次の方法で共有

情報バリアの概要

この記事では、organizationで情報バリア (IB) ポリシーを構成する方法について説明します。 いくつかの手順が含まれているため、IB ポリシーの構成を開始する前に、プロセス全体を確認してください。

Microsoft Purview ポータルまたは Office 365 セキュリティおよびコンプライアンス PowerShell を使用して、organizationで IB を構成します。 IB を初めて構成する組織では、Microsoft Purview ポータルで Information Barriers ソリューションを使用することをお勧めします。 既存の IB 構成を管理していて、PowerShell の使用に慣れている場合は、このオプションを引き続き使用できます。

IB のシナリオと機能の詳細については、「 情報バリアの詳細」を参照してください。

ヒント

計画の準備に役立つように、この記事には「シナリオ例」が含まれています。

必要なサブスクリプションとアクセス許可

IB の使用を開始する前に、Microsoft 365 サブスクリプションとアドオンを確認してください。 IB にアクセスして使用するには、organizationにサポート サブスクリプションまたはアドオンが必要です。 詳細については、Information Barriers の サブスクリプション要件 に関するページを参照してください。

IB ポリシーを管理する場合は、次のいずれかのロールが割り当てられている必要があります。

  • Microsoft 365 グローバル管理者
  • Office 365 グローバル管理者
  • コンプライアンス管理者
  • IB コンプライアンス管理

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。

構成の概念

IB を構成するときは、いくつかのオブジェクトと概念を操作します。

  • ユーザー アカウント属性: Microsoft Entra ID (またはExchange Online) によってこれらの属性が定義されます。 これらの属性には、部署、役職、場所、チーム名、およびその他のジョブ プロファイルの詳細を含めることができます。 これらの属性を持つセグメントにユーザーまたはグループを割り当てます。

  • セグメント: Microsoft Purview ポータルまたは PowerShell を使用して、これらのグループまたはユーザーのセットを定義します。 選択したグループまたはユーザー アカウント属性を使用します。

    組織は最大 5,000 個のセグメントを保持できます。また、ユーザーは最大 10 個のセグメントに割り当てることができます。 詳細については、IB でサポートされる属性の一覧を参照してください。

    重要

    5,000 個のセグメントのサポートと複数のセグメントへのユーザーの割り当ては、組織が Legacy モードでない場合にのみ使用できます。 ユーザーを複数のセグメントに割り当てるには、organizationの Information Barriers モードを変更するための追加の手順が必要です。 詳細については、「 Information Barriers でマルチセグメント サポートを使用する」を参照してください。

    Legacy モードの組織の場合、サポートされるセグメントの最大数は 250 個であり、ユーザーは 1 つのセグメントにのみ割り当てられるように制限されます。 レガシ モードの組織は、今後、最新バージョンの Information Barriers にアップグレードする資格があります。 詳細については、「 情報バリアのロードマップ」を参照してください。

  • IB ポリシー: これらのポリシーは、通信の制限または制限を決定します。 IB ポリシーを定義する際は、次の 2 種類のポリシーから選択します:

    • 禁止ポリシーは、あるセグメントと別のセグメントとの通信を禁止します。

    • 許可ポリシーは、あるセグメントが他の特定のセグメントとのみ通信することを許可します。

      注:

      レガシ モードの組織の場合: IB 以外のグループとユーザーは、許可ポリシーの IB セグメントとポリシーに含まれるユーザーには表示されません。 IB 以外のグループとユーザーを IB セグメントとポリシーに含まれたユーザーに表示する必要がある場合は、ブロック ポリシーを使用する必要があります。

      SingleSegment または MultiSegment モードの組織の場合: IB 以外のグループとユーザーは、IB セグメントとポリシーに含まれるユーザーに表示されます。

      IB モードを確認するには、「組織の IB モードを確認する」を参照してください。

  • ポリシー アプリケーション: 定義した後、すべての IB ポリシーを適用します。

  • IB 以外のユーザーとグループの可視性: IB 以外のユーザーとグループは、IB セグメントとポリシーから除外されたユーザーとグループです。 organizationで IB ポリシーを構成するタイミングと IB ポリシーの種類 (ブロックまたは許可) によって、これらのユーザーとグループの動作は、Microsoft Teams、SharePoint、OneDrive、およびグローバル アドレス一覧で異なります。

    • レガシ モードの組織の場合: 許可ポリシーで定義されているユーザーの場合、IB 以外のグループとユーザーは、IB セグメントとポリシーに含まれるユーザーには表示されません。 ブロック ポリシーで定義されているユーザーの場合、IB 以外のグループとユーザーは、IB セグメントとポリシーに含まれるユーザーに表示されます。
    • SingleSegment または MultiSegment モードの組織の場合: IB 以外のグループとユーザーは、IB セグメントとポリシーに含まれるユーザーに表示されます。

  • グループのサポート: IB では現在、モダン グループのみがサポートされています。 ディストリビューション Listsとセキュリティ グループは、IB 以外のグループとして扱われます。

  • 非表示または無効のユーザー アカウントとゲスト アカウント: organizationの非表示または無効なユーザー アカウントとゲスト アカウントの場合、HiddenFromAddressListEnabled パラメーターは、ユーザー アカウントが非表示または無効になっている場合、またはゲストが作成されたときに自動的に True に設定されます。 organization モードが IB 対応組織のレガシである場合、これらのアカウントは他のすべてのユーザー アカウントと通信できません。 管理者は、HiddenFromAddressListEnabled パラメーターを手動で False に設定することで、この既定の動作を無効にすることができます。

構成の概要

手順 内容
手順 1: 前提条件が満たされていることを確認する - 必要なサブスクリプションとアクセス許可があることを確認する
- ディレクトリにユーザーをセグメント化するためのデータが含まれていることを確認する
- Microsoft Teams の名前による検索を有効にする
- 監査ログの記録をオンにしてあることを確認する
- 組織の IB モードを確認する
- Exchange アドレス帳ポリシーの実装方法を構成する (organizationで IB を有効にした場合に応じて)
手順 2: 組織内のユーザーをセグメント化する - 必要なポリシーを決定する
- 定義するセグメントのリストを作成する
- 使用する属性を特定する
- ポリシー フィルターの観点からセグメントを定義する
手順 3: 情報バリア ポリシーを作成する - ポリシーを作成する (まだ適用しない)
- 2 つの種類から選択します (ブロックまたは許可)
手順 4: 情報バリア ポリシーを適用する - ポリシーをアクティブな状態に設定する
- ポリシー アプリケーションを実行する
- ポリシーの状態を表示する
手順 5: SharePoint と OneDrive の情報バリアの構成 (省略可能) - SharePoint と OneDrive 用に IB を構成する
手順 6: 情報バリア モード (省略可能) - 該当する場合は IB のモードを更新する
手順 7: Information Barriers のユーザー検出可能性を構成する (省略可能) - 該当する場合は、[ユーザー ピッカー] を使用して IB でのユーザーの検出可能性を有効または制限します。

手順 1: 前提条件が満たされていることを確認する

IB を構成する前に、必要なサブスクリプションとアクセス許可に加えて、次の要件を満たしていることを確認してください。

  • ディレクトリ データ: 組織の構造がディレクトリ データに反映されていることを確認してください。 このアクションを実行するには、ユーザー アカウント属性 (グループ メンバーシップ、部署名、その他の属性など) が、Microsoft Entra ID またはExchange Onlineに正しく設定されていることを確認します。 詳細については、次のリソースを参照してください。

  • スコープ付きディレクトリ検索: 組織の最初の IB ポリシーを定義する前に、Microsoft Teams のスコープ付きディレクトリ検索を有効にする必要があります。 IB ポリシーを設定または定義する前に、スコープ付きディレクトリ検索を有効にして、少なくとも 24 時間待ちます。

  • 監査ログが有効になっていることを確認する: IB ポリシー アプリケーションの状態を検索するには、監査ログを有効にする必要があります。 Microsoft 365 の組織では、監査が既定で有効になっています。 組織によっては、特定の理由で監査を無効にすることがあります。 organizationの監査が無効になっている場合は、別の管理者が無効にした可能性があります。 この手順を完了する場合は、監査を再びオンにしても問題ないか確認することをお勧めします。 詳細については、「監査ログの検索を有効または無効にする」をご覧ください。

  • 組織の IB モードを確認する: 複数セグメントのサポート、ユーザー検出可能性のオプション、Exchange ABP などの機能は、組織の IB モードによって決定されます。 組織の IB モードを確認するには、「組織の IB モードを確認する」を参照してください。

  • 既存の Exchange Online アドレス帳ポリシーを削除する (省略可能):

    • レガシ モードの組織の場合: IB ポリシーを定義して適用する前に、organization内のすべての既存のExchange Online アドレス帳ポリシーを削除します。 IB ポリシーはアドレス帳ポリシーに基づいていて、既存の ABP ポリシーは IB によって作成された ABP との互換性がありません。 既存のアドレス帳ポリシーを削除するには、「Exchange Online でアドレス帳ポリシーを削除する」を参照してください。 IB ポリシーとExchange Onlineの詳細については、「情報バリアとExchange Online」を参照してください。
    • SingleSegment または MultiSegment モードの組織の場合: 情報バリアは、Exchange Online アドレス帳ポリシー (ACP) に基づいていません。 ACP を使用している組織は、情報バリアを有効にしても、既存の ABP に影響を与えることはありません。

  • PowerShell を使用して管理する (省略可能): Microsoft Purview ポータルで IB セグメントとポリシーを定義および管理することも、必要に応じて Office 365 Security & Compliance PowerShell を使用することもできます。 この記事ではいくつかの例を示しますが、PowerShell を使用して IB セグメントとポリシーを構成および管理する場合は、PowerShell コマンドレットとパラメーターについて理解しておく必要があります。 この構成オプションを選択した場合は、 Microsoft Graph PowerShell SDK も必要です。

すべての前提条件を満たしたら、次の手順に進みます。

手順 2: 組織内のユーザーをセグメント化する

この手順では、必要な IB ポリシーを決定し、定義するセグメントのリストを作成し、セグメントを定義します。 セグメントを定義しても、ユーザーには影響しません。IB ポリシーを定義して適用するためのステージを設定するだけです。

必要なポリシーを決定する

organizationのニーズを考慮し、IB ポリシーを必要とするorganization内のグループを決定します。 次の点について理解しているかどうかを確認します。

  • 組織内のグループとユーザーの間で通信とコラボレーションを制限する必要がある内部、法律、または業界の規制がありますか?
  • 別のユーザー グループとの通信を禁止する必要があるグループまたはユーザーはありますか?
  • 1 つまたは 2 つの他のユーザー グループとの通信のみを許可する必要があるグループまたはユーザーはありますか?

必要なポリシーは、次の 2 種類のいずれかに属すると考えてください:

  • ブロック ポリシーは、あるグループと別のグループの通信を禁止します。
  • 許可ポリシーは、あるグループが特定のグループのみと通信することを許可します。

必要なグループとポリシーの最初のリストがある場合は、IB ポリシーに必要なセグメントの特定に進みます。

セグメントを特定する

ポリシーの初期のリストに加えて、組織に応じたセグメントのリストを作成します。 IB ポリシーに含まれるユーザーは、少なくとも 1 つのセグメントに属している必要があります。 ユーザーは、必要に応じて複数のセグメントに割り当てることができます。 organizationには最大 5,000 個のセグメントを含め、各セグメントには IB ポリシーを 1 つだけ適用できます。

重要

レガシ モードまたは SingleSegement モードの組織の場合、ユーザーは 1 つのセグメントにのみ属できます。 IB モードを確認するには、「組織の IB モードを確認する」を参照してください。

セグメントの定義に使用する組織のディレクトリ データ内の属性を決定します。 DepartmentMemberOf などのサポートされている IB 属性のいずれかを使用できます。 ユーザーに選択する属性には値があることを確認します。 詳細については、IB でサポートされている属性を参照してください。

重要

次のセクションに進む前に、ディレクトリ データに、セグメントの定義に使用できる属性の値があることを確認してください。 ディレクトリ データに使用する属性の値がない場合は、IB の構成に進む前に、その情報を含むようにユーザー アカウントを更新します。 ヘルプについては、次のリソースを参照してください。

- Office 365 PowerShell でユーザー アカウント プロパティを構成する
- Microsoft Entra ID を使用してユーザーのプロファイル情報を追加または更新する

ユーザーに対する複数セグメントのサポートを有効にする (省略可能)

複数のセグメントにユーザーを割り当てるサポートは、organizationがレガシ モードでない場合にのみ使用できます。 複数のセグメントへのユーザーの割り当てをサポートするには、「 Information Barriers でマルチセグメント サポートを使用する」を参照してください。

レガシ モードでは 、組織の 1 つのセグメントにのみユーザーを割り当てることができます。 レガシ モードの組織は、今後、最新バージョンの Information Barriers にアップグレードする資格があります。 詳細については、「 情報バリアのロードマップ」を参照してください。

ポータルを使用してセグメントを定義する

セグメントを定義するには、次の手順を実行します:

  1. organizationの管理者アカウントの資格情報を使用して Microsoft Purview ポータルにサインインします。
  2. [情報バリア] ソリューション カードを選択します。 [情報バリア] ソリューションのカードが表示されない場合は、[すべてのソリューションの表示] を選択し、[リスク & コンプライアンス] セクションから [情報バリア] を選択します。
  3. [ セグメント] を選択します
  4. [セグメント] ページで [新しいセグメント] を選択し、新しいセグメントを作成して構成します。
  5. [名前] ページで、セグメントの名前を入力します。 セグメントの名前は、作成後は変更できません。
  6. [次へ] を選択します。
  7. [ユーザー グループ フィルター] ページで、[追加] を選択して、このセグメント用のグループとユーザーの属性を構成します。 使用可能な属性の一覧からセグメント用の属性を選択します。
  8. 選択した属性に対して、[等しい] または [等しくない] のどちらかを選択し、属性の値を入力します。 たとえば、属性として [部署] を選択し、[等しい] を選択した場合は、このセグメント条件に対して定義された部署として「Marketing」と入力できます。 [ 条件の追加] を選択して、属性に追加の条件を追加します。 属性または属性の条件を削除するには、属性または条件の削除アイコンを選択します。
  9. [ ユーザー グループ フィルター ] ページで必要に応じて属性を追加し、[ 次へ] を選択します。
  10. [ 設定の確認 ] ページで、セグメントに対して選択した設定と、選択した候補または警告を確認します。 [編集] を選択して、セグメントの属性と条件を変更します。または、[送信] を選択してセグメントを作成します。

PowerShell を使用してセグメントを定義する

PowerShell を使用してセグメントを定義するには、次の手順を実行します。

  1. New-OrganizationSegment コマンドレットを UserGroupFilter パラメーターと共に使用します。このパラメーターは使用する属性に対応します。

    構文
    New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'" New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"

    この例では、HR という名前のセグメントを、部門属性の値である HR を使用して定義します。 このコマンドレットの -eq の部分は、"等しい" を表しています (または、-ne を使用して "等しくない" を表すこともできます。セグメント定義での "等しい" と "等しくない" の使用方法を参照してください)。

    各コマンドレットを実行すると、新しいセグメントに関する詳細の一覧が表示されます。 詳細には、セグメントの種類、セグメントを作成または最終変更したユーザーなどが含まれます。

  2. 定義するセグメントごとに、このプロセスを繰り返します。

セグメントを定義したら、「 手順 3: IB ポリシーを作成する」に進みます。

PowerShell セグメント定義で "等しい" と "等しくない" を使用する

次の例では、PowerShell を使用して IB セグメントを構成します。 "部署が HR と等しい" ようなセグメントを定義します。

注:
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" セグメント定義には、 -eq として示される "equals" パラメーターが含まれています。

次の表に示すように、 -ne として示される "等しくない" パラメーターを使用してセグメントを定義することもできます。

構文
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" Sales に参加していないすべてのユーザーを含む NotSales という名前のセグメントを定義 します。 コマンドレットの -ne の部分は、"等しくない" を表します。

"equals" または "not equals" を使用してセグメントを定義するだけでなく、"equals" パラメーターと "等しくない" パラメーターの両方を使用してセグメントを定義できます。 論理 AND 演算子と OR 演算子を使用して、複雑なグループ フィルターを定義することもできます。

構文
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" LocalFTE という名前のセグメントを定義します。これには、ローカルに配置され、その位置が一時として一覧表示されていないユーザーが含まれます。
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq 'group1@contoso.com'' -and MemberOf -ne 'group3@contoso.com'" セグメント 1 という名前のセグメントを定義します。これには、group3@contoso.comのメンバーではなく、group1@contoso.comのメンバーであるユーザーが含まれます。
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq 'group2@contoso.com' -or MemberOf -ne 'group3@contoso.com'" セグメント 2 という名前のセグメントを定義します。これには、group3@contoso.comのメンバーではなく、group2@contoso.comのメンバーであるユーザーが含まれます。
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq 'group1@contoso.com' -or MemberOf -eq 'group2@contoso.com') -and MemberOf -ne 'group3@contoso.com'" group3@contoso.comのメンバーではなく、group1@contoso.comとgroup2@contoso.comのユーザーを含む Segment1and2 という名前のセグメントを定義します。

ヒント

可能であれば、"-eq" または "-ne" が含まれたセグメント定義を使用します。 複雑なセグメント定義を定義しようとしないでください。

手順 3: IB ポリシーを作成する

IB ポリシーを作成するときは、特定のセグメント間の通信を禁止するか、特定のセグメントへの通信を制限するかを決定します。 理想的には、IB ポリシーの最小数を使用して、organizationが内部、法的、および業界の要件に準拠していることを確認します。 Microsoft Purview ポータルまたは PowerShell を使用して、IB ポリシーを作成して適用できます。

ヒント

ユーザー エクスペリエンスの一貫性を確保するために、可能であれば、ほとんどのシナリオにブロック ポリシーを使用することをお勧めします。

定義するユーザー セグメントと IB ポリシーの一覧を使用して、シナリオを選択し、手順に従います。

重要

セグメントに複数のポリシーを割り当てないでください。 たとえば、 Sales というセグメントに対して 1 つのポリシーを定義する場合は、 Sales セグメントに追加のポリシーを定義しないでください。

IB ポリシーを定義するときは、適用する準備ができるまで、これらのポリシーを非アクティブ状態に設定します。 ポリシーの定義 (または編集) は、それらのポリシーをアクティブな状態に設定してから適用するまで、ユーザーには影響しません。

シナリオ 1: セグメント間の通信をブロックする

セグメント間の通信をブロックする場合は、方向ごとに 1 つずつという 2 つのポリシーを定義します。 各ポリシーでは、一方向の通信のみをブロックします。

たとえば、セグメント A とセグメント B の間の通信をブロックするとします。次の 2 つのポリシーを定義します。

  • セグメント A がセグメント B と通信できないようにする 1 つのポリシー
  • セグメント B がセグメント A と通信できないようにする 2 つ目のポリシー

シナリオ 1 のポータルを使用してポリシーを作成する

次の手順を使用して、ポリシーの作成を実行します:

  1. organizationの管理者アカウントの資格情報を使用して Microsoft Purview ポータルにサインインします。

  2. [情報バリア] ソリューション カードを選択します。 [情報バリア] ソリューションのカードが表示されない場合は、[すべてのソリューションの表示] を選択し、[リスク & コンプライアンス] セクションから [情報バリア] を選択します。

  3. [ポリシー] を選択します。

  4. [ポリシー] ページで [ポリシーの作成] を選択し、新しい IB ポリシーを作成して構成します。

  5. [名前] ページで、ポリシーの名前を入力して、[次へ] を選択します。

  6. [割り当て済みセグメント] ページで、[セグメントを選択する] を選択します。 検索ボックスを使用して名前でセグメントを検索するか、スクロールすると表示される一覧からセグメントを選択します。 [追加] を選択して、選択したセグメントをポリシーに追加します。 選択できるセグメントは 1 つだけです。

  7. [次へ] を選択します。

  8. [コミュニケーションとコラボレーション] ページにある [コミュニケーションとコラボレーション] フィールドでポリシーの種類を選択します。 ポリシーのオプションは、[許可] または [ブロック] のどちらかです。 この例のシナリオでは、最初のポリシーで [ブロック] を選択します。

    重要

    ポリシーを作成した後、セグメントの許可およびブロック状態を変更することはできません。 状態を変更するには、ポリシーを削除し、新しいポリシーを作成します。

  9. [セグメントを選択する] を選択して、ターゲット セグメントのアクションを定義します。 この手順では、複数セグメントの割り当てができます。 たとえば、Sales というセグメントのユーザーが Research というセグメントのユーザーと通信できないようにするには、手順 5 で Sales セグメントを定義し、この手順の [セグメントの選択] オプションで Research を割り当てます。

  10. [次へ] を選択します。

  11. [ポリシーの状態] ページで、アクティブなポリシーの状態を [オン] に切り替えます。 [次へ] を選んで続行します。

  12. [ 設定の確認 ] ページで、ポリシーに対して選択した設定と、選択した候補または警告を確認します。 [編集] を選択してポリシーのセグメントと状態を変更するか、[送信] を選択してポリシーを作成します。

この例では、前の手順を繰り返して 2 つ目の ブロック ポリシーを作成し、 Research というセグメントのユーザーが Sales というセグメント内のユーザーと通信できないように制限 します。 手順 5 で研究セグメントを定義し、[セグメントの選択] オプションで売上 (または複数のセグメント) を割り当てます。

PowerShell を使用してシナリオ 1 のポリシーを作成する

PowerShell でポリシーを定義するには、次の手順を実行します:

  1. 最初のブロック ポリシーを定義するには、New-InformationBarrierPolicy コマンドレットを SegmentsBlocked パラメーターと共に使用します。

    構文
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsBlocked "segmentBname" New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

    この例では、Sales というセグメントに対して Sales-Research というポリシーを定義 します。 このポリーがアクティブになっていて適用されると、Sales のユーザーは Research というセグメント内のユーザーと通信できなくなります。

  2. 2 つ目のブロック セグメントを定義するには、New-InformationBarrierPolicy コマンドレットを SegmentsBlocked パラメーターと共にもう一度使用しますが、今回はセグメントが逆になります。

    注:
    New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive この例では、 Research-Sales というポリシーを定義して、 Research が Sales と通信できないように します

  3. 次のいずれかの手順を実行します:

シナリオ 2: セグメントが別のセグメント 1 つとだけ通信できるようにする

セグメントが他の 1 つのセグメントとのみ通信できるようにする場合は、2 つのポリシー (方向ごとに 1 つ) を定義します。 各ポリシーでは、1 方向のみの通信を許可します。

この例では、次の 2 つのポリシーを定義します。

  • セグメント A がセグメント B と通信できるようにする 1 つのポリシー
  • セグメント B がセグメント A と通信できるようにする 2 つ目のポリシー

シナリオ 2 のポータルを使用してポリシーを作成する

次の手順を使用して、ポリシーの作成を実行します:

  1. organizationの管理者アカウントの資格情報を使用して Microsoft Purview ポータルにサインインします。

  2. [情報バリア] ソリューション カードを選択します。 [情報バリア] ソリューションのカードが表示されない場合は、[すべてのソリューションの表示] を選択し、[リスク & コンプライアンス] セクションから [情報バリア] を選択します。

  3. [ポリシー] ページで [ポリシーの作成] を選択し、新しい IB ポリシーを作成して構成します。

  4. [名前] ページで、ポリシーの名前を入力して、[次へ] を選択します。

  5. [割り当て済みセグメント] ページで、[セグメントを選択する] を選択します。 検索ボックスを使用して名前でセグメントを検索するか、スクロールすると表示される一覧からセグメントを選択します。 [追加] を選択して、選択したセグメントをポリシーに追加します。 選択できるセグメントは 1 つだけです。

  6. [次へ] を選択します。

  7. [コミュニケーションとコラボレーション] ページにある [コミュニケーションとコラボレーション] フィールドでポリシーの種類を選択します。 ポリシーのオプションは、[許可] または [ブロック] のどちらかです。 このシナリオの例では、ポリシーの [ 許可] を選択します。

    重要

    ポリシーを作成した後、セグメントの許可およびブロック状態を変更することはできません。 状態を変更するには、ポリシーを削除し、新しいポリシーを作成します。

  8. [セグメントを選択する] を選択して、ターゲット セグメントのアクションを定義します。 この手順では、複数セグメントの割り当てができます。 たとえば、製造というセグメントのユーザーが HR というセグメントのユーザーと通信できるようにする場合は、手順 5 で製造セグメントを定義し、この手順の [セグメントの選択] オプションで HR を割り当てます。

  9. [次へ] を選択します。

  10. [ポリシーの状態] ページで、アクティブなポリシーの状態を [オン] に切り替えます。 [次へ] を選んで続行します。

  11. [ 設定の確認 ] ページで、ポリシーに対して選択した設定と、選択した候補または警告を確認します。 [編集] を選択してポリシーのセグメントと状態を変更するか、[送信] を選択してポリシーを作成します。

  12. 前の手順を繰り返して、Research というセグメントのユーザーが Sales というセグメントのユーザーと通信できるようにする 2 つ目の許可ポリシーを作成します。 手順 5研究セグメントを定義し、[セグメントの選択] オプションで売上 (または複数のセグメント) を割り当てます。

PowerShell を使用してシナリオ 2 のポリシーを作成する

PowerShell でポリシーを定義するには、次の手順を実行します:

  1. あるセグメントがもう一方のセグメントとのみ通信できるようにするには、New-InformationBarrierPolicy コマンドレットを SegmentsAllowed パラメーターと共に使用します。

    構文
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname","segment1name" New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State Inactive

    この例では、 Manufacturing-HR という名前のポリシーを Manufacturing というセグメントに定義 します。 このポリーがアクティブになっていて適用されると、Manufacturing のユーザーは HR というセグメント内のユーザーと通信できるようになります。 この場合、ManufacturingHR に属していないユーザーと通信できません。

    必要に応じて、次の例に示すように、このコマンドレットに複数のセグメントを指定できます。

    構文
    New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname", "segmentCname","segmentDname" New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State Inactive

    この例では、 リサーチ セグメントが 人事 および 製造とのみ通信できるようにするポリシーを定義します。

    この手順を定義するポリシーごとに繰り返して、特定のセグメントが特定の別のセグメントのみと通信できるようにします。

  2. 2 つ目の許可セグメントを定義するには、New-InformationBarrierPolicy コマンドレットを SegmentsAllowed パラメーターと共にもう一度使用しますが、今回はセグメントが逆になります。

    注:
    New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsAllowed "Sales" -State Inactive この例では、 Research-Sales というポリシーを定義して、 ResearchSales と通信できるようにします。

  3. 次のいずれかの手順を実行します:

手順 4: IB ポリシーを適用する

IB ポリシーは、アクティブな状態に設定し、ポリシーを適用すると有効になります。

ポータルを使用してポリシーを適用する

ポリシーを適用するには、次の手順を実行します:

  1. organizationの管理者アカウントの資格情報を使用して Microsoft Purview ポータルにサインインします。

  2. [情報バリア] ソリューション カードを選択します。 [情報バリア] ソリューションのカードが表示されない場合は、[すべてのソリューションの表示] を選択し、[リスク & コンプライアンス] セクションから [情報バリア] を選択します。

  3. [ ポリシー アプリケーション] を選択します

  4. [ポリシーの適用] ページで、[すべてのポリシーを適用] を選択して、組織のすべての IB ポリシーを適用します。

    注:

    システムがポリシーの適用を開始するまで 30 分待ちます。 システムは、ユーザーごとにポリシー ユーザーを適用し、1 時間あたり約 5,000 のユーザー アカウントを処理します。

PowerShell を使用してポリシーを適用する

PowerShell を使用してポリシーを適用するには、次の手順を実行します。

  1. Get-InformationBarrierPolicy コマンドレットを使用して、定義されたポリシーの一覧を表示します。 各ポリシーの状態と ID (GUID) をメモします。

    構文: Get-InformationBarrierPolicy

  2. Set-InformationBarrierPolicy コマンドレットを使用し、Identity パラメーターと State パラメーターを Active に設定して、ポリシーをアクティブな状態に設定します。

    構文
    Set-InformationBarrierPolicy -Identity GUID -State Active Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Active

    この例では、GUID 43c37853-ea10-4b90-a23d-ab8c93772471 の IB ポリシーをアクティブな状態に設定しました。

    ポリシーごとにこの手順を繰り返します。

  3. IB ポリシーをアクティブな状態に設定したら、Security & Compliance PowerShell の Start-InformationBarrierPoliciesApplication コマンドレットを使用します。

    構文: Start-InformationBarrierPoliciesApplication

    Start-InformationBarrierPoliciesApplication を実行した後、システムがポリシーを適用を開始するまで 30 分待ちます。 システムは、ユーザーごとにポリシー ユーザーを適用し、1 時間あたり約 5,000 のユーザー アカウントを処理します。

ユーザー アカウント、セグメント、ポリシー、またはポリシー適用の状態を表示する

PowerShell を使用すると、次の表に示すように、ユーザー アカウント、セグメント、ポリシー、ポリシー アプリケーションの状態を表示できます。

この情報を表示する場合 実行するアクション
ユーザー アカウント RecipientId パラメーターで Get-ExoInformationBarrierRelationship コマンドレットを使用します。

構文: Get-ExoInformationBarrierRelationship -RecipientId1 <value> -RecipientId2 <value>

名前、エイリアス、識別名、正規ドメイン名、電子メール アドレス、GUID など、各ユーザーを一意に識別する任意の値を使用できます。

例: Get-ExoInformationBarrierRelationship -RecipientId1 meganb -RecipientId2 alexw

この例では、Office 365 の 2 つのユーザー アカウント MeganmeganbAlexalexw を参照しています。

このコマンドレットは、属性値や適用されているすべての IB ポリシーなど、ユーザーに関する情報を返します。
セグメント Get-OrganizationSegment コマンドレットを使用します。

構文: Get-OrganizationSegment

このコマンドレットは、organizationに対して定義されているすべてのセグメントの一覧を表示します。
IB ポリシー Get-InformationBarrierPolicy コマンドレットを使用します。

構文: Get-InformationBarrierPolicy

このコマンドレットは、定義した IB ポリシーとその状態の一覧を表示します。
最近の IB ポリシー適用 Get-InformationBarrierPoliciesApplicationStatus コマンドレットを使用します。

構文: Get-InformationBarrierPoliciesApplicationStatus

このコマンドレットは、ポリシー適用が完了したか、失敗したか、進行中かどうかに関する情報を表示します。
すべての IB ポリシー適用 Get-InformationBarrierPoliciesApplicationStatus -All を使う

このコマンドレットは、ポリシー適用が完了したか、失敗したか、進行中かどうかに関する情報を表示します。

ポリシーの削除または変更が必要な場合はどうすればよいですか?

IB ポリシーの管理に役立つ参照資料があります。

手順 5: SharePoint と OneDrive の情報バリアの構成

SharePoint と OneDrive 用に IB を構成する場合は、これらのサービスで IB を有効にする必要があります。 また、MICROSOFT TEAMS用に IB を構成する場合は、これらのサービスで IB を有効にする必要があります。 Microsoft Teamsでチームを作成すると、SharePoint サイトを自動的に作成し、ファイル エクスペリエンスのMicrosoft Teamsに関連付けます。 既定では、この新しい SharePoint サイトとファイルでは IB ポリシーは適用されません。

SharePoint と OneDrive で IB を有効にするには、「SharePoint で 情報バリアを使用する」 のガイダンスと手順に従います。

手順 6: 情報バリア モード (省略可能)

モードは、リソースの IB モードに基づいて、Microsoft 365 リソースのアクセス、共有、メンバーシップを強化するのに役立ちます。 Microsoft 365 グループ、Microsoft Teams、OneDrive、および SharePoint サイトでは、モードがサポートされます。 新しい IB または既存の IB 構成では、モードが自動的に有効になります。

次の IB モードでは、Microsoft 365 リソースがサポートされています。

モード 説明
Open Microsoft 365 リソースには、IB ポリシーまたはセグメントは関連付けされません。 誰でもリソースのメンバーに招待できます。 組織のピクニック イベント用に作成されたチーム サイト。
所有者モデレート リソース所有者の IB ポリシーによって、Microsoft 365 リソースの IB ポリシーが決定されます。 リソース所有者は、自分の IB ポリシーに基づいて任意のユーザーをリソースに招待できます。 このモードは、所有者がモデレートする互換性のないセグメント ユーザー間のコラボレーションを会社が許可する場合に便利です。 IB ポリシーに従って新しいメンバーを追加できるのは、リソース所有者だけです。 HR の VP は、営業と調査の VP と共同作業したいと考えています。 IB モードの所有者モデレートが設定された新しい SharePoint サイトで、営業と調査の両方のセグメント ユーザーを同じサイトに追加します。 適切なメンバーがリソースに追加されていることを確認するのは所有者の責任です。
暗黙的 リソース メンバーの IB ポリシーは、Microsoft 365 リソースの IB ポリシーまたはセグメントを決定します。 所有者は、リソースの既存のメンバーとの互換性がある限り、メンバーを追加できます。 このモードは、Microsoft Teams の既定の IB モードです。 営業セグメント ユーザーは、Microsoft Teams チームを作成して、組織内の別の互換性のあるセグメントと共同作業します。
Explicit リソースに関連付けられているセグメントによって、Microsoft 365 リソースの IB ポリシーが決まります。 リソース所有者または SharePoint 管理者は、リソースのセグメントを管理できます。 そのサイトに営業セグメントを関連付けることで、営業セグメントのメンバーが共同作業するためにのみ作成されたサイト。
Mixed OneDrive にのみ適用されます。 OneDrive に関連付けられているセグメントによって、OneDrive の IB ポリシーが決まります。 リソース所有者または OneDrive 管理者は、リソースのセグメントを管理できます。 営業セグメントのメンバーが共同作業のために作成した OneDrive は、セグメント化されていないユーザーと共有できます。

暗黙的モードの更新

organizationで IB を有効にした場合に応じて、organizationはレガシSingleSegment、または MultiSegment organization モードになります。 モードを確認するには、「組織の IB モードを確認する」を参照してください。

organizationが SingleSegment または MultiSegment モードで、Teams グループの情報バリア モードが暗黙的である場合、Teams に接続されたグループ/サイトにはセグメントが関連付けられません。

IB モードの詳細と、サービス間でそれらを構成する方法については、次の記事を参照してください。

手順 7: Information Barriers のユーザー検出可能性を構成する (省略可能)

情報バリア ポリシーを使用すると、管理者はユーザー選択ウィンドウで検索制限を有効または無効にすることができます。 既定では、IB ポリシーに対してユーザー ピッカーの制限が有効になっています。 たとえば、2 人の特定のユーザーの通信をブロックする IB ポリシーでは、それらのユーザーがユーザー ピッカーを使用するときに相互に表示されないように制限することもできます。

重要

検索制限の有効化または無効化のサポートは、組織が Legacy モードでない場合にのみ使用できます。 レガシ モードの組織では、検索制限を有効または無効にすることはできません。 検索制限を有効または無効にするには、organizationの Information Barriers モードを変更するための追加のアクションが必要です。 詳細については、「 Information Barriers でマルチセグメント サポートを使用する)」を参照してください。

レガシ モードの組織は、今後、最新バージョンの Information Barriers にアップグレードする資格があります。 詳細については、「 情報バリアのロードマップ」を参照してください。

PowerShell を使用してユーザー 選択ウィンドウの検索制限を無効にするには、次の手順を実行します。

  1. Set-PolicyConfig コマンドレットを使用して、ユーザー ピッカーの制限を無効にします。
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'

シナリオ例: Contoso の部門、セグメント、ポリシー

組織がセグメントとポリシーの定義に取りかかる方法を確認するために、次のシナリオ例を考えてみましょう。

Contoso の部門とプラン

Contoso には、HRSalesMarketingResearch、および Manufacturing の 5 つの部門があります。 業界の規制に準拠するために、次の表に示すように、一部の部門のユーザーは他の部門と通信できません。

セグメント 通信できる相手 通信できない相手
HR すべてのユーザー (制限なし)
営業 HR、Marketing、Manufacturing 研究
マーケティング すべてのユーザー (制限なし)
リサーチ HR、Marketing、Manufacturing 営業
製造 HR、Marketing HR または Marketing 以外のユーザー

この構造に応じて、Contoso の計画には次の 3 つの IB ポリシーが含まれています:

  1. セールスとリサーチのコミュニケーションを妨げる IB ポリシー。
  2. リサーチとセールスのコミュニケーションを妨げる IB ポリシー。
  3. 製造業が人事およびマーケティングとのみ通信できるようにする IB ポリシー。

このシナリオでは、 HR または マーケティングの IB ポリシーを定義する必要はありません。

Contoso の定義済みセグメント

Contoso は、次のように、Microsoft Entra ID の Department 属性を使用してセグメントを定義します。

部署 セグメントの定義
人事 New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"
営業 New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'"
マーケティング New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'"
リサーチ New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'"
製造 New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'"

セグメントを定義した後、Contoso は IB ポリシーを定義します。

Contoso の IB ポリシー

Contoso は、次の表で示すように 3 つのポリシーを定義します。

ポリシー ポリシー定義
ポリシー 1: 営業部門がリサーチ部門と通信できないようにする New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

この例では、この IB ポリシーを Sales-Research と呼びます。 このポリシーをアクティブ化して適用すると、Sales セグメントのユーザーが Research セグメントのユーザーと通信できなくなります。 このポリシーは一方向ポリシーです。リサーチが Sales と通信することを妨げません。 そのため、ポリシー2が必要です。
ポリシー 2: リサーチ部門が営業部門と通信できないようにする New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive

この例では、この IB ポリシーを Research-Sales と呼びます。 このポリシーをアクティブ化して適用すると、Research セグメントのユーザーが Sales セグメントのユーザーと通信できなくなります。
ポリシー 3: Manufacturing が HR および Marketing とだけ通信できるようにする New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive

この場合、この IB ポリシーを Manufacturing-HRMarketing と呼びます。 このポリシーをアクティブ化して適用すると、製造は人事およびマーケティングとのみ通信できます。 HR と Marketing は、その他のセグメントとの通信が制限されていません。

セグメントとポリシーを定義した後、Contoso は Start-InformationBarrierPoliciesApplication コマンドレットを実行してポリシーを適用します。

コマンドレットが完了すると、Contoso は業界の要件に準拠します。

リソース