Démarrer avec le cloisonnement de l’information

Cet article explique comment configurer des stratégies d’obstacles à l’information (IB) dans votre organisation. Plusieurs étapes sont impliquées. Veillez donc à passer en revue l’ensemble du processus avant de commencer à configurer les stratégies IB.

Vous allez configurer ib dans votre organisation à l’aide du portail Microsoft Purview, du portail de conformité Microsoft Purview ou à l’aide de PowerShell sécurité et conformité Office 365. Pour les organisations qui configurent ib pour la première fois, nous vous recommandons d’utiliser la solution d’obstacles à l’information dans le portail de conformité. Si vous gérez une configuration IB existante et que vous êtes à l’aise avec PowerShell, vous disposez toujours de cette option.

Pour plus d’informations sur les scénarios et fonctionnalités ib, consultez En savoir plus sur les obstacles à l’information.

Conseil

Pour vous aider à préparer votre plan, un exemple de scénario est inclus dans cet article.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment les fonctionnalités supplémentaires de Purview peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’essais du portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Abonnements et autorisations requis

Avant de commencer à utiliser IB, vous devez confirmer votre abonnement Microsoft 365 et tous les modules complémentaires. Pour accéder à IB et l’utiliser, votre organisation doit disposer d’abonnements ou de modules complémentaires de prise en charge. Pour plus d’informations, consultez les conditions d’abonnement pour les obstacles à l’information.

Pour gérer les stratégies IB, l’un des rôles suivants doit vous être attribué :

  • Administrateur général Microsoft 365
  • Administrateur général Office 365
  • Administrateur de conformité
  • Gestion de la conformité IB

Importante

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. La réduction du nombre d’utilisateurs dotés du rôle Administrateur général permet d’améliorer la sécurité de votre organisation. En savoir plus sur les rôles et autorisations Microsoft Purview.

Concepts de configuration

Lorsque vous configurez IB, vous allez travailler avec plusieurs objets et concepts.

  • Les attributs de compte d’utilisateur sont définis dans l’ID Microsoft Entra (ou Exchange Online). Ces attributs peuvent inclure le service, la fonction, l’emplacement, le nom d’équipe et d’autres détails du profil du poste. Vous allez affecter des utilisateurs ou des groupes à des segments avec ces attributs.

  • Les segments sont des ensembles de groupes ou d’utilisateurs définis dans le portail Microsoft Purview, le portail de conformité ou à l’aide de PowerShell qui utilise des attributs de groupe ou de compte d’utilisateur sélectionnés.

    Votre organisation peut avoir jusqu’à 5 000 segments et les utilisateurs peuvent être affectés à un maximum de 10 segments. Pour plus d’informations, consultez la liste des attributs pris en charge par IB .

    Importante

    La prise en charge de 5 000 segments et l’affectation d’utilisateurs à plusieurs segments sont disponibles uniquement lorsque votre organisation n’est pas en mode hérité . L’affectation d’utilisateurs à plusieurs segments nécessite des actions supplémentaires pour modifier le mode d’obstacles à l’information pour votre organisation. Pour plus d’informations, consultez Utiliser la prise en charge multi-segment dans les barrières d’information pour plus d’informations.

    Pour les organisations en mode hérité , le nombre maximal de segments pris en charge est de 250 et les utilisateurs sont limités à un seul segment. Les organisations en mode hérité pourront effectuer une mise à niveau vers la version la plus récente des obstacles à l’information à l’avenir. Pour plus d’informations, consultez la feuille de route des obstacles à l’information.

  • Les stratégies IB déterminent les limites ou restrictions de communication. Lorsque vous définissez des stratégies IB, vous avez le choix entre deux types de stratégies :

    • Bloquer les stratégies pour empêcher un segment de communiquer avec un autre.

    • Autoriser les stratégies de n’autoriser qu’un segment à communiquer avec certains autres segments uniquement.

      Remarque

      Pour les organisations en mode hérité : les groupes et les utilisateurs non IB ne sont pas visibles par les utilisateurs inclus dans les stratégies et les segments IB pour les stratégies d’autorisation. Si vous avez besoin que les groupes et les utilisateurs non-IB soient visibles par les utilisateurs inclus dans les stratégies et segments IB, vous devez utiliser des stratégies de blocage .

      Pour les organisations en mode SingleSegment ou MultiSegment : les groupes et les utilisateurs non-IB seront visibles par les utilisateurs inclus dans les segments et les stratégies IB.

      Pour vérifier votre mode IB, consultez Vérifier le mode IB pour votre organisation.

  • L’application de stratégie est effectuée une fois que toutes les stratégies IB sont définies et que vous êtes prêt à les appliquer dans votre organisation.

  • Visibilité des utilisateurs et groupes non-IB : les utilisateurs et les groupes non-IB sont des utilisateurs et des groupes exclus des segments et stratégies ib. Selon le moment où vous configurez des stratégies IB dans votre organisation et le type de stratégies IB (bloquer ou autoriser), le comportement de ces utilisateurs et groupes diffère dans Microsoft Teams, SharePoint, OneDrive et dans votre liste d’adresses globale.

    • Pour les organisations en mode hérité : pour les utilisateurs définis dans les stratégies d’autorisation, les groupes et les utilisateurs non-IB ne sont pas visibles par les utilisateurs inclus dans les segments et stratégies IB. Pour les utilisateurs définis dans les stratégies de bloc , les groupes et les utilisateurs non-IB seront visibles par les utilisateurs inclus dans les segments et stratégies IB.
    • Pour les organisations en mode SingleSegment ou MultiSegment : les groupes et les utilisateurs non-IB seront visibles par les utilisateurs inclus dans les segments et les stratégies IB.
  • Prise en charge des groupes. Seuls les groupes modernes sont actuellement pris en charge dans IB et les listes de distribution/groupes de sécurité sont traités comme des groupes non-IB.

  • Comptes d’utilisateur et d’invité masqués/désactivés. Pour les comptes d’utilisateur et d’invités masqués/désactivés dans votre organisation, le paramètre HiddenFromAddressListEnabled est automatiquement défini sur True lorsque les comptes d’utilisateur sont masqués ou désactivés, ou lorsqu’un invité est créé. Lorsque le mode organisation est Hérité pour les organisations compatibles ib, ces comptes ne peuvent pas communiquer avec tous les autres comptes d’utilisateur. Les administrateurs peuvent désactiver ce comportement par défaut en définissant manuellement le paramètre HiddenFromAddressListEnabled sur False.

Vue d’ensemble de la configuration

Étapes Ce qui est impliqué
Étape 1 : Vérifier que les conditions préalables sont remplies - Vérifiez que vous disposez des abonnements et des autorisations requis
vérifier que votre annuaire inclut des données pour la segmentation des utilisateurs.
- Activer la recherche par nom pour Microsoft Teams
vous assurer que l’enregistrement d’audit est activé.
- Vérifier le mode IB pour votre organisation
- Configurer la façon dont les stratégies de carnet d’adresses Exchange sont implémentées (selon le moment où vous avez activé ib dans votre organisation)
- Fournir le consentement de l’administrateur pour Microsoft Teams (les étapes sont incluses)
Étape 2 : Segmenter les utilisateurs de votre organisation - Déterminer les stratégies nécessaires
- Créer une liste de segments à définir
- Identifier les attributs à utiliser
- Définir des segments en termes de filtres de stratégie
Étape 3 : Créer des stratégies d’obstacles à l’information - Créez vos stratégies (ne vous appliquez pas encore)
- Choisir parmi deux types (bloquer ou autoriser)
Étape 4 : Appliquer des stratégies d’obstacles à l’information - Définir des stratégies sur l’état actif
- Exécuter l’application de stratégie
- Afficher l’état de la stratégie
Étape 5 : Configuration des obstacles à l’information sur SharePoint et OneDrive (facultatif) - Configurer IB pour SharePoint et OneDrive
Étape 6 : Modes d’obstacles à l’information (facultatif) - Mettre à jour les modes IB, le cas échéant
Étape 7 : Configurer la détectabilité utilisateur pour les obstacles à l’information (facultatif) - Activez ou limitez la détectabilité utilisateur dans IB avec le sélecteur de personnes, le cas échéant.

Étape 1 : Vérifier que les conditions préalables sont remplies

En plus des abonnements et autorisations requis, assurez-vous que les conditions suivantes sont remplies avant de configurer IB :

  • Données d’annuaire : assurez-vous que la structure de votre organisation est reflétée dans les données d’annuaire. Pour effectuer cette action, assurez-vous que les attributs de compte d’utilisateur (tels que l’appartenance au groupe, le nom du service, etc.) sont renseignés correctement dans l’ID Microsoft Entra (ou Exchange Online). Pour en savoir plus, consultez les ressources suivantes :

  • Recherche d’annuaire délimitée : avant de définir la première stratégie IB de votre organisation, vous devez activer la recherche d’annuaires délimitée dans Microsoft Teams. Attendez au moins 24 heures après l’activation de la recherche d’annuaire délimitée avant de configurer ou de définir des stratégies IB.

  • Vérifier que la journalisation d’audit est activée : pour rechercher l’état d’une application de stratégie IB, la journalisation d’audit doit être activée. L'audit est activé par défaut pour les organisations Microsoft 365. Certaines organisations peuvent avoir désactivé l'audit pour des raisons spécifiques. Si l'audit est désactivé pour votre organisation, c'est peut-être parce qu'un autre administrateur l'a désactivé. Nous vous recommandons de confirmer que vous pouvez réactiver l'audit lorsque vous terminez cette étape. Pour plus d’informations, voir Activer ou désactiver la recherche dans le journal d’audit.

  • Vérifiez le mode IB de votre organisation : la prise en charge de plusieurs segments, des options de découverte de personnes, des ADP Exchange et d’autres fonctionnalités est déterminée par le mode IB pour votre organisation. Pour vérifier le mode IB de votre organisation, consultez Vérifier le mode IB pour votre organisation.

  • Supprimer les stratégies de carnet d’adresses Exchange Online existantes (facultatif) :

    • Pour les organisations en mode hérité : avant de définir et d’appliquer des stratégies IB, vous devez supprimer toutes les stratégies de carnet d’adresses Exchange Online existantes dans votre organisation. Les stratégies IB sont basées sur des stratégies de carnet d’adresses et les stratégies ADP existantes ne sont pas compatibles avec les ADP créées par IB. Pour supprimer vos stratégies de carnet d’adresses existantes, consultez Supprimer une stratégie de carnet d’adresses dans Exchange Online. Pour plus d’informations sur les stratégies IB et Exchange Online, consultez Obstacles à l’information et Exchange Online.
    • Pour les organisations en mode SingleSegment ou MultiSegment : Les obstacles à l’information ne sont plus basés sur les stratégies de carnet d’adresses Exchange Online (ABPs). Les organisations qui utilisent des adresses ABPs n’ont aucun impact sur les abps existantes lors de l’activation des obstacles à l’information.
  • Gérer à l’aide de PowerShell (facultatif) : les segments et stratégies IB peuvent être définis et gérés dans le portail de conformité, mais vous pouvez également utiliser le PowerShell Sécurité & Conformité d’Office 365 si vous le souhaitez. Bien que plusieurs exemples soient fournis dans cet article, vous devez vous familiariser avec les applets de commande et les paramètres PowerShell si vous choisissez d’utiliser PowerShell pour configurer et gérer des segments et des stratégies IB. Vous aurez également besoin du Kit de développement logiciel (SDK) Microsoft Graph PowerShell si vous choisissez cette option de configuration.

Lorsque toutes les conditions préalables sont remplies, passez à l’étape suivante.

Étape 2 : Segmenter les utilisateurs de votre organisation

Dans cette étape, vous allez déterminer les stratégies IB nécessaires, créer une liste de segments à définir et définir vos segments. La définition de segments n’affecte pas les utilisateurs, elle définit simplement l’étape pour que les stratégies IB soient définies, puis appliquées.

Déterminer les stratégies nécessaires

En tenant compte des besoins de votre organisation, déterminez les groupes au sein de votre organisation qui auront besoin de stratégies IB. Posez-vous les questions suivantes :

  • Existe-t-il des réglementations internes, légales ou sectorielles qui exigent la restriction de la communication et de la collaboration entre les groupes et les utilisateurs de votre organisation ?
  • Existe-t-il des groupes ou des utilisateurs qui doivent être empêchés de communiquer avec un autre groupe d’utilisateurs ?
  • Existe-t-il des groupes ou des utilisateurs qui doivent être autorisés à communiquer uniquement avec un ou deux autres groupes d’utilisateurs ?

Considérez les stratégies dont vous avez besoin comme appartenant à l’un des deux types suivants :

  • Les politiques de blocage empêchent un groupe de communiquer avec un autre groupe.
  • Les stratégies d’autorisation permettent à un groupe de communiquer uniquement avec des groupes spécifiques.

Une fois que vous avez la liste initiale des groupes et stratégies nécessaires, passez à l’identification des segments dont vous aurez besoin pour les stratégies IB.

Identifier les segments

En plus de votre liste initiale de stratégies, créez une liste de segments pour votre organisation. Les utilisateurs qui seront inclus dans les stratégies IB doivent appartenir à au moins un segment. Les utilisateurs peuvent être affectés à plusieurs segments si nécessaire. Vous pouvez avoir jusqu’à 5 000 segments dans votre organisation et chaque segment ne peut avoir qu’une seule stratégie IB appliquée.

Importante

Un utilisateur ne peut se trouver que dans un seul segment pour les organisations en mode Hérité ou SingleSegement . Pour vérifier votre mode IB, consultez Vérifier le mode IB pour votre organisation.

Déterminez les attributs des données d’annuaire de votre organisation que vous utiliserez pour définir des segments. Vous pouvez utiliser Department, MemberOf ou l’un des attributs IB pris en charge. Vérifiez que vous avez des valeurs dans l’attribut que vous sélectionnez pour les utilisateurs. Pour plus d’informations, consultez les attributs pris en charge pour IB.

Importante

Avant de passer à la section suivante, vérifiez que vos données d’annuaire ont des valeurs pour les attributs que vous pouvez utiliser pour définir des segments. Si vos données d’annuaire n’ont pas de valeurs pour les attributs que vous souhaitez utiliser, les comptes d’utilisateur doivent être mis à jour pour inclure ces informations avant de procéder à la configuration de ib. Pour obtenir de l’aide à ce sujet, consultez les ressources suivantes :

- Configurer les propriétés du compte d’utilisateur avec Office 365 PowerShell
- Ajouter ou mettre à jour les informations de profil d’un utilisateur à l’aide de l’ID Microsoft Entra

Activer la prise en charge de plusieurs segments pour les utilisateurs (facultatif)

La prise en charge de l’affectation d’utilisateurs à plusieurs segments n’est disponible que lorsque votre organisation n’est pas en mode hérité . Si vous souhaitez prendre en charge l’affectation d’utilisateurs à plusieurs segments, consultez Utiliser la prise en charge de plusieurs segments dans les obstacles à l’information.

Les utilisateurs sont limités à être affectés à un seul segment pour les organisations en mode hérité . Les organisations en mode hérité pourront effectuer une mise à niveau vers la version la plus récente des obstacles à l’information à l’avenir. Pour plus d’informations, consultez la feuille de route des obstacles à l’information.

Définir des segments à l’aide des portails

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez Portail de conformité Microsoft Purview.

Effectuez les étapes suivantes pour définir des segments :

  1. Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur de votre organisation.
  2. Sélectionnez la carte de solution Obstacles à l’information . Si la carte de solution Obstacles à l’information n’est pas affichée, sélectionnez Afficher toutes les solutions, puis Sélectionnez Obstacles à l’information dans la section Risque & Conformité.
  3. Sélectionnez Segments.
  4. Dans la page Segments , sélectionnez Nouveau segment pour créer et configurer un segment.
  5. Dans la page Nom , entrez un nom pour le segment. Vous ne pouvez pas renommer un segment une fois qu’il a été créé.
  6. Sélectionnez Suivant.
  7. Dans la page Filtre groupe d’utilisateurs , sélectionnez Ajouter pour configurer les attributs groupe et utilisateur pour le segment. Choisissez un attribut pour le segment dans la liste des attributs disponibles.
  8. Pour l’attribut sélectionné, sélectionnez Égal ou Non égal , puis entrez la valeur de l’attribut. Par exemple, si vous avez sélectionné Département comme attribut et Égal à, vous pouvez entrer Marketing comme service défini pour cette condition de segment. Vous pouvez ajouter des conditions supplémentaires pour un attribut en sélectionnant Ajouter une condition. Si vous devez supprimer un attribut ou une condition d’attribut, sélectionnez l’icône supprimer pour l’attribut ou la condition.
  9. Ajoutez des attributs supplémentaires si nécessaire dans la page de filtre Groupe d’utilisateurs , puis sélectionnez Suivant.
  10. Dans la page Vérifier vos paramètres , passez en revue les paramètres que vous avez choisis pour le segment et les suggestions ou avertissements pour vos sélections. Sélectionnez Modifier pour modifier les attributs et conditions du segment ou sélectionnez Envoyer pour créer le segment.

Définir des segments à l’aide de PowerShell

Pour définir des segments avec PowerShell, procédez comme suit :

  1. Utilisez l’applet de commande New-OrganizationSegment avec le paramètre UserGroupFilter qui correspond à l’attribut que vous souhaitez utiliser.

    Syntaxe Exemple
    New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'" New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"

    Dans cet exemple, un segment appelé HR est défini à l’aide de HR, une valeur dans l’attribut Department . La partie -eq de l’applet de commande fait référence à « égal à ». (Vous pouvez également utiliser -ne pour signifier « n’est pas égal à ». Consultez Utilisation de « equals » et « not equals » dans les définitions de segments.)

    Après avoir exécuté chaque applet de commande, vous devez voir une liste de détails sur le nouveau segment. Les détails incluent le type du segment, qui l’a créé ou modifié pour la dernière fois, etc.

  2. Répétez ce processus pour chaque segment que vous souhaitez définir.

Une fois que vous avez défini vos segments, passez à l’Étape 3 : Créer des stratégies IB.

Utilisation de « equals » et « not equals » dans les définitions de segment PowerShell

Dans l’exemple suivant, nous configurons des segments IB à l’aide de PowerShell et définissons un segment de telle sorte que « Department equals HR ».

Exemple Remarque
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" Notez que dans cet exemple, la définition de segment inclut un paramètre « égal » désigné comme -eq.

Vous pouvez également définir des segments à l’aide d’un paramètre « différent de égal », désigné par -ne, comme indiqué dans le tableau suivant :

Syntaxe Exemple
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" Dans cet exemple, nous avons défini un segment appelé NotSales qui inclut toutes les personnes qui ne sont pas dans Sales. La partie -ne de l’applet de commande fait référence à « non égal à ».

En plus de définir des segments à l’aide de « égal » ou « différent d’égal », vous pouvez définir un segment à l’aide des paramètres « égal » et « différent ». Vous pouvez également définir des filtres de groupe complexes à l’aide des opérateurs logiques AND et OR .

Syntaxe Exemple
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" Dans cet exemple, nous avons défini un segment appelé LocalFTE qui inclut les utilisateurs qui se trouvent localement et dont les postes ne sont pas répertoriés comme temporaires.
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq 'group1@contoso.com'' -and MemberOf -ne 'group3@contoso.com'" Dans cet exemple, nous avons défini un segment appelé Segment1 qui inclut les utilisateurs qui sont membres de group1@contoso.com et non membres de group3@contoso.com.
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq 'group2@contoso.com' -or MemberOf -ne 'group3@contoso.com'" Dans cet exemple, nous avons défini un segment appelé Segment2 qui inclut les utilisateurs qui sont membres de group2@contoso.com et non membres de group3@contoso.com.
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq 'group1@contoso.com' -or MemberOf -eq 'group2@contoso.com') -and MemberOf -ne 'group3@contoso.com'" Dans cet exemple, nous avons défini un segment appelé Segment1and2 qui inclut les utilisateurs dans group1@contoso.com et group2@contoso.com et non les membres de group3@contoso.com.

Conseil

Si possible, utilisez des définitions de segment qui incluent « -eq » ou « -ne ». Essayez de ne pas définir de définitions de segments complexes.

Étape 3 : Créer des stratégies IB

Lorsque vous créez vos stratégies IB, vous déterminez si vous devez empêcher les communications entre certains segments ou limiter les communications à certains segments. Dans l’idéal, vous utiliserez le nombre minimal de stratégies IB pour vous assurer que votre organisation est conforme aux exigences internes, légales et sectorielles. Vous pouvez utiliser le portail Microsoft Purview, le portail de conformité ou PowerShell pour créer et appliquer des stratégies IB.

Conseil

Pour la cohérence de l’expérience utilisateur, nous vous recommandons d’utiliser des stratégies de blocage pour la plupart des scénarios, si possible.

Avec votre liste de segments d’utilisateurs et les stratégies IB que vous souhaitez définir, sélectionnez un scénario, puis suivez les étapes.

Importante

Assurez-vous que lorsque vous définissez des stratégies, vous n’affectez pas plusieurs stratégies à un segment. Par exemple, si vous définissez une stratégie pour un segment appelé Sales, ne définissez pas de stratégie supplémentaire pour le segment Sales .

En outre, lorsque vous définissez des stratégies IB, veillez à définir ces stratégies sur l’état inactif jusqu’à ce que vous soyez prêt à les appliquer. La définition (ou la modification) de stratégies n’affecte pas les utilisateurs tant que ces stratégies n’ont pas été définies sur l’état actif, puis appliquées.

Scénario 1 : bloquer les communications entre les segments

Lorsque vous souhaitez empêcher les segments de communiquer entre eux, vous définissez deux stratégies : une pour chaque direction. Chaque stratégie bloque la communication dans une seule direction.

Par exemple, supposons que vous souhaitiez bloquer les communications entre le segment A et le segment B. Dans ce cas, vous devez définir deux stratégies :

  • Une stratégie empêchant le segment A de communiquer avec le segment B
  • Une deuxième stratégie pour empêcher le segment B de communiquer avec le segment A

Créer des stratégies à l’aide des portails pour le scénario 1

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez Portail de conformité Microsoft Purview.

Effectuez les étapes suivantes pour créer des stratégies :

  1. Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur de votre organisation.

  2. Sélectionnez la carte de solution Obstacles à l’information . Si la carte de solution Obstacles à l’information n’est pas affichée, sélectionnez Afficher toutes les solutions, puis Sélectionnez Obstacles à l’information dans la section Risque & Conformité.

  3. Sélectionnez Stratégies.

  4. Dans la page Stratégies , sélectionnez Créer une stratégie pour créer et configurer une stratégie IB.

  5. Dans la page Nom , entrez un nom pour la stratégie, puis sélectionnez Suivant.

  6. Dans la page Segment affecté , sélectionnez Choisir un segment. Utilisez la zone de recherche pour rechercher un segment par nom ou faites défiler pour sélectionner le segment dans la liste affichée. Sélectionnez Ajouter pour ajouter le segment sélectionné à la stratégie. Vous ne pouvez sélectionner qu’un seul segment.

  7. Sélectionnez Suivant.

  8. Dans la page Communication et collaboration , sélectionnez le type de stratégie dans le champ Communication et collaboration . Les options de stratégie sont Autorisées ou Bloquées. Dans cet exemple de scénario, Bloqué est sélectionné pour la première stratégie.

    Importante

    Les états Autorisé et Bloqué pour les segments ne peuvent pas être modifiés après la création d’une stratégie. Pour modifier l’état après avoir créé une stratégie, vous devez supprimer la stratégie et en créer une nouvelle.

  9. Sélectionnez Choisir un segment pour définir les actions du segment cible. Vous pouvez affecter plusieurs segments dans cette étape. Par exemple, si vous vouliez empêcher les utilisateurs d’un segment appelé Ventes de communiquer avec les utilisateurs d’un segment appelé Recherche, vous auriez défini le segment Ventes à l’étape 5 et vous affecteriez Recherche dans l’option Choisir un segment dans cette étape.

  10. Sélectionnez Suivant.

  11. Dans la page État de la stratégie, basculez l’état de la stratégie active sur Activé. Sélectionnez Suivant pour continuer.

  12. Dans la page Vérifier vos paramètres , passez en revue les paramètres que vous avez choisis pour la stratégie et les suggestions ou avertissements pour vos sélections. Sélectionnez Modifier pour modifier l’état et les segments de stratégie, ou sélectionnez Envoyer pour créer la stratégie.

Dans cet exemple, vous répétez les étapes précédentes pour créer une deuxième stratégie de blocage afin de restreindre la communication avec les utilisateurs d’un segment appelé Recherche pour empêcher les utilisateurs de communiquer avec les utilisateurs dans un segment appelé Sales. Vous auriez défini le segment Recherche à l’étape 5 et vous affectiez Sales (ou plusieurs segments) dans l’option Choisir un segment .

Créer des stratégies à l’aide de PowerShell pour le scénario 1

Pour définir des stratégies avec PowerShell, procédez comme suit :

  1. Pour définir votre première stratégie de blocage, utilisez l’applet de commande New-InformationBarrierPolicy avec le paramètre SegmentsBlocked .

    Syntaxe Exemple
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsBlocked "segmentBname" New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

    Dans cet exemple, nous avons défini une stratégie appelée Sales-Research pour un segment appelé Sales. Lorsqu’elle est active et appliquée, cette stratégie empêche les utilisateurs de Sales de communiquer avec les utilisateurs d’un segment appelé Recherche.

  2. Pour définir votre deuxième segment de blocage, utilisez l’applet de commande New-InformationBarrierPolicy avec à nouveau le paramètre SegmentsBlocked , cette fois avec les segments inversés.

    Exemple Remarque
    New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive Dans cet exemple, nous avons défini une stratégie appelée Research-Sales pour empêcher Research de communiquer avec Sales.
  3. Passez à l’une des actions suivantes :

Scénario 2 : Autoriser un segment à communiquer avec un seul autre segment

Lorsque vous souhaitez autoriser un segment à communiquer avec un seul autre segment, vous définissez deux stratégies : une pour chaque direction. Chaque stratégie autorise la communication dans une seule direction.

Dans cet exemple, vous définissez deux stratégies :

  • Une stratégie permet au segment A de communiquer avec le segment B
  • Une deuxième stratégie pour permettre au segment B de communiquer avec le segment A

Créer des stratégies à l’aide des portails pour le scénario 2

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez Portail de conformité Microsoft Purview.

Effectuez les étapes suivantes pour créer des stratégies :

  1. Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur de votre organisation.

  2. Sélectionnez la carte de solution Obstacles à l’information . Si la carte de solution Obstacles à l’information n’est pas affichée, sélectionnez Afficher toutes les solutions, puis Sélectionnez Obstacles à l’information dans la section Risque & Conformité.

  3. Dans la page Stratégies , sélectionnez Créer une stratégie pour créer et configurer une stratégie IB.

  4. Dans la page Nom , entrez un nom pour la stratégie, puis sélectionnez Suivant.

  5. Dans la page Segment affecté , sélectionnez Choisir un segment. Utilisez la zone de recherche pour rechercher un segment par nom ou faites défiler pour sélectionner le segment dans la liste affichée. Sélectionnez Ajouter pour ajouter le segment sélectionné à la stratégie. Vous ne pouvez sélectionner qu’un seul segment.

  6. Sélectionnez Suivant.

  7. Dans la page Communication et collaboration , sélectionnez le type de stratégie dans le champ Communication et collaboration . Les options de stratégie sont Autorisées ou Bloquées. Dans cet exemple de scénario, Autorisé est sélectionné pour la stratégie.

    Importante

    Les états Autorisé et Bloqué pour les segments ne peuvent pas être modifiés après la création d’une stratégie. Pour modifier l’état après avoir créé une stratégie, vous devez supprimer la stratégie et en créer une nouvelle.

  8. Sélectionnez Choisir un segment pour définir les actions du segment cible. Vous pouvez affecter plusieurs segments dans cette étape. Par exemple, si vous vouliez autoriser les utilisateurs d’un segment appelé Fabrication à communiquer avec les utilisateurs d’un segment appelé HR, vous auriez défini le segment Fabrication à l’étape 5 et vous attribueriez hr dans l’option Choisir un segment dans cette étape.

  9. Sélectionnez Suivant.

  10. Dans la page État de la stratégie, basculez l’état de la stratégie active sur Activé. Sélectionnez Suivant pour continuer.

  11. Dans la page Vérifier vos paramètres , passez en revue les paramètres que vous avez choisis pour la stratégie et les suggestions ou avertissements pour vos sélections. Sélectionnez Modifier pour modifier l’état et les segments de stratégie, ou sélectionnez Envoyer pour créer la stratégie.

  12. Dans cet exemple, vous répétez les étapes précédentes pour créer une deuxième stratégie Autoriser afin d’autoriser les utilisateurs d’un segment appelé Recherche à communiquer avec les utilisateurs d’un segment appelé Sales. Vous auriez défini le segment Recherche à l’étape 5 et vous affectiez Sales (ou plusieurs segments) dans l’option Choisir un segment .

Créer une stratégie à l’aide de PowerShell pour le scénario 2

Pour définir des stratégies avec PowerShell, procédez comme suit :

  1. Pour permettre à un segment de communiquer avec l’autre segment, utilisez l’applet de commande New-InformationBarrierPolicy avec le paramètre SegmentsAllowed .

    Syntaxe Exemple
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname","segment1name" New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State Inactive

    Dans cet exemple, nous avons défini une stratégie appelée Manufacturing-HR pour un segment appelé Manufacturing. Lorsqu’elle est active et appliquée, cette stratégie permet aux utilisateurs de la fabrication de communiquer uniquement avec les utilisateurs d’un segment appelé RH. Dans ce cas, la fabrication ne peut pas communiquer avec les utilisateurs qui ne font pas partie des RH.

    Si nécessaire, vous pouvez spécifier plusieurs segments avec cette applet de commande, comme illustré dans l’exemple suivant.

    Syntaxe Exemple
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname", "segmentCname","segmentDname" New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State Inactive

    Dans cet exemple, nous avons défini une stratégie qui permet au segment Recherche de communiquer uniquement avec les ressources humaines et la fabrication.

    Répétez cette étape pour chaque stratégie que vous souhaitez définir pour permettre à des segments spécifiques de communiquer uniquement avec certains autres segments spécifiques.

  2. Pour définir votre deuxième segment d’autorisation, utilisez l’applet de commande New-InformationBarrierPolicy avec à nouveau le paramètre SegmentsAllowed , cette fois avec les segments inversés.

    Exemple Remarque
    New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsAllowed "Sales" -State Inactive Dans cet exemple, nous avons défini une stratégie appelée Research-Sales pour permettre à Research de communiquer avec Sales.
  3. Passez à l’une des actions suivantes :

Étape 4 : Appliquer des stratégies IB

Les stratégies IB ne sont pas en vigueur tant que vous ne les avez pas définies sur l’état actif et que vous ne les avez pas appliquées.

Appliquer des stratégies à l’aide des portails

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez Portail de conformité Microsoft Purview.

Effectuez les étapes suivantes pour appliquer des stratégies :

  1. Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur de votre organisation.

  2. Sélectionnez la carte de solution Obstacles à l’information . Si la carte de solution Obstacles à l’information n’est pas affichée, sélectionnez Afficher toutes les solutions, puis Sélectionnez Obstacles à l’information dans la section Risque & Conformité.

  3. Sélectionnez Application de stratégie.

  4. Dans la page Application Stratégies , sélectionnez Appliquer toutes les stratégies pour appliquer toutes les stratégies IB dans votre organisation.

    Remarque

    Prévoyez 30 minutes pour que le système commence à appliquer les stratégies. Le système applique les stratégies utilisateur par utilisateur. Le système traite environ 5 000 comptes d’utilisateurs par heure.

Appliquer des stratégies à l’aide de PowerShell

Pour appliquer des stratégies à l’aide de PowerShell, procédez comme suit :

  1. Utilisez l’applet de commande Get-InformationBarrierPolicy pour afficher la liste des stratégies qui ont été définies. Notez l’état et l’identité (GUID) de chaque stratégie.

    Syntaxe: Get-InformationBarrierPolicy

  2. Pour définir une stratégie sur l’état actif, utilisez l’applet de commande Set-InformationBarrierPolicy avec un paramètre Identity et le paramètre State défini sur Actif.

    Syntaxe Exemple
    Set-InformationBarrierPolicy -Identity GUID -State Active Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Active

    Dans cet exemple, nous définissons une stratégie IB dont le GUID 43c37853-ea10-4b90-a23d-ab8c93772471 est active.

    Répétez cette étape comme il convient pour chaque stratégie.

  3. Une fois que vous avez terminé de définir vos stratégies IB sur l’état actif, utilisez l’applet de commande Start-InformationBarrierPoliciesApplication dans Security & Compliance PowerShell.

    Syntaxe: Start-InformationBarrierPoliciesApplication

    Après avoir exécuté Start-InformationBarrierPoliciesApplication, attendez 30 minutes pour que le système commence à appliquer les politiques. Le système applique les stratégies utilisateur par utilisateur. Le système traite environ 5 000 comptes d’utilisateurs par heure.

Afficher l’état des comptes d’utilisateur, des segments, des stratégies ou de l’application de stratégie

Avec PowerShell, vous pouvez afficher l’état des comptes d’utilisateur, des segments, des stratégies et de l’application de stratégie, comme indiqué dans le tableau suivant.

Pour afficher ces informations Effectuer cette action
Comptes d’utilisateur Utilisez l’applet de commande Get-InformationBarrierRecipientStatus avec les paramètres Identity.

Syntaxe: Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

Vous pouvez utiliser n’importe quelle valeur qui identifie chaque utilisateur de manière unique, comme le nom, l’alias, le nom unique, le nom de domaine canonique, l’adresse e-mail ou le GUID.

Exemple : Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

Dans cet exemple, nous faisons référence à deux comptes d’utilisateur dans Office 365 : meganb pour Megan et alexw pour Alex.

(Vous pouvez également utiliser cette applet de commande pour un seul utilisateur : Get-InformationBarrierRecipientStatus -Identity <value>)

Cette applet de commande retourne des informations sur les utilisateurs, telles que les valeurs d’attribut et toutes les stratégies IB appliquées.

Segments Utilisez l’applet de commande Get-OrganizationSegment .

Syntaxe: Get-OrganizationSegment

Cette applet de commande affiche la liste de tous les segments définis pour votre organisation.

Stratégies de l’IB Utilisez l’applet de commande Get-InformationBarrierPolicy .

Syntaxe: Get-InformationBarrierPolicy

Cette applet de commande affiche la liste des stratégies IB qui ont été définies et leur état.

Application de stratégie IB la plus récente Utilisez l’applet de commande Get-InformationBarrierPoliciesApplicationStatus .

Syntaxe: Get-InformationBarrierPoliciesApplicationStatus

Cette applet de commande affiche des informations indiquant si l’application de stratégie est terminée, a échoué ou est en cours.

Toutes les applications de stratégie IB Utiliser Get-InformationBarrierPoliciesApplicationStatus -All

Cette applet de commande affiche des informations indiquant si l’application de stratégie est terminée, a échoué ou est en cours.

Que se passe-t-il si je dois supprimer ou modifier des stratégies ?

Des ressources sont disponibles pour vous aider à gérer vos stratégies IB.

Étape 5 : Configuration des obstacles à l’information sur SharePoint et OneDrive

Si vous configurez IB pour SharePoint et OneDrive, vous devez activer IB sur ces services. Vous devez également activer ib sur ces services si vous configurez IB pour Microsoft Teams. Lorsqu’une équipe est créée dans l’équipe Microsoft Teams, un site SharePoint est automatiquement créé et associé à Microsoft Teams pour l’expérience des fichiers. Les stratégies IB ne sont pas respectées sur ce nouveau site et fichiers SharePoint par défaut.

Pour activer IB dans SharePoint et OneDrive, suivez les instructions et les étapes de l’article Utiliser des obstacles à l’information avec SharePoint .

Étape 6 : Modes d’obstacles à l’information (facultatif)

Les modes peuvent aider à renforcer l’accès, le partage et l’appartenance à une ressource Microsoft 365 en fonction du mode IB de la ressource. Les modes sont pris en charge sur les sites Groupes Microsoft 365, Microsoft Teams, OneDrive et SharePoint, et sont automatiquement activés dans votre configuration IB nouvelle ou existante.

Les modes IB suivants sont pris en charge sur les ressources Microsoft 365 :

Mode Description Exemple
Ouvert Aucune stratégie ou segment IB n’est associé à la ressource Microsoft 365. Tout le monde peut être invité à être membre de la ressource. Un site d’équipe créé pour un pique-pour votre organisation.
Propriétaire modéré La stratégie IB de la ressource Microsoft 365 est déterminée à partir de la stratégie IB du propriétaire de la ressource. Les propriétaires de ressources peuvent inviter n’importe quel utilisateur à la ressource en fonction de leurs stratégies IB. Ce mode est utile lorsque votre entreprise souhaite autoriser la collaboration entre les utilisateurs de segment incompatibles modérés par le propriétaire. Seul le propriétaire de la ressource peut ajouter de nouveaux membres en fonction de sa stratégie IB. Le vice-président des ressources humaines souhaite collaborer avec les fournisseurs virtuels des ventes et de la recherche. Nouveau site SharePoint défini avec le mode IB Owner Moderated pour ajouter les utilisateurs du segment Ventes et Recherche au même site. Il incombe au propriétaire de s’assurer que les membres appropriés sont ajoutés à la ressource.
Implicite La stratégie IB ou les segments de la ressource Microsoft 365 sont hérités de la stratégie IB des membres de la ressource. Le propriétaire peut ajouter des membres tant qu’ils sont compatibles avec les membres existants de la ressource. Ce mode est le mode IB par défaut pour Microsoft Teams. L’utilisateur du segment Ventes crée une équipe Microsoft Teams pour collaborer avec d’autres segments compatibles de l’organisation.
Explicit La stratégie IB de la ressource Microsoft 365 est en fonction des segments associés à la ressource. Le propriétaire de la ressource ou l’administrateur SharePoint a la possibilité de gérer les segments sur la ressource. Site créé uniquement pour que les membres du segment Ventes collaborent en associant le segment Ventes au site.
Mixed Applicable uniquement à OneDrive. La stratégie IB de OneDrive est en fonction des segments associés à OneDrive. Le propriétaire de la ressource ou l’administrateur OneDrive a la possibilité de gérer les segments sur la ressource. Un OneDrive créé pour permettre aux membres du segment Ventes de collaborer est autorisé à être partagé avec des utilisateurs non segmentés.

Mises à jour du mode implicite

Selon le moment où vous avez activé ib dans votre organisation, votre organisation est en mode d’organisation hérité, monosegment ou multisegment . Pour vérifier votre mode, consultez Vérifier le mode IB pour votre organisation.

Si votre organisation est en mode SingleSegment ou MultiSegment et que le mode d’obstacles à l’information du groupe Teams est Implicite, les groupes/sites connectés à Teams n’auront aucun segment associé.

Pour plus d’informations sur les modes IB et la façon dont ils sont configurés entre les services, consultez les articles suivants :

Étape 7 : Configurer la détectabilité utilisateur pour les obstacles à l’information (facultatif)

Les stratégies d’obstacles à l’information permettent aux administrateurs d’activer ou de désactiver les restrictions de recherche dans le sélecteur de personnes. Par défaut, la restriction du sélecteur de personnes est activée pour les stratégies IB. Par exemple, les stratégies IB qui empêchent deux utilisateurs spécifiques de communiquer peuvent également empêcher les utilisateurs de se voir l’un l’autre lors de l’utilisation du sélecteur de personnes.

Importante

La prise en charge de l’activation ou de la désactivation des restrictions de recherche n’est disponible que lorsque votre organisation n’est pas en mode hérité . Les organisations en mode hérité ne peuvent pas activer ou désactiver les restrictions de recherche. L’activation ou la désactivation des restrictions de recherche nécessite des actions supplémentaires pour modifier le mode d’obstacles à l’information pour votre organisation. Pour plus d’informations, consultez Utiliser la prise en charge multi-segment dans les obstacles à l’information) pour plus d’informations.

Les organisations en mode hérité pourront effectuer une mise à niveau vers la version la plus récente des obstacles à l’information à l’avenir. Pour plus d’informations, consultez la feuille de route des obstacles à l’information.

Pour désactiver la restriction de recherche du sélecteur de personnes à l’aide de PowerShell, procédez comme suit :

  1. Utilisez l’applet de commande Set-PolicyConfig pour désactiver la restriction du sélecteur de personnes :
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'

Exemple de scénario : services, segments et stratégies de Contoso

Pour voir comment une organisation peut aborder la définition de segments et de stratégies, envisagez l’exemple de scénario suivant.

Départements et plan de Contoso

Contoso dispose de cinq départements : RH, Ventes, Marketing, Recherche et Fabrication. Afin de rester conformes aux réglementations du secteur, les utilisateurs de certains services ne sont pas censés communiquer avec d’autres services, comme indiqué dans le tableau suivant :

Segment Peut communiquer avec Impossible de communiquer avec
HR Tout le monde (aucune restriction)
Ventes RH, Marketing, Fabrication Recherche
Marketing Tout le monde (aucune restriction)
Recherche RH, Marketing, Fabrication Ventes
Production RH, Marketing Toute personne autre que les ressources humaines ou le marketing

Pour cette structure, le plan de Contoso comprend trois stratégies IB :

  1. Une stratégie IB conçue pour empêcher sales de communiquer avec Research
  2. Une autre politique de l’IB pour empêcher la recherche de communiquer avec sales.
  3. Une stratégie IB conçue pour permettre à l’industrie de communiquer uniquement avec les RH et le marketing.

Pour ce scénario, il n’est pas nécessaire de définir des stratégies IB pour les ressources humaines ou le marketing.

Segments définis par Contoso

Contoso utilise l’attribut Department dans l’ID Microsoft Entra pour définir des segments, comme suit :

Service Définition de segment
RH New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"
Ventes New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'"
Marketing New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'"
Recherche New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'"
Production New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'"

Une fois les segments définis, Contoso continue à définir les stratégies IB.

Stratégies IB de Contoso

Contoso définit trois stratégies IB, comme décrit dans le tableau suivant :

Stratégie Définition de la stratégie
Stratégie 1 : empêcher le département des Ventes de communiquer avec la Recherche New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

Dans cet exemple, la stratégie IB est appelée Sales-Research. Lorsque cette stratégie est active et appliquée, elle empêche les utilisateurs du segment Ventes de communiquer avec les utilisateurs du segment Recherche. Il s’agit d’une stratégie unidirectionnel ; Cela n’empêchera pas Research de communiquer avec sales. Pour cela, la stratégie 2 est nécessaire.

Stratégie 2 : empêcher la Recherche de communiquer avec le département des Ventes New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive

Dans cet exemple, la stratégie IB est appelée Research-Sales. Lorsque cette stratégie est active et appliquée, elle empêche les utilisateurs du segment Recherche de communiquer avec les utilisateurs du segment Ventes.

Stratégie 3 : Autoriser la fabrication à communiquer uniquement avec les RH et le marketing New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive

Dans ce cas, la politique de l’IB est appelée Manufacturing-HRMarketing. Lorsque cette stratégie est active et appliquée, la Production ne peut communiquer qu’avec les Ressources Humaines et le Marketing. Les ressources humaines et le marketing ne sont pas limités à la communication avec d’autres segments.

Une fois les segments et les stratégies définis, Contoso applique les stratégies en exécutant l’applet de commande Start-InformationBarrierPoliciesApplication .

Une fois l’applet de commande terminée, Contoso est conforme aux exigences du secteur.

Ressources