Verwalten von Richtlinien für Informationsbarrieren

  • Artikel

Nachdem Sie Richtlinien für Informationsbarrieren (Information Barrier, IB) definiert haben, müssen Sie möglicherweise änderungen an diesen Richtlinien oder an Ihren Benutzersegmenten vornehmen, als Teil der Problembehandlung oder als regelmäßige Wartung.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Was möchten Sie machen?

Aktion Beschreibung
Bearbeiten von Benutzerkontoattributen Geben Sie Attribute in Microsoft Entra ID ein, die zum Definieren von Segmenten verwendet werden kann.
Bearbeiten Sie Benutzerkontoattribute, wenn Benutzer nicht in Segmente enthalten sein sollten, um zu ändern, in welchen Segmenten sich Benutzer befinden, oder um Segmente mit unterschiedlichen Attributen zu definieren.
Bearbeiten eines Segments Bearbeiten Sie Segmente, wenn Sie ändern möchten, wie ein Segment definiert ist.
Beispielsweise haben Sie segmente ursprünglich mithilfe von Department definiert und möchten nun ein anderes Attribut verwenden, z. B. MemberOf.
Bearbeiten einer Richtlinie Bearbeiten Sie eine Richtlinie für Informationsbarrieren, wenn Sie die Funktionsweise einer Richtlinie ändern möchten.
Anstatt beispielsweise die Kommunikation zwischen zwei Segmenten zu blockieren, können Sie die Kommunikation nur zwischen bestimmten Segmenten zulassen.
Festlegen einer Richtlinie auf inaktive status Legen Sie eine Richtlinie auf inaktiv fest, status, wenn Sie Änderungen an einer Richtlinie vornehmen möchten oder wenn sie nicht möchten, dass eine Richtlinie wirksam ist.
Entfernen einer Richtlinie Entfernen Sie eine Richtlinie für Informationsbarrieren, wenn Sie eine bestimmte Richtlinie nicht mehr benötigen.
Entfernen eines Segments Entfernen Sie ein Segment mit Informationsbarrieren, wenn Sie ein bestimmtes Segment nicht mehr benötigen.
Entfernen einer Richtlinie und eines Segments Entfernen Sie gleichzeitig eine Richtlinie für Informationsbarrieren und ein Segment.
Beenden einer Richtlinienanwendung Führen Sie diese Aktion aus, wenn Sie den Prozess der Anwendung von Richtlinien für Informationsbarrieren beenden möchten.
Das Beenden einer Richtlinienanwendung erfolgt nicht sofort, und es werden keine Richtlinien rückgängig, die bereits auf Benutzer angewendet wurden.
Aktivieren oder Deaktivieren der Auffindbarkeit durch Benutzer Aktivieren oder deaktivieren Sie, wenn Benutzer in der Personenauswahl angezeigt werden.
Definieren von Richtlinien für Informationsbarrieren. Definieren Sie eine Richtlinie für Informationsbarrieren, wenn Sie noch nicht über solche Richtlinien verfügen, und Sie müssen die Kommunikation zwischen bestimmten Benutzergruppen einschränken oder einschränken.
Problembehandlung bei Informationsbarrieren Lesen Sie diesen Artikel, wenn unerwartete Probleme mit Informationsbarrieren auftreten.

Wichtig

Zum Ausführen der in diesem Artikel beschriebenen Aufgaben muss Ihnen eine entsprechende Rolle zugewiesen werden, z. B. eine der folgenden:
– Microsoft 365 Enterprise globaler Administrator
– Globaler Administrator
– Complianceadministrator
- IB Compliance Management (dies ist eine neue Rolle!)

Weitere Informationen zu den Voraussetzungen für Informationsbarrieren finden Sie unter Voraussetzungen (für Richtlinien für Informationsbarrieren).

Stellen Sie sicher, dass Sie eine Verbindung mit der Security & Compliance-PowerShell herstellen.

Bearbeiten von Benutzerkontoattributen

Verwenden Sie dieses Verfahren, um Attribute zu bearbeiten, die zum Segmentieren von Benutzern verwendet werden. Wenn Sie beispielsweise ein Department-Attribut verwenden und mindestens ein Benutzerkonto derzeit keine Werte für Abteilung enthält, müssen Sie diese Benutzerkonten bearbeiten, um Abteilungsinformationen einzuschließen. Benutzerkontoattribute werden zum Definieren von Segmenten verwendet, sodass Richtlinien für Informationsbarrieren zugewiesen werden können.

  1. Um Details für ein bestimmtes Benutzerkonto anzuzeigen, z. B. Attributwerte und zugewiesene Segmente, verwenden Sie das Cmdlet Get-InformationBarrierRecipientStatus mit Identity-Parametern.

    Syntax Beispiel
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
    Sie können einen beliebigen Wert verwenden, der jeden Benutzer eindeutig identifiziert, z. B. Name, Alias, Distinguished Name, kanonischer Domänenname, E-Mail-Adresse oder GUID.
    (Sie können dieses Cmdlet auch für einen einzelnen Benutzer verwenden: Get-InformationBarrierRecipientStatus -Identity <value>)    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
    In diesem Beispiel beziehen wir uns auf zwei Benutzerkonten in Office 365: meganb für Megan und alexw für Alex.

  2. Bestimmen Sie, welches Attribut Sie für Ihre Benutzerkontoprofile bearbeiten möchten. Weitere Informationen finden Sie unter Attribute für Richtlinien für Informationsbarrieren.

  3. Bearbeiten Sie mindestens ein Benutzerkonto, um Werte für das Attribut einzuschließen, das Sie im vorherigen Schritt ausgewählt haben. Führen Sie zum Ausführen dieser Aktion eines der folgenden Verfahren aus:

Bearbeiten eines Segments

Verwenden Sie dieses Verfahren, um die Definition eines Benutzersegments zu bearbeiten. Sie können beispielsweise den Namen eines Segments oder den Filter ändern, der verwendet wird, um zu bestimmen, wer im Segment enthalten ist.

  1. Verwenden Sie das Cmdlet Get-OrganizationSegment , um alle vorhandenen Segmente anzuzeigen.

    Syntax: Get-OrganizationSegment

    Es wird eine Liste der Segmente und Details für jedes Angezeigt, z. B. segment type, dessen UserGroupFilter-Wert, wer ihn zuletzt erstellt oder geändert hat, GUID usw.

    Tipp

    Drucken oder speichern Sie die Liste der Segmente zur späteren Referenz. Wenn Sie z. B. ein Segment bearbeiten möchten, müssen Sie dessen Namen kennen oder den Wert identifizieren (dies wird mit dem Identity-Parameter verwendet).

  2. Verwenden Sie zum Bearbeiten eines Segments das Cmdlet Set-OrganizationSegment mit dem Parameter Identity und relevanten Details.

    Syntax Beispiel
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"
    In diesem Beispiel haben wir den Abteilungsnamen für das Segment mit der GUID c96e0837-c232-4a8a-841e-ef45787d8fcd auf HRDept aktualisiert.

  3. Wenn Sie die Bearbeitung von Segmenten für Ihre organization abgeschlossen haben, können Sie Richtlinien für Informationsbarrieren definieren oder bearbeiten.

Bearbeiten einer Richtlinie

  1. Verwenden Sie das Cmdlet Get-InformationBarrierPolicy , um eine Liste der aktuellen Richtlinien für Informationsbarrieren anzuzeigen.

    Syntax: Get-InformationBarrierPolicy

    Identifizieren Sie in der Ergebnisliste die Richtlinie, die Sie ändern möchten. Notieren Sie sich die GUID und den Namen der Richtlinie.

  2. Verwenden Sie das Cmdlet Set-InformationBarrierPolicy mit einem Identity-Parameter , und geben Sie die änderungen an, die Sie vornehmen möchten.

    Beispiel: Angenommen, eine Richtlinie wurde definiert, um zu verhindern, dass das Segment Research mit den Segmenten Vertrieb und Marketing kommuniziert. Die Richtlinie wurde mithilfe dieses Cmdlets definiert: New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"

    Angenommen, wir möchten sie so ändern, dass Benutzer im Segment Forschung nur mit Benutzern im Personalbereich kommunizieren können. Um diese Änderung vorzunehmen, verwenden wir dieses Cmdlet: Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"

    In diesem Beispiel wurde SegmentBlocked in SegmentAllowed geändert und das Personalsegment angegeben.

  3. Wenn Sie die Bearbeitung einer Richtlinie abgeschlossen haben, stellen Sie sicher, dass Sie Ihre Änderungen anwenden. (Weitere Informationen finden Sie unter Anwenden von Richtlinien für Informationsbarrieren.)

Festlegen einer Richtlinie auf inaktive status

  1. Verwenden Sie das Cmdlet Get-InformationBarrierPolicy , um eine Liste der aktuellen Richtlinien für Informationsbarrieren anzuzeigen.

    Syntax: Get-InformationBarrierPolicy

    Geben Sie in der Ergebnisliste die Richtlinie an, die Sie ändern (oder entfernen möchten). Notieren Sie sich die GUID und den Namen der Richtlinie.

  2. Um die status der Richtlinie auf inaktiv festzulegen, verwenden Sie das Cmdlet Set-InformationBarrierPolicy mit einem Identity-Parameter und dem State-Parameter, der auf Inactive festgelegt ist.

    Syntax Beispiel
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    In diesem Beispiel wird die Richtlinie für Informationsbarrieren mit der GUID 43c37853-ea10-4b90-a23d-ab8c9377247 auf eine inaktive status festgelegt.

  3. Verwenden Sie zum Anwenden Ihrer Änderungen das Cmdlet Start-InformationBarrierPoliciesApplication .

    Syntax: Start-InformationBarrierPoliciesApplication

    Änderungen werden benutzerseitig für Ihre organization angewendet. Wenn Ihr organization groß ist, kann es 24 Stunden (oder mehr) dauern, bis dieser Prozess abgeschlossen ist. Als allgemeine Richtlinie dauert es etwa eine Stunde, 5.000 Benutzerkonten zu verarbeiten.

  4. An diesem Punkt ist mindestens eine Richtlinie für Informationsbarrieren auf inaktive status festgelegt. Von hier aus können Sie eine der folgenden Aktionen ausführen:

Entfernen einer Richtlinie

  1. Verwenden Sie das Cmdlet Get-InformationBarrierPolicy , um eine Liste der aktuellen Richtlinien für Informationsbarrieren anzuzeigen.

    Syntax: Get-InformationBarrierPolicy

    Geben Sie in der Ergebnisliste die Richtlinie an, die Sie entfernen möchten. Notieren Sie sich die GUID und den Namen der Richtlinie.

  2. Stellen Sie sicher, dass die Richtlinie auf inaktive status festgelegt ist. Um die status der Richtlinie auf inaktiv festzulegen, verwenden Sie das Cmdlet Set-InformationBarrierPolicy mit einem Identity-Parameter und dem State-Parameter, der auf Inactive festgelegt ist.

    Syntax Beispiel
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    In diesem Beispiel legen wir eine Richtlinie für Informationsbarrieren mit GUID 43c37853-ea10-4b90-a23d-ab8c9377247 auf eine inaktive status fest.

  3. Verwenden Sie das Cmdlet Start-InformationBarrierPoliciesApplication , um Ihre Änderungen auf die Richtlinie anzuwenden.

    Syntax: Start-InformationBarrierPoliciesApplication

    Änderungen werden benutzerseitig für Ihre organization angewendet. Wenn Ihr organization groß ist, kann es 24 Stunden (oder mehr) dauern, bis dieser Prozess abgeschlossen ist. Als allgemeine Richtlinie dauert es etwa eine Stunde, 5.000 Benutzerkonten zu verarbeiten.

  4. Verwenden Sie das Cmdlet Remove-InformationBarrierPolicy mit einem Identity-Parameter.

    Syntax Beispiel
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    In diesem Beispiel entfernen wir die Richtlinie mit der GUID 43c37853-ea10-4b90-a23d-ab8c93772471.

    Wenn Sie dazu aufgefordert werden, bestätigen Sie die Änderung.

Entfernen eines Segments

  1. Verwenden Sie das Cmdlet Get-OrganizationSegment , um alle vorhandenen Segmente anzuzeigen.

    Syntax: Get-OrganizationSegment

    Es wird eine Liste der Segmente und Details für jedes Angezeigt, z. B. segment type, dessen UserGroupFilter-Wert, wer ihn zuletzt erstellt oder geändert hat, GUID usw.

    Tipp

    Drucken oder speichern Sie die Liste der Segmente zur späteren Referenz. Wenn Sie z. B. ein Segment bearbeiten möchten, müssen Sie dessen Namen kennen oder den Wert identifizieren (dies wird mit dem Identity-Parameter verwendet).

  2. Identifizieren Sie das zu entfernende Segment, und stellen Sie sicher, dass die dem Segment zugeordnete IB-Richtlinie entfernt wurde. Weitere Informationen finden Sie unter Entfernen einer Richtlinie .

  3. Bearbeiten Sie das Segment, das entfernt wird, um die Beziehung von Benutzern zu diesem Segment zu entfernen. Durch diese Aktion wird die Segmentdefinition aktualisiert und alle Benutzer aus dem Segment entfernt. Sie verwenden den Parameter UserGroupFilter, um die Zuordnung von Benutzern zum Segment vor dem Entfernen zu trennen.

    Verwenden Sie zum Bearbeiten eines Segments das Cmdlet Set-OrganizationSegment mit dem Parameter Identity und relevanten Details.

    Syntax Beispiel
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    In diesem Beispiel haben wir für das Segment mit der GUID c96e0837-c232-4a8a-841e-ef45787d8fcd den Abteilungsnamen als FakeDept definiert, um Benutzer aus dem Segment zu entfernen. In diesem Beispiel wird das Department-Attribut verwendet, Sie können jedoch je nach Bedarf andere Attribute verwenden. Im Beispiel wird FakeDept verwendet, da diese nicht vorhanden ist und sicher keine Benutzer enthält.

  4. Verwenden Sie zum Anwenden Ihrer Änderungen das Cmdlet Start-InformationBarrierPoliciesApplication .

    Syntax: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Hinweis

    Das CleanupGroupSegmentLink-Attribut entfernt Gruppenzuordnungen mit dem Segment ohne Benutzerzuordnungen.

    Änderungen werden benutzerseitig für Ihre organization angewendet. Wenn Ihr organization groß ist, kann es 24 Stunden (oder mehr) dauern, bis dieser Prozess abgeschlossen ist. Als allgemeine Richtlinie dauert es etwa eine Stunde, 5.000 Benutzerkonten zu verarbeiten.

  5. Verwenden Sie zum Entfernen eines Segments das Cmdlet Remove-OrganizationSegment mit dem Parameter Identity und relevanten Details.

    Syntax Beispiel
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    In diesem Beispiel wurde das Segment mit der GUID c96e0837-c232-4a8a-841e-ef45787d8fcd entfernt.

Entfernen einer Richtlinie und eines Segments

  1. Verwenden Sie das Cmdlet Get-InformationBarrierPolicy , um eine Liste der aktuellen Richtlinien für Informationsbarrieren anzuzeigen.

    Syntax: Get-InformationBarrierPolicy

    Geben Sie in der Ergebnisliste die Richtlinie an, die Sie entfernen möchten. Notieren Sie sich die GUID und den Namen der Richtlinie.

  2. Verwenden Sie das Cmdlet Get-OrganizationSegment , um alle vorhandenen Segmente anzuzeigen.

    Syntax: Get-OrganizationSegment

    Es wird eine Liste der Segmente und Details für jedes Element angezeigt, z. B. Segmenttyp, userGroupFilter-Parameterwert , wer ihn zuletzt erstellt oder geändert hat, GUID usw.

    Tipp

    Drucken oder speichern Sie die Liste der Segmente zur späteren Referenz. Wenn Sie z. B. ein Segment bearbeiten möchten, müssen Sie dessen Namen kennen oder den Wert identifizieren (dies wird mit dem Identity-Parameter verwendet).

  3. Um die status der Zu entfernenden Richtlinie auf inaktiv festzulegen, verwenden Sie das Cmdlet Set-InformationBarrierPolicy mit einem Identity-Parameter und dem State-Parameter, der auf Inactive festgelegt ist.

    Syntax Beispiel
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Inactive
    In diesem Beispiel legen wir eine Richtlinie für Informationsbarrieren mit der GUID 43c37853-ea10-4b90-a23d-ab8c93772471 auf eine inaktive status fest.

  4. Bearbeiten Sie das Segment, das entfernt wird, um die Beziehung von Benutzern zu diesem Segment zu entfernen. Durch diese Aktion wird die Segmentdefinition aktualisiert und alle Benutzer aus dem Segment entfernt. Sie verwenden den Parameter UserGroupFilter , um die Zuordnung von Benutzern zum Segment vor dem Entfernen zu trennen.

    Verwenden Sie zum Bearbeiten eines Segments das Cmdlet Set-OrganizationSegment mit dem Parameter Identity und relevanten Details.

    Syntax Beispiel
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    In diesem Beispiel haben wir für das Segment mit der GUID c96e0837-c232-4a8a-841e-ef45787d8fcd den Abteilungsnamen auf FakeDept aktualisiert, um Benutzer aus dem Segment zu entfernen. In diesem Beispiel wird das Department-Attribut verwendet, Sie können jedoch je nach Bedarf andere Attribute verwenden. Im Beispiel wird FakeDept verwendet, da diese nicht vorhanden ist und sicher keine Benutzer enthält.

  5. Verwenden Sie zum Anwenden Ihrer Änderungen das Cmdlet Start-InformationBarrierPoliciesApplication .

    Syntax: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Hinweis

    Das CleanupGroupSegmentLink-Attribut entfernt Gruppenzuordnungen mit dem Segment ohne Benutzerzuordnungen.

    Änderungen werden benutzerseitig für Ihre organization angewendet. Wenn Ihr organization groß ist, kann es 24 Stunden (oder mehr) dauern, bis dieser Prozess abgeschlossen ist. Als allgemeine Richtlinie dauert es etwa eine Stunde, 5.000 Benutzerkonten zu verarbeiten.

  6. Verwenden Sie das Cmdlet Remove-InformationBarrierPolicy mit einem Identity-Parameter .

    Syntax Beispiel
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    In diesem Beispiel wird die Richtlinie mit der GUID 43c37853-ea10-4b90-a23d-ab8c93772471 entfernt.

    Wenn Sie dazu aufgefordert werden, bestätigen Sie die Änderung.

  7. Verwenden Sie zum Entfernen eines Segments das Cmdlet Remove-OrganizationSegment mit dem Parameter Identity und relevanten Details.

    Syntax Beispiel
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    In diesem Beispiel wurde das Segment mit der GUID c96e0837-c232-4a8a-841e-ef45787d8fcd entfernt.

Beenden einer Richtlinienanwendung

Nachdem Sie mit der Anwendung von Richtlinien für Informationsbarrieren begonnen haben, verwenden Sie das folgende Verfahren, wenn Sie verhindern möchten, dass diese Richtlinien angewendet werden. Es dauert ungefähr 30 bis 35 Minuten, bis der Prozess beginnt.

  1. Verwenden Sie das Cmdlet Get-InformationBarrierPoliciesApplicationStatus, um die status der neuesten Richtlinienanwendung für Informationsbarrieren anzuzeigen.

    Syntax: Get-InformationBarrierPoliciesApplicationStatus

    Beachten Sie die GUID der Anwendung.

  2. Verwenden Sie das Cmdlet Stop-InformationBarrierPoliciesApplication mit einem Identity-Parameter.

    Syntax Beispiel
    Stop-InformationBarrierPoliciesApplication -Identity GUID Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1

    In diesem Beispiel verhindern wir die Anwendung von Richtlinien für Informationsbarrieren.

Aktivieren oder Deaktivieren der Auffindbarkeit durch Benutzer

Wichtig

Unterstützung für das Aktivieren oder Deaktivieren von Sucheinschränkungen ist nur verfügbar, wenn sich Ihre organization nicht im Legacymodus befindet. Organisationen im Legacymodus können Sucheinschränkungen nicht aktivieren oder deaktivieren. Zum Aktivieren oder Deaktivieren von Sucheinschränkungen sind zusätzliche Aktionen erforderlich, um den Informationsbarrieremodus für Ihre organization zu ändern. Weitere Informationen finden Sie unter Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren).

Organisationen im Legacymodus können in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.

Führen Sie die folgenden Schritte aus, um die Einschränkung der Personenauswahlsuche mithilfe von PowerShell zu aktivieren:

  1. Verwenden Sie das Cmdlet Set-PolicyConfig , um die Personenauswahleinschränkung zu aktivieren:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Enabled'

Führen Sie die folgenden Schritte aus, um die Einschränkung der Personenauswahlsuche mithilfe von PowerShell zu deaktivieren:

  1. Verwenden Sie das Cmdlet Set-PolicyConfig , um die Personenauswahleinschränkung zu deaktivieren:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'

Ressourcen