Informationsbarrieren in Microsoft Teams

  • Artikel
  • Gilt für:
    Microsoft Teams

Microsoft Purview Information Barriers (IBs) sind Richtlinien, die ein Administrator konfigurieren kann, um zu verhindern, dass Einzelpersonen oder Gruppen miteinander kommunizieren. Ip-Adressen sind z. B. nützlich, wenn eine Abteilung Informationen verarbeitet, die nicht für andere Abteilungen freigegeben werden sollten. Ip-Adressen sind auch nützlich, wenn eine Gruppe isoliert oder daran gehindert werden muss, mit personen außerhalb dieser Gruppe zu kommunizieren. Freigegebene Kanäle in Microsoft Teams werden von Informationsbarrieren unterstützt. Je nach Art der Freigabe können Richtlinien für Informationsbarrieren die Freigabe auf bestimmte Weise einschränken. Weitere Informationen zum Verhalten freigegebener Kanäle und Informationsbarrieren finden Sie unter Informationsbarrieren und freigegebene Kanäle.

Für Microsoft Teams können Informationsbarrieren die folgenden Arten von nicht autorisierter Zusammenarbeit bestimmen und verhindern:

  • Hinzufügen eines Benutzers zu einem Team oder Kanal
  • Benutzerzugriff auf Team- oder Kanalinhalte
  • Benutzerzugriff auf 1:1- und Gruppenchats
  • Benutzerzugriff auf Besprechungen
  • Verhindert Nachschlagevorgänge und Ermittlungen, Benutzer sind in der Personenauswahl nicht sichtbar.

Hinweis

  • Informationsbarrieregruppen können nicht mandantenübergreifend erstellt werden.
  • Die Verwendung von Bots, Azure Active Directory-Apps (Azure AD), APIs zum Senden von Aktivitätsfeedbenachrichtigungen und einigen APIs zum Hinzufügen von Benutzern wird in Version 1 nicht unterstützt.
  • Private Kanäle sind mit den von Ihnen konfigurierten Richtlinien für Informationsbarrieren konform.
  • Informationen zur Unterstützung von Barrieren für SharePoint-Websites, die mit Teams verbunden sind, finden Sie unter Segmente, die Microsoft Teams-Websites zugeordnet sind.

Hintergrund

Der primäre Treiber für IP-Adressen kommt aus der Finanzdienstleistungsbranche. Die Financial Industry Regulatory Authority (FINRA) überprüft IBs und Interessenkonflikte innerhalb von Mitgliedsfirmen und bietet Anleitungen zur Bewältigung solcher Konflikte (FINRA 2241, Debt Research Regulatory Notice 15-31).

Seit der Einführung von IBs haben sie jedoch viele andere Bereiche als nützlich erachtet. Weitere häufige Szenarien sind:

  • Bildungsbereich: Schüler/Studenten einer Bildungseinrichtung können nicht nach den Kontaktdetails von Schülern/Studenten anderer Bildungseinrichtungen suchen.
  • Rechtliches: Wahrung der Vertraulichkeit von Daten, die vom Anwalt eines Mandanten erhalten werden, und verhindern, dass ein Rechtsanwalt derselben Firma, der einen anderen Mandanten vertritt, darauf zugreifen kann.
  • Behörden: Der Zugriff und die Steuerung von Informationen sind auf abteilungen- und gruppenübergreifend beschränkt.
  • Professionelle Dienstleistungen: Eine Gruppe von Personen in einem Unternehmen kann während einer Kundenbindung nur über Gastzugriff mit einem Kunden oder einem bestimmten Kunden chatten.

Beispielsweise gehört Enrico zum Segment Banking und Pradeep zum Segment Finanzberater. Enrico und Pradeep können nicht miteinander kommunizieren, da die IB-Richtlinie des organization die Kommunikation und Zusammenarbeit zwischen diesen beiden Segmenten blockiert. Enrico und Pradeep können jedoch mit Lee im HR kommunizieren.

Beispiel für Informationsbarrieren, die die Kommunikation zwischen Segmenten verhindern.

Einsatz von Informationsbarrieren

Sie können ip-Adressen in solchen Situationen verwenden:

  • Ein Team muss daran gehindert werden, Daten mit einem bestimmten anderen Team zu kommunizieren oder freizugeben.
  • Ein Team darf keine Daten mit personen außerhalb des Teams kommunizieren oder freigeben.

Der Information Barrier Policy Evaluation Service bestimmt, ob eine Kommunikation den IB-Richtlinien entspricht.

Verwalten von Segmenten für Informationsbarrieren

IB-Segmente werden im Microsoft Purview-Complianceportal oder mithilfe von PowerShell-Cmdlets verwaltet. Weitere Informationen finden Sie unter Schritt 2: Segmentieren von Benutzern in Ihrem organization.

Wichtig

Unterstützung für das Zuweisen von Benutzern zu mehreren Segmenten ist nur verfügbar, wenn sich Ihre organization nicht im Legacymodus befindet. Informationen dazu, ob sich Ihr organization im Legacymodus befindet, finden Sie unter Überprüfen des IB-Modus für Ihre organization).

Benutzer können nur einem Segment für Organisationen im Legacymodus zugewiesen werden. Organisationen im Legacymodus können in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.

Verwalten von Richtlinien für Informationsbarrieren

IB-Richtlinien werden im Microsoft Purview-Complianceportal oder mithilfe von PowerShell-Cmdlets verwaltet. Weitere Informationen finden Sie unter Schritt 3: Erstellen von IB-Richtlinien.

Wichtig

Bevor Sie Richtlinien einrichten oder definieren, müssen Sie die bereichsbezogene Verzeichnissuche in Microsoft Teams aktivieren. Warten Sie nach dem Aktivieren der bereichsbezogenen Verzeichnissuche mindestens einige Stunden, bevor Sie Richtlinien für Informationsbarrieren einrichten oder definieren. Weitere Informationen finden Sie unter Definieren von Richtlinien für Informationsbarrieren.

Administratorrolle "Informationsbarrieren"

Die Rolle IB Compliance Management ist für die Verwaltung von IB-Richtlinien verantwortlich. Weitere Informationen zu dieser Rolle finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.

Trigger für Informationsbarrieren

IB-Richtlinien werden aktiviert, wenn die folgenden Teams-Ereignisse stattfinden:

  • Mitglieder werden zu einem Team hinzugefügt: Wenn Sie einen Benutzer zu einem Team hinzufügen, muss die Richtlinie des Benutzers mit den IB-Richtlinien der anderen Teammitglieder verglichen werden. Nachdem der Benutzer erfolgreich hinzugefügt wurde, kann der Benutzer alle Funktionen im Team ohne weitere Überprüfungen ausführen. Wenn die Richtlinie des Benutzers das Hinzufügen zum Team verhindert, wird der Benutzer in der Suche nicht angezeigt.

    Screenshot: Suche nach einem neuen Mitglied, das einem Team hinzugefügt werden soll, wobei keine Übereinstimmungen gefunden werden.

  • Ein neuer Chat wird angefordert: Jedes Mal, wenn ein Benutzer einen neuen Chat mit einem oder mehreren anderen Benutzern anfordert, wird der Chat geprüft, um sicherzustellen, dass er nicht gegen die IB-Richtlinien verstößt. Wenn die Unterhaltung gegen eine IB-Richtlinie verstößt, wird die Unterhaltung nicht gestartet.

    Hier ist ein Beispiel für einen Einzelchat.

    Screenshot: Blockierte Kommunikation im 1:1-Chat

    Hier sehen Sie ein Beispiel für einen Gruppenchat.

    Screenshot: Gruppenchat

  • Ein Benutzer wird zur Teilnahme an einer Besprechung eingeladen: Wenn ein Benutzer zur Teilnahme an einer Besprechung eingeladen wird, wird die IB-Richtlinie, die für den Benutzer gilt, anhand der IB-Richtlinien bewertet, die für die anderen Teammitglieder gelten. Wenn ein Verstoß vorliegt, kann der Benutzer nicht an der Besprechung teilnehmen.

    Screenshot: Benutzer, der für besprechungssperrt ist

  • Ein Bildschirm wird zwischen zwei oder mehr Benutzern geteilt: Wenn ein Benutzer einen Bildschirm mit anderen Benutzern teilt, muss die Freigabe geprüft werden, um sicherzustellen, dass sie nicht gegen die IB-Richtlinien anderer Benutzer verstößt. Wenn ein Verstoß einer IB-Richtlinie vorliegt, ist die Bildschirmfreigabe nicht zulässig.

    Hier sehen Sie ein Beispiel für die Bildschirmfreigabe, bevor die Richtlinie angewendet wird.

    Screenshot: Benutzerchat

    Hier ist ein Beispiel für eine Bildschirmfreigabe, nachdem die Richtlinie angewendet wurde. Die Bildschirmfreigabe- und Anrufsymbole sind nicht sichtbar.

    Screenshot: Benutzerzeichen mit blockierten Einstellungen

  • Ein Benutzer tätigt einen Telefonanruf in Teams: Wenn ein Benutzer einen Sprachanruf (über VOIP) mit einem anderen Benutzer oder einer Benutzergruppe initiiert, wird der Anruf ausgewertet, um sicherzustellen, dass er nicht gegen die IB-Richtlinien anderer Teammitglieder verstößt. Wenn ein Verstoß vorliegt, wird der Sprachanruf blockiert.

  • Gäste in Teams: Die IB-Richtlinien gelten auch für Gäste in Teams. Wenn Gäste in der globalen Adressliste Ihres organization gefunden werden müssen, lesen Sie Verwalten des Gastzugriffs in Microsoft 365-Gruppen. Sobald Gäste auffindbar sind, können Sie IB-Richtlinien definieren.

Auswirkungen von Richtlinienänderungen auf vorhandene Chats

Wenn der IB-Richtlinienadministrator Änderungen an einer Richtlinie vornimmt oder eine Richtlinienänderung aufgrund einer Änderung des Profils eines Benutzers (z. B. bei einer Auftragsänderung) aktiviert wird, durchsucht der Auswertungsdienst für Richtlinien für Informationsbarrieren automatisch die Mitglieder, um sicherzustellen, dass ihre Mitgliedschaft im Team keine Richtlinien verletzt.

Wenn ein Chat oder eine andere Kommunikation zwischen Benutzern vorhanden ist und eine neue Richtlinie festgelegt oder eine vorhandene Richtlinie geändert wird, wertet der Dienst die vorhandene Kommunikation aus, um sicherzustellen, dass die Kommunikation weiterhin zulässig ist.

  • 1:1-Chat: Wenn die Kommunikation zwischen zwei Benutzern (aufgrund der Anwendung einer Richtlinie, die die Kommunikation blockiert, auf einen oder beide Benutzer) nicht mehr zulässig ist, wird die weitere Kommunikation blockiert. Ihre vorhandenen Chatunterhaltungen werden schreibgeschützt.

    Hier ist ein Beispiel, das zeigt, dass der Chat sichtbar ist.

    Screenshot: Benutzerchat ist verfügbar.

    Hier ist ein Beispiel, das zeigt, dass der Chat deaktiviert ist.

    Screenshot: Benutzerchat ist deaktiviert.

  • Gruppenchat: Wenn die Kommunikation zwischen einem Benutzer und einer Gruppe nicht mehr zulässig ist (z. B. weil ein Benutzer den Auftrag geändert hat), kann der Benutzer zusammen mit den anderen Benutzern, deren Teilnahme gegen die Richtlinie verstößt, aus dem Gruppenchat entfernt werden, und die weitere Kommunikation mit der Gruppe ist nicht zulässig. Der Benutzer kann weiterhin alte Unterhaltungen sehen, kann aber keine neuen Unterhaltungen mit der Gruppe sehen oder daran teilnehmen. Wenn die neue oder geänderte Richtlinie, die die Kommunikation verhindert, auf mehrere Benutzer angewendet wird, werden die benutzer, die von der Richtlinie betroffen sind, möglicherweise aus dem Gruppenchat entfernt. Sie können immer noch alte Unterhaltungen sehen.

    In diesem Beispiel wurde Enrico in eine andere Abteilung innerhalb des organization verschoben und aus dem Gruppenchat entfernt.

    Screenshot eines Gruppenchats, aus dem ein Benutzer entfernt wurde

    Enrico kann keine Nachrichten mehr an den Gruppenchat senden.

    Screenshot: Nicht in der Lage, Nachrichten an gruppenchats zu senden, weil der Benutzer aus der Gruppe entfernt wurde

  • Team: Alle Benutzer, die aus der Gruppe entfernt wurden, werden aus dem Team entfernt und können keine bestehenden oder neuen Unterhaltungen anzeigen oder daran teilnehmen.

Szenario: Ein Benutzer in einem vorhandenen Chat wird blockiert

Derzeit treten für Benutzer die folgenden Szenarien auf, wenn eine IB-Richtlinie einen anderen Benutzer blockiert:

  • Personen Registerkarte: Ein Benutzer kann blockierte Benutzer nicht auf der Registerkarte Personen sehen.

  • Personen Auswahl: Blockierte Benutzer sind in der Personenauswahl nicht sichtbar.

    Screenshot von Teams, in dem der Benutzer darauf hingewiesen wird, dass die Richtlinie die Anzeige der Informationen eines anderen Benutzers verhindert.

  • Registerkarte "Aktivität": Wenn ein Benutzer die Registerkarte "Aktivität " eines blockierten Benutzers besucht, werden keine Beiträge angezeigt. (Auf der Registerkarte Aktivität werden nur Kanalbeiträge angezeigt, und es gäbe keine gemeinsamen Kanäle zwischen den beiden Benutzern.)

    Hier sehen Sie ein Beispiel für die Ansicht der Aktivitätsregisterkarte, die blockiert ist.

    Screenshot: Blockierte Registerkarte

  • Organigramme: Wenn ein Benutzer auf ein Organigramm zugreift, in dem ein blockierter Benutzer angezeigt wird, wird der blockierte Benutzer nicht im Organigramm angezeigt. Stattdessen wird eine Fehlermeldung angezeigt.

  • Personen Karte: Wenn ein Benutzer an einer Unterhaltung teilnimmt und der Benutzer später blockiert wird, wird anderen Benutzern anstelle der Personen Karte eine Fehlermeldung angezeigt, wenn sie mit dem Mauszeiger auf den Namen des blockierten Benutzers zeigen. Aktionen, die auf dem Karte aufgeführt sind (z. B. Anrufe und Chat), sind nicht verfügbar.

  • Vorgeschlagene Kontakte: Blockierte Benutzer werden nicht in der Liste der vorgeschlagenen Kontakte angezeigt (die anfängliche Kontaktliste, die für neue Benutzer angezeigt wird).

  • Chatkontakte: Ein Benutzer kann blockierte Benutzer in der Chat-Kontaktliste sehen, aber die blockierten Benutzer werden identifiziert. Die einzige Aktion, die der Benutzer für die blockierten Benutzer ausführen kann, besteht darin, sie zu löschen. Der Benutzer kann sie auch auswählen, um seine vergangene Unterhaltung anzuzeigen.

  • Anrufkontakte: Ein Benutzer kann blockierte Benutzer in der Anrufkontaktliste sehen, aber die blockierten Benutzer werden identifiziert. Die einzige Aktion, die der Benutzer für die blockierten Benutzer ausführen kann, besteht darin, sie zu löschen.

    Hier sehen Sie ein Beispiel für einen blockierten Benutzer in der Anrufkontaktliste.

    Screenshot: Benutzerchat

    Hier ist ein Beispiel für die Deaktivierung des Chats für einen Benutzer in der Anrufinhaltsliste.

    Screenshot: Benutzer, der für den Chat gesperrt ist

  • Migration von Skype zu Teams: Während einer Migration von Skype for Business zu Teams werden alle Benutzer – auch die Benutzer, die durch IB-Richtlinien blockiert sind – zu Teams migriert. Diese Benutzer werden dann wie oben beschrieben behandelt.

Teams-Richtlinien und SharePoint-Websites

Wenn ein Team erstellt wird, wird eine SharePoint-Website bereitgestellt und mit Microsoft Teams für die Dateierfahrung verknüpft. Richtlinien zur Informationsbarriere werden auf dieser SharePoint-Website und in Dateien standardmäßig nicht berücksichtigt. Um Informationsbarrieren in SharePoint und OneDrive zu aktivieren, befolgen Sie die Anleitungen und Schritte im Artikel Verwenden von Informationsbarrieren mit SharePoint .

Modi für Informationsbarrieren und Teams

Informationsbarrierenmodi tragen dazu bei, zu stärken, wer einem Team hinzugefügt oder daraus entfernt werden kann. Wenn Sie Informationsbarrieren mit Teams verwenden, werden die folgenden IB-Modi unterstützt:

  • Offen: Diese Konfiguration ist der IB-Standardmodus für alle vorhandenen Gruppen, die bereitgestellt wurden, bevor Informationsbarrieren aktiviert wurden. In diesem Modus gelten keine IB-Richtlinien.
  • Implizit: Diese Konfiguration ist der IB-Standardmodus, wenn ein Team bereitgestellt wird, nachdem Informationsbarrieren aktiviert wurden. Im impliziten Modus können Sie alle kompatiblen Benutzer in der Gruppe hinzufügen.
  • Vom Besitzer moderiert: Dieser Modus wird für ein Team festgelegt, wenn Sie die Zusammenarbeit zwischen inkompatiblen Segmentbenutzern zulassen möchten, die vom Besitzer moderiert werden. Der Teambesitzer kann neue Mitglieder gemäß seiner IB-Richtlinie hinzufügen.

Teams, die vor dem Aktivieren einer Richtlinie für Informationsbarrieren in Ihrem Mandanten erstellt wurden, sind standardmäßig automatisch auf den Modus "Öffnen " festgelegt. Nachdem Sie IB-Richtlinien für Ihren Mandanten aktiviert haben, müssen Sie den Modus Ihrer vorhandenen Teams auf Implizit aktualisieren, um sicherzustellen, dass vorhandene Teams IB-konform sind. Weitere Informationen zum Aktualisieren von Modi finden Sie unter Ändern von Informationsbarrieremodi mit einem PowerShell-Skript.

Verwenden Sie das Cmdlet Set-UnifiedGroup mit dem Parameter InformationBarrierMode , der dem Modus entspricht, den Sie für Ihre Segmente verwenden möchten. Zulässige Werteliste für den InformationBarrierMode-Parameter sind Open, Implicit und Owner Moderated.

Um beispielsweise den impliziten Modus für eine Microsoft 365-Gruppe zu konfigurieren, verwenden Sie den folgenden PowerShell-Befehl:

Set-UnifiedGroup -InformationBarrierMode Implicit

Verwenden Sie dieses PowerShell-Skript, um den Modus für alle vorhandenen Teams von Öffnen auf Implizit zu aktualisieren.

Wenn Sie die Konfiguration im Offenen Modus für vorhandene mit Teams verbundene Gruppen ändern, um die Complianceanforderungen für Ihre organization zu erfüllen, müssen Sie [die IB-Modi]/microsoft-365/compliance/information-barriers-sharepoint#view-and-manage-ib-modes-as-an-administrator-with-sharepoint-powershell) für zugeordnete SharePoint-Websites aktualisieren, die mit dem Teams-Team verbunden sind.

IB-Richtlinienanwendung in Teams

Die IB-Richtlinienanwendung ist ein IB-Hintergrundprozessor für Teams, der eine Benachrichtigung erhält, wenn Änderungen an Benutzern (Richtlinien- oder Segmentänderungen) oder Gruppen (Modusänderungen) vorgenommen werden. In den folgenden Schritten wird der Verarbeitungsablauf beschrieben:

  • Die Richtlinienanwendung empfängt eine Gruppenänderungsbenachrichtigung, wenn der Modus aktualisiert wird, und ruft den Nachrichtenthread und die Gruppen-IDs ab, die für das Update gelten.
  • Wenn der Nachrichtenthread vorhanden ist, wird die Verarbeitung geplant, und alle Mitglieder werden aus dem Team und der zugrunde liegenden Gruppe abgerufen und zur IB-Auswertung an nachgeschaltete Teams-Komponenten gesendet.
  • Der Modus für die Gruppe und die IB-Richtlinien pro Benutzer werden ausgewertet, und die Ergebnisse werden an die Richtlinienanwendung gesendet.
  • Die Richtlinienanwendung entfernt die nicht konformen Benutzer aus der Gruppe und dem Team.

Erforderliche Lizenzen und Berechtigungen

Weitere Informationen zu Lizenzen und Berechtigungen, Plänen und Preisen finden Sie unter Abonnementanforderungen für Informationsbarrieren.

Hinweise zur Verwendung

  • Benutzer können nicht an Ad-hoc-Besprechungen teilnehmen: Wenn IB-Richtlinien aktiviert sind, dürfen Benutzer nicht an Besprechungen teilnehmen, wenn die Größe der Besprechungsliste größer ist als die Anwesenheitsbeschränkungen für Besprechungen. Die Grundursache ist, dass IB-Überprüfungen davon abhängen, ob Benutzer zu einer Besprechungschatliste hinzugefügt werden können, und nur wenn sie der Liste hinzugefügt werden können, dürfen sie an der Besprechung teilnehmen. Ein Benutzer, der an einer Besprechung teilnimmt, fügt diesen Benutzer der Liste hinzu. Daher kann die Liste für wiederkehrende Besprechungen schnell gefüllt werden. Sobald die Chatliste die Anwesenheitsbeschränkungen für Besprechungen erreicht hat, können der Besprechung keine weiteren Benutzer hinzugefügt werden. Wenn IB für die organization aktiviert ist und die Chatliste für eine Besprechung voll ist, dürfen neue Benutzer (die nicht bereits in der Liste enthalten sind) nicht an der Besprechung teilnehmen. Wenn IB jedoch nicht für die organization aktiviert ist und die Besprechungschatliste voll ist, können neue Benutzer (benutzer, die nicht bereits in der Liste enthalten sind) an der Besprechung teilnehmen, obwohl die Chatoption in der Besprechung nicht angezeigt wird. Eine kurzfristige Lösung besteht darin, inaktive Mitglieder aus der Liste des Besprechungschats zu entfernen, um Platz für neue Benutzer zu schaffen. Wir werden jedoch die Anzahl der Besprechungschatlisten zu einem späteren Zeitpunkt erhöhen.
  • Benutzer können nicht an Kanalbesprechungen teilnehmen: Wenn IB-Richtlinien aktiviert sind, dürfen Benutzer nicht an Kanalbesprechungen teilnehmen, wenn sie kein Mitglied des Teams sind. Die Grundursache ist, dass IB-Überprüfungen davon abhängen, ob Benutzer zu einer Besprechungschatliste hinzugefügt werden können, und nur wenn sie der Liste hinzugefügt werden können, dürfen sie an der Besprechung teilnehmen. Der Chatthread in einer Kanalbesprechung ist nur für Team-/Kanalmitglieder verfügbar, und Nichtmitglieder können den Chatthread nicht sehen oder darauf zugreifen. Wenn IB für die organization aktiviert ist und ein Nicht-Teammitglied versucht, an einer Kanalbesprechung teilzunehmen, darf dieser Benutzer nicht an der Besprechung teilnehmen. Wenn IB jedoch nicht für die organization aktiviert ist und ein Nicht-Teammitglied versucht, an einer Kanalbesprechung teilzunehmen, kann der Benutzer an der Besprechung teilnehmen– die Chatoption wird jedoch in der Besprechung nicht angezeigt.
  • IB-Richtlinien funktionieren nicht für Verbundbenutzer: Wenn Sie den Verbund mit externen Organisationen zulassen, werden die Benutzer dieser Organisationen nicht durch IB-Richtlinien eingeschränkt. Wenn Benutzer Ihrer organization an einem Chat oder einer Besprechung teilnehmen, die von externen Verbundbenutzern organisiert wird, schränken IB-Richtlinien auch die Kommunikation zwischen Benutzern Ihrer organization nicht ein.

Weitere Informationen

Verfügbarkeit

Informationsbarrieren in Teams sind in unseren öffentlichen, GCC-, GCC - High- und DOD-Clouds verfügbar.