Introdução das barreiras de informação
Este artigo descreve como configurar políticas de IB (barreiras de informações) em sua organização. Várias etapas estão envolvidas, portanto, verifique se você revisa todo o processo antes de começar a configurar políticas de IB.
Você configurará o IB em sua organização usando o portal do Microsoft Purview, o portal de conformidade do Microsoft Purview ou usando Office 365 PowerShell de Segurança e Conformidade. Para organizações que configuram o IB pela primeira vez, recomendamos usar a solução barreiras de informações no portal de conformidade. Se você estiver gerenciando uma configuração de IB existente e estiver confortável usando o PowerShell, ainda terá essa opção.
Para obter mais informações sobre cenários e recursos do IB, consulte Saiba mais sobre barreiras de informações.
Dica
Para ajudar você a preparar seu plano, um cenário de exemplo está incluído neste artigo.
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
Assinaturas e permissões necessárias
Antes de começar a usar o IB, você deve confirmar sua assinatura do Microsoft 365 e quaisquer complementos. Para acessar e usar o IB, sua organização deve ter assinaturas de suporte ou complementos. Para obter mais informações, confira os requisitos de assinatura para barreiras de informações.
Para gerenciar políticas de IB, você deve receber uma das seguintes funções:
- Administrador global do Microsoft 365
- Administrador global do Office 365
- Administrador de conformidade
- Gerenciamento de Conformidade do IB
Para saber mais sobre funções e permissões, consulte Funções e grupos de funções nos portais de conformidade do Microsoft Defender XDR e do Microsoft Purview.
Conceitos de configuração
Ao configurar o IB, você trabalhará com vários objetos e conceitos.
Os atributos da conta de usuário são definidos em Microsoft Entra ID (ou Exchange Online). Esses atributos podem incluir departamento, cargo, local, nome da equipe e outros dados do perfil da função. Você atribuirá usuários ou grupos a segmentos com esses atributos.
Os segmentos são conjuntos de grupos ou usuários definidos no portal do Microsoft Purview, no portal de conformidade ou usando o PowerShell que usa atributos de grupo ou conta de usuário selecionados.
Sua organização pode ter até 5.000 segmentos e os usuários podem ser atribuídos a um máximo de 10 segmentos. Consulte a lista de atributos com suporte do IB para obter detalhes.
Importante
O suporte para 5.000 segmentos e a atribuição de usuários a vários segmentos só estão disponíveis quando sua organização não está no modo Herdado . Atribuir usuários a vários segmentos requer ações adicionais para alterar o modo de barreiras de informações para sua organização. Para obter mais informações, confira Usar suporte de vários segmentos em barreiras de informações para obter detalhes.
Para organizações no modo Herdado , o número máximo de segmentos com suporte é de 250 e os usuários estão restritos a serem atribuídos a apenas um segmento. As organizações no modo Herdado serão qualificadas para atualizar para a versão mais recente das barreiras de informações no futuro. Para obter mais informações, confira o roteiro de barreiras de informações.As políticas de IB determinam limites ou restrições de comunicação. Ao definir políticas de IB, você escolhe entre dois tipos de políticas:
Políticas de bloqueio impedem que um segmento se comunique com outro segmento.
Políticas de permissão permitem que um segmento se comunique apenas com determinados outros segmentos.
Observação
Para organizações no modo Herdado : grupos e usuáriosnão IB não estarão visíveis para usuários incluídos em segmentos e políticas de IB para permitir políticas. Se você precisar que grupos e usuários que não sejam do IB fiquem visíveis para usuários incluídos em segmentos e políticas de IB, você deve usar políticas de bloco .
Para organizações no modo SingleSegment ou MultiSegment: grupos e usuários não IB ficarão visíveis para usuários incluídos em segmentos e políticas do IB.
Para verificar o modo IB, consulte Verificar o modo IB para sua organização.
O aplicativo de política é feito depois que todas as políticas de IB forem definidas e você estiver pronto para aplicá-las em sua organização.
Visibilidade de usuários e grupos não IB: usuários e grupos não IB são usuários e grupos excluídos de segmentos e políticas do IB. Dependendo de quando você configurar políticas de IB em sua organização e o tipo de políticas de IB (bloquear ou permitir), o comportamento desses usuários e grupo será diferente no Microsoft Teams, SharePoint, OneDrive e em sua lista de endereços global.
- Para organizações no modo Herdado : para usuários definidos em permitir políticas, grupos não IB e usuários não estarão visíveis para usuários incluídos em segmentos e políticas de IB. Para usuários definidos em políticas de bloco , grupos e usuários não IB ficarão visíveis para usuários incluídos em segmentos e políticas de IB.
- Para organizações no modo SingleSegment ou MultiSegment: grupos e usuários não IB ficarão visíveis para usuários incluídos em segmentos e políticas do IB.
Suporte de grupo. Atualmente, apenas grupos modernos têm suporte em grupos de ib e distribuição Listas/segurança são tratados como grupos que não são do IB.
Contas de usuário e convidados ocultas/desabilitadas. Para contas de usuários e convidados ocultos/desabilitados em sua organização, o parâmetro HiddenFromAddressListEnabled é automaticamente definido como True quando as contas de usuário estão ocultas ou desabilitadas ou quando um convidado é criado. Quando o modo de organização é Herdado para organizações habilitadas para IB, essas contas são impedidas de se comunicar com todas as outras contas de usuário. Os administradores podem desabilitar esse comportamento padrão definindo manualmente o parâmetro HiddenFromAddressListEnabled como False.
Visão geral da configuração
| Etapas | O que está envolvido |
|---|---|
| Etapa 1: verifique se os pré-requisitos são atendidos | – Verifique se você tem as assinaturas e permissões necessárias - Verifique se o diretório inclui dados para segmentação de usuários – Habilitar a pesquisa pelo nome do Microsoft Teams - Verifique se o log de auditoria está ativado - Verifique o modo IB para sua organização - Configurar como as políticas do catálogo de endereços do Exchange são implementadas (dependendo de quando você habilita o IB em sua organização) - Fornecer consentimento de administrador para o Microsoft Teams (as etapas estão incluídas) |
| Etapa 2: Segmentar usuários em sua organização | - Determinar quais políticas são necessárias - Criar uma lista de segmentos a serem definidos - Identificar quais atributos usar - Definir segmentos em termos de filtros de política |
| Etapa 3: criar políticas de barreiras de informações | - Criar suas políticas (ainda não aplicadas) - Escolha entre dois tipos (bloquear ou permitir) |
| Etapa 4: aplicar políticas de barreiras de informações | - Definir políticas como status ativo - Executar o aplicativo de política - Exibir o status da política |
| Etapa 5: Configuração para barreiras de informações no SharePoint e no OneDrive (opcional) | - Configurar o IB para SharePoint e o OneDrive |
| Etapa 6: Modos de barreiras de informações (opcional) | – Atualizar modos IB, se aplicável |
| Etapa 7: configurar a descoberta do usuário para barreiras de informações (opcional) | - Habilitar ou restringir a descoberta do usuário no IB com o seletor de pessoas, se aplicável. |
Etapa 1: verifique se os pré-requisitos são atendidos
Além das assinaturas e permissões necessárias, verifique se os seguintes requisitos são atendidos antes de configurar o IB:
Dados do diretório: Verifique se a estrutura da sua organização é refletida nos dados do diretório. Para tomar essa ação, verifique se os atributos da conta de usuário (como associação de grupo, nome do departamento etc.) são preenchidos corretamente em Microsoft Entra ID (ou Exchange Online). Para saber mais, confira os seguintes recursos:
Pesquisa de diretório com escopo: antes de definir a primeira política de IB da sua organização, você deve habilitar a pesquisa de diretório com escopo no Microsoft Teams. Aguarde pelo menos 24 horas depois de habilitar a pesquisa de diretório com escopo antes de configurar ou definir políticas de IB.
Verifique se o log de auditoria está habilitado: para pesquisar o status de um aplicativo de política do IB, o registro em log de auditoria deve ser ativado. A auditoria está habilitada para organizações do Microsoft 365 por padrão. Algumas organizações podem ter desabilitado a auditoria por motivos específicos. Se a auditoria estiver desativada para sua organização, pode ser que outro administrador a desativou. Recomendamos confirmar que não há problema em ativar a auditoria novamente ao concluir esta etapa. Para saber mais, confira Ativar ou desativar a pesquisa de log de auditoria.
Verifique o modo IB para sua organização: o suporte para vários segmentos, opções de descoberta de pessoas, ABPs do Exchange e outros recursos é determinado pelo modo IB para sua organização. Para verificar o modo IB para sua organização, consulte Verificar o modo IB para sua organização.
Remova as políticas existentes Exchange Online catálogo de endereços (opcional):
- Para organizações no modo Herdado: antes de definir e aplicar políticas de IB, você deve remover todas as políticas existentes Exchange Online catálogo de endereços em sua organização. As políticas de IB são baseadas em políticas de catálogo de endereços e as políticas de ABPs existentes não são compatíveis com os ABPs criados pelo IB. Para remover as políticas existentes do catálogo de endereços, consulte Remover uma política de catálogo de endereços no Exchange Online. Para obter mais informações sobre políticas e Exchange Online do IB, consulte Barreiras de informações e Exchange Online.
- Para organizações no modo SingleSegment ou MultiSegment: as barreiras de informações não são mais baseadas em ABPs (políticas de catálogo de endereços) Exchange Online. As organizações que usam ABPs não terão nenhum impacto para os ABPs existentes ao habilitar barreiras de informações.
Gerenciar usando o PowerShell (opcional): segmentos e políticas de IB podem ser definidos e gerenciados no portal de conformidade, mas você também pode usar o Office 365 Security & Compliance PowerShell, se preferir ou necessário. Embora vários exemplos sejam fornecidos neste artigo, você precisará estar familiarizado com cmdlets e parâmetros do PowerShell se optar por usar o PowerShell para configurar e gerenciar segmentos e políticas do IB. Você também precisará do SDK do Microsoft Graph PowerShell se escolher essa opção de configuração.
Quando todos os pré-requisitos forem atendidos, prossiga para a próxima etapa.
Etapa 2: Segmentar usuários em sua organização
Nesta etapa, você determinará quais políticas de IB são necessárias, fará uma lista de segmentos a definir e definirá seus segmentos. A definição de segmentos não afeta os usuários, apenas define o estágio para que as políticas de IB sejam definidas e aplicadas.
Determinar quais políticas são necessárias
Considerando as necessidades de sua organização, determine os grupos em sua organização que precisarão de políticas de IB. Faça estas perguntas a si mesmo:
- Existem regulamentos internos, legais ou do setor que exigem a restrição de comunicação e colaboração entre grupos e usuários em sua organização?
- Há algum grupo ou usuário que deve ser impedido de se comunicar com outro grupo de usuários?
- Há grupos ou usuários que devem ser autorizados a se comunicar apenas com um ou dois outros grupos de usuários?
Pense nas políticas necessárias como pertencentes a um dos dois tipos:
- Políticas de Bloqueio impedem que um grupo se comunique com outro grupo.
- Permitir políticas permitem que um grupo se comunique apenas com grupos específicos.
Quando você tiver sua lista inicial de grupos e políticas necessários, prossiga para identificar os segmentos necessários para as políticas de IB.
Identificar segmentos
Além da lista inicial de políticas, faça uma lista de segmentos para sua organização. Os usuários que serão incluídos nas políticas de IB devem pertencer a pelo menos um segmento. Os usuários podem ser atribuídos a vários segmentos, se necessário. Você pode ter até 5.000 segmentos em sua organização e cada segmento pode ter apenas uma política de IB aplicada.
Importante
Um usuário só pode estar em um segmento para organizações nos modos Legacy ou SingleSegement . Para verificar o modo IB, consulte Verificar o modo IB para sua organização.
Determine quais atributos nos dados de diretório da sua organização você usará para definir segmentos. Você pode usar Departamento, MemberOf ou qualquer um dos atributos IB com suporte. Verifique se você tem valores no atributo selecionado para usuários. Para obter mais informações, confira os atributos com suporte para IB.
Importante
Antes de prosseguir para a próxima seção, verifique se os dados do diretório têm valores para atributos que você pode usar para definir segmentos. Se os dados do diretório não tiverem valores para os atributos que você deseja usar, as contas de usuário devem ser atualizadas para incluir essas informações antes de prosseguir com a configuração do IB. Para obter ajuda com isso, confira os seguintes recursos:
- Configurar propriedades da conta de usuário com Office 365 PowerShell
- Adicionar ou atualizar informações de perfil de um usuário usando Microsoft Entra ID
Habilitar o suporte de vários segmentos para usuários (opcional)
O suporte para atribuir usuários a vários segmentos só está disponível quando sua organização não estiver no modo Herdado . Se você quiser dar suporte à atribuição de usuários a vários segmentos, consulte Usar suporte de vários segmentos em barreiras de informações.
Os usuários estão restritos a serem atribuídos a apenas um segmento para organizações no modo Herdado . As organizações no modo Herdado serão qualificadas para atualizar para a versão mais recente das barreiras de informações no futuro. Para obter mais informações, confira o roteiro de barreiras de informações.
Definir segmentos usando os portais
Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.
Conclua as seguintes etapas para definir segmentos:
- Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização.
- Selecione a solução Barreiras de Informações cartão. Se a solução Barreiras de Informações cartão não for exibida, selecione Exibir todas as soluções e selecione Barreiras de Informações na seção Conformidade de & de Risco.
- Selecione Segmentos.
- Na página Segmentos , selecione Novo segmento para criar e configurar um novo segmento.
- Na página Nome , insira um nome para o segmento. Você não pode renomear um segmento depois de criado.
- Selecione Avançar.
- Na página Filtro de grupo de usuários , selecione Adicionar para configurar o grupo e os atributos de usuário para o segmento. Escolha um atributo para o segmento na lista de atributos disponíveis.
- Para o atributo selecionado, selecione Igual ou Não igual e insira o valor do atributo. Por exemplo, se você selecionou Department como o atributo e Equals, poderá inserir o Marketing como o Departamento definido para essa condição de segmento. Você pode adicionar condições adicionais para um atributo selecionando Adicionar condição. Se você precisar excluir um atributo ou condição de atributo, selecione o ícone de exclusão para o atributo ou condição.
- Adicione atributos adicionais conforme necessário na página Filtro de grupo de usuários e selecione Avançar.
- Na página Revisar suas configurações , examine as configurações escolhidas para o segmento e quaisquer sugestões ou avisos para suas seleções. Selecione Editar para alterar qualquer um dos atributos e condições do segmento ou selecione Enviar para criar o segmento.
Definir segmentos usando o PowerShell
Para definir segmentos com o PowerShell, conclua as seguintes etapas:
Use o cmdlet New-OrganizationSegment com o parâmetro UserGroupFilter que corresponde ao atributo que você deseja usar.
Sintaxe Exemplo New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'"New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"Neste exemplo, um segmento chamado RH é definido usando RH, um valor no atributo Departamento . A parte -eq do cmdlet refere-se a "iguais". (Alternativamente, você pode usar -ne para significar "não é igual". Consulte Usando "iguais" e "não iguais" em definições de segmento.)
Depois de executar cada cmdlet, você deverá ver uma lista de detalhes sobre o novo segmento. Os detalhes incluem o tipo do segmento, quem o criou ou o modificou pela última vez e assim por diante.
Repita esse processo para cada segmento que você deseja definir.
Depois de definir seus segmentos, vá para a Etapa 3: Criar políticas de IB.
Usando "iguais" e "não iguais" em definições de segmento do PowerShell
No exemplo a seguir, estamos configurando segmentos de IB usando o PowerShell e definindo um segmento de modo que "Departamento é igual a RH".
| Exemplo | Observação |
|---|---|
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" |
Observe que, neste exemplo, a definição do segmento inclui um parâmetro "igual" denotado como -eq. |
Você também pode definir segmentos usando um parâmetro "não igual", denotado como -ne, conforme mostrado na tabela a seguir:
| Sintaxe | Exemplo |
|---|---|
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" |
Neste exemplo, definimos um segmento chamado NotSales que inclui todos que não estão em Vendas. A parte -ne do cmdlet refere-se a "não é igual". |
Além de definir segmentos usando parâmetros "iguais" ou "não iguais", você pode definir um segmento usando parâmetros "iguais" e "não iguais". Você também pode definir filtros de grupo complexos usando operadores E e OR lógicos.
| Sintaxe | Exemplo |
|---|---|
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" |
Neste exemplo, definimos um segmento chamado LocalFTE que inclui usuários localizados localmente e cujas posições não estão listadas como Temporárias. |
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq 'group1@contoso.com'' -and MemberOf -ne 'group3@contoso.com'" |
Neste exemplo, definimos um segmento chamado Segment1 que inclui usuários que são membros e group1@contoso.com não membros do group3@contoso.com. |
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq 'group2@contoso.com' -or MemberOf -ne 'group3@contoso.com'" |
Neste exemplo, definimos um segmento chamado Segment2 que inclui usuários que são membros e group2@contoso.com não membros do group3@contoso.com. |
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq 'group1@contoso.com' -or MemberOf -eq 'group2@contoso.com') -and MemberOf -ne 'group3@contoso.com'" |
Neste exemplo, definimos um segmento chamado Segment1and2 que inclui usuários dentro group1@contoso.com e group2@contoso.com não membros do group3@contoso.com. |
Dica
Se possível, use definições de segmento que incluem "-eq" ou "-ne". Tente não definir definições de segmento complexas.
Etapa 3: Criar políticas de IB
Ao criar suas políticas de IB, você determinará se precisa impedir comunicações entre determinados segmentos ou limitar as comunicações a determinados segmentos. Idealmente, você usará o número mínimo de políticas de IB para garantir que sua organização esteja em conformidade com os requisitos internos, legais e do setor. Você pode usar o portal do Microsoft Purview, o portal de conformidade ou o PowerShell para criar e aplicar políticas de IB.
Dica
Para consistência da experiência do usuário, recomendamos usar políticas de bloco para a maioria dos cenários, se possível.
Com sua lista de segmentos de usuário e as políticas de IB que você deseja definir, selecione um cenário e siga as etapas.
- Cenário 1: bloquear comunicações entre segmentos
- Cenário 2: Permitir que um segmento se comunique apenas com outro segmento
Importante
Verifique se, conforme você define políticas, você não atribui mais de uma política a um segmento. Por exemplo, se você definir uma política para um segmento chamado Vendas, não defina uma política adicional para o segmento Vendas .
Além disso, ao definir políticas de IB, defina essas políticas como inativas status até que você esteja pronto para aplicá-las. Definir políticas (ou editar) não afeta os usuários até que essas políticas sejam definidas como ativas status e aplicadas.
Cenário 1: Bloquear as comunicações entre segmentos
Quando você deseja impedir que segmentos se comuniquem entre si, você define duas políticas: uma para cada direção. Cada política bloqueia apenas a comunicação em uma direção.
Por exemplo, suponha que você queira bloquear as comunicações entre o Segmento A e o Segmento B. Nesse caso, você definiria duas políticas:
- Uma política que impede o Segmento A de se comunicar com o Segmento B
- Uma segunda política para impedir que o Segmento B se comunique com o Segmento A
Criar políticas usando os portais para o Cenário 1
Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.
Conclua as seguintes etapas para criar políticas:
Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização.
Selecione a solução Barreiras de Informações cartão. Se a solução Barreiras de Informações cartão não for exibida, selecione Exibir todas as soluções e selecione Barreiras de Informações na seção Conformidade de & de Risco.
Selecione Políticas.
Na página Políticas , selecione Criar política para criar e configurar uma nova política de IB.
Na página Nome , insira um nome para a política e selecione Avançar.
Na página Segmento Atribuído , selecione Escolher segmento. Use a caixa de pesquisa para pesquisar um segmento por nome ou rolagem para selecionar o segmento na lista exibida. Selecione Adicionar para adicionar o segmento selecionado à política. Você só pode selecionar um segmento.
Selecione Avançar.
Na página Comunicação e colaboração , selecione o tipo de política no campo Comunicação e colaboração . As opções de política são permitidas ou bloqueadas. Neste cenário de exemplo, Bloqueado seria selecionado para a primeira política.
Importante
O status permitido e bloqueado para segmentos não pode ser alterado após a criação de uma política. Para alterar o status depois de criar uma política, você deve excluir a política e criar uma nova.
Selecione Escolher segmento para definir as ações para o segmento de destino. Você pode atribuir mais de um segmento nesta etapa. Por exemplo, se você quisesse impedir que usuários em um segmento chamado Vendas se comunicassem com usuários em um segmento chamado Pesquisa, você teria definido o segmento Vendas na Etapa 5 e atribuiria Pesquisa na opção Escolher segmento nesta etapa.
Selecione Avançar.
Na página Política status, alterne a política ativa status para Ativar. Selecione Avançar para continuar.
Na página Revisar suas configurações , examine as configurações escolhidas para a política e quaisquer sugestões ou avisos para suas seleções. Selecione Editar para alterar qualquer um dos segmentos de política e status ou selecione Enviar para criar a política.
Neste exemplo, você repetiria as etapas anteriores para criar uma segunda política de Bloco para restringir a bloqueio de usuários em um segmento chamado Pesquisa de comunicação com usuários em um segmento chamado Vendas. Você teria definido o segmento Pesquisa na Etapa 5 e atribuiria Vendas (ou vários segmentos) na opção Escolher segmento .
Criar políticas usando o PowerShell para o Cenário 1
Para definir políticas com o PowerShell, conclua as seguintes etapas:
Para definir sua primeira política de bloqueio, use o cmdlet New-InformationBarrierPolicy com o parâmetro SegmentsBlocked .
Sintaxe Exemplo New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsBlocked "segmentBname"New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State InactiveNeste exemplo, definimos uma política chamada Sales-Research para um segmento chamado Vendas. Quando ativa e aplicada, essa política impede que os usuários em Vendas se comuniquem com usuários em um segmento chamado Pesquisa.
Para definir seu segundo segmento de bloqueio, use o cmdlet New-InformationBarrierPolicy com o parâmetro SegmentsBlocked novamente, desta vez com os segmentos invertidos.
Exemplo Observação New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State InactiveNeste exemplo, definimos uma política chamada Pesquisa-Vendas para impedir que a Pesquisa se comunique com Vendas. Prossiga para uma das seguintes ações:
- (Se necessário) Definir uma política para permitir que um segmento se comunique apenas com um outro segmento
- (Depois que todas as políticas forem definidas) Aplicar políticas de IB
Cenário 2: Permitir que um segmento se comunique apenas com outro segmento
Quando você deseja permitir que um segmento se comunique apenas com um outro segmento, você define duas políticas: uma para cada direção. Cada política permite apenas comunicação em uma direção.
Neste exemplo, você definiria duas políticas:
- Uma política permite que o Segmento A se comunique com o Segmento B
- Uma segunda política para permitir que o Segmento B se comunique com o Segmento A
Criar políticas usando os portais para o Cenário 2
Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.
Conclua as seguintes etapas para criar políticas:
Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização.
Selecione a solução Barreiras de Informações cartão. Se a solução Barreiras de Informações cartão não for exibida, selecione Exibir todas as soluções e selecione Barreiras de Informações na seção Conformidade de & de Risco.
Na página Políticas , selecione Criar política para criar e configurar uma nova política de IB.
Na página Nome , insira um nome para a política e selecione Avançar.
Na página Segmento Atribuído , selecione Escolher segmento. Use a caixa de pesquisa para pesquisar um segmento por nome ou rolagem para selecionar o segmento na lista exibida. Selecione Adicionar para adicionar o segmento selecionado à política. Você só pode selecionar um segmento.
Selecione Avançar.
Na página Comunicação e colaboração , selecione o tipo de política no campo Comunicação e colaboração . As opções de política são permitidas ou bloqueadas. Neste cenário de exemplo, Permissão seria selecionada para a política.
Importante
O status permitido e bloqueado para segmentos não pode ser alterado após a criação de uma política. Para alterar o status depois de criar uma política, você deve excluir a política e criar uma nova.
Selecione Escolher segmento para definir as ações para o segmento de destino. Você pode atribuir mais de um segmento nesta etapa. Por exemplo, se você quisesse permitir que usuários em um segmento chamado Fabricação se comunicassem com usuários em um segmento chamado RH, você teria definido o segmento De fabricação na Etapa 5 e atribuiria RH na opção Escolher segmento nesta etapa.
Selecione Avançar.
Na página Política status, alterne a política ativa status para Ativar. Selecione Avançar para continuar.
Na página Revisar suas configurações , examine as configurações escolhidas para a política e quaisquer sugestões ou avisos para suas seleções. Selecione Editar para alterar qualquer um dos segmentos de política e status ou selecione Enviar para criar a política.
Neste exemplo, você repetiria as etapas anteriores para criar uma segunda política Permitir para permitir que usuários em um segmento chamado Pesquisa se comuniquem com usuários em um segmento chamado Vendas. Você teria definido o segmento Pesquisa na Etapa 5 e atribuiria Vendas (ou vários segmentos) na opção Escolher segmento .
Criar uma política usando o PowerShell para o Cenário 2
Para definir políticas com o PowerShell, conclua as seguintes etapas:
Para permitir que um segmento se comunique com o outro segmento, use o cmdlet New-InformationBarrierPolicy com o parâmetro SegmentsAllowed .
Sintaxe Exemplo New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname","segment1name"New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State InactiveNeste exemplo, definimos uma política chamada Manufacturing-HR para um segmento chamado Manufatura. Quando ativa e aplicada, essa política permite que os usuários na Fabricação se comuniquem apenas com usuários em um segmento chamado RH. Nesse caso, a fabricação não pode se comunicar com usuários que não fazem parte do RH.
Se necessário, você pode especificar vários segmentos com esse cmdlet, conforme mostrado no exemplo a seguir.
Sintaxe Exemplo New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname", "segmentCname","segmentDname"New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State InactiveNeste exemplo, definimos uma política que permite que o segmento de Pesquisa se comunique apenas com RH e Manufatura.
Repita esta etapa para cada política que você deseja definir para permitir que segmentos específicos se comuniquem apenas com determinados outros segmentos específicos.
Para definir seu segundo segmento de permissão, use o cmdlet New-InformationBarrierPolicy com o parâmetro SegmentsAllowed novamente, desta vez com os segmentos invertidos.
Exemplo Observação New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsAllowed "Sales" -State InactiveNeste exemplo, definimos uma política chamada Pesquisa-Vendas para permitir que a Pesquisa se comunique com Vendas. Prossiga para uma das seguintes ações:
- (Se necessário) Definir uma política para bloquear as comunicações entre segmentos
- (Depois que todas as políticas forem definidas) Aplicar políticas de IB
Etapa 4: Aplicar políticas de IB
As políticas de IB não estão em vigor até que você as defina como status ativas e aplique as políticas.
Aplicar políticas usando os portais
Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.
Conclua as seguintes etapas para aplicar políticas:
Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização.
Selecione a solução Barreiras de Informações cartão. Se a solução Barreiras de Informações cartão não for exibida, selecione Exibir todas as soluções e selecione Barreiras de Informações na seção Conformidade de & de Risco.
Selecione Aplicativo de política.
Na página Políticas do aplicativo , selecione Aplicar todas as políticas para aplicar todas as políticas de IB em sua organização.
Observação
Permitir 30 minutos para o sistema começar a aplicar as políticas. O sistema aplica políticas usuário por usuário. O sistema processa cerca de 5.000 contas de usuário por hora.
Aplicar políticas usando o PowerShell
Para aplicar políticas usando o PowerShell, conclua as seguintes etapas:
Use o cmdlet Get-InformationBarrierPolicy para ver uma lista de políticas definidas. Observe o GUID (status e identidade) de cada política.
Sintaxe:
Get-InformationBarrierPolicyPara definir uma política como status ativa, use o cmdlet Set-InformationBarrierPolicy com um parâmetro Identity e o parâmetro State definido como Active.
Sintaxe Exemplo Set-InformationBarrierPolicy -Identity GUID -State ActiveSet-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State ActiveNeste exemplo, definimos uma política de IB que tem o GUID 43c37853-ea10-4b90-a23d-ab8c93772471 como ativo status.
Repita esta etapa conforme apropriado para cada política.
Quando terminar de definir suas políticas de IB como status ativas, use o cmdlet Start-InformationBarrierPoliciesApplication no PowerShell de Conformidade & segurança.
Sintaxe:
Start-InformationBarrierPoliciesApplicationDepois de executar
Start-InformationBarrierPoliciesApplication, aguarde 30 minutos para que o sistema comece a aplicar as políticas. O sistema aplica políticas usuário por usuário. O sistema processa cerca de 5.000 contas de usuário por hora.
Exibir status de contas de usuário, segmentos, políticas ou aplicativo de política
Com o PowerShell, você pode exibir status de contas de usuário, segmentos, políticas e aplicativo de política, conforme listado na tabela a seguir.
| Para exibir essas informações | Faça essa ação |
|---|---|
| Contas de usuário | Use o cmdlet Get-InformationBarrierRecipientStatus com parâmetros identity. Sintaxe: Você pode usar qualquer valor que identifique exclusivamente cada usuário, como nome, alias, nome distinto, nome de domínio canônico, endereço de email ou GUID. Exemplo: Neste exemplo, nos referimos a duas contas de usuário no Office 365: meganb para Megan e alexw para Alex. (Você também pode usar este cmdlet para um único usuário: Esse cmdlet retorna informações sobre usuários, como valores de atributo e quaisquer políticas de IB aplicadas. |
| Segmentos | Use o cmdlet Get-OrganizationSegment . Sintaxe: Este cmdlet exibe uma lista de todos os segmentos definidos para sua organização. |
| Políticas de IB | Use o cmdlet Get-InformationBarrierPolicy . Sintaxe: Este cmdlet exibe uma lista de políticas de IB definidas e suas status. |
| O aplicativo de política do IB mais recente | Use o cmdlet Get-InformationBarrierPoliciesApplicationStatus . Sintaxe: Este cmdlet exibe informações sobre se o aplicativo de política foi concluído, falhou ou está em andamento. |
| Todos os aplicativos de política do IB | UseGet-InformationBarrierPoliciesApplicationStatus -AllEste cmdlet exibe informações sobre se o aplicativo de política foi concluído, falhou ou está em andamento. |
E se eu precisar remover ou mudar as políticas?
Os recursos estão disponíveis para ajudá-lo a gerenciar suas políticas de IB.
- Para editar, parar ou remover políticas de IB, consulte Gerenciar políticas de barreiras de informações.
- Se algo der errado com o IB, consulte Solucionar problemas de barreiras de informações.
Etapa 5: Configuração para barreiras de informações no SharePoint e no OneDrive
Se você estiver configurando o IB para SharePoint e OneDrive, precisará habilitar o IB nesses serviços. Você também precisará habilitar o IB nesses serviços se estiver configurando o IB para o Microsoft Teams. Quando uma equipe é criada na equipe do Microsoft Teams, um site do SharePoint é criado automaticamente e associado ao Microsoft Teams para a experiência de arquivos. As políticas de IB não são honradas neste novo site e arquivos do SharePoint por padrão.
Para habilitar o IB no SharePoint e no OneDrive, siga as diretrizes e etapas no artigo Usar barreiras de informações com o SharePoint .
Etapa 6: Modos de barreiras de informações (opcional)
Os modos podem ajudar a fortalecer o acesso, o compartilhamento e a associação de um recurso do Microsoft 365 com base no modo IB do recurso. Os modos têm suporte em sites Grupos do Microsoft 365, Microsoft Teams, OneDrive e SharePoint e são habilitados automaticamente em sua configuração de IB nova ou existente.
Os seguintes modos IB têm suporte nos recursos do Microsoft 365:
| Mode | Descrição | Exemplo |
|---|---|---|
| Abrir | Não há políticas de IB ou segmentos associados ao recurso do Microsoft 365. Qualquer pessoa pode ser convidada para ser membro do recurso. | Um site de equipe criado para um evento de piquenique para sua organização. |
| Proprietário Moderado | A política de IB do recurso do Microsoft 365 é determinada a partir da política de IB do proprietário do recurso. Os proprietários de recursos podem convidar qualquer usuário para o recurso com base em suas políticas de IB. Esse modo é útil quando sua empresa deseja permitir a colaboração entre usuários de segmento incompatíveis que são moderados pelo proprietário. Somente o proprietário do recurso pode adicionar novos membros por sua política de IB. | O VP de RH deseja colaborar com os VPs de Vendas e Pesquisa. Um novo site do SharePoint que é definido com o proprietário do modo IB Moderado para adicionar usuários do segmento vendas e pesquisa ao mesmo site. É responsabilidade do proprietário garantir que os membros apropriados sejam adicionados ao recurso. |
| Implícito | A política do IB ou os segmentos do recurso do Microsoft 365 são herdados da política de IB dos membros do recurso. O proprietário pode adicionar membros desde que sejam compatíveis com os membros existentes do recurso. Esse modo é o modo IB padrão do Microsoft Teams. | O usuário do segmento Vendas cria uma equipe do Microsoft Teams para colaborar com outros segmentos compatíveis na organização. |
| Explicit | A política de IB do recurso do Microsoft 365 é de acordo com os segmentos associados ao recurso. O proprietário do recurso ou administrador do SharePoint tem a capacidade de gerenciar os segmentos no recurso. | Um site criado apenas para membros do segmento vendas colaborar associando o segmento Vendas ao site. |
| Mixed | Aplicável somente ao OneDrive. A política de IB do OneDrive é de acordo com os segmentos associados ao OneDrive. O proprietário do recurso ou administrador do OneDrive tem a capacidade de gerenciar os segmentos no recurso. | Um OneDrive criado para membros do segmento de Vendas para colaborar pode ser compartilhado com usuários sem formação. |
Atualizações de modo implícito
Dependendo de quando você habilitar o IB em sua organização, sua organização estará no modo de organização Herdado, SingleSegment ou MultiSegment . Para verificar seu modo, consulte Verificar o modo IB para sua organização.
Se sua organização estiver no modo SingleSegment ou MultiSegment e o modo de barreiras de informações do grupo teams estiver implícito, os grupos/sites conectados ao Teams não terão nenhum segmento associado a ele.
Para obter mais informações sobre os modos IB e como eles estão configurados entre os serviços, confira os seguintes artigos:
- Modos de barreiras de informações e do Microsoft Teams
- Modos de barreiras de informações e do OneDrive
- Modos de barreiras de informações e do SharePoint
Etapa 7: configurar a descoberta do usuário para barreiras de informações (opcional)
As políticas de barreiras de informações permitem que os administradores habilitem ou desabilitem as restrições de pesquisa no seletor de pessoas. Por padrão, a restrição de seletor de pessoas está habilitada para políticas de IB. Por exemplo, as políticas de IB que bloqueiam dois usuários específicos da comunicação também podem restringir os usuários de se verem ao usar o seletor de pessoas.
Importante
O suporte para habilitar ou desabilitar restrições de pesquisa só estará disponível quando sua organização não estiver no modo Herdado . As organizações no modo Herdado não podem habilitar ou desabilitar restrições de pesquisa. Habilitar ou desabilitar restrições de pesquisa requer ações adicionais para alterar o modo de barreiras de informações para sua organização. Para obter mais informações, consulte Usar suporte de vários segmentos em barreiras de informações) para obter detalhes.
As organizações no modo Herdado serão qualificadas para atualizar para a versão mais recente das barreiras de informações no futuro. Para obter mais informações, confira o roteiro de barreiras de informações.
Para desabilitar a restrição de pesquisa do seletor de pessoas usando o PowerShell, conclua as seguintes etapas:
- Use o cmdlet Set-PolicyConfig para desabilitar a restrição do seletor de pessoas:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'
Cenário de exemplo: departamentos, segmentos e políticas da Contoso
Para ver como uma organização pode abordar a definição de segmentos e políticas, considere o cenário de exemplo a seguir.
Departamentos e planos da Contoso
A Contoso tem cinco departamentos: RH, Vendas, Marketing, Pesquisa e Fabricação. Para permanecer em conformidade com as regulamentações do setor, os usuários em alguns departamentos não devem se comunicar com outros departamentos, conforme listado na tabela a seguir:
| Segmento | Pode se comunicar com | Não é possível se comunicar com |
|---|---|---|
| HR | Todos | (sem restrições) |
| Vendas | RH, Marketing, Fabricação | Pesquisar |
| Marketing | Todos | (sem restrições) |
| Pesquisar | RH, Marketing, Fabricação | Vendas |
| Indústria | RH, Marketing | Qualquer pessoa que não seja RH ou Marketing |
Para essa estrutura, o plano da Contoso inclui três políticas de IB:
- Uma política de IB projetada para impedir que As Vendas se comuniquem com a Pesquisa
- Outra política do IB para impedir que a Pesquisa se comunique com Vendas.
- Uma política de IB projetada para permitir que a Fabricação se comunique apenas com RH e Marketing.
Para esse cenário, não é necessário definir políticas de IB para RH ou Marketing.
Segmentos definidos da Contoso
A Contoso usará o atributo Department em Microsoft Entra ID para definir segmentos, da seguinte maneira:
| Departamento | Definição de segmento |
|---|---|
| RH | New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" |
| Vendas | New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'" |
| Marketing | New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'" |
| Pesquisar | New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'" |
| Indústria | New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'" |
Com os segmentos definidos, a Contoso passa a definir as políticas de IB.
Políticas de IB da Contoso
A Contoso define três políticas de IB, conforme descrito na tabela a seguir:
| Política | Definição de política |
|---|---|
| Política 1: impedir que as Vendas se comuniquem com a Pesquisa | New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive Neste exemplo, a política de IB se chama Sales-Research. Quando essa política estiver ativa e aplicada, ela ajudará a impedir que os usuários que estão no segmento Vendas se comuniquem com os usuários do segmento Pesquisa. Essa política é uma política unidirecional; isso não impedirá que a Pesquisa se comunique com Vendas. Para isso, a Política 2 é necessária. |
| Política 2: impedir que a Pesquisa se comunique com as Vendas | New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive Neste exemplo, a política de IB é chamada de Pesquisa-Vendas. Quando essa política estiver ativa e aplicada, ela ajudará a impedir que os usuários que estão no segmento Pesquisa se comuniquem com os usuários do segmento Vendas. |
| Política 3: permitir que a fabricação se comunique apenas com RH e Marketing | New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive Nesse caso, a política de IB é chamada de Manufacturing-HRMarketing. Quando essa política estiver ativa e aplicada, a Manufatura poderá se comunicar apenas com o RH e o Marketing. O RH e o Marketing não estão impedidos de se comunicar com outros segmentos. |
Com segmentos e políticas definidos, a Contoso aplica as políticas executando o cmdlet Start-InformationBarrierPoliciesApplication .
Quando o cmdlet é concluído, a Contoso está em conformidade com os requisitos do setor.
Recursos
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de