Introdução das barreiras de informação

Este artigo descreve como configurar políticas de IB (barreiras de informações) em sua organização. Várias etapas estão envolvidas, portanto, verifique se você examinou todo o processo antes de começar a configurar políticas de IB.

Você configurará o IB em sua organização usando o portal de conformidade do Microsoft Purview ou usando o PowerShell de Segurança e Conformidade do Office 365. Para organizações que configuram a IB pela primeira vez, recomendamos usar a solução de barreiras de informações no portal de conformidade. Se você estiver gerenciando uma configuração de IB existente e estiver familiarizado com o uso do PowerShell, ainda terá essa opção.

Para obter mais informações sobre cenários e recursos de IB, consulte Saiba mais sobre as barreiras de informações.

Dica

Para ajudá-lo a preparar seu plano, um cenário de exemplo está incluído neste artigo.

Assinaturas e permissões necessárias

Antes de começar a usar o IB, você deve confirmar sua assinatura do Microsoft 365 e quaisquer complementos. Para acessar e usar o IB, sua organização deve ter uma das seguintes assinaturas ou complementos:

  • Microsoft 365 E5/A5 (versão paga ou de avaliação)
  • Office 365 E5/A5/A3/A1 (versão paga ou de avaliação)
  • Conformidade Avançada do Office 365 complemento (não está mais disponível para novas assinaturas)
  • Microsoft 365 E3/A3/A1 + o complemento Microsoft 365 E5/A5 Compliance
  • Microsoft 365 E3/A3/A1 + o complemento Microsoft 365 E5/A5 Insider Risk Management

Para obter mais informações, consulte as diretrizes de licenciamento do Microsoft 365 para conformidade & segurança.

Para gerenciar políticas de IB, você deve receber uma das seguintes funções:

  • Administrador global do Microsoft 365
  • Administrador global do Office 365
  • Administrador de conformidade
  • Gerenciamento de Conformidade do IB

Para saber mais sobre funções e permissões, consulte Permissões no Centro de Segurança e Conformidade do Office 365.

Conceitos de configuração

Ao configurar o IB, você trabalhará com vários objetos e conceitos.

  • Os atributos de conta de usuário são definidos no Azure Active Directory (ou no Exchange Online). Esses atributos podem incluir departamento, cargo, local, nome da equipe e outros dados do perfil da função. Você atribuirá usuários ou grupos a segmentos com esses atributos.

  • Segmentos são conjuntos de grupos ou usuários definidos no portal de conformidade ou usando o PowerShell que usam atributos de conta de usuário ou grupo selecionados. Consulte a lista de atributos com suporte de IB para obter detalhes.

  • As políticas de IB determinam limites ou restrições de comunicação. Ao definir políticas de IB, você escolhe entre dois tipos de políticas:

    • Políticas de bloqueio impedem que um segmento se comunique com outro segmento.

    • Políticas de permissão permitem que um segmento se comunique apenas com determinados outros segmentos.

      Observação

      Para políticas de permissão, grupos e usuários não IB não estarão visíveis para usuários incluídos em segmentos e políticas de IB. Se você precisar que grupos e usuários não IB sejam visíveis para usuários incluídos em políticas e segmentos de IB, use políticas de bloqueio.

  • O aplicativo de política é feito depois que todas as políticas de IB são definidas e você está pronto para aplicá-las em sua organização.

  • Visibilidade de grupos e usuários não IB. Usuários e grupos não IB são usuários e grupos excluídos de segmentos e políticas de IB. Dependendo do tipo de políticas de IB (bloquear ou permitir), o comportamento desses usuários e grupos será diferente no Microsoft Teams, no SharePoint, no OneDrive e na sua lista de endereços global. Para usuários definidos em políticas de permissão, grupos e usuários não IB não estarão visíveis para os usuários incluídos em segmentos e políticas de IB. Para usuários definidos em políticas de bloco, grupos e usuários não IB estarão visíveis para usuários incluídos em segmentos e políticas de IB.

  • Suporte de grupo. Atualmente, somente grupos modernos têm suporte em IB e listas de distribuição/grupos de segurança são tratados como grupos não IB.

  • Contas de usuário ocultas/desabilitadas. Para contas ocultas/desabilitadas em sua organização, o parâmetro HiddenFromAddressListEnabled é definido automaticamente como True quando as contas de usuários estão ocultas ou desabilitadas. Em organizações habilitadas para IB, essas contas são impedidas de se comunicar com todas as outras contas de usuário. No Microsoft Teams, todos os chats, incluindo essas contas, são bloqueados ou os usuários são removidos automaticamente das conversas.

Visão geral da configuração

Etapas O que está envolvido
Etapa 1: Verifique se os pré-requisitos foram atendidos - Verifique se você tem as assinaturas e permissões necessárias
- Verifique se o diretório inclui dados para segmentação de usuários
Habilitar a pesquisa por nome para o Microsoft Teams
- Verifique se o log de auditoria está ativado
- Verifique se não há políticas de catálogo de endereços do Exchange em vigor
- Fornecer consentimento do administrador para o Microsoft Teams (as etapas estão incluídas)
Etapa 2: Segmentar usuários em sua organização - Determinar quais políticas são necessárias
- Criar uma lista de segmentos a serem definidos
- Identificar quais atributos usar
- Definir segmentos em termos de filtros de política
Etapa 3: Criar políticas de barreiras de informações – Crie suas políticas (não se aplique ainda)
- Escolha entre dois tipos (bloquear ou permitir)
Etapa 4: Aplicar políticas de barreiras de informações - Definir políticas como status ativo
- Executar o aplicativo de política
- Exibir o status da política
Etapa 5: Configuração para barreiras de informações no SharePoint e no OneDrive (opcional) – Configurar o IB para o SharePoint e o OneDrive
Etapa 6: Modos de barreiras de informações (opcional) - Atualizar modos IB, se aplicável

Etapa 1: Verifique se os pré-requisitos foram atendidos

Além das assinaturas e permissões necessárias, verifique se os seguintes requisitos foram atendidos antes de configurar o IB:

  • Dados do diretório: Verifique se a estrutura da sua organização é refletida nos dados do diretório. Para executar essa ação, verifique se os atributos de conta de usuário (como associação de grupo, nome do departamento etc.) estão preenchidos corretamente no Azure Active Directory (ou Exchange Online). Para saber mais, confira os seguintes recursos:

  • Pesquisa de diretório com escopo: antes de definir a primeira política de IB da sua organização, você deve habilitar a pesquisa de diretório com escopo no Microsoft Teams. Aguarde pelo menos 24 horas depois de habilitar a pesquisa de diretório com escopo antes de configurar ou definir políticas de IB.

  • Verifique se o log de auditoria está habilitado: para pesquisar o status de um aplicativo de política de IB, o log de auditoria deve ser ativado. A auditoria está habilitada para organizações do Microsoft 365 por padrão. Algumas organizações podem ter desabilitado a auditoria por motivos específicos. Se a auditoria estiver desativada para sua organização, pode ser que outro administrador a desativou. Recomendamos confirmar que não há problema em ativar a auditoria novamente ao concluir esta etapa. Para saber mais, confira Ativar ou desativar a pesquisa de log de auditoria.

  • Remova as políticas Exchange Online catálogo de endereços existentes: antes de definir e aplicar políticas de IB, você deve remover todas as políticas existentes Exchange Online catálogo de endereços em sua organização. As políticas de IB são baseadas em políticas de catálogo de endereços e as políticas de ABPs existentes não são compatíveis com os ABPs criados pelo IB. Para remover suas políticas de catálogo de endereços existentes, consulte Remover uma política de catálogo de endereços Exchange Online. Para obter mais informações sobre políticas de IB e Exchange Online, consulte Barreiras de informações e Exchange Online.

  • Gerenciar usando o PowerShell (opcional): segmentos e políticas de IB podem ser definidos e gerenciados no PowerShell de Office 365 segurança & conformidade. Embora vários exemplos sejam fornecidos neste artigo, você precisará estar familiarizado com cmdlets e parâmetros do PowerShell se optar por usar o PowerShell para configurar e gerenciar políticas e segmentos de IB. Você também precisará do módulo do PowerShell do Azure Active Directory se escolher essa opção de configuração.

  • Administração consentimento para IB no Microsoft Teams: quando suas políticas de IB estão em vigor, eles podem remover usuários de conformidade não IB de Grupos (por exemplo, canais do Teams, que são baseados em grupos). Essa configuração ajuda a garantir que sua organização permaneça em conformidade com políticas e regulamentos. Use o procedimento a seguir para permitir que as políticas de IB funcionem conforme o esperado no Microsoft Teams.

    1. Pré-requisito: instalar o PowerShell do Azure Active Directory para Graph.

    2. Execute os seguintes cmdlets do PowerShell:

      Connect-AzureAD -Tenant "<yourtenantdomain.com>"  //for example: Connect-AzureAD -Tenant "Contoso.onmicrosoft.com"
      $appId="bcf62038-e005-436d-b970-2a472f8c1982" 
      $sp=Get-AzureADServicePrincipal -Filter "appid eq '$($appid)'"
      if ($sp -eq $null) { New-AzureADServicePrincipal -AppId $appId }
      Start-Process  "https://login.microsoftonline.com/common/adminconsent?client_id=$appId"
      
    3. Quando solicitado, entre usando sua conta corporativa ou de estudante do Office 365.

    4. Na caixa de diálogo Permissões solicitadas , examine as informações e escolha Aceitar.

Quando todos os pré-requisitos forem atendidos, prossiga para a próxima etapa.

Etapa 2: Segmentar usuários em sua organização

Nesta etapa, você determinará quais políticas de IB são necessárias, criará uma lista de segmentos a serem definidos e definirá seus segmentos. Definir segmentos não afeta os usuários, apenas define o estágio para que as políticas de IB sejam definidas e aplicadas.

Determinar quais políticas são necessárias

Considerando as necessidades da sua organização, determine os grupos em sua organização que precisarão de políticas de IB. Faça estas perguntas a si mesmo:

  • Há regulamentos internos, legais ou do setor que exigem a restrição de comunicação e colaboração entre grupos e usuários em sua organização?
  • Há algum grupo ou usuários que devem ser impedidos de se comunicar com outro grupo de usuários?
  • Há algum grupo ou usuário que deve ter permissão para se comunicar apenas com um ou dois outros grupos de usuários?

Pense nas políticas necessárias como pertencentes a um dos dois tipos:

  • Políticas de Bloqueio impedem que um grupo se comunique com outro grupo.
  • As políticas de permissão permitem que um grupo se comunique apenas com grupos específicos.

Quando você tiver sua lista inicial de grupos e políticas necessários, prossiga para identificar os segmentos necessários para as políticas de IB.

Identificar segmentos

Além da lista inicial de políticas, faça uma lista de segmentos para sua organização. Os usuários que serão incluídos nas políticas de IB devem pertencer a um segmento. Planeje seus segmentos com cuidado, pois um usuário só pode estar em um segmento. Cada segmento pode ter apenas uma política de IB aplicada.

Importante

Um usuário só pode estar em um segmento.

Determine quais atributos nos dados de diretório da sua organização você usará para definir segmentos. Você pode usar Department, MemberOf ou qualquer um dos atributos de IB com suporte. Verifique se você tem valores no atributo selecionado para os usuários. Para obter mais informações, consulte os atributos com suporte para IB.

Importante

Antes de prosseguir para a próxima seção, verifique se os dados do diretório têm valores para atributos que você pode usar para definir segmentos. Se os dados do diretório não tiverem valores para os atributos que você deseja usar, as contas de usuário deverão ser atualizadas para incluir essas informações antes de prosseguir com a configuração do IB. Para obter ajuda com isso, consulte os seguintes recursos:
- Configurar propriedades de conta de usuário com Office 365 PowerShell
- Adicionar ou atualizar as informações de perfil de um usuário usando o Azure Active Directory

Definir segmentos usando o portal de conformidade

Para definir segmentos no portal de conformidade, conclua as seguintes etapas:

  1. Entre no portal de conformidade usando credenciais para uma conta de administrador em sua organização.

  2. No portal de conformidade, selecione Segmentos de Barreiras de > Informações.

  3. Na página Segmentos , selecione Novo segmento para criar e configurar um novo segmento.

  4. Na página Nome , insira um nome para o segmento. Não é possível renomear um segmento depois que ele é criado.

  5. Selecione Avançar.

  6. Na página Filtro de grupo de usuários, selecione Adicionar para configurar o grupo e os atributos de usuário para o segmento. Escolha um atributo para o segmento na lista de atributos disponíveis.

  7. Para o atributo selecionado, selecione Igual ou Não igual e insira o valor do atributo. Por exemplo, se você selecionou Departamento como o atributo e Igual a, poderá inserir Marketing como o Departamento definido para essa condição de segmento. Você pode adicionar condições adicionais para um atributo selecionando Adicionar condição. Se você precisar excluir um atributo ou condição de atributo, selecione o ícone de exclusão para o atributo ou condição.

  8. Adicione atributos adicionais conforme necessário na página Filtro de grupo de usuários e, em seguida, selecione Avançar.

  9. Na página Examinar suas configurações , examine as configurações escolhidas para o segmento e quaisquer sugestões ou avisos para suas seleções. Selecione Editar para alterar qualquer um dos atributos e condições do segmento ou selecione Enviar para criar o segmento.

    Importante

    Certifique-se de que seus segmentos não se sobreponham. Cada usuário que será afetado pelas políticas de IB deve pertencer a um (e apenas um) segmento. Nenhum usuário deve pertencer a dois ou mais segmentos. Veja Exemplo: os segmentos definidos pela Contoso neste artigo para obter um cenário de exemplo.

Definir segmentos usando o PowerShell

Para definir segmentos com o PowerShell, conclua as seguintes etapas:

  1. Use o cmdlet New-OrganizationSegment com o parâmetro UserGroupFilter que corresponde ao atributo que você deseja usar.

    Sintaxe Exemplo
    New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'" New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"

    Neste exemplo, um segmento chamado RH é definido usando RH, um valor no atributo Department . A parte -eq do cmdlet refere-se a "equals". (Como alternativa, você pode usar -ne para significar "não é igual a". Consulte Usando "equals" e "not equals" em definições de segmento.)

    Depois de executar cada cmdlet, você verá uma lista de detalhes sobre o novo segmento. Os detalhes incluem o tipo do segmento, quem o criou ou modificou pela última vez e assim por diante.

  2. Repita esse processo para cada segmento que você deseja definir.

    Importante

    Certifique-se de que seus segmentos não se sobreponham. Cada usuário que será afetado pelas políticas de IB deve pertencer a um (e apenas um) segmento. Nenhum usuário deve pertencer a dois ou mais segmentos. Veja Exemplo: os segmentos definidos pela Contoso neste artigo para obter um cenário de exemplo.

Depois de definir seus segmentos, prossiga para a Etapa 3: Criar políticas de IB.

Usando "equals" e "not equals" em definições de segmento do PowerShell

No exemplo a seguir, estamos configurando segmentos de IB usando o PowerShell e definindo um segmento de modo que "Departamento é igual a RH".

Exemplo Observação
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" Observe que, neste exemplo, a definição de segmento inclui um parâmetro "equals" indicado como -eq.

Você também pode definir segmentos usando um parâmetro "not equals", indicado como -ne, conforme mostrado na tabela a seguir:

Sintaxe Exemplo
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" Neste exemplo, definimos um segmento chamado NotSales que inclui todos os que não estão em Vendas. A parte -ne do cmdlet refere-se a "not equals".

Além de definir segmentos usando "equals" ou "not equals", você pode definir um segmento usando os parâmetros "equals" e "not equals". Você também pode definir filtros de grupo complexos usando operadores AND e OR lógicos .

Sintaxe Exemplo
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" Neste exemplo, definimos um segmento chamado LocalFTE que inclui usuários localizados localmente e cujas posições não estão listadas como Temporárias.
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq 'group1@contoso.com'' -and MemberOf -ne 'group3@contoso.com'" Neste exemplo, definimos um segmento chamado Segment1 que inclui usuários que são membros do group1@contoso.com e não membros do group3@contoso.com.
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq 'group2@contoso.com' -or MemberOf -ne 'group3@contoso.com'" Neste exemplo, definimos um segmento chamado Segment2 que inclui usuários que são membros de group2@contoso.com e não membros de group3@contoso.com.
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq 'group1@contoso.com' -or MemberOf -eq 'group2@contoso.com') -and MemberOf -ne 'group3@contoso.com'" Neste exemplo, definimos um segmento chamado Segment1and2 que inclui usuários em group1@contoso.com e group2@contoso.com e não membros de group3@contoso.com.

Dica

Se possível, use definições de segmento que incluem "-eq" ou "-ne". Tente não definir definições de segmento complexas.

Etapa 3: Criar políticas de IB

Ao criar suas políticas de IB, você determinará se precisa impedir a comunicação entre determinados segmentos ou limitar as comunicações a determinados segmentos. Idealmente, você usará o número mínimo de políticas de IB para garantir que sua organização esteja em conformidade com os requisitos internos, legais e do setor. Você pode usar o portal de conformidade ou o PowerShell para criar e aplicar políticas de IB.

Dica

Para consistência da experiência do usuário, recomendamos usar políticas de bloqueio para a maioria dos cenários, se possível.

Com sua lista de segmentos de usuário e as políticas de IB que você deseja definir, selecione um cenário e siga as etapas.

Importante

Certifique-se de que, ao definir políticas, você não atribua mais de uma política a um segmento. Por exemplo, se você definir uma política para um segmento chamado Vendas, não defina uma política adicional para o segmento Vendas.
Além disso, ao definir políticas de IB, defina essas políticas como status inativo até que você esteja pronto para aplicá-las. Definir (ou editar) políticas não afeta os usuários até que essas políticas sejam definidas como status ativo e aplicadas.

Cenário 1: Bloquear as comunicações entre segmentos

Quando você quiser bloquear segmentos de comunicação entre si, defina duas políticas: uma para cada direção. Cada política bloqueia a comunicação apenas em uma direção.

Por exemplo, suponha que você queira bloquear as comunicações entre o Segmento A e o Segmento B. Nesse caso, você definiria duas políticas:

  • Uma política que impede que o Segmento A se comunique com o Segmento B
  • Uma segunda política para impedir que o Segmento B se comunique com o Segmento A

Criar políticas usando o portal de conformidade para o Cenário 1

Para definir políticas no portal de conformidade, conclua as seguintes etapas:

  1. Entre no portal de conformidade usando credenciais para uma conta de administrador em sua organização.

  2. No portal de conformidade, selecione Políticas de barreiras de > informações.

  3. Na página Políticas , selecione Criar política para criar e configurar uma nova política de IB.

  4. Na página Nome , insira um nome para a política e selecione Avançar.

  5. Na página Segmento atribuído , selecione Escolher segmento. Use a caixa de pesquisa para pesquisar um segmento por nome ou rolar para selecionar o segmento na lista exibida. Selecione Adicionar para adicionar o segmento selecionado à política. Você só pode selecionar um segmento.

  6. Selecione Avançar.

  7. Na página Comunicação e colaboração, selecione o tipo de política no campo Comunicação e colaboração. As opções de política são Permitidas ou Bloqueadas. Neste cenário de exemplo, Bloqueado seria selecionado para a primeira política.

    Importante

    O status Permitido e Bloqueado para segmentos não pode ser alterado após a criação de uma política. Para alterar o status depois de criar uma política, você deve excluir a política e criar uma nova.

  8. Selecione Escolher segmento para definir as ações para o segmento de destino. Você pode atribuir mais de um segmento nesta etapa. Por exemplo, se você quisesse impedir que os usuários em um segmento chamado Vendas se comunicam com usuários em um segmento chamado Pesquisa, você teria definido o segmento Vendas na Etapa 5 e atribuiria Pesquisa na opção escolher segmento nesta etapa.

  9. Selecione Avançar.

  10. Na página Status da política, alterne o status da política ativa para Ativado. Selecione Avançar para continuar.

  11. Na página Examinar suas configurações , examine as configurações escolhidas para a política e quaisquer sugestões ou avisos para suas seleções. Selecione Editar para alterar qualquer um dos segmentos e status da política ou selecione Enviar para criar a política.

Neste exemplo, você repetiria as etapas anteriores para criar uma segunda política de bloqueio para restringir o bloqueio de usuários em um segmento chamado Pesquisa de comunicação com usuários em um segmento chamado Vendas. Você teria definido o segmento Pesquisa na Etapa 5 e atribuiria Vendas (ou vários segmentos) na opção Escolher segmento .

Criar políticas usando o PowerShell para o Cenário 1

Para definir políticas com o PowerShell, conclua as seguintes etapas:

  1. Para definir sua primeira política de bloqueio, use o cmdlet New-InformationBarrierPolicy com o parâmetro SegmentsBlocked .

    Sintaxe Exemplo
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsBlocked "segment2name" New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

    Neste exemplo, definimos uma política chamada Sales-Research para um segmento chamado Vendas. Quando ativa e aplicada, essa política impede que os usuários em Vendas se comuniquem com usuários em um segmento chamado Pesquisa.

  2. Para definir o segundo segmento de bloqueio, use o cmdlet New-InformationBarrierPolicy com o parâmetro SegmentsBlocked novamente, desta vez com os segmentos invertidos.

    Exemplo Observação
    New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive Neste exemplo, definimos uma política chamada Research-Sales para impedir que a Pesquisa se comunique com Vendas.
  3. Prossiga para uma das seguintes ações:

Cenário 2: Permitir que um segmento se comunique apenas com outro segmento

Quando você deseja permitir que um segmento se comunique com apenas um outro segmento, defina apenas uma política para esse segmento. O segmento com o qual está sendo comunicado não requer uma política direcional semelhante (porque eles podem se comunicar e colaborar com todos por padrão).

Criar uma política usando o portal de conformidade para o Cenário 2

Para definir políticas no portal de conformidade, conclua as seguintes etapas:

  1. Entre no portal de conformidade usando credenciais para uma conta de administrador em sua organização.

  2. No portal de conformidade, selecione Políticas de barreiras de > informações.

  3. Na página Políticas , selecione Criar política para criar e configurar uma nova política de IB.

  4. Na página Nome , insira um nome para a política e selecione Avançar.

  5. Na página Segmento atribuído , selecione Escolher segmento. Use a caixa de pesquisa para pesquisar um segmento por nome ou rolar para selecionar o segmento na lista exibida. Selecione Adicionar para adicionar o segmento selecionado à política. Você só pode selecionar um segmento.

  6. Selecione Avançar.

  7. Na página Comunicação e colaboração, selecione o tipo de política no campo Comunicação e colaboração. As opções de política são Permitidas ou Bloqueadas. Neste cenário de exemplo, Permitido seria selecionado para a política.

    Importante

    O status Permitido e Bloqueado para segmentos não pode ser alterado após a criação de uma política. Para alterar o status depois de criar uma política, você deve excluir a política e criar uma nova.

  8. Selecione Escolher segmento para definir as ações para o segmento de destino. Você pode atribuir mais de um segmento nesta etapa. Por exemplo, se você quisesse permitir que os usuários em um segmento chamado Fabricação se comunicam com usuários em um segmento chamado RH, você teria definido o segmento de Fabricação na Etapa 5 e atribuiria RH na opção Escolher segmento nesta etapa.

  9. Selecione Avançar.

  10. Na página Status da política, alterne o status da política ativa para Ativado. Selecione Avançar para continuar.

  11. Na página Examinar suas configurações , examine as configurações escolhidas para a política e quaisquer sugestões ou avisos para suas seleções. Selecione Editar para alterar qualquer um dos segmentos e status da política ou selecione Enviar para criar a política.

Criar uma política usando o PowerShell para o Cenário 2

Para definir políticas com o PowerShell, conclua as seguintes etapas:

  1. Para permitir que um segmento se comunique com apenas um outro segmento, use o cmdlet New-InformationBarrierPolicy com o parâmetro SegmentsAllowed .

    Sintaxe Exemplo
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsAllowed "segment2name","segment1name" New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State Inactive

    Neste exemplo, definimos uma política chamada Manufacturing-HR para um segmento chamado Fabricação. Quando ativa e aplicada, essa política permite que os usuários em Fabricação se comuniquem somente com usuários em um segmento chamado RH. Nesse caso, a Fabricação não pode se comunicar com usuários que não fazem parte do RH.

    Se necessário, você pode especificar vários segmentos com esse cmdlet, conforme mostrado no exemplo a seguir.

    Sintaxe Exemplo
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsAllowed "segment2name", "segment3name","segment1name" New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State Inactive

    Neste exemplo, definimos uma política que permite que o segmento pesquisa se comunique apenas com RH e Fabricação.

    Repita esta etapa para cada política que você deseja definir para permitir que segmentos específicos se comuniquem apenas com determinados outros segmentos específicos.

  2. Prossiga para uma das seguintes ações:

Etapa 4: Aplicar políticas de IB

As políticas de IB não estão em vigor até que você as defina como status ativo e aplique as políticas.

Aplicar políticas usando o portal de conformidade

Para aplicar políticas no portal de conformidade, conclua as seguintes etapas:

  1. Entre no portal de conformidade usando credenciais para uma conta de administrador em sua organização.

  2. No portal de conformidade, selecione o aplicativo política de barreiras > de informações.

  3. Na página aplicativo Políticas , selecione Aplicar todas as políticas para aplicar todas as políticas de IB em sua organização.

    Observação

    Aguarde 30 minutos para que o sistema comece a aplicar as políticas. O sistema aplica políticas usuário por usuário. O sistema processa cerca de 5.000 contas de usuário por hora.

Aplicar políticas usando o PowerShell

Para aplicar políticas usando o PowerShell, conclua as seguintes etapas:

  1. Use o cmdlet Get-InformationBarrierPolicy para ver uma lista de políticas que foram definidas. Observe o status e a identidade (GUID) de cada política.

    Sintaxe: Get-InformationBarrierPolicy

  2. Para definir uma política como status ativo, use o cmdlet Set-InformationBarrierPolicy com um parâmetro Identity e o parâmetro State definido como Ativo.

    Sintaxe Exemplo
    Set-InformationBarrierPolicy -Identity GUID -State Active Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Active

    Neste exemplo, definimos uma política de IB que tem o GUID 43c37853-ea10-4b90-a23d-ab8c93772471 como status ativo.

    Repita essa etapa conforme apropriado para cada política.

  3. Quando terminar de definir suas políticas de IB como status ativo, use o cmdlet Start-InformationBarrierPoliciesApplication no PowerShell de Conformidade & Segurança.

    Sintaxe: Start-InformationBarrierPoliciesApplication

    Depois de executar Start-InformationBarrierPoliciesApplication, aguarde 30 minutos para que o sistema comece a aplicar as políticas. O sistema aplica políticas usuário por usuário. O sistema processa cerca de 5.000 contas de usuário por hora.

Exibir o status de contas de usuário, segmentos, políticas ou aplicativo de política

Com o PowerShell, você pode exibir o status de contas de usuário, segmentos, políticas e aplicativo de política, conforme listado na tabela a seguir.

Para exibir essas informações Executar esta ação
Contas de usuário Use o cmdlet Get-InformationBarrierRecipientStatus com parâmetros de identidade.

Sintaxe: Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

Você pode usar qualquer valor que identifique exclusivamente cada usuário, como nome, alias, nome diferenciado, nome de domínio canônico, endereço de email ou GUID.

Exemplo: Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

Neste exemplo, nos referimos a duas contas de usuário no Office 365: meganb para Megan e alexw para Alex.

(Você também pode usar esse cmdlet para um único usuário: Get-InformationBarrierRecipientStatus -Identity <value>)

Esse cmdlet retorna informações sobre usuários, como valores de atributo e quaisquer políticas de IB aplicadas.

Segmentos Use o cmdlet Get-OrganizationSegment .

Sintaxe: Get-OrganizationSegment

Esse cmdlet exibirá uma lista de todos os segmentos definidos para sua organização.

Políticas de IB Use o cmdlet Get-InformationBarrierPolicy .

Sintaxe: Get-InformationBarrierPolicy

Esse cmdlet exibirá uma lista de políticas de IB que foram definidas e seu status.

O aplicativo de política de IB mais recente Use o cmdlet Get-InformationBarrierPoliciesApplicationStatus .

Sintaxe: Get-InformationBarrierPoliciesApplicationStatus

Esse cmdlet exibirá informações sobre se o aplicativo de política foi concluído, falhou ou está em andamento.

Todos os aplicativos de política de IB UseGet-InformationBarrierPoliciesApplicationStatus -All

Esse cmdlet exibirá informações sobre se o aplicativo de política foi concluído, falhou ou está em andamento.

E se eu precisar remover ou alterar políticas?

Os recursos estão disponíveis para ajudá-lo a gerenciar suas políticas de IB.

Etapa 5: Configuração para barreiras de informações no SharePoint e no OneDrive

Se você estiver configurando o IB para SharePoint e OneDrive, precisará habilitar o IB nesses serviços. Você também precisará habilitar a IB nesses serviços se estiver configurando o IB para o Microsoft Teams. Quando uma equipe é criada na equipe do Microsoft Teams, um site do SharePoint é criado automaticamente e associado ao Microsoft Teams para a experiência de arquivos. As políticas de IB não são respeitadas neste novo site e arquivos do SharePoint por padrão.

Para habilitar o IB no SharePoint e no OneDrive, siga as diretrizes e as etapas no artigo Usar barreiras de informações com o SharePoint .

Etapa 6: Modos de barreiras de informações

Os modos podem ajudar a fortalecer o acesso, o compartilhamento e a associação de um recurso do Microsoft 365 com base no modo IB do recurso. Os modos têm suporte em Grupos do Microsoft 365, Microsoft Teams, OneDrive e SharePoint e são habilitados automaticamente em sua configuração de IB nova ou existente.

Os seguintes modos de IB têm suporte nos recursos do Microsoft 365:

Mode Descrição Exemplo
Abrir Não há nenhuma política de IB ou segmentos associados ao recurso do Microsoft 365. Qualquer pessoa pode ser convidada para ser membro do recurso. Um site de equipe criado para evento de piquenique para sua organização.
Proprietário Moderado (versão prévia) A política de IB do recurso do Microsoft 365 é determinada pela política de IB do proprietário do recurso. Os proprietários de recursos podem convidar qualquer usuário para o recurso com base em suas políticas de IB. Esse modo é útil quando sua empresa deseja permitir a colaboração entre usuários de segmento incompatíveis que são moderados pelo proprietário. Somente o proprietário do recurso pode adicionar novos membros por sua política de IB. O VP de RH deseja colaborar com os VPs de Vendas e Pesquisa. Um novo site do SharePoint definido com o modo IB Proprietário Moderado para adicionar usuários do segmento Vendas e Pesquisa ao mesmo site. É responsabilidade do proprietário garantir que os membros apropriados sejam adicionados ao recurso.
Implícito A política de IB ou segmentos do recurso do Microsoft 365 é herdada da política de IB dos membros do recurso. O proprietário pode adicionar membros, desde que sejam compatíveis com os membros existentes do recurso. Esse modo é o modo IB padrão para o Microsoft Teams. O usuário do segmento Vendas cria uma equipe do Microsoft Teams para colaborar com outros segmentos compatíveis na organização.
Explicit A política de IB do recurso do Microsoft 365 é de acordo com os segmentos associados ao recurso. O proprietário do recurso ou o administrador do SharePoint tem a capacidade de gerenciar os segmentos no recurso. Um site criado apenas para membros do segmento Vendas colaborarem associando o segmento Vendas ao site.
Misto (versão prévia) Aplicável somente ao OneDrive. A política de IB do OneDrive é de acordo com os segmentos associados ao OneDrive. O proprietário do recurso ou o administrador do OneDrive tem a capacidade de gerenciar os segmentos no recurso. Um OneDrive criado para que os membros do segmento vendas colaborem tem permissão para serem compartilhados com usuários nãoegdos.

Para obter mais informações sobre modos de IB e como eles são configurados entre serviços, consulte os seguintes artigos:

Cenário de exemplo: departamentos, segmentos e políticas da Contoso

Para ver como uma organização pode abordar a definição de segmentos e políticas, considere o cenário de exemplo a seguir.

Departamentos e planos da Contoso

A Contoso tem cinco departamentos: RH, Vendas, Marketing, Pesquisa e Manufatura. Para permanecer em conformidade com as regulamentações do setor, os usuários em alguns departamentos não devem se comunicar com outros departamentos, conforme listado na tabela a seguir:

Segmento Pode se comunicar com Não é possível se comunicar com
HR Todos (sem restrições)
Vendas RH, Marketing, Manufatura Pesquisar
Marketing Todos (sem restrições)
Pesquisar RH, Marketing, Manufatura Vendas
Indústria RH, Marketing Qualquer pessoa que não seja RH ou Marketing

Para essa estrutura, o plano da Contoso inclui três políticas de IB:

  1. Uma política de IB projetada para impedir que vendas se comuniquem com a Pesquisa
  2. Outra política de IB para impedir que a Pesquisa se comunique com Vendas.
  3. Uma política de IB projetada para permitir que a Fabricação se comunique somente com RH e Marketing.

Para esse cenário, não é necessário definir políticas de IB para RH ou Marketing.

Segmentos definidos da Contoso

A Contoso usará o atributo Department no Azure Active Directory para definir segmentos, da seguinte maneira:

Departamento Definição de segmento
RH New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"
Vendas New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'"
Marketing New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'"
Pesquisar New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'"
Indústria New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'"

Com os segmentos definidos, a Contoso continua a definir as políticas de IB.

Políticas de IB da Contoso

A Contoso define três políticas de IB, conforme descrito na tabela a seguir:

Política Definição de política
Política 1: impedir que as Vendas se comuniquem com a Pesquisa New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

Neste exemplo, a política de IB é chamada de Sales-Research. Quando essa política estiver ativa e aplicada, ela ajudará a impedir que os usuários que estão no segmento Vendas se comuniquem com os usuários do segmento Pesquisa. Essa política é unidirecional; não impedirá que a Pesquisa se comunique com Vendas. Para isso, a Política 2 é necessária.

Política 2: impedir que a Pesquisa se comunique com as Vendas New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive

Neste exemplo, a política de IB é chamada de Research-Sales. Quando essa política estiver ativa e aplicada, ela ajudará a impedir que os usuários que estão no segmento Pesquisa se comuniquem com os usuários do segmento Vendas.

Política 3: Permitir que a fabricação se comunique somente com RH e Marketing New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive

Nesse caso, a política de IB é chamada manufacturing-HRMarketing. Quando essa política estiver ativa e aplicada, a Manufatura poderá se comunicar apenas com o RH e o Marketing. RH e Marketing não são impedidos de se comunicar com outros segmentos.

Com segmentos e políticas definidos, a Contoso aplica as políticas executando o cmdlet Start-InformationBarrierPoliciesApplication .

Quando o cmdlet for concluído, a Contoso estará em conformidade com os requisitos do setor.

Recursos