Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Die Unterstützung für das Zuweisen von Benutzern zu mehreren Segmenten ist nur verfügbar, wenn sich Ihre organization nicht im Legacymodus befindet. Informationen dazu, ob sich Ihr organization im Legacymodus befindet, finden Sie unter Überprüfen des IB-Modus für Ihre organization und Überprüfen des Werts der InformationBarrierMode Eigenschaft.
Für Organisationen im Legacymodus können Benutzer nur einem Segment zugewiesen werden. Organisationen im Legacymodus sind berechtigt, in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchzuführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.
Mit dem Multisegment-Modus können Sie Benutzer in Ihrem organization bis zu 10 Segmenten in Informationsbarrieren zuweisen, anstatt auf nur ein Segment beschränkt zu sein. Diese Unterstützung für vielfältigere Kommunikationsregeln zwischen Einzelpersonen und Gruppen unterstützt komplexere Organisations- und Betriebsszenarien. Definieren Sie für Organisationen, die Unterstützung für mehrere Segmente verwenden, alle Richtlinien für Informationsbarrieren mit einer Positivliste.
Wenn Sie die Unterstützung für mehrere Segmente konfigurieren, hängt die Benutzerkompatibilität von der Zuweisung jedes Benutzers zu einem freigegebenen Segment ab. Wenn Benutzer die Zuweisung für dasselbe Segment freigeben, sind sie kompatibel. Die folgende Tabelle zeigt beispielsweise, dass Benutzer A und Benutzer B nicht kompatibel sind, da sie kein zugewiesenes Segment gemeinsam nutzen. Benutzer A ist jedoch mit Benutzer C kompatibel, und Benutzer B ist mit Benutzer C kompatibel, da ihnen jeweils ein gemeinsames Segment zugewiesen ist.
| Benutzer | Zugewiesene Segmente |
|---|---|
| Benutzer A | Segment 1, Segment 2 |
| Benutzer B | Segment 3, Segment 4 |
| Benutzer C | Segment 2, Segment 4 |
Beispiel für mehrere Segmente: Schulen, Segmente und Richtlinien des Schulbezirks "North"
Der North School District hat zwei Schulen, School 1 und School 2. Die Bezirkspolitik besteht darin, Schülern und Lehrern die Kommunikation nur dann zu ermöglichen, wenn sie beide in derselben Schule sind. Beispielsweise können ein Schüler und ein Lehrer, die beide in Der Schule 1 sind, kommunizieren, aber ein Schüler in Schule 1 kann nicht mit einem Lehrer in Schule 2 kommunizieren. Konfigurieren Sie für dieses Szenario mehrere Segmente, um die folgenden Bezirksrichtlinienszenarien zu unterstützen:
Schulen und Plan des Nord-Schulbezirks
Der North School District hat zwei Schulen:
| Segment | Zulässige Kommunikation | Verhinderte Kommunikation |
|---|---|---|
| Schule 1 | Schüler und Lehrer in Schule 1 | Schüler und Lehrer in Schule 2 |
| Schule 2 | Schüler und Lehrer in Schule 2 | Schüler und Lehrer in Schule 1 |
Für diese Struktur umfasst der Plan des North School District drei IB-Richtlinien:
- Eine IB-Richtlinie, die Es Schülern und Lehrern in Der Schule 1 ermöglicht, miteinander zu kommunizieren.
- Eine IB-Richtlinie, die Es Schülern und Lehrern in School 2 ermöglicht, miteinander zu kommunizieren.
- Eine IB-Richtlinie, die es Lehrern in Schule 1 und Schule 2 ermöglicht, miteinander zu kommunizieren.
Die definierten Segmente des Schulbezirks Nord
Der Schulbezirk Nord verwendet das Department-Attribut in Microsoft Entra ID, um Segmente wie folgt zu definieren:
| Segment | Segmentdefinition |
|---|---|
| Schule1 | New-OrganizationSegment -Name "School1" -UserGroupFilter "Department -eq 'School1'" |
| Schule2 | New-OrganizationSegment -Name "School2" -UserGroupFilter "Department -eq 'School2'" |
| AllTeachers | New-OrganizationSegment -Name "AllTeachers" -UserGroupFilter "MemberOfGroup -eq 'AllTeachersgroup@northschoolsdistrict.com'" |
Nach der Definition der Segmente definiert Contoso die IB-Richtlinien.
Ib-Richtlinien des Nord-Schulbezirks
Der Schulbezirk Nord definiert drei IB-Richtlinien, wie in der folgenden Tabelle beschrieben:
| Richtlinie | Richtliniendefinition |
|---|---|
| Richtlinie 1: Schüler und Lehrer in Schule 1 können miteinander kommunizieren | New-InformationBarrierPolicy -Name School1Policy -SegmentsAllowed 'School1' -AssignedSegment 'School1' -State Active In diesem Beispiel heißt die IB-Richtlinie School1Policy. Wenn diese Richtlinie aktiv ist und angewendet wird, können Schüler und Lehrer in Schule 1 miteinander kommunizieren. Diese Richtlinie ist eine unidirektionale Politik; Es verhindert nicht, dass Schüler und Lehrer in Schule 1 mit School 2 kommunizieren. Für diesen Fall ist Richtlinie 2 erforderlich. |
| Richtlinie 2: Schüler und Lehrer der Schule 2 können miteinander kommunizieren | New-InformationBarrierPolicy -Name School2Policy -SegmentsAllowed 'School2' -AssignedSegment 'School2' -State Active In diesem Beispiel heißt die IB-Richtlinie School2Policy. Wenn diese Richtlinie aktiv ist und angewendet wird, können Schüler und Lehrer in Schule 2 miteinander kommunizieren. |
| Richtlinie 3: Lehrer an verschiedenen Schulen können miteinander kommunizieren | New-InformationBarrierPolicy -Name AllTeachersPolicy -SegmentsAllowed 'AllTeachers' -AssignedSegment 'AllTeachers' -State Active In diesem Fall heißt die IB-Richtlinie AllTeachersPolicy. Wenn diese Richtlinie aktiv ist und angewendet wird, können Lehrer in Schule 1 und Schule 2 miteinander kommunizieren. |
Nachdem Segmente und Richtlinien definiert sind, führt der Schulbezirk Nord das Cmdlet Start-InformationBarrierPoliciesApplication aus, um die Richtlinien anzuwenden. Nach Abschluss des Cmdlets implementiert der Schulbezirk Nord seine Kommunikationsrichtlinie für Schüler und Lehrer.
Überprüfen Sie den IB-Modus für Ihre organization
Um das Zuweisen von Benutzern zu mehreren Segmenten zu unterstützen, überprüfen Sie, ob Ihr IB-organization mehrere Segmente unterstützt. Führen Sie das folgende Cmdlet aus, um ihren IB-Modus in der Security & Compliance PowerShell zu überprüfen:
Get-PolicyConfig
Wenn der Wert der InformationBarrierMode Eigenschaft SingleSegment ist, aktivieren Sie die Unterstützung für mehrere Segmente, indem Sie die Anleitung im Abschnitt Aktivieren der Unterstützung mehrerer Segmente für Benutzer in diesem Artikel befolgen. Wenn der Wert der InformationBarrierMode Eigenschaft MultiSegment ist, können Sie die Aktivierung der Unterstützung für mehrere Segmente überspringen, da sie bereits für Ihre organization aktiviert ist.
Wenn der Wert der InformationBarrierMode Eigenschaft Legacy ist, wird die Aktivierung mehrerer Segmente für Ihre organization nicht unterstützt.
Ältere Organisationen können in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.
Aktivieren der Unterstützung mehrerer Segmente für Benutzer
Um die Unterstützung mehrerer Segmente für Organisationen im SingleSegment-Modus zu aktivieren, stellen Sie sicher, dass derzeit keine IB-Segmente oder Richtlinien für Ihre organization definiert sind. Führen Sie das folgende Cmdlet aus, um die Unterstützung mehrerer Segmente in Ihrem organization zu aktivieren:
Set-PolicyConfig -InformationBarrierMode 'MultiSegment'
Wichtig
Wenn Sie mehrere Segmente aktivieren und IB in Ihrem organization konfigurieren, rückgängig machen Nicht zur Unterstützung einzelner Segmente.
Unterstützung mehrerer Segmente für Benutzer in OneDrive
Wenn sich Ihr IB-organization nicht im LegacyMode befindet und Sie OneDrive for Information Barriers so konfigurieren, dass mehrere Segmente unterstützt werden, funktioniert die OneDrive-Benutzeroberfläche wie folgt:
OneDrive IB-Richtlinie: Die Richtlinie legt das OneDrive eines Benutzers mit mehreren Segmenten automatisch in den Modus "Besitzermoderiert" fest.
OneDrive-Websitezugriff durch einen Benutzer mit mehreren Segmenten:
- Expliziter oder gemischter Modus: Ein Benutzer mit mehreren Segmenten kann auf OneDrive zugreifen, wenn er zu mindestens einem der Segmente von OneDrive gehört und über die Berechtigung zum Zugriff auf die Website verfügt.
- Alle anderen Modi: Benutzer verfügen über die gleiche Websitezugriffserfahrung wie die Unterstützung für einzelne Segmente.
OneDrive-Freigabe durch einen Benutzer mit mehreren Segmenten: Ein Benutzer mit mehreren Segmenten kann eine OneDrive-Website und die enthaltenen Inhalte gemäß dem für OneDrive festgelegten IB-Modus freigeben.
- Expliziter Modus: Benutzer können OneDrive-Inhalte für andere Benutzer freigeben, die über dasselbe Segment wie oneDrive verfügen.
- Moderierter Modus "Öffnen " oder "Besitzer ": Benutzer können Inhalte gemäß ib-Richtlinien für andere kompatible Benutzer freigeben.
Weitere Informationen zum Verwalten von IB für OneDrive finden Sie unter Verwenden von Informationsbarrieren mit OneDrive.
Unterstützung mehrerer Segmente für Benutzer in SharePoint Online
Wenn sich Ihr IB-organization nicht im LegacyMode befindet und Sie SharePoint für Informationsbarrieren so konfigurieren, dass mehrere Segmente unterstützt werden, funktioniert die SharePoint-Benutzeroberfläche wie folgt:
Websiteerstellung: Wenn ein Benutzer mit mehreren Segmenten eine SharePoint-Website (entweder eine mit einer Microsoft 365-Gruppe verbundene Website oder eine Nicht-Gruppenwebsite) erstellt, verwendet die Website automatisch den moderierten Modus "Besitzer ".
SharePoint-Websitezugriff durch einen Benutzer mit mehreren Segmenten:
- Expliziter Modus: Benutzer erhalten Zugriff, wenn sie über mindestens ein Segment verfügen, das dem Segment der Website entspricht, und sie über die Berechtigung zum Zugriff auf die Website verfügen.
- Alle anderen Modi: Benutzer verfügen über die gleiche Websitezugriffserfahrung wie die Unterstützung für einzelne Segmente.
SharePoint-Websitefreigabe durch einen Benutzer mit mehreren Segmenten: Ein Benutzer mit mehreren Segmenten kann die Website und ihren Inhalt gemäß dem IB-Modus der Website freigeben.
- Expliziter Modus: Kann Inhalte für Benutzer freigeben, die dem Segment der Website entsprechen.
- Impliziter oder moderierter Modus vom Besitzer : Kann Inhalte für die anderen vorhandenen Mitglieder der Microsoft 365-Gruppe freigeben, die mit der Website verbunden ist.
- Offener Modus: Kann Inhalte für andere Benutzer freigeben, mit denen sie pro IB-Richtlinie kompatibel sind.
Weitere Informationen zum Verwalten von IB für SharePoint finden Sie unter Verwenden von Informationsbarrieren mit SharePoint.
Unterstützung mehrerer Segmente für Benutzer in Microsoft Teams
Wenn sich Ihre IB-organization nicht im LegacyMode befindet und Sie Teams for Information Barriers so konfigurieren, dass mehrere Segmente unterstützt werden, funktioniert die Microsoft Teams-Benutzeroberfläche wie folgt:
- Teamerstellung: Wenn ein Benutzer mit mehreren Segmenten ein Team erstellt, verwendet das Team automatisch den impliziten Modus.
- Hinzufügen von Teammitgliedern: Alle Benutzer im Team müssen über ein Segment verfügen, das mit allen anderen Benutzern kompatibel ist.
Weitere Informationen zum Verwalten von IB für Microsoft Teams finden Sie unter Verwenden von Informationsbarrieren mit Microsoft Teams.