管理信息屏障策略

(IB) 策略定义信息屏障后，可能需要在故障排除或定期维护过程中更改这些策略或用户细分。

提示

如果你不是 E5 客户，请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从 Microsoft Purview 合规性门户试用中心开始。 了解有关 注册和试用条款的详细信息。

要执行什么操作？

操作	说明
编辑用户帐户属性	在可用于定义段Microsoft Entra ID 中填写属性。 编辑用户帐户属性（如果用户未包含在他们应该所在的细分中），更改用户所在的细分，或者使用不同属性定义段。
编辑区段	希望更改区段定义方式时编辑区段。 例如，你可能最初使用 Department 定义了段，现在想要使用另一个属性，例如 MemberOf。
编辑策略	如果要更改策略的工作方式，请编辑信息屏障策略。 例如，你可能决定只允许特定段之间的通信，而不是阻止两个段之间的通信。
将策略设置为非活动状态	如果要对策略进行更改，或者不希望策略生效，请将策略设置为非活动状态。
删除策略	不再需要特定策略时，请删除信息屏障策略。
删除段	在不再需要特定段时删除信息屏障段。
删除策略和段	同时删除信息屏障策略和段。
停止策略应用程序	如果要停止应用信息屏障策略的过程，请执行此操作。 停止策略应用程序不是即时的，也不会撤消已应用于用户的策略。
启用或禁用用户可发现性	启用或禁用用户是否显示在人员选取器中。
定义信息屏障策略	在尚未实施此类策略时定义信息屏障策略，并且必须限制或限制特定用户组之间的通信。
信息屏障疑难解答	当遇到信息屏障的意外问题时，请参阅本文。

重要

若要执行本文中所述的任务，必须为你分配适当的角色，例如以下角色之一：
- Microsoft 365 企业版全局管理员
- 全局管理员
- 合规性管理员
- IB 合规性管理 (这是一个新角色！)

若要详细了解信息屏障的先决条件，请参阅 先决条件 (，了解信息屏障策略) 。

请确保 连接到安全性 & 合规性 PowerShell。

重要

Microsoft建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数，有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。

编辑用户帐户属性

使用此过程可编辑用于对用户进行分段的属性。 例如，如果使用 Department 属性，并且一个或多个用户帐户当前没有为 Department 列出任何值，则必须编辑这些用户帐户以包含部门信息。 用户帐户属性用于定义段，以便可以分配信息屏障策略。

1. 若要查看特定用户帐户的详细信息（例如属性值和分配的段 () ），请使用 Get-InformationBarrierRecipientStatus cmdlet 和 Identity 参数。

   语法	示例
   Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value> 可以使用唯一标识每个用户的任何值，例如名称、别名、可分辨名称、规范域名、电子邮件地址或 GUID。 (还可以将此 cmdlet 用于单个用户： Get-InformationBarrierRecipientStatus -Identity <value>)	Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw 在此示例中，我们引用了 Office 365 中的两个用户帐户： meganb for Megan 和 alexw for Alex。

2. 确定要编辑用户帐户配置文件 () 的属性。 有关详细信息，请参阅 信息屏障策略的属性。

3. 编辑一个或多个用户帐户，以包含上一步中选择的属性的值。 若要执行此操作，请使用以下过程之一：

   • 若要编辑单个帐户，请参阅 使用 entra ID Microsoft添加或更新用户的个人资料信息。

   • 若要 (编辑多个帐户或使用 PowerShell 编辑单个帐户) ，请参阅 使用 Office 365 PowerShell 配置用户帐户属性。

编辑区段

使用此过程编辑用户段的定义。 例如，可以更改段的名称，或用于确定细分中包括的人员的筛选器。

1. 若要查看所有现有段，请使用 Get-OrganizationSegment cmdlet。

   语法： Get-OrganizationSegment

   你将看到每个段和详细信息的列表，例如段类型、其 UserGroupFilter 值、创建或上次修改者、GUID 等。

   提示

   打印或保存段列表以供以后参考。 例如，如果要编辑段，则需要知道其名称或标识值， (它与 Identity 参数) 一起使用。

2. 若要编辑段，请使用 Set-OrganizationSegment cmdlet 和 Identity 参数和相关详细信息。

   语法	示例
   Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'"	Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'" 在此示例中，我们使用 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 将段的部门名称更新为 HRDept。

3. 完成组织段编辑后，可以 定义 或 编辑 信息屏障策略。

编辑策略

1. 若要查看当前信息屏障策略的列表，请使用 Get-InformationBarrierPolicy cmdlet。

   语法： Get-InformationBarrierPolicy

   在结果列表中，标识要更改的策略。 记下策略的 GUID 和名称。

2. 将 Set-InformationBarrierPolicy cmdlet 与 Identity 参数一起使用，并指定要进行的更改。

   示例：假设定义了一个策略来阻止“研究”细分与“销售和市场营销”细分市场进行通信。 此策略是使用以下 cmdlet 定义的： New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"

   假设我们想要对其进行更改，以便 “研究 ”细分中的用户只能与 HR 细分中的用户进行通信。 若要进行此更改，请使用以下 cmdlet： Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"

   在此示例中，我们已将 SegmentsBlocked 更改为 SegmentsAllowed 并指定 HR 段。

3. 编辑完策略后，请确保应用所做的更改。 (请参阅 应用信息屏障策略。)

将策略设置为非活动状态

1. 若要查看当前信息屏障策略的列表，请使用 Get-InformationBarrierPolicy cmdlet。

   语法： Get-InformationBarrierPolicy

   在结果列表中，确定要更改 (或删除) 的策略。 记下策略的 GUID 和名称。

2. 若要将策略的状态设置为非活动状态，请使用 Set-InformationBarrierPolicy cmdlet 和 Identity 参数，并将 State 参数设置为 Inactive。

   语法	示例
   Set-InformationBarrierPolicy -Identity GUID -State Inactive	Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive 在此示例中，具有 GUID 43c37853-ea10-4b90-a23d-ab8c9377247 的信息屏障策略设置为非活动状态。

3. 若要应用更改，请使用 Start-InformationBarrierPoliciesApplication cmdlet。

   语法： Start-InformationBarrierPoliciesApplication

   更改将针对组织逐个应用。 如果你的组织规模很大，可能需要 24 小时 (或更) 才能完成此过程。 作为一般准则，处理 5,000 个用户帐户大约需要一个小时。

4. 此时，一个或多个信息屏障策略设置为非活动状态。 可在此处执行以下任一操作：

   • 保持原样 (设置为非活动状态的策略对用户)
   • 编辑策略
   • 删除策略

删除策略

1. 若要查看当前信息屏障策略的列表，请使用 Get-InformationBarrierPolicy cmdlet。

   语法： Get-InformationBarrierPolicy

   在结果列表中，标识要删除的策略。 记下策略的 GUID 和名称。

2. 确保策略设置为非活动状态。 若要将策略的状态设置为非活动状态，请使用 Set-InformationBarrierPolicy cmdlet 和 Identity 参数，并将 State 参数设置为“非活动”。

   语法	示例
   Set-InformationBarrierPolicy -Identity GUID -State Inactive	Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive 在此示例中，我们将 GUID 43c37853-ea10-4b90-a23d-ab8c9377247 设置为非活动状态的信息屏障策略。

3. 若要对策略应用更改，请使用 Start-InformationBarrierPoliciesApplication cmdlet。

   语法： Start-InformationBarrierPoliciesApplication

   更改将针对组织逐个应用。 如果你的组织规模很大，可能需要 24 小时 (或更) 才能完成此过程。 作为一般准则，处理 5,000 个用户帐户大约需要一个小时。

4. 将 Remove-InformationBarrierPolicy cmdlet 与 Identity 参数配合使用。

   语法	示例
   Remove-InformationBarrierPolicy -Identity GUID	Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 在此示例中，我们将删除 GUID 43c37853-ea10-4b90-a23d-ab8c93772471 的策略。

   出现提示时，确认更改。

删除段

1. 若要查看所有现有段，请使用 Get-OrganizationSegment cmdlet。

   语法： Get-OrganizationSegment

   你将看到每个段和详细信息的列表，例如段类型、其 UserGroupFilter 值、创建或上次修改者、GUID 等。

   提示

   打印或保存段列表以供以后参考。 例如，如果要编辑段，则需要知道其名称或标识值， (它与 Identity 参数) 一起使用。

2. 标识要删除的段，并确保已删除与段关联的 IB 策略。 有关详细信息，请参阅 删除策略 过程。

3. 编辑要删除的段，以删除用户与该段的关系。 此操作将更新段定义并删除段中的所有用户。 在删除之前，将使用 UserGroupFilter 参数取消用户与段的关联。

   若要编辑段，请使用 Set-OrganizationSegment cmdlet 和 Identity 参数和相关详细信息。

   语法	示例
   Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'"	Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'" 在此示例中，对于具有 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的段，我们将部门名称定义为 FakeDept 以从该段中删除用户。 此示例使用 Department 属性，但可以根据需要使用其他属性。 此示例使用 FakeDept ，因为它不存在，并且肯定不包含任何用户。

4. 若要应用更改，请使用 Start-InformationBarrierPoliciesApplication cmdlet。

   语法： Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

   注意

   CleanupGroupSegmentLink 属性删除与没有用户关联的段的组关联。

   更改将针对组织逐个应用。 如果你的组织规模很大，可能需要 24 小时 (或更) 才能完成此过程。 作为一般准则，处理 5,000 个用户帐户大约需要一个小时。

5. 若要删除段，请使用 Remove-OrganizationSegment cmdlet 和 Identity 参数和相关详细信息。

   语法	示例
   Remove-OrganizationSegment -Identity GUID	Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd 在此示例中，已删除 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的段。

删除策略和段

1. 若要查看当前信息屏障策略的列表，请使用 Get-InformationBarrierPolicy cmdlet。

   语法： Get-InformationBarrierPolicy

   在结果列表中，标识要删除的策略。 记下策略的 GUID 和名称。

2. 若要查看所有现有段，请使用 Get-OrganizationSegment cmdlet。

   语法： Get-OrganizationSegment

   你将看到每个段和详细信息的列表，例如段类型、其 UserGroupFilter 参数值、创建或上次修改者、GUID 等。

   提示

   打印或保存段列表以供以后参考。 例如，如果要编辑段，则需要知道其名称或标识值， (它与 Identity 参数) 一起使用。

3. 若要将要删除的策略的状态设置为非活动状态，请使用 Set-InformationBarrierPolicy cmdlet 和 Identity 参数，并将 State 参数设置为 Inactive。

   语法	示例
   Set-InformationBarrierPolicy -Identity GUID -State Inactive	Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Inactive 在此示例中，我们将 GUID 43c37853-ea10-4b90-a23d-ab8c93772471 设置为非活动状态的信息屏障策略。

4. 编辑要删除的段，以删除用户与该段的关系。 此操作将更新段定义并删除段中的所有用户。 在删除之前，将使用 UserGroupFilter 参数取消用户与段的关联。

   若要编辑段，请使用 Set-OrganizationSegment cmdlet 和 Identity 参数和相关详细信息。

   语法	示例
   Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'"	Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'" 在此示例中，对于具有 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的段，我们已将部门名称更新为 FakeDept 以从该段中删除用户。 此示例使用 Department 属性，但可以根据需要使用其他属性。 此示例使用 FakeDept ，因为它不存在，并且肯定不包含任何用户。

5. 若要应用更改，请使用 Start-InformationBarrierPoliciesApplication cmdlet。

   语法： Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

   注意

   CleanupGroupSegmentLink 属性删除与没有用户关联的段的组关联。

   更改将针对组织逐个应用。 如果你的组织规模很大，可能需要 24 小时 (或更) 才能完成此过程。 作为一般准则，处理 5,000 个用户帐户大约需要一个小时。

6. 将 Remove-InformationBarrierPolicy cmdlet 与 Identity 参数配合使用。

   语法	示例
   Remove-InformationBarrierPolicy -Identity GUID	Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 在此示例中，删除了 GUID 43c37853-ea10-4b90-a23d-ab8c93772471 的策略。

   出现提示时，确认更改。

7. 若要删除段，请使用 Remove-OrganizationSegment cmdlet 和 Identity 参数和相关详细信息。

   语法	示例
   Remove-OrganizationSegment -Identity GUID	Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd 在此示例中，删除了 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的段。

停止策略应用程序

开始应用信息屏障策略后，如果要阻止应用这些策略，请使用以下过程。 此过程大约需要 30-35 分钟才能开始。

1. 若要查看最新的信息屏障策略应用程序的状态，请使用 Get-InformationBarrierPoliciesApplicationStatus cmdlet。

   语法： Get-InformationBarrierPoliciesApplicationStatus

   请注意应用程序的 GUID。

2. 将 Stop-InformationBarrierPoliciesApplication cmdlet 与 Identity 参数配合使用。

   语法	示例
   Stop-InformationBarrierPoliciesApplication -Identity GUID	Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1 在此示例中，我们将停止应用信息屏障策略。

启用或禁用用户可发现性

重要

仅当组织不处于 旧模式 时，才支持启用或禁用搜索限制。 处于旧模式的组织无法启用或禁用搜索限制。 启用或禁用搜索限制需要其他操作来更改组织的信息屏障模式。 有关详细信息，请参阅 在信息屏障中使用多段支持) 。

处于旧模式的组织将来将有资格升级到最新版本的信息屏障。 有关详细信息，请参阅 信息屏障路线图。

若要使用 PowerShell 启用人员选取器搜索限制，请完成以下步骤：

1. 使用 Set-PolicyConfig cmdlet 启用人员选取器限制：

Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Enabled'

若要使用 PowerShell 禁用人员选取器搜索限制，请完成以下步骤：

1. 使用 Set-PolicyConfig cmdlet 禁用人员选取器限制：

Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'

资源

• 获取信息屏障的概述
• 定义信息屏障策略
• 详细了解 Microsoft Teams 中的信息屏障
• 详细了解 SharePoint Online 中的信息屏障
• 详细了解 OneDrive 中的信息屏障
• 在信息屏障中使用多段支持
• IB 策略的属性
• 信息屏障疑难解答