Поделиться через

Информационные барьеры в Microsoft Teams

  • Статья
  • Применяется к:
    Microsoft Teams

Информационные барьеры (IB) Microsoft Purview — это политики, которые администратор может настроить, чтобы запретить пользователям или группам взаимодействовать друг с другом. IBS полезны, если, например, один отдел обрабатывает сведения, которые не должны предоставляться другим отделам. IBS также полезны, когда группа должна быть изолирована или запрещена в общении с кем-либо за пределами этой группы. Общие каналы в Microsoft Teams поддерживаются информационными барьерами. В зависимости от типа общего доступа политики информационных барьеров могут ограничивать общий доступ определенными способами. Дополнительные сведения о поведении общих каналов и информационных барьеров см. в разделе Информационные барьеры и общие каналы.

В Microsoft Teams информационные барьеры могут определять и предотвращать следующие типы несанкционированного взаимодействия:

  • Добавление пользователя в команду или канал
  • Доступ пользователей к содержимому команды или канала
  • Доступ пользователей к 1:1 и групповым чатам
  • Доступ пользователей к собраниям
  • Предотвращает поиск и обнаружение, пользователи не будут видны в элементе выбора людей.

Примечание.

  • Группы информационных барьеров не могут быть созданы в разных клиентах.
  • Использование ботов, приложений Microsoft Entra, API для отправки уведомлений веб-канала действий и некоторых API для добавления пользователей не поддерживается в версии 1.
  • Частные каналы соответствуют настроенным политикам информационных барьеров.
  • Сведения о поддержке барьеров для сайтов SharePoint, подключенных к Teams, см. в разделе Сегменты, связанные с сайтами Microsoft Teams.

Общие сведения

Основной драйвер для IBs исходит из индустрии финансовых услуг. Орган по регулированию финансовой отрасли (FINRA) рассматривает ИБ и конфликты интересов в фирмах-членах и предоставляет рекомендации по управлению такими конфликтами (FINRA 2241, долговое исследование нормативные уведомления 15-31.

Однако с момента введения ИБ они оказались полезными во многих других областях. Другие распространенные сценарии:

  • Образование. Учащиеся одного учебного заведения не имеют возможности выполнять поиск контактной информации учащихся других учебных заведений.
  • Юридические: поддержание конфиденциальности данных, полученных адвокатом одного клиента, и предотвращение доступа к ним со стороны адвоката той же фирмы, которая представляет другого клиента.
  • Для государственных организаций: доступ к информации и управление ими ограничено в разных отделах и группах.
  • Профессиональные услуги. Группа людей в компании может общаться только с клиентом или конкретным клиентом через гостевой доступ во время взаимодействия с клиентом.

Например, Enrico принадлежит к банковскому сегменту, а Pradeep — к сегменту финансового консультанта. Enrico и Pradeep не могут общаться друг с другом, так как политика IB организации блокирует взаимодействие и совместную работу между этими двумя сегментами. Тем не менее, Энрико и Прадип могут общаться с Ли в отделе кадров.

Пример, показывающий информационные барьеры, препятствующие обмену данными между сегментами.

Когда следует использовать информационные барьеры

Может потребоваться использовать IB в таких ситуациях:

  • Необходимо запретить команде обмениваться данными с определенной другой командой.
  • Команда не должна обмениваться данными или обмениваться данными с кем-либо за пределами команды.

Служба оценки политики информационных барьеров определяет, соответствует ли обмен данным политикам IB.

Управление сегментами информационных барьеров

Управление сегментами IB осуществляется на портале Microsoft Purview, Портал соответствия требованиям Microsoft Purview или с помощью командлетов PowerShell. Дополнительные сведения см. в разделе Шаг 2. Сегментирование пользователей в организации.

Важно!

Поддержка назначения пользователей нескольким сегментам доступна только в том случае, если ваша организация не находится в устаревшем режиме . Чтобы определить, находится ли ваша организация в устаревшем режиме, см. раздел Проверка режима IB для вашей организации).

Пользователям разрешено назначать только один сегмент для организаций в устаревшем режиме . Организации в устаревшем режиме имеют право на обновление до последней версии информационных барьеров в будущем. Дополнительные сведения см. в статье Стратегия информационных барьеров.

Управление политиками информационных барьеров

Управление политиками IB осуществляется на портале Microsoft Purview, Портал соответствия требованиям Microsoft Purview или с помощью командлетов PowerShell. Дополнительные сведения см. в разделе Шаг 3. Создание политик IB.

Важно!

Перед настройкой или определением политик необходимо включить поиск по каталогам с заданной областью в Microsoft Teams. Подождите по крайней мере несколько часов после включения поиска в каталоге с заданной областью, прежде чем настраивать или определять политики для информационных барьеров. Дополнительные сведения см. в разделе Определение политик информационных барьеров.

Роль администратора информационных барьеров

Роль IB Compliance Management отвечает за управление политиками IB. Дополнительные сведения об этой роли см. в разделе:

Триггеры информационных барьеров

Политики IB активируются при выполнении следующих событий Teams:

  • Добавление участников в группу. Каждый раз, когда вы добавляете пользователя в группу, его политику следует оценивать с учетом политик IB других участников группы. После успешного добавления пользователя пользователь может выполнять все функции в команде без дополнительных проверок. Если политика пользователя блокирует его добавление в группу, пользователь не будет отображаться при поиске.

    Снимок экрана: поиск нового участника для добавления в группу и отсутствие совпадений.

  • Запрос нового чата. Каждый раз, когда пользователь запрашивает новый чат с одним или несколькими пользователями, чат оценивается, чтобы убедиться в отсутствии нарушения политик IB. Если данная беседа нарушает политику IB, она не будет начата.

    Ниже приведен пример личного чата.

    Снимок экрана: заблокированное общение в чате 1:1.

    Ниже приведен пример группового чата.

    Снимок экрана: групповой чат.

  • Приглашение пользователя присоединиться к собранию. Если пользователя пригласили присоединиться к собранию, политика IB, применяемая к пользователю, оценивается с учетом политик IB, которые применяются к другим участникам группы. В случае нарушения пользователю не будет разрешено присоединиться к собранию.

    Снимок экрана: пользователь, заблокированный на собрании.

  • Совместное использование экрана двумя или более пользователями. Если пользователь демонстрирует экран другим пользователям, демонстрацию экрана следует оценить, чтобы убедиться в отсутствии нарушения политик IB других пользователей. Если политика IB нарушена, демонстрация экрана не будет разрешена.

    Ниже приведен пример общего доступа к экрану перед применением политики.

    Снимок экрана: пользовательский чат.

    Ниже приведен пример демонстрации экрана после применения политики. Значки вызова и демонстрации экрана не отображаются.

    Снимок экрана: user char с заблокированными параметрами.

  • Пользователь размещает телефонный звонок в Teams. Каждый раз, когда пользователь инициирует голосовой звонок (через VOIP) другому пользователю или группе пользователей, звонок оценивается так, чтобы убедиться, что он не нарушает политики IB других участников команды. В случае нарушения голосовой звонок блокируется.

  • Гости в Teams. Политики IB также применяются к гостям в Teams. Если гости должны быть доступны в глобальном списке адресов вашей организации, см. статью Управление гостевым доступом в Группы Microsoft 365. После обнаружения гостей можно определить политики IB.

Влияние изменений политики на существующие чаты

Когда администратор политики IB вносит изменения в политику или изменение политики активируется из-за изменения профиля пользователя (например, для изменения задания), служба оценки политик информационного барьера автоматически выполняет поиск участников, чтобы убедиться, что их членство в команде не нарушает никаких политик.

Если между пользователями существует чат или другое взаимодействие, а также установлена новая политика или меняется существующая политика, служба оценивает существующие сообщения, чтобы убедиться, что они по-прежнему разрешены.

  • Личный чат. Если общение между двумя пользователями больше не разрешено (из-за применения к одному или обоим пользователям политики, блокирующей коммуникацию), дальнейшее общение блокируется. Существующие беседы в чате становятся доступными только для чтения.

    Ниже приведен пример, показывающий, что чат виден.

    Снимок экрана: пользовательский чат доступен.

    Ниже приведен пример, показывающий, что чат отключен.

    Снимок экрана: чат пользователя отключен.

  • Групповой чат. Если общение от одного пользователя к группе больше запрещено (например, из-за того, что пользователь изменил задания), пользователь вместе с другими пользователями, участие которых нарушает политику, может быть удален из группового чата, а дальнейшее общение с группой не будет разрешено. Пользователь по-прежнему может видеть старые беседы, но не сможет видеть новые беседы с группой или участвовать в ней. Если новая или измененная политика, препятствующая обмену данными, применяется к нескольким пользователям, пользователи, затронутые политикой, могут быть удалены из группового чата. Они по-прежнему могут видеть старые разговоры.

    В этом примере Enrico перемещен в другой отдел организации и удаляется из группового чата.

    Снимок экрана: групповой чат, из которого был удален пользователь.

    Enrico больше не может отправлять сообщения в групповой чат.

    Снимок экрана: невозможность отправки сообщений в групповой чат, так как пользователь был удален из группы.

  • Группа. Все пользователи, которые были удалены из группы, удаляются из группы участников и не могут просматривать существующие либо новые беседы или участвовать в них.

Сценарий. Пользователь в существующем чате блокируется

В настоящее время пользователи сталкиваются со следующими сценариями, если политика IB блокирует другого пользователя:

  • вкладка Люди. Пользователь не может видеть заблокированных пользователей на вкладке Люди.

  • Люди средства выбора: заблокированные пользователи не будут отображаться в элементе выбора людей.

    Снимок экрана: Teams оповещает пользователя о том, что политика предотвращает отображение информации другого пользователя.

  • Вкладка Действие. Если пользователь посещает вкладку Действия заблокированного пользователя, записи не будут отображаться. (На вкладке Действие отображаются только записи канала, и между двумя пользователями не будет общих каналов.)

    Ниже приведен пример заблокированного представления вкладки действий.

    Снимок экрана: заблокированная вкладка действий.

  • Организационные диаграммы. Если пользователь обращается к организационной диаграмме, на которой отображается заблокированный пользователь, заблокированный пользователь не будет отображаться на организационной диаграмме. Вместо этого появится сообщение об ошибке.

  • Люди карта. Если пользователь участвует в беседе, а пользователь позже заблокирован, другие пользователи увидят сообщение об ошибке вместо людей, карта при наведении указателя мыши на имя заблокированного пользователя. Действия, перечисленные в карта (например, звонки и чат), недоступны.

  • Рекомендуемые контакты. Заблокированные пользователи не отображаются в списке предлагаемых контактов (начальный список контактов, который отображается для новых пользователей).

  • Контакты чата. Пользователь может видеть заблокированных пользователей в списке контактов чатов, но заблокированные пользователи будут идентифицированы. Единственное действие, которое пользователь может выполнить с заблокированными пользователями, — удалить их. Пользователь также может выбрать их для просмотра прошлой беседы.

  • Контакты звонков. Пользователь может видеть заблокированных пользователей в списке контактов, но заблокированные пользователи будут идентифицированы. Единственное действие, которое пользователь может выполнить с заблокированными пользователями, — удалить их.

    Ниже приведен пример заблокированного пользователя в списке контактов звонков.

    Снимок экрана: чат пользователя.

    Ниже приведен пример отключения чата для пользователя в списке содержимого звонков.

    Снимок экрана: пользователь, заблокированный в чате.

  • Миграция из Skype в Teams. Во время миграции из Skype для бизнеса в Teams все пользователи, даже те пользователи, которые заблокированы политиками IB, переносятся в Teams. Затем эти пользователи обрабатываются, как описано ранее.

Политики Teams и сайты SharePoint

При создании группы подготавливается сайт SharePoint, связанный с Microsoft Teams, для работы с файлами. Политики информационных барьеров по умолчанию не применяются к этому сайту SharePoint и файлам. Чтобы включить информационные барьеры в SharePoint и OneDrive, следуйте инструкциям в статье Использование информационных барьеров с SharePoint .

Режимы информационных барьеров и Teams

Режимы информационных барьеров помогают укрепить пользователей, которые могут быть добавлены в группу или удалены из нее. При использовании информационных барьеров в Teams поддерживаются следующие режимы IB:

  • Открыть. Эта конфигурация является режимом IB по умолчанию для всех существующих групп, которые были подготовлены до включения информационных барьеров. В этом режиме политики IB не применяются.
  • Неявно. Эта конфигурация является режимом IB по умолчанию, когда команда подготавливается после включения информационных барьеров. Неявный режим позволяет добавлять в группу всех совместимых пользователей.
  • Модерация владельца. Этот режим устанавливается в команде, когда вы хотите разрешить совместную работу между несовместимыми пользователями сегмента, которые модерируются владельцем. Владелец команды может добавлять новых участников в своей политике IB.

Команды Teams, созданные перед активацией политики информационных барьеров в клиенте, по умолчанию автоматически задается в режим Открытия . После активации политик IB в клиенте необходимо обновить режим существующих команд до неявного , чтобы убедиться, что существующие команды соответствуют требованиям IB. Дополнительные сведения о режимах обновления см. в статье Изменение режимов информационных барьеров с помощью скрипта PowerShell.

Используйте командлет Set-UnifiedGroup с параметром InformationBarrierMode , который соответствует режиму, который вы хотите использовать для сегментов. Допустимый список значений для параметра InformationBarrierMode : Open, Неявный и Owner Moderated.

Например, чтобы настроить неявный режим для группы Microsoft 365, используйте следующую команду PowerShell:

Set-UnifiedGroup -InformationBarrierMode Implicit

Чтобы обновить режим с Open на Неявный для всех существующих команд, используйте этот сценарий PowerShell.

Если вы измените конфигурацию режима открытия в существующих группах, подключенных к Teams, в соответствии с требованиями к соответствию для вашей организации, вам потребуется обновить режимы IB для связанных сайтов SharePoint, подключенных к команде Teams.

Приложение политики IB в Teams

Приложение политики IB — это фоновый обработчик IB для Teams, который получает уведомление об изменениях пользователей (изменение политики или сегментов) или групп (изменение режима). В следующих шагах описывается поток обработки.

  • Приложение политики получает уведомление об изменении группы при обновлении режима и извлекает поток сообщений и идентификаторы групп, применимые к обновлению.
  • Если поток сообщений существует, обработка планируется, и все участники извлекаются из команды, а базовая группа отправляется в подчиненные компоненты Teams для оценки IB.
  • Оценивается режим в группах и политиках IB на пользователя, а результаты отправляются в приложение политики.
  • Приложение политики удаляет пользователей, не соответствующих требованиям, из группы и команды.

Обязательные лицензии и разрешения

Дополнительные сведения о лицензиях и разрешениях, планах и ценах см. в разделе Требования к подписке для информационных барьеров.

Заметки об использовании

  • Пользователи не могут присоединяться к нерегламентированным собраниям. Если включены политики IB, пользователям не разрешается присоединяться к собраниям, если размер списка участников собрания превышает ограничения на посещаемость собраний. Основная причина заключается в том, что проверки IB зависят от того, можно ли добавлять пользователей в список чатов собрания, и только если они могут быть добавлены в реестр, они могут присоединиться к собранию. Пользователь, присоединяющийся к собранию, добавляет этого пользователя в реестр; следовательно, для повторяющихся собраний реестр может быстро заполняться. Когда список чатов достигнет ограничений посещаемости собрания, дополнительные пользователи не смогут быть добавлены в собрание. Если IB включен для организации и список чатов заполнен для собрания, новые пользователи (те пользователи, которые еще не включены в реестр) не могут присоединиться к собранию. Но если IB не включен для организации и список чатов собраний заполнен, новые пользователи (те пользователи, которые еще не включены в реестр) могут присоединиться к собранию, хотя они не увидят параметр чата в собрании. Краткосрочным решением является удаление неактивных участников из списка чата собрания, чтобы освободить место для новых пользователей. Однако позже мы будем увеличивать размер списков чатов для собраний.
  • Пользователи не могут присоединяться к собраниям канала. Если включены политики IB, пользователям не разрешено присоединяться к собраниям канала, если они не являются членом команды. Основная причина заключается в том, что проверки IB зависят от того, можно ли добавлять пользователей в список чатов собрания, и только если они могут быть добавлены в реестр, они могут присоединиться к собранию. Поток чата в собрании канала доступен только участникам группы или канала, и пользователи, не являющиеся участниками, не могут видеть поток чата или получать к ней доступ. Если IB включен для организации и участник, не являющийся участником команды, пытается присоединиться к собранию канала, этот пользователь не может присоединиться к собранию. Однако если IB не включен* для организации и участник, не являющийся участником команды, пытается присоединиться к собранию канала, пользователю разрешено присоединиться к собранию, но он не увидит параметр чата на собрании.
  • Политики IB не работают для федеративных пользователей. Если разрешить федерацию с внешними организациями, пользователи этих организаций не будут ограничены политиками IB. Если пользователи вашей организации присоединяются к чату или собранию, организованному внешними федеративными пользователями, политики IB также не будут ограничивать обмен данными между пользователями вашей организации.

Дополнительная информация

Доступность

Информационные барьеры в Teams доступны в общедоступных облаках GCC, GCC — High и DOD.