管理信息屏障策略

(IB) 策略定义信息屏障后,可能需要在故障排除或定期维护过程中更改这些策略或用户细分。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

要执行什么操作?

操作 说明
编辑用户帐户属性 在可用于定义段的Microsoft Entra ID中填写属性。
编辑用户帐户属性(如果用户未包含在他们应该所在的细分中),更改用户所在的细分,或者使用不同属性定义段。
编辑区段 希望更改区段定义方式时编辑区段。
例如,你可能最初使用 Department 定义了段,现在想要使用另一个属性,例如 MemberOf
编辑策略 如果要更改策略的工作方式,请编辑信息屏障策略。
例如,你可能决定只允许特定段之间的通信,而不是阻止两个段之间的通信。
将策略设置为非活动状态 如果要对策略进行更改,或者不希望策略生效,请将策略设置为非活动状态。
删除策略 不再需要特定策略时,请删除信息屏障策略。
删除段 在不再需要特定段时删除信息屏障段。
删除策略和段 同时删除信息屏障策略和段。
停止策略应用程序 如果要停止应用信息屏障策略的过程,请执行此操作。
停止策略应用程序不是即时的,也不会撤消已应用于用户的策略。
启用或禁用用户可发现性 启用或禁用用户是否显示在人员选取器中。
定义信息屏障策略 在尚未实施此类策略时定义信息屏障策略,并且必须限制或限制特定用户组之间的通信。
信息屏障疑难解答 当遇到信息屏障的意外问题时,请参阅本文。

重要

若要执行本文中所述的任务,必须为你分配适当的角色,例如以下角色之一:
- Microsoft 365 企业版全局管理员
- 全局管理员
- 合规性管理员
- IB 合规性管理 (这是一个新角色!)

若要详细了解信息屏障的先决条件,请参阅 先决条件 (,了解信息屏障策略)

请确保 连接到安全性 & 合规性 PowerShell

重要

Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限

编辑用户帐户属性

使用此过程可编辑用于对用户进行分段的属性。 例如,如果使用 Department 属性,并且一个或多个用户帐户当前没有为 Department 列出任何值,则必须编辑这些用户帐户以包含部门信息。 用户帐户属性用于定义段,以便可以分配信息屏障策略。

  1. 若要查看特定用户帐户的详细信息(例如属性值和分配的段 () ),请使用 Get-InformationBarrierRecipientStatus cmdlet 和 Identity 参数。

    语法 示例
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
    可以使用唯一标识每个用户的任何值,例如名称、别名、可分辨名称、规范域名、电子邮件地址或 GUID。
    (还可以将此 cmdlet 用于单个用户: Get-InformationBarrierRecipientStatus -Identity <value>)
    Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
    在此示例中,我们引用Office 365中的两个用户帐户:meganb for Megan,alexw for Alex
  2. 确定要编辑用户帐户配置文件 () 的属性。 有关详细信息,请参阅 信息屏障策略的属性

  3. 编辑一个或多个用户帐户,以包含上一步中选择的属性的值。 若要执行此操作,请使用以下过程之一:

编辑区段

使用此过程编辑用户段的定义。 例如,可以更改段的名称,或用于确定细分中包括的人员的筛选器。

  1. 若要查看所有现有段,请使用 Get-OrganizationSegment cmdlet。

    语法: Get-OrganizationSegment

    你将看到每个段和详细信息的列表,例如段类型、其 UserGroupFilter 值、创建或上次修改者、GUID 等。

    提示

    打印或保存段列表以供以后参考。 例如,如果要编辑段,则需要知道其名称或标识值, (它与 Identity 参数) 一起使用。

  2. 若要编辑段,请使用 Set-OrganizationSegment cmdlet 和 Identity 参数和相关详细信息。

    语法 示例
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"
    在此示例中,我们使用 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 将段的部门名称更新为 HRDept
  3. 完成组织段编辑后,可以 定义编辑 信息屏障策略。

编辑策略

  1. 若要查看当前信息屏障策略的列表,请使用 Get-InformationBarrierPolicy cmdlet。

    语法: Get-InformationBarrierPolicy

    在结果列表中,标识要更改的策略。 记下策略的 GUID 和名称。

  2. Set-InformationBarrierPolicy cmdlet 与 Identity 参数一起使用,并指定要进行的更改。

    示例:假设定义了一个策略来阻止“研究”细分与“销售和市场营销”细分市场进行通信。 此策略是使用以下 cmdlet 定义的: New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"

    假设我们想要对其进行更改,以便 “研究 ”细分中的用户只能与 HR 细分中的用户进行通信。 若要进行此更改,请使用以下 cmdlet: Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"

    在此示例中,我们已将 SegmentsBlocked 更改为 SegmentsAllowed 并指定 HR 段。

  3. 编辑完策略后,请确保应用所做的更改。 (请参阅 应用信息屏障策略。)

将策略设置为非活动状态

  1. 若要查看当前信息屏障策略的列表,请使用 Get-InformationBarrierPolicy cmdlet。

    语法: Get-InformationBarrierPolicy

    在结果列表中,确定要更改 (或删除) 的策略。 记下策略的 GUID 和名称。

  2. 若要将策略的状态设置为非活动状态,请使用 Set-InformationBarrierPolicy cmdlet 和 Identity 参数,并将 State 参数设置为 Inactive

    语法 示例
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    在此示例中,具有 GUID 43c37853-ea10-4b90-a23d-ab8c9377247 的信息屏障策略设置为非活动状态。
  3. 若要应用更改,请使用 Start-InformationBarrierPoliciesApplication cmdlet。

    语法: Start-InformationBarrierPoliciesApplication

    更改将针对组织逐个应用。 如果你的组织规模很大,可能需要 24 小时 (或更) 才能完成此过程。 作为一般准则,处理 5,000 个用户帐户大约需要一个小时。

  4. 此时,一个或多个信息屏障策略设置为非活动状态。 可在此处执行以下任一操作:

删除策略

  1. 若要查看当前信息屏障策略的列表,请使用 Get-InformationBarrierPolicy cmdlet。

    语法: Get-InformationBarrierPolicy

    在结果列表中,标识要删除的策略。 记下策略的 GUID 和名称。

  2. 确保策略设置为非活动状态。 若要将策略的状态设置为非活动状态,请使用 Set-InformationBarrierPolicy cmdlet 和 Identity 参数,并将 State 参数设置为“非活动”。

    语法 示例
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    在此示例中,我们将 GUID 43c37853-ea10-4b90-a23d-ab8c9377247 设置为非活动状态的信息屏障策略。
  3. 若要对策略应用更改,请使用 Start-InformationBarrierPoliciesApplication cmdlet。

    语法: Start-InformationBarrierPoliciesApplication

    更改将针对组织逐个应用。 如果你的组织规模很大,可能需要 24 小时 (或更) 才能完成此过程。 作为一般准则,处理 5,000 个用户帐户大约需要一个小时。

  4. Remove-InformationBarrierPolicy cmdlet 与 Identity 参数配合使用。

    语法 示例
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    在此示例中,我们将删除 GUID 43c37853-ea10-4b90-a23d-ab8c93772471 的策略。

    出现提示时,确认更改。

删除段

  1. 若要查看所有现有段,请使用 Get-OrganizationSegment cmdlet。

    语法: Get-OrganizationSegment

    你将看到每个段和详细信息的列表,例如段类型、其 UserGroupFilter 值、创建或上次修改者、GUID 等。

    提示

    打印或保存段列表以供以后参考。 例如,如果要编辑段,则需要知道其名称或标识值, (它与 Identity 参数) 一起使用。

  2. 标识要删除的段,并确保已删除与段关联的 IB 策略。 有关详细信息,请参阅 删除策略 过程。

  3. 编辑要删除的段,以删除用户与该段的关系。 此操作将更新段定义并删除段中的所有用户。 在删除之前,将使用 UserGroupFilter 参数取消用户与段的关联。

    若要编辑段,请使用 Set-OrganizationSegment cmdlet 和 Identity 参数和相关详细信息。

    语法 示例
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    在此示例中,对于具有 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的段,我们将部门名称定义为 FakeDept 以从该段中删除用户。 此示例使用 Department 属性,但可以根据需要使用其他属性。 此示例使用 FakeDept ,因为它不存在,并且肯定不包含任何用户。
  4. 若要应用更改,请使用 Start-InformationBarrierPoliciesApplication cmdlet。

    语法: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    注意

    CleanupGroupSegmentLink 属性删除与没有用户关联的段的组关联。

    更改将针对组织逐个应用。 如果你的组织规模很大,可能需要 24 小时 (或更) 才能完成此过程。 作为一般准则,处理 5,000 个用户帐户大约需要一个小时。

  5. 若要删除段,请使用 Remove-OrganizationSegment cmdlet 和 Identity 参数和相关详细信息。

    语法 示例
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    在此示例中,已删除 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的段。

删除策略和段

  1. 若要查看当前信息屏障策略的列表,请使用 Get-InformationBarrierPolicy cmdlet。

    语法: Get-InformationBarrierPolicy

    在结果列表中,标识要删除的策略。 记下策略的 GUID 和名称。

  2. 若要查看所有现有段,请使用 Get-OrganizationSegment cmdlet。

    语法: Get-OrganizationSegment

    你将看到每个段和详细信息的列表,例如段类型、其 UserGroupFilter 参数值、创建或上次修改者、GUID 等。

    提示

    打印或保存段列表以供以后参考。 例如,如果要编辑段,则需要知道其名称或标识值, (它与 Identity 参数) 一起使用。

  3. 若要将要删除的策略的状态设置为非活动状态,请使用 Set-InformationBarrierPolicy cmdlet 和 Identity 参数,并将 State 参数设置为 Inactive

    语法 示例
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Inactive
    在此示例中,我们将 GUID 43c37853-ea10-4b90-a23d-ab8c93772471 设置为非活动状态的信息屏障策略。
  4. 编辑要删除的段,以删除用户与该段的关系。 此操作将更新段定义并删除段中的所有用户。 在删除之前,将使用 UserGroupFilter 参数取消用户与段的关联。

    若要编辑段,请使用 Set-OrganizationSegment cmdlet 和 Identity 参数和相关详细信息。

    语法 示例
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    在此示例中,对于具有 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的段,我们已将部门名称更新为 FakeDept 以从该段中删除用户。 此示例使用 Department 属性,但可以根据需要使用其他属性。 此示例使用 FakeDept ,因为它不存在,并且肯定不包含任何用户。
  5. 若要应用更改,请使用 Start-InformationBarrierPoliciesApplication cmdlet。

    语法: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    注意

    CleanupGroupSegmentLink 属性删除与没有用户关联的段的组关联。

    更改将针对组织逐个应用。 如果你的组织规模很大,可能需要 24 小时 (或更) 才能完成此过程。 作为一般准则,处理 5,000 个用户帐户大约需要一个小时。

  6. Remove-InformationBarrierPolicy cmdlet 与 Identity 参数配合使用。

    语法 示例
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    在此示例中,删除了 GUID 43c37853-ea10-4b90-a23d-ab8c93772471 的策略。

    出现提示时,确认更改。

  7. 若要删除段,请使用 Remove-OrganizationSegment cmdlet 和 Identity 参数和相关详细信息。

    语法 示例
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    在此示例中,删除了 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的段。

停止策略应用程序

开始应用信息屏障策略后,如果要阻止应用这些策略,请使用以下过程。 此过程大约需要 30-35 分钟才能开始。

  1. 若要查看最新的信息屏障策略应用程序的状态,请使用 Get-InformationBarrierPoliciesApplicationStatus cmdlet。

    语法: Get-InformationBarrierPoliciesApplicationStatus

    请注意应用程序的 GUID。

  2. Stop-InformationBarrierPoliciesApplication cmdlet 与 Identity 参数配合使用。

    语法 示例
    Stop-InformationBarrierPoliciesApplication -Identity GUID Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1

    在此示例中,我们将停止应用信息屏障策略。

启用或禁用用户可发现性

重要

仅当组织不处于 旧模式 时,才支持启用或禁用搜索限制。 处于旧模式的组织无法启用或禁用搜索限制。 启用或禁用搜索限制需要其他操作来更改组织的信息屏障模式。 有关详细信息,请参阅 在信息屏障中使用多段支持)

处于旧模式的组织将来有资格升级到最新版本的信息屏障。 有关详细信息,请参阅 信息屏障路线图

若要使用 PowerShell 启用人员选取器搜索限制,请完成以下步骤:

  1. 使用 Set-PolicyConfig cmdlet 启用人员选取器限制:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Enabled'

若要使用 PowerShell 禁用人员选取器搜索限制,请完成以下步骤:

  1. 使用 Set-PolicyConfig cmdlet 禁用人员选取器限制:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'

资源