Freigeben über


Erste Schritte mit Informationsbarrieren

In diesem Artikel wird beschrieben, wie Sie Richtlinien für Informationsbarrieren (Information Barrier, IB) in Ihrer Organisation konfigurieren. Es sind mehrere Schritte erforderlich. Überprüfen Sie daher unbedingt den gesamten Prozess, bevor Sie mit der Konfiguration von IB-Richtlinien beginnen.

Sie konfigurieren IB in Ihrer Organisation mithilfe des Microsoft Purview-Portals, des Microsoft Purview-Complianceportals oder mithilfe von Office 365 Security and Compliance PowerShell. Organisationen, die IB zum ersten Mal konfigurieren, empfehlen wir die Verwendung der Lösung informationsbarrieren im Complianceportal. Wenn Sie eine vorhandene IB-Konfiguration verwalten und mit PowerShell vertraut sind, haben Sie weiterhin diese Option.

Weitere Informationen zu IB-Szenarien und -Features finden Sie unter Informationen zu Informationsbarrieren.

Tipp

Um Sie bei der Vorbereitung Ihres Plans zu unterstützen, ist in diesem Artikel ein Beispielszenario enthalten.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Erforderliche Abonnements und Berechtigungen

Bevor Sie mit IB beginnen, sollten Sie Ihr Microsoft 365-Abonnement und alle Add-Ons bestätigen. Um auf IB zugreifen und diese verwenden zu können, muss Ihre Organisation über unterstützende Abonnements oder Add-Ons verfügen. Weitere Informationen finden Sie unter Abonnementanforderungen für Informationsbarrieren.

Zum Verwalten von IB-Richtlinien muss Ihnen eine der folgenden Rollen zugewiesen sein:

  • Globaler Microsoft 365-Administrator
  • Globaler Office 365-Administrator
  • Complianceadministrator
  • IB-Compliance-Management

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Konfigurationskonzepte

Wenn Sie IB konfigurieren, arbeiten Sie mit mehreren Objekten und Konzepten.

  • Benutzerkontoattribute werden in Microsoft Entra ID (oder Exchange Online) definiert. Diese Attribute können Abteilung, Position, Standort, Teamname und andere Auftragsprofildetails umfassen. Sie weisen Segmenten mit diesen Attributen Benutzer oder Gruppen zu.

  • Segmente sind Gruppen oder Benutzer, die im Microsoft Purview-Portal, im Complianceportal oder mithilfe von PowerShell definiert werden, die ausgewählte Gruppen- oder Benutzerkontoattribute verwendet.

    Ihre Organisation kann über bis zu 5.000 Segmente verfügen, und Benutzer können maximal 10 Segmenten zugewiesen werden. Weitere Informationen finden Sie in der Liste der von IB unterstützten Attribute .

    Wichtig

    Unterstützung für 5.000 Segmente und das Zuweisen von Benutzern zu mehreren Segmenten ist nur verfügbar, wenn sich Ihre Organisation nicht im Legacymodus befindet. Das Zuweisen von Benutzern zu mehreren Segmenten erfordert zusätzliche Aktionen, um den Informationsbarrieremodus für Ihre Organisation zu ändern. Weitere Informationen finden Sie unter Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren .

    Für Organisationen im Legacymodus wird maximal 250 Segmente unterstützt, und Benutzer können nur einem Segment zugewiesen werden. Organisationen im Legacymodus können in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.

  • IB-Richtlinien bestimmen Kommunikationsgrenzwerte oder -einschränkungen. Wenn Sie IB-Richtlinien definieren, wählen Sie aus zwei Arten von Richtlinien:

    • Richtlinien zum Blockieren verhindern, dass ein Segment mit einem anderen kommuniziert.

    • Richtlinien zum Zulassen erlauben einem Segment, nur mit bestimmten anderen Segmenten zu kommunizieren.

      Hinweis

      Für Organisationen im Legacymodus: Nicht-IB-Gruppen und Benutzer sind für Benutzer, die in IB-Segmenten und Richtlinien für Zulassungsrichtlinien enthalten sind, nicht sichtbar. Wenn Nicht-IB-Gruppen und Benutzer für Benutzer sichtbar sein müssen, die in IB-Segmenten und -Richtlinien enthalten sind, müssen Sie Blockrichtlinien verwenden.

      Für Organisationen im SingleSegment- oder MultiSegment-Modus: Nicht-IB-Gruppen und -Benutzer sind für Benutzer sichtbar, die in IB-Segmenten und -Richtlinien enthalten sind.

      Informationen zum Überprüfen Ihres IB-Modus finden Sie unter Überprüfen des IB-Modus für Ihre Organisation.

  • Die Richtlinienanwendung erfolgt, nachdem alle IB-Richtlinien definiert wurden und Sie bereit sind, sie in Ihrer Organisation anzuwenden.

  • Sichtbarkeit von Nicht-IB-Benutzern und -Gruppen: Nicht-IB-Benutzer und -Gruppen sind Benutzer und Gruppen, die von IB-Segmenten und -Richtlinien ausgeschlossen sind. Je nachdem, wann Sie IB-Richtlinien in Ihrer Organisation konfigurieren und welche Art von IB-Richtlinien (blockieren oder zulassen) vorhanden sind, unterscheidet sich das Verhalten für diese Benutzer und Gruppen in Microsoft Teams, SharePoint, OneDrive und in Ihrer globalen Adressliste.

    • Für Organisationen im Legacymodus: Für Benutzer, die in Zulassungsrichtlinien definiert sind, sind Nicht-IB-Gruppen und Benutzer für Benutzer, die in IB-Segmenten und -Richtlinien enthalten sind, nicht sichtbar. Für Benutzer, die in Blockrichtlinien definiert sind, sind Nicht-IB-Gruppen und -Benutzer für Benutzer sichtbar, die in IB-Segmenten und -Richtlinien enthalten sind.
    • Für Organisationen im SingleSegment- oder MultiSegment-Modus: Nicht-IB-Gruppen und -Benutzer sind für Benutzer sichtbar, die in IB-Segmenten und -Richtlinien enthalten sind.
  • Gruppenunterstützung. Derzeit werden nur moderne Gruppen in IB unterstützt, und Verteilerlisten/Sicherheitsgruppen werden als Nicht-IB-Gruppen behandelt.

  • Ausgeblendete/deaktivierte Benutzer- und Gastkonten. Für ausgeblendete/deaktivierte Benutzer- und Gastkonten in Ihrer Organisation wird der Parameter HiddenFromAddressListEnabled automatisch auf True festgelegt, wenn Benutzerkonten ausgeblendet oder deaktiviert sind oder wenn ein Gast erstellt wird. Wenn der Organisationsmodus für IB-fähige Organisationen legacy ist, werden diese Konten an der Kommunikation mit allen anderen Benutzerkonten gehindert. Administratoren können dieses Standardverhalten deaktivieren, indem sie den HiddenFromAddressListEnabled-Parameter manuell auf False festlegen.

Übersicht über die Konfiguration

Schritte Was beteiligt ist
Schritt 1: Sicherstellen, dass die Voraussetzungen erfüllt sind – Vergewissern Sie sich, dass Sie über die erforderlichen Abonnements und Berechtigungen verfügen.
- Stellen Sie sicher, dass Ihr Verzeichnis Daten zur Segmentierung von Benutzern enthält
– Aktivieren der Suche nach Namen für Microsoft Teams
- Stellen Sie sicher, dass die Audit-Protokollierung aktiviert ist
– Überprüfen des IB-Modus für Ihre Organisation
– Konfigurieren der Implementierung von Exchange-Adressbuchrichtlinien (je nachdem, wann Sie IB in Ihrer Organisation aktiviert haben)
- Erteilen der Administratoreinwilligung für Microsoft Teams (Schritte sind enthalten)
Schritt 2: Segmentieren von Benutzern in Ihrer Organisation - Bestimmen Sie, welche Richtlinien erforderlich sind
- Erstellen Sie eine Liste der zu definierenden Segmente
- Identifizieren Sie, welche Attribute verwendet werden sollen
- Definieren Sie Segmente in Bezug auf Richtlinienfilter
Schritt 3: Erstellen von Richtlinien für Informationsbarrieren – Erstellen Sie Ihre Richtlinien (gilt noch nicht)
- Wählen Sie aus zwei Arten (blockieren oder zulassen)
Schritt 4: Anwenden von Richtlinien für Informationsbarrieren - Versetzen Sie Richtlinien in den aktiven Status
- Führen Sie die Richtlinienanwendung aus
- Zeigen Sie den Richtlinienstatus an
Schritt 5: Konfiguration für Informationsbarrieren auf SharePoint und OneDrive (optional) – Konfigurieren von IB für SharePoint und OneDrive
Schritt 6: Modi für Informationsbarrieren (optional) - Ib-Modi aktualisieren, falls zutreffend
Schritt 7: Konfigurieren der Auffindbarkeit von Benutzern für Informationsbarrieren (optional) – Aktivieren oder einschränken Sie die Auffindbarkeit von Benutzern in IB mit der Personenauswahl, falls zutreffend.

Schritt 1: Sicherstellen, dass die Voraussetzungen erfüllt sind

Stellen Sie zusätzlich zu den erforderlichen Abonnements und Berechtigungen sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie IB konfigurieren:

  • Verzeichnisdaten: Stellen Sie sicher, dass sich die Struktur Ihrer Organisation in den Verzeichnisdaten widerspiegelt. Um diese Aktion auszuführen, stellen Sie sicher, dass Benutzerkontoattribute (z. B. Gruppenmitgliedschaft, Abteilungsname usw.) in Microsoft Entra ID (oder Exchange Online) ordnungsgemäß aufgefüllt werden. Weitere Informationen hierzu finden Sie in den folgenden Ressourcen:

  • Bereichsbezogene Verzeichnissuche: Bevor Sie die erste IB-Richtlinie Ihrer Organisation definieren, müssen Sie die bereichsbezogene Verzeichnissuche in Microsoft Teams aktivieren. Warten Sie nach dem Aktivieren der bereichsbezogenen Verzeichnissuche mindestens 24 Stunden, bevor Sie IB-Richtlinien einrichten oder definieren.

  • Überprüfen, ob die Überwachungsprotokollierung aktiviert ist: Um den Status einer IB-Richtlinienanwendung nachzuschlagen, muss die Überwachungsprotokollierung aktiviert sein. Die Überwachung ist für Microsoft 365-Organisationen standardmäßig aktiviert. Einige Organisationen haben die Überwachung möglicherweise aus bestimmten Gründen deaktiviert. Wenn die Überwachung für Ihre Organisation deaktiviert ist, kann dies daran liegen, dass ein anderer Administrator sie deaktiviert hat. Es wird empfohlen, zu bestätigen, dass es in Ordnung ist, die Überwachung wieder zu aktivieren, wenn Sie diesen Schritt abschließen. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren der Überwachungsprotokollsuche.

  • Überprüfen Sie den IB-Modus für Ihre Organisation: Die Unterstützung für mehrere Segmente, Optionen zur Auffindbarkeit von Personen, Exchange-ABPs und andere Features wird durch den IB-Modus für Ihre Organisation bestimmt. Informationen zum Überprüfen des IB-Modus für Ihre Organisation finden Sie unter Überprüfen des IB-Modus für Ihre Organisation.

  • Entfernen vorhandener Exchange Online-Adressbuchrichtlinien (optional):

    • Für Organisationen im Legacymodus: Bevor Sie IB-Richtlinien definieren und anwenden, müssen Sie alle vorhandenen Exchange Online-Adressbuchrichtlinien in Ihrer Organisation entfernen. IB-Richtlinien basieren auf Adressbuchrichtlinien, und vorhandene ABPs-Richtlinien sind nicht mit den von IB erstellten ABPs kompatibel. Informationen zum Entfernen ihrer vorhandenen Adressbuchrichtlinien finden Sie unter Entfernen einer Adressbuchrichtlinie in Exchange Online. Weitere Informationen zu IB-Richtlinien und Exchange Online finden Sie unter Informationsbarrieren und Exchange Online.
    • Für Organisationen im Modus "SingleSegment" oder "MultiSegment": Informationsbarrieren basieren nicht mehr auf Exchange Online-Adressbuchrichtlinien (ABPs). Organisationen, die ABPs verwenden, haben keine Auswirkungen auf die vorhandenen ABPs, wenn sie Informationsbarrieren aktivieren.
  • Verwalten mithilfe von PowerShell (optional): IB-Segmente und -Richtlinien können im Complianceportal definiert und verwaltet werden. Sie können jedoch auch die Office 365 Security & Compliance PowerShell verwenden, falls gewünscht oder erforderlich. Obwohl in diesem Artikel mehrere Beispiele bereitgestellt werden, müssen Sie mit PowerShell-Cmdlets und -Parametern vertraut sein, wenn Sie PowerShell zum Konfigurieren und Verwalten von IB-Segmenten und -Richtlinien verwenden möchten. Sie benötigen auch das Microsoft Graph PowerShell SDK , wenn Sie diese Konfigurationsoption auswählen.

Wenn alle Voraussetzungen erfüllt sind, fahren Sie mit dem nächsten Schritt fort.

Schritt 2: Segmentieren von Benutzern in Ihrer Organisation

In diesem Schritt bestimmen Sie, welche IB-Richtlinien erforderlich sind, erstellen eine Liste der zu definierenden Segmente und definieren Ihre Segmente. Das Definieren von Segmenten wirkt sich nicht auf Benutzer aus, es legt lediglich die Stufe für die Definition und anschließende Anwendung von IB-Richtlinien fest.

Ermitteln der erforderlichen Richtlinien

Bestimmen Sie unter Berücksichtigung der Anforderungen Ihrer Organisation die Gruppen innerhalb Ihrer Organisation, die IB-Richtlinien benötigen. Stellen Sie sich die folgenden Fragen:

  • Gibt es interne, rechtliche oder branchenspezifische Vorschriften, die die Einschränkung der Kommunikation und Zusammenarbeit zwischen Gruppen und Benutzern in Ihrer Organisation erfordern?
  • Gibt es Gruppen oder Benutzer, die daran gehindert werden sollten, mit einer anderen Benutzergruppe zu kommunizieren?
  • Gibt es Gruppen oder Benutzer, die nur mit einer oder zwei anderen Benutzergruppen kommunizieren dürfen?

Stellen Sie sich die benötigten Richtlinien als Zugehörigkeit zu einem von zwei Typen vor:

  • Richtlinien zum Blockieren verhindern, dass eine Gruppe mit einer anderen Gruppe kommuniziert.
  • Zulassen-Richtlinien ermöglichen es einer Gruppe, nur mit bestimmten Gruppen zu kommunizieren.

Wenn Sie ihre anfängliche Liste der erforderlichen Gruppen und Richtlinien haben, identifizieren Sie die Segmente, die Sie für die IB-Richtlinien benötigen.

Identifizieren von Segmenten

Erstellen Sie zusätzlich zu Ihrer anfänglichen Liste der Richtlinien eine Liste der Segmente für Ihre Organisation. Benutzer, die in IB-Richtlinien einbezogen werden, sollten mindestens einem Segment angehören. Benutzer können bei Bedarf mehreren Segmenten zugewiesen werden. Sie können bis zu 5.000 Segmente in Ihrer Organisation haben, und für jedes Segment kann nur eine IB-Richtlinie angewendet werden.

Wichtig

Ein Benutzer kann sich nur in einem Segment für Organisationen im Legacy - oder SingleSegement-Modus befinden. Informationen zum Überprüfen Ihres IB-Modus finden Sie unter Überprüfen des IB-Modus für Ihre Organisation.

Bestimmen Sie, welche Attribute in den Verzeichnisdaten Ihrer Organisation Sie zum Definieren von Segmenten verwenden. Sie können Department, MemberOf oder eines der unterstützten IB-Attribute verwenden. Stellen Sie sicher, dass Sie über Werte im Attribut verfügen, das Sie für Benutzer auswählen. Weitere Informationen finden Sie in den unterstützten Attributen für IB.

Wichtig

Bevor Sie mit dem nächsten Abschnitt fortfahren, stellen Sie sicher, dass Ihre Verzeichnisdaten Werte für Attribute enthalten, die Sie zum Definieren von Segmenten verwenden können. Wenn Ihre Verzeichnisdaten keine Werte für die Attribute aufweisen, die Sie verwenden möchten, müssen die Benutzerkonten aktualisiert werden, damit sie diese Informationen enthalten, bevor Sie mit der Konfiguration von IB fortfahren. Hilfe hierzu finden Sie in den folgenden Ressourcen:

- Konfigurieren von Benutzerkontoeigenschaften mit Office 365 PowerShell
- Hinzufügen oder Aktualisieren der Profilinformationen eines Benutzers mithilfe der Microsoft Entra-ID

Aktivieren der Unterstützung mehrerer Segmente für Benutzer (optional)

Die Unterstützung für das Zuweisen von Benutzern zu mehreren Segmenten ist nur verfügbar, wenn Sich Ihre Organisation nicht im Legacymodus befindet. Wenn Sie das Zuweisen von Benutzern zu mehreren Segmenten unterstützen möchten, lesen Sie Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren.

Benutzer können nur einem Segment für Organisationen im Legacymodus zugewiesen werden. Organisationen im Legacymodus können in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.

Definieren von Segmenten mithilfe der Portale

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie im Microsoft Purview-Complianceportal.

Führen Sie die folgenden Schritte aus, um Segmente zu definieren:

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrer Organisation an.
  2. Wählen Sie die Lösungskarte Informationsbarrieren aus. Wenn die Lösungskarte "Informationsbarrieren" nicht angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt Risiko & Compliancedie Option Informationsbarrieren aus.
  3. Wählen Sie Segmente aus.
  4. Wählen Sie auf der Seite Segmente die Option Neues Segment aus, um ein neues Segment zu erstellen und zu konfigurieren.
  5. Geben Sie auf der Seite Name einen Namen für das Segment ein. Sie können ein Segment nicht umbenennen, nachdem es erstellt wurde.
  6. Wählen Sie Weiter aus.
  7. Wählen Sie auf der Seite Benutzergruppenfilterdie Option Hinzufügen aus, um die Gruppen- und Benutzerattribute für das Segment zu konfigurieren. Wählen Sie ein Attribut für das Segment aus der Liste der verfügbaren Attribute aus.
  8. Wählen Sie für das ausgewählte Attribut entweder Gleich oder Nicht gleich aus, und geben Sie dann den Wert für das Attribut ein. Wenn Sie beispielsweise Abteilung als Attribut und Gleich ausgewählt haben, können Sie Marketing als definierte Abteilung für diese Segmentbedingung eingeben. Sie können zusätzliche Bedingungen für ein Attribut hinzufügen, indem Sie Bedingung hinzufügen auswählen. Wenn Sie ein Attribut oder eine Attributbedingung löschen müssen, wählen Sie das Löschsymbol für das Attribut oder die Bedingung aus.
  9. Fügen Sie nach Bedarf zusätzliche Attribute auf der Seite Benutzergruppenfilter hinzu, und wählen Sie dann Weiter aus.
  10. Überprüfen Sie auf der Seite Einstellungen überprüfen die Einstellungen, die Sie für das Segment ausgewählt haben, sowie alle Vorschläge oder Warnungen für Ihre Auswahl. Wählen Sie Bearbeiten aus, um die Segmentattribute und -bedingungen zu ändern, oder wählen Sie Senden aus, um das Segment zu erstellen.

Definieren von Segmenten mithilfe von PowerShell

Führen Sie die folgenden Schritte aus, um Segmente mit PowerShell zu definieren:

  1. Verwenden Sie das Cmdlet New-OrganizationSegment mit dem Parameter UserGroupFilter , der dem attribut entspricht, das Sie verwenden möchten.

    Syntax Beispiel
    New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'" New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"

    In diesem Beispiel wird ein Segment namens HR mithilfe von HR definiert, einem Wert im Department-Attribut . Der - eq-Teil des Cmdlets bezieht sich auf "equals". (Alternativ können Sie -ne verwenden, um "ungleich" zu bedeuten. Siehe Verwenden von "equals" und "not equals" in Segmentdefinitionen.)

    Nachdem Sie die einzelnen Cmdlets ausgeführt haben, sollte eine Liste mit Details zum neuen Segment angezeigt werden. Details umfassen den Typ des Segments, wer es erstellt oder zuletzt geändert hat usw.

  2. Wiederholen Sie diesen Vorgang für jedes Segment, das Sie definieren möchten.

Nachdem Sie Ihre Segmente definiert haben, fahren Sie mit Schritt 3: Erstellen von IB-Richtlinien fort.

Verwenden von "equals" und "not equals" in PowerShell-Segmentdefinitionen

Im folgenden Beispiel konfigurieren wir IB-Segmente mithilfe von PowerShell und definieren ein Segment so, dass "Abteilung gleich HR" ist.

Beispiel Hinweis
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" Beachten Sie, dass in diesem Beispiel die Segmentdefinition einen "equals"-Parameter enthält, der als -eq bezeichnet wird.

Sie können Segmente auch mithilfe eines "not equals"-Parameters definieren, der als -ne bezeichnet wird, wie in der folgenden Tabelle gezeigt:

Syntax Beispiel
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" In diesem Beispiel haben wir ein Segment namens NotSales definiert, das alle Personen umfasst, die nicht im Vertrieb tätig sind. Der Teil -ne des Cmdlets bezieht sich auf "ungleich".

Zusätzlich zum Definieren von Segmenten mit "equals" oder "not equals" können Sie ein Segment mit den Parametern "equals" und "not equals" definieren. Sie können auch komplexe Gruppenfilter mithilfe logischer AND- und OR-Operatoren definieren.

Syntax Beispiel
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" In diesem Beispiel haben wir ein Segment namens LocalFTE definiert, das Benutzer enthält, die sich lokal befinden und deren Positionen nicht als Temporär aufgeführt sind.
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq 'group1@contoso.com'' -and MemberOf -ne 'group3@contoso.com'" In diesem Beispiel haben wir ein Segment namens Segment1 definiert, das Benutzer enthält, die Mitglieder von group1@contoso.com und nicht Mitglieder von group3@contoso.comsind.
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq 'group2@contoso.com' -or MemberOf -ne 'group3@contoso.com'" In diesem Beispiel haben wir ein Segment namens Segment2 definiert, das Benutzer enthält, die Mitglieder von group2@contoso.com und nicht Mitglieder von group3@contoso.comsind.
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq 'group1@contoso.com' -or MemberOf -eq 'group2@contoso.com') -and MemberOf -ne 'group3@contoso.com'" In diesem Beispiel haben wir ein Segment namens Segment1and2 definiert, das Benutzer in group1@contoso.com und group2@contoso.com und nicht Member von group3@contoso.comenthält.

Tipp

Verwenden Sie nach Möglichkeit Segmentdefinitionen, die "-eq" oder "-ne" enthalten. Versuchen Sie, keine komplexen Segmentdefinitionen zu definieren.

Schritt 3: Erstellen von IB-Richtlinien

Wenn Sie Ihre IB-Richtlinien erstellen, bestimmen Sie, ob Sie die Kommunikation zwischen bestimmten Segmenten verhindern oder die Kommunikation auf bestimmte Segmente beschränken müssen. Im Idealfall verwenden Sie die Mindestanzahl von IB-Richtlinien, um sicherzustellen, dass Ihre Organisation die internen, rechtlichen und branchenspezifischen Anforderungen erfüllt. Sie können das Microsoft Purview-Portal, das Complianceportal oder PowerShell verwenden, um IB-Richtlinien zu erstellen und anzuwenden.

Tipp

Für die Konsistenz der Benutzerfreundlichkeit empfehlen wir, nach Möglichkeit blockrichtlinien für die meisten Szenarien zu verwenden.

Wählen Sie mit Ihrer Liste der Benutzersegmente und den IB-Richtlinien, die Sie definieren möchten, ein Szenario aus, und führen Sie dann die Schritte aus.

Wichtig

Stellen Sie sicher, dass Sie einem Segment beim Definieren von Richtlinien nicht mehr als eine Richtlinie zuweisen. Wenn Sie beispielsweise eine Richtlinie für ein Segment namens Sales definieren, definieren Sie keine zusätzliche Richtlinie für das Segment Sales .

Wenn Sie IB-Richtlinien definieren, stellen Sie außerdem sicher, dass Sie diese Richtlinien auf inaktiven Status festlegen, bis Sie bereit sind, sie anzuwenden. Das Definieren (oder Bearbeiten) von Richtlinien wirkt sich erst auf Benutzer aus, wenn diese Richtlinien auf den aktiven Status festgelegt und dann angewendet werden.

Szenario 1: Blockieren der Kommunikation zwischen Segmenten

Wenn Sie die Kommunikation zwischen Segmenten blockieren möchten, definieren Sie zwei Richtlinien: eine für jede Richtung. Jede Richtlinie blockiert die Kommunikation nur in eine Richtung.

Angenommen, Sie möchten die Kommunikation zwischen Segment A und Segment B blockieren. In diesem Fall würden Sie zwei Richtlinien definieren:

  • Eine Richtlinie, die die Kommunikation von Segment A mit Segment B verhindert
  • Eine zweite Richtlinie, um zu verhindern, dass Segment B mit Segment A kommuniziert

Erstellen von Richtlinien mithilfe der Portale für Szenario 1

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie im Microsoft Purview-Complianceportal.

Führen Sie die folgenden Schritte aus, um Richtlinien zu erstellen:

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrer Organisation an.

  2. Wählen Sie die Lösungskarte Informationsbarrieren aus. Wenn die Lösungskarte "Informationsbarrieren" nicht angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt Risiko & Compliancedie Option Informationsbarrieren aus.

  3. Wählen Sie Richtlinienaus.

  4. Wählen Sie auf der Seite Richtlinien die Option Richtlinie erstellen aus, um eine neue IB-Richtlinie zu erstellen und zu konfigurieren.

  5. Geben Sie auf der Seite Name einen Namen für die Richtlinie ein, und wählen Sie dann Weiter aus.

  6. Wählen Sie auf der Seite Zugewiesenes Segmentdie Option Segment auswählen aus. Verwenden Sie das Suchfeld, um nach einem Segment anhand des Namens zu suchen, oder scrollen Sie, um das Segment aus der angezeigten Liste auszuwählen. Wählen Sie Hinzufügen aus, um das ausgewählte Segment der Richtlinie hinzuzufügen. Sie können nur ein Segment auswählen.

  7. Wählen Sie Weiter aus.

  8. Wählen Sie auf der Seite Kommunikation und Zusammenarbeit den Richtlinientyp im Feld Kommunikation und Zusammenarbeit aus. Die Richtlinienoptionen sind entweder Zulässig oder Blockiert. In diesem Beispielszenario wird Blockiert für die erste Richtlinie ausgewählt.

    Wichtig

    Der Status Zulässig und Blockiert für Segmente kann nach dem Erstellen einer Richtlinie nicht geändert werden. Um den Status zu ändern, nachdem Sie eine Richtlinie erstellt haben, müssen Sie die Richtlinie löschen und eine neue erstellen.

  9. Wählen Sie Segment auswählen aus, um die Aktionen für das Zielsegment zu definieren. In diesem Schritt können Sie mehrere Segmente zuweisen. Wenn Sie beispielsweise verhindern möchten, dass Benutzer in einem Segment namens "Sales" mit Benutzern in einem Segment namens "Forschung" kommunizieren, hätten Sie das Segment Sales in Schritt 5 definiert, und Sie würden in diesem Schritt in der Option Segment auswählenForschung zuweisen.

  10. Wählen Sie Weiter aus.

  11. Schalten Sie auf der Seite Richtlinienstatus den Aktiven Richtlinienstatus auf Ein um. Wählen Sie Weiter aus, um fortzufahren.

  12. Überprüfen Sie auf der Seite Einstellungen überprüfen die Einstellungen, die Sie für die Richtlinie ausgewählt haben, sowie alle Vorschläge oder Warnungen für Ihre Auswahl. Wählen Sie Bearbeiten aus, um die Richtliniensegmente und den Status zu ändern, oder wählen Sie Senden aus, um die Richtlinie zu erstellen.

In diesem Beispiel würden Sie die vorherigen Schritte wiederholen, um eine zweite Block-Richtlinie zu erstellen, um zu verhindern, dass Benutzer in einem Segment namens Research mit Benutzern in einem Segment namens Sales kommunizieren. Sie hätten das Segment Research in Schritt 5 definiert, und Sie würden Sales (oder mehrere Segmente) in der Option Segment auswählen zuweisen.

Erstellen von Richtlinien mithilfe von PowerShell für Szenario 1

Führen Sie zum Definieren von Richtlinien mit PowerShell die folgenden Schritte aus:

  1. Verwenden Sie zum Definieren Ihrer ersten Blockierungsrichtlinie das Cmdlet New-InformationBarrierPolicy mit dem Parameter SegmentBlocked .

    Syntax Beispiel
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsBlocked "segmentBname" New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

    In diesem Beispiel haben wir eine Richtlinie namens Sales-Research für ein Segment namens Sales definiert. Wenn sie aktiv ist und angewendet wird, verhindert diese Richtlinie, dass Benutzer in Sales mit Benutzern in einem Segment namens Research kommunizieren.

  2. Verwenden Sie zum Definieren Ihres zweiten blockierenden Segments erneut das Cmdlet New-InformationBarrierPolicy mit dem Parameter SegmentsBlocked , diesmal mit umgekehrten Segmenten.

    Beispiel Hinweis
    New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive In diesem Beispiel haben wir eine Richtlinie namens Research-Sales definiert, um zu verhindern, dass Research mit Sales kommuniziert.
  3. Fahren Sie mit einer der folgenden Aktionen fort:

Szenario 2: Zulassen, dass ein Segment nur mit einem anderen Segment kommuniziert

Wenn Sie zulassen möchten, dass ein Segment nur mit einem anderen Segment kommunizieren kann, definieren Sie zwei Richtlinien: eine für jede Richtung. Jede Richtlinie ermöglicht die Kommunikation nur in eine Richtung.

In diesem Beispiel würden Sie zwei Richtlinien definieren:

  • Eine Richtlinie ermöglicht Segment A die Kommunikation mit Segment B.
  • Eine zweite Richtlinie, mit der Segment B mit Segment A kommunizieren kann

Erstellen von Richtlinien mithilfe der Portale für Szenario 2

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie im Microsoft Purview-Complianceportal.

Führen Sie die folgenden Schritte aus, um Richtlinien zu erstellen:

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrer Organisation an.

  2. Wählen Sie die Lösungskarte Informationsbarrieren aus. Wenn die Lösungskarte "Informationsbarrieren" nicht angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt Risiko & Compliancedie Option Informationsbarrieren aus.

  3. Wählen Sie auf der Seite Richtlinien die Option Richtlinie erstellen aus, um eine neue IB-Richtlinie zu erstellen und zu konfigurieren.

  4. Geben Sie auf der Seite Name einen Namen für die Richtlinie ein, und wählen Sie dann Weiter aus.

  5. Wählen Sie auf der Seite Zugewiesenes Segmentdie Option Segment auswählen aus. Verwenden Sie das Suchfeld, um nach einem Segment anhand des Namens zu suchen, oder scrollen Sie, um das Segment aus der angezeigten Liste auszuwählen. Wählen Sie Hinzufügen aus, um das ausgewählte Segment der Richtlinie hinzuzufügen. Sie können nur ein Segment auswählen.

  6. Wählen Sie Weiter aus.

  7. Wählen Sie auf der Seite Kommunikation und Zusammenarbeit den Richtlinientyp im Feld Kommunikation und Zusammenarbeit aus. Die Richtlinienoptionen sind entweder Zulässig oder Blockiert. In diesem Beispielszenario wird Zulässig für die Richtlinie ausgewählt.

    Wichtig

    Der Status Zulässig und Blockiert für Segmente kann nach dem Erstellen einer Richtlinie nicht geändert werden. Um den Status zu ändern, nachdem Sie eine Richtlinie erstellt haben, müssen Sie die Richtlinie löschen und eine neue erstellen.

  8. Wählen Sie Segment auswählen aus, um die Aktionen für das Zielsegment zu definieren. In diesem Schritt können Sie mehrere Segmente zuweisen. Wenn Sie beispielsweise Benutzern in einem Segment namens Fertigung die Kommunikation mit Benutzern in einem Segment namens PERSONAL ermöglichen möchten, hätten Sie das Segment Manufacturing in Schritt 5 definiert, und Sie würden in diesem Schritt die Personalabteilung in der Option Segment auswählen zuweisen.

  9. Wählen Sie Weiter aus.

  10. Schalten Sie auf der Seite Richtlinienstatus den Aktiven Richtlinienstatus auf Ein um. Wählen Sie Weiter aus, um fortzufahren.

  11. Überprüfen Sie auf der Seite Einstellungen überprüfen die Einstellungen, die Sie für die Richtlinie ausgewählt haben, sowie alle Vorschläge oder Warnungen für Ihre Auswahl. Wählen Sie Bearbeiten aus, um die Richtliniensegmente und den Status zu ändern, oder wählen Sie Senden aus, um die Richtlinie zu erstellen.

  12. In diesem Beispiel würden Sie die vorherigen Schritte wiederholen, um eine zweite Zulassungsrichtlinie zu erstellen, damit Benutzer in einem Segment namens Research mit Benutzern in einem Segment namens Sales kommunizieren können. Sie hätten das Segment Research in Schritt 5 definiert, und Sie würden Sales (oder mehrere Segmente) in der Option Segment auswählen zuweisen.

Erstellen einer Richtlinie mithilfe von PowerShell für Szenario 2

Führen Sie zum Definieren von Richtlinien mit PowerShell die folgenden Schritte aus:

  1. Damit ein Segment mit dem anderen Segment kommunizieren kann, verwenden Sie das Cmdlet New-InformationBarrierPolicy mit dem SegmentAllowed-Parameter .

    Syntax Beispiel
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname","segment1name" New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State Inactive

    In diesem Beispiel haben wir eine Richtlinie namens Manufacturing-HR für ein Segment namens Manufacturing definiert. Wenn diese Richtlinie aktiv und angewendet wird, können Benutzer in der Fertigung nur mit Benutzern in einem Segment namens PERSONAL kommunizieren. In diesem Fall kann die Fertigung nicht mit Benutzern kommunizieren, die nicht Teil der Personalabteilung sind.

    Bei Bedarf können Sie mit diesem Cmdlet mehrere Segmente angeben, wie im folgenden Beispiel gezeigt.

    Syntax Beispiel
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname", "segmentCname","segmentDname" New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State Inactive

    In diesem Beispiel haben wir eine Richtlinie definiert, die es dem Segment Forschung erlaubt, nur mit Personalwesen und Fertigung zu kommunizieren.

    Wiederholen Sie diesen Schritt für jede Richtlinie, die Sie definieren möchten, damit bestimmte Segmente nur mit bestimmten anderen segmenten kommunizieren können.

  2. Verwenden Sie zum Definieren Des zweiten zulassenden Segments erneut das Cmdlet New-InformationBarrierPolicy mit dem Parameter SegmentAllowed , diesmal mit umgekehrten Segmenten.

    Beispiel Hinweis
    New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsAllowed "Sales" -State Inactive In diesem Beispiel haben wir eine Richtlinie mit dem Namen Research-Sales definiert, damit Research mit Sales kommunizieren kann.
  3. Fahren Sie mit einer der folgenden Aktionen fort:

Schritt 4: Anwenden von IB-Richtlinien

IB-Richtlinien sind erst wirksam, wenn Sie sie auf den aktiven Status festlegen und die Richtlinien anwenden.

Anwenden von Richtlinien über die Portale

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie im Microsoft Purview-Complianceportal.

Führen Sie die folgenden Schritte aus, um Richtlinien anzuwenden:

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrer Organisation an.

  2. Wählen Sie die Lösungskarte Informationsbarrieren aus. Wenn die Lösungskarte "Informationsbarrieren" nicht angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt Risiko & Compliancedie Option Informationsbarrieren aus.

  3. Wählen Sie Richtlinienanwendung aus.

  4. Wählen Sie auf der Anwendungsseite Richtliniendie Option Alle Richtlinien anwenden aus, um alle IB-Richtlinien in Ihrer Organisation anzuwenden.

    Hinweis

    Warten Sie 30 Minuten, bis das System mit der Anwendung der Richtlinien beginnt. Das System wendet die Richtlinien Benutzer für Benutzer an. Das System verarbeitet etwa 5 000 Benutzerkonten pro Stunde.

Anwenden von Richtlinien mithilfe von PowerShell

Führen Sie die folgenden Schritte aus, um Richtlinien mithilfe von PowerShell anzuwenden:

  1. Verwenden Sie das Cmdlet Get-InformationBarrierPolicy , um eine Liste der definierten Richtlinien anzuzeigen. Notieren Sie sich den Status und die Identität (GUID) jeder Richtlinie.

    Syntax: Get-InformationBarrierPolicy

  2. Um eine Richtlinie auf den aktiven Status festzulegen, verwenden Sie das Cmdlet Set-InformationBarrierPolicy mit einem Identity-Parameter und dem State-Parameter , der auf Aktiv festgelegt ist.

    Syntax Beispiel
    Set-InformationBarrierPolicy -Identity GUID -State Active Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Active

    In diesem Beispiel legen wir eine IB-Richtlinie mit der GUID 43c37853-ea10-4b90-a23d-ab8c93772471 auf aktiv fest.

    Wiederholen Sie diesen Schritt je nach Richtlinie.

  3. Wenn Sie ihre IB-Richtlinien auf den aktiven Status festgelegt haben, verwenden Sie das Cmdlet Start-InformationBarrierPoliciesApplication in Security & Compliance PowerShell.

    Syntax: Start-InformationBarrierPoliciesApplication

    Nachdem Sie Start-InformationBarrierPoliciesApplication ausgeführt haben, sollten Sie 30 Minuten warten, bis das System mit der Anwendung der Richtlinien beginnt. Das System wendet die Richtlinien Benutzer für Benutzer an. Das System verarbeitet etwa 5 000 Benutzerkonten pro Stunde.

Anzeigen des Status von Benutzerkonten, Segmenten, Richtlinien oder Richtlinienanwendungen

Mit PowerShell können Sie den Status von Benutzerkonten, Segmenten, Richtlinien und Richtlinienanwendungen anzeigen, wie in der folgenden Tabelle aufgeführt.

So zeigen Sie diese Informationen an Ausführen dieser Aktion
Benutzerkonten Verwenden Sie das Cmdlet Get-InformationBarrierRecipientStatus mit Identity-Parametern.

Syntax: Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

Sie können einen beliebigen Wert verwenden, der jeden Benutzer eindeutig identifiziert, z. B. Name, Alias, Distinguished Name, kanonischer Domänenname, E-Mail-Adresse oder GUID.

Beispiel: Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

In diesem Beispiel beziehen wir uns auf zwei Benutzerkonten in Office 365: meganb für Megan und alexw für Alex.

(Sie können dieses Cmdlet auch für einen einzelnen Benutzer verwenden: Get-InformationBarrierRecipientStatus -Identity <value>)

Dieses Cmdlet gibt Informationen zu Benutzern zurück, z. B. Attributwerte und alle angewendeten IB-Richtlinien.

Segmente Verwenden Sie das Cmdlet Get-OrganizationSegment .

Syntax: Get-OrganizationSegment

Dieses Cmdlet zeigt eine Liste aller Segmente an, die für Ihre Organisation definiert sind.

IB-Richtlinien Verwenden Sie das Cmdlet Get-InformationBarrierPolicy .

Syntax: Get-InformationBarrierPolicy

Dieses Cmdlet zeigt eine Liste der definierten IB-Richtlinien und deren Status an.

Die neueste IB-Richtlinienanwendung Verwenden Sie das Cmdlet Get-InformationBarrierPoliciesApplicationStatus .

Syntax: Get-InformationBarrierPoliciesApplicationStatus

Dieses Cmdlet zeigt Informationen darüber an, ob die Richtlinienanwendung abgeschlossen, fehlgeschlagen ist oder ausgeführt wird.

Alle IB-Richtlinienanwendungen Verwenden von Get-InformationBarrierPoliciesApplicationStatus -All

Dieses Cmdlet zeigt Informationen darüber an, ob die Richtlinienanwendung abgeschlossen, fehlgeschlagen ist oder ausgeführt wird.

Was geschieht, wenn ich Richtlinien entfernen oder ändern muss?

Es stehen Ressourcen zur Verfügung, die Ihnen bei der Verwaltung Ihrer IB-Richtlinien helfen.

Schritt 5: Konfiguration für Informationsbarrieren auf SharePoint und OneDrive

Wenn Sie IB für SharePoint und OneDrive konfigurieren, müssen Sie IB für diese Dienste aktivieren. Sie müssen IB auch für diese Dienste aktivieren, wenn Sie IB für Microsoft Teams konfigurieren. Wenn ein Team im Microsoft Teams-Team erstellt wird, wird automatisch eine SharePoint-Website erstellt und Microsoft Teams für die Dateierfahrung zugeordnet. IB-Richtlinien werden auf dieser neuen SharePoint-Website und den Dateien standardmäßig nicht berücksichtigt.

Um IB in SharePoint und OneDrive zu aktivieren, befolgen Sie die Anleitungen und Schritte im Artikel Verwenden von Informationsbarrieren mit SharePoint .

Schritt 6: Modi für Informationsbarrieren (optional)

Modi können den Zugriff, die Freigabe und die Mitgliedschaft einer Microsoft 365-Ressource basierend auf dem IB-Modus der Ressource stärken. Modi werden auf Microsoft 365-Gruppen, Microsoft Teams, OneDrive- und SharePoint-Websites unterstützt und in Ihrer neuen oder vorhandenen IB-Konfiguration automatisch aktiviert.

Die folgenden IB-Modi werden für Microsoft 365-Ressourcen unterstützt:

Mode Beschreibung Beispiel
Open Der Microsoft 365-Ressource sind keine IB-Richtlinien oder -Segmente zugeordnet. Jeder kann eingeladen werden, Mitglied der Ressource zu sein. Eine Teamwebsite, die für ein Picknickereignis für Ihre Organisation erstellt wurde.
Besitzer moderiert Die IB-Richtlinie der Microsoft 365-Ressource wird aus der IB-Richtlinie des Ressourcenbesitzers bestimmt. Die Ressourcenbesitzer können jeden Benutzer basierend auf ihren IB-Richtlinien zur Ressource einladen. Dieser Modus ist nützlich, wenn Ihr Unternehmen die Zusammenarbeit zwischen inkompatiblen Segmentbenutzern ermöglichen möchte, die vom Besitzer moderiert werden. Nur der Ressourcenbesitzer kann neue Mitglieder gemäß seiner IB-Richtlinie hinzufügen. Der VP des Personalwesens möchte mit den VPs von Vertrieb und Forschung zusammenarbeiten. Eine neue SharePoint-Website, die mit dem IB-Modus "Besitzer moderiert" festgelegt ist, um der gleichen Website sowohl Segmentbenutzer als auch "Sales" und "Research" hinzuzufügen. Es liegt in der Verantwortung des Besitzers sicherzustellen, dass der Ressource geeignete Mitglieder hinzugefügt werden.
Implizit Die IB-Richtlinie oder die Segmente der Microsoft 365-Ressource werden von der IB-Richtlinie der Ressourcenmitglieder geerbt. Der Besitzer kann Mitglieder hinzufügen, solange sie mit den vorhandenen Mitgliedern der Ressource kompatibel sind. Dieser Modus ist der Ib-Standardmodus für Microsoft Teams. Der Benutzer des Vertriebssegments erstellt ein Microsoft Teams-Team für die Zusammenarbeit mit anderen kompatiblen Segmenten in der Organisation.
Explicit Die IB-Richtlinie der Microsoft 365-Ressource unterliegt den Segmenten, die der Ressource zugeordnet sind. Der Ressourcenbesitzer oder SharePoint-Administrator hat die Möglichkeit, die Segmente für die Ressource zu verwalten. Eine Website, die nur für Mitglieder des Vertriebssegments für die Zusammenarbeit erstellt wird, indem das Segment Sales der Website zugeordnet wird.
Mixed Gilt nur für OneDrive. Die IB-Richtlinie von OneDrive unterliegt den Segmenten, die oneDrive zugeordnet sind. Der Ressourcenbesitzer oder OneDrive-Administrator hat die Möglichkeit, die Segmente für die Ressource zu verwalten. Ein OneDrive, das für Mitglieder des Vertriebssegments für die Zusammenarbeit erstellt wurde, darf für nicht segmentierte Benutzer freigegeben werden.

Updates im impliziten Modus

Je nachdem, wann Sie IB in Ihrer Organisation aktiviert haben, befindet sich Ihre Organisation entweder im Legacy-, SingleSegment- oder MultiSegment-Organisationsmodus . Informationen zum Überprüfen Ihres Modus finden Sie unter Überprüfen des IB-Modus für Ihre Organisation.

Wenn sich Ihre Organisation im Modus "SingleSegment" oder " MultiSegment " befindet und der Informationsbarrieremodus der Teams-Gruppe implizit ist, sind den mit Teams verbundenen Gruppen/Websites keine Segmente zugeordnet.

Weitere Informationen zu IB-Modi und deren dienstübergreifender Konfiguration finden Sie in den folgenden Artikeln:

Schritt 7: Konfigurieren der Auffindbarkeit von Benutzern für Informationsbarrieren (optional)

Richtlinien für Informationsbarrieren ermöglichen Es Administratoren, Sucheinschränkungen in der Personenauswahl zu aktivieren oder zu deaktivieren. Standardmäßig ist die Personenauswahleinschränkung für IB-Richtlinien aktiviert. Beispielsweise können IB-Richtlinien, die die Kommunikation zweier bestimmter Benutzer blockieren, auch einschränken, dass die Benutzer sich gegenseitig sehen, wenn sie die Personenauswahl verwenden.

Wichtig

Unterstützung für das Aktivieren oder Deaktivieren von Sucheinschränkungen ist nur verfügbar, wenn Sich Ihre Organisation nicht im Legacymodus befindet. Organisationen im Legacymodus können Sucheinschränkungen nicht aktivieren oder deaktivieren. Zum Aktivieren oder Deaktivieren von Sucheinschränkungen sind zusätzliche Aktionen erforderlich, um den Informationsbarrieremodus für Ihre Organisation zu ändern. Weitere Informationen finden Sie unter Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren).

Organisationen im Legacymodus können in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.

Führen Sie die folgenden Schritte aus, um die Einschränkung der Personenauswahlsuche mithilfe von PowerShell zu deaktivieren:

  1. Verwenden Sie das Cmdlet Set-PolicyConfig , um die Personenauswahleinschränkung zu deaktivieren:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'

Beispielszenario: Abteilungen, Segmente und Richtlinien von Contoso

Sehen Sie sich das folgende Beispielszenario an, um zu erfahren, wie eine Organisation die Definition von Segmenten und Richtlinien angehen kann.

Die Abteilungen und der Plan von Contoso

Contoso verfügt über fünf Abteilungen: Personalwesen, Vertrieb, Marketing, Forschung und Fertigung. Um branchenspezifische Vorschriften einzuhalten, sollten Benutzer in einigen Abteilungen nicht mit anderen Abteilungen kommunizieren, wie in der folgenden Tabelle aufgeführt:

Segment Kann mit kommunizieren Kommunikation mit nicht möglich
HR Jeder (keine Beschränkungen)
Vertrieb Personalwesen, Marketing, Fertigung Recherchieren
Marketing Jeder (keine Beschränkungen)
Forschung Personalwesen, Marketing, Fertigung Vertrieb
Fertigung Personalwesen, Marketing Jeder andere als PERSONAL oder Marketing

Für diese Struktur umfasst der Plan von Contoso drei IB-Richtlinien:

  1. Eine IB-Richtlinie, die verhindern soll, dass Sales mit Research kommuniziert
  2. Eine weitere IB-Richtlinie, um zu verhindern, dass Forschung mit dem Vertrieb kommuniziert.
  3. Eine IB-Richtlinie, die der Fertigung die Ausschließliche Kommunikation mit Personalabteilung und Marketing ermöglicht.

Für dieses Szenario ist es nicht erforderlich, IB-Richtlinien für PERSONAL oder Marketing zu definieren.

Die von Contoso definierten Segmente

Contoso verwendet das Department-Attribut in Microsoft Entra ID, um Segmente wie folgt zu definieren:

Department Segmentdefinition
Personal New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"
Vertrieb New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'"
Marketing New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'"
Forschung New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'"
Fertigung New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'"

Nachdem die Segmente definiert sind, definiert Contoso die IB-Richtlinien.

Ib-Richtlinien von Contoso

Contoso definiert drei IB-Richtlinien, wie in der folgenden Tabelle beschrieben:

Richtlinie Richtliniendefinition
Richtlinie 1: Unterbindung der Kommunikation von der Abteilung Vertrieb zur Abteilung Forschung New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

In diesem Beispiel heißt die IB-Richtlinie Sales-Research. Wenn diese Richtlinie aktiv und angewendet ist, verhindert sie, dass Benutzer im Segment Vertrieb Kommunikation an Benutzer im Segment Forschung richten können. Diese Richtlinie ist eine unidirektionale Politik; Dies verhindert nicht, dass Research mit Sales kommuniziert. Für diesen Fall ist Richtlinie 2 erforderlich.

Richtlinie 2: Unterbindung der Kommunikation von der Abteilung Forschung zur Abteilung Vertrieb New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive

In diesem Beispiel heißt die IB-Richtlinie Research-Sales. Wenn diese Richtlinie aktiv und angewendet ist, verhindert sie, dass Benutzer im Segment Forschung Kommunikation an Benutzer im Segment Vertrieb richten können.

Richtlinie 3: Zulassen, dass die Produktion nur mit PERSONAL und Marketing kommunizieren kann New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive

In diesem Fall heißt die IB-Richtlinie Manufacturing-HRMarketing. Wenn diese Richtlinie aktiv und angewendet ist, kann die Fertigung nur mit Personal und Marketing kommunizieren. Hr und Marketing sind nicht auf die Kommunikation mit anderen Segmenten beschränkt.

Nachdem Segmente und Richtlinien definiert sind, wendet Contoso die Richtlinien an, indem das Cmdlet Start-InformationBarrierPoliciesApplication ausgeführt wird .

Wenn das Cmdlet abgeschlossen ist, erfüllt Contoso die Branchenanforderungen.

Ressourcen