在資訊屏障中使用多區段支援

  • 發行項

重要事項

只有當您的組織 不是舊版 模式時,才支援將使用者指派給多個區段。 若要判斷您的組織是否處於 版模式,請 參閱檢查組織的 IB 模式 ,並檢查 屬性的 InformationBarrierMode 值。

對於舊 版模式的 組織,使用者只能指派給一個區段。 處於 版模式的組織未來將有資格升級至最新版本的資訊屏障。 如需詳細資訊,請參閱 資訊屏障藍圖

多區段模式可讓您將組織中的使用者指派至資訊屏障中最多 10 個區段,而不是僅限一個區段。 這可讓您支援個人和群組之間更多樣化的通訊規則,以支援更複雜的組織和作業案例。 對於使用多區段支援的組織,所有資訊屏障原則都必須使用允許清單來定義。

設定為多區段支援時,使用者的相容性取決於每個使用者對共用區段的指派。 如果使用者共用相同區段的指派,則兩者相容。 例如,下表顯示使用者 A 和使用者 B 不相容,因為他們不會共用指派的區段。 不過,使用者 A 與使用者 C 相容,而使用者 B 與使用者 C 相容,因為他們各自有共同的指派區段。

使用者 指派的區段
使用者 A 區段 1,區段 2
使用者 B 區段 3,區段 4
使用者 C 區段 2,區段 4

多區段範例:北學區的學校、區段和原則

北學區有兩個學校:學校 1 和學校 2。 學區原則是只允許學生和教師在同一學校時彼此通訊。 例如,同時在學校 1 的學生和教師可以進行通訊,但學校 1 的學生無法與學校 2 的教師通訊。 在此案例中,會設定多個區段來支援下欄區域原則案例:

北學區的學校和方案

北學區的 有兩個學校:

區隔 允許的通訊 禁止通訊
學校 1 學校 1 的學生和教師 學校 2 的學生和教師
學校 2 學校 2 的學生和教師 學校 1 的學生和教師

針對此結構,北學區的計畫包含三個 IB 原則:

  1. 設計成讓學校 1 的學生和教師彼此通訊的 IB 原則。
  2. 另一個 IB 原則,可讓學校 2 的學生和教師彼此通訊。
  3. 另一個專為允許學校 1 和學校 2 中的教師彼此通訊而設計的 IB 原則。

北學區定義的區段

北學區會使用Microsoft Entra識別碼中的Department屬性來定義區段,如下所示:

區隔 區隔定義
School1 New-OrganizationSegment -Name "School1" -UserGroupFilter "Department -eq 'School1'"
School2 New-OrganizationSegment -Name "School2" -UserGroupFilter "Department -eq 'School2'"
AllTeachers New-OrganizationSegment -Name "AllTeachers" -UserGroupFilter "MemberOfGroup -eq 'AllTeachersgroup@northschoolsdistrict.com'"

定義區段之後,Contoso 會繼續定義 IB 原則。

北學區的 IB 原則

北學區定義三個 IB 原則,如下表所述:

原則 原則定義
原則 1:學校 1 的學生和教師可以彼此通訊 New-InformationBarrierPolicy -Name School1Policy -SegmentsAllowed 'School1' -AssignedSegment 'School1' -State Active

在此範例中,IB 原則稱為 School1Policy。 當此原則為作用中並套用時,它可讓學校 1 的學生和教師彼此通訊。 此原則是單向原則;它不會防止學校 1 的學生和教師與學校 2 通訊。 因此我們需要原則 2。
原則 2:學校 2 的學生和教師可以彼此通訊 New-InformationBarrierPolicy -Name School2Policy -SegmentsAllowed 'School2' -AssignedSegment 'School2' -State Active

在此範例中,IB 原則稱為 School2Policy。 當此原則為作用中並套用時,可讓學校 2 的學生和教師彼此通訊。
原則 3:不同學校的教師可以彼此通訊 New-InformationBarrierPolicy -Name AllTeachersPolicy -SegmentsAllowed 'AllTeachers' -AssignedSegment 'AllTeachers' -State Active

在此情況下,IB 原則稱為 AllTeachersPolicy。 當此原則為作用中並套用時,學校 1 和學校 2 中的教師可以彼此通訊。

在定義區段和原則之後,北學區會執行 Start-InformationBarrierPoliciesApplication Cmdlet 來套用原則。 當 Cmdlet 完成時,北學區已為學生和教師實作其通訊原則。

檢查貴組織的 IB 模式

如果您想要支援將使用者指派給多個區段,您必須確認您的 IB 組織支援多個區段。 執行下列 Cmdlet 以驗證您的 IB 模式:

Get-PolicyConfig

如果屬性的 InformationBarrierMode 值為 SingleSegment,您可以遵循本文中啟用 使用者的多個區段支援 一節中的指引來啟用多區段支援。 如果屬性的 InformationBarrierMode 值為 MultiSegment,您可以略過啟用多區段的支援,它已為您的組織啟用。

如果屬性的 InformationBarrierMode 值為 Legacy,則您的組織不支援啟用多區段。 版組織未來將有資格升級至最新版本的資訊屏障。 如需詳細資訊,請參閱 資訊屏障藍圖

為使用者啟用多個區段支援

若要在 SingleSegment 模式下為組織啟用多個區段支援,您目前不得為組織定義任何 IB 區段或原則。 執行下列 Cmdlet 以在組織中啟用多個區段支援:

Set-PolicyConfig -InformationBarrierMode 'MultiSegment'

重要事項

如果您在組織中啟用多個區段並已設定 IB,則不應還原為單一區段支援。

OneDrive 中使用者的多區段支援

如果您的 IB 組織不在 LegacyMode 模式中,而且您已針對多區段支援的資訊屏障設定 OneDrive,則 OneDrive 使用者體驗如下:

  • OneDrive IB 原則:多區段使用者的 OneDrive ia 預設會自動設定為 擁有者仲裁 模式。

  • 多區段使用者的 OneDrive 網站存取

    • 明確混合 模式:如果多區段使用者至少具有 OneDrive 的其中一個區段且具有網站存取權限,則會授與存取權。
    • 所有其他模式:使用者具有與單一區段支援相同的網站存取體驗。

  • 多區段使用者的 OneDrive 共用:多區段使用者可以根據針對 OneDrive 設定的 IB 模式,共用 OneDrive 網站和包含的內容。

    • 明確 模式:使用者可以與其他具有與 OneDrive 相同區段的使用者共用 OneDrive 內容。
    • 啟或 擁有者仲裁 模式:使用者可以與每個 IB 原則的其他相容使用者共用內容。

如需管理 OneDrive IB 的詳細資訊,請 參閱使用 OneDrive 的資訊屏障

SharePoint Online 中使用者的多區段支援

如果您的 IB 組織不在 LegacyMode 模式中,而且您已針對多區段支援的資訊屏障設定 SharePoint,SharePoint 使用者體驗如下:

  • 網站建立:當多區段使用者建立 SharePoint 網站 (已連線的 Microsoft 365 群組或非群組網站) 時,網站會自動設定為 擁有者仲裁 模式。

  • 多區段使用者的 SharePoint 網站存取

    • 明確模式:如果使用者至少擁有網站的其中一個區段,且具有網站存取權限,則會授與使用者存取權。
    • 所有其他模式:使用者具有與單一區段支援相同的網站存取體驗。

  • 由多區段使用者共用 SharePoint 網站:多區段使用者可以根據網站的每個 IB 模式共用網站及其內容。

    • 明確 模式:可以與符合網站區段的使用者共用內容。
    • 隱含擁有者仲裁 模式:可以與連線至網站之 Microsoft 365 群組的其他現有成員共用內容。
    • 開啟 模式:可以與每個 IB 原則相容的其他使用者共用內容。

如需管理 IB for SharePoint 的詳細資訊,請 參閱使用 SharePoint 的資訊屏障

Microsoft Teams 中使用者的多區段支援

如果您的 IB 組織不在 LegacyMode 模式中,而且您已針對多區段支援的資訊屏障設定 Teams,則 Microsoft Teams 使用者體驗如下:

  • 小組建立:當多區段使用者建立小組時,小組預設會自動設定為 隱含 模式。
  • 小組成員新增:小組中的所有使用者都必須有一個與所有其他使用者相容的區段。

如需管理 Microsoft Teams IB 的詳細資訊,請 參閱使用 Microsoft Teams 的資訊屏障