Microsoft Teams 中的資訊屏障

發行項
09/14/2023
適用於:

Microsoft Teams

Microsoft Purview 資訊屏障 (IOB) 是系統管理員可以設定的原則，以防止個人或群組彼此通訊。例如，如果某個部門正在處理不應與其他部門共用的資訊，則 IO 會很有用。當群組需要隔離或防止與該群組外部的任何人通訊時，IO 也很有用。資訊屏障支援 Microsoft Teams 中的共用頻道。根據共用類型而定，資訊屏障原則可能會以特定方式限制共用。如需共用通道和資訊屏障行為的詳細資訊，請參閱資訊屏障和共用通道。

針對 Microsoft Teams，資訊屏障可以判斷並防止下列類型的未經授權共同作業：

將使用者新增至小組或頻道
使用者存取小組或頻道內容
使用者存取 1：1 和群組聊天
使用者對會議的存取權
防止查閱和探索，使用者不會顯示在人員選擇器中。

注意事項

無法跨租使用者建立資訊屏障群組。
第 1 版不支援使用 Bot、Azure Active Directory (Azure AD) 應用程式、傳送活動摘要通知的 API，以及一些用來新增使用者的 API。
私人通道符合您所設定的資訊屏障原則。
如需連線到 Teams 之 SharePoint 網站屏障支援的相關資訊，請參閱與 Microsoft Teams 網站相關聯的區段。

背景

IO 的主要驅動程式來自金融服務產業。金融產業監管局 (FINRA) 檢閱成員公司內的 IO 和相關衝突，並提供管理這類衝突的指引 (FINRA 2241、債務研究法規聲明 15-31。

不過，自引進 IO 之後，許多其他區域都發現它們很有用。其他常見的案例包括：

教育：一所學校的學生無法查詢其他學校的學生的連絡方式。
法律：維護一位用戶端之律師所取得之資料的機密性，並防止代表不同用戶端之同一家公司的律師存取資料。
政府：跨部門和群組的資訊存取和控制受到限制。
專業服務：公司中的一群人員只能在客戶參與期間透過來賓存取與客戶或特定客戶聊天。

例如，Enrico 屬於銀行區段，而 Pradeep 屬於財務顧問區段。 Enrico 和 Pradeep 無法彼此通訊，因為組織的 IB 原則會封鎖這兩個區段之間的通訊和共同作業。不過，Enrico 和 Pradeep 可以在 HR 中與 Lee 通訊。

顯示防止區段間通訊的資訊屏障範例。

使用資訊屏障的時機

您可能想要在下列情況中使用 IO：

必須防止小組與其他特定小組通訊或共用資料。
小組不得與小組外部的任何人通訊或共用資料。

資訊屏障原則評估服務會判斷通訊是否符合 IB 原則。

管理資訊屏障區段

IB 區段是在Microsoft Purview 合規性入口網站或使用 PowerShell Cmdlet 來管理。如需詳細資訊，請參閱步驟 2：區隔組織中的使用者。

重要事項

只有當您的組織 不是舊版 模式時，才支援將使用者指派給多個區段。若要判斷您的組織是否處於舊版模式，請參閱檢查貴組織的 IB 模式) 。

對於舊 版模式的 組織，使用者只能指派給一個區段。處於舊版模式的組織未來將有資格升級至最新版本的資訊屏障。如需詳細資訊，請參閱資訊屏障藍圖。

管理資訊屏障原則

IB 原則是在Microsoft Purview 合規性入口網站或使用 PowerShell Cmdlet 來管理。如需詳細資訊，請參閱步驟 3：建立 IB 原則。

重要事項

設定或定義原則之前，您必須在 Microsoft Teams 中啟用限域目錄搜尋。啟用限域目錄搜尋之後，請至少等候幾個小時，再設定或定義資訊屏障的原則。如需詳細資訊，請參閱定義資訊屏障原則。

資訊屏障系統管理員角色

IB 合規性管理角色負責管理 IB 原則。如需此角色的詳細資訊，請參閱Microsoft Purview 合規性入口網站中的許可權。

資訊屏障觸發程式

發生下列 Teams 事件時，會啟動 IB 原則：

成員新增到團隊: 每當您將使用者新增到團隊時，使用者的原則都必須根據其他團隊成員的 IB 原則進行評估。成功新增使用者之後，使用者就可以在小組中執行所有功能，而不需要進一步檢查。如果使用者的原則阻止他們新增到團隊，則搜尋便不會顯示出該使用者。
要求新的聊天: 每次使用者要求與一個或多個其他使用者進行新聊天時，會評估聊天，以確保它未違反任何 IB 原則。如果交談違反 IB 原則，則不會啟動該交談。

以下是一對一聊天的範例。

以下是群組聊天的範例。
邀請使用者加入會議: 當使用者受邀加入會議時，會根據適用于其他團隊成員的 IB 原則評估適用于該使用者的 IB 原則。如果有所違反，則不允許該使用者加入會議。
兩個或多個使用者共用螢幕: 當使用者與其他使用者共用螢幕時，必須評估該共用，以確保不會違反其他使用者的 IB 原則。如果違反 IB 原則，將不允許共用螢幕。

以下是套用原則之前螢幕共用的範例。

以下是原則執行後螢幕共用的範例。螢幕共用和通話圖示無法顯示。
使用者在 Teams 中撥打電話：每當使用者透過 VOIP) 向其他使用者或使用者群組起始語音通話 (時，就會評估通話，以確定它不會違反其他小組成員的 IB 原則。如果有任何違規，則會封鎖語音通話。
Teams 中的來賓: IB 原則也適用于 Teams 中的來賓。如果需要在組織的全域通訊清單中探索來賓，請參閱管理Microsoft 365 群組中的來賓存取。一旦可以探索來賓，您就可以定義 IB 原則。

原則變更如何影響現有的聊天

當 IB 原則管理員變更原則，或因為使用者的設定檔變更而啟用原則變更時， (例如作業變更) ，資訊屏障原則評估服務會自動搜尋成員，以確保其在小組中的成員資格不會違反任何原則。

如果使用者之間有現有的聊天或其他通訊，且已設定新原則或變更現有原則，服務會評估現有的通訊，以確保仍然允許進行通訊。

1：1聊天：如果不再允許兩個使用者之間的通訊 (因對其中一人或兩者套用了封鎖通訊的原則)，則會封鎖進一步的通訊。他們現有的聊天交談會變為唯讀。

以下是顯示聊天的範例。

以下是示範聊天已停用的範例。
群組聊天：例如，如果不再允許從某個使用者到群組的通訊 (，因為使用者已變更作業) ，使用者及其參與違反原則的其他使用者可能會從群組聊天中移除，而且不允許與群組進一步通訊。使用者仍然可以看到舊的交談，但無法查看或參與任何與群組的新交談。如果防止通訊的新或變更原則套用至一個以上的使用者，則受原則影響的使用者可能會從群組聊天中移除。他們仍然可以看到舊的交談。

在此範例中，Enrico 已移至組織內的不同部門，並從群組聊天中移除。

Enrico 無法再將訊息傳送至群組聊天。
團隊: 系統會將已從群組中移除的任何使用者從團隊中移除，且其無法查看或參與現有或新的交談。

案例：現有聊天中的使用者遭到封鎖

目前，如果 IB 原則封鎖另一個使用者，使用者會遇到下列案例：

人員索引標籤：使用者在 [人員] 索引標籤上看不到已封鎖的使用者。
人員選擇器：封鎖的使用者不會顯示在人員選擇器中。
活動索引標籤：如果使用者造訪已封鎖使用者的 [ 活動 ] 索引標籤，則不會出現任何貼文。 ([活動 ] 索引標籤只會顯示頻道貼文，而且兩個使用者之間不會有常見的通道。)

以下是已封鎖的活動索引標籤檢視範例。
組織結構：如果使用者存取封鎖的使用者出現的組織圖表，則封鎖的使用者不會出現在組織圖上。相反地，會出現錯誤訊息。
人員卡：如果使用者參與交談，且使用者稍後遭到封鎖，其他使用者會在將滑鼠停留在封鎖的使用者名稱上方時看到錯誤訊息，而不是人員卡片。卡片 (上列出的動作，例如通話和聊天) 將無法使用。
建議的連絡人：封鎖的使用者不會出現在建議的連絡人清單上， (新使用者) 出現的初始連絡人清單。
聊天連絡人：使用者可以在聊天連絡人清單上看到封鎖的使用者，但會識別封鎖的使用者。使用者唯一可以對封鎖的使用者執行的動作是刪除這些使用者。使用者也可以選取他們來檢視他們過去的交談。
通話連絡人：使用者可以在通話連絡人清單上看到已封鎖的使用者，但將會識別封鎖的使用者。使用者唯一可以對封鎖的使用者執行的動作是刪除這些使用者。

以下是通話連絡人清單中封鎖的使用者範例。

以下是使用者在通話內容清單上停用聊天的範例。
Skype 到 Teams 的移轉：在從商務用 Skype移轉至 Teams 期間，所有使用者，甚至是遭到 IB 原則封鎖的使用者，都會移轉至 Teams。接著會如上所述處理這些使用者。

Teams 原則和 SharePoint 網站

建立團隊時，會針對檔案體驗佈建 SharePoint 網站並將之與 Microsoft Teams 相關聯。根據預設，不會在此 SharePoint 網站和檔案上遵守資訊屏障原則。若要在 SharePoint 和 OneDrive 中啟用資訊屏障，請遵循搭配 SharePoint 使用資訊屏障一文中的指引和步驟。

資訊屏障模式和 Teams

資訊屏障模式有助於強化可新增至小組或從小組中移除的人員。搭配 Teams 使用資訊屏障時，支援下列 IB 模式：

開啟：此設定是啟用資訊屏障之前布建之所有現有群組的預設 IB 模式。在此模式中，沒有適用的 IB 原則。
隱含：當小組在啟用資訊屏障之後布建時，此設定是預設的 IB 模式。隱含模式可讓您在群組中新增所有相容的使用者。
擁有者仲裁：當您想要允許擁有者仲裁的不相容區段使用者之間共同作業時，此模式會在小組上設定。小組擁有者可以根據其 IB 原則新增成員。

在您的租使用者中啟用資訊屏障原則之前建立的 Teams 預設會自動設定為 [開啟] 模式。在租使用者上啟用 IB 原則之後，您必須將現有小組的模式更新為隱含，以確保現有小組符合 IB 標準。如需更新模式的詳細資訊，請參閱使用 PowerShell 腳本變更資訊屏障模式。

使用 Set-UnifiedGroup Cmdlet 搭配 InformationBarrierMode 參數，該參數對應至您想要用於區段的模式。 InformationBarrierMode參數的允許值清單為Open、Implicit和Owner Moderated。

例如，若要設定 Microsoft 365 群組的隱含模式，您將使用下列 PowerShell 命令：

Set-UnifiedGroup -InformationBarrierMode Implicit

若要將所有現有小組的模式從 [開啟] 更新為 [隱含 ]，請使用此 PowerShell 腳本。

如果您變更現有 Teams 連線群組的開啟模式設定，以符合組織的合規性需求，您必須針對連線到 Teams 小組的相關聯 SharePoint 網站，[更新 IB 模式]/microsoft-365/compliance/information-barriers-sharepoint#view-and-manage-ib-modes-as-an-administrator-with-sharepoint-powershell) 。

Teams 中的 IB 原則應用程式

IB 原則應用程式是 Teams 的背景 IB 處理器，會在使用者 (原則或區段變更時收到通知，) 或群組 (模式變更) 。下列步驟概述處理流程：

原則應用程式會在模式更新時收到群組變更通知，並擷取適用于更新的訊息執行緒和群組識別碼。
如果訊息執行緒存在，則會排程處理，並從小組和基礎群組擷取所有成員，並傳送至下游 Teams 元件以進行 IB 評估。
系統會評估群組上的模式和每位使用者的 IB 原則，並將結果傳送至原則應用程式。
原則應用程式會從群組和小組中移除不符合規範的使用者。

必要的授權和權限

如需授權和許可權、方案和定價的詳細資訊，請參閱資訊屏障的訂用帳戶需求。

使用方式注意事項

使用者無法加入臨機操作會議：如果啟用 IB 原則，如果會議名冊的大小大於會議出席限制，則不允許使用者加入會議。根本原因是 IB 檢查取決於使用者是否可以新增至會議聊天名冊，而且只有當他們可以新增至名冊時，才允許他們加入會議。加入會議的使用者一旦將該使用者新增至名冊;因此，對於週期性會議，名冊可以快速填滿。一旦聊天名冊達到會議出席限制，就無法將其他使用者新增至會議。如果已為組織啟用 IB，且會議的聊天名冊已滿，則不允許新使用者 (尚未加入名冊) 的使用者加入會議。但是，如果未為組織啟用 IB，且會議聊天名冊已滿，則新使用者 (尚未加入名冊) 的使用者可以加入會議，但他們不會在會議中看到聊天選項。短期解決方案是從會議聊天名冊中移除非作用中的成員，為新使用者提供空間。不過，我們會在日後增加會議聊天名冊的大小。
使用者無法加入頻道會議：如果啟用 IB 原則，則如果使用者不是小組成員，則不允許他們加入頻道會議。根本原因是 IB 檢查取決於使用者是否可以新增至會議聊天名冊，而且只有當他們可以新增至名冊時，才允許他們加入會議。頻道會議中的聊天對話僅供小組/頻道成員使用，而非成員無法查看或存取聊天對話。如果已為組織啟用 IB，且非小組成員嘗試加入頻道會議，則不允許該使用者加入會議。不過，如果未為組織啟用 IB，且非小組成員嘗試加入頻道會議，則允許使用者加入會議，但不會在會議中看到聊天選項。
IB 原則不適用於同盟使用者：如果您允許與外部組織同盟，這些組織的使用者將不會受到 IB 原則的限制。如果您組織的使用者加入由外部同盟使用者組織的聊天或會議，則 IB 原則也不會限制組織使用者之間的通訊。

其他相關資訊

若要深入瞭解 IO，請參閱資訊屏障。
若要設定 IB 原則，請參閱開始使用資訊屏障。
若要編輯或移除 IB 原則，請參閱管理資訊屏障原則。
資訊屏障和共用通道

可用性

Teams 中的資訊屏障可在我們的公用、GCC、GCC - 高和 DOD 雲端中使用。