信息屏障入门

  • 项目

本文介绍如何在组织中配置信息屏障 (IB) 策略。 涉及几个步骤,因此在开始配置 IB 策略之前,请务必查看整个过程。

你将使用 Microsoft Purview 门户Microsoft Purview 合规门户Office 365安全性和合规性 PowerShell 在组织中配置 IB。 对于首次配置 IB 的组织,我们建议使用合规性门户中 的信息屏障 解决方案。 如果你正在管理现有 IB 配置,并且对使用 PowerShell 感到满意,则仍可使用此选项。

有关 IB 方案和功能的详细信息,请参阅 了解信息屏障

提示

为了帮助你准备计划,本文提供了一个 示例方案

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

所需的订阅和权限

在开始使用 IB 之前,应确认 Microsoft 365 订阅和任何加载项。 若要访问和使用 IB,你的组织必须具有支持订阅或加载项。 有关详细信息,请参阅信息屏障的 订阅要求

若要 管理 IB 策略,必须分配以下角色之一:

  • Microsoft 365 全局管理员
  • Office 365 全局管理员
  • 合规性管理员
  • IB 合规性管理

若要了解有关角色和权限的详细信息,请参阅Microsoft Defender XDR和 Microsoft Purview 合规性门户中的角色和角色组

配置概念

配置 IB 时,你将使用多个对象和概念。

  • 用户帐户属性在 Microsoft Entra ID (或 Exchange Online) 中定义。 这些属性可能包括部门、职务、位置、团队名称和其他职务资料详细信息。 你将使用这些属性将用户或组分配到段。

  • 是在 Microsoft Purview 门户、合规性门户或使用使用所选组或用户帐户属性的 PowerShell 中定义的组或用户组集。

    你的组织最多可以有 5,000 个段,并且用户最多可以分配到 10 个段。 有关详细信息,请参阅 IB 支持的属性 列表。

    重要

    仅当组织不处于 旧模式 时,才支持 5,000 个段和将用户分配到多个段。 将用户分配到多个段需要执行其他操作来更改组织的信息屏障模式。 有关详细信息,请参阅 在信息屏障中使用多段支持

    对于 处于旧模式 的组织,支持的最大段数为 250,并且用户只能分配到一个细分。 处于旧模式的组织将来将有资格升级到最新版本的信息屏障。 有关详细信息,请参阅 信息屏障路线图

  • IB 策略 确定通信限制或限制。 定义 IB 策略时,可以从两种类型的策略中进行选择:

    • 阻止 策略阻止一个区段与另一个区段通信。

    • 允许 策略允许一个区段仅与特定其他区段通信。

      注意

      对于处于旧模式的组织:非 IB 组和用户对包含在 IB 段和允许策略中的用户不可见。 如果需要非 IB 组和用户对 IB 段和策略中包含的用户可见,则必须使用 阻止 策略。

      对于处于 SingleSegmentMultiSegment 模式的组织:非 IB 组和用户将对 IB 段和策略中包含的用户可见。

      若要验证 IB 模式,请参阅 检查组织的 IB 模式

  • 策略应用程序 在定义所有 IB 策略后完成,并且你已准备好在组织中应用它们。

  • 非 IB 用户和组的可见性:非 IB 用户和组是从 IB 段和策略中排除的用户和组。 根据在组织中配置 IB 策略以及 (阻止或允许) 的 IB 策略类型,这些用户和组的行为在 Microsoft Teams、SharePoint、OneDrive 和全局地址列表中有所不同。

    • 对于 处于旧模式 的组织:对于 在允许 策略中定义的用户,非 IB 组和用户对 IB 段和策略中包含的用户不可见。 对于 策略中定义的用户,非 IB 组和用户将对 IB 段和策略中包含的用户可见。
    • 对于处于 SingleSegmentMultiSegment 模式的组织:非 IB 组和用户将对 IB 段和策略中包含的用户可见。

  • 组支持。 IB 目前仅支持新式组,分发Lists/安全组被视为非 IB 组。

  • 隐藏/禁用的用户和来宾帐户。 对于组织中隐藏/禁用的用户和来宾帐户,在隐藏或禁用用户帐户或创建来宾时, HiddenFromAddressListEnabled 参数会自动设置为 True 。 如果启用了 IB 的组织的组织模式为 旧版 ,则阻止这些帐户与所有其他用户帐户通信。 管理员可以通过将 HiddenFromAddressListEnabled 参数手动设置为 False 来禁用此默认行为。

配置概述

步骤 所涉及的内容
步骤 1确保满足先决条件 - 验证是否具有所需的订阅和权限
- 验证目录是否包含区段用户的数据
- 为 Microsoft Teams 启用按名称搜索
- 确保审核日志记录已打开
- 检查组织的 IB 模式
- 配置 Exchange 通讯簿策略的实现方式 (具体取决于你何时在组织中启用 IB)
- 为 Microsoft Teams 提供管理员同意 (步骤包含在)
步骤 2对组织中的用户进行细分 - 确定需要的策略
- 列出要定义的区段
- 确定要使用的属性
- 确定区段的策略筛选器
步骤 3创建信息屏障策略 - 创建策略 (尚未应用)
- 从两种类型中进行选择(阻止或允许)
步骤 4应用信息屏障策略 - 将策略设置为活动状态
- 运行策略应用程序
- 查看策略状态
步骤 5在 SharePoint 和 OneDrive 上配置信息屏障 (可选) - 为 SharePoint 和 OneDrive 配置 IB
步骤 6信息屏障模式 (可选) - 更新 IB 模式(如果适用)
步骤 7为信息屏障配置用户可发现性 (可选) - 使用人员选取器在 IB 中启用或限制用户可发现性(如果适用)。

步骤 1:确保满足先决条件

除了所需的订阅和权限,请确保在配置 IB 之前满足以下要求:

  • 目录数据:确保组织的结构反映在目录数据中。 若要执行此操作,请确保在Microsoft Entra ID (或Exchange Online) 中正确填充用户帐户属性 (,例如组成员身份、部门名称等 ) 。 若要了解详细信息,请参阅以下资源:

  • 限定范围的目录搜索:在定义组织的第一个 IB 策略之前,必须在 Microsoft Teams 中启用限定范围的目录搜索。 在启用作用域目录搜索后至少等待 24 小时,然后设置或定义 IB 策略。

  • 验证是否启用了审核日志记录:若要查找 IB 策略应用程序的状态,必须启用审核日志记录。 默认情况下,为 Microsoft 365 组织启用审核。 一些组织可能出于特定原因禁用了审核。 如果组织禁用了审核,则可能是因为其他管理员已将其禁用。 我们建议确认在完成此步骤时可以重新启用审核。 有关详细信息,请参阅启用或禁用审核日志搜索

  • 检查组织的 IB 模式:对多个细分、人员可发现性选项、Exchange ARP 和其他功能的支持由组织的 IB 模式确定。 若要验证组织的 IB 模式,请参阅 检查组织的 IB 模式

  • 删除现有Exchange Online通讯簿策略 (可选)

    • 对于处于旧模式的组织:在定义和应用 IB 策略之前,必须删除组织中所有现有的Exchange Online通讯簿策略。 IB 策略基于通讯簿策略,现有 ABP 策略与 IB 创建的 ABP 不兼容。 若要删除现有通讯簿策略,请参阅删除Exchange Online中的通讯簿策略。 有关 IB 策略和Exchange Online的详细信息,请参阅信息屏障和Exchange Online
    • 对于处于 SingleSegmentMultiSegment 模式的组织:信息屏障不再基于Exchange Online通讯簿策略 (ABP) 。 使用 ABP 的组织在启用信息屏障时不会对现有 ABP 产生任何影响。

  • 使用 PowerShell 进行管理 (可选) :可以在合规性门户中定义和管理 IB 段和策略,但如果需要,也可以使用Office 365安全性 & 合规性 PowerShell。 尽管本文提供了几个示例,但如果选择使用 PowerShell 配置和管理 IB 段和策略,则需要熟悉 PowerShell cmdlet 和参数。 如果选择此配置选项,还需要 Microsoft Graph PowerShell SDK

满足所有先决条件后,继续执行下一步。

步骤 2:对组织中的用户进行细分

在此步骤中,你将确定所需的 IB 策略,列出要定义的段,并定义段。 定义段不会影响用户,它只是为要定义和应用 IB 策略设置阶段。

确定需要哪些策略

考虑到组织的需求,确定组织内需要 IB 策略的组。 仔细想想以下几个问题:

  • 是否有内部、法律或行业法规要求限制组织中的组和用户之间的通信和协作?
  • 是否有任何组或用户应被阻止与其他用户组通信?
  • 是否有任何组或用户应仅允许与一个或两个其他用户组通信?

将所需的策略视为属于以下两种类型之一:

  • 阻止 策略阻止一个组与另一个组通信。
  • 允许 策略允许组仅与特定组通信。

获得所需组和策略的初始列表后,请继续确定 IB 策略所需的段。

标识段

除了初始策略列表外,还可以为组织创建细分列表。 将包含在 IB 策略中的用户应至少属于一个细分。 如果需要,可将用户分配到多个段。 组织中最多可以有 5,000 个段,每个细分市场只能应用一个 IB 策略。

重要

对于处于旧版SingleSegement 模式的组织,用户只能处于一个细分市场。 若要验证 IB 模式,请参阅 检查组织的 IB 模式

确定组织目录数据中用于定义段的属性。 可以使用 DepartmentMemberOf 或任何受支持的 IB 属性。 确保为用户选择的属性中有值。 有关详细信息,请参阅 IB 支持的属性

重要

在继续下一部分之前,请确保目录数据具有可用于定义段的属性的值。 如果目录数据没有要使用的属性的值,则必须更新用户帐户以包含该信息,然后才能继续配置 IB。 若要获取相关帮助,请参阅以下资源:

- 使用 Office 365 PowerShell 配置用户帐户属性
- 使用 Microsoft Entra ID 添加或更新用户的个人资料信息

为用户启用多段支持 (可选)

仅当组织不处于 旧模式 时,才支持将用户分配到多个段。 如果要支持将用户分配到多个段,请参阅 在信息屏障中使用多段支持

对于 处于旧模式 的组织,用户只能分配到一个细分市场。 处于旧模式的组织将来将有资格升级到最新版本的信息屏障。 有关详细信息,请参阅 信息屏障路线图

使用门户定义段

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

完成以下步骤以定义段:

  1. 使用组织中管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 选择“信息屏障”解决方案卡。 如果未显示信息屏障解决方案卡,请选择“查看所有解决方案”,然后从“风险 & 合规性”部分选择“信息屏障”。
  3. 选择 “段”。
  4. 在“ ”页上,选择“ 新建段 ”以创建和配置新段。
  5. 在“ 名称 ”页上,输入段的名称。 创建段后,无法重命名该段。
  6. 选择“下一步”。
  7. “用户组筛选器 ”页上,选择“ 添加 ”,为段配置组和用户属性。 从可用属性列表中选择段的属性。
  8. 对于所选属性,请选择“ 等于 ”或“ 不等于 ”,然后输入属性的值。 例如,如果选择“ 部门 ”作为 属性和 “等于”,则可以为此细分条件输入 “市场营销 ”作为定义的 “部门 ”。 可以通过选择“添加条件”为属性添加其他 条件。 如果需要删除属性或属性条件,请选择属性或条件的删除图标。
  9. 根据需要在 “用户组筛选器 ”页上添加其他属性,然后选择“ 下一步”。
  10. 在“ 查看设置” 页上,查看为段选择的设置,以及针对所选内容的任何建议或警告。 选择 “编辑” 以更改任何段属性和条件,或选择“ 提交 ”以创建段。

使用 PowerShell 定义段

若要使用 PowerShell 定义段,请完成以下步骤:

  1. New-OrganizationSegment cmdlet 与要使用的属性对应的 UserGroupFilter 参数一起使用。

    语法 示例
    New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'" New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"

    在此示例中,使用 HR 定义名为 HR 的段, HRDepartment 属性中的一个值。 cmdlet 的 -eq 部分引用“equals”。 (或者,可以使用 -ne 表示“不等于”。请参阅 在段定义中使用“equals”和“not equals”。)

    运行每个 cmdlet 后,应会看到有关新段的详细信息列表。 详细信息包括段的类型、创建或上次修改段的人员等。

  2. 对要定义的每个区段重复此过程。

定义段后,继续执行 步骤 3:创建 IB 策略

在 PowerShell 段定义中使用“equals”和“not equals”

在以下示例中,我们将使用 PowerShell 配置 IB 段,并定义一个“Department 等于 HR”的段。

示例 注意
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" 请注意,在此示例中,段定义包括表示为 -eq 的“equals”参数。

还可以使用“不等于”参数(表示为 -ne)来定义段,如下表所示:

语法 示例
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" 在此示例中,我们定义了一个名为 NotSales 的 细分市场,其中包括不在 Sales 中的所有人。 cmdlet 的 -ne 部分引用“不等于”。

除了使用“equals”或“not equals”定义段外,还可以使用“equals”和“not equals”参数定义段。 还可以使用逻辑 ANDOR 运算符定义复杂的组筛选器。

语法 示例
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" 在此示例中,我们定义了一个名为 LocalFTE 的段,其中包括位于本地且其位置未列为 临时的用户。
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq 'group1@contoso.com'' -and MemberOf -ne 'group3@contoso.com'" 在此示例中,我们定义了一个名为 Segment1 的段,其中包括属于 group1@contoso.com 而不是 成员的用户 group3@contoso.com。
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq 'group2@contoso.com' -or MemberOf -ne 'group3@contoso.com'" 在此示例中,我们定义了一个名为 Segment2 的段,其中包括属于 group2@contoso.com 而不是 成员的用户 group3@contoso.com。
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq 'group1@contoso.com' -or MemberOf -eq 'group2@contoso.com') -and MemberOf -ne 'group3@contoso.com'" 在此示例中,我们定义了一个名为 Segment1and2 的段,该段包括 用户,group2@contoso.com而不是 中的group3@contoso.com用户group1@contoso.com。

提示

如果可能,请使用包含“-eq”或“-ne”的段定义。 尽量不要定义复杂的段定义。

步骤 3:创建 IB 策略

创建 IB 策略时,你将确定是需要阻止某些段之间的通信,还是将通信限制为某些段。 理想情况下,你将使用最少数量的 IB 策略来确保组织符合内部、法律和行业要求。 可以使用 Microsoft Purview 门户、合规性门户或 PowerShell 创建和应用 IB 策略。

提示

为了保持用户体验一致性,我们建议在可能的情况下对大多数方案使用 阻止 策略。

使用要定义的用户段和 IB 策略列表,选择一个方案,然后按照步骤操作。

重要

请确保在定义策略时,不会向一个段分配多个策略。 例如,如果为名为 Sales 的细分市场定义了一个策略,则不要为 销售 细分市场定义其他策略。

此外,在定义 IB 策略时,请确保将这些策略设置为非活动状态,直到准备好应用它们。 定义 (或编辑) 策略不会影响用户,直到这些策略设置为活动状态,然后应用这些策略。

方案 1:阻止区段之间的通信

如果要阻止段相互通信,可以定义两个策略:每个方向各一个策略。 每个策略仅阻止一个方向的通信。

例如,假设要阻止段 A 和段 B 之间的通信。在这种情况下,需要定义两个策略:

  • 阻止段 A 与段 B 通信的一个策略
  • 防止段 B 与段 A 通信的第二个策略

使用方案 1 的门户创建策略

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

完成以下步骤以创建策略:

  1. 使用组织中管理员帐户的凭据登录到 Microsoft Purview 门户

  2. 选择“信息屏障”解决方案卡。 如果未显示信息屏障解决方案卡,请选择“查看所有解决方案”,然后从“风险 & 合规性”部分选择“信息屏障”。

  3. 选择“策略”。

  4. “策略 ”页上,选择“ 创建策略 ”以创建和配置新的 IB 策略。

  5. 在“ 名称 ”页上,输入策略的名称,然后选择“ 下一步”。

  6. “分配的细分” 页上,选择“ 选择段”。 使用搜索框按名称搜索段,或滚动以从显示列表中选择段。 选择“ 添加 ”,将所选段添加到策略。 只能选择一个段。

  7. 选择“下一步”。

  8. “通信和协作 ”页上,选择“ 通信和协作 ”字段中的策略类型。 策略选项为 “允许” 或“ 阻止”。 在此示例方案中,将为第一个策略选择“ 已阻止 ”。

    重要

    创建策略后,无法更改段的“允许”和“阻止”状态。 若要在创建策略后更改状态,必须删除该策略并创建一个新策略。

  9. 选择“ 选择段 ”,定义目标段的操作。 可以在此步骤中分配多个段。 例如,如果想要阻止名为“销售”的细分市场中的用户与名为“研究”的细分用户通信,则会在步骤 5 中定义了“销售”细分市场,并在此步骤的“选择细分市场”选项中分配“研究”。

  10. 选择“下一步”。

  11. “策略状态 ”页上,将活动策略状态切换为 “打开”。 选择“下一步”以继续。

  12. “查看设置” 页上,查看为策略选择的设置以及针对所选内容的任何建议或警告。 选择 “编辑” 以更改任何策略段和状态,或者选择“ 提交 ”以创建策略。

在此示例中,将重复上述步骤,创建第二个 阻止 策略,以限制阻止名为 “研究 ”的细分市场中的用户与名为 “销售”的细分市场中的用户通信。 在步骤 5 中定义了 “研究 ”细分市场,并在“选择细分市场”选项中分配 销售 (或多个 细分市场) 。

使用 PowerShell 创建方案 1 的策略

若要使用 PowerShell 定义策略,请完成以下步骤:

  1. 若要定义第一个阻止策略,请使用 New-InformationBarrierPolicy cmdlet 和 SegmentsBlocked 参数。

    语法 示例
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsBlocked "segmentBname" New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

    在此示例中,我们为名为 Sales 的细分定义了名为 Sales-Research的策略。 当处于活动状态并应用时,此策略会阻止 Sales 中的用户与名为 “研究”的细分用户进行通信。

  2. 若要定义第二个阻塞段,请再次使用 New-InformationBarrierPolicy cmdlet 和 SegmentsBlocked 参数,这一次是反转段。

    示例 注意
    New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive 在此示例中,我们定义了一个名为 “Research-Sales” 的策略,以防止 ResearchSales 进行通信。

  3. 继续执行以下操作之一:

方案 2:允许一个区段仅与另一个区段通信

如果希望允许一个段仅与另一个段通信,请定义两个策略:一个策略用于每个方向。 每个策略仅允许单向通信。

在此示例中,你将定义两个策略:

  • 一个策略允许段 A 与段 B 通信
  • 允许段 B 与段 A 通信的第二个策略

使用门户为方案 2 创建策略

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

完成以下步骤以创建策略:

  1. 使用组织中管理员帐户的凭据登录到 Microsoft Purview 门户

  2. 选择“信息屏障”解决方案卡。 如果未显示信息屏障解决方案卡,请选择“查看所有解决方案”,然后从“风险 & 合规性”部分选择“信息屏障”。

  3. “策略 ”页上,选择“ 创建策略 ”以创建和配置新的 IB 策略。

  4. 在“ 名称 ”页上,输入策略的名称,然后选择“ 下一步”。

  5. “分配的细分” 页上,选择“ 选择段”。 使用搜索框按名称搜索段,或滚动以从显示列表中选择段。 选择“ 添加 ”,将所选段添加到策略。 只能选择一个段。

  6. 选择“下一步”。

  7. “通信和协作 ”页上,选择“ 通信和协作 ”字段中的策略类型。 策略选项为 “允许” 或“ 阻止”。 在此示例方案中,将为策略选择 “允许 ”。

    重要

    创建策略后,无法更改段的“允许”和“阻止”状态。 若要在创建策略后更改状态,必须删除该策略并创建一个新策略。

  8. 选择“ 选择段 ”,定义目标段的操作。 可以在此步骤中分配多个段。 例如,如果想要允许名为“制造”的细分市场中的用户与名为 HR 的细分市场中的用户通信,则可以在步骤 5 中定义制造细分市场,并在此步骤的“选择细分市场”选项中分配 HR

  9. 选择“下一步”。

  10. “策略状态 ”页上,将活动策略状态切换为 “打开”。 选择“下一步”以继续。

  11. “查看设置” 页上,查看为策略选择的设置以及针对所选内容的任何建议或警告。 选择 “编辑” 以更改任何策略段和状态,或者选择“ 提交 ”以创建策略。

  12. 在此示例中,将重复上述步骤,创建第二个 “允许”策略 ,以允许名为 “研究 ”的细分市场中的用户与名为 “销售”的细分市场中的用户进行通信。 你已在步骤 5 中定义了“研究”细分市场,并在“选择细分市场”选项中分配销售 (或多个) 细分市场

使用适用于方案 2 的 PowerShell 创建策略

若要使用 PowerShell 定义策略,请完成以下步骤:

  1. 若要允许一个段与另一个段通信,请使用 New-InformationBarrierPolicy cmdlet 和 SegmentsAllowed 参数。

    语法 示例
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname","segment1name" New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State Inactive

    在此示例中,我们为名为 Manufacturing-HR 的细分市场定义了一个名为 Manufacturing-HR 的策略。 激活并应用后,此策略允许 制造 中的用户仅与名为 HR 的细分用户通信。 在这种情况下, 制造业 无法与不属于 HR 的用户通信。

    如果需要,可以使用此 cmdlet 指定多个段,如以下示例所示。

    语法 示例
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname", "segmentCname","segmentDname" New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State Inactive

    在此示例中,我们定义了一个策略,该策略允许 “研究 ”部分仅与 HRManufacturing 通信。

    对要定义的每个策略重复此步骤,以允许特定段仅与某些其他特定段通信。

  2. 若要定义第二个允许段,请再次使用 New-InformationBarrierPolicy cmdlet 和 SegmentsAllowed 参数,这次将段反转。

    示例 注意
    New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsAllowed "Sales" -State Inactive 在此示例中,我们定义了一个名为 “Research-Sales” 的策略,以允许 ResearchSales 进行通信。

  3. 继续执行以下操作之一:

步骤 4:应用 IB 策略

在将 IB 策略设置为活动状态并应用策略之前,IB 策略才会生效。

使用门户应用策略

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

完成以下步骤以应用策略:

  1. 使用组织中管理员帐户的凭据登录到 Microsoft Purview 门户

  2. 选择“信息屏障”解决方案卡。 如果未显示信息屏障解决方案卡,请选择“查看所有解决方案”,然后从“风险 & 合规性”部分选择“信息屏障”。

  3. 选择“ 策略应用程序”。

  4. “策略”应用程序 页上,选择“ 应用所有策略 ”以应用组织中的所有 IB 策略。

    注意

    等待 30 分钟,系统开始应用策略。 系统按用户应用策略。 系统每小时处理大约 5,000 个用户帐户。

使用 PowerShell 应用策略

若要使用 PowerShell 应用策略,请完成以下步骤:

  1. 使用 Get-InformationBarrierPolicy cmdlet 查看已定义的策略列表。 请注意每个策略的状态和标识 (GUID) 。

    语法: Get-InformationBarrierPolicy

  2. 若要将策略设置为活动状态,请使用 Set-InformationBarrierPolicy cmdlet 和 Identity 参数,并将 State 参数设置为 Active

    语法 示例
    Set-InformationBarrierPolicy -Identity GUID -State Active Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Active

    在此示例中,我们将 GUID 43c37853-ea10-4b90-a23d-ab8c93772471 设置为活动状态的 IB 策略。

    根据需要为每个策略重复此步骤。

  3. 将 IB 策略设置为活动状态后,请使用安全性 & 合规性 PowerShell 中的 Start-InformationBarrierPoliciesApplication cmdlet。

    语法: Start-InformationBarrierPoliciesApplication

    运行 Start-InformationBarrierPoliciesApplication 后,需要等待 30 分钟,系统才能开始应用策略。 系统按用户应用策略。 系统每小时处理大约 5,000 个用户帐户。

查看用户帐户、段、策略或策略应用程序的状态

使用 PowerShell,可以查看用户帐户、段、策略和策略应用程序的状态,如下表所示。

查看此信息 执行此操作
用户帐户 Get-InformationBarrierRecipientStatus cmdlet 与 Identity 参数配合使用。

语法: Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

可以使用唯一标识每个用户的任何值,例如名称、别名、可分辨名称、规范域名、电子邮件地址或 GUID。

例如:Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

在此示例中,我们引用Office 365中的两个用户帐户:meganb for Megan,alexw for Alex

(还可以将此 cmdlet 用于单个用户: Get-InformationBarrierRecipientStatus -Identity <value>)

此 cmdlet 返回有关用户的信息,例如属性值和应用的任何 IB 策略。
使用 Get-OrganizationSegment cmdlet。

语法: Get-OrganizationSegment

此 cmdlet 显示为组织定义的所有段的列表。
IB 策略 使用 Get-InformationBarrierPolicy cmdlet。

语法: Get-InformationBarrierPolicy

此 cmdlet 显示已定义的 IB 策略及其状态的列表。
最新的 IB 策略应用程序 使用 Get-InformationBarrierPoliciesApplicationStatus cmdlet。

语法: Get-InformationBarrierPoliciesApplicationStatus

此 cmdlet 显示有关策略应用程序已完成、失败或正在进行的信息。
所有 IB 策略应用程序 使用 Get-InformationBarrierPoliciesApplicationStatus -All

此 cmdlet 显示有关策略应用程序已完成、失败或正在进行的信息。

如果需要删除或更改策略,该怎么办?

资源可用于帮助你管理 IB 策略。

步骤 5:在 SharePoint 和 OneDrive 上配置信息屏障

如果要为 SharePoint 和 OneDrive 配置 IB,则需要在这些服务上启用 IB。 如果要为 Microsoft Teams 配置 IB,还需要在这些服务上启用 IB。 在 Microsoft Teams 团队中创建团队时,会自动创建一个 SharePoint 网站,并将其与 Microsoft Teams 关联,以获取文件体验。 默认情况下,此新 SharePoint 网站和文件上不遵循 IB 策略。

若要在 SharePoint 和 OneDrive 中启用 IB,请按照将 信息屏障用于 SharePoint 一文中的指南和步骤进行操作。

步骤 6:信息屏障模式 (可选)

模式有助于根据资源的 IB 模式加强 Microsoft 365 资源的访问、共享和成员身份。 Microsoft 365 组、Microsoft Teams、OneDrive 和 SharePoint 网站支持模式,并在新的或现有的 IB 配置中自动启用。

Microsoft 365 资源支持以下 IB 模式:

Mode 说明 示例
打开 没有任何 IB 策略或段与 Microsoft 365 资源相关联。 任何人都可以被邀请成为资源的成员。 为组织的野餐活动创建的团队网站。
所有者审查 Microsoft 365 资源的 IB 策略根据资源所有者的 IB 策略确定。 资源所有者可以根据其 IB 策略邀请任何用户加入资源。 当公司希望允许由所有者审查的不兼容细分用户之间进行协作时,此模式非常有用。 只有资源所有者才能根据其 IB 策略添加新成员。 人力资源副总裁希望与销售和研究的 VP 合作。 一个新的 SharePoint 网站,它设置为 IB 模式 所有者审查 ,以将销售和研究细分用户添加到同一网站。 所有者负责确保将适当的成员添加到资源。
隐式 Microsoft 365 资源的 IB 策略或段继承自资源成员 IB 策略。 所有者可以添加成员,只要它们与资源的现有成员兼容。 此模式是 Microsoft Teams 的默认 IB 模式。 销售细分用户创建 Microsoft Teams 团队,以便与组织中的其他兼容细分市场协作。
Explicit Microsoft 365 资源的 IB 策略根据与资源关联的段执行。 资源所有者或 SharePoint 管理员能够管理资源上的段。 通过将销售细分市场与网站关联,仅为销售细分成员创建的网站。
Mixed 仅适用于 OneDrive。 OneDrive 的 IB 策略根据与 OneDrive 关联的段执行。 资源所有者或 OneDrive 管理员能够管理资源上的段。 为销售细分市场成员创建的 OneDrive 允许与未划分的用户共享。

隐式模式更新

根据你在组织中启用 IB 的日期,你的组织将处于 旧式一或 多类 组织模式。 若要验证模式,请参阅 检查组织的 IB 模式

如果你的组织处于 SingleSegmentMultiSegment 模式,并且 Teams 组的信息屏障模式为 “隐式”,则 Teams 连接的组/站点将没有任何与之关联的段。

有关 IB 模式以及如何跨服务配置它们的详细信息,请参阅以下文章:

步骤 7:为信息屏障配置用户可发现性 (可选)

信息屏障策略允许管理员在人员选取器中启用或禁用搜索限制。 默认情况下,为 IB 策略启用人员选取器限制。 例如,阻止两个特定用户通信的 IB 策略也可能限制用户在使用人员选取器时相互查看。

重要

仅当组织不处于 旧模式 时,才支持启用或禁用搜索限制。 处于旧模式的组织无法启用或禁用搜索限制。 启用或禁用搜索限制需要其他操作来更改组织的信息屏障模式。 有关详细信息,请参阅 在信息屏障中使用多段支持)

处于旧模式的组织将来将有资格升级到最新版本的信息屏障。 有关详细信息,请参阅 信息屏障路线图

若要使用 PowerShell 禁用人员选取器搜索限制,请完成以下步骤:

  1. 使用 Set-PolicyConfig cmdlet 禁用人员选取器限制:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'

示例方案:Contoso 的部门、段和策略

若要了解组织如何定义段和策略,请考虑以下示例方案。

Contoso 的部门与计划

Contoso 有五个部门:人力资源销售市场营销研究和制造。 为了遵守行业法规,某些部门的用户不应与其他部门进行通信,如下表所示:

可以与 无法与
HR 所有人 (无限制)
销售 人力资源、营销、制造 信息检索
市场营销 所有人 (无限制)
研究 人力资源、营销、制造 销售
制造 人力资源、市场营销 人力资源或市场营销人员以外的任何人

对于此结构,Contoso 的计划包括三个 IB 策略:

  1. 旨在阻止销售人员与研究部门沟通的 IB 策略
  2. 另一个 IB 策略,用于阻止 Research 与 Sales 通信。
  3. 一个 IB 策略,旨在允许制造部门仅与人力资源和市场营销部门通信。

对于此方案,无需为 HRMarketing 定义 IB 策略。

Contoso 定义的用户群

Contoso 将使用 Microsoft Entra ID 中的 Department 属性来定义段,如下所示:

部门 段定义
人力资源 New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"
销售 New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'"
市场营销 New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'"
研究 New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'"
制造 New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'"

定义段后,Contoso 继续定义 IB 策略。

Contoso 的 IB 策略

Contoso 定义了三个 IB 策略,如下表所述:

Policy 策略定义
策略1:防止销售与研究部门沟通 New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

在此示例中,IB 策略称为 Sales-Research。 此策略处于活动状态并已应用时,它将帮助防止销售部门中的用户与研究部门中的用户沟通。 此策略是单向策略;它不会阻止 Research 与 Sales 进行通信。 因此,需要策略 2。
策略 2:阻止研究与销售部门沟通 New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive

在此示例中,IB 策略称为 “Research-Sales”。 此策略处于活动状态并已应用时,它将帮助防止研究部门中的用户与销售部门中的用户沟通。
策略 3:仅允许制造部门与人力资源和市场营销部门通信 New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive

在这种情况下,IB 策略称为 Manufacturing-HRMarketing。 此策略处于活动状态和已应用后,制造仅能与人力资源和市场营销部门沟通。 人力资源和市场营销部门不受限制,无法与其他细分市场通信。

定义段和策略后,Contoso 通过运行 Start-InformationBarrierPoliciesApplication cmdlet 来应用策略。

cmdlet 完成后,Contoso 符合行业要求。

资源