在信息屏障中使用多段支持
重要
仅当组织不处于 旧模式 时,才支持将用户分配到多个段。 若要确定组织是否处于旧模式,请参阅检查组织的 IB 模式并检查 属性的值InformationBarrierMode
。
对于 处于旧模式 的组织,用户只能分配到一个细分市场。 处于旧模式的组织将来将有资格升级到最新版本的信息屏障。 有关详细信息,请参阅 信息屏障路线图。
多段模式使你能够将组织中的用户分配到信息屏障中最多 10 个段,而不是仅限于一个段。 这允许支持个人和组之间更多样化的通信规则,以支持更复杂的组织和操作方案。 对于使用多段支持的组织,必须使用允许列表定义所有信息屏障策略。
配置为多段支持时,用户的兼容性取决于每个用户对共享段的分配。 如果用户共享同一段的分配,则它们是兼容的。 例如,下表显示用户 A 和用户 B 不兼容,因为它们不共享分配的段。 但是,用户 A 与用户 C 兼容,用户 B 与用户 C 兼容,因为它们各自都有一个共同点。
用户 | 分配的段 |
---|---|
用户 A | 段 1、段 2 |
用户 B | 第 3 段,第 4 段 |
用户 C | 第 2 段,第 4 段 |
多段示例:北学区的学校、分区和策略
北学区有两所学校,1所学校和第2学校。 地区政策是,仅当学生和教师都在同一所学校时,才允许他们相互沟通。 例如,学校 1 中的学生和教师可以通信,但学校 1 的学生不能与学校 2 中的教师通信。 对于此方案,将多个段配置为支持以下区域策略方案:
北学区的学校和计划
北学区有两所学校:
段 | 允许的通信 | 阻止的通信 |
---|---|---|
学校 1 | 1 所学校的学生和教师 | 学生和教师在学校 2 |
学校 2 | 学生和教师在学校 2 | 1 所学校的学生和教师 |
对于此结构,北学区的计划包括三项 IB 政策:
- IB 策略旨在使 1 所学校的学生和教师能够相互通信。
- 另一项 IB 政策,使 2 所学校的学生和教师能够相互交流。
- 另一项 IB 政策旨在允许学校 1 和 2 学校的教师相互沟通。
北学区定义的区段
北学区将使用 Microsoft Entra ID 中的 Department 属性来定义分区,如下所示:
段 | 用户群定义 |
---|---|
School1 | New-OrganizationSegment -Name "School1" -UserGroupFilter "Department -eq 'School1'" |
School2 | New-OrganizationSegment -Name "School2" -UserGroupFilter "Department -eq 'School2'" |
AllTeachers | New-OrganizationSegment -Name "AllTeachers" -UserGroupFilter "MemberOfGroup -eq 'AllTeachersgroup@northschoolsdistrict.com'" |
定义段后,Contoso 继续定义 IB 策略。
北学区的 IB 政策
北学区定义了三个 IB 策略,如下表所述:
Policy | 策略定义 |
---|---|
策略 1:学校 1 中的学生和教师可以相互沟通 | New-InformationBarrierPolicy -Name School1Policy -SegmentsAllowed 'School1' -AssignedSegment 'School1' -State Active 在此示例中,IB 策略称为 School1Policy。 当此策略处于活动状态并应用时,它使第 1 所学校的学生和教师能够相互通信。 此策略是单向策略;它不会阻止第 1 所学校的学生和教师与第 2 所学校通信。 因此,需要策略 2。 |
策略 2:学校 2 的学生和教师可以相互沟通 | New-InformationBarrierPolicy -Name School2Policy -SegmentsAllowed 'School2' -AssignedSegment 'School2' -State Active 在此示例中,IB 策略称为 School2Policy。 当此策略处于活动状态并应用时,它使学校 2 的学生和教师能够相互通信。 |
策略 3:不同学校的教师可以相互沟通 | New-InformationBarrierPolicy -Name AllTeachersPolicy -SegmentsAllowed 'AllTeachers' -AssignedSegment 'AllTeachers' -State Active 在这种情况下,IB 策略称为 AllTeachersPolicy。 当此策略处于活动状态并应用时,学校 1 和学校 2 中的教师可以相互通信。 |
定义段和策略后,北学区通过运行 Start-InformationBarrierPoliciesApplication cmdlet 来应用策略。 cmdlet 完成后,北学区已实施学生和教师沟通政策。
检查组织的 IB 模式
如果要支持将用户分配到多个细分市场,则需要验证 IB 组织是否支持多个细分市场。 运行以下 cmdlet 以验证 IB 模式:
Get-PolicyConfig
如果 属性的 InformationBarrierMode
值为 SingleSegment,则可以按照本文为 用户启用多段支持部分中的指导启用多段支持 。 如果 属性的 InformationBarrierMode
值为 MultiSegment,则可以跳过启用对多段的支持,即它已为组织启用。
如果 属性的 InformationBarrierMode
值为 旧版,则组织不支持启用多段。 旧版 组织将来将有资格升级到最新版本的信息屏障。 有关详细信息,请参阅 信息屏障路线图。
为用户启用多段支持
若要在 SingleSegment 模式下为组织启用多段支持,当前不得为组织定义任何 IB 段或策略。 运行以下 cmdlet 以在组织中启用多段支持:
Set-PolicyConfig -InformationBarrierMode 'MultiSegment'
重要
如果启用多个细分并在组织中配置了 IB,则不应还原单段支持。
OneDrive 中对用户的多段支持
如果你的 IB 组织未处于 LegacyMode 模式,并且你已为 OneDrive 配置了多段支持的信息屏障,则 OneDrive 用户体验如下所示:
OneDrive IB 策略:多段用户的 OneDrive 默认自动设置为 “所有者审查 ”模式。
多段用户访问 OneDrive 网站:
- 显式 或 混合 模式:如果多段用户至少有一个段作为 OneDrive 的段,并且具有网站访问权限,则向其授予访问权限。
- 所有其他模式:用户具有与单段支持相同的站点访问体验。
多段用户共享 OneDrive:多段用户可以根据为 OneDrive 配置的 IB 模式共享 OneDrive 网站和包含的内容。
- 显式 模式:用户可以与与 OneDrive 具有相同细分的其他用户共享 OneDrive 内容。
- 打开 或 所有者审查 模式:用户可按 IB 策略与其他兼容用户共享内容。
有关管理适用于 OneDrive 的 IB 的详细信息,请参阅 将信息屏障用于 OneDrive。
SharePoint Online 中用户的多段支持
如果你的 IB 组织未处于 LegacyMode 模式,并且你已为 SharePoint 配置了多段支持的信息屏障,则 SharePoint 用户体验如下所示:
网站创建:当多段用户 (Microsoft 365 组连接或非组网站) 创建 SharePoint 网站时,该网站会自动设置为 所有者审查 模式。
多段用户访问 SharePoint 网站:
- 显式模式:如果用户至少有一个段作为网站的段,并且具有网站访问权限,则授予用户访问权限。
- 所有其他模式:用户具有与单段支持相同的站点访问体验。
多段用户共享 SharePoint 网站:多段用户可以按网站 IB 模式共享网站及其内容。
- 显式 模式:可以与与网站段匹配的用户共享内容。
- 隐式 或 所有者审查 模式:可以与连接到网站的 Microsoft 365 组的其他成员共享内容。
- 打开 模式:可以与符合 IB 策略的其他用户共享内容。
有关管理 IB for SharePoint 的详细信息,请参阅 将信息屏障与 SharePoint 配合使用。
对 Microsoft Teams 中用户的多段支持
如果你的 IB 组织未处于 LegacyMode 模式,并且你已为 Teams 配置了多段支持的信息屏障,则 Microsoft Teams 用户体验如下所示:
- 团队创建:多细分用户创建团队时,默认情况下,团队会自动设置为 “隐式 ”模式。
- 添加团队成员:团队中的所有用户必须具有一个与所有其他用户兼容的细分。
有关管理 IB for Microsoft Teams 的详细信息,请参阅 将信息屏障与 Microsoft Teams 配合使用。