Поделиться через

Информационные барьеры в Microsoft Teams

  • Статья
  • Применяется к:
    Microsoft Teams

Информационные барьеры (IB) Microsoft Purview — это политики, которые администратор может настроить, чтобы запретить пользователям или группам взаимодействовать друг с другом. IBS полезны, если, например, один отдел обрабатывает сведения, которые не должны предоставляться другим отделам. IBS также полезны, когда группа должна быть изолирована или запрещена в общении с кем-либо за пределами этой группы. Общие каналы в Microsoft Teams поддерживаются информационными барьерами. В зависимости от типа общего доступа политики информационных барьеров могут ограничивать общий доступ определенными способами. Дополнительные сведения о поведении общих каналов и информационных барьеров см. в разделе Информационные барьеры и общие каналы.

В Microsoft Teams информационные барьеры могут определять и предотвращать следующие типы несанкционированного взаимодействия:

  • Добавление пользователя в команду или канал
  • Доступ пользователей к содержимому команды или канала
  • Доступ пользователей к 1:1 и групповым чатам
  • Доступ пользователей к собраниям
  • Предотвращает поиск и обнаружение, пользователи не будут видны в элементе выбора людей.

Примечание.

  • Группы информационных барьеров не могут быть созданы в разных клиентах.
  • Использование ботов, приложений Azure Active Directory (Azure AD), API для отправки уведомлений веб-канала действий и некоторых API для добавления пользователей не поддерживается в версии 1.
  • Частные каналы соответствуют настроенным политикам информационных барьеров.
  • Сведения о поддержке барьеров для сайтов SharePoint, подключенных к Teams, см. в разделе Сегменты, связанные с сайтами Microsoft Teams.

Общие сведения

Основной драйвер для IBs исходит из индустрии финансовых услуг. Орган по регулированию финансовой отрасли (FINRA) рассматривает ИБ и конфликты интересов в фирмах-членах и предоставляет рекомендации по управлению такими конфликтами (FINRA 2241, долговое исследование нормативные уведомления 15-31.

Однако с момента введения ИБ они оказались полезными во многих других областях. Другие распространенные сценарии:

  • Образование. Учащиеся одного учебного заведения не имеют возможности выполнять поиск контактной информации учащихся других учебных заведений.
  • Юридические: поддержание конфиденциальности данных, полученных адвокатом одного клиента, и предотвращение доступа к ним со стороны адвоката той же фирмы, которая представляет другого клиента.
  • Для государственных организаций: доступ к информации и управление ими ограничено в разных отделах и группах.
  • Профессиональные услуги. Группа людей в компании может общаться только с клиентом или конкретным клиентом через гостевой доступ во время взаимодействия с клиентом.

Например, Enrico принадлежит к банковскому сегменту, а Pradeep — к сегменту финансового консультанта. Enrico и Pradeep не могут общаться друг с другом, так как политика IB организации блокирует взаимодействие и совместную работу между этими двумя сегментами. Тем не менее, Энрико и Прадип могут общаться с Ли в отделе кадров.

Пример, показывающий информационные барьеры, препятствующие обмену данными между сегментами.

Когда следует использовать информационные барьеры

Может потребоваться использовать IB в таких ситуациях:

  • Необходимо запретить команде обмениваться данными с определенной другой командой.
  • Команда не должна обмениваться данными или обмениваться данными с кем-либо за пределами команды.

Служба оценки политики информационных барьеров определяет, соответствует ли обмен данным политикам IB.

Управление сегментами информационных барьеров

Управление сегментами IB осуществляется в Портал соответствия требованиям Microsoft Purview или с помощью командлетов PowerShell. Дополнительные сведения см. в разделе Шаг 2. Сегментирование пользователей в организации.

Важно!

Поддержка назначения пользователей нескольким сегментам доступна только в том случае, если ваша организация не находится в устаревшем режиме . Чтобы определить, находится ли ваша организация в устаревшем режиме, см. раздел Проверка режима IB для вашей организации).

Пользователям разрешено назначать только один сегмент для организаций в устаревшем режиме . Организации в устаревшем режиме будут иметь право на обновление до последней версии информационных барьеров в будущем. Дополнительные сведения см. в статье Стратегия информационных барьеров.

Управление политиками информационных барьеров

Политики IB управляются в Портал соответствия требованиям Microsoft Purview или с помощью командлетов PowerShell. Дополнительные сведения см. в разделе Шаг 3. Создание политик IB.

Важно!

Перед настройкой или определением политик необходимо включить поиск по каталогам с заданной областью в Microsoft Teams. Подождите по крайней мере несколько часов после включения поиска в каталоге с заданной областью, прежде чем настраивать или определять политики для информационных барьеров. Дополнительные сведения см. в разделе Определение политик информационных барьеров.

Роль администратора информационных барьеров

Роль IB Compliance Management отвечает за управление политиками IB. Дополнительные сведения об этой роли см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview.

Триггеры информационных барьеров

Политики IB активируются при выполнении следующих событий Teams:

  • Добавление участников в группу. Каждый раз, когда вы добавляете пользователя в группу, его политику следует оценивать с учетом политик IB других участников группы. После успешного добавления пользователя пользователь может выполнять все функции в команде без дополнительных проверок. Если политика пользователя блокирует его добавление в группу, пользователь не будет отображаться при поиске.

    Снимок экрана: поиск нового участника для добавления в группу и отсутствие совпадений.

  • Запрос нового чата. Каждый раз, когда пользователь запрашивает новый чат с одним или несколькими пользователями, чат оценивается, чтобы убедиться в отсутствии нарушения политик IB. Если данная беседа нарушает политику IB, она не будет начата.

    Ниже приведен пример личного чата.

    Снимок экрана: заблокированное общение в чате 1:1.

    Ниже приведен пример группового чата.

    Снимок экрана: групповой чат.

  • Приглашение пользователя присоединиться к собранию. Если пользователя пригласили присоединиться к собранию, политика IB, применяемая к пользователю, оценивается с учетом политик IB, которые применяются к другим участникам группы. В случае нарушения пользователю не будет разрешено присоединиться к собранию.

    Снимок экрана: пользователь, заблокированный на собрании.

  • Совместное использование экрана двумя или более пользователями. Если пользователь демонстрирует экран другим пользователям, демонстрацию экрана следует оценить, чтобы убедиться в отсутствии нарушения политик IB других пользователей. Если политика IB нарушена, демонстрация экрана не будет разрешена.

    Ниже приведен пример общего доступа к экрану перед применением политики.

    Снимок экрана: пользовательский чат.

    Ниже приведен пример демонстрации экрана после применения политики. Значки вызова и демонстрации экрана не отображаются.

    Снимок экрана: user char с заблокированными параметрами.

  • Пользователь размещает телефонный звонок в Teams. Каждый раз, когда пользователь инициирует голосовой звонок (через VOIP) другому пользователю или группе пользователей, звонок оценивается так, чтобы убедиться, что он не нарушает политики IB других участников команды. В случае нарушения голосовой звонок блокируется.

  • Гости в Teams. Политики IB также применяются к гостям в Teams. Если гости должны быть доступны в глобальном списке адресов вашей организации, см. статью Управление гостевым доступом в Группы Microsoft 365. После обнаружения гостей можно определить политики IB.

Влияние изменений политики на существующие чаты

Когда администратор политики IB вносит изменения в политику или изменение политики активируется из-за изменения профиля пользователя (например, для изменения задания), служба оценки политик информационного барьера автоматически выполняет поиск участников, чтобы убедиться, что их членство в команде не нарушает никаких политик.

Если между пользователями существует чат или другое взаимодействие, а также установлена новая политика или меняется существующая политика, служба оценивает существующие сообщения, чтобы убедиться, что они по-прежнему разрешены.

  • Личный чат. Если общение между двумя пользователями больше не разрешено (из-за применения к одному или обоим пользователям политики, блокирующей коммуникацию), дальнейшее общение блокируется. Существующие беседы в чате становятся доступными только для чтения.

    Ниже приведен пример, показывающий, что чат виден.

    Снимок экрана: пользовательский чат доступен.

    Ниже приведен пример, показывающий, что чат отключен.

    Снимок экрана: чат пользователя отключен.

  • Групповой чат. Если общение от одного пользователя к группе больше запрещено (например, из-за того, что пользователь изменил задания), пользователь вместе с другими пользователями, участие которых нарушает политику, может быть удален из группового чата, а дальнейшее общение с группой не будет разрешено. Пользователь по-прежнему может видеть старые беседы, но не сможет видеть новые беседы с группой или участвовать в ней. Если новая или измененная политика, препятствующая обмену данными, применяется к нескольким пользователям, пользователи, затронутые политикой, могут быть удалены из группового чата. Они по-прежнему могут видеть старые разговоры.

    В этом примере Enrico перемещен в другой отдел организации и удаляется из группового чата.

    Снимок экрана: групповой чат, из которого был удален пользователь.

    Enrico больше не может отправлять сообщения в групповой чат.

    Снимок экрана: невозможность отправки сообщений в групповой чат, так как пользователь был удален из группы.

  • Группа. Все пользователи, которые были удалены из группы, удаляются из группы участников и не могут просматривать существующие либо новые беседы или участвовать в них.

Сценарий. Пользователь в существующем чате блокируется

В настоящее время пользователи сталкиваются со следующими сценариями, если политика IB блокирует другого пользователя:

  • вкладка Люди. Пользователь не может видеть заблокированных пользователей на вкладке Люди.

  • Люди средства выбора: заблокированные пользователи не будут отображаться в элементе выбора людей.

    Снимок экрана: Teams оповещает пользователя о том, что политика предотвращает отображение информации другого пользователя.

  • Вкладка Действие. Если пользователь посещает вкладку Действия заблокированного пользователя, записи не будут отображаться. (На вкладке Действие отображаются только записи канала, и между двумя пользователями не будет общих каналов.)

    Ниже приведен пример заблокированного представления вкладки действий.

    Снимок экрана: заблокированная вкладка действий.

  • Организационные диаграммы. Если пользователь обращается к организационной диаграмме, на которой отображается заблокированный пользователь, заблокированный пользователь не будет отображаться на организационной диаграмме. Вместо этого появится сообщение об ошибке.

  • Люди карта. Если пользователь участвует в беседе, а пользователь позже заблокирован, другие пользователи увидят сообщение об ошибке вместо людей, карта при наведении указателя мыши на имя заблокированного пользователя. Действия, перечисленные в карта (например, звонки и чат), будут недоступны.

  • Рекомендуемые контакты. Заблокированные пользователи не отображаются в списке предлагаемых контактов (начальный список контактов, который отображается для новых пользователей).

  • Контакты чата. Пользователь может видеть заблокированных пользователей в списке контактов чатов, но заблокированные пользователи будут идентифицированы. Единственное действие, которое пользователь может выполнить с заблокированными пользователями, — удалить их. Пользователь также может выбрать их для просмотра прошлой беседы.

  • Контакты звонков. Пользователь может видеть заблокированных пользователей в списке контактов, но заблокированные пользователи будут идентифицированы. Единственное действие, которое пользователь может выполнить с заблокированными пользователями, — удалить их.

    Ниже приведен пример заблокированного пользователя в списке контактов звонков.

    Снимок экрана: чат пользователя.

    Ниже приведен пример отключения чата для пользователя в списке содержимого звонков.

    Снимок экрана: пользователь, заблокированный в чате.

  • Миграция из Skype в Teams. Во время миграции из Skype для бизнеса в Teams все пользователи, даже те пользователи, которые заблокированы политиками IB, будут перенесены в Teams. Затем эти пользователи обрабатываются, как описано выше.

Политики Teams и сайты SharePoint

При создании группы подготавливается сайт SharePoint, связанный с Microsoft Teams, для работы с файлами. Политики информационных барьеров по умолчанию не применяются к этому сайту SharePoint и файлам. Чтобы включить информационные барьеры в SharePoint и OneDrive, следуйте инструкциям в статье Использование информационных барьеров с SharePoint .

Режимы информационных барьеров и Teams

Режимы информационных барьеров помогают укрепить пользователей, которые могут быть добавлены в группу или удалены из нее. При использовании информационных барьеров в Teams поддерживаются следующие режимы IB:

  • Открыть. Эта конфигурация является режимом IB по умолчанию для всех существующих групп, которые были подготовлены до включения информационных барьеров. В этом режиме политики IB не применяются.
  • Неявно. Эта конфигурация является режимом IB по умолчанию, когда команда подготавливается после включения информационных барьеров. Неявный режим позволяет добавлять в группу всех совместимых пользователей.
  • Модерация владельца. Этот режим устанавливается в команде, когда вы хотите разрешить совместную работу между несовместимыми пользователями сегмента, которые модерируются владельцем. Владелец команды может добавлять новых участников в своей политике IB.

Команды Teams, созданные перед активацией политики информационных барьеров в клиенте, по умолчанию автоматически задается в режим Открытия . После активации политик IB в клиенте необходимо обновить режим существующих команд до неявного , чтобы убедиться, что существующие команды соответствуют требованиям IB. Дополнительные сведения о режимах обновления см. в статье Изменение режимов информационных барьеров с помощью скрипта PowerShell.

Используйте командлет Set-UnifiedGroup с параметром InformationBarrierMode , который соответствует режиму, который вы хотите использовать для сегментов. Допустимый список значений для параметра InformationBarrierMode : Open, Неявный и Owner Moderated.

Например, чтобы настроить неявный режим для группы Microsoft 365, используйте следующую команду PowerShell:

Set-UnifiedGroup -InformationBarrierMode Implicit

Чтобы обновить режим с Open на Неявный для всех существующих команд, используйте этот сценарий PowerShell.

Если вы измените конфигурацию открытого режима в существующих группах, подключенных к Teams, в соответствии с требованиями к соответствию для вашей организации, вам потребуется [обновить режимы IB]/microsoft-365/compliance/information-barriers-sharepoint#view-and-manage-ib-mode-as-an-administrator-with-sharepoint-powershell) для связанных сайтов SharePoint, подключенных к команде Teams.

Приложение политики IB в Teams

Приложение политики IB — это фоновый обработчик IB для Teams, который получает уведомление об изменениях пользователей (изменение политики или сегментов) или групп (изменение режима). В следующих шагах описывается поток обработки.

  • Приложение политики получает уведомление об изменении группы при обновлении режима и извлекает поток сообщений и идентификаторы групп, применимые к обновлению.
  • Если поток сообщений существует, обработка планируется, и все участники извлекаются из команды, а базовая группа отправляется в подчиненные компоненты Teams для оценки IB.
  • Оценивается режим в группах и политиках IB на пользователя, а результаты отправляются в приложение политики.
  • Приложение политики удаляет пользователей, не соответствующих требованиям, из группы и команды.

Обязательные лицензии и разрешения

Дополнительные сведения о лицензиях и разрешениях, планах и ценах см. в разделе Требования к подписке для информационных барьеров.

Заметки об использовании

  • Пользователи не могут присоединяться к нерегламентированным собраниям. Если включены политики IB, пользователям не разрешается присоединяться к собраниям, если размер списка участников собрания превышает ограничения на посещаемость собраний. Основная причина заключается в том, что проверки IB зависят от того, можно ли добавлять пользователей в список чатов собрания, и только если они могут быть добавлены в реестр, они могут присоединиться к собранию. Пользователь, присоединяющийся к собранию, добавляет этого пользователя в реестр; следовательно, для повторяющихся собраний реестр может быстро заполняться. Когда список чатов достигнет ограничений посещаемости собрания, дополнительные пользователи не смогут быть добавлены в собрание. Если IB включен для организации и список чатов заполнен для собрания, новые пользователи (те пользователи, которые еще не включены в реестр) не могут присоединиться к собранию. Но если IB не включен для организации и список чатов собраний заполнен, новые пользователи (те пользователи, которые еще не включены в реестр) могут присоединиться к собранию, хотя они не увидят параметр чата в собрании. Краткосрочным решением является удаление неактивных участников из списка чата собрания, чтобы освободить место для новых пользователей. Однако позже мы будем увеличивать размер списков чатов для собраний.
  • Пользователи не могут присоединяться к собраниям канала. Если включены политики IB, пользователям не разрешено присоединяться к собраниям канала, если они не являются членом команды. Основная причина заключается в том, что проверки IB зависят от того, можно ли добавлять пользователей в список чатов собрания, и только если они могут быть добавлены в реестр, они могут присоединиться к собранию. Поток чата в собрании канала доступен только участникам группы или канала, и пользователи, не являющиеся участниками, не могут видеть поток чата или получать к ней доступ. Если IB включен для организации и участник, не являющийся участником команды, пытается присоединиться к собранию канала, этот пользователь не может присоединиться к собранию. Однако если IB не включен* для организации и участник, не являющийся участником команды, пытается присоединиться к собранию канала, пользователю разрешено присоединиться к собранию, но он не увидит параметр чата на собрании.
  • Политики IB не работают для федеративных пользователей. Если разрешить федерацию с внешними организациями, пользователи этих организаций не будут ограничены политиками IB. Если пользователи вашей организации присоединяются к чату или собранию, организованному внешними федеративными пользователями, политики IB также не будут ограничивать обмен данными между пользователями вашей организации.

Дополнительные сведения

Доступность

Информационные барьеры в Teams доступны в общедоступных облаках GCC, GCC — High и DOD.