Erstellen einer Richtlinie für Informationsbarrieren

  • 8 Minuten

Informationsbarrieren (IBs) sind Richtlinien, die ein Administrator konfigurieren kann, um zu verhindern, dass Einzelpersonen oder Gruppen miteinander kommunizieren.

IB-Richtlinien verhindern auch Suchvorgänge und Entdeckungen. Wenn Sie versuchen, mit jemandem zu kommunizieren, mit dem Sie nicht kommunizieren sollten, werden Sie diesen Benutzer nicht in der Personenauswahl finden. Die Informationsbarrieren können in einigen der folgenden Fälle verwendet werden:

  • Wenn ein Team daran gehindert werden muss, mit einem bestimmten anderen Team zu kommunizieren oder Daten mit ihm zu teilen.

  • Wenn ein Team mit niemandem außerhalb dieses Teams kommunizieren oder Daten teilen darf..

Im Folgenden sehen Sie ein Beispiel. Alex gehört zum Segment „Banking“ und Bill zum Segment „Finanzberatung“. Alex und Bill können nicht miteinander kommunizieren, da die IB-Richtlinie der Organisation die Kommunikation und Zusammenarbeit zwischen diesen beiden Segmenten blockiert. Alex und Bill können jedoch mit Lee im Personalwesen kommunizieren.

Screenshot: Beispiel für Informationsbarrieren, die die Kommunikation zwischen Segmenten verhindern.

Wie Informationsbarrieren in Teams funktionieren

Informationsbarrieren werden in Microsoft Teams, SharePoint und OneDrive unterstützt. In Microsoft Teams werden IB-Richtlinien ausgelöst, wenn die folgenden Teams-Ereignisse stattfinden:

  • Mitglieder werden zu einem Team hinzugefügt: Wenn Sie einen Benutzer zu einem Team hinzufügen, muss die Richtlinie des Benutzers mit den IB-Richtlinien der anderen Teammitglieder verglichen werden. Wenn die Richtlinie des Benutzers das Hinzufügen zum Team verhindert, wird der Benutzer in der Suche nicht angezeigt.

    Screenshot: Suche nach einem neuen Mitglied, das einem Team hinzugefügt werden soll, wobei keine Übereinstimmungen gefunden werden.

  • Ein neuer Chat wird angefordert: Jedes Mal, wenn ein Benutzer einen neuen Chat mit einem oder mehreren anderen Benutzern anfordert, wird der Chat geprüft, um sicherzustellen, dass er nicht gegen die IB-Richtlinien verstößt. Wenn die Unterhaltung gegen eine IB-Richtlinie verstößt, wird die Unterhaltung nicht gestartet. Hier ist ein Beispiel für einen Einzelchat.

    Screenshot mit blockierter Kommunikation im 1:1-Chat.

  • Ein Benutzer wird zur Teilnahme an einer Besprechung eingeladen: Wenn ein Benutzer zur Teilnahme an einer Besprechung eingeladen wird, wird die IB-Richtlinie, die für den Benutzer gilt, anhand der IB-Richtlinien bewertet, die für die anderen Teammitglieder gelten. Wenn ein Verstoß vorliegt, kann der Benutzer nicht an der Besprechung teilnehmen.

    Screenshot, der zeigt, dass ein Benutzer für eine Besprechung blockiert ist.

  • Ein Bildschirm wird zwischen zwei oder mehr Benutzern geteilt: Wenn ein Benutzer einen Bildschirm mit anderen Benutzern teilt, muss die Freigabe geprüft werden, um sicherzustellen, dass sie nicht gegen die IB-Richtlinien anderer Benutzer verstößt. Wenn ein Verstoß einer IB-Richtlinie vorliegt, ist die Bildschirmfreigabe nicht zulässig. Hier ist ein Beispiel für eine Bildschirmfreigabe, nachdem die Richtlinie angewendet wurde. Die Bildschirmfreigabe- und Anrufsymbole sind nicht sichtbar.

    Screenshot der Benutzerfreigabe mit blockierten Einstellungen.

  • Ein Benutzer tätigt einen Anruf in Teams: Wenn ein Benutzer einen Sprachanruf (über VOIP) an einen anderen Benutzer oder eine Gruppe von Benutzern startet, wird der Anruf geprüft, um sicherzustellen, dass er nicht gegen die IB-Richtlinien anderer Teammitglieder verstößt. Wenn ein Verstoß vorliegt, wird der Sprachanruf blockiert.

  • Gäste in Teams: Die IB-Richtlinien gelten auch für Gäste in Teams. Sie können IB-Richtlinien definieren, sobald Gäste in der globalen Adressliste Ihrer Organisation entdeckt werden können.

Wenn Administratoren Richtlinien für Informationsbarrieren erstellen oder aktualisieren, durchsucht der Dienst automatisch die Mitglieder, um sicherzustellen, dass die Teammitglieder keine Richtlinien verletzen. Werden neue Verstöße festgestellt, werden die folgenden Aktionen ausgeführt:

  • 1:1-Chat: Wenn die Kommunikation zwischen zwei Benutzern (aufgrund der Anwendung einer Richtlinie, die die Kommunikation blockiert, auf einen oder beide Benutzer) nicht mehr zulässig ist, wird die weitere Kommunikation blockiert. Ihre vorhandenen Chatunterhaltungen werden schreibgeschützt.

  • Gruppenchat: Wenn Teilnehmer eines Gruppenchats gegen eine geänderte oder neue Richtlinie verstoßen, werden die betroffenen Teilnehmer aus dem Chat entfernt und sie können den Unterhaltungsverlauf schreibgeschützt einsehen.

  • Team: Alle Benutzer, die aus der Gruppe entfernt wurden, werden aus dem Team entfernt und können keine bestehenden oder neuen Unterhaltungen anzeigen oder daran teilnehmen.

Workflow

Die Konfiguration von Richtlinien zur Informationsbarriere für Microsoft Teams erfolgt in mehreren Schritten. Wenn ein Team erstellt wird, wird eine SharePoint-Website bereitgestellt und mit Microsoft Teams für die Dateierfahrung verknüpft. Richtlinien zur Informationsbarriere werden auf dieser SharePoint-Website und in Dateien standardmäßig nicht berücksichtigt. Informationen zum Aktivieren von Informationsbarrieren in SharePoint und OneDrive finden Sie unter Verwenden von Informationsbarrieren mit SharePoint.

Phase Was beteiligt ist
Stellen Sie sicher, dass die Voraussetzungen erfüllt sind - Stellen Sie sicher, dass Sie über die erforderlichen Lizenzen und Berechtigungen verfügen
- Stellen Sie sicher, dass Ihr Verzeichnis Daten zur Segmentierung von Benutzern enthält
- Aktivieren Sie die Verzeichnissuche für Microsoft Teams
- Stellen Sie sicher, dass die Audit-Protokollierung aktiviert ist
- Stellen Sie sicher, dass keine Exchange-Adressbuchrichtlinien vorhanden sind
- Verwenden Sie PowerShell
- Erteilen Sie die Zustimmung des Administrators für Microsoft-Teams
Teil 1: Segmentieren Sie Benutzer in Ihrer Organisation - Bestimmen Sie, welche Richtlinien erforderlich sind
- Erstellen Sie eine Liste der zu definierenden Segmente
- Identifizieren Sie, welche Attribute verwendet werden sollen
- Definieren Sie Segmente in Bezug auf Richtlinienfilter
Teil 2: Definieren Sie Richtlinien für Informationsbarrieren - Definieren Sie Ihre Richtlinien (gelten noch nicht)
- Wählen Sie aus zwei Arten (blockieren oder zulassen)
Teil 3: Wenden Sie die Richtlinien für Informationsbarrieren an - Versetzen Sie Richtlinien in den aktiven Status
- Führen Sie die Richtlinienanwendung aus
- Zeigen Sie den Richtlinienstatus an

Voraussetzungen für Informationsbarrieren

Die folgenden Voraussetzungen müssen erfüllt sein, um Informationsbarrieren zu implementieren:

  • Erforderliche Lizenzen für Informationsbarrieren: Informationsbarrieren sind eine erweiterte Compliance-Funktion. Die Funktion ist für Benutzer mit einer der folgenden Lizenzen verfügbar:

    • Microsoft 365 E5/A5/G5
    • Office 365 E5/A5/G5
    • Microsoft 365 E5/A5/G5/F5 Compliance
    • Microsoft 365 E5/A5/F5/G5 Insider-Risikomanagement

  • Berechtigungen für Richtlinie für Informationsbarrieren: Um Richtlinien für Informationsbarrieren zu definieren oder zu bearbeiten, müssen Administratoren einer der folgenden Rollen zugewiesen sein:

    • Globaler Microsoft 365-Unternehmensadministrator
    • Globaler Office 365-Administrator
    • Complianceadministrator

  • Verzeichnisdaten: Stellen Sie sicher, dass sich die Struktur Ihrer Organisation in den Verzeichnisdaten widerspiegelt.

  • Bereichsbezogene Verzeichnissuche: Diese Einstellung muss aktiviert sein.

  • Überwachungsprotokollierung: Um den Status einer Richtlinienanwendung zu überprüfen, muss die Überwachungsprotokollierung aktiviert sein.

  • Keine Adressbuchrichtlinien: Stellen Sie sicher, dass keine Exchange-Adressbuchrichtlinien vorhanden sind.

  • PowerShell mit dem Security & Compliance-Modul: Informationsbarrieren können mithilfe von PowerShell konfiguriert werden, indem das Security and Compliance-Modul mit Ihrem Microsoft 365-Mandanten verbunden wird.

  • Zustimmung des Administrators zu Informationsbarrieren in Microsoft Teams: Verwenden Sie das folgende Verfahren, um zu ermöglichen, dass die Richtlinien für Informationsbarrieren in Microsoft Teams wie erwartet funktionieren.

    1. Führen Sie die folgenden PowerShell-Cmdlets aus:

      # Login with the Azure Resource Manager PowerShell to your tenant:
Login-AzureRmAccount
# Save the information barrier service app id to a variable:
$appId="bcf62038-e005-436d-b970-2a472f8c1982"
# Get a service principal in Azure for the app id:
$sp=Get-AzureRmADServicePrincipal -ServicePrincipalName $appId
# If a service principal could not be retrieved, create a new one:
if ($sp -eq $null) { New-AzureRmADServicePrincipal -ApplicationId $appId }
# Start the process to grant consent, by running:
Start-Process https://login.microsoftonline.com/common/adminconsent?client_id=$appId

    2. Wenn Sie dazu aufgefordert werden, melden Sie sich mit Ihrem Arbeits-, Schul- oder Unikonto für Office 365 an.

    3. Überprüfen Sie die Informationen im Dialogfeld Angeforderte Berechtigungen, und wählen Sie Akzeptieren aus.

Teil 1: Segmentieren Sie Benutzer in Ihrer Organisation

In dieser Phase legen Sie fest, welche Richtlinien für Informationsbarrieren erforderlich sind, erstellen eine Liste der zu definierenden Segmente und definieren dann Ihre Segmente. Beim Segmentieren von Benutzern gibt es zwei wichtige Regeln:

  • Ein Benutzer darf sich nur in einem Segment befinden.

  • Jedes Segment darf nur eine Informationsbarriere haben.

Ein Segment wird durch bestimmte Verzeichnisattribute definiert. Zum Zuweisen von Benutzern zu einem Segment verwenden Sie das Cmdlet New-OrganizationSegment mit dem Parameter UserGroupFilter:

  1. Öffnen Sie PowerShell und stellen Sie eine Verbindung zwischen dem PowerShell-Modul Security & Compliance und Ihrem Mandanten her.

  2. Führen Sie das folgende Cmdlet aus und ersetzen Sie segment-name durch einen aussagekräftigen Namen und sowohl attribute als auch attribute-value durch das gewünschte Verzeichnisattribut, nach dem Segmentmitglieder gefiltert werden sollen.

    New-OrganizationSegment -Name "segment-name" -UserGroupFilter "attribute -eq 'attribute-value'"

    Um z. B. ein Segment mit dem Namen „Vertrieb" zu definieren und dabei das Attribut „Abteilung" zu verwenden, verwenden Sie diesen Befehl:

    New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'

  3. Wiederholen Sie diesen Vorgang für jedes Segment, das Sie definieren möchten.

Teil 2: Definieren Sie Richtlinien für Informationsbarrieren

Nachdem Sie Segmente erstellt haben, können Sie die Richtlinien erstellen, die die Kommunikation zwischen den Segmenten einschränken. Es existieren zwei Arten von Richtlinien:

  • Richtlinie zum Blockieren blockieren die Kommunikation zwischen Segmenten.

  • Richtlinie zum Zulassen erlauben, dass ein Segment nur mit einem anderen Segment kommuniziert.

Szenario 1: Blockieren der Kommunikation zwischen Segmenten

Um zu verhindern, dass Segmente miteinander kommunizieren, benötigen Sie zwei Richtlinien: eine für jede Richtung. Jede Richtlinie blockiert nur die Kommunikation auf eine Weise. Verwenden Sie das Cmdlet New-InformationBarrierPolicy mit dem Parameter SegmentsBlocked:

New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsBlocked "segment2name"

Um zum Beispiel die Kommunikation zwischen den Abteilungen Vertrieb und Forschung zu blockieren, verwenden Sie diesen Befehl:

## Prevent Sales from communicating with Research
New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

## Prevent Research from communicating with Sales
New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive

Szenario 2: Zulassen, dass ein Segment nur mit einem anderen Segment kommuniziert

Damit ein Segment mit einem anderen Segment kommunizieren kann, verwenden Sie das Cmdlet New-InformationBarrierPolicy mit dem Parameter SegmentsAllowed:

New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsAllowed "segment2name","segment1name"

Wenn Sie z. B. möchten, dass das Forschungssegment nur mit der Personalabteilung und der Fertigung kommuniziert, verwenden Sie diesen Befehl:

New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State Inactive

Teil 3: Wenden Sie die Richtlinien für Informationsbarrieren an

Richtlinien für Informationsbarrieren sind erst wirksam, wenn Sie sie auf den aktiven Status setzen und dann die Richtlinien anwenden.

  1. Verwenden Sie das Cmdlet Get-InformationBarrierPolicy, um eine Liste der definierten Richtlinien anzuzeigen. Beachten Sie den Status und die Identität (GUID) der einzelnen Richtlinien.

  2. Um eine Richtlinie in den aktiven Zustand zu versetzen, berwenden Sie das Cmdlet Set-InformationBarrierPolicy mit einem Identity-Parameter und dem auf Active gesetzten State-Parameter:

    Set-InformationBarrierPolicy -Identity GUID -State Active

  3. Führen Sie das folgende Cmdlet aus, um Informationsbarrieren in Ihrem Mandanten zu starten:

    Start-InformationBarrierPoliciesApplication

Nachdem Sie Start-InformationBarrierPoliciesApplication ausgeführt haben, sollten Sie 30 Minuten warten, bis das System mit der Anwendung der Richtlinien beginnt. Das System wendet die Richtlinien Benutzer für Benutzer an. Das System verarbeitet etwa 5 000 Benutzerkonten pro Stunde.

Weitere Informationen finden Sie unter: