Partilhar via

Gerir políticas de barreiras de informação

  • Artigo

Depois de definir as políticas de barreiras de informação (IB), poderá ter de fazer alterações a essas políticas ou aos segmentos de utilizador, como parte da resolução de problemas ou como manutenção regular.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

O que você deseja fazer?

Action Descrição
Editar atributos de conta do usuário Preencha os atributos no ID do Microsoft Entra que podem ser utilizados para definir segmentos.
Edite os atributos da conta de utilizador quando os utilizadores não são incluídos em segmentos que devem ser, para alterar os segmentos em que os utilizadores se encontram ou para definir segmentos com atributos diferentes.
Editar um segmento Editar segmentos quando você deseja alterar a definição de um segmento.
Por exemplo, pode ter definido originalmente segmentos com o Departamento e agora pretende utilizar outro atributo, como MemberOf.
Editar uma política Edite uma política de barreiras de informações quando quiser alterar o funcionamento de uma política.
Por exemplo, em vez de bloquear as comunicações entre dois segmentos, pode decidir que pretende permitir que as comunicações ocorram apenas entre determinados segmentos.
Definir uma política para o estado inativo Defina uma política para o estado inativo quando pretender efetuar alterações a uma política ou quando não quiser que uma política esteja em vigor.
Remover uma política Remova uma política de barreiras de informação quando já não precisar de uma determinada política em vigor.
Remover um segmento Remova um segmento de barreiras de informação quando já não precisar de um segmento específico.
Remover uma política e um segmento Remova uma política de barreiras de informação e um segmento ao mesmo tempo.
Parar uma aplicação de política Tome esta ação quando quiser parar o processo de aplicação de políticas de barreiras de informação.
Parar uma aplicação de política não é instantâneo e não anula as políticas que já estão aplicadas aos utilizadores.
Ativar ou desativar a deteção do utilizador Ative ou desative se os utilizadores forem apresentados no seletor de pessoas.
Definir políticas para barreiras de informações Defina uma política de barreiras de informação quando ainda não tiver essas políticas implementadas e tem de restringir ou limitar as comunicações entre grupos específicos de utilizadores.
Solução de problemas de barreiras de informações Veja este artigo quando se deparar com problemas inesperados com barreiras de informações.

Importante

Para efetuar as tarefas descritas neste artigo, tem de lhe ser atribuída uma função adequada, como uma das seguintes:
- Administrador Global do Microsoft 365 Enterprise
- Administrador Global
- Administrador de Conformidade
- Gestão de Conformidade do IB (esta é uma nova função!)

Para saber mais sobre os pré-requisitos para barreiras de informações, veja Pré-requisitos (para políticas de barreiras de informação).

Certifique-se de que liga ao PowerShell de Conformidade do & de Segurança.

Importante

A Microsoft recomenda que utilize funções com menos permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.

Editar atributos de conta do usuário

Utilize este procedimento para editar atributos que são utilizados para segmentar utilizadores. Por exemplo, se estiver a utilizar um atributo Departamento e uma ou mais contas de utilizador não tiverem atualmente valores listados para Departamento, tem de editar essas contas de utilizador para incluir informações do Departamento. Os atributos da conta de utilizador são utilizados para definir segmentos para que as políticas de barreiras de informações possam ser atribuídas.

  1. Para ver detalhes de uma conta de utilizador específica, como valores de atributo e segmentos atribuídos, utilize o cmdlet Get-InformationBarrierRecipientStatus com parâmetros de Identidade.

    Sintaxe Exemplo
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
    Pode utilizar qualquer valor que identifique exclusivamente cada utilizador, como o nome, alias, nome único, nome de domínio canónico, endereço de e-mail ou GUID.
    (Também pode utilizar este cmdlet para um único utilizador: Get-InformationBarrierRecipientStatus -Identity <value>)    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
    Neste exemplo, referimo-nos a duas contas de utilizador no Office 365: meganb para Megan e alexw para Alex.

  2. Determine o atributo que pretende editar para os perfis de conta de utilizador. Para obter mais informações, veja Atributos para políticas de barreiras de informações.

  3. Edite uma ou mais contas de utilizador para incluir valores para o atributo que selecionou no passo anterior. Para efetuar esta ação, utilize um dos seguintes procedimentos:

Editar um segmento

Utilize este procedimento para editar a definição de um segmento de utilizador. Por exemplo, pode alterar o nome de um segmento ou o filtro utilizado para determinar quem está incluído no segmento.

  1. Para ver todos os segmentos existentes, utilize o cmdlet Get-OrganizationSegment .

    Sintaxe: Get-OrganizationSegment

    Verá uma lista de segmentos e detalhes para cada um, como o tipo de segmento, o respetivo valor UserGroupFilter, quem o criou ou modificou pela última vez, GUID, etc.

    Dica

    Imprima ou guarde a sua lista de segmentos para referência mais tarde. Por exemplo, se quiser editar um segmento, terá de saber o respetivo nome ou identificar o valor (isto é utilizado com o parâmetro Identidade).

  2. Para editar um segmento, utilize o cmdlet Set-OrganizationSegment com o parâmetro Identity e detalhes relevantes.

    Sintaxe Exemplo
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"
    Neste exemplo, atualizámos o nome do departamento para HRDept para o segmento com GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

  3. Quando terminar de editar segmentos para a sua organização, pode definir ou editar políticas de barreiras de informações.

Editar uma política

  1. Para ver uma lista das políticas de barreiras de informações atuais, utilize o cmdlet Get-InformationBarrierPolicy .

    Sintaxe: Get-InformationBarrierPolicy

    Na lista de resultados, identifique a política que pretende alterar. Tenha em atenção o GUID e o nome da política.

  2. Utilize o cmdlet Set-InformationBarrierPolicy com um parâmetro Identity e especifique as alterações que pretende fazer.

    Exemplo: suponha que foi definida uma política para impedir que o segmento Pesquisa comunique com os segmentos Vendas e Marketing . A política foi definida com este cmdlet: New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"

    Suponha que queremos alterá-lo para que os utilizadores no segmento Pesquisa só possam comunicar com os utilizadores no segmento de RH . Para efetuar esta alteração, utilizamos este cmdlet: Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"

    Neste exemplo, alterámos SegmentsBlocked para SegmentsAllowed e especificámos o segmento de RH .

  3. Quando terminar de editar uma política, certifique-se de que aplica as alterações. (Veja Aplicar políticas de barreiras de informação.)

Definir uma política para o estado inativo

  1. Para ver uma lista das políticas de barreiras de informações atuais, utilize o cmdlet Get-InformationBarrierPolicy .

    Sintaxe: Get-InformationBarrierPolicy

    Na lista de resultados, identifique a política que pretende alterar (ou remover). Tenha em atenção o GUID e o nome da política.

  2. Para definir o estado da política como inativo, utilize o cmdlet Set-InformationBarrierPolicy com um parâmetro Identity e o parâmetro State definido como Inactive.

    Sintaxe Exemplo
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    Neste exemplo, a política de barreiras de informações que tem GUID 43c37853-ea10-4b90-a23d-ab8c9377247 está definida para um estado inativo.

  3. Para aplicar as alterações, utilize o cmdlet Start-InformationBarrierPoliciesApplication .

    Sintaxe: Start-InformationBarrierPoliciesApplication

    As alterações são aplicadas utilizador a utilizador para a sua organização. Se a sua organização for grande, este processo pode demorar 24 horas (ou mais). Como orientação geral, demora cerca de uma hora a processar 5000 contas de utilizador.

  4. Neste momento, uma ou mais políticas de barreiras de informações estão definidas como estado inativo. A partir daqui, pode efetuar qualquer uma das seguintes ações:

Remover uma política

  1. Para ver uma lista das políticas de barreiras de informações atuais, utilize o cmdlet Get-InformationBarrierPolicy .

    Sintaxe: Get-InformationBarrierPolicy

    Na lista de resultados, identifique a política que pretende remover. Tenha em atenção o GUID e o nome da política.

  2. Certifique-se de que a política está definida como estado inativo. Para definir o estado da política como inativo, utilize o cmdlet Set-InformationBarrierPolicy com um parâmetro Identidade e o parâmetro State definido como Inativo.

    Sintaxe Exemplo
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    Neste exemplo, definimos uma política de barreiras de informação que tem GUID 43c37853-ea10-4b90-a23d-ab8c9377247 para um estado inativo.

  3. Para aplicar as alterações à política, utilize o cmdlet Start-InformationBarrierPoliciesApplication .

    Sintaxe: Start-InformationBarrierPoliciesApplication

    As alterações são aplicadas utilizador a utilizador para a sua organização. Se a sua organização for grande, este processo pode demorar 24 horas (ou mais). Como orientação geral, demora cerca de uma hora a processar 5000 contas de utilizador.

  4. Utilize o cmdlet Remove-InformationBarrierPolicy com um parâmetro Identity.

    Sintaxe Exemplo
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    Neste exemplo, estamos a remover a política que tem GUID 43c37853-ea10-4b90-a23d-ab8c93772471.

    Quando lhe for pedido, confirme a alteração.

Remover um segmento

  1. Para ver todos os segmentos existentes, utilize o cmdlet Get-OrganizationSegment .

    Sintaxe: Get-OrganizationSegment

    Verá uma lista de segmentos e detalhes para cada um, como o tipo de segmento, o respetivo valor UserGroupFilter, quem o criou ou modificou pela última vez, GUID, etc.

    Dica

    Imprima ou guarde a sua lista de segmentos para referência mais tarde. Por exemplo, se quiser editar um segmento, terá de saber o respetivo nome ou identificar o valor (isto é utilizado com o parâmetro Identidade).

  2. Identifique o segmento a remover e certifique-se de que a política ib associada ao segmento foi removida. Veja o procedimento Remover uma política para obter detalhes.

  3. Edite o segmento que será removido para remover a relação dos utilizadores com esse segmento. Esta ação atualiza a definição do segmento e remove todos os utilizadores do segmento. Irá utilizar o parâmetro UserGroupFilter para desassociar os utilizadores do segmento antes da remoção.

    Para editar um segmento, utilize o cmdlet Set-OrganizationSegment com o parâmetro Identity e detalhes relevantes.

    Sintaxe Exemplo
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    Neste exemplo, para o segmento que tem o GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, definimos o nome do departamento como FakeDept para remover utilizadores do segmento. Este exemplo utiliza o atributo Departamento , mas pode utilizar outros atributos conforme adequado. O exemplo utiliza FakeDept porque isto não existe e é certo que não contém nenhum utilizador.

  4. Para aplicar as alterações, utilize o cmdlet Start-InformationBarrierPoliciesApplication .

    Sintaxe: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Observação

    O atributo CleanupGroupSegmentLink remove associações de grupo com o segmento sem associações de utilizador.

    As alterações são aplicadas utilizador a utilizador para a sua organização. Se a sua organização for grande, este processo pode demorar 24 horas (ou mais). Como orientação geral, demora cerca de uma hora a processar 5000 contas de utilizador.

  5. Para remover um segmento, utilize o cmdlet Remove-OrganizationSegment com o parâmetro Identity e detalhes relevantes.

    Sintaxe Exemplo
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    Neste exemplo, o segmento que tem o GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, foi removido.

Remover uma política e um segmento

  1. Para ver uma lista das políticas de barreiras de informações atuais, utilize o cmdlet Get-InformationBarrierPolicy .

    Sintaxe: Get-InformationBarrierPolicy

    Na lista de resultados, identifique a política que pretende remover. Tenha em atenção o GUID e o nome da política.

  2. Para ver todos os segmentos existentes, utilize o cmdlet Get-OrganizationSegment .

    Sintaxe: Get-OrganizationSegment

    Verá uma lista de segmentos e detalhes para cada um, como o tipo de segmento, o respetivo valor de parâmetro UserGroupFilter , quem o criou ou modificou pela última vez, GUID, entre outros.

    Dica

    Imprima ou guarde a sua lista de segmentos para referência mais tarde. Por exemplo, se quiser editar um segmento, terá de saber o respetivo nome ou identificar o valor (isto é utilizado com o parâmetro Identidade).

  3. Para definir o estado da política a ser removida para inativa, utilize o cmdlet Set-InformationBarrierPolicy com um parâmetro Identity e o parâmetro State definido como Inativo.

    Sintaxe Exemplo
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Inactive
    Neste exemplo, definimos uma política de barreiras de informação que tem GUID 43c37853-ea10-4b90-a23d-ab8c93772471 para um estado inativo.

  4. Edite o segmento que será removido para remover a relação dos utilizadores com esse segmento. Esta ação atualiza a definição do segmento e remove todos os utilizadores do segmento. Irá utilizar o parâmetro UserGroupFilter para desassociar os utilizadores do segmento antes da remoção.

    Para editar um segmento, utilize o cmdlet Set-OrganizationSegment com o parâmetro Identity e detalhes relevantes.

    Sintaxe Exemplo
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    Neste exemplo, para o segmento que tem o GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, atualizámos o nome do departamento para FakeDept para remover utilizadores do segmento. Este exemplo utiliza o atributo Departamento , mas pode utilizar outros atributos conforme adequado. O exemplo utiliza FakeDept porque isto não existe e é certo que não contém utilizadores.

  5. Para aplicar as alterações, utilize o cmdlet Start-InformationBarrierPoliciesApplication .

    Sintaxe: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Observação

    O atributo CleanupGroupSegmentLink remove associações de grupo com o segmento sem associações de utilizador.

    As alterações são aplicadas utilizador a utilizador para a sua organização. Se a sua organização for grande, este processo pode demorar 24 horas (ou mais). Como orientação geral, demora cerca de uma hora a processar 5000 contas de utilizador.

  6. Utilize o cmdlet Remove-InformationBarrierPolicy com um parâmetro Identity .

    Sintaxe Exemplo
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    Neste exemplo, a política que tem GUID 43c37853-ea10-4b90-a23d-ab8c93772471 é removida.

    Quando lhe for pedido, confirme a alteração.

  7. Para remover um segmento, utilize o cmdlet Remove-OrganizationSegment com o parâmetro Identity e detalhes relevantes.

    Sintaxe Exemplo
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    Neste exemplo, o segmento com GUID c96e0837-c232-4a8a-841e-ef45787d8fcd foi removido.

Parar uma aplicação de política

Depois de começar a aplicar políticas de barreiras de informação, se quiser impedir que essas políticas sejam aplicadas, utilize o seguinte procedimento. O processo demorará aproximadamente 30 a 35 minutos a ser iniciado.

  1. Para ver o estado da aplicação de política de barreiras de informações mais recente, utilize o cmdlet Get-InformationBarrierPoliciesApplicationStatus .

    Sintaxe: Get-InformationBarrierPoliciesApplicationStatus

    Repare no GUID da aplicação.

  2. Utilize o cmdlet Stop-InformationBarrierPoliciesApplication com um parâmetro Identity.

    Sintaxe Exemplo
    Stop-InformationBarrierPoliciesApplication -Identity GUID Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1

    Neste exemplo, estamos a impedir que as políticas de barreiras de informação sejam aplicadas.

Ativar ou desativar a deteção do utilizador

Importante

O suporte para ativar ou desativar restrições de pesquisa só está disponível quando a sua organização não está no modo Legado . As organizações no modo Legado não podem ativar ou desativar as restrições de pesquisa. Ativar ou desativar restrições de pesquisa requer ações adicionais para alterar o modo de barreiras de informações para a sua organização. Para obter mais informações, veja Utilizar o suporte de vários segmentos em barreiras de informações) para obter detalhes.

As organizações no modo Legado serão elegíveis para atualizar para a versão mais recente das barreiras de informação no futuro. Para obter mais informações, veja o mapa de barreiras de informações.

Para ativar a restrição de pesquisa do seletor de pessoas com o PowerShell, conclua os seguintes passos:

  1. Utilize o cmdlet Set-PolicyConfig para ativar a restrição do seletor de pessoas:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Enabled'

Para desativar a restrição de pesquisa do seletor de pessoas com o PowerShell, conclua os seguintes passos:

  1. Utilize o cmdlet Set-PolicyConfig para desativar a restrição do seletor de pessoas:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'

Recursos