Начало работы с информационными барьерами
В этой статье описывается настройка политик информационных барьеров (IB) в организации. Необходимо выполнить несколько шагов, поэтому перед настройкой политик IB обязательно изучите весь процесс.
Вы настроите IB в своей организации с помощью портала Microsoft Purview, портала соответствия требованиям Microsoft Purview или с помощью PowerShell для обеспечения безопасности и соответствия требованиям Office 365. Для организаций, которые настраивают IB впервые, мы рекомендуем использовать решение Информационные барьеры на портале соответствия требованиям. Если вы управляете существующей конфигурацией IB и вам удобно использовать PowerShell, у вас по-прежнему есть эта возможность.
Дополнительные сведения о сценариях и функциях IB см. в статье Сведения о информационных барьерах.
Совет
Чтобы помочь в подготовке плана, в этой статье приведен пример сценария .
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Необходимые подписки и разрешения
Прежде чем приступить к работе с IB, необходимо подтвердить подписку на Microsoft 365 и все надстройки. Чтобы получить доступ к IB и использовать их, ваша организация должна иметь вспомогательные подписки или надстройки. Дополнительные сведения см. в разделе Требования к подписке для информационных барьеров.
Для управления политиками IB необходимо назначить одну из следующих ролей:
- Глобальный администратор Microsoft 365
- Глобальный администратор Office 365
- Администратор соответствия требованиям
- Управление соответствием требованиям IB
Важно!
Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
Основные понятия конфигурации
При настройке IB вы будете работать с несколькими объектами и понятиями.
Атрибуты учетной записи пользователя определяются в идентификаторе Microsoft Entra (или Exchange Online). Эти атрибуты могут включать отдел, должность, расположение, имя команды и другие сведения профиля должности. Вы назначите пользователей или группы сегментам с этими атрибутами.
Сегменты — это наборы групп или пользователей, определенные на портале Microsoft Purview, на портале соответствия требованиям или с помощью PowerShell, использующего выбранные атрибуты группы или учетной записи пользователя.
В вашей организации может быть до 5000 сегментов, а пользователям можно назначить не более 10 сегментов. Дополнительные сведения см. в списке поддерживаемых атрибутов IB .
Важно!
Поддержка 5000 сегментов и назначение пользователей нескольким сегментам доступна только в том случае, если ваша организация не находится в устаревшем режиме. Назначение пользователей нескольким сегментам требует дополнительных действий по изменению режима информационных барьеров для вашей организации. Дополнительные сведения см. в разделе Использование многосегментной поддержки в информационных барьерах .
Для организаций в устаревшем режиме максимальное число поддерживаемых сегментов составляет 250, а пользователям разрешено назначать только один сегмент. Организации в устаревшем режиме будут иметь право на обновление до последней версии информационных барьеров в будущем. Дополнительные сведения см. в статье Стратегия информационных барьеров.Политики IB определяют ограничения связи или ограничения. При определении политик IB можно выбрать один из двух типов политик:
Блокировка политик не позволяет одному сегменту общаться с другим сегментом.
Разрешение политик позволяет одному сегменту общаться только с некоторыми другими сегментами.
Примечание.
Для организаций в устаревшем режиме: группы и пользователи, не относящиеся к IB, не будут видны пользователям, включенным в сегменты IB и политики для политик разрешений . Если вам нужно, чтобы группы и пользователи, не относящиеся к IB, были видны пользователям, включенным в сегменты и политики IB, необходимо использовать политики блокировки .
Для организаций в режиме SingleSegment или MultiSegment: группы и пользователи, не относящиеся к IB, будут видны пользователям, включенным в сегменты и политики IB.
Сведения о проверке режима IB см. в разделе Проверка режима IB для вашей организации.
Приложение политики выполняется после того, как будут определены все политики IB, и вы будете готовы применить их в своей организации.
Видимость пользователей и групп, не относящихся к IB. Пользователи и группы, не относящиеся к IB, являются пользователями и группами, исключенными из сегментов и политик IB. В зависимости от того, когда вы настраиваете политики IB в организации и типа политик IB (блокировать или разрешить), поведение этих пользователей и групп будет отличаться в Microsoft Teams, SharePoint, OneDrive и в глобальном списке адресов.
- Для организаций в устаревшем режиме: для пользователей, определенных в политиках разрешений , группы и пользователи, не относящиеся к IB, не будут видны пользователям, включенным в сегменты и политики IB. Для пользователей, определенных в политиках блоков , группы и пользователи, не относящиеся к IB, будут видны пользователям, включенным в сегменты и политики IB.
- Для организаций в режиме SingleSegment или MultiSegment: группы и пользователи, не относящиеся к IB, будут видны пользователям, включенным в сегменты и политики IB.
Поддержка групп. В настоящее время в IB поддерживаются только современные группы, а списки рассылки и группы безопасности рассматриваются как группы, отличные от IB.
Скрытые или отключенные учетные записи пользователей и гостевых учетных записей. Для скрытых или отключенных учетных записей пользователей и гостевых учетных записей в вашей организации параметр HiddenFromAddressListEnabled автоматически устанавливается в значение True , если учетные записи пользователей скрыты или отключены, или при создании гостевой учетной записи. Если для организаций с поддержкой IB используется устаревший режим организации, эти учетные записи не могут взаимодействовать со всеми другими учетными записями пользователей. Администраторы могут отключить это поведение по умолчанию, вручную задав для параметра HiddenFromAddressListEnabled значение False.
Общие сведения о конфигурации
Действия | Задействованные средства |
---|---|
Шаг 1. Убедитесь, что выполнены предварительные требования | — Убедитесь, что у вас есть необходимые подписки и разрешения. – Убедитесь, что каталог содержит данные для сегментации пользователей — Включение поиска по имени для Microsoft Teams – Убедитесь, что ведение журнала аудита включено — Проверьте режим IB для вашей организации. — Настройка реализации политик адресной книги Exchange (в зависимости от того, когда вы включили IB в вашей организации). — предоставление согласия администратора для Microsoft Teams (шаги включены). |
Шаг 2. Сегментирование пользователей в организации | – Определите, какие политики необходимы – Составьте список сегментов для определения – Определите, какие атрибуты следует использовать – Определите сегменты в контексте фильтров политик |
Шаг 3. Создание политик информационных барьеров | — Создайте политики (пока не применяются) – Выберите один из двух вариантов (блокировать или разрешить) |
Шаг 4. Применение политик информационных барьеров | – Активируйте политики – Запустите применение политик – Просмотрите состояние политик |
Шаг 5. Настройка информационных барьеров в SharePoint и OneDrive (необязательно) | — Настройка IB для SharePoint и OneDrive |
Шаг 6. Режимы информационных барьеров (необязательно) | — Обновление режимов IB, если применимо. |
Шаг 7. Настройка возможности обнаружения пользователей для информационных барьеров (необязательно) | — Включите или ограничьте возможность обнаружения пользователей в IB с помощью средства выбора людей, если применимо. |
Шаг 1. Убедитесь, что выполнены предварительные требования
Помимо необходимых подписок и разрешений, перед настройкой IB убедитесь, что выполнены следующие требования:
Данные каталога. Убедитесь, что структура организации отражена в данных каталога. Чтобы выполнить это действие, убедитесь, что атрибуты учетной записи пользователя (например, членство в группе, название отдела и т. д.) правильно заполнены в идентификаторе Microsoft Entra (или Exchange Online). Для получения дополнительных сведений ознакомьтесь с приведенными ниже ресурсами.
Поиск в каталоге с областью. Прежде чем определить первую политику IB в своей организации, необходимо включить поиск по каталогам с заданной областью в Microsoft Teams. Подождите по крайней мере 24 часа после включения поиска в каталоге с заданной областью, прежде чем настраивать или определять политики IB.
Проверка включения ведения журнала аудита. Чтобы узнать состояние приложения политики IB, необходимо включить ведение журнала аудита. По умолчанию аудит для организаций Microsoft 365 включен. Некоторые организации могут отключить аудит по определенным причинам. Если аудит для вашей организации отключен, возможно, его отключил другой администратор. При выполнении этого этапа рекомендуем удостовериться, что включать аудит безопасно. Дополнительные сведения см. в статье Включение и отключение поиска в журнале аудита.
Проверьте режим IB для вашей организации. Поддержка нескольких сегментов, возможности обнаружения людей, exchange ABP и другие функции определяются режимом IB для вашей организации. Сведения о проверке режима IB для организации см. в разделе Проверка режима IB для организации.
Удалите существующие политики адресных книг Exchange Online (необязательно):
- Для организаций в устаревшем режиме. Прежде чем определять и применять политики IB, необходимо удалить все существующие политики адресной книги Exchange Online в организации. Политики IB основаны на политиках адресной книги, а существующие политики ASP несовместимы с ASP, созданными IB. Сведения об удалении существующих политик адресной книги см. в статье Удаление политики адресной книги в Exchange Online. Дополнительные сведения о политиках IB и Exchange Online см. в разделе Информационные барьеры и Exchange Online.
- Для организаций в режиме SingleSegment или MultiSegment: информационные барьеры больше не основаны на политиках адресной книги Exchange Online (ASP). Организации, использующие ASP, не будут оказывать никакого влияния на существующие ASP при включении информационных барьеров.
Управление с помощью PowerShell (необязательно): сегменты и политики IB можно определить и управлять ими на портале соответствия требованиям, но при необходимости можно также использовать PowerShell & соответствия требованиям Office 365. Хотя в этой статье приведено несколько примеров, вам потребуется ознакомиться с командлетами и параметрами PowerShell, если вы решили использовать PowerShell для настройки сегментов и политик IB и управления ими. При выборе этого параметра конфигурации вам также потребуется пакет SDK Для Microsoft Graph PowerShell .
После выполнения всех предварительных требований перейдите к следующему шагу.
Шаг 2. Сегментирование пользователей в организации
На этом шаге вы определите, какие политики IB необходимы, составьте список сегментов для определения и определите сегменты. Определение сегментов не влияет на пользователей, это просто задает этап для определения и последующего применения политик IB.
Определение необходимых политик
Учитывая потребности вашей организации, определите группы в организации, которым потребуются политики IB. Задайте себе перечисленные ниже вопросы.
- Существуют ли внутренние, юридические или отраслевые правила, требующие ограничения связи и совместной работы между группами и пользователями в вашей организации?
- Есть ли группы или пользователи, которым следует запретить общаться с другой группой пользователей?
- Существуют ли группы или пользователи, которым разрешено взаимодействовать только с одной или двумя другими группами пользователей?
Подумайте о необходимых политиках, относящихся к одному из двух типов:
- Политики блокировки предотвращают взаимодействие между группами.
- Разрешить политики позволяют группе взаимодействовать только с определенными группами.
Когда у вас есть начальный список необходимых групп и политик, перейдите к определению сегментов, необходимых для политик IB.
Определение сегментов
В дополнение к первоначальному списку политик составьте список сегментов для вашей организации. Пользователи, которые будут включены в политики IB, должны принадлежать по крайней мере к одному сегменту. При необходимости пользователи могут быть назначены нескольким сегментам. В организации может быть до 5000 сегментов, и к каждому сегменту может применяться только одна политика IB.
Важно!
Пользователь может находиться только в одном сегменте для организаций в режимах прежних версий или SingleSegement . Сведения о проверке режима IB см. в разделе Проверка режима IB для вашей организации.
Определите, какие атрибуты в данных каталога организации будут использоваться для определения сегментов. Можно использовать Department, MemberOf или любой из поддерживаемых атрибутов IB. Убедитесь, что в атрибуте, выбранном для пользователей, есть значения. Дополнительные сведения см. в разделе Поддерживаемые атрибуты для IB.
Важно!
Прежде чем перейти к следующему разделу, убедитесь, что в данных каталога есть значения атрибутов, которые можно использовать для определения сегментов. Если в данных каталога нет значений атрибутов, которые вы хотите использовать, необходимо обновить учетные записи пользователей, чтобы включить эти сведения, прежде чем приступить к настройке IB. Чтобы получить справку по этому вопросу, ознакомьтесь со следующими ресурсами:
- Настройка свойств учетной записи пользователя с помощью Office 365 PowerShell
- Добавление или обновление сведений профиля пользователя с помощью идентификатора Microsoft Entra
Включение поддержки нескольких сегментов для пользователей (необязательно)
Поддержка назначения пользователей нескольким сегментам доступна только в том случае, если ваша организация не находится в устаревшем режиме . Если вы хотите назначить пользователей нескольким сегментам, см. статью Использование поддержки нескольких сегментов в информационных барьерах.
Пользователям разрешено назначать только один сегмент для организаций в устаревшем режиме . Организации в устаревшем режиме будут иметь право на обновление до последней версии информационных барьеров в будущем. Дополнительные сведения см. в статье Стратегия информационных барьеров.
Определение сегментов с помощью порталов
Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. на портале соответствия требованиям Microsoft Purview.
Чтобы определить сегменты, выполните следующие действия.
- Войдите на портал Microsoft Purview , используя учетные данные для учетной записи администратора в вашей организации.
- Выберите карточку решения Информационные барьеры . Если карточка решения информационных барьеров не отображается, выберите Просмотреть все решения , а затем выберите Информационные барьеры в разделе Риск & соответствие .
- Выберите Сегменты.
- На странице Сегменты выберите Создать сегмент , чтобы создать и настроить новый сегмент.
- На странице Имя введите имя сегмента. После создания сегмента нельзя переименовать.
- Нажмите кнопку Далее.
- На странице Фильтр группы пользователей нажмите кнопку Добавить , чтобы настроить атрибуты группы и пользователя для сегмента. Выберите атрибут для сегмента из списка доступных атрибутов.
- Для выбранного атрибута выберите Равно или Не равно , а затем введите значение атрибута. Например, если вы выбрали Department в качестве атрибута и Equals, можно ввести Marketing в качестве определенного отдела для этого условия сегмента. Вы можете добавить дополнительные условия для атрибута, выбрав Добавить условие. Если необходимо удалить атрибут или условие атрибута, щелкните значок удаления для атрибута или условия.
- Добавьте дополнительные атрибуты при необходимости на страницу фильтра группы пользователей , а затем нажмите кнопку Далее.
- На странице Просмотр параметров просмотрите параметры, выбранные для сегмента, а также все предложения или предупреждения для выбранных вариантов. Выберите Изменить , чтобы изменить любые атрибуты и условия сегмента, или нажмите кнопку Отправить , чтобы создать сегмент.
Определение сегментов с помощью PowerShell
Чтобы определить сегменты с помощью PowerShell, выполните следующие действия.
Используйте командлет New-OrganizationSegment с параметром UserGroupFilter , который соответствует атрибуту , который вы хотите использовать.
Синтаксис Пример New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'"
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"
В этом примере сегмент с именем HR определяется с помощью hr, значения в атрибуте Department . Часть командлета -eq ссылается на "equals". (Кроме того, можно использовать -ne для обозначения "не равно". См . раздел Использование "equals" и "not equals" в определениях сегментов.)
После выполнения каждого командлета отобразится список сведений о новом сегменте. Сведения о типе сегмента, о том, кто его создал или в последний раз изменил, и т. д.
Повторите эти действия для каждого сегмента, который нужно определить.
После определения сегментов перейдите к шагу 3. Создание политик IB.
Использование "равно" и "не равно" в определениях сегментов PowerShell
В следующем примере мы настраиваем сегменты IB с помощью PowerShell и определяем сегмент таким образом, чтобы "Отдел равняется управлению персоналом".
Пример | Примечание. |
---|---|
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" |
Обратите внимание, что в этом примере определение сегмента включает параметр "equals", обозначаемый как -eq. |
Сегменты также можно определить с помощью параметра "не равно", обозначаемого как -ne, как показано в следующей таблице:
Синтаксис | Пример |
---|---|
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" |
В этом примере мы определили сегмент с именем NotSales , который включает всех, кто не находится в sales. Часть командлета -ne ссылается на "не равно". |
Помимо определения сегментов с помощью "равно" или "не равно", можно определить сегмент с помощью параметров "равно" и "не равно". Вы также можете определить сложные фильтры групп с помощью логических операторов AND и OR .
Синтаксис | Пример |
---|---|
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" |
В этом примере мы определили сегмент с именем LocalFTE , который включает пользователей, которые находятся локально и позиции которых не указаны как временные. |
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq '[email protected]'' -and MemberOf -ne '[email protected]'" |
В этом примере мы определили сегмент с именем Segment1 , который включает пользователей, которые являются членами [email protected] , а не членами [email protected]. |
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq '[email protected]' -or MemberOf -ne '[email protected]'" |
В этом примере мы определили сегмент с именем Segment2 , который включает пользователей, которые являются членами [email protected] , а не членами [email protected]. |
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq '[email protected]' -or MemberOf -eq '[email protected]') -and MemberOf -ne '[email protected]'" |
В этом примере мы определили сегмент с именем Segment1and2 , который включает пользователей в [email protected] , а [email protected] не члены [email protected]. |
Совет
По возможности используйте определения сегментов, включающие "-eq" или "-ne". Старайтесь не определять сложные определения сегментов.
Шаг 3. Создание политик IB
При создании политик IB вы определите, нужно ли запретить обмен данными между определенными сегментами или ограничить обмен данными определенными сегментами. В идеале вы будете использовать минимальное количество политик IB, чтобы убедиться, что ваша организация соответствует внутренним, юридическим и отраслевым требованиям. Для создания и применения политик IB можно использовать портал Microsoft Purview, портал соответствия требованиям или PowerShell.
Совет
Для обеспечения согласованности взаимодействия с пользователем рекомендуется использовать политики блокировки для большинства сценариев, если это возможно.
Со списком сегментов пользователей и политиками IB, которые вы хотите определить, выберите сценарий, а затем выполните действия.
- Сценарий 1. Блокировка связи между сегментами
- Сценарий 2. Разрешение сегменту взаимодействовать только с одним другим сегментом
Важно!
Убедитесь, что при определении политик сегменту не назначается более одной политики. Например, если вы определяете одну политику для сегмента с именем Продажи, не определяйте дополнительную политику для сегмента Sales .
Кроме того, при определении политик IB убедитесь, что они имеют неактивное состояние, пока не будете готовы к их применению. Определение (или изменение) политик не влияет на пользователей до тех пор, пока эти политики не будут настроены в активное состояние, а затем применены.
Сценарий 1. Блокировка коммуникации между сегментами
Если вы хотите запретить сегменты взаимодействовать друг с другом, определите две политики: по одной для каждого направления. Каждая политика блокирует обмен данными только в одном направлении.
Например, предположим, что вы хотите заблокировать обмен данными между сегментами A и B. В этом случае необходимо определить две политики:
- Одна политика, препятствующая обмену данными с сегментом B в сегменте A
- Вторая политика, запрещающая обмен данными с сегментом B с сегментом A
Создание политик с помощью порталов для сценария 1
Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. на портале соответствия требованиям Microsoft Purview.
Чтобы создать политики, выполните следующие действия.
Войдите на портал Microsoft Purview , используя учетные данные для учетной записи администратора в вашей организации.
Выберите карточку решения Информационные барьеры . Если карточка решения информационных барьеров не отображается, выберите Просмотреть все решения , а затем выберите Информационные барьеры в разделе Риск & соответствие .
Выберите Политики.
На странице Политики выберите Создать политику , чтобы создать и настроить новую политику IB.
На странице Имя введите имя политики, а затем нажмите кнопку Далее.
На странице Назначенный сегмент выберите Выбрать сегмент. Используйте поле поиска для поиска сегмента по имени или прокрутите его, чтобы выбрать сегмент из отображаемого списка. Нажмите кнопку Добавить , чтобы добавить выбранный сегмент в политику. Можно выбрать только один сегмент.
Нажмите кнопку Далее.
На странице Взаимодействие и совместная работа выберите тип политики в поле Взаимодействие и совместная работа . Параметры политики: Разрешено или Заблокировано. В этом примере для первой политики будет выбран параметр Заблокировано .
Важно!
Состояние Разрешено и Заблокировано для сегментов нельзя изменить после создания политики. Чтобы изменить состояние после создания политики, необходимо удалить политику и создать новую.
Выберите Выбрать сегмент , чтобы определить действия для целевого сегмента. На этом шаге можно назначить несколько сегментов. Например, если вы хотите запретить пользователям в сегменте Sales взаимодействовать с пользователями в сегменте с именем "Исследования", вы бы определили сегмент "Продажи " на шаге 5 и назначили бы на этом шаге пункт "Исследование " в параметре "Выбрать сегмент ".
Нажмите кнопку Далее.
На странице Состояние политики установите переключатель состояние активной политики в положение Вкл. Нажмите кнопку Далее, чтобы продолжить.
На странице Просмотр параметров просмотрите параметры, выбранные для политики, а также все предложения или предупреждения для выбранных вариантов. Выберите Изменить , чтобы изменить любой из сегментов и состояния политики, или нажмите кнопку Отправить , чтобы создать политику.
В этом примере вы повторите предыдущие шаги, чтобы создать вторую политику блокировки , чтобы ограничить доступ пользователей в сегменте под названием "Исследование " от общения с пользователями в сегменте Sales. Вы бы определили сегмент "Исследование " на шаге 5 и назначали продажи (или несколько сегментов) в параметре Выбрать сегмент .
Создание политик с помощью PowerShell для сценария 1
Чтобы определить политики с помощью PowerShell, выполните следующие действия.
Чтобы определить первую политику блокировки, используйте командлет New-InformationBarrierPolicy с параметром SegmentsBlocked .
Синтаксис Пример New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsBlocked "segmentBname"
New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive
В этом примере мы определили политику с именем Sales-Research для сегмента с именем Sales. Если эта политика активна и применяется, пользователи sales не могут взаимодействовать с пользователями в сегменте под названием "Исследования".
Чтобы определить второй блокирующий сегмент, снова используйте командлет New-InformationBarrierPolicy с параметром SegmentsBlocked , на этот раз с обратными сегментами.
Пример Примечание. New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive
В этом примере мы определили политику под названием Research-Sales , чтобы предотвратить обмен данными сSales. Выполните одно из следующих действий:
- (При необходимости) Определение политики, позволяющей сегменту взаимодействовать только с одним другим сегментом
- (После определения всех политик) Применение политик IB
Сценарий 2. Разрешение сегменту взаимодействовать только с одним другим сегментом
Если вы хотите разрешить сегменту взаимодействовать только с одним другим сегментом, необходимо определить две политики: по одной для каждого направления. Каждая политика разрешает обмен данными только в одном направлении.
В этом примере вы определите две политики:
- Одна политика позволяет сегменту А взаимодействовать с сегментом B
- Вторая политика, позволяющая сегменту B взаимодействовать с сегментом A
Создание политик с помощью порталов для сценария 2
Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. на портале соответствия требованиям Microsoft Purview.
Чтобы создать политики, выполните следующие действия.
Войдите на портал Microsoft Purview , используя учетные данные для учетной записи администратора в вашей организации.
Выберите карточку решения Информационные барьеры . Если карточка решения информационных барьеров не отображается, выберите Просмотреть все решения , а затем выберите Информационные барьеры в разделе Риск & соответствие .
На странице Политики выберите Создать политику , чтобы создать и настроить новую политику IB.
На странице Имя введите имя политики, а затем нажмите кнопку Далее.
На странице Назначенный сегмент выберите Выбрать сегмент. Используйте поле поиска для поиска сегмента по имени или прокрутите его, чтобы выбрать сегмент из отображаемого списка. Нажмите кнопку Добавить , чтобы добавить выбранный сегмент в политику. Можно выбрать только один сегмент.
Нажмите кнопку Далее.
На странице Взаимодействие и совместная работа выберите тип политики в поле Взаимодействие и совместная работа . Параметры политики: Разрешено или Заблокировано. В этом примере для политики будет выбран параметр Разрешено .
Важно!
Состояние Разрешено и Заблокировано для сегментов нельзя изменить после создания политики. Чтобы изменить состояние после создания политики, необходимо удалить политику и создать новую.
Выберите Выбрать сегмент , чтобы определить действия для целевого сегмента. На этом шаге можно назначить несколько сегментов. Например, если вы хотите разрешить пользователям в сегменте "Производство" взаимодействовать с пользователями в сегменте с именем HR, вы бы определили сегмент "Производство " на шаге 5 и назначали бы отдел кадров в параметре Выбрать сегмент на этом шаге.
Нажмите кнопку Далее.
На странице Состояние политики установите переключатель состояние активной политики в положение Вкл. Нажмите кнопку Далее, чтобы продолжить.
На странице Просмотр параметров просмотрите параметры, выбранные для политики, а также все предложения или предупреждения для выбранных вариантов. Выберите Изменить , чтобы изменить любой из сегментов и состояния политики, или нажмите кнопку Отправить , чтобы создать политику.
В этом примере вы повторите предыдущие шаги, чтобы создать вторую политику разрешить пользователям в сегменте Research взаимодействовать с пользователями в сегменте Sales. Вы бы определили сегмент "Исследование " на шаге 5 и назначали продажи (или несколько сегментов) в параметре Выбрать сегмент .
Создание политики с помощью PowerShell для сценария 2
Чтобы определить политики с помощью PowerShell, выполните следующие действия.
Чтобы разрешить одному сегменту взаимодействовать с другим сегментом, используйте командлет New-InformationBarrierPolicy с параметром SegmentsAllowed .
Синтаксис Пример New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname","segment1name"
New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State Inactive
В этом примере мы определили политику с именем Manufacturing-HR для сегмента с именем Производство. Если эта политика активна и применяется, пользователи в производственной среде могут взаимодействовать только с пользователями в сегменте с именем HR. В этом случае производство не может общаться с пользователями, которые не являются частью отдела кадров.
При необходимости можно указать несколько сегментов с помощью этого командлета, как показано в следующем примере.
Синтаксис Пример New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname", "segmentCname","segmentDname"
New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State Inactive
В этом примере мы определили политику, которая позволяет сегменту "Исследования " взаимодействовать только с отделом кадров и производством.
Повторите этот шаг для каждой политики, которую вы хотите определить, чтобы разрешить определенным сегментам взаимодействовать только с определенными определенными сегментами.
Чтобы определить второй разрешенный сегмент, снова используйте командлет New-InformationBarrierPolicy с параметром SegmentsAllowed , на этот раз с обратными сегментами.
Пример Примечание. New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsAllowed "Sales" -State Inactive
В этом примере мы определили политику под названием Research-Sales , чтобы разрешить исследованию взаимодействовать с Sales. Выполните одно из следующих действий:
- (При необходимости) Определение политики для блокировки обмена данными между сегментами
- (После определения всех политик) Применение политик IB
Шаг 4. Применение политик IB
Политики IB не действуют до тех пор, пока вы не присвойте им активное состояние и не примените политики.
Применение политик с помощью порталов
Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. на портале соответствия требованиям Microsoft Purview.
Чтобы применить политики, выполните следующие действия.
Войдите на портал Microsoft Purview , используя учетные данные для учетной записи администратора в вашей организации.
Выберите карточку решения Информационные барьеры . Если карточка решения информационных барьеров не отображается, выберите Просмотреть все решения , а затем выберите Информационные барьеры в разделе Риск & соответствие .
Выберите Приложение политики.
На странице приложения Политики выберите Применить все политики , чтобы применить все политики IB в организации.
Примечание.
Упустите 30 минут, чтобы система начала применять политики. Система применяет политики последовательно к каждому пользователю. Система обрабатывает около 5000 учетных записей пользователей в час.
Применение политик с помощью PowerShell
Чтобы применить политики с помощью PowerShell, выполните следующие действия.
Используйте командлет Get-InformationBarrierPolicy , чтобы просмотреть список определенных политик. Обратите внимание на состояние и идентификатор (GUID) каждой политики.
Синтаксис:
Get-InformationBarrierPolicy
Чтобы задать активное состояние политики, используйте командлет Set-InformationBarrierPolicy с параметром Identity , а для параметра State — значение Активно.
Синтаксис Пример Set-InformationBarrierPolicy -Identity GUID -State Active
Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Active
В этом примере мы задаем политику IB с идентификатором GUID 43c37853-ea10-4b90-a23d-ab8c93772471 в активное состояние.
Повторите этот шаг в соответствии с каждой политикой.
Завершив настройку активного состояния политик IB, используйте командлет Start-InformationBarrierPoliciesApplication в PowerShell для соответствия требованиям безопасности &.
Синтаксис:
Start-InformationBarrierPoliciesApplication
После запуска
Start-InformationBarrierPoliciesApplication
подождите 30 минут, чтобы система начала применять политики. Система применяет политики последовательно к каждому пользователю. Система обрабатывает около 5000 учетных записей пользователей в час.
Просмотр состояния учетных записей пользователей, сегментов, политик или приложений политик
С помощью PowerShell можно просматривать состояние учетных записей пользователей, сегментов, политик и приложений политик, как показано в следующей таблице.
Просмотр этих сведений | Выполните это действие |
---|---|
Учетные записи пользователей | Используйте командлет Get-InformationBarrierRecipientStatus с параметрами identity. Синтаксис: Можно использовать любое значение, уникально определяющее каждого пользователя, например имя, псевдоним, различающееся имя, каноническое доменное имя, адрес электронной почты или GUID. Пример: В этом примере мы ссылаемся на две учетные записи пользователей в Office 365: meganb для Megan и alexw для Alex. (Этот командлет также можно использовать для одного пользователя: Этот командлет возвращает сведения о пользователях, например значения атрибутов и все применяемые политики IB. |
Сегментов | Используйте командлет Get-OrganizationSegment . Синтаксис: Этот командлет отображает список всех сегментов, определенных для вашей организации. |
Политики IB | Используйте командлет Get-InformationBarrierPolicy . Синтаксис: Этот командлет отображает список определенных политик IB и их состояние. |
Последнее приложение политики IB | Используйте командлет Get-InformationBarrierPoliciesApplicationStatus . Синтаксис: Этот командлет отображает сведения о том, завершено ли приложение политики, завершилось ли оно сбоем или выполняется. |
Все приложения политики IB | Используйте Get-InformationBarrierPoliciesApplicationStatus -All Этот командлет отображает сведения о том, завершено ли приложение политики, завершилось ли оно сбоем или выполняется. |
Что делать, если мне нужно удалить или изменить политики?
Доступны ресурсы, которые помогут вам управлять политиками IB.
- Сведения об изменении, остановке и удалении политик IB см. в статье Управление политиками информационных барьеров.
- Если что-то пойдет не так с IB, см. статью Устранение информационных барьеров.
Шаг 5. Настройка информационных барьеров в SharePoint и OneDrive
Если вы настраиваете IB для SharePoint и OneDrive, необходимо включить IB в этих службах. Вам также потребуется включить IB в этих службах, если вы настраиваете IB для Microsoft Teams. При создании команды в команде Microsoft Teams сайт SharePoint автоматически создается и связывается с Microsoft Teams для работы с файлами. Политики IB не учитываются на этом новом сайте и файлах SharePoint по умолчанию.
Чтобы включить IB в SharePoint и OneDrive, следуйте инструкциям в статье Использование информационных барьеров с SharePoint .
Шаг 6. Режимы информационных барьеров (необязательно)
Режимы помогают улучшить доступ, общий доступ к ресурсу Microsoft 365 и членство в ней на основе режима IB ресурса. Режимы поддерживаются на сайтах групп Microsoft 365, Microsoft Teams, OneDrive и SharePoint и автоматически включаются в новой или существующей конфигурации IB.
В ресурсах Microsoft 365 поддерживаются следующие режимы IB:
Режим | Описание | Пример |
---|---|---|
Открыть | С ресурсом Microsoft 365 не связаны политики или сегменты IB. Любой пользователь может быть приглашен на участие в ресурсе. | Сайт группы, созданный для мероприятия пикника для вашей организации. |
Владелец модерирован | Политика IB ресурса Microsoft 365 определяется из политики IB владельца ресурса. Владельцы ресурсов могут пригласить любого пользователя в ресурс на основе политик IB. Этот режим полезен, когда ваша компания хочет разрешить совместную работу между несовместимыми пользователями сегмента, которые модерируются владельцем. Только владелец ресурса может добавлять новых участников в свою политику IB. | VP отдела кадров хочет сотрудничать с виртуальными клиентами по продажам и исследованиям. Новый сайт SharePoint с модерируемым режимом владельца IB для добавления пользователей сегмента Sales и Research на один сайт. Владелец отвечает за добавление соответствующих членов в ресурс. |
Неявный поток | Политика IB или сегменты ресурса Microsoft 365 наследуются от политики IB членов ресурсов. Владелец может добавлять члены при условии, что они совместимы с существующими членами ресурса. Этот режим является режимом IB по умолчанию для Microsoft Teams. | Пользователь сегмента продаж создает команду Microsoft Teams для совместной работы с другими совместимыми сегментами в организации. |
Explicit | Политика IB ресурса Microsoft 365 соответствует сегментам, связанным с ресурсом. Владелец ресурса или администратор SharePoint может управлять сегментами ресурса. | Сайт, созданный только для участников сегмента продаж для совместной работы путем связывания сегмента Sales с сайтом. |
Mixed | Применимо только к OneDrive. Политика IB OneDrive соответствует сегментам, связанным с OneDrive. Владелец ресурса или администратор OneDrive может управлять сегментами ресурса. | OneDrive, созданный для совместной работы участников сегмента Sales, может предоставляться пользователям без тегов. |
Обновления неявного режима
В зависимости от того, когда вы включили IB в своей организации, ваша организация будет находиться в режиме устаревшей версии, singleSegment или MultiSegment . Сведения о проверке режима см. в статье Проверка режима IB для вашей организации.
Если ваша организация находится в режиме SingleSegment или MultiSegment и режим информационных барьеров группы Teams является неявным, группы и сайты, подключенные к Teams, не будут иметь связанных с ней сегментов.
Дополнительные сведения о режимах IB и их настройке в разных службах см. в следующих статьях:
- Режимы информационных барьеров и Microsoft Teams
- Режимы информационных барьеров и OneDrive
- Режимы информационных барьеров и SharePoint
Шаг 7. Настройка возможности обнаружения пользователей для информационных барьеров (необязательно)
Политики информационных барьеров позволяют администраторам включать или отключать ограничения поиска в выборе людей. По умолчанию для политик IB включено ограничение выбора людей. Например, политики IB, которые блокируют обмен данными между двумя конкретными пользователями, также могут запретить пользователям видеть друг друга при использовании средства выбора людей.
Важно!
Поддержка включения или отключения ограничений поиска доступна только в том случае, если ваша организация не находится в устаревшем режиме . Организации в устаревшем режиме не могут включать или отключать ограничения поиска. Включение или отключение ограничений поиска требует дополнительных действий по изменению режима информационных барьеров для вашей организации. Дополнительные сведения см. в разделе Использование многосегментной поддержки в информационных барьерах ).
Организации в устаревшем режиме будут иметь право на обновление до последней версии информационных барьеров в будущем. Дополнительные сведения см. в статье Стратегия информационных барьеров.
Чтобы отключить ограничение поиска в средстве выбора людей с помощью PowerShell, выполните следующие действия.
- Используйте командлет Set-PolicyConfig , чтобы отключить ограничение выбора людей:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'
Пример сценария: отделы, сегменты и политики Contoso
Чтобы увидеть, как организация может подойти к определению сегментов и политик, рассмотрим следующий пример сценария.
Отделы и план компании Contoso
Компания Contoso имеет пять отделов: отдел кадров, продаж, маркетинга, исследований и производства. Чтобы обеспечить соответствие отраслевым нормативным требованиям, пользователи в некоторых отделах не должны взаимодействовать с другими отделами, как показано в следующей таблице:
Сегмент | Может взаимодействовать с | Не удается связаться с |
---|---|---|
HR | Все пользователи | (без ограничений) |
Отдел продаж | Отдел кадров, Маркетинг, Производство | Справочные материалы |
Маркетинг | Все пользователи | (без ограничений) |
Отдел исследований | Отдел кадров, Маркетинг, Производство | Отдел продаж |
Отдел производства | Отдел кадров, маркетинг | Кто-либо, кроме отдела кадров или маркетинга |
Для этой структуры план Contoso включает три политики IB:
- Политика IB, предназначенная для предотвращения взаимодействия sales с research
- Другая политика IB, запрещающая обмен данными с sales.
- Политика IB, предназначенная для того, чтобы разрешить производству взаимодействовать только с отделом кадров и маркетингом.
В этом сценарии нет необходимости определять политики IB для отдела кадров или маркетинга.
Определенные сегменты Contoso
Contoso будет использовать атрибут Department в идентификаторе Microsoft Entra для определения сегментов следующим образом:
Отдел | Определение сегмента |
---|---|
Отдел кадров | New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" |
Отдел продаж | New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'" |
Отдел маркетинга | New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'" |
Отдел исследований | New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'" |
Отдел производства | New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'" |
Определив сегменты, Contoso переходит к определению политик IB.
Политики IB Компании Contoso
Компания Contoso определяет три политики IB, как описано в следующей таблице:
Политика | Определение политики |
---|---|
Политика 1. Запретить отделу продаж взаимодействовать с отделом исследований | New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive В этом примере политика IB называется Sales-Research. Если эта политика активна и применена, она запрещает пользователям из сегмента "Отдел продаж" взаимодействовать с пользователями из сегмента "Отдел исследований". Эта политика является односторонняя; это не помешает исследованию взаимодействовать с Sales. Для этого требуется политика 2. |
Политика 2. Запретить отделу исследований взаимодействовать с отделом продаж | New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive В этом примере политика IB называется Research-Sales. Если эта политика активна и применена, она запрещает пользователям из сегмента "Отдел исследований" взаимодействовать с пользователями из сегмента "Отдел продаж". |
Политика 3. Разрешить производству взаимодействовать только с отделом кадров и маркетингом | New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive В этом случае политика IB называется Manufacturing-HRMarketing. Если эта политика активна и применена, отдел производства может взаимодействовать только с отделом кадров и отделом маркетинга. Отдел кадров и маркетинг не ограничены в общении с другими сегментами. |
Определив сегменты и политики, компания Contoso применяет политики, выполнив командлет Start-InformationBarrierPoliciesApplication .
После завершения работы командлета Contoso будет соответствовать отраслевым требованиям.
Ресурсы
- Сведения об информационных барьерах
- Использование поддержки нескольких сегментов в информационных барьерах
- Дополнительные сведения о информационных барьерах в Microsoft Teams
- Дополнительные сведения о информационных барьерах в SharePoint Online
- Дополнительные сведения о информационных барьерах в OneDrive