Kom igång med informationsbarriärer

Om det finns informationsbarriärer kan du definiera principer som förhindrar att vissa användarsegment kommunicerar med varandra eller tillåter att vissa segment bara kommunicerar med vissa andra segment. Informationsbarriärpolicyer kan hjälpa din organisation att följa relevanta branschstandarder och bestämmelser och undvika potentiella in skapa intressekonflikter. Mer information finns i Läs mer om informationsbarriärer.

I den här artikeln beskrivs hur du konfigurerar principer för informationsbarriärer. Flera steg ingår, så se till att du granskar hela processen innan du börjar konfigurera principer för informationsbarriärer.

Tips

Den här artikeln innehåller ett exempelscenario som hjälper dig att planera och definiera principer för informationsbarriärer.

Koncept

När du definierar principer för informationsbarriärer arbetar du med användarkontoattribut, segment, blockerings- och/eller "tillåt"-principer och principprogram.

  • Användarkontoattribut definieras i Azure Active Directory (eller Exchange Online). Attributen kan omfatta avdelning, befattning, plats, gruppnamn och annan jobbprofilinformation.
  • Segment är uppsättningar av användare som definieras i Microsoft 365 Efterlevnadscenter med ett valt användarkontoattribut. (Se listan över attribut som stöds.)
  • Informationsbarriärpolicyer bestämmer kommunikationsbegränsningar eller begränsningar. När du definierar principer för informationsbarriärer väljer du mellan två typer av principer:
    • Blockera principer förhindrar att ett segment kommunicerar med ett annat segment.
    • Tillåt att bara ett segment kommunicerar med vissa andra segment.
  • Policyprogrammet utförs när alla principer för informationsbarriärer har definierats och du är redo att tillämpa dem i din organisation.

Konfiguration i korthet

Steg Vad som är inblandat
Steg 1: Kontrollera att kraven uppfylls - Kontrollera att du har de licenser och behörigheter som krävs
- Kontrollera att katalogen innehåller data för segmenterade användare
- Aktivera begränsad katalogsökning för Microsoft Teams
– kontrollera att granskningsloggning är aktiverat
- Kontrollera att Exchange adressboksprinciper inte finns på plats
- Använda PowerShell (exempel ges)
– Ge administratörsmedgivande Microsoft Teams (stegen ingår)
Steg 2: Segmentanvändare i organisationen – Fastställa vilka principer som krävs
- Skapa en lista med segment som du vill definiera
- Identifiera vilka attribut du ska använda
- Definiera segment som principfilter
Steg 3: Definiera principer för informationsbarriärer - Definiera dina principer (gäller inte ännu)
- Välj mellan två typer (block eller tillåt)
Steg 4: Tillämpa principer för informationsbarriärer - Ställ in principer på aktiv status
- Kör principprogrammet
- Visa principstatus
Steg 5: Konfiguration för informationsbarriärer på SharePoint och OneDrive (valfritt) - Konfigurera informationsbarriärer för SharePoint och OneDrive
Steg 6: Lägen för informationsbarriärer (valfritt) – Uppdatera lägen för informationsbarriärer om tillämpligt

Steg 1: Kontrollera att kraven uppfylls

Se till att följande krav uppfylls innandu konfigurerar informationsbarriärer utöver de licenser och behörigheter som krävs:

  • Katalogdata: Kontrollera att organisationens struktur återspeglas i katalogdata. För att kunna vidta den här åtgärden ska du se till att användarkontoattribut, till exempel gruppmedlemskap, avdelningsnamn osv. fylls i korrekt i Azure Active Directory (eller Exchange Online). Mer information finns i följande resurser:

  • Begränsad katalogsökning: Innan du definierar din organisations första informationsbarriärprincip måste du aktivera begränsad katalogsökning i Microsoft Teams. Vänta i minst 24 timmar efter att du har aktiverar begränsad katalogsökning innan du anger eller definierar principer för informationsbarriärer.

  • Exchange Online : Principer för informationsbarriärer fungerar endast om målanvändarna har tilldelats en Exchange Online licens.

  • Kontrollera att granskningsloggning är aktiverad: Du måste aktivera granskningsloggning för att du ska kunna slå upp status för ett principprogram. Granskning är aktiverat som Microsoft 365 organisationer som standard. Vissa organisationer kan ha inaktiverat granskning av vissa orsaker. Om granskning är inaktiverat för organisationen kan det beror på att en annan administratör har inaktiverat den. Vi rekommenderar att du bekräftar att det är OK att aktivera granskning igen när du slutför det här steget. Du kan läsa mer i Aktivera och inaktivera granskningsloggsökning.

  • Inga adressboksprinciper: Innan du definierar och tillämpar principer för informationsbarriärer kontrollerar du att Exchange principer för adressboken finns. Informationsbarriärer baseras på adressboksprinciper, men de två typerna av principer är inte kompatibla. Om du har sådana principer ska du se till att ta bort dina adressboksprinciper först. När principer för informationsbarriärer har aktiverats och du **** har aktiverat hierarkisk adressbok kan alla användare som inte ingår i informationsbarriärsegmentet se den hierarkiska adressboken i Exchange online.

  • Hantera med Hjälp av PowerShell: För närvarande definieras och hanteras informationsbarriärprinciper i Security & Compliance Center PowerShell. Även om flera exempel finns i den här artikeln måste du vara bekant med PowerShell-cmdlets och parametrar. Du behöver också Azure Active Directory PowerShell-modulen.

  • Administratörens medgivande för informationsbarriärer i Microsoft Teams: När dina IB-principer finns kan de ta bort användare som inte är IB-efterlevnad från grupper (dvs. Teams-kanaler, som baseras på grupper). Den här konfigurationen ser till att organisationen fortfarande följer principer och bestämmelser. Använd följande procedur för att göra det möjligt för principer för informationsbarriärer att fungera som förväntat Microsoft Teams.

    1. Krav: Installera Azure Active Directory PowerShell för Graph.

    2. Kör följande PowerShell-cmdlets:

      Connect-AzureAD -Tenant "<yourtenantdomain.com>"  //for example: Connect-AzureAD -Tenant "Contoso.onmicrosoft.com"
      $appId="bcf62038-e005-436d-b970-2a472f8c1982" 
      $sp=Get-AzureADServicePrincipal -Filter "appid eq '$($appid)'"
      if ($sp -eq $null) { New-AzureADServicePrincipal -AppId $appId }
      Start-Process  "https://login.microsoftonline.com/common/adminconsent?client_id=$appId"
      
    3. När du uppmanas till det loggar du in med ditt arbets- eller skolkonto för Office 365.

    4. Granska informationen i dialogrutan Behörigheter som krävs och välj sedan Acceptera. De behörigheter som begärs av Appen ges nedan.

      .

När alla krav uppfylls går du vidare till nästa steg.

Tips

I den här artikeln finns ett exempelscenario som kan vara till hjälp när du förbereder planen. Se Contosos avdelningar, segment och principer.

Steg 2: Segmentanvändare i organisationen

I det här steget kan du fastställa vilka informationsbarriärprinciper som behövs, skapa en lista med segment som du vill definiera och sedan definiera dina segment.

Bestäm vilka principer som krävs

Vilka är de grupper i din organisation som behöver informationsbarriärer och regler gällande juridiska bestämmelser? Skapa en lista. Finns det några grupper som ska hindras från att kommunicera med en annan grupp? Finns det några grupper som endast ska kunna kommunicera med en eller två andra grupper? Tänk på de principer du behöver som tillhör en av två grupper:

  • Blockeringsprinciper hindrar en grupp från att kommunicera med en annan grupp.
  • Med "Tillåt" principer kan en grupp kommunicera med endast vissa andra, specifika grupper.

När du har en första lista över grupper och principer kan du fortsätta och identifiera de segment som du behöver.

Identifiera segment

Gör en lista med segment för din organisation, utöver den första listan med principer. Användare som omfattas av informationsbarriärer bör tillhöra ett segment. Planera dina segment noggrant så att en användare bara kan vara i ett segment. Varje segment kan bara ha en policy för informationsbarriärer.

Viktigt

En användare kan bara vara i ett segment.

Bestäm vilka attribut i organisationens katalogdata som du ska använda för att definiera segment. Du kan använda Department, MemberOf eller någon av attributen som stöds. Kontrollera att du har värden i attributet som du väljer för användare. Se listan över attribut som stöds för informationsbarriärer.

Viktigt

Innan du går vidare till nästa avsnitt kontrollerar du att katalogdata har värden för attribut som du kan använda för att definiera segment . Om dina katalogdata inte har värden för de attribut du vill använda måste användarkontona uppdateras så att informationen inkluderas innan du kan fortsätta med informationsbarriärer. Om du behöver hjälp med detta kan du gå till följande resurser:
- Konfigurera användarkontoegenskaper med Office 365 PowerShell
- Lägga till eller uppdatera en användares profilinformation med hjälp av Azure Active Directory

Definiera segment med PowerShell

Användare påverkas inte av att definiera segment. Den anger bara steget för att principer för informationsbarriärer ska definieras och sedan tillämpas.

  1. Använd cmdleten New-OrganizationSegment med parametern UserGroupFilter som motsvarar det attribut du vill använda.

    Syntax Exempel
    New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'" New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"

    I det här exemplet definieras ett segment som kallas PERSONAL med hr, ett värde i attributet Avdelning. Ekv-delen av cmdleten refererar till "lika med". (Alternativt kan du använda -ne för att betyda "inte lika med". Se Använda "lika med" och "inte lika med" i segmentdefinitioner.)

    När du har kört varje cmdlet visas en lista med information om det nya segment. Information om segmenttypen, vem som skapade eller senast ändrade det och så vidare.

  2. Upprepa proceduren för varje segment som du vill definiera.

    Viktigt

    Kontrollera att segmenten inte överlappar. Varje användare som kommer att påverkas av informationsbarriärer bör tillhöra ett (och endast ett) segment. Ingen användare ska tillhöra två eller fler segment. (Se exempel: Contosos definierade segment i den här artikeln.)

När du har definierat dina segment kan du fortsätta att definiera principer för informationsbarriärer.

Använda "lika med" och "inte lika med" i segmentdefinitioner

I följande exempel definierar vi ett segment så att "Avdelning är lika med PERSONAL".

Exempel Obs!
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" Observera att i det här exemplet innehåller segmentdefinitionen en parameter som kallas -eq.

Du kan också definiera segment med parametern "not equals" (kallas -ne) som visas i följande tabell:

Syntax Exempel
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" I det här exemplet har vi definierat ett segment som kallas NotSales som inkluderar alla som inte finns i Försäljning. -ne-delen av cmdleten refererar till "inte lika med".

Förutom att definiera segment som använder "lika med" eller "inte lika med" kan du definiera ett segment med hjälp av båda parametrarna "lika med" och "inte lika med". Du kan också definiera komplexa gruppfilter med hjälp av logiska OCH- och ELLER-operatorer.

Syntax Exempel
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" I det här exemplet har vi definierat ett segment som kallas LocalFTE som omfattar personer som finns lokalt och vars positioner inte anges som tillfälliga.
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq 'group1@contoso.com'' -and MemberOf -ne 'group3@contoso.com'" I det här exemplet har vi definierat ett segment som kallas Segment1 och som inkluderar personer som är medlemmar i group1@contoso.com inte medlemmar i group3@contoso.com.
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq 'group2@contoso.com' -or MemberOf -ne 'group3@contoso.com'" I det här exemplet har vi definierat ett segment som kallas Segment2 och som inkluderar personer som är medlemmar i group2@contoso.com inte medlemmar i group3@contoso.com.
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq 'group1@contoso.com' -or MemberOf -eq 'group2@contoso.com') -and MemberOf -ne 'group3@contoso.com'" I det här exemplet har vi definierat ett segment som kallas Segment1and2 som inkluderar personer som group1@contoso.com och group2@contoso.com och inte medlemmar i group3@contoso.com.

Tips

Använd om möjligt segmentdefinitioner som innehåller "-eq" eller "-ne". Försök att inte definiera komplexa segmentdefinitioner.

Steg 3: Definiera principer för informationsbarriärer

Avgöra om du behöver förhindra kommunikation mellan vissa segment eller begränsa kommunikationen till vissa segment. Under idealiska som helst ska du använda lägsta antal principer för att säkerställa att organisationen följer juridiska och branschkrav.

Med din lista över användarsegment och de informationsbarriärprinciper som du vill definiera, välj ett scenario och följ sedan stegen.

Viktigt

Se till att du inte tilldelar mer än en princip till ett segment när du definierar principer. Om du till exempel definierar en princip för ett segment som kallas Försäljning ska du inte definiera någon ytterligare princip för försäljning.

När du definierar principer för informationsbarriärer ska du dessutom se till att ställa in dessa principer på inaktiv status tills du är redo att tillämpa dem. Definiera (eller redigera) principer påverkar inte användare förrän dessa principer anges till aktiv status och sedan tillämpas.

(Se exempel: Contosos informationsbarriärpolicy i den här artikeln.)

Scenario 1: Blockera kommunikation mellan segment

När du vill blockera segment från att kommunicera med varandra definierar du två principer, en för varje riktning. Varje princip blockerar kommunikation endast på ett sätt.

Anta till exempel att du vill blockera kommunikationen mellan segment A och segment B. I det här fallet definierar du en princip som förhindrar segment A från att kommunicera med segment B och sedan definierar du en andra princip för att förhindra att segment B kommunicerar med segment A.

  1. Definiera den första blockeringsprincipen med hjälp av cmdleten New-InformationBarrierPolicy med parametern SegmentsBlocked.

    Syntax Exempel
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsBlocked "segment2name" New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

    I det här exemplet har vi definierat en princip som kallas Försäljningsundersökning för ett segment som kallas Försäljning. När den här principen är aktiv och används förhindrar den här principen personer i försäljning att kommunicera med personer i ett segment som kallas Forskning.

  2. Om du vill definiera ett andra blockeringssegment använder du cmdleten New-InformationBarrierPolicy med parametern SegmentsBlocked igen, nu med omvänt segment.

    Exempel Obs!
    New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive I det här exemplet har vi definierat en policy som kallas Forskning-Försäljning för att förhindra att forskning kommunicerar med försäljning.
  3. Gå vidare till någon av följande åtgärder:

Scenario 2: Tillåta att ett segment bara kommunicerar med ett annat segment

  1. Om du vill tillåta att ett segment kommunicerar med bara ett annat segment använder du cmdleten New-InformationBarrierPolicy med parametern SegmentsAllowed.

    Syntax Exempel
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsAllowed "segment2name","segment1name" New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State Inactive

    I det här exemplet har vi definierat en policy som kallas Tillverkning-HR för ett segment som kallas Tillverkning. När den här principen är aktiv och används kan personer i Tillverkning bara kommunicera med personer i ett segment som kallas HR. (I det här fallet kan Tillverkning inte kommunicera med användare som inte är en del av personalavdelningen.)

    Om det behövs kan du ange flera segment med den här cmdleten, som du ser i följande exempel.

    Syntax Exempel
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsAllowed "segment2name", "segment3name","segment1name" New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State Inactive

    I det här exemplet har vi definierat en princip som gör att informationssegmentet kan kommunicera med enbart personal och tillverkning.

    Upprepa det här steget för varje princip som du vill använda för att tillåta att vissa segment bara kommunicerar med vissa andra specifika segment.

  2. Gå vidare till någon av följande åtgärder:

Steg 4: Tillämpa principer för informationsbarriärer

Informationsbarriärprinciper är inte aktiva förrän du anger dem som aktiv status och tillämpar sedan principerna.

  1. Använd cmdlet:en Get-InformationBarrierPolicy för att visa en lista med principer som har definierats. Notera status och identitet (GUID) för varje princip.

    Syntax: Get-InformationBarrierPolicy

  2. Om du vill ange en princip som aktiv status använder du cmdleten Set-InformationBarrierPolicy med en Identity-parameter och stateparametern inställd på Active.

    Syntax Exempel
    Set-InformationBarrierPolicy -Identity GUID -State Active Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Active

    I det här exemplet anger vi en princip för informationsbarriärer som har GUID 43c37853-ea10-4b90-a23d-ab8c93772471 som aktiv status.

    Upprepa det här steget efter behov för varje princip.

  3. När du har ställer in principer för informationsbarriärer till aktiv status använder du cmdleten Start-InformationBarrierPoliciesApplication i säkerhets- och & efterlevnadscentret.

    Syntax: Start-InformationBarrierPoliciesApplication

    När du har Start-InformationBarrierPoliciesApplication kört kan det ta 30 minuter innan systemet börjar använda principerna. Systemet tillämpar principer användare för användare. Systemet bearbetar ca 5 000 användarkonton per timme.

Visa status för användarkonton, segment, principer eller principprogram

Med PowerShell kan du visa status för användarkonton, segment, principer och principprogram, som du ser i följande tabell.

Om du vill visa den här informationen Gör så här
Användarkonton Använd cmdleten Get-InformationBarrierRecipientStatus med identitetsparametrar.

Syntax: Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

Du kan använda valigt värde som unikt identifierar varje användare, t.ex. namn, alias, unikt namn, kanoniskt domännamn, e-postadress eller GUID.

Exempel: Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

I det här exemplet hänvisar vi till två användarkonton i Office 365: abbyb för Abby och alexw för Alex.

(Du kan också använda den här cmdleten för en enskild användare: Get-InformationBarrierRecipientStatus -Identity <value> )

Den här cmdleten returnerar information om användare, till exempel attributvärden och informationsbarriärprinciper som tillämpas.

Segment Använd cmdleten Get-OrganizationSegment.

Syntax: Get-OrganizationSegment

Den här cmdleten visar en lista över alla segment som har definierats för din organisation.

Informationsbarriärpolicyer Använd cmdleten Get-InformationBarrierPolicy.

Syntax: Get-InformationBarrierPolicy

Denna cmdlet visar en lista över informationsbarriärprinciper som har definierats och deras status.

Det senaste programmet för informationsbarriärer Använd cmdleten Get-InformationBarrierPoliciesApplicationStatus.

Syntax: Get-InformationBarrierPoliciesApplicationStatus

Den här cmdleten visar information om principprogrammet har slutförts, misslyckats eller pågår.

Alla principprogram för informationsbarriärer Använd Get-InformationBarrierPoliciesApplicationStatus -All

Den här cmdleten visar information om principprogrammet har slutförts, misslyckats eller pågår.

Vad händer om jag behöver ta bort eller ändra principer?

Det finns tillgängliga resurser som hjälper dig att hantera principer för informationsbarriärer.

Steg 5: Konfiguration för informationsbarriärer på SharePoint och OneDrive

Om du konfigurerar informationsbarriärer för SharePoint och OneDrive måste du aktivera informationsbarriärer för dessa tjänster. Du måste också aktivera informationsbarriärer för de här tjänsterna om du konfigurerar informationsbarriärer för Microsoft Teams. När ett Microsoft Teams skapas, skapas SharePoint webbplats automatiskt och kopplas till en Microsoft Teams för filupplevelsen. Informationsbarriärprinciper respekteras inte på den här SharePoint webbplats och filer som standard.

För att aktivera informationsbarriärer i SharePoint och OneDrive följer du anvisningarna och stegen i artikeln Använda informationsbarriärer SharePoint information.

Steg 6: Lägen för informationsbarriärer

Lägen kan hjälpa till att stärka åtkomst, delning och medlemskap Microsoft 365 en resurs baserat på resursens IB-läge. Lägen stöds i Microsoft 365 grupper, Microsoft Teams, OneDrive och SharePoint och aktiveras automatiskt i din nya eller befintliga IB-konfiguration.

Följande IB-lägen stöds i Microsoft 365 resurser:

Mode Beskrivning Exempel
Öppna Det finns inga IB-principer eller segment som är kopplade till Microsoft 365 resurs. Alla kan bjudas in att bli medlemmar i resursen. En gruppwebbplats som har skapats förpicknick för organisationen.
Ägare modererad (förhandsversion) IB-principen för Microsoft 365 bestäms av resursägarens IB-princip. Resursägarna kan bjuda in alla användare till resursen baserat på deras IB-principer. Det här läget är användbart när företaget vill tillåta samarbete mellan inkompatibla segmentanvändare som modereras av ägaren. Endast resursägaren kan lägga till nya medlemmar enligt IB-principen. VD för hr-avdelningen vill samarbeta med sälj- och forskningsavdelningen. En ny SharePoint som ställs in med IB-läget Ägare modererad för att lägga till både försäljnings- och forskningssegmentsanvändare på samma webbplats. Det är ägarens ansvar att se till att lämpliga medlemmar läggs till i resursen.
Implicit IB-principen eller IB-Microsoft 365 ärvs från IB-principen för resursmedlemmar. Ägaren kan lägga till medlemmar så länge de är kompatibla med de befintliga medlemmarna i resursen. Det här är IB-standardläget för Microsoft Teams. Användaren av försäljningssegmentet skapar en Microsoft Teams för att samarbeta med andra kompatibla segment i organisationen.
Explicit IB-principen för den Microsoft 365 är per de segment som är kopplade till resursen. Resursägaren eller SharePoint kan hantera segmenten på resursen. En webbplats som bara skapats för att medlemmar i försäljningssegment ska samarbeta genom att associera försäljningssegmentet med webbplatsen.

Mer information om hinder olika typer av information och hur de konfigureras i olika tjänster finns i följande artiklar:

Exempelscenario: Contosos avdelningar, segment och principer

Ta hänsyn till följande exempelscenario om du vill se hur en organisation kan använda sig av att definiera segment och principer.

Contosos avdelningar och plan

Contoso har fem avdelningar: PERSONAL, Försäljning, Marknadsföring, Forskning och Tillverkning. För att uppfylla alla branschföreskrifter ska personer i vissa avdelningar inte kommunicera med andra avdelningar, som anges i följande tabell:

Segment Kan prata med Kan inte prata med
HR Alla (inga begränsningar)
Försäljning HR, Marknadsföring, Tillverkning Referensinformation
Marknadsföring Alla (inga begränsningar)
Referensinformation HR, Marknadsföring, Tillverkning Försäljning
Tillverkning HR, Marknadsföring Alla som inte är personalavdelningen eller marknadsföringsavdelningen

För den här strukturen innehåller Contosos plan tre informationsbarriärprinciper:

  1. En princip som utformats för att förhindra försäljning från att kommunicera med forskning (och en annan princip för att förhindra att Forskning kommunicerar med försäljning).

  2. En princip som utformats för att tillverkning endast ska kunna kommunicera med HR och marknadsföring.

I det här scenariot behöver du inte definiera principer för personal och marknadsföring.

Contosos definierade segment

Contoso använder attributet Avdelning i Azure Active Directory att definiera segment enligt följande:

Department Segmentdefinition
HR New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"
Försäljning New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'"
Marknadsföring New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'"
Referensinformation New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'"
Tillverkning New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'"

När de segment som definierats fortsätter Contoso att definiera principer.

Contosos policyer för informationsbarriärer

Contoso definierar tre principer enligt beskrivningen i följande tabell:

Princip Principdefinition
Princip 1: Förhindra försäljning från att kommunicera med forskning New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

I det här exemplet kallas informationsbarriärpolicyn Försäljningsundersökning. När den här principen är aktiv och används förhindrar det att användare i försäljningssegmentet kommunicerar med användare i segmenten Forskning. Den här principen är en envägspolicy. Det hindrar inte forskning från att kommunicera med försäljning. Då behövs princip 2.

Princip 2: Förhindra att forskning kommunicerar med försäljning New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive

I det här exemplet kallas informationsbarriärpolicyn Forskning-försäljning. När den här principen är aktiv och används förhindrar det att användare som finns i segmenten Forskning kommunicerar med användare i försäljningssegmentet.

Policy 3: Tillåta tillverkning att enbart kommunicera med HR och marknadsföring New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive

I det här fallet kallas informationsbarriärpolicyn Tillverkning-HRMarketing. När den här principen är aktiv och används kan Tillverkning bara kommunicera med HR och marknadsföring. HR och marknadsföring är inte begränsade till att kommunicera med andra segment.

När segment och principer har definierats tillämpar Contoso principerna genom att köra cmdleten Start-InformationBarrierPoliciesApplication.

När cmdleten har avslutats följer Contoso de juridiska kraven och branschkraven.

Resurser