Бөлісу құралы:


Использование поддержки нескольких сегментов в информационных барьерах

Важно!

Поддержка назначения пользователей нескольким сегментам доступна только в том случае, если ваша организация не находится в устаревшем режиме . Чтобы определить, находится ли ваша организация в устаревшем режиме, см. раздел Проверка режима IB для организации и проверка значение InformationBarrierMode свойства.

Пользователям разрешено назначать только один сегмент для организаций в устаревшем режиме . Организации в устаревшем режиме будут иметь право на обновление до последней версии информационных барьеров в будущем. Дополнительные сведения см. в статье Стратегия информационных барьеров.

Многосегментный режим позволяет назначать пользователям в организации до 10 сегментов в информационных барьерах, а не ограничиваться одним сегментом. Это позволяет поддерживать более разнообразные правила взаимодействия между отдельными лицами и группами для поддержки более сложных организационных и операционных сценариев. Для организаций, использующих многосегментную поддержку, все политики информационных барьеров должны быть определены с помощью списка разрешений.

При настройке поддержки нескольких сегментов совместимость для пользователей зависит от назначения каждого пользователя общему сегменту. Если пользователи совместно используют назначение для одного сегмента, они совместимы. Например, в следующей таблице показано, что пользователь A и пользователь B несовместимы, так как они не совместно используют назначенный сегмент. Однако пользователь A совместим с пользователем C, а пользователь B совместим с пользователем C, так как каждый из них имеет назначенный сегмент.

Пользователь Назначенные сегменты
Пользователь A Сегмент 1, сегмент 2
Пользователь B Сегмент 3, сегмент 4
Пользователь C Сегмент 2, сегмент 4

Пример с несколькими сегментами: школы, сегменты и политики Северного школьного округа

В Северном школьном округе есть две школы: школа 1 и школа 2. Районная политика заключается в том, чтобы позволить учащимся и преподавателям общаться друг с другом только в том случае, если они оба в одной школе. Например, учащийся и преподаватель школы 1 могут общаться, но учащийся школы 1 не может общаться с учителем в школе 2. В этом сценарии несколько сегментов настроены для поддержки следующих сценариев региональной политики:

Школы и план Северного школьного округа

Северный школьный округ имеет две школы:

Сегмента Разрешено взаимодействие Запрещено обмен данными
Школа 1 Учащиеся и учителя школы 1 Учащиеся и учителя в школе 2
Школа 2 Учащиеся и учителя в школе 2 Учащиеся и учителя школы 1

Для этой структуры план Северного школьного округа включает три политики IB:

  1. Политика IB, предназначенная для того, чтобы позволить учащимся и преподавателям школы 1 общаться друг с другом.
  2. Другая политика IB, позволяющая учащимся и преподавателям школы 2 общаться друг с другом.
  3. Другая политика IB, предназначенная для того, чтобы позволить учителям в школе 1 и школе 2 общаться друг с другом.

Определенные сегменты Северного школьного округа

Северный школьный округ будет использовать атрибут Department в Microsoft Entra ID для определения сегментов следующим образом:

Сегмента Определение сегмента
School1 New-OrganizationSegment -Name "School1" -UserGroupFilter "Department -eq 'School1'"
School2 New-OrganizationSegment -Name "School2" -UserGroupFilter "Department -eq 'School2'"
AllTeachers New-OrganizationSegment -Name "AllTeachers" -UserGroupFilter "MemberOfGroup -eq 'AllTeachersgroup@northschoolsdistrict.com'"

Определив сегменты, Contoso переходит к определению политик IB.

Политики IB Северного школьного округа

Северный школьный округ определяет три политики IB, как описано в следующей таблице:

Политика Определение политики
Политика 1. Учащиеся и преподаватели в школе 1 могут общаться друг с другом New-InformationBarrierPolicy -Name School1Policy -SegmentsAllowed 'School1' -AssignedSegment 'School1' -State Active

В этом примере политика IB называется School1Policy. Если эта политика активна и применяется, она позволяет учащимся и преподавателям школы 1 общаться друг с другом. Эта политика является односторонняя; это не помешает учащимся и преподавателям школы 1 общаться со школой 2. Для этого требуется политика 2.

Политика 2. Учащиеся и преподаватели в школе 2 могут общаться друг с другом New-InformationBarrierPolicy -Name School2Policy -SegmentsAllowed 'School2' -AssignedSegment 'School2' -State Active

В этом примере политика IB называется School2Policy. Если эта политика активна и применяется, она позволяет учащимся и преподавателям школы 2 общаться друг с другом.

Политика 3. Учителя в разных школах могут общаться друг с другом New-InformationBarrierPolicy -Name AllTeachersPolicy -SegmentsAllowed 'AllTeachers' -AssignedSegment 'AllTeachers' -State Active

В этом случае политика IB называется AllTeachersPolicy. Если эта политика активна и применяется, преподаватели школы 1 и школы 2 могут общаться друг с другом.

Определив сегменты и политики, Северный школьный округ применяет политики, выполнив командлет Start-InformationBarrierPoliciesApplication . По завершении командлета Северный школьный округ реализует свою политику коммуникации для учащихся и преподавателей.

Проверка режима IB для вашей организации

Если вы хотите поддерживать назначение пользователей нескольким сегментам, необходимо убедиться, что ваша организация IB поддерживает несколько сегментов. Выполните следующий командлет, чтобы проверить режим IB:

Get-PolicyConfig

Если свойство имеет значение InformationBarrierModeSingleSegment, вы можете включить поддержку нескольких сегментов, следуя указаниям в разделе Включение поддержки нескольких сегментов для пользователей этой статьи. Если свойство имеет значение MultiSegment, можно пропустить включение поддержки для нескольких InformationBarrierMode сегментов. Оно уже включено для вашей организации.

Если свойство имеет значение InformationBarrierModeУстаревшая, включение многосементной поддержки для вашей организации не поддерживается. Устаревшие организации будут иметь право на обновление до последней версии информационных барьеров в будущем. Дополнительные сведения см. в статье Стратегия информационных барьеров.

Включение поддержки нескольких сегментов для пользователей

Чтобы включить поддержку нескольких сегментов для организаций в режиме singleSegment , в настоящее время для вашей организации не должны быть определены сегменты или политики IB. Выполните следующий командлет, чтобы включить поддержку нескольких сегментов в организации:

Set-PolicyConfig -InformationBarrierMode 'MultiSegment'

Важно!

Если вы включили несколько сегментов и настроили IB в своей организации, не следует отменить изменения поддержки одного сегмента.

Поддержка нескольких сегментов для пользователей в OneDrive

Если ваша организация IB не находится в режиме legacyMode и вы настроили OneDrive для информационных барьеров для поддержки нескольких сегментов, пользовательский интерфейс OneDrive выглядит следующим образом:

  • Политика OneDrive IB. OneDrive для многосементного пользователя автоматически устанавливается режим модерации владельца по умолчанию.

  • Доступ к сайту OneDrive для пользователя с несколькими сегментами:

    • Явный или смешанный режим. Пользователю с несколькими сегментами предоставляется доступ, если у него есть хотя бы один из сегментов, как в OneDrive, и у него есть разрешение на доступ к сайту.
    • Все остальные режимы: пользователи имеют тот же интерфейс доступа к сайту, что и при поддержке одного сегмента.
  • Общий доступ к OneDrive для пользователя с несколькими сегментами. Пользователь с несколькими сегментами может предоставлять общий доступ к сайту OneDrive и включенное содержимое в режиме IB, настроенном для OneDrive.

    • Явный режим. Пользователи могут делиться содержимым OneDrive с другими пользователями, которые имеют тот же сегмент, что и OneDrive.
    • Режим "Открыть" или "Владелец" : пользователи могут делиться содержимым с другими совместимыми пользователями в соответствии с политиками IB.

Дополнительные сведения об управлении IB для OneDrive см. в статье Использование информационных барьеров с OneDrive.

Поддержка нескольких сегментов для пользователей в SharePoint Online

Если ваша организация IB не находится в режиме legacyMode и вы настроили в SharePoint информационные барьеры для поддержки нескольких сегментов, пользовательский интерфейс SharePoint выглядит следующим образом:

  • Создание сайта. Когда пользователь с несколькими сегментами создает сайт SharePoint (подключенный к группе Microsoft 365 или негрупповый сайт), для сайта автоматически устанавливается режим модерации владельца .

  • Доступ к сайту SharePoint пользователем с несколькими сегментами:

    • Явный режим: пользователям предоставляется доступ, если у них есть хотя бы один из сегментов сайта и есть разрешение на доступ к сайту.
    • Все остальные режимы: пользователи имеют тот же интерфейс доступа к сайту, что и при поддержке одного сегмента.
  • Общий доступ к сайтам SharePoint пользователем с несколькими сегментами. Пользователь с несколькими сегментами может предоставлять общий доступ к сайту и его содержимому в каждом режиме IB сайта.

    • Явный режим. Может предоставлять общий доступ к содержимому пользователям, которые соответствуют сегменту сайта.
    • Неявный режим или режим модерации владельца . Может предоставлять доступ к содержимому другим существующим членам группы Microsoft 365, подключенным к сайту.
    • Открытый режим. Может предоставлять доступ к содержимому другим пользователям, которые совместимы с политикой IB.

Дополнительные сведения об управлении IB для SharePoint см. в статье Использование информационных барьеров с SharePoint.

Поддержка нескольких сегментов для пользователей в Microsoft Teams

Если ваша организация IB не находится в режиме legacyMode и вы настроили Teams для информационных барьеров для поддержки нескольких сегментов, пользовательский интерфейс Microsoft Teams выглядит следующим образом:

  • Создание команды. Когда пользователь с несколькими сегментами создает команду, команда по умолчанию автоматически устанавливается в неявный режим.
  • Добавление участника команды. Все пользователи в команде должны иметь один сегмент, совместимый со всеми остальными пользователями.

Дополнительные сведения об управлении IB для Microsoft Teams см. в статье Использование информационных барьеров в Microsoft Teams.