在 Microsoft Purview 中設定資訊屏障
Microsoft Purview 資訊屏障 (IB) 原則可以在組織中扮演不可或缺的一部分。 不過,它們也可能在設定不正確時造成問題。 例如,如果組織未正確設定IB原則,則會在實際想要允許共同作業時防止共同作業。 因此,系統管理員必須瞭解IB原則的功能和結果。
組織可以使用 Microsoft Purview 合規性入口網站 或使用安全性與合規性 PowerShell 來設定 IB 原則。 針對第一次設定IB的組織,Microsoft建議他們使用 Microsoft Purview 合規性入口網站 中的資訊屏障解決方案。 不過,如果您要管理現有的 IB 組態,而且您很熟悉使用 PowerShell,則仍然會有此選項。
設定概念
當組織設定資訊屏障時,必須熟悉下列物件和概念:
用戶帳戶屬性。 您可以在 Microsoft Entra ID (或 Exchange Online) 中定義這些屬性。 這些屬性可能包括部門、職稱、地區、小組名稱及其他工作設定檔詳細資料。 您可以將使用者或群組指派給具有這些屬性的區段。 如需詳細資訊,請參閱 IB 支援的屬性 清單。
注意事項
Active Directory (Azure AD) 現在為 Microsoft Entra ID。 深入了解。
區段。 區段是系統管理員用來定義群組 IB 原則的屬性。 組織會從群組所屬的屬性清單中取得這些屬性。 例如,組織會使用 Department 屬性中的值來定義稱為 HR 的區段。 定義區段不會影響使用者。 它只會設定定義和套用資訊屏障原則的階段。
資訊屏障原則。 IB 原則會決定通訊限制。 當您定義 IB 原則時,您可以從兩種原則中選擇:
封鎖原則。 防止某個區段與另一個區段通訊。
允許原則。 只允許一個區段與特定其他區段通訊。
注意事項
針對允許原則,IB 區段和原則中包含的使用者將看不到非 IB 群組和使用者。 如果您需要讓 IB 區段和原則中包含的使用者看見非 IB 群組和使用者,則必須使用封鎖原則。
原則應用程式。 組織定義所有 IB 原則之後,必須套用這些原則。
非 IB 使用者和群組的可見度。 非 IB 使用者和群組是從 IB 區段和原則中排除的使用者和群組。 視封鎖或允許 () 的 IB 原則類型而定,這些使用者和群組的行為會在 teams、SharePoint、OneDrive Microsoft和全域通訊清單中有所不同。
- 包含在 IB 區段和原則中的使用者無法看到非 IB 群組和使用者,除非允許原則包含這些群組和使用者。
- 包含在IB區段和原則中的使用者可以看到非IB群組和使用者,即使封鎖原則包含它們也一樣。
群組支援。 資訊屏障僅支援 Microsoft 365 群組。 系統會將通訊組清單和安全組視為非 IB 群組。
隱藏/停用的用戶帳戶。 當組織隱藏或停用使用者的帳戶時,Microsoft Purview 會自動將 HiddenFromAddressListEnabled 參數設定為 True。 在啟用IB的組織中,這些帳戶無法與其他使用者帳戶通訊。 在 Microsoft Teams 中,它會鎖定包含這些帳戶的所有聊天,或自動從交談中移除使用者。
規劃資訊屏障原則
組織必須先考慮下列問題,才能設定 IB 原則:
- 關於組織內部群組的法律或產業法規為何?
- 是否有任何應該防止與另一個群組通訊的群組?
- 是否有任何群組應該允許只與一或兩個其他群組通訊?
這些問題可協助組織了解必須在組織內實作哪些 IB 原則。 一旦他們開始建立原則,就可以將原則分成兩種類型:
- 封鎖原則。 這些原則會防止一個群組與另一個群組通訊。
- 允許原則。 這些原則可讓群組只與特定群組通訊。
決定如何區隔群組時,請為這兩種類型建立原則清單。 然後為您的組織建立區段清單。
設定 Microsoft 365 的資訊屏障
組織應該使用下列步驟來設定 Microsoft Purview 資訊屏障。
| 步驟 | 涉及的內容 |
|---|---|
| 步驟 1: 確定您符合必要條件。 | - 確認您具有 必要的授權和許可權。 - 確認您的目錄包含分割用戶的數據。 - 啟用 依名稱搜尋 Microsoft Teams。 - 請務必開啟稽核記錄。 - 確定沒有 Exchange 通訊簿原則。 - 選擇性地使用 PowerShell。 - 為Microsoft Teams 提供系統管理員同意。 |
| 步驟 2: 區隔組織中的使用者。 | - 判斷您需要的原則。 - 建立要定義的區段清單。 - 識別要使用的屬性。 - 根據原則篩選定義區段。 |
| 步驟 3: 定義資訊屏障原則。 | - 定義原則 (尚未套用) 。 - 從兩種類型中選擇 (區塊或允許) 。 |
| 步驟 4: 套用資訊屏障原則。 | - 將原則設定為作用中狀態。 - 執行原則應用程式。 - 檢視原則狀態。 |
| 步驟 5: 設定 SharePoint 和 OneDrive 上的資訊屏障 (選擇性) 。 | - 設定 SharePoint 和 OneDrive 的 IB。 |
| 步驟 6: 資訊屏障模式 (選擇性) 。 | - 如果適用,請更新 IB 模式。 |
識別區段
除了組織的初始原則清單之外,還應建立區段清單。 組織計劃包含在 IB 原則中的用戶應該屬於某個區段。
警告
請仔細規劃您的區段,因為使用者只能在一個區段中。 此外,每個區段只能套用一個資訊屏障原則。
組織應該識別其目錄數據中打算用來定義區段的屬性。 例如,它可以使用 Department、 MemberOf 或任何支援的 IB 屬性。 組織應該確保其在為用戶選取的屬性中有值。 如果組織的目錄數據沒有其想要使用的屬性值,則必須先更新用戶帳戶以包含該資訊,才能繼續設定IB。 如需詳細資訊,請參閱 IB 的支持屬性。
建立 IB 原則
當組織建立 IB 原則時,必須判斷是否需要防止特定區段之間的通訊,或限制對特定區段的通訊。 在理想情況下,組織應該使用IB原則的最小數目,以確保其符合內部、法律和產業需求。 組織可以使用 Microsoft Purview 合規性入口網站 或 PowerShell 來建立和套用 IB 原則。
提示
針對用戶體驗一致性,Microsoft建議盡可能在大部分情況下使用封鎖原則。
組織應該定義其使用者區段清單,以及想要定義的 IB 原則。 然後,它應該選取下列其中一個案例,並遵循對應的步驟。
重要事項
組織應該確保在定義原則時,不會將多個原則指派給某個區段。 例如,如果它為名為 Sales 的區段定義一個原則,就不應該為 Sales 區 段定義另一個原則。 在定義 IB 原則時,組織應該確保將這些原則設定為 非作用中 狀態,直到準備好套用這些原則為止。 當組織定義或編輯原則時,除非將這些原則設定為 [作用 中] 狀態 並套用原則,否則不會影響使用者。