Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Die Unterstützung für 5.000 Segmente und die Zuweisung von Benutzern zu mehreren Segmenten ist nur verfügbar, wenn sich Ihre Organisation nicht im Legacymodus befindet. Die Zuweisung von Benutzenden zu mehreren Segmenten erfordert zusätzliche Schritte, um den Modus für Informationsbarrieren in Ihrer Organisation zu ändern. Weitere Informationen finden Sie unter Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren.
Für Organisationen im Legacy-Modus werden maximal 250 Segmente unterstützt, und Benutzer können nur einem Segment zugewiesen werden. Organisationen im Legacy-Modus sind berechtigt, in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchzuführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.
Mithilfe des Modus mit mehreren Segmenten können Sie Benutzer in Ihrem organization bis zu 10 Segmenten in Informationsbarrieren zuweisen, anstatt auf nur ein Segment beschränkt zu sein. Diese Unterstützung für vielfältigere Kommunikationsregeln zwischen Einzelpersonen und Gruppen unterstützt komplexere Organisations- und Betriebsszenarien. Für Organisationen, die Unterstützung für mehrere Segmente verwenden, definieren Sie alle Richtlinien für Informationsbarrieren mit einer Zulassungsliste.
Wenn Sie die Unterstützung für mehrere Segmente konfigurieren, hängt die Benutzerkompatibilität von der Zuweisung jedes Benutzers zu einem freigegebenen Segment ab. Wenn Benutzer die Zuweisung für dasselbe Segment freigeben, sind sie kompatibel. Die folgende Tabelle zeigt beispielsweise, dass Benutzer A und Benutzer B nicht kompatibel sind, da sie kein zugewiesenes Segment gemeinsam nutzen. Benutzer A ist jedoch mit Benutzer C kompatibel, und Benutzer B ist mit Benutzer C kompatibel, da ihnen jeweils ein gemeinsames Segment zugewiesen ist.
| Benutzer | Zugewiesene Segmente |
|---|---|
| Benutzer A | Segment 1, Segment 2 |
| Benutzer B | Segment 3, Segment 4 |
| Benutzer C | Segment 2, Segment 4 |
Beispiel für mehrere Segmente: Schulen, Segmente und Richtlinien des Schulbezirks "North"
Der North School District hat zwei Schulen, School 1 und School 2. Die Bezirkspolitik besteht darin, Schülern und Lehrern die Kommunikation nur dann zu ermöglichen, wenn sie beide in derselben Schule sind. Beispielsweise können ein Schüler und ein Lehrer, die beide in Der Schule 1 sind, kommunizieren, aber ein Schüler in Schule 1 kann nicht mit einem Lehrer in Schule 2 kommunizieren. Konfigurieren Sie für dieses Szenario mehrere Segmente, um die folgenden Bezirksrichtlinienszenarien zu unterstützen:
Schulen und Plan des Nord-Schulbezirks
Der North School District hat zwei Schulen:
| Segment | Zulässige Kommunikation | Verhinderte Kommunikation |
|---|---|---|
| Schule 1 | Schüler und Lehrer in Schule 1 | Schüler und Lehrer in Schule 2 |
| Schule 2 | Schüler und Lehrer in Schule 2 | Schüler und Lehrer in Schule 1 |
Für diese Struktur umfasst der Plan des North School District drei IB-Richtlinien:
- Eine IB-Richtlinie, die Es Schülern und Lehrern in Der Schule 1 ermöglicht, miteinander zu kommunizieren.
- Eine IB-Richtlinie, die Es Schülern und Lehrern in School 2 ermöglicht, miteinander zu kommunizieren.
- Eine IB-Richtlinie, die es Lehrern in Schule 1 und Schule 2 ermöglicht, miteinander zu kommunizieren.
Die definierten Segmente des Schulbezirks Nord
Der Schulbezirk Nord verwendet das Department-Attribut in Microsoft Entra ID, um Segmente wie folgt zu definieren:
School1-Segment:
New-OrganizationSegment -Name "School1" -UserGroupFilter "Department -eq 'School1'"
School2-Segment:
New-OrganizationSegment -Name "School2" -UserGroupFilter "Department -eq 'School2'"
AllTeachers-Segment:
New-OrganizationSegment -Name "AllTeachers" -UserGroupFilter "MemberOfGroup -eq 'AllTeachersgroup@northschoolsdistrict.com'"
Nach der Definition der Segmente definiert der Schulbezirk Nord die IB-Richtlinien.
Ib-Richtlinien des Nord-Schulbezirks
Der Schulbezirk Nord definiert drei IB-Richtlinien:
Richtlinie 1: Schüler und Lehrer der Schule 1 können miteinander kommunizieren.
New-InformationBarrierPolicy -Name School1Policy -SegmentsAllowed 'School1' -AssignedSegment 'School1' -State Active
Wenn Sie diese Richtlinie aktivieren und anwenden, können Schüler und Lehrer in Schule 1 miteinander kommunizieren. Diese Richtlinie ist eine unidirektionale Politik; Es verhindert nicht, dass Schüler und Lehrer in Schule 1 mit School 2 kommunizieren. Für diesen Fall ist Richtlinie 2 erforderlich.
Richtlinie 2: Schüler und Lehrer der Schule 2 können miteinander kommunizieren.
New-InformationBarrierPolicy -Name School2Policy -SegmentsAllowed 'School2' -AssignedSegment 'School2' -State Active
Wenn Sie diese Richtlinie aktivieren und anwenden, können Schüler und Lehrer in Schule 2 miteinander kommunizieren.
Richtlinie 3: Lehrer an verschiedenen Schulen können miteinander kommunizieren.
New-InformationBarrierPolicy -Name AllTeachersPolicy -SegmentsAllowed 'AllTeachers' -AssignedSegment 'AllTeachers' -State Active
Wenn Sie diese Richtlinie aktivieren und anwenden, können Lehrer in School 1 und School 2 miteinander kommunizieren.
Nach dem Definieren von Segmenten und Richtlinien führt der Schulbezirk Nord das Cmdlet Start-InformationBarrierPoliciesApplication aus, um die Richtlinien anzuwenden. Nach Abschluss des Cmdlets implementiert der Schulbezirk Nord seine Kommunikationsrichtlinie für Schüler und Lehrer.
Überprüfen Sie den IB-Modus für Ihre organization
Um das Zuweisen von Benutzern zu mehreren Segmenten zu unterstützen, überprüfen Sie, ob Ihr IB-organization mehrere Segmente unterstützt. Führen Sie das folgende Cmdlet aus, um ihren IB-Modus in der Security & Compliance PowerShell zu überprüfen:
Get-PolicyConfig
Wenn der Wert der InformationBarrierMode Eigenschaft SingleSegment ist, aktivieren Sie die Unterstützung für mehrere Segmente, indem Sie die Anleitung im Abschnitt Aktivieren der Unterstützung mehrerer Segmente für Benutzer in diesem Artikel befolgen. Wenn der Wert der InformationBarrierMode Eigenschaft MultiSegment ist, können Sie die Aktivierung der Unterstützung für mehrere Segmente überspringen, da sie bereits für Ihre organization aktiviert ist.
Wenn der Wert der InformationBarrierMode Eigenschaft Legacy ist, wird die Aktivierung mehrerer Segmente für Ihre organization nicht unterstützt.
Ältere Organisationen können in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.
Aktivieren der Unterstützung mehrerer Segmente für Benutzer
Um die Unterstützung mehrerer Segmente für Organisationen im Einzelsegmentmodus zu aktivieren, stellen Sie sicher, dass derzeit keine IB-Segmente oder Richtlinien für Ihre organization definiert sind. Führen Sie das folgende Cmdlet aus, um die Unterstützung mehrerer Segmente in Ihrem organization zu aktivieren:
Set-PolicyConfig -InformationBarrierMode 'MultiSegment'
Wichtig
Wenn Sie mehrere Segmente aktivieren und IB in Ihrem organization konfigurieren, rückgängig machen Nicht zur Unterstützung einzelner Segmente.
Unterstützung mehrerer Segmente für Benutzer in OneDrive
Wenn Sie OneDrive for Information Barriers so konfigurieren, dass mehrere Segmente unterstützt werden, gilt folgendes Verhalten:
- Das OneDrive eines Benutzers mit mehreren Segmenten wird automatisch auf den Modus "Besitzermoderiert" festgelegt.
- Im expliziten oder gemischten Modus kann ein Benutzer mit mehreren Segmenten auf oneDrive zugreifen, wenn er zu mindestens einem seiner Segmente gehört und über die Berechtigung zum Websitezugriff verfügt. Alle anderen Modi verwenden die gleiche Zugriffserfahrung wie die Einzelsegmentunterstützung.
- Das Freigabeverhalten folgt dem ib-Modus, der für OneDrive festgelegt wurde. Im expliziten Modus können Benutzer die Freigabe für andere Personen mit demselben Segment verwenden. Im Modus "Offen" oder "Besitzermoderiert" können Benutzer die Freigabe für kompatible Benutzer pro IB-Richtlinien ausführen.
Weitere Informationen finden Sie unter Verwenden von Informationsbarrieren mit OneDrive.
Unterstützung mehrerer Segmente für Benutzer in SharePoint Online
Wenn Sie SharePoint für Informationsbarrieren so konfigurieren, dass mehrere Segmente unterstützt werden, gilt folgendes Verhalten:
- Ein Benutzer mit mehreren Segmenten, der eine SharePoint-Website (entweder eine mit Microsoft 365-Gruppe verbundene Website oder eine Nicht-Gruppenwebsite) erstellt, verwendet automatisch den Modus "Besitzermoderiert ".
- Im expliziten Modus erhalten Benutzer Zugriff, wenn sie über mindestens ein Segment verfügen, das dem Segment der Website entspricht, und sie über die Berechtigung zum Zugriff auf die Website verfügen. Alle anderen Modi verwenden die gleiche Zugriffserfahrung wie die Einzelsegmentunterstützung.
- Das Freigabeverhalten folgt dem IB-Modus der Website. Im expliziten Modus können Benutzer freigaben für andere Personen freigeben, die dem Segment der Website entsprechen. Im impliziten oder vom Besitzer moderierten Modus können Benutzer die Freigabe für vorhandene Mitglieder der verbundenen Microsoft 365-Gruppe freigeben. Im Modus "Öffnen " können Benutzer die Freigabe für kompatible Benutzer per IB-Richtlinie ausführen.
Weitere Informationen finden Sie unter Verwenden von Informationsbarrieren mit SharePoint.
Unterstützung mehrerer Segmente für Benutzer in Microsoft Teams
Wenn Sie Teams for Information Barriers so konfigurieren, dass mehrere Segmente unterstützt werden, gilt folgendes Verhalten:
- Ein Benutzer mit mehreren Segmenten, der ein Team erstellt, verwendet automatisch den impliziten Modus.
- Alle Benutzer im Team müssen über ein Segment verfügen, das mit allen anderen Benutzern kompatibel ist.
Weitere Informationen finden Sie unter Verwenden von Informationsbarrieren mit Microsoft Teams.