Introduzione alle barriere informative
Questo articolo descrive come configurare i criteri di barriere informative (IB) nell'organizzazione. Sono necessari diversi passaggi, quindi assicurarsi di esaminare l'intero processo prima di iniziare a configurare i criteri IB.
Si configurerà LB nell'organizzazione usando il portale di Microsoft Purview, il Portale di conformità di Microsoft Purview o Office 365 PowerShell per la sicurezza e la conformità. Per le organizzazioni che configurano IB per la prima volta, è consigliabile usare la soluzione Barriere informative nel portale di conformità. Se si gestisce una configurazione IB esistente e si ha familiarità con PowerShell, è comunque disponibile questa opzione.
Per altre informazioni sugli scenari e le funzionalità di IB, vedere Informazioni sulle barriere informative.
Consiglio
Per preparare il piano, in questo articolo è incluso uno scenario di esempio .
Consiglio
Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.
Sottoscrizioni e autorizzazioni necessarie
Prima di iniziare a usare IB, è necessario confermare l'abbonamento a Microsoft 365 ed eventuali componenti aggiuntivi. Per accedere e usare IB, l'organizzazione deve avere sottoscrizioni o componenti aggiuntivi di supporto. Per altre informazioni, vedere i requisiti di sottoscrizione per le barriere informative.
Per gestire i criteri IB, è necessario assegnare uno dei ruoli seguenti:
- Amministratore globale di Microsoft 365
- Amministratore globale di Office 365
- Amministratore di conformità
- Gestione della conformità IB
Per altre informazioni su ruoli e autorizzazioni, vedere Ruoli e gruppi di ruoli nei portali di conformità Microsoft Defender XDR e Microsoft Purview.
Concetti di configurazione
Quando si configura LB, si lavoreranno con diversi oggetti e concetti.
Gli attributi dell'account utente sono definiti in Microsoft Entra ID (o Exchange Online). Questi attributi possono includere reparto, posizione, ubicazione, nome del team e altri dettagli del profilo professionale. Si assegneranno utenti o gruppi a segmenti con questi attributi.
I segmenti sono set di gruppi o utenti definiti nel portale di Microsoft Purview, nel portale di conformità o tramite PowerShell che usa attributi di gruppo o account utente selezionati.
L'organizzazione può avere fino a 5.000 segmenti e gli utenti possono essere assegnati a un massimo di 10 segmenti. Per informazioni dettagliate, vedere l'elenco degli attributi supportati da IB .
Importante
Il supporto per 5.000 segmenti e l'assegnazione di utenti a più segmenti è disponibile solo quando l'organizzazione non è in modalità legacy . L'assegnazione di utenti a più segmenti richiede azioni aggiuntive per modificare la modalità delle barriere informative per l'organizzazione. Per altre informazioni, vedere Usare il supporto multi-segmento nelle barriere informative per informazioni dettagliate.
Per le organizzazioni in modalità legacy , il numero massimo di segmenti supportati è 250 e gli utenti sono limitati ad essere assegnati a un solo segmento. Le organizzazioni in modalità legacy saranno idonee per l'aggiornamento alla versione più recente delle barriere informative in futuro. Per altre informazioni, vedere la roadmap sulle barriere informative.I criteri IB determinano limiti o restrizioni di comunicazione. Quando si definiscono i criteri IB, è possibile scegliere tra due tipi di criteri:
I criteri Blocca impediscono a un segmento di comunicare con un altro segmento.
I criteri Consenti permettono a un segmento di comunicare solo con determinati altri segmenti.
Nota
Per le organizzazioni in modalità legacy: i gruppi e gli utenti non IB non saranno visibili agli utenti inclusi nei segmenti IB e nei criteri per consentire i criteri. Se è necessario che i gruppi e gli utenti non IB siano visibili agli utenti inclusi nei segmenti e nei criteri IB, è necessario usare i criteri di blocco .
Per le organizzazioni in modalità SingleSegment o MultiSegment: i gruppi e gli utenti non IB saranno visibili agli utenti inclusi nei segmenti e nei criteri IB.
Per verificare la modalità IB, vedere Controllare la modalità IB per l'organizzazione.
L'applicazione dei criteri viene eseguita dopo aver definito tutti i criteri IB ed è possibile applicarli nell'organizzazione.
Visibilità di utenti e gruppi non IB: gli utenti e i gruppi non IB sono utenti e gruppi esclusi da segmenti e criteri IB. A seconda di quando si configurano i criteri IB nell'organizzazione e del tipo di criteri IB (blocco o autorizzazione), il comportamento per questi utenti e gruppi sarà diverso in Microsoft Teams, SharePoint, OneDrive e nell'elenco indirizzi globale.
- Per le organizzazioni in modalità legacy: per gli utenti definiti in criteri consentiti, i gruppi e gli utenti non IB non saranno visibili agli utenti inclusi nei segmenti e nei criteri IB. Per gli utenti definiti nei criteri di blocco , i gruppi e gli utenti non IB saranno visibili agli utenti inclusi nei segmenti e nei criteri IB.
- Per le organizzazioni in modalità SingleSegment o MultiSegment: i gruppi e gli utenti non IB saranno visibili agli utenti inclusi nei segmenti e nei criteri IB.
Supporto del gruppo. Solo i gruppi moderni sono attualmente supportati in IB e i gruppi di Elenchi/sicurezza di distribuzione vengono considerati come gruppi non IB.
Account utente e guest nascosti/disabilitati. Per gli account utente e guest nascosti/disabilitati nell'organizzazione, il parametro HiddenFromAddressListEnabled viene impostato automaticamente su True quando gli account utente sono nascosti o disabilitati o quando viene creato un guest. Quando la modalità organizzazione è legacy per le organizzazioni abilitate per IB, a questi account non viene impedito di comunicare con tutti gli altri account utente. Gli amministratori possono disabilitare questo comportamento predefinito impostando manualmente il parametro HiddenFromAddressListEnabledsu False.
Panoramica della configurazione
| Procedura | Cosa è coinvolto |
|---|---|
| Passaggio 1: Verificare che i prerequisiti siano soddisfatti | - Verificare di avere le sottoscrizioni e le autorizzazioni necessarie - Verificare la presenza nella directory dei dati per la segmentazione degli utenti. - Abilitare la ricerca per nome per Microsoft Teams - Assicurarsi che la creazione di log di controllo sia attivata - Controllare la modalità IB per l'organizzazione - Configurare la modalità di implementazione dei criteri della rubrica di Exchange (a seconda di quando è stato abilitato LB nell'organizzazione) - Fornire il consenso amministratore per Microsoft Teams (passaggi inclusi) |
| Passaggio 2: Segmentare gli utenti dell'organizzazione | - Determinare i criteri necessari - Creare un elenco di segmenti da definire - Individuare gli attributi da utilizzare - Definire i segmenti in termini di filtri dei criteri |
| Passaggio 3: Creare criteri di barriere informative | - Creare i criteri (non ancora applicati) - Scegliere tra due tipi (blocca o consenti) |
| Passaggio 4: Applicare i criteri di barriere informative | - Impostare i criteri sullo stato attivo - Eseguire l'applicazione dei criteri - Visualizzare lo stato dei criteri |
| Passaggio 5: Configurazione delle barriere informative in SharePoint e OneDrive (facoltativo) | - Configurare IB per SharePoint e OneDrive |
| Passaggio 6: Modalità barriere informative (facoltativo) | - Aggiornare le modalità IB, se applicabile |
| Passaggio 7: Configurare l'individuabilità degli utenti per le barriere informative (facoltativo) | - Abilitare o limitare l'individuabilità degli utenti in IB con la selezione utenti, se applicabile. |
Passaggio 1: Verificare che i prerequisiti siano soddisfatti
Oltre alle sottoscrizioni e alle autorizzazioni necessarie, assicurarsi che siano soddisfatti i requisiti seguenti prima di configurare IB:
Dati della directory: assicurarsi che la struttura dell'organizzazione sia riflessa nei dati della directory. Per eseguire questa azione, assicurarsi che gli attributi dell'account utente(ad esempio appartenenza al gruppo, nome del reparto e così via) vengano popolati correttamente in Microsoft Entra ID (o Exchange Online). Per altre informazioni, vedere le risorse seguenti:
Ricerca directory con ambito: prima di definire i primi criteri IB dell'organizzazione, è necessario abilitare la ricerca di directory con ambito in Microsoft Teams. Attendere almeno 24 ore dopo aver abilitato la ricerca nella directory con ambito prima di configurare o definire i criteri IB.
Verificare che la registrazione di controllo sia abilitata: per cercare lo stato di un'applicazione di criteri IB, è necessario attivare la registrazione di controllo. Per impostazione predefinita, il controllo è abilitato per Microsoft 365. Alcune organizzazioni potrebbero aver disabilitato il controllo per motivi specifici. Se il controllo è disabilitato per l'organizzazione, è possibile che sia stato disattivato da un altro amministratore. È consigliabile verificare che è possibile riattivare il controllo al termine di questo passaggio. Per altre informazioni, vedere Attivare o disattivare la ricerca nel log di controllo.
Controllare la modalità IB per l'organizzazione: il supporto per più segmenti, le opzioni di individuabilità degli utenti, gli indirizzi ABP di Exchange e altre funzionalità è determinato dalla modalità IB per l'organizzazione. Per verificare la modalità IB per l'organizzazione, vedere Controllare la modalità IB per l'organizzazione.
Rimuovere i criteri della rubrica Exchange Online esistenti (facoltativo):Remove existing Exchange Online address book policies (optional):
- Per le organizzazioni in modalità legacy: prima di definire e applicare i criteri IB, è necessario rimuovere tutti i criteri di rubrica Exchange Online esistenti nell'organizzazione. I criteri IB si basano sui criteri della rubrica e i criteri abps esistenti non sono compatibili con i criteri di protezione dei dati creati da IB. Per rimuovere i criteri della rubrica esistenti, vedere Rimuovere i criteri della rubrica in Exchange Online. Per altre informazioni sui criteri IB e sui Exchange Online, vedere Barriere informative e Exchange Online.
- Per le organizzazioni in modalità SingleSegment o MultiSegment: le barriere informative non sono più basate sui criteri della rubrica (ABP) Exchange Online. Le organizzazioni che usano gli indirizzi ABP non avranno alcun impatto sugli indirizzi ABP esistenti quando si abilitano le barriere informative.
Gestire con PowerShell (facoltativo): i segmenti e i criteri IB possono essere definiti e gestiti nel portale di conformità, ma è anche possibile usare PowerShell Office 365 Security & Compliance, se necessario. Anche se in questo articolo sono disponibili diversi esempi, è necessario avere familiarità con i cmdlet e i parametri di PowerShell se si sceglie di usare PowerShell per configurare e gestire i segmenti e i criteri IB. Se si sceglie questa opzione di configurazione, sarà necessario anche Microsoft Graph PowerShell SDK .
Quando vengono soddisfatti tutti i prerequisiti, passare al passaggio successivo.
Passaggio 2: Segmentare gli utenti dell'organizzazione
In questo passaggio si determineranno i criteri IB necessari, si creerà un elenco di segmenti da definire e si definiranno i segmenti. La definizione dei segmenti non influisce sugli utenti, ma imposta solo la fase per la definizione e l'applicazione dei criteri IB.
Determinare quali criteri sono necessari
Considerando le esigenze dell'organizzazione, determinare i gruppi all'interno dell'organizzazione che avranno bisogno di criteri IB. È utile porsi alcune domande:
- Esistono normative interne, legali o di settore che richiedono la restrizione della comunicazione e della collaborazione tra gruppi e utenti nell'organizzazione?
- È necessario impedire a gruppi o utenti di comunicare con un altro gruppo di utenti?
- Sono presenti gruppi o utenti che devono essere autorizzati a comunicare solo con uno o due altri gruppi di utenti?
Considerare i criteri necessari come appartenenti a uno dei due tipi seguenti:
- I criteri di blocco impediscono a un gruppo di comunicare con un altro gruppo.
- Consenti criteri consentono a un gruppo di comunicare solo con gruppi specifici.
Quando si dispone dell'elenco iniziale dei gruppi e dei criteri necessari, procedere per identificare i segmenti necessari per i criteri IB.
Identificare i segmenti
Oltre all'elenco iniziale dei criteri, creare un elenco di segmenti per l'organizzazione. Gli utenti che verranno inclusi nei criteri IB devono appartenere ad almeno un segmento. Gli utenti possono essere assegnati a più segmenti, se necessario. È possibile avere fino a 5.000 segmenti nell'organizzazione e a ogni segmento può essere applicato un solo criterio IB.
Importante
Un utente può trovarsi in un solo segmento per le organizzazioni in modalità Legacy o SingleSegement . Per verificare la modalità IB, vedere Controllare la modalità IB per l'organizzazione.
Determinare quali attributi nei dati della directory dell'organizzazione verranno usati per definire i segmenti. È possibile usare Department, MemberOf o uno qualsiasi degli attributi IB supportati. Assicurarsi di avere valori nell'attributo selezionato per gli utenti. Per altre informazioni, vedere gli attributi supportati per IB.
Importante
Prima di passare alla sezione successiva, assicurarsi che i dati della directory contengano valori per gli attributi che è possibile usare per definire i segmenti. Se i dati della directory non includono valori per gli attributi che si desidera usare, è necessario aggiornare gli account utente per includere tali informazioni prima di procedere con la configurazione di IB. Per ottenere assistenza, vedere le risorse seguenti:
- Configurare le proprietà dell'account utente con Office 365 PowerShell
- Aggiungere o aggiornare le informazioni del profilo di un utente usando Microsoft Entra ID
Abilitare il supporto di più segmenti per gli utenti (facoltativo)
Il supporto per l'assegnazione di utenti a più segmenti è disponibile solo quando l'organizzazione non è in modalità legacy . Se si vuole supportare l'assegnazione di utenti a più segmenti, vedere Usare il supporto multi-segmento nelle barriere informative.
Gli utenti sono limitati ad essere assegnati a un solo segmento per le organizzazioni in modalità legacy . Le organizzazioni in modalità legacy saranno idonee per l'aggiornamento alla versione più recente delle barriere informative in futuro. Per altre informazioni, vedere la roadmap sulle barriere informative.
Definire i segmenti usando i portali
Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.
Completare i passaggi seguenti per definire i segmenti:
- Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione.
- Selezionare la scheda della soluzione Information Barriers . Se la scheda della soluzione Barriere informative non viene visualizzata, selezionare Visualizza tutte le soluzioni e quindi selezionare Barriere informative nella sezione Conformità & rischio .
- Selezionare Segmenti.
- Nella pagina Segmenti selezionare Nuovo segmento per creare e configurare un nuovo segmento.
- Nella pagina Nome immettere un nome per il segmento. Non è possibile rinominare un segmento dopo averlo creato.
- Selezionare Avanti.
- Nella pagina Filtro gruppo utenti selezionare Aggiungi per configurare gli attributi del gruppo e dell'utente per il segmento. Scegliere un attributo per il segmento dall'elenco degli attributi disponibili.
- Per l'attributo selezionato, selezionare Uguale o Uguale a e quindi immettere il valore per l'attributo. Ad esempio, se si seleziona Reparto come attributo e Uguale, è possibile immettere Marketing come reparto definito per questa condizione del segmento. È possibile aggiungere condizioni aggiuntive per un attributo selezionando Aggiungi condizione. Se è necessario eliminare una condizione di attributo o attributo, selezionare l'icona di eliminazione per l'attributo o la condizione.
- Aggiungere attributi aggiuntivi in base alle esigenze nella pagina Filtro gruppo utenti e quindi selezionare Avanti.
- Nella pagina Rivedi le impostazioni esaminare le impostazioni selezionate per il segmento e eventuali suggerimenti o avvisi per le selezioni. Selezionare Modifica per modificare uno degli attributi e delle condizioni del segmento oppure selezionare Invia per creare il segmento.
Definire segmenti con PowerShell
Per definire segmenti con PowerShell, seguire questa procedura:
Usare il cmdlet New-OrganizationSegment con il parametro UserGroupFilter corrispondente all'attributo che si vuole usare.
Sintassi Esempio New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'"New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"In questo esempio, un segmento denominato HR viene definito usando hr, un valore nell'attributo Department . La parte -eq del cmdlet fa riferimento a "equals". In alternativa, è possibile usare -ne per indicare "non uguale". Vedere Uso di "equals" e "not equals" nelle definizioni dei segmenti.
Dopo aver eseguito ogni cmdlet, verrà visualizzato un elenco di dettagli sul nuovo segmento. I dettagli includono il tipo del segmento, chi l'ha creato o modificato per l'ultima volta e così via.
Ripetere questo processo per ogni segmento da definire.
Dopo aver definito i segmenti, passare al passaggio 3: Creare criteri IB.
Uso di "equals" e "not equals" nelle definizioni dei segmenti di PowerShell
Nell'esempio seguente vengono configurati i segmenti IB usando PowerShell e viene definito un segmento in modo che 'Department equals HR'.
| Esempio | Nota |
|---|---|
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" |
Si noti che in questo esempio la definizione del segmento include un parametro "equals" indicato come -eq. |
È anche possibile definire segmenti usando un parametro "non uguale a", indicato come -ne, come illustrato nella tabella seguente:
| Sintassi | Esempio |
|---|---|
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" |
In questo esempio è stato definito un segmento denominato NotSales che include tutti gli utenti che non sono presenti in Sales. La parte -ne del cmdlet fa riferimento a "non uguale". |
Oltre a definire i segmenti usando "equals" o "not equals", è possibile definire un segmento usando parametri "equals" e "not equals". È anche possibile definire filtri di gruppo complessi usando operatori AND e OR logici.
| Sintassi | Esempio |
|---|---|
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" |
In questo esempio è stato definito un segmento denominato LocalFTE che include gli utenti che si trovano in locale e le cui posizioni non sono elencate come temporanee. |
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq 'group1@contoso.com'' -and MemberOf -ne 'group3@contoso.com'" |
In questo esempio è stato definito un segmento denominato Segment1 che include utenti membri di group1@contoso.com e non membri di group3@contoso.com. |
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq 'group2@contoso.com' -or MemberOf -ne 'group3@contoso.com'" |
In questo esempio è stato definito un segmento denominato Segment2 che include gli utenti membri di group2@contoso.com e non membri di group3@contoso.com. |
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq 'group1@contoso.com' -or MemberOf -eq 'group2@contoso.com') -and MemberOf -ne 'group3@contoso.com'" |
In questo esempio è stato definito un segmento denominato Segment1and2 che include utenti in group1@contoso.com e group2@contoso.com non membri di group3@contoso.com. |
Consiglio
Se possibile, usare definizioni di segmento che includono "-eq" o "-ne". Provare a non definire definizioni di segmento complesse.
Passaggio 3: Creare criteri IB
Quando si creano i criteri IB, si determinerà se è necessario impedire le comunicazioni tra determinati segmenti o limitare le comunicazioni a determinati segmenti. Idealmente, si userà il numero minimo di criteri IB per garantire che l'organizzazione sia conforme ai requisiti interni, legali e del settore. È possibile usare il portale di Microsoft Purview, il portale di conformità o PowerShell per creare e applicare criteri IB.
Consiglio
Per la coerenza dell'esperienza utente, è consigliabile usare i criteri di blocco per la maggior parte degli scenari, se possibile.
Con l'elenco di segmenti utente e i criteri IB che si desidera definire, selezionare uno scenario e quindi seguire la procedura.
- Scenario 1: Bloccare le comunicazioni tra segmenti
- Scenario 2: consentire a un segmento di comunicare solo con un altro segmento.
Importante
Assicurarsi di non assegnare più criteri a un segmento quando si definiscono i criteri. Ad esempio, se si definisce un criterio per un segmento denominato Sales, non definire un criterio aggiuntivo per il segmento Sales .
Inoltre, quando si definiscono i criteri IB, assicurarsi di impostare tali criteri sullo stato inattivo fino a quando non si è pronti per applicarli. La definizione (o la modifica) dei criteri non influisce sugli utenti finché tali criteri non vengono impostati sullo stato attivo e quindi applicati.
Scenario 1: bloccare le comunicazioni tra segmenti.
Quando si vuole impedire ai segmenti di comunicare tra loro, si definiscono due criteri: uno per ogni direzione. Ogni criterio blocca la comunicazione in una sola direzione.
Si supponga, ad esempio, di voler bloccare le comunicazioni tra il segmento A e il segmento B. In questo caso, si definiscono due criteri:
- Un criterio che impedisce al segmento A di comunicare con il segmento B
- Secondo criterio per impedire al segmento B di comunicare con il segmento A
Creare criteri usando i portali per lo scenario 1
Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.
Completare la procedura seguente per creare i criteri:
Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione.
Selezionare la scheda della soluzione Information Barriers . Se la scheda della soluzione Barriere informative non viene visualizzata, selezionare Visualizza tutte le soluzioni e quindi selezionare Barriere informative nella sezione Conformità & rischio .
Selezionare Criteri.
Nella pagina Criteri selezionare Crea criteri per creare e configurare un nuovo criterio IB.
Nella pagina Nome immettere un nome per il criterio e quindi selezionare Avanti.
Nella pagina Segmento assegnato selezionare Scegli segmento. Usare la casella di ricerca per cercare un segmento per nome o scorrere per selezionare il segmento dall'elenco visualizzato. Selezionare Aggiungi per aggiungere il segmento selezionato al criterio. È possibile selezionare solo un segmento.
Selezionare Avanti.
Nella pagina Comunicazione e collaborazione selezionare il tipo di criterio nel campo Comunicazione e collaborazione . Le opzioni dei criteri sono Consentito o Bloccato. In questo scenario di esempio viene selezionato Bloccato per il primo criterio.
Importante
Lo stato Consentito e Bloccato per i segmenti non può essere modificato dopo la creazione di un criterio. Per modificare lo stato dopo aver creato un criterio, è necessario eliminarlo e crearne uno nuovo.
Selezionare Scegli segmento per definire le azioni per il segmento di destinazione. In questo passaggio è possibile assegnare più segmenti. Ad esempio, se si desidera impedire agli utenti di un segmento denominato Sales di comunicare con gli utenti in un segmento denominato Research, si sarebbe definito il segmento Sales nel passaggio 5 e si sarebbe assegnata l'opzione Research in the Choose segment (Scegli segmento ) in questo passaggio.
Selezionare Avanti.
Nella pagina Stato criteri attivare o disattivare lo stato dei criteri attivi. Selezionare Avanti per continuare.
Nella pagina Rivedi le impostazioni esaminare le impostazioni selezionate per i criteri e eventuali suggerimenti o avvisi per le selezioni. Selezionare Modifica per modificare uno dei segmenti e dello stato dei criteri oppure selezionare Invia per creare il criterio.
In questo esempio si ripeterebbero i passaggi precedenti per creare un secondo criterio Di blocco per limitare agli utenti di un segmento denominato Ricerca di comunicare con gli utenti in un segmento denominato Sales. Il segmento Ricerca è stato definito nel passaggio 5 e si assegna Sales (o più segmenti) nell'opzione Choose segment (Scegli segmento ).
Creare criteri usando PowerShell per lo scenario 1
Per definire i criteri con PowerShell, seguire questa procedura:
Per definire il primo criterio di blocco, usare il cmdlet New-InformationBarrierPolicy con il parametro SegmentsBlocked .
Sintassi Esempio New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsBlocked "segmentBname"New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State InactiveIn questo esempio è stato definito un criterio denominato Sales-Research per un segmento denominato Sales. Se attivo e applicato, questo criterio impedisce agli utenti in Vendite di comunicare con gli utenti in un segmento denominato Ricerca.
Per definire il secondo segmento di blocco, usare di nuovo il cmdlet New-InformationBarrierPolicy con il parametro SegmentsBlocked , questa volta con i segmenti invertiti.
Esempio Nota New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State InactiveIn questo esempio è stato definito un criterio denominato Research-Sales per impedire a Research di comunicare con Sales. Procedere con una delle azioni seguenti:
- (Se necessario) Definire un criterio per consentire a un segmento di comunicare solo con un altro segmento
- (Dopo aver definito tutti i criteri) Applicare i criteri IB
Scenario 2: consentire a un segmento di comunicare solo con un altro segmento.
Quando si vuole consentire a un segmento di comunicare con un solo altro segmento, si definiscono due criteri: uno per ogni direzione. Ogni criterio consente la comunicazione solo in una direzione.
In questo esempio vengono definiti due criteri:
- Un criterio consente al segmento A di comunicare con il segmento B
- Un secondo criterio per consentire al segmento B di comunicare con il segmento A
Creare criteri usando i portali per lo scenario 2
Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.
Completare la procedura seguente per creare i criteri:
Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione.
Selezionare la scheda della soluzione Information Barriers . Se la scheda della soluzione Barriere informative non viene visualizzata, selezionare Visualizza tutte le soluzioni e quindi selezionare Barriere informative nella sezione Conformità & rischio .
Nella pagina Criteri selezionare Crea criteri per creare e configurare un nuovo criterio IB.
Nella pagina Nome immettere un nome per il criterio e quindi selezionare Avanti.
Nella pagina Segmento assegnato selezionare Scegli segmento. Usare la casella di ricerca per cercare un segmento per nome o scorrere per selezionare il segmento dall'elenco visualizzato. Selezionare Aggiungi per aggiungere il segmento selezionato al criterio. È possibile selezionare solo un segmento.
Selezionare Avanti.
Nella pagina Comunicazione e collaborazione selezionare il tipo di criterio nel campo Comunicazione e collaborazione . Le opzioni dei criteri sono Consentito o Bloccato. In questo scenario di esempio, è possibile selezionare Consentito per i criteri.
Importante
Lo stato Consentito e Bloccato per i segmenti non può essere modificato dopo la creazione di un criterio. Per modificare lo stato dopo aver creato un criterio, è necessario eliminarlo e crearne uno nuovo.
Selezionare Scegli segmento per definire le azioni per il segmento di destinazione. In questo passaggio è possibile assegnare più segmenti. Ad esempio, se si desidera consentire agli utenti di un segmento denominato Manufacturing di comunicare con gli utenti in un segmento denominato HR, si sarebbe definito il segmento Manufacturing nel passaggio 5 e si sarebbe assegnato hr nell'opzione Scegli segmento in questo passaggio.
Selezionare Avanti.
Nella pagina Stato criteri attivare o disattivare lo stato dei criteri attivi. Selezionare Avanti per continuare.
Nella pagina Rivedi le impostazioni esaminare le impostazioni selezionate per i criteri e eventuali suggerimenti o avvisi per le selezioni. Selezionare Modifica per modificare uno dei segmenti e dello stato dei criteri oppure selezionare Invia per creare il criterio.
In questo esempio si ripeterebbero i passaggi precedenti per creare un secondo criterio Consenti per consentire agli utenti di un segmento denominato Ricerca di comunicare con gli utenti in un segmento denominato Sales. Il segmento Ricerca è stato definito nel passaggio 5 e si assegna Sales (o più segmenti) nell'opzione Choose segment (Scegli segmento ).
Creare un criterio usando PowerShell per lo scenario 2
Per definire i criteri con PowerShell, seguire questa procedura:
Per consentire a un segmento di comunicare con l'altro segmento, usare il cmdlet New-InformationBarrierPolicy con il parametro SegmentsAllowed .
Sintassi Esempio New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname","segment1name"New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State InactiveIn questo esempio è stato definito un criterio denominato Manufacturing-HR per un segmento denominato Manufacturing. Se attivo e applicato, questo criterio consente agli utenti di Manufacturing di comunicare solo con gli utenti in un segmento denominato HR. In questo caso, la produzione non può comunicare con gli utenti che non fanno parte delle risorse umane.
Se necessario, è possibile specificare più segmenti con questo cmdlet, come illustrato nell'esempio seguente.
Sintassi Esempio New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname", "segmentCname","segmentDname"New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State InactiveIn questo esempio è stato definito un criterio che consente al segmento Ricerca di comunicare solo con le risorse umane e la produzione.
Ripetere questo passaggio per ogni criterio che si vuole definire per consentire a segmenti specifici di comunicare solo con determinati altri segmenti specifici.
Per definire il secondo segmento consentito, usare di nuovo il cmdlet New-InformationBarrierPolicy con il parametro SegmentsAllowed , questa volta con i segmenti invertiti.
Esempio Nota New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsAllowed "Sales" -State InactiveIn questo esempio è stato definito un criterio denominato Research-Sales per consentire a Research di comunicare con Sales. Procedere con una delle azioni seguenti:
- (Se necessario) Definire un criterio per bloccare le comunicazioni tra segmenti
- (Dopo aver definito tutti i criteri) Applicare i criteri IB
Passaggio 4: Applicare i criteri IB
I criteri IB non sono attivi fino a quando non si imposta lo stato attivo e si applicano i criteri.
Applicare criteri usando i portali
Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.
Completare la procedura seguente per applicare i criteri:
Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore nell'organizzazione.
Selezionare la scheda della soluzione Information Barriers . Se la scheda della soluzione Barriere informative non viene visualizzata, selezionare Visualizza tutte le soluzioni e quindi selezionare Barriere informative nella sezione Conformità & rischio .
Selezionare Applicazione criteri.
Nella pagina Dell'applicazione Criteri selezionare Applica tutti i criteri per applicare tutti i criteri IB nell'organizzazione.
Nota
Attendere 30 minuti per l'avvio dell'applicazione dei criteri da parte del sistema. Il sistema applica criteri utente per utente. Il sistema elabora circa 5.000 account utente all'ora.
Applicare criteri con PowerShell
Per applicare i criteri tramite PowerShell, seguire questa procedura:
Usare il cmdlet Get-InformationBarrierPolicy per visualizzare un elenco di criteri definiti. Si noti lo stato e l'identità (GUID) di ogni criterio.
Sintassi:
Get-InformationBarrierPolicyPer impostare un criterio sullo stato attivo, usare il cmdlet Set-InformationBarrierPolicy con un parametro Identity e il parametro State impostato su Attivo.
Sintassi Esempio Set-InformationBarrierPolicy -Identity GUID -State ActiveSet-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State ActiveIn questo esempio viene impostato uno stato attivo per un criterio IB con GUID 43c37853-ea10-4b90-a23d-ab8c93772471 .
Ripetere questo passaggio in base alle esigenze per ogni criterio.
Dopo aver impostato i criteri IB sullo stato attivo, usare il cmdlet Start-InformationBarrierPoliciesApplication in PowerShell sicurezza & conformità.
Sintassi:
Start-InformationBarrierPoliciesApplicationDopo l'esecuzione di
Start-InformationBarrierPoliciesApplicationattendere 30 minuti prima che il sistema inizi ad applicare i criteri. Il sistema applica criteri utente per utente. Il sistema elabora circa 5.000 account utente all'ora.
Visualizzare lo stato di account utente, segmenti, criteri o applicazione di criteri
Con PowerShell è possibile visualizzare lo stato degli account utente, dei segmenti, dei criteri e dell'applicazione di criteri, come indicato nella tabella seguente.
| Per visualizzare queste informazioni | Eseguire questa azione |
|---|---|
| Account utente | Usare il cmdlet Get-InformationBarrierRecipientStatus con i parametri Identity. Sintassi: È possibile usare qualsiasi valore che identifichi in modo univoco ogni utente, ad esempio nome, alias, nome distinto, nome di dominio canonico, indirizzo di posta elettronica o GUID. Esempio: In questo esempio si fa riferimento a due account utente in Office 365: meganb per Megan e alexw per Alex. È anche possibile usare questo cmdlet per un singolo utente: Questo cmdlet restituisce informazioni sugli utenti, ad esempio i valori degli attributi e i criteri IB applicati. |
| Segmenti | Usare il cmdlet Get-OrganizationSegment . Sintassi: Questo cmdlet visualizza un elenco di tutti i segmenti definiti per l'organizzazione. |
| Criteri IB | Usare il cmdlet Get-InformationBarrierPolicy . Sintassi: Questo cmdlet visualizza un elenco di criteri IB definiti e il relativo stato. |
| L'applicazione di criteri IB più recente | Usare il cmdlet Get-InformationBarrierPoliciesApplicationStatus . Sintassi: Questo cmdlet visualizza informazioni sul fatto che l'applicazione dei criteri sia stata completata, non riuscita o sia in corso. |
| Tutte le applicazioni dei criteri IB | Usare Get-InformationBarrierPoliciesApplicationStatus -AllQuesto cmdlet visualizza informazioni sul fatto che l'applicazione dei criteri sia stata completata, non riuscita o sia in corso. |
Cosa succede se è necessario rimuovere o modificare i criteri?
Sono disponibili risorse che consentono di gestire i criteri IB.
- Per modificare, arrestare o rimuovere i criteri IB, vedere Gestire i criteri delle barriere informative.
- Se si verificano problemi con IB, vedere Risoluzione dei problemi relativi alle barriere informative.
Passaggio 5: Configurazione delle barriere informative in SharePoint e OneDrive
Se si sta configurando IB per SharePoint e OneDrive, è necessario abilitare IB in questi servizi. È anche necessario abilitare IB in questi servizi se si sta configurando IB per Microsoft Teams. Quando un team viene creato nel team di Microsoft Teams, viene creato automaticamente un sito di SharePoint e associato a Microsoft Teams per l'esperienza dei file. I criteri IB non vengono rispettati in questo nuovo sito e file di SharePoint per impostazione predefinita.
Per abilitare IB in SharePoint e OneDrive, seguire le indicazioni e i passaggi descritti nell'articolo Usare le barriere informative con SharePoint .
Passaggio 6: Modalità barriere informative (facoltativo)
Le modalità possono contribuire a rafforzare l'accesso, la condivisione e l'appartenenza a una risorsa di Microsoft 365 in base alla modalità IB della risorsa. Le modalità sono supportate nei siti di Gruppi di Microsoft 365, Microsoft Teams, OneDrive e SharePoint e vengono abilitate automaticamente nella configurazione IB nuova o esistente.
Nelle risorse di Microsoft 365 sono supportate le modalità IB seguenti:
| Mode | Descrizione | Esempio |
|---|---|---|
| Apri | Non sono presenti criteri O segmenti IB associati alla risorsa di Microsoft 365. Chiunque può essere invitato a far parte della risorsa. | Sito del team creato per un evento pic-nic per l'organizzazione. |
| Proprietario moderato | I criteri IB della risorsa di Microsoft 365 sono determinati dai criteri IB del proprietario della risorsa. I proprietari delle risorse possono invitare qualsiasi utente alla risorsa in base ai criteri IB. Questa modalità è utile quando l'azienda vuole consentire la collaborazione tra utenti del segmento incompatibili moderati dal proprietario. Solo il proprietario della risorsa può aggiungere nuovi membri in base ai criteri IB. | Il VP delle risorse umane vuole collaborare con i VM di vendite e ricerche. Nuovo sito di SharePoint impostato con modalità IB Owner Moderated per aggiungere utenti del segmento Sales e Research allo stesso sito. È responsabilità del proprietario assicurarsi che i membri appropriati vengano aggiunti alla risorsa. |
| Implicita | I criteri IB o i segmenti della risorsa di Microsoft 365 sono ereditati dai criteri IB dei membri della risorsa. Il proprietario può aggiungere membri purché siano compatibili con i membri esistenti della risorsa. Questa modalità è la modalità IB predefinita per Microsoft Teams. | L'utente del segmento Vendite crea un team di Microsoft Teams per collaborare con altri segmenti compatibili nell'organizzazione. |
| Explicit | I criteri IB della risorsa di Microsoft 365 sono in base ai segmenti associati alla risorsa. Il proprietario della risorsa o l'amministratore di SharePoint ha la possibilità di gestire i segmenti nella risorsa. | Sito creato solo per consentire ai membri del segmento Sales di collaborare associando il segmento Sales al sito. |
| Misto | Applicabile solo a OneDrive. I criteri IB di OneDrive sono in base ai segmenti associati a OneDrive. Il proprietario della risorsa o l'amministratore di OneDrive ha la possibilità di gestire i segmenti nella risorsa. | Un OneDrive creato per collaborare ai membri del segmento Sales può essere condiviso con utenti non selezionati. |
Aggiornamenti in modalità implicita
A seconda di quando è stato abilitato LB nell'organizzazione, l'organizzazione sarà in modalità legacy, SingleSegment o MultiSegment . Per verificare la modalità, vedere Controllare la modalità IB per l'organizzazione.
Se l'organizzazione è in modalità SingleSegment o MultiSegment e la modalità barriere informative del gruppo teams è Implicit, i gruppi/siti connessi a Teams non avranno segmenti associati.
Per altre informazioni sulle modalità IB e su come vengono configurate tra i servizi, vedere gli articoli seguenti:
- Modalità barriere informative e Microsoft Teams
- Modalità barriere informative e OneDrive
- Modalità barriere informative e SharePoint
Passaggio 7: Configurare l'individuabilità degli utenti per le barriere informative (facoltativo)
I criteri delle barriere informative consentono agli amministratori di abilitare o disabilitare le restrizioni di ricerca nella selezione utenti. Per impostazione predefinita, la restrizione di selezione utenti è abilitata per i criteri IB. Ad esempio, i criteri IB che impediscono a due utenti specifici di comunicare possono anche impedire agli utenti di vedersi quando usano la selezione utenti.
Importante
Il supporto per l'abilitazione o la disabilitazione delle restrizioni di ricerca è disponibile solo quando l'organizzazione non è in modalità legacy . Le organizzazioni in modalità legacy non possono abilitare o disabilitare le restrizioni di ricerca. L'abilitazione o la disabilitazione delle restrizioni di ricerca richiede azioni aggiuntive per modificare la modalità delle barriere informative per l'organizzazione. Per altre informazioni, vedere Usare il supporto multi-segmento nelle barriere informative) per informazioni dettagliate.
Le organizzazioni in modalità legacy saranno idonee per l'aggiornamento alla versione più recente delle barriere informative in futuro. Per altre informazioni, vedere la roadmap sulle barriere informative.
Per disabilitare la restrizione di ricerca selezione utenti tramite PowerShell, completare la procedura seguente:
- Usare il cmdlet Set-PolicyConfig per disabilitare la restrizione di selezione utenti:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'
Scenario di esempio: reparti, segmenti e criteri di Contoso
Per vedere in che modo un'organizzazione potrebbe affrontare la definizione di segmenti e criteri, considerare lo scenario di esempio seguente.
Reparti e piano di Contoso
Contoso ha cinque reparti: risorse umane, vendite, marketing, ricerca e produzione. Per rimanere conformi alle normative del settore, gli utenti di alcuni reparti non dovrebbero comunicare con altri reparti, come indicato nella tabella seguente:
| Segmento | Può comunicare con | Non è possibile comunicare con |
|---|---|---|
| Risorse umane | Tutti | (nessuna limitazione) |
| Vendite | RISORSE UMANE, Marketing, Produzione | Ricerca |
| Marketing | Tutti | (nessuna limitazione) |
| Ricerca | RISORSE UMANE, Marketing, Produzione | Vendite |
| Produzione | RISORSE UMANE, Marketing | Chiunque non sia hr o marketing |
Per questa struttura, il piano di Contoso include tre criteri IB:
- Un criterio IB progettato per impedire alle vendite di comunicare con la ricerca
- Un altro criterio IB per impedire a Research di comunicare con Le vendite.
- Un criterio IB progettato per consentire alla produzione di comunicare solo con le risorse umane e il marketing.
Per questo scenario, non è necessario definire i criteri IB per le risorse umane o il marketing.
Segmenti definiti di Contoso
Contoso userà l'attributo Department in Microsoft Entra ID per definire i segmenti, come indicato di seguito:
| Reparto | Definizione segmento |
|---|---|
| Risorse umane | New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" |
| Vendite | New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'" |
| Marketing | New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'" |
| Ricerca | New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'" |
| Produzione | New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'" |
Dopo aver definito i segmenti, Contoso procede alla definizione dei criteri IB.
Criteri IB di Contoso
Contoso definisce tre criteri IB, come descritto nella tabella seguente:
| Criteri | Definizione criterio |
|---|---|
| Il criterio 1 impedisce al segmento Vendite di comunicare con il segmento Ricerca | New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive In questo esempio, il criterio IB è denominato Sales-Research. Quando il criterio è attivo e applicato, impedisce agli utenti del segmento Vendite di comunicare con gli utenti del segmento Ricerca. Questo criterio è un criterio unidirezionale; non impedirà a Research di comunicare con Sales. A tale proposito è necessario il criterio 2. |
| Il criterio 2 impedisce al segmento Ricerca di comunicare con il segmento Vendite | New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive In questo esempio, il criterio IB è denominato Research-Sales. Quando il criterio è attivo e applicato, impedisce agli utenti del segmento Ricerca di comunicare con gli utenti del segmento Vendite. |
| Criterio 3: Consentire alla produzione di comunicare solo con le risorse umane e il marketing | New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive In questo caso, il criterio IB è denominato Manufacturing-HRMarketing. Quando il criterio è attivo e applicato, la Produzione può comunicare solo con i segmenti Risorse umane e Marketing. Le risorse umane e il marketing non sono limitati dalla comunicazione con altri segmenti. |
Con i segmenti e i criteri definiti, Contoso applica i criteri eseguendo il cmdlet Start-InformationBarrierPoliciesApplication .
Al termine del cmdlet, Contoso è conforme ai requisiti del settore.
Risorse
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per