開始使用資訊屏障
本文說明如何在組織中設定IB) 原則 (資訊屏障。 涉及數個步驟,因此請務必先檢閱整個程式,再開始設定IB原則。
您將在組織中使用 Microsoft Purview 入口網站、Microsoft Purview 合規性入口網站,或使用 Office 365 Security and Compliance PowerShell 來設定 IB。 針對第一次設定IB的組織,建議您在合規性入口網站中使用 資訊屏障 解決方案。 如果您要管理現有的 IB 組態,而且您很熟悉使用 PowerShell,您仍然會有此選項。
如需IB案例和功能的詳細資訊,請參 閱瞭解資訊屏障。
提示
為了協助您準備計劃,本文包含範 例案例 。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
必要的訂用帳戶和許可權
開始使用 IB 之前,您應該先確認Microsoft 365 訂閱和任何附加元件。 若要存取和使用 IB,您的組織必須有支援的訂用帳戶或附加元件。 如需詳細資訊,請參閱資訊屏障的 訂 用帳戶需求。
若 要管理 IB 原則,您必須獲指派下列其中一個角色:
- Office 365 全域系統管理員
- Office 365 全域系統管理員
- 合規性管理員
- IB 合規性管理
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
設定概念
當您設定 IB 時,您將使用數個物件和概念。
用戶帳戶屬性定義於 Microsoft Entra ID (或 Exchange Online) 中。 這些屬性可能包括部門、職稱、地區、小組名稱及其他工作設定檔詳細資料。 您會將使用者或群組指派給具有這些屬性的區段。
區段 是在 Microsoft Purview 入口網站、合規性入口網站,或使用使用所選群組或使用者帳戶屬性的 PowerShell 中定義的群組或使用者集合。
您的組織最多可以有 5,000 個區段,而且最多可以將使用者指派給 10 個區段。 如需詳細資訊,請參閱 IB 支援的屬性 清單。
重要事項
只有當您的組織不是處於 舊 版模式時,才支援5,000個區段並將使用者指派給多個區段。 將使用者指派給多個區段需要額外的動作,才能變更貴組織的資訊屏障模式。 如需詳細資訊,請 參閱在資訊屏障中使用多區段支援 。
對於 舊版 模式的組織而言,支援的區段數目上限為 250,且使用者只能指派給一個區段。 舊版模式中的組織有資格在未來升級至最新版本的資訊屏障。 如需詳細資訊,請參閱 資訊屏障藍圖。IB 原則 會決定通訊限制。 當您定義 IB 原則時,您可以從兩種原則中選擇:
封鎖原則會防止一個區段與另一個區段通訊。
允許原則允許一個區段只與特定其他區段通訊。
注意事項
針對舊版模式的組織:允許原則的 IB 區段和原則中包含的使用者看不到非 IB 群組和使用者。 如果您需要讓 IB 區段和原則中包含的使用者看見非 IB 群組和使用者,則必須使用 封鎖 原則。
針對 SingleSegment 或 MultiSegment 模式的組織:IB 區段和原則中包含的使用者可以看到非 IB 群組和使用者。
若要驗證您的 IB 模式,請 參閱檢查組織的 IB 模式。
原則應用程式 會在定義所有 IB 原則之後完成,而且您已準備好在組織中套用這些原則。
非 IB 使用者和群組的可見度:非 IB 使用者和群組是從 IB 區段和原則中排除的使用者和群組。 根據您在組織中設定IB原則的時機,以及 (封鎖或允許) 的 IB 原則類型,這些使用者和群組在 Microsoft Teams、SharePoint、OneDrive 和全域通訊清單中的行為會有所不同。
- 針對舊版模式的組織:對於在允許原則中定義的使用者,IB 區段和原則中包含的使用者將看不到非 IB 群組和使用者。 針對 區塊 原則中定義的使用者,IB 區段和原則中包含的使用者可以看到非IB群組和使用者。
- 針對 SingleSegment 或 MultiSegment 模式的組織:IB 區段和原則中包含的使用者可以看到非 IB 群組和使用者。
群組支援。 IB 目前僅支援新式 群組,而散發 清單/安全性 群組 會被視為非 IB 群組。
隱藏/停用的使用者和來賓帳戶。 對於組織中隱藏/停用的使用者和來賓帳戶,當隱藏或停用用戶帳戶,或建立來賓時, HiddenFromAddressListEnabled 參數會自動設定為 True 。 當已啟用 IB 的組織使用舊版組織模式時,這些帳戶將無法與所有其他使用者帳戶通訊。 系統管理員可以手動將 HiddenFromAddressListEnabled 參數設定為 False,以停用此預設行為。
設定概觀
步驟 | 涉及的內容 |
---|---|
步驟 1: 確定符合必要條件 | - 確認您具有必要的訂用帳戶和許可權 - 確認您的目錄包含區隔使用者的資料 - 啟用 依名稱搜尋 Microsoft Teams - 確認已開啟稽核記錄 - 檢查貴組織的IB模式 - 根據您在組織中啟用 IB 的時機,設定 Exchange 通訊簿原則的實作方式 () - 提供系統管理員同意以取得包含Microsoft Teams (步驟) |
步驟 2: 區隔組織中的使用者 | - 判斷需要哪些原則 - 列出要定義的區隔清單 - 識別要使用的屬性 - 根據原則篩選定義區隔 |
步驟 3: 建立資訊屏障原則 | - 建立尚未套用的原則 () - 從兩個項目中 (封鎖或允許) 選擇 |
步驟 4: 套用資訊屏障原則 | - 將原則設為使用中狀態 - 執行原則應用程式 - 查看原則狀態 |
步驟 5: 設定 SharePoint 和 OneDrive 上的資訊屏障 (選擇性) | - 設定 SharePoint 和 OneDrive 的 IB |
步驟 6: 選擇性 (的資訊屏障模式) | - 如果適用,請更新 IB 模式 |
步驟 7: 設定選擇性 (資訊屏障的使用者探索能力) | - 如果適用,請使用人員選擇器啟用或限制 IB 中的使用者探索能力。 |
步驟 1:確定符合必要條件
除了必要的訂用帳戶和許可權之外,請先確定符合下列需求,再設定IB:
目錄資料: 確定貴組織的結構反映在目錄資料中。 若要採取此動作,請確定已在 Microsoft Entra ID (或 Exchange Online) 中正確填入 (例如群組成員資格、部門名稱等 ) 的使用者帳戶屬性。 若要深入了解,請參閱下列資源:
限域目錄搜尋:在定義貴組織的第一個 IB 原則之前,您必須在 Microsoft Teams 中啟用限域目錄搜尋。 在啟用限域目錄搜尋之後,請等候至少 24 小時,再設定或定義 IB 原則。
確認已啟用稽核記錄:若要查閱 IB 原則應用程式的狀態,必須開啟稽核記錄。 預設會針對 Microsoft 365 組織啟用稽核。 某些組織可能因為特定原因停用稽核。 如果已為組織停用稽核,這可能是因為另一個系統管理員已將其關閉。 建議您在完成此步驟時,確認可以重新開啟稽核。 如需詳細資訊,請參閱開啟或關閉稽核記錄搜尋。
檢查貴組織的 IB 模式:支援多個區段、人員可探索性選項、Exchange ABP 及其他功能取決於貴組織的 IB 模式。 若要確認貴組織的 IB 模式,請 參閱檢查組織的 IB 模式。
(選用) 移除現有的 Exchange Online 通訊簿原則:
- 針對舊版模式的組織:在定義和套用 IB 原則之前,您必須移除組織中所有現有的 Exchange Online 通訊簿原則。 IB 原則是以通訊簿原則為基礎,而現有的 ABP 原則與 IB 所建立的 ABP 不相容。 若要移除現有的通訊簿原則,請參閱移除 Exchange Online 中的通訊簿原則。 如需 IB 原則和 Exchange Online 的詳細資訊,請參閱資訊屏障和 Exchange Online。
- 針對 SingleSegment 或 MultiSegment 模式的組織:資訊屏障不再以 Exchange Online 通訊簿原則 (ABP) 為基礎。 啟用資訊屏障時,使用ABP的組織不會對現有的ABP有任何影響。
使用 PowerShell 管理 (選擇性) :您可以在合規性入口網站中定義及管理 IB 區段和原則,但您也可以視需要使用 Office 365 安全性 & 合規性 PowerShell。 雖然本文提供數個範例,但如果您選擇使用PowerShell來設定和管理IB區段和原則,則必須熟悉PowerShell Cmdlet和參數。 如果您選擇此設定選項,也需要 Microsoft Graph PowerShell SDK 。
符合所有必要條件時,請繼續進行下一個步驟。
步驟 2:區隔組織中的使用者
在此步驟中,您將決定需要哪些 IB 原則、建立要定義的區段清單,以及定義您的區段。 定義區段不會影響使用者,它只會設定要定義及套用IB原則的階段。
判斷需要哪些原則
考慮組織的需求,判斷組織內需要IB原則的群組。 詢問自己以下的問題︰
- 是否有內部、法律或產業法規需要限制組織中群組與使用者之間的通訊和共同作業?
- 是否有任何應該防止與其他使用者群組通訊的群組或使用者?
- 是否有任何群組或使用者只能與一或兩個其他使用者群組通訊?
將您需要的原則視為屬於下列兩種類型的其中一種:
- 封鎖原則會防止一個群組與另一個群組通訊。
- 允許 原則允許群組只與特定群組通訊。
當您擁有所需的群組和原則的初始清單時,請繼續識別 IB 原則所需的區段。
識別區段
除了您初始的原則清單之外,請為您的組織建立區段清單。 包含在 IB 原則中的用戶應該至少屬於一個區段。 如有需要,可以將使用者指派給多個區段。 組織中最多可以有 5,000 個區段,而且每個區段只能套用一個 IB 原則。
重要事項
在 舊 版或 SingleSegement 模式的組織中,使用者只能位於一個區段中。 若要驗證您的 IB 模式,請 參閱檢查組織的 IB 模式。
決定您將在組織目錄資料中用來定義區段的屬性。 您可以使用 Department、 MemberOf 或任何支援的 IB 屬性。 請確定您在為用戶選取的屬性中有值。 如需詳細資訊,請參閱 IB 的支持屬性。
重要事項
繼續進行下一節之前,請確定您的目錄數據具有可用來定義區段的屬性值。 如果您的目錄數據沒有您想要使用的屬性值,則必須先更新用戶帳戶以包含該資訊,才能繼續設定IB。 若要取得此作業的說明,請參閱下列資源:
-
使用 Office 365 PowerShell 設定使用者帳戶屬性
-
使用 Microsoft Entra ID 新增或更新使用者的配置檔資訊
為使用者啟用多個區段支援, (選擇性)
只有當您的組織 不是舊版 模式時,才支援將使用者指派給多個區段。 如果您想要支援將使用者指派給多個區段,請參閱 在資訊屏障中使用多區段支援。
對於舊 版模式的 組織,使用者只能指派給一個區段。 舊版模式中的組織有資格在未來升級至最新版本的資訊屏障。 如需詳細資訊,請參閱 資訊屏障藍圖。
使用入口網站定義區段
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
完成下列步驟以定義區段:
- 使用組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
- 選取 資訊屏障 解決方案卡片。 如果未顯示資訊屏障解決方案卡片,請選取 [檢視所有解決方案],然後從 [風險 & 合規性] 區段中選取 [資訊屏障]。
- 選取 [區段]。
- 在 [ 區段] 頁面上,選取 [ 新增區段 ] 以建立和設定新的區段。
- 在 [ 名稱] 頁面上,輸入區段的名稱。 建立區段之後,您就無法重新命名區段。
- 選取 [下一步]。
- 在 [ 使用者群組篩選 ] 頁面上,選取 [ 新增 ] 以設定區段的群組和用戶屬性。 從可用屬性清單中選擇區段的屬性。
- 針對選取的屬性,選取 [等於 ] 或 [ 不等於 ],然後輸入屬性的值。 例如,如果您選取 [部門 ] 做為 屬性,而 [ 等於] 則可以輸入 Marketing 作為此區段條件的已定義 部門 。 您可以選取 [新增條件] 來新增屬性的其他 條件。 如果您需要刪除屬性或屬性條件,請選取屬性或條件的刪除圖示。
- 在 [ 使用者群組篩選 ] 頁面上視需要新增其他屬性,然後選取 [ 下一步]。
- 在 [ 檢閱您的設定] 頁面上,檢閱您為區段選擇的設定,以及您選取專案的任何建議或警告。 選取 [編輯 ] 以變更任何區段屬性和條件,或選取 [提交 ] 以建立區段。
使用 PowerShell 定義區段
若要使用 PowerShell 定義區段,請完成下列步驟:
使用 New-OrganizationSegment Cmdlet 搭配 UserGroupFilter 參數,該參數對應至您要使用的 屬性 。
語法 範例 New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'"
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"
在此範例中,名為 HR 的區段是使用 HR 來定義,這是 Department 屬性中的值。 Cmdlet 的 -eq 部分是指“equals”。 (或者,您可以使用 -ne 表示「不等於」。請參閱 在區段定義中使用「等於」和「不等於」。)
執行每個 Cmdlet 之後,您應該會看到有關新區段的詳細數據清單。 詳細數據包括區段的類型、建立者或上次修改該區段的人員等等。
針對您想要定義的每一個區段重複此流程。
定義區段之後,請繼續進行 步驟 3:建立 IB 原則。
在 PowerShell 區段定義中使用「等於」和「不等於」
在下列範例中,我們會使用PowerShell設定IB區段,並定義「部門等於 HR」的區段。
範例 | 注意事項 |
---|---|
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" |
請注意,在此範例中,區段定義包含 「equals」 參數,表示為 -eq。 |
您也可以使用 “not equals” 參數來定義區段,並以 -ne 表示,如下表所示:
語法 | 範例 |
---|---|
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" |
在此範例中,我們定義了名為 NotSales 的區段,其中包含不在 Sales 中的每個人。 Cmdlet 的 -ne 部分是指「不等於」。 |
除了使用「等於」或「不等於」定義區段之外,您還可以使用「等於」和「不等於」參數來定義區段。 您也可以使用邏輯 AND 和 OR 運算子來定義複雜的群組篩選。
語法 | 範例 |
---|---|
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" |
在此範例中,我們定義了稱為 LocalFTE 的區段,其中包含位於本機且其位置未列為 暫存的使用者。 |
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq 'group1@contoso.com'' -and MemberOf -ne 'group3@contoso.com'" |
在此範例中,我們定義了一個名為 Segment1 的區段,其中包含屬於 的成員 group1@contoso.com 而非成員的 group3@contoso.com使用者。 |
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq 'group2@contoso.com' -or MemberOf -ne 'group3@contoso.com'" |
在此範例中,我們定義了稱為 Segment2 的區段,其中包含屬於的成員 group2@contoso.com ,而不是 的成員使用者 group3@contoso.com。 |
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq 'group1@contoso.com' -or MemberOf -eq 'group2@contoso.com') -and MemberOf -ne 'group3@contoso.com'" |
在此範例中,我們定義了名為 Segment1and2 的區段,其中包含 和中的group1@contoso.comgroup2@contoso.com使用者,而不是 的成員group3@contoso.com。 |
提示
可能的話,請使用包含 「-eq」 或 “-ne” 的區段定義。 請嘗試不要定義複雜的區段定義。
步驟 3:建立 IB 原則
當您建立 IB 原則時,您將判斷是否需要防止特定區段之間的通訊,或限制對特定區段的通訊。 在理想情況下,您將使用 IB 原則的最小數目,以確保您的組織符合內部、法律和產業需求。 您可以使用 Microsoft 入口網站、合規性入口網站或 PowerShell 來建立和套用 IB 原則。
提示
針對用戶體驗一致性,建議您盡可能在大部分情況下使用 封鎖 原則。
使用您的使用者區段清單和您想要定義的 IB 原則,選取案例,然後遵循步驟。
重要事項
請確定當您定義原則時,不會將多個原則指派給某個區段。 例如,如果您為名為 Sales 的區段定義一個原則,請勿為 Sales 區段定義其他原則。
此外,當您定義 IB 原則時,請務必將這些原則設定為非作用中狀態,直到您準備好套用這些原則為止。 定義 (或編輯) 原則不會影響使用者,直到這些原則設定為作用中狀態,然後套用為止。
案例 1:封鎖區段之間的通訊
當您想要封鎖區段彼此通訊時,您會定義兩個原則:每個方向各一個原則。 每個原則只會封鎖單向通訊。
例如,假設您想要封鎖區段 A 與區段 B 之間的通訊。在此情況下,您會定義兩個原則:
- 防止區段 A 與區段 B 通訊的一個原則
- 防止區段 B 與區段 A 通訊的第二個原則
使用案例 1 的入口網站建立原則
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
完成下列步驟以建立原則:
使用組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
選取 資訊屏障 解決方案卡片。 如果未顯示資訊屏障解決方案卡片,請選取 [檢視所有解決方案],然後從 [風險 & 合規性] 區段中選取 [資訊屏障]。
選取 [原則]。
在 [ 原則] 頁面上,選取 [建立原則 ] 以建立和設定新的 IB 原則。
在 [ 名稱] 頁面上,輸入原則的名稱,然後選取 [ 下一步]。
在 [ 指派的區段 ] 頁面上,選取 [選擇區段]。 使用搜尋方塊依名稱搜尋區段,或捲動以從顯示的清單中選取區段。 選取 [新增 ] 將選取的區段新增至原則。 您只能選取一個區段。
選取 [下一步]。
在 [ 通訊和共同作業 ] 頁面上,選取 [ 通訊和 共同作業] 字段中的原則類型。 原則選項為 [ 允許] 或 [ 已封鎖]。 在此範例案例中,系統會針對第一個原則選取 [ 封鎖 ]。
重要事項
建立原則之後,無法變更區段的 [允許] 和 [封鎖] 狀態。 若要在建立原則之後變更狀態,您必須刪除原則並建立新的原則。
選 取 [選擇區段 ] 以定義目標區段的動作。 您可以在此步驟中指派多個區段。 例如,如果您想要封鎖名為 Sales 的區段中的使用者與名為 Research 的區段中的用戶通訊,您會在步驟 5 中定義 Sales 區段,而且您會在此步驟的 [選擇區段] 選項中指派 Research。
選取 [下一步]。
在 [原則 狀態 ] 頁面上,將作用中的原則狀態切換為 [開啟]。 選取 [下一步] 繼續。
在 [ 檢閱您的設定] 頁面上,檢閱您為原則選擇的設定,以及您選擇的任何建議或警告。 選取 [編輯 ] 以變更任何原則區段和狀態,或選取 [提交 ] 以建立原則。
在此範例中,您會重複先前的步驟來建立第二個 封鎖 原則,以限制在名為 Research 的區段中封鎖使用者與名為 Sales 的區段中的用戶通訊。 您會在步驟 5 中定義 Research 區段,而您會在 [選擇區段] 選項中指派 Sales (或多個區段) 。
使用適用於案例 1 的 PowerShell 建立原則
若要使用PowerShell定義原則,請完成下列步驟:
若要定義您的第一個封鎖原則,請使用 New-InformationBarrierPolicy Cmdlet 搭配 SegmentsBlocked 參數。
語法 範例 New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsBlocked "segmentBname"
New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive
在此範例中,我們為名為 Sales 的區段定義了稱為 Sales-Research 的原則。 當作用中並套用時,此原則會防止 Sales 中的使用者與名為 Research 的區段中的用戶 通訊。
若要定義您的第二個封鎖區段,請再次使用 New-InformationBarrierPolicy Cmdlet 搭配 SegmentsBlocked 參數,這次使用區段反轉。
範例 注意事項 New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive
在此範例中,我們定義了稱為 Research-Sales 的原則,以防止 Research 與 Sales 通訊。 繼續進行下列其中一個動作:
- (如有需要,) 定義原則以允許區段只與另一個區段通訊
- (在定義所有原則之後) 套用 IB 原則
案例 2:允許區段只與其他一個區段通訊
當您想要允許區段只與另一個區段通訊時,您會定義兩個原則:每個方向一個。 每個原則只允許單向通訊。
在此範例中,您會定義兩個原則:
- 一個原則可讓區段 A 與區段 B 通訊
- 允許區段 B 與區段 A 通訊的第二個原則
使用案例 2 的入口網站建立原則
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
完成下列步驟以建立原則:
使用組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
選取 資訊屏障 解決方案卡片。 如果未顯示資訊屏障解決方案卡片,請選取 [檢視所有解決方案],然後從 [風險 & 合規性] 區段中選取 [資訊屏障]。
在 [ 原則] 頁面上,選取 [建立原則 ] 以建立和設定新的 IB 原則。
在 [ 名稱] 頁面上,輸入原則的名稱,然後選取 [ 下一步]。
在 [ 指派的區段 ] 頁面上,選取 [選擇區段]。 使用搜尋方塊依名稱搜尋區段,或捲動以從顯示的清單中選取區段。 選取 [新增 ] 將選取的區段新增至原則。 您只能選取一個區段。
選取 [下一步]。
在 [ 通訊和共同作業 ] 頁面上,選取 [ 通訊和 共同作業] 字段中的原則類型。 原則選項為 [ 允許] 或 [ 已封鎖]。 在此範例案例中,會針對原則選取 [ 允許 ]。
重要事項
建立原則之後,無法變更區段的 [允許] 和 [封鎖] 狀態。 若要在建立原則之後變更狀態,您必須刪除原則並建立新的原則。
選 取 [選擇區段 ] 以定義目標區段的動作。 您可以在此步驟中指派多個區段。 例如,如果您想要允許名為製造之區段中的使用者與名為 HR 的區段中的用戶通訊,您會在步驟 5 中定義製造區段,而您會在此步驟的 [選擇區段] 選項中指派 HR。
選取 [下一步]。
在 [原則 狀態 ] 頁面上,將作用中的原則狀態切換為 [開啟]。 選取 [下一步] 繼續。
在 [ 檢閱您的設定] 頁面上,檢閱您為原則選擇的設定,以及您選擇的任何建議或警告。 選取 [編輯 ] 以變更任何原則區段和狀態,或選取 [提交 ] 以建立原則。
在此範例中,您會重複上述步驟來建立第二個 允許原則 ,以允許名為 Research 的區段中的使用者 與 Sales 區段中的用戶通訊。 您會在步驟 5 中定義 Research 區段,而您會在 [選擇區段] 選項中指派 Sales (或多個區段) 。
使用適用於案例 2 的 PowerShell 建立原則
若要使用PowerShell定義原則,請完成下列步驟:
若要允許一個區段與另一個區段通訊,請使用 New-InformationBarrierPolicy Cmdlet 搭配 SegmentsAllowed 參數。
語法 範例 New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname","segment1name"
New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State Inactive
在此範例中,我們針對稱為製造的區段定義了稱為Manufacturing-HR的原則。 當作用中並套用時,此原則可讓 製造 中的使用者只與稱為 HR 的區段中的用戶 通訊。 在此情況下, 製造 無法與不屬於人力資源部門的用戶 通訊。
如有需要,您可以使用此 Cmdlet 指定多個區段,如下列範例所示。
語法 範例 New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname", "segmentCname","segmentDname"
New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State Inactive
在此範例中,我們定義了一個原則,允許 Research 區段只與 HR 和 製造部門通訊。
針對您想要定義的每個原則重複此步驟,以允許特定區段只與特定其他特定區段通訊。
若要定義第二個允許區段,請再次使用 New-InformationBarrierPolicy Cmdlet 搭配 SegmentsAllowed 參數,這次使用區段反轉。
範例 注意事項 New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsAllowed "Sales" -State Inactive
在此範例中,我們定義了稱為 Research-Sales 的原則,以允許 Research 與 Sales 通訊。 繼續進行下列其中一個動作:
- (如有需要,) 定義原則來封鎖區段之間的通訊
- (在定義所有原則之後) 套用 IB 原則
步驟 4:套用 IB 原則
在您將 IB 原則設定為作用中狀態並套用原則之前,IB 原則不會生效。
使用入口網站套用原則
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
完成下列步驟以套用原則:
使用組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
選取 資訊屏障 解決方案卡片。 如果未顯示資訊屏障解決方案卡片,請選取 [檢視所有解決方案],然後從 [風險 & 合規性] 區段中選取 [資訊屏障]。
選取 [原則應用程式]。
在 [ 原則] 應用程式 頁面上,選取 [ 套用所有原則 ] 以套用組織中的所有 IB 原則。
注意事項
允許30分鐘讓系統開始套用原則。 系統會針對一個個使用者來套用原則。 系統每小時能處理大約 5,000 個使用者帳戶。
使用 PowerShell 套用原則
若要使用PowerShell套用原則,請完成下列步驟:
使用 Get-InformationBarrierPolicy Cmdlet 查看已定義的原則清單。 請記下每個原則 (GUID) 狀態和身分識別。
語法:
Get-InformationBarrierPolicy
若要將原則設定為作用中狀態,請使用 Set-InformationBarrierPolicy Cmdlet 搭配 Identity 參數,並將 State 參數設定為 Active。
語法 範例 Set-InformationBarrierPolicy -Identity GUID -State Active
Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Active
在此範例中,我們會將 GUID 43c37853-ea10-4b90-a23d-ab8c93772471 的 IB 原則設定為作用中狀態。
針對每個原則,視需要重複此步驟。
當您完成將 IB 原則設定為作用中狀態時,請使用 Security & Compliance PowerShell 中的 Start-InformationBarrierPoliciesApplication Cmdlet。
語法:
Start-InformationBarrierPoliciesApplication
執行此
Start-InformationBarrierPoliciesApplication
之後,等待 30 分鐘,系統才能開始套用原則。 系統會針對一個個使用者來套用原則。 系統每小時能處理大約 5,000 個使用者帳戶。
檢視用戶帳戶、區段、原則或原則應用程式的狀態
使用 PowerShell,您可以檢視用戶帳戶、區段、原則和原則應用程式的狀態,如下表所列。
若要檢視此資訊 | 採取此動作 |
---|---|
使用者帳戶 | 使用 Get-InformationBarrierRecipientStatus Cmdlet 搭配 Identity 參數。 語法: 您可以使用可唯一識別每個使用者的任何值,例如名稱、別名、辨別名稱、正式功能變數名稱、電子郵件位址或 GUID。 範例: 在此範例中,我們會參考 Office 365 中的兩個用戶帳戶:meganb for Megan,alexw 代表 Alex。 (您也可以將此 Cmdlet 用於單一使用者: 此 Cmdlet 會傳回使用者的相關信息,例如屬性值和套用的任何 IB 原則。 |
段 | 使用 Get-OrganizationSegment Cmdlet。 語法: 此 Cmdlet 會顯示為組織定義的所有區段清單。 |
IB 原則 | 使用 Get-InformationBarrierPolicy Cmdlet。 語法: 此 Cmdlet 會顯示已定義的 IB 原則清單及其狀態。 |
最新的IB原則應用程式 | 使用 Get-InformationBarrierPoliciesApplicationStatus Cmdlet。 語法: 此 Cmdlet 會顯示原則應用程式已完成、失敗或正在進行中的相關信息。 |
所有 IB 原則應用程式 | 使用 Get-InformationBarrierPoliciesApplicationStatus -All 此 Cmdlet 會顯示原則應用程式已完成、失敗或正在進行中的相關信息。 |
如果我需要移除或變更原則,該怎麼辦?
資源可用來協助您管理 IB 原則。
- 若要編輯、停止或移除 IB 原則,請 參閱管理資訊屏障原則。
- 如果 IB 發生問題,請參閱 疑難解答資訊屏障。
步驟 5:設定 SharePoint 和 OneDrive 上的資訊屏障
如果您要設定適用於 SharePoint 和 OneDrive 的 IB,則必須在這些服務上啟用 IB。 如果您要設定適用於 Microsoft Teams 的 IB,您也需要在這些服務上啟用 IB。 在 Microsoft Teams 小組中建立小組時,系統會自動建立 SharePoint 網站,並與檔案體驗Microsoft Teams 相關聯。 根據預設,這個新的 SharePoint 網站和檔案不接受 IB 原則。
若要在 SharePoint 和 OneDrive 中啟用 IB,請遵循搭配 SharePoint 使用資訊屏障 一文中的指引和步驟。
步驟 6:選擇性 (的資訊屏障模式)
模式可協助您根據資源的 IB 模式,加強Microsoft 365 資源的存取、共用和成員資格。 Microsoft 365 群組、Microsoft Teams、OneDrive 和 SharePoint 網站都支援模式,並會在新的或現有的 IB 設定中自動啟用。
Microsoft 365 資源支援下列 IB 模式:
Mode | 描述 | 範例 |
---|---|---|
開啟 | 沒有任何與 Microsoft 365 資源相關聯的 IB 原則或區段。 任何人都可以受邀成為資源的成員。 | 為貴組織建立的一個小組網站, |
擁有者仲裁 | Microsoft 365 資源的 IB 原則是由資源擁有者的 IB 原則決定。 資源擁有者可以根據其 IB 原則來邀請任何使用者加入資源。 當您的公司想要允許由擁有者仲裁的不相容區隔用戶之間共同作業時,此模式非常有用。 只有資源擁有者可以根據其 IB 原則新增成員。 | HR 的 VP 想要與銷售和研究的 VP 共同作業。 以IB模式 Owner Moderated 設定的新 SharePoint 網站,可將 Sales 和 Research 區段使用者新增至相同的網站。 擁有者必須負責確保將適當的成員新增至資源。 |
含蓄 | Microsoft 365 資源的 IB 原則或區段繼承自資源成員 IB 原則。 只要成員與資源的現有成員相容,擁有者就可以新增成員。 此模式是 Microsoft Teams 的預設 IB 模式。 | Sales 區段使用者會建立Microsoft Teams 小組,以便與組織中的其他相容區段共同作業。 |
Explicit | Microsoft 365 資源的 IB 原則是根據與資源相關聯的區段。 資源擁有者或 SharePoint 系統管理員能夠管理資源上的區段。 | 僅為 Sales 區段成員建立的網站,可藉由將 Sales 區段與網站建立關聯來共同作業。 |
混合 | 僅適用於 OneDrive。 OneDrive 的 IB 原則是根據與 OneDrive 相關聯的區段。 資源擁有者或 OneDrive 系統管理員能夠管理資源上的區段。 | 為 Sales 區段成員建立以共同作業的 OneDrive 可與未分隔的用戶共用。 |
隱含模式更新
根據您在組織中啟用IB的時機而定,您的組織會處於 舊版、 SingleSegment 或 MultiSegment 組織模式。 若要確認您的模式,請 參閱檢查組織的 IB 模式。
如果您的組織處於 SingleSegment 或 MultiSegment 模式,且 Teams 群組的資訊屏障模式為 隱含,則與 Teams 連線的群組/網站不會有任何相關聯的區段。
如需有關 IB 模式及其跨服務設定方式的詳細資訊,請參閱下列文章:
步驟 7:設定選擇性 (資訊屏障的使用者探索能力)
資訊屏障原則可讓系統管理員啟用或停用人員選擇器中的搜尋限制。 根據預設,IB 原則會啟用人員選擇器限制。 例如,封鎖兩個特定用戶通訊的 IB 原則,也可以限制使用者在使用人員選擇器時看不到彼此。
重要事項
只有當您的組織不是處於 舊 版模式時,才支持啟用或停用搜尋限制。
舊版模式中的組織無法啟用或停用搜尋限制。 啟用或停用搜尋限制需要額外的動作,才能變更組織的資訊屏障模式。 如需詳細資訊,請 參閱在資訊屏障) 中使用多區段支援 。
舊版模式中的組織有資格在未來升級至最新版本的資訊屏障。 如需詳細資訊,請參閱 資訊屏障藍圖。
若要使用PowerShell停用人員選擇器搜尋限制,請完成下列步驟:
- 使用 Set-PolicyConfig Cmdlet 停用人員選擇器限制:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'
範例案例:Contoso 的部門、區段和原則
若要查看組織如何定義區段和原則,請考慮下列範例案例。
Contoso 的部門與計畫
Contoso 有五個部門: HR、 Sales、 Marketing、 Research 和 Manufacturing。 為了保持符合業界法規,某些部門中的使用者不應該與其他部門通訊,如下表所示:
區隔 | 可以與通訊 | 無法與通訊 |
---|---|---|
人力資源 | 所有人 | (沒有限制) |
銷售 | HR、Marketing、Manufacturing | 參考資料 |
行銷 | 所有人 | (沒有限制) |
研發 | HR、Marketing、Manufacturing | 銷售 |
製造 | HR、Marketing | HR 或行銷以外的任何人 |
針對此結構,Contoso 的計劃包含三個 IB 原則:
- 設計來防止銷售與 Research 通訊的 IB 原則
- 另一個 IB 原則,可防止 Research 與 Sales 通訊。
- 專為允許製造人員只與 HR 和 Marketing 通訊而設計的 IB 原則。
在此案例中,不需要定義 HR 或 Marketing 的 IB 原則。
Contoso 的已定義區隔
Contoso 會使用 Microsoft Entra ID 中的 Department 屬性來定義區段,如下所示:
部門 | 區段定義 |
---|---|
人力資源 | New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" |
銷售 | New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'" |
行銷 | New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'" |
研發 | New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'" |
製造 | New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'" |
定義區段之後,Contoso 會繼續定義 IB 原則。
Contoso 的 IB 原則
Contoso 定義三個 IB 原則,如下表所述:
原則 | 原則定義 |
---|---|
原則 1:防止銷售部門與研發部門相互通訊 | New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive 在此範例中,IB 原則稱為 Sales-Research。 當此原則為作用中且已套用時,有助於防止位於銷售區隔中的使用者與研發區隔中的使用者通訊。 此原則是單向原則;它不會阻止 Research 與 Sales 通訊。 因此我們需要原則 2。 |
原則 2:防止研發部門與銷售部門相互通訊 | New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive 在此範例中,IB 原則稱為 Research-Sales。 當此原則為作用中且已套用時,有助於防止位於研發區隔中的使用者與銷售區隔中的使用者通訊。 |
原則 3:只允許製造與 HR 和行銷通訊 | New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive 在此情況下,IB 原則稱為 Manufacturing-HRMarketing。 當此原則為作用中且已套用時,製造部門只能與人力資源部門和行銷部門通訊。 HR 和 Marketing 不會限制與其他區段通訊。 |
在定義區段和原則之後,Contoso 會執行 Start-InformationBarrierPoliciesApplication Cmdlet 來套用原則。
當 Cmdlet 完成時,Contoso 會符合業界需求。