Partager via


Gérer les stratégies d’obstacles à l’information

Une fois que vous avez défini des stratégies d’obstacles à l’information (IB), vous devrez peut-être apporter des modifications à ces stratégies ou à vos segments d’utilisateurs, dans le cadre de la résolution des problèmes ou de la maintenance régulière.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’évaluation Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Que souhaitez-vous faire ?

Action Description
Modifier les attributs d’un compte d’utilisateur Renseignez les attributs dans Microsoft Entra ID qui peuvent être utilisés pour définir des segments.
Modifiez les attributs de compte d’utilisateur lorsque les utilisateurs ne sont pas inclus dans les segments qu’ils doivent être, pour modifier les segments dans lesquels les utilisateurs se trouvent ou pour définir des segments à l’aide d’attributs différents.
Modifier un segment Modifiez les segments lorsque vous voulez modifier la manière dont un segment est défini.
Par exemple, vous avez peut-être défini des segments à l’origine à l’aide de Department et souhaitez maintenant utiliser un autre attribut, tel que MemberOf.
Modifier une stratégie Modifiez une stratégie d’obstacles aux informations lorsque vous souhaitez modifier le fonctionnement d’une stratégie.
Par exemple, au lieu de bloquer les communications entre deux segments, vous pouvez décider d’autoriser les communications uniquement entre certains segments.
Définir une stratégie sur status inactive Définissez une stratégie sur inactive status lorsque vous souhaitez apporter des modifications à une stratégie ou lorsque vous ne souhaitez pas qu’une stratégie soit appliquée.
Supprimer une stratégie Supprimez une stratégie d’obstacles à l’information lorsque vous n’avez plus besoin d’une stratégie particulière en place.
Supprimer un segment Supprimez un segment d’obstacles à l’information lorsque vous n’avez plus besoin d’un segment particulier.
Supprimer une stratégie et un segment Supprimez simultanément une stratégie d’obstacles à l’information et un segment.
Arrêter une application de stratégie Effectuez cette action lorsque vous souhaitez arrêter le processus d’application des stratégies d’obstacles à l’information.
L’arrêt d’une application de stratégie n’est pas instantané et n’annule pas les stratégies déjà appliquées aux utilisateurs.
Activer ou désactiver la détectabilité de l’utilisateur Activer ou désactiver si les utilisateurs sont affichés dans le sélecteur de personnes.
Définir des stratégies pour les obstacles à l’information Définissez une stratégie d’obstacles à l’information lorsque vous n’avez pas encore de telles stratégies en place et que vous devez restreindre ou limiter les communications entre des groupes d’utilisateurs spécifiques.
Résolution des problèmes de cloisonnement de l’information Reportez-vous à cet article lorsque vous rencontrez des problèmes inattendus liés aux obstacles à l’information.

Importante

Pour effectuer les tâches décrites dans cet article, un rôle approprié doit vous être attribué, comme l’un des rôles suivants :
- administrateur général Microsoft 365 Entreprise
- Administrateur général
- Administrateur de conformité
- Gestion de la conformité IB (il s’agit d’un nouveau rôle !)

Pour en savoir plus sur les prérequis pour les obstacles à l’information, consultez Prérequis (pour les stratégies d’obstacles à l’information).

Veillez à vous connecter à La sécurité & Conformité PowerShell.

Importante

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. La réduction du nombre d’utilisateurs disposant du rôle Administrateur général permet d’améliorer la sécurité de vos organization. En savoir plus sur les rôles et autorisations Microsoft Purview.

Modifier les attributs d’un compte d’utilisateur

Utilisez cette procédure pour modifier les attributs utilisés pour segmenter les utilisateurs. Par exemple, si vous utilisez un attribut Department et qu’un ou plusieurs comptes d’utilisateur n’ont actuellement aucune valeur répertoriée pour Department, vous devez modifier ces comptes d’utilisateur pour inclure les informations du service. Les attributs de compte d’utilisateur sont utilisés pour définir des segments afin que des stratégies d’obstacles à l’information puissent être affectées.

  1. Pour afficher les détails d’un compte d’utilisateur spécifique, tels que les valeurs d’attribut et les segments attribués, utilisez l’applet de commande Get-InformationBarrierRecipientStatus avec les paramètres Identity.

    Syntaxe Exemple
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
    Vous pouvez utiliser n’importe quelle valeur qui identifie chaque utilisateur de manière unique, comme le nom, l’alias, le nom unique, le nom de domaine canonique, l’adresse e-mail ou le GUID.
    (Vous pouvez également utiliser cette applet de commande pour un seul utilisateur : Get-InformationBarrierRecipientStatus -Identity <value>)
    Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
    Dans cet exemple, nous faisons référence à deux comptes d’utilisateur dans Office 365 : meganb pour Megan et alexw pour Alex.
  2. Déterminez l’attribut que vous souhaitez modifier pour vos profils de compte d’utilisateur. Pour plus d’informations, consultez Attributs pour les stratégies d’obstacles à l’information.

  3. Modifiez un ou plusieurs comptes d’utilisateur pour inclure des valeurs pour l’attribut que vous avez sélectionné à l’étape précédente. Pour effectuer cette action, utilisez l’une des procédures suivantes :

Modifier un segment

Utilisez cette procédure pour modifier la définition d’un segment d’utilisateur. Par exemple, vous pouvez modifier le nom d’un segment ou le filtre utilisé pour déterminer qui est inclus dans le segment.

  1. Pour afficher tous les segments existants, utilisez l’applet de commande Get-OrganizationSegment .

    Syntaxe: Get-OrganizationSegment

    Vous verrez une liste de segments et de détails pour chacun d’eux, tels que le type de segment, sa valeur UserGroupFilter, qui l’a créé ou modifié pour la dernière fois, GUID, etc.

    Conseil

    Imprimez ou enregistrez votre liste de segments pour référence ultérieurement. Par exemple, si vous souhaitez modifier un segment, vous devez connaître son nom ou sa valeur d’identification (elle est utilisée avec le paramètre Identity).

  2. Pour modifier un segment, utilisez l’applet de commande Set-OrganizationSegment avec le paramètre Identity et les détails pertinents.

    Syntaxe Exemple
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"
    Dans cet exemple, nous avons mis à jour le nom du service en HRDept pour le segment avec guid c96e0837-c232-4a8a-841e-ef45787d8fcd.
  3. Une fois que vous avez terminé de modifier les segments de votre organization, vous pouvez définir ou modifier des stratégies d’obstacles à l’information.

Modifier une stratégie

  1. Pour afficher la liste des stratégies d’obstacles à l’information actuelles, utilisez l’applet de commande Get-InformationBarrierPolicy .

    Syntaxe: Get-InformationBarrierPolicy

    Dans la liste des résultats, identifiez la stratégie que vous souhaitez modifier. Notez le GUID et le nom de la stratégie.

  2. Utilisez l’applet de commande Set-InformationBarrierPolicy avec un paramètre Identity et spécifiez les modifications que vous souhaitez apporter.

    Exemple : Supposons qu’une stratégie ait été définie pour empêcher le segment Recherche de communiquer avec les segments Ventes et Marketing . La stratégie a été définie à l’aide de cette applet de commande : New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"

    Supposons que nous souhaitions le modifier afin que les utilisateurs du segment Recherche puissent uniquement communiquer avec les utilisateurs du segment RH . Pour apporter cette modification, nous utilisons cette applet de commande : Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"

    Dans cet exemple, nous avons remplacé SegmentsBlocked parSegmentsAllowed et spécifié le segment HR .

  3. Lorsque vous avez terminé de modifier une stratégie, veillez à appliquer vos modifications. (Consultez Appliquer des stratégies d’obstacles à l’information.)

Définir une stratégie sur status inactive

  1. Pour afficher la liste des stratégies d’obstacles à l’information actuelles, utilisez l’applet de commande Get-InformationBarrierPolicy .

    Syntaxe: Get-InformationBarrierPolicy

    Dans la liste des résultats, identifiez la stratégie que vous souhaitez modifier (ou supprimer). Notez le GUID et le nom de la stratégie.

  2. Pour définir la status de la stratégie sur inactive, utilisez l’applet de commande Set-InformationBarrierPolicy avec un paramètre Identity et le paramètre State défini sur Inactif.

    Syntaxe Exemple
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    Dans cet exemple, la stratégie d’obstacles à l’information dont le GUID est 43c37853-ea10-4b90-a23d-ab8c9377247 est définie sur un status inactif.
  3. Pour appliquer vos modifications, utilisez l’applet de commande Start-InformationBarrierPoliciesApplication .

    Syntaxe: Start-InformationBarrierPoliciesApplication

    Les modifications sont appliquées utilisateur par utilisateur pour votre organization. Si votre organization est volumineux, ce processus peut prendre 24 heures (ou plus). En règle générale, le traitement de 5 000 comptes d’utilisateur prend environ une heure.

  4. À ce stade, une ou plusieurs stratégies d’obstacles à l’information sont définies sur inactives status. À partir de là, vous pouvez effectuer l’une des actions suivantes :

Supprimer une stratégie

  1. Pour afficher la liste des stratégies d’obstacles à l’information actuelles, utilisez l’applet de commande Get-InformationBarrierPolicy .

    Syntaxe: Get-InformationBarrierPolicy

    Dans la liste des résultats, identifiez la stratégie que vous souhaitez supprimer. Notez le GUID et le nom de la stratégie.

  2. Vérifiez que la stratégie est définie sur inactive status. Pour définir la status de la stratégie sur inactive, utilisez l’applet de commande Set-InformationBarrierPolicy avec un paramètre Identity et le paramètre State défini sur Inactif.

    Syntaxe Exemple
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    Dans cet exemple, nous définissons une stratégie d’obstacles à l’information dont le GUID est 43c37853-ea10-4b90-a23d-ab8c9377247 sur un status inactif.
  3. Pour appliquer vos modifications à la stratégie, utilisez l’applet de commande Start-InformationBarrierPoliciesApplication .

    Syntaxe: Start-InformationBarrierPoliciesApplication

    Les modifications sont appliquées utilisateur par utilisateur pour votre organization. Si votre organization est volumineux, ce processus peut prendre 24 heures (ou plus). En règle générale, le traitement de 5 000 comptes d’utilisateur prend environ une heure.

  4. Utilisez l’applet de commande Remove-InformationBarrierPolicy avec un paramètre Identity.

    Syntaxe Exemple
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    Dans cet exemple, nous supprimons la stratégie qui a le GUID 43c37853-ea10-4b90-a23d-ab8c93772471.

    Lorsque vous y êtes invité, confirmez la modification.

Supprimer un segment

  1. Pour afficher tous les segments existants, utilisez l’applet de commande Get-OrganizationSegment .

    Syntaxe: Get-OrganizationSegment

    Vous verrez une liste de segments et de détails pour chacun d’eux, tels que le type de segment, sa valeur UserGroupFilter, qui l’a créé ou modifié pour la dernière fois, GUID, etc.

    Conseil

    Imprimez ou enregistrez votre liste de segments pour référence ultérieurement. Par exemple, si vous souhaitez modifier un segment, vous devez connaître son nom ou sa valeur d’identification (elle est utilisée avec le paramètre Identity).

  2. Identifiez le segment à supprimer et vérifiez que la stratégie IB associée au segment a été supprimée. Pour plus d’informations, consultez la procédure Supprimer une stratégie.

  3. Modifiez le segment qui sera supprimé pour supprimer la relation entre les utilisateurs et ce segment. Cette action met à jour la définition de segment et supprime tous les utilisateurs du segment. Vous allez utiliser le paramètre UserGroupFilter pour dissocier les utilisateurs du segment avant la suppression.

    Pour modifier un segment, utilisez l’applet de commande Set-OrganizationSegment avec le paramètre Identity et les détails pertinents.

    Syntaxe Exemple
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    Dans cet exemple, pour le segment qui a le GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, nous avons défini le nom du service comme FakeDept pour supprimer les utilisateurs du segment. Cet exemple utilise l’attribut Department , mais vous pouvez utiliser d’autres attributs le cas échéant. L’exemple utilise FakeDept , car il n’existe pas et est certain de ne contenir aucun utilisateur.
  4. Pour appliquer vos modifications, utilisez l’applet de commande Start-InformationBarrierPoliciesApplication .

    Syntaxe: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Remarque

    L’attribut CleanupGroupSegmentLink supprime les associations de groupes avec le segment sans association d’utilisateurs.

    Les modifications sont appliquées utilisateur par utilisateur pour votre organization. Si votre organization est volumineux, ce processus peut prendre 24 heures (ou plus). En règle générale, le traitement de 5 000 comptes d’utilisateur prend environ une heure.

  5. Pour supprimer un segment, utilisez l’applet de commande Remove-OrganizationSegment avec le paramètre Identity et les détails pertinents.

    Syntaxe Exemple
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    Dans cet exemple, le segment qui a le GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, a été supprimé.

Supprimer une stratégie et un segment

  1. Pour afficher la liste des stratégies d’obstacles à l’information actuelles, utilisez l’applet de commande Get-InformationBarrierPolicy .

    Syntaxe: Get-InformationBarrierPolicy

    Dans la liste des résultats, identifiez la stratégie que vous souhaitez supprimer. Notez le GUID et le nom de la stratégie.

  2. Pour afficher tous les segments existants, utilisez l’applet de commande Get-OrganizationSegment .

    Syntaxe: Get-OrganizationSegment

    Vous verrez une liste de segments et de détails pour chacun d’eux, tels que le type de segment, sa valeur de paramètre UserGroupFilter , la personne qui l’a créé ou modifié pour la dernière fois, le GUID, etc.

    Conseil

    Imprimez ou enregistrez votre liste de segments pour référence ultérieurement. Par exemple, si vous souhaitez modifier un segment, vous devez connaître son nom ou sa valeur d’identification (elle est utilisée avec le paramètre Identity).

  3. Pour définir la status de la stratégie à supprimer sur inactive, utilisez l’applet de commande Set-InformationBarrierPolicy avec un paramètre Identity et le paramètre State défini sur Inactif.

    Syntaxe Exemple
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Inactive
    Dans cet exemple, nous définissons une stratégie d’obstacles à l’information dont le GUID est 43c37853-ea10-4b90-a23d-ab8c93772471 sur une status inactive.
  4. Modifiez le segment qui sera supprimé pour supprimer la relation entre les utilisateurs et ce segment. Cette action met à jour la définition de segment et supprime tous les utilisateurs du segment. Vous allez utiliser le paramètre UserGroupFilter pour dissocier les utilisateurs du segment avant la suppression.

    Pour modifier un segment, utilisez l’applet de commande Set-OrganizationSegment avec le paramètre Identity et les détails pertinents.

    Syntaxe Exemple
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    Dans cet exemple, pour le segment qui a le GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, nous avons mis à jour le nom du service sur FakeDept pour supprimer les utilisateurs du segment. Cet exemple utilise l’attribut Department , mais vous pouvez utiliser d’autres attributs le cas échéant. L’exemple utilise FakeDept , car il n’existe pas et est certain de ne contenir aucun utilisateur.
  5. Pour appliquer vos modifications, utilisez l’applet de commande Start-InformationBarrierPoliciesApplication .

    Syntaxe: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Remarque

    L’attribut CleanupGroupSegmentLink supprime les associations de groupes avec le segment sans association d’utilisateurs.

    Les modifications sont appliquées utilisateur par utilisateur pour votre organization. Si votre organization est volumineux, ce processus peut prendre 24 heures (ou plus). En règle générale, le traitement de 5 000 comptes d’utilisateur prend environ une heure.

  6. Utilisez l’applet de commande Remove-InformationBarrierPolicy avec un paramètre Identity .

    Syntaxe Exemple
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    Dans cet exemple, la stratégie qui a le GUID 43c37853-ea10-4b90-a23d-ab8c93772471 est supprimée.

    Lorsque vous y êtes invité, confirmez la modification.

  7. Pour supprimer un segment, utilisez l’applet de commande Remove-OrganizationSegment avec le paramètre Identity et les détails pertinents.

    Syntaxe Exemple
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    Dans cet exemple, le segment avec guid c96e0837-c232-4a8a-841e-ef45787d8fcd a été supprimé.

Arrêter une application de stratégie

Une fois que vous avez commencé à appliquer des stratégies d’obstacles à l’information, si vous souhaitez empêcher l’application de ces stratégies, utilisez la procédure suivante. Le processus prendra environ 30 à 35 minutes.

  1. Pour afficher les status de l’application de stratégie d’obstacles aux informations la plus récente, utilisez l’applet de commande Get-InformationBarrierPoliciesApplicationStatus.

    Syntaxe: Get-InformationBarrierPoliciesApplicationStatus

    Notez le GUID de l’application.

  2. Utilisez l’applet de commande Stop-InformationBarrierPoliciesApplication avec un paramètre Identity.

    Syntaxe Exemple
    Stop-InformationBarrierPoliciesApplication -Identity GUID Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1

    Dans cet exemple, nous arrêtons l’application de stratégies d’obstacles à l’information.

Activer ou désactiver la détectabilité de l’utilisateur

Importante

La prise en charge de l’activation ou de la désactivation des restrictions de recherche n’est disponible que lorsque votre organization n’est pas en mode hérité. Les organisations en mode hérité ne peuvent pas activer ou désactiver les restrictions de recherche. L’activation ou la désactivation des restrictions de recherche nécessite des actions supplémentaires pour modifier le mode d’obstacles à l’information pour votre organization. Pour plus d’informations, consultez Utiliser la prise en charge multi-segment dans les obstacles à l’information) pour plus d’informations.

Les organisations en mode hérité peuvent effectuer une mise à niveau vers la version la plus récente des obstacles à l’information à l’avenir. Pour plus d’informations, consultez la feuille de route des obstacles à l’information.

Pour activer la restriction de recherche du sélecteur de personnes à l’aide de PowerShell, procédez comme suit :

  1. Utilisez l’applet de commande Set-PolicyConfig pour activer la restriction du sélecteur de personnes :
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Enabled'

Pour désactiver la restriction de recherche du sélecteur de personnes à l’aide de PowerShell, procédez comme suit :

  1. Utilisez l’applet de commande Set-PolicyConfig pour désactiver la restriction du sélecteur de personnes :
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'

Ressources