namens "Recherchieren" kommunizieren.

  2. Um Ihr zweites Blockierungssegment zu definieren, verwenden Sie das Cmdlet "New-InformationBarrierPolicy " erneut mit dem Parameter "SegmentsBlocked ", diesmal mit umgekehrten Segmenten.

    Beispiel Hinweis
    New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive In diesem Beispiel haben wir eine Richtlinie namens "Research-Sales " definiert, um zu verhindern, dass Research mit "Sales" kommuniziert.
  3. Fahren Sie mit einer der folgenden Aktionen fort:

Szenario 2: Zulassen, dass ein Segment nur mit einem anderen Segment kommuniziert

Wenn Sie zulassen möchten, dass ein Segment nur mit einem anderen Segment kommuniziert, definieren Sie nur eine Richtlinie für dieses Segment. Für das Segment, mit dem kommuniziert wird, ist keine ähnliche direktionale Richtlinie erforderlich (da sie standardmäßig mit jedem kommunizieren und zusammenarbeiten können).

Erstellen einer Richtlinie mithilfe des Complianceportals für Szenario 2

Führen Sie die folgenden Schritte aus, um Richtlinien im Complianceportal zu definieren:

  1. Melden Sie sich mit den Anmeldeinformationen für ein Administratorkonto in Ihrer Organisation beim Complianceportal an.

  2. Wählen Sie im Complianceportal "InformationsbarrierenPolicies > " aus.

  3. Wählen Sie auf der Seite "Richtlinien " die Option "Richtlinie erstellen " aus, um eine neue IB-Richtlinie zu erstellen und zu konfigurieren.

  4. Geben Sie auf der Seite "Name " einen Namen für die Richtlinie ein, und wählen Sie " Weiter" aus.

  5. Wählen Sie auf der Seite "Zugewiesenes Segment " die Option "Segment auswählen" aus. Verwenden Sie das Suchfeld, um nach einem Segment anhand des Namens zu suchen, oder scrollen Sie, um das Segment aus der angezeigten Liste auszuwählen. Wählen Sie "Hinzufügen" aus, um das ausgewählte Segment zur Richtlinie hinzuzufügen. Sie können nur ein Segment auswählen.

  6. Wählen Sie Weiter aus.

  7. Wählen Sie auf der Seite "Kommunikation und Zusammenarbeit " den Richtlinientyp im Feld "Kommunikation und Zusammenarbeit " aus. Die Richtlinienoptionen sind entweder zulässig oder blockiert. In diesem Beispielszenario wird " Zulässig " für die Richtlinie ausgewählt.

    Wichtig

    Der Status "Zulässig" und "Blockiert" für Segmente kann nach dem Erstellen einer Richtlinie nicht geändert werden. Um den Status nach dem Erstellen einer Richtlinie zu ändern, müssen Sie die Richtlinie löschen und eine neue erstellen.

  8. Wählen Sie "Segment auswählen" aus, um die Aktionen für das Zielsegment zu definieren. In diesem Schritt können Sie mehrere Segmente zuweisen. Wenn Sie beispielsweise Benutzern in einem Segment namens "Fertigung " die Kommunikation mit Benutzern in einem Segment namens "PERSONAL" ermöglichen möchten, hätten Sie das Segment "Fertigung " in Schritt 5 definiert, und Sie würden " Personalwesen " in diesem Schritt in der Option "Segment auswählen" zuweisen.

  9. Wählen Sie Weiter aus.

  10. Schalten Sie auf der Seite " Richtlinienstatus " den aktiven Richtlinienstatus auf "Ein" um. Wählen Sie Weiter aus, um fortzufahren.

  11. Überprüfen Sie auf der Seite "Einstellungen überprüfen " die Einstellungen, die Sie für die Richtlinie ausgewählt haben, sowie alle Vorschläge oder Warnungen für Ihre Auswahl. Wählen Sie "Bearbeiten" aus, um eines der Richtliniensegmente und den Status zu ändern, oder wählen Sie "Absenden " aus, um die Richtlinie zu erstellen.

Erstellen einer Richtlinie mithilfe von PowerShell für Szenario 2

Führen Sie die folgenden Schritte aus, um Richtlinien mit PowerShell zu definieren:

  1. Damit ein Segment nur mit einem anderen Segment kommunizieren kann, verwenden Sie das Cmdlet New-InformationBarrierPolicy mit dem Parameter "SegmentsAllowed ".

    Syntax Beispiel
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsAllowed "segment2name","segment1name" New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State Inactive

    In diesem Beispiel haben wir eine Richtlinie namens Manufacturing-HR für ein Segment namens Manufacturing definiert. Wenn diese Richtlinie aktiv und angewendet wird, können Benutzer in der Fertigung nur mit Benutzern in einem Segment namens "Personalwesen" kommunizieren. In diesem Fall kann Manufacturing nicht mit Benutzern kommunizieren, die nicht Teil der Personalabteilung sind.

    Bei Bedarf können Sie mit diesem Cmdlet mehrere Segmente angeben, wie im folgenden Beispiel gezeigt.

    Syntax Beispiel
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsAllowed "segment2name", "segment3name","segment1name" New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State Inactive

    In diesem Beispiel haben wir eine Richtlinie definiert, die es dem Forschungssegment ermöglicht, nur mit Personalwesen und Fertigung zu kommunizieren.

    Wiederholen Sie diesen Schritt für jede Richtlinie, die Sie definieren möchten, damit bestimmte Segmente nur mit bestimmten anderen bestimmten Segmenten kommunizieren können.

  2. Fahren Sie mit einer der folgenden Aktionen fort:

Schritt 4: Anwenden von IB-Richtlinien

IB-Richtlinien sind erst wirksam, wenn Sie sie auf den aktiven Status festgelegt und die Richtlinien angewendet haben.

Anwenden von Richtlinien mithilfe des Complianceportals

Führen Sie die folgenden Schritte aus, um Richtlinien im Complianceportal anzuwenden:

  1. Melden Sie sich mit den Anmeldeinformationen für ein Administratorkonto in Ihrer Organisation beim Complianceportal an.

  2. Wählen Sie im Complianceportal die Anwendung "Information barriersPolicy > " aus.

  3. Wählen Sie auf der Seite "Richtlinienanwendung**" die Option "Alle Richtlinien anwenden**" aus, um alle IB-Richtlinien in Ihrer Organisation anzuwenden.

    Hinweis

    Warten Sie 30 Minuten, bis das System mit der Anwendung der Richtlinien beginnt. Das System wendet die Richtlinien Benutzer für Benutzer an. Das System verarbeitet etwa 5 000 Benutzerkonten pro Stunde.

Anwenden von Richtlinien mithilfe von PowerShell

Führen Sie die folgenden Schritte aus, um Richtlinien mithilfe von PowerShell anzuwenden:

  1. Verwenden Sie das Cmdlet "Get-InformationBarrierPolicy ", um eine Liste der definierten Richtlinien anzuzeigen. Beachten Sie den Status und die Identität (GUID) der einzelnen Richtlinien.

    Syntax: Get-InformationBarrierPolicy

  2. Um eine Richtlinie auf den aktiven Status festzulegen, verwenden Sie das Cmdlet Set-InformationBarrierPolicy mit einem Identity-Parameter und den Statusparameter auf "Active".

    Syntax Beispiel
    Set-InformationBarrierPolicy -Identity GUID -State Active Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Active

    In diesem Beispiel legen wir eine IB-Richtlinie mit der GUID 43c37853-ea10-4b90-a23d-ab8c93772471 auf den aktiven Status fest.

    Wiederholen Sie diesen Schritt nach Bedarf für jede Richtlinie.

  3. Wenn Sie ihre IB-Richtlinien auf den aktiven Status festgelegt haben, verwenden Sie das Cmdlet "Start-InformationBarrierPoliciesApplication " in Security & Compliance PowerShell.

    Syntax: Start-InformationBarrierPoliciesApplication

    Nachdem Sie Start-InformationBarrierPoliciesApplication ausgeführt haben, sollten Sie 30 Minuten warten, bis das System mit der Anwendung der Richtlinien beginnt. Das System wendet die Richtlinien Benutzer für Benutzer an. Das System verarbeitet etwa 5 000 Benutzerkonten pro Stunde.

Anzeigen des Status von Benutzerkonten, Segmenten, Richtlinien oder Richtlinienanwendungen

Mit PowerShell können Sie den Status von Benutzerkonten, Segmenten, Richtlinien und Richtlinienanwendungen anzeigen, wie in der folgenden Tabelle aufgeführt.

So zeigen Sie diese Informationen an Diese Aktion ausführen
Benutzerkonten Verwenden Sie das Cmdlet "Get-InformationBarrierRecipientStatus " mit Identitätsparametern.

Syntax: Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

Sie können jeden Wert verwenden, der jeden Benutzer eindeutig identifiziert, z. B. Name, Alias, Distinguished Name, kanonischer Domänenname, E-Mail-Adresse oder GUID.

Beispiel: Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

In diesem Beispiel beziehen wir uns auf zwei Benutzerkonten in Office 365: meganb für Megan und alexw für Alex.

(Sie können dieses Cmdlet auch für einen einzelnen Benutzer verwenden: Get-InformationBarrierRecipientStatus -Identity <value>)

Dieses Cmdlet gibt Informationen zu Benutzern zurück, z. B. Attributwerte und alle angewendeten IB-Richtlinien.

Segmente Verwenden Sie das Cmdlet "Get-OrganizationSegment ".

Syntax: Get-OrganizationSegment

Dieses Cmdlet zeigt eine Liste aller Segmente an, die für Ihre Organisation definiert sind.

IB-Richtlinien Verwenden Sie das Cmdlet "Get-InformationBarrierPolicy ".

Syntax: Get-InformationBarrierPolicy

Dieses Cmdlet zeigt eine Liste der definierten IB-Richtlinien und deren Status an.

Die neueste IB-Richtlinienanwendung Verwenden Sie das Cmdlet "Get-InformationBarrierPoliciesApplicationStatus ".

Syntax: Get-InformationBarrierPoliciesApplicationStatus

Dieses Cmdlet zeigt Informationen dazu an, ob die Richtlinienanwendung abgeschlossen wurde, fehlgeschlagen ist oder gerade ausgeführt wird.

Alle IB-Richtlinienanwendungen Verwenden von Get-InformationBarrierPoliciesApplicationStatus -All

Dieses Cmdlet zeigt Informationen dazu an, ob die Richtlinienanwendung abgeschlossen wurde, fehlgeschlagen ist oder gerade ausgeführt wird.

Was geschieht, wenn ich Richtlinien entfernen oder ändern muss?

Es stehen Ressourcen zur Verfügung, die Ihnen bei der Verwaltung Ihrer IB-Richtlinien helfen.

Schritt 5: Konfiguration von Informationsbarrieren für SharePoint und OneDrive

Wenn Sie IB für SharePoint und OneDrive konfigurieren, müssen Sie IB für diese Dienste aktivieren. Sie müssen IB auch für diese Dienste aktivieren, wenn Sie IB für Microsoft Teams konfigurieren. Wenn ein Team in Microsoft Teams Team erstellt wird, wird automatisch eine SharePoint Website erstellt und Microsoft Teams für die Dateioberfläche zugeordnet. IB-Richtlinien werden auf dieser neuen SharePoint Website und Dateien standardmäßig nicht berücksichtigt.

Um IB in SharePoint und OneDrive zu aktivieren, befolgen Sie die Anleitungen und Schritte im Artikel "Verwenden von Informationsbarrieren mit SharePoint".

Schritt 6: Informationsbarrierenmodi

Modi können dazu beitragen, den Zugriff, die Freigabe und die Mitgliedschaft in einer Microsoft 365 Ressource basierend auf dem IB-Modus der Ressource zu stärken. Modi werden auf Microsoft 365-Gruppen-, Microsoft Teams-, OneDrive- und SharePoint-Websites unterstützt und in Ihrer neuen oder vorhandenen IB-Konfiguration automatisch aktiviert.

Die folgenden IB-Modi werden für Microsoft 365 Ressourcen unterstützt:

Mode Beschreibung Beispiel
Öffnen Der Microsoft 365 Ressource sind keine IB-Richtlinien oder Segmente zugeordnet. Jeder kann eingeladen werden, Mitglied der Ressource zu sein. Eine Teamwebsite, die für ein Picknickereignis für Ihre Organisation erstellt wurde.
Besitzer moderiert (Vorschau) Die IB-Richtlinie der Microsoft 365 Ressource wird aus der IB-Richtlinie des Ressourcenbesitzers bestimmt. Die Ressourcenbesitzer können jeden Benutzer basierend auf seinen IB-Richtlinien zu der Ressource einladen. Dieser Modus ist nützlich, wenn Ihr Unternehmen die Zusammenarbeit zwischen inkompatiblen Segmentbenutzern zulassen möchte, die vom Besitzer moderiert werden. Nur der Ressourcenbesitzer kann neue Mitglieder gemäß seiner IB-Richtlinie hinzufügen. Der VP von HR möchte mit den VPs für Vertrieb und Forschung zusammenarbeiten. Eine neue SharePoint Website, die mit dem IB-Modus "Owner Moderated" festgelegt ist, um benutzer des Vertriebs- und Research-Segments derselben Website hinzuzufügen. Es liegt in der Verantwortung des Besitzers sicherzustellen, dass der Ressource geeignete Mitglieder hinzugefügt werden.
Implizit Die IB-Richtlinie oder -Segmente der Microsoft 365 Ressource werden von der IB-Richtlinie der Ressourcenmitglieder geerbt. Der Besitzer kann Mitglieder hinzufügen, solange sie mit den vorhandenen Mitgliedern der Ressource kompatibel sind. Dieser Modus ist der Standardmäßige IB-Modus für Microsoft Teams. Der Benutzer des Vertriebssegments erstellt ein Microsoft Teams Team für die Zusammenarbeit mit anderen kompatiblen Segmenten in der Organisation.
Explicit Die IB-Richtlinie der Microsoft 365 Ressource entspricht den Segmenten, die der Ressource zugeordnet sind. Der Ressourcenbesitzer oder SharePoint Administrator hat die Möglichkeit, die Segmente der Ressource zu verwalten. Eine Website, die nur für Mitglieder des Vertriebssegments erstellt wurde, um zusammenzuarbeiten, indem das Segment "Vertrieb" der Website zugeordnet wird.

Weitere Informationen zu IB-Modi und deren Konfiguration über Dienste hinweg finden Sie in den folgenden Artikeln:

Beispielszenario: Contoso-Abteilungen, -Segmente und -Richtlinien

Um zu sehen, wie eine Organisation sich der Definition von Segmenten und Richtlinien nähern kann, betrachten Sie das folgende Beispielszenario.

Die Abteilungen und der Plan von Contoso

Contoso hat fünf Abteilungen: Personalwesen, Vertrieb, Marketing, Forschung und Fertigung. Um branchenspezifische Vorschriften einzuhalten, sollten Benutzer in einigen Abteilungen nicht mit anderen Abteilungen kommunizieren, wie in der folgenden Tabelle aufgeführt:

Segment Kann kommunizieren mit Kann nicht kommunizieren mit
HR Jeder (keine Beschränkungen)
Vertrieb PERSONAL, Marketing, Fertigung Forschung
Marketing Jeder (keine Beschränkungen)
Forschung PERSONAL, Marketing, Fertigung Vertrieb
Fertigung PERSONAL, Marketing Andere Personen als Personalwesen oder Marketing

Für diese Struktur umfasst Der Plan von Contoso drei IB-Richtlinien:

  1. Eine IB-Richtlinie, die verhindern soll, dass Der Vertrieb mit Forschung kommuniziert
  2. Eine weitere IB-Richtlinie, um zu verhindern, dass Forschung mit dem Vertrieb kommuniziert.
  3. Eine IB-Richtlinie, die es der Fertigung ermöglicht, nur mit PERSONAL und Marketing zu kommunizieren.

Für dieses Szenario ist es nicht erforderlich, IB-Richtlinien für Personalwesen oder Marketing zu definieren.

Die von Contoso definierten Segmente

Contoso verwendet das Department-Attribut in Azure Active Directory, um Segmente wie folgt zu definieren:

Abteilung Segmentdefinition
Personal New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"
Vertrieb New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'"
Marketing New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'"
Forschung New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'"
Fertigung New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'"

Nachdem die Segmente definiert wurden, setzt Contoso fort, die IB-Richtlinien zu definieren.

Die IB-Richtlinien von Contoso

Contoso definiert drei IB-Richtlinien, wie in der folgenden Tabelle beschrieben:

Richtlinie Richtliniendefinition
Richtlinie 1: Unterbindung der Kommunikation von der Abteilung Vertrieb zur Abteilung Forschung New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

In diesem Beispiel heißt die IB-Richtlinie "Sales-Research". Wenn diese Richtlinie aktiv und angewendet ist, verhindert sie, dass Benutzer im Segment Vertrieb Kommunikation an Benutzer im Segment Forschung richten können. Diese Richtlinie ist eine unidirektionale Politik; Dies verhindert nicht, dass Forschung mit "Vertrieb" kommuniziert. Für diesen Fall ist Richtlinie 2 erforderlich.

Richtlinie 2: Unterbindung der Kommunikation von der Abteilung Forschung zur Abteilung Vertrieb New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive

In diesem Beispiel heißt die IB-Richtlinie "Research-Sales". Wenn diese Richtlinie aktiv und angewendet ist, verhindert sie, dass Benutzer im Segment Forschung Kommunikation an Benutzer im Segment Vertrieb richten können.

Richtlinie 3: Zulassen, dass die Fertigung nur mit PERSONAL und Marketing kommuniziert New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive

In diesem Fall heißt die IB-Richtlinie Manufacturing-HRMarketing. Wenn diese Richtlinie aktiv und angewendet ist, kann die Fertigung nur mit Personal und Marketing kommunizieren. Hr und Marketing sind nicht auf die Kommunikation mit anderen Segmenten beschränkt.

Mit definierten Segmenten und Richtlinien wendet Contoso die Richtlinien an, indem das Cmdlet "Start-InformationBarrierPoliciesApplication " ausgeführt wird.

Nach Abschluss des Cmdlets entspricht Contoso den Branchenanforderungen.

Ressourcen