创建信息屏障策略

  • 8 分钟

信息屏障 (IB) 是管理员可以配置的策略,以防止个人或组相互通信。

IBM 策略还阻止查找和发现。 如果你尝试与不应通信的人通信,你将在人员选取器中找不到该用户。 信息屏障可用于以下一些情况:

  • 当必须阻止团队与其他特定团队通信或共享数据时。

  • 当团队不得与团队外的任何用户通信或共享数据时。

下面是一个示例。 例如,Sergio 属于银行区段,而 Pradeep 属于财务顾问区段。 因为组织的信息屏障策略阻止这两个区段之间的沟通和协作,所以 Sergio 和 Pradeep 无法相互通信。 但是,Sergio 和 Pradeep 都可以和人力资源部门的 Lee 进行通信。

显示阻止区段之间通信的信息屏障示例。

信息屏障在 Teams 中的工作原理

Microsoft Teams、SharePoint 和 OneDrive 支持信息屏障。 在 Microsoft Teams 中,当发生以下 Teams 事件时,将触发 IB 策略:

  • 将成员添加到团队:每次向团队添加用户时,都必须针对其他团队成员的 IBM 策略评估用户策略。 如果用户的策略阻止将用户添加到团队,则用户不会在搜索中显示。

    搜索要添加到团队的新成员并且未找到任何匹配项的屏幕截图。

  • 请求新聊天:每次用户向一个或多个其他用户请求新聊天时,将评估聊天以确保该聊天未违反任何 IBM 策略。 如果对话违反 IBM 策略,则对话不会启动。 下面是一对一聊天的示例。

    显示 1:1 聊天中已阻止通信的屏幕截图。

  • 邀请用户加入会议:当邀请用户加入会议时,将针对适用于该用户的 IBM 策略评估适用于其他团队成员的 IBM 策略。 如果存在冲突,则不允许用户加入会议。

    显示已阻止用户参加会议的屏幕截图。

  • 屏幕在两个或多个用户之间共享:当用户与其他用户共享屏幕时,必须评估共享以确保它不会违反其他用户的 IBM 策略。 如果违反一个 IBM 策略,则不允许屏幕共享。 下面是应用策略后的屏幕共享示例。 屏幕共享和呼叫图标不可见。

    显示用户通过已阻止设置共享的屏幕截图。

  • 用户在 Teams 中发出电话呼叫:每当用户通过 VOIP) 向另一个用户或用户组发出语音呼叫时,都会评估该呼叫以确保该呼叫不会违反其他团队成员的 IBM 策略。 如果有任何冲突,将阻止语音呼叫。

  • Teams 中的来宾:IB 策略也适用于 Teams 中的来宾。 在组织的全局地址列表中发现来宾后,你可以定义 IBM 策略。

当管理员创建或更新信息屏障策略时,该服务会自动搜索成员,以确保团队成员不会违反任何策略。 如果存在任何新的违反行为,将执行以下操作:

  • 1:1 聊天:如果不再允许两个用户之间进行通信(因为阻止通信的策略应用于两个用户之一或全部),则会阻止进一步通信。 其现有聊天对话将变为只读。

  • 群聊:如果群聊中的参与者违反已更改或新策略,受影响参与者将从聊天中删除,并且他们可以看到只读的对话历史记录。

  • 团队:已从组中删除的任何用户均会从团队中删除,并且无法查看或参与现有或新对话。

工作流

请按以下步骤配置信息屏障策略: 创建团队后,将预配 SharePoint 网站并与 Microsoft Teams 关联以获得文件体验。 默认情况下,此 SharePoint 网站和文件不适用信息屏障策略。 若要在 SharePoint 和 OneDrive 中启用信息屏障,请参阅 将信息屏障用于 SharePoint

阶段 所涉及的内容
确保满足先决条件 - 验证是否具有 所需的许可证和权限
- 验证目录是否包含区段用户的数据
- 为 Microsoft Teams 启用作用域内目录搜索
- 确保审核日志记录已打开
- 确保没有 Exchange 通讯簿策略
- 使用 PowerShell
- 为 Microsoft Teams 提供管理员同意
第 1 部分:划分组织中用户 - 确定需要的策略
- 列出要定义的区段
- 确定要使用的属性
- 确定区段的策略筛选器
第 2 部分:定义信息屏障策略 - 定义策略 (尚未应用)
- 从两种类型中进行选择(阻止或允许)
第 3 部分:应用信息屏障策略 - 将策略设置为活动状态
- 运行策略应用程序
- 查看策略状态

信息屏障的先决条件

必须满足以下先决条件,以实施信息屏障:

  • 信息屏障所需的许可证:信息屏障是一项高级合规性功能。 此功能适用于具有以下许可证之一的用户:

    • Microsoft 365 E5/A5/G5
    • Office 365 E5/A5/G5
    • Microsoft 365 E5/A5/G5/F5 合规性
    • Microsoft 365 E5/A5/F5/G5 内部风险管理

  • 信息屏障策略的权限:若要定义或编辑信息屏障策略,必须将管理员分配到以下角色之一:

    • Microsoft 365 企业版全局管理员
    • Office 365 全局管理员
    • 合规管理员

  • 目录数据:确保组织的结构反映在目录数据中。

  • 范围目录搜索:此设置必须打开。

  • 审核日志记录:若要查找策略应用程序的状态,必须启用审核日志记录。

  • 无通讯簿策略:确保没有 Exchange 通讯簿策略。

  • 具有安全&合规性模块的 Powershell:可以使用 PowerShell 并将安全与合规模块连接到 Microsoft 365 租户来配置信息屏障。

  • 管理员同意 Microsoft Teams 中的信息屏障:使用以下过程使信息屏障策略在 Microsoft Teams 中按预期工作。

    1. 运行以下 PowerShell cmdlet:

      # Login with the Azure Resource Manager PowerShell to your tenant:
Login-AzureRmAccount
# Save the information barrier service app id to a variable:
$appId="bcf62038-e005-436d-b970-2a472f8c1982"
# Get a service principal in Azure for the app id:
$sp=Get-AzureRmADServicePrincipal -ServicePrincipalName $appId
# If a service principal could not be retrieved, create a new one:
if ($sp -eq $null) { New-AzureRmADServicePrincipal -ApplicationId $appId }
# Start the process to grant consent, by running:
Start-Process https://login.microsoftonline.com/common/adminconsent?client_id=$appId

    2. 系统提示时,使用工作或学校帐户登录Office 365。

    3. 请求的权限 对话框中,查看信息,然后选择 接受

第 1 部分:划分组织中用户

在此阶段中,确定需要哪些信息屏障策略,创建要定义的区段列表,然后定义你的区段。 划分用户区段时,有两项重要规则:

  • 用户必须只归入一个区段。

  • 每个区段只有一个信息屏障。

区段由某些目录属性定义。 若要向区段分配用户,请使用 cmdlet New-OrganizationSegmentUserGroupFilter 参数:

  1. 打开 PowerShell 并通过安全与合规 PowerShell 模块连接到租户。

  2. 运行以下 cmdlet,将 区段名称 替换为有意义的名称,使用要筛选其区段成员的所需目录属性替换 属性属性值

    New-OrganizationSegment -Name "segment-name" -UserGroupFilter "attribute -eq 'attribute-value'"

    若要使用“部门”属性定义名为“销售”区段,请使用此命令:

    New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'

  3. 对要定义的每个区段重复此过程。

第 2 部分:定义信息屏障策略

创建区段后,可以创建限制区段通信的策略。 会议策略有两种类型:

  • 阻止 策略阻止区段之间的通信。

  • 允许 策略允许一个区段仅与另一个区段通信。

方案 1: 阻止区段之间的通信

若要阻止区段之间通信,需要应用两个策略:每个方向各一个。 每个策略仅阻止一个方向的通信。 请使用 New-InformationBarrierPolicy cmdlet 和 SegmentsBlocked 参数:

New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsBlocked "segment2name"

例如,若要阻止销售和研究部门之间的通信,请使用此命令:

## Prevent Sales from communicating with Research
New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

## Prevent Research from communicating with Sales
New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive

方案 2: 允许一个区段仅与另一个区段通信

若要允许一个区段仅与另一个区段通信,请使用 New-InformationBarrierPolicy cmdlet 和 SegmentsAllowed 参数:

New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsAllowed "segment2name","segment1name"

例如,若要允许“研究部门”区段仅与“人力资源部门”和“制造部门”通信,请使用以下命令:

New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State Inactive

第 3 部分:应用信息屏障策略

在将信息屏障策略设置为活动状态,然后应用策略之前,这些策略才有效。

  1. 使用 Get-InformationBarrierPolicy cmdlet 查看已定义的策略列表。请注意每个策略的状态和标识 (GUID)。

  2. 要将策略设置为活动状态,使用 Set-InformationBarrierPolicy cmdlet 和“Identity”参数,并将“State”参数设置为“Active”:

    Set-InformationBarrierPolicy -Identity GUID -State Active

  3. 运行以下 cmdlet 以在租户中启动信息屏障:

    Start-InformationBarrierPoliciesApplication

运行 Start-InformationBarrierPoliciesApplication 后,需要等待 30 分钟,系统才能开始应用策略。 系统按用户应用策略。 系统每小时处理大约 5,000 个用户帐户。

有关更多信息,请参阅: