マイクロソフトは、すべての教育テナントに問題のある情報バリアソリューションを拡張します。

マイクロソフトは、すべての教育テナントに問題のある情報バリアソリューションを拡張します。 [ad_1]

チーム、SharePoint、および OneDrive へのポリシー制御アクセス

によると、 製品ドキュメントの最新バージョンの一部として、Office 365 および Microsoft 365 のすべての教育計画 (A1、A3、および A5) に情報バリアをバンドルすることにしました。教育テナントには明らかに情報の障壁が当てはまる可能性のある状況が多いので、これは良い考えだと思います。たとえば、特定の年の学生など、ピア グループの外部でのコミュニケーションを行う必要はありません。情報の障壁は、異なるユーザーのセット間の通信フローにブロックを課すことによって助けることができます。

情報障壁の現状について奇妙なのは、依存しているにもかかわらず、 Exchange オンライン アドレス帳ポリシーの場合、障壁は電子メール通信には適用されません。情報バリアは、アドレス帳のビューを使用して、Azure AD に格納されている受信者情報から組織セグメント (グループ化) を作成します。ただし、マイクロソフトでは、2018 年の Ignite 2018 カンファレンスと同じくらい前に Exchange の情報バリアの実装について説明しましたが、ドキュメントでは、このトピックを無視し、実装に焦点を当てています。

ディレクトリ セグメント

情報バリア ポリシーは、異なる組織セグメント間の通信を許可またはブロックすることによって機能します。セグメントは、ディレクトリに対してクエリを実行することによって作成された Azure AD 受信者 (テナントとゲスト アカウント、メール連絡先) の定義済みセットです。たとえば、セグメントには、特定のクラスのすべての学生、または部門または国のすべてのアカウントが含まれる場合があります。

ある Azure AD 属性の制限されたセット 情報バリア クエリを含めることができます。使用可能な属性が適切なターゲット グループを見つけることができない場合は、配布リストまたは Microsoft 365 グループのメンバーシップをセグメントのベースとして使用することで回避策が存在します。Microsoft のドキュメントでは、セグメントの作成時にグループ名を渡すことができるという情報が記載されています。これは私のために働いたことがない。機能は、Exchange Online に格納されているグループの外部ディレクトリ オブジェクト識別子を渡す方法です。識別子は Azure AD グループを指します。例えば:

Get-UnifiedGroup "U.S. Banking Employees" | Select ExternalDirectoryObjectId

ExternalDirectoryObjectId
-------------------------
f4170c40-55d1-469f-afc9-043e1f5a8755

New-OrganizationSegment -Name "U.S. Banking Employees" -UserGroupFilter "MemberOf -eq 'f4170c40-55d1-469f-afc9-043e1f5a8755'"

セグメントを作成した後、次の手順では、情報バリア ポリシーを作成して、セグメント間の通信をブロックする方法を定義します (2 つのセグメント間の通信を明示的に許可するポリシーを作成することもできます)。たとえば、上記で作成したセグメントを使用して、別のセグメントとの通信をブロックするとします。このポリシーを使用できます。

New-InformationBarrierPolicy -Name "U.S. Banking Employees Block Ireland" -AssignedSegment "U.S. Banking Employees" -SegmentsBlocked "Ireland Banking Employees" -State Inactive

このポリシーは一方向(米国の従業員からアイルランドの従業員まで)の通信のみをブロックするため、(アイルランドから米国への)他の方向の通信をブロックする第2のポリシーが必要です。

ポリシーによる通信のブロック

最終的には、バックグラウンド ジョブを実行して組織セグメントで定義されたアカウントを解決し、アドレス帳ビューを勘定に割り当てると、情報バリアがアクティブになります。チームの場合、これは次の意味を意味します。

  • ブロックされたセグメントのメンバーをチームまたはチャネルに追加することはできません。
  • ブロックされたセグメントのメンバーを 1:1 またはグループ チャットまたは会議に追加することはできません。
  • ブロックされたセグメントの他のユーザーが出席する場合、ユーザーは会議に参加できません。
  • ディレクトリ検索は、ブロックされたセグメントで他のユーザーを見つけるのを阻止するためにスコープ設定されます。

情報バリアは、SharePoint Online と OneDrive for Business の共有機能を変更して、ブロックされたセグメントのユーザーと情報を共有することを禁止します。つまり、他のユーザーとコンテンツを共有しようとすると、共有ターゲットが情報の障壁によって許可されている場合にのみ、コンテンツを共有できます。Microsoft 365 のグループまたはチームに接続された SharePoint サイトは、同じ組織セグメントのユーザーとのみ共有できます。

マイクロソフトのコンプライアンス ツールキットの最も貧しい部分

情報の障壁は数年前から続いており、マイクロソフトがこの機能を開発するための限られた進歩を見るのは残念です。Microsoft 365 テナントが利用できる他のコンプライアンス ソリューションとは異なり、情報バリアは Microsoft 365 コンプライアンス センター (またはその他の場所) に GUI を持っていません。すべての管理は、Exchange オンライン管理モジュールの PowerShell コマンドレットを使用して行う必要があります。一部のコマンドレットからのエラー処理と出力は、書式設定されず、情報が得られていない。情報バリア ポリシー設定を適用するために行われる処理のほとんどは、アクティビティがブラック ボックスと同じくらい明確なバックグラウンド ジョブを使用して行われます。ポリシーアプリケーションで競合が発生した時期を把握することは可能ですが、監査に対する検索が必要です。GUID のログと解決を行って、関連するセグメントと受信者を特定します。全体として、情報バリアポリシーは混乱しています。

マイクロソフトが教育テナントに情報バリア ポリシーを提供するのは良いことですが、次の方が良いでしょう。

  • Microsoft 365 コンプライアンス センターで組織セグメントと情報バリア ポリシーを管理する GUI を作成します。
  • 組織セグメントをテストして、セグメント内の受信者を表示する機能を提供する (保存ポリシーの適応型スコープ 同様の情報を表示できます)。また、管理者が他のセグメントと競合しているかどうかを確認する方法もあります (受信者は 1 つのセグメントにのみ存在する必要があります)。これはどれもロケット科学ではありません。
  • 特に処理によって発生した問題の解決において、情報バリアアプリケーションの操作をより透過的かつ管理しやすくします。おそらく、Microsoft 365 に散らばっている膨大な人工知能の一部を適用して、組織がポリシーによって制御される通信の流れを理解し、微調整するのを助けます。
  • PowerShell コマンドレットを修正して、エラー処理がスムーズになり、問題の解決方法を管理者に伝える情報を提供します。
  • 情報バリア ポリシーでサポートされるワークロードに Exchange Online を含めます。

Office 365 E5 または Microsoft 365 E5 ライセンスを要求する中途半端で、未完成で、問題のあるソリューションは、マイクロソフトにとって、数年前から一般に公開されています。情報バリア ソリューションの基礎を修正してから、使用する必要がある人を拡大する方が良いでしょう。

Office 365 が実際にどのように機能するかについては、サブスクリプションを作成してください。 IT 担当者向け Office 365 電子書籍。毎月の更新プログラムでは、Office 365 エコシステム全体で重要な情報を購読者に通知します。情報バリア ポリシーについては、コンプライアンスの章で説明します。

[ad_2]

未分類

Posted by admin