Crear directiva de barreras de información

Completado

Las barreras de información (IB) son directivas que un administrador puede configurar para evitar que individuos o grupos se comuniquen entre sí.

Las directivas de IB también impiden las búsquedas y la detección. Si intenta comunicarse con alguien con un usuario con quien no debería, no lo encontrará en el selector de personas. Las barreras de información se pueden usar en algunos de los siguientes casos:

  • Cuando se debe impedir que un equipo se comunique o comparta datos con un equipo específico.

  • Cuando un equipo no se debe comunicar ni compartir datos con ningún usuario fuera de ese equipo.

Por ejemplo: Por ejemplo, Sergio pertenece al segmento de Banca y Pedro pertenece al segmento de Asesor financiero. Sergio y Pedro no se pueden comunicar entre sí porque la directiva de barrera de información de la organización bloquea la comunicación y la colaboración entre estos dos segmentos. Sin embargo, Sergio y Pedro pueden comunicarse con Alberto, de RR. HH.

Recorte de pantalla de Example que muestra las barreras de información que impiden la comunicación entre segmentos.

Cómo funcionan las barreras de información en Teams

Las barreras de información se admiten en Microsoft Teams, SharePoint y OneDrive. En Microsoft Teams, las directivas de IB se desencadenan cuando suceden los siguientes eventos de Teams:

  • Los miembros se agregan a un equipo: siempre que agregue un usuario a un equipo, la directiva del usuario debe evaluarse con las directivas de IB de otros miembros del equipo. Si la directiva del usuario impide que se agregue al equipo, el usuario no se mostrará en la búsqueda.

    Recorte de pantalla de la búsqueda de un nuevo miembro para agregar a un equipo y la búsqueda de ninguna coincidencia.

  • Se solicita un nuevo chat: cada vez que un usuario solicita un nuevo chat con uno o más usuarios, el chat se evalúa para asegurarse de que no infringe ninguna directiva de IB. Si la conversación infringe una directiva de IB, no se inicia la conversación. Este es un ejemplo de un chat entre dos usuarios.

    Recorte de pantalla que muestra la comunicación bloqueada en el chat 1:1.

  • Se invita a un usuario a unirse a una reunión: cuando se invita a un usuario a unirse a una reunión, la directiva de IB que se aplica al usuario se evalúa en función de las directivas de IB que se aplican a los demás miembros del equipo. Si hay una infracción, el usuario no podrá unirse a la reunión.

    Recorte de pantalla que muestra el usuario bloqueado en la reunión.

  • Se comparte pantalla entre dos o más usuarios: cuando un usuario comparte una pantalla con otros usuarios, el uso compartido debe evaluarse para asegurarse de que no infringe las directivas de IB de otros usuarios. Si se infringe una directiva de IB, no se permitirá el uso compartido de pantalla. Este es un ejemplo de uso compartido de pantalla después de aplicar la directiva. El uso compartido de pantalla y los iconos de llamada no están visibles.

    Recorte de pantalla que muestra el uso compartido del usuario con la configuración bloqueada.

  • Un usuario coloca una llamada de teléfono en Teams: cada vez que un usuario inicia una llamada de voz (a través de VOIP) a otro usuario o grupo de usuarios, la llamada se evalúa para asegurarse de que no infringe las directivas de IB de otros miembros del equipo. Si hay alguna infracción, se bloquea la llamada de voz.

  • Invitados en Teams: las directivas del IB también se aplican a los invitados de Teams. Puede definir directivas de IB una vez que los invitados se puedan detectar en la lista global de direcciones de su organización.

Cuando los administradores crean o actualizan directivas de barrera de información, el servicio busca automáticamente a los miembros para asegurarse de que los miembros del equipo no infringen ninguna directiva. Si hay una nueva infracción, se realizarán las siguientes acciones:

  • Chat 1:1: si ya no se permite la comunicación entre dos usuarios (debido a la aplicación a uno o ambos usuarios de una directiva que bloquea la comunicación), se bloquea la comunicación adicional. Sus conversaciones de chat existentes pasan a ser de solo lectura.

  • Chat en grupo: si los participantes de un chat de grupo infringen una directiva modificada o nueva, los participantes afectados se quitan del chat y pueden ver el historial de conversaciones en solo lectura.

  • Equipo: los usuarios que se han quitado del grupo se quitan del equipo y no podrán ver ni participar en conversaciones nuevas o existentes.

Flujo de trabajo

Hay varios pasos para configurar las directivas de barrera de información en Microsoft Teams. Cuando se crea un equipo, se aprovisiona un sitio de SharePoint y se asocia con Microsoft Teams para la experiencia de archivos. Las directivas de barrera de información no se respetan en este sitio y los archivos de SharePoint de forma predeterminada. Para habilitar las barreras de información en SharePoint y OneDrive, consulte Usar barreras de información con SharePoint.

Fase Lo que implica
Asegurarse de que se cumplen los requisitos previos - Comprobar que tiene las licencias y permisos necesarios
- Comprobar que el directorio incluye datos para segmentar usuarios
- Habilitar búsqueda de directorios enfocada para Microsoft Teams
- Asegurarse de que el registro de auditoría está activado
- Asegurarse de que no se han aplicado directivas de libreta de direcciones de Exchange
- Usar PowerShell
- Proporcionar consentimiento de administrador para Microsoft Teams
Parte 1: Segmentar usuarios en la organización - Determinar qué directivas se necesitan
- Crear una lista de segmentos que definir
- Identificar qué atributos usar
- Definir segmentos en términos de filtros de directiva
Parte 2: Definir directivas de barrera de información - Definir las directivas (aún no se aplican)
- Elegir entre dos tipos (bloquear o permitir)
Parte 3: Aplicar directivas de barrera de información - Establecer directivas en estado activo
- Ejecutar la aplicación de la directiva
- Ver el estado de la directiva

Requisitos previos para las barreras de información

Deben cumplirse los siguientes requisitos previos para implementar barreras de información:

  • Licencias necesarias para las barreras de información: las barreras de información son una característica avanzada de cumplimiento. La característica está disponible para los usuarios que tengan una de las siguientes licencias:

    • Microsoft 365 E5/A5/G5
    • Office 365 E5/A5/G5
    • Cumplimiento de Microsoft 365 E5/A5/G5/F5
    • Administración de riesgos internos de Microsoft 365 E5/A5/F5/G5
  • Permisos para directivas de barrera de información: para definir o editar directivas de barrera de información, los administradores deben asignarse a uno de los siguientes roles:

    • Administrador global de Microsoft 365 Enterprise
    • Administrador global de Office 365
    • Administrador de cumplimiento
  • Datos del directorio: asegúrese de que la estructura de su organización se refleja en los datos del directorio.

  • Búsqueda de directorios con ámbito: esta configuración debe estar activada.

  • Registro de auditoría: para buscar el estado de una aplicación de directiva, debe estar activado el registro de auditoría.

  • Sin directivas de libreta de direcciones: asegúrese de que no se ha aplicado ninguna directiva de libreta de direcciones de Exchange.

  • PowerShell con el módulo de cumplimiento de & seguridad: Las barreras de información se pueden configurar mediante PowerShell y conectando el módulo de seguridad y cumplimiento a la cuenta empresarial de Microsoft 365.

  • Consentimiento de administrador para las barreras de información en Microsoft Teams: use el siguiente procedimiento para permitir que las directivas de barrera de información funcionen según lo esperado en Microsoft Teams.

    1. Ejecute los siguientes cmdlets de PowerShell:

      # Login with the Azure Resource Manager PowerShell to your tenant:
      Login-AzureRmAccount
      # Save the information barrier service app id to a variable:
      $appId="bcf62038-e005-436d-b970-2a472f8c1982"
      # Get a service principal in Azure for the app id:
      $sp=Get-AzureRmADServicePrincipal -ServicePrincipalName $appId
      # If a service principal could not be retrieved, create a new one:
      if ($sp -eq $null) { New-AzureRmADServicePrincipal -ApplicationId $appId }
      # Start the process to grant consent, by running:
      Start-Process https://login.microsoftonline.com/common/adminconsent?client_id=$appId 
      
    2. Cuando se le pida, inicie sesión con su cuenta de profesional o educativa de Office 365.

    3. En el cuadro de diálogo Permisos solicitados, revise la información y, a continuación, seleccione Aceptar.

Parte 1: Segmentar usuarios en la organización

Durante esta fase, se determina qué directivas de barrera de información se necesitan, se hace una lista de segmentos para definir y, a continuación, se definen los segmentos. Al segmentar usuarios, hay dos reglas importantes:

  • Un usuario debe estar en un único segmento.

  • Cada segmento debe tener una única barrera de información.

Determinados atributos de directorio definen un segmento. Para asignar usuarios a un segmento, use el cmdlet New-OrganizationSegment con el parámetro UserGroupFilter:

  1. Abra PowerShell y conéctese con el módulo de seguridad y cumplimiento de PowerShell a la cuenta empresarial.

  2. Ejecute el siguiente cmdlet y reemplace segment-name por un nombre significativo y atributo y attribute-value con el atributo de directorio deseado para el que se filtrarán los miembros del segmento.

    New-OrganizationSegment -Name "segment-name" -UserGroupFilter "attribute -eq 'attribute-value'" 
    

    Para definir un segmento denominado Ventas mediante el atributo Departamento, use este comando:

    New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'
    
  3. Repita este proceso para cada segmento que desee definir.

Parte 2: Definir directivas de barrera de información

Después de crear los segmentos, puede crear las directivas que restringen los segmentos de la comunicación. Hay dos tipos de directivas:

  • Las directivas de bloqueo bloquean las comunicaciones entre segmentos.

  • Permitir directivas permite que un segmento se comunique solo con otro segmento.

Situación 1: bloquear las comunicaciones entre segmentos

Para impedir que los segmentos se comuniquen entre sí, necesita dos directivas: una para cada dirección. Cada directiva bloquea la comunicación en un solo sentido. Use el cmdlet New-InformationBarrierPolicy con el parámetro SegmentsBlocked:

New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsBlocked "segment2name"

Por ejemplo, para bloquear las comunicaciones entre los departamentos de Ventas e Investigación, use este comando:

## Prevent Sales from communicating with Research
New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

## Prevent Research from communicating with Sales
New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive

Situación 2: permitir que un segmento solo se comunique con otro segmento

Para permitir que un segmento se comunique solo con otro segmento, use el cmdlet New-InformationBarrierPolicy con el parámetro SegmentsAllowed:

New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsAllowed "segment2name","segment1name"

Por ejemplo, para permitir que el segmento Investigación se comunique solo con RR. HH. y Fabricación, use este comando:

New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State Inactive

Parte 3: Aplicar directivas de barrera de información

Las directivas de barreras de información no entran en vigor hasta que las establezca como activas y se aplique la directiva.

  1. Use el cmdlet Get-InformationBarrierPolicy para ver una lista de directivas que se han definido y tener en cuenta el estado e identidad (GUID) de cada directiva.

  2. Para establecer una directiva en estado activo, use el cmdlet Set-InformationBarrierPolicy con un parámetro de Identity y establezca el parámetro de State en Active:

    Set-InformationBarrierPolicy -Identity GUID -State Active
    
  3. Ejecute el siguiente cmdlet para iniciar las barreras de información en el espacio empresarial:

    Start-InformationBarrierPoliciesApplication

Después de ejecutar Start-InformationBarrierPoliciesApplication, debe dejar 30 minutos para que el sistema empiece a aplicar las directivas. El sistema aplica las directivas usuario por usuario. El sistema procesa unas 5 000 cuentas de usuario por hora.

Para más información, vea: