情報バリア ポリシーの管理Manage information barrier policies

情報バリアポリシーを定義した後、トラブルシューティングの一環として、または定期的なメンテナンスとして、それらのポリシーまたはユーザー セグメントに変更を加える必要がある場合があります。After you have defined information barrier policies, you might need to make changes to those policies or to your user segments, as part of troubleshooting or as regular maintenance. この記事をガイドとして使用します。Use this article as a guide.

目的に合ったトピックをクリックしてくださいWhat do you want to do?

操作Action 説明Description
ユーザー アカウントの属性を編集するEdit user account attributes セグメントの定義に使用できる Azure Active Directory の属性を入力します。Fill in attributes in Azure Active Directory that can be used to define segments.
ユーザーアカウントの属性を編集して、ユーザーがセグメントに含まれていない場合、ユーザーが所属するセグメントを変更したり、異なる属性を使用してセグメントを定義したりする場合。Edit user account attributes when users are not included in segments they should be, to change which segments users are in, or to define segments using different attributes.
セグメントを編集するEdit a segment セグメントの定義方法を変更する場合は、セグメントを編集します。Edit segments when you want to change how a segment is defined.
たとえば、Department を使用して最初にセグメントを定義し 、MemberOf などの別の属性を使用 する場合がありますFor example, you might have originally defined segments using Department and now want to use another attribute, such as MemberOf.
ポリシーを編集するEdit a policy ポリシーの動作方法を変更する場合は、情報バリア ポリシーを編集します。Edit an information barrier policy when you want to change how a policy works.
たとえば、2 つのセグメント間の通信をブロックする代わりに、特定のセグメント間でのみ通信を行う必要がある場合があります。For example, instead of blocking communications between two segments, you might decide you want to allow communications to occur only between certain segments.
ポリシーを非アクティブな状態に設定するSet a policy to inactive status ポリシーを変更する場合、またはポリシーを有効にしない場合は、ポリシーを非アクティブ状態に設定します。Set a policy to inactive status when you want to make changes to a policy, or when you don't want a policy to be in effect.
ポリシーを削除するRemove a policy 特定のポリシーが不要になった場合は、情報バリア ポリシーを削除します。Remove an information barrier policy when you no longer need a particular policy in place.
ポリシー アプリケーションを停止するStop a policy application 情報バリア ポリシーの適用プロセスを停止する場合は、このアクションを実行します。Take this action when you want to stop the process of applying information barrier policies.
ポリシー アプリケーションを停止しても、ユーザーに既に適用されているポリシーは元に戻されません。Stopping a policy application is not instant, and it does not undo policies that are already applied to users.
情報バリアのポリシーを定義するDefine policies for information barriers このようなポリシーが設定されていない場合に情報バリア ポリシーを定義し、特定のユーザー グループ間の通信を制限または制限する必要があります。Define an information barrier policy when you do not already have such policies in place, and you must restrict or limit communications between specific groups of users.
情報バリアのトラブルシューティングTroubleshooting information barriers 情報バリアで予期しない問題が発生した場合は、この記事を参照してください。Refer to this article when you run into unexpected issues with information barriers.

重要

この記事で説明するタスクを実行するには、次のいずれかの適切な役割を割り当てる必要があります。To perform the tasks described in this article, you must be assigned an appropriate role, such as one of the following:
- Microsoft 365 Enterprise Global Administrator- Microsoft 365 Enterprise Global Administrator
- グローバル管理者- Global Administrator
- コンプライアンス管理者- Compliance Administrator
- IB コンプライアンス管理 (これは新しい役割です!- IB Compliance Management (this is a new role!)

情報バリアの前提条件の詳細については、「前提条件 (情報バリア ポリシーの場合 )」を参照してくださいTo learn more about prerequisites for information barriers, see Prerequisites (for information barrier policies).

コンプライアンス センター PowerShell のセキュリティ &接続してくださいMake sure to connect to the Security & Compliance Center PowerShell.

ユーザー アカウントの属性を編集するEdit user account attributes

セグメント化ユーザーに使用する属性を編集するには、次の手順を実行します。Use this procedure to edit attributes that are used for segmenting users. たとえば、Department 属性を使用している場合に、1 つ以上のユーザー アカウントに現在 Department の値が表示されていない場合は、それらのユーザー アカウントを編集して部署情報を含める必要があります。For example, if you are using a Department attribute, and one or more user accounts do not currently have any values listed for Department, you must edit those user accounts to include Department information. ユーザー アカウントの属性は、情報バリア ポリシーを割り当て可能なセグメントを定義するために使用されます。User account attributes are used for defining segments so that information barrier policies can be assigned.

  1. 属性値や割り当てられたセグメントなど、特定のユーザー アカウントの詳細を表示するには、Identity パラメーターを使用して Get-InformationBarrierRecipientStatus コマンドレットを使用します。To view details for a specific user account, such as attribute values and assigned segment(s), use the Get-InformationBarrierRecipientStatus cmdlet with Identity parameters.

    構文Syntax Example
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    名前、エイリアス、識別名、標準ドメイン名、電子メール アドレス、GUID など、各ユーザーを一意に識別する任意の値を使用できます。You can use any value that uniquely identifies each user, such as name, alias, distinguished name, canonical domain name, email address, or GUID.

    (このコマンドレットは、1 人のユーザーにも使用できます Get-InformationBarrierRecipientStatus -Identity <value>(You can also use this cmdlet for a single user: Get-InformationBarrierRecipientStatus -Identity <value>)

    Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    この例では、365 の 2 つのユーザー アカウントを参照Office meganb for Megan、alexw示しますIn this example, we refer to two user accounts in Office 365: meganb for Megan, and alexw for Alex.

  2. ユーザー アカウント プロファイルに対して編集する属性を決定します。Determine which attribute you want to edit for your user account profile(s). 詳細については、「情報バリア ポリシー の属性」を参照してくださいFor more information, see Attributes for information barrier policies.

  3. 1 つ以上のユーザー アカウントを編集して、前の手順で選択した属性の値を含める。Edit one or more user accounts to include values for the attribute you selected in the previous step. このアクションを実行するには、次のいずれかの手順を使用します。To take this action, use one of the following procedures:

セグメントを編集するEdit a segment

ユーザー セグメントの定義を編集するには、次の手順を実行します。Use this procedure edit the definition of a user segment. たとえば、セグメントの名前や、セグメントに含まれるユーザーを特定するために使用されるフィルターを変更できます。For example, you might change the name of a segment, or the filter that is used to determine who's included in the segment.

  1. 既存のすべてのセグメントを表示するには 、Get-OrganizationSegment コマンドレットを使用 します。To view all existing segments, use the Get-OrganizationSegment cmdlet.

    構文: Get-OrganizationSegmentSyntax: Get-OrganizationSegment

    セグメントの種類、UserGroupFilter の値、作成または最後に変更したユーザー、GUID など、各セグメントと詳細の一覧が表示されます。You will see a list of segments and details for each, such as segment type, its UserGroupFilter value, who created or last modified it, GUID, and so on.

    ヒント

    後で参照するために、セグメントのリストを印刷または保存します。Print or save your list of segments for reference later. たとえば、セグメントを編集する場合は、その名前を知る必要があります。または値を識別する必要があります (これは Identity パラメーターと一緒に使用されます)。For example, if you want to edit a segment, you will need to know its name or identify value (this is used with the Identity parameter).

  2. セグメントを編集するには、Identity パラメーターと関連する詳細を指定して Set-OrganizationSegment コマンドレットを使用します。To edit a segment, use the Set-OrganizationSegment cmdlet with the Identity parameter and relevant details.

    構文Syntax Example
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"

    この例では、GUID c96e0837-c232-4a8a-841e-ef45787d8fcd を持つセグメントについて、部門名を "HRDept" に更新しました。In this example, for the segment that has the GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, we updated the department name to "HRDept".

組織のセグメントの編集が完了したら、情報バリア ポリシーを定義または編集できます。 When you have finished editing segments for your organization, you can either define or edit information barrier policies.

ポリシーを編集するEdit a policy

  1. 現在の情報バリア ポリシーの一覧を表示するには 、Get-InformationBarrierPolicy コマンドレットを使用 します。To view a list of current information barrier policies, use the Get-InformationBarrierPolicy cmdlet.

    構文: Get-InformationBarrierPolicySyntax: Get-InformationBarrierPolicy

    結果の一覧で、変更するポリシーを特定します。In the list of results, identify the policy that you want to change. ポリシーの GUID と名前をメモします。Note the policy's GUID and name.

  2. Identity パラメーター と一緒に Set-InformationBarrierPolicy コマンドレットを使用し、行う変更を指定します。 Use the Set-InformationBarrierPolicy cmdlet with an Identity parameter, and specify the changes you want to make.

    例: Research セグメントが Sales セグメントおよび Marketing セグメントとの通信をブロックするポリシー を定義した**と します。Example: Suppose a policy was defined to block the Research segment from communicating with the Sales and Marketing segments. ポリシーは、次のコマンドレットを使用して定義されています。 New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"The policy was defined by using this cmdlet: New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"

    リサーチ セグメントのユーザーが人事セグメントのユーザーとのみ通信できるよう 変更するとしますSuppose we want to change it so that people in the Research segment can only communicate with people in the HR segment. この変更を行う場合は、次のコマンドレットを使用します。 Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"To make this change, we use this cmdlet: Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"

    この例では、"SegmentsBlocked" を "SegmentsAllowed" に変更し 、HR セグメントを指定しました。In this example, we changed "SegmentsBlocked" to "SegmentsAllowed" and specified the HR segment.

  3. ポリシーの編集が完了したら、必ず変更を適用してください。When you are finished editing a policy, make sure to apply your changes. (「 情報バリア ポリシーの適用」を参照してください。(See Apply information barrier policies.)

ポリシーを非アクティブな状態に設定するSet a policy to inactive status

  1. 現在の情報バリア ポリシーの一覧を表示するには 、Get-InformationBarrierPolicy コマンドレットを使用 します。To view a list of current information barrier policies, use the Get-InformationBarrierPolicy cmdlet.

    構文: Get-InformationBarrierPolicySyntax: Get-InformationBarrierPolicy

    結果の一覧で、変更 (または削除) するポリシーを特定します。In the list of results, identify the policy that you want to change (or remove). ポリシーの GUID と名前をメモします。Note the policy's GUID and name.

  2. ポリシーの状態を非アクティブに設定するには、Identity パラメーターと State パラメーターを非アクティブに設定した Set-InformationBarrierPolicy コマンドレットを使用します。To set the policy's status to inactive, use the Set-InformationBarrierPolicy cmdlet with an Identity parameter and the State parameter set to Inactive.

    構文Syntax Example
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive

    この例では、GUID 43c37853-ea10-4b90-a23d-ab8c9377247 を非アクティブな状態に設定します。In this example, we set an information barrier policy that has GUID 43c37853-ea10-4b90-a23d-ab8c9377247 to an inactive status.

  3. 変更を適用するには 、Start-InformationBarrierPoliciesApplication コマンドレットを使用 します。To apply your changes, use the Start-InformationBarrierPoliciesApplication cmdlet.

    構文: Start-InformationBarrierPoliciesApplicationSyntax: Start-InformationBarrierPoliciesApplication

    変更は、組織に対してユーザー別に適用されます。Changes are applied, user by user, for your organization. 組織が大規模な場合、このプロセスが完了するには 24 時間以上かかる場合があります。If your organization is large, it can take 24 hours (or more) for this process to complete. (一般的なガイドラインとして、5,000 のユーザー アカウントを処理するのに約 1 時間かかる)。(As a general guideline, it takes about an hour to process 5,000 user accounts.)

この時点で、1 つ以上の情報バリア ポリシーが非アクティブ状態に設定されます。At this point, one or more information barrier policies are set to inactive status. ここから、次の操作を実行できます。From here, you can do any of the following actions:

ポリシーを削除するRemove a policy

  1. 現在の情報バリア ポリシーの一覧を表示するには 、Get-InformationBarrierPolicy コマンドレットを使用 します。To view a list of current information barrier policies, use the Get-InformationBarrierPolicy cmdlet.

    構文: Get-InformationBarrierPolicySyntax: Get-InformationBarrierPolicy

    結果の一覧で、削除するポリシーを特定します。In the list of results, identify the policy that you want to remove. ポリシーの GUID と名前をメモします。Note the policy's GUID and name. ポリシーが非アクティブ状態に設定されている必要があります。Make sure the policy is set to inactive status.

  2. Identity パラメーター と一緒に Remove-InformationBarrierPolicy コマンドレットを使用します。Use the Remove-InformationBarrierPolicy cmdlet with an Identity parameter.

    構文Syntax Example
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471

    この例では、GUID 43c37853-ea10-4b90-a23d-ab8c93772471 を持つポリシーを削除しています。In this example, we are removing the policy that has GUID 43c37853-ea10-4b90-a23d-ab8c93772471.

    メッセージが表示されたら、変更を確認します。When prompted, confirm the change.

  3. 削除するポリシーごとに手順 1 ~ 2 を繰り返します。Repeat steps 1-2 for each policy you want to remove.

  4. ポリシーの削除が完了したら、変更を適用します。When you are finished removing policies, apply your changes. このアクションを実行するには 、Start-InformationBarrierPoliciesApplication コマンドレットを使用 します。To take this action, use the Start-InformationBarrierPoliciesApplication cmdlet.

    構文: Start-InformationBarrierPoliciesApplicationSyntax: Start-InformationBarrierPoliciesApplication

    変更は、組織に対してユーザー別に適用されます。Changes are applied, user by user, for your organization. 組織が大規模な場合、このプロセスが完了するには 24 時間以上かかる場合があります。If your organization is large, it can take 24 hours (or more) for this process to complete.

ポリシー アプリケーションを停止するStop a policy application

情報バリア ポリシーの適用を開始した後、それらのポリシーの適用を停止する場合は、次の手順を使用します。After you have started applying information barrier policies, if you want to stop those policies from being applied, use the following procedure. プロセスが開始するには、約 30 ~ 35 分かかります。It will take approximately 30-35 minutes for the process to begin.

  1. 最新の情報バリア ポリシー アプリケーションの状態を表示するには 、Get-InformationBarrierPoliciesApplicationStatus コマンドレットを使用 します。To view the status of the most recent information barrier policy application, use the Get-InformationBarrierPoliciesApplicationStatus cmdlet.

    構文: Get-InformationBarrierPoliciesApplicationStatusSyntax: Get-InformationBarrierPoliciesApplicationStatus

    アプリケーションの GUID に注意してください。Note the application's GUID.

  2. Identity パラメーター と共に Stop-InformationBarrierPoliciesApplication コマンドレットを使用します。Use the Stop-InformationBarrierPoliciesApplication cmdlet with an Identity parameter.

    構文Syntax Example
    Stop-InformationBarrierPoliciesApplication -Identity GUID Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1

    この例では、情報バリア ポリシーの適用を停止しています。In this example, we are stopping information barrier policies from being applied.

リソースResources