分享方式:

管理資訊屏障原則

  • 文章

IB) 原則 (定義資訊屏障之後,您可能需要對這些原則或使用者區段進行變更,作為 疑難解答 或定期維護的一部分。

提示

如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

您要執行的工作

動作 描述
編輯使用者帳戶屬性 填入 Microsoft Entra ID 中可用來定義區段的屬性。
當使用者未包含在使用者應該的區段中、變更使用者所在的區段,或使用不同的屬性定義區段時,編輯使用者帳戶屬性。
編輯區隔 當您想要變更區隔的定義時,請編輯區隔。
例如,您原本可能已使用 Department 定義區段,而現在想要使用另一個屬性,例如 MemberOf
編輯原則 當您想要變更原則的運作方式時,請編輯資訊屏障原則。
例如,您可能會決定只允許在特定區段之間進行通訊,而不是封鎖兩個區段之間的通訊。
將原則設定為非作用中狀態 當您想要變更原則,或不想讓原則生效時,請將原則設定為非作用中狀態。
拿掉原則 當您不再需要特定原則時,請移除資訊屏障原則。
拿掉區段 當您不再需要特定區段時,請移除資訊屏障區段。
拿掉原則和區段 同時移除資訊屏障原則和區段。
停止原則應用程式 當您想要停止套用資訊屏障原則的程式時,請採取此動作。
停止原則應用程式並非即時,也不會復原已套用至用戶的原則。
啟用或停用使用者探索能力 如果使用者顯示在人員選擇器中,請啟用或停用 。
定義資訊屏障的原則 當您還沒有這類原則時,請定義資訊屏障原則,而且您必須限制或限制特定使用者群組之間的通訊。
資訊屏障疑難排解 當您遇到資訊屏障的非預期問題時,請參閱這篇文章。

重要事項

若要執行本文中所述的工作,您必須獲指派適當的角色,例如下列其中一項:
- Microsoft 365 企業版全域管理員
- 全域管理員
- 合規性系統管理員
- IB 合規性管理 (這是新的角色!)

若要深入瞭解資訊屏障的必要條件,請 參閱) 資訊屏障原則的必要條件 (

請務必 連線到安全性 & 合規性 PowerShell

重要事項

Microsoft建議您使用許可權最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權

編輯使用者帳戶屬性

使用此程式來編輯用於分割用戶的屬性。 例如,如果您使用 Department 屬性,且一或多個使用者帳戶目前沒有任何列出的 Department 值,您必須編輯這些使用者帳戶以包含部門資訊。 用戶帳戶屬性可用來定義區段,以便指派資訊屏障原則。

  1. 若要檢視特定用戶帳戶的詳細數據,例如屬性值和指派的區段 () ,請使用 Get-InformationBarrierRecipientStatus Cmdlet 搭配 Identity 參數。

    語法 範例
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
    您可以使用可唯一識別每個使用者的任何值,例如名稱、別名、辨別名稱、正式功能變數名稱、電子郵件位址或 GUID。
    (您也可以將此 Cmdlet 用於單一使用者: Get-InformationBarrierRecipientStatus -Identity <value>)     		Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
    在此範例中,我們會參考 Office 365 中的兩個用戶帳戶:meganb for Megan,alexw 代表 Alex

  2. 判斷您要針對使用者帳戶配置檔編輯的屬性, () 。 如需詳細資訊,請 參閱資訊屏障原則的屬性

  3. 編輯一或多個用戶帳戶,以包含您在上一個步驟中選取之屬性的值。 若要採取此動作,請使用下列其中一個程式:

編輯區隔

使用此程式編輯用戶區段的定義。 例如,您可以變更區段的名稱,或用來判斷區段中包含誰的篩選條件。

  1. 若要檢視所有現有的區段,請使用 Get-OrganizationSegment Cmdlet。

    語法: Get-OrganizationSegment

    您會看到各區段的清單和詳細數據,例如區段類型、其UserGroupFilter值、建立或上次修改的人員、GUID 等等。

    提示

    列印或儲存區段清單以供稍後參考。 例如,如果您想要編輯區段,您必須知道其名稱或識別值 (這與 Identity 參數) 搭配使用。

  2. 若要編輯區段,請使用 Set-OrganizationSegment Cmdlet 搭配 Identity 參數和相關詳細數據。

    語法 範例
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"
    在此範例中,我們已將 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 區段的部門名稱更新為 HRDept

  3. 當您完成組織的編輯區段時,您可以 定義編輯 資訊屏障原則。

編輯原則

  1. 若要檢視目前的資訊屏障原則清單,請使用 Get-InformationBarrierPolicy Cmdlet。

    語法: Get-InformationBarrierPolicy

    在結果清單中,識別您想要變更的原則。 請記下原則的 GUID 和名稱。

  2. 使用 Set-InformationBarrierPolicy Cmdlet 搭配 Identity 參數,並指定您想要所做的變更。

    範例:假設已定義原則來封鎖 Research 區段與 銷售行銷 區段通訊。 原則是使用下列 Cmdlet 來定義: New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"

    假設我們想要變更它,讓 Research 區段中的使用者只能與 HR 區段中的用戶 通訊 。 若要進行這項變更,我們使用此 Cmdlet: Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"

    在此範例中,我們已將 SegmentsBlocked 變更為 SegmentsAllowed ,並指定 了 HR 區段。

  3. 當您完成編輯原則時,請務必套用您的變更。 (請參閱 套用資訊屏障原則。)

將原則設定為非作用中狀態

  1. 若要檢視目前的資訊屏障原則清單,請使用 Get-InformationBarrierPolicy Cmdlet。

    語法: Get-InformationBarrierPolicy

    在結果清單中,識別您想要變更 (或移除) 的原則。 請記下原則的 GUID 和名稱。

  2. 若要將原則的狀態設定為非使用中,請使用 Set-InformationBarrierPolicy Cmdlet 搭配 Identity 參數,並將 State 參數設定為 [非使用中]

    語法 範例
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    在此範例中,GUID 43c37853-ea10-4b90-a23d-ab8c9377247 的資訊屏障原則會設定為非作用中狀態。

  3. 若要套用您的變更,請使用 Start-InformationBarrierPoliciesApplication Cmdlet。

    語法: Start-InformationBarrierPoliciesApplication

    變更會依使用者為您的組織套用。 如果您的組織很大,可能需要 24 小時 (或更長時間) 才能完成此程式。 一般而言,處理5,000個用戶帳戶大約需要一小時的時間。

  4. 此時,一或多個資訊屏障原則會設定為非作用中狀態。 您可以從這裡執行下列任何動作:

拿掉原則

  1. 若要檢視目前的資訊屏障原則清單,請使用 Get-InformationBarrierPolicy Cmdlet。

    語法: Get-InformationBarrierPolicy

    在結果清單中,識別您想要移除的原則。 請記下原則的 GUID 和名稱。

  2. 請確定原則已設定為非作用中狀態。 若要將原則的狀態設定為非作用中,請使用 Set-InformationBarrierPolicy Cmdlet 搭配 Identity 參數,並將 State 參數設定為 [非使用中]。

    語法 範例
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    在此範例中,我們會將 GUID 43c37853-ea10-4b90-a23d-ab8c9377247 的資訊屏障原則設定為非作用中狀態。

  3. 若要在原則上套用您的變更,請使用 Start-InformationBarrierPoliciesApplication Cmdlet。

    語法: Start-InformationBarrierPoliciesApplication

    變更會依使用者為您的組織套用。 如果您的組織很大,可能需要 24 小時 (或更長時間) 才能完成此程式。 一般而言,處理5,000個用戶帳戶大約需要一小時的時間。

  4. 使用 Remove-InformationBarrierPolicy Cmdlet 搭配 Identity 參數。

    語法 範例
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    在此範例中,我們會移除 GUID 43c37853-ea10-4b90-a23d-ab8c93772471 的原則。

    出現提示時,請確認變更。

拿掉區段

  1. 若要檢視所有現有的區段,請使用 Get-OrganizationSegment Cmdlet。

    語法: Get-OrganizationSegment

    您會看到各區段的清單和詳細數據,例如區段類型、其UserGroupFilter值、建立或上次修改的人員、GUID 等等。

    提示

    列印或儲存區段清單以供稍後參考。 例如,如果您想要編輯區段,您必須知道其名稱或識別值 (這與 Identity 參數) 搭配使用。

  2. 識別要移除的區段,並確定已移除與區段相關聯的 IB 原則。 如需詳細資訊,請參閱 移除原則 程式。

  3. 編輯將移除的區段,以移除使用者與該區段的關聯性。 此動作會更新區段定義,並從區段中移除所有使用者。 在移除之前,您將使用UserGroupFilter 參數來解除使用者與區段的關聯。

    若要編輯區段,請使用 Set-OrganizationSegment Cmdlet 搭配 Identity 參數和相關詳細數據。

    語法 範例
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    在此範例中,針對 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的區段,我們將部門名稱定義為 FakeDept ,以從區段中移除使用者。 此範例使用 Department 屬性,但您可以視需要使用其他屬性。 此範例會使用 FakeDept ,因為這不存在,而且確定不包含任何使用者。

  4. 若要套用您的變更,請使用 Start-InformationBarrierPoliciesApplication Cmdlet。

    語法: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    注意事項

    CleanupGroupSegmentLink 屬性會移除與區段沒有用戶關聯的群組關聯。

    變更會依使用者為您的組織套用。 如果您的組織很大,可能需要 24 小時 (或更長時間) 才能完成此程式。 一般而言,處理5,000個用戶帳戶大約需要一小時的時間。

  5. 若要移除區段,請使用 Remove-OrganizationSegment Cmdlet 搭配 Identity 參數和相關詳細數據。

    語法 範例
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    在此範例中,已移除 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的區段。

拿掉原則和區段

  1. 若要檢視目前的資訊屏障原則清單,請使用 Get-InformationBarrierPolicy Cmdlet。

    語法: Get-InformationBarrierPolicy

    在結果清單中,識別您想要移除的原則。 請記下原則的 GUID 和名稱。

  2. 若要檢視所有現有的區段,請使用 Get-OrganizationSegment Cmdlet。

    語法: Get-OrganizationSegment

    您會看到各區段的清單和詳細數據,例如區段類型、其 UserGroupFilter 參數值、建立或上次修改的人員、GUID 等等。

    提示

    列印或儲存區段清單以供稍後參考。 例如,如果您想要編輯區段,您必須知道其名稱或識別值 (這與 Identity 參數) 搭配使用。

  3. 若要將要移除的原則狀態設定為非使用中,請使用 Set-InformationBarrierPolicy Cmdlet 搭配 Identity 參數,並將 State 參數設定為 [非使用中]

    語法 範例
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Inactive
    在此範例中,我們會將 GUID 43c37853-ea10-4b90-a23d-ab8c93772471 的資訊屏障原則設定為非作用中狀態。

  4. 編輯將移除的區段,以移除使用者與該區段的關聯性。 此動作會更新區段定義,並從區段中移除所有使用者。 在移除之前,您將使用 UserGroupFilter 參數來解除使用者與區段的關聯。

    若要編輯區段,請使用 Set-OrganizationSegment Cmdlet 搭配 Identity 參數和相關詳細數據。

    語法 範例
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    在此範例中,針對 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的區段,我們已將部門名稱更新為 FakeDept ,以從區段中移除使用者。 此範例使用 Department 屬性,但您可以視需要使用其他屬性。 此範例會使用 FakeDept ,因為這不存在,而且確定不包含任何使用者。

  5. 若要套用您的變更,請使用 Start-InformationBarrierPoliciesApplication Cmdlet。

    語法: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    注意事項

    CleanupGroupSegmentLink 屬性會移除與區段沒有用戶關聯的群組關聯。

    變更會依使用者為您的組織套用。 如果您的組織很大,可能需要 24 小時 (或更長時間) 才能完成此程式。 一般而言,處理5,000個用戶帳戶大約需要一小時的時間。

  6. 使用 Remove-InformationBarrierPolicy Cmdlet 搭配 Identity 參數。

    語法 範例
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    在此範例中,會移除 GUID 43c37853-ea10-4b90-a23d-ab8c93772471 的原則。

    出現提示時,請確認變更。

  7. 若要移除區段,請使用 Remove-OrganizationSegment Cmdlet 搭配 Identity 參數和相關詳細數據。

    語法 範例
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    在此範例中,已移除 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的區段。

停止原則應用程式

開始套用資訊屏障原則之後,如果您想要停止套用這些原則,請使用下列程式。 此程序大約需要 30-35 分鐘才會開始。

  1. 若要檢視最新資訊屏障原則應用程式的狀態,請使用 Get-InformationBarrierPoliciesApplicationStatus Cmdlet。

    語法: Get-InformationBarrierPoliciesApplicationStatus

    請記下應用程式的 GUID。

  2. 使用 Stop-InformationBarrierPoliciesApplication Cmdlet 搭配 Identity 參數。

    語法 範例
    Stop-InformationBarrierPoliciesApplication -Identity GUID Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1

    在此範例中,我們會停止套用資訊屏障原則。

啟用或停用使用者探索能力

重要事項

只有當您的組織不是處於 版模式時,才支持啟用或停用搜尋限制。 舊版模式中的組織無法啟用或停用搜尋限制。 啟用或停用搜尋限制需要額外的動作,才能變更組織的資訊屏障模式。 如需詳細資訊,請 參閱在資訊屏障) 中使用多區段支援

處於 版模式的組織未來將有資格升級至最新版本的資訊屏障。 如需詳細資訊,請參閱 資訊屏障藍圖

若要使用 PowerShell 啟用人員選擇器搜尋限制,請完成下列步驟:

  1. 使用 Set-PolicyConfig Cmdlet 啟用人員選擇器限制:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Enabled'

若要使用PowerShell停用人員選擇器搜尋限制,請完成下列步驟:

  1. 使用 Set-PolicyConfig Cmdlet 停用人員選擇器限制:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'

資源