情報バリアで複数セグメントのサポートを使用する
重要
ユーザーを複数のセグメントに割り当てるサポートは、組織が Legacy モードでない場合にのみ利用できます。 organizationがレガシ モードであるかどうかを判断するには、「organizationの IB モードを確認し、プロパティの値をチェックするInformationBarrierMode」を参照してください。
Legacy モードの組織では、ユーザーは 1 つのセグメントにのみ割り当てられるように制限されています。 レガシー モードの組織は、将来、情報バリアの最新バージョンにアップグレードする資格があります。 詳細については、情報バリアのロードマップを参照してください。
マルチセグメント モードでは、1 つのセグメントのみに制限されるのではなく、organizationのユーザーを情報バリア内の最大 10 セグメントに割り当てることができます。 これにより、個人とグループ間のより多様なコミュニケーション ルールをサポートして、より複雑な組織と運用のシナリオをサポートできます。 複数セグメントのサポートを使用している組織の場合、すべての情報バリア ポリシーを許可リストで定義する必要があります。
複数セグメントのサポート用に構成されている場合、共有セグメントへの各ユーザーの割り当てに応じてユーザーの互換性。 ユーザーが同じセグメントに割り当てを共有する場合、互換性があります。 たとえば、次の表は、ユーザー A とユーザー B が割り当てられたセグメントを共有していないため、互換性がないことを示しています。 ただし、ユーザー A はユーザー C と互換性があり、ユーザー B にはそれぞれ共通のセグメントが割り当てられているため、ユーザー C と互換性があります。
| ユーザー | 割り当てられたセグメント |
|---|---|
| ユーザー A | セグメント 1、セグメント 2 |
| ユーザー B | セグメント 3、セグメント 4 |
| ユーザー C | セグメント 2、セグメント 4 |
複数セグメントの例: 北学区の学校、セグメント、ポリシー
北学区には、学校 1 と学校 2 の 2 つの学校があります。 地区の方針は、生徒と教師が両方とも同じ学校にいる場合にのみ、相互に通信できるようにすることです。 たとえば、学校 1 の生徒と教師の両方が通信できますが、学校 1 の学生は学校 2 の教師と通信できません。 このシナリオでは、次の地区ポリシー シナリオをサポートするように複数のセグメントが構成されます。
北学区の学校と計画
ノース学区には、次の 2 つの学校があります。
| セグメント | 許可される通信 | 通信の禁止 |
|---|---|---|
| 学校 1 | 学校 1 の学生と教師 | 学校 2 の学生と教師 |
| 学校 2 | 学校 2 の学生と教師 | 学校 1 の学生と教師 |
この構造のために、ノース学区の計画には、次の 3 つの IB ポリシーが含まれています。
- 学校 1 の学生と教師が相互に通信できるように設計された IB ポリシー。
- もう 1 つの IB ポリシーは、学校 2 の学生と教師が相互に通信できるようにします。
- もう 1 つの IB ポリシーは、学校 1 と学校 2 の教師が相互に通信できるように設計されています。
北学区の定義されたセグメント
北学区では、次のように、Microsoft Entra IDの Department 属性を使用してセグメントを定義します。
| セグメント | セグメント定義 |
|---|---|
| School1 | New-OrganizationSegment -Name "School1" -UserGroupFilter "Department -eq 'School1'" |
| School2 | New-OrganizationSegment -Name "School2" -UserGroupFilter "Department -eq 'School2'" |
| AllTeachers | New-OrganizationSegment -Name "AllTeachers" -UserGroupFilter "MemberOfGroup -eq 'AllTeachersgroup@northschoolsdistrict.com'" |
セグメントを定義したところで、Contoso はポリシーの定義に進みます。
北学区の IB ポリシー
北学区では、次の表に示すように、3 つの IB ポリシーが定義されています。
| ポリシー | ポリシー定義 |
|---|---|
| ポリシー 1: 学校 1 の学生と教師が相互に通信できる | New-InformationBarrierPolicy -Name School1Policy -SegmentsAllowed 'School1' -AssignedSegment 'School1' -State Active この例では、IB ポリシーは School1Policy と呼ばれます。 このポリシーがアクティブで適用されると、学校 1 の学生と教師が相互に通信できるようになります。 このポリシーは一方向ポリシーです。これは、学校 1 の学生と教師が学校 2 と通信することを妨げません。 そのため、ポリシー2が必要です。 |
| ポリシー 2: 学校 2 の学生と教師が相互に通信できる | New-InformationBarrierPolicy -Name School2Policy -SegmentsAllowed 'School2' -AssignedSegment 'School2' -State Active この例では、IB ポリシーは School2Policy と呼ばれます。 このポリシーがアクティブで適用されると、学校 2 の学生と教師が相互に通信できるようになります。 |
| ポリシー 3: 異なる学校の教師が相互にコミュニケーションを取ることができる | New-InformationBarrierPolicy -Name AllTeachersPolicy -SegmentsAllowed 'AllTeachers' -AssignedSegment 'AllTeachers' -State Active この場合、IB ポリシーは AllTeachersPolicy と呼ばれます。 このポリシーがアクティブで適用されている場合、学校 1 と学校 2 の教師は相互に通信できます。 |
セグメントとポリシーが定義されている場合、北学区は Start-InformationBarrierPoliciesApplication コマンドレットを実行してポリシーを適用します。 コマンドレットが完了すると、北学区は学生と教師向けのコミュニケーション ポリシーを実装しました。
ORGANIZATIONの IB モードを確認する
複数のセグメントへのユーザーの割り当てをサポートする場合は、IB organizationが複数のセグメントをサポートしていることを確認する必要があります。 IB モードを確認するには、次のコマンドレットを実行します。
Get-PolicyConfig
プロパティの InformationBarrierMode 値が SingleSegment の場合は、この記事の「ユーザーに対して複数セグメントのサポートを有効にする」セクションのガイダンスに従って 、複数セグメントのサポートを有効 にすることができます。 プロパティのInformationBarrierMode値が MultiSegment の場合は、マルチセグメントのサポートの有効化をスキップできます。organizationに対して既に有効になっています。
プロパティの値がInformationBarrierModeレガシの場合、複数セグメントを有効にすることは、organizationではサポートされていません。 従来の 組織は、今後、最新バージョンの情報バリアにアップグレードする資格があります。 詳細については、情報バリアのロードマップを参照してください。
ユーザーに対して複数のセグメントのサポートを有効にする
SingleSegment モードで組織に対して複数のセグメントサポートを有効にするには、organizationに対して現在定義されている IB セグメントまたはポリシーを持つ必要はありません。 次のコマンドレットを実行して、organizationで複数のセグメントのサポートを有効にします。
Set-PolicyConfig -InformationBarrierMode 'MultiSegment'
重要
複数のセグメントを有効にし、organizationで IB を構成している場合は、単一セグメントのサポートに戻さないでください。
OneDrive のユーザーに対する複数セグメントのサポート
IB organizationが LegacyMode モードではなく、マルチセグメント サポート用の情報バリア用に OneDrive を構成している場合、OneDrive ユーザー エクスペリエンスは次のようになります。
OneDrive IB ポリシー: マルチセグメント ユーザーの OneDrive は、既定で所有者 モデレート モードに自動的に設定されます。
マルチセグメント ユーザーによる OneDrive サイト アクセス:
- 明示的 または 混合 モード: 複数セグメント のユーザーが OneDrive のセグメントの 1 つ以上を持ち、サイトアクセス許可を持っている場合、アクセス権が付与されます。
- その他のすべてのモード: ユーザーは、単一セグメントのサポートと同じサイト アクセス エクスペリエンスを持っています。
マルチセグメント ユーザーによる OneDrive 共有: マルチセグメント ユーザーは、OneDrive 用に構成されている IB モードごとに OneDrive サイトと含まれるコンテンツを共有できます。
- 明示的 モード: ユーザーは、OneDrive と同じセグメントを持つ他のユーザーと OneDrive コンテンツを共有できます。
- オープン モードまたは 所有者モデレート モード: ユーザーは IB ポリシーごとに他の互換性のあるユーザーとコンテンツを共有できます。
OneDrive の IB の管理の詳細については、「OneDrive で情報バリアを使用する」を参照してください。
SharePoint Online でのユーザーのマルチセグメント サポート
IB organizationが LegacyMode モードではなく、マルチセグメント サポート用の情報バリア用に SharePoint を構成している場合、SharePoint ユーザー エクスペリエンスは次のようになります。
サイトの作成: マルチセグメント ユーザーが SharePoint サイト (Microsoft 365 グループ接続サイトまたはグループ以外のサイト) を作成すると、サイトは自動的に 所有者モデレート モードに設定されます。
マルチセグメント ユーザーによる SharePoint サイト アクセス:
- 明示的モード: ユーザーがサイトのセグメントの 1 つ以上を持ち、サイトアクセス許可を持っている場合、アクセス権が付与されます。
- その他のすべてのモード: ユーザーは、単一セグメントのサポートと同じサイト アクセス エクスペリエンスを持っています。
マルチセグメント ユーザーによる SharePoint サイト共有: マルチセグメント ユーザーは、サイトの IB モードごとにサイトとそのコンテンツを共有できます。
- 明示的 モード: サイトのセグメントに一致するユーザーとコンテンツを共有できます。
- 暗黙的 モードまたは 所有者モデレート モード: サイトに接続されている Microsoft 365 グループの他の既存のメンバーとコンテンツを共有できます。
- オープン モード: IB ポリシーごとに互換性のある他のユーザーとコンテンツを共有できます。
SharePoint の IB の管理の詳細については、「SharePoint で情報バリアを使用する」を参照してください。
Microsoft Teams のユーザーに対する複数セグメントのサポート
IB organizationが LegacyMode モードではなく、マルチセグメント サポート用の情報バリア用に Teams を構成している場合、Microsoft Teams のユーザー エクスペリエンスは次のようになります。
- チームの作成: マルチセグメント ユーザーがチームを作成すると、チームは既定で 暗黙的 モードに自動的に設定されます。
- チーム メンバーの追加: チーム内のすべてのユーザーは、他のすべてのユーザーと互換性のある 1 つのセグメントを持っている必要があります。
Microsoft Teams の IB の管理の詳細については、「Microsoft Teams で情報バリアを使用する」を参照してください。