Определение политик информационных барьеровDefine information barrier policies

С помощью информационных барьеров можно определить политики, которые предназначены для предотвращения взаимодействия определенных сегментов пользователей друг с другом, или разрешить определенным сегментам общаться только с определенными другими сегментами.With information barriers, you can define policies that are designed to prevent certain segments of users from communicating with each other, or allow specific segments to communicate only with certain other segments. Политики информационного барьера могут помочь организации поддерживать соответствие соответствующим отраслевым стандартам и нормативным требованиям и избегать потенциальных конфликтов интересов.Information barrier policies can help your organization maintain compliance with relevant industry standards and regulations, and avoid potential conflicts of interest. Дополнительные сведения см. в дополнительных сведениях.To learn more, see Information barriers.

В этой статье описывается планирование, определение, реализация и управление политиками информационного барьера.This article describes how to plan, define, implement, and manage information barrier policies. Здесь задействовано несколько этапов, и рабочий поток делится на несколько частей.Several steps are involved, and the work flow is divided into several parts. Обязательно ознакомьтесь с необходимыми условиями и всем процессом, прежде чем приступить к определению (или редактированию) политик информационного барьера.Make sure to read through the prerequisites and the entire process before you begin defining (or editing) information barrier policies.

Совет

В этой статье содержится пример сценария и Excel книги, которые помогут вам спланировать и определить политики информационного барьера.This article includes an example scenario and a downloadable Excel workbook to help you plan and define your information barrier policies.

Понятия политик информационных барьеровConcepts of information barrier policies

При определении политик для информационных барьеров вы будете работать с атрибутами учетных записей пользователей, сегментами, политиками "block" и/или "allow" и приложениями политики.When you define policies for information barriers, you'll work with user account attributes, segments, "block" and/or "allow" policies, and policy application.

  • Атрибуты учетной записи определяются в Azure Active Directory (или Exchange Online).User account attributes are defined in Azure Active Directory (or Exchange Online). Эти атрибуты могут включать отдел, должность, расположение, имя команды и другие сведения профиля должности.These attributes can include department, job title, location, team name, and other job profile details.
  • Сегменты — это наборы пользователей, которые определяются в Центре & безопасности с использованием выбранного атрибута учетной записи пользователя.Segments are sets of users that are defined in the Security & Compliance Center using a selected user account attribute. (См. список поддерживаемых атрибутов.)(See the list of supported attributes.)
  • Политики информационных барьеров определяют пределы или ограничения общения.Information barrier policies determine communication limits or restrictions. При определении политик информационных барьеров можно выбрать один из двух типов политик:When you define information barrier policies, you choose from two kinds of policies:
    • Политики "Block" мешают одному сегменту общаться с другим сегментом."Block" policies prevent one segment from communicating with another segment.
    • Политики "Разрешить" позволяют одному сегменту общаться только с некоторыми другими сегментами."Allow" policies allow one segment to communicate with only certain other segments.
  • Применение политик выполняется после определения всех политик информационных барьеров. Вы готовы применять их в своей организации.Policy application is done after all information barrier policies are defined, and you are ready to apply them in your organization.

Обзор рабочего процессаThe work flow at a glance

ЭтапPhase Задействованные средстваWhat's involved
Убедитесь, что необходимые условия выполненыMake sure prerequisites are met - Убедитесь, что у вас есть необходимые лицензии и разрешения- Verify that you have the required licenses and permissions
- Убедитесь, что в каталоге содержатся данные для сегментации пользователей- Verify that your directory includes data for segmenting users
- Включить масштабный поиск каталога для Microsoft Teams- Enable scoped directory search for Microsoft Teams
- Убедитесь, что журнал аудита включен- Make sure audit logging is turned on
- Убедитесь, что Exchange политики адресной книги не на месте- Make sure no Exchange address book policies are in place
- Использование PowerShell (примеры предоставляются)- Use PowerShell (examples are provided)
- Предоставление согласия администратора для Microsoft Teams (шаги включены)- Provide admin consent for Microsoft Teams (steps are included)
Часть 1. Сегмент пользователей в организацииPart 1: Segment users in your organization - Определите, какие политики необходимы- Determine what policies are needed
- Соделайте список сегментов для определения- Make a list of segments to define
- Определите, какие атрибуты использовать- Identify which attributes to use
- Определение сегментов с точки зрения фильтров политик- Define segments in terms of policy filters
Часть 2. Определение политик информационного барьераPart 2: Define information barrier policies - Определите свои политики (пока не применяются)- Define your policies (do not apply yet)
- Выберите один из двух видов (блок или разрешить)- Choose from two kinds (block or allow)
Часть 3. Применение политик информационного барьераPart 3: Apply information barrier policies - Настройка политик к активному статусу- Set policies to active status
- Запустите приложение политики- Run the policy application
- Просмотр состояния политики- View policy status
(По мере необходимости) Изменение сегмента или политики(As needed) Edit a segment or a policy - Изменение сегмента- Edit a segment
- Изменить или удалить политику- Edit or remove a policy
- Повторное повторяемо приложение политики- Rerun the policy application
- Просмотр состояния политики- View policy status
(По мере необходимости) Устранение неполадок(As needed) Troubleshooting - Принимайте меры, если все работает не так, как ожидалось- Take action when things are not working as expected

Предварительные условияPrerequisites

В дополнение к необходимым лицензиями разрешениям убедитесь, что следующие требования будут выполнены:In addition to the required licenses and permissions, make sure that the following requirements are met:

  • Данные каталога. Убедитесь, что структура организации отражается в данных каталогов.Directory data - Make sure that your organization's structure is reflected in directory data. Чтобы принять это действие, убедитесь, что атрибуты учетных записей пользователей, такие как членство в группе, имя отдела и т. д., правильно заполняются в Azure Active Directory (или Exchange Online).To take this action, make sure that user account attributes, such as group membership, department name, etc. are populated correctly in Azure Active Directory (or Exchange Online). Для получения дополнительных сведений ознакомьтесь с приведенными ниже ресурсами.To learn more, see the following resources:

  • Поиск по каталогам с областью действия . Прежде чем определить первую политику информационного барьера организации, необходимо включить поиск по каталогам в Microsoft Teams.Scoped directory search - Before you define your organization's first information barrier policy, you must enable scoped directory search in Microsoft Teams. Подождите по крайней мере 24 часа после включения поиска каталогов с объемом, прежде чем настроить или определить политики информационного барьера.Wait at least 24 hours after enabling scoped directory search before you set up or define information barrier policies.

  • Лицензия EXO — политики IB работают только в том случае, если целевым пользователям назначена лицензия EXO.EXO license - IB policies work only if the target users have been assigned an EXO license.

  • Ведение журнала аудита . Чтобы посмотреть состояние приложения политики, необходимо включить журнал аудита.Audit logging - In order to look up the status of a policy application, audit logging must be turned on. Мы рекомендуем включить аудит, прежде чем приступить к определению сегментов или политик.We recommend you enable auditing before you begin to define segments or policies. Дополнительные данные см. в журнале "Включить или отключить поиск журнала аудита".To learn more, see Turn the audit log search on or off.

  • Политики адресной книги не применяются. Перед определением и применением политик информационного барьера убедитесь, что Exchange политики адресной книги не действуют.No address book policies - Before you define and apply information barrier policies, make sure no Exchange address book policies are in place. Информационные барьеры основаны на политиках адресных книг, но два типа политик несовместимы.Information barriers are based on address book policies, but the two kinds of policies are not compatible. Если у вас есть такие политики, убедитесь, что сначала удалите политики адресной книги.If you do have such policies, make sure to remove your address book policies first. После включения политик информационного барьера и включения иерархической адресной книги все пользователи, не включенные в сегмент информационного барьера, увидят иерархическую адресную книгу в Exchange интернете.Once information barrier policies are enabled and you have hierarchical address book enabled, all users who are not included in an information barrier segment will see the hierarchical address book in Exchange online.

  • PowerShell . В настоящее время политики информационного барьера определяются и управляются в центре Office 365 безопасности & с помощью cmdlets PowerShell.PowerShell - Currently, information barrier policies are defined and managed in the Office 365 Security & Compliance Center using PowerShell cmdlets. Хотя в этой статье представлено несколько примеров, необходимо ознакомиться с cmdlets и параметрами PowerShell.Although several examples are provided in this article, you'll need to be familiar with PowerShell cmdlets and parameters. Вам также потребуется модуль Azure PowerShell.You will also need the Azure PowerShell module.

  • Согласие администратора на информационные барьеры в Microsoft Teams - Когда политики IB на месте, они могут удалять пользователей, не внося в соответствие требованиям IB, из групп (то есть Teams каналов, основанных на группах).Admin consent for information barriers in Microsoft Teams - When your IB policies are in place, they can remove non-IB compliance users from Groups (i.e. Teams channels, which are based on groups). Эта конфигурация помогает обеспечить соответствие организации политикам и нормативным требованиям.This configuration helps ensure your organization remains compliant with policies and regulations. Используйте следующую процедуру, чтобы политики информационного барьера работали так, как Microsoft Teams.Use the following procedure to enable information barrier policies to work as expected in Microsoft Teams.

    1. Предварительные требования: установка Azure PowerShell из установки Azure PowerShell.Pre-requisite: Install Azure PowerShell from Install Azure PowerShell.

    2. Запустите следующие cmdlets PowerShell:Run the following PowerShell cmdlets:

      Connect-AzAccount -Tenant "<yourtenantdomain.com>"  //for example: Connect-AzAccount -Tenant "Contoso.onmicrosoft.com"
      $appId="bcf62038-e005-436d-b970-2a472f8c1982" 
      $sp=Get-AzADServicePrincipal -ServicePrincipalName $appId
      if ($sp -eq $null) { New-AzADServicePrincipal -ApplicationId $appId }
      Start-Process  "https://login.microsoftonline.com/common/adminconsent?client_id=$appId"
      
    3. При запросе впишитесь с помощью учетной записи вашей работы или учебного заведения для Office 365.When prompted, sign in using your work or school account for Office 365.

    4. В диалоговом окне Разрешения, запрашиваемом для получения разрешений, просмотрите сведения и выберите Accept.In the Permissions requested dialog box, review the information, and then choose Accept. Разрешения, запрашиваемые приложением, приведены ниже.The permissions requested by the App is given below.

      изображениеimage

Когда все необходимые условия будут выполнены, переперейти к следующему разделу.When all the prerequisites are met, proceed to the next section.

Совет

Чтобы помочь вам подготовить план, в эту статью включен пример сценария.To help you prepare your plan, an example scenario is included in this article. См. отделы,сегменты и политики Contoso.See Contoso's departments, segments, and policies.

Кроме того, доступна Excel, которая поможет вам планировать и определять сегменты и политики (и создавать свои cmdlets PowerShell).In addition, a downloadable Excel workbook is available to help you plan and define your segments and policies (and create your PowerShell cmdlets). Получить книгу.Get the workbook.

Часть 1. Пользователи сегментаPart 1: Segment users

На этом этапе определите, какие политики информационного барьера необходимы, сделайте список сегментов для определения, а затем определите сегменты.During this phase, you determine what information barrier policies are needed, make a list of segments to define, and then define your segments.

Определение необходимых политикDetermine what policies are needed

Учитывая правовые и отраслевые правила, кто является группами в вашей организации, которым необходимы политики информационного барьера?Considering legal and industry regulations, who are the groups within your organization who will need information barrier policies? Соделайте список.Make a list. Существуют ли группы, которым следует запретить общаться с другой группой?Are there any groups who should be prevented from communicating with another group? Существуют ли группы, которые должны иметь возможность общаться только с одной или двумя другими группами?Are there any groups that should be allowed to communicate only with one or two other groups? Подумайте о политиках, которые необходимы как принадлежащие одной из двух групп:Think about the policies you need as belonging to one of two groups:

  • Политики "Block" мешают одной группе общаться с другой группой."Block" policies prevent one group from communicating with another group.
  • Политики "Разрешить" позволяют группе общаться только с некоторыми другими, определенными группами."Allow" policies allow a group to communicate with only certain other, specific groups.

Если у вас есть начальный список групп и политик, определите нужные сегменты.When you have your initial list of groups and policies, proceed to identify the segments you'll need.

Определение сегментовIdentify segments

В дополнение к первоначальному списку политик сделайте список сегментов для вашей организации.In addition to your initial list of policies, make a list of segments for your organization. Пользователи, которые будут включены в политики информационного барьера, должны принадлежать к сегменту.Users who will be included in information barrier policies should belong to a segment. Тщательно планировать сегменты, так как пользователь может быть только в одном сегменте.Plan your segments carefully as a user can only be in one segment. В каждом сегменте может применяться только одна политика информационного барьера.Each segment can have only one information barrier policy applied.

Важно!

Пользователь может быть только в одном сегменте.A user can only be in one segment.

Определите, какие атрибуты в данных каталогов организации будут использовать для определения сегментов.Determine which attributes in your organization's directory data you'll use to define segments. Вы можете использовать Department, MemberOf или любой из поддерживаемых атрибутов.You can use Department, MemberOf, or any of the supported attributes. Убедитесь, что в атрибуте, выбранном для пользователей, есть значения.Make sure that you have values in the attribute you select for users. См. список поддерживаемых атрибутов для информационных барьеров.See the list of supported attributes for information barriers.

Важно!

Перед тем, как перейти к следующему разделу, убедитесь, что данные каталога имеет значения атрибутов, которые можно использовать для определения сегментов.Before you proceed to the next section, make sure your directory data has values for attributes that you can use to define segments. Если в данных каталога нет значений для атрибутов, которые вы хотите использовать, необходимо обновить учетные записи пользователей, чтобы включить эти сведения, прежде чем приступить к использованию информационных барьеров.If your directory data does not have values for the attributes you want to use, then the user accounts must be updated to include that information before you proceed with information barriers. Чтобы получить помощь в этом, см. в следующих ресурсах:To get help with this, see the following resources:
- Настройка свойств учетных записей пользователей с помощью Office 365 PowerShell- Configure user account properties with Office 365 PowerShell
- Добавление или обновление сведений о профиле пользователя с помощью Azure Active Directory- Add or update a user's profile information using Azure Active Directory

Определение сегментов с помощью PowerShellDefine segments using PowerShell

Определение сегментов не влияет на пользователей; он просто задает этап определения политик информационного барьера, а затем их применении.Defining segments does not affect users; it just sets the stage for information barrier policies to be defined and then applied.

  1. Используйте комлет New-OrganizationSegment с параметром UserGroupFilter, который соответствует атрибуту, который необходимо использовать.Use the New-OrganizationSegment cmdlet with the UserGroupFilter parameter that corresponds to the attribute you want to use.

    СинтаксисSyntax ПримерExample
    New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'" New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"

    В этом примере сегмент hr определяется с помощью HR— значения атрибута Department.In this example, a segment called HR is defined using HR, a value in the Department attribute. Часть cmdlet —eq относится к "равным".The -eq portion of the cmdlet refers to "equals." (Поочередно можно использовать -ne, чтобы означать "не равны".(Alternately, you can use -ne to mean "not equals". См. в определениях сегмента использование "равно" и "не равно".)See Using "equals" and "not equals" in segment definitions.)

    После запуска каждого комлета необходимо увидеть список сведений о новом сегменте.After you run each cmdlet, you should see a list of details about the new segment. Сведения включают тип сегмента, который создал или в последний раз изменил его и так далее.Details include the segment's type, who created or last modified it, and so on.

  2. Повторите этот процесс для каждого сегмента, который необходимо определить.Repeat this process for each segment you want to define.

    Важно!

    Убедитесь, что сегменты не перекрываются.Make sure that your segments do not overlap. Каждый пользователь, на которого влияют информационные барьеры, должен принадлежать к одному (и только одному) сегменту.Each user who will be affected by information barriers should belong to one (and only one) segment. Ни один пользователь не должен принадлежать к двум или более сегментам.No user should belong to two or more segments. (См. пример: определенные сегменты Contoso в этой статье.)(See Example: Contoso's defined segments in this article.)

После определения сегментов приступить к определению политик информационного барьера.After you have defined your segments, proceed to define information barrier policies.

Использование "равно" и "не равно" в определениях сегментаUsing "equals" and "not equals" in segment definitions

В следующем примере мы определяем сегмент, который "Department равно HR".In the following example, we are defining a segment such that "Department equals HR."

ПримерExample ПримечаниеNote
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" Обратите внимание, что в этом примере определение сегмента включает параметр "equals", обозначаемый как -eq.Notice that in this example, the segment definition includes an "equals" parameter denoted as -eq.

Кроме того, можно определить сегменты с помощью параметра "не равный", обозначаемого как -ne, как показано в следующей таблице:You can also define segments using a "not equals" parameter, denoted as -ne, as shown in the following table:

СинтаксисSyntax ПримерExample
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" В этом примере мы определили сегмент NotSales, который включает всех, кто не входит в отдел продаж.In this example, we defined a segment called NotSales that includes everyone who is not in Sales. Часть cmdlet -ne относится к "не равно".The -ne portion of the cmdlet refers to "not equals".

Помимо определения сегментов с использованием параметров "equals" или "not equals", можно определить сегмент с использованием параметров "равно" и "не равно".In addition to defining segments using "equals" or "not equals", you can define a segment using both "equals" and "not equals" parameters. Вы также можете определить сложные групповые фильтры с помощью логических операторов AND и OR.You can also define complex group filters using logical AND and OR operators.

СинтаксисSyntax ПримерExample
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" В этом примере мы определили сегмент LocalFTE, который включает людей, которые находятся локально и чьи позиции не указаны как Временные.In this example, we defined a segment called LocalFTE that includes people who are located locally and whose positions are not listed as Temporary.
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq 'group1@contoso.com'' -and MemberOf -ne 'group3@contoso.com'" В этом примере мы определили сегмент Segment1, который включает людей, которые являются group1@contoso.com, а не group3@contoso.com.In this example, we defined a segment called Segment1 that includes people who are members of group1@contoso.com and not members of group3@contoso.com.
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq 'group2@contoso.com' -or MemberOf -ne 'group3@contoso.com'" В этом примере мы определили сегмент Segment2, который включает людей, которые являются членами group2@contoso.com, а не членами group3@contoso.com.In this example, we defined a segment called Segment2 that includes people who are members of group2@contoso.com and not members of group3@contoso.com.
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq 'group1@contoso.com' -or MemberOf -eq 'group2@contoso.com') -and MemberOf -ne 'group3@contoso.com'" В этом примере мы определили сегмент Segment1and2, который включает людей из group1@contoso.com и group2@contoso.com, а не членов group3@contoso.com.In this example, we defined a segment called Segment1and2 that includes people members of group1@contoso.com and group2@contoso.com and not members of group3@contoso.com.

Совет

Если это возможно, используйте определения сегмента, которые включают "-eq" или "-ne".If possible, use segment definitions that include "-eq" or "-ne". Старайтесь не определять сложные определения сегмента.Try not to define complex segment definitions.

Часть 2. Определение политик информационного барьераPart 2: Define information barrier policies

Определите, нужно ли запретить связь между определенными сегментами или ограничить связь определенными сегментами.Determine whether you need to prevent communications between certain segments, or limit communications to certain segments. В идеале вы будете использовать минимальное число политик, чтобы убедиться, что ваша организация соответствует требованиям законодательства и отрасли.Ideally, you'll use the minimum number of policies to ensure your organization is compliant with legal and industry requirements.

Со списком сегментов пользователей и политиками информационного барьера, которые необходимо определить, выберите сценарий и выполните действия.With your list of user segments and the information barrier policies you want to define, select a scenario, and then follow the steps.

Важно!

Убедитесь, что при назначении политик сегменту не назначается несколько политик.Make sure that as you define policies, you do not assign more than one policy to a segment. Например, если вы определяете одну политику для сегмента Sales, не заопределять дополнительную политику для продаж.For example, if you define one policy for a segment called Sales, do not define an additional policy for Sales.

Кроме того, определяя политики информационного барьера, убедитесь, что эти политики неактивны, пока не будете готовы применить их.In addition, as you define information barrier policies, make sure to set those policies to inactive status until you are ready to apply them. Определение (или редактирование) политик не влияет на пользователей до тех пор, пока эти политики не будут настроены на активный статус и не будут применены.Defining (or editing) policies does not affect users until those policies are set to active status and then applied.

(См. пример: политики информационного барьера Contoso в этой статье.)(See Example: Contoso's information barrier policies in this article.)

Сценарий 1. Блокировка коммуникации между сегментамиScenario 1: Block communications between segments

Если необходимо заблокировать общение между сегментами, необходимо определить две политики: по одной для каждого направления.When you want to block segments from communicating with each other, you define two policies: one for each direction. Каждая политика блокирует обмен информацией только в одном направлении.Each policy blocks communication one way only.

Например, предположим, что необходимо заблокировать связь между сегментом А и сегментом B. В этом случае вы определяете одну политику, не мешаю сегменту А общаться с сегментом B, а затем определяете вторую политику, чтобы запретить сегменту B общаться с сегментом A.For example, suppose you want to block communications between Segment A and Segment B. In this case, you define one policy preventing Segment A from communicating with Segment B, and then define a second policy to prevent Segment B from communicating with Segment A.

  1. Чтобы определить свою первую политику блокировки, используйте комлет New-InformationBarrierPolicy с параметром SegmentsBlocked.To define your first blocking policy, use the New-InformationBarrierPolicy cmdlet with the SegmentsBlocked parameter.

    СинтаксисSyntax ПримерExample
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsBlocked "segment2name" New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

    В этом примере мы определили политику Sales-Research для сегмента Sales .In this example, we defined a policy called Sales-Research for a segment called Sales. При активном применении эта политика не позволяет людям из отдела продаж общаться с людьми в сегменте Research.When active and applied, this policy prevents people in Sales from communicating with people in a segment called Research.

  2. Чтобы определить второй блокирующий сегмент, снова используйте комлет New-InformationBarrierPolicy с параметром SegmentsBlocked, на этот раз с откидными сегментами.To define your second blocking segment, use the New-InformationBarrierPolicy cmdlet with the SegmentsBlocked parameter again, this time with the segments reversed.

    ПримерExample ПримечаниеNote
    New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive В этом примере мы определили политику под названием Research-Sales для предотвращения взаимодействия Research с продажами.In this example, we defined a policy called Research-Sales to prevent Research from communicating with Sales.
  3. Приступить к одному из следующих действий:Proceed to one of the following actions:

Сценарий 2. Разрешение сегменту взаимодействовать только с одним другим сегментомScenario 2: Allow a segment to communicate only with one other segment

  1. Чтобы разрешить одному сегменту общаться только с одним другим сегментом, используйте комлет New-InformationBarrierPolicy с параметром SegmentsAllowed.To allow one segment to communicate with only one other segment, use the New-InformationBarrierPolicy cmdlet with the SegmentsAllowed parameter.

    СинтаксисSyntax ПримерExample
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsAllowed "segment2name","segment1name" New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State Inactive

    В этом примере мы определили политику manufacturing-HR для сегмента manufacturing .In this example, we defined a policy called Manufacturing-HR for a segment called Manufacturing. При активном и применении эта политика позволяет пользователям в области производства общаться только с людьми в сегменте HR.When active and applied, this policy allows people in Manufacturing to communicate only with people in a segment called HR. (В этом случае Manufacturing не может общаться с пользователями, которые не являются частью hr.)(In this case, Manufacturing cannot communicate with users who are not part of HR.)

    При необходимости можно указать несколько сегментов с помощью этого комлета, как показано в следующем примере.If needed, you can specify multiple segments with this cmdlet, as shown in the following example.

    СинтаксисSyntax ПримерExample
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsAllowed "segment2name", "segment3name","segment1name" New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State Inactive

    В этом примере мы определили политику, которая позволяет сегменту Research общаться только с отделом кадров и производством.In this example, we defined a policy that allows the Research segment to communicate with only HR and Manufacturing.

    Повторите этот шаг для каждой политики, необходимой для определения, чтобы разрешить определенным сегментам общаться только с определенными определенными сегментами.Repeat this step for each policy you want to define to allow specific segments to communicate with only certain other specific segments.

  2. Приступить к одному из следующих действий:Proceed to one of the following actions:

Часть 3. Применение политик информационного барьераPart 3: Apply information barrier policies

Политики информационного барьера не действуют до тех пор, пока вы не настроите их на активный статус, а затем применяйте политики.Information barrier policies are not in effect until you set them to active status, and then apply the policies.

  1. Чтобы увидеть список определенных политик, используйте комлет Get-InformationBarrierPolicy.Use the Get-InformationBarrierPolicy cmdlet to see a list of policies that have been defined. Обратите внимание на состояние и удостоверение (GUID) каждой политики.Note the status and identity (GUID) of each policy.

    Синтаксис: Get-InformationBarrierPolicySyntax: Get-InformationBarrierPolicy

  2. Чтобы задать политику активному статусу, используйте комлет Set-InformationBarrierPolicy с параметром Identity и параметр state set to Active.To set a policy to active status, use the Set-InformationBarrierPolicy cmdlet with an Identity parameter, and the State parameter set to Active.

    СинтаксисSyntax ПримерExample
    Set-InformationBarrierPolicy -Identity GUID -State Active Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Active

    В этом примере мы задаем политику информационного барьера, которая имеет состояние GUID 43c37853-ea10-4b90-a23d-ab8c93772471.In this example, we set an information barrier policy that has the GUID 43c37853-ea10-4b90-a23d-ab8c93772471 to active status.

    Повторите этот шаг по мере необходимости для каждой политики.Repeat this step as appropriate for each policy.

  3. После настройки политик информационного барьера в активном состоянии используйте в центре соответствия требованиям start-InformationBarrierPoliciesApplic & ation.When you have finished setting your information barrier policies to active status, use the Start-InformationBarrierPoliciesApplication cmdlet in the Security & Compliance Center.

    Синтаксис: Start-InformationBarrierPoliciesApplicationSyntax: Start-InformationBarrierPoliciesApplication

    После запуска Start-InformationBarrierPoliciesApplication разрешить 30 минут для системы, чтобы начать применять политики.After you run Start-InformationBarrierPoliciesApplication, allow 30 minutes for the system to start applying the policies. Система применяет политики пользователя пользователя.The system applies policies user by user. Система обрабатывает около 5000 учетных записей пользователей в час.The system processes about 5,000 user accounts per hour.

Просмотр состояния учетных записей пользователей, сегментов, политик или приложений политикиView status of user accounts, segments, policies, or policy application

В PowerShell можно просмотреть состояние учетных записей пользователей, сегментов, политик и приложений политики, как указано в следующей таблице.With PowerShell, you can view status of user accounts, segments, policies, and policy application, as listed in the following table.

Просмотр этой информацииTo view this information Примите это действиеTake this action
Учетные записи пользователейUser accounts Используйте комлет Get-InformationBarrierRecipientStatus с параметрами Identity.Use the Get-InformationBarrierRecipientStatus cmdlet with Identity parameters.

Синтаксис: Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>Syntax: Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

Вы можете использовать любое значение, которое уникально идентифицирует каждого пользователя, например имя, псевдоним, имя, каноническое доменное имя, адрес электронной почты или GUID.You can use any value that uniquely identifies each user, such as name, alias, distinguished name, canonical domain name, email address, or GUID.

Пример: Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexwExample: Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

В этом примере мы ссылаемся на две учетные записи пользователей в Office 365: meganb для Меган и alexw для Alex.In this example, we refer to two user accounts in Office 365: meganb for Megan, and alexw for Alex.

(Вы также можете использовать этот комлет для одного пользователя: Get-InformationBarrierRecipientStatus -Identity <value> )(You can also use this cmdlet for a single user: Get-InformationBarrierRecipientStatus -Identity <value>)

В этом комлете возвращаются сведения о пользователях, например значения атрибутов и применяемые политики информационного барьера.This cmdlet returns information about users, such as attribute values and any information barrier policies that are applied.

СегментыSegments Используйте комлет Get-OrganizationSegment.Use the Get-OrganizationSegment cmdlet.

Синтаксис: Get-OrganizationSegmentSyntax: Get-OrganizationSegment

В этом списке будет отображаться список всех сегментов, определенных для организации.This cmdlet will display a list of all segments defined for your organization.

Политики информационных барьеровInformation barrier policies Используйте комлет Get-InformationBarrierPolicy.Use the Get-InformationBarrierPolicy cmdlet.

Синтаксис: Get-InformationBarrierPolicySyntax: Get-InformationBarrierPolicy

В этом комлете будет отображаться список политик информационного барьера, которые были определены, и их состояние.This cmdlet will display a list of information barrier policies that were defined, and their status.

Последнее приложение политики информационного барьераThe most recent information barrier policy application Используйте кодлет Get-InformationBarrierPoliciesApplicationStatus.Use the Get-InformationBarrierPoliciesApplicationStatus cmdlet.

Синтаксис: Get-InformationBarrierPoliciesApplicationStatusSyntax: Get-InformationBarrierPoliciesApplicationStatus

В этом комлете будут отображаться сведения о том, завершено ли, не выполнено или выполнено приложение политики.This cmdlet will display information about whether policy application completed, failed, or is in progress.

Все приложения политики информационного барьераAll information barrier policy applications Воспользуйтесь Get-InformationBarrierPoliciesApplicationStatus -AllUse Get-InformationBarrierPoliciesApplicationStatus -All

В этом комлете будут отображаться сведения о том, завершено ли, не выполнено или выполнено приложение политики.This cmdlet will display information about whether policy application completed, failed, or is in progress.

Что делать, если необходимо удалить или изменить политики?What if I need to remove or change policies?

Для управления политиками информационного барьера доступны ресурсы.Resources are available to help you manage your information barrier policies.

Пример: отделы, сегменты и политики ContosoExample: Contoso's departments, segments, and policies

Чтобы ознакомиться с подходами организации к определению сегментов и политик, рассмотрите следующий пример.To see how an organization might approach defining segments and policies, consider the following example.

Отделы и план компании ContosoContoso's departments and plan

В Contoso есть пять отделов: отдел кадров, продажи, маркетинг, исследования и производство.Contoso has five departments: HR, Sales, Marketing, Research, and Manufacturing. Чтобы оставаться в соответствии с отраслевыми правилами, людям в некоторых отделах не предполагается общаться с другими отделами, как указано в следующей таблице:In order to remain compliant with industry regulations, people in some departments are not supposed to communicate with other departments, as listed in the following table:

СегментSegment Можно общаться сCan talk to Нельзя общаться сCannot talk to
Отдел кадровHR Все пользователиEveryone (без ограничений)(no restrictions)
Отдел продажSales HR, маркетинг, производствоHR, Marketing, Manufacturing Отдел исследованийResearch
Отдел маркетингаMarketing Все пользователиEveryone (без ограничений)(no restrictions)
Отдел исследованийResearch HR, маркетинг, производствоHR, Marketing, Manufacturing Отдел продажSales
Отдел производстваManufacturing HR, маркетингHR, Marketing Любой, кроме HR или маркетингаAnyone other than HR or Marketing

Для этой структуры план Contoso включает три политики информационного барьера:For this structure, Contoso's plan includes three information barrier policies:

  1. Политика, направленная на то, чтобы запретить продажам общаться с Research (и еще одна политика, чтобы предотвратить связь Research с продажами).A policy designed to prevent Sales from communicating with Research (and another policy to prevent Research from communicating with Sales).

  2. Политика, предназначенная для того, чтобы позволить Manufacturing общаться только с hr и маркетингом.A policy designed to allow Manufacturing to communicate with HR and Marketing only.

В этом сценарии нет необходимости определять политики для отдела кадров или маркетинга.For this scenario, it's not necessary to define policies for HR or Marketing.

Определенные сегменты ContosoContoso's defined segments

Contoso будет использовать атрибут Department в Azure Active Directory для определения сегментов:Contoso will use the Department attribute in Azure Active Directory to define segments, as follows:

ОтделDepartment Определение сегментаSegment Definition
Отдел кадровHR New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"
Отдел продажSales New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'"
Отдел маркетингаMarketing New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'"
Отдел исследованийResearch New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'"
Отдел производстваManufacturing New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'"

После определения сегментов компания Contoso переходит к определению политик.With the segments defined, Contoso proceeds to define policies.

Политики информационных барьеров ContosoContoso's information barrier policies

Contoso определяет три политики, как описано в следующей таблице:Contoso defines three policies, as described in the following table:

ПолитикаPolicy Определение политикиPolicy Definition
Политика 1. Запретить отделу продаж взаимодействовать с отделом исследованийPolicy 1: Prevent Sales from communicating with Research New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

В этом примере политика информационных барьеров называется Sales-Research.In this example, the information barrier policy is called Sales-Research. Если эта политика активна и применена, она запрещает пользователям из сегмента "Отдел продаж" взаимодействовать с пользователями из сегмента "Отдел исследований".When this policy is active and applied, it will help prevent users who are in the Sales segment from communicating with users in the Research segment. Эта политика является политикой в одну сторону; это не помешает Research общаться с sales.This policy is a one-way policy; it won't prevent Research from communicating with Sales. Для этого требуется политика 2.For that, Policy 2 is needed.

Политика 2. Запретить отделу исследований взаимодействовать с отделом продажPolicy 2: Prevent Research from communicating with Sales New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive

В этом примере политика информационных барьеров называется Research-Sales.In this example, the information barrier policy is called Research-Sales. Если эта политика активна и применена, она запрещает пользователям из сегмента "Отдел исследований" взаимодействовать с пользователями из сегмента "Отдел продаж".When this policy is active and applied, it will help prevent users who are in the Research segment from communicating with users in the Sales segment.

Политика 3. Разрешить производство общаться только с hr и маркетингомPolicy 3: Allow Manufacturing to communicate with HR and Marketing only New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive

В этом случае политика информационных барьеров называется Manufacturing-HRMarketing.In this case, the information barrier policy is called Manufacturing-HRMarketing. Если эта политика активна и применена, отдел производства может взаимодействовать только с отделом кадров и отделом маркетинга.When this policy is active and applied, Manufacturing can communicate only with HR and Marketing. Hr и Marketing не ограничиваются общением с другими сегментами.HR and Marketing are not restricted from communicating with other segments.

В определенных сегментах и политиках Contoso применяет политики, запуская в ней кодлет Start-InformationBarrierPoliciesApplication.With segments and policies defined, Contoso applies the policies by running the Start-InformationBarrierPoliciesApplication cmdlet.

По завершению cmdlet Contoso соответствует юридическим и отраслевым требованиям.When the cmdlet finishes, Contoso is compliant with legal and industry requirements.

РесурсыResources