Uso de la compatibilidad multisegmento en las barreras de información
Importante
La compatibilidad con la asignación de usuarios a varios segmentos solo está disponible cuando la organización no está en modo heredado . Para determinar si su organización está en modo heredado , consulte Comprobar el modo IB de su organización y comprobar el valor de la InformationBarrierMode
propiedad.
Los usuarios están restringidos a asignarse a un solo segmento para organizaciones en modo heredado . Las organizaciones en modo heredado podrán actualizar a la versión más reciente de las barreras de información en el futuro. Para obtener más información, consulte el mapa de ruta de barreras de información.
El modo de varios segmentos le permite asignar a los usuarios de su organización hasta 10 segmentos en barreras de información en lugar de limitarse a un solo segmento. Esto permite admitir reglas de comunicación más diversas entre individuos y grupos para admitir escenarios operativos y organizativos más complejos. Para las organizaciones que usan compatibilidad con varios segmentos, todas las directivas de barreras de información deben definirse con una lista de permitidos.
Cuando se configura para la compatibilidad con varios segmentos, la compatibilidad de los usuarios depende de la asignación de cada usuario a un segmento compartido. Si los usuarios comparten la asignación al mismo segmento, son compatibles. Por ejemplo, en la tabla siguiente se muestra que el usuario A y el usuario B no son compatibles porque no comparten un segmento asignado. Sin embargo, el usuario A es compatible con el usuario C y el usuario B es compatible con el usuario C porque cada uno tiene un segmento asignado en común.
Usuario | Segmentos asignados |
---|---|
Usuario A | Segmento 1, segmento 2 |
Usuario B | Segmento 3, segmento 4 |
Usuario C | Segmento 2, segmento 4 |
Ejemplo de varios segmentos: escuelas, segmentos y directivas del Distrito Escolar Norte
El Distrito Escolar del Norte tiene dos escuelas, School 1 y School 2. La política del distrito es permitir que los alumnos y maestros se comuniquen entre sí solo si ambos están en la misma escuela. Por ejemplo, un alumno y un profesor que están en la Escuela 1 pueden comunicarse, pero un alumno de la Escuela 1 no puede comunicarse con un profesor de la Escuela 2. En este escenario, se configuran varios segmentos para admitir los siguientes escenarios de directiva de distrito:
Las escuelas y el plan del Distrito Escolar Del Norte
North School District's tiene dos escuelas:
Segmento | Comunicación permitida | Comunicación impedida |
---|---|---|
Escuela 1 | Alumnos y profesores de la Escuela 1 | Alumnos y profesores de la Escuela 2 |
Escuela 2 | Alumnos y profesores de la Escuela 2 | Alumnos y profesores de la Escuela 1 |
Para esta estructura, el plan del Distrito Escolar Norte incluye tres directivas de IB:
- Una política del IB diseñada para permitir que los alumnos y profesores de la Escuela 1 se comuniquen entre sí.
- Otra política del IB para permitir que los alumnos y profesores de la Escuela 2 se comuniquen entre sí.
- Otra política del IB diseñada para permitir que los profesores de la Escuela 1 y la Escuela 2 se comuniquen entre sí.
Segmentos definidos de North School District
North School District usará el atributo Department en Microsoft Entra ID para definir segmentos, como se indica a continuación:
Segmento | Definición del segmento |
---|---|
School1 | New-OrganizationSegment -Name "School1" -UserGroupFilter "Department -eq 'School1'" |
School2 | New-OrganizationSegment -Name "School2" -UserGroupFilter "Department -eq 'School2'" |
AllTeachers | New-OrganizationSegment -Name "AllTeachers" -UserGroupFilter "MemberOfGroup -eq 'AllTeachersgroup@northschoolsdistrict.com'" |
Con los segmentos definidos, Contoso continúa definiendo las directivas de IB.
Directivas del IB del Distrito Escolar del Norte
North School District define tres directivas de IB, como se describe en la tabla siguiente:
Policy | Definición de directiva |
---|---|
Directiva 1: Los alumnos y profesores de la Escuela 1 pueden comunicarse entre sí | New-InformationBarrierPolicy -Name School1Policy -SegmentsAllowed 'School1' -AssignedSegment 'School1' -State Active En este ejemplo, la directiva ib se denomina School1Policy. Cuando esta directiva está activa y aplicada, permite a los alumnos y profesores de la Escuela 1 comunicarse entre sí. Esta directiva es una directiva unidireccional; no impedirá que los alumnos y profesores de la Escuela 1 se comuniquen con la Escuela 2. Para eso, es necesaria la directiva 2. |
Directiva 2: Los alumnos y profesores de la Escuela 2 pueden comunicarse entre sí | New-InformationBarrierPolicy -Name School2Policy -SegmentsAllowed 'School2' -AssignedSegment 'School2' -State Active En este ejemplo, la directiva ib se denomina School2Policy. Cuando esta directiva está activa y aplicada, permite a los alumnos y profesores de la Escuela 2 comunicarse entre sí. |
Directiva 3: Los profesores de diferentes escuelas pueden comunicarse entre sí | New-InformationBarrierPolicy -Name AllTeachersPolicy -SegmentsAllowed 'AllTeachers' -AssignedSegment 'AllTeachers' -State Active En este caso, la directiva ib se denomina AllTeachersPolicy. Cuando esta directiva está activa y aplicada, los profesores de la Escuela 1 y la Escuela 2 pueden comunicarse entre sí. |
Con los segmentos y las directivas definidos, north school district aplica las directivas mediante la ejecución del cmdlet Start-InformationBarrierPoliciesApplication . Cuando finaliza el cmdlet, el Distrito Escolar del Norte ha implementado su directiva de comunicación para alumnos y profesores.
Comprobación del modo IB para su organización
Si quiere admitir la asignación de usuarios a varios segmentos, deberá comprobar que la organización del IB admite varios segmentos. Ejecute el siguiente cmdlet para comprobar el modo IB:
Get-PolicyConfig
Si el valor de la InformationBarrierMode
propiedad es SingleSegment, puede habilitar la compatibilidad con varios segmentos siguiendo las instrucciones de la sección Habilitar compatibilidad con varios segmentos para usuarios de este artículo. Si el valor de la InformationBarrierMode
propiedad es MultiSegment, puede omitir la habilitación de la compatibilidad con varios segmentos, ya está habilitada para su organización.
Si el valor de la InformationBarrierMode
propiedad es Heredado, no se admite la habilitación de varios segmentos para su organización. Las organizaciones heredadas podrán actualizar a la versión más reciente de las barreras de información en el futuro. Para obtener más información, consulte el mapa de ruta de barreras de información.
Habilitación de la compatibilidad con varios segmentos para los usuarios
Para habilitar la compatibilidad con varios segmentos para organizaciones en modo SingleSegment , no debe tener ningún segmento ib o directiva definido actualmente para su organización. Ejecute el siguiente cmdlet para habilitar la compatibilidad con varios segmentos en su organización:
Set-PolicyConfig -InformationBarrierMode 'MultiSegment'
Importante
Si habilita varios segmentos y ha configurado IB en su organización, no debe revertir a la compatibilidad con segmentos únicos.
Compatibilidad con varios segmentos para usuarios en OneDrive
Si la organización de IB no está en modo LegacyMode y ha configurado OneDrive para las barreras de información para la compatibilidad con varios segmentos, la experiencia del usuario de OneDrive es la siguiente:
Directiva de IB de OneDrive: OneDrive de un usuario de varios segmentos se establece automáticamente en modo moderado por el propietario de forma predeterminada.
Acceso al sitio de OneDrive por parte de un usuario de varios segmentos:
- Modo explícito o mixto : se concede acceso a un usuario de varios segmentos si tiene al menos uno de los segmentos como el de OneDrive y tiene permiso de acceso al sitio.
- Todos los demás modos: los usuarios tienen la misma experiencia de acceso al sitio que con la compatibilidad con un solo segmento.
Uso compartido de OneDrive por parte de un usuario de varios segmentos: un usuario de varios segmentos puede compartir un sitio de OneDrive y el contenido incluido según el modo IB que configura para OneDrive.
- Modo explícito : los usuarios pueden compartir contenido de OneDrive con otros usuarios que tengan el mismo segmento que OneDrive.
- Modo moderadopor propietario o abierto: los usuarios pueden compartir contenido con otros usuarios compatibles según las directivas de IB.
Para obtener más información sobre cómo administrar IB para OneDrive, consulte Uso de barreras de información con OneDrive.
Compatibilidad con varios segmentos para usuarios en SharePoint Online
Si la organización de IB no está en modo LegacyMode y ha configurado SharePoint para barreras de información para la compatibilidad con varios segmentos, la experiencia del usuario de SharePoint es la siguiente:
Creación de sitios: cuando un usuario de varios segmentos crea un sitio de SharePoint (un grupo de Microsoft 365 conectado o un sitio que no es de grupo), el sitio se establece automáticamente en modo moderado por el propietario .
Acceso al sitio de SharePoint por parte de un usuario de varios segmentos:
- Modo explícito: se concede acceso a los usuarios si tienen al menos uno de los segmentos como el del sitio y tienen permiso de acceso al sitio.
- Todos los demás modos: los usuarios tienen la misma experiencia de acceso al sitio que con la compatibilidad con un solo segmento.
Uso compartido de sitios de SharePoint por parte de un usuario de varios segmentos: un usuario de varios segmentos puede compartir el sitio y su contenido por modo IB del sitio.
- Modo explícito : puede compartir contenido con usuarios que coincidan con el segmento del sitio.
- Modo moderado por elpropietario o implícito: puede compartir contenido con los demás miembros existentes del grupo de Microsoft 365 conectados al sitio.
- Modo de apertura : puede compartir contenido con otros usuarios que sean compatibles según la directiva de IB.
Para obtener más información sobre cómo administrar IB para SharePoint, vea Usar barreras de información con SharePoint.
Compatibilidad con varios segmentos para usuarios en Microsoft Teams
Si la organización de IB no está en modo LegacyMode y ha configurado Teams para barreras de información para la compatibilidad con varios segmentos, la experiencia del usuario de Microsoft Teams es la siguiente:
- Creación de equipos: cuando un usuario de varios segmentos crea un equipo, el equipo se establece automáticamente en modo implícito de forma predeterminada.
- Adición de miembros del equipo: todos los usuarios del equipo deben tener un segmento compatible con todos los demás usuarios.
Para obtener más información sobre cómo administrar IB para Microsoft Teams, consulte Uso de barreras de información con Microsoft Teams.