在資訊屏障中使用多區段支援
重要事項
只有當您的組織 不是舊版 模式時,才支援將使用者指派給多個區段。 若要判斷您的組織是否處於 舊 版模式,請 參閱檢查組織的IB模式 ,並檢查 屬性的 InformationBarrierMode
值。
對於舊 版模式的 組織,使用者只能指派給一個區段。
舊版模式中的組織有資格在未來升級至最新版本的資訊屏障。 如需詳細資訊,請參閱 資訊屏障藍圖。
多區段模式可讓您將組織中的使用者指派至資訊屏障中最多 10 個區段,而不是僅限一個區段。 這可讓您支持個人和群組之間更多樣化的通訊規則,以支援更複雜的組織和作業案例。 對於使用多區段支持的組織,所有資訊屏障原則都必須使用允許清單來定義。
設定為多區段支援時,使用者的相容性取決於每個使用者對共用區段的指派。 如果用戶共用相同區段的指派,則兩者相容。 例如,下表顯示使用者 A 和使用者 B 不相容,因為他們不會共用指派的區段。 不過,使用者 A 與使用者 C 相容,而使用者 B 與使用者 C 相容,因為他們各自有共同的指派區段。
使用者 | 指派的區段 |
---|---|
使用者 A | 區段 1,區段 2 |
使用者 B | 區段 3,區段 4 |
使用者 C | 區段 2,區段 4 |
多區段範例:北學區的學校、區段和原則
北學區有兩個學校:學校 1 和學校 2。 學區原則是只允許學生和教師在同一學校時彼此通訊。 例如,同時在學校 1 的學生和教師可以進行通訊,但學校 1 的學生無法與學校 2 的教師通訊。 在此案例中,會設定多個區段來支援下列區域原則案例:
北學區的學校和方案
北學區的 有兩個學校:
區隔 | 允許的通訊 | 禁止通訊 |
---|---|---|
學校 1 | 學校 1 的學生和教師 | 學校 2 的學生和教師 |
學校 2 | 學校 2 的學生和教師 | 學校 1 的學生和教師 |
針對此結構,北學區的計劃包含三個 IB 原則:
- 設計成讓學校 1 的學生和教師彼此通訊的 IB 原則。
- 另一個 IB 原則,可讓學校 2 的學生和教師彼此通訊。
- 另一個專為允許學校 1 和學校 2 中的教師彼此通訊而設計的 IB 原則。
北學區定義的區段
北學區會使用 Microsoft Entra ID 中的 Department 屬性來定義區段,如下所示:
區隔 | 區隔定義 |
---|---|
School1 | New-OrganizationSegment -Name "School1" -UserGroupFilter "Department -eq 'School1'" |
School2 | New-OrganizationSegment -Name "School2" -UserGroupFilter "Department -eq 'School2'" |
AllTeachers | New-OrganizationSegment -Name "AllTeachers" -UserGroupFilter "MemberOfGroup -eq 'AllTeachersgroup@northschoolsdistrict.com'" |
定義區段之後,Contoso 會繼續定義 IB 原則。
北學區的 IB 原則
北學區定義三個 IB 原則,如下表所述:
原則 | 原則定義 |
---|---|
原則 1:學校 1 的學生和教師可以彼此通訊 | New-InformationBarrierPolicy -Name School1Policy -SegmentsAllowed 'School1' -AssignedSegment 'School1' -State Active 在此範例中,IB 原則稱為 School1Policy。 當此原則為作用中並套用時,可讓學校 1 的學生和教師彼此通訊。 此原則是單向原則;它不會防止學校 1 的學生和教師與學校 2 通訊。 因此我們需要原則 2。 |
原則 2:學校 2 的學生和教師可以彼此通訊 | New-InformationBarrierPolicy -Name School2Policy -SegmentsAllowed 'School2' -AssignedSegment 'School2' -State Active 在此範例中,IB 原則稱為 School2Policy。 當此原則為作用中並套用時,可讓學校 2 的學生和教師彼此通訊。 |
原則 3:不同學校的教師可以彼此通訊 | New-InformationBarrierPolicy -Name AllTeachersPolicy -SegmentsAllowed 'AllTeachers' -AssignedSegment 'AllTeachers' -State Active 在此情況下,IB 原則稱為 AllTeachersPolicy。 當此原則為作用中並套用時,學校 1 和學校 2 中的教師可以彼此通訊。 |
在定義區段和原則之後,北學區會執行 Start-InformationBarrierPoliciesApplication Cmdlet 來套用原則。 當 Cmdlet 完成時,北學區已為學生和教師實作其通訊原則。
檢查貴組織的IB模式
如果您想要支援將使用者指派給多個區段,您必須確認您的 IB 組織支援多個區段。 執行下列 Cmdlet 以驗證您的 IB 模式:
Get-PolicyConfig
如果屬性的 InformationBarrierMode
值為 SingleSegment,您可以遵循本文中啟用 使用者的多個區段支援 一節中的指引來啟用多區段支援。 如果屬性的 InformationBarrierMode
值為 MultiSegment,您可以略過啟用多區段的支援,它已為您的組織啟用。
如果屬性的 InformationBarrierMode
值為 Legacy,則您的組織不支援啟用多區段。
舊 版組織有資格在未來升級至最新版本的資訊屏障。 如需詳細資訊,請參閱 資訊屏障藍圖。
為使用者啟用多個區段支援
若要在 SingleSegment 模式下為組織啟用多個區段支援,您目前不得為組織定義任何 IB 區段或原則。 執行下列 Cmdlet 以在組織中啟用多個區段支援:
Set-PolicyConfig -InformationBarrierMode 'MultiSegment'
重要事項
如果您在組織中啟用多個區段並已設定 IB,則不應還原為單一區段支援。
OneDrive 中使用者的多區段支援
如果您的 IB 組織不在 LegacyMode 模式中,而且您已針對多區段支援的資訊屏障設定 OneDrive,則 OneDrive 用戶體驗如下:
OneDrive IB 原則:多區段使用者的 OneDrive 預設會自動設定為 擁有者仲裁 模式。
多區段使用者的 OneDrive 網站存取:
- 明確 或 混合 模式:如果多區段使用者至少具有 OneDrive 的其中一個區段且具有網站訪問許可權,則會授與存取權。
- 所有其他模式:使用者具有與單一區段支援相同的網站存取體驗。
多區段使用者的 OneDrive 共用:多區段使用者可以根據針對 OneDrive 設定的 IB 模式,共用 OneDrive 網站和包含的內容。
- 明確 模式:用戶可以與其他具有與 OneDrive 相同區段的用戶共用 OneDrive 內容。
- 開 啟或 擁有者仲裁 模式:用戶可以與每個 IB 原則的其他相容使用者共享內容。
如需管理 OneDrive IB 的詳細資訊,請 參閱使用 OneDrive 的資訊屏障。
SharePoint Online 中使用者的多區段支援
如果您的 IB 組織不在 LegacyMode 模式中,而且您已針對多區段支援的資訊屏障設定 SharePoint,SharePoint 用戶體驗如下:
網站建立:當多區段使用者建立 SharePoint 網站 (連線的Microsoft 365 群組或非群組網站) 時,網站會自動設定為 擁有者仲裁 模式。
多區段使用者的 SharePoint 網站存取:
- 明確模式:如果使用者至少擁有網站的其中一個區段,且具有網站訪問許可權,則會授與使用者存取權。
- 所有其他模式:使用者具有與單一區段支援相同的網站存取體驗。
由多區段用戶共用 SharePoint 網站:多區段使用者可以根據網站的每個 IB 模式共享網站及其內容。
- 明確 模式:可以與符合網站區段的用戶共享內容。
- 隱含 或 擁有者仲裁 模式:可以與聯機至網站的Microsoft 365 群組的其他現有成員共享內容。
- 開啟 模式:可以與每個 IB 原則相容的其他使用者共享內容。
如需管理 IB for SharePoint 的詳細資訊,請 參閱使用 SharePoint 的資訊屏障。
Microsoft Teams 中使用者的多區段支援
如果您的 IB 組織不在 LegacyMode 模式中,而且您已針對多區段支援的資訊屏障設定 Teams,則Microsoft Teams 用戶體驗如下所示:
- 小組建立:當多區段使用者建立小組時,小組預設會自動設定為 隱含 模式。
- 小組成員新增:小組中的所有用戶都必須有一個與所有其他使用者相容的區段。
如需管理 Microsoft Teams IB 的詳細資訊,請參閱 使用 Microsoft Teams 的資訊屏障。