Erste Schritte mit Informationsbarrieren
In diesem Artikel wird beschrieben, wie Sie Richtlinien für Informationsbarrieren (Information Barrier, IB) in Ihrem organization konfigurieren. Es sind mehrere Schritte erforderlich. Überprüfen Sie daher unbedingt den gesamten Prozess, bevor Sie mit der Konfiguration von IB-Richtlinien beginnen.
Sie konfigurieren IB in Ihrem organization mithilfe des Microsoft Purview-Portals, des Microsoft Purview-Complianceportal oder mithilfe von Office 365 Security and Compliance PowerShell. Organisationen, die IB zum ersten Mal konfigurieren, empfehlen wir die Verwendung der Lösung informationsbarrieren im Complianceportal. Wenn Sie eine vorhandene IB-Konfiguration verwalten und mit PowerShell vertraut sind, haben Sie weiterhin diese Option.
Weitere Informationen zu IB-Szenarien und -Features finden Sie unter Informationen zu Informationsbarrieren.
Tipp
Um Sie bei der Vorbereitung Ihres Plans zu unterstützen, ist in diesem Artikel ein Beispielszenario enthalten.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Erforderliche Abonnements und Berechtigungen
Bevor Sie mit IB beginnen, sollten Sie Ihr Microsoft 365-Abonnement und alle Add-Ons bestätigen. Für den Zugriff auf und die Verwendung von IB muss Ihr organization über unterstützende Abonnements oder Add-Ons verfügen. Weitere Informationen finden Sie unter Abonnementanforderungen für Informationsbarrieren.
Zum Verwalten von IB-Richtlinien muss Ihnen eine der folgenden Rollen zugewiesen sein:
- Globaler Microsoft 365-Administrator
- Globaler Office 365-Administrator
- Complianceadministrator
- IB-Compliance-Management
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Konfigurationskonzepte
Wenn Sie IB konfigurieren, arbeiten Sie mit mehreren Objekten und Konzepten.
Benutzerkontoattribute werden in Microsoft Entra ID (oder Exchange Online) definiert. Diese Attribute können Abteilung, Position, Standort, Teamname und andere Auftragsprofildetails umfassen. Sie weisen Segmenten mit diesen Attributen Benutzer oder Gruppen zu.
Segmente sind Gruppen oder Benutzer, die im Microsoft Purview-Portal, im Complianceportal oder mithilfe von PowerShell definiert werden, die ausgewählte Gruppen- oder Benutzerkontoattribute verwendet.
Ihre organization kann bis zu 5.000 Segmente enthalten, und Benutzer können maximal 10 Segmenten zugewiesen werden. Weitere Informationen finden Sie in der Liste der von IB unterstützten Attribute .
Wichtig
Unterstützung für 5.000 Segmente und das Zuweisen von Benutzern zu mehreren Segmenten ist nur verfügbar, wenn sich Ihre organization nicht im Legacymodus befindet. Das Zuweisen von Benutzern zu mehreren Segmenten erfordert zusätzliche Aktionen zum Ändern des Informationsbarrieremodus für Ihre organization. Weitere Informationen finden Sie unter Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren .
Für Organisationen im Legacymodus wird maximal 250 Segmente unterstützt, und Benutzer können nur einem Segment zugewiesen werden. Organisationen im Legacymodus können in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.IB-Richtlinien bestimmen Kommunikationsgrenzwerte oder -einschränkungen. Wenn Sie IB-Richtlinien definieren, wählen Sie aus zwei Arten von Richtlinien:
Richtlinien zum Blockieren verhindern, dass ein Segment mit einem anderen kommuniziert.
Richtlinien zum Zulassen erlauben einem Segment, nur mit bestimmten anderen Segmenten zu kommunizieren.
Hinweis
Für Organisationen im Legacymodus: Nicht-IB-Gruppen und Benutzer sind für Benutzer, die in IB-Segmenten und Richtlinien für Zulassungsrichtlinien enthalten sind, nicht sichtbar. Wenn Nicht-IB-Gruppen und Benutzer für Benutzer sichtbar sein müssen, die in IB-Segmenten und -Richtlinien enthalten sind, müssen Sie Blockrichtlinien verwenden.
Für Organisationen im SingleSegment- oder MultiSegment-Modus: Nicht-IB-Gruppen und -Benutzer sind für Benutzer sichtbar, die in IB-Segmenten und -Richtlinien enthalten sind.
Informationen zum Überprüfen Ihres IB-Modus finden Sie unter Überprüfen des IB-Modus für Ihre organization.
Die Richtlinienanwendung erfolgt, nachdem alle IB-Richtlinien definiert wurden, und Sie sind bereit, sie in Ihrem organization anzuwenden.
Sichtbarkeit von Nicht-IB-Benutzern und -Gruppen: Nicht-IB-Benutzer und -Gruppen sind Benutzer und Gruppen, die von IB-Segmenten und -Richtlinien ausgeschlossen sind. Je nachdem, wann Sie IB-Richtlinien in Ihrem organization konfigurieren und welche Art von IB-Richtlinien (blockieren oder zulassen) verwendet werden, unterscheidet sich das Verhalten für diese Benutzer und Gruppen in Microsoft Teams, SharePoint, OneDrive und in Ihrer globalen Adressliste.
- Für Organisationen im Legacymodus: Für Benutzer, die in Zulassungsrichtlinien definiert sind, sind Nicht-IB-Gruppen und Benutzer für Benutzer, die in IB-Segmenten und -Richtlinien enthalten sind, nicht sichtbar. Für Benutzer, die in Blockrichtlinien definiert sind, sind Nicht-IB-Gruppen und -Benutzer für Benutzer sichtbar, die in IB-Segmenten und -Richtlinien enthalten sind.
- Für Organisationen im SingleSegment- oder MultiSegment-Modus: Nicht-IB-Gruppen und -Benutzer sind für Benutzer sichtbar, die in IB-Segmenten und -Richtlinien enthalten sind.
Gruppenunterstützung. Derzeit werden nur moderne Gruppen in IB unterstützt, und distribution Listen/Security Gruppen werden als Nicht-IB-Gruppen behandelt.
Ausgeblendete/deaktivierte Benutzer- und Gastkonten. Für ausgeblendete/deaktivierte Benutzer- und Gastkonten in Ihrem organization wird der HiddenFromAddressListEnabled-Parameter automatisch auf True festgelegt, wenn Benutzerkonten ausgeblendet oder deaktiviert sind oder wenn ein Gast erstellt wird. Wenn der organization Modus für IB-fähige Organisationen Legacy ist, werden diese Konten an der Kommunikation mit allen anderen Benutzerkonten gehindert. Administratoren können dieses Standardverhalten deaktivieren, indem sie den HiddenFromAddressListEnabled-Parameter manuell auf False festlegen.
Übersicht über die Konfiguration
Schritte | Was beteiligt ist |
---|---|
Schritt 1: Sicherstellen, dass die Voraussetzungen erfüllt sind | – Vergewissern Sie sich, dass Sie über die erforderlichen Abonnements und Berechtigungen verfügen. - Stellen Sie sicher, dass Ihr Verzeichnis Daten zur Segmentierung von Benutzern enthält – Aktivieren der Suche nach Namen für Microsoft Teams - Stellen Sie sicher, dass die Audit-Protokollierung aktiviert ist - Überprüfen Sie den IB-Modus für Ihre organization – Konfigurieren Sie, wie Exchange-Adressbuchrichtlinien implementiert werden (je nachdem, wann Sie IB in Ihrem organization aktiviert haben) - Erteilen der Administratoreinwilligung für Microsoft Teams (Schritte sind enthalten) |
Schritt 2: Segmentieren von Benutzern in Ihrem organization | - Bestimmen Sie, welche Richtlinien erforderlich sind - Erstellen Sie eine Liste der zu definierenden Segmente - Identifizieren Sie, welche Attribute verwendet werden sollen - Definieren Sie Segmente in Bezug auf Richtlinienfilter |
Schritt 3: Erstellen von Richtlinien für Informationsbarrieren | – Erstellen Sie Ihre Richtlinien (gilt noch nicht) - Wählen Sie aus zwei Arten (blockieren oder zulassen) |
Schritt 4: Anwenden von Richtlinien für Informationsbarrieren | - Versetzen Sie Richtlinien in den aktiven Status - Führen Sie die Richtlinienanwendung aus - Zeigen Sie den Richtlinienstatus an |
Schritt 5: Konfiguration für Informationsbarrieren auf SharePoint und OneDrive (optional) | – Konfigurieren von IB für SharePoint und OneDrive |
Schritt 6: Modi für Informationsbarrieren (optional) | - Ib-Modi aktualisieren, falls zutreffend |
Schritt 7: Konfigurieren der Auffindbarkeit von Benutzern für Informationsbarrieren (optional) | – Aktivieren oder einschränken Sie die Auffindbarkeit von Benutzern in IB mit der Personenauswahl, falls zutreffend. |
Schritt 1: Sicherstellen, dass die Voraussetzungen erfüllt sind
Stellen Sie zusätzlich zu den erforderlichen Abonnements und Berechtigungen sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie IB konfigurieren:
Verzeichnisdaten: Stellen Sie sicher, dass sich die Struktur Ihrer Organisation in den Verzeichnisdaten widerspiegelt. Um diese Aktion auszuführen, stellen Sie sicher, dass Benutzerkontoattribute (z. B. Gruppenmitgliedschaft, Abteilungsname usw.) in Microsoft Entra ID (oder Exchange Online) ordnungsgemäß aufgefüllt werden. Weitere Informationen hierzu finden Sie in den folgenden Ressourcen:
Bereichsbezogene Verzeichnissuche: Bevor Sie die erste IB-Richtlinie Ihres organization definieren, müssen Sie die bereichsbezogene Verzeichnissuche in Microsoft Teams aktivieren. Warten Sie nach dem Aktivieren der bereichsbezogenen Verzeichnissuche mindestens 24 Stunden, bevor Sie IB-Richtlinien einrichten oder definieren.
Überprüfen, ob die Überwachungsprotokollierung aktiviert ist: Um die status einer IB-Richtlinienanwendung nachzuschlagen, muss die Überwachungsprotokollierung aktiviert sein. Die Überwachung ist für Microsoft 365-Organisationen standardmäßig aktiviert. Einige Organisationen haben die Überwachung möglicherweise aus bestimmten Gründen deaktiviert. Wenn die Überwachung für Ihre Organisation deaktiviert ist, kann dies daran liegen, dass ein anderer Administrator sie deaktiviert hat. Es wird empfohlen, zu bestätigen, dass es in Ordnung ist, die Überwachung wieder zu aktivieren, wenn Sie diesen Schritt abschließen. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren der Überwachungsprotokollsuche.
Überprüfen Sie den IB-Modus für Ihre organization: Die Unterstützung für mehrere Segmente, Optionen zur Auffindbarkeit von Personen, Exchange-ABPs und andere Features wird durch den IB-Modus für Ihre organization bestimmt. Informationen zum Überprüfen des IB-Modus für Ihre organization finden Sie unter Überprüfen des IB-Modus für Ihre organization.
Entfernen vorhandener Exchange Online Adressbuchrichtlinien (optional):
- Für Organisationen im Legacymodus: Bevor Sie IB-Richtlinien definieren und anwenden, müssen Sie alle vorhandenen Exchange Online Adressbuchrichtlinien in Ihrem organization entfernen. IB-Richtlinien basieren auf Adressbuchrichtlinien, und vorhandene ABPs-Richtlinien sind nicht mit den von IB erstellten ABPs kompatibel. Informationen zum Entfernen ihrer vorhandenen Adressbuchrichtlinien finden Sie unter Entfernen einer Adressbuchrichtlinie in Exchange Online. Weitere Informationen zu IB-Richtlinien und Exchange Online finden Sie unter Informationsbarrieren und Exchange Online.
- Für Organisationen im SingleSegment- oder MultiSegment-Modus: Informationsbarrieren basieren nicht mehr auf Exchange Online Adressbuchrichtlinien (ABPs). Organisationen, die ABPs verwenden, haben keine Auswirkungen auf die vorhandenen ABPs, wenn sie Informationsbarrieren aktivieren.
Verwalten mithilfe von PowerShell (optional): IB-Segmente und -Richtlinien können im Complianceportal definiert und verwaltet werden. Sie können jedoch auch die Office 365 Security & Compliance PowerShell verwenden, falls gewünscht oder erforderlich. Obwohl in diesem Artikel mehrere Beispiele bereitgestellt werden, müssen Sie mit PowerShell-Cmdlets und -Parametern vertraut sein, wenn Sie PowerShell zum Konfigurieren und Verwalten von IB-Segmenten und -Richtlinien verwenden möchten. Sie benötigen auch das Microsoft Graph PowerShell SDK , wenn Sie diese Konfigurationsoption auswählen.
Wenn alle Voraussetzungen erfüllt sind, fahren Sie mit dem nächsten Schritt fort.
Schritt 2: Segmentieren von Benutzern in Ihrem organization
In diesem Schritt bestimmen Sie, welche IB-Richtlinien erforderlich sind, erstellen eine Liste der zu definierenden Segmente und definieren Ihre Segmente. Das Definieren von Segmenten wirkt sich nicht auf Benutzer aus, es legt lediglich die Stufe für die Definition und anschließende Anwendung von IB-Richtlinien fest.
Ermitteln der erforderlichen Richtlinien
Bestimmen Sie unter Berücksichtigung der Anforderungen Ihrer organization die Gruppen in Ihrem organization, die IB-Richtlinien benötigen. Stellen Sie sich die folgenden Fragen:
- Gibt es interne, rechtliche oder branchenspezifische Vorschriften, die die Einschränkung der Kommunikation und Zusammenarbeit zwischen Gruppen und Benutzern in Ihrer organization erfordern?
- Gibt es Gruppen oder Benutzer, die daran gehindert werden sollten, mit einer anderen Benutzergruppe zu kommunizieren?
- Gibt es Gruppen oder Benutzer, die nur mit einer oder zwei anderen Benutzergruppen kommunizieren dürfen?
Stellen Sie sich die benötigten Richtlinien als Zugehörigkeit zu einem von zwei Typen vor:
- Richtlinien zum Blockieren verhindern, dass eine Gruppe mit einer anderen Gruppe kommuniziert.
- Zulassen-Richtlinien ermöglichen es einer Gruppe, nur mit bestimmten Gruppen zu kommunizieren.
Wenn Sie ihre anfängliche Liste der erforderlichen Gruppen und Richtlinien haben, identifizieren Sie die Segmente, die Sie für die IB-Richtlinien benötigen.
Identifizieren von Segmenten
Erstellen Sie zusätzlich zu Ihrer anfänglichen Liste der Richtlinien eine Liste der Segmente für Ihre organization. Benutzer, die in IB-Richtlinien enthalten sind, sollten mindestens einem Segment angehören. Benutzer können bei Bedarf mehreren Segmenten zugewiesen werden. In Ihrem organization können bis zu 5.000 Segmente vorhanden sein, und auf jedes Segment kann nur eine IB-Richtlinie angewendet werden.
Wichtig
Ein Benutzer kann sich nur in einem Segment für Organisationen im Legacy - oder SingleSegement-Modus befinden. Informationen zum Überprüfen Ihres IB-Modus finden Sie unter Überprüfen des IB-Modus für Ihre organization.
Bestimmen Sie, welche Attribute in den Verzeichnisdaten Ihres organization Sie zum Definieren von Segmenten verwenden. Sie können Department, MemberOf oder eines der unterstützten IB-Attribute verwenden. Stellen Sie sicher, dass Sie über Werte im Attribut verfügen, das Sie für Benutzer auswählen. Weitere Informationen finden Sie in den unterstützten Attributen für IB.
Wichtig
Bevor Sie mit dem nächsten Abschnitt fortfahren, stellen Sie sicher, dass Ihre Verzeichnisdaten Werte für Attribute enthalten, die Sie zum Definieren von Segmenten verwenden können. Wenn Ihre Verzeichnisdaten keine Werte für die Attribute aufweisen, die Sie verwenden möchten, müssen die Benutzerkonten aktualisiert werden, damit sie diese Informationen enthalten, bevor Sie mit der Konfiguration von IB fortfahren. Hilfe hierzu finden Sie in den folgenden Ressourcen:
-
Konfigurieren von Benutzerkontoeigenschaften mit Office 365 PowerShell
-
Hinzufügen oder Aktualisieren der Profilinformationen eines Benutzers mithilfe von Microsoft Entra ID
Aktivieren der Unterstützung mehrerer Segmente für Benutzer (optional)
Unterstützung für das Zuweisen von Benutzern zu mehreren Segmenten ist nur verfügbar, wenn sich Ihre organization nicht im Legacymodus befindet. Wenn Sie das Zuweisen von Benutzern zu mehreren Segmenten unterstützen möchten, lesen Sie Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren.
Benutzer können nur einem Segment für Organisationen im Legacymodus zugewiesen werden. Organisationen im Legacymodus können in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.
Definieren von Segmenten mithilfe der Portale
Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Abhängig von Ihrem Microsoft 365-Plan wird die Microsoft Purview-Complianceportal eingestellt oder wird bald eingestellt.
Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.
Führen Sie die folgenden Schritte aus, um Segmente zu definieren:
- Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem organization an.
- Wählen Sie die Lösung Informationsbarrieren Karte aus. Wenn die Lösung "Informationsbarrieren" Karte nicht angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt Risiko & Compliancedie Option Informationsbarrieren aus.
- Wählen Sie Segmente aus.
- Wählen Sie auf der Seite Segmente die Option Neues Segment aus, um ein neues Segment zu erstellen und zu konfigurieren.
- Geben Sie auf der Seite Name einen Namen für das Segment ein. Sie können ein Segment nicht umbenennen, nachdem es erstellt wurde.
- Wählen Sie Weiter aus.
- Wählen Sie auf der Seite Benutzergruppenfilterdie Option Hinzufügen aus, um die Gruppen- und Benutzerattribute für das Segment zu konfigurieren. Wählen Sie ein Attribut für das Segment aus der Liste der verfügbaren Attribute aus.
- Wählen Sie für das ausgewählte Attribut entweder Gleich oder Nicht gleich aus, und geben Sie dann den Wert für das Attribut ein. Wenn Sie beispielsweise Abteilung als Attribut und Gleich ausgewählt haben, können Sie Marketing als definierte Abteilung für diese Segmentbedingung eingeben. Sie können zusätzliche Bedingungen für ein Attribut hinzufügen, indem Sie Bedingung hinzufügen auswählen. Wenn Sie ein Attribut oder eine Attributbedingung löschen müssen, wählen Sie das Löschsymbol für das Attribut oder die Bedingung aus.
- Fügen Sie nach Bedarf zusätzliche Attribute auf der Seite Benutzergruppenfilter hinzu, und wählen Sie dann Weiter aus.
- Überprüfen Sie auf der Seite Einstellungen überprüfen die Einstellungen, die Sie für das Segment ausgewählt haben, sowie alle Vorschläge oder Warnungen für Ihre Auswahl. Wählen Sie Bearbeiten aus, um die Segmentattribute und -bedingungen zu ändern, oder wählen Sie Senden aus, um das Segment zu erstellen.
Definieren von Segmenten mithilfe von PowerShell
Führen Sie die folgenden Schritte aus, um Segmente mit PowerShell zu definieren:
Verwenden Sie das Cmdlet New-OrganizationSegment mit dem Parameter UserGroupFilter , der dem attribut entspricht, das Sie verwenden möchten.
Syntax Beispiel New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'"
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"
In diesem Beispiel wird ein Segment namens HR mithilfe von HR definiert, einem Wert im Department-Attribut . Der - eq-Teil des Cmdlets bezieht sich auf "equals". (Alternativ können Sie -ne verwenden, um "ungleich" zu bedeuten. Siehe Verwenden von "equals" und "not equals" in Segmentdefinitionen.)
Nachdem Sie die einzelnen Cmdlets ausgeführt haben, sollte eine Liste mit Details zum neuen Segment angezeigt werden. Details umfassen den Typ des Segments, wer es erstellt oder zuletzt geändert hat usw.
Wiederholen Sie diesen Vorgang für jedes Segment, das Sie definieren möchten.
Nachdem Sie Ihre Segmente definiert haben, fahren Sie mit Schritt 3: Erstellen von IB-Richtlinien fort.
Verwenden von "equals" und "not equals" in PowerShell-Segmentdefinitionen
Im folgenden Beispiel konfigurieren wir IB-Segmente mithilfe von PowerShell und definieren ein Segment so, dass "Abteilung gleich HR" ist.
Beispiel | Hinweis |
---|---|
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" |
Beachten Sie, dass in diesem Beispiel die Segmentdefinition einen "equals"-Parameter enthält, der als -eq bezeichnet wird. |
Sie können Segmente auch mithilfe eines "not equals"-Parameters definieren, der als -ne bezeichnet wird, wie in der folgenden Tabelle gezeigt:
Syntax | Beispiel |
---|---|
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" |
In diesem Beispiel haben wir ein Segment namens NotSales definiert, das alle Personen umfasst, die nicht im Vertrieb tätig sind. Der Teil -ne des Cmdlets bezieht sich auf "ungleich". |
Zusätzlich zum Definieren von Segmenten mit "equals" oder "not equals" können Sie ein Segment mit den Parametern "equals" und "not equals" definieren. Sie können auch komplexe Gruppenfilter mithilfe logischer AND- und OR-Operatoren definieren.
Syntax | Beispiel |
---|---|
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" |
In diesem Beispiel haben wir ein Segment namens LocalFTE definiert, das Benutzer enthält, die sich lokal befinden und deren Positionen nicht als Temporär aufgeführt sind. |
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq 'group1@contoso.com'' -and MemberOf -ne 'group3@contoso.com'" |
In diesem Beispiel haben wir ein Segment namens Segment1 definiert, das Benutzer enthält, die Mitglieder von group1@contoso.com und nicht Mitglieder von group3@contoso.comsind. |
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq 'group2@contoso.com' -or MemberOf -ne 'group3@contoso.com'" |
In diesem Beispiel haben wir ein Segment namens Segment2 definiert, das Benutzer enthält, die Mitglieder von group2@contoso.com und nicht Mitglieder von group3@contoso.comsind. |
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq 'group1@contoso.com' -or MemberOf -eq 'group2@contoso.com') -and MemberOf -ne 'group3@contoso.com'" |
In diesem Beispiel haben wir ein Segment namens Segment1and2 definiert, das Benutzer in group1@contoso.com und group2@contoso.com und nicht Member von group3@contoso.comenthält. |
Tipp
Verwenden Sie nach Möglichkeit Segmentdefinitionen, die "-eq" oder "-ne" enthalten. Versuchen Sie, keine komplexen Segmentdefinitionen zu definieren.
Schritt 3: Erstellen von IB-Richtlinien
Wenn Sie Ihre IB-Richtlinien erstellen, bestimmen Sie, ob Sie die Kommunikation zwischen bestimmten Segmenten verhindern oder die Kommunikation auf bestimmte Segmente beschränken müssen. Im Idealfall verwenden Sie die Mindestanzahl von IB-Richtlinien, um sicherzustellen, dass Ihre organization den internen, rechtlichen und branchenspezifischen Anforderungen entspricht. Sie können das Microsoft Purview-Portal, das Complianceportal oder PowerShell verwenden, um IB-Richtlinien zu erstellen und anzuwenden.
Tipp
Für die Konsistenz der Benutzerfreundlichkeit empfehlen wir, nach Möglichkeit blockrichtlinien für die meisten Szenarien zu verwenden.
Wählen Sie mit Ihrer Liste der Benutzersegmente und den IB-Richtlinien, die Sie definieren möchten, ein Szenario aus, und führen Sie dann die Schritte aus.
- Szenario 1: Blockieren der Kommunikation zwischen Segmenten
- Szenario 2: Zulassen, dass ein Segment nur mit einem anderen Segment kommuniziert
Wichtig
Stellen Sie sicher, dass Sie einem Segment beim Definieren von Richtlinien nicht mehr als eine Richtlinie zuweisen. Wenn Sie beispielsweise eine Richtlinie für ein Segment namens Sales definieren, definieren Sie keine zusätzliche Richtlinie für das Segment Sales .
Stellen Sie außerdem beim Definieren von IB-Richtlinien sicher, dass Sie diese Richtlinien auf inaktive status festlegen, bis Sie bereit sind, sie anzuwenden. Das Definieren (oder Bearbeiten) von Richtlinien wirkt sich erst auf Benutzer aus, wenn diese Richtlinien auf aktive status festgelegt und dann angewendet werden.
Szenario 1: Blockieren der Kommunikation zwischen Segmenten
Wenn Sie die Kommunikation zwischen Segmenten blockieren möchten, definieren Sie zwei Richtlinien: eine für jede Richtung. Jede Richtlinie blockiert die Kommunikation nur in eine Richtung.
Angenommen, Sie möchten die Kommunikation zwischen Segment A und Segment B blockieren. In diesem Fall würden Sie zwei Richtlinien definieren:
- Eine Richtlinie, die die Kommunikation von Segment A mit Segment B verhindert
- Eine zweite Richtlinie, um zu verhindern, dass Segment B mit Segment A kommuniziert
Erstellen von Richtlinien mithilfe der Portale für Szenario 1
Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Abhängig von Ihrem Microsoft 365-Plan wird die Microsoft Purview-Complianceportal eingestellt oder wird bald eingestellt.
Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.
Führen Sie die folgenden Schritte aus, um Richtlinien zu erstellen:
Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem organization an.
Wählen Sie die Lösung Informationsbarrieren Karte aus. Wenn die Lösung "Informationsbarrieren" Karte nicht angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt Risiko & Compliancedie Option Informationsbarrieren aus.
Wählen Sie Richtlinienaus.
Wählen Sie auf der Seite Richtlinien die Option Richtlinie erstellen aus, um eine neue IB-Richtlinie zu erstellen und zu konfigurieren.
Geben Sie auf der Seite Name einen Namen für die Richtlinie ein, und wählen Sie dann Weiter aus.
Wählen Sie auf der Seite Zugewiesenes Segmentdie Option Segment auswählen aus. Verwenden Sie das Suchfeld, um nach einem Segment anhand des Namens zu suchen, oder scrollen Sie, um das Segment aus der angezeigten Liste auszuwählen. Wählen Sie Hinzufügen aus, um das ausgewählte Segment der Richtlinie hinzuzufügen. Sie können nur ein Segment auswählen.
Wählen Sie Weiter aus.
Wählen Sie auf der Seite Kommunikation und Zusammenarbeit den Richtlinientyp im Feld Kommunikation und Zusammenarbeit aus. Die Richtlinienoptionen sind entweder Zulässig oder Blockiert. In diesem Beispielszenario wird Blockiert für die erste Richtlinie ausgewählt.
Wichtig
Die zulässigen und blockierten status für Segmente können nach dem Erstellen einer Richtlinie nicht geändert werden. Um die status zu ändern, nachdem Sie eine Richtlinie erstellt haben, müssen Sie die Richtlinie löschen und eine neue erstellen.
Wählen Sie Segment auswählen aus, um die Aktionen für das Zielsegment zu definieren. In diesem Schritt können Sie mehrere Segmente zuweisen. Wenn Sie beispielsweise verhindern möchten, dass Benutzer in einem Segment namens "Sales" mit Benutzern in einem Segment namens "Forschung" kommunizieren, hätten Sie das Segment Sales in Schritt 5 definiert, und Sie würden in diesem Schritt in der Option Segment auswählenForschung zuweisen.
Wählen Sie Weiter aus.
Schalten Sie auf der Seite Richtlinien-status die aktive Richtlinie status auf Ein um. Wählen Sie Weiter aus, um fortzufahren.
Überprüfen Sie auf der Seite Einstellungen überprüfen die Einstellungen, die Sie für die Richtlinie ausgewählt haben, sowie alle Vorschläge oder Warnungen für Ihre Auswahl. Wählen Sie Bearbeiten aus, um die Richtliniensegmente und status zu ändern, oder wählen Sie Senden aus, um die Richtlinie zu erstellen.
In diesem Beispiel würden Sie die vorherigen Schritte wiederholen, um eine zweite Block-Richtlinie zu erstellen, um zu verhindern, dass Benutzer in einem Segment namens Research mit Benutzern in einem Segment namens Sales kommunizieren. Sie hätten das Segment Research in Schritt 5 definiert, und Sie würden Sales (oder mehrere Segmente) in der Option Segment auswählen zuweisen.
Erstellen von Richtlinien mithilfe von PowerShell für Szenario 1
Führen Sie zum Definieren von Richtlinien mit PowerShell die folgenden Schritte aus:
Verwenden Sie zum Definieren Ihrer ersten Blockierungsrichtlinie das Cmdlet New-InformationBarrierPolicy mit dem Parameter SegmentBlocked .
Syntax Beispiel New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsBlocked "segmentBname"
New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive
In diesem Beispiel haben wir eine Richtlinie namens Sales-Research für ein Segment namens Sales definiert. Wenn sie aktiv ist und angewendet wird, verhindert diese Richtlinie, dass Benutzer in Sales mit Benutzern in einem Segment namens Research kommunizieren.
Verwenden Sie zum Definieren Ihres zweiten blockierenden Segments erneut das Cmdlet New-InformationBarrierPolicy mit dem Parameter SegmentsBlocked , diesmal mit umgekehrten Segmenten.
Beispiel Hinweis New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive
In diesem Beispiel haben wir eine Richtlinie namens Research-Sales definiert, um zu verhindern, dass Research mit Sales kommuniziert. Fahren Sie mit einer der folgenden Aktionen fort:
- (Bei Bedarf) Definieren einer Richtlinie, damit ein Segment nur mit einem anderen Segment kommunizieren kann
- (Nachdem alle Ihre Richtlinien definiert wurden) Anwenden von IB-Richtlinien
Szenario 2: Zulassen, dass ein Segment nur mit einem anderen Segment kommuniziert
Wenn Sie zulassen möchten, dass ein Segment nur mit einem anderen Segment kommunizieren kann, definieren Sie zwei Richtlinien: eine für jede Richtung. Jede Richtlinie ermöglicht die Kommunikation nur in eine Richtung.
In diesem Beispiel würden Sie zwei Richtlinien definieren:
- Eine Richtlinie ermöglicht Segment A die Kommunikation mit Segment B.
- Eine zweite Richtlinie, mit der Segment B mit Segment A kommunizieren kann
Erstellen von Richtlinien mithilfe der Portale für Szenario 2
Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Abhängig von Ihrem Microsoft 365-Plan wird die Microsoft Purview-Complianceportal eingestellt oder wird bald eingestellt.
Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.
Führen Sie die folgenden Schritte aus, um Richtlinien zu erstellen:
Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem organization an.
Wählen Sie die Lösung Informationsbarrieren Karte aus. Wenn die Lösung "Informationsbarrieren" Karte nicht angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt Risiko & Compliancedie Option Informationsbarrieren aus.
Wählen Sie auf der Seite Richtlinien die Option Richtlinie erstellen aus, um eine neue IB-Richtlinie zu erstellen und zu konfigurieren.
Geben Sie auf der Seite Name einen Namen für die Richtlinie ein, und wählen Sie dann Weiter aus.
Wählen Sie auf der Seite Zugewiesenes Segmentdie Option Segment auswählen aus. Verwenden Sie das Suchfeld, um nach einem Segment anhand des Namens zu suchen, oder scrollen Sie, um das Segment aus der angezeigten Liste auszuwählen. Wählen Sie Hinzufügen aus, um das ausgewählte Segment der Richtlinie hinzuzufügen. Sie können nur ein Segment auswählen.
Wählen Sie Weiter aus.
Wählen Sie auf der Seite Kommunikation und Zusammenarbeit den Richtlinientyp im Feld Kommunikation und Zusammenarbeit aus. Die Richtlinienoptionen sind entweder Zulässig oder Blockiert. In diesem Beispielszenario wird Zulässig für die Richtlinie ausgewählt.
Wichtig
Die zulässigen und blockierten status für Segmente können nach dem Erstellen einer Richtlinie nicht geändert werden. Um die status zu ändern, nachdem Sie eine Richtlinie erstellt haben, müssen Sie die Richtlinie löschen und eine neue erstellen.
Wählen Sie Segment auswählen aus, um die Aktionen für das Zielsegment zu definieren. In diesem Schritt können Sie mehrere Segmente zuweisen. Wenn Sie beispielsweise Benutzern in einem Segment namens Fertigung die Kommunikation mit Benutzern in einem Segment namens PERSONAL ermöglichen möchten, hätten Sie das Segment Manufacturing in Schritt 5 definiert, und Sie würden in diesem Schritt die Personalabteilung in der Option Segment auswählen zuweisen.
Wählen Sie Weiter aus.
Schalten Sie auf der Seite Richtlinien-status die aktive Richtlinie status auf Ein um. Wählen Sie Weiter aus, um fortzufahren.
Überprüfen Sie auf der Seite Einstellungen überprüfen die Einstellungen, die Sie für die Richtlinie ausgewählt haben, sowie alle Vorschläge oder Warnungen für Ihre Auswahl. Wählen Sie Bearbeiten aus, um die Richtliniensegmente und status zu ändern, oder wählen Sie Senden aus, um die Richtlinie zu erstellen.
In diesem Beispiel würden Sie die vorherigen Schritte wiederholen, um eine zweite Zulassungsrichtlinie zu erstellen, damit Benutzer in einem Segment namens Research mit Benutzern in einem Segment namens Sales kommunizieren können. Sie hätten das Segment Research in Schritt 5 definiert, und Sie würden Sales (oder mehrere Segmente) in der Option Segment auswählen zuweisen.
Erstellen einer Richtlinie mithilfe von PowerShell für Szenario 2
Führen Sie zum Definieren von Richtlinien mit PowerShell die folgenden Schritte aus:
Damit ein Segment mit dem anderen Segment kommunizieren kann, verwenden Sie das Cmdlet New-InformationBarrierPolicy mit dem SegmentAllowed-Parameter .
Syntax Beispiel New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname","segment1name"
New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State Inactive
In diesem Beispiel haben wir eine Richtlinie namens Manufacturing-HR für ein Segment namens Manufacturing definiert. Wenn diese Richtlinie aktiv und angewendet wird, können Benutzer in der Fertigung nur mit Benutzern in einem Segment namens PERSONAL kommunizieren. In diesem Fall kann die Fertigung nicht mit Benutzern kommunizieren, die nicht Teil der Personalabteilung sind.
Bei Bedarf können Sie mit diesem Cmdlet mehrere Segmente angeben, wie im folgenden Beispiel gezeigt.
Syntax Beispiel New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname", "segmentCname","segmentDname"
New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State Inactive
In diesem Beispiel haben wir eine Richtlinie definiert, die es dem Segment Forschung erlaubt, nur mit Personalwesen und Fertigung zu kommunizieren.
Wiederholen Sie diesen Schritt für jede Richtlinie, die Sie definieren möchten, damit bestimmte Segmente nur mit bestimmten anderen segmenten kommunizieren können.
Verwenden Sie zum Definieren Des zweiten zulassenden Segments erneut das Cmdlet New-InformationBarrierPolicy mit dem Parameter SegmentAllowed , diesmal mit umgekehrten Segmenten.
Beispiel Hinweis New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsAllowed "Sales" -State Inactive
In diesem Beispiel haben wir eine Richtlinie mit dem Namen Research-Sales definiert, damit Research mit Sales kommunizieren kann. Fahren Sie mit einer der folgenden Aktionen fort:
- (Bei Bedarf) Definieren einer Richtlinie zum Blockieren der Kommunikation zwischen Segmenten
- (Nachdem alle Ihre Richtlinien definiert wurden) Anwenden von IB-Richtlinien
Schritt 4: Anwenden von IB-Richtlinien
IB-Richtlinien sind erst wirksam, wenn Sie sie auf aktive status festlegen und die Richtlinien anwenden.
Anwenden von Richtlinien über die Portale
Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Abhängig von Ihrem Microsoft 365-Plan wird die Microsoft Purview-Complianceportal eingestellt oder wird bald eingestellt.
Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.
Führen Sie die folgenden Schritte aus, um Richtlinien anzuwenden:
Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem organization an.
Wählen Sie die Lösung Informationsbarrieren Karte aus. Wenn die Lösung "Informationsbarrieren" Karte nicht angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt Risiko & Compliancedie Option Informationsbarrieren aus.
Wählen Sie Richtlinienanwendung aus.
Wählen Sie auf der Anwendungsseite Richtliniendie Option Alle Richtlinien anwenden aus, um alle IB-Richtlinien in Ihrem organization anzuwenden.
Hinweis
Warten Sie 30 Minuten, bis das System mit der Anwendung der Richtlinien beginnt. Das System wendet die Richtlinien Benutzer für Benutzer an. Das System verarbeitet etwa 5 000 Benutzerkonten pro Stunde.
Anwenden von Richtlinien mithilfe von PowerShell
Führen Sie die folgenden Schritte aus, um Richtlinien mithilfe von PowerShell anzuwenden:
Verwenden Sie das Cmdlet Get-InformationBarrierPolicy , um eine Liste der definierten Richtlinien anzuzeigen. Beachten Sie die status und Identität (GUID) jeder Richtlinie.
Syntax:
Get-InformationBarrierPolicy
Um eine Richtlinie auf aktive status festzulegen, verwenden Sie das Cmdlet Set-InformationBarrierPolicy mit einem Identity-Parameter und dem State-Parameter, der auf Aktiv festgelegt ist.
Syntax Beispiel Set-InformationBarrierPolicy -Identity GUID -State Active
Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Active
In diesem Beispiel legen wir eine IB-Richtlinie mit der GUID 43c37853-ea10-4b90-a23d-ab8c93772471 auf aktive status fest.
Wiederholen Sie diesen Schritt je nach Richtlinie.
Wenn Sie ihre IB-Richtlinien für aktive status festgelegt haben, verwenden Sie das Cmdlet Start-InformationBarrierPoliciesApplication in Security & Compliance PowerShell.
Syntax:
Start-InformationBarrierPoliciesApplication
Nachdem Sie
Start-InformationBarrierPoliciesApplication
ausgeführt haben, sollten Sie 30 Minuten warten, bis das System mit der Anwendung der Richtlinien beginnt. Das System wendet die Richtlinien Benutzer für Benutzer an. Das System verarbeitet etwa 5 000 Benutzerkonten pro Stunde.
Anzeigen status von Benutzerkonten, Segmenten, Richtlinien oder Richtlinienanwendungen
Mit PowerShell können Sie status von Benutzerkonten, Segmenten, Richtlinien und Richtlinienanwendungen anzeigen, wie in der folgenden Tabelle aufgeführt.
So zeigen Sie diese Informationen an | Ausführen dieser Aktion |
---|---|
Benutzerkonten | Verwenden Sie das Cmdlet Get-InformationBarrierRecipientStatus mit Identity-Parametern. Syntax: Sie können einen beliebigen Wert verwenden, der jeden Benutzer eindeutig identifiziert, z. B. Name, Alias, Distinguished Name, kanonischer Domänenname, E-Mail-Adresse oder GUID. Beispiel: In diesem Beispiel beziehen wir uns auf zwei Benutzerkonten in Office 365: meganb für Megan und alexw für Alex. (Sie können dieses Cmdlet auch für einen einzelnen Benutzer verwenden: Dieses Cmdlet gibt Informationen zu Benutzern zurück, z. B. Attributwerte und alle angewendeten IB-Richtlinien. |
Segmente | Verwenden Sie das Cmdlet Get-OrganizationSegment . Syntax: Dieses Cmdlet zeigt eine Liste aller Segmente an, die für Ihre organization definiert sind. |
IB-Richtlinien | Verwenden Sie das Cmdlet Get-InformationBarrierPolicy . Syntax: Dieses Cmdlet zeigt eine Liste der definierten IB-Richtlinien und deren status an. |
Die neueste IB-Richtlinienanwendung | Verwenden Sie das Cmdlet Get-InformationBarrierPoliciesApplicationStatus . Syntax: Dieses Cmdlet zeigt Informationen darüber an, ob die Richtlinienanwendung abgeschlossen, fehlgeschlagen ist oder ausgeführt wird. |
Alle IB-Richtlinienanwendungen | Verwenden von Get-InformationBarrierPoliciesApplicationStatus -All Dieses Cmdlet zeigt Informationen darüber an, ob die Richtlinienanwendung abgeschlossen, fehlgeschlagen ist oder ausgeführt wird. |
Was geschieht, wenn ich Richtlinien entfernen oder ändern muss?
Es stehen Ressourcen zur Verfügung, die Ihnen bei der Verwaltung Ihrer IB-Richtlinien helfen.
- Informationen zum Bearbeiten, Beenden oder Entfernen von IB-Richtlinien finden Sie unter Verwalten von Richtlinien für Informationsbarrieren.
- Wenn bei IB ein Fehler auftritt, finden Sie weitere Informationen unter Problembehandlung bei Informationsbarrieren.
Schritt 5: Konfiguration für Informationsbarrieren auf SharePoint und OneDrive
Wenn Sie IB für SharePoint und OneDrive konfigurieren, müssen Sie IB für diese Dienste aktivieren. Sie müssen IB auch für diese Dienste aktivieren, wenn Sie IB für Microsoft Teams konfigurieren. Wenn ein Team im Microsoft Teams-Team erstellt wird, wird automatisch eine SharePoint-Website erstellt und Microsoft Teams für die Dateierfahrung zugeordnet. IB-Richtlinien werden auf dieser neuen SharePoint-Website und den Dateien standardmäßig nicht berücksichtigt.
Um IB in SharePoint und OneDrive zu aktivieren, befolgen Sie die Anleitungen und Schritte im Artikel Verwenden von Informationsbarrieren mit SharePoint .
Schritt 6: Modi für Informationsbarrieren (optional)
Modi können den Zugriff, die Freigabe und die Mitgliedschaft einer Microsoft 365-Ressource basierend auf dem IB-Modus der Ressource stärken. Modi werden auf Microsoft 365-Gruppen-, Microsoft Teams-, OneDrive- und SharePoint-Websites unterstützt und in Ihrer neuen oder vorhandenen IB-Konfiguration automatisch aktiviert.
Die folgenden IB-Modi werden für Microsoft 365-Ressourcen unterstützt:
Mode | Beschreibung | Beispiel |
---|---|---|
Open | Der Microsoft 365-Ressource sind keine IB-Richtlinien oder -Segmente zugeordnet. Jeder kann eingeladen werden, Mitglied der Ressource zu sein. | Eine Teamwebsite, die für ein Picknick-Event für Ihre organization erstellt wurde. |
Besitzer moderiert | Die IB-Richtlinie der Microsoft 365-Ressource wird aus der IB-Richtlinie des Ressourcenbesitzers bestimmt. Die Ressourcenbesitzer können jeden Benutzer basierend auf ihren IB-Richtlinien zur Ressource einladen. Dieser Modus ist nützlich, wenn Ihr Unternehmen die Zusammenarbeit zwischen inkompatiblen Segmentbenutzern ermöglichen möchte, die vom Besitzer moderiert werden. Nur der Ressourcenbesitzer kann neue Mitglieder gemäß seiner IB-Richtlinie hinzufügen. | Der VP des Personalwesens möchte mit den VPs von Vertrieb und Forschung zusammenarbeiten. Eine neue SharePoint-Website, die mit dem IB-Modus "Besitzer moderiert" festgelegt ist, um der gleichen Website sowohl Segmentbenutzer als auch "Sales" und "Research" hinzuzufügen. Es liegt in der Verantwortung des Besitzers sicherzustellen, dass der Ressource geeignete Mitglieder hinzugefügt werden. |
Implizit | Die IB-Richtlinie oder die Segmente der Microsoft 365-Ressource werden von der IB-Richtlinie der Ressourcenmitglieder geerbt. Der Besitzer kann Mitglieder hinzufügen, solange sie mit den vorhandenen Mitgliedern der Ressource kompatibel sind. Dieser Modus ist der Ib-Standardmodus für Microsoft Teams. | Der Benutzer des Vertriebssegments erstellt ein Microsoft Teams-Team für die Zusammenarbeit mit anderen kompatiblen Segmenten im organization. |
Explicit | Die IB-Richtlinie der Microsoft 365-Ressource unterliegt den Segmenten, die der Ressource zugeordnet sind. Der Ressourcenbesitzer oder SharePoint-Administrator hat die Möglichkeit, die Segmente für die Ressource zu verwalten. | Eine Website, die nur für Mitglieder des Vertriebssegments für die Zusammenarbeit erstellt wird, indem das Segment Sales der Website zugeordnet wird. |
Mixed | Gilt nur für OneDrive. Die IB-Richtlinie von OneDrive unterliegt den Segmenten, die oneDrive zugeordnet sind. Der Ressourcenbesitzer oder OneDrive-Administrator hat die Möglichkeit, die Segmente für die Ressource zu verwalten. | Ein OneDrive, das für Mitglieder des Vertriebssegments für die Zusammenarbeit erstellt wurde, darf für nicht segmentierte Benutzer freigegeben werden. |
Updates im impliziten Modus
Je nachdem, wann Sie IB in Ihrem organization aktiviert haben, befindet sich Ihr organization entweder im Legacy-, SingleSegment- oder MultiSegment-organization Modus. Informationen zum Überprüfen Ihres Modus finden Sie unter Überprüfen des IB-Modus für Ihre organization.
Wenn sich Ihr organization im Modus "SingleSegment" oder "MultiSegment" befindet und der Informationsbarrieremodus der Teams-Gruppe implizit ist, sind den mit Teams verbundenen Gruppen/Websites keine Segmente zugeordnet.
Weitere Informationen zu IB-Modi und deren dienstübergreifender Konfiguration finden Sie in den folgenden Artikeln:
- Informationsbarrierenmodi und Microsoft Teams
- Informationsbarrierenmodi und OneDrive
- Informationsbarrierenmodi und SharePoint
Schritt 7: Konfigurieren der Auffindbarkeit von Benutzern für Informationsbarrieren (optional)
Richtlinien für Informationsbarrieren ermöglichen Es Administratoren, Sucheinschränkungen in der Personenauswahl zu aktivieren oder zu deaktivieren. Standardmäßig ist die Personenauswahleinschränkung für IB-Richtlinien aktiviert. Beispielsweise können IB-Richtlinien, die die Kommunikation zweier bestimmter Benutzer blockieren, auch einschränken, dass die Benutzer sich gegenseitig sehen, wenn sie die Personenauswahl verwenden.
Wichtig
Unterstützung für das Aktivieren oder Deaktivieren von Sucheinschränkungen ist nur verfügbar, wenn sich Ihre organization nicht im Legacymodus befindet. Organisationen im Legacymodus können Sucheinschränkungen nicht aktivieren oder deaktivieren. Zum Aktivieren oder Deaktivieren von Sucheinschränkungen sind zusätzliche Aktionen erforderlich, um den Informationsbarrieremodus für Ihre organization zu ändern. Weitere Informationen finden Sie unter Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren).
Organisationen im Legacymodus können in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.
Führen Sie die folgenden Schritte aus, um die Einschränkung der Personenauswahlsuche mithilfe von PowerShell zu deaktivieren:
- Verwenden Sie das Cmdlet Set-PolicyConfig , um die Personenauswahleinschränkung zu deaktivieren:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'
Beispielszenario: Abteilungen, Segmente und Richtlinien von Contoso
Sehen Sie sich das folgende Beispielszenario an, um zu sehen, wie ein organization die Definition von Segmenten und Richtlinien angehen kann.
Die Abteilungen und der Plan von Contoso
Contoso verfügt über fünf Abteilungen: Personalwesen, Vertrieb, Marketing, Forschung und Fertigung. Um branchenspezifische Vorschriften einzuhalten, sollten Benutzer in einigen Abteilungen nicht mit anderen Abteilungen kommunizieren, wie in der folgenden Tabelle aufgeführt:
Segment | Kann mit kommunizieren | Kommunikation mit nicht möglich |
---|---|---|
HR | Jeder | (keine Beschränkungen) |
Vertrieb | Personalwesen, Marketing, Fertigung | Forschung |
Marketing | Jeder | (keine Beschränkungen) |
Forschung | Personalwesen, Marketing, Fertigung | Vertrieb |
Fertigung | Personalwesen, Marketing | Jeder andere als PERSONAL oder Marketing |
Für diese Struktur umfasst der Plan von Contoso drei IB-Richtlinien:
- Eine IB-Richtlinie, die verhindern soll, dass Sales mit Research kommuniziert
- Eine weitere IB-Richtlinie, um zu verhindern, dass Forschung mit dem Vertrieb kommuniziert.
- Eine IB-Richtlinie, die der Fertigung die Ausschließliche Kommunikation mit Personalabteilung und Marketing ermöglicht.
Für dieses Szenario ist es nicht erforderlich, IB-Richtlinien für PERSONAL oder Marketing zu definieren.
Die von Contoso definierten Segmente
Contoso verwendet das Department-Attribut in Microsoft Entra ID, um Segmente wie folgt zu definieren:
Department | Segmentdefinition |
---|---|
Personal | New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" |
Vertrieb | New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'" |
Marketing | New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'" |
Forschung | New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'" |
Fertigung | New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'" |
Nachdem die Segmente definiert sind, definiert Contoso die IB-Richtlinien.
Ib-Richtlinien von Contoso
Contoso definiert drei IB-Richtlinien, wie in der folgenden Tabelle beschrieben:
Richtlinie | Richtliniendefinition |
---|---|
Richtlinie 1: Unterbindung der Kommunikation von der Abteilung Vertrieb zur Abteilung Forschung | New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive In diesem Beispiel heißt die IB-Richtlinie Sales-Research. Wenn diese Richtlinie aktiv und angewendet ist, verhindert sie, dass Benutzer im Segment Vertrieb Kommunikation an Benutzer im Segment Forschung richten können. Diese Richtlinie ist eine unidirektionale Politik; Dies verhindert nicht, dass Research mit Sales kommuniziert. Für diesen Fall ist Richtlinie 2 erforderlich. |
Richtlinie 2: Unterbindung der Kommunikation von der Abteilung Forschung zur Abteilung Vertrieb | New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive In diesem Beispiel heißt die IB-Richtlinie Research-Sales. Wenn diese Richtlinie aktiv und angewendet ist, verhindert sie, dass Benutzer im Segment Forschung Kommunikation an Benutzer im Segment Vertrieb richten können. |
Richtlinie 3: Zulassen, dass die Produktion nur mit PERSONAL und Marketing kommunizieren kann | New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive In diesem Fall heißt die IB-Richtlinie Manufacturing-HRMarketing. Wenn diese Richtlinie aktiv und angewendet ist, kann die Fertigung nur mit Personal und Marketing kommunizieren. Hr und Marketing sind nicht auf die Kommunikation mit anderen Segmenten beschränkt. |
Nachdem Segmente und Richtlinien definiert sind, wendet Contoso die Richtlinien an, indem das Cmdlet Start-InformationBarrierPoliciesApplication ausgeführt wird .
Wenn das Cmdlet abgeschlossen ist, erfüllt Contoso die Branchenanforderungen.
Ressourcen
- Informationen zu Informationsbarrieren
- Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren
- Weitere Informationen zu Informationsbarrieren in Microsoft Teams
- Weitere Informationen zu Informationsbarrieren in SharePoint Online
- Weitere Informationen zu Informationsbarrieren in OneDrive