Hantera principer för informationsbarriärer
När du har definierat principer för informationsbarriärerkan du behöva ändra dessa principer eller i dina användarsegment, som en del av felsökning eller som vanligt underhåll.
Vad vill du göra?
| Åtgärd | Beskrivning |
|---|---|
| Redigera användarkontoattribut | Fyll i attribut i Azure Active Directory som kan användas för att definiera segment. Redigera användarkontoattribut när användare inte ingår i segment bör de vara, ändra vilka segment användarna finns i eller definiera segment med olika attribut. |
| Redigera ett segment | Redigera segment när du vill ändra hur ett segment definieras. Du kanske till exempel har ursprungligen definierat segment med Hjälp av Avdelning och nu vill använda ett annat attribut, till exempel MemberOf. |
| Redigera en princip | Redigera en princip för informationsbarriärer när du vill ändra hur en princip fungerar. I stället för att blockera kommunikationen mellan två segment kanske du vill tillåta att kommunikationen bara sker mellan vissa segment. |
| Ange inaktiv status för en princip | Ange en princip som inaktiv status när du vill göra ändringar i en princip eller när du inte vill att en princip ska gälla. |
| Ta bort en princip | Ta bort en princip om informationsbarriärer när du inte längre behöver en viss princip. |
| Stoppa ett principprogram | Vidta den här åtgärden när du vill stoppa processen att tillämpa informationsbarriärprinciper. Det är inte direkt att stoppa ett principprogram och det ångrar inte principer som redan har tillämpats för användare. |
| Definiera principer för informationsbarriärer | Definiera en princip för informationsbarriärer när du inte redan har sådana principer, och du måste begränsa kommunikationen mellan specifika grupper av användare. |
| Felsökning av informationsbarriärer | Läs den här artikeln om du har oväntade problem med informationsbarriärer. |
Viktigt
För att utföra de uppgifter som beskrivs i den här artikeln måste du ha tilldelats en lämplig roll, till exempel något av följande:
- Microsoft 365 Enterprise global administratör
- Global administratör
- Efterlevnadsadministratör
– IB efterlevnadshantering (det här är en ny roll!)
Mer information om krav för informationsbarriärer finns i Förutsättningar (för informationsbarriärprinciper).
Se till att ansluta till Security & Compliance Center PowerShell.
Redigera användarkontoattribut
Använd den här proceduren om du vill redigera attribut som används för segmenterade användare. Om du till exempel använder ett Avdelning-attribut, och ett eller flera användarkonton för närvarande inte har några värden för Avdelning, måste du redigera dessa användarkonton så att de innehåller avdelningsinformation. Användarkontoattribut används för att definiera segment så att det går att tilldela informationsbarriärprinciper.
Om du vill visa information om ett visst användarkonto, till exempel attributvärden och tilldelade segment, använder du cmdlet:en Get-InformationBarrierRecipientStatus med identitetsparametrar.
Syntax Exempel Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>Du kan använda valigt värde som unikt identifierar varje användare, t.ex. namn, alias, unikt namn, kanoniskt domännamn, e-postadress eller GUID.
(Du kan också använda den här cmdleten för en enskild användare:
Get-InformationBarrierRecipientStatus -Identity <value>)Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexwI det här exemplet hänvisar vi till två användarkonton i Office 365: abbyb för Alex, och alexw för Alex.
Bestäm vilket attribut du vill redigera för dina användarkontoprofiler. Mer information finns i Attribut för informationsbarriärpolicyer.
Redigera ett eller flera användarkonton och ta med värden för attributet du valde i föregående steg. Använd någon av följande metoder för att vidta den här åtgärden:
Information om hur du redigerar ett enda konto finns i Lägga till eller uppdatera en användares profilinformation med hjälp Azure Active Directory.
Om du vill redigera flera konton (eller använda PowerShell för att redigera ett enda konto) kan du gå till Konfigurera användarkontoegenskaper med Office 365 PowerShell.
Redigera ett segment
Använd den här proceduren om du vill redigera definitionen för ett användarsegment. Du kan till exempel ändra namnet på ett segment eller filtret som används för att avgöra vem som ingår i segment.
Om du vill visa alla befintliga segment använder du cmdleten Get-OrganizationSegment.
Syntax:
Get-OrganizationSegmentDu ser en lista över segment och information för var och en, till exempel segmenttyp, dess UserGroupFilter-värde, vem som skapade eller senast ändrade det, GUID och så vidare.
Tips
Skriv ut eller spara listan med segment som referens vid ett senare tillfälle. Om du till exempel vill redigera ett segment måste du känna till namnet eller identifiera värdet (det här används med parametern Identity).
Om du vill redigera ett segment använder du cmdleten Set-OrganizationSegment med parametern Identity och relevant information.
Syntax Exempel Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'"Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"I det här exemplet för det segment som har GUID c96e0837-c232-4a8a-841e-ef45787d8fcd uppdaterade vi avdelningsnamnet till "HRDept".
När du har redigerat segmenten för din organisation kan du antingen definiera eller redigera informationsbarriärprinciper.
Redigera en princip
Om du vill visa en lista över aktuella principer för informationsbarriärer använder du cmdleten Get-InformationBarrierPolicy.
Syntax:
Get-InformationBarrierPolicyIdentifiera den princip du vill ändra i resultatlistan. Observera principens GUID och namn.
Använd cmdleten Set-InformationBarrierPolicy med en Identity-parameter och ange de ändringar du vill göra.
Exempel: Anta att en princip har definierats för att blockera informationssegmenten från att kommunicera med försäljnings- och marknadsföringssegmenten. Principen har definierats med hjälp av den här cmdleten:
New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"Anta att vi vill ändra den så att personer i researchsegmentet endast kan kommunicera med personer i personalsegmentet. För att göra den här ändringen använder vi den här cmdleten:
Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"I det här exemplet ändrade vi "Segment blockerade" till "SegmentsAllowed" och angav HR-segment.
När du är klar med redigeringen av en princip måste du se till att använda ändringarna. (Se Använda principer för informationsbarriärer.)
Ange inaktiv status för en princip
Om du vill visa en lista över aktuella principer för informationsbarriärer använder du cmdleten Get-InformationBarrierPolicy.
Syntax:
Get-InformationBarrierPolicyIdentifiera den princip som du vill ändra (eller ta bort) i resultatlistan. Observera principens GUID och namn.
Om du vill ange principens status som inaktiv använder du cmdleten Set-InformationBarrierPolicy med en Identity-parameter och stateparametern inaktiv.
Syntax Exempel Set-InformationBarrierPolicy -Identity GUID -State InactiveSet-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State InactiveI det här exemplet anger vi en princip för informationsbarriärer som har GUID 43c37853-ea10-4b90-a23d-ab8c9377247 till en inaktiv status.
Använd cmdleten Start-InformationBarrierPoliciesApplication om du vill tillämpa dina ändringar.
Syntax:
Start-InformationBarrierPoliciesApplicationÄndringar tillämpas användare för användare i organisationen. Om organisationen är stor kan det ta 24 timmar (eller mer) innan processen slutförs. (Som allmän riktlinje tar det ungefär en timme att bearbeta 5 000 användarkonton.)
I det här läget är en eller flera principer för informationsbarriärer inställda på inaktiv status. Härifrån kan du göra något av följande:
- Behåll den som den är (en princip som anges till inaktiv status påverkar inte användare)
- Redigera en princip
- Ta bort en princip
Ta bort en princip
Om du vill visa en lista över aktuella principer för informationsbarriärer använder du cmdleten Get-InformationBarrierPolicy.
Syntax:
Get-InformationBarrierPolicyIdentifiera den princip du vill ta bort i resultatlistan. Observera principens GUID och namn. Kontrollera att principen är inställd på inaktiv status.
Använd cmdleten Remove-InformationBarrierPolicy med en identity-parameter.
Syntax Exempel Remove-InformationBarrierPolicy -Identity GUIDRemove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471I det här exemplet tar vi bort principen som har GUID 43c37853-ea10-4b90-a23d-ab8c93772471.
Bekräfta ändringen när du uppmanas att göra det.
Upprepa steg 1–2 för varje princip du vill ta bort.
När du är klar med att ta bort principer tillämpar du ändringarna. Använd cmdleten Start-InformationBarrierPoliciesApplication för att vidta den här åtgärden.
Syntax:
Start-InformationBarrierPoliciesApplicationÄndringar tillämpas användare för användare i organisationen. Om organisationen är stor kan det ta 24 timmar (eller mer) innan processen slutförs.
Stoppa ett principprogram
Använd följande procedur när du har börjat tillämpa principer för informationsbarriärer, om du vill hindra att dessa principer tillämpas. Det tar ungefär 30–35 minuter innan processen kan starta.
Om du vill visa statusen för det senaste policyprogrammet för informationsbarriärer använder du cmdleten Get-InformationBarrierPoliciesApplicationStatus.
Syntax:
Get-InformationBarrierPoliciesApplicationStatusObservera programmets GUID.
Använd cmdleten Stop-InformationBarrierPoliciesApplication med en Identity-parameter.
Syntax Exempel Stop-InformationBarrierPoliciesApplication -Identity GUIDStop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1I det här exemplet hindrar vi informationsbarriärer från att tillämpas.
Resources
- Få en översikt över informationsbarriärer
- Definiera principer för informationsbarriärer
- Läs mer om informationsbarriärer i Microsoft Teams
- Läs mer om informationsbarriärer i SharePoint Online
- Läs mer om informationsbarriärer i OneDrive
- Attribut för informationsbarriärsprinciper
- Felsökning av informationsbarriärer