Introdução das barreiras de informação
Este artigo descreve como configurar políticas de barreiras de informação (IB) na sua organização. Estão envolvidos vários passos, por isso, certifique-se de que revê todo o processo antes de começar a configurar as políticas do IB.
Irá configurar o IB na sua organização através do portal do Microsoft Purview, do portal de conformidade do Microsoft Purview ou do PowerShell de Segurança e Conformidade do Office 365. Para organizações que configuram o IB pela primeira vez, recomendamos que utilize a solução Barreiras de informações no portal de conformidade. Se estiver a gerir uma configuração ib existente e estiver confortável a utilizar o PowerShell, ainda tem esta opção.
Para obter mais informações sobre cenários e funcionalidades do IB, veja Saiba mais sobre barreiras de informação.
Dica
Para o ajudar a preparar o seu plano, é incluído um cenário de exemplo neste artigo.
Dica
Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.
Subscrições e permissões necessárias
Antes de começar a utilizar o IB, deve confirmar a sua subscrição do Microsoft 365 e quaisquer suplementos. Para aceder e utilizar o IB, a sua organização tem de ter subscrições ou suplementos de suporte. Para obter mais informações, veja os requisitos de subscrição para barreiras de informações.
Para gerir as políticas ib, tem de lhe ser atribuída uma das seguintes funções:
- Administrador global do Microsoft 365
- Administrador global do Office 365
- Administrador de conformidade
- Gerenciamento de Conformidade do IB
Importante
A Microsoft recomenda que utilize funções com menos permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.
Conceitos de configuração
Ao configurar o IB, irá trabalhar com vários objetos e conceitos.
Os atributos da conta de utilizador são definidos no Microsoft Entra ID (ou Exchange Online). Esses atributos podem incluir departamento, cargo, local, nome da equipe e outros dados do perfil da função. Irá atribuir utilizadores ou grupos a segmentos com estes atributos.
Os segmentos são conjuntos de grupos ou utilizadores definidos no portal do Microsoft Purview, no portal de conformidade ou através do PowerShell que utiliza atributos de conta de utilizador ou grupo selecionados.
A sua organização pode ter até 5000 segmentos e os utilizadores podem ser atribuídos a um máximo de 10 segmentos. Veja a lista de atributos suportados pelo IB para obter detalhes.
Importante
O suporte para 5000 segmentos e a atribuição de utilizadores a múltiplos segmentos só está disponível quando a sua organização não está no modo Legado . A atribuição de utilizadores a múltiplos segmentos requer ações adicionais para alterar o modo de barreiras de informações para a sua organização. Para obter mais informações, veja Utilizar o suporte de vários segmentos em barreiras de informações para obter detalhes.
Para organizações no modo Legado , o número máximo de segmentos suportados é de 250 e os utilizadores estão limitados a serem atribuídos a apenas um segmento. As organizações no modo Legado serão elegíveis para atualizar para a versão mais recente das barreiras de informação no futuro. Para obter mais informações, veja o mapa de barreiras de informações.As políticas ib determinam limites de comunicação ou restrições. Quando define políticas ib, escolhe de entre dois tipos de políticas:
Políticas de bloqueio impedem que um segmento se comunique com outro segmento.
Políticas de permissão permitem que um segmento se comunique apenas com determinados outros segmentos.
Observação
Para organizações no modo Legado: os grupos e utilizadores não IB não serão visíveis para os utilizadores incluídos nos segmentos ib e políticas para políticas de permissão. Se precisar que os grupos e utilizadores não IB fiquem visíveis para os utilizadores incluídos nos segmentos e políticas do IB, tem de utilizar políticas de blocos .
Para organizações no modo SingleSegment ou MultiSegment: os grupos e utilizadores não IB serão visíveis para os utilizadores incluídos nos segmentos e políticas do IB.
Para verificar o modo IB, consulte Verificar o modo IB da sua organização.
A aplicação de política é feita depois de todas as políticas ib serem definidas e está pronto para as aplicar na sua organização.
Visibilidade de utilizadores e grupos não IB: os utilizadores e grupos não IB são utilizadores e grupos excluídos dos segmentos e políticas do IB. Consoante quando configurar políticas IB na sua organização e o tipo de políticas IB (bloquear ou permitir), o comportamento destes utilizadores e grupo será diferente no Microsoft Teams, SharePoint, OneDrive e na sua lista de endereços global.
- Para organizações no modo Legado: para os utilizadores definidos em políticas de permissão, os grupos não IB e os utilizadores não serão visíveis para os utilizadores incluídos nos segmentos e políticas do IB. Para os utilizadores definidos em políticas de blocos , os grupos e utilizadores não IB serão visíveis para os utilizadores incluídos nos segmentos e políticas do IB.
- Para organizações no modo SingleSegment ou MultiSegment: os grupos e utilizadores não IB serão visíveis para os utilizadores incluídos nos segmentos e políticas do IB.
Suporte de grupo. Atualmente, apenas os Grupos Modernos são suportados no IB e as Listas de Distribuição/Grupos de Segurança são tratados como grupos não IB.
Contas de utilizador e convidado ocultas/desativadas. Para contas de utilizador e convidado ocultas/desativadas na sua organização, o parâmetro HiddenFromAddressListEnabled é automaticamente definido como Verdadeiro quando as contas de utilizador estão ocultas ou desativadas ou quando é criado um convidado. Quando o modo de organização é Legado para organizações compatíveis com IB, estas contas são impedidas de comunicar com todas as outras contas de utilizador. Os administradores podem desativar este comportamento predefinido ao definir manualmente o parâmetro HiddenFromAddressListEnabled como Falso.
Visão geral da configuração
Etapas | O que está envolvido |
---|---|
Passo 1: certificar-se de que os pré-requisitos são cumpridos | - Verifique se tem as subscrições e permissões necessárias - Verifique se o diretório inclui dados para segmentação de usuários - Ativar a pesquisa por nome para o Microsoft Teams - Verifique se o log de auditoria está ativado - Verificar o modo IB da sua organização - Configurar a forma como as políticas do livro de endereços do Exchange são implementadas (dependendo de quando ativar o IB na sua organização) - Fornecer consentimento do administrador para o Microsoft Teams (os passos estão incluídos) |
Passo 2: segmentar utilizadores na sua organização | - Determinar quais políticas são necessárias - Criar uma lista de segmentos a serem definidos - Identificar quais atributos usar - Definir segmentos em termos de filtros de política |
Passo 3: criar políticas de barreiras de informação | - Crie as suas políticas (ainda não se aplica) - Escolha entre dois tipos (bloquear ou permitir) |
Passo 4: Aplicar políticas de barreiras de informação | - Definir políticas como status ativo - Executar o aplicativo de política - Exibir o status da política |
Passo 5: configuração para barreiras de informações no SharePoint e no OneDrive (opcional) | - Configurar o IB para o SharePoint e o OneDrive |
Passo 6: Modos de barreiras de informações (opcional) | - Atualizar os modos IB, se aplicável |
Passo 7: Configurar a deteção do utilizador para barreiras de informações (opcional) | - Ative ou restrinja a deteção do utilizador no IB com o seletor de pessoas, se aplicável. |
Passo 1: certificar-se de que os pré-requisitos são cumpridos
Além das subscrições e permissões necessárias, certifique-se de que os seguintes requisitos são cumpridos antes de configurar o IB:
Dados do diretório: Verifique se a estrutura da sua organização é refletida nos dados do diretório. Para efetuar esta ação, certifique-se de que os atributos da conta de utilizador (como associação a grupos, nome do departamento, etc.) são preenchidos corretamente no Microsoft Entra ID (ou Exchange Online). Para saber mais, confira os seguintes recursos:
Pesquisa de diretórios no âmbito: antes de definir a primeira política IB da sua organização, tem de ativar a pesquisa de diretórios de âmbito no Microsoft Teams. Aguarde, pelo menos, 24 horas depois de ativar a pesquisa de diretórios no âmbito antes de configurar ou definir políticas ib.
Verificar se o registo de auditoria está ativado: para procurar o estado de uma aplicação de política ib, o registo de auditoria tem de estar ativado. A auditoria está habilitada para organizações do Microsoft 365 por padrão. Algumas organizações podem ter desabilitado a auditoria por motivos específicos. Se a auditoria estiver desativada para sua organização, pode ser que outro administrador a desativou. Recomendamos confirmar que não há problema em ativar a auditoria novamente ao concluir esta etapa. Para saber mais, confira Ativar ou desativar a pesquisa de log de auditoria.
Verifique o modo IB da sua organização: o suporte para múltiplos segmentos, opções de deteção de pessoas, ABPs do Exchange e outras funcionalidades é determinado pelo modo IB da sua organização. Para verificar o modo IB da sua organização, consulte Verificar o modo IB da sua organização.
Remova as políticas existentes do livro de endereços do Exchange Online (opcional):
- Para organizações no modo Legado: antes de definir e aplicar políticas IB, tem de remover todas as políticas existentes do livro de endereços do Exchange Online na sua organização. As políticas ib baseiam-se em políticas de livros de endereços e as políticas ABPs existentes não são compatíveis com os ABPs criados pelo IB. Para remover as políticas existentes do livro de endereços, consulte Remover uma política de livro de endereços no Exchange Online. Para obter mais informações sobre as políticas IB e o Exchange Online, consulte Barreiras de informação e Exchange Online.
- Para organizações no modo SingleSegment ou MultiSegment: as barreiras de informações já não se baseiam em Políticas de Livro de Endereços (ABPs) do Exchange Online. As organizações que utilizam ABPs não terão qualquer impacto nos ABPs existentes ao ativar barreiras de informação.
Gerir com o PowerShell (opcional): os segmentos e políticas do IB podem ser definidos e geridos no portal de conformidade, mas também pode utilizar o PowerShell de Conformidade do & de Segurança do Office 365, se for preferível ou necessário. Embora sejam fornecidos vários exemplos neste artigo, terá de estar familiarizado com os cmdlets e parâmetros do PowerShell se optar por utilizar o PowerShell para configurar e gerir segmentos e políticas do IB. Também precisará do SDK do PowerShell do Microsoft Graph se escolher esta opção de configuração.
Quando todos os pré-requisitos forem cumpridos, avance para o passo seguinte.
Passo 2: segmentar utilizadores na sua organização
Neste passo, irá determinar que políticas de IB são necessárias, criar uma lista de segmentos a definir e definir os seus segmentos. Definir segmentos não afeta os utilizadores, apenas define o cenário para que as políticas ib sejam definidas e, em seguida, aplicadas.
Determinar que políticas são necessárias
Tendo em conta as necessidades da sua organização, determine os grupos na sua organização que irão precisar de políticas de IB. Faça estas perguntas a si mesmo:
- Existem regulamentos internos, legais ou do setor que exijam a restrição da comunicação e colaboração entre grupos e utilizadores na sua organização?
- Existem grupos ou utilizadores que devem ser impedidos de comunicar com outro grupo de utilizadores?
- Existem grupos ou utilizadores que devem ser autorizados a comunicar apenas com um ou dois outros grupos de utilizadores?
Pense nas políticas de que precisa como pertencentes a um de dois tipos:
- Políticas de Bloqueio impedem que um grupo se comunique com outro grupo.
- Permitir políticas permitem que um grupo comunique apenas com grupos específicos.
Quando tiver a sua lista inicial de grupos e políticas necessários, avance para identificar os segmentos de que precisa para as políticas do IB.
Identificar segmentos
Para além da sua lista inicial de políticas, faça uma lista de segmentos para a sua organização. Os utilizadores que serão incluídos nas políticas ib devem pertencer a, pelo menos, um segmento. Os utilizadores podem ser atribuídos a vários segmentos, se necessário. Pode ter até 5000 segmentos na sua organização e cada segmento pode ter apenas uma política ib aplicada.
Importante
Um utilizador só pode estar num segmento para organizações nos modos Legado ou SingleSegement . Para verificar o modo IB, consulte Verificar o modo IB da sua organização.
Determine os atributos nos dados de diretório da sua organização que irá utilizar para definir segmentos. Pode utilizar o Departamento, MemberOf ou qualquer um dos atributos ib suportados. Certifique-se de que tem valores no atributo que seleciona para os utilizadores. Para obter mais informações, veja os atributos suportados para IB.
Importante
Antes de avançar para a secção seguinte, certifique-se de que os dados do diretório têm valores para atributos que pode utilizar para definir segmentos. Se os dados do diretório não tiverem valores para os atributos que pretende utilizar, as contas de utilizador têm de ser atualizadas para incluir essas informações antes de continuar com a configuração do IB. Para obter ajuda, veja os seguintes recursos:
- Configurar as propriedades da conta de utilizador com o PowerShell do Office 365
- Adicionar ou atualizar as informações de perfil de um utilizador com o ID do Microsoft Entra
Ativar o suporte de vários segmentos para utilizadores (opcional)
O suporte para atribuir utilizadores a múltiplos segmentos só está disponível quando a sua organização não está no modo Legado . Se quiser suportar a atribuição de utilizadores a vários segmentos, veja Utilizar suporte de vários segmentos em barreiras de informações.
Os utilizadores estão limitados a serem atribuídos a apenas um segmento para organizações no modo Legado . As organizações no modo Legado serão elegíveis para atualizar para a versão mais recente das barreiras de informação no futuro. Para obter mais informações, veja o mapa de barreiras de informações.
Definir segmentos com os portais
Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
Conclua os seguintes passos para definir segmentos:
- Inicie sessão no portal do Microsoft Purview com as credenciais de uma conta de administrador na sua organização.
- Selecione o cartão de solução Barreiras de Informação . Se o cartão de solução Barreiras de Informação não for apresentado, selecione Ver todas as soluções e, em seguida, selecione Barreiras de Informação na secção Conformidade do & de Risco .
- Selecione Segmentos.
- Na página Segmentos , selecione Novo segmento para criar e configurar um novo segmento.
- Na página Nome , introduza um nome para o segmento. Não pode mudar o nome de um segmento depois de este ser criado.
- Selecione Avançar.
- Na página Filtro do grupo de utilizadores , selecione Adicionar para configurar os atributos de grupo e utilizador para o segmento. Escolha um atributo para o segmento na lista de atributos disponíveis.
- Para o atributo selecionado, selecione Igual ou Não igual e, em seguida, introduza o valor para o atributo . Por exemplo, se tiver selecionado Departamento como o atributo e Igual a, pode introduzir Marketing como Departamento definido para esta condição de segmento. Pode adicionar condições adicionais para um atributo ao selecionar Adicionar condição. Se precisar de eliminar uma condição de atributo ou atributo, selecione o ícone eliminar para o atributo ou condição.
- Adicione atributos adicionais conforme necessário na página Filtro do grupo de utilizadores e, em seguida, selecione Seguinte.
- Na página Rever as definições , reveja as definições que escolheu para o segmento e quaisquer sugestões ou avisos para as suas seleções. Selecione Editar para alterar qualquer um dos atributos e condições do segmento ou selecione Submeter para criar o segmento.
Definir segmentos com o PowerShell
Para definir segmentos com o PowerShell, conclua os seguintes passos:
Utilize o cmdlet New-OrganizationSegment com o parâmetro UserGroupFilter que corresponde ao atributo que pretende utilizar.
Sintaxe Exemplo New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'"
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"
Neste exemplo, um segmento chamado RH é definido através de RH, um valor no atributo Departamento . A parte -eq do cmdlet refere-se a "é igual a". (Em alternativa, pode utilizar -ne para significar "não é igual a". Veja Utilizar "igual a" e "não é igual" em definições de segmento.)
Depois de executar cada cmdlet, deverá ver uma lista de detalhes sobre o novo segmento. Os detalhes incluem o tipo do segmento, quem o criou ou modificou pela última vez, etc.
Repita esse processo para cada segmento que você deseja definir.
Depois de definir os segmentos, avance para o Passo 3: Criar políticas ib.
Utilizar "é igual" e "não é igual" nas definições de segmento do PowerShell
No exemplo seguinte, estamos a configurar segmentos ib com o PowerShell e a definir um segmento de modo a que "Departamento seja igual a RH".
Exemplo | Observação |
---|---|
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" |
Repare que, neste exemplo, a definição de segmento inclui um parâmetro "é igual" indicado como -eq. |
Também pode definir segmentos com um parâmetro "não igual a", indicado como -ne, conforme mostrado na tabela seguinte:
Sintaxe | Exemplo |
---|---|
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" |
Neste exemplo, definimos um segmento chamado NotSales que inclui todas as pessoas que não estão em Vendas. A parte -ne do cmdlet refere-se a "não é igual a". |
Além de definir segmentos com parâmetros "iguais" ou "não iguais", pode definir um segmento com os parâmetros "equals" e "not equals". Também pode definir filtros de grupo complexos com operadores lógicos E e OU .
Sintaxe | Exemplo |
---|---|
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" |
Neste exemplo, definimos um segmento chamado LocalFTE que inclui utilizadores localizados localmente e cujas posições não estão listadas como Temporário. |
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq 'group1@contoso.com'' -and MemberOf -ne 'group3@contoso.com'" |
Neste exemplo, definimos um segmento chamado Segment1 que inclui utilizadores que são membros e group1@contoso.com não membros do group3@contoso.com. |
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq 'group2@contoso.com' -or MemberOf -ne 'group3@contoso.com'" |
Neste exemplo, definimos um segmento chamado Segment2 que inclui utilizadores que são membros e group2@contoso.com não membros do group3@contoso.com. |
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq 'group1@contoso.com' -or MemberOf -eq 'group2@contoso.com') -and MemberOf -ne 'group3@contoso.com'" |
Neste exemplo, definimos um segmento chamado Segment1and2 que inclui utilizadores em group1@contoso.com e group2@contoso.com não membros do group3@contoso.com. |
Dica
Se possível, utilize definições de segmento que incluam "-eq" ou "-ne". Tente não definir definições de segmento complexas.
Passo 3: Criar políticas do IB
Quando criar as suas políticas ib, irá determinar se precisa de impedir comunicações entre determinados segmentos ou limitar as comunicações a determinados segmentos. Idealmente, irá utilizar o número mínimo de políticas ib para garantir que a sua organização está em conformidade com os requisitos internos, legais e do setor. Pode utilizar o portal do Microsoft Purview, o portal de conformidade ou o PowerShell para criar e aplicar políticas ib.
Dica
Para consistência da experiência do utilizador, recomendamos a utilização de Políticas de bloqueio para a maioria dos cenários, se possível.
Com a sua lista de segmentos de utilizador e as políticas ib que pretende definir, selecione um cenário e, em seguida, siga os passos.
- Cenário 1: Bloquear comunicações entre segmentos
- Cenário 2: Permitir que um segmento se comunique apenas com outro segmento
Importante
Certifique-se de que, à medida que define as políticas, não atribui mais do que uma política a um segmento. Por exemplo, se definir uma política para um segmento chamado Vendas, não defina uma política adicional para o segmento Vendas .
Além disso, à medida que define as políticas do IB, certifique-se de que define essas políticas para o estado inativo até estar pronto para as aplicar. Definir (ou editar) políticas não afeta os utilizadores até que essas políticas estejam definidas como estado ativo e, em seguida, aplicadas.
Cenário 1: Bloquear as comunicações entre segmentos
Quando quiser bloquear a comunicação entre segmentos, define duas políticas: uma para cada direção. Cada política bloqueia a comunicação apenas numa direção.
Por exemplo, suponha que pretende bloquear as comunicações entre o Segmento A e o Segmento B. Neste caso, definiria duas políticas:
- Uma política que impede o Segmento A de comunicar com o Segmento B
- Uma segunda política para impedir que o Segmento B comunique com o Segmento A
Criar políticas com os portais para o Cenário 1
Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
Conclua os seguintes passos para criar políticas:
Inicie sessão no portal do Microsoft Purview com as credenciais de uma conta de administrador na sua organização.
Selecione o cartão de solução Barreiras de Informação . Se o cartão de solução Barreiras de Informação não for apresentado, selecione Ver todas as soluções e, em seguida, selecione Barreiras de Informação na secção Conformidade do & de Risco .
Selecione Políticas.
Na página Políticas , selecione Criar política para criar e configurar uma nova política IB.
Na página Nome , introduza um nome para a política e, em seguida, selecione Seguinte.
Na página Segmento atribuído , selecione Escolher segmento. Utilize a caixa de pesquisa para procurar um segmento por nome ou desloque-se para selecionar o segmento na lista apresentada. Selecione Adicionar para adicionar o segmento selecionado à política. Só pode selecionar um segmento.
Selecione Avançar.
Na página Comunicação e colaboração , selecione o tipo de política no campo Comunicação e colaboração . As opções de política são Permitidas ou Bloqueadas. Neste cenário de exemplo, Bloqueado seria selecionado para a primeira política.
Importante
O estado Permitido e Bloqueado para segmentos não pode ser alterado após a criação de uma política. Para alterar o estado depois de criar uma política, tem de eliminar a política e criar uma nova.
Selecione Escolher segmento para definir as ações para o segmento de destino. Pode atribuir mais do que um segmento neste passo. Por exemplo, se quisesse bloquear os utilizadores num segmento chamado Vendas de comunicarem com os utilizadores num segmento denominado Pesquisa, teria definido o segmento Vendas no Passo 5 e atribuiria a opção Pesquisar no segmento Escolher neste passo.
Selecione Avançar.
Na página Estado da política , alterne o estado da política ativa para Ativado. Selecione Avançar para continuar.
Na página Rever as definições , reveja as definições que escolheu para a política e quaisquer sugestões ou avisos para as suas seleções. Selecione Editar para alterar qualquer um dos segmentos e estados da política ou selecione Submeter para criar a política.
Neste exemplo, repetiria os passos anteriores para criar uma segunda política Bloquear para restringir a bloqueio de utilizadores num segmento chamado Investigação de comunicação com utilizadores num segmento chamado Vendas. Teria definido o segmento Pesquisa no Passo 5 e atribuiria Vendas (ou múltiplos segmentos) na opção Escolher segmento .
Criar políticas com o PowerShell para o Cenário 1
Para definir políticas com o PowerShell, conclua os seguintes passos:
Para definir a sua primeira política de bloqueio, utilize o cmdlet New-InformationBarrierPolicy com o parâmetro SegmentsBlocked .
Sintaxe Exemplo New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsBlocked "segmentBname"
New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive
Neste exemplo, definimos uma política denominada Sales-Research para um segmento denominado Vendas. Quando ativa e aplicada, esta política impede que os utilizadores em Vendas comuniquem com os utilizadores num segmento chamado Pesquisa.
Para definir o segundo segmento de bloqueio, utilize novamente o cmdlet New-InformationBarrierPolicy com o parâmetro SegmentsBlocked , desta vez com os segmentos invertidos.
Exemplo Observação New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive
Neste exemplo, definimos uma política denominada Research-Sales para impedir que a Investigação comunique com Vendas. Avance para uma das seguintes ações:
- (Se necessário) Definir uma política para permitir que um segmento comunique apenas com outro segmento
- (Depois de todas as políticas serem definidas) Aplicar políticas de IB
Cenário 2: Permitir que um segmento se comunique apenas com outro segmento
Quando pretende permitir que um segmento comunique apenas com um outro segmento, define duas políticas: uma para cada direção. Cada política permite a comunicação apenas numa direção.
Neste exemplo, definiria duas políticas:
- Uma política permite que o Segmento A comunique com o Segmento B
- Uma segunda política para permitir que o Segmento B comunique com o Segmento A
Criar políticas com os portais para o Cenário 2
Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
Conclua os seguintes passos para criar políticas:
Inicie sessão no portal do Microsoft Purview com as credenciais de uma conta de administrador na sua organização.
Selecione o cartão de solução Barreiras de Informação . Se o cartão de solução Barreiras de Informação não for apresentado, selecione Ver todas as soluções e, em seguida, selecione Barreiras de Informação na secção Conformidade do & de Risco .
Na página Políticas , selecione Criar política para criar e configurar uma nova política IB.
Na página Nome , introduza um nome para a política e, em seguida, selecione Seguinte.
Na página Segmento atribuído , selecione Escolher segmento. Utilize a caixa de pesquisa para procurar um segmento por nome ou desloque-se para selecionar o segmento na lista apresentada. Selecione Adicionar para adicionar o segmento selecionado à política. Só pode selecionar um segmento.
Selecione Avançar.
Na página Comunicação e colaboração , selecione o tipo de política no campo Comunicação e colaboração . As opções de política são Permitidas ou Bloqueadas. Neste cenário de exemplo, Permitido seria selecionado para a política.
Importante
O estado Permitido e Bloqueado para segmentos não pode ser alterado após a criação de uma política. Para alterar o estado depois de criar uma política, tem de eliminar a política e criar uma nova.
Selecione Escolher segmento para definir as ações para o segmento de destino. Pode atribuir mais do que um segmento neste passo. Por exemplo, se quisesse permitir que os utilizadores num segmento chamado Fabrico comunicassem com os utilizadores num segmento chamado RH, teria definido o segmento Fabrico no Passo 5 e atribuiria RH na opção Escolher segmento neste passo.
Selecione Avançar.
Na página Estado da política , alterne o estado da política ativa para Ativado. Selecione Avançar para continuar.
Na página Rever as definições , reveja as definições que escolheu para a política e quaisquer sugestões ou avisos para as suas seleções. Selecione Editar para alterar qualquer um dos segmentos e estados da política ou selecione Submeter para criar a política.
Neste exemplo, repetiria os passos anteriores para criar uma segunda política Permitir para permitir que os utilizadores num segmento denominado Pesquisa comuniquem com os utilizadores num segmento chamado Vendas. Teria definido o segmento Pesquisa no Passo 5 e atribuiria Vendas (ou múltiplos segmentos) na opção Escolher segmento .
Criar uma política com o PowerShell para o Cenário 2
Para definir políticas com o PowerShell, conclua os seguintes passos:
Para permitir que um segmento comunique com o outro segmento, utilize o cmdlet New-InformationBarrierPolicy com o parâmetro SegmentsAllowed .
Sintaxe Exemplo New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname","segment1name"
New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State Inactive
Neste exemplo, definimos uma política denominada Manufacturing-HR para um segmento chamado Fabrico. Quando ativa e aplicada, esta política permite que os utilizadores no Fabrico comuniquem apenas com os utilizadores num segmento chamado RH. Neste caso, o Fabrico não consegue comunicar com utilizadores que não fazem parte dos RH.
Se necessário, pode especificar vários segmentos com este cmdlet, conforme mostrado no exemplo seguinte.
Sintaxe Exemplo New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname", "segmentCname","segmentDname"
New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State Inactive
Neste exemplo, definimos uma política que permite ao segmento Pesquisa comunicar apenas com RH e Fabrico.
Repita este passo para cada política que pretende definir para permitir que segmentos específicos comuniquem apenas com determinados outros segmentos específicos.
Para definir o segundo segmento permitido, utilize o cmdlet New-InformationBarrierPolicy com o parâmetro SegmentsAllowed novamente, desta vez com os segmentos invertidos.
Exemplo Observação New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsAllowed "Sales" -State Inactive
Neste exemplo, definimos uma política denominada Research-Sales para permitir que a Pesquisa comunique com Vendas. Avance para uma das seguintes ações:
- (Se necessário) Definir uma política para bloquear comunicações entre segmentos
- (Depois de todas as políticas serem definidas) Aplicar políticas de IB
Passo 4: Aplicar políticas do IB
As políticas ib não estão em vigor até que as defina como estado ativo e aplique as políticas.
Aplicar políticas com os portais
Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
Conclua os seguintes passos para aplicar políticas:
Inicie sessão no portal do Microsoft Purview com as credenciais de uma conta de administrador na sua organização.
Selecione o cartão de solução Barreiras de Informação . Se o cartão de solução Barreiras de Informação não for apresentado, selecione Ver todas as soluções e, em seguida, selecione Barreiras de Informação na secção Conformidade do & de Risco .
Selecione Aplicação de política.
Na página Aplicação de políticas , selecione Aplicar todas as políticas para aplicar todas as políticas ib na sua organização.
Observação
Aguarde 30 minutos para que o sistema comece a aplicar as políticas. O sistema aplica políticas usuário por usuário. O sistema processa cerca de 5.000 contas de usuário por hora.
Aplicar políticas com o PowerShell
Para aplicar políticas com o PowerShell, conclua os seguintes passos:
Utilize o cmdlet Get-InformationBarrierPolicy para ver uma lista de políticas que foram definidas. Tenha em atenção o estado e a identidade (GUID) de cada política.
Sintaxe:
Get-InformationBarrierPolicy
Para definir uma política para o estado ativo, utilize o cmdlet Set-InformationBarrierPolicy com um parâmetro Identity e o parâmetro State definido como Ativo.
Sintaxe Exemplo Set-InformationBarrierPolicy -Identity GUID -State Active
Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Active
Neste exemplo, definimos uma política IB que tem o GUID 43c37853-ea10-4b90-a23d-ab8c93772471 para o estado ativo.
Repita este passo conforme adequado para cada política.
Quando terminar de definir as políticas ib para o estado ativo, utilize o cmdlet Start-InformationBarrierPoliciesApplication no PowerShell de Conformidade do & de Segurança.
Sintaxe:
Start-InformationBarrierPoliciesApplication
Depois de executar
Start-InformationBarrierPoliciesApplication
, aguarde 30 minutos para que o sistema comece a aplicar as políticas. O sistema aplica políticas usuário por usuário. O sistema processa cerca de 5.000 contas de usuário por hora.
Ver o estado das contas de utilizador, segmentos, políticas ou aplicação de política
Com o PowerShell, pode ver o estado das contas de utilizador, segmentos, políticas e aplicação de política, conforme listado na tabela seguinte.
Para ver estas informações | Efetuar esta ação |
---|---|
Contas de usuário | Utilize o cmdlet Get-InformationBarrierRecipientStatus com parâmetros de Identidade. Sintaxe: Pode utilizar qualquer valor que identifique exclusivamente cada utilizador, como o nome, alias, nome único, nome de domínio canónico, endereço de e-mail ou GUID. Exemplo: Neste exemplo, referimo-nos a duas contas de utilizador no Office 365: meganb para Megan e alexw para Alex. (Também pode utilizar este cmdlet para um único utilizador: Este cmdlet devolve informações sobre os utilizadores, tais como valores de atributo e quaisquer políticas IB que sejam aplicadas. |
Segmentos | Utilize o cmdlet Get-OrganizationSegment . Sintaxe: Este cmdlet apresenta uma lista de todos os segmentos definidos para a sua organização. |
Políticas do IB | Utilize o cmdlet Get-InformationBarrierPolicy . Sintaxe: Este cmdlet apresenta uma lista de políticas IB que foram definidas e o respetivo estado. |
A aplicação de política ib mais recente | Utilize o cmdlet Get-InformationBarrierPoliciesApplicationStatus . Sintaxe: Este cmdlet apresenta informações sobre se a aplicação de política foi concluída, falhou ou está em curso. |
Todas as aplicações de política do IB | UseGet-InformationBarrierPoliciesApplicationStatus -All Este cmdlet apresenta informações sobre se a aplicação de política foi concluída, falhou ou está em curso. |
E se precisar de remover ou alterar políticas?
Os recursos estão disponíveis para o ajudar a gerir as suas políticas ib.
- Para editar, parar ou remover políticas ib, veja Gerir políticas de barreiras de informação.
- Se algo correr mal com o IB, veja Resolução de problemas de barreiras de informações.
Passo 5: Configuração para barreiras de informações no SharePoint e no OneDrive
Se estiver a configurar o IB para o SharePoint e o OneDrive, terá de ativar o IB nestes serviços. Também terá de ativar o IB nestes serviços se estiver a configurar o IB para o Microsoft Teams. Quando uma equipa é criada na equipa do Microsoft Teams, é criado automaticamente um site do SharePoint e associado ao Microsoft Teams para a experiência de ficheiros. As políticas ib não são respeitadas neste novo site e ficheiros do SharePoint por predefinição.
Para ativar o IB no SharePoint e no OneDrive, siga as orientações e os passos no artigo Utilizar barreiras de informações com o SharePoint .
Passo 6: Modos de barreiras de informações (opcional)
Os modos podem ajudar a reforçar o acesso, a partilha e a associação a um recurso do Microsoft 365 com base no modo IB do recurso. Os modos são suportados em Grupos do Microsoft 365, Microsoft Teams, OneDrive e sites do SharePoint e são ativados automaticamente na configuração nova ou existente do IB.
Os seguintes modos IB são suportados nos recursos do Microsoft 365:
Mode | Descrição | Exemplo |
---|---|---|
Abrir | Não existem políticas ou segmentos ibéricos associados ao recurso do Microsoft 365. Qualquer pessoa pode ser convidada para ser membro do recurso. | Um site de equipa criado para um evento de piquenique para a sua organização. |
Proprietário Moderado | A política IB do recurso do Microsoft 365 é determinada a partir da política IB do proprietário do recurso. Os proprietários de recursos podem convidar qualquer utilizador para o recurso com base nas respetivas políticas de IB. Este modo é útil quando a sua empresa quer permitir a colaboração entre utilizadores de segmentos incompatíveis que são moderados pelo proprietário. Apenas o proprietário do recurso pode adicionar novos membros de acordo com a política ib. | O VP de RH quer colaborar com os VPs de Vendas e Investigação. Um novo site do SharePoint definido com o modo IB Proprietário Moderado para adicionar utilizadores do segmento Vendas e Pesquisa ao mesmo site. É da responsabilidade do proprietário garantir que os membros adequados são adicionados ao recurso. |
Implícito | A política ou segmentos do IB do recurso do Microsoft 365 é herdado da política IB dos membros do recurso. O proprietário pode adicionar membros desde que sejam compatíveis com os membros existentes do recurso. Este modo é o modo IB predefinido para o Microsoft Teams. | O utilizador do segmento Vendas cria uma equipa do Microsoft Teams para colaborar com outros segmentos compatíveis na organização. |
Explicit | A política IB do recurso do Microsoft 365 é de acordo com os segmentos associados ao recurso. O proprietário do recurso ou administrador do SharePoint tem a capacidade de gerir os segmentos no recurso. | Um site criado apenas para os membros do segmento Vendas colaborarem ao associar o segmento Vendas ao site. |
Mixed | Aplicável apenas ao OneDrive. A política IB do OneDrive é de acordo com os segmentos associados ao OneDrive. O proprietário do recurso ou administrador do OneDrive tem a capacidade de gerir os segmentos no recurso. | Um OneDrive criado para os membros do segmento Vendas colaborar podem ser partilhados com utilizadores não satisfeitos. |
Atualizações implícitas do modo
Dependendo de quando tiver ativado o IB na sua organização, a sua organização estará no modo de organização Legado, DeSegmento Único ou MultiSegment . Para verificar o modo, consulte Verificar o modo IB da sua organização.
Se a sua organização estiver no modo SingleSegment ou MultiSegment e o modo de barreiras de informações do grupo teams for Implícito, os grupos/sites ligados ao Teams não terão segmentos associados ao mesmo.
Para obter mais informações sobre os modos IB e como são configurados em todos os serviços, veja os seguintes artigos:
- Modos de barreiras de informações e do Microsoft Teams
- Modos de barreiras de informações e do OneDrive
- Modos de barreiras de informações e do SharePoint
Passo 7: Configurar a deteção do utilizador para barreiras de informações (opcional)
As políticas de barreiras de informação permitem que os administradores ativem ou desativem as restrições de pesquisa no seletor de pessoas. Por predefinição, a restrição do seletor de pessoas está ativada para as políticas ib. Por exemplo, as políticas IB que bloqueiam a comunicação de dois utilizadores específicos também podem impedir que os utilizadores se vejam quando utilizam o seletor de pessoas.
Importante
O suporte para ativar ou desativar restrições de pesquisa só está disponível quando a sua organização não está no modo Legado . As organizações no modo Legado não podem ativar ou desativar as restrições de pesquisa. Ativar ou desativar restrições de pesquisa requer ações adicionais para alterar o modo de barreiras de informações para a sua organização. Para obter mais informações, veja Utilizar o suporte de vários segmentos em barreiras de informações) para obter detalhes.
As organizações no modo Legado serão elegíveis para atualizar para a versão mais recente das barreiras de informação no futuro. Para obter mais informações, veja o mapa de barreiras de informações.
Para desativar a restrição de pesquisa do seletor de pessoas com o PowerShell, conclua os seguintes passos:
- Utilize o cmdlet Set-PolicyConfig para desativar a restrição do seletor de pessoas:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'
Cenário de exemplo: departamentos, segmentos e políticas da Contoso
Para ver como uma organização pode abordar a definição de segmentos e políticas, considere o seguinte cenário de exemplo.
Departamentos e planos da Contoso
A Contoso tem cinco departamentos: RH, Vendas, Marketing, Investigação e Fabrico. Para se manterem em conformidade com os regulamentos do setor, os utilizadores em alguns departamentos não devem comunicar com outros departamentos, conforme listado na tabela seguinte:
Segmento | Pode comunicar com | Não é possível comunicar com |
---|---|---|
HR | Todos | (sem restrições) |
Vendas | RH, Marketing, Fabrico | Pesquisar |
Marketing | Todos | (sem restrições) |
Pesquisar | RH, Marketing, Fabrico | Vendas |
Indústria | RH, Marketing | Qualquer pessoa que não seja RH ou Marketing |
Para esta estrutura, o plano da Contoso inclui três políticas IB:
- Uma política IB concebida para impedir que as Vendas comuniquem com a Pesquisa
- Outra política de IB para impedir a Pesquisa de comunicar com Vendas.
- Uma política IB concebida para permitir que o Fabrico comunique apenas com RH e Marketing.
Para este cenário, não é necessário definir políticas ib para RH ou Marketing.
Segmentos definidos da Contoso
A Contoso utilizará o atributo Departamento no ID do Microsoft Entra para definir segmentos da seguinte forma:
Departamento | Definição de Segmento |
---|---|
RH | New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" |
Vendas | New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'" |
Marketing | New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'" |
Pesquisar | New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'" |
Indústria | New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'" |
Com os segmentos definidos, a Contoso continua a definir as políticas de IB.
Políticas IB da Contoso
A Contoso define três políticas IB, conforme descrito na tabela seguinte:
Política | Definição de política |
---|---|
Política 1: impedir que as Vendas se comuniquem com a Pesquisa | New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive Neste exemplo, a política IB chama-se Sales-Research. Quando essa política estiver ativa e aplicada, ela ajudará a impedir que os usuários que estão no segmento Vendas se comuniquem com os usuários do segmento Pesquisa. Esta política é unidirecional; não impedirá a Pesquisa de comunicar com o Sales. Para isso, a Política 2 é necessária. |
Política 2: impedir que a Pesquisa se comunique com as Vendas | New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive Neste exemplo, a política IB chama-se Research-Sales. Quando essa política estiver ativa e aplicada, ela ajudará a impedir que os usuários que estão no segmento Pesquisa se comuniquem com os usuários do segmento Vendas. |
Política 3: Permitir que o Fabrico comunique apenas com RH e Marketing | New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive Neste caso, a política ib é denominada Manufacturing-HRMarketing. Quando essa política estiver ativa e aplicada, a Manufatura poderá se comunicar apenas com o RH e o Marketing. Os RH e o Marketing não estão impedidos de comunicar com outros segmentos. |
Com segmentos e políticas definidos, a Contoso aplica as políticas ao executar o cmdlet Start-InformationBarrierPoliciesApplication .
Quando o cmdlet for concluído, a Contoso está em conformidade com os requisitos do setor.
Recursos
- Saiba mais sobre as informações específicas do idioma
- Usar o suporte a vários segmentos em barreiras de Informações
- Saiba mais sobre as barreiras de informação no Microsoft Teams
- Saiba mais sobre as barreiras de informações no SharePoint Online
- Saiba mais sobre as barreiras de informações no OneDrive