Untersuchen von Informationsbarrieren in Microsoft Teams

9 Minuten

Microsoft Purview Information Barriers (IBs) sind Richtlinien, die ein Administrator konfigurieren kann, um zu verhindern, dass Einzelpersonen oder Gruppen miteinander kommunizieren. Ip-Adressen sind z. B. nützlich, wenn eine Abteilung Informationen verarbeitet, die sie nicht mit anderen Abteilungen teilen sollte. Ip-Adressen sind auch nützlich, wenn ein organization eine Gruppe isolieren oder verhindern möchte, dass sie mit jemandem außerhalb dieser Gruppe kommuniziert.

Das Feature Freigegebene Kanäle in Microsoft Teams unterstützt Informationsbarrieren. Je nach Art der Freigabe können Richtlinien für Informationsbarrieren die Freigabe auf bestimmte Weise einschränken. Weitere Informationen zum Verhalten von freigegebenen Kanälen und Informationsbarrieren finden Sie unter Informationsbarrieren und freigegebene Kanäle.

Organisationen erstellen Richtlinien für Informationsbarrieren im Microsoft Purview-Complianceportal. Sobald eine organization eine IB-Richtlinie erstellt, kann Microsoft 365 sie auf verschiedene Microsoft 365-Dienste anwenden, einschließlich Microsoft Teams, OneDrive und SharePoint. Für Teams können Informationsbarrieren die folgenden Arten von nicht autorisierter Zusammenarbeit bestimmen und verhindern:

Hinzufügen eines Benutzers zu einem Team oder Kanal
Benutzerzugriff auf Team- oder Kanalinhalte
Benutzerzugriff auf 1:1- und Gruppenchats
Benutzerzugriff auf Besprechungen
Verhindert Nachschlagevorgänge und Ermittlungen (die Personenauswahl zeigt Keine Benutzer an)

Organisationen können Informationsbarrieren in Microsoft Teams nutzen, um ein Team daran zu hindern, Daten zu kommunizieren oder zu teilen mit:

Ein anderes spezifisches Team.
Jeder außerhalb des Teams.

Der Information Barrier Policy Evaluation Service (IBPES) bestimmt, ob eine Kommunikation den IB-Richtlinien entspricht.

Trigger für Informationsbarrieren

In Microsoft 365 erstellen Organisationen Richtlinien für Informationsbarrieren, um die Kommunikationseinschränkungen zwischen verschiedenen Benutzergruppen zu definieren. Diese Einschränkungen basieren auf Benutzerattributen wie Abteilung, Standort, Position usw. Eine Richtlinie enthält eine Reihe von Regeln, die bestimmen, welche Benutzer oder Benutzergruppen miteinander kommunizieren können oder nicht.

Wenn ein organization ein Microsoft Teams-Ereignis ausführt, überprüft der Auswertungsdienst für Informationsbarrierenrichtlinien die Richtlinien für Informationsbarrieren, die dem Benutzer zugewiesen sind, der das Ereignis ausführt. Das IBPES wertet die IB-Richtlinien des Benutzers anhand der Richtlinien der vorhandenen Teammitglieder aus, um sicherzustellen, dass die Kommunikation zwischen ihnen den definierten Regeln entspricht. Wenn die Richtlinien des neuen Benutzers mit den Richtlinien eines anderen Teammitglieds in Konflikt geraten, schränkt Microsoft Teams deren Kommunikation entsprechend ein.

Microsoft 365 aktiviert IB-Richtlinien, wenn die folgenden Teams-Ereignisse stattfinden:

Hinzufügen eines Benutzers zu einem Team. Wenn ein organization versucht, einem Team einen neuen Benutzer hinzuzufügen, überprüft der Auswertungsdienst für Richtlinien für Informationsbarrieren die IB-Richtlinien des Benutzers. Sie wertet sie anhand der Richtlinien der vorhandenen Teammitglieder aus, um sicherzustellen, dass die Kommunikation zwischen ihnen den definierten Regeln entspricht. Wenn keine Verstöße auftreten und die organization den Benutzer erfolgreich zum Team hinzufügt, kann der Benutzer alle Funktionen im Team ohne weitere Überprüfungen ausführen. Wenn die Richtlinie des Benutzers jedoch verhindert, dass die organization sie dem Team hinzufügen können, wird der Benutzer nicht in der Suche angezeigt.
Ein Benutzer fordert einen neuen Chat an. Jedes Mal, wenn ein Benutzer einen neuen Chat mit einem oder mehreren anderen Benutzern anfordert, wertet der Auswertungsdienst für Richtlinien für Informationsbarrieren den Chat aus, um sicherzustellen, dass er keine IB-Richtlinien verletzt. Wenn die Konversation gegen eine IB-Richtlinie verstößt, startet Teams die Konversation nicht.

Hier ist ein Beispiel für einen Einzelchat.

Hier sehen Sie ein Beispiel für einen Gruppenchat.
Ein Besprechungsmitglied lädt einen Benutzer zur Teilnahme an der Besprechung ein. In diesem Szenario wertet der Auswertungsdienst für Informationsbarriererichtlinien die IB-Richtlinie des Benutzers anhand der IB-Richtlinien aus, die für die anderen Teammitglieder gelten. Wenn ein Verstoß vorliegt, lässt Teams dem Benutzer nicht zu, an der Besprechung teilzunehmen.
Zwei oder mehr Benutzer teilen sich einen Bildschirm. Wenn ein Benutzer einen Bildschirm für andere Benutzer freigibt, muss der Auswertungsdienst für Informationsbarriererichtlinien die Freigabe auswerten. Es überprüft, ob die Freigabe gegen die IB-Richtlinien anderer Benutzer verstößt. Wenn die Freigabe gegen die IB-Richtlinie eines anderen Benutzers verstößt, lässt Teams die Bildschirmfreigabe nicht zu.

Hier sehen Sie ein Beispiel für eine Bildschirmfreigabe, bevor Microsoft Teams die IB-Richtlinie anwendet.

Hier sehen Sie ein Beispiel für die Bildschirmfreigabe, nachdem Teams die IB-Richtlinie angewendet hat. Teams zeigt keine Symbole für Bildschirmfreigabe und Anruf an.
Ein Benutzer platziert einen Telefonanruf in Teams. Wenn ein Benutzer einen Sprachanruf (über Voice over IP oder VOIP) mit einem anderen Benutzer oder einer anderen Benutzergruppe initiiert, wertet der Auswertungsdienst für Die Richtlinie für Informationsbarrieren den Anruf aus. Es überprüft, ob der Anruf gegen die IB-Richtlinien anderer Teammitglieder verstößt. Wenn ein Verstoß vorliegt, blockiert Teams den Sprachanruf.
Gäste in Teams. IB-Richtlinien gelten auch für Gäste in Teams. Wenn Gäste in der globalen Adressliste eines organization auffindbar sein müssen, lesen Sie Verwalten des Gastzugriffs in Microsoft 365-Gruppen. Sobald Gäste auffindbar sind, können die organization IB-Richtlinien definieren.

Auswirkungen von IB-Richtlinienänderungen auf vorhandene Chats

Manchmal findet ein vorhandener Chat oder eine andere Kommunikation zwischen Benutzern statt, wenn eine Änderung der Richtlinie für informationsbarrieren eintritt. Beispielsweise kann ein organization:

Erstellen Sie eine neue IB-Richtlinie.
Ändern einer vorhandenen IB-Richtlinie.
Aktivieren Sie eine Änderung der IB-Richtlinie aufgrund einer Änderung des Benutzerprofils, z. B. einer Auftragsänderung.

Wie wirken sich diese Änderungen der IB-Richtlinie auf vorhandene Chats aus? In diesen Fällen wertet der Dienst für die Auswertung der Richtlinie für Informationsbarrieren vorhandene Kommunikationen aus, um sicherzustellen, dass die Kommunikation weiterhin erfolgen kann. Dabei werden die Mitglieder automatisch durchsucht, um sicherzustellen, dass ihre Mitgliedschaft im Team keine Richtlinien verletzt.

1:1-Chat. Wenn die Kommunikation zwischen zwei Benutzern nicht mehr zulässig ist (aufgrund der Anwendung auf einen oder beide Benutzer einer Richtlinie, die die Kommunikation blockiert), blockiert Teams die weitere Kommunikation. Ihre vorhandenen Chatunterhaltungen werden schreibgeschützt.

Hier ist ein Beispiel, das zeigt, dass der Chat sichtbar ist.

Hier ist ein Beispiel, das zeigt, was geschieht, wenn Teams den Chat deaktiviert.
Gruppenchat. Was passiert, wenn die Kommunikation zwischen einem Benutzer und einer Gruppe nicht mehr zulässig ist (z. B. weil ein Benutzer aufträge geändert hat)? In diesem Szenario entfernt Teams alle Benutzer, deren Teilnahme gegen die Richtlinie verstößt, aus dem Gruppenchat. Darüber hinaus verbietet Teams die weitere Kommunikation mit der Gruppe. Der Benutzer kann weiterhin alte Unterhaltungen sehen. Sie können jedoch keine neuen Unterhaltungen mit der Gruppe sehen oder daran teilnehmen. Wenn die neue oder geänderte Richtlinie, die die Kommunikation verhindert, für mehrere Benutzer gilt, kann Teams die von der Richtlinie betroffenen Benutzer aus dem Gruppenchat entfernen. Sie können immer noch alte Unterhaltungen sehen.

In diesem Beispiel wurde Enrico in eine andere Abteilung innerhalb des organization verschoben. Daher hat Teams Enrico aus dem Gruppenchat entfernt.

Enrico kann keine Nachrichten mehr an den Gruppenchat senden.
Team. Wenn Teams Benutzer aus der Gruppe entfernt, werden sie auch aus dem Team entfernt. Daher können sie vorhandene oder neue Unterhaltungen nicht sehen oder daran teilnehmen.

Modi für Informationsbarrieren und Teams

Der Modus "Informationsbarrieren" hilft Organisationen dabei, zu stärken, wen sie einem Team hinzufügen oder daraus entfernen können. Wenn ein organization Informationsbarrieren mit Microsoft Teams verwendet, unterstützt Microsoft Purview die folgenden IB-Modi:

Öffnen Sie. Diese Konfiguration ist der IB-Standardmodus für alle vorhandenen Gruppen, die ein organization bereitgestellt, bevor Informationsbarrieren aktiviert wurden. In diesem Modus gelten keine IB-Richtlinien.
Implizit. Diese Konfiguration ist der Ib-Standardmodus, wenn ein organization ein Team bereitstellt, nachdem Informationsbarrieren aktiviert wurden. Im impliziten Modus kann ein organization alle kompatiblen Benutzer in der Gruppe hinzufügen.
Besitzer moderiert. Microsoft Purview legt diesen Modus für ein Team fest, wenn der Teambesitzer die Zusammenarbeit zwischen inkompatiblen Segmentbenutzern zulassen möchte. Der Teambesitzer kann neue Mitglieder gemäß seiner IB-Richtlinie hinzufügen.

Wenn ein organization Vor dem Aktivieren einer Richtlinie für Informationsbarrieren Teams erstellt, legt Microsoft Purview den IB-Modus der Teams automatisch standardmäßig auf Öffnen fest. Sobald der organization IB-Richtlinien für seinen Microsoft 365-Mandanten aktiviert, muss er den Modus seiner vorhandenen Teams auf Implizit aktualisieren, um sicherzustellen, dass vorhandene Teams IB-konform sind.

Organisationen sollten das Cmdlet Set-UnifiedGroup mit dem Parameter InformationBarrierMode verwenden, der dem Modus entspricht, den sie für ihre Segmente verwenden möchten. Die zulässigen Werte für den InformationBarrierMode-Parameter sind Open, Implicit und Owner Moderated.

Um beispielsweise den impliziten Modus für eine Microsoft 365-Gruppe zu konfigurieren, sollte ein organization den folgenden PowerShell-Befehl verwenden:

Set-UnifiedGroup -InformationBarrierMode Implicit

Zusätzliche PowerShell-Ressource. Verwenden Sie dieses PowerShell-Skript, um den Modus für alle vorhandenen Teams von Öffnen auf Implizit zu aktualisieren.

Wenn ein organization die Konfiguration des Offenen Modus für vorhandene mit Teams verbundene Gruppen ändert, um die Complianceanforderungen zu erfüllen, muss er die IB-Modi für zugeordnete SharePoint-Websites aktualisieren, die mit dem Teams-Team verbunden sind.

Bekannte Probleme

In den folgenden Abschnitten werden bekannte Probleme beim Implementieren von Informationsbarrieren in Microsoft Teams beschrieben.

Benutzer können nicht an Ad-hoc-Besprechungen teilnehmen

Es gibt eine maximale Größe für Besprechungslisten in Microsoft Teams. Die maximale Anzahl von Teilnehmern, die an einer Besprechung teilnehmen können, hängt von der Art der verwendeten Besprechung ab. An einer Standardmäßigen Teams-Besprechung können beispielsweise bis zu 300 Teilnehmer teilnehmen. Im Feature "Liveereignisse" in Teams können Sie jedoch bis zu 20.000 Teilnehmer hosten. Da die maximale Anzahl von Teilnehmern für jeden Besprechungstyp festgelegt ist, können Organisationen sie nicht ändern.

Wenn ein organization IB-Richtlinien aktiviert, erlaubt Microsoft Teams Benutzern nicht, an Besprechungen teilzunehmen, wenn die Größe der Besprechungsliste größer als die Anwesenheitsbeschränkungen für Besprechungen ist. Die Grundursache ist, dass IB-Überprüfungen davon abhängen, ob Teams Benutzer zu einer Besprechungschatliste hinzufügen kann. Nur wenn Teams sie der Liste hinzufügen kann, können sie an der Besprechung teilnehmen. Ein Benutzer, der an einer Besprechung teilnimmt, fügt diesen Benutzer der Liste hinzu. Daher kann die Liste für wiederkehrende Besprechungen schnell gefüllt werden.

Was geschieht, wenn die Chatliste die Grenzwerte für die Teilnahme an Besprechungen erreicht, aber neue Benutzer, die nicht in der Liste sind, weiterhin an der Besprechung teilnehmen möchten? Die Antwort hängt davon ab, ob die organization ib aktiviert ist:

Wenn die organization IB aktiviert ist, lässt Teams nicht zu, dass neue Benutzer an der Besprechung teilnehmen können.
Wenn die organization IB nicht aktiviert hat, ermöglicht Teams neuen Benutzern die Teilnahme an der Besprechung. Die Chatoption wird in der Besprechung jedoch nicht angezeigt.

Tipp

Bis Microsoft die Anzahl der Besprechungschatlisten erhöht, besteht eine kurzfristige Lösung darin, inaktive Mitglieder aus der Liste des Besprechungschats zu entfernen, um Platz für neue Benutzer zu schaffen.

Benutzer können nicht an Kanalbesprechungen teilnehmen

Wenn ein organization IB-Richtlinien aktiviert, können Mitglieder des Teams nicht an Kanalbesprechungen teilnehmen. Nur Nichtmitglieder des Teams können an Kanalbesprechungen teilnehmen. Die Grundursache ist, dass IB-Überprüfungen davon abhängen, ob ein organization Benutzer zu einer Besprechungschatliste hinzufügen kann. Sie können nur an der Besprechung teilnehmen, wenn die organization sie der Besprechungsliste hinzufügen können. Der Chatthread in einer Kanalbesprechung ist nur für Team-/Kanalmitglieder verfügbar. Nichtmitglieder können den Chatthread nicht sehen oder auf den Chatthread zugreifen.

Wenn ein organization IB aktiviert und ein Nichtteammitglied versucht, an einer Kanalbesprechung teilzunehmen, lässt Teams diesem Benutzer nicht zu, an der Besprechung teilzunehmen. Wenn die organization IB nicht aktiviert hat und ein Nichtteammitglied versucht, an einer Kanalbesprechung teilzunehmen, ermöglicht Teams dem Benutzer die Teilnahme an der Besprechung. Die Chatoption wird in der Besprechung jedoch nicht angezeigt.

Maximal zulässige Anzahl von Segmenten in einem organization

Jede organization kann beim Konfigurieren von IB-Richtlinien bis zu 100 Segmente einrichten. Es gibt keine Beschränkung für die Anzahl von Richtlinien, die ein organization konfigurieren kann.

IB-Richtlinien funktionieren nicht für Verbundbenutzer

Wenn ein organization den Verbund mit externen Organisationen zulässt, schränken IB-Richtlinien die Benutzer dieser externen Organisationen nicht ein. Wenn Benutzer eines organization an einem Chat oder einer Besprechung teilnehmen, die von externen Verbundbenutzern organisiert wird, schränken IB-Richtlinien auch die Kommunikation zwischen Benutzern der organization nicht ein.

Wissenscheck

Wählen Sie für jede der folgenden Fragen die beste Antwort aus.