Barriere informative in Microsoft Teams
Microsoft Purview Information Barriers (IB) sono criteri che un amministratore può configurare per impedire a singoli utenti o gruppi di comunicare tra loro. Gli INDIRIZZI IP sono utili se, ad esempio, un reparto gestisce informazioni che non devono essere condivise con altri reparti. Gli indirizzi IB sono utili anche quando un gruppo deve essere isolato o impedito di comunicare con chiunque al di fuori di tale gruppo. I canali condivisi in Microsoft Teams sono supportati dalle barriere informative. A seconda del tipo di condivisione, i criteri di barriere informative possono limitare la condivisione in determinati modi. Per altre informazioni sul comportamento dei canali condivisi e delle barriere informative, vedere Barriere informative e canali condivisi.
Per Microsoft Teams, le barriere informative possono determinare e impedire i seguenti tipi di collaborazioni non autorizzate:
- Aggiunta di un utente a un team o a un canale
- Accesso utente al contenuto del team o del canale
- Accesso utente a 1:1 e chat di gruppo
- Accesso utente alle riunioni
- Impedisce le ricerche e l'individuazione, gli utenti non saranno visibili nella selezione utenti.
Nota
- Non è possibile creare gruppi di barriere informative tra tenant.
- L'uso di bot, app Microsoft Entra, API per inviare notifiche dei feed attività e alcune API per aggiungere utenti non è supportato nella versione 1.
- I canali privati sono conformi ai criteri di barriere informative configurati.
- Per informazioni sul supporto per le barriere per i siti di SharePoint connessi a Teams, vedere Segmenti associati ai siti di Microsoft Teams.
Background
Il driver principale per gli IB proviene dal settore dei servizi finanziari. La Financial Industry Regulatory Authority (FINRA) esamina gli IB e i conflitti di interesse all'interno delle aziende membri e fornisce indicazioni sulla gestione di tali conflitti (FINRA 2241, Avviso di regolamentazione della ricerca sul debito 15-31).
Tuttavia, dopo l'introduzione degli IB, molte altre aree le hanno trovate utili. Altri scenari comuni includono:
- Formazione: gli studenti di un istituto di istruzione non sono in grado di cercare i dettagli di contatto per gli studenti di altri istituti di istruzione.
- Legale: mantenere la riservatezza dei dati ottenuti dall'avvocato di un cliente e impedirne l'accesso da parte di un avvocato per la stessa società che rappresenta un cliente diverso.
- Enti pubblici: l'accesso e il controllo delle informazioni sono limitati tra reparti e gruppi.
- Servizi professionali: un gruppo di persone in un'azienda è in grado di chattare solo con un cliente o un cliente specifico tramite l'accesso guest durante un coinvolgimento del cliente.
Ad esempio, Enrico appartiene al segmento Banking e Pradeep appartiene al segmento Financial Advisor. Enrico e Pradeep non possono comunicare tra loro perché i criteri IB dell'organizzazione bloccano la comunicazione e la collaborazione tra questi due segmenti. Tuttavia, Enrico e Pradeep possono comunicare con Lee nelle risorse umane.
Quando usare le barriere informative
È possibile usare gli IB in situazioni come queste:
- A un team deve essere impedito di comunicare o condividere dati con un altro team specifico.
- Un team non deve comunicare o condividere dati con altri utenti esterni al team.
Il servizio di valutazione dei criteri Information Barrier determina se una comunicazione è conforme ai criteri IB.
Gestione dei segmenti di barriere informative
I segmenti IB vengono gestiti nel portale di Microsoft Purview, nella Portale di conformità di Microsoft Purview o usando i cmdlet di PowerShell. Per altre informazioni, vedere Passaggio 2: Segmentare gli utenti dell'organizzazione.
Importante
Il supporto per l'assegnazione di utenti a più segmenti è disponibile solo quando l'organizzazione non è in modalità legacy . Per determinare se l'organizzazione è in modalità legacy , vedere Controllare la modalità IB per l'organizzazione.
Gli utenti sono limitati ad essere assegnati a un solo segmento per le organizzazioni in modalità legacy . Le organizzazioni in modalità legacy sono idonee per l'aggiornamento alla versione più recente delle barriere informative in futuro. Per altre informazioni, vedere la roadmap sulle barriere informative.
Gestione dei criteri delle barriere informative
I criteri IB vengono gestiti nel portale di Microsoft Purview, nella Portale di conformità di Microsoft Purview o usando i cmdlet di PowerShell. Per altre informazioni, vedere Passaggio 3: Creare criteri IB.
Importante
Prima di configurare o definire i criteri, è necessario abilitare la ricerca nella directory con ambito in Microsoft Teams. Attendere almeno alcune ore dopo aver abilitato la ricerca nella directory con ambito prima di configurare o definire criteri per le barriere informative. Per altre informazioni, vedere Definire i criteri di barriera delle informazioni.
Ruolo di amministratore delle barriere informative
Il ruolo Gestione conformità IB è responsabile della gestione dei criteri IB. Per altre informazioni su questo ruolo, vedere:
- Autorizzazioni nel portale di Microsoft Purview
- Autorizzazioni nel Portale di conformità di Microsoft Purview.
Trigger di barriera delle informazioni
I criteri IB vengono attivati quando si verificano gli eventi di Teams seguenti:
I membri vengono aggiunti a un team: ogni volta che si aggiunge un utente a un team, i criteri dell'utente devono essere valutati in base ai criteri IB di altri membri del team. Dopo aver aggiunto correttamente l'utente, l'utente può eseguire tutte le funzioni nel team senza ulteriori controlli. Se i criteri dell'utente ne bloccano l'aggiunta al team, l'utente non verrà visualizzato nella ricerca.
Viene richiesta una nuova chat: ogni volta che un utente richiede una nuova chat con uno o più altri utenti, la chat viene valutata per assicurarsi che non violi alcun criterio IB. Se la conversazione viola un criterio IB, la conversazione non viene avviata.
Ecco un esempio di chat 1:1.
Ecco un esempio di chat di gruppo.
Un utente viene invitato a partecipare a una riunione: quando un utente viene invitato a partecipare a una riunione, il criterio IB che si applica all'utente viene valutato rispetto ai criteri IB applicati agli altri membri del team. In caso di violazione, l'utente non potrà partecipare alla riunione.
Una schermata viene condivisa tra due o più utenti: quando un utente condivide una schermata con altri utenti, la condivisione deve essere valutata per assicurarsi che non violi i criteri IB di altri utenti. Se viene violato un criterio IB, la condivisione dello schermo non sarà consentita.
Ecco un esempio di condivisione dello schermo prima dell'applicazione dei criteri.
Ecco un esempio di condivisione dello schermo dopo l'applicazione del criterio. Le icone della condivisione dello schermo e delle chiamate non sono visibili.
Un utente effettua una chiamata telefonica in Teams: ogni volta che un utente avvia una chiamata vocale (tramite VOIP) a un altro utente o gruppo di utenti, la chiamata viene valutata per assicurarsi che non violi i criteri IB di altri membri del team. In caso di violazione, la chiamata vocale viene bloccata.
guest in Teams: i criteri IB si applicano anche agli utenti guest in Teams. Se gli utenti guest devono essere individuabili nell'elenco indirizzi globale dell'organizzazione, vedere Gestire l'accesso guest in Gruppi di Microsoft 365. Quando gli utenti guest sono individuabili, è possibile definire i criteri IB.
Impatto delle modifiche dei criteri sulle chat esistenti
Quando l'amministratore dei criteri IB apporta modifiche a un criterio o quando viene attivata una modifica dei criteri a causa di una modifica al profilo di un utente (ad esempio per una modifica del processo), il servizio di valutazione dei criteri di barriera delle informazioni cerca automaticamente i membri per assicurarsi che l'appartenenza al team non violi i criteri.
Se è presente una chat esistente o un'altra comunicazione tra gli utenti e viene impostato un nuovo criterio o viene modificato un criterio esistente, il servizio valuta le comunicazioni esistenti per assicurarsi che le comunicazioni siano ancora consentite.
1:1 chat: se la comunicazione tra due utenti non è più consentita (a causa dell'applicazione a uno o a entrambi gli utenti di un criterio che blocca la comunicazione), ulteriori comunicazioni vengono bloccate. Le conversazioni di chat esistenti diventano di sola lettura.
Ecco un esempio che mostra che la chat è visibile.
Ecco un esempio che mostra che la chat è disabilitata.
Chat di gruppo: se la comunicazione da un utente a un gruppo non è più consentita (ad esempio, perché un utente ha modificato i processi), l'utente, insieme agli altri utenti la cui partecipazione viola i criteri, può essere rimosso dalla chat di gruppo e non saranno consentite ulteriori comunicazioni con il gruppo. L'utente può comunque visualizzare le conversazioni precedenti, ma non sarà in grado di visualizzare o partecipare a nuove conversazioni con il gruppo. Se i criteri nuovi o modificati che impediscono la comunicazione vengono applicati a più utenti, gli utenti interessati dai criteri possono essere rimossi dalla chat di gruppo. Possono ancora vedere le vecchie conversazioni.
In questo esempio, Enrico si è trasferito in un reparto diverso all'interno dell'organizzazione e viene rimosso dalla chat di gruppo.
Enrico non può più inviare messaggi alla chat di gruppo.
Team: tutti gli utenti rimossi dal gruppo vengono rimossi dal team e non potranno visualizzare o partecipare a conversazioni nuove o esistenti.
Scenario: un utente in una chat esistente viene bloccato
Attualmente, gli utenti sperimentano gli scenari seguenti se un criterio IB blocca un altro utente:
scheda Persone: un utente non può visualizzare gli utenti bloccati nella scheda Persone.
selezione Persone: gli utenti bloccati non saranno visibili nella selezione utenti.
Scheda Attività: se un utente visita la scheda Attività di un utente bloccato, non verranno visualizzati post. La scheda Attività visualizza solo i post del canale e non sono presenti canali comuni tra i due utenti.
Di seguito è riportato un esempio della visualizzazione scheda attività bloccata.
Organigrammi: se un utente accede a un organigramma in cui viene visualizzato un utente bloccato, l'utente bloccato non verrà visualizzato nell'organigramma. Verrà invece visualizzato un messaggio di errore.
Persone scheda: se un utente partecipa a una conversazione e l'utente viene successivamente bloccato, gli altri utenti visualizzeranno un messaggio di errore anziché la scheda people quando passano il puntatore del mouse sul nome dell'utente bloccato. Le azioni elencate nella scheda (ad esempio chiamate e chat) non sono disponibili.
Contatti suggeriti: gli utenti bloccati non vengono visualizzati nell'elenco dei contatti suggeriti (l'elenco di contatti iniziale visualizzato per i nuovi utenti).
Contatti chat: un utente può visualizzare gli utenti bloccati nell'elenco dei contatti delle chat, ma gli utenti bloccati vengono identificati. L'unica azione che l'utente può eseguire sugli utenti bloccati consiste nell'eliminarli. L'utente può anche selezionarli per visualizzare la conversazione precedente.
Contatti di chiamata: un utente può visualizzare gli utenti bloccati nell'elenco dei contatti delle chiamate, ma gli utenti bloccati vengono identificati. L'unica azione che l'utente può eseguire sugli utenti bloccati consiste nell'eliminarli.
Ecco un esempio di utente bloccato nell'elenco dei contatti delle chiamate.
Ecco un esempio della chat disabilitata per un utente nell'elenco di contenuti delle chiamate.
Migrazione da Skype a Teams: durante una migrazione da Skype for Business a Teams, tutti gli utenti, anche quelli bloccati dai criteri IB, vengono migrati a Teams. Tali utenti vengono quindi gestiti come descritto in precedenza.
Criteri di Teams e siti di SharePoint
Quando viene creato un team, viene eseguito il provisioning di un sito di SharePoint e viene associato a Microsoft Teams per l'esperienza dei file. Per impostazione predefinita, i criteri delle barriere informative non vengono rispettati in questo sito di SharePoint e nei file. Per abilitare le barriere informative in SharePoint e OneDrive, seguire le indicazioni e i passaggi descritti nell'articolo Usare le barriere informative con SharePoint .
Modalità barriera delle informazioni e Teams
Le modalità barriere informative consentono di rafforzare chi può essere aggiunto o rimosso da un team. Quando si usano barriere informative con Teams, sono supportate le modalità IB seguenti:
- Apri: questa configurazione è la modalità IB predefinita per tutti i gruppi esistenti di cui è stato eseguito il provisioning prima dell'abilitazione delle barriere informative. In questa modalità non sono applicabili criteri IB.
- Implicito: questa configurazione è la modalità IB predefinita quando viene effettuato il provisioning di un team dopo aver abilitato le barriere informative. La modalità implicita consente di aggiungere tutti gli utenti compatibili nel gruppo.
- Proprietario moderato: questa modalità viene impostata in un team quando si vuole consentire la collaborazione tra utenti del segmento incompatibili moderati dal proprietario. Il proprietario del team può aggiungere nuovi membri in base ai criteri IB.
I team creati prima di attivare un criterio di barriera delle informazioni nel tenant vengono impostati automaticamente su Modalità aperta per impostazione predefinita. Dopo aver attivato i criteri IB nel tenant, è necessario aggiornare la modalità dei team esistenti a Implicit per assicurarsi che i team esistenti siano conformi a IB. Per altre informazioni sull'aggiornamento delle modalità, vedere Modificare le modalità di barriere informative con uno script di PowerShell.
Usare il cmdlet Set-UnifiedGroup con il parametro InformationBarrierMode che corrisponde alla modalità da usare per i segmenti. L'elenco di valori consentiti per il parametro InformationBarrierMode è Open, Implicit e Owner Moderated.
Ad esempio, per configurare la modalità implicita per un gruppo di Microsoft 365, si userà il comando di PowerShell seguente:
Set-UnifiedGroup -InformationBarrierMode Implicit
Per aggiornare la modalità da Open a Implicit per tutti i team esistenti, usare questo script di PowerShell.
Se si modifica la configurazione della modalità Aperta nei gruppi connessi a Teams esistenti per soddisfare i requisiti di conformità per l'organizzazione, sarà necessario aggiornare le modalità IB per i siti di SharePoint associati connessi al team di Teams.
Applicazione di criteri IB in Teams
L'applicazione di criteri IB è un processore IB in background per Teams che riceve una notifica quando vengono apportate modifiche agli utenti (modifiche ai criteri o ai segmenti) o ai gruppi (modifiche della modalità). I passaggi seguenti descrivono il flusso di elaborazione:
- L'applicazione di criteri riceve una notifica di modifica del gruppo quando la modalità viene aggiornata e recupera il thread del messaggio e gli ID di gruppo applicabili all'aggiornamento.
- Se il thread del messaggio esiste, l'elaborazione è pianificata e tutti i membri vengono recuperati dal team e dal gruppo sottostante e inviati ai componenti di Teams downstream per la valutazione IB.
- La modalità nel gruppo e i criteri IB per utente vengono valutati e i risultati vengono inviati all'applicazione dei criteri.
- L'applicazione criteri rimuove gli utenti non conformi dal gruppo e dal team.
Licenze e autorizzazioni obbligatorie
Per altre informazioni su licenze e autorizzazioni, piani e prezzi, vedere i requisiti di sottoscrizione per le barriere informative.
Note sull'utilizzo
- Gli utenti non possono partecipare a riunioni ad hoc: se i criteri IB sono abilitati, gli utenti non possono partecipare alle riunioni se le dimensioni dell'elenco di partecipanti alle riunioni sono superiori ai limiti di partecipazione alle riunioni. La causa principale è che i controlli IB si basano sul fatto che gli utenti possano essere aggiunti a un elenco di chat di riunione e solo quando possono essere aggiunti al roster sono autorizzati a partecipare alla riunione. Un utente che partecipa a una riunione una volta aggiunge l'utente al roster; quindi per le riunioni ricorrenti, il roster può riempirsi velocemente. Quando l'elenco di partecipanti alla chat raggiunge i limiti di partecipazione alle riunioni, non è possibile aggiungere altri utenti alla riunione. Se L'IB è abilitato per l'organizzazione e l'elenco di partecipanti alla chat è pieno per una riunione, i nuovi utenti (gli utenti che non sono già nel roster) non possono partecipare alla riunione. Tuttavia, se L'IB non è abilitato per l'organizzazione e l'elenco delle chat delle riunioni è pieno, i nuovi utenti (gli utenti che non sono già nel roster) possono partecipare alla riunione, anche se non vedranno l'opzione di chat nella riunione. Una soluzione a breve termine consiste nel rimuovere i membri inattivi dall'elenco delle chat della riunione per creare spazio per i nuovi utenti. Tuttavia, le dimensioni dei roster delle chat delle riunioni verranno aumentate in un secondo momento.
- Gli utenti non possono partecipare alle riunioni del canale: se i criteri IB sono abilitati, gli utenti non possono partecipare alle riunioni del canale se non sono membri del team. La causa principale è che i controlli IB si basano sul fatto che gli utenti possano essere aggiunti a un elenco di chat di riunione e solo quando possono essere aggiunti al roster sono autorizzati a partecipare alla riunione. Il thread di chat in una riunione del canale è disponibile solo per i membri del team/canale e i non membri non possono visualizzare o accedere al thread di chat. Se L'IB è abilitato per l'organizzazione e un membro non del team tenta di partecipare a una riunione del canale, l'utente non è autorizzato a partecipare alla riunione. Tuttavia, se L'IB non è abilitato* per l'organizzazione e un membro non del team tenta di partecipare a una riunione del canale, l'utente può partecipare alla riunione, ma non vedrà l'opzione di chat nella riunione.
- I criteri IB non funzionano per gli utenti federati: se si consente la federazione con organizzazioni esterne, gli utenti di tali organizzazioni non saranno limitati dai criteri IB. Se gli utenti dell'organizzazione partecipano a una chat o a una riunione organizzata da utenti federati esterni, anche i criteri IB non limitano la comunicazione tra gli utenti dell'organizzazione.
Ulteriori informazioni
- Per altre informazioni sugli IB, vedere Barriere informative.
- Per configurare i criteri IB, vedere Introduzione alle barriere informative.
- Per modificare o rimuovere i criteri IB, vedere Gestire i criteri di barriera delle informazioni.
- Barriere informative e canali condivisi
Disponibilità
Le barriere informative in Teams sono disponibili nei cloud pubblici, GCC, GCC - High e DOD.