Informationsbarrierer i Microsoft Teams

  • Artikel
  • Gælder for:
    Microsoft Teams

Microsoft Purview Information Barriers (IB'er) er politikker, som en administrator kan konfigurere for at forhindre enkeltpersoner eller grupper i at kommunikere med hinanden. IB'er er nyttige, hvis f.eks. én afdeling håndterer oplysninger, der ikke skal deles med andre afdelinger. IB'er er også nyttige, når en gruppe skal isoleres eller forhindres i at kommunikere med andre uden for den pågældende gruppe. Delte kanaler i Microsoft Teams understøttes af informationsbarrierer. Afhængigt af typen af deling kan politikker for informationsbarrierer begrænse deling på visse måder. Du kan få mere at vide om funktionsmåden for delte kanaler og informationsbarrierer under Informationsbarrierer og delte kanaler.

For Microsoft Teams kan informationsbarrierer bestemme og forhindre følgende former for uautoriseret samarbejde:

  • Tilføjelse af en bruger til et team eller en kanal
  • Brugeradgang til team- eller kanalindhold
  • Brugeradgang til 1:1 og gruppechat
  • Brugeradgang til møder
  • Forhindrer opslag og registrering. Brugerne er ikke synlige i personvælgeren.

Bemærk!

  • Der kan ikke oprettes informationsbarrieregrupper på tværs af lejere.
  • Brug af robotter, Azure Active Directory-apps (Azure AD), API'er til afsendelse af meddelelser om aktivitetsfeeds og nogle API'er til tilføjelse af brugere understøttes ikke i version 1.
  • Private kanaler overholder politikker for informationsbarrierer, som du konfigurerer.
  • Du kan finde oplysninger om understøttelse af barrierer for SharePoint-websteder, der er forbundet til Teams, under Segmenter, der er knyttet til Microsoft Teams-websteder.

Baggrund

Den primære faktor for IB'er kommer fra sektoren for finansielle tjenesteydelser. FINRA (Financial Industry Regulatory Authority) gennemgår BB'er og interessekonflikter i medlemsvirksomheder og giver vejledning om styring af sådanne konflikter (FINRA 2241, bekendtgørelse 15-31 om gældsforskning.

Men siden indførelsen af IB har mange andre områder fundet dem nyttige. Andre almindelige scenarier omfatter:

  • Uddannelse: Elever på én skole kan ikke slå kontaktoplysninger op for elever på andre skoler.
  • Juridisk: Bevarelse af fortroligheden af oplysninger, der indhentes af en klients advokat, og forhindre en advokat i at få adgang til dem for det samme firma, som repræsenterer en anden klient.
  • Government: Informationsadgang og -kontrol er begrænset på tværs af afdelinger og grupper.
  • Professionelle tjenester: En gruppe personer i en virksomhed kan kun chatte med en kunde eller en bestemt kunde via gæsteadgang under et kundeengagement.

Enrico tilhører f.eks. segmentet Bank, og Pradeep tilhører segmentet Financial Advisor. Enrico og Pradeep kan ikke kommunikere med hinanden, fordi organisationens IB-politik blokerer kommunikation og samarbejde mellem disse to segmenter. Enrico og Pradeep kan dog kommunikere med Lee i HR.

Eksempel, der viser informationsbarrierer, der forhindrer kommunikation mellem segmenter.

Hvornår skal man bruge informationsbarrierer?

Det kan være en god idé at bruge IB'er i situationer som disse:

  • Et team skal forhindres i at kommunikere eller dele data med et bestemt andet team.
  • Et team må ikke kommunikere eller dele data med nogen uden for teamet.

Information Barrier Policy Evaluation Service afgør, om en kommunikation overholder IB's politikker.

Administration af segmenter for informationsbarrierer

IB-segmenter administreres i Microsoft Purview-compliance-portal eller ved hjælp af PowerShell-cmdlet'er. Du kan få flere oplysninger under Trin 2: Segmentér brugere i din organisation.

Vigtigt!

Understøttelse af tildeling af brugere til flere segmenter er kun tilgængelig, når din organisation ikke er i ældre tilstand. Hvis du vil finde ud af, om din organisation er i ældre tilstand, skal du se Kontrollér IB-tilstanden for din organisation).

Brugerne er begrænset til kun at blive tildelt til ét segment for organisationer i ældre tilstand. Organisationer i ældre tilstand vil være berettiget til at opgradere til den nyeste version af informationsbarrierer i fremtiden. Du kan få flere oplysninger i køreplanen for informationsbarrierer.

Administration af politikker for informationsbarrierer

IB-politikker administreres i Microsoft Purview-compliance-portal eller ved hjælp af PowerShell-cmdlet'er. Du kan få flere oplysninger under Trin 3: Opret IB-politikker.

Vigtigt!

Før du konfigurerer eller definerer politikker, skal du aktivere områdebaseret katalogsøgning i Microsoft Teams. Vent mindst et par timer efter aktivering af områdebaseret katalogsøgning, før du konfigurerer eller definerer politikker for informationsbarrierer. Du kan finde flere oplysninger under Definer politikker for informationsbarrierer.

Administratorrolle for informationsbarrierer

IB Compliance Management-rollen er ansvarlig for at administrere IB-politikker. Du kan få flere oplysninger om denne rolle under Tilladelser i Microsoft Purview-compliance-portal.

Informationsbarriereudløsere

IB-politikker aktiveres, når følgende Teams-hændelser finder sted:

  • Medlemmer føjes til et team: Når du føjer en bruger til et team, skal brugerens politik evalueres i forhold til andre teammedlemmers IB-politikker. Når brugeren er tilføjet, kan brugeren udføre alle funktioner i teamet uden yderligere kontrol. Hvis brugerens politik blokerer dem fra at blive føjet til teamet, vises brugeren ikke i søgningen.

    Skærmbillede af søgning efter et nyt medlem, der skal føjes til et team, og hvor der ikke blev fundet nogen resultater.

  • Der anmodes om en ny chat: Hver gang en bruger anmoder om en ny chat med en eller flere andre brugere, evalueres chatten for at sikre, at den ikke overtræder nogen IB-politikker. Hvis samtalen overtræder en IB-politik, startes samtalen ikke.

    Her er et eksempel på en chat kl. 13:1.

    Skærmbillede, der viser blokeret kommunikation i 1:1-chat.

    Her er et eksempel på en gruppechat.

    Skærmbillede, der viser gruppechat.

  • En bruger inviteres til at deltage i et møde: Når en bruger inviteres til at deltage i et møde, evalueres den IB-politik, der gælder for brugeren, i forhold til de IB-politikker, der gælder for de andre teammedlemmer. Hvis der er en overtrædelse, kan brugeren ikke deltage i mødet.

    Skærmbillede, der viser, at brugeren er blokeret fra mødet.

  • Et skærmbillede deles mellem to eller flere brugere: Når en bruger deler en skærm med andre brugere, skal delingen evalueres for at sikre, at den ikke overtræder andre brugeres IB-politikker. Hvis en IB-politik overtrædes, er skærmsharet ikke tilladt.

    Her er et eksempel på skærmdeling, før politikken anvendes.

    Skærmbillede, der viser en brugerchat.

    Her er et eksempel på skærmdeling, når politikken er anvendt. Ikonerne for skærmdeling og opkald er ikke synlige.

    Skærmbillede, der viser brugertegn med blokerede indstillinger.

  • En bruger foretager et telefonopkald i Teams: Når en bruger starter et taleopkald (via VOIP) til en anden bruger eller gruppe af brugere, evalueres opkaldet for at sikre, at det ikke overtræder andre teammedlemmers IB-politikker. Hvis der er nogen overtrædelse, blokeres taleopkaldet.

  • Gæster i Teams: IB-politikker gælder også for gæster i Teams. Hvis gæster skal kunne findes på organisationens globale adresseliste, skal du se Administrer gæsteadgang i Microsoft 365-grupper. Når gæster er fundet, kan du definere IB-politikker.

Sådan påvirker politikændringer eksisterende chats

Når IB-politikadministratoren foretager ændringer af en politik, eller når en politikændring aktiveres på grund af en ændring af en brugers profil (f.eks. i forbindelse med en jobændring), søger Information Barrier Policy Evaluation Service automatisk medlemmerne for at sikre, at deres medlemskab af teamet ikke overtræder nogen politikker.

Hvis der er en eksisterende chat eller anden kommunikation mellem brugere, og der angives en ny politik, eller en eksisterende politik ændres, evaluerer tjenesten eksisterende kommunikation for at sikre, at kommunikationen stadig har tilladelse til at forekomme.

  • 1:1 chat: Hvis kommunikation mellem to brugere ikke længere er tilladt (på grund af anvendelse til en eller begge brugere af en politik, der blokerer kommunikation), blokeres yderligere kommunikation. Deres eksisterende chatsamtaler bliver skrivebeskyttede.

    Her er et eksempel, der viser, at chatten er synlig.

    Skærmbillede, der viser, at brugerchat er tilgængelig.

    Her er et eksempel, der viser, at chatten er deaktiveret.

    Skærmbillede, der viser, at brugerchat er deaktiveret.

  • Gruppechat: Hvis kommunikation fra én bruger til en gruppe ikke længere er tilladt (f.eks. fordi en bruger har ændret job), kan brugeren – sammen med de andre brugere, hvis deltagelse overtræder politikken – blive fjernet fra gruppechatten, og yderligere kommunikation med gruppen vil ikke være tilladt. Brugeren kan stadig se gamle samtaler, men kan ikke se eller deltage i nye samtaler med gruppen. Hvis den nye eller ændrede politik, der forhindrer kommunikation, anvendes på mere end én bruger, kan de brugere, der påvirkes af politikken, blive fjernet fra gruppechatten. De kan stadig se gamle samtaler.

    I dette eksempel flyttede Enrico til en anden afdeling i organisationen og fjernes fra gruppechatten.

    Skærmbillede af en gruppechat, hvorfra en bruger er blevet fjernet.

    Enrico kan ikke længere sende meddelelser til gruppechatten.

    Skærmbillede af, hvordan du ikke kan sende meddelelser til gruppechat, fordi brugeren blev fjernet fra gruppen.

  • Team: Alle brugere, der er blevet fjernet fra gruppen, fjernes fra teamet og kan ikke se eller deltage i eksisterende eller nye samtaler.

Scenarie: En bruger i en eksisterende chat bliver blokeret

I øjeblikket oplever brugerne følgende scenarier, hvis en IB-politik blokerer en anden bruger:

  • Mennesker fane: En bruger kan ikke se blokerede brugere under fanen Mennesker.

  • Mennesker vælger: Blokerede brugere er ikke synlige i personvælgeren.

    Skærmbillede af Teams, der advarer brugeren om, at politikken forhindrer visning af en anden brugers oplysninger.

  • Fanen Aktivitet: Hvis en bruger besøger fanen Aktivitet for en blokeret bruger, vises der ingen meddelelser. Fanen Aktivitet viser kun kanalindlæg, og der er ingen almindelige kanaler mellem de to brugere.

    Her er et eksempel på visningen af fanen Aktivitet, der er blokeret.

    Skærmbillede, der viser den aktivitetsfane, der er blokeret.

  • Organisationsdiagrammer: Hvis en bruger tilgår et organisationsdiagram, hvor en blokeret bruger vises, vises den blokerede bruger ikke i organisationsdiagrammet. Der vises i stedet en fejlmeddelelse.

  • Mennesker kort: Hvis en bruger deltager i en samtale, og brugeren senere blokeres, får andre brugere vist en fejlmeddelelse i stedet for personkortet, når de holder markøren over den blokerede brugers navn. Handlinger, der er angivet på kortet (f.eks. opkald og chat), vil ikke være tilgængelige.

  • Foreslåede kontakter: Blokerede brugere vises ikke på listen over foreslåede kontakter (den første liste over kontakter, der vises for nye brugere).

  • Chatkontakter: En bruger kan se blokerede brugere på chatkontaktlisten, men de blokerede brugere vil blive identificeret. Den eneste handling, som brugeren kan udføre på de blokerede brugere, er at slette dem. Brugeren kan også vælge dem for at få vist deres tidligere samtale.

  • Kalder kontakter: En bruger kan se blokerede brugere på listen over opkaldskontakter, men de blokerede brugere identificeres. Den eneste handling, som brugeren kan udføre på de blokerede brugere, er at slette dem.

    Her er et eksempel på en blokeret bruger på listen over opkaldskontakter.

    Skærmbillede, der viser brugerchat.

    Her er et eksempel på, at chat er deaktiveret for en bruger på opkaldsindholdslisten.

    Skærmbillede, der viser, at brugeren er blokeret fra chat.

  • Migrering af Skype til Teams: Under en migrering fra Skype for Business til Teams overføres alle brugere – også de brugere, der er blokeret af IB-politikker – til Teams. Disse brugere håndteres derefter som beskrevet ovenfor.

Teams-politikker og SharePoint-websteder

Når der oprettes et team, klargøres et SharePoint-websted og knyttes til Microsoft Teams til filoplevelsen. Politikker for informationsbarrierer anvendes ikke som standard på dette SharePoint-websted og disse filer. Hvis du vil aktivere informationsbarrierer i SharePoint og OneDrive, skal du følge vejledningen og trinnene i artiklen Brug informationsbarrierer med SharePoint .

Informationsbarrieretilstande og Teams

Informationsbarrieretilstande hjælper med at styrke, hvem der kan føjes til eller fjernes fra et team. Når du bruger informationsbarrierer i Teams, understøttes følgende IB-tilstande:

  • Åben: Denne konfiguration er standard-IB-tilstand for alle eksisterende grupper, der blev klargjort, før informationsbarrierer blev aktiveret. I denne tilstand er der ingen gældende IB-politikker.
  • Implicit: Denne konfiguration er standard-IB-tilstand, når et team klargøres efter aktivering af informationsbarrierer. Implicit tilstand giver dig mulighed for at tilføje alle kompatible brugere i gruppen.
  • Ejer ændret: Denne tilstand er angivet for et team, når du vil tillade samarbejde mellem inkompatible segmentbrugere, der er ændret af ejeren. Teamejeren kan tilføje nye medlemmer i henhold til deres IB-politik.

Teams, der er oprettet før aktivering af en politik for informationsbarrierer i din lejer, angives automatisk til Åben tilstand som standard. Når du aktiverer IB-politikker på din lejer, skal du opdatere tilstanden for dine eksisterende teams til Implicit for at sikre, at eksisterende teams er IB-kompatible. Du kan få flere oplysninger om opdateringstilstande under Skift tilstande for informationsbarrierer med et PowerShell-script.

Brug Set-UnifiedGroup-cmdlet'en med parameteren InformationBarrierMode , der svarer til den tilstand, du vil bruge til dine segmenter. Den tilladte liste over værdier for parameteren InformationBarrierMode er Open, Implicit og Owner Moderated.

Hvis du f.eks. vil konfigurere implicit tilstand for en Microsoft 365-gruppe, skal du bruge følgende PowerShell-kommando:

Set-UnifiedGroup -InformationBarrierMode Implicit

Hvis du vil opdatere tilstanden fra Åbn til Implicit for alle eksisterende teams, skal du bruge dette PowerShell-script.

Hvis du ændrer konfigurationen af Åbn tilstand på eksisterende Teams-forbundne grupper for at opfylde kravene til overholdelse af angivne standarder for din organisation, skal du [opdatere IB-tilstand]/microsoft-365/compliance/information-barriers-sharepoint#view-and-manage-ib-modes-as-a-administrator-with-sharepoint-powershell) for tilknyttede SharePoint-websteder, der er forbundet med Teams-teamet.

IB-politikprogram i Teams

IB-politikprogrammet er en baggrunds-IB-processor til Teams, der får en meddelelse, når der er ændringer til enten brugere (politik- eller segmentændringer) eller grupper (tilstandsændringer). I følgende trin beskrives behandlingsflowet:

  • Politikprogrammet modtager en meddelelse om gruppeændring, når tilstanden opdateres, og henter de meddelelsestråd- og gruppe-id'er, der gælder for opdateringen.
  • Hvis meddelelsestråden findes, planlægges behandlingen, og alle medlemmer hentes fra teamet og den underliggende gruppe og sendes til downstream Teams-komponenter til IB-evaluering.
  • Tilstanden for gruppen og IB-politikkerne pr. bruger evalueres, og resultaterne sendes til politikprogrammet.
  • Politikprogrammet fjerner de brugere, der ikke overholder politikken, fra gruppen og teamet.

Påkrævede licenser og tilladelser

Du kan finde flere oplysninger om licenser og tilladelser, planer og priser under Vejledning til Microsoft 365-licenser for at få mere at vide om overholdelse af angivne standarder for sikkerhed&.

Forbrugsnoter

  • Brugere kan ikke deltage i ad hoc-møder: Hvis IB-politikker er aktiveret, har brugerne ikke tilladelse til at deltage i møder, hvis mødelistens størrelse er større end grænsen for mødedeltagelse. Den egentlige årsag er, at IB-kontroller er afhængige af, om brugerne kan føjes til en mødechatliste, og kun når de kan føjes til listen, har de tilladelse til at deltage i mødet. En bruger, der deltager i et møde, føjer én gang den pågældende bruger til listen. Derfor kan listen hurtigt blive fyldt op i forbindelse med tilbagevendende møder. Når chatlisten når grænsen for mødedeltagelse, kan der ikke føjes flere brugere til mødet. Hvis IB er aktiveret for organisationen, og chatliste er fuld for et møde, har nye brugere (de brugere, der ikke allerede er på listen) ikke tilladelse til at deltage i mødet. Men hvis IB ikke er aktiveret for organisationen, og mødechat-listen er fuld, har nye brugere (de brugere, der ikke allerede er på listen) tilladelse til at deltage i mødet, selvom de ikke kan se chatindstillingen i mødet. En kortsigtet løsning er at fjerne inaktive medlemmer fra mødechatarbejdsområdet for at give plads til nye brugere. Vi vil dog på et senere tidspunkt øge størrelsen af mødechatarbejdsplanerne.
  • Brugere kan ikke deltage i kanalmøder: Hvis IB-politikker er aktiveret, har brugerne ikke tilladelse til at deltage i kanalmøder, hvis de ikke er medlem af teamet. Den egentlige årsag er, at IB-kontroller er afhængige af, om brugerne kan føjes til en mødechatliste, og kun når de kan føjes til listen, har de tilladelse til at deltage i mødet. Chattråden i et kanalmøde er kun tilgængelig for team-/kanalmedlemmer, og ikke-medlemmer kan ikke se eller få adgang til chattråden. Hvis IB er aktiveret for organisationen, og et ikke-teammedlem forsøger at deltage i et kanalmøde, har den pågældende bruger ikke tilladelse til at deltage i mødet. Men hvis IB ikke er* aktiveret for organisationen, og et ikke-teammedlem forsøger at deltage i et kanalmøde, har brugeren tilladelse til at deltage i mødet – men de kan ikke se chatindstillingen i mødet.
  • IB-politikker fungerer ikke for brugere i organisationsnetværket: Hvis du tillader sammenslutning med eksterne organisationer, begrænses brugerne af disse organisationer ikke af IB-politikker. Hvis brugerne af din organisation deltager i en chat eller et møde, der er organiseret af eksterne brugere i organisationsnetværket, begrænser IB-politikker heller ikke kommunikationen mellem brugerne af din organisation.

Flere oplysninger

Tilgængelighed

Informationsbarrierer i Teams er tilgængelige i vores offentlige cloudmiljøer GCC, GCC – High og DOD.