Introducción a las barreras de información
En este artículo se describe cómo configurar directivas de barreras de información (IB) en su organización. Hay varios pasos implicados, por lo que asegúrese de revisar todo el proceso antes de empezar a configurar las directivas de IB.
Configurará IB en su organización mediante el portal de Microsoft Purview, el portal de cumplimiento de Microsoft Purview o mediante PowerShell de seguridad y cumplimiento de Office 365. Para las organizaciones que configuran IB por primera vez, se recomienda usar la solución Barreras de información en el portal de cumplimiento. Si está administrando una configuración de IB existente y se siente cómodo con PowerShell, todavía tiene esta opción.
Para obtener más información sobre los escenarios y características de IB, consulte Más información sobre las barreras de información.
Sugerencia
Para ayudarle a preparar el plan, en este artículo se incluye un escenario de ejemplo .
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Suscripciones y permisos necesarios
Antes de empezar a trabajar con IB, debe confirmar su suscripción a Microsoft 365 y cualquier complemento. Para acceder y usar IB, la organización debe tener suscripciones o complementos auxiliares. Para obtener más información, consulte los requisitos de suscripción para las barreras de información.
Para administrar las directivas de IB, se le debe asignar uno de los siguientes roles:
- Administrador global de Microsoft 365
- Administrador global de Office 365
- Administrador de cumplimiento
- Administración de cumplimiento IB
Importante
Microsoft recomienda usar roles con los permisos más mínimos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
Conceptos de configuración
Al configurar IB, trabajará con varios objetos y conceptos.
Los atributos de cuenta de usuario se definen en Microsoft Entra ID (o Exchange Online). Estos atributos pueden incluir departamento, puesto, ubicación, nombre del equipo y otros detalles del perfil de trabajo. Asignará usuarios o grupos a segmentos con estos atributos.
Los segmentos son conjuntos de grupos o usuarios definidos en el portal de Microsoft Purview, el portal de cumplimiento o mediante PowerShell que usa atributos de cuenta de usuario o grupo seleccionados.
Su organización puede tener hasta 5000 segmentos y los usuarios se pueden asignar a un máximo de 10 segmentos. Consulte la lista de atributos admitidos por IB para obtener más información.
Importante
La compatibilidad con 5000 segmentos y la asignación de usuarios a varios segmentos solo está disponible cuando la organización no está en modo heredado . La asignación de usuarios a varios segmentos requiere acciones adicionales para cambiar el modo de barreras de información para su organización. Para obtener más información, consulte Uso de la compatibilidad con varios segmentos en barreras de información para obtener más información.
En el caso de las organizaciones en modo heredado , el número máximo de segmentos admitidos es de 250 y los usuarios están restringidos a asignarse a un solo segmento. Las organizaciones en modo heredado podrán actualizar a la versión más reciente de las barreras de información en el futuro. Para obtener más información, consulte el mapa de ruta de barreras de información.Las directivas de IB determinan límites o restricciones de comunicación. Al definir directivas de IB, puede elegir entre dos tipos de directivas:
Las directivas de bloqueo impiden que un segmento se comunique con otro segmento.
Las directivas de permiso permiten que un segmento se comunique solo con otros segmentos determinados.
Nota:
Para las organizaciones en modo heredado: los grupos y usuarios que no son de IB no serán visibles para los usuarios incluidos en los segmentos ib y las directivas para permitir directivas. Si necesita que los grupos y usuarios que no son de IB sean visibles para los usuarios incluidos en los segmentos y directivas de IB, debe usar directivas de bloque .
Para las organizaciones en modo SingleSegment o MultiSegment: los grupos y los usuarios que no son de IB serán visibles para los usuarios incluidos en los segmentos y directivas de IB.
Para comprobar el modo IB, consulte Comprobación del modo IB de su organización.
La aplicación de directivas se realiza una vez definidas todas las directivas de IB y está listo para aplicarlas en su organización.
Visibilidad de usuarios y grupos que no son del IB: los usuarios y grupos que no son del IB son usuarios y grupos excluidos de los segmentos y las directivas del IB. Dependiendo de cuándo configure las directivas de IB en su organización y el tipo de directivas de IB (bloquear o permitir), el comportamiento de estos usuarios y grupos variará en Microsoft Teams, SharePoint, OneDrive y en la lista global de direcciones.
- Para las organizaciones en modo heredado: para los usuarios definidos en las directivas allow, los grupos y los usuarios que no son del IB no serán visibles para los usuarios incluidos en los segmentos y directivas de IB. Para los usuarios definidos en las directivas de bloque , los grupos y los usuarios que no son de IB serán visibles para los usuarios incluidos en los segmentos y directivas de IB.
- Para las organizaciones en modo SingleSegment o MultiSegment: los grupos y los usuarios que no son de IB serán visibles para los usuarios incluidos en los segmentos y directivas de IB.
Compatibilidad con grupos. Actualmente, solo se admiten grupos modernos en IB y las listas de distribución o los grupos de seguridad se tratan como grupos que no son del IB.
Cuentas de usuario e invitados ocultas o deshabilitadas. Para las cuentas de usuario e invitados ocultas o deshabilitadas de su organización, el parámetro HiddenFromAddressListEnabled se establece automáticamente en True cuando las cuentas de usuario están ocultas o deshabilitadas, o cuando se crea un invitado. Cuando el modo de organización es Heredado para organizaciones habilitadas para IB, se impide que estas cuentas se comuniquen con todas las demás cuentas de usuario. Los administradores pueden deshabilitar este comportamiento predeterminado estableciendo manualmente el parámetro HiddenFromAddressListEnabled en False.
Descripción general de la configuración
Pasos | Lo que implica |
---|---|
Paso 1: Asegúrese de que se cumplen los requisitos previos | : compruebe que tiene las suscripciones y permisos necesarios. - Comprobar que el directorio incluye datos para segmentar usuarios - Habilitación de la búsqueda por nombre para Microsoft Teams - Asegurarse de que el registro de auditoría está activado - Comprobación del modo IB para su organización - Configurar cómo se implementan las directivas de libreta de direcciones de Exchange (en función de cuándo haya habilitado IB en su organización) - Proporcionar consentimiento de administrador para Microsoft Teams (se incluyen los pasos) |
Paso 2: Segmentar usuarios de la organización | - Determinar qué directivas se necesitan - Crear una lista de segmentos que definir - Identificar qué atributos usar - Definir segmentos en términos de filtros de directiva |
Paso 3: Crear directivas de barreras de información | - Crear las directivas (aún no se aplican) - Elegir entre dos tipos (bloquear o permitir) |
Paso 4: Aplicación de directivas de barreras de información | - Establecer directivas en estado activo - Ejecutar la aplicación de la directiva - Ver el estado de la directiva |
Paso 5: Configuración de barreras de información en SharePoint y OneDrive (opcional) | - Configuración de IB para SharePoint y OneDrive |
Paso 6: Modos de barreras de información (opcional) | - Actualización de los modos de IB si procede |
Paso 7: Configuración de la detección de usuarios para barreras de información (opcional) | - Habilite o restrinja la detectabilidad del usuario en IB con el selector de personas, si procede. |
Paso 1: Asegúrese de que se cumplen los requisitos previos
Además de las suscripciones y permisos necesarios, asegúrese de que se cumplen los siguientes requisitos antes de configurar IB:
Datos del directorio: asegúrese de que la estructura de su organización se refleja en los datos del directorio. Para realizar esta acción, asegúrese de que los atributos de la cuenta de usuario (como la pertenencia a grupos, el nombre del departamento, etc.) se rellenan correctamente en Microsoft Entra ID (o Exchange Online). Para obtener más información, consulte los siguientes recursos:
Búsqueda de directorios con ámbito: antes de definir la primera directiva de IB de su organización, debe habilitar la búsqueda de directorios con ámbito en Microsoft Teams. Espere al menos 24 horas después de habilitar la búsqueda de directorios con ámbito antes de configurar o definir directivas de IB.
Comprobar que el registro de auditoría está habilitado: para buscar el estado de una aplicación de directiva de IB, se debe activar el registro de auditoría. La auditoría está habilitada para organizaciones de Microsoft 365 de forma predeterminada. Algunas organizaciones pueden haber deshabilitado la auditoría por motivos específicos. Si la auditoría está deshabilitada para su organización, puede deberse a que otro administrador la ha desactivado. Se recomienda confirmar que es correcto volver a activar la auditoría al completar este paso. Para obtener más información, consulte Desactivar o activar la búsqueda de registros de auditoría.
Compruebe el modo IB de su organización: el modo IB determina la compatibilidad con varios segmentos, opciones de detección de personas, abps de Exchange y otras características. Para comprobar el modo IB de su organización, consulte Comprobación del modo IB de su organización.
Quitar directivas existentes de libreta de direcciones de Exchange Online (opcional):
- Para las organizaciones en modo heredado: antes de definir y aplicar directivas de IB, debe quitar todas las directivas de libreta de direcciones de Exchange Online existentes en su organización. Las directivas de IB se basan en directivas de libreta de direcciones y las directivas ABP existentes no son compatibles con los AAP creados por IB. Para quitar las directivas de libreta de direcciones existentes, consulte Quitar una directiva de libreta de direcciones en Exchange Online. Para obtener más información sobre las directivas de IB y Exchange Online, consulte Barreras de información y Exchange Online.
- Para las organizaciones en el modo SingleSegment o MultiSegment: las barreras de información ya no se basan en las directivas de libreta de direcciones (ABP) de Exchange Online. Las organizaciones que usan ABP no tendrán ningún impacto en los ABPs existentes al habilitar las barreras de información.
Administrar mediante PowerShell (opcional): los segmentos y directivas de IB se pueden definir y administrar en el portal de cumplimiento, pero también puede usar Office 365 Security & Compliance PowerShell si se prefiere o se necesita. Aunque en este artículo se proporcionan varios ejemplos, deberá estar familiarizado con los cmdlets y parámetros de PowerShell si decide usar PowerShell para configurar y administrar segmentos y directivas de IB. También necesitará el SDK de PowerShell de Microsoft Graph si elige esta opción de configuración.
Cuando se cumplan todos los requisitos previos, continúe con el paso siguiente.
Paso 2: Segmentar usuarios de la organización
En este paso, determinará qué directivas de IB son necesarias, creará una lista de segmentos para definir y definirá los segmentos. La definición de segmentos no afecta a los usuarios, sino que simplemente establece la fase para que se definan y se apliquen las directivas de IB.
Determinar qué directivas son necesarias
Teniendo en cuenta las necesidades de su organización, determine los grupos de la organización que necesitarán directivas de IB. Pregúntese lo siguiente:
- ¿Existen regulaciones internas, legales o del sector que requieran la restricción de la comunicación y la colaboración entre grupos y usuarios de su organización?
- ¿Hay algún grupo o usuario al que se le impida comunicarse con otro grupo de usuarios?
- ¿Hay algún grupo o usuario que tenga permiso para comunicarse solo con uno o dos otros grupos de usuarios?
Piense en las directivas que necesita como pertenecientes a uno de los dos tipos:
- Las directivas de bloqueo impiden que un grupo se comunique con otro grupo.
- Permitir que las directivas permitan que un grupo se comunique solo con grupos específicos.
Cuando tenga la lista inicial de grupos y directivas necesarios, continúe con la identificación de los segmentos que necesitará para las directivas de IB.
Identificar segmentos
Además de la lista inicial de directivas, haga una lista de segmentos para su organización. Los usuarios que se incluirán en las directivas de IB deben pertenecer al menos a un segmento. Los usuarios se pueden asignar a varios segmentos si es necesario. Puede tener hasta 5000 segmentos en su organización y cada segmento solo puede tener aplicada una directiva de IB.
Importante
Un usuario solo puede estar en un segmento para las organizaciones en los modos Heredado o SingleSegement . Para comprobar el modo IB, consulte Comprobación del modo IB de su organización.
Determine qué atributos de los datos de directorio de la organización usará para definir segmentos. Puede usar Department, MemberOf o cualquiera de los atributos de IB admitidos. Asegúrese de que tiene valores en el atributo que seleccione para los usuarios. Para obtener más información, consulte los atributos admitidos para IB.
Importante
Antes de continuar con la sección siguiente, asegúrese de que los datos del directorio tienen valores para los atributos que puede usar para definir segmentos. Si los datos de directorio no tienen valores para los atributos que desea usar, las cuentas de usuario deben actualizarse para incluir esa información antes de continuar con la configuración de IB. Para obtener ayuda con esto, consulte los siguientes recursos:
- Configuración de las propiedades de la cuenta de usuario con Office 365 PowerShell
- Adición o actualización de la información de perfil de un usuario mediante microsoft entra id.
Habilitar la compatibilidad con varios segmentos para los usuarios (opcional)
La compatibilidad con la asignación de usuarios a varios segmentos solo está disponible cuando la organización no está en modo heredado . Si desea admitir la asignación de usuarios a varios segmentos, consulte Uso de la compatibilidad con varios segmentos en barreras de información.
Los usuarios están restringidos a asignarse a un solo segmento para organizaciones en modo heredado . Las organizaciones en modo heredado podrán actualizar a la versión más reciente de las barreras de información en el futuro. Para obtener más información, consulte el mapa de ruta de barreras de información.
Definición de segmentos mediante los portales
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte El portal de cumplimiento de Microsoft Purview.
Complete los pasos siguientes para definir segmentos:
- Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador de su organización.
- Seleccione la tarjeta de solución Barreras de información . Si no se muestra la tarjeta de solución Barreras de información , seleccione Ver todas las soluciones y, a continuación, seleccione Barreras de información en la sección Risk & Compliance (Cumplimiento de & riesgo ).
- Seleccione Segmentos.
- En la página Segmentos , seleccione Nuevo segmento para crear y configurar un nuevo segmento.
- En la página Nombre , escriba un nombre para el segmento. No se puede cambiar el nombre de un segmento una vez creado.
- Seleccione Siguiente.
- En la página Filtro de grupo de usuarios, seleccione Agregar para configurar los atributos de grupo y usuario para el segmento. Elija un atributo para el segmento de la lista de atributos disponibles.
- Para el atributo seleccionado, seleccione Igual o No igual y, a continuación, escriba el valor del atributo. Por ejemplo, si seleccionó Department como atributo e Equals, podría escribir Marketing como departamento definido para esta condición de segmento. Para agregar condiciones adicionales para un atributo, seleccione Agregar condición. Si necesita eliminar un atributo o una condición de atributo, seleccione el icono de eliminación para el atributo o la condición.
- Agregue atributos adicionales según sea necesario en la página Filtro de grupo de usuarios y, a continuación, seleccione Siguiente.
- En la página Revisar la configuración , revise la configuración que ha elegido para el segmento y las sugerencias o advertencias de las selecciones. Seleccione Editar para cambiar cualquiera de los atributos y condiciones del segmento o seleccione Enviar para crear el segmento.
Definición de segmentos mediante PowerShell
Para definir segmentos con PowerShell, complete los pasos siguientes:
Use el cmdlet New-OrganizationSegment con el parámetro UserGroupFilter que corresponde al atributo que desea usar.
Sintaxis Ejemplo New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'"
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"
En este ejemplo, un segmento denominado RR. HH . se define mediante RR. HH., un valor en el atributo Department . La parte -eq del cmdlet hace referencia a "equals". (Como alternativa, puede usar -ne para significar "no es igual". Consulte Uso de "equals" y "not equals" en las definiciones de segmento).
Después de ejecutar cada cmdlet, debería ver una lista de detalles sobre el nuevo segmento. Los detalles incluyen el tipo del segmento, quién lo creó o modificó por última vez, etc.
Repita este proceso para cada segmento que desee definir.
Después de definir los segmentos, vaya al Paso 3: Crear directivas de IB.
Uso de "equals" y "not equals" en las definiciones de segmento de PowerShell
En el ejemplo siguiente, estamos configurando segmentos ib mediante PowerShell y definiendo un segmento como "Department equals HR".
Ejemplo | Nota: |
---|---|
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" |
Observe que en este ejemplo, la definición de segmento incluye un parámetro "equals" que se indica como -eq. |
También puede definir segmentos mediante un parámetro "not equals", denominado -ne, como se muestra en la tabla siguiente:
Sintaxis | Ejemplo |
---|---|
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" |
En este ejemplo, definimos un segmento denominado NotSales que incluye a todos los usuarios que no están en Ventas. La parte -ne del cmdlet hace referencia a "no es igual". |
Además de definir segmentos con "equals" o "not equals", puede definir un segmento con los parámetros "equals" y "not equals". También puede definir filtros de grupo complejos mediante operadores lógicos AND y OR .
Sintaxis | Ejemplo |
---|---|
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" |
En este ejemplo, definimos un segmento denominado LocalFTE que incluye los usuarios que se encuentran localmente y cuyas posiciones no aparecen como temporales. |
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq 'group1@contoso.com'' -and MemberOf -ne 'group3@contoso.com'" |
En este ejemplo, definimos un segmento denominado Segment1 que incluye usuarios que son miembros de group1@contoso.com y no miembros de group3@contoso.com. |
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq 'group2@contoso.com' -or MemberOf -ne 'group3@contoso.com'" |
En este ejemplo, definimos un segmento denominado Segment2 que incluye usuarios que son miembros de group2@contoso.com y no miembros de group3@contoso.com. |
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq 'group1@contoso.com' -or MemberOf -eq 'group2@contoso.com') -and MemberOf -ne 'group3@contoso.com'" |
En este ejemplo, definimos un segmento denominado Segment1and2 que incluye usuarios en group1@contoso.com y group2@contoso.com no miembros de group3@contoso.com. |
Sugerencia
Si es posible, use definiciones de segmento que incluyan "-eq" o "-ne". Intente no definir definiciones de segmento complejas.
Paso 3: Creación de directivas de IB
Al crear las directivas de IB, determinará si necesita impedir las comunicaciones entre determinados segmentos o limitar las comunicaciones con determinados segmentos. Idealmente, usará el número mínimo de directivas de IB para asegurarse de que su organización cumple los requisitos internos, legales y del sector. Puede usar el portal de Microsoft Purview, el portal de cumplimiento o PowerShell para crear y aplicar directivas de IB.
Sugerencia
Para la coherencia de la experiencia del usuario, se recomienda usar directivas de bloque para la mayoría de los escenarios, si es posible.
Con la lista de segmentos de usuario y las directivas de IB que desea definir, seleccione un escenario y, a continuación, siga los pasos.
- Escenario 1: Bloquear las comunicaciones entre segmentos
- Escenario 2: Permitir que un segmento solo se comunique con otro segmento
Importante
Asegúrese de que, a medida que defina directivas, no asigne más de una directiva a un segmento. Por ejemplo, si define una directiva para un segmento denominado Ventas, no defina una directiva adicional para el segmento Ventas .
Además, a medida que defina las directivas de IB, asegúrese de establecer esas directivas en estado inactivo hasta que esté listo para aplicarlas. La definición (o edición) de directivas no afecta a los usuarios hasta que esas directivas se establecen en estado activo y, a continuación, se aplican.
Escenario 1: Bloquear las comunicaciones entre segmentos
Si desea impedir que los segmentos se comuniquen entre sí, defina dos directivas: una para cada dirección. Cada directiva bloquea la comunicación solo en una dirección.
Por ejemplo, supongamos que desea bloquear las comunicaciones entre el segmento A y el segmento B. En este caso, definiría dos directivas:
- Una directiva que impide que el segmento A se comunique con el segmento B
- Una segunda directiva para evitar que el segmento B se comunique con el segmento A
Creación de directivas mediante los portales para el escenario 1
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte El portal de cumplimiento de Microsoft Purview.
Complete los pasos siguientes para crear directivas:
Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador de su organización.
Seleccione la tarjeta de solución Barreras de información . Si no se muestra la tarjeta de solución Barreras de información , seleccione Ver todas las soluciones y, a continuación, seleccione Barreras de información en la sección Risk & Compliance (Cumplimiento de & riesgo ).
Seleccione Directivas.
En la página Directivas , seleccione Crear directiva para crear y configurar una nueva directiva de IB.
En la página Nombre , escriba un nombre para la directiva y, a continuación, seleccione Siguiente.
En la página Segmento asignado , seleccione Elegir segmento. Use el cuadro de búsqueda para buscar un segmento por nombre o desplazarse para seleccionar el segmento de la lista mostrada. Seleccione Agregar para agregar el segmento seleccionado a la directiva. Solo puede seleccionar un segmento.
Seleccione Siguiente.
En la página Comunicación y colaboración , seleccione el tipo de directiva en el campo Comunicación y colaboración . Las opciones de directiva son Permitido o Bloqueado. En este escenario de ejemplo, Se seleccionaría Bloqueado para la primera directiva.
Importante
El estado Permitido y Bloqueado de los segmentos no se puede cambiar después de crear una directiva. Para cambiar el estado después de crear una directiva, debe eliminarla y crear una nueva.
Seleccione Elegir segmento para definir las acciones del segmento de destino. Puede asignar más de un segmento en este paso. Por ejemplo, si quisiera impedir que los usuarios de un segmento denominado Ventas se comunicaran con los usuarios de un segmento denominado Investigación, habría definido el segmento Ventas en el paso 5 y asignaría Investigación en la opción Elegir segmento en este paso.
Seleccione Siguiente.
En la página Estado de la directiva, cambie el estado de la directiva activa a Activado. Seleccione Siguiente para continuar.
En la página Revisar la configuración , revise la configuración que ha elegido para la directiva y las sugerencias o advertencias de las selecciones. Seleccione Editar para cambiar cualquiera de los segmentos y el estado de la directiva o seleccione Enviar para crear la directiva.
En este ejemplo, repetiría los pasos anteriores para crear una segunda directiva de bloque para impedir que los usuarios de un segmento denominado Investigación se comuniquen con los usuarios de un segmento denominado Ventas. Habría definido el segmento De investigación en el paso 5 y asignaría Ventas (o varios segmentos) en la opción Elegir segmento .
Creación de directivas mediante PowerShell para el escenario 1
Para definir directivas con PowerShell, complete los pasos siguientes:
Para definir la primera directiva de bloqueo, use el cmdlet New-InformationBarrierPolicy con el parámetro SegmentsBlocked .
Sintaxis Ejemplo New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsBlocked "segmentBname"
New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive
En este ejemplo, definimos una directiva denominada Sales-Research para un segmento denominado Sales. Cuando está activo y aplicado, esta directiva impide que los usuarios de Ventas se comuniquen con los usuarios de un segmento denominado Investigación.
Para definir el segundo segmento de bloqueo, use de nuevo el cmdlet New-InformationBarrierPolicy con el parámetro SegmentsBlocked , esta vez con los segmentos invertidos.
Ejemplo Nota: New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive
En este ejemplo, definimos una directiva denominada Research-Sales para evitar que Research se comunique con Sales. Continúe con una de las siguientes acciones:
- (Si es necesario) Definición de una directiva para permitir que un segmento se comunique solo con otro segmento
- (Una vez definidas todas las directivas) Aplicación de directivas de IB
Escenario 2: Permitir que un segmento solo se comunique con otro segmento
Si desea permitir que un segmento se comunique solo con otro segmento, defina dos directivas: una para cada dirección. Cada directiva solo permite la comunicación en una dirección.
En este ejemplo, definiría dos directivas:
- Una directiva permite que el segmento A se comunique con el segmento B
- Una segunda directiva para permitir que el segmento B se comunique con el segmento A
Creación de directivas mediante los portales para el escenario 2
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte El portal de cumplimiento de Microsoft Purview.
Complete los pasos siguientes para crear directivas:
Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador de su organización.
Seleccione la tarjeta de solución Barreras de información . Si no se muestra la tarjeta de solución Barreras de información , seleccione Ver todas las soluciones y, a continuación, seleccione Barreras de información en la sección Risk & Compliance (Cumplimiento de & riesgo ).
En la página Directivas , seleccione Crear directiva para crear y configurar una nueva directiva de IB.
En la página Nombre , escriba un nombre para la directiva y, a continuación, seleccione Siguiente.
En la página Segmento asignado , seleccione Elegir segmento. Use el cuadro de búsqueda para buscar un segmento por nombre o desplazarse para seleccionar el segmento de la lista mostrada. Seleccione Agregar para agregar el segmento seleccionado a la directiva. Solo puede seleccionar un segmento.
Seleccione Siguiente.
En la página Comunicación y colaboración , seleccione el tipo de directiva en el campo Comunicación y colaboración . Las opciones de directiva son Permitido o Bloqueado. En este escenario de ejemplo, Se seleccionaría Permitido para la directiva.
Importante
El estado Permitido y Bloqueado de los segmentos no se puede cambiar después de crear una directiva. Para cambiar el estado después de crear una directiva, debe eliminarla y crear una nueva.
Seleccione Elegir segmento para definir las acciones del segmento de destino. Puede asignar más de un segmento en este paso. Por ejemplo, si quisiera permitir que los usuarios de un segmento denominado Fabricación se comunicaran con los usuarios de un segmento denominado RR. HH., habría definido el segmento De fabricación en el paso 5 y asignaría RR. HH . en la opción Elegir segmento de este paso.
Seleccione Siguiente.
En la página Estado de la directiva, cambie el estado de la directiva activa a Activado. Seleccione Siguiente para continuar.
En la página Revisar la configuración , revise la configuración que ha elegido para la directiva y las sugerencias o advertencias de las selecciones. Seleccione Editar para cambiar cualquiera de los segmentos y el estado de la directiva o seleccione Enviar para crear la directiva.
En este ejemplo, repetiría los pasos anteriores para crear una segunda directiva Permitir para permitir que los usuarios de un segmento denominado Investigación se comuniquen con los usuarios de un segmento denominado Ventas. Habría definido el segmento De investigación en el paso 5 y asignaría Ventas (o varios segmentos) en la opción Elegir segmento .
Creación de una directiva mediante PowerShell para el escenario 2
Para definir directivas con PowerShell, complete los pasos siguientes:
Para permitir que un segmento se comunique con el otro segmento, use el cmdlet New-InformationBarrierPolicy con el parámetro SegmentsAllowed .
Sintaxis Ejemplo New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname","segment1name"
New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State Inactive
En este ejemplo, definimos una directiva denominada Manufacturing-HR para un segmento denominado Fabricación. Cuando está activo y aplicado, esta directiva permite a los usuarios de Fabricación comunicarse solo con los usuarios de un segmento denominado RR. HH. En este caso, la fabricación no puede comunicarse con los usuarios que no forman parte de RR. HH.
Si es necesario, puede especificar varios segmentos con este cmdlet, como se muestra en el ejemplo siguiente.
Sintaxis Ejemplo New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname", "segmentCname","segmentDname"
New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State Inactive
En este ejemplo, definimos una directiva que permite que el segmento De investigación se comunique solo con RR. HH . y Fabricación.
Repita este paso para cada directiva que quiera definir para permitir que segmentos específicos se comuniquen solo con otros segmentos específicos.
Para definir el segundo segmento permitido, use el cmdlet New-InformationBarrierPolicy con el parámetro SegmentsAllowed de nuevo, esta vez con los segmentos invertidos.
Ejemplo Nota: New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsAllowed "Sales" -State Inactive
En este ejemplo, definimos una directiva denominada Research-Sales para permitir que Research se comunique con Sales. Continúe con una de las siguientes acciones:
- (Si es necesario) Definición de una directiva para bloquear las comunicaciones entre segmentos
- (Una vez definidas todas las directivas) Aplicación de directivas de IB
Paso 4: Aplicar directivas de IB
Las directivas de IB no están en vigor hasta que las establezca en estado activo y aplique las directivas.
Aplicación de directivas mediante los portales
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte El portal de cumplimiento de Microsoft Purview.
Complete los pasos siguientes para aplicar directivas:
Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador de su organización.
Seleccione la tarjeta de solución Barreras de información . Si no se muestra la tarjeta de solución Barreras de información , seleccione Ver todas las soluciones y, a continuación, seleccione Barreras de información en la sección Risk & Compliance (Cumplimiento de & riesgo ).
Seleccione Aplicación de directiva.
En la página aplicación Directivas , seleccione Aplicar todas las directivas para aplicar todas las directivas de IB de su organización.
Nota:
Espere 30 minutos para que el sistema empiece a aplicar las directivas. El sistema aplica las directivas usuario por usuario. El sistema procesa unas 5 000 cuentas de usuario por hora.
Aplicación de directivas mediante PowerShell
Para aplicar directivas mediante PowerShell, siga estos pasos:
Use el cmdlet Get-InformationBarrierPolicy para ver una lista de directivas que se han definido. Tenga en cuenta el estado y la identidad (GUID) de cada directiva.
Sintaxis:
Get-InformationBarrierPolicy
Para establecer una directiva en estado activo, use el cmdlet Set-InformationBarrierPolicy con un parámetro Identity y el parámetro State establecido en Active.
Sintaxis Ejemplo Set-InformationBarrierPolicy -Identity GUID -State Active
Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Active
En este ejemplo, establecemos una directiva ib que tiene el GUID 43c37853-ea10-4b90-a23d-ab8c93772471 en estado activo.
Repita este paso según corresponda para cada directiva.
Cuando haya terminado de establecer las directivas de IB en estado activo, use el cmdlet Start-InformationBarrierPoliciesApplication en PowerShell de seguridad & cumplimiento.
Sintaxis:
Start-InformationBarrierPoliciesApplication
Después de ejecutar
Start-InformationBarrierPoliciesApplication
, debe dejar 30 minutos para que el sistema empiece a aplicar las directivas. El sistema aplica las directivas usuario por usuario. El sistema procesa unas 5 000 cuentas de usuario por hora.
Visualización del estado de cuentas de usuario, segmentos, directivas o aplicación de directiva
Con PowerShell, puede ver el estado de las cuentas de usuario, los segmentos, las directivas y la aplicación de directivas, como se muestra en la tabla siguiente.
Para ver esta información | Realizar esta acción |
---|---|
Cuentas de usuario | Use el cmdlet Get-InformationBarrierRecipientStatus con parámetros identity. Sintaxis: Puede usar cualquier valor que identifique de forma única a cada usuario, como nombre, alias, nombre distintivo, nombre de dominio canónico, dirección de correo electrónico o GUID. Ejemplo: En este ejemplo, nos referimos a dos cuentas de usuario en Office 365: meganb para Megan y alexw para Alex. (También puede usar este cmdlet para un único usuario: Este cmdlet devuelve información sobre los usuarios, como los valores de atributo y las directivas de IB que se aplican. |
Segmentos | Use el cmdlet Get-OrganizationSegment . Sintaxis: Este cmdlet muestra una lista de todos los segmentos definidos para su organización. |
Directivas de IB | Use el cmdlet Get-InformationBarrierPolicy . Sintaxis: Este cmdlet muestra una lista de directivas de IB definidas y su estado. |
La aplicación de directiva de IB más reciente | Use el cmdlet Get-InformationBarrierPoliciesApplicationStatus . Sintaxis: Este cmdlet muestra información sobre si la aplicación de directiva se completó, produjo un error o está en curso. |
Todas las aplicaciones de directivas de IB | Use Get-InformationBarrierPoliciesApplicationStatus -All Este cmdlet muestra información sobre si la aplicación de directiva se completó, produjo un error o está en curso. |
¿Qué ocurre si necesito quitar o cambiar directivas?
Los recursos están disponibles para ayudarle a administrar las directivas de IB.
- Para editar, detener o quitar directivas de IB, consulte Administración de directivas de barreras de información.
- Si algo va mal con IB, consulte Solución de problemas de barreras de información.
Paso 5: Configuración de barreras de información en SharePoint y OneDrive
Si va a configurar IB para SharePoint y OneDrive, deberá habilitar IB en estos servicios. También tendrá que habilitar IB en estos servicios si va a configurar IB para Microsoft Teams. Cuando se crea un equipo en el equipo de Microsoft Teams, se crea automáticamente un sitio de SharePoint y se asocia a Microsoft Teams para la experiencia de archivos. Las directivas de IB no se respetan en este nuevo sitio y archivos de SharePoint de forma predeterminada.
Para habilitar IB en SharePoint y OneDrive, siga las instrucciones y los pasos del artículo Uso de barreras de información con SharePoint .
Paso 6: Modos de barreras de información (opcional)
Los modos pueden ayudar a reforzar el acceso, el uso compartido y la pertenencia a un recurso de Microsoft 365 en función del modo IB del recurso. Los modos se admiten en grupos de Microsoft 365, Microsoft Teams, OneDrive y sitios de SharePoint y se habilitan automáticamente en la configuración de IB nueva o existente.
Los siguientes modos ib son compatibles con los recursos de Microsoft 365:
Mode | Descripción | Ejemplo |
---|---|---|
Abrir | No hay directivas o segmentos de IB asociados al recurso de Microsoft 365. Se puede invitar a cualquier persona a ser miembro del recurso. | Un sitio de equipo creado para un evento de picnic para su organización. |
Moderado por el propietario | La directiva ib del recurso de Microsoft 365 se determina a partir de la directiva de IB del propietario del recurso. Los propietarios de recursos pueden invitar a cualquier usuario al recurso en función de sus directivas de IB. Este modo es útil cuando la empresa quiere permitir la colaboración entre usuarios de segmentos incompatibles moderados por el propietario. Solo el propietario del recurso puede agregar nuevos miembros según su directiva de IB. | El vicepresidente de RR. HH. quiere colaborar con los VPs de Ventas e Investigación. Un nuevo sitio de SharePoint que se establece con el modo IB Propietario moderado para agregar usuarios de segmento de ventas e investigación al mismo sitio. Es responsabilidad del propietario asegurarse de que se agregan miembros adecuados al recurso. |
Implícita | La directiva de IB o los segmentos del recurso de Microsoft 365 se heredan de la directiva ib de los miembros del recurso. El propietario puede agregar miembros siempre que sean compatibles con los miembros existentes del recurso. Este modo es el modo IB predeterminado para Microsoft Teams. | El usuario del segmento Ventas crea un equipo de Microsoft Teams para colaborar con otros segmentos compatibles de la organización. |
Explicit | La directiva ib del recurso de Microsoft 365 se realiza según los segmentos asociados al recurso. El propietario del recurso o el administrador de SharePoint tiene la capacidad de administrar los segmentos del recurso. | Un sitio creado solo para que los miembros del segmento Ventas colaboren asociando el segmento Ventas con el sitio. |
Mixed | Solo se aplica a OneDrive. La directiva ib de OneDrive se realiza según los segmentos asociados a OneDrive. El propietario del recurso o el administrador de OneDrive tiene la capacidad de administrar los segmentos del recurso. | Un OneDrive creado para que los miembros del segmento Sales colaboren puede compartirse con usuarios sinegmentar. |
Actualizaciones de modo implícito
En función de cuándo haya habilitado IB en su organización, su organización estará en modo de organización Heredado, SingleSegment o MultiSegment . Para comprobar el modo, consulte Comprobación del modo IB para su organización.
Si su organización está en modo SingleSegment o MultiSegment y el modo de barreras de información del grupo de Teams es Implícito, los grupos o sitios conectados a Teams no tendrán ningún segmento asociado.
Para obtener más información sobre los modos de IB y cómo se configuran entre servicios, consulte los artículos siguientes:
- Modos de barreras de información y Microsoft Teams
- Modos de barreras de información y OneDrive
- Modos de barreras de información y SharePoint
Paso 7: Configuración de la detección de usuarios para barreras de información (opcional)
Las directivas de barreras de información permiten a los administradores habilitar o deshabilitar las restricciones de búsqueda en el selector de personas. De forma predeterminada, la restricción del selector de personas está habilitada para las directivas de IB. Por ejemplo, las directivas de IB que impiden la comunicación a dos usuarios específicos también pueden impedir que los usuarios se vean entre sí al usar el selector de personas.
Importante
La compatibilidad con la habilitación o deshabilitación de restricciones de búsqueda solo está disponible cuando la organización no está en modo heredado . Las organizaciones en modo heredado no pueden habilitar ni deshabilitar las restricciones de búsqueda. La habilitación o deshabilitación de restricciones de búsqueda requiere acciones adicionales para cambiar el modo de barreras de información para su organización. Para obtener más información, consulte Uso de compatibilidad con varios segmentos en barreras de información) para obtener más información.
Las organizaciones en modo heredado podrán actualizar a la versión más reciente de las barreras de información en el futuro. Para obtener más información, consulte el mapa de ruta de barreras de información.
Para deshabilitar la restricción de búsqueda del selector de personas mediante PowerShell, siga estos pasos:
- Use el cmdlet Set-PolicyConfig para deshabilitar la restricción del selector de personas:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'
Escenario de ejemplo: departamentos, segmentos y directivas de Contoso
Para ver cómo una organización podría abordar la definición de segmentos y directivas, tenga en cuenta el siguiente escenario de ejemplo.
Planes y departamentos de Contoso
Contoso tiene cinco departamentos: RR. HH., Ventas, Marketing, Investigación y Fabricación. Para seguir siendo conformes con las regulaciones del sector, se supone que los usuarios de algunos departamentos no deben comunicarse con otros departamentos, como se muestra en la tabla siguiente:
Segmento | Puede comunicarse con | No se puede comunicar con |
---|---|---|
HR | Todos | (sin restricciones) |
Ventas | RR. HH., Marketing, Fabricación | Referencia |
Marketing | Todos | (sin restricciones) |
Referencia | RR. HH., Marketing, Fabricación | Ventas |
Industria | RR. HH., Marketing | Cualquier persona que no sea RR. HH. o Marketing |
Para esta estructura, el plan de Contoso incluye tres directivas de IB:
- Una directiva de IB diseñada para impedir que las ventas se comuniquen con Research
- Otra directiva de IB para evitar que Research se comunique con Sales.
- Una directiva de IB diseñada para permitir que la fabricación se comunique solo con RR. HH. y marketing.
En este escenario, no es necesario definir directivas de IB para RR. HH . o Marketing.
Segmentos definidos de Contoso
Contoso usará el atributo Department en Microsoft Entra ID para definir segmentos, como se indica a continuación:
Departamento | Definición de segmento |
---|---|
RR. HH. | New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" |
Ventas | New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'" |
Marketing | New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'" |
Referencia | New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'" |
Industria | New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'" |
Con los segmentos definidos, Contoso continúa definiendo las directivas de IB.
Directivas de IB de Contoso
Contoso define tres directivas de IB, como se describe en la tabla siguiente:
Policy | Definición de directiva |
---|---|
Directiva 1: impedir que Ventas se comunique con Investigación | New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive En este ejemplo, la directiva de IB se denomina Sales-Research. Cuando esta directiva esté activa y se aplique, le ayudará a evitar que los usuarios que se encuentran en el segmento Ventas se comuniquen con usuarios en el segmento Investigación. Esta directiva es una directiva unidireccional; no impedirá que Research se comunique con Sales. Para eso, es necesaria la directiva 2. |
Directiva 2: impedir que Investigación se comunique con Ventas | New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive En este ejemplo, la directiva de IB se denomina Research-Sales. Cuando esta directiva esté activa y se aplique, le ayudará a evitar que los usuarios que se encuentran en el segmento Investigación se comuniquen con usuarios en el segmento Ventas. |
Directiva 3: Permitir que la fabricación se comunique solo con RR. HH. y marketing | New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive En este caso, la directiva de IB se denomina Manufacturing-HRMarketing. Cuando esta directiva está activa y se aplica, Industria solo puede comunicarse con RR. HH. y Marketing. RR. HH. y Marketing no están restringidos a comunicarse con otros segmentos. |
Con los segmentos y las directivas definidos, Contoso aplica las directivas mediante la ejecución del cmdlet Start-InformationBarrierPoliciesApplication .
Cuando finaliza el cmdlet, Contoso cumple los requisitos del sector.
Recursos
- Más información acerca de las barreras de información
- Uso de la compatibilidad multisegmento en las barreras de información
- Más información sobre las barreras de información en Microsoft Teams
- Más información sobre las barreras de información en SharePoint Online
- Más información sobre las barreras de información en OneDrive