Microsoft Teams快速上手系列-08Teams中的內部防火牆

如標題所示「Teams內部防火牆」這個是什麼鬼？！在解釋這個名稱以前我先分享一個場景：

某金融行業正在使用Office365，其中核心金融數據部門可以與任何內部用戶進行點對點溝通文件傳輸，結合個人上一篇文章Teams中的組織架構能夠很輕鬆的找到整個組織中的任何用戶，那麼就帶來了一個安全隱患：該部門的用戶有可能會泄密到其餘部門！那如何來規避這個風險呢？郵件能夠經過郵件流規則來限制核心用戶發送郵件權限以及審批流程，SharePoint分享文件能夠經過管理員配置相應的權限。在本地Skype for Business Server環境中咱們也遇到過集團領導不但願下面的員工能與之直接聯繫，咱們能夠經過導出用戶數據手動添加組織聯繫人SIP地址而後再覆蓋用戶的數據文件來實現，那麼如今針對雲上的Teams使用怎麼去規避呢？這就是這篇博客要給你們分享的Teams中的內部防火牆，這是微軟4月才發佈的一個預覽版功能叫作：information barriers（信息障礙）就是爲了實現內部關鍵部門之間或者團隊之間不能互通訊息但又不影響該部門的團隊應用。

我司Office365爲E3沒法進行演示，因此我特地搞了個E5版本爲各位演示（儘管此功能目前仍是預覽版，我仍是去研究完了寫出博客分享給你們）。

要實現information barriers須要進行以下準備：

許可條件（只須要下面任意一個許可）

Microsoft 365 E5；

Office 365 E5；

Office 365高級合規性；

Microsoft 365 E5合規性；

操做權限（只須要下面任意一個權限）

Microsoft 365 企業全局管理員；

Office 365 全局管理員；

合規性管理員；

IB 合規性管理；

在配置前須要完成如下準備：

Ø  完善用戶的帳號屬性

可參考我上一篇博客Teams中的組織架構一文進行批量配置。用戶屬性中部門是惟一的！這必定要確認好一個用戶只能屬於一個部門！

例如個人帳號部門屬於技術部

Admin帳號配置屬於HR部門

Ø  Microsoft Teams中啓用範圍目錄搜索，啓用後至少等待24小時生效

進入Teams管理中心https://admin.teams.microsoft.com 而後選擇組織範圍設置->團隊設置。

在搜索功能中啓用使用Exchange通信錄策略進行目錄搜索（默認是關閉狀態）。

Ø  啓用Office365審覈日誌搜索

啓用審覈日誌搜索必需要授予操做帳號Exchange Online「審覈日誌」角色權限，在默認的組織管理員中已經又這個角色。

遠程PowerShell鏈接到Exchange Online開啓搜索，啓用後須要等待60分鐘才能最終生效。

啓用命令：Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

在使用以上命令前有可能會提示使用Enable-OrganizationCustomization，執行便可

而後繼續啓用搜索

Ø  準備鏈接到Office365安全與合規中心PowerShell。

目前, 信息屏障策略在 Office 365 Security & 合規性中心 (使用 PowerShell cmdlet) 中進行定義和管理因此必定注意這些策略不是在Teams PowerShell中配置管理的。

Set-ExecutionPolicy RemoteSigned

$UserCredential = Get-Credential

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

Import-PSSession $Session -DisableNameChecking

將以上PS命令整理到ps1文件中而後使用管理員身份運行。

完成鏈接。

以上全部信息準備好了以後，咱們就能夠開始配置信息障礙策略了。

首先咱們來定義一些用戶段，按照部門來劃分

例如我新建的帳號劃分紅技術

New-OrganizationSegment -Name "tech" -UserGroupFilter "Department -eq '技術部'"

Admin帳號劃分爲HR

New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"

很惋惜當前此cmdlet還不支持也就是說此功能仍是預覽版，並未正式公佈，據瞭解最近一次更新是2019.05.31，相信此功能很快就能正式發佈到每一個訂閱。待此功能正式發佈後我再完善此博客，不過我整理了後續須要作的事情，你們能夠參考下。

終於在2019年7月份測試的時候該命令已經可用了！

把用戶歸類好了以後，咱們開始建立策略

New-InformationBarrierPolicy -Name "tech-HR" -AssignedSegment "tech" -SegmentsBlocked "HR" -State Inactive

這條策略的目的是阻止技術部與HR部門的溝通，這個阻止是單向的，因此還須要創建一條策略阻止HR主動與技術部門溝通

New-InformationBarrierPolicy -Name "HR-Tech" -AssignedSegment "HR" -SegmentsBlocked "Tech" -State Inactive

建立好以上兩條策略後再使用Start-InformationBarrierPoliciesAddlication來激活策略      HR和技術部門之間就不能互相通訊了！

那麼若是技術部僅能與HR部門通訊而不須要和其餘部門通訊呢？這種場景多用於研究中心人員和特定部門溝通而不但願被其餘部門打擾，若是根據上面的命令一條一條的去建立就顯得很是麻煩。可使用SegmentsAllowed參數來建立策略。如:

New-InformationBarrierPolicy -Name "Tech-HR" -AssignedSegment "Tech" -SegmentsAllowed "HR" -State Inactive

能夠在一條命令中定義多個部門信息，只須要在參數中增長部門信息,只須要用逗號隔開便可如：

-AssignedSegment "Tech,sales"

-SegmentsAllowed "HR,IT"

-SegmentsBlocked "Marketing, Research"

至因而能夠通訊仍是阻止通訊經過Allowed和Blocked來控制！

在以上建立的全部策略中-State參數都是Inactive，也就是說不會生效，若是但願建立後當即生效則須要將參數修改成Active

以上操做完成後咱們僅僅是定義了用戶分類以及建立了策略信息，若是策略中-State參數爲Inactive則這條策略並無生效，接下來就要應用這些策略。

Get-InformationBarrierPolicy

能夠獲取全部的信息障礙策略信息，要記下來每個策略的GUID值。

而後使用Set命令來激活這條策略

Set-InformationBarrierPolicy -Identity 43c3xxxx-exxx-xxxx-xxxx-xxxx9377xxxx -State Active

最後還要使用如下命令來應用到整個Office365組織，5000用戶的組織大約須要1小時來完成。

Start-InformationBarrierPoliciesApplication

我整理了一些經常使用的命令：

如需中止某一條策略可使用如下命令

Stop-InformationBarrierPoliciesApplication -Identity GUID

查看策略部署是否完成可使用如下命令

Get-InformationBarrierPoliciesApplicationStatus

查看全部策略部署狀態可使用如下命令

Get-InformationBarrierPoliciesApplicationStatus -All $true

獲取全部用戶定義表可使用如下命令

Get-OrganizationSegment

修改用戶定義表可使用如下命令

Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'"

編輯策略阻止與其餘用戶通訊可使用如下命令

Set-InformationBarrierPolicy -Identity GUID -SegmentsBlocked "segmentname, segmentname"

編輯策略啓用僅與某些其餘用戶通訊可使用如下命令

Set-InformationBarrierPolicy -Identity GUID -SegmentsAllowed "segmentname, segmentname"

刪除策略可使用如下命令

 Remove-InformationBarrierPolicy -Identity GUID

刪除策略後應使用如下命令應用更改

Start-InformationBarrierPoliciesApplication

將活動的策略更改成非活動狀態可使用如下命令

Set-InformationBarrierPolicy -Identity GUID -State Inactive

更改成非活動狀態後應使用如下命令應用更改

Start-InformationBarrierPoliciesApplication

分享給各位但願能有幫助，能把Teams用的愈來愈順！