Gestire i criteri delle barriere informative

  • Articolo

Dopo aver definito i criteri di barriere informative (IB), potrebbe essere necessario apportare modifiche a tali criteri o ai segmenti utente, come parte della risoluzione dei problemi o come manutenzione regolare.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Operazione desiderata

Azione Descrizione
Modificare gli attributi dell'account utente Compilare gli attributi in Microsoft Entra ID che può essere usato per definire i segmenti.
Modificare gli attributi dell'account utente quando gli utenti non sono inclusi nei segmenti che devono essere, per modificare i segmenti in cui si trovano gli utenti o per definire segmenti usando attributi diversi.
Modificare un segmento Modificare i segmenti quando si desidera cambiarne la modalità di definizione.
Ad esempio, è possibile che i segmenti siano stati definiti in origine usando Department e che ora si voglia usare un altro attributo, ad esempio MemberOf.
Modificare un criterio Modificare un criterio di barriere informative quando si vuole modificare il funzionamento di un criterio.
Ad esempio, invece di bloccare le comunicazioni tra due segmenti, è possibile decidere di consentire le comunicazioni solo tra determinati segmenti.
Impostare un criterio sullo stato inattivo Impostare un criterio sullo stato inattivo quando si desidera apportare modifiche a un criterio o quando non si vuole che un criterio sia attivo.
Rimuovere un criterio Rimuovere un criterio di barriere informative quando non è più necessario un criterio specifico.
Rimuovere un segmento Rimuovere un segmento di barriere informative quando non è più necessario un segmento specifico.
Rimuovere un criterio e un segmento Rimuovere contemporaneamente un criterio di barriere informative e un segmento.
Arrestare un'applicazione di criteri Eseguire questa azione quando si vuole arrestare il processo di applicazione dei criteri di barriere informative.
L'arresto di un'applicazione di criteri non è immediato e non annulla i criteri già applicati agli utenti.
Abilitare o disabilitare l'individuabilità dell'utente Abilita o disabilita se gli utenti vengono visualizzati nella selezione utenti.
Definire i criteri per le barriere informative Definire un criterio di barriere informative quando tali criteri non sono già stati applicati ed è necessario limitare o limitare le comunicazioni tra gruppi specifici di utenti.
Risoluzione dei problemi relativi alle barriere informative Fare riferimento a questo articolo quando si verificano problemi imprevisti con le barriere informative.

Importante

Per eseguire le attività descritte in questo articolo, è necessario disporre di un ruolo appropriato, ad esempio uno dei seguenti:
- Microsoft 365 Enterprise amministratore globale
- Amministratore globale
- Amministratore conformità
- Gestione conformità IB (questo è un nuovo ruolo!)

Per altre informazioni sui prerequisiti per le barriere informative, vedere Prerequisiti (per i criteri di barriere informative).

Assicurarsi di connettersi a Security & Compliance PowerShell.

Modificare gli attributi dell'account utente

Utilizzare questa procedura per modificare gli attributi usati per segmentare gli utenti. Ad esempio, se si usa un attributo Department e uno o più account utente non hanno attualmente valori elencati per Department, è necessario modificare tali account utente per includere le informazioni sul reparto. Gli attributi dell'account utente vengono usati per definire i segmenti in modo che sia possibile assegnare criteri di barriere informative.

  1. Per visualizzare i dettagli per un account utente specifico, ad esempio valori di attributo e segmenti assegnati, usare il cmdlet Get-InformationBarrierRecipientStatus con i parametri Identity.

    Sintassi Esempio
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
    È possibile usare qualsiasi valore che identifichi in modo univoco ogni utente, ad esempio nome, alias, nome distinto, nome di dominio canonico, indirizzo di posta elettronica o GUID.
    È anche possibile usare questo cmdlet per un singolo utente: Get-InformationBarrierRecipientStatus -Identity <value>    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
    In questo esempio si fa riferimento a due account utente in Office 365: meganb per Megan e alexw per Alex.

  2. Determinare l'attributo da modificare per i profili dell'account utente. Per altre informazioni, vedere Attributi per i criteri di barriere informative.

  3. Modificare uno o più account utente per includere i valori per l'attributo selezionato nel passaggio precedente. Per eseguire questa azione, usare una delle procedure seguenti:

Modificare un segmento

Utilizzare questa procedura per modificare la definizione di un segmento utente. Ad esempio, è possibile modificare il nome di un segmento o il filtro usato per determinare chi è incluso nel segmento.

  1. Per visualizzare tutti i segmenti esistenti, usare il cmdlet Get-OrganizationSegment .

    Sintassi: Get-OrganizationSegment

    Verrà visualizzato un elenco di segmenti e dettagli per ognuno, ad esempio il tipo di segmento, il relativo valore UserGroupFilter, chi l'ha creato o modificato per l'ultima volta, GUID e così via.

    Consiglio

    Stampare o salvare l'elenco di segmenti per fare riferimento in un secondo momento. Ad esempio, se si vuole modificare un segmento, è necessario conoscerne il nome o identificare il valore (usato con il parametro Identity).

  2. Per modificare un segmento, usare il cmdlet Set-OrganizationSegment con il parametro Identity e i dettagli pertinenti.

    Sintassi Esempio
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"
    In questo esempio il nome del reparto è stato aggiornato a HRDept per il segmento con GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

  3. Al termine della modifica dei segmenti per l'organizzazione, è possibile definire o modificare i criteri delle barriere informative.

Modificare un criterio

  1. Per visualizzare un elenco dei criteri di barriere informative correnti, usare il cmdlet Get-InformationBarrierPolicy .

    Sintassi: Get-InformationBarrierPolicy

    Nell'elenco dei risultati identificare i criteri da modificare. Si noti il GUID e il nome del criterio.

  2. Usare il cmdlet Set-InformationBarrierPolicy con un parametro Identity e specificare le modifiche da apportare.

    Esempio: si supponga che sia stato definito un criterio per impedire al segmento Ricerca di comunicare con i segmenti Vendite e Marketing . I criteri sono stati definiti usando questo cmdlet: New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"

    Si supponga di volerla modificare in modo che gli utenti nel segmento Ricerca possano comunicare solo con gli utenti nel segmento RISORSE umane . Per apportare questa modifica, usare questo cmdlet: Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"

    In questo esempio , SegmentsBlocked è stato modificato in SegmentsAllowed e è stato specificato il segmento HR .

  3. Al termine della modifica di un criterio, assicurarsi di applicare le modifiche. Vedere Applicare i criteri delle barriere informative.

Impostare un criterio sullo stato inattivo

  1. Per visualizzare un elenco dei criteri di barriere informative correnti, usare il cmdlet Get-InformationBarrierPolicy .

    Sintassi: Get-InformationBarrierPolicy

    Nell'elenco dei risultati identificare i criteri che si desidera modificare o rimuovere. Si noti il GUID e il nome del criterio.

  2. Per impostare lo stato del criterio su inattivo, usare il cmdlet Set-InformationBarrierPolicy con un parametro Identity e il parametro State impostato su Inactive.

    Sintassi Esempio
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    In questo esempio, il criterio delle barriere informative con GUID 43c37853-ea10-4b90-a23d-ab8c9377247 è impostato su uno stato inattivo.

  3. Per applicare le modifiche, usare il cmdlet Start-InformationBarrierPoliciesApplication .

    Sintassi: Start-InformationBarrierPoliciesApplication

    Le modifiche vengono applicate utente per utente per l'organizzazione. Se l'organizzazione è di grandi dimensioni, il completamento di questo processo può richiedere 24 ore (o più). Come linea guida generale, l'elaborazione di 5.000 account utente richiede circa un'ora.

  4. A questo punto, uno o più criteri di barriere informative sono impostati sullo stato inattivo. Da qui è possibile eseguire una delle azioni seguenti:

Rimuovere un criterio

  1. Per visualizzare un elenco dei criteri di barriere informative correnti, usare il cmdlet Get-InformationBarrierPolicy .

    Sintassi: Get-InformationBarrierPolicy

    Nell'elenco dei risultati identificare i criteri da rimuovere. Si noti il GUID e il nome del criterio.

  2. Assicurarsi che il criterio sia impostato sullo stato inattivo. Per impostare lo stato del criterio su inattivo, usare il cmdlet Set-InformationBarrierPolicy con un parametro Identity e il parametro State impostato su Inattivo.

    Sintassi Esempio
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    In questo esempio viene impostato uno stato inattivo per un criterio di barriere informative con GUID 43c37853-ea10-4b90-a23d-ab8c9377247 .

  3. Per applicare le modifiche ai criteri, usare il cmdlet Start-InformationBarrierPoliciesApplication .

    Sintassi: Start-InformationBarrierPoliciesApplication

    Le modifiche vengono applicate utente per utente per l'organizzazione. Se l'organizzazione è di grandi dimensioni, il completamento di questo processo può richiedere 24 ore (o più). Come linea guida generale, l'elaborazione di 5.000 account utente richiede circa un'ora.

  4. Usare il cmdlet Remove-InformationBarrierPolicy con un parametro Identity.

    Sintassi Esempio
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    In questo esempio vengono rimossi i criteri con GUID 43c37853-ea10-4b90-a23d-ab8c93772471.

    Quando richiesto, confermare la modifica.

Rimuovere un segmento

  1. Per visualizzare tutti i segmenti esistenti, usare il cmdlet Get-OrganizationSegment .

    Sintassi: Get-OrganizationSegment

    Verrà visualizzato un elenco di segmenti e dettagli per ognuno, ad esempio il tipo di segmento, il relativo valore UserGroupFilter, chi l'ha creato o modificato per l'ultima volta, GUID e così via.

    Consiglio

    Stampare o salvare l'elenco di segmenti per fare riferimento in un secondo momento. Ad esempio, se si vuole modificare un segmento, è necessario conoscerne il nome o identificare il valore (usato con il parametro Identity).

  2. Identificare il segmento da rimuovere e assicurarsi che i criteri IB associati al segmento siano stati rimossi. Per informazioni dettagliate, vedere la procedura Rimuovi criteri .

  3. Modificare il segmento che verrà rimosso per rimuovere la relazione degli utenti con tale segmento. Questa azione aggiorna la definizione del segmento e rimuove tutti gli utenti dal segmento. Si userà il parametro UserGroupFilter per disassociare gli utenti dal segmento prima della rimozione.

    Per modificare un segmento, usare il cmdlet Set-OrganizationSegment con il parametro Identity e i dettagli pertinenti.

    Sintassi Esempio
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    In questo esempio, per il segmento con GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, il nome del reparto è stato definito come FakeDept per rimuovere gli utenti dal segmento. In questo esempio viene usato l'attributo Department , ma è possibile usare altri attributi in base alle esigenze. L'esempio usa FakeDept perché non esiste ed è certo che non contiene alcun utente.

  4. Per applicare le modifiche, usare il cmdlet Start-InformationBarrierPoliciesApplication .

    Sintassi: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Nota

    L'attributo CleanupGroupSegmentLink rimuove le associazioni di gruppo con il segmento senza associazioni utente.

    Le modifiche vengono applicate utente per utente per l'organizzazione. Se l'organizzazione è di grandi dimensioni, il completamento di questo processo può richiedere 24 ore (o più). Come linea guida generale, l'elaborazione di 5.000 account utente richiede circa un'ora.

  5. Per rimuovere un segmento, usare il cmdlet Remove-OrganizationSegment con il parametro Identity e i dettagli pertinenti.

    Sintassi Esempio
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    In questo esempio è stato rimosso il segmento con GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

Rimuovere un criterio e un segmento

  1. Per visualizzare un elenco dei criteri di barriere informative correnti, usare il cmdlet Get-InformationBarrierPolicy .

    Sintassi: Get-InformationBarrierPolicy

    Nell'elenco dei risultati identificare i criteri da rimuovere. Si noti il GUID e il nome del criterio.

  2. Per visualizzare tutti i segmenti esistenti, usare il cmdlet Get-OrganizationSegment .

    Sintassi: Get-OrganizationSegment

    Verrà visualizzato un elenco di segmenti e dettagli per ognuno, ad esempio il tipo di segmento, il relativo valore del parametro UserGroupFilter , chi l'ha creato o modificato per l'ultima volta, GUID e così via.

    Consiglio

    Stampare o salvare l'elenco di segmenti per fare riferimento in un secondo momento. Ad esempio, se si vuole modificare un segmento, è necessario conoscerne il nome o identificare il valore (usato con il parametro Identity).

  3. Per impostare lo stato dei criteri da rimuovere inattivo, usare il cmdlet Set-InformationBarrierPolicy con un parametro Identity e il parametro State impostato su Inactive.

    Sintassi Esempio
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Inactive
    In questo esempio viene impostato uno stato inattivo per un criterio di barriere informative con GUID 43c37853-ea10-4b90-a23d-ab8c93772471.

  4. Modificare il segmento che verrà rimosso per rimuovere la relazione degli utenti con tale segmento. Questa azione aggiorna la definizione del segmento e rimuove tutti gli utenti dal segmento. Si userà il parametro UserGroupFilter per disassociare gli utenti dal segmento prima della rimozione.

    Per modificare un segmento, usare il cmdlet Set-OrganizationSegment con il parametro Identity e i dettagli pertinenti.

    Sintassi Esempio
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    In questo esempio, per il segmento con GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, il nome del reparto è stato aggiornato a FakeDept per rimuovere gli utenti dal segmento. In questo esempio viene usato l'attributo Department , ma è possibile usare altri attributi in base alle esigenze. L'esempio usa FakeDept perché non esiste ed è certo che non contenga utenti.

  5. Per applicare le modifiche, usare il cmdlet Start-InformationBarrierPoliciesApplication .

    Sintassi: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Nota

    L'attributo CleanupGroupSegmentLink rimuove le associazioni di gruppo con il segmento senza associazioni utente.

    Le modifiche vengono applicate utente per utente per l'organizzazione. Se l'organizzazione è di grandi dimensioni, il completamento di questo processo può richiedere 24 ore (o più). Come linea guida generale, l'elaborazione di 5.000 account utente richiede circa un'ora.

  6. Usare il cmdlet Remove-InformationBarrierPolicy con un parametro Identity .

    Sintassi Esempio
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    In questo esempio, i criteri con GUID 43c37853-ea10-4b90-a23d-ab8c93772471 vengono rimossi.

    Quando richiesto, confermare la modifica.

  7. Per rimuovere un segmento, usare il cmdlet Remove-OrganizationSegment con il parametro Identity e i dettagli pertinenti.

    Sintassi Esempio
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    In questo esempio, il segmento con GUID c96e0837-c232-4a8a-841e-ef45787d8fcd è stato rimosso.

Arrestare un'applicazione di criteri

Dopo aver iniziato ad applicare i criteri di barriere informative, se si vuole impedire l'applicazione di tali criteri, usare la procedura seguente. L'avvio del processo richiederà circa 30-35 minuti.

  1. Per visualizzare lo stato dell'applicazione di criteri sulle barriere informative più recente, usare il cmdlet Get-InformationBarrierPoliciesApplicationStatus .

    Sintassi: Get-InformationBarrierPoliciesApplicationStatus

    Si noti il GUID dell'applicazione.

  2. Usare il cmdlet Stop-InformationBarrierPoliciesApplication con un parametro Identity.

    Sintassi Esempio
    Stop-InformationBarrierPoliciesApplication -Identity GUID Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1

    In questo esempio vengono impediti l'applicazione dei criteri delle barriere informative.

Abilitare o disabilitare l'individuabilità dell'utente

Importante

Il supporto per l'abilitazione o la disabilitazione delle restrizioni di ricerca è disponibile solo quando l'organizzazione non è in modalità legacy . Le organizzazioni in modalità legacy non possono abilitare o disabilitare le restrizioni di ricerca. L'abilitazione o la disabilitazione delle restrizioni di ricerca richiede azioni aggiuntive per modificare la modalità delle barriere informative per l'organizzazione. Per altre informazioni, vedere Usare il supporto multi-segmento nelle barriere informative) per informazioni dettagliate.

Le organizzazioni in modalità legacy saranno idonee per l'aggiornamento alla versione più recente delle barriere informative in futuro. Per altre informazioni, vedere la roadmap sulle barriere informative.

Per abilitare la restrizione di ricerca selezione utenti con PowerShell, completare la procedura seguente:

  1. Usare il cmdlet Set-PolicyConfig per abilitare la restrizione di selezione utenti:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Enabled'

Per disabilitare la restrizione di ricerca selezione utenti tramite PowerShell, completare la procedura seguente:

  1. Usare il cmdlet Set-PolicyConfig per disabilitare la restrizione di selezione utenti:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'

Risorse