Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie Richtlinien für Informationsbarrieren (Information Barrier, IB) in Ihrem organization konfigurieren. Es sind mehrere Schritte erforderlich. Überprüfen Sie daher den gesamten Prozess, bevor Sie mit der Konfiguration von IB-Richtlinien beginnen.
Verwenden Sie das Microsoft Purview-Portal oder Office 365 Security and Compliance PowerShell, um IB in Ihrem organization zu konfigurieren. Für Organisationen, die IB zum ersten Mal konfigurieren, empfehlen wir die Verwendung der Lösung für Informationsbarrieren im Microsoft Purview-Portal. Wenn Sie eine vorhandene IB-Konfiguration verwalten und mit PowerShell vertraut sind, haben Sie weiterhin diese Option.
Weitere Informationen zu IB-Szenarien und -Features finden Sie unter Informationen zu Informationsbarrieren.
Tipp
Um Sie bei der Vorbereitung Ihres Plans zu unterstützen, ist in diesem Artikel ein Beispielszenario enthalten.
Erforderliche Abonnements und Berechtigungen
Bevor Sie mit IB beginnen, bestätigen Sie Ihr Microsoft 365-Abonnement und alle Add-Ons. Für den Zugriff auf und die Verwendung von IB muss Ihr organization über unterstützende Abonnements oder Add-Ons verfügen. Weitere Informationen finden Sie in den Abonnementanforderungen für Informationsbarrieren.
Zum Verwalten von IB-Richtlinien muss Ihnen eine der folgenden Rollen zugewiesen sein:
- Globaler Microsoft 365-Administrator
- Globaler Office 365-Administrator
- Complianceadministrator
- IB-Compliance-Management
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Konfigurationskonzepte
Wenn Sie IB konfigurieren, arbeiten Sie mit mehreren Objekten und Konzepten.
Benutzerkontoattribute: Microsoft Entra ID (oder Exchange Online) definiert diese Attribute. Diese Attribute können Abteilung, Position, Standort, Teamname und andere Auftragsprofildetails umfassen. Sie weisen Segmenten mit diesen Attributen Benutzer oder Gruppen zu.
Segmente: Sie definieren diese Gruppen oder Benutzer im Microsoft Purview-Portal oder mithilfe von PowerShell. Sie verwenden ausgewählte Gruppen- oder Benutzerkontoattribute.
Ihre organization kann bis zu 5.000 Segmente enthalten, und Benutzer können maximal 10 Segmenten zugewiesen werden. Weitere Informationen finden Sie in der Liste der von IB unterstützten Attribute .
Wichtig
Unterstützung für 5.000 Segmente und das Zuweisen von Benutzern zu mehreren Segmenten ist nur verfügbar, wenn sich Ihre organization nicht im Legacymodus befindet. Das Zuweisen von Benutzern zu mehreren Segmenten erfordert zusätzliche Schritte, um den Modus für Informationsbarrieren für Ihre organization zu ändern. Weitere Informationen finden Sie unter Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren.
Für Organisationen im Legacymodus wird maximal 250 Segmente unterstützt, und Benutzer können nur einem Segment zugewiesen werden. Organisationen im Legacymodus sind berechtigt, in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchzuführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.IB-Richtlinien: Diese Richtlinien bestimmen Kommunikationsgrenzwerte oder -einschränkungen. Wenn Sie IB-Richtlinien definieren, wählen Sie aus zwei Arten von Richtlinien:
Richtlinien zum Blockieren verhindern, dass ein Segment mit einem anderen kommuniziert.
Richtlinien zum Zulassen erlauben einem Segment, nur mit bestimmten anderen Segmenten zu kommunizieren.
Hinweis
Für Organisationen im Legacymodus: Nicht-IB-Gruppen und Benutzer sind für Benutzer, die in IB-Segmenten und Richtlinien für Zulassungsrichtlinien enthalten sind, nicht sichtbar. Wenn Nicht-IB-Gruppen und Benutzer für Benutzer sichtbar sein müssen, die in IB-Segmenten und -Richtlinien enthalten sind, müssen Sie Blockrichtlinien verwenden.
Für Organisationen im SingleSegment- oder MultiSegment-Modus: Nicht-IB-Gruppen und -Benutzer sind für Benutzer sichtbar, die in IB-Segmenten und -Richtlinien enthalten sind.
Informationen zum Überprüfen Ihres IB-Modus finden Sie unter Überprüfen des IB-Modus für Ihre organization.
Richtlinienanwendung: Sie wenden alle IB-Richtlinien an, nachdem Sie sie definiert haben.
Sichtbarkeit von Nicht-IB-Benutzern und -Gruppen: Nicht-IB-Benutzer und -Gruppen sind Benutzer und Gruppen, die von IB-Segmenten und -Richtlinien ausgeschlossen sind. Je nachdem, wann Sie IB-Richtlinien in Ihrem organization konfigurieren, und vom Typ der IB-Richtlinien (Blockieren oder Zulassen) unterscheidet sich das Verhalten für diese Benutzer und Gruppen in Microsoft Teams, SharePoint, OneDrive und in Ihrer globalen Adressliste.
- Für Organisationen im Legacymodus: Für Benutzer, die in Zulassungsrichtlinien definiert sind, sind Nicht-IB-Gruppen und Benutzer für Benutzer, die in IB-Segmenten und -Richtlinien enthalten sind, nicht sichtbar. Für Benutzer, die in Blockrichtlinien definiert sind, sind Nicht-IB-Gruppen und -Benutzer für Benutzer sichtbar, die in IB-Segmenten und -Richtlinien enthalten sind.
- Für Organisationen im SingleSegment- oder MultiSegment-Modus: Nicht-IB-Gruppen und -Benutzer sind für Benutzer sichtbar, die in IB-Segmenten und -Richtlinien enthalten sind.
Gruppenunterstützung: IB unterstützt derzeit nur moderne Gruppen. Verteilungs- Listen und Sicherheitsgruppen werden als Nicht-IB-Gruppen behandelt.
Ausgeblendete oder deaktivierte Benutzer- und Gastkonten: Für ausgeblendete oder deaktivierte Benutzer- und Gastkonten in Ihrem organization wird der HiddenFromAddressListEnabled-Parameter automatisch auf True festgelegt, wenn Benutzerkonten ausgeblendet oder deaktiviert sind oder wenn ein Gast erstellt wird. Wenn der organization Modus für IB-fähige Organisationen legacy ist, können diese Konten nicht mit allen anderen Benutzerkonten kommunizieren. Administratoren können dieses Standardverhalten deaktivieren, indem sie den HiddenFromAddressListEnabled-Parameter manuell auf False festlegen.
Übersicht über die Konfiguration
| Schritte | Was beteiligt ist |
|---|---|
| Schritt 1: Sicherstellen, dass die Voraussetzungen erfüllt sind | – Vergewissern Sie sich, dass Sie über die erforderlichen Abonnements und Berechtigungen verfügen. - Stellen Sie sicher, dass Ihr Verzeichnis Daten zur Segmentierung von Benutzern enthält – Aktivieren der Suche nach Namen für Microsoft Teams - Stellen Sie sicher, dass die Audit-Protokollierung aktiviert ist - Überprüfen Sie den IB-Modus für Ihre organization – Konfigurieren der Implementierung von Exchange-Adressbuchrichtlinien (je nachdem, wann Sie IB in Ihrem organization aktivieren) |
| Schritt 2: Segmentieren von Benutzern in Ihrem organization | – Bestimmen Sie, welche Richtlinien Sie benötigen - Erstellen Sie eine Liste der zu definierenden Segmente - Identifizieren Sie, welche Attribute verwendet werden sollen - Definieren Sie Segmente in Bezug auf Richtlinienfilter |
| Schritt 3: Erstellen von Richtlinien für Informationsbarrieren | – Erstellen Sie Ihre Richtlinien (wenden Sie sie noch nicht an) - Wählen Sie aus zwei Arten (blockieren oder zulassen) |
| Schritt 4: Anwenden von Richtlinien für Informationsbarrieren | - Versetzen Sie Richtlinien in den aktiven Status - Führen Sie die Richtlinienanwendung aus - Zeigen Sie den Richtlinienstatus an |
| Schritt 5: Konfiguration für Informationsbarrieren auf SharePoint und OneDrive (optional) | – Konfigurieren von IB für SharePoint und OneDrive |
| Schritt 6: Modi für Informationsbarrieren (optional) | - Ib-Modi aktualisieren, falls zutreffend |
| Schritt 7: Konfigurieren der Auffindbarkeit von Benutzern für Informationsbarrieren (optional) | – Aktivieren oder einschränken Sie die Auffindbarkeit von Benutzern in IB mit der Personenauswahl, falls zutreffend. |
Schritt 1: Sicherstellen, dass die Voraussetzungen erfüllt sind
Stellen Sie zusätzlich zu den erforderlichen Abonnements und Berechtigungen sicher, dass Sie die folgenden Anforderungen erfüllen, bevor Sie IB konfigurieren:
Verzeichnisdaten: Stellen Sie sicher, dass sich die Struktur Ihrer Organisation in den Verzeichnisdaten widerspiegelt. Um diese Aktion auszuführen, stellen Sie sicher, dass Benutzerkontoattribute (z. B. Gruppenmitgliedschaft, Abteilungsname und andere Attribute) in Microsoft Entra ID oder Exchange Online ordnungsgemäß aufgefüllt werden. Weitere Informationen hierzu finden Sie in den folgenden Ressourcen:
Bereichsbezogene Verzeichnissuche: Bevor Sie die erste IB-Richtlinie Ihres organization definieren, müssen Sie die bereichsbezogene Verzeichnissuche in Microsoft Teams aktivieren. Warten Sie nach dem Aktivieren der bereichsbezogenen Verzeichnissuche mindestens 24 Stunden, bevor Sie IB-Richtlinien einrichten oder definieren.
Überprüfen, ob die Überwachungsprotokollierung aktiviert ist: Um die status einer IB-Richtlinienanwendung nachzuschlagen, muss die Überwachungsprotokollierung aktiviert sein. Die Überwachung ist für Microsoft 365-Organisationen standardmäßig aktiviert. Einige Organisationen können die Überwachung aus bestimmten Gründen deaktivieren. Wenn die Überwachung für Ihre organization deaktiviert ist, liegt dies möglicherweise daran, dass sie von einem anderen Administrator deaktiviert wurde. Es wird empfohlen, zu bestätigen, dass es in Ordnung ist, die Überwachung wieder zu aktivieren, wenn Sie diesen Schritt abschließen. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren der Überwachungsprotokollsuche.
Überprüfen Sie den IB-Modus für Ihre organization: Die Unterstützung für mehrere Segmente, Optionen zur Auffindbarkeit von Personen, Exchange-ABPs und andere Features wird durch den IB-Modus für Ihre organization bestimmt. Informationen zum Überprüfen des IB-Modus für Ihre organization finden Sie unter Überprüfen des IB-Modus für Ihre organization.
Entfernen vorhandener Exchange Online Adressbuchrichtlinien (optional):
- Für Organisationen im Legacymodus: Bevor Sie IB-Richtlinien definieren und anwenden, entfernen Sie alle vorhandenen Exchange Online Adressbuchrichtlinien in Ihrem organization. IB-Richtlinien basieren auf Adressbuchrichtlinien, und vorhandene ABPs-Richtlinien sind nicht mit den von IB erstellten ABPs kompatibel. Informationen zum Entfernen ihrer vorhandenen Adressbuchrichtlinien finden Sie unter Entfernen einer Adressbuchrichtlinie in Exchange Online. Weitere Informationen zu IB-Richtlinien und Exchange Online finden Sie unter Informationsbarrieren und Exchange Online.
- Für Organisationen im SingleSegment- oder MultiSegment-Modus: Informationsbarrieren basieren nicht mehr auf Exchange Online Adressbuchrichtlinien (ABPs). Organisationen, die ABPs verwenden, haben keine Auswirkungen auf die vorhandenen ABPs, wenn sie Informationsbarrieren aktivieren.
Verwalten mit PowerShell (optional): Sie können IB-Segmente und -Richtlinien im Microsoft Purview-Portal definieren und verwalten, oder Sie können bei Bedarf die Office 365 Security & Compliance PowerShell verwenden. Obwohl in diesem Artikel mehrere Beispiele bereitgestellt werden, müssen Sie mit PowerShell-Cmdlets und -Parametern vertraut sein, wenn Sie PowerShell zum Konfigurieren und Verwalten von IB-Segmenten und -Richtlinien verwenden. Sie benötigen auch das Microsoft Graph PowerShell SDK , wenn Sie diese Konfigurationsoption auswählen.
Wenn Sie alle Voraussetzungen erfüllen, fahren Sie mit dem nächsten Schritt fort.
Schritt 2: Segmentieren von Benutzern in Ihrem organization
In diesem Schritt bestimmen Sie, welche IB-Richtlinien Sie benötigen, erstellen eine Liste der zu definierenden Segmente und definieren Ihre Segmente. Das Definieren von Segmenten wirkt sich nicht auf Benutzer aus. Es legt lediglich die Phase für die Definition und Anwendung von IB-Richtlinien fest.
Ermitteln der benötigten Richtlinien
Berücksichtigen Sie die Anforderungen Ihrer organization und bestimmen Sie die Gruppen in Ihrem organization, die IB-Richtlinien benötigen. Stellen Sie sich die folgenden Fragen:
- Gibt es interne, rechtliche oder branchenspezifische Vorschriften, die die Einschränkung der Kommunikation und Zusammenarbeit zwischen Gruppen und Benutzern in Ihrer organization erfordern?
- Gibt es Gruppen oder Benutzer, die Sie an der Kommunikation mit einer anderen Benutzergruppe hindern sollten?
- Gibt es Gruppen oder Benutzer, die Sie zulassen sollten, nur mit einer oder zwei anderen Benutzergruppen zu kommunizieren?
Stellen Sie sich die benötigten Richtlinien als Zugehörigkeit zu einem von zwei Typen vor:
- Richtlinien zum Blockieren verhindern, dass eine Gruppe mit einer anderen Gruppe kommuniziert.
- Zulassen-Richtlinien ermöglichen es einer Gruppe, nur mit bestimmten Gruppen zu kommunizieren.
Wenn Sie ihre anfängliche Liste der benötigten Gruppen und Richtlinien haben, identifizieren Sie die Segmente, die Sie für die IB-Richtlinien benötigen.
Identifizieren von Segmenten
Erstellen Sie zusätzlich zu Ihrer anfänglichen Liste der Richtlinien eine Liste der Segmente für Ihre organization. Benutzer, die in IB-Richtlinien enthalten sind, sollten zu mindestens einem Segment gehören. Benutzer können bei Bedarf mehreren Segmenten zugewiesen werden. Ihr organization kann bis zu 5.000 Segmente enthalten, und auf jedes Segment kann nur eine IB-Richtlinie angewendet werden.
Wichtig
Bei Organisationen im Legacy - oder SingleSegement-Modus kann ein Benutzer nur einem Segment angehören. Informationen zum Überprüfen Ihres IB-Modus finden Sie unter Überprüfen des IB-Modus für Ihre organization.
Bestimmen Sie, welche Attribute in den Verzeichnisdaten Ihres organization Sie zum Definieren von Segmenten verwenden. Sie können Department, MemberOf oder eines der unterstützten IB-Attribute verwenden. Stellen Sie sicher, dass Sie über Werte im Attribut verfügen, das Sie für Benutzer auswählen. Weitere Informationen finden Sie in den unterstützten Attributen für IB.
Wichtig
Bevor Sie mit dem nächsten Abschnitt fortfahren, stellen Sie sicher, dass Ihre Verzeichnisdaten Werte für Attribute enthalten, die Sie zum Definieren von Segmenten verwenden können. Wenn Ihre Verzeichnisdaten keine Werte für die Attribute aufweisen, die Sie verwenden möchten, aktualisieren Sie die Benutzerkonten so, dass sie diese Informationen enthalten, bevor Sie mit der Konfiguration von IB fortfahren. Hilfe finden Sie in den folgenden Ressourcen:
-
Konfigurieren von Benutzerkontoeigenschaften mit Office 365 PowerShell
-
Hinzufügen oder Aktualisieren der Profilinformationen eines Benutzers mithilfe Microsoft Entra ID
Aktivieren der Unterstützung mehrerer Segmente für Benutzer (optional)
Die Unterstützung für das Zuweisen von Benutzern zu mehreren Segmenten ist nur verfügbar, wenn sich Ihre organization nicht im Legacymodus befindet. Informationen zum Zuweisen von Benutzern zu mehreren Segmenten finden Sie unter Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren.
Benutzer können nur einem Segment für Organisationen im Legacymodus zugewiesen werden. Organisationen im Legacymodus sind berechtigt, in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchzuführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.
Definieren von Segmenten mithilfe der Portale
Führen Sie die folgenden Schritte aus, um Segmente zu definieren:
- Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem organization an.
- Wählen Sie die Lösung Informationsbarrieren Karte aus. Wenn die Lösung "Informationsbarrieren" nicht Karte angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt Risiko & Compliancedie Option Informationsbarrieren aus.
- Wählen Sie Segmente aus.
- Wählen Sie auf der Seite Segmente die Option Neues Segment aus, um ein neues Segment zu erstellen und zu konfigurieren.
- Geben Sie auf der Seite Name einen Namen für das Segment ein. Sie können ein Segment nicht umbenennen, nachdem Sie es erstellt haben.
- Wählen Sie Weiter aus.
- Wählen Sie auf der Seite Benutzergruppenfilterdie Option Hinzufügen aus, um die Gruppen- und Benutzerattribute für das Segment zu konfigurieren. Wählen Sie ein Attribut für das Segment aus der Liste der verfügbaren Attribute aus.
- Wählen Sie für das ausgewählte Attribut entweder Gleich oder Nicht gleich aus, und geben Sie dann den Wert für das Attribut ein. Wenn Sie beispielsweise Abteilung als Attribut und Gleich auswählen, können Sie Marketing als definierte Abteilung für diese Segmentbedingung eingeben. Wählen Sie Bedingung hinzufügen aus, um zusätzliche Bedingungen für ein Attribut hinzuzufügen. Um ein Attribut oder eine Attributbedingung zu löschen, wählen Sie das Löschsymbol für das Attribut oder die Bedingung aus.
- Fügen Sie nach Bedarf zusätzliche Attribute auf der Seite Benutzergruppenfilter hinzu, und wählen Sie dann Weiter aus.
- Überprüfen Sie auf der Seite Einstellungen überprüfen die Einstellungen, die Sie für das Segment ausgewählt haben, sowie alle Vorschläge oder Warnungen für Ihre Auswahl. Wählen Sie Bearbeiten aus, um die Segmentattribute und -bedingungen zu ändern, oder wählen Sie Senden aus, um das Segment zu erstellen.
Definieren von Segmenten mithilfe von PowerShell
Führen Sie die folgenden Schritte aus, um Segmente mithilfe von PowerShell zu definieren:
Verwenden Sie das Cmdlet New-OrganizationSegment mit dem Parameter UserGroupFilter , der dem attribut entspricht, das Sie verwenden möchten.
Syntax Beispiel New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'"New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"In diesem Beispiel definieren Sie ein Segment mit dem Namen HR mithilfe von HR, einem Wert im Department-Attribut . Der - eq-Teil des Cmdlets bezieht sich auf "equals". (Alternativ können Sie -ne verwenden, um "ungleich" zu bedeuten. Siehe Verwenden von "equals" und "not equals" in Segmentdefinitionen.)
Nachdem Sie die einzelnen Cmdlets ausgeführt haben, wird eine Liste mit Details zum neuen Segment angezeigt. Details umfassen den Typ des Segments, wer es erstellt oder zuletzt geändert hat usw.
Wiederholen Sie diesen Vorgang für jedes Segment, das Sie definieren möchten.
Nachdem Sie Ihre Segmente definiert haben, fahren Sie mit Schritt 3: Erstellen von IB-Richtlinien fort.
Verwenden von "equals" und "not equals" in PowerShell-Segmentdefinitionen
Im folgenden Beispiel konfigurieren Sie IB-Segmente mithilfe von PowerShell. Sie definieren ein Segment so, dass "Abteilung gleich HR" ist.
| Beispiel | Hinweis |
|---|---|
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" |
Die Segmentdefinition enthält einen "equals"-Parameter, der als -eq bezeichnet wird. |
Sie können Segmente auch mithilfe eines "not equals"-Parameters definieren, der als -ne bezeichnet wird, wie in der folgenden Tabelle gezeigt:
| Syntax | Beispiel |
|---|---|
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" |
Sie definieren ein Segment namens NotSales , das alle Personen umfasst, die nicht im Vertrieb tätig sind. Der Teil -ne des Cmdlets bezieht sich auf "ungleich". |
Zusätzlich zum Definieren von Segmenten mithilfe von "equals" oder "not equals" können Sie ein Segment definieren, indem Sie sowohl die Parameter "equals" als auch "not equals" verwenden. Sie können auch komplexe Gruppenfilter mithilfe logischer AND- und OR-Operatoren definieren.
| Syntax | Beispiel |
|---|---|
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" |
Sie definieren ein Segment namens LocalFTE , das Benutzer enthält, die sich lokal befinden und deren Positionen nicht als Temporär aufgeführt sind. |
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq 'group1@contoso.com'' -and MemberOf -ne 'group3@contoso.com'" |
Sie definieren ein Segment namens Segment1 , das Benutzer enthält, die Mitglieder von group1@contoso.com und nicht Mitglieder von group3@contoso.comsind. |
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq 'group2@contoso.com' -or MemberOf -ne 'group3@contoso.com'" |
Sie definieren ein Segment namens Segment2 , das Benutzer enthält, die Mitglieder von group2@contoso.com und nicht Mitglieder von group3@contoso.comsind. |
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq 'group1@contoso.com' -or MemberOf -eq 'group2@contoso.com') -and MemberOf -ne 'group3@contoso.com'" |
Sie definieren ein Segment mit dem Namen Segment1and2 , das Benutzer in group1@contoso.com und group2@contoso.com und nicht Member von group3@contoso.comenthält. |
Tipp
Verwenden Sie nach Möglichkeit Segmentdefinitionen, die "-eq" oder "-ne" enthalten. Versuchen Sie, keine komplexen Segmentdefinitionen zu definieren.
Schritt 3: Erstellen von IB-Richtlinien
Wenn Sie Ihre IB-Richtlinien erstellen, entscheiden Sie, ob die Kommunikation zwischen bestimmten Segmenten verhindert oder die Kommunikation auf bestimmte Segmente beschränkt werden soll. Verwenden Sie idealerweise die Mindestanzahl von IB-Richtlinien, um sicherzustellen, dass Ihre organization den internen, rechtlichen und branchenspezifischen Anforderungen entspricht. Sie können das Microsoft Purview-Portal oder PowerShell verwenden, um IB-Richtlinien zu erstellen und anzuwenden.
Tipp
Für die Konsistenz der Benutzerfreundlichkeit empfehlen wir, nach Möglichkeit blockrichtlinien für die meisten Szenarien zu verwenden.
Wählen Sie mit Ihrer Liste der Benutzersegmente und den IB-Richtlinien, die Sie definieren möchten, ein Szenario aus, und führen Sie die Schritte aus.
- Szenario 1: Blockieren der Kommunikation zwischen Segmenten
- Szenario 2: Zulassen, dass ein Segment nur mit einem anderen Segment kommuniziert
Wichtig
Weisen Sie einem Segment nicht mehr als eine Richtlinie zu. Wenn Sie beispielsweise eine Richtlinie für ein Segment namens Sales definieren, definieren Sie keine zusätzliche Richtlinie für das Segment Sales .
Legen Sie beim Definieren von IB-Richtlinien diese Richtlinien auf inaktive status fest, bis Sie bereit sind, sie anzuwenden. Das Definieren (oder Bearbeiten) von Richtlinien wirkt sich erst auf Benutzer aus, wenn Sie diese Richtlinien auf aktive status festlegen und sie dann anwenden.
Szenario 1: Blockieren der Kommunikation zwischen Segmenten
Wenn Sie die Kommunikation von Segmenten untereinander blockieren möchten, definieren Sie zwei Richtlinien: eine für jede Richtung. Jede Richtlinie blockiert die Kommunikation nur in eine Richtung.
Angenommen, Sie möchten die Kommunikation zwischen Segment A und Segment B blockieren. Definieren Sie zwei Richtlinien:
- Eine Richtlinie, die die Kommunikation von Segment A mit Segment B verhindert
- Eine zweite Richtlinie, um zu verhindern, dass Segment B mit Segment A kommuniziert
Erstellen von Richtlinien mithilfe der Portale für Szenario 1
Führen Sie die folgenden Schritte aus, um Richtlinien zu erstellen:
Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem organization an.
Wählen Sie die Lösung Informationsbarrieren Karte aus. Wenn die Lösung "Informationsbarrieren" nicht Karte angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt Risiko & Compliancedie Option Informationsbarrieren aus.
Wählen Sie Richtlinienaus.
Wählen Sie auf der Seite Richtlinien die Option Richtlinie erstellen aus, um eine neue IB-Richtlinie zu erstellen und zu konfigurieren.
Geben Sie auf der Seite Name einen Namen für die Richtlinie ein, und wählen Sie dann Weiter aus.
Wählen Sie auf der Seite Zugewiesenes Segmentdie Option Segment auswählen aus. Verwenden Sie das Suchfeld, um nach einem Segment anhand des Namens zu suchen, oder scrollen Sie, um das Segment aus der angezeigten Liste auszuwählen. Wählen Sie Hinzufügen aus, um das ausgewählte Segment der Richtlinie hinzuzufügen. Sie können nur ein Segment auswählen.
Wählen Sie Weiter aus.
Wählen Sie auf der Seite Kommunikation und Zusammenarbeit den Richtlinientyp im Feld Kommunikation und Zusammenarbeit aus. Die Richtlinienoptionen sind entweder Zulässig oder Blockiert. Wählen Sie in diesem Beispielszenario für die erste Richtlinie blockiert aus.
Wichtig
Sie können die zulässigen und blockierten status für Segmente nach dem Erstellen einer Richtlinie nicht mehr ändern. Um die status zu ändern, löschen Sie die Richtlinie, und erstellen Sie eine neue Richtlinie.
Wählen Sie Segment auswählen aus, um die Aktionen für das Zielsegment zu definieren. In diesem Schritt können Sie mehrere Segmente zuweisen. Wenn Sie beispielsweise verhindern möchten, dass Benutzer in einem Segment namens "Sales " mit Benutzern in einem Segment namens "Forschung" kommunizieren, definieren Sie das Segment Sales in Schritt 5, und weisen Sie in diesem Schritt die Option Segment auswählen zu.
Wählen Sie Weiter aus.
Schalten Sie auf der Seite Richtlinien-status die aktive Richtlinie status auf Ein um. Wählen Sie Weiter aus, um fortzufahren.
Überprüfen Sie auf der Seite Einstellungen überprüfen die Einstellungen, die Sie für die Richtlinie auswählen, sowie alle Vorschläge oder Warnungen für Ihre Auswahl. Wählen Sie Bearbeiten aus, um die Richtliniensegmente und status zu ändern, oder wählen Sie Senden aus, um die Richtlinie zu erstellen.
Wiederholen Sie in diesem Beispiel die vorherigen Schritte, um eine zweite Blockrichtlinie zu erstellen, um zu verhindern, dass Benutzer in einem Segment namens Research mit Benutzern in einem Segment namens Sales kommunizieren. Definieren Sie das Segment Research in Schritt 5, und weisen Sie sales (oder mehrere Segmente) in der Option Segment auswählen zu.
Erstellen von Richtlinien mithilfe von PowerShell für Szenario 1
Führen Sie zum Definieren von Richtlinien mit PowerShell die folgenden Schritte aus:
Verwenden Sie zum Definieren Ihrer ersten Blockierungsrichtlinie das Cmdlet New-InformationBarrierPolicy mit dem Parameter SegmentBlocked .
Syntax Beispiel New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsBlocked "segmentBname"New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State InactiveIn diesem Beispiel definieren Sie eine Richtlinie namens Sales-Research für ein Segment namens Sales. Wenn sie aktiv ist und angewendet wird, verhindert diese Richtlinie, dass Benutzer in Sales mit Benutzern in einem Segment namens Research kommunizieren.
Verwenden Sie zum Definieren Ihres zweiten blockierenden Segments erneut das Cmdlet New-InformationBarrierPolicy mit dem Parameter SegmentsBlocked , diesmal mit umgekehrten Segmenten.
Beispiel Hinweis New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State InactiveIn diesem Beispiel definieren Sie eine Richtlinie mit dem Namen Research-Sales , um zu verhindern, dass Research mit Sales kommuniziert. Fahren Sie mit einer der folgenden Aktionen fort:
- (Bei Bedarf) Definieren einer Richtlinie, damit ein Segment nur mit einem anderen Segment kommunizieren kann
- (Nachdem alle Ihre Richtlinien definiert wurden) Anwenden von IB-Richtlinien
Szenario 2: Zulassen, dass ein Segment nur mit einem anderen Segment kommuniziert
Wenn Sie zulassen möchten, dass ein Segment nur mit einem anderen Segment kommunizieren kann, definieren Sie zwei Richtlinien: eine für jede Richtung. Jede Richtlinie ermöglicht die Kommunikation nur in eine Richtung.
Definieren Sie in diesem Beispiel zwei Richtlinien:
- Eine Richtlinie, die es Segment A ermöglicht, mit Segment B zu kommunizieren
- Eine zweite Richtlinie, die es Segment B ermöglicht, mit Segment A zu kommunizieren
Erstellen von Richtlinien mithilfe der Portale für Szenario 2
Führen Sie die folgenden Schritte aus, um Richtlinien zu erstellen:
Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem organization an.
Wählen Sie die Lösung Informationsbarrieren Karte aus. Wenn die Lösung "Informationsbarrieren" nicht Karte angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt Risiko & Compliancedie Option Informationsbarrieren aus.
Wählen Sie auf der Seite Richtlinien die Option Richtlinie erstellen aus, um eine neue IB-Richtlinie zu erstellen und zu konfigurieren.
Geben Sie auf der Seite Name einen Namen für die Richtlinie ein, und wählen Sie dann Weiter aus.
Wählen Sie auf der Seite Zugewiesenes Segmentdie Option Segment auswählen aus. Verwenden Sie das Suchfeld, um nach einem Segment anhand des Namens zu suchen, oder scrollen Sie, um das Segment aus der angezeigten Liste auszuwählen. Wählen Sie Hinzufügen aus, um das ausgewählte Segment der Richtlinie hinzuzufügen. Sie können nur ein Segment auswählen.
Wählen Sie Weiter aus.
Wählen Sie auf der Seite Kommunikation und Zusammenarbeit den Richtlinientyp im Feld Kommunikation und Zusammenarbeit aus. Die Richtlinienoptionen sind entweder Zulässig oder Blockiert. Wählen Sie in diesem Beispielszenario die Option Zulässig für die Richtlinie aus.
Wichtig
Sie können die zulässigen und blockierten status für Segmente nach dem Erstellen einer Richtlinie nicht mehr ändern. Um die status zu ändern, löschen Sie die Richtlinie, und erstellen Sie eine neue Richtlinie.
Wählen Sie Segment auswählen aus, um die Aktionen für das Zielsegment zu definieren. In diesem Schritt können Sie mehrere Segmente zuweisen. Wenn Sie beispielsweise Benutzern in einem Segment namens Fertigung die Kommunikation mit Benutzern in einem Segment namens PERSONAL ermöglichen möchten, definieren Sie das Segment Manufacturing in Schritt 5, und weisen Sie in diesem Schritt die Personalabteilung in der Option Segment auswählen zu.
Wählen Sie Weiter aus.
Schalten Sie auf der Seite Richtlinien-status die aktive Richtlinie status auf Ein um. Wählen Sie Weiter aus, um fortzufahren.
Überprüfen Sie auf der Seite Einstellungen überprüfen die Einstellungen, die Sie für die Richtlinie auswählen, sowie alle Vorschläge oder Warnungen für Ihre Auswahl. Wählen Sie Bearbeiten aus, um die Richtliniensegmente und status zu ändern, oder wählen Sie Senden aus, um die Richtlinie zu erstellen.
Wiederholen Sie die vorherigen Schritte, um eine zweite Richtlinie zulassen zu erstellen, damit Benutzer in einem Segment namens Research mit Benutzern in einem Segment namens Sales kommunizieren können. Definieren Sie das Segment Research in Schritt 5 , und weisen Sie sales (oder mehrere Segmente) in der Option Segment auswählen zu.
Erstellen einer Richtlinie mithilfe von PowerShell für Szenario 2
Führen Sie zum Definieren von Richtlinien mit PowerShell die folgenden Schritte aus:
Damit ein Segment mit dem anderen Segment kommunizieren kann, verwenden Sie das Cmdlet New-InformationBarrierPolicy mit dem SegmentAllowed-Parameter .
Syntax Beispiel New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname","segment1name"New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State InactiveIn diesem Beispiel definieren Sie eine Richtlinie mit dem Namen Manufacturing-HR für ein Segment namens Manufacturing. Wenn diese Richtlinie aktiv und angewendet wird, können Benutzer in der Fertigung nur mit Benutzern in einem Segment namens PERSONAL kommunizieren. In diesem Fall kann die Fertigung nicht mit Benutzern kommunizieren, die nicht Teil der Personalabteilung sind.
Bei Bedarf können Sie mit diesem Cmdlet mehrere Segmente angeben, wie im folgenden Beispiel gezeigt.
Syntax Beispiel New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname", "segmentCname","segmentDname"New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State InactiveIn diesem Beispiel definieren Sie eine Richtlinie, die es dem Segment Research ermöglicht, nur mit personal- und Fertigungsabteilung zu kommunizieren.
Wiederholen Sie diesen Schritt für jede Richtlinie, die Sie definieren möchten, damit bestimmte Segmente nur mit bestimmten anderen segmenten kommunizieren können.
Verwenden Sie zum Definieren Des zweiten zulassenden Segments erneut das Cmdlet New-InformationBarrierPolicy mit dem Parameter SegmentAllowed , diesmal mit umgekehrten Segmenten.
Beispiel Hinweis New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsAllowed "Sales" -State InactiveIn diesem Beispiel definieren Sie eine Richtlinie mit dem Namen Research-Sales , damit Research mit Sales kommunizieren kann. Fahren Sie mit einer der folgenden Aktionen fort:
- (Bei Bedarf) Definieren einer Richtlinie zum Blockieren der Kommunikation zwischen Segmenten
- (Nachdem alle Ihre Richtlinien definiert wurden) Anwenden von IB-Richtlinien
Schritt 4: Anwenden von IB-Richtlinien
IB-Richtlinien werden wirksam, wenn Sie sie auf aktive status festlegen und die Richtlinien anwenden.
Anwenden von Richtlinien über die Portale
Führen Sie die folgenden Schritte aus, um Richtlinien anzuwenden:
Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem organization an.
Wählen Sie die Lösung Informationsbarrieren Karte aus. Wenn die Lösung "Informationsbarrieren" nicht Karte angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt Risiko & Compliancedie Option Informationsbarrieren aus.
Wählen Sie Richtlinienanwendung aus.
Wählen Sie auf der Anwendungsseite Richtliniendie Option Alle Richtlinien anwenden aus, um alle IB-Richtlinien in Ihrem organization anzuwenden.
Hinweis
Warten Sie 30 Minuten, bis das System mit der Anwendung der Richtlinien beginnt. Das System wendet Richtlinien benutzerweise an und verarbeitet etwa 5.000 Benutzerkonten pro Stunde.
Anwenden von Richtlinien mithilfe von PowerShell
Führen Sie die folgenden Schritte aus, um Richtlinien mithilfe von PowerShell anzuwenden:
Verwenden Sie das Cmdlet Get-InformationBarrierPolicy , um eine Liste der definierten Richtlinien anzuzeigen. Beachten Sie die status und Identität (GUID) jeder Richtlinie.
Syntax:
Get-InformationBarrierPolicyVerwenden Sie das Cmdlet Set-InformationBarrierPolicy, wobei der Parameter Identity und der State-Parameter auf Aktiv festgelegt sind, um eine Richtlinie auf aktive status festzulegen.
Syntax Beispiel Set-InformationBarrierPolicy -Identity GUID -State ActiveSet-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State ActiveIn diesem Beispiel legen wir eine IB-Richtlinie mit der GUID 43c37853-ea10-4b90-a23d-ab8c93772471 auf aktive status fest.
Wiederholen Sie diesen Schritt für jede Richtlinie.
Wenn Sie Ihre IB-Richtlinien auf aktive status festgelegt haben, verwenden Sie das Cmdlet Start-InformationBarrierPoliciesApplication in Security & Compliance PowerShell.
Syntax:
Start-InformationBarrierPoliciesApplicationNachdem Sie
Start-InformationBarrierPoliciesApplicationausgeführt haben, sollten Sie 30 Minuten warten, bis das System mit der Anwendung der Richtlinien beginnt. Das System wendet Richtlinien benutzerweise an und verarbeitet etwa 5.000 Benutzerkonten pro Stunde.
Anzeigen status von Benutzerkonten, Segmenten, Richtlinien oder Richtlinienanwendungen
Mit PowerShell können Sie die status von Benutzerkonten, Segmenten, Richtlinien und Richtlinienanwendungen anzeigen, wie in der folgenden Tabelle aufgeführt.
| So zeigen Sie diese Informationen an | Ausführen dieser Aktion |
|---|---|
| Benutzerkonten | Verwenden Sie das Cmdlet Get-ExoInformationBarrierRelationship mit RecipientId-Parametern. Syntax: Sie können einen beliebigen Wert verwenden, der jeden Benutzer eindeutig identifiziert, z. B. Name, Alias, Distinguished Name, kanonischer Domänenname, E-Mail-Adresse oder GUID. Beispiel: In diesem Beispiel beziehen wir uns auf zwei Benutzerkonten in Office 365: meganb für Megan und alexw für Alex. Dieses Cmdlet gibt Informationen zu Benutzern zurück, z. B. Attributwerte und alle angewendeten IB-Richtlinien. |
| Segmente | Verwenden Sie das Cmdlet Get-OrganizationSegment . Syntax: Dieses Cmdlet zeigt eine Liste aller Segmente an, die für Ihre organization definiert sind. |
| IB-Richtlinien | Verwenden Sie das Cmdlet Get-InformationBarrierPolicy . Syntax: Dieses Cmdlet zeigt eine Liste der definierten IB-Richtlinien und deren status an. |
| Die neueste IB-Richtlinienanwendung | Verwenden Sie das Cmdlet Get-InformationBarrierPoliciesApplicationStatus . Syntax: Dieses Cmdlet zeigt Informationen darüber an, ob die Richtlinienanwendung abgeschlossen, fehlgeschlagen ist oder ausgeführt wird. |
| Alle IB-Richtlinienanwendungen | Verwenden von Get-InformationBarrierPoliciesApplicationStatus -AllDieses Cmdlet zeigt Informationen darüber an, ob die Richtlinienanwendung abgeschlossen, fehlgeschlagen ist oder ausgeführt wird. |
Was geschieht, wenn ich Richtlinien entfernen oder ändern muss?
Es stehen Ressourcen zur Verfügung, die Ihnen bei der Verwaltung Ihrer IB-Richtlinien helfen.
- Informationen zum Bearbeiten, Beenden oder Entfernen von IB-Richtlinien finden Sie unter Verwalten von Richtlinien für Informationsbarrieren.
- Wenn bei IB ein Fehler auftritt, finden Sie weitere Informationen unter Problembehandlung bei Informationsbarrieren.
Schritt 5: Konfiguration für Informationsbarrieren auf SharePoint und OneDrive
Wenn Sie IB für SharePoint und OneDrive konfigurieren, müssen Sie IB für diese Dienste aktivieren. Sie müssen IB auch für diese Dienste aktivieren, wenn Sie IB für Microsoft Teams konfigurieren. Wenn Sie ein Team in Microsoft Teams erstellen, erstellen Sie automatisch eine SharePoint-Website und ordnen sie Microsoft Teams für die Dateierfahrung zu. Ib-Richtlinien werden auf dieser neuen SharePoint-Website und diesen Dateien standardmäßig nicht berücksichtigt.
Um IB in SharePoint und OneDrive zu aktivieren, befolgen Sie die Anleitung und Schritte im Artikel Verwenden von Informationsbarrieren mit SharePoint .
Schritt 6: Modi für Informationsbarrieren (optional)
Modi helfen, den Zugriff, die Freigabe und die Mitgliedschaft einer Microsoft 365-Ressource basierend auf dem IB-Modus der Ressource zu stärken. Microsoft 365-Gruppen-, Microsoft Teams-, OneDrive- und SharePoint-Websites unterstützen Modi. Ihre neue oder vorhandene IB-Konfiguration aktiviert automatisch Modi.
Die folgenden IB-Modi unterstützen Microsoft 365-Ressourcen:
| Modus | Beschreibung | Beispiel |
|---|---|---|
| Open | Der Microsoft 365-Ressource sind keine IB-Richtlinien oder Segmente zugeordnet. Jeder kann eingeladen werden, Mitglied der Ressource zu sein. | Eine Teamwebsite, die für ein Picknick-Event für Ihre organization erstellt wurde. |
| Besitzer moderiert | Die IB-Richtlinie des Ressourcenbesitzers bestimmt die IB-Richtlinie der Microsoft 365-Ressource. Die Ressourcenbesitzer können jeden Benutzer basierend auf ihren IB-Richtlinien zur Ressource einladen. Dieser Modus ist nützlich, wenn Ihr Unternehmen die Zusammenarbeit zwischen inkompatiblen Segmentbenutzern ermöglichen möchte, die der Besitzer moderiert. Nur der Ressourcenbesitzer kann neue Mitglieder gemäß seiner IB-Richtlinie hinzufügen. | Der VP des Personalwesens möchte mit den VPs von Vertrieb und Forschung zusammenarbeiten. Eine neue SharePoint-Website, die mit dem IB-Modus "Besitzer moderiert" festgelegt ist, um der gleichen Website sowohl Segmentbenutzer als auch "Sales" und "Research" hinzuzufügen. Es liegt in der Verantwortung des Besitzers sicherzustellen, dass der Ressource geeignete Mitglieder hinzugefügt werden. |
| Implizit | Die IB-Richtlinie der Ressourcenmitglieder bestimmt die IB-Richtlinie oder die Segmente der Microsoft 365-Ressource. Der Besitzer kann Mitglieder hinzufügen, solange sie mit den vorhandenen Mitgliedern der Ressource kompatibel sind. Dieser Modus ist der Ib-Standardmodus für Microsoft Teams. | Der Benutzer des Vertriebssegments erstellt ein Microsoft Teams-Team für die Zusammenarbeit mit anderen kompatiblen Segmenten im organization. |
| Explicit | Die der Ressource zugeordneten Segmente bestimmen die IB-Richtlinie der Microsoft 365-Ressource. Der Ressourcenbesitzer oder SharePoint-Administrator kann die Segmente für die Ressource verwalten. | Eine Website, die nur für Mitglieder des Vertriebssegments für die Zusammenarbeit erstellt wird, indem das Segment Sales der Website zugeordnet wird. |
| Mixed | Gilt nur für OneDrive. Die dem OneDrive zugeordneten Segmente bestimmen die IB-Richtlinie von OneDrive. Der Ressourcenbesitzer oder OneDrive-Administrator kann die Segmente für die Ressource verwalten. | Ein OneDrive, das für Mitglieder des Vertriebssegments für die Zusammenarbeit erstellt wurde, darf für nicht segmentierte Benutzer freigegeben werden. |
Updates im impliziten Modus
Je nachdem, wann Sie IB in Ihrem organization aktiviert haben, befindet sich Ihr organization entweder im Legacy-, SingleSegment- oder MultiSegment-organization Modus. Informationen zum Überprüfen Ihres Modus finden Sie unter Überprüfen des IB-Modus für Ihre organization.
Wenn sich Ihre organization im Modus "SingleSegment" oder "MultiSegment" befindet und der Modus "Informationsbarrieren" der Teams-Gruppe implizit ist, sind den mit Teams verbundenen Gruppen/Websites keine Segmente zugeordnet.
Weitere Informationen zu IB-Modi und deren dienstübergreifender Konfiguration finden Sie in den folgenden Artikeln:
- Informationsbarrierenmodi und Microsoft Teams
- Modi für Informationsbarrieren und OneDrive
- Informationsbarrierenmodi und SharePoint
Schritt 7: Konfigurieren der Auffindbarkeit von Benutzern für Informationsbarrieren (optional)
Richtlinien für Informationsbarrieren ermöglichen Es Administratoren, Sucheinschränkungen in der Personenauswahl zu aktivieren oder zu deaktivieren. Standardmäßig ist die Personenauswahleinschränkung für IB-Richtlinien aktiviert. Beispielsweise können IB-Richtlinien, die die Kommunikation zweier bestimmter Benutzer blockieren, auch einschränken, dass die Benutzer sich gegenseitig sehen, wenn sie die Personenauswahl verwenden.
Wichtig
Unterstützung für das Aktivieren oder Deaktivieren von Sucheinschränkungen ist nur verfügbar, wenn sich Ihre organization nicht im Legacymodus befindet. Organisationen im Legacymodus können Sucheinschränkungen nicht aktivieren oder deaktivieren. Zum Aktivieren oder Deaktivieren von Sucheinschränkungen sind zusätzliche Aktionen erforderlich, um den Modus "Informationsbarrieren" für Ihre organization zu ändern. Weitere Informationen finden Sie unter Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren.
Organisationen im Legacymodus sind berechtigt, in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchzuführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.
Führen Sie die folgenden Schritte aus, um die Einschränkung der Personenauswahlsuche mithilfe von PowerShell zu deaktivieren:
- Verwenden Sie das Cmdlet Set-PolicyConfig , um die Personenauswahleinschränkung zu deaktivieren:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'
Beispielszenario: Abteilungen, Segmente und Richtlinien von Contoso
Sehen Sie sich das folgende Beispielszenario an, um zu sehen, wie ein organization die Definition von Segmenten und Richtlinien angehen kann.
Die Abteilungen und der Plan von Contoso
Contoso verfügt über fünf Abteilungen: Personalwesen, Vertrieb, Marketing, Forschung und Fertigung. Um branchenspezifische Vorschriften einzuhalten, können Benutzer in einigen Abteilungen nicht mit anderen Abteilungen kommunizieren, wie in der folgenden Tabelle gezeigt:
| Segment | Kann mit kommunizieren | Kommunikation mit nicht möglich |
|---|---|---|
| HR | Jeder | (keine Beschränkungen) |
| Vertrieb | Personalwesen, Marketing, Fertigung | Forschung |
| Marketing | Jeder | (keine Beschränkungen) |
| Forschung | Personalwesen, Marketing, Fertigung | Vertrieb |
| Fertigung | Personalwesen, Marketing | Jeder andere als PERSONAL oder Marketing |
Für diese Struktur umfasst der Plan von Contoso drei IB-Richtlinien:
- Eine IB-Richtlinie, die verhindert, dass Sales mit Research kommuniziert.
- Eine IB-Richtlinie, die verhindert, dass Research mit Sales kommuniziert.
- Eine IB-Richtlinie, die es der Fertigung erlaubt, nur mit PERSONAL und Marketing zu kommunizieren.
In diesem Szenario müssen Sie keine IB-Richtlinien für Personalwesen oder Marketing definieren.
Die von Contoso definierten Segmente
Contoso verwendet das Department-Attribut in Microsoft Entra ID, um Segmente wie folgt zu definieren:
| Department | Segmentdefinition |
|---|---|
| Personal | New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" |
| Vertrieb | New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'" |
| Marketing | New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'" |
| Forschung | New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'" |
| Fertigung | New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'" |
Nach der Definition der Segmente definiert Contoso die IB-Richtlinien.
Ib-Richtlinien von Contoso
Contoso definiert drei IB-Richtlinien, wie in der folgenden Tabelle beschrieben:
| Richtlinie | Richtliniendefinition |
|---|---|
| Richtlinie 1: Unterbindung der Kommunikation von der Abteilung Vertrieb zur Abteilung Forschung | New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive In diesem Beispiel heißt die IB-Richtlinie Sales-Research. Wenn Sie diese Richtlinie aktivieren und anwenden, wird verhindert, dass Benutzer im Segment Sales mit Benutzern im Segment Forschung kommunizieren. Diese Richtlinie ist eine unidirektionale Politik; es verhindert nicht, dass Research mit Sales kommuniziert. Für diesen Fall ist Richtlinie 2 erforderlich. |
| Richtlinie 2: Unterbindung der Kommunikation von der Abteilung Forschung zur Abteilung Vertrieb | New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive In diesem Beispiel heißt die IB-Richtlinie Research-Sales. Wenn Sie diese Richtlinie aktivieren und anwenden, wird verhindert, dass Benutzer im Segment Forschung mit Benutzern im Segment Sales kommunizieren. |
| Richtlinie 3: Zulassen, dass die Produktion nur mit PERSONAL und Marketing kommunizieren kann | New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive In diesem Fall heißt die IB-Richtlinie Manufacturing-HRMarketing. Wenn Sie diese Richtlinie aktivieren und anwenden, kann die Fertigung nur mit PERSONAL und Marketing kommunizieren. Hr und Marketing sind nicht auf die Kommunikation mit anderen Segmenten beschränkt. |
Nach dem Definieren der Segmente und Richtlinien wendet Contoso die Richtlinien an, indem das Cmdlet Start-InformationBarrierPoliciesApplication ausgeführt wird .
Wenn das Cmdlet abgeschlossen ist, erfüllt Contoso die Branchenanforderungen.
Ressourcen
- Informationen zu Informationsbarrieren
- Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren
- Weitere Informationen zu Informationsbarrieren in Microsoft Teams
- Weitere Informationen zu Informationsbarrieren in SharePoint Online
- Weitere Informationen zu Informationsbarrieren in OneDrive