Partager via

Bien démarrer avec les obstacles à l’information

Cet article explique comment configurer des stratégies de barrière à l’information (IB) dans votre organization. Plusieurs étapes sont impliquées. Passez en revue l’ensemble du processus avant de commencer à configurer les stratégies IB.

Utilisez le portail Microsoft Purview ou Office 365 Sécurité et conformité PowerShell pour configurer IB dans votre organization. Pour les organisations qui configurent ib pour la première fois, nous vous recommandons d’utiliser la solution Information Barriers dans le portail Microsoft Purview. Si vous gérez une configuration IB existante et que vous êtes à l’aise avec PowerShell, vous disposez toujours de cette option.

Pour plus d’informations sur les scénarios et fonctionnalités ib, consultez En savoir plus sur les obstacles à l’information.

Conseil

Pour vous aider à préparer votre plan, un exemple de scénario est inclus dans cet article.

Abonnements et autorisations requis

Avant de commencer à utiliser IB, confirmez votre abonnement Microsoft 365 et tous les modules complémentaires. Pour accéder à IB et l’utiliser, votre organization doit disposer d’abonnements ou de modules complémentaires de prise en charge. Pour plus d’informations, consultez les conditions d’abonnement pour les obstacles à l’information.

Pour gérer les stratégies IB, l’un des rôles suivants doit vous être attribué :

  • Administrateur général Microsoft 365
  • Administrateur général Office 365
  • Administrateur de conformité
  • Gestion de la conformité IB

Importante

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. La réduction du nombre d’utilisateurs disposant du rôle Administrateur général permet d’améliorer la sécurité de vos organization. En savoir plus sur les rôles et autorisations Microsoft Purview.

Concepts de configuration

Lorsque vous configurez IB, vous travaillez avec plusieurs objets et concepts.

  • Attributs de compte d’utilisateur : l’ID Microsoft Entra (ou Exchange Online) définit ces attributs. Ces attributs peuvent inclure le service, la fonction, l’emplacement, le nom d’équipe et d’autres détails du profil du poste. Vous affectez des utilisateurs ou des groupes à des segments avec ces attributs.

  • Segments : vous définissez ces ensembles de groupes ou d’utilisateurs dans le portail Microsoft Purview ou à l’aide de PowerShell. Ils utilisent les attributs de groupe ou de compte d’utilisateur sélectionnés.

    Votre organization peut avoir jusqu’à 5 000 segments et les utilisateurs peuvent être affectés à un maximum de 10 segments. Pour plus d’informations, consultez la liste des attributs pris en charge par IB .

    Importante

    La prise en charge de 5 000 segments et l’affectation d’utilisateurs à plusieurs segments sont disponibles uniquement lorsque votre organization n’est pas en mode hérité. L’affectation d’utilisateurs à plusieurs segments nécessite des étapes supplémentaires pour modifier le mode d’obstacles à l’information pour votre organization. Pour plus d’informations, consultez Utiliser la prise en charge multi-segment dans Les barrières à l’information.

    Pour les organisations en mode hérité , le nombre maximal de segments pris en charge est de 250 et les utilisateurs sont limités à un seul segment. Les organisations en mode hérité peuvent effectuer une mise à niveau vers la version la plus récente des barrières à l’information à l’avenir. Pour plus d’informations, consultez la feuille de route des obstacles à l’information.

  • Stratégies IB : ces stratégies déterminent les limites ou restrictions de communication. Lorsque vous définissez des stratégies IB, vous avez le choix entre deux types de stratégies :

    • Bloquer les stratégies pour empêcher un segment de communiquer avec un autre.

    • Autoriser les stratégies de n’autoriser qu’un segment à communiquer avec certains autres segments uniquement.

      Remarque

      Pour les organisations en mode hérité : les groupes et les utilisateurs non IB ne sont pas visibles par les utilisateurs inclus dans les stratégies et segments IB pour les stratégies d’autorisation. Si vous avez besoin que les groupes et les utilisateurs non-IB soient visibles par les utilisateurs inclus dans les stratégies et segments IB, vous devez utiliser des stratégies de blocage .

      Pour les organisations en mode SingleSegment ou MultiSegment : les groupes et les utilisateurs non-IB sont visibles par les utilisateurs inclus dans les stratégies et segments IB.

      Pour vérifier votre mode IB, consultez Vérifier le mode IB pour votre organization.

  • Application de stratégie : vous appliquez toutes les stratégies IB après les avoir définies.

  • Visibilité des utilisateurs et groupes non-IB : les utilisateurs et les groupes non-IB sont des utilisateurs et des groupes exclus des segments et stratégies ib. Selon le moment où vous configurez des stratégies IB dans votre organization et le type de stratégies IB (bloquer ou autoriser), le comportement de ces utilisateurs et groupes diffère dans Microsoft Teams, SharePoint, OneDrive et dans votre liste d’adresses globale.

    • Pour les organisations en mode hérité : pour les utilisateurs définis dans les stratégies d’autorisation, les groupes et utilisateurs non IB ne sont pas visibles par les utilisateurs inclus dans les segments et stratégies IB. Pour les utilisateurs définis dans les stratégies de bloc , les groupes et utilisateurs non-IB sont visibles par les utilisateurs inclus dans les stratégies et segments IB.
    • Pour les organisations en mode SingleSegment ou MultiSegment : les groupes et les utilisateurs non-IB sont visibles par les utilisateurs inclus dans les stratégies et segments IB.

  • Prise en charge des groupes : IB prend actuellement en charge uniquement les groupes modernes. Les Listes de distribution et les groupes de sécurité sont traités comme des groupes non-IB.

  • Comptes d’utilisateurs et d’invités masqués ou désactivés : pour les comptes d’utilisateurs et invités masqués ou désactivés dans votre organization, le paramètre HiddenFromAddressListEnabled est automatiquement défini sur True lorsque les comptes d’utilisateur sont masqués ou désactivés, ou lorsqu’un invité est créé. Lorsque le mode organization est Hérité pour les organisations prenant en charge l’IB, ces comptes ne peuvent pas communiquer avec tous les autres comptes d’utilisateur. Les administrateurs peuvent désactiver ce comportement par défaut en définissant manuellement le paramètre HiddenFromAddressListEnabled sur False.

Vue d’ensemble de la configuration

Étapes Ce qui est impliqué
Étape 1 : Vérifier que les conditions préalables sont remplies - Vérifiez que vous disposez des abonnements et des autorisations requis
vérifier que votre annuaire inclut des données pour la segmentation des utilisateurs.
- Activer la recherche par nom pour Microsoft Teams
vous assurer que l’enregistrement d’audit est activé.
- Vérifiez le mode IB pour votre organization
- Configurer la façon dont les stratégies de carnet d’adresses Exchange sont implémentées (en fonction du moment où vous activez IB dans votre organization)
Étape 2 : Segmenter les utilisateurs dans votre organization - Déterminer les stratégies dont vous avez besoin
- Créer une liste de segments à définir
- Identifier les attributs à utiliser
- Définir des segments en termes de filtres de stratégie
Étape 3 : Créer des stratégies d’obstacles à l’information - Créez vos stratégies (ne les appliquez pas encore)
- Choisir parmi deux types (bloquer ou autoriser)
Étape 4 : Appliquer des stratégies d’obstacles à l’information - Définir des stratégies sur l’état actif
- Exécuter l’application de stratégie
- Afficher l’état de la stratégie
Étape 5 : Configuration des obstacles à l’information sur SharePoint et OneDrive (facultatif) - Configurer IB pour SharePoint et OneDrive
Étape 6 : Modes d’obstacles à l’information (facultatif) - Mettre à jour les modes IB, le cas échéant
Étape 7 : Configurer la détectabilité utilisateur pour les obstacles à l’information (facultatif) - Activez ou limitez la détectabilité utilisateur dans IB avec le sélecteur de personnes, le cas échéant.

Étape 1 : Vérifier que les conditions préalables sont remplies

En plus des abonnements et autorisations requis, vérifiez que vous répondez aux exigences suivantes avant de configurer IB :

  • Données d’annuaire : assurez-vous que la structure de votre organisation est reflétée dans les données d’annuaire. Pour effectuer cette action, assurez-vous que les attributs de compte d’utilisateur (tels que l’appartenance au groupe, le nom du service et d’autres attributs) sont renseignés correctement dans Microsoft Entra ID ou Exchange Online. Pour en savoir plus, consultez les ressources suivantes :

  • Recherche d’annuaire délimitée : avant de définir la première stratégie IB de votre organization, vous devez activer la recherche d’annuaires délimitée dans Microsoft Teams. Attendez au moins 24 heures après l’activation de la recherche d’annuaire délimitée avant de configurer ou de définir des stratégies IB.

  • Vérifier que la journalisation d’audit est activée : pour rechercher les status d’une application de stratégie IB, la journalisation d’audit doit être activée. L'audit est activé par défaut pour les organisations Microsoft 365. Certaines organisations peuvent désactiver l’audit pour des raisons spécifiques. Si l’audit est désactivé pour votre organization, cela peut être dû au fait qu’un autre administrateur l’a désactivé. Nous vous recommandons de confirmer que vous pouvez réactiver l'audit lorsque vous terminez cette étape. Pour plus d’informations, voir Activer ou désactiver la recherche dans le journal d’audit.

  • Vérifiez le mode IB pour votre organization : la prise en charge de plusieurs segments, des options de détectabilité de personnes, des ADP Exchange et d’autres fonctionnalités est déterminée par le mode IB pour votre organization. Pour vérifier le mode IB pour votre organization, consultez Vérifier le mode IB de votre organization.

  • Supprimer les stratégies de carnet d’adresses Exchange Online existantes (facultatif) :

    • Pour les organisations en mode hérité : avant de définir et d’appliquer des stratégies IB, supprimez toutes les stratégies de carnet d’adresses Exchange Online existantes dans votre organization. Les stratégies IB sont basées sur des stratégies de carnet d’adresses et les stratégies ADP existantes ne sont pas compatibles avec les ADP créées par IB. Pour supprimer vos stratégies de carnet d’adresses existantes, consultez Supprimer une stratégie de carnet d’adresses dans Exchange Online. Pour plus d’informations sur les stratégies et les Exchange Online de l’IB, consultez Obstacles à l’information et Exchange Online.
    • Pour les organisations en mode SingleSegment ou MultiSegment : Les obstacles à l’information ne sont plus basés sur des stratégies de carnet d’adresses Exchange Online . Les organisations qui utilisent des ADP n’ont aucun impact sur les ADP existantes lors de l’activation des obstacles à l’information.

  • Gérer à l’aide de PowerShell (facultatif) : vous pouvez définir et gérer des segments et des stratégies IB dans le portail Microsoft Purview, ou vous pouvez utiliser Office 365 Security & Compliance PowerShell si vous le souhaitez. Bien que plusieurs exemples soient fournis dans cet article, vous devez vous familiariser avec les applets de commande et les paramètres PowerShell si vous choisissez d’utiliser PowerShell pour configurer et gérer des segments et des stratégies IB. Vous avez également besoin du Kit de développement logiciel (SDK) Microsoft Graph PowerShell si vous choisissez cette option de configuration.

Lorsque vous remplissez toutes les conditions préalables, passez à l’étape suivante.

Étape 2 : Segmenter les utilisateurs dans votre organization

Dans cette étape, vous allez déterminer les stratégies IB dont vous avez besoin, créer une liste de segments à définir et définir vos segments. La définition de segments n’affecte pas les utilisateurs ; Il définit simplement le stade de la définition et de l’application des stratégies IB.

Déterminer les stratégies dont vous avez besoin

Tenez compte des besoins de votre organization et déterminez les groupes au sein de votre organization qui ont besoin de stratégies IB. Posez-vous les questions suivantes :

  • Existe-t-il des réglementations internes, juridiques ou sectorielles qui exigent la restriction de la communication et de la collaboration entre les groupes et les utilisateurs dans votre organization ?
  • Existe-t-il des groupes ou des utilisateurs que vous devez empêcher de communiquer avec un autre groupe d’utilisateurs ?
  • Existe-t-il des groupes ou des utilisateurs que vous devez autoriser à communiquer uniquement avec un ou deux autres groupes d’utilisateurs ?

Considérez les stratégies dont vous avez besoin comme appartenant à l’un des deux types suivants :

  • Les politiques de blocage empêchent un groupe de communiquer avec un autre groupe.
  • Les stratégies d’autorisation permettent à un groupe de communiquer uniquement avec des groupes spécifiques.

Une fois que vous avez votre liste initiale des groupes et stratégies nécessaires, passez à l’identification des segments dont vous avez besoin pour les stratégies IB.

Identifier les segments

En plus de votre liste initiale de stratégies, créez une liste de segments pour votre organization. Les utilisateurs inclus dans les stratégies IB doivent appartenir à au moins un segment. Les utilisateurs peuvent être affectés à plusieurs segments si nécessaire. Vous pouvez avoir jusqu’à 5 000 segments dans votre organization, et chaque segment ne peut avoir qu’une seule stratégie IB appliquée.

Importante

Pour les organisations en mode Hérité ou SingleSegement , un utilisateur ne peut appartenir qu’à un seul segment. Pour vérifier votre mode IB, consultez Vérifier le mode IB pour votre organization.

Déterminez les attributs des données d’annuaire de votre organization que vous utiliserez pour définir des segments. Vous pouvez utiliser Department, MemberOf ou l’un des attributs IB pris en charge. Vérifiez que vous avez des valeurs dans l’attribut que vous sélectionnez pour les utilisateurs. Pour plus d’informations, consultez les attributs pris en charge pour IB.

Importante

Avant de passer à la section suivante, vérifiez que vos données d’annuaire ont des valeurs pour les attributs que vous pouvez utiliser pour définir des segments. Si vos données d’annuaire n’ont pas de valeurs pour les attributs que vous souhaitez utiliser, mettez à jour les comptes d’utilisateur pour inclure ces informations avant de procéder à la configuration de ib. Pour obtenir de l’aide, consultez les ressources suivantes :

- Configurer les propriétés de compte d’utilisateur avec Office 365 PowerShell
- Ajouter ou mettre à jour les informations de profil d’un utilisateur à l’aide de l’ID de Microsoft Entra

Activer la prise en charge de plusieurs segments pour les utilisateurs (facultatif)

La prise en charge de l’affectation d’utilisateurs à plusieurs segments n’est disponible que lorsque votre organization n’est pas en mode hérité. Pour prendre en charge l’affectation d’utilisateurs à plusieurs segments, consultez Utiliser la prise en charge de plusieurs segments dans les obstacles à l’information.

Les utilisateurs ne peuvent être affectés qu’à un seul segment pour les organisations en mode hérité . Les organisations en mode hérité peuvent effectuer une mise à niveau vers la version la plus récente des barrières à l’information à l’avenir. Pour plus d’informations, consultez la feuille de route des obstacles à l’information.

Définir des segments à l’aide des portails

Effectuez les étapes suivantes pour définir des segments :

  1. Connectez-vous au portail Microsoft Purview avec les informations d’identification d’un compte administrateur dans votre organization.
  2. Sélectionnez la solution Obstacles à l’information carte. Si vous ne voyez pas la solution Obstacles à l’information carte, sélectionnez Afficher toutes les solutions, puis Obstacles à l’information dans la section Risque & Conformité.
  3. Sélectionnez Segments.
  4. Dans la page Segments , sélectionnez Nouveau segment pour créer et configurer un segment.
  5. Dans la page Nom , entrez un nom pour le segment. Vous ne pouvez pas renommer un segment une fois que vous l’avez créé.
  6. Sélectionnez Suivant.
  7. Dans la page Filtre groupe d’utilisateurs , sélectionnez Ajouter pour configurer les attributs groupe et utilisateur pour le segment. Choisissez un attribut pour le segment dans la liste des attributs disponibles.
  8. Pour l’attribut sélectionné, sélectionnez Égal ou Non égal , puis entrez la valeur de l’attribut. Par exemple, si vous sélectionnez Département comme attribut et Égal à, vous pouvez entrer Marketing comme service défini pour cette condition de segment. Sélectionnez Ajouter une condition pour ajouter des conditions supplémentaires pour un attribut. Pour supprimer un attribut ou une condition d’attribut, sélectionnez l’icône supprimer pour l’attribut ou la condition.
  9. Ajoutez des attributs supplémentaires si nécessaire dans la page de filtre Groupe d’utilisateurs , puis sélectionnez Suivant.
  10. Dans la page Vérifier vos paramètres , passez en revue les paramètres que vous avez choisis pour le segment et les suggestions ou avertissements pour vos sélections. Sélectionnez Modifier pour modifier les attributs et conditions du segment ou sélectionnez Envoyer pour créer le segment.

Définir des segments à l’aide de PowerShell

Pour définir des segments à l’aide de PowerShell, procédez comme suit :

  1. Utilisez l’applet de commande New-OrganizationSegment avec le paramètre UserGroupFilter qui correspond à l’attribut que vous souhaitez utiliser.

    Syntaxe Exemple
    New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'" New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"

    Dans cet exemple, vous définissez un segment nommé HR à l’aide de HR, une valeur dans l’attribut Department . La partie -eq de l’applet de commande fait référence à « égal à ». (Vous pouvez également utiliser -ne pour signifier « n’est pas égal à ». Consultez Utilisation de « equals » et « not equals » dans les définitions de segments.)

    Après avoir exécuté chaque applet de commande, vous voyez une liste de détails sur le nouveau segment. Les détails incluent le type du segment, qui l’a créé ou modifié pour la dernière fois, etc.

  2. Répétez ce processus pour chaque segment que vous souhaitez définir.

Après avoir défini vos segments, passez à l’Étape 3 : Créer des stratégies IB.

Utilisation de « equals » et « not equals » dans les définitions de segment PowerShell

Dans l’exemple suivant, vous configurez des segments IB à l’aide de PowerShell. Vous définissez un segment de telle sorte que « Le service est égal à HR ».

Exemple Remarque
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" La définition de segment inclut un paramètre « equals » désigné comme -eq.

Vous pouvez également définir des segments à l’aide d’un paramètre « not equals », désigné par -ne, comme indiqué dans le tableau suivant :

Syntaxe Exemple
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" Vous définissez un segment appelé NotSales qui inclut toutes les personnes qui ne sont pas dans Sales. La partie -ne de l’applet de commande fait référence à « non égal à ».

En plus de définir des segments à l’aide de « égal » ou « différent », vous pouvez définir un segment à l’aide des paramètres « égal » et « différent ». Vous pouvez également définir des filtres de groupe complexes à l’aide des opérateurs LOGIQUES AND et OR .

Syntaxe Exemple
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" Vous définissez un segment appelé LocalFTE qui inclut les utilisateurs situés localement et dont les postes ne sont pas répertoriés comme temporaires.
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq 'group1@contoso.com'' -and MemberOf -ne 'group3@contoso.com'" Vous définissez un segment appelé Segment1 qui inclut les utilisateurs qui sont membres de group1@contoso.com et non membres de group3@contoso.com.
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq 'group2@contoso.com' -or MemberOf -ne 'group3@contoso.com'" Vous définissez un segment appelé Segment2 qui inclut les utilisateurs qui sont membres de group2@contoso.com et non membres de group3@contoso.com.
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq 'group1@contoso.com' -or MemberOf -eq 'group2@contoso.com') -and MemberOf -ne 'group3@contoso.com'" Vous définissez un segment appelé Segment1and2 qui inclut les utilisateurs dans group1@contoso.com et group2@contoso.com et non les membres de group3@contoso.com.

Conseil

Si possible, utilisez des définitions de segment qui incluent « -eq » ou « -ne ». Essayez de ne pas définir de définitions de segments complexes.

Étape 3 : Créer des stratégies IB

Lorsque vous créez vos stratégies IB, décidez s’il faut empêcher les communications entre certains segments ou limiter les communications à certains segments. Dans l’idéal, utilisez le nombre minimal de stratégies IB pour vous assurer que votre organization est conforme aux exigences internes, légales et industrielles. Vous pouvez utiliser le portail Microsoft Purview ou PowerShell pour créer et appliquer des stratégies IB.

Conseil

Pour la cohérence de l’expérience utilisateur, nous vous recommandons d’utiliser des stratégies de blocage pour la plupart des scénarios, si possible.

Avec votre liste de segments d’utilisateurs et les stratégies IB que vous souhaitez définir, sélectionnez un scénario et suivez les étapes.

Importante

N’affectez pas plusieurs stratégies à un segment. Par exemple, si vous définissez une stratégie pour un segment appelé Ventes, ne définissez pas de stratégie supplémentaire pour le segment Ventes .

Lorsque vous définissez des stratégies IB, définissez ces stratégies sur inactives status jusqu’à ce que vous soyez prêt à les appliquer. La définition (ou la modification) de stratégies n’affecte pas les utilisateurs tant que vous n’avez pas défini ces stratégies sur active status, puis que vous les appliquez.

Scénario 1 : bloquer les communications entre les segments

Lorsque vous souhaitez empêcher les segments de communiquer entre eux, définissez deux stratégies : une pour chaque direction. Chaque stratégie bloque la communication dans une seule direction.

Par exemple, supposons que vous souhaitiez bloquer les communications entre les segments A et B. Définissez deux stratégies :

  • Une stratégie empêchant le segment A de communiquer avec le segment B
  • Une deuxième stratégie pour empêcher le segment B de communiquer avec le segment A

Créer des stratégies à l’aide des portails pour le scénario 1

Effectuez les étapes suivantes pour créer des stratégies :

  1. Connectez-vous au portail Microsoft Purview avec les informations d’identification d’un compte administrateur dans votre organization.

  2. Sélectionnez la solution Obstacles à l’information carte. Si vous ne voyez pas la solution Obstacles à l’information carte, sélectionnez Afficher toutes les solutions, puis Obstacles à l’information dans la section Risque & Conformité.

  3. Sélectionnez Stratégies.

  4. Dans la page Stratégies , sélectionnez Créer une stratégie pour créer et configurer une stratégie IB.

  5. Dans la page Nom , entrez un nom pour la stratégie, puis sélectionnez Suivant.

  6. Dans la page Segment affecté , sélectionnez Choisir un segment. Utilisez la zone de recherche pour rechercher un segment par nom ou faites défiler pour sélectionner le segment dans la liste affichée. Sélectionnez Ajouter pour ajouter le segment sélectionné à la stratégie. Vous ne pouvez sélectionner qu’un seul segment.

  7. Sélectionnez Suivant.

  8. Dans la page Communication et collaboration , sélectionnez le type de stratégie dans le champ Communication et collaboration . Les options de stratégie sont Autorisées ou Bloquées. Dans cet exemple de scénario, sélectionnez Bloqué pour la première stratégie.

    Importante

    Vous ne pouvez pas modifier les status Autorisés et Bloqués pour les segments après la création d’une stratégie. Pour modifier la status, supprimez la stratégie et créez-en une.

  9. Sélectionnez Choisir un segment pour définir les actions du segment cible. Vous pouvez affecter plusieurs segments dans cette étape. Par exemple, si vous souhaitez empêcher les utilisateurs d’un segment appelé Sales de communiquer avec les utilisateurs dans un segment appelé Recherche, définissez le segment Ventes à l’étape 5 et affectez Recherche dans l’option Choisir un segment dans cette étape.

  10. Sélectionnez Suivant.

  11. Dans la page Status de stratégie, basculez l’status de stratégie active sur Activé. Sélectionnez Suivant pour continuer.

  12. Dans la page Vérifier vos paramètres , passez en revue les paramètres que vous choisissez pour la stratégie et les suggestions ou avertissements pour vos sélections. Sélectionnez Modifier pour modifier les segments de stratégie et les status ou sélectionnez Envoyer pour créer la stratégie.

Dans cet exemple, répétez les étapes précédentes pour créer une deuxième stratégie de blocage afin d’empêcher les utilisateurs d’un segment appelé Recherche de communiquer avec les utilisateurs dans un segment appelé Ventes. Définissez le segment Recherche à l’étape 5 et affectez Ventes (ou plusieurs segments) dans l’option Choisir un segment .

Créer des stratégies à l’aide de PowerShell pour le scénario 1

Pour définir des stratégies avec PowerShell, procédez comme suit :

  1. Pour définir votre première stratégie de blocage, utilisez l’applet de commande New-InformationBarrierPolicy avec le paramètre SegmentsBlocked .

    Syntaxe Exemple
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsBlocked "segmentBname" New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

    Dans cet exemple, vous définissez une stratégie appelée Sales-Research pour un segment appelé Sales. Lorsqu’elle est active et appliquée, cette stratégie empêche les utilisateurs de Sales de communiquer avec les utilisateurs d’un segment appelé Recherche.

  2. Pour définir votre deuxième segment de blocage, utilisez l’applet de commande New-InformationBarrierPolicy avec à nouveau le paramètre SegmentsBlocked , cette fois avec les segments inversés.

    Exemple Remarque
    New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive Dans cet exemple, vous définissez une stratégie appelée Research-Sales pour empêcher Research de communiquer avec Sales.

  3. Passez à l’une des actions suivantes :

Scénario 2 : Autoriser un segment à communiquer avec un seul autre segment

Lorsque vous souhaitez autoriser un segment à communiquer avec un seul autre segment, définissez deux stratégies : une pour chaque direction. Chaque stratégie autorise la communication dans une seule direction.

Dans cet exemple, définissez deux stratégies :

  • Une stratégie qui permet au segment A de communiquer avec le segment B
  • Une deuxième stratégie qui permet au segment B de communiquer avec le segment A

Créer des stratégies à l’aide des portails pour le scénario 2

Effectuez les étapes suivantes pour créer des stratégies :

  1. Connectez-vous au portail Microsoft Purview avec les informations d’identification d’un compte administrateur dans votre organization.

  2. Sélectionnez la solution Obstacles à l’information carte. Si vous ne voyez pas la solution Obstacles à l’information carte, sélectionnez Afficher toutes les solutions, puis Obstacles à l’information dans la section Risque & Conformité.

  3. Dans la page Stratégies , sélectionnez Créer une stratégie pour créer et configurer une stratégie IB.

  4. Dans la page Nom , entrez un nom pour la stratégie, puis sélectionnez Suivant.

  5. Dans la page Segment affecté , sélectionnez Choisir un segment. Utilisez la zone de recherche pour rechercher un segment par nom ou faites défiler pour sélectionner le segment dans la liste affichée. Sélectionnez Ajouter pour ajouter le segment sélectionné à la stratégie. Vous ne pouvez sélectionner qu’un seul segment.

  6. Sélectionnez Suivant.

  7. Dans la page Communication et collaboration , sélectionnez le type de stratégie dans le champ Communication et collaboration . Les options de stratégie sont Autorisées ou Bloquées. Dans cet exemple de scénario, sélectionnez Autorisé pour la stratégie.

    Importante

    Vous ne pouvez pas modifier les status Autorisés et Bloqués pour les segments après la création d’une stratégie. Pour modifier la status, supprimez la stratégie et créez-en une.

  8. Sélectionnez Choisir un segment pour définir les actions du segment cible. Vous pouvez affecter plusieurs segments dans cette étape. Par exemple, si vous souhaitez autoriser les utilisateurs d’un segment appelé Fabrication à communiquer avec les utilisateurs dans un segment appelé HR, définissez le segment Fabrication à l’étape 5 et affectez hr dans l’option Choisir un segment dans cette étape.

  9. Sélectionnez Suivant.

  10. Dans la page Status de stratégie, basculez l’status de stratégie active sur Activé. Sélectionnez Suivant pour continuer.

  11. Dans la page Vérifier vos paramètres , passez en revue les paramètres que vous choisissez pour la stratégie et les suggestions ou avertissements pour vos sélections. Sélectionnez Modifier pour modifier les segments de stratégie et les status ou sélectionnez Envoyer pour créer la stratégie.

  12. Répétez les étapes précédentes pour créer une deuxième stratégie Autoriser afin d’autoriser les utilisateurs d’un segment appelé Recherche à communiquer avec les utilisateurs d’un segment appelé Ventes. Définissez le segment Recherche à l’étape 5 et affectez Ventes (ou plusieurs segments) dans l’option Choisir un segment .

Créer une stratégie à l’aide de PowerShell pour le scénario 2

Pour définir des stratégies avec PowerShell, procédez comme suit :

  1. Pour permettre à un segment de communiquer avec l’autre segment, utilisez l’applet de commande New-InformationBarrierPolicy avec le paramètre SegmentsAllowed .

    Syntaxe Exemple
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname","segment1name" New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State Inactive

    Dans cet exemple, vous définissez une stratégie appelée Manufacturing-HR pour un segment appelé Manufacturing. Lorsqu’elle est active et appliquée, cette stratégie permet aux utilisateurs de la fabrication de communiquer uniquement avec les utilisateurs d’un segment appelé RH. Dans ce cas, la fabrication ne peut pas communiquer avec les utilisateurs qui ne font pas partie des RH.

    Si nécessaire, vous pouvez spécifier plusieurs segments avec cette applet de commande, comme illustré dans l’exemple suivant.

    Syntaxe Exemple
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname", "segmentCname","segmentDname" New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State Inactive

    Dans cet exemple, vous définissez une stratégie qui permet au segment Recherche de communiquer uniquement avec les ressources humaines et la fabrication.

    Répétez cette étape pour chaque stratégie que vous souhaitez définir pour permettre à des segments spécifiques de communiquer uniquement avec certains autres segments spécifiques.

  2. Pour définir votre deuxième segment d’autorisation, utilisez l’applet de commande New-InformationBarrierPolicy avec à nouveau le paramètre SegmentsAllowed , cette fois avec les segments inversés.

    Exemple Remarque
    New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsAllowed "Sales" -State Inactive Dans cet exemple, vous définissez une stratégie appelée Research-Sales pour permettre à Research de communiquer avec Sales.

  3. Passez à l’une des actions suivantes :

Étape 4 : Appliquer des stratégies IB

Les stratégies IB prennent effet lorsque vous les définissez comme actives status et que vous les appliquez.

Appliquer des stratégies à l’aide des portails

Effectuez les étapes suivantes pour appliquer des stratégies :

  1. Connectez-vous au portail Microsoft Purview avec les informations d’identification d’un compte administrateur dans votre organization.

  2. Sélectionnez la solution Obstacles à l’information carte. Si vous ne voyez pas la solution Obstacles à l’information carte, sélectionnez Afficher toutes les solutions, puis Obstacles à l’information dans la section Risque & Conformité.

  3. Sélectionnez Application de stratégie.

  4. Dans la page Application Stratégies, sélectionnez Appliquer toutes les stratégies pour appliquer toutes les stratégies IB dans votre organization.

    Remarque

    Prévoyez 30 minutes pour que le système commence à appliquer les stratégies. Le système applique des stratégies utilisateur par utilisateur et traite environ 5 000 comptes d’utilisateur par heure.

Appliquer des stratégies à l’aide de PowerShell

Pour appliquer des stratégies à l’aide de PowerShell, procédez comme suit :

  1. Utilisez l’applet de commande Get-InformationBarrierPolicy pour afficher la liste des stratégies définies. Notez le status et l’identité (GUID) de chaque stratégie.

    Syntaxe: Get-InformationBarrierPolicy

  2. Utilisez l’applet de commande Set-InformationBarrierPolicy avec le paramètre Identity et le paramètre State défini sur Active pour définir une stratégie sur active status.

    Syntaxe Exemple
    Set-InformationBarrierPolicy -Identity GUID -State Active Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Active

    Dans cet exemple, nous définissons une stratégie IB dont le GUID est 43c37853-ea10-4b90-a23d-ab8c93772471 pour active status.

    Répétez cette étape pour chaque stratégie.

  3. Lorsque vous avez terminé de définir vos stratégies IB de manière à ce qu’elles status actives, utilisez l’applet de commande Start-InformationBarrierPoliciesApplication dans Security & Compliance PowerShell.

    Syntaxe: Start-InformationBarrierPoliciesApplication

    Après avoir exécuté Start-InformationBarrierPoliciesApplication, attendez 30 minutes pour que le système commence à appliquer les politiques. Le système applique des stratégies utilisateur par utilisateur et traite environ 5 000 comptes d’utilisateur par heure.

Afficher status de comptes d’utilisateur, de segments, de stratégies ou d’application de stratégie

Avec PowerShell, vous pouvez afficher les status des comptes d’utilisateur, des segments, des stratégies et de l’application de stratégie, comme indiqué dans le tableau suivant.

Pour afficher ces informations Effectuer cette action
Comptes d’utilisateur Utilisez l’applet de commande Get-ExoInformationBarrierRelationship avec les paramètres RecipientId.

Syntaxe: Get-ExoInformationBarrierRelationship -RecipientId1 <value> -RecipientId2 <value>

Vous pouvez utiliser n’importe quelle valeur qui identifie chaque utilisateur de manière unique, comme le nom, l’alias, le nom unique, le nom de domaine canonique, l’adresse e-mail ou le GUID.

Exemple : Get-ExoInformationBarrierRelationship -RecipientId1 meganb -RecipientId2 alexw

Dans cet exemple, nous faisons référence à deux comptes d’utilisateur dans Office 365 : meganb pour Megan et alexw pour Alex.

Cette applet de commande retourne des informations sur les utilisateurs, telles que les valeurs d’attribut et toutes les stratégies IB appliquées.
Segments Utilisez l’applet de commande Get-OrganizationSegment .

Syntaxe: Get-OrganizationSegment

Cette applet de commande affiche la liste de tous les segments définis pour votre organization.
Stratégies de l’IB Utilisez l’applet de commande Get-InformationBarrierPolicy .

Syntaxe: Get-InformationBarrierPolicy

Cette applet de commande affiche la liste des stratégies IB que vous avez définies et leur status.
Application de stratégie IB la plus récente Utilisez l’applet de commande Get-InformationBarrierPoliciesApplicationStatus .

Syntaxe: Get-InformationBarrierPoliciesApplicationStatus

Cette applet de commande affiche des informations indiquant si l’application de stratégie est terminée, a échoué ou est en cours.
Toutes les applications de stratégie IB Utiliser Get-InformationBarrierPoliciesApplicationStatus -All

Cette applet de commande affiche des informations indiquant si l’application de stratégie est terminée, a échoué ou est en cours.

Que se passe-t-il si je dois supprimer ou modifier des stratégies ?

Des ressources sont disponibles pour vous aider à gérer vos stratégies IB.

Étape 5 : Configuration des obstacles à l’information sur SharePoint et OneDrive

Si vous configurez IB pour SharePoint et OneDrive, vous devez activer IB sur ces services. Vous devez également activer ib sur ces services si vous configurez IB pour Microsoft Teams. Lorsque vous créez une équipe dans Microsoft Teams, vous créez et associez automatiquement un site SharePoint à Microsoft Teams pour l’expérience des fichiers. Par défaut, les stratégies IB ne sont pas respectées sur ce nouveau site et fichiers SharePoint.

Pour activer IB dans SharePoint et OneDrive, suivez les instructions et les étapes de l’article Utiliser des obstacles à l’information avec SharePoint .

Étape 6 : Modes d’obstacles à l’information (facultatif)

Les modes permettent de renforcer l’accès, le partage et l’appartenance à une ressource Microsoft 365 en fonction du mode IB de la ressource. Groupes Microsoft 365, Microsoft Teams, OneDrive et les modes de prise en charge des sites SharePoint. Votre configuration IB nouvelle ou existante active automatiquement les modes.

Les modes IB suivants prennent en charge les ressources Microsoft 365 :

Mode Description Exemple
Open La ressource Microsoft 365 n’a pas de stratégies ou de segments IB qui lui sont associés. Tout le monde peut être invité à être membre de la ressource. Un site d’équipe créé pour un pique-pour votre organization.
Propriétaire modéré La stratégie IB du propriétaire de la ressource détermine la stratégie IB de la ressource Microsoft 365. Les propriétaires de ressources peuvent inviter n’importe quel utilisateur à la ressource en fonction de leurs stratégies IB. Ce mode est utile lorsque votre entreprise souhaite autoriser la collaboration entre les utilisateurs de segment incompatibles que le propriétaire modère. Seul le propriétaire de la ressource peut ajouter de nouveaux membres en fonction de sa stratégie IB. Le vice-président des ressources humaines souhaite collaborer avec les fournisseurs virtuels des ventes et de la recherche. Nouveau site SharePoint défini avec le mode IB Owner Moderated pour ajouter les utilisateurs du segment Ventes et Recherche au même site. Il incombe au propriétaire de s’assurer que les membres appropriés sont ajoutés à la ressource.
Implicite La stratégie IB des membres de la ressource détermine la stratégie IB ou les segments de la ressource Microsoft 365. Le propriétaire peut ajouter des membres tant qu’ils sont compatibles avec les membres existants de la ressource. Ce mode est le mode IB par défaut pour Microsoft Teams. L’utilisateur du segment Sales crée une équipe Microsoft Teams pour collaborer avec d’autres segments compatibles dans le organization.
Explicit Les segments associés à la ressource déterminent la stratégie IB de la ressource Microsoft 365. Le propriétaire de la ressource ou l’administrateur SharePoint peut gérer les segments sur la ressource. Site créé uniquement pour que les membres du segment Ventes collaborent en associant le segment Ventes au site.
Mixed Applicable uniquement à OneDrive. Les segments associés à OneDrive déterminent la stratégie IB de OneDrive. Le propriétaire de la ressource ou l’administrateur OneDrive peut gérer les segments sur la ressource. Un OneDrive créé pour permettre aux membres du segment Ventes de collaborer est autorisé à être partagé avec des utilisateurs non segmentés.

Mises à jour du mode implicite

Selon le moment où vous avez activé IB dans votre organization, votre organization est en mode de organization Hérité, SingleSegment ou MultiSegment. Pour vérifier votre mode, consultez Vérifier le mode IB pour votre organization.

Si votre organization est en mode SingleSegment ou MultiSegment et que le mode Obstacles à l’information du groupe Teams est Implicite, les groupes/sites connectés à Teams n’ont aucun segment associé.

Pour plus d’informations sur les modes IB et sur la façon de les configurer entre les services, consultez les articles suivants :

Étape 7 : Configurer la détectabilité utilisateur pour les obstacles à l’information (facultatif)

Les stratégies d’obstacles à l’information permettent aux administrateurs d’activer ou de désactiver les restrictions de recherche dans le sélecteur de personnes. Par défaut, la restriction du sélecteur de personnes est activée pour les stratégies IB. Par exemple, les stratégies IB qui empêchent deux utilisateurs spécifiques de communiquer peuvent également empêcher les utilisateurs de se voir l’un l’autre lors de l’utilisation du sélecteur de personnes.

Importante

La prise en charge de l’activation ou de la désactivation des restrictions de recherche n’est disponible que lorsque votre organization n’est pas en mode hérité. Les organisations en mode hérité ne peuvent pas activer ou désactiver les restrictions de recherche. L’activation ou la désactivation des restrictions de recherche nécessite des actions supplémentaires pour modifier le mode Obstacles à l’information pour votre organization. Pour plus d’informations, consultez Utiliser la prise en charge multi-segment dans les barrières à l’information).

Les organisations en mode hérité peuvent effectuer une mise à niveau vers la version la plus récente des barrières à l’information à l’avenir. Pour plus d’informations, consultez la feuille de route des obstacles à l’information.

Pour désactiver la restriction de recherche du sélecteur de personnes à l’aide de PowerShell, procédez comme suit :

  1. Utilisez l’applet de commande Set-PolicyConfig pour désactiver la restriction du sélecteur de personnes :
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'

Exemple de scénario : services, segments et stratégies de Contoso

Pour voir comment un organization peut aborder la définition de segments et de stratégies, envisagez l’exemple de scénario suivant.

Départements et plan de Contoso

Contoso dispose de cinq départements : RH, Ventes, Marketing, Recherche et Fabrication. Pour se conformer aux réglementations du secteur, les utilisateurs de certains services ne peuvent pas communiquer avec d’autres services, comme indiqué dans le tableau suivant :

Segment Peut communiquer avec Impossible de communiquer avec
HR Tout le monde (aucune restriction)
Ventes RH, Marketing, Fabrication Recherche
Marketing Tout le monde (aucune restriction)
Recherche RH, Marketing, Fabrication Ventes
Production RH, Marketing Toute personne autre que les ressources humaines ou le marketing

Pour cette structure, le plan de Contoso comprend trois stratégies IB :

  1. Une stratégie IB qui empêche Sales de communiquer avec Research.
  2. Stratégie de l’IB qui empêche La recherche de communiquer avec sales.
  3. Une stratégie IB qui permet à l’industrie de communiquer uniquement avec les RH et le marketing.

Pour ce scénario, vous n’avez pas besoin de définir des stratégies IB pour les ressources humaines ou le marketing.

Segments définis par Contoso

Contoso utilise l’attribut Department dans Microsoft Entra ID pour définir des segments, comme suit :

Service Définition de segment
RH New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"
Ventes New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'"
Marketing New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'"
Recherche New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'"
Production New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'"

Après avoir défini les segments, Contoso définit les stratégies IB.

Stratégies IB de Contoso

Contoso définit trois stratégies IB, comme décrit dans le tableau suivant :

Stratégie Définition de la stratégie
Stratégie 1 : empêcher le département des Ventes de communiquer avec la Recherche New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

Dans cet exemple, la stratégie IB est appelée Sales-Research. Lorsque vous activez et appliquez cette stratégie, elle empêche les utilisateurs du segment Ventes de communiquer avec les utilisateurs du segment Recherche. Il s’agit d’une stratégie unidirectionnel ; cela n’empêche pas Research de communiquer avec sales. Pour cela, la stratégie 2 est nécessaire.
Stratégie 2 : empêcher la Recherche de communiquer avec le département des Ventes New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive

Dans cet exemple, la stratégie IB est appelée Research-Sales. Lorsque vous activez et appliquez cette stratégie, cela empêche les utilisateurs du segment Recherche de communiquer avec les utilisateurs du segment Ventes.
Stratégie 3 : Autoriser la fabrication à communiquer uniquement avec les RH et le marketing New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive

Dans ce cas, la politique de l’IB est appelée Manufacturing-HRMarketing. Lorsque vous activez et appliquez cette stratégie, la fabrication peut communiquer uniquement avec les ressources humaines et le marketing. Les ressources humaines et le marketing ne sont pas limités à la communication avec d’autres segments.

Après avoir défini les segments et les stratégies, Contoso applique les stratégies en exécutant l’applet de commande Start-InformationBarrierPoliciesApplication .

Une fois l’applet de commande terminée, Contoso est conforme aux exigences du secteur.

Ressources

  • Last updated on