Gerenciar políticas de barreiras de informações

  • Artigo

Depois de definir políticas de IB (barreiras de informações), talvez seja necessário fazer alterações nessas políticas ou em seus segmentos de usuário, como parte da solução de problemas ou como manutenção regular.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

O que você deseja fazer?

Action Descrição
Editar atributos de conta do usuário Preencha atributos no Microsoft Entra ID que podem ser usados para definir segmentos.
Edite atributos da conta de usuário quando os usuários não estão incluídos em segmentos em que deveriam estar, para alterar em quais segmentos os usuários estão ou para definir segmentos usando atributos diferentes.
Editar um segmento Editar segmentos quando você deseja alterar a definição de um segmento.
Por exemplo, você pode ter definido segmentos originalmente usando o Departamento e agora deseja usar outro atributo, como MemberOf.
Editar uma política Edite uma política de barreiras de informações quando quiser alterar como uma política funciona.
Por exemplo, em vez de bloquear as comunicações entre dois segmentos, você pode decidir que deseja permitir que as comunicações ocorram apenas entre determinados segmentos.
Definir uma política como inativa status Defina uma política como inativa status quando você quiser fazer alterações em uma política ou quando não quiser que uma política esteja em vigor.
Remover uma política Remova uma política de barreiras de informações quando você não precisar mais de uma política específica em vigor.
Remover um segmento Remova um segmento de barreiras de informações quando você não precisar mais de um segmento específico.
Remover uma política e um segmento Remova uma política de barreiras de informações e um segmento ao mesmo tempo.
Parar um aplicativo de política Tome essa ação quando quiser interromper o processo de aplicação de políticas de barreiras de informações.
Parar um aplicativo de política não é instantâneo e não desfaz políticas que já são aplicadas aos usuários.
Habilitar ou desabilitar a descoberta do usuário Habilite ou desabilite se os usuários forem exibidos no seletor de pessoas.
Definir políticas para barreiras de informações Defina uma política de barreiras de informações quando você ainda não tem essas políticas em vigor e deve restringir ou limitar as comunicações entre grupos específicos de usuários.
Solução de problemas de barreiras de informações Consulte este artigo quando você encontrar problemas inesperados com barreiras de informações.

Importante

Para executar as tarefas descritas neste artigo, você deve receber uma função apropriada, como uma das seguintes:
- administrador global Microsoft 365 Enterprise
– Administrador global
– Administrador de Conformidade
- Gerenciamento de Conformidade do IB (essa é uma nova função!)

Para saber mais sobre os pré-requisitos para barreiras de informações, consulte Pré-requisitos (para políticas de barreiras de informações).

Conecte-se ao PowerShell de Conformidade do & de Segurança.

Editar atributos de conta do usuário

Use esse procedimento para editar atributos usados para segmentar usuários. Por exemplo, se você estiver usando um atributo do Departamento e uma ou mais contas de usuário não tiverem valores listados no departamento, você deve editar essas contas de usuário para incluir informações do Departamento. Os atributos da conta de usuário são usados para definir segmentos para que as políticas de barreiras de informações possam ser atribuídas.

  1. Para exibir detalhes de uma conta de usuário específica, como valores de atributo e segmentos atribuídos, use o cmdlet Get-InformationBarrierRecipientStatus com parâmetros identity.

    Sintaxe Exemplo
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
    Você pode usar qualquer valor que identifique exclusivamente cada usuário, como nome, alias, nome distinto, nome de domínio canônico, endereço de email ou GUID.
    (Você também pode usar este cmdlet para um único usuário: Get-InformationBarrierRecipientStatus -Identity <value>)    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
    Neste exemplo, nos referimos a duas contas de usuário no Office 365: meganb para Megan e alexw para Alex.

  2. Determine qual atributo você deseja editar para seus perfis de conta de usuário. Para obter mais informações, consulte Atributos para políticas de barreiras de informações.

  3. Edite uma ou mais contas de usuário para incluir valores para o atributo selecionado na etapa anterior. Para tomar essa ação, use um dos seguintes procedimentos:

Editar um segmento

Use este procedimento edite a definição de um segmento de usuário. Por exemplo, você pode alterar o nome de um segmento ou o filtro usado para determinar quem está incluído no segmento.

  1. Para exibir todos os segmentos existentes, use o cmdlet Get-OrganizationSegment .

    Sintaxe: Get-OrganizationSegment

    Você verá uma lista de segmentos e detalhes para cada um, como tipo de segmento, seu valor UserGroupFilter, que o criou ou modificou pela última vez, GUID e assim por diante.

    Dica

    Imprima ou salve sua lista de segmentos para referência posteriormente. Por exemplo, se você quiser editar um segmento, precisará saber seu nome ou identificar o valor (isso é usado com o parâmetro Identity).

  2. Para editar um segmento, use o cmdlet Set-OrganizationSegment com o parâmetro Identity e detalhes relevantes.

    Sintaxe Exemplo
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"
    Neste exemplo, atualizamos o nome do departamento para HRDept para o segmento com GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

  3. Quando você terminar de editar segmentos para sua organização, poderá definir ou editar políticas de barreiras de informações.

Editar uma política

  1. Para exibir uma lista de políticas de barreiras de informações atuais, use o cmdlet Get-InformationBarrierPolicy .

    Sintaxe: Get-InformationBarrierPolicy

    Na lista de resultados, identifique a política que você deseja alterar. Observe o GUID e o nome da política.

  2. Use o cmdlet Set-InformationBarrierPolicy com um parâmetro Identity e especifique as alterações que você deseja fazer.

    Exemplo: suponha que uma política tenha sido definida para impedir que o segmento de Pesquisa se comunique com os segmentos de Vendas e Marketing . A política foi definida usando este cmdlet: New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"

    Suponha que queremos alterá-lo para que os usuários do segmento de Pesquisa só possam se comunicar com usuários no segmento de RH . Para fazer essa alteração, usamos este cmdlet: Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"

    Neste exemplo, alteramos SegmentsBlocked para SegmentsAllowed e especificamos o segmento de RH .

  3. Quando terminar de editar uma política, aplique suas alterações. (Consulte Aplicar políticas de barreiras de informações.)

Definir uma política como inativa status

  1. Para exibir uma lista de políticas de barreiras de informações atuais, use o cmdlet Get-InformationBarrierPolicy .

    Sintaxe: Get-InformationBarrierPolicy

    Na lista de resultados, identifique a política que você deseja alterar (ou remover). Observe o GUID e o nome da política.

  2. Para definir o status da política como inativo, use o cmdlet Set-InformationBarrierPolicy com um parâmetro Identity e o parâmetro State definido como Inactive.

    Sintaxe Exemplo
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    Neste exemplo, a política de barreiras de informações que tem GUID 43c37853-ea10-4b90-a23d-ab8c9377247 está definida como uma status inativa.

  3. Para aplicar suas alterações, use o cmdlet Start-InformationBarrierPoliciesApplication .

    Sintaxe: Start-InformationBarrierPoliciesApplication

    As alterações são aplicadas usuário por usuário para sua organização. Se sua organização for grande, pode levar 24 horas (ou mais) para que esse processo seja concluído. Como diretriz geral, leva cerca de uma hora para processar 5.000 contas de usuário.

  4. Neste ponto, uma ou mais políticas de barreiras de informações são definidas como inativas status. A partir daqui, você pode fazer qualquer uma das seguintes ações:

Remover uma política

  1. Para exibir uma lista de políticas de barreiras de informações atuais, use o cmdlet Get-InformationBarrierPolicy .

    Sintaxe: Get-InformationBarrierPolicy

    Na lista de resultados, identifique a política que você deseja remover. Observe o GUID e o nome da política.

  2. Verifique se a política está definida como inativa status. Para definir o status da política como inativo, use o cmdlet Set-InformationBarrierPolicy com um parâmetro Identity e o parâmetro State definido como Inativo.

    Sintaxe Exemplo
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    Neste exemplo, definimos uma política de barreiras de informações que tem GUID 43c37853-ea10-4b90-a23d-ab8c9377247 como um status inativo.

  3. Para aplicar suas alterações na política, use o cmdlet Start-InformationBarrierPoliciesApplication .

    Sintaxe: Start-InformationBarrierPoliciesApplication

    As alterações são aplicadas usuário por usuário para sua organização. Se sua organização for grande, pode levar 24 horas (ou mais) para que esse processo seja concluído. Como diretriz geral, leva cerca de uma hora para processar 5.000 contas de usuário.

  4. Use o cmdlet Remove-InformationBarrierPolicy com um parâmetro Identity.

    Sintaxe Exemplo
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    Neste exemplo, estamos removendo a política que tem GUID 43c37853-ea10-4b90-a23d-ab8c93772471.

    Quando solicitado, confirme a alteração.

Remover um segmento

  1. Para exibir todos os segmentos existentes, use o cmdlet Get-OrganizationSegment .

    Sintaxe: Get-OrganizationSegment

    Você verá uma lista de segmentos e detalhes para cada um, como tipo de segmento, seu valor UserGroupFilter, que o criou ou modificou pela última vez, GUID e assim por diante.

    Dica

    Imprima ou salve sua lista de segmentos para referência posteriormente. Por exemplo, se você quiser editar um segmento, precisará saber seu nome ou identificar o valor (isso é usado com o parâmetro Identity).

  2. Identifique o segmento a ser removido e verifique se a política de IB associada ao segmento foi removida. Consulte o procedimento Remover uma política para obter detalhes.

  3. Edite o segmento que será removido para remover a relação dos usuários com esse segmento. Essa ação atualiza a definição do segmento e remove todos os usuários do segmento. Você usará o parâmetro UserGroupFilter para desassociar os usuários do segmento antes da remoção.

    Para editar um segmento, use o cmdlet Set-OrganizationSegment com o parâmetro Identity e detalhes relevantes.

    Sintaxe Exemplo
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    Neste exemplo, para o segmento que tem o GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, definimos o nome do departamento como FakeDept para remover usuários do segmento. Este exemplo usa o atributo Departamento , mas você pode usar outros atributos conforme apropriado. O exemplo usa o FakeDept porque isso não existe e é certo que não contém nenhum usuário.

  4. Para aplicar suas alterações, use o cmdlet Start-InformationBarrierPoliciesApplication .

    Sintaxe: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Observação

    O atributo CleanupGroupSegmentLink remove associações de grupo com o segmento sem associações de usuário.

    As alterações são aplicadas usuário por usuário para sua organização. Se sua organização for grande, pode levar 24 horas (ou mais) para que esse processo seja concluído. Como diretriz geral, leva cerca de uma hora para processar 5.000 contas de usuário.

  5. Para remover um segmento, use o cmdlet Remove-OrganizationSegment com o parâmetro Identity e detalhes relevantes.

    Sintaxe Exemplo
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    Neste exemplo, o segmento que tem o GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, foi removido.

Remover uma política e um segmento

  1. Para exibir uma lista de políticas de barreiras de informações atuais, use o cmdlet Get-InformationBarrierPolicy .

    Sintaxe: Get-InformationBarrierPolicy

    Na lista de resultados, identifique a política que você deseja remover. Observe o GUID e o nome da política.

  2. Para exibir todos os segmentos existentes, use o cmdlet Get-OrganizationSegment .

    Sintaxe: Get-OrganizationSegment

    Você verá uma lista de segmentos e detalhes para cada um, como tipo de segmento, seu valor de parâmetro UserGroupFilter , que o criou ou modificou pela última vez, GUID e assim por diante.

    Dica

    Imprima ou salve sua lista de segmentos para referência posteriormente. Por exemplo, se você quiser editar um segmento, precisará saber seu nome ou identificar o valor (isso é usado com o parâmetro Identity).

  3. Para definir o status da política a ser removida para inativa, use o cmdlet Set-InformationBarrierPolicy com um parâmetro Identity e o parâmetro State definido como Inactive.

    Sintaxe Exemplo
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Inactive
    Neste exemplo, definimos uma política de barreiras de informações que tem GUID 43c37853-ea10-4b90-a23d-ab8c93772471 como um status inativo.

  4. Edite o segmento que será removido para remover a relação dos usuários com esse segmento. Essa ação atualiza a definição do segmento e remove todos os usuários do segmento. Você usará o parâmetro UserGroupFilter para desassociar os usuários do segmento antes da remoção.

    Para editar um segmento, use o cmdlet Set-OrganizationSegment com o parâmetro Identity e detalhes relevantes.

    Sintaxe Exemplo
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    Neste exemplo, para o segmento que tem o GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, atualizamos o nome do departamento para FakeDept para remover usuários do segmento. Este exemplo usa o atributo Departamento , mas você pode usar outros atributos conforme apropriado. O exemplo usa FakeDept porque isso não existe e é certo que não contém usuários.

  5. Para aplicar suas alterações, use o cmdlet Start-InformationBarrierPoliciesApplication .

    Sintaxe: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Observação

    O atributo CleanupGroupSegmentLink remove associações de grupo com o segmento sem associações de usuário.

    As alterações são aplicadas usuário por usuário para sua organização. Se sua organização for grande, pode levar 24 horas (ou mais) para que esse processo seja concluído. Como diretriz geral, leva cerca de uma hora para processar 5.000 contas de usuário.

  6. Use o cmdlet Remove-InformationBarrierPolicy com um parâmetro Identity .

    Sintaxe Exemplo
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    Neste exemplo, a política que tem GUID 43c37853-ea10-4b90-a23d-ab8c93772471 é removida.

    Quando solicitado, confirme a alteração.

  7. Para remover um segmento, use o cmdlet Remove-OrganizationSegment com o parâmetro Identity e detalhes relevantes.

    Sintaxe Exemplo
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    Neste exemplo, o segmento com GUID c96e0837-c232-4a8a-841e-ef45787d8fcd foi removido.

Parar um aplicativo de política

Depois de começar a aplicar políticas de barreiras de informações, se você quiser impedir que essas políticas sejam aplicadas, use o procedimento a seguir. Levará aproximadamente 30-35 minutos para o processo começar.

  1. Para exibir o status do aplicativo de política de barreiras de informações mais recente, use o cmdlet Get-InformationBarrierPoliciesApplicationStatus.

    Sintaxe: Get-InformationBarrierPoliciesApplicationStatus

    Observe o GUID do aplicativo.

  2. Use o cmdlet Stop-InformationBarrierPoliciesApplication com um parâmetro Identity.

    Sintaxe Exemplo
    Stop-InformationBarrierPoliciesApplication -Identity GUID Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1

    Neste exemplo, estamos impedindo que as políticas de barreiras de informações sejam aplicadas.

Habilitar ou desabilitar a descoberta do usuário

Importante

O suporte para habilitar ou desabilitar restrições de pesquisa só estará disponível quando sua organização não estiver no modo Herdado . As organizações no modo Herdado não podem habilitar ou desabilitar restrições de pesquisa. Habilitar ou desabilitar restrições de pesquisa requer ações adicionais para alterar o modo de barreiras de informações para sua organização. Para obter mais informações, consulte Usar suporte de vários segmentos em barreiras de informações) para obter detalhes.

As organizações no modo Herdado serão qualificadas para atualizar para a versão mais recente das barreiras de informações no futuro. Para obter mais informações, confira o roteiro de barreiras de informações.

Para habilitar a restrição de pesquisa do seletor de pessoas usando o PowerShell, conclua as seguintes etapas:

  1. Use o cmdlet Set-PolicyConfig para habilitar a restrição do seletor de pessoas:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Enabled'

Para desabilitar a restrição de pesquisa do seletor de pessoas usando o PowerShell, conclua as seguintes etapas:

  1. Use o cmdlet Set-PolicyConfig para desabilitar a restrição do seletor de pessoas:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'

Recursos