Freigeben über

Verwalten von Richtlinien für Informationsbarrieren

Nachdem Sie Richtlinien für Informationsbarrieren (Information Barriers, IB) definiert haben, müssen Sie diese Richtlinien oder Ihre Benutzersegmente möglicherweise im Rahmen der Problembehandlung oder regelmäßigen Wartung ändern.

Was möchten Sie machen?

Aktion Beschreibung
Bearbeiten von Benutzerkontoattributen Geben Sie Attribute in Microsoft Entra ID ein, die Sie zum Definieren von Segmenten verwenden können.
Bearbeiten Sie Benutzerkontoattribute, wenn Benutzer nicht in Segmente enthalten sind, in denen sie sich befinden sollten, um zu ändern, in welchen Segmenten sich Benutzer befinden, oder um Segmente mithilfe verschiedener Attribute zu definieren.
Bearbeiten eines Segments Bearbeiten Sie Segmente, wenn Sie die Definition eines Segments ändern möchten.
Beispielsweise haben Sie segmente ursprünglich mithilfe von Department definiert und möchten nun ein anderes Attribut verwenden, z. B. MemberOf.
Bearbeiten einer Richtlinie Bearbeiten Sie eine Richtlinie für Informationsbarrieren, wenn Sie die Funktionsweise einer Richtlinie ändern möchten.
Anstatt beispielsweise die Kommunikation zwischen zwei Segmenten zu blockieren, können Sie die Kommunikation nur zwischen bestimmten Segmenten zulassen.
Festlegen einer Richtlinie auf inaktive status Legen Sie eine Richtlinie auf inaktiv fest, status, wenn Sie Änderungen an einer Richtlinie vornehmen möchten oder wenn sie nicht möchten, dass eine Richtlinie wirksam ist.
Entfernen einer Richtlinie Entfernen Sie eine Richtlinie für Informationsbarrieren, wenn Sie eine bestimmte Richtlinie nicht mehr benötigen.
Entfernen eines Segments Entfernen Sie ein Segment mit Informationsbarrieren, wenn Sie ein bestimmtes Segment nicht mehr benötigen.
Entfernen einer Richtlinie und eines Segments Entfernen Sie gleichzeitig eine Richtlinie für Informationsbarrieren und ein Segment.
Beenden einer Richtlinienanwendung Führen Sie diese Aktion aus, wenn Sie den Prozess der Anwendung von Richtlinien für Informationsbarrieren beenden möchten.
Das Beenden einer Richtlinienanwendung erfolgt nicht sofort, und es werden keine Richtlinien rückgängig, die bereits auf Benutzer angewendet wurden.
Aktivieren oder Deaktivieren der Auffindbarkeit durch Benutzer Aktivieren oder deaktivieren Sie, wenn Benutzer in der Personenauswahl angezeigt werden.
Definieren von Richtlinien für Informationsbarrieren Definieren Sie eine Richtlinie für Informationsbarrieren, wenn Sie noch nicht über solche Richtlinien verfügen, und Sie müssen die Kommunikation zwischen bestimmten Benutzergruppen einschränken oder einschränken.
Problembehandlung bei Informationsbarrieren Lesen Sie diesen Artikel, wenn unerwartete Probleme mit Informationsbarrieren auftreten.

Wichtig

Zum Ausführen der in diesem Artikel beschriebenen Aufgaben muss Ihnen eine entsprechende Rolle zugewiesen werden, z. B. eine der folgenden:
– Microsoft 365 Enterprise globaler Administrator
– Globaler Administrator
– Complianceadministrator
- IB Compliance Management (dies ist eine neue Rolle!)

Weitere Informationen zu den Voraussetzungen für Informationsbarrieren finden Sie unter Voraussetzungen (für Richtlinien für Informationsbarrieren).

Stellen Sie sicher, dass Sie eine Verbindung mit der Security & Compliance-PowerShell herstellen.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Bearbeiten von Benutzerkontoattributen

Verwenden Sie dieses Verfahren, um Attribute zu bearbeiten, die Benutzer segmentieren. Wenn Sie beispielsweise ein Department-Attribut verwenden und mindestens ein Benutzerkonto derzeit keine Werte für Abteilung enthält, bearbeiten Sie diese Benutzerkonten, um Abteilungsinformationen einzuschließen. Verwenden Sie Benutzerkontoattribute, um Segmente zu definieren, damit Sie Richtlinien für Informationsbarrieren zuweisen können.

  1. Um Details für ein bestimmtes Benutzerkonto anzuzeigen, z. B. Attributwerte und zugewiesene Segmente, verwenden Sie das Cmdlet Get-ExoInformationBarrierRelationship mit Identity-Parametern in Exchange Online PowerShell.

    Syntax Beispiel
    Get-ExoInformationBarrierRelationship -RecipientId1 <value> -RecipientId2 <value>
    Sie können einen beliebigen Wert verwenden, der jeden Benutzer eindeutig identifiziert, z. B. Name, Alias, Distinguished Name, kanonischer Domänenname, E-Mail-Adresse oder GUID.    		 Get-ExoInformationBarrierRelationship -Identity meganb -Identity2 alexw
    In diesem Beispiel beziehen wir uns auf zwei Benutzerkonten in Office 365: meganb für Megan und alexw für Alex.

  2. Entscheiden Sie, welches Attribut für Ihre Benutzerkontoprofile bearbeitet werden soll. Weitere Informationen finden Sie unter Attribute für Richtlinien für Informationsbarrieren.

  3. Bearbeiten Sie mindestens ein Benutzerkonto, um Werte für das Attribut einzuschließen, das Sie im vorherigen Schritt ausgewählt haben. Verwenden Sie eines der folgenden Verfahren:

Bearbeiten eines Segments

Verwenden Sie dieses Verfahren, um die Definition eines Benutzersegments zu bearbeiten. Sie können beispielsweise den Namen eines Segments oder den Filter ändern, der bestimmt, wer im Segment enthalten ist.

  1. Verwenden Sie das Cmdlet Get-OrganizationSegment , um alle vorhandenen Segmente anzuzeigen.

    Syntax: Get-OrganizationSegment

    Sie sehen eine Liste der Segmente und Details für jedes Segment, z. B. den Segmenttyp, den zugehörigen UserGroupFilter-Wert, den benutzerseitig erstellten oder zuletzt geänderten Wert, die GUID und vieles mehr.

    Tipp

    Drucken oder speichern Sie die Liste der Segmente zur Referenz. Wenn Sie beispielsweise ein Segment bearbeiten möchten, müssen Sie dessen Namen kennen oder den Wert identifizieren (der mit dem Identity-Parameter verwendet wird).

  2. Verwenden Sie das Cmdlet Set-OrganizationSegment mit dem Parameter Identity und relevanten Details, um ein Segment zu bearbeiten.

    Syntax Beispiel
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"
    In diesem Beispiel aktualisieren Sie den Abteilungsnamen für das Segment mit der GUID c96e0837-c232-4a8a-841e-ef45787d8fcd in HRDept.

  3. Wenn Sie die Bearbeitung von Segmenten für Ihre organization abgeschlossen haben, können Sie Richtlinien für Informationsbarrieren definieren oder bearbeiten.

Bearbeiten einer Richtlinie

  1. Verwenden Sie das Cmdlet Get-InformationBarrierPolicy , um eine Liste der aktuellen Richtlinien für Informationsbarrieren anzuzeigen.

    Syntax: Get-InformationBarrierPolicy

    Suchen Sie in der Ergebnisliste nach der Richtlinie, die Sie ändern möchten. Notieren Sie sich die GUID und den Namen der Richtlinie.

  2. Verwenden Sie das Cmdlet Set-InformationBarrierPolicy mit einem Identity-Parameter , und geben Sie die änderungen an, die Sie vornehmen möchten.

    Beispiel: Angenommen, Sie haben eine Richtlinie definiert, um zu verhindern, dass das Segment Research mit den Segmenten Vertrieb und Marketing kommuniziert. Sie haben die Richtlinie mithilfe dieses Cmdlets definiert: New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"

    Angenommen, Sie möchten dies ändern, sodass Benutzer im Segment Forschung nur mit Benutzern im Personalbereich kommunizieren können. Verwenden Sie dieses Cmdlet, um diese Änderung vorzunehmen: Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"

    In diesem Beispiel ändern Sie SegmentBlocked in SegmentAllowed und geben das Personalsegment an.

  3. Wenn Sie die Bearbeitung einer Richtlinie abgeschlossen haben, stellen Sie sicher, dass Sie Ihre Änderungen anwenden. Weitere Informationen finden Sie unter Anwenden von Richtlinien für Informationsbarrieren.

Festlegen einer Richtlinie auf inaktive status

  1. Verwenden Sie das Cmdlet Get-InformationBarrierPolicy , um eine Liste der aktuellen Richtlinien für Informationsbarrieren anzuzeigen.

    Syntax: Get-InformationBarrierPolicy

    Suchen Sie in der Ergebnisliste nach der Richtlinie, die Sie ändern oder entfernen möchten. Notieren Sie sich die GUID und den Namen der Richtlinie.

  2. Verwenden Sie das Cmdlet Set-InformationBarrierPolicy, wobei der Parameter Identity und der State-Parameter auf Inactive festgelegt sind, um die status der Richtlinie auf inaktiv festzulegen.

    Syntax Beispiel
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    In diesem Beispiel wird die Richtlinie informationsbarrieren mit der GUID 43c37853-ea10-4b90-a23d-ab8c9377247 auf eine inaktive status festgelegt.

  3. Verwenden Sie das Cmdlet Start-InformationBarrierPoliciesApplication , um Ihre Änderungen anzuwenden.

    Syntax: Start-InformationBarrierPoliciesApplication

    Änderungen werden benutzerseitig für Ihre organization angewendet. Wenn Ihr organization groß ist, kann es 24 Stunden oder länger dauern, bis dieser Prozess abgeschlossen ist. Als allgemeine Richtlinie dauert es etwa eine Stunde, 5.000 Benutzerkonten zu verarbeiten.

  4. Mindestens eine Richtlinie für Informationsbarrieren ist auf inaktive status festgelegt. Von hier aus können Sie eine der folgenden Aktionen ausführen:

Entfernen einer Richtlinie

  1. Verwenden Sie das Cmdlet Get-InformationBarrierPolicy , um eine Liste der aktuellen Richtlinien für Informationsbarrieren anzuzeigen.

    Syntax: Get-InformationBarrierPolicy

    Suchen Sie in der Ergebnisliste nach der Richtlinie, die Sie entfernen möchten. Notieren Sie sich die GUID und den Namen der Richtlinie.

  2. Stellen Sie sicher, dass die Richtlinie auf inaktive status festgelegt ist. Um die status der Richtlinie auf inaktiv festzulegen, verwenden Sie das Cmdlet Set-InformationBarrierPolicy mit einem Identity-Parameter und dem State-Parameter, der auf Inactive festgelegt ist.

    Syntax Beispiel
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    In diesem Beispiel legen Sie eine Richtlinie für Informationsbarrieren mit guid 43c37853-ea10-4b90-a23d-ab8c9377247 auf eine inaktive status fest.

  3. Verwenden Sie das Cmdlet Start-InformationBarrierPoliciesApplication , um Ihre Änderungen auf die Richtlinie anzuwenden.

    Syntax: Start-InformationBarrierPoliciesApplication

    Änderungen werden benutzerseitig für Ihre organization angewendet. Wenn Ihr organization groß ist, kann es 24 Stunden oder länger dauern, bis dieser Prozess abgeschlossen ist. Als allgemeine Richtlinie dauert es etwa eine Stunde, 5.000 Benutzerkonten zu verarbeiten.

  4. Verwenden Sie das Cmdlet Remove-InformationBarrierPolicy mit einem Identity-Parameter.

    Syntax Beispiel
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    In diesem Beispiel entfernen Sie die Richtlinie mit der GUID 43c37853-ea10-4b90-a23d-ab8c93772471.

    Wenn Sie dazu aufgefordert werden, bestätigen Sie die Änderung.

Entfernen eines Segments

  1. Verwenden Sie das Cmdlet Get-OrganizationSegment , um alle vorhandenen Segmente anzuzeigen.

    Syntax: Get-OrganizationSegment

    Sie sehen eine Liste der Segmente und Details für jedes Segment, z. B. den Segmenttyp, den zugehörigen UserGroupFilter-Wert, den benutzerseitig erstellten oder zuletzt geänderten Wert, die GUID und vieles mehr.

    Tipp

    Drucken oder speichern Sie die Liste der Segmente zur späteren Referenz. Wenn Sie z. B. ein Segment bearbeiten möchten, müssen Sie den Namen oder den Wert identifizieren (dieser Wert funktioniert mit dem Identity-Parameter).

  2. Identifizieren Sie das zu entfernende Segment, und stellen Sie sicher, dass Sie die dem Segment zugeordnete IB-Richtlinie entfernen. Weitere Informationen finden Sie unter Entfernen einer Richtlinie .

  3. Bearbeiten Sie das Segment, um die Beziehung von Benutzern zu diesem Segment zu entfernen. Durch diese Aktion wird die Segmentdefinition aktualisiert und alle Benutzer aus dem Segment entfernt. Verwenden Sie den Parameter UserGroupFilter, um die Zuordnung von Benutzern zum Segment vor dem Entfernen aufzugeben.

    Verwenden Sie das Cmdlet Set-OrganizationSegment mit dem Parameter Identity und relevanten Details, um ein Segment zu bearbeiten.

    Syntax Beispiel
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    In diesem Beispiel definieren Sie für das Segment mit der GUID c96e0837-c232-4a8a-841e-ef45787d8fcd den Abteilungsnamen als FakeDept , um Benutzer aus dem Segment zu entfernen. In diesem Beispiel wird das Department-Attribut verwendet, Sie können jedoch je nach Bedarf andere Attribute verwenden. Im Beispiel wird FakeDept verwendet, da diese nicht vorhanden ist und sicher keine Benutzer enthält.

  4. Verwenden Sie das Cmdlet Start-InformationBarrierPoliciesApplication , um Ihre Änderungen anzuwenden.

    Syntax: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Hinweis

    Das CleanupGroupSegmentLink-Attribut entfernt Gruppenzuordnungen mit dem Segment ohne Benutzerzuordnungen.

    Änderungen werden benutzerseitig für Ihre organization angewendet. Wenn Ihr organization groß ist, kann es 24 Stunden oder länger dauern, bis dieser Prozess abgeschlossen ist. Als allgemeine Richtlinie dauert es etwa eine Stunde, 5.000 Benutzerkonten zu verarbeiten.

  5. Verwenden Sie das Cmdlet Remove-OrganizationSegment mit dem Parameter Identity und relevanten Details, um ein Segment zu entfernen.

    Syntax Beispiel
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    In diesem Beispiel entfernen Sie das Segment mit der GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

Entfernen einer Richtlinie und eines Segments

  1. Verwenden Sie das Cmdlet Get-InformationBarrierPolicy , um eine Liste der aktuellen Richtlinien für Informationsbarrieren anzuzeigen.

    Syntax: Get-InformationBarrierPolicy

    Suchen Sie in der Ergebnisliste nach der Richtlinie, die Sie entfernen möchten. Notieren Sie sich die GUID und den Namen der Richtlinie.

  2. Verwenden Sie das Cmdlet Get-OrganizationSegment , um alle vorhandenen Segmente anzuzeigen.

    Syntax: Get-OrganizationSegment

    Es wird eine Liste der Segmente und Details für jedes Element angezeigt, z. B. Segmenttyp, userGroupFilter-Parameterwert , wer ihn zuletzt erstellt oder geändert hat, GUID usw.

    Tipp

    Drucken oder speichern Sie die Liste der Segmente zur späteren Referenz. Wenn Sie z. B. ein Segment bearbeiten möchten, müssen Sie den Namen oder den Wert identifizieren (dieser Wert funktioniert mit dem Identity-Parameter).

  3. Verwenden Sie das Cmdlet Set-InformationBarrierPolicy mit einem Identity-Parameter und dem State-Parameter, der auf Inactive festgelegt ist, um die status der zu entfernenden Richtlinie auf inaktiv festzulegen.

    Syntax Beispiel
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Inactive
    In diesem Beispiel legen wir eine Richtlinie für Informationsbarrieren mit der GUID 43c37853-ea10-4b90-a23d-ab8c93772471 auf eine inaktive status fest.

  4. Bearbeiten Sie das Segment, das Sie entfernen möchten, um die Beziehung von Benutzern zu diesem Segment zu entfernen. Durch diese Aktion wird die Segmentdefinition aktualisiert und alle Benutzer aus dem Segment entfernt. Verwenden Sie den Parameter UserGroupFilter , um die Zuordnung von Benutzern zum Segment vor dem Entfernen aufzugeben.

    Verwenden Sie das Cmdlet Set-OrganizationSegment mit dem Parameter Identity und relevanten Details, um ein Segment zu bearbeiten.

    Syntax Beispiel
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    In diesem Beispiel haben wir für das Segment mit der GUID c96e0837-c232-4a8a-841e-ef45787d8fcd den Abteilungsnamen auf FakeDept aktualisiert, um Benutzer aus dem Segment zu entfernen. In diesem Beispiel wird das Department-Attribut verwendet, Sie können jedoch je nach Bedarf andere Attribute verwenden. Im Beispiel wird FakeDept verwendet, da diese nicht vorhanden ist und sicher keine Benutzer enthält.

  5. Verwenden Sie das Cmdlet Start-InformationBarrierPoliciesApplication , um Ihre Änderungen anzuwenden.

    Syntax: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Hinweis

    Das CleanupGroupSegmentLink-Attribut entfernt Gruppenzuordnungen mit dem Segment ohne Benutzerzuordnungen.

    Änderungen werden benutzerseitig für Ihre organization angewendet. Wenn Ihr organization groß ist, kann es 24 Stunden oder länger dauern, bis dieser Prozess abgeschlossen ist. Als allgemeine Richtlinie dauert es etwa eine Stunde, 5.000 Benutzerkonten zu verarbeiten.

  6. Verwenden Sie das Cmdlet Remove-InformationBarrierPolicy mit einem Identity-Parameter .

    Syntax Beispiel
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    In diesem Beispiel wird die Richtlinie mit der GUID 43c37853-ea10-4b90-a23d-ab8c93772471 entfernt.

    Wenn Sie dazu aufgefordert werden, bestätigen Sie die Änderung.

  7. Verwenden Sie das Cmdlet Remove-OrganizationSegment mit dem Parameter Identity und relevanten Details, um ein Segment zu entfernen.

    Syntax Beispiel
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    In diesem Beispiel wurde das Segment mit der GUID c96e0837-c232-4a8a-841e-ef45787d8fcd entfernt.

Beenden der Anwendung einer Richtlinie

Wenn Sie mit der Anwendung von Richtlinien für Informationsbarrieren begonnen haben und die Anwendung dieser Richtlinien beenden möchten, verwenden Sie das folgende Verfahren. Es dauert etwa 30 bis 35 Minuten, bis der Prozess gestartet wird.

  1. Verwenden Sie das Cmdlet Get-InformationBarrierPoliciesApplicationStatus, um die status der neuesten Richtlinie für Informationsbarrieren anzuzeigen.

    Syntax: Get-InformationBarrierPoliciesApplicationStatus

    Beachten Sie die GUID der Anwendung.

  2. Verwenden Sie das Cmdlet Stop-InformationBarrierPoliciesApplication mit einem Identity-Parameter.

    Syntax Beispiel
    Stop-InformationBarrierPoliciesApplication -Identity GUID Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1

    In diesem Beispiel beenden Sie die Anwendung von Richtlinien für Informationsbarrieren.

Aktivieren oder Deaktivieren der Auffindbarkeit durch Benutzer

Wichtig

Unterstützung für das Aktivieren oder Deaktivieren von Sucheinschränkungen ist nur verfügbar, wenn sich Ihre organization nicht im Legacymodus befindet. Organisationen im Legacymodus können Sucheinschränkungen nicht aktivieren oder deaktivieren. Zum Aktivieren oder Deaktivieren von Sucheinschränkungen sind zusätzliche Aktionen erforderlich, um den Modus "Informationsbarrieren" für Ihre organization zu ändern. Weitere Informationen finden Sie unter Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren.

Organisationen im Legacymodus sind berechtigt, in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchzuführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.

Führen Sie die folgenden Schritte aus, um die Einschränkung der Personenauswahlsuche mithilfe von PowerShell zu aktivieren:

  1. Verwenden Sie das Cmdlet Set-PolicyConfig , um die Personenauswahleinschränkung zu aktivieren:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Enabled'

Führen Sie die folgenden Schritte aus, um die Einschränkung der Personenauswahlsuche mithilfe von PowerShell zu deaktivieren:

  1. Verwenden Sie das Cmdlet Set-PolicyConfig , um die Personenauswahleinschränkung zu deaktivieren:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'

Ressourcen

  • Last updated on