管理信息屏障策略
(IB) 策略定义信息屏障后,可能需要在故障排除或定期维护过程中更改这些策略或用户细分。
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。
要执行什么操作?
操作 | 说明 |
---|---|
编辑用户帐户属性 | 在可用于定义段的Microsoft Entra ID中填写属性。 编辑用户帐户属性(如果用户未包含在他们应该所在的细分中),更改用户所在的细分,或者使用不同属性定义段。 |
编辑区段 | 希望更改区段定义方式时编辑区段。 例如,你可能最初使用 Department 定义了段,现在想要使用另一个属性,例如 MemberOf。 |
编辑策略 | 如果要更改策略的工作方式,请编辑信息屏障策略。 例如,你可能决定只允许特定段之间的通信,而不是阻止两个段之间的通信。 |
将策略设置为非活动状态 | 如果要对策略进行更改,或者不希望策略生效,请将策略设置为非活动状态。 |
删除策略 | 不再需要特定策略时,请删除信息屏障策略。 |
删除段 | 在不再需要特定段时删除信息屏障段。 |
删除策略和段 | 同时删除信息屏障策略和段。 |
停止策略应用程序 | 如果要停止应用信息屏障策略的过程,请执行此操作。 停止策略应用程序不是即时的,也不会撤消已应用于用户的策略。 |
启用或禁用用户可发现性 | 启用或禁用用户是否显示在人员选取器中。 |
定义信息屏障策略 | 在尚未实施此类策略时定义信息屏障策略,并且必须限制或限制特定用户组之间的通信。 |
信息屏障疑难解答 | 当遇到信息屏障的意外问题时,请参阅本文。 |
重要
若要执行本文中所述的任务,必须为你分配适当的角色,例如以下角色之一:
- Microsoft 365 企业版全局管理员
- 全局管理员
- 合规性管理员
- IB 合规性管理 (这是一个新角色!)
若要详细了解信息屏障的先决条件,请参阅 先决条件 (,了解信息屏障策略) 。
请确保 连接到安全性 & 合规性 PowerShell。
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
编辑用户帐户属性
使用此过程可编辑用于对用户进行分段的属性。 例如,如果使用 Department 属性,并且一个或多个用户帐户当前没有为 Department 列出任何值,则必须编辑这些用户帐户以包含部门信息。 用户帐户属性用于定义段,以便可以分配信息屏障策略。
若要查看特定用户帐户的详细信息(例如属性值和分配的段 () ),请使用 Get-InformationBarrierRecipientStatus cmdlet 和 Identity 参数。
语法 示例 Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
可以使用唯一标识每个用户的任何值,例如名称、别名、可分辨名称、规范域名、电子邮件地址或 GUID。
(还可以将此 cmdlet 用于单个用户:Get-InformationBarrierRecipientStatus -Identity <value>
)Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
在此示例中,我们引用Office 365中的两个用户帐户:meganb for Megan,alexw for Alex。确定要编辑用户帐户配置文件 () 的属性。 有关详细信息,请参阅 信息屏障策略的属性。
编辑一个或多个用户帐户,以包含上一步中选择的属性的值。 若要执行此操作,请使用以下过程之一:
若要编辑单个帐户,请参阅使用 Microsoft Entra ID 添加或更新用户的个人资料信息。
若要 (编辑多个帐户或使用 PowerShell 编辑单个帐户) ,请参阅使用 Office 365 PowerShell 配置用户帐户属性。
编辑区段
使用此过程编辑用户段的定义。 例如,可以更改段的名称,或用于确定细分中包括的人员的筛选器。
若要查看所有现有段,请使用 Get-OrganizationSegment cmdlet。
语法:
Get-OrganizationSegment
你将看到每个段和详细信息的列表,例如段类型、其 UserGroupFilter 值、创建或上次修改者、GUID 等。
提示
打印或保存段列表以供以后参考。 例如,如果要编辑段,则需要知道其名称或标识值, (它与 Identity 参数) 一起使用。
若要编辑段,请使用 Set-OrganizationSegment cmdlet 和 Identity 参数和相关详细信息。
语法 示例 Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'"
Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"
在此示例中,我们使用 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 将段的部门名称更新为 HRDept。
编辑策略
若要查看当前信息屏障策略的列表,请使用 Get-InformationBarrierPolicy cmdlet。
语法:
Get-InformationBarrierPolicy
在结果列表中,标识要更改的策略。 记下策略的 GUID 和名称。
将 Set-InformationBarrierPolicy cmdlet 与 Identity 参数一起使用,并指定要进行的更改。
示例:假设定义了一个策略来阻止“研究”细分与“销售和市场营销”细分市场进行通信。 此策略是使用以下 cmdlet 定义的:
New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"
假设我们想要对其进行更改,以便 “研究 ”细分中的用户只能与 HR 细分中的用户进行通信。 若要进行此更改,请使用以下 cmdlet:
Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"
在此示例中,我们已将 SegmentsBlocked 更改为 SegmentsAllowed 并指定 HR 段。
编辑完策略后,请确保应用所做的更改。 (请参阅 应用信息屏障策略。)
将策略设置为非活动状态
若要查看当前信息屏障策略的列表,请使用 Get-InformationBarrierPolicy cmdlet。
语法:
Get-InformationBarrierPolicy
在结果列表中,确定要更改 (或删除) 的策略。 记下策略的 GUID 和名称。
若要将策略的状态设置为非活动状态,请使用 Set-InformationBarrierPolicy cmdlet 和 Identity 参数,并将 State 参数设置为 Inactive。
语法 示例 Set-InformationBarrierPolicy -Identity GUID -State Inactive
Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
在此示例中,具有 GUID 43c37853-ea10-4b90-a23d-ab8c9377247 的信息屏障策略设置为非活动状态。若要应用更改,请使用 Start-InformationBarrierPoliciesApplication cmdlet。
语法:
Start-InformationBarrierPoliciesApplication
更改将针对组织逐个应用。 如果你的组织规模很大,可能需要 24 小时 (或更) 才能完成此过程。 作为一般准则,处理 5,000 个用户帐户大约需要一个小时。
此时,一个或多个信息屏障策略设置为非活动状态。 可在此处执行以下任一操作:
删除策略
若要查看当前信息屏障策略的列表,请使用 Get-InformationBarrierPolicy cmdlet。
语法:
Get-InformationBarrierPolicy
在结果列表中,标识要删除的策略。 记下策略的 GUID 和名称。
确保策略设置为非活动状态。 若要将策略的状态设置为非活动状态,请使用 Set-InformationBarrierPolicy cmdlet 和 Identity 参数,并将 State 参数设置为“非活动”。
语法 示例 Set-InformationBarrierPolicy -Identity GUID -State Inactive
Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
在此示例中,我们将 GUID 43c37853-ea10-4b90-a23d-ab8c9377247 设置为非活动状态的信息屏障策略。若要对策略应用更改,请使用 Start-InformationBarrierPoliciesApplication cmdlet。
语法:
Start-InformationBarrierPoliciesApplication
更改将针对组织逐个应用。 如果你的组织规模很大,可能需要 24 小时 (或更) 才能完成此过程。 作为一般准则,处理 5,000 个用户帐户大约需要一个小时。
将 Remove-InformationBarrierPolicy cmdlet 与 Identity 参数配合使用。
语法 示例 Remove-InformationBarrierPolicy -Identity GUID
Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
在此示例中,我们将删除 GUID 43c37853-ea10-4b90-a23d-ab8c93772471 的策略。出现提示时,确认更改。
删除段
若要查看所有现有段,请使用 Get-OrganizationSegment cmdlet。
语法:
Get-OrganizationSegment
你将看到每个段和详细信息的列表,例如段类型、其 UserGroupFilter 值、创建或上次修改者、GUID 等。
提示
打印或保存段列表以供以后参考。 例如,如果要编辑段,则需要知道其名称或标识值, (它与 Identity 参数) 一起使用。
标识要删除的段,并确保已删除与段关联的 IB 策略。 有关详细信息,请参阅 删除策略 过程。
编辑要删除的段,以删除用户与该段的关系。 此操作将更新段定义并删除段中的所有用户。 在删除之前,将使用 UserGroupFilter 参数取消用户与段的关联。
若要编辑段,请使用 Set-OrganizationSegment cmdlet 和 Identity 参数和相关详细信息。
语法 示例 Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'"
Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
在此示例中,对于具有 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的段,我们将部门名称定义为 FakeDept 以从该段中删除用户。 此示例使用 Department 属性,但可以根据需要使用其他属性。 此示例使用 FakeDept ,因为它不存在,并且肯定不包含任何用户。若要应用更改,请使用 Start-InformationBarrierPoliciesApplication cmdlet。
语法:
Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink
注意
CleanupGroupSegmentLink 属性删除与没有用户关联的段的组关联。
更改将针对组织逐个应用。 如果你的组织规模很大,可能需要 24 小时 (或更) 才能完成此过程。 作为一般准则,处理 5,000 个用户帐户大约需要一个小时。
若要删除段,请使用 Remove-OrganizationSegment cmdlet 和 Identity 参数和相关详细信息。
语法 示例 Remove-OrganizationSegment -Identity GUID
Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
在此示例中,已删除 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的段。
删除策略和段
若要查看当前信息屏障策略的列表,请使用 Get-InformationBarrierPolicy cmdlet。
语法:
Get-InformationBarrierPolicy
在结果列表中,标识要删除的策略。 记下策略的 GUID 和名称。
若要查看所有现有段,请使用 Get-OrganizationSegment cmdlet。
语法:
Get-OrganizationSegment
你将看到每个段和详细信息的列表,例如段类型、其 UserGroupFilter 参数值、创建或上次修改者、GUID 等。
提示
打印或保存段列表以供以后参考。 例如,如果要编辑段,则需要知道其名称或标识值, (它与 Identity 参数) 一起使用。
若要将要删除的策略的状态设置为非活动状态,请使用 Set-InformationBarrierPolicy cmdlet 和 Identity 参数,并将 State 参数设置为 Inactive。
语法 示例 Set-InformationBarrierPolicy -Identity GUID -State Inactive
Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Inactive
在此示例中,我们将 GUID 43c37853-ea10-4b90-a23d-ab8c93772471 设置为非活动状态的信息屏障策略。编辑要删除的段,以删除用户与该段的关系。 此操作将更新段定义并删除段中的所有用户。 在删除之前,将使用 UserGroupFilter 参数取消用户与段的关联。
若要编辑段,请使用 Set-OrganizationSegment cmdlet 和 Identity 参数和相关详细信息。
语法 示例 Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'"
Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
在此示例中,对于具有 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的段,我们已将部门名称更新为 FakeDept 以从该段中删除用户。 此示例使用 Department 属性,但可以根据需要使用其他属性。 此示例使用 FakeDept ,因为它不存在,并且肯定不包含任何用户。若要应用更改,请使用 Start-InformationBarrierPoliciesApplication cmdlet。
语法:
Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink
注意
CleanupGroupSegmentLink 属性删除与没有用户关联的段的组关联。
更改将针对组织逐个应用。 如果你的组织规模很大,可能需要 24 小时 (或更) 才能完成此过程。 作为一般准则,处理 5,000 个用户帐户大约需要一个小时。
将 Remove-InformationBarrierPolicy cmdlet 与 Identity 参数配合使用。
语法 示例 Remove-InformationBarrierPolicy -Identity GUID
Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
在此示例中,删除了 GUID 43c37853-ea10-4b90-a23d-ab8c93772471 的策略。出现提示时,确认更改。
若要删除段,请使用 Remove-OrganizationSegment cmdlet 和 Identity 参数和相关详细信息。
语法 示例 Remove-OrganizationSegment -Identity GUID
Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
在此示例中,删除了 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的段。
停止策略应用程序
开始应用信息屏障策略后,如果要阻止应用这些策略,请使用以下过程。 此过程大约需要 30-35 分钟才能开始。
若要查看最新的信息屏障策略应用程序的状态,请使用 Get-InformationBarrierPoliciesApplicationStatus cmdlet。
语法:
Get-InformationBarrierPoliciesApplicationStatus
请注意应用程序的 GUID。
将 Stop-InformationBarrierPoliciesApplication cmdlet 与 Identity 参数配合使用。
语法 示例 Stop-InformationBarrierPoliciesApplication -Identity GUID
Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1
在此示例中,我们将停止应用信息屏障策略。
启用或禁用用户可发现性
重要
仅当组织不处于 旧模式 时,才支持启用或禁用搜索限制。
处于旧模式的组织无法启用或禁用搜索限制。 启用或禁用搜索限制需要其他操作来更改组织的信息屏障模式。 有关详细信息,请参阅 在信息屏障中使用多段支持) 。
处于旧模式的组织将来有资格升级到最新版本的信息屏障。 有关详细信息,请参阅 信息屏障路线图。
若要使用 PowerShell 启用人员选取器搜索限制,请完成以下步骤:
- 使用 Set-PolicyConfig cmdlet 启用人员选取器限制:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Enabled'
若要使用 PowerShell 禁用人员选取器搜索限制,请完成以下步骤:
- 使用 Set-PolicyConfig cmdlet 禁用人员选取器限制:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'