Zarządzanie zasadami barier informacyjnych

Uwaga

Microsoft 365 zgodność jest teraz nazywana usługą Microsoft Purview, a rozwiązania w obszarze zgodności zostały przemianowane. Aby uzyskać więcej informacji na temat usługi Microsoft Purview, zobacz ogłoszenie w blogu.

Po zdefiniowaniu zasad barier informacyjnych może być konieczne wprowadzenie zmian w tych zasadach lub segmentach użytkowników w ramach rozwiązywania problemów lub regularnej konserwacji.

Co chcesz zrobić?

Akcja Opis
Edytowanie atrybutów konta użytkownika Wypełnij atrybuty w Azure Active Directory, które mogą służyć do definiowania segmentów.
Edytuj atrybuty konta użytkownika, gdy użytkownicy nie są uwzględniane w segmentach, w których powinni być, aby zmienić segmenty, w których znajdują się użytkownicy, lub zdefiniować segmenty przy użyciu różnych atrybutów.
Edytowanie segmentu Edytuj segmenty, gdy chcesz zmienić sposób definiowania segmentu.
Na przykład możesz mieć pierwotnie zdefiniowane segmenty przy użyciu działu , a teraz chcesz użyć innego atrybutu, takiego jak MemberOf.
Edytowanie zasad Edytuj zasady barier informacyjnych, gdy chcesz zmienić sposób działania zasad.
Na przykład zamiast blokować komunikację między dwoma segmentami, możesz zdecydować, że chcesz zezwolić na komunikację tylko między niektórymi segmentami.
Ustawianie stanu nieaktywnych zasad Ustaw zasady na stan nieaktywny, jeśli chcesz wprowadzić zmiany w zasadach lub jeśli nie chcesz, aby zasady obowiązywać.
Usuwanie zasad Usuń zasady barier informacyjnych, gdy nie potrzebujesz już określonych zasad.
Usuwanie segmentu Usuń segment barier informacyjnych, gdy nie potrzebujesz już określonego segmentu.
Usuwanie zasad i segmentu Jednocześnie usuń zasady barier informacyjnych i segment.
Zatrzymywanie aplikacji zasad Wykonaj tę akcję, jeśli chcesz zatrzymać proces stosowania zasad barier informacyjnych.
Zatrzymywanie aplikacji zasad nie jest natychmiastowe i nie cofa zasad, które są już stosowane do użytkowników.
Definiowanie zasad dla barier informacyjnych Zdefiniuj zasady barier informacyjnych, jeśli nie masz jeszcze takich zasad i musisz ograniczyć lub ograniczyć komunikację między określonymi grupami użytkowników.
Rozwiązywanie problemów z barierami informacyjnymi Zapoznaj się z tym artykułem, gdy wystąpią nieoczekiwane problemy z barierami informacyjnymi.

Ważne

Aby wykonać zadania opisane w tym artykule, musisz mieć przypisaną odpowiednią rolę, taką jak jedna z następujących:
— administrator globalny Microsoft 365 Enterprise
— Administrator globalny
— Administrator zgodności
— Zarządzanie zgodnością IB (jest to nowa rola!)

Aby dowiedzieć się więcej o wymaganiach wstępnych dotyczących barier informacyjnych, zobacz Wymagania wstępne (zasady dotyczące barier informacyjnych).

Upewnij się, że nawiązaliśmy połączenie z programem PowerShell Centrum zgodności usługi Security &.

Edytowanie atrybutów konta użytkownika

Ta procedura służy do edytowania atrybutów używanych do segmentowania użytkowników. Jeśli na przykład używasz atrybutu Dział i co najmniej jedno konto użytkownika nie ma obecnie żadnych wartości wymienionych dla działu, musisz edytować te konta użytkowników, aby uwzględnić informacje o dziale. Atrybuty konta użytkownika są używane do definiowania segmentów, aby można było przypisać zasady barier informacyjnych.

  1. Aby wyświetlić szczegóły dla określonego konta użytkownika, takie jak wartości atrybutów i przypisane segmenty, użyj polecenia cmdlet Get-InformationBarrierRecipientStatus z parametrami tożsamości.

    Składni Przykład
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
    Możesz użyć dowolnej wartości, która jednoznacznie identyfikuje każdego użytkownika, takiej jak nazwa, alias, nazwa wyróżniająca, nazwa domeny kanonicznej, adres e-mail lub identyfikator GUID.
    (Możesz również użyć tego polecenia cmdlet dla jednego użytkownika: Get-InformationBarrierRecipientStatus -Identity <value>)
    Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
    W tym przykładzie odwołujemy się do dwóch kont użytkowników w Office 365: meganb dla Megan i alexw dla Alex.
  2. Określanie atrybutu, który chcesz edytować dla profilów konta użytkownika. Aby uzyskać więcej informacji, zobacz Atrybuty zasad barier informacyjnych.

  3. Edytuj co najmniej jedno konto użytkownika, aby uwzględnić wartości atrybutu wybranego w poprzednim kroku. Aby wykonać tę akcję, użyj jednej z następujących procedur:

Edytowanie segmentu

Użyj tej procedury, aby edytować definicję segmentu użytkownika. Na przykład możesz zmienić nazwę segmentu lub filtr używany do określania, kto jest uwzględniony w segmencie.

  1. Aby wyświetlić wszystkie istniejące segmenty, użyj polecenia cmdlet Get-OrganizationSegment .

    Składni: Get-OrganizationSegment

    Zostanie wyświetlona lista segmentów i szczegółów dla każdego z nich, takich jak typ segmentu, jego wartość UserGroupFilter, kto ją utworzył lub ostatnio zmodyfikował, identyfikator GUID itd.

    Porada

    Drukuj lub zapisz listę segmentów do późniejszego odwołania. Jeśli na przykład chcesz edytować segment, musisz znać jego nazwę lub zidentyfikować wartość (jest ona używana z parametrem Identity).

  2. Aby edytować segment, użyj polecenia cmdlet Set-OrganizationSegment z parametrem Identity i odpowiednimi szczegółami.

    Składni Przykład
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"
    W tym przykładzie zaktualizowaliśmy nazwę działu do hrdept dla segmentu o identyfikator GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.
  3. Po zakończeniu edytowania segmentów dla organizacji można zdefiniować lub edytować zasady barier informacyjnych.

Edytowanie zasad

  1. Aby wyświetlić listę bieżących zasad barier informacyjnych, użyj polecenia cmdlet Get-InformationBarrierPolicy .

    Składni: Get-InformationBarrierPolicy

    Na liście wyników zidentyfikuj zasady, które chcesz zmienić. Zanotuj identyfikator GUID i nazwę zasad.

  2. Użyj polecenia cmdlet Set-InformationBarrierPolicy z parametrem Identity i określ zmiany, które chcesz wprowadzić.

    Przykład: Załóżmy, że zdefiniowano zasady blokujące komunikację segmentu Badania z segmentami Sales and Marketing . Zasady zostały zdefiniowane przy użyciu tego polecenia cmdlet: New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"

    Załóżmy, że chcemy go zmienić, aby osoby w segmencie Badania mogły komunikować się tylko z osobami w segmencie kadr . Aby wprowadzić tę zmianę, użyjemy tego polecenia cmdlet: Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"

    W tym przykładzie zmieniliśmy pozycję SegmentsBlocked na SegmentsAllowed i określiliśmy segment HR .

  3. Po zakończeniu edytowania zasad upewnij się, że zostały zastosowane zmiany. (Zobacz Stosowanie zasad barier informacyjnych).

Ustawianie stanu nieaktywnych zasad

  1. Aby wyświetlić listę bieżących zasad barier informacyjnych, użyj polecenia cmdlet Get-InformationBarrierPolicy .

    Składni: Get-InformationBarrierPolicy

    Na liście wyników zidentyfikuj zasady, które chcesz zmienić (lub usunąć). Zanotuj identyfikator GUID i nazwę zasad.

  2. Aby ustawić stan zasad na nieaktywny, użyj polecenia cmdlet Set-InformationBarrierPolicy z parametrem Identity i parametrem State ustawionym na Nieaktywne.

    Składni Przykład
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    W tym przykładzie zasady barier informacyjnych z identyfikatorem GUID 43c37853-ea10-4b90-a23d-ab8c9377247 są ustawione na stan nieaktywny.
  3. Aby zastosować zmiany, użyj polecenia cmdlet Start-InformationBarrierPoliciesApplication .

    Składni: Start-InformationBarrierPoliciesApplication

    Zmiany są stosowane przez użytkownika w organizacji. Jeśli organizacja jest duża, ukończenie tego procesu może potrwać co najmniej 24 godziny. Zgodnie z ogólnymi wytycznymi przetwarzanie 5000 kont użytkowników trwa około godziny.

  4. W tym momencie jedna lub więcej zasad barier informacyjnych jest ustawionych na stan nieaktywny. W tym miejscu możesz wykonać dowolną z następujących akcji:

Usuwanie zasad

  1. Aby wyświetlić listę bieżących zasad barier informacyjnych, użyj polecenia cmdlet Get-InformationBarrierPolicy .

    Składni: Get-InformationBarrierPolicy

    Na liście wyników zidentyfikuj zasady, które chcesz usunąć. Zanotuj identyfikator GUID i nazwę zasad.

  2. Upewnij się, że zasady są ustawione na stan nieaktywny. Aby ustawić stan zasad na nieaktywny, użyj polecenia cmdlet Set-InformationBarrierPolicy z parametrem Identity i parametrem State ustawionym na Nieaktywne.

    Składni Przykład
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    W tym przykładzie ustawiliśmy zasady barier informacyjnych z identyfikatorem GUID 43c37853-ea10-4b90-a23d-ab8c9377247 jako stan nieaktywny.
  3. Aby zastosować zmiany w zasadach, użyj polecenia cmdlet Start-InformationBarrierPoliciesApplication .

    Składni: Start-InformationBarrierPoliciesApplication

    Zmiany są stosowane przez użytkownika w organizacji. Jeśli organizacja jest duża, ukończenie tego procesu może potrwać co najmniej 24 godziny. Zgodnie z ogólnymi wytycznymi przetwarzanie 5000 kont użytkowników trwa około godziny.

  4. Użyj polecenia cmdlet Remove-InformationBarrierPolicy z parametrem Identity.

    Składni Przykład
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    W tym przykładzie usuwamy zasady z identyfikatorem GUID 43c37853-ea10-4b90-a23d-ab8c93772471.

    Po wyświetleniu monitu potwierdź zmianę.

Usuwanie segmentu

  1. Aby wyświetlić wszystkie istniejące segmenty, użyj polecenia cmdlet Get-OrganizationSegment .

    Składni: Get-OrganizationSegment

    Zostanie wyświetlona lista segmentów i szczegółów dla każdego z nich, takich jak typ segmentu, jego wartość UserGroupFilter, kto ją utworzył lub ostatnio zmodyfikował, identyfikator GUID itd.

    Porada

    Drukuj lub zapisz listę segmentów do późniejszego odwołania. Jeśli na przykład chcesz edytować segment, musisz znać jego nazwę lub zidentyfikować wartość (jest ona używana z parametrem Identity).

  2. Zidentyfikuj segment do usunięcia i upewnij się, że zasady IB skojarzone z segmentem zostały usunięte. Aby uzyskać szczegółowe informacje , zobacz Procedurę usuwania zasad .

  3. Edytuj segment, który zostanie usunięty, aby usunąć relację użytkowników z tym segmentem. Ta akcja aktualizuje definicję segmentu i usuwa wszystkich użytkowników z segmentu. Użyjesz parametru UserGroupFilter, aby oddzielić użytkowników od segmentu przed usunięciem.

    Aby edytować segment, użyj polecenia cmdlet Set-OrganizationSegment z parametrem Identity i odpowiednimi szczegółami.

    Składni Przykład
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    W tym przykładzie dla segmentu, który ma identyfikator GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, zdefiniowaliśmy nazwę działu jako FakeDept , aby usunąć użytkowników z segmentu. W tym przykładzie użyto atrybutu Dział, ale w razie potrzeby można użyć innych atrybutów. W przykładzie użyto narzędzia FakeDept , ponieważ nie istnieje i na pewno nie zawiera żadnych użytkowników.
  4. Aby zastosować zmiany, użyj polecenia cmdlet Start-InformationBarrierPoliciesApplication .

    Składni: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Uwaga

    Atrybut CleanupGroupSegmentLink usuwa skojarzenia grup z segmentem bez skojarzeń użytkowników.

    Zmiany są stosowane przez użytkownika w organizacji. Jeśli organizacja jest duża, ukończenie tego procesu może potrwać co najmniej 24 godziny. Zgodnie z ogólnymi wytycznymi przetwarzanie 5000 kont użytkowników trwa około godziny.

  5. Aby usunąć segment, użyj polecenia cmdlet Remove-OrganizationSegment z parametrem Identity i odpowiednimi szczegółami.

    Składni Przykład
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    W tym przykładzie usunięto segment o identyfikatorze GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

Usuwanie zasad i segmentu

  1. Aby wyświetlić listę bieżących zasad barier informacyjnych, użyj polecenia cmdlet Get-InformationBarrierPolicy .

    Składni: Get-InformationBarrierPolicy

    Na liście wyników zidentyfikuj zasady, które chcesz usunąć. Zanotuj identyfikator GUID i nazwę zasad.

  2. Aby wyświetlić wszystkie istniejące segmenty, użyj polecenia cmdlet Get-OrganizationSegment .

    Składni: Get-OrganizationSegment

    Zostanie wyświetlona lista segmentów i szczegółów dla każdego z nich, takich jak typ segmentu, jego wartość parametru UserGroupFilter , kto ją utworzył lub ostatnio zmodyfikował, identyfikator GUID itd.

    Porada

    Drukuj lub zapisz listę segmentów do późniejszego odwołania. Jeśli na przykład chcesz edytować segment, musisz znać jego nazwę lub zidentyfikować wartość (jest ona używana z parametrem Identity).

  3. Aby ustawić stan usuwania zasad na nieaktywny, użyj polecenia cmdlet Set-InformationBarrierPolicy z parametrem Identity i parametrem State ustawionym na Nieaktywne.

    Składni Przykład
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Inactive
    W tym przykładzie ustawiliśmy zasady barier informacyjnych o identyfikatorze GUID 43c37853-ea10-4b90-a23d-ab8c93772471 jako stan nieaktywny.
  4. Edytuj segment, który zostanie usunięty, aby usunąć relację użytkowników z tym segmentem. Ta akcja aktualizuje definicję segmentu i usuwa wszystkich użytkowników z segmentu. Użyjesz parametru UserGroupFilter , aby oddzielić użytkowników od segmentu przed usunięciem.

    Aby edytować segment, użyj polecenia cmdlet Set-OrganizationSegment z parametrem Identity i odpowiednimi szczegółami.

    Składni Przykład
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    W tym przykładzie dla segmentu, który ma identyfikator GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, zaktualizowaliśmy nazwę działu na FakeDept , aby usunąć użytkowników z segmentu. W tym przykładzie użyto atrybutu Dział, ale w razie potrzeby można użyć innych atrybutów. W przykładzie użyto narzędzia FakeDept , ponieważ nie istnieje i na pewno nie zawiera żadnych użytkowników.
  5. Aby zastosować zmiany, użyj polecenia cmdlet Start-InformationBarrierPoliciesApplication .

    Składni: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Uwaga

    Atrybut CleanupGroupSegmentLink usuwa skojarzenia grup z segmentem bez skojarzeń użytkowników.

    Zmiany są stosowane przez użytkownika w organizacji. Jeśli organizacja jest duża, ukończenie tego procesu może potrwać co najmniej 24 godziny. Zgodnie z ogólnymi wytycznymi przetwarzanie 5000 kont użytkowników trwa około godziny.

  6. Użyj polecenia cmdlet Remove-InformationBarrierPolicy z parametrem Identity .

    Składni Przykład
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    W tym przykładzie zasady o identyfikatorze GUID 43c37853-ea10-4b90-a23d-ab8c93772471 zostaną usunięte.

    Po wyświetleniu monitu potwierdź zmianę.

  7. Aby usunąć segment, użyj polecenia cmdlet Remove-OrganizationSegment z parametrem Identity i odpowiednimi szczegółami.

    Składni Przykład
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    W tym przykładzie segment z identyfikatorem GUID c96e0837-c232-4a8a-841e-ef45787d8fcd został usunięty.

Zatrzymywanie aplikacji zasad

Po rozpoczęciu stosowania zasad barier informacyjnych, jeśli chcesz zatrzymać stosowanie tych zasad, skorzystaj z poniższej procedury. Rozpoczęcie procesu potrwa około 30–35 minut.

  1. Aby wyświetlić stan najnowszej aplikacji zasad barier informacyjnych, użyj polecenia cmdlet Get-InformationBarrierPoliciesApplicationStatus .

    Składni: Get-InformationBarrierPoliciesApplicationStatus

    Zanotuj identyfikator GUID aplikacji.

  2. Użyj polecenia cmdlet Stop-InformationBarrierPoliciesApplication z parametrem Identity.

    Składni Przykład
    Stop-InformationBarrierPoliciesApplication -Identity GUID Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1

    W tym przykładzie zatrzymujemy stosowanie zasad barier informacyjnych.

Zasoby