Управление политиками информационных барьеров

После определения политик информационных барьеров (IB) может потребоваться внести изменения в эти политики или в сегменты пользователей в рамках устранения неполадок или регулярного обслуживания.

Что нужно сделать

Действие Описание
Изменить атрибуты учетной записи пользователя Заполните атрибуты в Azure Active Directory, которые можно использовать для определения сегментов.
Измените атрибуты учетной записи пользователя, если пользователи не включены в сегменты, в которых они должны быть, чтобы изменить сегменты, в которых находятся пользователи, или определить сегменты с помощью различных атрибутов.
Изменить сегмент Измените сегменты, если хотите поменять определение сегмента.
Например, вы можете использовать изначально определенные сегменты с помощью Department и использовать другой атрибут, например MemberOf.
Изменить политику Измените политику информационных барьеров, если хотите изменить ее работу.
Например, вместо блокирования обмена данными между двумя сегментами можно разрешить обмен данными только между определенными сегментами.
Установка политики в неактивное состояние Задайте для политики состояние неактивности, если вы хотите внести изменения в политику или если политика не должна действовать.
Удаление политики Удалите политику информационных барьеров, если вам больше не нужна определенная политика.
Удаление сегмента Удалите сегмент информационных барьеров, когда конкретный сегмент больше не нужен.
Удаление политики и сегмента Удаление политики информационных барьеров и сегмента одновременно.
Остановка приложения политики Выполните это действие, если вы хотите остановить процесс применения политик информационных барьеров.
Остановка приложения политики не выполняется мгновенно и не отменяет политики, которые уже применяются к пользователям.
Определение политик информационных барьеров Определите политику информационных барьеров, если у вас еще нет таких политик, и необходимо ограничить или ограничить обмен данными между определенными группами пользователей.
Устранение проблем с информационными барьерами Если у вас возникнут непредвиденные проблемы с информационными барьерами, ознакомьтесь с этой статьей.

Важно!

Для выполнения задач, описанных в этой статье, необходимо назначить соответствующую роль, например одну из следующих:
— Microsoft 365 корпоративный глобального администратора
— Глобальный администратор
— Администратор соответствия требованиям
— Управление соответствием требованиям IB (это новая роль!)

Дополнительные сведения о предварительных требованиях для информационных барьеров см. в разделе "Предварительные требования " (для политик информационных барьеров)".

Обязательно подключитесь к PowerShell & безопасности.

Изменить атрибуты учетной записи пользователя

Эта процедура используется для изменения атрибутов, используемых для сегментирования пользователей. Например, если вы используете атрибут Department и одна или несколько учетных записей пользователей в настоящее время не имеют значений, перечисленных для Department, необходимо изменить эти учетные записи пользователей, чтобы включить сведения о отделе. Атрибуты учетной записи пользователя используются для определения сегментов, чтобы можно было назначить политики информационных барьеров.

  1. Чтобы просмотреть сведения о конкретной учетной записи пользователя, например значения атрибутов и назначенные сегменты, используйте командлет Get-InformationBarrierRecipientStatus с параметрами Identity.

    Синтаксис Пример
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
    Можно использовать любое значение, однозначно определяющее каждого пользователя, например имя, псевдоним, различающееся имя, каноническое доменное имя, адрес электронной почты или GUID.
    (Этот командлет также можно использовать для одного пользователя: Get-InformationBarrierRecipientStatus -Identity <value>)
    Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
    В этом примере мы ссылаемся на две учетные записи пользователей в Office 365: meganb для Megan и alexw для Алекса.
  2. Определите, какой атрибут нужно изменить для профилей учетных записей пользователей. Дополнительные сведения см. в разделе "Атрибуты" для политик информационных барьеров.

  3. Измените одну или несколько учетных записей пользователей, чтобы включить значения атрибута, выбранного на предыдущем шаге. Чтобы выполнить это действие, выполните одну из следующих процедур:

    • Сведения об изменении одной учетной записи см. в статье "Добавление или обновление сведений о профиле пользователя с помощью Azure Active Directory".

    • Сведения об изменении нескольких учетных записей (или использовании PowerShell для изменения одной учетной записи) см. в статье "Настройка свойств учетной записи пользователя с помощью Office 365 PowerShell".

Изменить сегмент

Используйте эту процедуру для изменения определения пользовательского сегмента. Например, можно изменить имя сегмента или фильтр, используемый для определения того, кто входит в этот сегмент.

  1. Чтобы просмотреть все существующие сегменты, используйте командлет Get-OrganizationSegment .

    Синтаксис: Get-OrganizationSegment

    Вы увидите список сегментов и подробные сведения для каждого из них, например тип сегмента, его значение UserGroupFilter, кто создал или в последний раз изменил его, GUID и т. д.

    Совет

    Распечатайте или сохраните список сегментов для справки позже. Например, если вы хотите изменить сегмент, необходимо знать его имя или значение идентификации (используется с параметром Identity).

  2. Чтобы изменить сегмент, используйте командлет Set-OrganizationSegment с параметром Identity и соответствующими сведениями.

    Синтаксис Пример
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"
    В этом примере мы обновили название отдела до HRDept для сегмента с guID c96e0837-c232-4a8a-841e-ef45787d8fcdd.
  3. Завершив редактирование сегментов для организации, можно определить или изменить политики информационных барьеров.

Изменить политику

  1. Чтобы просмотреть список текущих политик информационных барьеров, используйте командлет Get-InformationBarrierPolicy .

    Синтаксис: Get-InformationBarrierPolicy

    В списке результатов определите политику, которую необходимо изменить. Запишите GUID и имя политики.

  2. Используйте командлет Set-InformationBarrierPolicy с параметром Identity и укажите изменения, которые необходимо внести.

    Пример. Предположим, что была определена политика, которая запрещает сегменту Research взаимодействовать с сегментами " Продажи" и " Маркетинг". Политика была определена с помощью этого командлета: New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"

    Предположим, мы хотим изменить его, чтобы пользователи в сегменте "Исследования " могли взаимодействовать только с людьми в сегменте отдела кадров . Чтобы внести это изменение, мы используем следующий командлет: Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"

    В этом примере мы изменили SegmentsBlocked на SegmentsAllowed и указали сегмент отдела кадров.

  3. Завершив редактирование политики, обязательно примените изменения. (См . раздел "Применение политик информационных барьеров".)

Установка политики в неактивное состояние

  1. Чтобы просмотреть список текущих политик информационных барьеров, используйте командлет Get-InformationBarrierPolicy .

    Синтаксис: Get-InformationBarrierPolicy

    В списке результатов определите политику, которую необходимо изменить (или удалить). Запишите GUID и имя политики.

  2. Чтобы задать состояние политики как неактивное, используйте командлет Set-InformationBarrierPolicy с параметром Identity, а параметр State — неактивным.

    Синтаксис Пример
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    В этом примере политика информационных барьеров с GUID 43c37853-ea10-4b90-a23d-ab8c9377247 имеет состояние "Неактивен".
  3. Чтобы применить изменения, используйте командлет Start-InformationBarrierPoliciesApplication .

    Синтаксис: Start-InformationBarrierPoliciesApplication

    Изменения применяются к пользователям в вашей организации. Если ваша организация большая, для завершения этого процесса может потребоваться 24 часа (или более). Как правило, обработка 5000 учетных записей пользователей занимает около часа.

  4. На этом этапе одной или нескольким политикам информационных барьеров задается состояние "Неактивен". Здесь можно выполнить любое из следующих действий:

Удаление политики

  1. Чтобы просмотреть список текущих политик информационных барьеров, используйте командлет Get-InformationBarrierPolicy .

    Синтаксис: Get-InformationBarrierPolicy

    В списке результатов укажите политику, которую нужно удалить. Запишите GUID и имя политики.

  2. Убедитесь, что политика имеет неактивное состояние. Чтобы задать состояние политики как неактивное, используйте командлет Set-InformationBarrierPolicy с параметром Identity и параметром State, установленным как "Неактивный".

    Синтаксис Пример
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    В этом примере мы задаем политику информационных барьеров с GUID 43c37853-ea10-4b90-a23d-ab8c9377247 в неактивное состояние.
  3. Чтобы применить изменения к политике, используйте командлет Start-InformationBarrierPoliciesApplication .

    Синтаксис: Start-InformationBarrierPoliciesApplication

    Изменения применяются к пользователям в вашей организации. Если ваша организация большая, для завершения этого процесса может потребоваться 24 часа (или более). Как правило, обработка 5000 учетных записей пользователей занимает около часа.

  4. Используйте командлет Remove-InformationBarrierPolicy с параметром Identity.

    Синтаксис Пример
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    В этом примере мы удаляем политику с GUID 43c37853-ea10-4b90-a23d-ab8c93772471.

    При появлении запроса подтвердите изменение.

Удаление сегмента

  1. Чтобы просмотреть все существующие сегменты, используйте командлет Get-OrganizationSegment .

    Синтаксис: Get-OrganizationSegment

    Вы увидите список сегментов и подробные сведения для каждого из них, например тип сегмента, его значение UserGroupFilter, кто создал или в последний раз изменил его, GUID и т. д.

    Совет

    Распечатайте или сохраните список сегментов для справки позже. Например, если вы хотите изменить сегмент, необходимо знать его имя или значение идентификации (используется с параметром Identity).

  2. Определите сегмент, который необходимо удалить, и убедитесь, что политика IB, связанная с сегментом, удалена. Дополнительные сведения см. в процедуре удаления политики.

  3. Измените сегмент, который будет удален, чтобы удалить связь пользователей с данным сегментом. Это действие обновляет определение сегмента и удаляет всех пользователей из сегмента. Вы будете использовать параметр UserGroupFilter, чтобы отменить связь пользователей с сегментом перед удалением.

    Чтобы изменить сегмент, используйте командлет Set-OrganizationSegment с параметром Identity и соответствующими сведениями.

    Синтаксис Пример
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    В этом примере для сегмента с GUID c96e0837-c232-4a8a-841e-ef45787d8d8d8d8d мы определили название отдела как FakeDept , чтобы удалить пользователей из сегмента. В этом примере используется атрибут Department , но при необходимости можно использовать другие атрибуты. В примере используется FakeDept , так как он не существует и не содержит пользователей.
  4. Чтобы применить изменения, используйте командлет Start-InformationBarrierPoliciesApplication .

    Синтаксис: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Примечание

    Атрибут CleanupGroupSegmentLink удаляет связи групп с сегментом без сопоставлений пользователей.

    Изменения применяются к пользователям в вашей организации. Если ваша организация большая, для завершения этого процесса может потребоваться 24 часа (или более). Как правило, обработка 5000 учетных записей пользователей занимает около часа.

  5. Чтобы удалить сегмент, используйте командлет Remove-OrganizationSegment с параметром Identity и соответствующими сведениями.

    Синтаксис Пример
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    В этом примере был удален сегмент с GUID c96e0837-c232-4a8a-841e-ef45787d8d8d8.

Удаление политики и сегмента

  1. Чтобы просмотреть список текущих политик информационных барьеров, используйте командлет Get-InformationBarrierPolicy .

    Синтаксис: Get-InformationBarrierPolicy

    В списке результатов укажите политику, которую нужно удалить. Запишите GUID и имя политики.

  2. Чтобы просмотреть все существующие сегменты, используйте командлет Get-OrganizationSegment .

    Синтаксис: Get-OrganizationSegment

    Вы увидите список сегментов и подробные сведения для каждого из них, например тип сегмента, значение параметра UserGroupFilter , создавшего или последнего изменения, GUID и т. д.

    Совет

    Распечатайте или сохраните список сегментов для справки позже. Например, если вы хотите изменить сегмент, необходимо знать его имя или значение идентификации (используется с параметром Identity).

  3. Чтобы задать состояние политики, которая должна быть удалена, неактивной, используйте командлет Set-InformationBarrierPolicy с параметром Identity, а параметр State — неактивным.

    Синтаксис Пример
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Inactive
    В этом примере мы задаем политику информационных барьеров с guID 43c37853-ea10-4b90-a23d-ab8c93772471 в неактивное состояние.
  4. Измените сегмент, который будет удален, чтобы удалить связь пользователей с данным сегментом. Это действие обновляет определение сегмента и удаляет всех пользователей из сегмента. Вы будете использовать параметр UserGroupFilter , чтобы отменить связь пользователей с сегментом перед удалением.

    Чтобы изменить сегмент, используйте командлет Set-OrganizationSegment с параметром Identity и соответствующими сведениями.

    Синтаксис Пример
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    В этом примере для сегмента с GUID c96e0837-c232-4a8a-841e-ef45787d8d8d8d8d8 мы обновили название отдела на FakeDept , чтобы удалить пользователей из сегмента. В этом примере используется атрибут Department , но при необходимости можно использовать другие атрибуты. В примере используется FakeDept , так как он не существует и не содержит пользователей.
  5. Чтобы применить изменения, используйте командлет Start-InformationBarrierPoliciesApplication .

    Синтаксис: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Примечание

    Атрибут CleanupGroupSegmentLink удаляет связи групп с сегментом без сопоставлений пользователей.

    Изменения применяются к пользователям в вашей организации. Если ваша организация большая, для завершения этого процесса может потребоваться 24 часа (или более). Как правило, обработка 5000 учетных записей пользователей занимает около часа.

  6. Используйте командлет Remove-InformationBarrierPolicy с параметром Identity .

    Синтаксис Пример
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    В этом примере удаляется политика с GUID 43c37853-ea10-4b90-a23d-ab8c93772471 .

    При появлении запроса подтвердите изменение.

  7. Чтобы удалить сегмент, используйте командлет Remove-OrganizationSegment с параметром Identity и соответствующими сведениями.

    Синтаксис Пример
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    В этом примере был удален сегмент с GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

Остановка приложения политики

После начала применения политик информационных барьеров, если вы хотите остановить применение этих политик, выполните следующую процедуру. Процесс начнется примерно через 30–35 минут.

  1. Чтобы просмотреть состояние последнего приложения политики информационных барьеров, используйте командлет Get-InformationBarrierPoliciesApplicationStatus .

    Синтаксис: Get-InformationBarrierPoliciesApplicationStatus

    Запишите GUID приложения.

  2. Используйте командлет Stop-InformationBarrierPoliciesApplication с параметром Identity.

    Синтаксис Пример
    Stop-InformationBarrierPoliciesApplication -Identity GUID Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1

    В этом примере мы останавливаем применения политик информационных барьеров.

Ресурсы