Управление политиками информационных барьеров

После определения политик информационных барьеров (IB) может потребоваться внести изменения в эти политики или в сегменты пользователей в рамках устранения неполадок или регулярного обслуживания.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Что нужно сделать

Действие Описание
Изменить атрибуты учетной записи пользователя Заполните атрибуты в Microsoft Entra идентификатор, который можно использовать для определения сегментов.
Изменение атрибутов учетной записи пользователя, если пользователи не включены в сегменты, в которых они должны быть, чтобы изменить сегменты, в которых находятся пользователи, или определить сегменты с помощью различных атрибутов.
Изменить сегмент Измените сегменты, если хотите поменять определение сегмента.
Например, вы могли изначально определить сегменты с помощью Department и теперь хотите использовать другой атрибут, например MemberOf.
Изменить политику Измените политику информационных барьеров, если хотите изменить ее работу.
Например, вместо блокировки обмена данными между двумя сегментами можно разрешить обмен данными только между определенными сегментами.
Установка политики в неактивное состояние Установите политику в неактивное состояние, если вы хотите внести изменения в политику или если вы не хотите, чтобы политика действовала.
Удаление политики Удалите политику информационных барьеров, если определенная политика больше не требуется.
Удаление сегмента Удалите сегмент информационных барьеров, если определенный сегмент больше не нужен.
Удаление политики и сегмента Удалите политику информационных барьеров и сегмент одновременно.
Остановка приложения политики Выполните это действие, если вы хотите остановить процесс применения политик информационных барьеров.
Остановка приложения политики не является мгновенной и не отменяет политики, которые уже применяются к пользователям.
Включение или отключение обнаружения пользователей Включение или отключение, если пользователи отображаются в элементе выбора людей.
Определение политик информационных барьеров Определите политику информационных барьеров, если у вас еще нет таких политик, и необходимо ограничить или ограничить обмен данными между определенными группами пользователей.
Устранение проблем с информационными барьерами Ознакомьтесь с этой статьей, когда вы столкнуться с непредвиденными проблемами с информационными барьерами.

Важно!

Для выполнения задач, описанных в этой статье, необходимо назначить соответствующую роль, например одну из следующих:
— глобальный администратор Microsoft 365 корпоративный
— Глобальный администратор
— Администратор соответствия требованиям
— Управление соответствием требованиям IB (это новая роль!)

Дополнительные сведения о предварительных требованиях для информационных барьеров см. в разделе Предварительные требования (для политик информационных барьеров).

Обязательно подключитесь к PowerShell & соответствия требованиям безопасности.

Изменить атрибуты учетной записи пользователя

Используйте эту процедуру для изменения атрибутов, используемых для сегментации пользователей. Например, если вы используете атрибут Department, а одна или несколько учетных записей пользователей в настоящее время не имеют значения для Department, необходимо изменить эти учетные записи пользователей, включив сведения о отделе. Атрибуты учетной записи пользователя используются для определения сегментов, чтобы можно было назначать политики информационных барьеров.

  1. Чтобы просмотреть сведения о конкретной учетной записи пользователя, например значения атрибутов и назначенные сегменты, используйте командлет Get-InformationBarrierRecipientStatus с параметрами identity.

    Синтаксис Пример
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
    Можно использовать любое значение, уникально определяющее каждого пользователя, например имя, псевдоним, различающееся имя, каноническое доменное имя, адрес электронной почты или GUID.
    (Этот командлет также можно использовать для одного пользователя: Get-InformationBarrierRecipientStatus -Identity <value>)
    Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
    В этом примере мы ссылаемся на две учетные записи пользователей в Office 365: meganb для Megan и alexw для Alex.
  2. Определите, какой атрибут необходимо изменить для профилей учетных записей пользователей. Дополнительные сведения см. в разделе Атрибуты для политик информационных барьеров.

  3. Измените одну или несколько учетных записей пользователей, чтобы включить значения атрибута, выбранного на предыдущем шаге. Чтобы выполнить это действие, используйте одну из следующих процедур:

Изменить сегмент

Используйте эту процедуру, чтобы изменить определение сегмента пользователя. Например, можно изменить имя сегмента или фильтр, используемый для определения того, кто входит в сегмент.

  1. Чтобы просмотреть все существующие сегменты, используйте командлет Get-OrganizationSegment .

    Синтаксис: Get-OrganizationSegment

    Вы увидите список сегментов и подробные сведения для каждого из них, например тип сегмента, его значение UserGroupFilter, кто создал или в последний раз изменил его, GUID и т. д.

    Совет

    Напечатайте или сохраните список сегментов для дальнейшего использования. Например, если вы хотите изменить сегмент, необходимо знать его имя или определить значение (используется с параметром Identity).

  2. Чтобы изменить сегмент, используйте командлет Set-OrganizationSegment с параметром Identity и соответствующими сведениями.

    Синтаксис Пример
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"
    В этом примере мы обновили название отдела на HRDept для сегмента с идентификатором GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.
  3. Завершив редактирование сегментов для организации, вы можете определить или изменить политики информационных барьеров.

Изменить политику

  1. Чтобы просмотреть список текущих политик информационных барьеров, используйте командлет Get-InformationBarrierPolicy .

    Синтаксис: Get-InformationBarrierPolicy

    В списке результатов определите политику, которую нужно изменить. Обратите внимание на guid и имя политики.

  2. Используйте командлет Set-InformationBarrierPolicy с параметром Identity и укажите необходимые изменения.

    Пример. Предположим, что была определена политика для блокировки взаимодействия сегмента "Исследования " с сегментами "Продажи " и "Маркетинг ". Политика была определена с помощью следующего командлета: New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"

    Предположим, что мы хотим изменить его таким образом, чтобы пользователи в сегменте "Исследования " могли взаимодействовать только с пользователями в сегменте отдела кадров . Чтобы внести это изменение, мы используем следующий командлет: Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"

    В этом примере мы изменили SegmentsBlocked на SegmentsAllowed и указали сегмент отдела кадров .

  3. Завершив редактирование политики, обязательно примените изменения. (См. раздел Применение политик информационных барьеров.)

Установка политики в неактивное состояние

  1. Чтобы просмотреть список текущих политик информационных барьеров, используйте командлет Get-InformationBarrierPolicy .

    Синтаксис: Get-InformationBarrierPolicy

    В списке результатов определите политику, которую вы хотите изменить (или удалить). Обратите внимание на guid и имя политики.

  2. Чтобы задать состояние политики как неактивное, используйте командлет Set-InformationBarrierPolicy с параметром Identity , а параметр Stateinactive.

    Синтаксис Пример
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    В этом примере политика информационных барьеров с идентификатором GUID 43c37853-ea10-4b90-a23d-ab8c9377247 имеет неактивное состояние.
  3. Чтобы применить изменения, используйте командлет Start-InformationBarrierPoliciesApplication .

    Синтаксис: Start-InformationBarrierPoliciesApplication

    Изменения применяются от пользователя к вашей организации. Если ваша организация является крупной, для завершения этого процесса может потребоваться не более 24 часов. В качестве общего руководства обработка 5000 учетных записей пользователей занимает около часа.

  4. На этом этапе для одной или нескольких политик информационных барьеров устанавливается неактивное состояние. Здесь можно выполнить любое из следующих действий:

Удаление политики

  1. Чтобы просмотреть список текущих политик информационных барьеров, используйте командлет Get-InformationBarrierPolicy .

    Синтаксис: Get-InformationBarrierPolicy

    В списке результатов определите политику, которую требуется удалить. Обратите внимание на guid и имя политики.

  2. Убедитесь, что политика имеет неактивное состояние. Чтобы задать состояние политики в неактивном состоянии, используйте командлет Set-InformationBarrierPolicy с параметром Identity, а параметру State присвоено значение Неактивно.

    Синтаксис Пример
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    В этом примере мы задаем политику информационных барьеров с идентификатором GUID 43c37853-ea10-4b90-a23d-ab8c9377247 в неактивном состоянии.
  3. Чтобы применить изменения к политике, используйте командлет Start-InformationBarrierPoliciesApplication .

    Синтаксис: Start-InformationBarrierPoliciesApplication

    Изменения применяются от пользователя к вашей организации. Если ваша организация является крупной, для завершения этого процесса может потребоваться не более 24 часов. В качестве общего руководства обработка 5000 учетных записей пользователей занимает около часа.

  4. Используйте командлет Remove-InformationBarrierPolicy с параметром Identity.

    Синтаксис Пример
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    В этом примере мы удаляем политику с GUID 43c37853-ea10-4b90-a23d-ab8c93772471.

    При появлении запроса подтвердите изменение.

Удаление сегмента

  1. Чтобы просмотреть все существующие сегменты, используйте командлет Get-OrganizationSegment .

    Синтаксис: Get-OrganizationSegment

    Вы увидите список сегментов и подробные сведения для каждого из них, например тип сегмента, его значение UserGroupFilter, кто создал или в последний раз изменил его, GUID и т. д.

    Совет

    Напечатайте или сохраните список сегментов для дальнейшего использования. Например, если вы хотите изменить сегмент, необходимо знать его имя или определить значение (используется с параметром Identity).

  2. Определите удаляемую часть и убедитесь, что политика IB, связанная с сегментом, удалена. Дополнительные сведения см. в статье Удаление политики .

  3. Измените сегмент, который будет удален, чтобы удалить связь пользователей с этим сегментом. Это действие обновляет определение сегмента и удаляет всех пользователей из сегмента. Вы будете использовать параметр UserGroupFilter, чтобы отсоединить пользователей от сегмента перед удалением.

    Чтобы изменить сегмент, используйте командлет Set-OrganizationSegment с параметром Identity и соответствующими сведениями.

    Синтаксис Пример
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    В этом примере для сегмента с идентификатором GUID c96e0837-c232-4a8a-841e-ef45787d8fcd мы определили название отдела как FakeDept , чтобы удалить пользователей из сегмента. В этом примере используется атрибут Department , но при необходимости можно использовать и другие атрибуты. В примере используется FakeDept , так как он не существует и, несомненно, не содержит пользователей.
  4. Чтобы применить изменения, используйте командлет Start-InformationBarrierPoliciesApplication .

    Синтаксис: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Примечание.

    Атрибут CleanupGroupSegmentLink удаляет связи групп с сегментом без ассоциаций пользователей.

    Изменения применяются от пользователя к вашей организации. Если ваша организация является крупной, для завершения этого процесса может потребоваться не более 24 часов. В качестве общего руководства обработка 5000 учетных записей пользователей занимает около часа.

  5. Чтобы удалить сегмент, используйте командлет Remove-OrganizationSegment с параметром Identity и соответствующими сведениями.

    Синтаксис Пример
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    В этом примере сегмент с идентификатором GUID c96e0837-c232-4a8a-841e-ef45787d8fcd был удален.

Удаление политики и сегмента

  1. Чтобы просмотреть список текущих политик информационных барьеров, используйте командлет Get-InformationBarrierPolicy .

    Синтаксис: Get-InformationBarrierPolicy

    В списке результатов определите политику, которую требуется удалить. Обратите внимание на guid и имя политики.

  2. Чтобы просмотреть все существующие сегменты, используйте командлет Get-OrganizationSegment .

    Синтаксис: Get-OrganizationSegment

    Вы увидите список сегментов и подробные сведения для каждого из них, например тип сегмента, значение параметра UserGroupFilter , кто создал или в последний раз изменил его, GUID и т. д.

    Совет

    Напечатайте или сохраните список сегментов для дальнейшего использования. Например, если вы хотите изменить сегмент, необходимо знать его имя или определить значение (используется с параметром Identity).

  3. Чтобы задать состояние удаляемой политики как неактивной, используйте командлет Set-InformationBarrierPolicy с параметром Identity , а параметр Stateнеактивным.

    Синтаксис Пример
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Inactive
    В этом примере мы задаем политику информационных барьеров с идентификатором GUID 43c37853-ea10-4b90-a23d-ab8c93772471 в неактивном состоянии.
  4. Измените сегмент, который будет удален, чтобы удалить связь пользователей с этим сегментом. Это действие обновляет определение сегмента и удаляет всех пользователей из сегмента. Вы будете использовать параметр UserGroupFilter , чтобы отсоединить пользователей от сегмента перед удалением.

    Чтобы изменить сегмент, используйте командлет Set-OrganizationSegment с параметром Identity и соответствующими сведениями.

    Синтаксис Пример
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    В этом примере для сегмента с идентификатором GUID c96e0837-c232-4a8a-841e-ef45787d8fcd мы обновили название отдела на FakeDept , чтобы удалить пользователей из сегмента. В этом примере используется атрибут Department , но при необходимости можно использовать и другие атрибуты. В примере используется FakeDept , так как он не существует и, несомненно, не содержит пользователей.
  5. Чтобы применить изменения, используйте командлет Start-InformationBarrierPoliciesApplication .

    Синтаксис: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Примечание.

    Атрибут CleanupGroupSegmentLink удаляет связи групп с сегментом без ассоциаций пользователей.

    Изменения применяются от пользователя к вашей организации. Если ваша организация является крупной, для завершения этого процесса может потребоваться не более 24 часов. В качестве общего руководства обработка 5000 учетных записей пользователей занимает около часа.

  6. Используйте командлет Remove-InformationBarrierPolicy с параметром Identity .

    Синтаксис Пример
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    В этом примере политика с GUID 43c37853-ea10-4b90-a23d-ab8c93772471 удаляется.

    При появлении запроса подтвердите изменение.

  7. Чтобы удалить сегмент, используйте командлет Remove-OrganizationSegment с параметром Identity и соответствующими сведениями.

    Синтаксис Пример
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    В этом примере сегмент с GUID c96e0837-c232-4a8a-841e-ef45787d8fcd был удален.

Остановка приложения политики

Если вы хотите запретить применение политик информационных барьеров, выполните следующую процедуру. Для начала процесса потребуется примерно 30–35 минут.

  1. Чтобы просмотреть состояние последнего приложения политики информационных барьеров, используйте командлет Get-InformationBarrierPoliciesApplicationStatus .

    Синтаксис: Get-InformationBarrierPoliciesApplicationStatus

    Обратите внимание на GUID приложения.

  2. Используйте командлет Stop-InformationBarrierPoliciesApplication с параметром Identity.

    Синтаксис Пример
    Stop-InformationBarrierPoliciesApplication -Identity GUID Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1

    В этом примере мы не применяем политики информационных барьеров.

Включение или отключение обнаружения пользователей

Важно!

Поддержка включения или отключения ограничений поиска доступна только в том случае, если ваша организация не находится в устаревшем режиме . Организации в устаревшем режиме не могут включать или отключать ограничения поиска. Включение или отключение ограничений поиска требует дополнительных действий по изменению режима информационных барьеров для вашей организации. Дополнительные сведения см. в разделе Использование многосегментной поддержки в информационных барьерах ).

Организации в устаревшем режиме будут иметь право на обновление до последней версии информационных барьеров в будущем. Дополнительные сведения см. в статье Стратегия информационных барьеров.

Чтобы включить ограничение поиска в средстве выбора людей с помощью PowerShell, выполните следующие действия.

  1. Используйте командлет Set-PolicyConfig , чтобы включить ограничение выбора людей:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Enabled'

Чтобы отключить ограничение поиска в средстве выбора людей с помощью PowerShell, выполните следующие действия.

  1. Используйте командлет Set-PolicyConfig , чтобы отключить ограничение выбора людей:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'

Ресурсы