Gérer les stratégies d’obstacles à l’information

Une fois que vous avez défini des stratégies d’obstacles à l’information, vous devrez peut-être apporter des modifications à ces stratégies ou à vos segments d’utilisateur, dans le cadre de la résolution des problèmes ou de la maintenance régulière.

Pointe

Si vous n’êtes pas client E5, vous pouvez essayer toutes les fonctionnalités Premium dans Microsoft Purview gratuitement. Utilisez la version d’évaluation des solutions Purview de 90 jours pour découvrir comment des fonctionnalités Purview robustes peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur l’inscription et les conditions d’évaluation.

Que souhaitez-vous faire ?

Action Description
Modifier les attributs d’un compte d’utilisateur Renseignez les attributs dans Azure Active Directory qui peuvent être utilisés pour définir des segments.
Modifiez les attributs de compte d’utilisateur lorsque les utilisateurs ne sont pas inclus dans les segments qu’ils doivent être, pour modifier les segments dans lesquels se trouvent les utilisateurs ou pour définir des segments à l’aide de différents attributs.
Modifier un segment Modifiez les segments lorsque vous voulez modifier la manière dont un segment est défini.
Par exemple, vous pouvez avoir défini des segments à l’origine à l’aide de Department et souhaiter maintenant utiliser un autre attribut, tel que MemberOf.
Modifier une stratégie Modifiez une stratégie d’obstacles à l’information lorsque vous souhaitez modifier le fonctionnement d’une stratégie.
Par exemple, au lieu de bloquer les communications entre deux segments, vous pouvez décider d’autoriser les communications à se produire uniquement entre certains segments.
Définir une stratégie sur l’état inactif Définissez une stratégie sur l’état inactif lorsque vous souhaitez apporter des modifications à une stratégie ou si vous ne souhaitez pas qu’une stratégie soit en vigueur.
Supprimer une stratégie Supprimez une stratégie d’obstacles à l’information lorsque vous n’avez plus besoin d’une stratégie particulière en place.
Supprimer un segment Supprimez un segment d’obstacles à l’information lorsque vous n’avez plus besoin d’un segment particulier.
Supprimer une stratégie et un segment Supprimez une stratégie d’obstacles à l’information et un segment en même temps.
Arrêter une application de stratégie Effectuez cette action lorsque vous souhaitez arrêter le processus d’application de stratégies d’obstacle à l’information.
L’arrêt d’une application de stratégie n’est pas instantané et n’annule pas les stratégies déjà appliquées aux utilisateurs.
Définir des stratégies pour les obstacles à l’information Définissez une stratégie d’obstacles à l’information lorsque vous n’avez pas encore de telles stratégies en place et que vous devez restreindre ou limiter les communications entre des groupes d’utilisateurs spécifiques.
Résolution des problèmes de cloisonnement de l’information Reportez-vous à cet article lorsque vous rencontrez des problèmes inattendus liés aux obstacles à l’information.

Importante

Pour effectuer les tâches décrites dans cet article, vous devez disposer d’un rôle approprié, tel que l’un des éléments suivants :
- administrateur général Microsoft 365 Entreprise
- Administrateur général
- Administrateur de conformité
- Gestion de la conformité ib (il s’agit d’un nouveau rôle!)

Pour en savoir plus sur les prérequis pour les obstacles à l’information, consultez Prérequis (pour les stratégies d’obstacle à l’information).

Veillez à vous connecter à Security & Compliance PowerShell.

Modifier les attributs d’un compte d’utilisateur

Utilisez cette procédure pour modifier les attributs utilisés pour segmenter les utilisateurs. Par exemple, si vous utilisez un attribut Department et qu’un ou plusieurs comptes d’utilisateur n’ont actuellement aucune valeur répertoriée pour Department, vous devez modifier ces comptes d’utilisateur pour inclure les informations du service. Les attributs de compte d’utilisateur sont utilisés pour définir des segments afin que les stratégies d’obstacle aux informations puissent être affectées.

  1. Pour afficher les détails d’un compte d’utilisateur spécifique, tels que les valeurs d’attribut et les segments affectés, utilisez l’applet de commande Get-InformationBarrierRecipientStatus avec des paramètres d’identité.

    Syntaxe Exemple
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
    Vous pouvez utiliser n’importe quelle valeur qui identifie de manière unique chaque utilisateur, telle que le nom, l’alias, le nom unique, le nom de domaine canonique, l’adresse e-mail ou le GUID.
    (Vous pouvez également utiliser cette applet de commande pour un seul utilisateur : Get-InformationBarrierRecipientStatus -Identity <value>)
    Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
    Dans cet exemple, nous faisons référence à deux comptes d’utilisateur dans Office 365 : meganb pour Megan et alexw pour Alex.
  2. Déterminez l’attribut que vous souhaitez modifier pour votre ou vos profils de compte d’utilisateur. Pour plus d’informations, consultez Attributs pour les stratégies d’obstacles à l’information.

  3. Modifiez un ou plusieurs comptes d’utilisateur pour inclure des valeurs pour l’attribut que vous avez sélectionné à l’étape précédente. Pour effectuer cette action, utilisez l’une des procédures suivantes :

Modifier un segment

Utilisez cette procédure pour modifier la définition d’un segment d’utilisateur. Par exemple, vous pouvez modifier le nom d’un segment ou le filtre utilisé pour déterminer qui est inclus dans le segment.

  1. Pour afficher tous les segments existants, utilisez l’applet de commande Get-OrganizationSegment .

    Syntaxe: Get-OrganizationSegment

    Vous verrez une liste de segments et de détails pour chacun d’eux, tels que le type de segment, sa valeur UserGroupFilter, qui l’a créée ou modifiée pour la dernière fois, guid, etc.

    Pointe

    Imprimez ou enregistrez votre liste de segments pour référence ultérieurement. Par exemple, si vous souhaitez modifier un segment, vous devez connaître son nom ou identifier la valeur (utilisée avec le paramètre Identity).

  2. Pour modifier un segment, utilisez l’applet de commande Set-OrganizationSegment avec le paramètre Identity et les détails pertinents.

    Syntaxe Exemple
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"
    Dans cet exemple, nous avons mis à jour le nom du service en HRDept pour le segment avec GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.
  3. Une fois que vous avez terminé de modifier des segments pour votre organisation, vous pouvez définir ou modifier des stratégies d’obstacles à l’information.

Modifier une stratégie

  1. Pour afficher la liste des stratégies actuelles relatives aux obstacles à l’information, utilisez l’applet de commande Get-InformationBarrierPolicy .

    Syntaxe: Get-InformationBarrierPolicy

    Dans la liste des résultats, identifiez la stratégie à modifier. Notez le GUID et le nom de la stratégie.

  2. Utilisez l’applet de commande Set-InformationBarrierPolicy avec un paramètre Identity et spécifiez les modifications que vous souhaitez apporter.

    Exemple : Supposons qu’une stratégie a été définie pour empêcher le segment Recherche de communiquer avec les segments Ventes et Marketing . La stratégie a été définie à l’aide de cette applet de commande : New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"

    Supposons que nous voulons le modifier afin que les membres du segment Recherche puissent uniquement communiquer avec les personnes du segment RH . Pour effectuer cette modification, nous utilisons cette applet de commande : Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"

    Dans cet exemple, nous avons remplacé SegmentsBlocked parSegmentsAllowed et spécifié le segment RH .

  3. Une fois que vous avez terminé de modifier une stratégie, veillez à appliquer vos modifications. (Voir Appliquer des stratégies d’obstacle à l’information.)

Définir une stratégie sur l’état inactif

  1. Pour afficher la liste des stratégies actuelles relatives aux obstacles à l’information, utilisez l’applet de commande Get-InformationBarrierPolicy .

    Syntaxe: Get-InformationBarrierPolicy

    Dans la liste des résultats, identifiez la stratégie que vous souhaitez modifier (ou supprimer). Notez le GUID et le nom de la stratégie.

  2. Pour définir l’état de la stratégie sur Inactif, utilisez l’applet de commande Set-InformationBarrierPolicy avec un paramètre Identity et le paramètre State défini sur Inactif.

    Syntaxe Exemple
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    Dans cet exemple, la stratégie d’obstacles à l’information qui a GUID 43c37853-ea10-4b90-a23d-ab8c9377247 est définie sur un état inactif.
  3. Pour appliquer vos modifications, utilisez l’applet de commande Start-InformationBarrierPoliciesApplication .

    Syntaxe: Start-InformationBarrierPoliciesApplication

    Les modifications sont appliquées utilisateur par utilisateur pour votre organisation. Si votre organisation est volumineuse, l’exécution de ce processus peut prendre 24 heures (ou plus). En règle générale, le traitement de 5 000 comptes d’utilisateurs prend environ une heure.

  4. À ce stade, une ou plusieurs stratégies d’obstacles à l’information sont définies sur l’état inactif. À partir de là, vous pouvez effectuer l’une des actions suivantes :

Supprimer une stratégie

  1. Pour afficher la liste des stratégies actuelles relatives aux obstacles à l’information, utilisez l’applet de commande Get-InformationBarrierPolicy .

    Syntaxe: Get-InformationBarrierPolicy

    Dans la liste des résultats, identifiez la stratégie à supprimer. Notez le GUID et le nom de la stratégie.

  2. Vérifiez que la stratégie est définie sur l’état inactif. Pour définir l’état de la stratégie sur Inactif, utilisez l’applet de commande Set-InformationBarrierPolicy avec un paramètre Identity et le paramètre State défini sur Inactif.

    Syntaxe Exemple
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    Dans cet exemple, nous définissons une stratégie d’obstacles à l’information qui a le GUID 43c37853-ea10-4b90-a23d-ab8c9377247 sur un état inactif.
  3. Pour appliquer vos modifications à la stratégie, utilisez l’applet de commande Start-InformationBarrierPoliciesApplication .

    Syntaxe: Start-InformationBarrierPoliciesApplication

    Les modifications sont appliquées utilisateur par utilisateur pour votre organisation. Si votre organisation est volumineuse, l’exécution de ce processus peut prendre 24 heures (ou plus). En règle générale, le traitement de 5 000 comptes d’utilisateurs prend environ une heure.

  4. Utilisez l’applet de commande Remove-InformationBarrierPolicy avec un paramètre Identity.

    Syntaxe Exemple
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    Dans cet exemple, nous supprimons la stratégie qui a guid 43c37853-ea10-4b90-a23d-ab8c93772471.

    Lorsque vous y êtes invité, confirmez la modification.

Supprimer un segment

  1. Pour afficher tous les segments existants, utilisez l’applet de commande Get-OrganizationSegment .

    Syntaxe: Get-OrganizationSegment

    Vous verrez une liste de segments et de détails pour chacun d’eux, tels que le type de segment, sa valeur UserGroupFilter, qui l’a créée ou modifiée pour la dernière fois, guid, etc.

    Pointe

    Imprimez ou enregistrez votre liste de segments pour référence ultérieurement. Par exemple, si vous souhaitez modifier un segment, vous devez connaître son nom ou identifier la valeur (utilisée avec le paramètre Identity).

  2. Identifiez le segment à supprimer et assurez-vous que la stratégie IB associée au segment a été supprimée. Pour plus d’informations, consultez la procédure Supprimer une stratégie.

  3. Modifiez le segment qui sera supprimé pour supprimer la relation entre les utilisateurs et ce segment. Cette action met à jour la définition de segment et supprime tous les utilisateurs du segment. Vous allez utiliser le paramètre UserGroupFilter pour dissocier les utilisateurs du segment avant la suppression.

    Pour modifier un segment, utilisez l’applet de commande Set-OrganizationSegment avec le paramètre Identity et les détails pertinents.

    Syntaxe Exemple
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    Dans cet exemple, pour le segment qui a le GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, nous avons défini le nom de service comme FakeDept pour supprimer les utilisateurs du segment. Cet exemple utilise l’attribut Department , mais vous pouvez utiliser d’autres attributs comme il convient. L’exemple utilise FakeDept , car il n’existe pas et est certain de ne pas contenir d’utilisateurs.
  4. Pour appliquer vos modifications, utilisez l’applet de commande Start-InformationBarrierPoliciesApplication .

    Syntaxe: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Remarque

    L’attribut CleanupGroupSegmentLink supprime les associations de groupe avec le segment sans associations d’utilisateurs.

    Les modifications sont appliquées utilisateur par utilisateur pour votre organisation. Si votre organisation est volumineuse, l’exécution de ce processus peut prendre 24 heures (ou plus). En règle générale, le traitement de 5 000 comptes d’utilisateurs prend environ une heure.

  5. Pour supprimer un segment, utilisez l’applet de commande Remove-OrganizationSegment avec le paramètre Identity et les détails pertinents.

    Syntaxe Exemple
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    Dans cet exemple, le segment qui a le GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, a été supprimé.

Supprimer une stratégie et un segment

  1. Pour afficher la liste des stratégies actuelles relatives aux obstacles à l’information, utilisez l’applet de commande Get-InformationBarrierPolicy .

    Syntaxe: Get-InformationBarrierPolicy

    Dans la liste des résultats, identifiez la stratégie à supprimer. Notez le GUID et le nom de la stratégie.

  2. Pour afficher tous les segments existants, utilisez l’applet de commande Get-OrganizationSegment .

    Syntaxe: Get-OrganizationSegment

    Vous verrez une liste de segments et de détails pour chacun d’eux, tels que le type de segment, sa valeur de paramètre UserGroupFilter , qui l’a créée ou modifiée pour la dernière fois, guid, etc.

    Pointe

    Imprimez ou enregistrez votre liste de segments pour référence ultérieurement. Par exemple, si vous souhaitez modifier un segment, vous devez connaître son nom ou identifier la valeur (utilisée avec le paramètre Identity).

  3. Pour définir l’état de la stratégie à supprimer sur inactif, utilisez l’applet de commande Set-InformationBarrierPolicy avec un paramètre Identity et le paramètre State défini sur Inactif.

    Syntaxe Exemple
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Inactive
    Dans cet exemple, nous définissons une stratégie d’obstacles à l’information qui a guid 43c37853-ea10-4b90-a23d-ab8c93772471 sur un état inactif.
  4. Modifiez le segment qui sera supprimé pour supprimer la relation entre les utilisateurs et ce segment. Cette action met à jour la définition de segment et supprime tous les utilisateurs du segment. Vous allez utiliser le paramètre UserGroupFilter pour dissocier les utilisateurs du segment avant la suppression.

    Pour modifier un segment, utilisez l’applet de commande Set-OrganizationSegment avec le paramètre Identity et les détails pertinents.

    Syntaxe Exemple
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    Dans cet exemple, pour le segment qui a le GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, nous avons mis à jour le nom du service vers FakeDept pour supprimer les utilisateurs du segment. Cet exemple utilise l’attribut Department , mais vous pouvez utiliser d’autres attributs comme il convient. L’exemple utilise FakeDept , car il n’existe pas et est certain de ne contenir aucun utilisateur.
  5. Pour appliquer vos modifications, utilisez l’applet de commande Start-InformationBarrierPoliciesApplication .

    Syntaxe: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Remarque

    L’attribut CleanupGroupSegmentLink supprime les associations de groupe avec le segment sans associations d’utilisateurs.

    Les modifications sont appliquées utilisateur par utilisateur pour votre organisation. Si votre organisation est volumineuse, l’exécution de ce processus peut prendre 24 heures (ou plus). En règle générale, le traitement de 5 000 comptes d’utilisateurs prend environ une heure.

  6. Utilisez l’applet de commande Remove-InformationBarrierPolicy avec un paramètre Identity .

    Syntaxe Exemple
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    Dans cet exemple, la stratégie qui a GUID 43c37853-ea10-4b90-a23d-ab8c93772471 est supprimée.

    Lorsque vous y êtes invité, confirmez la modification.

  7. Pour supprimer un segment, utilisez l’applet de commande Remove-OrganizationSegment avec le paramètre Identity et les détails pertinents.

    Syntaxe Exemple
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    Dans cet exemple, le segment avec GUID c96e0837-c232-4a8a-841e-ef45787d8fcd a été supprimé.

Arrêter une application de stratégie

Une fois que vous avez commencé à appliquer des stratégies d’obstacles à l’information, si vous souhaitez empêcher l’application de ces stratégies, utilisez la procédure suivante. Le début du processus prendra environ 30 à 35 minutes.

  1. Pour afficher l’état de l’application de stratégie d’obstacles à l’information la plus récente, utilisez l’applet de commande Get-InformationBarrierPoliciesApplicationStatus .

    Syntaxe: Get-InformationBarrierPoliciesApplicationStatus

    Notez le GUID de l’application.

  2. Utilisez l’applet de commande Stop-InformationBarrierPoliciesApplication avec un paramètre Identity.

    Syntaxe Exemple
    Stop-InformationBarrierPoliciesApplication -Identity GUID Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1

    Dans cet exemple, nous arrêtons l’application des stratégies d’obstacles à l’information.

Ressources