情報バリア ポリシーを管理する
情報バリア (IB) ポリシーを定義した後、トラブルシューティングの一環として、または定期的なメンテナンスとして、これらのポリシーまたはユーザー セグメントに変更を加える必要がある場合があります。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。
目的に合ったトピックをクリックしてください
操作 | 説明 |
---|---|
ユーザー アカウントの属性を編集する | セグメントの定義に使用できる属性をMicrosoft Entra IDに入力します。 ユーザーがセグメントに含まれていない場合、ユーザーがどのセグメントに含まれているかを変更したり、異なる属性を使用してセグメントを定義したりするために、ユーザー アカウント属性を編集します。 |
セグメントを編集する | セグメントの定義方法を変更する場合は、セグメントを編集します。 たとえば、もともと Department を使用してセグメントを定義していて、 MemberOf などの別の属性を使用する場合があります。 |
ポリシーを編集する | ポリシーの動作を変更する場合は、情報バリア ポリシーを編集します。 たとえば、2 つのセグメント間の通信をブロックする代わりに、特定のセグメント間でのみ通信を行えるようにすることができます。 |
ポリシーを非アクティブ状態に設定する | ポリシーを変更する場合、またはポリシーを有効にしたくない場合は、ポリシーを非アクティブ状態に設定します。 |
ポリシーを削除する | 特定のポリシーが不要になった場合は、情報バリア ポリシーを削除します。 |
セグメントを削除する | 特定のセグメントが不要になったら、情報バリア セグメントを削除します。 |
ポリシーとセグメントを削除する | 情報バリア ポリシーとセグメントを同時に削除します。 |
ポリシー アプリケーションを停止する | 情報バリア ポリシーを適用するプロセスを停止する場合は、このアクションを実行します。 ポリシー アプリケーションを停止してもすぐには実行されません。また、ユーザーに既に適用されているポリシーは元に戻しません。 |
ユーザーの検出可能性を有効または無効にする | ユーザーがユーザー 選択ウィンドウに表示される場合は、有効または無効にします。 |
情報バリアに対するポリシーを定義する | このようなポリシーがまだ設定されていない場合は、情報バリア ポリシーを定義し、特定のユーザー グループ間の通信を制限または制限する必要があります。 |
情報バリアのトラブルシューティング | 情報バリアで予期しない問題が発生した場合は、この記事を参照してください。 |
重要
この記事で説明するタスクを実行するには、次のいずれかの適切なロールを割り当てる必要があります。
- グローバル管理者Microsoft 365 Enterprise
- グローバル管理者
- コンプライアンス管理者
- IB コンプライアンス管理 (これは新しいロールです)。)
情報バリアの前提条件の詳細については、「 前提条件 (情報バリア ポリシーの場合)」を参照してください。
セキュリティ & コンプライアンス PowerShell に接続してください。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。
ユーザー アカウントの属性を編集する
ユーザーのセグメント化に使用される属性を編集するには、次の手順に従います。 たとえば、Department 属性を使用していて、1 つ以上のユーザー アカウントに Department の値が表示されていない場合は、それらのユーザー アカウントを編集して部門情報を含める必要があります。 ユーザー アカウント属性は、情報バリア ポリシーを割り当てることができるようにセグメントを定義するために使用されます。
属性値や割り当てられたセグメントなど、特定のユーザー アカウントの詳細を表示するには、Id パラメーターを使用して Get-InformationBarrierRecipientStatus コマンドレットを使用します。
構文 例 Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
名前、エイリアス、識別名、正規ドメイン名、電子メール アドレス、GUID など、各ユーザーを一意に識別する任意の値を使用できます。
(このコマンドレットは単一のユーザーに対しても使用できます:Get-InformationBarrierRecipientStatus -Identity <value>
)Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
この例では、Office 365 の 2 つのユーザー アカウント Megan の meganb と Alex の alexw を参照しています。ユーザー アカウント プロファイルに対して編集する属性を決定します。 詳細については、「 情報バリア ポリシーの属性」を参照してください。
1 つ以上のユーザー アカウントを編集して、前の手順で選択した属性の値を含めます。 このアクションを実行するには、次のいずれかの手順を使用します。
1 つのアカウントを編集するには、「Microsoft Entra IDを使用してユーザーのプロファイル情報を追加または更新する」を参照してください。
複数のアカウントを編集する (または PowerShell を使用して 1 つのアカウントを編集する) 場合は、「Office 365 PowerShell を使用してユーザー アカウントのプロパティを構成する」を参照してください。
セグメントを編集する
次の手順を使用して、ユーザー セグメントの定義を編集します。 たとえば、セグメントの名前や、セグメントに含まれるユーザーを決定するために使用されるフィルターを変更できます。
既存のすべてのセグメントを表示するには、 Get-OrganizationSegment コマンドレットを 使用します。
構文:
Get-OrganizationSegment
セグメントの種類、UserGroupFilter 値、最後に変更したユーザー、GUID など、各セグメントと詳細の一覧が表示されます。
ヒント
後で参照できるように、セグメントの一覧を印刷または保存します。 たとえば、セグメントを編集する場合は、その名前または識別値を把握する必要があります (これは Identity パラメーターで使用されます)。
セグメントを編集するには、Id パラメーターと関連する詳細を指定して Set-OrganizationSegment コマンドレットを使用します。
構文 例 Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'"
Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"
この例では、GUID c96e0837-c232-4a8a-841e-ef45787d8fcd を使用して、セグメントの部門名を HRDept に更新しました。
ポリシーを編集する
現在の情報バリア ポリシーの一覧を表示するには、 Get-InformationBarrierPolicy コマンドレットを使用します。
構文:
Get-InformationBarrierPolicy
結果の一覧で、変更するポリシーを特定します。 ポリシーの GUID と名前をメモします。
Identity パラメーターで Set-InformationBarrierPolicy コマンドレットを使用し、行う変更を指定します。
例: リサーチ セグメントが 販売 および マーケティング セグメントとの通信をブロックするようにポリシーが定義されたとします。 ポリシーは、次のコマンドレットを使用して定義されました。
New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"
リサーチ セグメントのユーザーが HR セグメントのユーザーとのみ通信できるように変更するとします。 この変更を行うには、次のコマンドレットを使用します。
Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"
この例では、 SegmentsBlocked を SegmentsAllowed に変更し、 HR セグメントを指定しました。
ポリシーの編集が完了したら、必ず変更を適用してください。 (「 情報バリア ポリシーを適用する」を参照してください)。
ポリシーを非アクティブ状態に設定する
現在の情報バリア ポリシーの一覧を表示するには、 Get-InformationBarrierPolicy コマンドレットを使用します。
構文:
Get-InformationBarrierPolicy
結果の一覧で、変更 (または削除) するポリシーを特定します。 ポリシーの GUID と名前をメモします。
ポリシーの状態を非アクティブに設定するには、Id パラメーターと State パラメーターを [非アクティブ] に設定した Set-InformationBarrierPolicy コマンドレットを使用します。
構文 例 Set-InformationBarrierPolicy -Identity GUID -State Inactive
Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
この例では、GUID 43c37853-ea10-4b90-a23d-ab8c9377247 が非アクティブ状態に設定されている情報バリア ポリシー。変更を適用するには、 Start-InformationBarrierPoliciesApplication コマンドレットを 使用します。
構文:
Start-InformationBarrierPoliciesApplication
変更は、organizationにユーザーごとに適用されます。 organizationが大きい場合、このプロセスが完了するまでに 24 時間以上かかる場合があります。 一般的なガイドラインとして、5,000 のユーザー アカウントを処理するには約 1 時間かかります。
この時点で、1 つ以上の情報バリア ポリシーが非アクティブ状態に設定されます。 ここから、次のいずれかのアクションを実行できます。
ポリシーを削除する
現在の情報バリア ポリシーの一覧を表示するには、 Get-InformationBarrierPolicy コマンドレットを使用します。
構文:
Get-InformationBarrierPolicy
結果の一覧で、削除するポリシーを特定します。 ポリシーの GUID と名前をメモします。
ポリシーが非アクティブ状態に設定されていることを確認します。 ポリシーの状態を非アクティブに設定するには、ID パラメーターと State パラメーターを [非アクティブ] に設定した Set-InformationBarrierPolicy コマンドレットを使用します。
構文 例 Set-InformationBarrierPolicy -Identity GUID -State Inactive
Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
この例では、GUID 43c37853-ea10-4b90-a23d-ab8c9377247 の情報バリア ポリシーを非アクティブ状態に設定します。ポリシーに変更を適用するには、 Start-InformationBarrierPoliciesApplication コマンドレットを 使用します。
構文:
Start-InformationBarrierPoliciesApplication
変更は、organizationにユーザーごとに適用されます。 organizationが大きい場合、このプロセスが完了するまでに 24 時間以上かかる場合があります。 一般的なガイドラインとして、5,000 のユーザー アカウントを処理するには約 1 時間かかります。
Identity パラメーターで Remove-InformationBarrierPolicy コマンドレットを使用します。
構文 例 Remove-InformationBarrierPolicy -Identity GUID
Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
この例では、GUID 43c37853-ea10-4b90-a23d-ab8c93772471 を持つポリシーを削除します。メッセージが表示されたら、変更を確認します。
セグメントを削除する
既存のすべてのセグメントを表示するには、 Get-OrganizationSegment コマンドレットを 使用します。
構文:
Get-OrganizationSegment
セグメントの種類、UserGroupFilter 値、最後に変更したユーザー、GUID など、各セグメントと詳細の一覧が表示されます。
ヒント
後で参照できるように、セグメントの一覧を印刷または保存します。 たとえば、セグメントを編集する場合は、その名前または識別値を把握する必要があります (これは Identity パラメーターで使用されます)。
削除するセグメントを特定し、セグメントに関連付けられている IB ポリシーが削除されていることを確認します。 詳細については、「 ポリシーの削除 」の手順を参照してください。
削除するセグメントを編集して、ユーザーとそのセグメントの関係を削除します。 このアクションにより、セグメント定義が更新され、セグメントからすべてのユーザーが削除されます。 UserGroupFilter パラメーターを使用して、削除前にセグメントからユーザーの関連付けを解除します。
セグメントを編集するには、Id パラメーターと関連する詳細を指定して Set-OrganizationSegment コマンドレットを使用します。
構文 例 Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'"
Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
この例では、GUID c96e0837-c232-4a8a-841e-ef45787d8fcd を持つセグメントについて、部門名を FakeDept として定義し、セグメントからユーザーを削除しました。 この例では Department 属性を使用しますが、必要に応じて他の属性を使用できます。 この例では FakeDept を使用します。これは存在せず、ユーザーが含まれていないことを確実にするためです。変更を適用するには、 Start-InformationBarrierPoliciesApplication コマンドレットを 使用します。
構文:
Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink
注:
CleanupGroupSegmentLink 属性は、ユーザー関連付けのないセグメントとのグループの関連付けを削除します。
変更は、organizationにユーザーごとに適用されます。 organizationが大きい場合、このプロセスが完了するまでに 24 時間以上かかる場合があります。 一般的なガイドラインとして、5,000 のユーザー アカウントを処理するには約 1 時間かかります。
セグメントを削除するには、 Remove-OrganizationSegment コマンドレットを Identity パラメーターと関連する詳細と共に使用します。
構文 例 Remove-OrganizationSegment -Identity GUID
Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
この例では、GUID c96e0837-c232-4a8a-841e-ef45787d8fcd を持つセグメントが削除されました。
ポリシーとセグメントを削除する
現在の情報バリア ポリシーの一覧を表示するには、 Get-InformationBarrierPolicy コマンドレットを使用します。
構文:
Get-InformationBarrierPolicy
結果の一覧で、削除するポリシーを特定します。 ポリシーの GUID と名前をメモします。
既存のすべてのセグメントを表示するには、 Get-OrganizationSegment コマンドレットを 使用します。
構文:
Get-OrganizationSegment
セグメントの種類、 UserGroupFilter パラメーター値、最後に変更したユーザー、GUID など、各セグメントと詳細の一覧が表示されます。
ヒント
後で参照できるように、セグメントの一覧を印刷または保存します。 たとえば、セグメントを編集する場合は、その名前または識別値を把握する必要があります (これは Identity パラメーターで使用されます)。
削除するポリシーの状態を非アクティブに設定するには、Id パラメーターと State パラメーターを [非アクティブ] に設定した Set-InformationBarrierPolicy コマンドレットを使用します。
構文 例 Set-InformationBarrierPolicy -Identity GUID -State Inactive
Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Inactive
この例では、GUID 43c37853-ea10-4b90-a23d-ab8c93772471 の情報バリア ポリシーを非アクティブ状態に設定します。削除するセグメントを編集して、ユーザーとそのセグメントの関係を削除します。 このアクションにより、セグメント定義が更新され、セグメントからすべてのユーザーが削除されます。 UserGroupFilter パラメーターを使用して、削除前にセグメントからユーザーの関連付けを解除します。
セグメントを編集するには、Id パラメーターと関連する詳細を指定して Set-OrganizationSegment コマンドレットを使用します。
構文 例 Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'"
Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
この例では、GUID c96e0837-c232-4a8a-841e-ef45787d8fcd を持つセグメントについて、部門名を FakeDept に更新して、セグメントからユーザーを削除しました。 この例では Department 属性を使用しますが、必要に応じて他の属性を使用できます。 この例では FakeDept を使用します。これは存在せず、ユーザーが含まれていないことを確認するためです。変更を適用するには、 Start-InformationBarrierPoliciesApplication コマンドレットを 使用します。
構文:
Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink
注:
CleanupGroupSegmentLink 属性は、ユーザー関連付けのないセグメントとのグループの関連付けを削除します。
変更は、organizationにユーザーごとに適用されます。 organizationが大きい場合、このプロセスが完了するまでに 24 時間以上かかる場合があります。 一般的なガイドラインとして、5,000 のユーザー アカウントを処理するには約 1 時間かかります。
Identity パラメーターで Remove-InformationBarrierPolicy コマンドレットを使用します。
構文 例 Remove-InformationBarrierPolicy -Identity GUID
Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
この例では、GUID 43c37853-ea10-4b90-a23d-ab8c93772471 を持つポリシーが削除されます。メッセージが表示されたら、変更を確認します。
セグメントを削除するには、 Remove-OrganizationSegment コマンドレットを Identity パラメーターと関連する詳細と共に使用します。
構文 例 Remove-OrganizationSegment -Identity GUID
Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
この例では、GUID c96e0837-c232-4a8a-841e-ef45787d8fcd のセグメントが削除されました。
ポリシー アプリケーションを停止する
情報バリア ポリシーの適用を開始したら、それらのポリシーの適用を停止する場合は、次の手順を使用します。 プロセスが開始されるまでに約 30 分から 35 分かかります。
最新の情報バリア ポリシー アプリケーションの状態を表示するには、 Get-InformationBarrierPoliciesApplicationStatus コマンドレットを使用します。
構文:
Get-InformationBarrierPoliciesApplicationStatus
アプリケーションの GUID に注意してください。
Identity パラメーターで Stop-InformationBarrierPoliciesApplication コマンドレットを使用します。
構文 例 Stop-InformationBarrierPoliciesApplication -Identity GUID
Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1
この例では、情報バリア ポリシーの適用を停止しています。
ユーザーの検出可能性を有効または無効にする
重要
検索制限の有効化または無効化のサポートは、組織が Legacy モードでない場合にのみ使用できます。
Legacy モードの組織では、検索制限を有効または無効にすることはできません。 検索制限を有効または無効にするには、組織の情報バリア モードを変更するための追加操作が必要です。 詳細については、「情報バリアで複数セグメントのサポートを使用する」を参照してください。
レガシ モードの組織は、今後、最新バージョンの情報バリアにアップグレードする資格があります。 詳細については、情報バリアのロードマップを参照してください。
PowerShell を使用してユーザー 選択ウィンドウの検索制限を有効にするには、次の手順を実行します。
- Set-PolicyConfig コマンドレットを使用して、ユーザー選択の制限を有効にします。
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Enabled'
PowerShell を使用してユーザー ピッカーの検索制限を無効にするには、次の手順を実行します:
- Set-PolicyConfig コマンドレットを使用して、ユーザー ピッカーの制限を無効にします。
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'