Obstacles à l’information dans Microsoft Teams
Microsoft Purview Information Barriers (IBs) sont des stratégies qu’un administrateur peut configurer pour empêcher des individus ou des groupes de communiquer entre eux. Les bases de données sont utiles si, par exemple, un service gère des informations qui ne doivent pas être partagées avec d’autres services. Les IBs sont également utiles lorsqu’un groupe doit être isolé ou empêché de communiquer avec une personne extérieure à ce groupe. Les canaux partagés dans Microsoft Teams sont pris en charge par des obstacles à l’information. Selon le type de partage, les stratégies d’obstacles à l’information peuvent restreindre le partage de certaines façons. Pour plus d’informations sur les canaux partagés et le comportement des obstacles à l’information, consultez Obstacles à l’information et canaux partagés.
Pour Microsoft Teams, les obstacles à l’information peuvent déterminer et empêcher les types de collaborations non autorisées suivants :
- Ajout d’un utilisateur à une équipe ou à un canal
- Accès utilisateur au contenu de l’équipe ou du canal
- Accès utilisateur aux conversations 1:1 et de groupe
- Accès utilisateur aux réunions
- Empêche les recherches et la découverte, les utilisateurs ne sont pas visibles dans le sélecteur de personnes.
Remarque
- Les groupes d’obstacles à l’information ne peuvent pas être créés entre les locataires.
- L’utilisation de bots, d’applications Azure Active Directory (Azure AD), d’API pour envoyer des notifications de flux d’activité et de certaines API pour ajouter des utilisateurs n’est pas prise en charge dans la version 1.
- Les canaux privés sont conformes aux stratégies d’obstacles à l’information que vous configurez.
- Pour plus d’informations sur la prise en charge des obstacles pour les sites SharePoint connectés à Teams, voir Segments associés aux sites Microsoft Teams.
Contexte
Le principal moteur des IBs provient du secteur des services financiers. L’Autorité de réglementation du secteur financier (FINRA) examine les IBs et les conflits d’intérêts au sein des cabinets membres et fournit des conseils sur la gestion de ces conflits (FINRA 2241, Avis réglementaire 15-31 de la recherche sur la dette).
Cependant, depuis l’introduction des IBs, de nombreux autres domaines les ont trouvés utiles. Les autres scénarios courants sont :
- Éducation : les étudiants d’une école ne peuvent pas rechercher les coordonnées des étudiants d’autres établissements scolaires.
- Juridique : Maintien de la confidentialité des données obtenues par l’avocat d’un client et empêche l’accès par un avocat pour le même cabinet qui représente un client différent.
- Gouvernement : L’accès à l’information et le contrôle sont limités entre les ministères et les groupes.
- Services professionnels : un groupe de personnes d’une entreprise ne peut discuter qu’avec un client ou un client spécifique via un accès invité pendant un engagement client.
Par exemple, Enrico appartient au segment Banque et Pradeep au segment Conseiller financier. Enrico et Pradeep ne peuvent pas communiquer entre eux, car la politique de l’IB du organization bloque la communication et la collaboration entre ces deux segments. Toutefois, Enrico et Pradeep peuvent communiquer avec Lee en RH.
Quand utiliser les obstacles à l’information
Vous pouvez utiliser des IBs dans des situations comme celles-ci :
- Une équipe doit être empêchée de communiquer ou de partager des données avec une autre équipe spécifique.
- Une équipe ne doit pas communiquer ou partager des données avec quiconque en dehors de l’équipe.
Le service d’évaluation de la stratégie de barrière de l’information détermine si une communication est conforme aux stratégies de l’IB.
Gestion des segments d’obstacles à l’information
Les segments IB sont gérés dans le portail de conformité Microsoft Purview ou à l’aide d’applets de commande PowerShell. Pour plus d’informations, consultez Étape 2 : Segmenter les utilisateurs dans votre organization.
Importante
La prise en charge de l’affectation d’utilisateurs à plusieurs segments n’est disponible que lorsque votre organization n’est pas en mode hérité. Pour déterminer si votre organization est en mode hérité, consultez Vérifier le mode IB pour votre organization) .
Les utilisateurs sont limités à être affectés à un seul segment pour les organisations en mode hérité . Les organisations en mode hérité pourront effectuer une mise à niveau vers la version la plus récente des obstacles à l’information à l’avenir. Pour plus d’informations, consultez la feuille de route des obstacles à l’information.
Gestion des stratégies d’obstacles à l’information
Les stratégies IB sont gérées dans le portail de conformité Microsoft Purview ou à l’aide d’applets de commande PowerShell. Pour plus d’informations, consultez Étape 3 : Créer des stratégies IB.
Importante
Avant de configurer ou de définir des stratégies, vous devez activer la recherche d’annuaires délimitée dans Microsoft Teams. Attendez au moins quelques heures après l’activation de la recherche d’annuaire délimitée avant de configurer ou de définir des stratégies pour les obstacles à l’information. Pour plus d’informations, consultez Définir des stratégies de barrière à l’information.
Rôle d’administrateur des obstacles à l’information
Le rôle Gestion de la conformité IB est responsable de la gestion des stratégies IB. Pour plus d’informations sur ce rôle, consultez Autorisations dans le portail de conformité Microsoft Purview.
Déclencheurs de barrière de l’information
Les stratégies IB sont activées lorsque les événements Teams suivants ont lieu :
Ajout de membres à une équipe : chaque fois que vous ajoutez un utilisateur à une équipe, la politique de cet utilisateur doit être évaluée par rapport aux politiques d'IB des autres membres de l'équipe. Une fois l’utilisateur ajouté, il peut effectuer toutes les fonctions de l’équipe sans vérifications supplémentaires. Si la stratégie de l’utilisateur les empêche d’être ajoutés à l’équipe, l’utilisateur ne s’affiche pas dans la recherche.
Une nouvelle discussion est demandée : chaque fois qu'un utilisateur demande une nouvelle discussion avec un ou plusieurs autres utilisateurs, la discussion est évaluée pour s'assurer qu'elle n'enfreint aucune politique de l'IB. Si la conversation enfreint une politique de l'IB, la conversation n'est pas entamée.
Voici un exemple de conversation 1:1.
Voici un exemple de conversation de groupe.
Un utilisateur est invité à participer à une réunion : lorsqu'un utilisateur est invité à participer à une réunion, la politique d'IB qui s'applique à l'utilisateur est évaluée par rapport aux politiques d'IB qui s'appliquent aux autres membres de l'équipe. En cas de violation, l’utilisateur n’est pas autorisé à participer à la réunion.
Un écran est partagé entre deux ou plusieurs utilisateurs : lorsqu'un utilisateur partage un écran avec d'autres utilisateurs, ce partage doit être évalué pour s'assurer qu'il ne viole pas les politiques de l'IB des autres utilisateurs. En cas de violation d’une stratégie DENT, le partage d’écran n’est pas autorisé.
Voici un exemple de partage d’écran avant l’application de la stratégie.
Voici un exemple de partage d’écran après l’application de la stratégie. Les icônes de partage d’écran et d’appel ne sont pas visibles.
Un utilisateur passe un appel téléphonique dans Teams : chaque fois qu’un utilisateur lance un appel vocal (via VOIP) à un autre utilisateur ou groupe d’utilisateurs, l’appel est évalué pour s’assurer qu’il n’enfreint pas les stratégies IB des autres membres de l’équipe. En cas de violation, l’appel vocal est bloqué.
Invités dans Teams : les stratégies DUT S’appliquent également aux invités Teams client. Si les invités doivent être détectables dans la liste d’adresses globale de votre organization, consultez Gérer l’accès invité dans Groupes Microsoft 365. Une fois que les invités sont détectables, vous pouvez définir des stratégies IB.
Impact des modifications de stratégie sur les conversations existantes
Lorsque l’administrateur de stratégie IB apporte des modifications à une stratégie, ou lorsqu’une modification de stratégie est activée en raison d’une modification du profil d’un utilisateur (par exemple, pour une modification de travail), le service d’évaluation de la stratégie de barrière de l’information recherche automatiquement les membres pour s’assurer que leur appartenance à l’équipe n’enfreint aucune stratégie.
S’il existe une conversation existante ou une autre communication entre les utilisateurs, et qu’une nouvelle stratégie est définie ou qu’une stratégie existante est modifiée, le service évalue les communications existantes pour s’assurer que les communications sont toujours autorisées à se produire.
Conversation 1:1 : Si la communication entre deux utilisateurs n'est plus autorisée (en raison de l'application à l'un ou aux deux utilisateurs d'une politique qui bloque la communication), la communication ultérieure est bloquée. Leurs conversations de conversation existantes deviennent en lecture seule.
Voici un exemple qui montre que la conversation est visible.
Voici un exemple qui montre que la conversation est désactivée.
Conversation de groupe : si la communication entre un utilisateur et un groupe n’est plus autorisée (par exemple, parce qu’un utilisateur a changé de travail), l’utilisateur, ainsi que les autres utilisateurs dont la participation enfreint la stratégie, peut être supprimé de la conversation de groupe, et toute autre communication avec le groupe ne sera pas autorisée. L’utilisateur peut toujours voir les anciennes conversations, mais ne pourra pas voir ou participer à de nouvelles conversations avec le groupe. Si la stratégie nouvelle ou modifiée qui empêche la communication est appliquée à plusieurs utilisateurs, les utilisateurs concernés par la stratégie peuvent être supprimés de la conversation de groupe. Ils peuvent toujours voir d’anciennes conversations.
Dans cet exemple, Enrico a été déplacé vers un autre service au sein de la organization et est supprimé de la conversation de groupe.
Enrico ne peut plus envoyer de messages à la conversation de groupe.
Équipe : tous les utilisateurs qui ont été supprimés du groupe sont supprimés de l’équipe et ne peuvent pas voir ou participer à des conversations nouvelles ou existantes.
Scénario : Un utilisateur d’une conversation existante est bloqué
Actuellement, les utilisateurs rencontrent les scénarios suivants si une stratégie IB bloque un autre utilisateur :
onglet Personnes : un utilisateur ne peut pas voir les utilisateurs bloqués sous l’onglet Personnes.
sélecteur Personnes : les utilisateurs bloqués ne sont pas visibles dans le sélecteur de personnes.
Onglet Activité : si un utilisateur visite l’onglet Activité d’un utilisateur bloqué, aucune publication n’apparaît. (L’onglet Activité affiche uniquement les publications de canal, et il n’y aurait pas de canaux communs entre les deux utilisateurs.)
Voici un exemple d’affichage d’onglet d’activité bloqué.
Organigrammes : si un utilisateur accède à un organigramme sur lequel un utilisateur bloqué apparaît, l’utilisateur bloqué n’apparaît pas dans l’organigramme. Au lieu de cela, un message d’erreur s’affiche.
Personnes carte : si un utilisateur participe à une conversation et que l’utilisateur est bloqué par la suite, les autres utilisateurs voient un message d’erreur à la place des personnes carte lorsqu’ils pointent sur le nom de l’utilisateur bloqué. Les actions répertoriées sur le carte (telles que les appels et les conversations) ne sont pas disponibles.
Contacts suggérés : les utilisateurs bloqués n’apparaissent pas dans la liste des contacts suggérés (la liste de contacts initiale qui s’affiche pour les nouveaux utilisateurs).
Contacts de conversation : un utilisateur peut voir les utilisateurs bloqués dans la liste des contacts des conversations, mais les utilisateurs bloqués seront identifiés. La seule action que l’utilisateur peut effectuer sur les utilisateurs bloqués consiste à les supprimer. L’utilisateur peut également les sélectionner pour afficher sa conversation passée.
Appels de contacts : un utilisateur peut voir les utilisateurs bloqués dans la liste des contacts des appels, mais les utilisateurs bloqués seront identifiés. La seule action que l’utilisateur peut effectuer sur les utilisateurs bloqués consiste à les supprimer.
Voici un exemple d’utilisateur bloqué dans la liste des contacts des appels.
Voici un exemple de la conversation désactivée pour un utilisateur dans la liste de contenu des appels.
Migration de Skype vers Teams : lors d’une migration de Skype Entreprise vers Teams, tous les utilisateurs, même ceux qui sont bloqués par des stratégies IB, seront migrés vers Teams. Ces utilisateurs sont ensuite gérés comme décrit ci-dessus.
Stratégies Teams et sites SharePoint
Lorsqu’une équipe est créée, un site SharePoint est mis en service et associé Microsoft Teams pour l’expérience de fichiers. Les stratégies d’obstacle à l’information ne sont pas honorées sur SharePoint site et les fichiers par défaut. Pour activer les obstacles à l’information dans SharePoint et OneDrive, suivez les instructions et les étapes de l’article Utiliser des obstacles à l’information avec SharePoint .
Modes d’obstacles à l’information et Teams
Les modes d’obstacles à l’information aident à renforcer les personnes pouvant être ajoutées ou supprimées d’une équipe. Lorsque vous utilisez des barrières à l’information avec Teams, les modes IB suivants sont pris en charge :
- Ouvrir : cette configuration est le mode IB par défaut pour tous les groupes existants qui ont été provisionnés avant l’activation des obstacles à l’information. Dans ce mode, aucune stratégie IB n’est applicable.
- Implicite : cette configuration est le mode IB par défaut lorsqu’une équipe est provisionnée après l’activation des obstacles à l’information. Le mode implicite vous permet d’ajouter tous les utilisateurs compatibles dans le groupe.
- Propriétaire modéré : ce mode est défini sur une équipe lorsque vous souhaitez autoriser la collaboration entre les utilisateurs de segment incompatibles modérés par le propriétaire. Le propriétaire de l’équipe peut ajouter de nouveaux membres en fonction de sa stratégie IB.
Les équipes créées avant l’activation d’une stratégie de barrière des informations dans votre locataire sont automatiquement définies sur le mode Ouvrir par défaut. Une fois que vous avez activé les stratégies IB sur votre locataire, vous devez mettre à jour le mode de vos équipes existantes vers Implicite pour vous assurer que les équipes existantes sont conformes à l’IB. Pour plus d’informations sur les modes de mise à jour, consultez Modifier les modes d’obstacles aux informations avec un script PowerShell.
Utilisez l’applet de commande Set-UnifiedGroup avec le paramètre InformationBarrierMode qui correspond au mode que vous souhaitez utiliser pour vos segments. La liste autorisée des valeurs pour le paramètre InformationBarrierMode est Open, Implicit et Owner Moderated.
Par exemple, pour configurer le mode implicite pour un groupe Microsoft 365, vous allez utiliser la commande PowerShell suivante :
Set-UnifiedGroup -InformationBarrierMode Implicit
Pour mettre à jour le mode Ouvrir vers Implicite pour toutes les équipes existantes, utilisez ce script PowerShell.
Si vous modifiez la configuration du mode Open sur les groupes connectés à Teams existants pour répondre aux exigences de conformité de votre organization, vous devez [mettre à jour les modes IB]/microsoft-365/compliance/information-barriers-sharepoint#view-and-manage-ib-modes-as-an-administrator-with-sharepoint-powershell) pour les sites SharePoint associés connectés à l’équipe Teams.
Application de stratégie IB dans Teams
L’application de stratégie IB est un processeur IB en arrière-plan pour Teams qui reçoit une notification en cas de modifications apportées aux utilisateurs (modifications de stratégie ou de segment) ou aux groupes (modifications de mode). Les étapes suivantes décrivent le flux de traitement :
- L’application de stratégie reçoit une notification de modification de groupe lorsque le mode est mis à jour et récupère le thread de message et les ID de groupe applicables à la mise à jour.
- Si le thread de message existe, le traitement est planifié et tous les membres sont extraits de l’équipe et du groupe sous-jacent et sont envoyés aux composants Teams en aval pour l’évaluation ib.
- Le mode sur le groupe et les stratégies IB par utilisateur sont évalués et les résultats sont envoyés à l’application de stratégie.
- L’application de stratégie supprime les utilisateurs non conformes du groupe et de l’équipe.
Licences et autorisations requises
Pour plus d’informations sur les licences et autorisations, les plans et la tarification, consultez les conditions d’abonnement pour les obstacles à l’information.
Notes d’utilisation
- Les utilisateurs ne peuvent pas participer à des réunions ad hoc : si les stratégies IB sont activées, les utilisateurs ne sont pas autorisés à participer à des réunions si la taille de la liste de réunion est supérieure aux limites de participation aux réunions. La cause racine est que les vérifications ib reposent sur la possibilité d’ajouter des utilisateurs à une liste de conversation de réunion, et que ce n’est que lorsqu’ils peuvent être ajoutés à la liste qu’ils sont autorisés à rejoindre la réunion. Un utilisateur qui rejoint une réunion une fois l’ajoute à la liste ; par conséquent, pour les réunions périodiques, la liste peut se remplir rapidement. Une fois que la liste de conversation atteint les limites de participation à la réunion, des utilisateurs supplémentaires ne peuvent plus être ajoutés à la réunion. Si IB est activé pour le organization et que la liste de conversation est pleine pour une réunion, les nouveaux utilisateurs (les utilisateurs qui ne figurent pas déjà dans la liste) ne sont pas autorisés à participer à la réunion. Toutefois, si IB n’est pas activé pour le organization et que la liste de conversation de réunion est pleine, les nouveaux utilisateurs (ceux qui ne sont pas déjà sur la liste) sont autorisés à participer à la réunion, bien qu’ils ne voient pas l’option de conversation dans la réunion. Une solution à court terme consiste à supprimer les membres inactifs de la liste de conversation de réunion afin de faire de l’espace pour les nouveaux utilisateurs. Toutefois, nous augmenterons la taille des listes de conversations de réunion à une date ultérieure.
- Les utilisateurs ne peuvent pas participer aux réunions de canal : si les stratégies IB sont activées, les utilisateurs ne sont pas autorisés à participer à des réunions de canal s’ils ne sont pas membres de l’équipe. La cause racine est que les vérifications ib reposent sur la possibilité d’ajouter des utilisateurs à une liste de conversation de réunion, et que ce n’est que lorsqu’ils peuvent être ajoutés à la liste qu’ils sont autorisés à rejoindre la réunion. Le fil de conversation dans une réunion de canal est disponible uniquement pour les membres de l’équipe/canal, et les non-membres ne peuvent pas voir ou accéder au fil de conversation. Si IB est activé pour le organization et qu’un membre non-équipe tente de rejoindre une réunion de canal, cet utilisateur n’est pas autorisé à participer à la réunion. Toutefois, si IB n’est pas activé* pour le organization et qu’un membre non-équipe tente de rejoindre une réunion de canal, l’utilisateur est autorisé à participer à la réunion, mais il ne voit pas l’option de conversation dans la réunion.
- Les stratégies IB ne fonctionnent pas pour les utilisateurs fédérés : si vous autorisez la fédération avec des organisations externes, les utilisateurs de ces organisations ne seront pas limités par les stratégies IB. Si les utilisateurs de votre organization rejoindre une conversation ou une réunion organisée par des utilisateurs fédérés externes, les stratégies IB ne limitent pas non plus la communication entre les utilisateurs de votre organization.
Plus d’informations
- Pour en savoir plus sur les IBs, consultez Obstacles à l’information.
- Pour configurer des stratégies IB, consultez Prise en main des obstacles à l’information.
- Pour modifier ou supprimer des stratégies IB, consultez Gérer les stratégies de barrière à l’information.
- Obstacles à l’information et canaux partagés
Disponibilité
Les obstacles à l’information dans Teams sont disponibles dans nos clouds publics, GCC, GCC - High et DOD.