Управление политиками информационного барьераManage information barrier policies

После определения политик информационного барьера может потребоваться внести изменения в эти политики или в сегменты пользователей в рамках устранения неполадок или регулярного обслуживания.After you have defined information barrier policies, you might need to make changes to those policies or to your user segments, as part of troubleshooting or as regular maintenance. Используйте эту статью в качестве руководства.Use this article as a guide.

Что нужно сделатьWhat do you want to do?

ДействиеAction ОписаниеDescription
Изменение атрибутов учетной записи пользователяEdit user account attributes Заполните атрибуты в Azure Active Directory, которые можно использовать для определения сегментов.Fill in attributes in Azure Active Directory that can be used to define segments.
Измените атрибуты учетных записей пользователей, если пользователи не включены в сегменты, которые они должны быть, чтобы изменить сегменты, в которых находятся пользователи, или определить сегменты с использованием различных атрибутов.Edit user account attributes when users are not included in segments they should be, to change which segments users are in, or to define segments using different attributes.
Изменение сегментаEdit a segment Изменение сегментов при изменении определения сегмента.Edit segments when you want to change how a segment is defined.
Например, вы могли иметь первоначально определенные сегменты с помощью Department и теперь хотите использовать другой атрибут, например MemberOf.For example, you might have originally defined segments using Department and now want to use another attribute, such as MemberOf.
Изменение политикиEdit a policy Измените политику информационного барьера, если вы хотите изменить работу политики.Edit an information barrier policy when you want to change how a policy works.
Например, вместо блокировки сообщений между двумя сегментами может потребоваться разрешить связь только между определенными сегментами.For example, instead of blocking communications between two segments, you might decide you want to allow communications to occur only between certain segments.
Настройка политики для неактивного состоянияSet a policy to inactive status Установите политику для неактивного состояния, если вы хотите внести изменения в политику, или если вы не хотите, чтобы политика была в силе.Set a policy to inactive status when you want to make changes to a policy, or when you don't want a policy to be in effect.
Удаление политикиRemove a policy Удалите политику информационного барьера, если вам больше не требуется определенная политика на месте.Remove an information barrier policy when you no longer need a particular policy in place.
Остановка приложения политикиStop a policy application При этом необходимо остановить процесс применения политик информационного барьера.Take this action when you want to stop the process of applying information barrier policies.
Остановка приложения политики не является мгновенным и не отменяет политики, которые уже применяются к пользователям.Stopping a policy application is not instant, and it does not undo policies that are already applied to users.
Определение политик для информационных барьеровDefine policies for information barriers Определите политику информационного барьера, если у вас еще нет таких политик, и необходимо ограничить или ограничить связь между определенными группами пользователей.Define an information barrier policy when you do not already have such policies in place, and you must restrict or limit communications between specific groups of users.
Устранение проблем с информационными барьерамиTroubleshooting information barriers Обратитесь к этой статье при непредвиденных проблемах с информационными барьерами.Refer to this article when you run into unexpected issues with information barriers.

Важно!

Для выполнения задач, описанных в этой статье, вам должна быть назначена соответствующая роль, например одна из следующих:To perform the tasks described in this article, you must be assigned an appropriate role, such as one of the following:
- Глобальный администратор microsoft 365 Корпоративный- Microsoft 365 Enterprise Global Administrator
- Глобальный администратор- Global Administrator
- Администратор соответствия требованиям- Compliance Administrator
- Управление соответствием требованиям IB (это новая роль!)- IB Compliance Management (this is a new role!)

Дополнительные сведения о предпосылках для информационных барьеров см. в дополнительных сведениях о необходимых для политики информационного барьера.To learn more about prerequisites for information barriers, see Prerequisites (for information barrier policies).

Не забудьте подключиться к Центру & безопасности PowerShell.Make sure to connect to the Security & Compliance Center PowerShell.

Изменение атрибутов учетной записи пользователяEdit user account attributes

Используйте эту процедуру для редактирования атрибутов, используемых для сегментации пользователей.Use this procedure to edit attributes that are used for segmenting users. Например, если вы используете атрибут Department, а одна или несколько учетных записей пользователей в настоящее время не имеют значений, перечисленных для Department, необходимо изменить эти учетные записи пользователей, чтобы включить сведения о Отделе.For example, if you are using a Department attribute, and one or more user accounts do not currently have any values listed for Department, you must edit those user accounts to include Department information. Атрибуты учетных записей пользователей используются для определения сегментов, чтобы можно было награждение политикам информационного барьера.User account attributes are used for defining segments so that information barrier policies can be assigned.

  1. Чтобы просмотреть сведения для определенной учетной записи пользователя, например значений атрибутов и назначенного сегмента (s), используйте cmdlet Get-InformationBarrierRecipientStatus с параметрами Identity.To view details for a specific user account, such as attribute values and assigned segment(s), use the Get-InformationBarrierRecipientStatus cmdlet with Identity parameters.

    СинтаксисSyntax ПримерExample
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Вы можете использовать любое значение, которое уникально идентифицирует каждого пользователя, например имя, псевдоним, имя, каноническое доменное имя, адрес электронной почты или GUID.You can use any value that uniquely identifies each user, such as name, alias, distinguished name, canonical domain name, email address, or GUID.

    (Вы также можете использовать этот комлет для одного пользователя: Get-InformationBarrierRecipientStatus -Identity <value> )(You can also use this cmdlet for a single user: Get-InformationBarrierRecipientStatus -Identity <value>)

    Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    В этом примере мы ссылаемся на две учетные записи пользователей в Office 365: meganb для Меган и alexw для Alex.In this example, we refer to two user accounts in Office 365: meganb for Megan, and alexw for Alex.

  2. Определите, какой атрибут необходимо изменить для профиля учетной записи пользователя(ы).Determine which attribute you want to edit for your user account profile(s). Дополнительные сведения см. в дополнительных сведениях в атрибутах политик информационного барьера.For more information, see Attributes for information barrier policies.

  3. Изменить одну или несколько учетных записей пользователей, чтобы включить значения атрибута, выбранного на предыдущем шаге.Edit one or more user accounts to include values for the attribute you selected in the previous step. Чтобы принять это действие, используйте одну из следующих процедур:To take this action, use one of the following procedures:

Изменение сегментаEdit a segment

Используйте эту процедуру для редактирования определения пользовательского сегмента.Use this procedure edit the definition of a user segment. Например, можно изменить имя сегмента или фильтр, используемый для определения того, кто входит в этот сегмент.For example, you might change the name of a segment, or the filter that is used to determine who's included in the segment.

  1. Чтобы просмотреть все существующие сегменты, используйте cmdlet Get-OrganizationSegment.To view all existing segments, use the Get-OrganizationSegment cmdlet.

    Синтаксис: Get-OrganizationSegmentSyntax: Get-OrganizationSegment

    Вы увидите список сегментов и сведений для каждого из них, например типа сегмента, значения UserGroupFilter, которые создали или в последний раз изменили его, GUID и так далее.You will see a list of segments and details for each, such as segment type, its UserGroupFilter value, who created or last modified it, GUID, and so on.

    Совет

    Распечатать или сохранить список сегментов для справки позже.Print or save your list of segments for reference later. Например, если вы хотите изменить сегмент, необходимо знать его имя или определить значение (это используется с параметром Identity).For example, if you want to edit a segment, you will need to know its name or identify value (this is used with the Identity parameter).

  2. Чтобы изменить сегмент, используйте комлет Set-OrganizationSegment с параметром Identity и соответствующими сведениями.To edit a segment, use the Set-OrganizationSegment cmdlet with the Identity parameter and relevant details.

    СинтаксисSyntax ПримерExample
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"

    В этом примере для сегмента с GUID c96e0837-c232-4a8a-841e-ef45787d8fcd8d8fcd, мы обновили имя отдела до "HRDept".In this example, for the segment that has the GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, we updated the department name to "HRDept".

После завершения сегментов редактирования для организации можно определить или изменить политики информационного барьера.When you have finished editing segments for your organization, you can either define or edit information barrier policies.

Изменение политикиEdit a policy

  1. Чтобы просмотреть список текущих политик информационного барьера, используйте cmdlet Get-InformationBarrierPolicy.To view a list of current information barrier policies, use the Get-InformationBarrierPolicy cmdlet.

    Синтаксис: Get-InformationBarrierPolicySyntax: Get-InformationBarrierPolicy

    В списке результатов определите политику, которую необходимо изменить.In the list of results, identify the policy that you want to change. Обратите внимание на GUID и имя политики.Note the policy's GUID and name.

  2. Используйте комлет Set-InformationBarrierPolicy с параметром Identity и укажите изменения, которые необходимо внести.Use the Set-InformationBarrierPolicy cmdlet with an Identity parameter, and specify the changes you want to make.

    Пример. Предположим, что была определена политика, которая блокирует связь сегмента Research с сегментами продаж и маркетинга.Example: Suppose a policy was defined to block the Research segment from communicating with the Sales and Marketing segments. Политика была определена с помощью этого cmdlet: New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"The policy was defined by using this cmdlet: New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"

    Предположим, мы хотим изменить его, чтобы люди в сегменте Research могли общаться только с людьми в сегменте HR.Suppose we want to change it so that people in the Research segment can only communicate with people in the HR segment. Чтобы сделать это изменение, мы используем этот кодлет: Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"To make this change, we use this cmdlet: Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"

    В этом примере мы изменили "SegmentsBlocked" на "SegmentsAllowed" и указали сегмент HR.In this example, we changed "SegmentsBlocked" to "SegmentsAllowed" and specified the HR segment.

  3. Когда вы закончите редактирование политики, обязательно применяйте изменения.When you are finished editing a policy, make sure to apply your changes. (См. Применение политик информационного барьера.)(See Apply information barrier policies.)

Настройка политики для неактивного состоянияSet a policy to inactive status

  1. Чтобы просмотреть список текущих политик информационного барьера, используйте cmdlet Get-InformationBarrierPolicy.To view a list of current information barrier policies, use the Get-InformationBarrierPolicy cmdlet.

    Синтаксис: Get-InformationBarrierPolicySyntax: Get-InformationBarrierPolicy

    В списке результатов определите политику, которую необходимо изменить (или удалить).In the list of results, identify the policy that you want to change (or remove). Обратите внимание на GUID и имя политики.Note the policy's GUID and name.

  2. Чтобы задать состояние политики неактивной, используйте комлет Set-InformationBarrierPolicy с параметром Identity и параметром State set to Inactive.To set the policy's status to inactive, use the Set-InformationBarrierPolicy cmdlet with an Identity parameter and the State parameter set to Inactive.

    СинтаксисSyntax ПримерExample
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive

    В этом примере мы задаем политику информационного барьера, которая имеет состояние GUID 43c37853-ea10-4b90-a23d-ab8c9377247.In this example, we set an information barrier policy that has GUID 43c37853-ea10-4b90-a23d-ab8c9377247 to an inactive status.

  3. Чтобы применить изменения, используйте кодлет Start-InformationBarrierPoliciesApplication.To apply your changes, use the Start-InformationBarrierPoliciesApplication cmdlet.

    Синтаксис: Start-InformationBarrierPoliciesApplicationSyntax: Start-InformationBarrierPoliciesApplication

    В организации применяются изменения, которые применяются пользователем к пользователю.Changes are applied, user by user, for your organization. Если организация большая, для завершения этого процесса может пройти 24 часа (или более).If your organization is large, it can take 24 hours (or more) for this process to complete. (В общем руководстве обработка 5000 учетных записей пользователей занимает около часа.)(As a general guideline, it takes about an hour to process 5,000 user accounts.)

На этом этапе одна или несколько политик информационного барьера настроены на неактивное состояние.At this point, one or more information barrier policies are set to inactive status. Отсюда можно сделать любое из следующих действий:From here, you can do any of the following actions:

Удаление политикиRemove a policy

  1. Чтобы просмотреть список текущих политик информационного барьера, используйте cmdlet Get-InformationBarrierPolicy.To view a list of current information barrier policies, use the Get-InformationBarrierPolicy cmdlet.

    Синтаксис: Get-InformationBarrierPolicySyntax: Get-InformationBarrierPolicy

    В списке результатов определите политику, которую необходимо удалить.In the list of results, identify the policy that you want to remove. Обратите внимание на GUID и имя политики.Note the policy's GUID and name. Убедитесь, что политика настроена на неактивное состояние.Make sure the policy is set to inactive status.

  2. Используйте комлет Remove-InformationBarrierPolicy с параметром Identity.Use the Remove-InformationBarrierPolicy cmdlet with an Identity parameter.

    СинтаксисSyntax ПримерExample
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471

    В этом примере мы удаляем политику GUID 43c37853-ea10-4b90-a23d-ab8c93772471.In this example, we are removing the policy that has GUID 43c37853-ea10-4b90-a23d-ab8c93772471.

    При запросе подтвердим изменение.When prompted, confirm the change.

  3. Повторите шаги по 1-2 для каждой политики, которые необходимо удалить.Repeat steps 1-2 for each policy you want to remove.

  4. По завершению удаления политик применяйте изменения.When you are finished removing policies, apply your changes. Чтобы принять это действие, используйте кодлет Start-InformationBarrierPoliciesApplication.To take this action, use the Start-InformationBarrierPoliciesApplication cmdlet.

    Синтаксис: Start-InformationBarrierPoliciesApplicationSyntax: Start-InformationBarrierPoliciesApplication

    В организации применяются изменения, которые применяются пользователем к пользователю.Changes are applied, user by user, for your organization. Если организация большая, для завершения этого процесса может пройти 24 часа (или более).If your organization is large, it can take 24 hours (or more) for this process to complete.

Остановка приложения политикиStop a policy application

После начала применения политик информационного барьера, если вы хотите остановить применение этих политик, используйте следующую процедуру.After you have started applying information barrier policies, if you want to stop those policies from being applied, use the following procedure. Начало процесса займет около 30-35 минут.It will take approximately 30-35 minutes for the process to begin.

  1. Чтобы просмотреть состояние последнего приложения политики информационного барьера, используйте cmdlet Get-InformationBarrierPoliciesApplicationStatus.To view the status of the most recent information barrier policy application, use the Get-InformationBarrierPoliciesApplicationStatus cmdlet.

    Синтаксис: Get-InformationBarrierPoliciesApplicationStatusSyntax: Get-InformationBarrierPoliciesApplicationStatus

    Обратите внимание на GUID приложения.Note the application's GUID.

  2. Используйте кодлет Stop-InformationBarrierPoliciesApplication с параметром Identity.Use the Stop-InformationBarrierPoliciesApplication cmdlet with an Identity parameter.

    СинтаксисSyntax ПримерExample
    Stop-InformationBarrierPoliciesApplication -Identity GUID Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1

    В этом примере мы прекращаем применять политики информационного барьера.In this example, we are stopping information barrier policies from being applied.

РесурсыResources