Teams 中的信息屏障
Microsoft Purview 信息屏障 (GB) 是管理员可以配置的策略,以防止个人或组相互通信。 例如,如果一个部门正在处理不应与其他部门共享的信息,则 GB 非常有用。 当需要隔离或阻止组与该组外部的任何人通信时,IBs 也很有用。 Microsoft Teams 中的共享频道受信息屏障支持。 根据共享的类型,信息屏障策略可能会以某些方式限制共享。 有关共享通道和信息屏障行为的详细信息,请参阅 信息屏障和共享通道。
对于 Microsoft Teams,信息屏障可以确定并阻止以下类型的未经授权的协作:
- 将用户添加到团队或频道
- 用户对团队或频道内容的访问权限
- 用户对 1:1 和群组聊天的访问权限
- 用户对会议的访问权限
- 阻止查找和发现,用户将不会在人员选取器中可见。
注意
- 无法跨租户创建信息屏障组。
- 使用机器人、Azure Active Directory (Azure AD) 应用、用于发送活动源通知的 API,以及用于添加用户的某些 API 在版本 1 中不受支持。
- 专用通道符合配置的信息屏障策略。
- 有关支持连接到 Teams 的 SharePoint 网站的屏障的信息,请参阅 与 Microsoft Teams 网站关联的细分。
背景
IBs 的主要驱动因素来自金融服务行业。 金融业监管局 (FINRA) 审查成员公司内部的银行和利益冲突,并 (FINRA 2241、 债务研究监管通知 15-31 提供管理此类冲突的指导。
但是,自从引入 IBs 后,许多其他领域也发现它们很有用。 其他常见方案包括:
- 教育:一所学校的学生无法查找其他学校学生的联系信息。
- 法律:维护一个客户的律师获取的数据的机密性,并防止代表不同客户的同一公司的律师访问这些数据。
- 政府:跨部门和组限制信息访问和控制。
- 专业服务:公司中的一组人员只能在客户参与期间通过来宾访问权限与客户或特定客户聊天。
例如,Enrico 属于银行细分市场,Pradeep 属于财务顾问细分市场。 Enrico 和 Pradeep 无法相互通信,因为组织的 IB 策略会阻止这两个细分市场之间的通信和协作。 但是,Enrico 和 Pradeep 可以在 HR 中与 Lee 通信。
何时使用信息屏障
你可能希望在以下情况下使用 IB:
- 必须阻止团队与特定其他团队通信或共享数据。
- 团队不得与团队外部的任何人通信或共享数据。
信息屏障策略评估服务确定通信是否符合 IB 策略。
管理信息屏障段
IB 段在 Microsoft Purview 合规门户或使用 PowerShell cmdlet 进行管理。 有关详细信息,请参阅 步骤 2:对组织中的用户进行细分。
重要
仅当组织不处于 旧模式 时,才支持将用户分配到多个段。 若要确定组织是否处于 旧模式 ,请参阅 检查组织的 IB 模式) 。
对于 处于旧模式 的组织,用户只能分配到一个细分市场。 处于旧模式的组织将来将有资格升级到最新版本的信息屏障。 有关详细信息,请参阅 信息屏障路线图。
管理信息屏障策略
IB 策略在 Microsoft Purview 合规门户 或使用 PowerShell cmdlet 进行管理。 有关详细信息,请参阅 步骤 3:创建 IB 策略。
重要
在设置或定义策略之前,必须在 Microsoft Teams 中启用作用域内的目录搜索。 在启用作用域目录搜索后至少等待几个小时,然后设置或定义信息屏障策略。 有关详细信息,请参阅 定义信息屏障策略。
信息屏障管理员角色
IB 合规性管理角色负责管理 IB 策略。 有关此角色的详细信息,请参阅Microsoft Purview 合规门户中的权限。
信息屏障触发器
发生以下 Teams 事件时,将激活 IB 策略:
将成员添加到团队:每次向团队添加用户时,都必须针对其他团队成员的 IBM 策略评估用户策略。 成功添加用户后,用户无需进一步检查即可在团队中执行所有功能。 如果用户的策略阻止将用户添加到团队,则用户不会在搜索中显示。
请求新聊天:每次用户向一个或多个其他用户请求新聊天时,将评估聊天以确保该聊天未违反任何 IBM 策略。 如果对话违反 IBM 策略,则对话不会启动。
下面是一对一聊天的示例。
下面是群组聊天的示例。
邀请用户加入会议:当邀请用户加入会议时,将针对适用于该用户的 IBM 策略评估适用于其他团队成员的 IBM 策略。 如果存在冲突,则不允许用户加入会议。
屏幕在两个或多个用户之间共享:当用户与其他用户共享屏幕时,必须评估共享以确保它不会违反其他用户的 IBM 策略。 如果违反一个 IBM 策略,则不允许屏幕共享。
下面是应用策略前的屏幕共享示例。
下面是应用策略后的屏幕共享示例。 屏幕共享和呼叫图标不可见。
用户在 Teams 中拨打电话:每当用户通过 VOIP) 向其他用户或用户组发起语音呼叫 (时,都会对呼叫进行评估,以确保该呼叫不会违反其他团队成员的 IB 策略。 如果有任何冲突,将阻止语音呼叫。
Teams 中的来宾:IB 策略也适用于 Teams 中的来宾。 如果需要在组织的全局地址列表中发现来宾,请参阅在Microsoft 365 组中管理来宾访问权限。 发现来宾后,可以 定义 IB 策略。
策略更改如何影响现有聊天
当 IB 策略管理员对策略进行更改时,或者当由于用户个人资料 (更改(例如作业更改) )而激活策略更改时,信息屏障策略评估服务会自动搜索成员,以确保他们在团队中的成员身份不会违反任何策略。
如果用户之间存在现有聊天或其他通信,并且设置了新策略或更改了现有策略,则服务将评估现有通信以确保仍允许通信发生。
1:1 聊天:如果不再允许两个用户之间进行通信(因为阻止通信的策略应用于两个用户之一或全部),则会阻止进一步通信。 其现有聊天对话将变为只读。
下面是显示聊天可见的示例。
以下示例显示聊天已禁用。
群聊:例如,如果不再允许从一个用户到组的通信 (,因为某个用户) 更改了作业,则用户(以及参与违反策略的其他用户)可能会从群聊中删除,并且不允许与该组进一步通信。 用户仍可以看到旧对话,但无法查看或参与与组的任何新对话。 如果阻止通信的新策略或更改的策略应用于多个用户,则受策略影响的用户可能会从群聊中删除。 他们仍然可以看到旧的对话。
在此示例中,Enrico 已移动到组织内的其他部门,并从群聊中删除。
Enrico 无法再向群聊发送消息。
团队:已从组中删除的任何用户均会从团队中删除,并且无法查看或参与现有或新对话。
场景:现有聊天中的用户被阻止
目前,如果 IB 策略阻止其他用户,则用户会遇到以下情况:
人员选项卡:用户在“人员”选项卡上看不到被阻止的用户。
人员选取器:被阻止的用户在人员选取器中不可见。
“活动”选项卡:如果用户访问被阻止用户的“ 活动 ”选项卡,则不会显示任何帖子。 (“ 活动 ”选项卡仅显示频道帖子,并且两个用户之间不会有共同的频道。)
下面是被阻止的活动选项卡视图的示例。
组织图表:如果用户访问显示被阻止用户的组织结构图,则被阻止的用户将不会显示在组织结构图上。 此时会显示一条错误消息。
人员 卡:如果用户参与对话,但稍后该用户被阻止,其他用户将看到错误消息,而不是将鼠标悬停在被阻止用户的姓名上时卡。 卡 (上列出的操作(如通话和聊天) )将不可用。
建议的联系人:阻止的用户不会显示在建议的联系人列表中, (为新用户) 显示的初始联系人列表。
聊天联系人:用户可以在聊天联系人列表中看到被阻止的用户,但将识别被阻止的用户。 用户可以对被阻止的用户执行的唯一操作是删除它们。 用户还可以选择他们来查看他们过去的对话。
呼叫联系人:用户可以在呼叫联系人列表中看到被阻止的用户,但将识别阻止的用户。 用户可以对被阻止的用户执行的唯一操作是删除它们。
下面是呼叫联系人列表中被阻止用户的示例。
下面是对通话内容列表中的用户禁用聊天的示例。
Skype 到 Teams 的迁移:从 Skype for Business 迁移到 Teams 期间,所有用户(即使是被 IB 策略阻止的用户)都将迁移到 Teams。 然后,按照上述方式处理这些用户。
Teams 策略和 SharePoint 网站
创建团队后,将预配 SharePoint 网站并与 Microsoft Teams 关联以获得文件体验。 默认情况下,此 SharePoint 网站和文件不适用信息屏障策略。 若要在 SharePoint 和 OneDrive 中启用信息屏障,请按照将 信息屏障与 SharePoint 配合使用 一文中的指导和步骤操作。
信息屏障模式和 Teams
信息屏障模式有助于加强可在团队中添加或删除的人员。 在 Teams 中使用信息屏障时,支持以下 IB 模式:
- 打开:此配置是启用信息屏障之前预配的所有现有组的默认 IB 模式。 在此模式下,没有适用的 IB 策略。
- 隐式:启用信息屏障后预配团队时,此配置是默认的 IB 模式。 隐式模式允许你添加组中的所有兼容用户。
- 所有者审查:当你想要允许由所有者审查的不兼容细分用户之间进行协作时,将在团队上设置此模式。 团队所有者可以根据 IB 策略添加新成员。
默认情况下,在租户中激活信息屏障策略之前创建的 Teams 会自动设置为 “打开 ”模式。 在租户上激活 IB 策略后,需要将现有团队的模式更新为 “隐式” ,以确保现有团队符合 IB 要求。 有关更新模式的详细信息,请参阅 使用 PowerShell 脚本更改信息屏障模式。
将 Set-UnifiedGroup cmdlet 与要用于段的模式对应的 InformationBarrierMode 参数一起使用。 InformationBarrierMode 参数允许的值列表为 Open、Implicit 和 Owner Moderated。
例如,若要为 Microsoft 365 组配置 隐式 模式,请使用以下 PowerShell 命令:
Set-UnifiedGroup -InformationBarrierMode Implicit
若要将所有现有团队的模式从 “开放 ”更新为 “隐式” ,请使用此 PowerShell 脚本。
如果更改与 Teams 连接的现有组的 开放 模式配置以满足组织的合规性要求,则需要[更新 IB 模式]/microsoft-365/compliance/information-barriers-sharepoint#view-and-manage-ib-mode-as-an-administrator-with-sharepoint-powershell) 连接到 Teams 团队的关联 SharePoint 网站。
Teams 中的 IB 策略应用程序
IB 策略应用程序是 Teams 的后台 IB 处理器,当用户 (策略或) 或组 (模式更改) 发生更改时,它会收到通知。 以下步骤概述了处理流:
- 更新模式时,策略应用程序会收到组更改通知,并检索适用于更新的消息线程和组 ID。
- 如果消息线程存在,则会计划处理,并从团队和基础组提取所有成员,并将其发送到下游 Teams 组件进行 IB 评估。
- 将评估组上的模式和每个用户的 IB 策略,并将结果发送到策略应用程序。
- 策略应用程序从组和团队中删除不合规的用户。
所需的许可证和权限
有关许可证和权限、计划和定价的详细信息,请参阅 订阅要求 了解信息屏障。
使用情况说明
- 用户无法加入临时会议:如果启用了 IB 策略,则如果会议名单的大小大于会议 出席限制,则不允许用户加入会议。 根本原因是 IB 检查依赖于是否可以将用户添加到会议聊天名单,并且仅当他们可以添加到名单时,才允许他们加入会议。 加入会议的用户一旦将该用户添加到名册;因此,对于定期会议,名册可以很快填满。 聊天名单达到 会议出席限制后,无法将其他用户添加到会议。 如果为组织启用了 IB,并且会议聊天名单已满,则不允许新用户 (那些尚未加入名单) 的用户加入会议。 但是,如果未为组织启用 IB,并且会议聊天名单已满,则新用户 (那些尚未加入名单) 的用户加入会议,尽管他们不会在会议中看到聊天选项。 短期解决方案是从会议聊天名单中删除非活动成员,以便为新用户提供空间。 但是,我们会在以后增加会议聊天名单的大小。
- 用户无法加入频道会议:如果启用了 IB 策略,则如果用户不是团队成员,则不允许他们加入频道会议。 根本原因是 IB 检查依赖于是否可以将用户添加到会议聊天名单,并且仅当他们可以添加到名单时,才允许他们加入会议。 频道会议中的聊天线程仅适用于团队/频道成员,非成员无法查看或访问聊天线程。 如果为组织启用了 IB,并且非团队成员尝试加入频道会议,则不允许该用户加入会议。 但是,如果未为组织启用 IB,并且非团队成员尝试加入频道会议,则允许用户加入会议,但他们不会在会议中看到聊天选项。
- IB 策略不适用于联合用户:如果允许与外部组织联合,则 IB 策略不会限制这些组织的用户。 如果组织的用户加入由外部联合用户组织的聊天或会议,则 IB 策略也不会限制组织用户之间的通信。
详细信息
可用性
我们的公共云、GCC 云、GCC - 高云和 DOD 云中提供了 Teams 中的信息屏障。