Creare i criteri delle barriere informative

8 minuti

Le barriere informative (IB) sono criteri che un amministratore può configurare per impedire a singoli utenti o a gruppi di comunicare tra loro.

I criteri IB impediscono anche ricerche e individuazione. Se si tenta di comunicare con qualcuno con cui non si dovrebbe comunicare, non si troverà tale utente nella selezione utenti. Le barriere informative possono essere usate in alcuni dei casi seguenti:

Quando un team deve essere impedito di comunicare o condividere dati con un altro team specifico.
Quando un team non deve comunicare o condividere dati con altri utenti esterni al team.

Di seguito viene riportato un esempio. Alex appartiene al segmento bancario e Bill al segmento di assistenza finanziaria. Alex e Bill non possono comunicare tra loro perché i criteri IB dell'organizzazione bloccano la comunicazione e la collaborazione tra questi due segmenti. Tuttavia, Alex e Bill possono comunicare con Lee del reparto Risorse Umane.

Schermata di esempio che mostra le barriere informative che impediscono la comunicazione tra i segmenti.

Funzionamento delle barriere in Teams

Le barriere informative sono supportate in Microsoft Teams, SharePoint e OneDrive. In Microsoft Teams, i criteri IB vengono attivati quando si verificano Teams seguenti eventi:

I membri vengono aggiunti a un team: ogni volta che si aggiunge un utente a un team, i criteri dell'utente devono essere valutati in base ai criteri IB di altri membri del team. Se i criteri dell'utente ne bloccano l'aggiunta al team, l'utente non verrà visualizzato nella ricerca.
Viene richiesta una nuova chat: ogni volta che un utente richiede una nuova chat con uno o più altri utenti, la chat viene valutata per assicurarsi che non violi alcun criterio IB. Se la conversazione viola un criterio IB, la conversazione non viene avviata. Ecco un esempio di chat 1:1.
Un utente viene invitato a partecipare a una riunione: quando un utente viene invitato a partecipare a una riunione, il criterio IB che si applica all'utente viene valutato rispetto ai criteri IB applicati agli altri membri del team. In caso di violazione, l'utente non potrà partecipare alla riunione.
Una schermata viene condivisa tra due o più utenti: quando un utente condivide una schermata con altri utenti, la condivisione deve essere valutata per assicurarsi che non violi i criteri IB di altri utenti. Se viene violato un criterio IB, la condivisione dello schermo non sarà consentita. Ecco un esempio di condivisione dello schermo dopo l'applicazione del criterio. Le icone della condivisione dello schermo e delle chiamate non sono visibili.
Un utente effettua una telefonata in Teams: ogni volta che un utente avvia una chiamata vocale (tramite VOIP) a un altro utente o gruppo di utenti, la chiamata viene valutata per assicurarsi che non violi i criteri IB di altri membri del team. In caso di violazione, la chiamata vocale viene bloccata.
guest in Teams: i criteri IB si applicano anche agli utenti guest in Teams. È possibile definire i criteri IB quando gli utenti guest sono individuabili nell'elenco indirizzi globale dell'organizzazione.

Quando gli amministratori creano o aggiornano i criteri delle barriere informative, il servizio cerca automaticamente i membri per assicurarsi che i membri del team non violi alcun criterio. In caso di nuove violazioni, vengono eseguite le azioni seguenti:

1:1 chat: se la comunicazione tra due utenti non è più consentita (a causa dell'applicazione a uno o a entrambi gli utenti di un criterio che blocca la comunicazione), ulteriori comunicazioni vengono bloccate. Le conversazioni di chat esistenti diventano di sola lettura.
Chat di gruppo: se i partecipanti a una chat di gruppo violano un criterio modificato o nuovo, i partecipanti interessati vengono rimossi dalla chat e possono visualizzare la cronologia delle conversazioni in sola lettura.
Team: tutti gli utenti rimossi dal gruppo vengono rimossi dal team e non potranno visualizzare o partecipare a conversazioni nuove o esistenti.

Flusso di lavoro

Per configurare i criteri relativi alle barriere informative per Microsoft Teams sono necessari diversi passaggi. Quando viene creato un team, viene eseguito il provisioning di un sito di SharePoint e viene associato a Microsoft Teams per l'esperienza dei file. Per impostazione predefinita, i criteri delle barriere informative non vengono rispettati in questo sito di SharePoint e nei file. Per abilitare le barriere informative in SharePoint e OneDrive, vedere Usare le barriere informative con SharePoint.

Fase	Cosa è coinvolto
Verificare che i prerequisiti siano soddisfatti	- Verificare il possesso delle licenze e delle autorizzazioni necessarie - Verificare la presenza nella directory dei dati per la segmentazione degli utenti. - Abilitare la ricerca nella directory con ambito per Microsoft Teams - Assicurarsi che la creazione di log di controllo sia attivata - Assicurarsi che i criteri delle rubriche di Exchange siano impostati - Usare PowerShell - Fornire il consenso dell'amministratore per Microsoft Teams
Parte 1: Segmentare gli utenti nell'organizzazione	- Determinare i criteri necessari - Creare un elenco di segmenti da definire - Individuare gli attributi da utilizzare - Definire i segmenti in termini di filtri dei criteri
Parte 2: Definire i criteri barriera informativa	- Definire i criteri (non ancora applicati) - Scegliere tra due tipi (blocca o consenti)
Per altre informazioni, vedere Parte 3. Applicare i criteri delle barriere informative.	- Impostare i criteri sullo stato attivo - Eseguire l'applicazione dei criteri - Visualizzare lo stato dei criteri

Prerequisiti per le barriere informative

Per implementare le barriere informative, è necessario che siano soddisfatti i prerequisiti seguenti:

Licenze necessarie per le barriere informative: le barriere informative sono una funzionalità di conformità avanzata. La funzionalità è disponibile per gli utenti con una delle licenze seguenti:
- Microsoft 365 E5/A5/G5
- Office 365 E5/A5/G5
- Conformità di Microsoft 365 E5/A5/G5/F5
- Gestione dei rischi Insider di Microsoft 365 E5/A5/F5/G5
Autorizzazioni per i criteri barriera informativa: per definire o modificare i criteri delle barriere informative, gli amministratori devono essere assegnati a uno dei ruoli seguenti:
- Amministratore globale di Microsoft 365 Enterprise
- Amministratore globale di Office 365
- Amministratore di conformità
Dati della directory: assicurarsi che la struttura dell'organizzazione sia riflessa nei dati della directory.
Ricerca directory con ambito: questa impostazione deve essere attivata.
Registrazione di controllo: per cercare lo stato di un'applicazione dei criteri, è necessario attivare la registrazione di controllo.
Nessun criterio rubrica: Assicurarsi che i criteri delle rubriche di Exchange siano impostati.
PowerShell con il modulo di &Conformità alla sicurezza: le barriere informative possono essere configurate usando PowerShell e connettendo il modulo di Sicurezza e Conformità al tenant di Microsoft 365.

consenso dell'amministratore per le barriere informative in Microsoft Teams: usare la procedura seguente per consentire ai criteri di barriera informativa di funzionare come previsto in Microsoft Teams.

Eseguire i cmdlet di PowerShell seguenti:

# Login with the Azure Resource Manager PowerShell to your tenant:
Login-AzureRmAccount
# Save the information barrier service app id to a variable:
$appId="bcf62038-e005-436d-b970-2a472f8c1982"
# Get a service principal in Azure for the app id:
$sp=Get-AzureRmADServicePrincipal -ServicePrincipalName $appId
# If a service principal could not be retrieved, create a new one:
if ($sp -eq $null) { New-AzureRmADServicePrincipal -ApplicationId $appId }
# Start the process to grant consent, by running:
Start-Process https://login.microsoftonline.com/common/adminconsent?client_id=$appId

Quando richiesto, accedere con l'account aziendale o dell'istituto di istruzione per Office 365.
Nella finestra di dialogo Autorizzazioni richieste esaminare le informazioni e quindi selezionare Accetta.

Parte 1: Segmentare gli utenti nell'organizzazione

Durante questa fase, è possibile determinare quali criteri barriera informativa sono necessari, creare un elenco di segmenti da definire e quindi definire i segmenti. Durante la segmentazione degli utenti, occorre tenere presenti due regole importanti:

Un utente deve essere in un solo segmento.
Ogni segmento deve avere una sola barriera informativa.

Un segmento è definito da determinati attributi di directory. Per assegnare gli utenti a un segmento, si utilizza il cmdlet New-OrganizationSegment con il parametro UserGroupFilter:

Apri PowerShell e connettiti con il modulo PowerShell per la Sicurezza e la Conformità al tuo tenant.
Eseguire il cmdlet seguente e sostituire il nome del segmento con un nome significativo e sia attributo sia attributo-valore con l'attributo di directory desiderato per filtrare i membri del segmento.
```
New-OrganizationSegment -Name "segment-name" -UserGroupFilter "attribute -eq 'attribute-value'" 
```
Ad esempio, per definire un segmento denominato Sales, usando l'attributo Department, si utilizza questo comando:
```
New-OrganizationSegment -Name "Sales" -UserGroupFilter "Department -eq 'Sales'
```
Ripetere questo processo per ogni segmento da definire.

Parte 2: Definire i criteri barriera informativa

Dopo aver creato i segmenti, è possibile creare i criteri che limitano i segmenti dalla comunicazione. Esistono due tipi di criteri:

Blocca i criteri blocca le comunicazioni tra segmenti.
Consenti i criteri consenti a un segmento di comunicare solo con un altro segmento.

Scenario 1: bloccare le comunicazioni tra segmenti.

Per impedire le comunicazioni tra i segmenti, sono necessari due criteri: uno per ogni direzione. Ogni criterio blocca le comunicazioni in modo unidirezionale. Usare il cmdlet New-InformationBarrierPolicy con il parametro SegmentsBlocked:

New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsBlocked "segment2name"

Ad esempio, per bloccare le comunicazioni tra i reparti Vendite e Ricerca, usare questo comando:

## Prevent Sales from communicating with Research
New-InformationBarrierPolicy -Name "Sales-Research" -AssignedSegment "Sales" -SegmentsBlocked "Research" -State Inactive

## Prevent Research from communicating with Sales
New-InformationBarrierPolicy -Name "Research-Sales" -AssignedSegment "Research" -SegmentsBlocked "Sales" -State Inactive

Scenario 2:: consentire a un segmento di comunicare con un altro segmento.

Per consentire a un segmento di comunicare con un altro segmento, utilizzare il New-InformationBarrierPolicycmdlet con il parametro SegmentsAllowed:

New-InformationBarrierPolicy -Name "policyname" -AssignedSegment "segment1name" -SegmentsAllowed "segment2name","segment1name"

Ad esempio, per consentire al segmento Ricerca di comunicare solo con hr e produzione, usare questo comando:

New-InformationBarrierPolicy -Name "Research-HRManufacturing" -AssignedSegment "Research" -SegmentsAllowed "HR","Manufacturing","Research" -State Inactive

Per altre informazioni, vedere Parte 3. Applicare i criteri delle barriere informative.

I criteri barriera informativa non sono attivi fino a quando non vengono impostati sullo stato attivo e quindi applicati.

Usare il cmdlet Get-InformationBarrierPolicy per visualizzare un elenco di criteri definiti. Prendere nota dello stato e dell'identità (GUID) di ogni criterio.
Per impostare lo stato di un criterio come attivo, utilizzare il cmdlet Set-InformationBarrierPolicy con un parametro Identity e impostare il parametro State su Active:
```
Set-InformationBarrierPolicy -Identity GUID -State Active
```
Eseguire il cmdlet seguente per avviare le barriere informative nel tenant:

Start-InformationBarrierPoliciesApplication

Dopo l'esecuzione di Start-InformationBarrierPoliciesApplication attendere 30 minuti prima che il sistema inizi ad applicare i criteri. Il sistema applica criteri utente per utente. Il sistema elabora circa 5.000 account utente all'ora.

Per ulteriori informazioni, vedere:

Continua