重要
複数のセグメントにユーザーを割り当てるサポートは、organizationがレガシ モードでない場合にのみ使用できます。 組織が Legacy モードかどうかを確認するには、「組織の IB モードを確認する」を参照し InformationBarrierMode プロパティの値を確認します。
レガシ モードの組織の場合、ユーザーは 1 つのセグメントにのみ割り当てることができます。
レガシ モードの組織は、今後、最新バージョンの Information Barriers にアップグレードする資格があります。 詳細については、「 情報バリアのロードマップ」を参照してください。
マルチセグメント モードを使用すると、1 つのセグメントのみに制限されるのではなく、organizationのユーザーを Information Barriers で最大 10 セグメントに割り当てることができます。 個人とグループ間のより多様なコミュニケーション ルールに対するこのサポートは、より複雑な組織シナリオと運用シナリオをサポートします。 複数セグメントのサポートを使用している組織の場合は、許可リストを使用して、すべての Information Barriers ポリシーを定義します。
複数セグメントのサポートを構成する場合、ユーザーの互換性は、共有セグメントへの各ユーザーの割り当てによって異なります。 ユーザーが同じセグメントへの割り当てを共有する場合は、互換性があります。 たとえば、次の表は、ユーザー A とユーザー B が割り当てられたセグメントを共有していないため、互換性がないことを示しています。 ただし、ユーザー A はユーザー C と互換性があり、ユーザー B はそれぞれ共通のセグメントが割り当てられているため、ユーザー C と互換性があります。
| User | 割り当てられたセグメント |
|---|---|
| ユーザー A | セグメント 1、セグメント 2 |
| ユーザー B | セグメント 3、セグメント 4 |
| ユーザー C | セグメント 2、セグメント 4 |
マルチセグメントの例: North School 学区の学校、セグメント、ポリシー
North School 学区には、School 1 と School 2 の 2 つの学校があります。 学区ポリシーは、学生と教師の両方が同じ学校にいる場合にのみ、相互にコミュニケーションを取ることを許可することです。 たとえば、両方が学校 1 の学生と教師は通信できますが、学校 1 の学生は学校 2 の教師と通信できません。 このシナリオでは、次の地区ポリシー シナリオをサポートするように複数のセグメントを構成します。
North School 学区の学校と計画
ノース学区には、次の 2 つの学校があります。
| セグメント | 許可された通信 | 禁止された通信 |
|---|---|---|
| School 1 | School 1 の学生と教師 | School 2 の学生と教師 |
| School 2 | School 2 の学生と教師 | School 1 の学生と教師 |
この構造では、North School 学区の計画には次の 3 つの IB ポリシーが含まれています:
- 学校 1 の学生と教師が相互に通信できるようにする IB ポリシー。
- 学校 2 の学生と教師が相互に通信できるようにする IB ポリシー。
- 学校 1 と学校 2 の教師が相互に通信できるようにする IB ポリシー。
North School 学区の定義済みセグメント
北学区では、次のように、Microsoft Entra ID の Department 属性を使用してセグメントを定義します。
| セグメント | セグメントの定義 |
|---|---|
| School1 | New-OrganizationSegment -Name "School1" -UserGroupFilter "Department -eq 'School1'" |
| School2 | New-OrganizationSegment -Name "School2" -UserGroupFilter "Department -eq 'School2'" |
| AllTeachers | New-OrganizationSegment -Name "AllTeachers" -UserGroupFilter "MemberOfGroup -eq 'AllTeachersgroup@northschoolsdistrict.com'" |
セグメントを定義した後、Contoso は IB ポリシーを定義します。
North School 学区の IB ポリシー
North School 学区では、次の表に示すように、3 つの IB ポリシーが定義されています:
| ポリシー | ポリシー定義 |
|---|---|
| ポリシー 1: School 1 の学生と教師が相互に通信できる | New-InformationBarrierPolicy -Name School1Policy -SegmentsAllowed 'School1' -AssignedSegment 'School1' -State Active この例では、この IB ポリシーを School1Policy と呼びます。 このポリシーをアクティブにして適用すると、School 1 の学生と教師が相互に通信できるようになります。 このポリシーは一方向ポリシーです。これは、学校 1 の学生と教師が学校 2 と通信することを妨げるわけではありません。 そのため、ポリシー2が必要です。 |
| ポリシー 2: School 2 の学生と教師が相互に通信できる | New-InformationBarrierPolicy -Name School2Policy -SegmentsAllowed 'School2' -AssignedSegment 'School2' -State Active この例では、この IB ポリシーを School2Policy と呼びます。 このポリシーをアクティブにして適用すると、School 2 の学生と教師が相互に通信できるようになります。 |
| ポリシー 3: 異なる学校の教師が相互に通信できる | New-InformationBarrierPolicy -Name AllTeachersPolicy -SegmentsAllowed 'AllTeachers' -AssignedSegment 'AllTeachers' -State Active この場合、IB ポリシーは AllAntechersPolicyと呼ばれます。 このポリシーがアクティブで適用されている場合、School 1 と School 2 の教師は相互に通信できます。 |
セグメントとポリシーを定義すると、North School District は Start-InformationBarrierPoliciesApplication コマンドレットを実行してポリシーを適用します。 コマンドレットが完了すると、北学区は学生と教師に対するコミュニケーション ポリシーを実装します。
組織の IB モードを確認する
複数のセグメントへのユーザーの割り当てをサポートするには、IB organizationが複数のセグメントをサポートしていることを確認します。 次のコマンドレットを実行して、Security & Compliance PowerShell で IB モードを確認します:
Get-PolicyConfig
InformationBarrierMode プロパティの値が SingleSegment の場合は、この記事の「ユーザーに対して複数セグメントのサポートを有効にする」セクションのガイダンスに従って、複数セグメントのサポートを有効にします。
InformationBarrierMode プロパティの値が MultiSegment の場合は、organizationに対して既に有効になっているため、マルチセグメントのサポートの有効化をスキップできます。
InformationBarrierMode プロパティの値が Legacy の場合、組織ではマルチセグメントの有効化はサポートされていません。
従来の 組織は、今後、最新バージョンの Information Barriers にアップグレードする資格があります。 詳細については、「 情報バリアのロードマップ」を参照してください。
ユーザーに対する複数セグメントのサポートを有効にする
SingleSegment モードで組織に対して複数のセグメントのサポートを有効にするには、organizationに対して現在定義されている IB セグメントまたはポリシーがないことを確認します。 次のコマンドレットを実行して、組織内で複数のセグメントのサポートを有効にします:
Set-PolicyConfig -InformationBarrierMode 'MultiSegment'
重要
複数のセグメントを有効にし、organizationで IB を構成する場合は、単一セグメントのサポートに戻さないでください。
OneDrive のユーザーに対する複数セグメントのサポート
IB organizationが LegacyMode に存在せず、複数のセグメントをサポートするように OneDrive for Information Barriers を構成する場合、OneDrive ユーザー エクスペリエンスは次のように機能します。
OneDrive IB ポリシー: このポリシーでは、マルチセグメント ユーザーの OneDrive が 所有者モデレート モードに自動的に設定されます。
マルチセグメント ユーザーによる OneDrive サイト アクセス:
- 明示的 または 混合 モード: 複数セグメントのユーザーが OneDrive のセグメントの少なくとも 1 つに属し、サイト アクセス許可を持っている場合は、OneDrive にアクセスできます。
- その他のすべてのモード: ユーザーは、単一セグメントのサポートと同じサイト アクセス エクスペリエンスを持ちます。
マルチセグメント ユーザーによる OneDrive 共有: マルチセグメント ユーザーは、OneDrive 用に設定された IB モードに従って、OneDrive サイトと含まれるコンテンツを共有できます。
- 明示的 モード: ユーザーは、OneDrive と同じセグメントを持つ他のユーザーと OneDrive コンテンツを共有できます。
- オープン モードまたは 所有者モデレート モード: ユーザーは、IB ポリシーに従って他の互換性のあるユーザーとコンテンツを共有できます。
OneDrive の IB の管理の詳細については、「OneDrive で情報バリアを使用する」を参照してください。
SharePoint Online でのユーザーのマルチセグメント サポート
IB organizationが LegacyMode に存在せず、複数のセグメントをサポートするように SharePoint for Information Barriers を構成する場合、SharePoint ユーザー エクスペリエンスは次のように機能します。
サイトの作成: 複数のセグメントを持つユーザーが SharePoint サイト (Microsoft 365 グループ接続サイトまたはグループ以外のサイト) を作成すると、サイトは自動的に 所有者モデレート モードを使用します。
マルチセグメント ユーザーによる SharePoint サイト アクセス:
- 明示的モード: ユーザーは、サイトのセグメントに一致するセグメントが少なくとも 1 つあり、サイトアクセス許可を持っている場合にアクセス権を取得します。
- その他のすべてのモード: ユーザーは、単一セグメントのサポートと同じサイト アクセス エクスペリエンスを持ちます。
マルチセグメント ユーザーによる SharePoint サイト共有: 複数のセグメントを持つユーザーは、サイトの IB モードに従ってサイトとそのコンテンツを共有できます。
- Explicit モード: サイトのセグメントに一致するユーザーとコンテンツを共有できます。
- Implicit または Owner moderated モード: サイトに接続されている Microsoft 365 グループの他の既存のメンバーとコンテンツを共有できます。
- オープン モード: IB ポリシーごとに互換性のある他のユーザーとコンテンツを共有できます。
SharePoint の IB の管理の詳細については、「SharePoint で情報バリアを使用する」を参照してください。
Microsoft Teams のユーザーに対する複数セグメントのサポート
IB organizationが LegacyMode に存在せず、複数のセグメントをサポートするように Teams for Information Barriers を構成する場合、Microsoft Teamsユーザー エクスペリエンスは次のように機能します。
- チームの作成: 複数のセグメントを持つユーザーがチームを作成すると、チームは自動的に 暗黙的モードを 使用します。
- チーム メンバーの追加: チーム内のすべてのユーザーは、他のすべてのユーザーと互換性のある 1 つのセグメントを持っている必要があります。
Microsoft Teamsの IB の管理の詳細については、「Microsoft Teams で情報バリアを使用する」を参照してください。