Начало работы с информационными барьерами

Примечание

Центр соответствия требованиям Microsoft 365 теперь называется Microsoft Purview, а названия решений в области соответствия требованиям были изменены. Дополнительные сведения о Microsoft Purview см. в объявлении блога и в статье "Что такое Microsoft Purview?".

В этой статье описывается настройка политик информационных барьеров (IB) в организации. Необходимо выполнить несколько действий, поэтому прежде чем приступить к настройке политик IB, проверьте весь процесс.

Вы настроите IB в организации с помощью Портал соответствия требованиям Microsoft Purview или powerShell Office 365 безопасности и соответствия требованиям. Для организаций, которые настраивают IB впервые, мы рекомендуем использовать решение "Информационные барьеры" на портале соответствия требованиям. Если вы управляете существующей конфигурацией IB и вам удобно использовать PowerShell, этот параметр по-прежнему доступен.

Дополнительные сведения о сценариях и функциях IB см. в статье "Сведения о информационных барьерах".

Совет

Для подготовки плана в этой статье приведен пример сценария.

Необходимые подписки и разрешения

Прежде чем приступить к работе с IB, необходимо подтвердить Microsoft 365 подписку и все надстройки. Чтобы получить доступ к IB и использовать его, ваша организация должна иметь одну из следующих подписок или надстроек:

  • Microsoft 365 E5/A5 (платная или пробная версия)
  • Office 365 E5/A5/A3/A1 (платная или пробная версия)
  • Office 365 Advanced Compliance надстройки (больше недоступна для новых подписок)
  • Microsoft 365 E3/A3/A1 + надстройка соответствия Microsoft 365 E5/A5
  • Microsoft 365 E3/A3/A1 + надстройка Microsoft 365 E5/A5 За кулисами Risk Management

Дополнительные сведения см. в Microsoft 365 лицензирования для обеспечения соответствия & безопасности.

Для управления политиками IB необходимо назначить одну из следующих ролей:

  • Глобальный администратор Microsoft 365
  • Глобальный администратор Office 365
  • Администратор соответствия требованиям
  • Управление соответствием требованиям IB

Дополнительные сведения о ролях и разрешениях см. в статье Разрешения в Центр безопасности и соответствия требованиям Office 365.

Основные понятия конфигурации

При настройке IB вы будете работать с несколькими объектами и концепциями.

  • Атрибуты учетной записи определяются в Azure Active Directory (или Exchange Online). Эти атрибуты могут включать отдел, должность, расположение, имя команды и другие сведения профиля должности. Вы назначите пользователей или группы сегментам с этими атрибутами.

  • Сегменты — это наборы групп или пользователей, определенных на портале соответствия требованиям или с помощью PowerShell, использующих выбранные атрибуты группы или учетной записи пользователя. Дополнительные сведения см. в списке поддерживаемых атрибутов IB .

  • Политики IB определяют ограничения или ограничения обмена данными. При выборе политик IB можно выбрать один из двух типов политик:

    • Блокировка политик не позволяет одному сегменту общаться с другим сегментом.

    • Разрешение политик позволяет одному сегменту общаться только с некоторыми другими сегментами.

      Примечание

      Для политик разрешений группы и пользователи, не включаемые в IB, не будут видны пользователям, включенным в сегменты и политики IB. Если вам нужно, чтобы группы и пользователи, отличные от IB, были видны пользователям, включенным в сегменты и политики IB, необходимо использовать политики блокировки .

  • Приложение политики выполняется после определения всех политик IB, и вы можете применить их в своей организации.

  • Видимость пользователей и групп, отличных от IB. Пользователи и группы, отличные от IB, — это пользователи и группы, исключенные из сегментов и политик IB. В зависимости от типа политик IB (блокировка или разрешение) поведение этих пользователей и групп будет отличаться в Microsoft Teams, SharePoint, OneDrive и в глобальном списке адресов. Для пользователей, определенных в политиках разрешений, группы и пользователи, не включаемые в IB, не будут видны пользователям, включенным в сегменты и политики IB. Для пользователей, определенных в политиках блокировки, группы и пользователи, не включаемые в IB, будут видны пользователям, включенным в сегменты и политики IB.

  • Поддержка групп. В настоящее время в IB поддерживаются только современные группы, а списки рассылки и группы безопасности рассматриваются как группы, отличные от IB.

  • Скрытые или отключенные учетные записи пользователей. Для скрытых и отключенных учетных записей в организации параметр HiddenFromAddressListEnabled автоматически получает значение True , если учетные записи пользователей скрыты или отключены. В организациях с поддержкой IB эти учетные записи не могут взаимодействовать со всеми другими учетными записями пользователей. В Microsoft Teams все чаты, включая эти учетные записи, блокируются или пользователи автоматически удаляются из бесед.

Общие сведения о конфигурации

Действия Задействованные средства
Шаг 1. Убедитесь, что выполнены предварительные требования — Убедитесь, что у вас есть необходимые подписки и разрешения.
– Убедитесь, что каталог содержит данные для сегментации пользователей
Включите поиск по имени для Microsoft Teams
– Убедитесь, что ведение журнала аудита включено
–Убедитесь в отсутствии политик адресных книг Exchange
— предоставление согласия администратора для Microsoft Teams (шаги включены)
Шаг 2. Сегментирование пользователей в организации – Определите, какие политики необходимы
– Составьте список сегментов для определения
– Определите, какие атрибуты следует использовать
– Определите сегменты в контексте фильтров политик
Шаг 3. Создание политик информационных барьеров — Создайте политики (пока не применяются)
– Выберите один из двух вариантов (блокировать или разрешить)
Шаг 4. Применение политик информационных барьеров – Активируйте политики
– Запустите применение политик
– Просмотрите состояние политик
Шаг 5. Настройка информационных барьеров на SharePoint и OneDrive (необязательно) — Настройка IB для SharePoint и OneDrive
Шаг 6. Режимы информационных барьеров (необязательно) — Обновление режимов IB, если применимо

Шаг 1. Убедитесь, что выполнены предварительные требования

В дополнение к необходимым подпискам и разрешениям перед настройкой IB убедитесь, что выполнены следующие требования:

  • Данные каталога. Убедитесь, что структура организации отражена в данных каталога. Чтобы выполнить это действие, убедитесь, что атрибуты учетной записи пользователя (например, членство в группе, название отдела и т. д.) правильно заполняются в Azure Active Directory (или Exchange Online). Для получения дополнительных сведений ознакомьтесь с приведенными ниже ресурсами.

  • Поиск по каталогам с заданной областью. Перед определением первой политики IB организации необходимо включить поиск по каталогам с заданной областью в Microsoft Teams. Подождите по крайней мере 24 часа после включения поиска в каталоге с заданной областью, прежде чем настраивать или определять политики IB.

  • Убедитесь, что ведение журнала аудита включено. Чтобы проверить состояние приложения политики IB, необходимо включить ведение журнала аудита. По умолчанию аудит для организаций Microsoft 365 включен. Некоторые организации могут отключить аудит по определенным причинам. Если аудит для вашей организации отключен, возможно, его отключил другой администратор. При выполнении этого этапа рекомендуем удостовериться, что включать аудит безопасно. Дополнительные сведения см. в статье Включение и отключение поиска в журнале аудита.

  • Удалите существующие Exchange Online адресной книги. Прежде чем определять и применять политики IB, необходимо удалить все существующие политики адресной книги Exchange Online в организации. Политики IB основаны на политиках адресной книги, а существующие политики ABP несовместимы с политиками ABP, созданными IB. Сведения об удалении существующих политик адресной книги см. в разделе "Удаление политики адресной книги" Exchange Online. Дополнительные сведения о политиках IB и Exchange Online см. в разделе "Информационные барьеры и Exchange Online".

  • Управление с помощью PowerShell (необязательно): сегменты и политики IB можно определять и управлять в Office 365 Security & Compliance PowerShell. Хотя в этой статье приведено несколько примеров, вам потребуется ознакомиться с командлетами и параметрами PowerShell, если вы решили использовать PowerShell для настройки сегментов и политик IB и управления ими. Если вы выберете этот параметр конфигурации, вам также потребуется Azure Active Directory PowerShell.

  • Согласие администратора для IB в Microsoft Teams. Когда политики IB уже существуют, они могут удалять пользователей, не включаемых в IB, из групп (например, Teams каналов, основанных на группах). Эта конфигурация гарантирует, что ваша организация будет соответствовать политикам и нормативным требованиям. Используйте следующую процедуру, чтобы разрешить политикам IB работать должным образом в Microsoft Teams.

    1. Предварительные требования. Azure Active Directory PowerShell для Graph.

    2. Запустите такие командлеты PowerShell:

      Connect-AzureAD -Tenant "<yourtenantdomain.com>"  //for example: Connect-AzureAD -Tenant "Contoso.onmicrosoft.com"
      $appId="bcf62038-e005-436d-b970-2a472f8c1982" 
      $sp=Get-AzureADServicePrincipal -Filter "appid eq '$($appid)'"
      if ($sp -eq $null) { New-AzureADServicePrincipal -AppId $appId }
      Start-Process  "https://login.microsoftonline.com/common/adminconsent?client_id=$appId"
      
    3. При появлении соответствующего запроса войдите с помощью рабочей или учебной учетной записи для Office 365.

    4. В диалоговом окне "Запрашиваемые разрешения" просмотрите сведения и нажмите кнопку " Принять".

После выполнения всех необходимых условий перейдите к следующему шагу.

Шаг 2. Сегментирование пользователей в организации

На этом шаге вы определите, какие политики IB необходимы, создадите список сегментов для определения и определите сегменты. Определение сегментов не влияет на пользователей. Оно просто задает этап для определения и применения политик IB.

Определение необходимых политик

Учитывая потребности вашей организации, определите группы в организации, которым потребуются политики IB. Задайте себе перечисленные ниже вопросы.

  • Существуют ли внутренние, юридические или отраслевые нормы, которые требуют ограничения обмена данными и совместной работы между группами и пользователями в вашей организации?
  • Существуют ли группы или пользователи, которым следует запретить общение с другой группой пользователей?
  • Существуют ли группы или пользователи, которым следует разрешить взаимодействовать только с одной или двумя другими группами пользователей?

Подумайте о политиках, которые необходимы как принадлежащие одному из двух типов:

  • Политики блокировки предотвращают взаимодействие между группами.
  • Разрешить политики позволяют группе взаимодействовать только с определенными группами.

Когда у вас будет исходный список необходимых групп и политик, определите сегменты, необходимые для политик IB.

Определение сегментов

В дополнение к первоначальному списку политик создайте список сегментов для организации. Пользователи, которые будут включены в политики IB, должны принадлежать к сегменту. Тщательно спланируйте сегменты, так как пользователь может быть только в одном сегменте. К каждому сегменту может применяться только одна политика IB.

Важно!

Пользователь может быть только в одном сегменте.

Определите, какие атрибуты в данных каталога организации будут использоваться для определения сегментов. Можно использовать Department, MemberOf или любой из поддерживаемых атрибутов IB. Убедитесь, что в атрибуте, выбранном для пользователей, есть значения. Дополнительные сведения см. в разделе о поддерживаемых атрибутах для IB.

Важно!

Прежде чем перейти к следующему разделу, убедитесь, что данные каталога содержат значения атрибутов, которые можно использовать для определения сегментов. Если данные каталога не имеют значений для атрибутов, которые вы хотите использовать, учетные записи пользователей должны быть обновлены, чтобы включить эти сведения, прежде чем приступить к настройке IB. Дополнительные сведения см. в следующих ресурсах:
- Настройка свойств учетной записи пользователя с Office 365 PowerShell
- Добавление или обновление сведений о профиле пользователя с помощью Azure Active Directory

Определение сегментов с помощью портала соответствия требованиям

Чтобы определить сегменты на портале соответствия требованиям, выполните следующие действия.

  1. Войдите на портал соответствия требованиям , используя учетные данные для учетной записи администратора в организации.

  2. На портале соответствия требованиям выберите "Информационные барьеры > ".

  3. На странице "Сегменты " выберите " Создать сегмент ", чтобы создать и настроить новый сегмент.

  4. На странице "Имя " введите имя сегмента. После создания сегмента нельзя переименовать.

  5. Нажмите кнопку Далее.

  6. На странице фильтра группы пользователей выберите "Добавить ", чтобы настроить атрибуты группы и пользователя для сегмента. Выберите атрибут для сегмента из списка доступных атрибутов.

  7. Для выбранного атрибута выберите "Равно " или "Не равно ", а затем введите значение атрибута. Например, если в качестве атрибута выбрано " Отдел" и "Равно ", можно ввести " Маркетинг" в качестве определенного отдела для этого условия сегмента. Чтобы добавить дополнительные условия для атрибута, выберите " Добавить условие". Если необходимо удалить условие атрибута или атрибута, щелкните значок удаления для атрибута или условия.

  8. При необходимости добавьте дополнительные атрибуты на странице фильтра группы пользователей, а затем нажмите кнопку "Далее".

  9. На странице "Проверка параметров " просмотрите параметры, выбранные для сегмента, а также предложения или предупреждения для выбранных элементов. Выберите "Изменить ", чтобы изменить атрибуты и условия сегмента, или нажмите кнопку " Отправить", чтобы создать сегмент.

    Важно!

    Убедитесь, что сегменты не перекрываются. Каждый пользователь, на которого влияют политики IB, должен принадлежать к одному (и только одному) сегменту. Ни один пользователь не должен принадлежать к двум или более сегментам. См . пример определенных сегментов Contoso в этой статье для примера сценария.

Определение сегментов с помощью PowerShell

Чтобы определить сегменты с помощью PowerShell, выполните следующие действия.

  1. Используйте командлет New-OrganizationSegment с параметром UserGroupFilter , который соответствует атрибуту , который вы хотите использовать.

    Синтаксис Пример
    New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'" New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"

    В этом примере сегмент с именем HR определяется с помощью отдела кадров, значения в атрибуте Department . Часть -eq командлета ссылается на "equals". (Кроме того, можно использовать -ne, чтобы означать "не равно". См . раздел "Использование "equals" и "not equals" в определениях сегментов.)

    После выполнения каждого командлета вы увидите список сведений о новом сегменте. Сведения включают тип сегмента, кто его создал или в последний раз изменил, и т. д.

  2. Повторите эти действия для каждого сегмента, который нужно определить.

    Важно!

    Убедитесь, что сегменты не перекрываются. Каждый пользователь, на которого влияют политики IB, должен принадлежать к одному (и только одному) сегменту. Ни один пользователь не должен принадлежать к двум или более сегментам. См . пример определенных сегментов Contoso в этой статье для примера сценария.

Определив сегменты, перейдите к шагу 3. Создание политик IB.

Использование "equals" и "not equals" в определениях сегментов PowerShell

В следующем примере мы настраиваем сегменты IB с помощью PowerShell и определяем сегмент таким образом, что "Отдел равен отделу кадров".

Пример Примечание.
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" Обратите внимание, что в этом примере определение сегмента содержит параметр equals, который обозначается как -eq.

Сегменты также можно определить с помощью параметра "не равно", который обозначается как -ne, как показано в следующей таблице:

Синтаксис Пример
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" В этом примере мы определили сегмент NotSales , включающий всех, кто не работает в sales. Часть -ne командлета ссылается на "не равно".

Помимо определения сегментов с помощью "equals" или "not equals", можно определить сегмент с помощью параметров "equals" и "not equals". Вы также можете определить сложные фильтры групп с помощью логических операторов AND и OR .

Синтаксис Пример
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" В этом примере мы определили сегмент LocalFTE , который включает пользователей, которые находятся локально и не указаны как временные.
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq 'group1@contoso.com'' -and MemberOf -ne 'group3@contoso.com'" В этом примере мы определили сегмент Segment1 , который включает пользователей, которые являются членами group1@contoso.com, а не членами group3@contoso.com.
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq 'group2@contoso.com' -or MemberOf -ne 'group3@contoso.com'" В этом примере мы определили сегмент с именем Segment2 , который включает пользователей, которые являются членами group2@contoso.com, а не членами group3@contoso.com.
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq 'group1@contoso.com' -or MemberOf -eq 'group2@contoso.com') -and MemberOf -ne 'group3@contoso.com'" В этом примере мы определили сегмент Segment1and2 , который включает пользователей в group1@contoso.com и group2@contoso.com, а не членов group3@contoso.com.

Совет

По возможности используйте определения сегментов, которые включают "-eq" или "-ne". Старайтесь не определять сложные определения сегментов.

Шаг 3. Создание политик IB

При создании политик IB вы определите, нужно ли запретить обмен данными между определенными сегментами или ограничить обмен данными с определенными сегментами. В идеале вы будете использовать минимальное количество политик IB, чтобы обеспечить соответствие вашей организации внутренним, юридическим и отраслевым требованиям. Для создания и применения политик IB можно использовать портал соответствия требованиям или PowerShell.

Совет

Для обеспечения согласованности взаимодействия с пользователем рекомендуется по возможности использовать политики блокировки для большинства сценариев.

В списке сегментов пользователей и политиках IB, которые необходимо определить, выберите сценарий и выполните указанные ниже действия.

Важно!

Убедитесь, что при выборе политик сегменту не назначается несколько политик. Например, если вы определяете одну политику для сегмента с именем Sales, не определяйте дополнительную политику для сегмента Sales .
Кроме того, определяя политики IB, обязательно задайте для этих политик состояние "Неактивно", пока вы не будете готовы к их применению. Определение (или изменение) политик не влияет на пользователей, пока эти политики не будут настроены в активном состоянии, а затем применены.

Сценарий 1. Блокировка коммуникации между сегментами

Если вы хотите запретить сегментам взаимодействовать друг с другом, определите две политики: по одной для каждого направления. Каждая политика блокирует обмен данными только в одном направлении.

Предположим, вы хотите заблокировать обмен данными между сегментами A и B. В этом случае необходимо определить две политики:

  • Одна политика, не позволяющая сегменту A взаимодействовать с сегментом B
  • Вторая политика, предотвращающая взаимодействие сегмента B с сегментом A

Создание политик с помощью портала соответствия требованиям для сценария 1

Чтобы определить политики на портале соответствия требованиям, выполните следующие действия.

  1. Войдите на портал соответствия требованиям , используя учетные данные для учетной записи администратора в организации.

  2. На портале соответствия требованиям выберите "Информационные барьеры > ".

  3. На странице "Политики " выберите "Создать политику ", чтобы создать и настроить новую политику IB.

  4. На странице "Имя " введите имя политики и нажмите кнопку " Далее".

  5. На странице "Назначенный сегмент " выберите " Выбрать сегмент". Используйте поле поиска для поиска сегмента по имени или прокрутки, чтобы выбрать сегмент из отображаемого списка. Нажмите кнопку " Добавить", чтобы добавить выбранный сегмент в политику. Можно выбрать только один сегмент.

  6. Нажмите кнопку Далее.

  7. На странице "Связь и совместная работа" выберите тип политики в поле "Связь и совместная работа ". Параметры политики либо разрешены, либо заблокированы. В этом примере сценария для первой политики будет выбрано значение "Заблокировано".

    Важно!

    Состояние "Разрешено" и "Заблокировано" для сегментов нельзя изменить после создания политики. Чтобы изменить состояние после создания политики, необходимо удалить политику и создать новую.

  8. Выберите "Выбрать сегмент ", чтобы определить действия для целевого сегмента. На этом шаге можно назначить несколько сегментов. Например, если вы хотите запретить пользователям в сегменте Sales взаимодействовать с пользователями в сегменте с именем Research, вы бы определили сегмент Sales на шаге 5 и назначили бы research в параметре " Выбрать сегмент" на этом шаге.

  9. Нажмите кнопку Далее.

  10. На странице состояния политики переключите состояние активной политики в положение "Включено". Нажмите кнопку Далее, чтобы продолжить.

  11. На странице " Проверка параметров" просмотрите параметры, выбранные для политики, а также предложения или предупреждения для выбранных параметров. Выберите " Изменить", чтобы изменить любой из сегментов политики и состояния, или нажмите кнопку " Отправить", чтобы создать политику.

В этом примере вы повторите предыдущие шаги, чтобы создать вторую политику блокировки, чтобы запретить пользователям в сегменте с именем Research взаимодействовать с пользователями в сегменте Sales. Вы определили бы сегмент Research на шаге 5 и назначили бы продажи (или несколько сегментов) в параметре "Выбрать сегмент ".

Создание политик с помощью PowerShell для сценария 1

Чтобы определить политики с помощью PowerShell, выполните следующие действия.

  1. Чтобы определить первую политику блокировки, используйте командлет New-InformationBarrierPolicy с параметром SegmentsBlocked .

    Синтаксис Пример
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsBlocked "segment2name" New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

    В этом примере мы определили политику Sales-Research для сегмента Sales. Если эта политика активна и применена, пользователи sales не могут взаимодействовать с пользователями в сегменте с именем Research.

  2. Чтобы определить второй блокирующий сегмент, используйте командлет New-InformationBarrierPolicy с параметром SegmentsBlocked еще раз, на этот раз с обратными сегментами.

    Пример Примечание.
    New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive В этом примере мы определили политику с именем Research-Sales , чтобы запретить исследованиям взаимодействовать с отделом продаж.
  3. Перейдите к одному из следующих действий:

Сценарий 2. Разрешение сегменту взаимодействовать только с одним другим сегментом

Если вы хотите разрешить сегменту взаимодействовать только с одним другим сегментом, необходимо определить только одну политику для этого сегмента. Сегменту, с которым обмениваются данными, не требуется аналогичная политика направления (так как по умолчанию они могут взаимодействовать со всеми пользователями и совместно работать с ними).

Создание политики с помощью портала соответствия требованиям для сценария 2

Чтобы определить политики на портале соответствия требованиям, выполните следующие действия.

  1. Войдите на портал соответствия требованиям , используя учетные данные для учетной записи администратора в организации.

  2. На портале соответствия требованиям выберите "Информационные барьеры > ".

  3. На странице "Политики " выберите "Создать политику ", чтобы создать и настроить новую политику IB.

  4. На странице "Имя " введите имя политики и нажмите кнопку " Далее".

  5. На странице "Назначенный сегмент " выберите " Выбрать сегмент". Используйте поле поиска для поиска сегмента по имени или прокрутки, чтобы выбрать сегмент из отображаемого списка. Нажмите кнопку " Добавить", чтобы добавить выбранный сегмент в политику. Можно выбрать только один сегмент.

  6. Нажмите кнопку Далее.

  7. На странице "Связь и совместная работа" выберите тип политики в поле "Связь и совместная работа ". Параметры политики либо разрешены, либо заблокированы. В этом примере сценария для политики будет выбрано значение "Разрешено".

    Важно!

    Состояние "Разрешено" и "Заблокировано" для сегментов нельзя изменить после создания политики. Чтобы изменить состояние после создания политики, необходимо удалить политику и создать новую.

  8. Выберите "Выбрать сегмент ", чтобы определить действия для целевого сегмента. На этом шаге можно назначить несколько сегментов. Например, если вы хотите разрешить пользователям в сегменте Manufacturing взаимодействовать с пользователями в сегменте с именем HR, вы бы определили производственный сегмент на шаге 5 и назначили бы отдел кадров в параметре "Выбрать сегмент" на этом шаге.

  9. Нажмите кнопку Далее.

  10. На странице состояния политики переключите состояние активной политики в положение "Включено". Нажмите кнопку Далее, чтобы продолжить.

  11. На странице " Проверка параметров" просмотрите параметры, выбранные для политики, а также предложения или предупреждения для выбранных параметров. Выберите " Изменить", чтобы изменить любой из сегментов политики и состояния, или нажмите кнопку " Отправить", чтобы создать политику.

Создание политики с помощью PowerShell для сценария 2

Чтобы определить политики с помощью PowerShell, выполните следующие действия.

  1. Чтобы разрешить одному сегменту взаимодействовать только с одним другим сегментом, используйте командлет New-InformationBarrierPolicy с параметром SegmentsAllowed .

    Синтаксис Пример
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsAllowed "segment2name","segment1name" New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State Inactive

    В этом примере мы определили политику Manufacturing-HR для сегмента с именем Manufacturing. Если эта политика активна и применена, она позволяет пользователям производственной службы взаимодействовать только с пользователями в сегменте с именем HR. В этом случае компания Manufacturing не может взаимодействовать с пользователями, которые не являются частью отдела кадров.

    При необходимости с помощью этого командлета можно указать несколько сегментов, как показано в следующем примере.

    Синтаксис Пример
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsAllowed "segment2name", "segment3name","segment1name" New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State Inactive

    В этом примере мы определили политику, которая позволяет сегменту Research взаимодействовать только с отделом кадров и производством.

    Повторите этот шаг для каждой политики, которую необходимо определить, чтобы разрешить определенным сегментам взаимодействовать только с определенными сегментами.

  2. Перейдите к одному из следующих действий:

Шаг 4. Применение политик IB

Политики IB не действуют, пока вы не настроите их в активном состоянии и не примените политики.

Применение политик с помощью портала соответствия требованиям

Чтобы применить политики на портале соответствия требованиям, выполните следующие действия.

  1. Войдите на портал соответствия требованиям , используя учетные данные для учетной записи администратора в организации.

  2. На портале соответствия требованиям выберите приложение Information barriersPolicy > .

  3. На странице приложения "Политики " выберите "Применить все политики " для применения всех политик IB в организации.

    Примечание

    В течение 30 минут система начнет применять политики. Система применяет политики последовательно к каждому пользователю. Система обрабатывает около 5000 учетных записей пользователей в час.

Применение политик с помощью PowerShell

Чтобы применить политики с помощью PowerShell, выполните следующие действия.

  1. Используйте командлет Get-InformationBarrierPolicy , чтобы просмотреть список определенных политик. Запишите состояние и идентификатор (GUID) каждой политики.

    Синтаксис: Get-InformationBarrierPolicy

  2. Чтобы задать для политики активное состояние, используйте командлет Set-InformationBarrierPolicy с параметром Identity и параметр State , для параметра "Активно ".

    Синтаксис Пример
    Set-InformationBarrierPolicy -Identity GUID -State Active Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Active

    В этом примере мы задаем политику IB с идентификатором GUID 43c37853-ea10-4b90-a23d-ab8c93772471 в активное состояние.

    Повторите этот шаг в соответствии с каждой политикой.

  3. Завершив настройку активного состояния для политик IB, используйте командлет Start-InformationBarrierPoliciesApplication в PowerShell для обеспечения & безопасности.

    Синтаксис: Start-InformationBarrierPoliciesApplication

    После запуска Start-InformationBarrierPoliciesApplication подождите 30 минут, чтобы система начала применять политики. Система применяет политики последовательно к каждому пользователю. Система обрабатывает около 5000 учетных записей пользователей в час.

Просмотр состояния учетных записей пользователей, сегментов, политик или приложений политики

С помощью PowerShell можно просматривать состояние учетных записей пользователей, сегментов, политик и приложений политики, как показано в следующей таблице.

Просмотр этой информации Выполните это действие
Учетные записи пользователей Используйте командлет Get-InformationBarrierRecipientStatus с параметрами Identity.

Синтаксис: Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

Можно использовать любое значение, однозначно определяющее каждого пользователя, например имя, псевдоним, различающееся имя, каноническое доменное имя, адрес электронной почты или GUID.

Пример: Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

В этом примере мы ссылаемся на две учетные записи пользователей в Office 365: meganb для Megan и alexw для Алекса.

(Этот командлет также можно использовать для одного пользователя: Get-InformationBarrierRecipientStatus -Identity <value>)

Этот командлет возвращает сведения о пользователях, такие как значения атрибутов и примененные политики IB.

Сегментов Используйте командлет Get-OrganizationSegment .

Синтаксис: Get-OrganizationSegment

Этот командлет отобразит список всех сегментов, определенных для вашей организации.

Политики IB Используйте командлет Get-InformationBarrierPolicy .

Синтаксис: Get-InformationBarrierPolicy

Этот командлет отобразит список определенных политик IB и их состояние.

Последнее приложение политики IB Используйте командлет Get-InformationBarrierPoliciesApplicationStatus .

Синтаксис: Get-InformationBarrierPoliciesApplicationStatus

Этот командлет отобразит сведения о том, завершено ли приложение политики, завершилось ли его сбоем или выполняется.

Все приложения политики IB Используйте Get-InformationBarrierPoliciesApplicationStatus -All

Этот командлет отобразит сведения о том, завершено ли приложение политики, завершилось ли его сбоем или выполняется.

Что делать, если мне нужно удалить или изменить политики?

Ресурсы доступны для управления политиками IB.

Шаг 5. Настройка информационных барьеров на SharePoint и OneDrive

Если вы настраиваете IB для SharePoint и OneDrive, необходимо включить IB в этих службах. Кроме того, при настройке IB для этих служб необходимо включить IB для Microsoft Teams. Когда команда создается в Microsoft Teams, SharePoint автоматически создается и связан с Microsoft Teams для работы с файлами. Политики IB не учитываются на этом новом сайте SharePoint и файлах по умолчанию.

Чтобы включить IB в SharePoint и OneDrive, следуйте указаниям и шагам в разделе "Использование информационных барьеров" SharePoint статье.

Шаг 6. Режимы информационных барьеров

Режимы могут помочь улучшить доступ, общий доступ и членство Microsoft 365 ресурса в зависимости от режима IB ресурса. Режимы поддерживаются Группы Microsoft 365, Microsoft Teams, OneDrive и SharePoint и автоматически включены в новой или существующей конфигурации IB.

Следующие режимы IB поддерживаются для Microsoft 365 ресурсов:

Режим Описание Пример
Открыть С ресурсом Microsoft 365 не связаны политики или сегменты Microsoft 365 IB. Любой пользователь может быть приглашен в качестве участника ресурса. Сайт группы, созданный для мероприятия для вашей организации.
Владелец модерации (предварительная версия) Политика IB ресурса Microsoft 365 определяется на основе политики IB владельца ресурса. Владельцы ресурсов могут приглашать любого пользователя в ресурс на основе политик IB. Этот режим полезен, когда ваша компания хочет разрешить совместную работу между несовместимыми пользователями сегментов, которые модерация выполняется владельцем. Только владелец ресурса может добавлять новых участников в соответствии с их политикой IB. The VP of HR wants to collaborate with the VPs of Sales and Research. Новый сайт SharePoint, для которого настроен режим IB Owner Moderated для добавления пользователей сегментов Sales и Research на один и тот же сайт. Владелец должен обеспечить добавление соответствующих членов в ресурс.
Неявный поток Политика IB или сегменты ресурса Microsoft 365 наследуются от политики IB членов ресурса. Владелец может добавлять участников, если они совместимы с существующими членами ресурса. Этот режим является режимом IB по умолчанию для Microsoft Teams. Пользователь сегмента Продаж создает Microsoft Teams для совместной работы с другими совместимыми сегментами в организации.
Explicit Политика IB ресурса Microsoft 365 определяется сегментами, связанными с ресурсом. Владелец ресурса или SharePoint может управлять сегментами ресурса. Сайт, созданный только для участников сегмента Продаж для совместной работы путем связывания сегмента Sales с сайтом.

Дополнительные сведения о режимах IB и их настройке в разных службах см. в следующих статьях:

Пример сценария: отделы, сегменты и политики компании Contoso

Чтобы узнать, как организация может подходить к определению сегментов и политик, рассмотрим следующий пример сценария.

Отделы и план компании Contoso

Компания Contoso имеет пять отделов: отдел кадров, продажи, маркетинг, исследования и производство. Чтобы обеспечить соответствие отраслевым нормативным требованиям, пользователи в некоторых отделах не должны взаимодействовать с другими отделами, как показано в следующей таблице:

Сегмент Может взаимодействовать с Не удается связаться с
HR Все пользователи (без ограничений)
Отдел продаж Отдел кадров, маркетинг, производство Справочные материалы
Маркетинг Все пользователи (без ограничений)
Отдел исследований Отдел кадров, маркетинг, производство Отдел продаж
Отдел производства Отдел кадров, маркетинг Любой пользователь, отличный от отдела кадров или маркетинга

Для этой структуры план Contoso включает три политики IB:

  1. Политика IB, предназначенная для предотвращения обмена данными sales с research
  2. Другая политика IB, которая запрещает research взаимодействовать с Отделом продаж.
  3. Политика IB, предназначенная для того, чтобы разрешить производственному отделу взаимодействовать только с отделом кадров и маркетингом.

В этом сценарии не нужно определять политики IB для отдела кадров или маркетинга.

Определенные сегменты Contoso

Contoso будет использовать атрибут Department в Azure Active Directory для определения сегментов следующим образом:

Отдел Определение сегмента
Отдел кадров New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"
Отдел продаж New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'"
Отдел маркетинга New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'"
Отдел исследований New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'"
Отдел производства New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'"

После определения сегментов contoso продолжит определять политики IB.

Политики IB компании Contoso

Contoso определяет три политики IB, как описано в следующей таблице:

Политика Определение политики
Политика 1. Запретить отделу продаж взаимодействовать с отделом исследований New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

В этом примере политика IB называется Sales-Research. Если эта политика активна и применена, она запрещает пользователям из сегмента "Отдел продаж" взаимодействовать с пользователями из сегмента "Отдел исследований". Эта политика является односторонней. Это не помешает Research взаимодействовать с Отделом продаж. Для этого требуется политика 2.

Политика 2. Запретить отделу исследований взаимодействовать с отделом продаж New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive

В этом примере политика IB называется Research-Sales. Если эта политика активна и применена, она запрещает пользователям из сегмента "Отдел исследований" взаимодействовать с пользователями из сегмента "Отдел продаж".

Политика 3. Разрешить производством взаимодействовать только с отделом кадров и маркетингом New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive

В этом случае политика IB называется Manufacturing-HRMarketing. Если эта политика активна и применена, отдел производства может взаимодействовать только с отделом кадров и отделом маркетинга. Отдел кадров и маркетинг не ограничиваются взаимодействием с другими сегментами.

После определения сегментов и политик contoso применяет политики, выполнив командлет Start-InformationBarrierPoliciesApplication .

Когда командлет завершит работу, Contoso будет соответствовать отраслевым требованиям.

Ресурсы