重要事項
只有在您的組織未處於 舊版 模式時,才可支援將使用者指派給多個區段。 若要判斷您的組織是否處於 舊版 模式,請參閱檢查 組織的 IB 模式 ,並檢查屬性的 InformationBarrierMode 值。
對於 舊版 模式的組織,使用者只能指派給一個區段。
舊版模式的組織有資格在未來升級至最新版本的資訊屏障。 如需詳細資訊,請參閱 資訊屏障藍圖。
多區段模式可讓您將組織中的使用者指派給資訊屏障中最多 10 個區段,而不是僅限於一個區段。 這種對個人和群組之間更多樣化通訊規則的支援支援更複雜的組織和營運場景。 對於使用多區段支援的組織,請使用允許清單定義所有資訊屏障原則。
當您設定多區段支援時,使用者相容性取決於每個使用者對共用區段的指派。 如果使用者將指派共用至相同的區段,則表示他們是相容的。 例如,下表顯示使用者 A 和使用者 B 不相容,因為他們不共用指派的區段。 不過,使用者 A 與使用者 C 相容,而使用者 B 與使用者 C 相容,因為它們都有共同指派的區段。
| 使用者 | 指派的區段 |
|---|---|
| 使用者 A | 第 1 段、第 2 段 |
| 使用者 B | 第 3 段、第 4 段 |
| 使用者 C | 第 2 段、第 4 段 |
多區段範例:北學區的學校、區段和政策
北學區有兩所學校,1 號學校和 2 號學校。 學區政策是,只有當學生和老師都在同一所學校時,才允許他們相互交流。 例如,學校 1 中的學生和教師可以通訊,但學校 1 的學生無法與學校 2 的教師通訊。 在此案例中,請設定多個區段以支援下列地區原則案例:
北學區的學校和計劃
北學區有兩所學校:
| 區隔 | 允許的通訊 | 阻止溝通 |
|---|---|---|
| 學校 1 | 學校1的學生和教師 | 學校2的學生和教師 |
| 學校 2 | 學校2的學生和教師 | 學校1的學生和教師 |
對於這種結構,北學區的計劃包括三項 IB 政策:
- 一項 IB 政策,使 1 學校的學生和教師能夠相互溝通。
- 一項 IB 政策,使 2 年級的學生和教師能夠相互溝通。
- 一項 IB 政策,允許第 1 學校和第 2 學校的教師相互交流。
北學區定義的細分市場
北學區會使用 Microsoft Entra ID 中的 Department 屬性來定義區段,如下所示:
| 區隔 | 區隔定義 |
|---|---|
| 學校1 | New-OrganizationSegment -Name "School1" -UserGroupFilter "Department -eq 'School1'" |
| 學校2 | New-OrganizationSegment -Name "School2" -UserGroupFilter "Department -eq 'School2'" |
| 全體教師 | New-OrganizationSegment -Name "AllTeachers" -UserGroupFilter "MemberOfGroup -eq 'AllTeachersgroup@northschoolsdistrict.com'" |
定義區段之後,Contoso 會定義 IB 原則。
北學區的 IB 政策
北學區定義了三個 IB 政策,如下表所述:
| 原則 | 原則定義 |
|---|---|
| 政策一:1學校的師生可以相互交流 | New-InformationBarrierPolicy -Name School1Policy -SegmentsAllowed 'School1' -AssignedSegment 'School1' -State Active 在此範例中,IB 原則稱為 School1Policy。 當此政策處於活動狀態並應用時,它使學校 1 的學生和教師能夠相互溝通。 本政策是單向政策;它不會阻止學校 1 的學生和教師與學校 2 進行溝通。 因此我們需要原則 2。 |
| 政策二:二校師生可相互交流 | New-InformationBarrierPolicy -Name School2Policy -SegmentsAllowed 'School2' -AssignedSegment 'School2' -State Active 在此範例中,IB 原則稱為 School2Policy。 當此政策處於活動狀態並應用時,它使學校 2 的學生和教師能夠相互溝通。 |
| 政策三:不同學校的老師可以相互交流 | New-InformationBarrierPolicy -Name AllTeachersPolicy -SegmentsAllowed 'AllTeachers' -AssignedSegment 'AllTeachers' -State Active 在此情況下,IB 原則稱為 AllTeachersPolicy。 當此政策處於活動狀態並應用時,學校 1 和學校 2 的教師可以相互溝通。 |
定義區段和原則後,北學區會執行 Start-InformationBarrierPoliciesApplication Cmdlet 來套用原則。 當 cmdlet 完成時,北學區會實作其學生和教師的通訊原則。
檢查您組織的 IB 模式
若要支援將使用者指派給多個區段,請確認您的 IB 組織支援多個區段。 執行下列 Cmdlet,以在 安全性 & 合規性 PowerShell 中驗證您的 IB 模式:
Get-PolicyConfig
如果屬性的 InformationBarrierMode 值是 SingleSegment,請遵循本文中 為使用者啟用多個區段支援 一節中的指引,啟用多區段支援。 如果屬性的 InformationBarrierMode 值是 MultiSegment,您可以略過啟用多區段的支援,因為它已為您的組織啟用。
如果屬性的 InformationBarrierMode 值為 舊版,則您的組織不支援啟用多區段。
舊版 組織未來有資格升級至最新版本的資訊屏障。 如需詳細資訊,請參閱 資訊屏障藍圖。
為使用者啟用多個區段支援
若要在 SingleSegment 模式中為組織啟用多個區段支援,請確定您目前沒有為組織定義任何 IB 區段或原則。 執行下列 Cmdlet ,以在您的組織中啟用多個區段支援:
Set-PolicyConfig -InformationBarrierMode 'MultiSegment'
重要事項
如果您在組織中啟用多個區段並設定 IB,請勿還原為單一區段支援。
OneDrive 中使用者的多區段支援
如果您的 IB 組織不在 LegacyMode 中,而且您設定 OneDrive for Information Barriers 以支援多個區段,則 OneDrive 使用者體驗的運作方式如下:
OneDrive IB 原則:原則會自動將多區段使用者的 OneDrive 設定為 擁有者仲裁 模式。
多區段使用者的 OneDrive 網站存取:
- 明確 或 混合 模式:如果多區段使用者屬於 OneDrive 的至少一個區段,並且具有網站存取權限,則可以存取 OneDrive。
- 所有其他模式:使用者具有與單一區段支援相同的網站存取體驗。
多區段使用者的 OneDrive 共用:多區段使用者可以根據針對 OneDrive 設定的 IB 模式來共用 OneDrive 網站和包含的內容。
- 明確 模式:使用者可以與與 OneDrive 具有相同區段的其他使用者共用 OneDrive 內容。
- 開放 或 所有者審核 模式:用戶可以根據 IB 政策與其他兼容用戶共享內容。
如需管理 OneDrive IB 的詳細資訊,請參閱 搭配 OneDrive 使用資訊屏障。
SharePoint Online 中使用者的多區段支援
如果您的 IB 組織不在 LegacyMode ,而且您設定 SharePoint 的資訊屏障以支援多個區段,SharePoint 使用者體驗的運作方式如下:
網站建立:當具有多個區段的使用者 (Microsoft 365 群組連線網站或非群組網站) 建立 SharePoint 網站時,網站會自動使用 擁有者仲裁 模式。
多區段使用者的 SharePoint 網站存取:
- 明確模式:如果使用者至少有一個區隔與網站區隔相符,且擁有網站存取權限,則可取得存取權。
- 所有其他模式:使用者具有與單一區段支援相同的網站存取體驗。
多區段使用者共用 SharePoint 網站:具有多個區段的使用者可以根據網站的 IB 模式共用網站及其內容。
- 明確 模式:可以與符合網站區段的使用者共用內容。
- 隱含 或 擁有者仲裁 模式:可以與連線到網站的 Microsoft 365 群組的其他現有成員共用內容。
- 開放 模式:可以與根據 IB 原則相容的其他使用者共用內容。
如需管理 SharePoint IB 的詳細資訊,請參閱 搭配 SharePoint 使用資訊屏障。
Microsoft Teams 中使用者的多區段支援
如果您的 IB 組織不在 舊版模式 中,而且您設定資訊屏障的 Teams 以支援多個區段,則 Microsoft Teams 使用者體驗會運作如下:
- 團隊建立:當具有多個區段的使用者建立團隊時,團隊會自動使用 隱含 模式。
- 團隊成員新增:團隊中的所有使用者都必須有一個與所有其他使用者相容的區段。
如需管理 Microsoft Teams 的 IB 的詳細資訊,請參閱 搭配 Microsoft Teams 使用資訊屏障。