Microsoft Teams快速上手系列-08Teams中的内部防火墙

如标题所示“Teams内部防火墙”这个是什么鬼？！在解释这个名称以前我先分享一个场景：

某金融行业正在使用Office365，其中核心金融数据部门可以与任何内部用户进行点对点沟通文件传输，结合个人上一篇文章Teams中的组织架构能够很轻松的找到整个组织中的任何用户，那么就带来了一个安全隐患：该部门的用户有可能会泄密到其余部门！那如何来规避这个风险呢？邮件能够经过邮件流规则来限制核心用户发送邮件权限以及审批流程，SharePoint分享文件能够经过管理员配置相应的权限。在本地Skype for Business Server环境中咱们也遇到过集团领导不但愿下面的员工能与之直接联系，咱们能够经过导出用户数据手动添加组织联系人SIP地址而后再覆盖用户的数据文件来实现，那么如今针对云上的Teams使用怎么去规避呢？这就是这篇博客要给你们分享的Teams中的内部防火墙，这是微软4月才发布的一个预览版功能叫作：information barriers（信息障碍）就是为了实现内部关键部门之间或者团队之间不能互通讯息但又不影响该部门的团队应用。

我司Office365为E3没法进行演示，因此我特地搞了个E5版本为各位演示（尽管此功能目前仍是预览版，我仍是去研究完了写出博客分享给你们）。

要实现information barriers须要进行以下准备：

许可条件（只须要下面任意一个许可）

Microsoft 365 E5；

Office 365 E5；

Office 365高级合规性；

Microsoft 365 E5合规性；

操做权限（只须要下面任意一个权限）

Microsoft 365 企业全局管理员；

Office 365 全局管理员；

合规性管理员；

IB 合规性管理；

在配置前须要完成如下准备：

Ø  完善用户的帐号属性

可参考我上一篇博客Teams中的组织架构一文进行批量配置。用户属性中部门是惟一的！这必定要确认好一个用户只能属于一个部门！

例如个人帐号部门属于技术部

Admin帐号配置属于HR部门

Ø  Microsoft Teams中启用范围目录搜索，启用后至少等待24小时生效

进入Teams管理中心https://admin.teams.microsoft.com 而后选择组织范围设置->团队设置。

在搜索功能中启用使用Exchange通信录策略进行目录搜索（默认是关闭状态）。

Ø  启用Office365审核日志搜索

启用审核日志搜索必需要授予操做帐号Exchange Online“审核日志”角色权限，在默认的组织管理员中已经又这个角色。

远程PowerShell链接到Exchange Online开启搜索，启用后须要等待60分钟才能最终生效。

启用命令：Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

在使用以上命令前有可能会提示使用Enable-OrganizationCustomization，执行便可

而后继续启用搜索

Ø  准备链接到Office365安全与合规中心PowerShell。

目前, 信息屏障策略在 Office 365 Security & 合规性中心 (使用 PowerShell cmdlet) 中进行定义和管理因此必定注意这些策略不是在Teams PowerShell中配置管理的。

Set-ExecutionPolicy RemoteSigned

$UserCredential = Get-Credential

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

Import-PSSession $Session -DisableNameChecking

将以上PS命令整理到ps1文件中而后使用管理员身份运行。

完成链接。

以上全部信息准备好了以后，咱们就能够开始配置信息障碍策略了。

首先咱们来定义一些用户段，按照部门来划分

例如我新建的帐号划分红技术

New-OrganizationSegment -Name "tech" -UserGroupFilter "Department -eq '技术部'"

Admin帐号划分为HR

New-OrganizationSegment -Name "HR" -UserGroupFilter "Department -eq 'HR'"

很惋惜当前此cmdlet还不支持也就是说此功能仍是预览版，并未正式公布，据了解最近一次更新是2019.05.31，相信此功能很快就能正式发布到每一个订阅。待此功能正式发布后我再完善此博客，不过我整理了后续须要作的事情，你们能够参考下。

终于在2019年7月份测试的时候该命令已经可用了！

把用户归类好了以后，咱们开始建立策略

New-InformationBarrierPolicy -Name "tech-HR" -AssignedSegment "tech" -SegmentsBlocked "HR" -State Inactive

这条策略的目的是阻止技术部与HR部门的沟通，这个阻止是单向的，因此还须要创建一条策略阻止HR主动与技术部门沟通

New-InformationBarrierPolicy -Name "HR-Tech" -AssignedSegment "HR" -SegmentsBlocked "Tech" -State Inactive

建立好以上两条策略后再使用Start-InformationBarrierPoliciesAddlication来激活策略      HR和技术部门之间就不能互相通讯了！

那么若是技术部仅能与HR部门通讯而不须要和其余部门通讯呢？这种场景多用于研究中心人员和特定部门沟通而不但愿被其余部门打扰，若是根据上面的命令一条一条的去建立就显得很是麻烦。可使用SegmentsAllowed参数来建立策略。如:

New-InformationBarrierPolicy -Name "Tech-HR" -AssignedSegment "Tech" -SegmentsAllowed "HR" -State Inactive

能够在一条命令中定义多个部门信息，只须要在参数中增长部门信息,只须要用逗号隔开便可如：

-AssignedSegment "Tech,sales"

-SegmentsAllowed "HR,IT"

-SegmentsBlocked "Marketing, Research"

至因而能够通讯仍是阻止通讯经过Allowed和Blocked来控制！

在以上建立的全部策略中-State参数都是Inactive，也就是说不会生效，若是但愿建立后当即生效则须要将参数修改成Active

以上操做完成后咱们仅仅是定义了用户分类以及建立了策略信息，若是策略中-State参数为Inactive则这条策略并无生效，接下来就要应用这些策略。

Get-InformationBarrierPolicy

能够获取全部的信息障碍策略信息，要记下来每个策略的GUID值。

而后使用Set命令来激活这条策略

Set-InformationBarrierPolicy -Identity 43c3xxxx-exxx-xxxx-xxxx-xxxx9377xxxx -State Active

最后还要使用如下命令来应用到整个Office365组织，5000用户的组织大约须要1小时来完成。

Start-InformationBarrierPoliciesApplication

我整理了一些经常使用的命令：

如需中止某一条策略可使用如下命令

Stop-InformationBarrierPoliciesApplication -Identity GUID

查看策略部署是否完成可使用如下命令

Get-InformationBarrierPoliciesApplicationStatus

查看全部策略部署状态可使用如下命令

Get-InformationBarrierPoliciesApplicationStatus -All $true

获取全部用户定义表可使用如下命令

Get-OrganizationSegment

修改用户定义表可使用如下命令

Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'"

编辑策略阻止与其余用户通讯可使用如下命令

Set-InformationBarrierPolicy -Identity GUID -SegmentsBlocked "segmentname, segmentname"

编辑策略启用仅与某些其余用户通讯可使用如下命令

Set-InformationBarrierPolicy -Identity GUID -SegmentsAllowed "segmentname, segmentname"

删除策略可使用如下命令

 Remove-InformationBarrierPolicy -Identity GUID

删除策略后应使用如下命令应用更改

Start-InformationBarrierPoliciesApplication

将活动的策略更改成非活动状态可使用如下命令

Set-InformationBarrierPolicy -Identity GUID -State Inactive

更改成非活动状态后应使用如下命令应用更改

Start-InformationBarrierPoliciesApplication

分享给各位但愿能有帮助，能把Teams用的愈来愈顺！