计划信息屏障
所需权限
若要定义或编辑信息屏障策略,必须被分配以下其中一个角色:
- Microsoft 365 全局管理员
- Office 365 全局管理员
- 合规性管理员
- IB 合规性管理
若要详细了解角色和权限,请参阅 Microsoft Defender 门户中的权限。
工作流概览
实施信息屏障涉及多个阶段。 首先,需要确保满足先决条件。 这包括:
- 验证你拥有所需的许可证和权限。
- 验证目录是否包含区段用户的数据。
- 启用 Microsoft Teams 范围目录搜索。
- 确保已启用审核日志记录。
- 确保没有 Exchange 通讯簿策略。
- PowerShell
- 向 Microsoft Teams 提供管理员同意。
有关详细信息,请参阅先决条件。
区段用户
满足先决条件后,你可以进入下一个阶段,即划分组织中用户。 如需划分用户,建议执行以下操作:
- 确定需要的策略。
- 列出要定义的区段。
- 确定要使用的属性。 (建议对所有段使用相同的属性。确保段不重叠;每个用户应只分配到一个 segment。)
- 确定区段的策略筛选器
有关详细信息,请参阅第 1 部分:区段用户。
定义信息屏障策略
定义信息屏障策略时,需要确定是需要阻止特定区段之间的通信,还是限制特定区段之间的通信。 建议使用最小数量的策略,以确保你的组织符合法律和行业规定。
找出要定义的用户区段和要定义的信息屏障策略后,可以选择实施以下一种(或两种)方案:
- 方案 1:阻止区段之间的通信
- 方案 2:允许一个区段仅与另一个区段通信
有关详细信息,请参阅第 2 部分:定义信息屏障策略。
应用信息屏障策略
目前,必须如下图所示,使用 Office 365 安全和合规性 PowerShell cmdlet 组合来定义和管理信息屏障策略:
使用 Get-InformationBarrierPolicy cmdlet 查看已定义的策略列表,并记下每个策略的状态和标识 (GUID)。
Get-InformationBarrierPolicy使用标识参数和状态参数设置为“活动”的 Set-InformationBarrierPolicy cmdlet。
Set-InformationBarrierPolicy -Identity GUID -State Active使用 Start-InformationBarrierPoliciesApplication cmdlet 应用该策略。
Start-InformationBarrierPoliciesApplication运行
Start-InformationBarrierPoliciesApplication,后,需要让等待 30 分钟,系统才能开始应用策略。
有关详细信息,请参阅第 3 部分:应用信息屏障策略。