Поделиться через

Начало работы с информационными барьерами

В этой статье описывается настройка политик информационного барьера (IB) в организации. Необходимо выполнить несколько шагов, поэтому перед настройкой политик IB просмотрите весь процесс.

Используйте портал Microsoft Purview или Office 365 PowerShell для обеспечения безопасности и соответствия требованиям, чтобы настроить IB в организации. Для организаций, которые настраивают IB впервые, рекомендуется использовать решение "Информационные барьеры" на портале Microsoft Purview. Если вы управляете существующей конфигурацией IB и вам удобно использовать PowerShell, у вас по-прежнему есть эта возможность.

Дополнительные сведения о сценариях и функциях IB см. в статье Сведения о информационных барьерах.

Совет

Чтобы помочь в подготовке плана, в этой статье приведен пример сценария .

Необходимые подписки и разрешения

Прежде чем приступить к работе с IB, подтвердите подписку на Microsoft 365 и все надстройки. Чтобы получить доступ к IB и использовать их, ваша организация должна иметь вспомогательные подписки или надстройки. Дополнительные сведения см. в разделе Требования к подписке для информационных барьеров.

Для управления политиками IB необходимо назначить одну из следующих ролей:

  • Глобальный администратор Microsoft 365
  • Глобальный администратор Office 365
  • Администратор соответствия требованиям
  • Управление соответствием требованиям IB

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.

Основные понятия конфигурации

При настройке IB вы работаете с несколькими объектами и понятиями.

  • Атрибуты учетной записи пользователя: идентификатор Microsoft Entra (или Exchange Online) определяет эти атрибуты. Эти атрибуты могут включать отдел, должность, расположение, имя команды и другие сведения профиля должности. Пользователи или группы назначаются сегментам с этими атрибутами.

  • Сегменты. Эти наборы групп или пользователей определяются на портале Microsoft Purview или с помощью PowerShell. Они используют выбранные атрибуты группы или учетной записи пользователя.

    В вашей организации может быть до 5000 сегментов, а пользователям можно назначить не более 10 сегментов. Дополнительные сведения см. в списке поддерживаемых атрибутов IB .

    Важно!

    Поддержка 5000 сегментов и назначение пользователей нескольким сегментам доступна только в том случае, если ваша организация не находится в устаревшем режиме. Назначение пользователей нескольким сегментам требует дополнительных действий для изменения режима информационных барьеров для вашей организации. Дополнительные сведения см . в разделе Использование поддержки нескольких сегментов в разделе Информационные барьеры.

    Для организаций в устаревшем режиме максимальное число поддерживаемых сегментов составляет 250, а пользователям разрешено назначать только один сегмент. Организации в устаревшем режиме имеют право на обновление до последней версии Информационных барьеров в будущем. Дополнительные сведения см. в статье Стратегия информационных барьеров.

  • Политики IB. Эти политики определяют ограничения связи или ограничения. При определении политик IB можно выбрать один из двух типов политик:

    • Блокировка политик не позволяет одному сегменту общаться с другим сегментом.

    • Разрешение политик позволяет одному сегменту общаться только с некоторыми другими сегментами.

      Примечание.

      Для организаций в устаревшем режиме: группы и пользователи, не относящиеся к IB, не видны пользователям, включенным в сегменты IB и политики для политик разрешений . Если вам нужно, чтобы группы и пользователи, не относящиеся к IB, были видны пользователям, включенным в сегменты и политики IB, необходимо использовать политики блокировки .

      Для организаций в режиме SingleSegment или MultiSegment: группы и пользователи, не относящиеся к IB, видны пользователям, включенным в сегменты и политики IB.

      Сведения о проверке режима IB см. в разделе Проверка режима IB для вашей организации.

  • Приложение политики. После их определения применяются все политики IB.

  • Видимость пользователей и групп, не относящихся к IB. Пользователи и группы, не относящиеся к IB, являются пользователями и группами, исключенными из сегментов и политик IB. В зависимости от того, когда вы настраиваете политики IB в организации и типа политик IB (блокировать или разрешить), поведение этих пользователей и групп отличается в Microsoft Teams, SharePoint, OneDrive и в глобальном списке адресов.

    • Для организаций в устаревшем режиме: для пользователей, определенных в политиках разрешений , группы и пользователи, не относящиеся к IB, не видны пользователям, включенным в сегменты и политики IB. Для пользователей, определенных в политиках блоков , группы и пользователи, не относящиеся к IB, видны пользователям, включенным в сегменты и политики IB.
    • Для организаций в режиме SingleSegment или MultiSegment: группы и пользователи, не относящиеся к IB, видны пользователям, включенным в сегменты и политики IB.

  • Поддержка групп. Сейчас IB поддерживает только современные группы. Группы Списки распространения и группы безопасности рассматриваются как группы, отличные от IB.

  • Скрытые или отключенные учетные записи пользователей и гостевых учетных записей. Для скрытых или отключенных учетных записей пользователей и гостевых учетных записей в организации параметр HiddenFromAddressListEnabled автоматически устанавливается в значение True , если учетные записи пользователей скрыты или отключены или создаются гостевые учетные записи. Если для организаций с поддержкой IB используется устаревший режим организации, эти учетные записи не могут взаимодействовать со всеми другими учетными записями пользователей. Администраторы могут отключить это поведение по умолчанию, вручную задав для параметра HiddenFromAddressListEnabled значение False.

Общие сведения о конфигурации

Действия Задействованные средства
Шаг 1. Убедитесь, что выполнены предварительные требования — Убедитесь, что у вас есть необходимые подписки и разрешения.
– Убедитесь, что каталог содержит данные для сегментации пользователей
— Включение поиска по имени для Microsoft Teams
– Убедитесь, что ведение журнала аудита включено
— Проверьте режим IB для вашей организации.
— настройка реализации политик адресной книги Exchange (в зависимости от того, когда вы включаете IB в вашей организации).
Шаг 2. Сегментирование пользователей в организации — Определите, какие политики вам нужны.
– Составьте список сегментов для определения
– Определите, какие атрибуты следует использовать
– Определите сегменты в контексте фильтров политик
Шаг 3. Создание политик информационных барьеров — Создайте политики (пока не применяйте их).
– Выберите один из двух вариантов (блокировать или разрешить)
Шаг 4. Применение политик информационных барьеров – Активируйте политики
– Запустите применение политик
– Просмотрите состояние политик
Шаг 5. Настройка информационных барьеров в SharePoint и OneDrive (необязательно) — Настройка IB для SharePoint и OneDrive
Шаг 6. Режимы информационных барьеров (необязательно) — Обновление режимов IB, если применимо.
Шаг 7. Настройка возможности обнаружения пользователей для информационных барьеров (необязательно) — Включите или ограничьте возможность обнаружения пользователей в IB с помощью средства выбора людей, если применимо.

Шаг 1. Убедитесь, что выполнены предварительные требования

Помимо необходимых подписок и разрешений, перед настройкой IB убедитесь, что вы соответствуете следующим требованиям:

  • Данные каталога. Убедитесь, что структура организации отражена в данных каталога. Чтобы выполнить это действие, убедитесь, что атрибуты учетной записи пользователя (например, членство в группе, название отдела и другие атрибуты) правильно заполнены в идентификаторе Microsoft Entra или Exchange Online. Для получения дополнительных сведений ознакомьтесь с приведенными ниже ресурсами.

  • Поиск в каталоге с областью. Прежде чем определить первую политику IB в своей организации, необходимо включить поиск по каталогам с заданной областью в Microsoft Teams. Подождите по крайней мере 24 часа после включения поиска в каталоге с заданной областью, прежде чем настраивать или определять политики IB.

  • Проверка включения ведения журнала аудита. Чтобы узнать состояние приложения политики IB, необходимо включить ведение журнала аудита. По умолчанию аудит для организаций Microsoft 365 включен. Некоторые организации могут отключить аудит по определенным причинам. Если аудит отключен для вашей организации, это может быть связано с тем, что другой администратор отключил его. При выполнении этого этапа рекомендуем удостовериться, что включать аудит безопасно. Дополнительные сведения см. в статье Включение и отключение поиска в журнале аудита.

  • Проверьте режим IB для вашей организации. Поддержка нескольких сегментов, возможности обнаружения людей, exchange ABP и другие функции определяются режимом IB для вашей организации. Сведения о проверке режима IB для организации см. в разделе Проверка режима IB для организации.

  • Удалите существующие политики адресной книги Exchange Online (необязательно):

    • Для организаций в устаревшем режиме. Прежде чем определять и применять политики IB, удалите все существующие политики Exchange Online адресной книги в организации. Политики IB основаны на политиках адресной книги, а существующие политики ASP несовместимы с ASP, созданными IB. Сведения об удалении существующих политик адресной книги см. в статье Удаление политики адресной книги в Exchange Online. Дополнительные сведения о политиках IB и Exchange Online см. в разделе Информационные барьеры и Exchange Online.
    • Для организаций в режиме SingleSegment или MultiSegment: информационные барьеры больше не основаны на политиках адресной книги Exchange Online (ASP). Организации, использующие ASP, не будут оказывать никакого влияния на существующие ASP при включении информационных барьеров.

  • Управление с помощью PowerShell (необязательно). Вы можете определять сегменты и политики IB и управлять ими на портале Microsoft Purview или использовать PowerShell Office 365 безопасность & соответствия требованиям. Хотя в этой статье приведено несколько примеров, необходимо ознакомиться с командлетами и параметрами PowerShell, если вы решили использовать PowerShell для настройки сегментов и политик IB и управления ими. Если выбран этот параметр конфигурации, вам также потребуется пакет SDK Для Microsoft Graph PowerShell .

После выполнения всех предварительных требований перейдите к следующему шагу.

Шаг 2. Сегментирование пользователей в организации

На этом шаге вы определите необходимые политики IB, составьте список сегментов для определения и определите сегменты. Определение сегментов не влияет на пользователей; это просто создает почву для определения и применения политик IB.

Определение необходимых политик

Рассмотрите потребности вашей организации и определите группы в организации, которым нужны политики IB. Задайте себе перечисленные ниже вопросы.

  • Существуют ли внутренние, юридические или отраслевые правила, требующие ограничения связи и совместной работы между группами и пользователями в вашей организации?
  • Существуют ли группы или пользователи, которым следует запретить общаться с другой группой пользователей?
  • Существуют ли группы или пользователи, которые должны разрешать общаться только с одной или двумя другими группами пользователей?

Подумайте о необходимых политиках, относящихся к одному из двух типов:

  • Политики блокировки предотвращают взаимодействие между группами.
  • Разрешить политики позволяют группе взаимодействовать только с определенными группами.

Когда у вас есть начальный список необходимых групп и политик, перейдите к определению сегментов, необходимых для политик IB.

Определение сегментов

В дополнение к первоначальному списку политик составьте список сегментов для вашей организации. Пользователи, включенные в политики IB, должны принадлежать по крайней мере к одному сегменту. При необходимости пользователи могут быть назначены нескольким сегментам. В организации может быть до 5000 сегментов, и к каждому сегменту может применяться только одна политика IB.

Важно!

В организациях с устаревшими режимами или режимами SingleSegement пользователь может принадлежать только к одному сегменту. Сведения о проверке режима IB см. в разделе Проверка режима IB для вашей организации.

Определите, какие атрибуты в данных каталога организации будут использоваться для определения сегментов. Можно использовать Department, MemberOf или любой из поддерживаемых атрибутов IB. Убедитесь, что в атрибуте, выбранном для пользователей, есть значения. Дополнительные сведения см. в разделе Поддерживаемые атрибуты для IB.

Важно!

Прежде чем перейти к следующему разделу, убедитесь, что в данных каталога есть значения атрибутов, которые можно использовать для определения сегментов. Если в данных каталога нет значений атрибутов, которые вы хотите использовать, обновите учетные записи пользователей, чтобы они включали эти сведения, прежде чем продолжить настройку IB. Справку см. в следующих ресурсах:

- Настройка свойств учетной записи пользователя с помощью Office 365 PowerShell
- Добавление или обновление сведений профиля пользователя с помощью идентификатора Microsoft Entra

Включение поддержки нескольких сегментов для пользователей (необязательно)

Поддержка назначения пользователей нескольким сегментам доступна только в том случае, если ваша организация не находится в устаревшем режиме . Сведения о поддержке назначения пользователей для нескольких сегментов см . в статье Использование поддержки нескольких сегментов в разделе Информационные барьеры.

Пользователи могут быть назначены только одному сегменту для организаций в устаревшем режиме . Организации в устаревшем режиме имеют право на обновление до последней версии Информационных барьеров в будущем. Дополнительные сведения см. в статье Стратегия информационных барьеров.

Определение сегментов с помощью порталов

Чтобы определить сегменты, выполните следующие действия.

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в вашей организации.
  2. Выберите решение Информационные барьеры карта. Если карта решения "Информационные барьеры" не отображается, выберите Просмотреть все решения, а затем выберите Информационные барьеры в разделе Соответствие требованиям & рисков.
  3. Выберите Сегменты.
  4. На странице Сегменты выберите Создать сегмент , чтобы создать и настроить новый сегмент.
  5. На странице Имя введите имя сегмента. Вы не можете переименовать сегмент после его создания.
  6. Нажмите кнопку Далее.
  7. На странице Фильтр группы пользователей нажмите кнопку Добавить , чтобы настроить атрибуты группы и пользователя для сегмента. Выберите атрибут для сегмента из списка доступных атрибутов.
  8. Для выбранного атрибута выберите Равно или Не равно , а затем введите значение атрибута. Например, если вы выбрали Department в качестве атрибута и Equals, вы можете ввести Marketing в качестве определенного отдела для этого условия сегмента. Выберите Добавить условие , чтобы добавить дополнительные условия для атрибута. Чтобы удалить атрибут или условие атрибута, щелкните значок удаления для атрибута или условия.
  9. Добавьте дополнительные атрибуты по мере необходимости на страницу фильтра группы пользователей , а затем нажмите кнопку Далее.
  10. На странице Просмотр параметров просмотрите параметры, выбранные для сегмента, а также все предложения или предупреждения для выбранных вариантов. Выберите Изменить , чтобы изменить любые атрибуты и условия сегмента, или нажмите кнопку Отправить , чтобы создать сегмент.

Определение сегментов с помощью PowerShell

Чтобы определить сегменты с помощью PowerShell, выполните следующие действия.

  1. Используйте командлет New-OrganizationSegment с параметром UserGroupFilter , который соответствует атрибуту , который вы хотите использовать.

    Синтаксис Пример
    New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'" New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"

    В этом примере вы определяете сегмент с именем HR с помощью hr, значения в атрибуте Department . Часть командлета -eq ссылается на "equals". (Кроме того, можно использовать -ne для обозначения "не равно". См . раздел Использование "equals" и "not equals" в определениях сегментов.)

    После выполнения каждого командлета отобразится список сведений о новом сегменте. Сведения о типе сегмента, о том, кто его создал или в последний раз изменил, и т. д.

  2. Повторите эти действия для каждого сегмента, который нужно определить.

После определения сегментов перейдите к шагу 3. Создание политик IB.

Использование "равно" и "не равно" в определениях сегментов PowerShell

В следующем примере вы настраиваете сегменты IB с помощью PowerShell. Вы определяете сегмент таким образом, чтобы "Отдел равняется персоналу".

Пример Примечание.
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" Определение сегмента включает параметр equals, обозначаемый как -eq.

Сегменты также можно определить с помощью параметра "не равно", обозначаемого как -ne, как показано в следующей таблице:

Синтаксис Пример
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" Вы определяете сегмент с именем NotSales , который включает всех, кто не входит в продажи. Часть командлета -ne ссылается на "не равно".

Помимо определения сегментов с помощью "равно" или "не равно", можно определить сегмент с помощью параметров "equals" и "not equals". Вы также можете определить сложные фильтры групп с помощью логических операторов AND и OR .

Синтаксис Пример
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" Вы определяете сегмент с именем LocalFTE , который включает пользователей, которые находятся локально и позиции которых не указаны как временные.
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq '[email protected]'' -and MemberOf -ne '[email protected]'" Вы определяете сегмент с именем Segment1 , который включает пользователей, которые являются членами [email protected] , а не членами [email protected].
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq '[email protected]' -or MemberOf -ne '[email protected]'" Вы определяете сегмент с именем Segment2 , который включает пользователей, которые являются членами [email protected] , а не членами [email protected].
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq '[email protected]' -or MemberOf -eq '[email protected]') -and MemberOf -ne '[email protected]'" Вы определяете сегмент с именем Segment1and2 , который включает пользователей в [email protected] , а [email protected] не члены [email protected].

Совет

По возможности используйте определения сегментов, включающие "-eq" или "-ne". Старайтесь не определять сложные определения сегментов.

Шаг 3. Создание политик IB

При создании политик IB решите, следует ли запретить обмен данными между определенными сегментами или ограничить обмен данными определенными сегментами. В идеале используйте минимальное количество политик IB, чтобы обеспечить соответствие вашей организации внутренним, юридическим и отраслевым требованиям. Для создания и применения политик IB можно использовать портал Microsoft Purview или PowerShell.

Совет

Для обеспечения согласованности взаимодействия с пользователем рекомендуется использовать политики блокировки для большинства сценариев, если это возможно.

Со списком сегментов пользователей и политиками IB, которые вы хотите определить, выберите сценарий и выполните действия.

Важно!

Не назначайте сегменту более одной политики. Например, если вы определяете одну политику для сегмента с именем Продажи, не определяйте дополнительную политику для сегмента Sales .

При определении политик IB присвойте этим политикам неактивное состояние, пока не будете готовы к их применению. Определение (или изменение) политик не влияет на пользователей до тех пор, пока вы не присвойте этим политикам активное состояние, а затем примените их.

Сценарий 1. Блокировка коммуникации между сегментами

Если вы хотите запретить сегменты взаимодействовать друг с другом, определите две политики: по одной для каждого направления. Каждая политика блокирует обмен данными только в одном направлении.

Предположим, что вы хотите заблокировать обмен данными между сегментами A и B. Определите две политики:

  • Одна политика, препятствующая обмену данными с сегментом B в сегменте A
  • Вторая политика, запрещающая обмен данными с сегментом B с сегментом A

Создание политик с помощью порталов для сценария 1

Чтобы создать политики, выполните следующие действия.

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в вашей организации.

  2. Выберите решение Информационные барьеры карта. Если карта решения "Информационные барьеры" не отображается, выберите Просмотреть все решения, а затем выберите Информационные барьеры в разделе Соответствие требованиям & рисков.

  3. Выберите Политики.

  4. На странице Политики выберите Создать политику , чтобы создать и настроить новую политику IB.

  5. На странице Имя введите имя политики, а затем нажмите кнопку Далее.

  6. На странице Назначенный сегмент выберите Выбрать сегмент. Используйте поле поиска для поиска сегмента по имени или прокрутите его, чтобы выбрать сегмент из отображаемого списка. Нажмите кнопку Добавить , чтобы добавить выбранный сегмент в политику. Можно выбрать только один сегмент.

  7. Нажмите кнопку Далее.

  8. На странице Взаимодействие и совместная работа выберите тип политики в поле Взаимодействие и совместная работа . Параметры политики: Разрешено или Заблокировано. В этом примере сценария выберите Заблокировано для первой политики.

    Важно!

    После создания политики нельзя изменить состояние Разрешено и Заблокировано для сегментов. Чтобы изменить состояние, удалите политику и создайте новую.

  9. Выберите Выбрать сегмент , чтобы определить действия для целевого сегмента. На этом шаге можно назначить несколько сегментов. Например, если вы хотите запретить пользователям в сегменте Sales взаимодействовать с пользователями в сегменте "Исследование", определите сегмент "Продажи " на шаге 5 и назначьте на этом шаге пункт "Исследование " в параметре "Выбрать сегмент ".

  10. Нажмите кнопку Далее.

  11. На странице Состояние политики установите переключатель состояние активной политики в положение Вкл. Нажмите кнопку Далее, чтобы продолжить.

  12. На странице Просмотр параметров просмотрите параметры, выбранные для политики, а также все предложения или предупреждения для выбранных вариантов. Выберите Изменить , чтобы изменить любой из сегментов и состояния политики, или нажмите кнопку Отправить , чтобы создать политику.

В этом примере повторите предыдущие шаги, чтобы создать вторую политику блокировки , чтобы ограничить пользователей в сегменте Под названием "Исследование " от общения с пользователями в сегменте Sales. Определите сегмент "Исследование " на шаге 5 и назначьте продажи (или несколько сегментов) в параметре Выбрать сегмент .

Создание политик с помощью PowerShell для сценария 1

Чтобы определить политики с помощью PowerShell, выполните следующие действия.

  1. Чтобы определить первую политику блокировки, используйте командлет New-InformationBarrierPolicy с параметром SegmentsBlocked .

    Синтаксис Пример
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsBlocked "segmentBname" New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

    В этом примере вы определяете политику с именем Sales-Research для сегмента с именем Sales. Если эта политика активна и применяется, пользователи sales не могут взаимодействовать с пользователями в сегменте под названием "Исследования".

  2. Чтобы определить второй блокирующий сегмент, снова используйте командлет New-InformationBarrierPolicy с параметром SegmentsBlocked , на этот раз с обратными сегментами.

    Пример Примечание.
    New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive В этом примере вы определяете политику с именем Research-Sales , чтобы предотвратить обмен данными сSales.

  3. Выполните одно из следующих действий:

Сценарий 2. Разрешение сегменту взаимодействовать только с одним другим сегментом

Если вы хотите разрешить сегменту взаимодействовать только с одним другим сегментом, определите две политики: по одной для каждого направления. Каждая политика разрешает обмен данными только в одном направлении.

В этом примере определите две политики:

  • Одна политика, которая позволяет сегменту А взаимодействовать с сегментом B
  • Вторая политика, позволяющая сегменту B взаимодействовать с сегментом A

Создание политик с помощью порталов для сценария 2

Чтобы создать политики, выполните следующие действия.

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в вашей организации.

  2. Выберите решение Информационные барьеры карта. Если карта решения "Информационные барьеры" не отображается, выберите Просмотреть все решения, а затем выберите Информационные барьеры в разделе Соответствие требованиям & рисков.

  3. На странице Политики выберите Создать политику , чтобы создать и настроить новую политику IB.

  4. На странице Имя введите имя политики, а затем нажмите кнопку Далее.

  5. На странице Назначенный сегмент выберите Выбрать сегмент. Используйте поле поиска для поиска сегмента по имени или прокрутите его, чтобы выбрать сегмент из отображаемого списка. Нажмите кнопку Добавить , чтобы добавить выбранный сегмент в политику. Можно выбрать только один сегмент.

  6. Нажмите кнопку Далее.

  7. На странице Взаимодействие и совместная работа выберите тип политики в поле Взаимодействие и совместная работа . Параметры политики: Разрешено или Заблокировано. В этом примере сценария выберите Разрешено для политики.

    Важно!

    После создания политики нельзя изменить состояние Разрешено и Заблокировано для сегментов. Чтобы изменить состояние, удалите политику и создайте новую.

  8. Выберите Выбрать сегмент , чтобы определить действия для целевого сегмента. На этом шаге можно назначить несколько сегментов. Например, если вы хотите разрешить пользователям в сегменте "Производство" взаимодействовать с пользователями в сегменте с именем HR, определите сегмент "Производство" на шаге 5 и назначьте отдел кадров в параметре Выбрать сегмент на этом шаге.

  9. Нажмите кнопку Далее.

  10. На странице Состояние политики установите переключатель состояние активной политики в положение Вкл. Нажмите кнопку Далее, чтобы продолжить.

  11. На странице Просмотр параметров просмотрите параметры, выбранные для политики, а также все предложения или предупреждения для выбранных вариантов. Выберите Изменить , чтобы изменить любой из сегментов и состояния политики, или нажмите кнопку Отправить , чтобы создать политику.

  12. Повторите предыдущие шаги, чтобы создать вторую политику разрешения , чтобы разрешить пользователям в сегменте "Исследования " взаимодействовать с пользователями в сегменте Sales. Определите сегмент "Исследование " на шаге 5 и назначьте продажи (или несколько сегментов) в параметре Выбрать сегмент .

Создание политики с помощью PowerShell для сценария 2

Чтобы определить политики с помощью PowerShell, выполните следующие действия.

  1. Чтобы разрешить одному сегменту взаимодействовать с другим сегментом, используйте командлет New-InformationBarrierPolicy с параметром SegmentsAllowed .

    Синтаксис Пример
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname","segment1name" New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State Inactive

    В этом примере вы определяете политику с именем Manufacturing-HR для сегмента с именем Производство. Если эта политика активна и применяется, пользователи в производственной среде могут взаимодействовать только с пользователями в сегменте с именем HR. В этом случае производство не может общаться с пользователями, которые не являются частью отдела кадров.

    При необходимости можно указать несколько сегментов с помощью этого командлета, как показано в следующем примере.

    Синтаксис Пример
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname", "segmentCname","segmentDname" New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State Inactive

    В этом примере вы определяете политику, которая позволяет сегменту "Исследования " взаимодействовать только с отделом кадров и производством.

    Повторите этот шаг для каждой политики, которую вы хотите определить, чтобы разрешить определенным сегментам взаимодействовать только с определенными определенными сегментами.

  2. Чтобы определить второй разрешенный сегмент, снова используйте командлет New-InformationBarrierPolicy с параметром SegmentsAllowed , на этот раз с обратными сегментами.

    Пример Примечание.
    New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsAllowed "Sales" -State Inactive В этом примере вы определяете политику с именем Research-Sales , чтобы разрешить исследованию взаимодействовать с Sales.

  3. Выполните одно из следующих действий:

Шаг 4. Применение политик IB

Политики IB вступают в силу, когда вы устанавливаете для них активное состояние и применяете политики.

Применение политик с помощью порталов

Чтобы применить политики, выполните следующие действия.

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в вашей организации.

  2. Выберите решение Информационные барьеры карта. Если карта решения "Информационные барьеры" не отображается, выберите Просмотреть все решения, а затем выберите Информационные барьеры в разделе Соответствие требованиям & рисков.

  3. Выберите Приложение политики.

  4. На странице приложения Политики выберите Применить все политики , чтобы применить все политики IB в организации.

    Примечание.

    Упустите 30 минут, чтобы система начала применять политики. Система применяет политики пользователей по пользователям и обрабатывает около 5000 учетных записей пользователей в час.

Применение политик с помощью PowerShell

Чтобы применить политики с помощью PowerShell, выполните следующие действия.

  1. Используйте командлет Get-InformationBarrierPolicy , чтобы просмотреть список определенных политик. Обратите внимание на состояние и идентификатор (GUID) каждой политики.

    Синтаксис: Get-InformationBarrierPolicy

  2. Используйте командлет Set-InformationBarrierPolicy с параметром Identity , а параметр Stateактивным , чтобы задать для политики активное состояние.

    Синтаксис Пример
    Set-InformationBarrierPolicy -Identity GUID -State Active Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Active

    В этом примере мы задаем политику IB с идентификатором GUID 43c37853-ea10-4b90-a23d-ab8c93772471 в активное состояние.

    Повторите этот шаг для каждой политики.

  3. Завершив настройку активного состояния политик IB, используйте командлет Start-InformationBarrierPoliciesApplication в PowerShell для соответствия требованиям безопасности &.

    Синтаксис: Start-InformationBarrierPoliciesApplication

    После запуска Start-InformationBarrierPoliciesApplication подождите 30 минут, чтобы система начала применять политики. Система применяет политики пользователей по пользователям и обрабатывает около 5000 учетных записей пользователей в час.

Просмотр состояния учетных записей пользователей, сегментов, политик или приложений политик

С помощью PowerShell можно просматривать состояние учетных записей пользователей, сегментов, политик и приложений политик, как указано в следующей таблице.

Просмотр этих сведений Выполните это действие
Учетные записи пользователей Используйте командлет Get-ExoInformationBarrierRelationship с параметрами RecipientId.

Синтаксис: Get-ExoInformationBarrierRelationship -RecipientId1 <value> -RecipientId2 <value>

Можно использовать любое значение, уникально определяющее каждого пользователя, например имя, псевдоним, различающееся имя, каноническое доменное имя, адрес электронной почты или GUID.

Пример: Get-ExoInformationBarrierRelationship -RecipientId1 meganb -RecipientId2 alexw

В этом примере мы ссылаемся на две учетные записи пользователей в Office 365: meganb для Megan и alexw для Alex.

Этот командлет возвращает сведения о пользователях, например значения атрибутов и все применяемые политики IB.
Сегментов Используйте командлет Get-OrganizationSegment .

Синтаксис: Get-OrganizationSegment

Этот командлет отображает список всех сегментов, определенных для вашей организации.
Политики IB Используйте командлет Get-InformationBarrierPolicy .

Синтаксис: Get-InformationBarrierPolicy

Этот командлет отображает список определенных вами политик IB и их состояние.
Последнее приложение политики IB Используйте командлет Get-InformationBarrierPoliciesApplicationStatus .

Синтаксис: Get-InformationBarrierPoliciesApplicationStatus

Этот командлет отображает сведения о том, завершено ли приложение политики, завершилось ли оно сбоем или выполняется.
Все приложения политики IB Используйте Get-InformationBarrierPoliciesApplicationStatus -All

Этот командлет отображает сведения о том, завершено ли приложение политики, завершилось ли оно сбоем или выполняется.

Что делать, если мне нужно удалить или изменить политики?

Доступны ресурсы, которые помогут вам управлять политиками IB.

Шаг 5. Настройка информационных барьеров в SharePoint и OneDrive

Если вы настраиваете IB для SharePoint и OneDrive, необходимо включить IB в этих службах. Кроме того, при настройке IB для Microsoft Teams необходимо включить IB в этих службах. При создании команды в Microsoft Teams вы автоматически создаете и связываете сайт SharePoint с Microsoft Teams для работы с файлами. По умолчанию политики IB не соблюдаются на этом новом сайте и файлах SharePoint.

Чтобы включить IB в SharePoint и OneDrive, следуйте инструкциям в статье Использование информационных барьеров с SharePoint .

Шаг 6. Режимы информационных барьеров (необязательно)

Режимы помогают улучшить доступ, общий доступ к ресурсу Microsoft 365 и членство в ней на основе режима IB ресурса. Группы Microsoft 365, Microsoft Teams, OneDrive и сайты SharePoint поддерживают режимы. Новая или существующая конфигурация IB автоматически включает режимы.

Следующие режимы IB поддерживают ресурсы Microsoft 365:

Режим Описание Пример
Открыть С ресурсом Microsoft 365 не связаны политики или сегменты IB. Любой пользователь может быть приглашен на участие в ресурсе. Сайт группы, созданный для мероприятия пикника для вашей организации.
Владелец модерирован Политика IB владельца ресурса определяет политику IB ресурса Microsoft 365. Владельцы ресурсов могут пригласить любого пользователя в ресурс на основе политик IB. Этот режим полезен, когда ваша компания хочет разрешить совместную работу между несовместимыми пользователями сегмента, которые владелец модерирует. Только владелец ресурса может добавлять новых участников в свою политику IB. VP отдела кадров хочет сотрудничать с виртуальными клиентами по продажам и исследованиям. Новый сайт SharePoint с модерируемым режимом владельца IB для добавления пользователей сегмента Sales и Research на один сайт. Владелец отвечает за добавление соответствующих членов в ресурс.
Неявный поток Политика IB членов ресурса определяет политику IB или сегменты ресурса Microsoft 365. Владелец может добавлять члены при условии, что они совместимы с существующими членами ресурса. Этот режим является режимом IB по умолчанию для Microsoft Teams. Пользователь сегмента продаж создает команду Microsoft Teams для совместной работы с другими совместимыми сегментами в организации.
Explicit Сегменты, связанные с ресурсом, определяют политику IB ресурса Microsoft 365. Владелец ресурса или администратор SharePoint может управлять сегментами ресурса. Сайт, созданный только для участников сегмента продаж для совместной работы путем связывания сегмента Sales с сайтом.
Mixed Применимо только к OneDrive. Сегменты, связанные с OneDrive, определяют политику IB OneDrive. Владелец ресурса или администратор OneDrive может управлять сегментами ресурса. OneDrive, созданный для совместной работы участников сегмента Sales, может предоставляться пользователям без тегов.

Обновления неявного режима

В зависимости от того, когда вы включили IB в организации, ваша организация находится в режиме устаревшей версии, singleSegment или MultiSegment . Сведения о проверке режима см. в статье Проверка режима IB для вашей организации.

Если ваша организация находится в режиме SingleSegment или MultiSegment , а режим информационных барьеров группы Teams неявный, группы и сайты, подключенные к Teams, не имеют связанных сегментов.

Дополнительные сведения о режимах IB и их настройке в разных службах см. в следующих статьях:

Шаг 7. Настройка возможности обнаружения пользователей для информационных барьеров (необязательно)

Политики информационных барьеров позволяют администраторам включать или отключать ограничения поиска в элементе выбора людей. По умолчанию для политик IB включено ограничение выбора людей. Например, политики IB, которые блокируют обмен данными между двумя конкретными пользователями, также могут запретить пользователям видеть друг друга при использовании средства выбора людей.

Важно!

Поддержка включения или отключения ограничений поиска доступна только в том случае, если ваша организация не находится в устаревшем режиме . Организации в устаревшем режиме не могут включать или отключать ограничения поиска. Включение или отключение ограничений поиска требует дополнительных действий для изменения режима информационных барьеров для организации. Дополнительные сведения см. в разделе Использование поддержки нескольких сегментов в разделе Информационные барьеры).

Организации в устаревшем режиме имеют право на обновление до последней версии Информационных барьеров в будущем. Дополнительные сведения см. в статье Стратегия информационных барьеров.

Чтобы отключить ограничение поиска в средстве выбора людей с помощью PowerShell, выполните следующие действия.

  1. Используйте командлет Set-PolicyConfig , чтобы отключить ограничение выбора людей:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'

Пример сценария: отделы, сегменты и политики Contoso

Чтобы увидеть, как организация может подойти к определению сегментов и политик, рассмотрим следующий пример сценария.

Отделы и план компании Contoso

Компания Contoso имеет пять отделов: отдел кадров, продаж, маркетинга, исследований и производства. В соответствии с отраслевыми правилами пользователи в некоторых отделах не могут общаться с другими отделами, как показано в следующей таблице:

Сегмент Может взаимодействовать с Не удается связаться с
HR Все пользователи (без ограничений)
Отдел продаж Отдел кадров, Маркетинг, Производство Справочные материалы
Отдел маркетинга Все пользователи (без ограничений)
Отдел исследований Отдел кадров, Маркетинг, Производство Отдел продаж
Отдел производства Отдел кадров, маркетинг Кто-либо, кроме отдела кадров или маркетинга

Для этой структуры план Contoso включает три политики IB:

  1. Политика IB, которая не позволяет sales взаимодействовать с research.
  2. Политика IB, которая не позволяет исследованию взаимодействовать с Sales.
  3. Политика IB, которая позволяет производству взаимодействовать только с отделом кадров и маркетингом.

В этом сценарии не нужно определять политики IB для отдела кадров или маркетинга.

Определенные сегменты Contoso

Contoso использует атрибут Department в идентификаторе Microsoft Entra для определения сегментов следующим образом:

Отдел Определение сегмента
Отдел кадров New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"
Отдел продаж New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'"
Отдел маркетинга New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'"
Отдел исследований New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'"
Отдел производства New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'"

После определения сегментов contoso определяет политики IB.

Политики IB Компании Contoso

Компания Contoso определяет три политики IB, как описано в следующей таблице:

Политика Определение политики
Политика 1. Запретить отделу продаж взаимодействовать с отделом исследований New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

В этом примере политика IB называется Sales-Research. При активации и применении этой политики пользователи в сегменте Sales не могут взаимодействовать с пользователями в сегменте "Исследования". Эта политика является односторонняя; это не мешает исследованию взаимодействовать с sales. Для этого требуется политика 2.
Политика 2. Запретить отделу исследований взаимодействовать с отделом продаж New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive

В этом примере политика IB называется Research-Sales. При активации и применении этой политики пользователи в сегменте "Исследования" не могут взаимодействовать с пользователями в сегменте Продажи.
Политика 3. Разрешить производству взаимодействовать только с отделом кадров и маркетингом New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive

В этом случае политика IB называется Manufacturing-HRMarketing. При активации и применении этой политики производство может взаимодействовать только с отделом кадров и маркетингом. Отдел кадров и маркетинг не ограничены в общении с другими сегментами.

После определения сегментов и политик компания Contoso применяет политики, выполнив командлет Start-InformationBarrierPoliciesApplication .

После завершения работы командлета Contoso будет соответствовать отраслевым требованиям.

Ресурсы

  • Last updated on