Administración de directivas de barreras de información

Después de definir directivas de barreras de información (IB), es posible que tenga que realizar cambios en esas directivas o en los segmentos de usuario, como parte de la solución de problemas o como mantenimiento normal.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

¿Qué quiere hacer?

Action Descripción
Editar atributos de cuenta de usuario Rellene los atributos en Microsoft Entra ID que se pueden usar para definir segmentos.
Edite los atributos de la cuenta de usuario cuando los usuarios no estén incluidos en los segmentos en los que deben estar, para cambiar en qué segmentos están los usuarios o para definir segmentos con atributos diferentes.
Editar un segmento Edite segmentos cuando desee cambiar la forma en que se define un segmento.
Por ejemplo, es posible que haya definido originalmente segmentos mediante Department y ahora quiera usar otro atributo, como MemberOf.
Editar una directiva Edite una directiva de barreras de información cuando desee cambiar el funcionamiento de una directiva.
Por ejemplo, en lugar de bloquear las comunicaciones entre dos segmentos, puede decidir permitir que las comunicaciones se produzcan solo entre determinados segmentos.
Establecer una directiva en estado inactivo Establezca una directiva en estado inactivo cuando quiera realizar cambios en una directiva o cuando no desee que una directiva esté en vigor.
Eliminación de una directiva Quite una directiva de barreras de información cuando ya no necesite una directiva determinada.
Eliminación de un segmento Quite un segmento de barreras de información cuando ya no necesite un segmento determinado.
Eliminación de una directiva y un segmento Quite una directiva de barreras de información y un segmento al mismo tiempo.
Detener una aplicación de directiva Realice esta acción cuando desee detener el proceso de aplicación de directivas de barreras de información.
Detener una aplicación de directiva no es instantáneo y no deshace las directivas que ya se aplican a los usuarios.
Habilitación o deshabilitación de la detección de usuarios Habilite o deshabilite si los usuarios se muestran en el selector de personas.
Definir directivas de barreras de información Defina una directiva de barreras de información cuando aún no tenga dichas directivas en su lugar y debe restringir o limitar las comunicaciones entre grupos específicos de usuarios.
Solución de problemas de barreras de información Consulte este artículo cuando tenga problemas inesperados con las barreras de información.

Importante

Para realizar las tareas descritas en este artículo, se le debe asignar un rol adecuado, como una de las siguientes:
- Administrador global de Microsoft 365 Enterprise
- Administrador global
- Administrador de cumplimiento
- Ib Compliance Management (¡este es un nuevo rol!)

Para obtener más información sobre los requisitos previos para las barreras de información, consulte Requisitos previos (para directivas de barreras de información).

Asegúrese de conectarse a Security & Compliance PowerShell.

Importante

Microsoft recomienda usar roles con los permisos más mínimos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.

Editar atributos de cuenta de usuario

Use este procedimiento para editar los atributos que se usan para segmentar usuarios. Por ejemplo, si usa un atributo Department y una o varias cuentas de usuario no tienen actualmente ningún valor enumerado para Department, debe editar esas cuentas de usuario para incluir información del departamento. Los atributos de cuenta de usuario se usan para definir segmentos de modo que se puedan asignar directivas de barreras de información.

  1. Para ver los detalles de una cuenta de usuario específica, como los valores de atributo y los segmentos asignados, use el cmdlet Get-InformationBarrierRecipientStatus con parámetros identity.

    Sintaxis Ejemplo
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
    Puede usar cualquier valor que identifique de forma única a cada usuario, como nombre, alias, nombre distintivo, nombre de dominio canónico, dirección de correo electrónico o GUID.
    (También puede usar este cmdlet para un único usuario: Get-InformationBarrierRecipientStatus -Identity <value>)
    Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
    En este ejemplo, nos referimos a dos cuentas de usuario en Office 365: meganb para Megan y alexw para Alex.
  2. Determine qué atributo desea editar para los perfiles de cuenta de usuario. Para obtener más información, vea Atributos para directivas de barreras de información.

  3. Edite una o varias cuentas de usuario para incluir valores para el atributo seleccionado en el paso anterior. Para realizar esta acción, use uno de los procedimientos siguientes:

Editar un segmento

Use este procedimiento para editar la definición de un segmento de usuario. Por ejemplo, puede cambiar el nombre de un segmento o el filtro que se usa para determinar quién se incluye en el segmento.

  1. Para ver todos los segmentos existentes, use el cmdlet Get-OrganizationSegment .

    Sintaxis: Get-OrganizationSegment

    Verá una lista de segmentos y detalles para cada uno, como el tipo de segmento, su valor UserGroupFilter, quién lo creó o modificó por última vez, GUID, etc.

    Sugerencia

    Imprima o guarde la lista de segmentos como referencia más adelante. Por ejemplo, si desea editar un segmento, deberá conocer su nombre o identificar el valor (se usa con el parámetro Identity).

  2. Para editar un segmento, use el cmdlet Set-OrganizationSegment con el parámetro Identity y los detalles pertinentes.

    Sintaxis Ejemplo
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"
    En este ejemplo, hemos actualizado el nombre del departamento a HRDept para el segmento con GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.
  3. Cuando haya terminado de editar segmentos para su organización, puede definir o editar directivas de barreras de información.

Editar una directiva

  1. Para ver una lista de las directivas de barreras de información actuales, use el cmdlet Get-InformationBarrierPolicy .

    Sintaxis: Get-InformationBarrierPolicy

    En la lista de resultados, identifique la directiva que desea cambiar. Anote el GUID y el nombre de la directiva.

  2. Use el cmdlet Set-InformationBarrierPolicy con un parámetro Identity y especifique los cambios que desea realizar.

    Ejemplo: Supongamos que se definió una directiva para impedir que el segmento De investigación se comunique con los segmentos Ventas y Marketing . La directiva se definió mediante este cmdlet: New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"

    Supongamos que queremos cambiarlo para que los usuarios del segmento Investigación solo puedan comunicarse con los usuarios del segmento de RR. HH . Para realizar este cambio, usamos este cmdlet: Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"

    En este ejemplo, cambiamos SegmentBlocked a SegmentsAllowed y especificamos el segmento de RR. HH .

  3. Cuando haya terminado de editar una directiva, asegúrese de aplicar los cambios. (Consulte Aplicar directivas de barreras de información).

Establecer una directiva en estado inactivo

  1. Para ver una lista de las directivas de barreras de información actuales, use el cmdlet Get-InformationBarrierPolicy .

    Sintaxis: Get-InformationBarrierPolicy

    En la lista de resultados, identifique la directiva que desea cambiar (o quitar). Anote el GUID y el nombre de la directiva.

  2. Para establecer el estado de la directiva en inactivo, use el cmdlet Set-InformationBarrierPolicy con un parámetro Identity y el parámetro State establecido en Inactivo.

    Sintaxis Ejemplo
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    En este ejemplo, la directiva de barreras de información que tiene GUID 43c37853-ea10-4b90-a23d-ab8c9377247 se establece en un estado inactivo.
  3. Para aplicar los cambios, use el cmdlet Start-InformationBarrierPoliciesApplication .

    Sintaxis: Start-InformationBarrierPoliciesApplication

    Los cambios se aplican de usuario a usuario para su organización. Si su organización es grande, este proceso puede tardar 24 horas (o más). Como guía general, se tarda aproximadamente una hora en procesar 5000 cuentas de usuario.

  4. En este momento, una o varias directivas de barreras de información se establecen en estado inactivo. Desde aquí, puede realizar cualquiera de las siguientes acciones:

Eliminación de una directiva

  1. Para ver una lista de las directivas de barreras de información actuales, use el cmdlet Get-InformationBarrierPolicy .

    Sintaxis: Get-InformationBarrierPolicy

    En la lista de resultados, identifique la directiva que desea quitar. Anote el GUID y el nombre de la directiva.

  2. Asegúrese de que la directiva está establecida en estado inactivo. Para establecer el estado de la directiva en inactivo, use el cmdlet Set-InformationBarrierPolicy con un parámetro Identity y el parámetro State establecido en Inactivo.

    Sintaxis Ejemplo
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    En este ejemplo, establecemos una directiva de barreras de información que tiene GUID 43c37853-ea10-4b90-a23d-ab8c9377247 en un estado inactivo.
  3. Para aplicar los cambios en la directiva, use el cmdlet Start-InformationBarrierPoliciesApplication .

    Sintaxis: Start-InformationBarrierPoliciesApplication

    Los cambios se aplican de usuario a usuario para su organización. Si su organización es grande, este proceso puede tardar 24 horas (o más). Como guía general, se tarda aproximadamente una hora en procesar 5000 cuentas de usuario.

  4. Use el cmdlet Remove-InformationBarrierPolicy con un parámetro Identity.

    Sintaxis Ejemplo
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    En este ejemplo, vamos a quitar la directiva que tiene GUID 43c37853-ea10-4b90-a23d-ab8c93772471.

    Cuando se le solicite, confirme el cambio.

Eliminación de un segmento

  1. Para ver todos los segmentos existentes, use el cmdlet Get-OrganizationSegment .

    Sintaxis: Get-OrganizationSegment

    Verá una lista de segmentos y detalles para cada uno, como el tipo de segmento, su valor UserGroupFilter, quién lo creó o modificó por última vez, GUID, etc.

    Sugerencia

    Imprima o guarde la lista de segmentos como referencia más adelante. Por ejemplo, si desea editar un segmento, deberá conocer su nombre o identificar el valor (se usa con el parámetro Identity).

  2. Identifique el segmento que se va a quitar y asegúrese de que se ha quitado la directiva de IB asociada al segmento. Consulte el procedimiento Quitar una directiva para obtener más información.

  3. Edite el segmento que se quitará para quitar la relación de los usuarios con ese segmento. Esta acción actualiza la definición de segmento y quita todos los usuarios del segmento. Usará el parámetro UserGroupFilter para desasociar a los usuarios del segmento antes de la eliminación.

    Para editar un segmento, use el cmdlet Set-OrganizationSegment con el parámetro Identity y los detalles pertinentes.

    Sintaxis Ejemplo
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    En este ejemplo, para el segmento que tiene el GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, definimos el nombre del departamento como FakeDept para quitar usuarios del segmento. En este ejemplo se usa el atributo Department , pero puede usar otros atributos según corresponda. En el ejemplo se usa FakeDept porque esto no existe y es seguro que no contiene ningún usuario.
  4. Para aplicar los cambios, use el cmdlet Start-InformationBarrierPoliciesApplication .

    Sintaxis: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Nota:

    El atributo CleanupGroupSegmentLink quita las asociaciones de grupo con el segmento sin asociaciones de usuario.

    Los cambios se aplican de usuario a usuario para su organización. Si su organización es grande, este proceso puede tardar 24 horas (o más). Como guía general, se tarda aproximadamente una hora en procesar 5000 cuentas de usuario.

  5. Para quitar un segmento, use el cmdlet Remove-OrganizationSegment con el parámetro Identity y los detalles pertinentes.

    Sintaxis Ejemplo
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    En este ejemplo, se quitó el segmento que tiene el GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

Eliminación de una directiva y un segmento

  1. Para ver una lista de las directivas de barreras de información actuales, use el cmdlet Get-InformationBarrierPolicy .

    Sintaxis: Get-InformationBarrierPolicy

    En la lista de resultados, identifique la directiva que desea quitar. Anote el GUID y el nombre de la directiva.

  2. Para ver todos los segmentos existentes, use el cmdlet Get-OrganizationSegment .

    Sintaxis: Get-OrganizationSegment

    Verá una lista de segmentos y detalles para cada uno, como el tipo de segmento, su valor de parámetro UserGroupFilter , quién lo creó o modificó por última vez, GUID, etc.

    Sugerencia

    Imprima o guarde la lista de segmentos como referencia más adelante. Por ejemplo, si desea editar un segmento, deberá conocer su nombre o identificar el valor (se usa con el parámetro Identity).

  3. Para establecer el estado de la directiva que se va a quitar en inactivo, use el cmdlet Set-InformationBarrierPolicy con un parámetro Identity y el parámetro State establecido en Inactivo.

    Sintaxis Ejemplo
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Inactive
    En este ejemplo, establecemos una directiva de barreras de información que tiene GUID 43c37853-ea10-4b90-a23d-ab8c9372471 en un estado inactivo.
  4. Edite el segmento que se quitará para quitar la relación de los usuarios con ese segmento. Esta acción actualiza la definición de segmento y quita todos los usuarios del segmento. Usará el parámetro UserGroupFilter para desasociar a los usuarios del segmento antes de la eliminación.

    Para editar un segmento, use el cmdlet Set-OrganizationSegment con el parámetro Identity y los detalles pertinentes.

    Sintaxis Ejemplo
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    En este ejemplo, para el segmento que tiene el GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, actualizamos el nombre del departamento a FakeDept para quitar usuarios del segmento. En este ejemplo se usa el atributo Department , pero puede usar otros atributos según corresponda. En el ejemplo se usa FakeDept porque esto no existe y es seguro que no contiene usuarios.
  5. Para aplicar los cambios, use el cmdlet Start-InformationBarrierPoliciesApplication .

    Sintaxis: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Nota:

    El atributo CleanupGroupSegmentLink quita las asociaciones de grupo con el segmento sin asociaciones de usuario.

    Los cambios se aplican de usuario a usuario para su organización. Si su organización es grande, este proceso puede tardar 24 horas (o más). Como guía general, se tarda aproximadamente una hora en procesar 5000 cuentas de usuario.

  6. Use el cmdlet Remove-InformationBarrierPolicy con un parámetro Identity .

    Sintaxis Ejemplo
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    En este ejemplo, se quita la directiva que tiene GUID 43c37853-ea10-4b90-a23d-ab8c93772471 .

    Cuando se le solicite, confirme el cambio.

  7. Para quitar un segmento, use el cmdlet Remove-OrganizationSegment con el parámetro Identity y los detalles pertinentes.

    Sintaxis Ejemplo
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    En este ejemplo, se quitó el segmento con GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

Detener una aplicación de directiva

Después de empezar a aplicar directivas de barreras de información, si desea impedir que se apliquen esas directivas, use el procedimiento siguiente. El proceso tardará aproximadamente entre 30 y 35 minutos en comenzar.

  1. Para ver el estado de la aplicación de directiva de barreras de información más reciente, use el cmdlet Get-InformationBarrierPoliciesApplicationStatus .

    Sintaxis: Get-InformationBarrierPoliciesApplicationStatus

    Anote el GUID de la aplicación.

  2. Use el cmdlet Stop-InformationBarrierPoliciesApplication con un parámetro Identity.

    Sintaxis Ejemplo
    Stop-InformationBarrierPoliciesApplication -Identity GUID Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1

    En este ejemplo, vamos a impedir que se apliquen directivas de barreras de información.

Habilitación o deshabilitación de la detección de usuarios

Importante

La compatibilidad con la habilitación o deshabilitación de restricciones de búsqueda solo está disponible cuando la organización no está en modo heredado . Las organizaciones en modo heredado no pueden habilitar ni deshabilitar las restricciones de búsqueda. La habilitación o deshabilitación de restricciones de búsqueda requiere acciones adicionales para cambiar el modo de barreras de información para su organización. Para obtener más información, consulte Uso de compatibilidad con varios segmentos en barreras de información) para obtener más información.

Las organizaciones en modo heredado podrán actualizar a la versión más reciente de las barreras de información en el futuro. Para obtener más información, consulte el mapa de ruta de barreras de información.

Para habilitar la restricción de búsqueda del selector de personas mediante PowerShell, siga estos pasos:

  1. Use el cmdlet Set-PolicyConfig para habilitar la restricción del selector de personas:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Enabled'

Para deshabilitar la restricción de búsqueda del selector de personas mediante PowerShell, siga estos pasos:

  1. Use el cmdlet Set-PolicyConfig para deshabilitar la restricción del selector de personas:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'

Recursos