Kom igång med informationsbarriärer
Om det finns informationsbarriärer kan du definiera principer som förhindrar att vissa användarsegment kommunicerar med varandra eller tillåter att vissa segment bara kommunicerar med vissa andra segment. Informationsbarriärpolicyer kan hjälpa din organisation att följa relevanta branschstandarder och bestämmelser och undvika potentiella in skapa intressekonflikter. Mer information finns i Läs mer om informationsbarriärer.
I den här artikeln beskrivs hur du konfigurerar principer för informationsbarriärer. Flera steg ingår, så se till att du granskar hela processen innan du börjar konfigurera principer för informationsbarriärer.
Tips
Den här artikeln innehåller ett exempelscenario som hjälper dig att planera och definiera principer för informationsbarriärer.
Koncept
När du definierar principer för informationsbarriärer arbetar du med användarkontoattribut, segment, blockerings- och/eller "tillåt"-principer och principprogram.
- Användarkontoattribut definieras i Azure Active Directory (eller Exchange Online). Attributen kan omfatta avdelning, befattning, plats, gruppnamn och annan jobbprofilinformation.
- Segment är uppsättningar av användare som definieras i Microsoft 365 Efterlevnadscenter med ett valt användarkontoattribut. (Se listan över attribut som stöds.)
- Informationsbarriärpolicyer bestämmer kommunikationsbegränsningar eller begränsningar. När du definierar principer för informationsbarriärer väljer du mellan två typer av principer:
- Blockera principer förhindrar att ett segment kommunicerar med ett annat segment.
- Tillåt att bara ett segment kommunicerar med vissa andra segment.
- Policyprogrammet utförs när alla principer för informationsbarriärer har definierats och du är redo att tillämpa dem i din organisation.
Konfiguration i korthet
| Steg | Vad som är inblandat |
|---|---|
| Steg 1: Kontrollera att kraven uppfylls | - Kontrollera att du har de licenser och behörigheter som krävs - Kontrollera att katalogen innehåller data för segmenterade användare - Aktivera begränsad katalogsökning för Microsoft Teams – kontrollera att granskningsloggning är aktiverat - Kontrollera att Exchange adressboksprinciper inte finns på plats - Använda PowerShell (exempel ges) – Ge administratörsmedgivande Microsoft Teams (stegen ingår) |
| Steg 2: Segmentanvändare i organisationen | – Fastställa vilka principer som krävs - Skapa en lista med segment som du vill definiera - Identifiera vilka attribut du ska använda - Definiera segment som principfilter |
| Steg 3: Definiera principer för informationsbarriärer | - Definiera dina principer (gäller inte ännu) - Välj mellan två typer (block eller tillåt) |
| Steg 4: Tillämpa principer för informationsbarriärer | - Ställ in principer på aktiv status - Kör principprogrammet - Visa principstatus |
| Steg 5: Konfiguration för informationsbarriärer på SharePoint och OneDrive (valfritt) | - Konfigurera informationsbarriärer för SharePoint och OneDrive |
| Steg 6: Lägen för informationsbarriärer (valfritt) | – Uppdatera lägen för informationsbarriärer om tillämpligt |
Steg 1: Kontrollera att kraven uppfylls
Se till att följande krav uppfylls innandu konfigurerar informationsbarriärer utöver de licenser och behörigheter som krävs:
Katalogdata: Kontrollera att organisationens struktur återspeglas i katalogdata. För att kunna vidta den här åtgärden ska du se till att användarkontoattribut, till exempel gruppmedlemskap, avdelningsnamn osv. fylls i korrekt i Azure Active Directory (eller Exchange Online). Mer information finns i följande resurser:
Begränsad katalogsökning: Innan du definierar din organisations första informationsbarriärprincip måste du aktivera begränsad katalogsökning i Microsoft Teams. Vänta i minst 24 timmar efter att du har aktiverar begränsad katalogsökning innan du anger eller definierar principer för informationsbarriärer.
Exchange Online : Principer för informationsbarriärer fungerar endast om målanvändarna har tilldelats en Exchange Online licens.
Kontrollera att granskningsloggning är aktiverad: Du måste aktivera granskningsloggning för att du ska kunna slå upp status för ett principprogram. Granskning är aktiverat som Microsoft 365 organisationer som standard. Vissa organisationer kan ha inaktiverat granskning av vissa orsaker. Om granskning är inaktiverat för organisationen kan det beror på att en annan administratör har inaktiverat den. Vi rekommenderar att du bekräftar att det är OK att aktivera granskning igen när du slutför det här steget. Du kan läsa mer i Aktivera och inaktivera granskningsloggsökning.
Inga adressboksprinciper: Innan du definierar och tillämpar principer för informationsbarriärer kontrollerar du att Exchange principer för adressboken finns. Informationsbarriärer baseras på adressboksprinciper, men de två typerna av principer är inte kompatibla. Om du har sådana principer ska du se till att ta bort dina adressboksprinciper först. När principer för informationsbarriärer har aktiverats och du **** har aktiverat hierarkisk adressbok kan alla användare som inte ingår i informationsbarriärsegmentet se den hierarkiska adressboken i Exchange online.
Hantera med Hjälp av PowerShell: För närvarande definieras och hanteras informationsbarriärprinciper i Security & Compliance Center PowerShell. Även om flera exempel finns i den här artikeln måste du vara bekant med PowerShell-cmdlets och parametrar. Du behöver också Azure Active Directory PowerShell-modulen.
Administratörens medgivande för informationsbarriärer i Microsoft Teams: När dina IB-principer finns kan de ta bort användare som inte är IB-efterlevnad från grupper (dvs. Teams-kanaler, som baseras på grupper). Den här konfigurationen ser till att organisationen fortfarande följer principer och bestämmelser. Använd följande procedur för att göra det möjligt för principer för informationsbarriärer att fungera som förväntat Microsoft Teams.
Krav: Installera Azure Active Directory PowerShell för Graph.
Kör följande PowerShell-cmdlets:
Connect-AzureAD -Tenant "<yourtenantdomain.com>" //for example: Connect-AzureAD -Tenant "Contoso.onmicrosoft.com" $appId="bcf62038-e005-436d-b970-2a472f8c1982" $sp=Get-AzureADServicePrincipal -Filter "appid eq '$($appid)'" if ($sp -eq $null) { New-AzureADServicePrincipal -AppId $appId } Start-Process "https://login.microsoftonline.com/common/adminconsent?client_id=$appId"När du uppmanas till det loggar du in med ditt arbets- eller skolkonto för Office 365.
Granska informationen i dialogrutan Behörigheter som krävs och välj sedan Acceptera. De behörigheter som begärs av Appen ges nedan.

När alla krav uppfylls går du vidare till nästa steg.
Tips
I den här artikeln finns ett exempelscenario som kan vara till hjälp när du förbereder planen. Se Contosos avdelningar, segment och principer.
Steg 2: Segmentanvändare i organisationen
I det här steget kan du fastställa vilka informationsbarriärprinciper som behövs, skapa en lista med segment som du vill definiera och sedan definiera dina segment.
Bestäm vilka principer som krävs
Vilka är de grupper i din organisation som behöver informationsbarriärer och regler gällande juridiska bestämmelser? Skapa en lista. Finns det några grupper som ska hindras från att kommunicera med en annan grupp? Finns det några grupper som endast ska kunna kommunicera med en eller två andra grupper? Tänk på de principer du behöver som tillhör en av två grupper:
- Blockeringsprinciper hindrar en grupp från att kommunicera med en annan grupp.
- Med "Tillåt" principer kan en grupp kommunicera med endast vissa andra, specifika grupper.
När du har en första lista över grupper och principer kan du fortsätta och identifiera de segment som du behöver.
Identifiera segment
Gör en lista med segment för din organisation, utöver den första listan med principer. Användare som omfattas av informationsbarriärer bör tillhöra ett segment. Planera dina segment noggrant så att en användare bara kan vara i ett segment. Varje segment kan bara ha en policy för informationsbarriärer.
Viktigt
En användare kan bara vara i ett segment.
Bestäm vilka attribut i organisationens katalogdata som du ska använda för att definiera segment. Du kan använda Department, MemberOf eller någon av attributen som stöds. Kontrollera att du har värden i attributet som du väljer för användare. Se listan över attribut som stöds för informationsbarriärer.
Viktigt
Innan du går vidare till nästa avsnitt kontrollerar du att katalogdata har värden för attribut som du kan använda för att definiera segment . Om dina katalogdata inte har värden för de attribut du vill använda måste användarkontona uppdateras så att informationen inkluderas innan du kan fortsätta med informationsbarriärer. Om du behöver hjälp med detta kan du gå till följande resurser:
- Konfigurera användarkontoegenskaper med Office 365 PowerShell
- Lägga till eller uppdatera en användares profilinformation med hjälp av Azure Active Directory
Definiera segment med PowerShell
Användare påverkas inte av att definiera segment. Den anger bara steget för att principer för informationsbarriärer ska definieras och sedan tillämpas.
Använd cmdleten New-OrganizationSegment med parametern UserGroupFilter som motsvarar det attribut du vill använda.
Syntax Exempel New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'"New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"I det här exemplet definieras ett segment som kallas PERSONAL med hr, ett värde i attributet Avdelning. Ekv-delen av cmdleten refererar till "lika med". (Alternativt kan du använda -ne för att betyda "inte lika med". Se Använda "lika med" och "inte lika med" i segmentdefinitioner.)
När du har kört varje cmdlet visas en lista med information om det nya segment. Information om segmenttypen, vem som skapade eller senast ändrade det och så vidare.
Upprepa proceduren för varje segment som du vill definiera.
Viktigt
Kontrollera att segmenten inte överlappar. Varje användare som kommer att påverkas av informationsbarriärer bör tillhöra ett (och endast ett) segment. Ingen användare ska tillhöra två eller fler segment. (Se exempel: Contosos definierade segment i den här artikeln.)
När du har definierat dina segment kan du fortsätta att definiera principer för informationsbarriärer.
Använda "lika med" och "inte lika med" i segmentdefinitioner
I följande exempel definierar vi ett segment så att "Avdelning är lika med PERSONAL".
| Exempel | Obs! |
|---|---|
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" |
Observera att i det här exemplet innehåller segmentdefinitionen en parameter som kallas -eq. |
Du kan också definiera segment med parametern "not equals" (kallas -ne) som visas i följande tabell:
| Syntax | Exempel |
|---|---|
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" |
I det här exemplet har vi definierat ett segment som kallas NotSales som inkluderar alla som inte finns i Försäljning. -ne-delen av cmdleten refererar till "inte lika med". |
Förutom att definiera segment som använder "lika med" eller "inte lika med" kan du definiera ett segment med hjälp av båda parametrarna "lika med" och "inte lika med". Du kan också definiera komplexa gruppfilter med hjälp av logiska OCH- och ELLER-operatorer.
| Syntax | Exempel |
|---|---|
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" |
I det här exemplet har vi definierat ett segment som kallas LocalFTE som omfattar personer som finns lokalt och vars positioner inte anges som tillfälliga. |
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq 'group1@contoso.com'' -and MemberOf -ne 'group3@contoso.com'" |
I det här exemplet har vi definierat ett segment som kallas Segment1 och som inkluderar personer som är medlemmar i group1@contoso.com inte medlemmar i group3@contoso.com. |
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq 'group2@contoso.com' -or MemberOf -ne 'group3@contoso.com'" |
I det här exemplet har vi definierat ett segment som kallas Segment2 och som inkluderar personer som är medlemmar i group2@contoso.com inte medlemmar i group3@contoso.com. |
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq 'group1@contoso.com' -or MemberOf -eq 'group2@contoso.com') -and MemberOf -ne 'group3@contoso.com'" |
I det här exemplet har vi definierat ett segment som kallas Segment1and2 som inkluderar personer som group1@contoso.com och group2@contoso.com och inte medlemmar i group3@contoso.com. |
Tips
Använd om möjligt segmentdefinitioner som innehåller "-eq" eller "-ne". Försök att inte definiera komplexa segmentdefinitioner.
Steg 3: Definiera principer för informationsbarriärer
Avgöra om du behöver förhindra kommunikation mellan vissa segment eller begränsa kommunikationen till vissa segment. Under idealiska som helst ska du använda lägsta antal principer för att säkerställa att organisationen följer juridiska och branschkrav.
Med din lista över användarsegment och de informationsbarriärprinciper som du vill definiera, välj ett scenario och följ sedan stegen.
- Scenario 1: Blockera kommunikation mellan segment
- Scenario 2: Tillåta att ett segment bara kommunicerar med ett annat segment
Viktigt
Se till att du inte tilldelar mer än en princip till ett segment när du definierar principer. Om du till exempel definierar en princip för ett segment som kallas Försäljning ska du inte definiera någon ytterligare princip för försäljning.
När du definierar principer för informationsbarriärer ska du dessutom se till att ställa in dessa principer på inaktiv status tills du är redo att tillämpa dem. Definiera (eller redigera) principer påverkar inte användare förrän dessa principer anges till aktiv status och sedan tillämpas.
(Se exempel: Contosos informationsbarriärpolicy i den här artikeln.)
Scenario 1: Blockera kommunikation mellan segment
När du vill blockera segment från att kommunicera med varandra definierar du två principer, en för varje riktning. Varje princip blockerar kommunikation endast på ett sätt.
Anta till exempel att du vill blockera kommunikationen mellan segment A och segment B. I det här fallet definierar du en princip som förhindrar segment A från att kommunicera med segment B och sedan definierar du en andra princip för att förhindra att segment B kommunicerar med segment A.
Definiera den första blockeringsprincipen med hjälp av cmdleten New-InformationBarrierPolicy med parametern SegmentsBlocked.
Syntax Exempel New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsBlocked "segment2name"New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State InactiveI det här exemplet har vi definierat en princip som kallas Försäljningsundersökning för ett segment som kallas Försäljning. När den här principen är aktiv och används förhindrar den här principen personer i försäljning att kommunicera med personer i ett segment som kallas Forskning.
Om du vill definiera ett andra blockeringssegment använder du cmdleten New-InformationBarrierPolicy med parametern SegmentsBlocked igen, nu med omvänt segment.
Exempel Obs! New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State InactiveI det här exemplet har vi definierat en policy som kallas Forskning-Försäljning för att förhindra att forskning kommunicerar med försäljning. Gå vidare till någon av följande åtgärder:
- (Vid behov) Definiera en princip för att tillåta att ett segment bara kommunicerar med ett annat segment
- (När alla principer har definierats) Tillämpa principer för informationsbarriärer
Scenario 2: Tillåta att ett segment bara kommunicerar med ett annat segment
Om du vill tillåta att ett segment kommunicerar med bara ett annat segment använder du cmdleten New-InformationBarrierPolicy med parametern SegmentsAllowed.
Syntax Exempel New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsAllowed "segment2name","segment1name"New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State InactiveI det här exemplet har vi definierat en policy som kallas Tillverkning-HR för ett segment som kallas Tillverkning. När den här principen är aktiv och används kan personer i Tillverkning bara kommunicera med personer i ett segment som kallas HR. (I det här fallet kan Tillverkning inte kommunicera med användare som inte är en del av personalavdelningen.)
Om det behövs kan du ange flera segment med den här cmdleten, som du ser i följande exempel.
Syntax Exempel New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsAllowed "segment2name", "segment3name","segment1name"New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State InactiveI det här exemplet har vi definierat en princip som gör att informationssegmentet kan kommunicera med enbart personal och tillverkning.
Upprepa det här steget för varje princip som du vill använda för att tillåta att vissa segment bara kommunicerar med vissa andra specifika segment.
Gå vidare till någon av följande åtgärder:
- (Vid behov) Definiera en princip för att blockera kommunikation mellan segment
- (När alla principer har definierats) Tillämpa principer för informationsbarriärer
Steg 4: Tillämpa principer för informationsbarriärer
Informationsbarriärprinciper är inte aktiva förrän du anger dem som aktiv status och tillämpar sedan principerna.
Använd cmdlet:en Get-InformationBarrierPolicy för att visa en lista med principer som har definierats. Notera status och identitet (GUID) för varje princip.
Syntax:
Get-InformationBarrierPolicyOm du vill ange en princip som aktiv status använder du cmdleten Set-InformationBarrierPolicy med en Identity-parameter och stateparametern inställd på Active.
Syntax Exempel Set-InformationBarrierPolicy -Identity GUID -State ActiveSet-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State ActiveI det här exemplet anger vi en princip för informationsbarriärer som har GUID 43c37853-ea10-4b90-a23d-ab8c93772471 som aktiv status.
Upprepa det här steget efter behov för varje princip.
När du har ställer in principer för informationsbarriärer till aktiv status använder du cmdleten Start-InformationBarrierPoliciesApplication i säkerhets- och & efterlevnadscentret.
Syntax:
Start-InformationBarrierPoliciesApplicationNär du har
Start-InformationBarrierPoliciesApplicationkört kan det ta 30 minuter innan systemet börjar använda principerna. Systemet tillämpar principer användare för användare. Systemet bearbetar ca 5 000 användarkonton per timme.
Visa status för användarkonton, segment, principer eller principprogram
Med PowerShell kan du visa status för användarkonton, segment, principer och principprogram, som du ser i följande tabell.
| Om du vill visa den här informationen | Gör så här |
|---|---|
| Användarkonton | Använd cmdleten Get-InformationBarrierRecipientStatus med identitetsparametrar. Syntax: Du kan använda valigt värde som unikt identifierar varje användare, t.ex. namn, alias, unikt namn, kanoniskt domännamn, e-postadress eller GUID. Exempel: I det här exemplet hänvisar vi till två användarkonton i Office 365: abbyb för Abby och alexw för Alex. (Du kan också använda den här cmdleten för en enskild användare: Den här cmdleten returnerar information om användare, till exempel attributvärden och informationsbarriärprinciper som tillämpas. |
| Segment | Använd cmdleten Get-OrganizationSegment. Syntax: Den här cmdleten visar en lista över alla segment som har definierats för din organisation. |
| Informationsbarriärpolicyer | Använd cmdleten Get-InformationBarrierPolicy. Syntax: Denna cmdlet visar en lista över informationsbarriärprinciper som har definierats och deras status. |
| Det senaste programmet för informationsbarriärer | Använd cmdleten Get-InformationBarrierPoliciesApplicationStatus. Syntax: Den här cmdleten visar information om principprogrammet har slutförts, misslyckats eller pågår. |
| Alla principprogram för informationsbarriärer | Använd Get-InformationBarrierPoliciesApplicationStatus -AllDen här cmdleten visar information om principprogrammet har slutförts, misslyckats eller pågår. |
Vad händer om jag behöver ta bort eller ändra principer?
Det finns tillgängliga resurser som hjälper dig att hantera principer för informationsbarriärer.
- Om något går fel med informationsbarriärer, se Felsökning av informationsbarriärer.
- Information om hur du stoppar att principer används finns i Stoppa ett principprogram.
- Information om hur du tar bort en informationsbarriärpolicy finns i Ta bort en princip.
- Information om hur du ändrar segment eller principer finns i Redigera (eller ta bort) informationsbarriärprinciper.
Steg 5: Konfiguration för informationsbarriärer på SharePoint och OneDrive
Om du konfigurerar informationsbarriärer för SharePoint och OneDrive måste du aktivera informationsbarriärer för dessa tjänster. Du måste också aktivera informationsbarriärer för de här tjänsterna om du konfigurerar informationsbarriärer för Microsoft Teams. När ett Microsoft Teams skapas, skapas SharePoint webbplats automatiskt och kopplas till en Microsoft Teams för filupplevelsen. Informationsbarriärprinciper respekteras inte på den här SharePoint webbplats och filer som standard.
För att aktivera informationsbarriärer i SharePoint och OneDrive följer du anvisningarna och stegen i artikeln Använda informationsbarriärer SharePoint information.
Steg 6: Lägen för informationsbarriärer
Lägen kan hjälpa till att stärka åtkomst, delning och medlemskap Microsoft 365 en resurs baserat på resursens IB-läge. Lägen stöds i Microsoft 365 grupper, Microsoft Teams, OneDrive och SharePoint och aktiveras automatiskt i din nya eller befintliga IB-konfiguration.
Följande IB-lägen stöds i Microsoft 365 resurser:
| Mode | Beskrivning | Exempel |
|---|---|---|
| Öppna | Det finns inga IB-principer eller segment som är kopplade till Microsoft 365 resurs. Alla kan bjudas in att bli medlemmar i resursen. | En gruppwebbplats som har skapats förpicknick för organisationen. |
| Ägare modererad (förhandsversion) | IB-principen för Microsoft 365 bestäms av resursägarens IB-princip. Resursägarna kan bjuda in alla användare till resursen baserat på deras IB-principer. Det här läget är användbart när företaget vill tillåta samarbete mellan inkompatibla segmentanvändare som modereras av ägaren. Endast resursägaren kan lägga till nya medlemmar enligt IB-principen. | VD för hr-avdelningen vill samarbeta med sälj- och forskningsavdelningen. En ny SharePoint som ställs in med IB-läget Ägare modererad för att lägga till både försäljnings- och forskningssegmentsanvändare på samma webbplats. Det är ägarens ansvar att se till att lämpliga medlemmar läggs till i resursen. |
| Implicit | IB-principen eller IB-Microsoft 365 ärvs från IB-principen för resursmedlemmar. Ägaren kan lägga till medlemmar så länge de är kompatibla med de befintliga medlemmarna i resursen. Det här är IB-standardläget för Microsoft Teams. | Användaren av försäljningssegmentet skapar en Microsoft Teams för att samarbeta med andra kompatibla segment i organisationen. |
| Explicit | IB-principen för den Microsoft 365 är per de segment som är kopplade till resursen. Resursägaren eller SharePoint kan hantera segmenten på resursen. | En webbplats som bara skapats för att medlemmar i försäljningssegment ska samarbeta genom att associera försäljningssegmentet med webbplatsen. |
Mer information om hinder olika typer av information och hur de konfigureras i olika tjänster finns i följande artiklar:
- Lägen för informationsbarriärer och Microsoft Teams
- Lägen för informationsbarriärer och OneDrive
- Lägen för informationsbarriärer och SharePoint
Exempelscenario: Contosos avdelningar, segment och principer
Ta hänsyn till följande exempelscenario om du vill se hur en organisation kan använda sig av att definiera segment och principer.
Contosos avdelningar och plan
Contoso har fem avdelningar: PERSONAL, Försäljning, Marknadsföring, Forskning och Tillverkning. För att uppfylla alla branschföreskrifter ska personer i vissa avdelningar inte kommunicera med andra avdelningar, som anges i följande tabell:
| Segment | Kan prata med | Kan inte prata med |
|---|---|---|
| HR | Alla | (inga begränsningar) |
| Försäljning | HR, Marknadsföring, Tillverkning | Referensinformation |
| Marknadsföring | Alla | (inga begränsningar) |
| Referensinformation | HR, Marknadsföring, Tillverkning | Försäljning |
| Tillverkning | HR, Marknadsföring | Alla som inte är personalavdelningen eller marknadsföringsavdelningen |
För den här strukturen innehåller Contosos plan tre informationsbarriärprinciper:
En princip som utformats för att förhindra försäljning från att kommunicera med forskning (och en annan princip för att förhindra att Forskning kommunicerar med försäljning).
En princip som utformats för att tillverkning endast ska kunna kommunicera med HR och marknadsföring.
I det här scenariot behöver du inte definiera principer för personal och marknadsföring.
Contosos definierade segment
Contoso använder attributet Avdelning i Azure Active Directory att definiera segment enligt följande:
| Department | Segmentdefinition |
|---|---|
| HR | New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" |
| Försäljning | New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'" |
| Marknadsföring | New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'" |
| Referensinformation | New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'" |
| Tillverkning | New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'" |
När de segment som definierats fortsätter Contoso att definiera principer.
Contosos policyer för informationsbarriärer
Contoso definierar tre principer enligt beskrivningen i följande tabell:
| Princip | Principdefinition |
|---|---|
| Princip 1: Förhindra försäljning från att kommunicera med forskning | New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive I det här exemplet kallas informationsbarriärpolicyn Försäljningsundersökning. När den här principen är aktiv och används förhindrar det att användare i försäljningssegmentet kommunicerar med användare i segmenten Forskning. Den här principen är en envägspolicy. Det hindrar inte forskning från att kommunicera med försäljning. Då behövs princip 2. |
| Princip 2: Förhindra att forskning kommunicerar med försäljning | New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive I det här exemplet kallas informationsbarriärpolicyn Forskning-försäljning. När den här principen är aktiv och används förhindrar det att användare som finns i segmenten Forskning kommunicerar med användare i försäljningssegmentet. |
| Policy 3: Tillåta tillverkning att enbart kommunicera med HR och marknadsföring | New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive I det här fallet kallas informationsbarriärpolicyn Tillverkning-HRMarketing. När den här principen är aktiv och används kan Tillverkning bara kommunicera med HR och marknadsföring. HR och marknadsföring är inte begränsade till att kommunicera med andra segment. |
När segment och principer har definierats tillämpar Contoso principerna genom att köra cmdleten Start-InformationBarrierPoliciesApplication.
När cmdleten har avslutats följer Contoso de juridiska kraven och branschkraven.