Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como configurar políticas de barreiras de informação (IB) na sua organização. Estão envolvidos vários passos, por isso, reveja todo o processo antes de começar a configurar as políticas ib.
Utilize o portal do Microsoft Purview ou Office 365 PowerShell de Segurança e Conformidade para configurar o IB na sua organização. Para organizações que configuram o IB pela primeira vez, recomendamos que utilize a solução Barreiras de Informação no portal do Microsoft Purview. Se estiver a gerir uma configuração ib existente e estiver confortável a utilizar o PowerShell, ainda tem esta opção.
Para obter mais informações sobre cenários e funcionalidades do IB, veja Saiba mais sobre as Barreiras de Informação.
Dica
Para o ajudar a preparar o seu plano, é incluído um cenário de exemplo neste artigo.
Subscrições e permissões necessárias
Antes de começar a utilizar o IB, confirme a sua subscrição do Microsoft 365 e quaisquer suplementos. Para aceder e utilizar o IB, a sua organização tem de ter subscrições ou suplementos de suporte. Para obter mais informações, veja os requisitos de subscrição das Barreiras de Informação.
Para gerir as políticas ib, tem de lhe ser atribuída uma das seguintes funções:
- Administrador global do Microsoft 365
- Administrador global do Office 365
- Administrador de conformidade
- Gerenciamento de Conformidade do IB
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.
Conceitos de configuração
Quando configura o IB, trabalha com vários objetos e conceitos.
Atributos da conta de utilizador: Microsoft Entra ID (ou Exchange Online) define estes atributos. Esses atributos podem incluir departamento, cargo, local, nome da equipe e outros dados do perfil da função. Pode atribuir utilizadores ou grupos a segmentos com estes atributos.
Segmentos: define estes conjuntos de grupos ou utilizadores no portal do Microsoft Purview ou através do PowerShell. Utilizam atributos de conta de utilizador ou grupo selecionados.
A sua organização pode ter até 5000 segmentos e os utilizadores podem ser atribuídos a um máximo de 10 segmentos. Veja a lista de atributos suportados pelo IB para obter detalhes.
Importante
O suporte para 5000 segmentos e a atribuição de utilizadores a múltiplos segmentos só está disponível quando a sua organização não está no modo Legado . A atribuição de utilizadores a múltiplos segmentos requer passos adicionais para alterar o modo Barreiras de Informação para a sua organização. Para obter mais informações, veja Utilizar suporte de vários segmentos em Barreiras de Informação.
Para organizações no modo Legado , o número máximo de segmentos suportados é de 250 e os utilizadores estão limitados a serem atribuídos a apenas um segmento. As organizações no modo Legado são elegíveis para atualizar para a versão mais recente das Barreiras de Informação no futuro. Para obter mais informações, veja o mapa de objetivos das Barreiras de Informação.Políticas ib: estas políticas determinam limites ou restrições de comunicação. Quando define políticas ib, escolhe de entre dois tipos de políticas:
Políticas de bloqueio impedem que um segmento se comunique com outro segmento.
Políticas de permissão permitem que um segmento se comunique apenas com determinados outros segmentos.
Observação
Para organizações no modo Legado: os grupos e utilizadores não IB não são visíveis para os utilizadores incluídos nos segmentos ib e políticas para políticas de permissão. Se precisar que os grupos e utilizadores não IB fiquem visíveis para os utilizadores incluídos nos segmentos e políticas do IB, tem de utilizar políticas de blocos .
Para organizações no modo SingleSegment ou MultiSegment: os grupos e utilizadores não IB são visíveis para os utilizadores incluídos nos segmentos e políticas do IB.
Para verificar o modo IB, consulte Verificar o modo IB da sua organização.
Aplicação de política: aplica todas as políticas ib depois de as definir.
Visibilidade de utilizadores e grupos não IB: os utilizadores e grupos não IB são utilizadores e grupos excluídos dos segmentos e políticas do IB. Dependendo de quando configurar políticas IB na sua organização e do tipo de políticas IB (bloquear ou permitir), o comportamento para estes utilizadores e grupos difere no Microsoft Teams, SharePoint, OneDrive e na sua lista de endereços global.
- Para organizações no modo Legado: para os utilizadores definidos em políticas de permissão, os grupos não IB e os utilizadores não são visíveis para os utilizadores incluídos nos segmentos e políticas do IB. Para os utilizadores definidos em políticas de blocos , os grupos e utilizadores não IB são visíveis para os utilizadores incluídos nos segmentos e políticas do IB.
- Para organizações no modo SingleSegment ou MultiSegment: os grupos e utilizadores não IB são visíveis para os utilizadores incluídos nos segmentos e políticas do IB.
Suporte de grupo: atualmente, o IB suporta apenas Grupos Modernos. Os Listas de distribuição e os Grupos de Segurança são tratados como grupos não IB.
Contas de utilizador e convidado ocultas ou desativadas: para contas de utilizador e convidado ocultas ou desativadas na sua organização, o parâmetro HiddenFromAddressListEnabled é automaticamente definido como Verdadeiro quando as contas de utilizador estão ocultas ou desativadas ou quando é criado um convidado. Quando o modo de organização é Legado para organizações compatíveis com IB, estas contas não conseguem comunicar com todas as outras contas de utilizador. Os administradores podem desativar este comportamento predefinido ao definir manualmente o parâmetro HiddenFromAddressListEnabled como Falso.
Visão geral da configuração
| Etapas | O que está envolvido |
|---|---|
| Passo 1: certificar-se de que os pré-requisitos são cumpridos | - Verifique se tem as subscrições e permissões necessárias - Verifique se o diretório inclui dados para segmentação de usuários - Ativar a pesquisa por nome para o Microsoft Teams - Verifique se o log de auditoria está ativado - Verificar o modo IB da sua organização - Configurar a forma como as políticas do livro de endereços do Exchange são implementadas (dependendo de quando ativa o IB na sua organização) |
| Passo 2: segmentar utilizadores na sua organização | - Determinar de que políticas precisa - Criar uma lista de segmentos a serem definidos - Identificar quais atributos usar - Definir segmentos em termos de filtros de política |
| Passo 3: Criar políticas de Barreiras de Informação | - Crie as suas políticas (ainda não as aplique) - Escolha entre dois tipos (bloquear ou permitir) |
| Passo 4: Aplicar políticas de Barreiras de Informação | - Definir políticas como status ativo - Executar o aplicativo de política - Exibir o status da política |
| Passo 5: Configuração de Barreiras de Informação no SharePoint e no OneDrive (opcional) | - Configurar o IB para o SharePoint e o OneDrive |
| Passo 6: Modos de Barreiras de Informação (opcional) | - Atualizar os modos IB, se aplicável |
| Passo 7: Configurar a deteção do utilizador para Barreiras de Informação (opcional) | - Ative ou restrinja a deteção do utilizador no IB com o seletor de pessoas, se aplicável. |
Passo 1: certificar-se de que os pré-requisitos são cumpridos
Além das subscrições e permissões necessárias, certifique-se de que cumpre os seguintes requisitos antes de configurar o IB:
Dados do diretório: Verifique se a estrutura da sua organização é refletida nos dados do diretório. Para efetuar esta ação, certifique-se de que os atributos da conta de utilizador (como associação a grupos, nome do departamento e outros atributos) estão corretamente preenchidos no Microsoft Entra ID ou Exchange Online. Para saber mais, confira os seguintes recursos:
Pesquisa de diretórios no âmbito: antes de definir a primeira política IB da sua organização, tem de ativar a pesquisa de diretórios de âmbito no Microsoft Teams. Aguarde, pelo menos, 24 horas depois de ativar a pesquisa de diretórios no âmbito antes de configurar ou definir políticas ib.
Verifique se o registo de auditoria está ativado: para procurar o status de uma aplicação de política ib, o registo de auditoria tem de estar ativado. A auditoria está habilitada para organizações do Microsoft 365 por padrão. Algumas organizações podem desativar a auditoria por motivos específicos. Se a auditoria estiver desativada para a sua organização, poderá dever-se ao facto de outro administrador a ter desativado. Recomendamos confirmar que não há problema em ativar a auditoria novamente ao concluir esta etapa. Para saber mais, confira Ativar ou desativar a pesquisa de log de auditoria.
Verifique o modo IB da sua organização: o suporte para múltiplos segmentos, opções de deteção de pessoas, ABPs do Exchange e outras funcionalidades é determinado pelo modo IB da sua organização. Para verificar o modo IB da sua organização, consulte Verificar o modo IB da sua organização.
Remova as políticas existentes do livro de endereços Exchange Online (opcional):
- Para organizações no modo Legado: antes de definir e aplicar políticas IB, remova todas as políticas existentes Exchange Online livro de endereços na sua organização. As políticas ib baseiam-se em políticas de livros de endereços e as políticas ABPs existentes não são compatíveis com os ABPs criados pelo IB. Para remover as políticas do livro de endereços existentes, consulte Remover uma política de livro de endereços no Exchange Online. Para obter mais informações sobre as políticas e Exchange Online do IB, veja Information Barriers and Exchange Online (Barreiras de Informação e Exchange Online).
- Para organizações no modo SingleSegment ou MultiSegment: as Barreiras de Informação já não se baseiam em políticas de livro de endereços (ABPs) Exchange Online. As organizações que utilizam ABPs não terão qualquer impacto nos ABPs existentes ao ativar as Barreiras de Informação.
Gerir com o PowerShell (opcional): pode definir e gerir segmentos e políticas do IB no portal do Microsoft Purview ou pode utilizar o PowerShell de Conformidade do Office 365 Security &, se for preferível ou necessário. Embora sejam fornecidos vários exemplos neste artigo, tem de estar familiarizado com os cmdlets e parâmetros do PowerShell se optar por utilizar o PowerShell para configurar e gerir segmentos e políticas do IB. Também precisa do SDK do PowerShell do Microsoft Graph se escolher esta opção de configuração.
Quando cumprir todos os pré-requisitos, avance para o passo seguinte.
Passo 2: segmentar utilizadores na sua organização
Neste passo, vai determinar de que políticas de IB precisa, criar uma lista de segmentos a definir e definir os seus segmentos. Definir segmentos não afeta os utilizadores; apenas define o palco para definir e aplicar políticas ib.
Determinar de que políticas precisa
Considere as necessidades da sua organização e determine os grupos na sua organização que precisam de políticas ib. Faça estas perguntas a si mesmo:
- Existem regulamentos internos, legais ou do setor que exijam a restrição da comunicação e colaboração entre grupos e utilizadores na sua organização?
- Existem grupos ou utilizadores que deve impedir de comunicar com outro grupo de utilizadores?
- Existem grupos ou utilizadores que deve permitir que comuniquem apenas com um ou dois outros grupos de utilizadores?
Pense nas políticas de que precisa como pertencentes a um de dois tipos:
- Políticas de Bloqueio impedem que um grupo se comunique com outro grupo.
- Permitir políticas permitem que um grupo comunique apenas com grupos específicos.
Quando tiver a sua lista inicial de grupos e políticas necessários, avance para identificar os segmentos de que precisa para as políticas do IB.
Identificar segmentos
Para além da sua lista inicial de políticas, faça uma lista de segmentos para a sua organização. Os utilizadores incluídos nas políticas ib devem pertencer a, pelo menos, um segmento. Os utilizadores podem ser atribuídos a vários segmentos, se necessário. Pode ter até 5000 segmentos na sua organização e cada segmento só pode ter uma política IB aplicada.
Importante
Para organizações nos modos Legado ou Único, um utilizador só pode pertencer a um segmento. Para verificar o modo IB, consulte Verificar o modo IB da sua organização.
Determine os atributos nos dados de diretório da sua organização que irá utilizar para definir segmentos. Pode utilizar o Departamento, MemberOf ou qualquer um dos atributos ib suportados. Certifique-se de que tem valores no atributo que seleciona para os utilizadores. Para obter mais informações, veja os atributos suportados para IB.
Importante
Antes de avançar para a secção seguinte, certifique-se de que os dados do diretório têm valores para atributos que pode utilizar para definir segmentos. Se os dados do diretório não tiverem valores para os atributos que pretende utilizar, atualize as contas de utilizador para incluir essas informações antes de continuar com a configuração do IB. Para obter ajuda, veja os seguintes recursos:
-
Configurar as propriedades da conta de utilizador com o Office 365 PowerShell
-
Adicionar ou atualizar as informações de perfil de um utilizador com Microsoft Entra ID
Ativar o suporte de vários segmentos para utilizadores (opcional)
O suporte para atribuir utilizadores a múltiplos segmentos só está disponível quando a sua organização não está no modo Legado . Para suportar a atribuição de utilizadores a múltiplos segmentos, veja Utilizar suporte de vários segmentos em Barreiras de Informação.
Os utilizadores só podem ser atribuídos a um segmento para organizações no modo Legado . As organizações no modo Legado são elegíveis para atualizar para a versão mais recente das Barreiras de Informação no futuro. Para obter mais informações, veja o mapa de objetivos das Barreiras de Informação.
Definir segmentos com os portais
Conclua os seguintes passos para definir segmentos:
- Inicie sessão no portal do Microsoft Purview com credenciais para uma conta de administrador na sua organização.
- Selecione a solução Barreiras de Informação card. Se não vir a solução Barreiras de Informação card, selecione Ver todas as soluções e, em seguida, selecione Barreiras de Informação na secção Conformidade do & de Risco.
- Selecione Segmentos.
- Na página Segmentos , selecione Novo segmento para criar e configurar um novo segmento.
- Na página Nome , introduza um nome para o segmento. Não pode mudar o nome de um segmento depois de o criar.
- Selecione Avançar.
- Na página Filtro do grupo de utilizadores , selecione Adicionar para configurar os atributos de grupo e utilizador para o segmento. Escolha um atributo para o segmento na lista de atributos disponíveis.
- Para o atributo selecionado, selecione Igual ou Não igual e, em seguida, introduza o valor para o atributo . Por exemplo, se selecionar Departamento como o atributo e Igual a, pode introduzir Marketing como Departamento definido para esta condição de segmento. Selecione Adicionar condição para adicionar condições adicionais para um atributo. Para eliminar uma condição de atributo ou atributo, selecione o ícone eliminar para o atributo ou condição.
- Adicione atributos adicionais conforme necessário na página Filtro do grupo de utilizadores e, em seguida, selecione Seguinte.
- Na página Rever as suas definições , reveja as definições que escolheu para o segmento e quaisquer sugestões ou avisos para as suas seleções. Selecione Editar para alterar qualquer um dos atributos e condições do segmento ou selecione Submeter para criar o segmento.
Definir segmentos com o PowerShell
Para definir segmentos com o PowerShell, conclua os seguintes passos:
Utilize o cmdlet New-OrganizationSegment com o parâmetro UserGroupFilter que corresponde ao atributo que pretende utilizar.
Sintaxe Exemplo New-OrganizationSegment -Name "segmentname" -UserGroupFilter "attribute -eq 'attributevalue'"New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"Neste exemplo, vai definir um segmento com o nome RH ao utilizar HR, um valor no atributo Departamento . A parte -eq do cmdlet refere-se a "é igual a". (Em alternativa, pode utilizar -ne para significar "não é igual a". Veja Utilizar "igual a" e "não é igual" em definições de segmento.)
Depois de executar cada cmdlet, verá uma lista de detalhes sobre o novo segmento. Os detalhes incluem o tipo do segmento, quem o criou ou modificou pela última vez, etc.
Repita esse processo para cada segmento que você deseja definir.
Depois de definir os segmentos, aceda ao Passo 3: Criar políticas ib.
Utilizar "é igual" e "não é igual" nas definições de segmento do PowerShell
No exemplo seguinte, pode configurar segmentos IB com o PowerShell. Define um segmento de modo a que "Departamento seja igual a RH".
| Exemplo | Observação |
|---|---|
New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" |
A definição de segmento inclui um parâmetro "igual a" indicado como -eq. |
Também pode definir segmentos através de um parâmetro "não igual a", indicado como -ne, conforme mostrado na tabela seguinte:
| Sintaxe | Exemplo |
|---|---|
New-OrganizationSegment -Name "NotSales" -UserGroupFilter "Department -ne 'Sales'" |
Define um segmento chamado NotSales que inclui todas as pessoas que não estão em Vendas. A parte -ne do cmdlet refere-se a "não é igual a". |
Para além de definir segmentos com parâmetros "iguais" ou "não iguais", pode definir um segmento ao utilizar os parâmetros "equals" e "not equals". Também pode definir filtros de grupo complexos através de operadores lógicos E e OU .
| Sintaxe | Exemplo |
|---|---|
New-OrganizationSegment -Name "LocalFTE" -UserGroupFilter "Location -eq 'Local'" -and "Position -ne 'Temporary'" |
Define um segmento denominado LocalFTE que inclui utilizadores localizados localmente e cujas posições não estão listadas como Temporários. |
New-OrganizationSegment -Name "Segment1" -UserGroupFilter "MemberOf -eq 'group1@contoso.com'' -and MemberOf -ne 'group3@contoso.com'" |
Define um segmento chamado Segment1 que inclui utilizadores que são membros e group1@contoso.com não membros do group3@contoso.com. |
New-OrganizationSegment -Name "Segment2" -UserGroupFilter "MemberOf -eq 'group2@contoso.com' -or MemberOf -ne 'group3@contoso.com'" |
Define um segmento chamado Segment2 que inclui utilizadores que são membros e group2@contoso.com não membros do group3@contoso.com. |
New-OrganizationSegment -Name "Segment1and2" -UserGroupFilter "(MemberOf -eq 'group1@contoso.com' -or MemberOf -eq 'group2@contoso.com') -and MemberOf -ne 'group3@contoso.com'" |
Define um segmento denominado Segment1and2 que inclui utilizadores em group1@contoso.com e group2@contoso.com não membros do group3@contoso.com. |
Dica
Se possível, utilize definições de segmento que incluam "-eq" ou "-ne". Tente não definir definições de segmento complexas.
Passo 3: Criar políticas do IB
Quando cria as suas políticas de IB, decida se pretende impedir comunicações entre determinados segmentos ou limitar as comunicações a determinados segmentos. Idealmente, utilize o número mínimo de políticas IB para garantir que a sua organização cumpre os requisitos internos, legais e do setor. Pode utilizar o portal do Microsoft Purview ou o PowerShell para criar e aplicar políticas IB.
Dica
Para consistência da experiência do utilizador, recomendamos a utilização de Políticas de bloqueio para a maioria dos cenários, se possível.
Com a sua lista de segmentos de utilizador e as políticas ib que pretende definir, selecione um cenário e siga os passos.
- Cenário 1: Bloquear comunicações entre segmentos
- Cenário 2: Permitir que um segmento se comunique apenas com outro segmento
Importante
Não atribua mais do que uma política a um segmento. Por exemplo, se definir uma política para um segmento chamado Vendas, não defina uma política adicional para o segmento Vendas .
À medida que define as políticas do IB, defina essas políticas como inativas status até estar pronto para as aplicar. Definir (ou editar) políticas não afeta os utilizadores até definir essas políticas como status ativas e, em seguida, aplicá-las.
Cenário 1: Bloquear as comunicações entre segmentos
Quando quiser bloquear a comunicação entre segmentos, defina duas políticas: uma para cada direção. Cada política bloqueia a comunicação apenas numa direção.
Por exemplo, suponha que pretende bloquear as comunicações entre o Segmento A e o Segmento B. Defina duas políticas:
- Uma política que impede o Segmento A de comunicar com o Segmento B
- Uma segunda política para impedir que o Segmento B comunique com o Segmento A
Criar políticas com os portais para o Cenário 1
Conclua os seguintes passos para criar políticas:
Inicie sessão no portal do Microsoft Purview com credenciais para uma conta de administrador na sua organização.
Selecione a solução Barreiras de Informação card. Se não vir a solução Barreiras de Informação card, selecione Ver todas as soluções e, em seguida, selecione Barreiras de Informação na secção Conformidade do & de Risco.
Selecione Políticas.
Na página Políticas , selecione Criar política para criar e configurar uma nova política IB.
Na página Nome , introduza um nome para a política e, em seguida, selecione Seguinte.
Na página Segmento atribuído , selecione Escolher segmento. Utilize a caixa de pesquisa para procurar um segmento por nome ou desloque-se para selecionar o segmento na lista apresentada. Selecione Adicionar para adicionar o segmento selecionado à política. Só pode selecionar um segmento.
Selecione Avançar.
Na página Comunicação e colaboração , selecione o tipo de política no campo Comunicação e colaboração . As opções de política são Permitidas ou Bloqueadas. Neste cenário de exemplo, selecione Bloqueado para a primeira política.
Importante
Não pode alterar os status Permitidos e Bloqueados para segmentos depois de criar uma política. Para alterar a status, elimine a política e crie uma nova.
Selecione Escolher segmento para definir as ações para o segmento de destino. Pode atribuir mais do que um segmento neste passo. Por exemplo, se quiser bloquear os utilizadores num segmento chamado Vendas de comunicarem com os utilizadores num segmento denominado Pesquisa, defina o segmento Vendas no Passo 5 e atribua Pesquisa na opção Escolher segmento neste passo.
Selecione Avançar.
Na página status política, alterne a política ativa status para Ativado. Selecione Avançar para continuar.
Na página Rever as definições , reveja as definições que escolher para a política e quaisquer sugestões ou avisos para as suas seleções. Selecione Editar para alterar qualquer um dos segmentos de política e status ou selecione Submeter para criar a política.
Neste exemplo, repita os passos anteriores para criar uma segunda Política de bloqueio para restringir os utilizadores num segmento chamado Investigação de comunicação com utilizadores num segmento chamado Vendas. Defina o segmento Pesquisa no Passo 5 e atribua Vendas (ou múltiplos segmentos) na opção Escolher segmento .
Criar políticas com o PowerShell para o Cenário 1
Para definir políticas com o PowerShell, conclua os seguintes passos:
Para definir a sua primeira política de bloqueio, utilize o cmdlet New-InformationBarrierPolicy com o parâmetro SegmentsBlocked .
Sintaxe Exemplo New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsBlocked "segmentBname"New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State InactiveNeste exemplo, vai definir uma política denominada Sales-Research para um segmento denominado Vendas. Quando ativa e aplicada, esta política impede que os utilizadores em Vendas comuniquem com os utilizadores num segmento chamado Pesquisa.
Para definir o segundo segmento de bloqueio, utilize novamente o cmdlet New-InformationBarrierPolicy com o parâmetro SegmentsBlocked , desta vez com os segmentos invertidos.
Exemplo Observação New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State InactiveNeste exemplo, vai definir uma política denominada Research-Sales para impedir que a Pesquisa comunique com Vendas. Avance para uma das seguintes ações:
- (Se necessário) Definir uma política para permitir que um segmento comunique apenas com outro segmento
- (Depois de todas as políticas serem definidas) Aplicar políticas de IB
Cenário 2: Permitir que um segmento se comunique apenas com outro segmento
Quando quiser permitir que um segmento comunique apenas com outro segmento, defina duas políticas: uma para cada direção. Cada política permite a comunicação apenas numa direção.
Neste exemplo, defina duas políticas:
- Uma política que permite ao Segmento A comunicar com o Segmento B
- Uma segunda política que permite ao Segmento B comunicar com o Segmento A
Criar políticas com os portais para o Cenário 2
Conclua os seguintes passos para criar políticas:
Inicie sessão no portal do Microsoft Purview com credenciais para uma conta de administrador na sua organização.
Selecione a solução Barreiras de Informação card. Se não vir a solução Barreiras de Informação card, selecione Ver todas as soluções e, em seguida, selecione Barreiras de Informação na secção Conformidade do & de Risco.
Na página Políticas , selecione Criar política para criar e configurar uma nova política IB.
Na página Nome , introduza um nome para a política e, em seguida, selecione Seguinte.
Na página Segmento atribuído , selecione Escolher segmento. Utilize a caixa de pesquisa para procurar um segmento por nome ou desloque-se para selecionar o segmento na lista apresentada. Selecione Adicionar para adicionar o segmento selecionado à política. Só pode selecionar um segmento.
Selecione Avançar.
Na página Comunicação e colaboração , selecione o tipo de política no campo Comunicação e colaboração . As opções de política são Permitidas ou Bloqueadas. Neste cenário de exemplo, selecione Permitido para a política.
Importante
Não pode alterar os status Permitidos e Bloqueados para segmentos depois de criar uma política. Para alterar a status, elimine a política e crie uma nova.
Selecione Escolher segmento para definir as ações para o segmento de destino. Pode atribuir mais do que um segmento neste passo. Por exemplo, se quiser permitir que os utilizadores num segmento chamado Fabrico comuniquem com os utilizadores num segmento chamado RH, defina o segmento Fabrico no Passo 5 e atribua RH na opção Escolher segmento neste passo.
Selecione Avançar.
Na página status política, alterne a política ativa status para Ativado. Selecione Avançar para continuar.
Na página Rever as definições , reveja as definições que escolher para a política e quaisquer sugestões ou avisos para as suas seleções. Selecione Editar para alterar qualquer um dos segmentos de política e status ou selecione Submeter para criar a política.
Repita os passos anteriores para criar uma segunda política Permitir para permitir que os utilizadores num segmento chamado Pesquisa comuniquem com utilizadores num segmento chamado Vendas. Defina o segmento Pesquisa no Passo 5 e atribua Vendas (ou múltiplos segmentos) na opção Escolher segmento .
Criar uma política com o PowerShell para o Cenário 2
Para definir políticas com o PowerShell, conclua os seguintes passos:
Para permitir que um segmento comunique com o outro segmento, utilize o cmdlet New-InformationBarrierPolicy com o parâmetro SegmentsAllowed .
Sintaxe Exemplo New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname","segment1name"New-InformationBarrierPolicy -Name "Manufacturing-HR" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Manufacturing" -State InactiveNeste exemplo, vai definir uma política denominada Manufacturing-HR para um segmento chamado Fabrico. Quando ativa e aplicada, esta política permite que os utilizadores no Fabrico comuniquem apenas com os utilizadores num segmento chamado RH. Neste caso, o Fabrico não consegue comunicar com utilizadores que não fazem parte dos RH.
Se necessário, pode especificar vários segmentos com este cmdlet, conforme mostrado no exemplo seguinte.
Sintaxe Exemplo New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segmentAname" -SegmentsAllowed "segmentBname", "segmentCname","segmentDname"New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State InactiveNeste exemplo, vai definir uma política que permite que o segmento Pesquisa comunique apenas com RH e Fabrico.
Repita este passo para cada política que pretende definir para permitir que segmentos específicos comuniquem apenas com determinados outros segmentos específicos.
Para definir o segundo segmento permitido, utilize o cmdlet New-InformationBarrierPolicy com o parâmetro SegmentsAllowed novamente, desta vez com os segmentos invertidos.
Exemplo Observação New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsAllowed "Sales" -State InactiveNeste exemplo, vai definir uma política denominada Research-Sales para permitir que a Pesquisa comunique com Vendas. Avance para uma das seguintes ações:
- (Se necessário) Definir uma política para bloquear comunicações entre segmentos
- (Depois de todas as políticas serem definidas) Aplicar políticas de IB
Passo 4: Aplicar políticas do IB
As políticas ib têm efeito quando as define como status ativas e aplicam as políticas.
Aplicar políticas com os portais
Conclua os seguintes passos para aplicar políticas:
Inicie sessão no portal do Microsoft Purview com credenciais para uma conta de administrador na sua organização.
Selecione a solução Barreiras de Informação card. Se não vir a solução Barreiras de Informação card, selecione Ver todas as soluções e, em seguida, selecione Barreiras de Informação na secção Conformidade do & de Risco.
Selecione Aplicação de política.
Na página Aplicação de políticas , selecione Aplicar todas as políticas para aplicar todas as políticas ib na sua organização.
Observação
Aguarde 30 minutos para que o sistema comece a aplicar as políticas. O sistema aplica políticas utilizador por utilizador e processa cerca de 5000 contas de utilizador por hora.
Aplicar políticas com o PowerShell
Para aplicar políticas com o PowerShell, conclua os seguintes passos:
Utilize o cmdlet Get-InformationBarrierPolicy para ver uma lista de políticas definidas. Tenha em atenção o status e a identidade (GUID) de cada política.
Sintaxe:
Get-InformationBarrierPolicyUtilize o cmdlet Set-InformationBarrierPolicy com o parâmetro Identity (Identidade) e o parâmetro State (Estado) definido como Active (Ativo) para definir uma política como ativo status.
Sintaxe Exemplo Set-InformationBarrierPolicy -Identity GUID -State ActiveSet-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State ActiveNeste exemplo, definimos uma política IB que tem o GUID 43c37853-ea10-4b90-a23d-ab8c93772471 para status ativo.
Repita este passo para cada política.
Quando terminar de definir as políticas ib para status ativos, utilize o cmdlet Start-InformationBarrierPoliciesApplication no PowerShell de Conformidade do & de Segurança.
Sintaxe:
Start-InformationBarrierPoliciesApplicationDepois de executar
Start-InformationBarrierPoliciesApplication, aguarde 30 minutos para que o sistema comece a aplicar as políticas. O sistema aplica políticas utilizador por utilizador e processa cerca de 5000 contas de utilizador por hora.
Ver status de contas de utilizador, segmentos, políticas ou aplicação de política
Com o PowerShell, pode ver a status de contas de utilizador, segmentos, políticas e aplicação de política, conforme listado na tabela seguinte.
| Para ver estas informações | Efetuar esta ação |
|---|---|
| Contas de usuário | Utilize o cmdlet Get-ExoInformationBarrierRelationship com os parâmetros RecipientId. Sintaxe: Pode utilizar qualquer valor que identifique exclusivamente cada utilizador, como o nome, alias, nome único, nome de domínio canónico, endereço de e-mail ou GUID. Exemplo: Neste exemplo, referimo-nos a duas contas de utilizador no Office 365: meganb para Megan e alexw para Alex. Este cmdlet devolve informações sobre os utilizadores, tais como valores de atributo e quaisquer políticas IB que sejam aplicadas. |
| Segmentos | Utilize o cmdlet Get-OrganizationSegment . Sintaxe: Este cmdlet apresenta uma lista de todos os segmentos definidos para a sua organização. |
| Políticas do IB | Utilize o cmdlet Get-InformationBarrierPolicy . Sintaxe: Este cmdlet apresenta uma lista de políticas IB que definiu e as respetivas status. |
| A aplicação de política ib mais recente | Utilize o cmdlet Get-InformationBarrierPoliciesApplicationStatus . Sintaxe: Este cmdlet apresenta informações sobre se a aplicação de política foi concluída, falhou ou está em curso. |
| Todas as aplicações de política do IB | UseGet-InformationBarrierPoliciesApplicationStatus -AllEste cmdlet apresenta informações sobre se a aplicação de política foi concluída, falhou ou está em curso. |
E se precisar de remover ou alterar políticas?
Os recursos estão disponíveis para o ajudar a gerir as suas políticas ib.
- Para editar, parar ou remover políticas do IB, veja Gerir políticas de Barreiras de Informação.
- Se algo correr mal com o IB, veja Resolução de Problemas de Barreiras de Informação.
Passo 5: Configuração de Barreiras de Informação no SharePoint e no OneDrive
Se configurar o IB para o SharePoint e o OneDrive, tem de ativar o IB nestes serviços. Também tem de ativar o IB nestes serviços se configurar o IB para o Microsoft Teams. Quando cria uma equipa no Microsoft Teams, cria e associa automaticamente um site do SharePoint ao Microsoft Teams para a experiência de ficheiros. Por predefinição, as políticas IB não são respeitadas neste novo site e ficheiros do SharePoint.
Para ativar o IB no SharePoint e no OneDrive, siga as orientações e os passos no artigo Utilizar Barreiras de Informação com o SharePoint .
Passo 6: Modos de Barreiras de Informação (opcional)
Os modos ajudam a fortalecer o acesso, a partilha e a associação de um recurso do Microsoft 365 com base no modo IB do recurso. Grupos do Microsoft 365, modos de suporte de sites do Microsoft Teams, OneDrive e SharePoint. A configuração nova ou existente do IB ativa automaticamente os modos.
Os seguintes modos IB suportam recursos do Microsoft 365:
| Modo | Descrição | Exemplo |
|---|---|---|
| Abrir | O recurso do Microsoft 365 não tem políticas ou segmentos IB associados ao mesmo. Qualquer pessoa pode ser convidada para ser membro do recurso. | Um site de equipa criado para um evento de piquenique para a sua organização. |
| Proprietário Moderado | A política IB do proprietário do recurso determina a política ib do recurso do Microsoft 365. Os proprietários de recursos podem convidar qualquer utilizador para o recurso com base nas respetivas políticas de IB. Este modo é útil quando a sua empresa quer permitir a colaboração entre utilizadores de segmentos incompatíveis moderados pelo proprietário. Apenas o proprietário do recurso pode adicionar novos membros de acordo com a política ib. | O VP de RH quer colaborar com os VPs de Vendas e Investigação. Um novo site do SharePoint definido com o modo IB Proprietário Moderado para adicionar utilizadores do segmento Vendas e Pesquisa ao mesmo site. É da responsabilidade do proprietário garantir que os membros adequados são adicionados ao recurso. |
| Implícito | A política IB dos membros do recurso determina a política ib ou os segmentos do recurso do Microsoft 365. O proprietário pode adicionar membros desde que sejam compatíveis com os membros existentes do recurso. Este modo é o modo IB predefinido para o Microsoft Teams. | O utilizador do segmento Vendas cria uma equipa do Microsoft Teams para colaborar com outros segmentos compatíveis na organização. |
| Explicit | Os segmentos associados ao recurso determinam a política IB do recurso do Microsoft 365. O proprietário do recurso ou administrador do SharePoint pode gerir os segmentos no recurso. | Um site criado apenas para os membros do segmento Vendas colaborarem ao associar o segmento Vendas ao site. |
| Mixed | Aplicável apenas ao OneDrive. Os segmentos associados ao OneDrive determinam a política ib do OneDrive. O proprietário do recurso ou administrador do OneDrive pode gerir os segmentos no recurso. | Um OneDrive criado para os membros do segmento Vendas colaborar podem ser partilhados com utilizadores não satisfeitos. |
Atualizações implícitas do modo
Dependendo de quando ativou o IB na sua organização, a sua organização encontra-se no modo de organização Legado, DeSegmento Único ou MultiSegment . Para verificar o modo, consulte Verificar o modo IB da sua organização.
Se a sua organização estiver no modo SingleSegment ou MultiSegment e o modo Barreiras de Informação do grupo teams for Implícito, os grupos/sites ligados ao Teams não têm segmentos associados.
Para obter mais informações sobre os modos IB e como configurá-los em todos os serviços, veja os seguintes artigos:
- Modos de Barreiras de Informação e Microsoft Teams
- Modos de Barreiras de Informação e OneDrive
- Modos de Barreiras de Informação e SharePoint
Passo 7: Configurar a deteção do utilizador para Barreiras de Informação (opcional)
As políticas de Barreiras de Informação permitem que os administradores ativem ou desativem as restrições de pesquisa no seletor de pessoas. Por predefinição, a restrição do seletor de pessoas está ativada para as políticas ib. Por exemplo, as políticas IB que bloqueiam a comunicação de dois utilizadores específicos também podem impedir que os utilizadores se vejam quando utilizam o seletor de pessoas.
Importante
O suporte para ativar ou desativar restrições de pesquisa só está disponível quando a sua organização não está no modo Legado . As organizações no modo Legado não podem ativar ou desativar as restrições de pesquisa. Ativar ou desativar restrições de pesquisa requer ações adicionais para alterar o modo Barreiras de Informação para a sua organização. Para obter mais informações, veja Utilizar suporte de vários segmentos em Barreiras de Informação).
As organizações no modo Legado são elegíveis para atualizar para a versão mais recente das Barreiras de Informação no futuro. Para obter mais informações, veja o mapa de objetivos das Barreiras de Informação.
Para desativar a restrição de pesquisa do seletor de pessoas com o PowerShell, conclua os seguintes passos:
- Utilize o cmdlet Set-PolicyConfig para desativar a restrição do seletor de pessoas:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'
Cenário de exemplo: departamentos, segmentos e políticas da Contoso
Para ver como uma organização pode abordar a definição de segmentos e políticas, considere o seguinte cenário de exemplo.
Departamentos e planos da Contoso
A Contoso tem cinco departamentos: RH, Vendas, Marketing, Investigação e Fabrico. Para cumprir os regulamentos do setor, os utilizadores de alguns departamentos não podem comunicar com outros departamentos, conforme mostrado na tabela seguinte:
| Segmento | Pode comunicar com | Não é possível comunicar com |
|---|---|---|
| HR | Todos | (sem restrições) |
| Vendas | RH, Marketing, Fabrico | Pesquisar |
| Marketing | Todos | (sem restrições) |
| Pesquisar | RH, Marketing, Fabrico | Vendas |
| Indústria | RH, Marketing | Qualquer pessoa que não seja RH ou Marketing |
Para esta estrutura, o plano da Contoso inclui três políticas IB:
- Uma política IB que impede as Vendas de comunicarem com a Pesquisa.
- Uma política IB que impede a Pesquisa de comunicar com Vendas.
- Uma política IB que permite que o Fabrico comunique apenas com RH e Marketing.
Para este cenário, não precisa de definir políticas ib para RH ou Marketing.
Segmentos definidos da Contoso
A Contoso utiliza o atributo Departamento no Microsoft Entra ID para definir segmentos, da seguinte forma:
| Departamento | Definição de Segmento |
|---|---|
| RH | New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'" |
| Vendas | New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'" |
| Marketing | New-OrganizationSegment -Name "Marketing" -UserGroupFilter "Department -eq 'Marketing'" |
| Pesquisar | New-OrganizationSegment -Name "Research" -UserGroupFilter "Department -eq 'Research'" |
| Indústria | New-OrganizationSegment -Name "Manufacturing" -UserGroupFilter "Department -eq 'Manufacturing'" |
Depois de definir os segmentos, a Contoso define as políticas do IB.
Políticas IB da Contoso
A Contoso define três políticas IB, conforme descrito na tabela seguinte:
| Política | Definição de política |
|---|---|
| Política 1: impedir que as Vendas se comuniquem com a Pesquisa | New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive Neste exemplo, a política IB chama-se Sales-Research. Quando ativa e aplica esta política, impede que os utilizadores no segmento Vendas comuniquem com os utilizadores no segmento Pesquisa. Esta política é unidirecional; não impede que a Pesquisa comunique com Vendas. Para isso, a Política 2 é necessária. |
| Política 2: impedir que a Pesquisa se comunique com as Vendas | New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive Neste exemplo, a política IB chama-se Research-Sales. Quando ativa e aplica esta política, esta impede que os utilizadores no segmento Pesquisa comuniquem com os utilizadores no segmento Vendas. |
| Política 3: Permitir que o Fabrico comunique apenas com RH e Marketing | New-InformationBarrierPolicy -Name "Manufacturing-HRMarketing" -AssignedSegment "Manufacturing" -SegmentsAllowed "HR","Marketing","Manufacturing" -State Inactive Neste caso, a política ib é denominada Manufacturing-HRMarketing. Quando ativa e aplica esta política, o Fabrico só pode comunicar com RH e Marketing. Os RH e o Marketing não estão impedidos de comunicar com outros segmentos. |
Depois de definir os segmentos e políticas, a Contoso aplica as políticas ao executar o cmdlet Start-InformationBarrierPoliciesApplication .
Quando o cmdlet for concluído, a Contoso cumpre os requisitos do setor.