Trennung von Unternehmensbereichen in Microsoft 365 - mit Informationsbarrieren!
Krähe mit HutIn einem Unternehmen mag es Bereiche geben, die aus irgendwelchen Gründen keine Informationen miteinander austauschen dürfen, bspw. hochsensible Daten. Ein anderes Beispiel kann die strikte Abgrenzung von Pilotszenarien sein, in dem unterschiedliche Unternehmensbereiche bestimmte Funktionen testen sollen, aber kein gegenseitiger Zugriff erlaubt sein soll.
Für diese Fälle können Informationsbarrieren eingerichtet werden, um virtuelle Schranken zwischen diesen Bereichen einzuziehen und die Mitarbeitenden an der gegenseitigen Kommunikation und Zusammenarbeit zu hindern.
Was sind Informationsbarrieren?
Informationsbarrieren sind eine Compliance-Funktion innerhalb von Microsoft 365, die den Austausch von Daten und Informationen zwischen definierten Benutzern bzw. Unternehmensbereichen einschränken. Dies kann dazu beitragen, unerwünschten Datenabfluss zu verhindern und die Weitergabe vertraulicher Informationen einzuschränken.
Informationsbarrieren werden auf Teams, SharePoint Online und OneDrive for Business angewendet. Exchange Online ist davon nicht betroffen. Dies bedeutet, dass für Exchange Online andere Maßnahmen (beispielsweise Purview-Vertraulichkeitsbezeichnungen mit entsprechenden Richtlinien) ergriffen werden müssen, um hier einen ähnlichen Schutz anzuwenden.
Lizenzierung
Die Nutzung von Informationsbarrieren erfordert eine Lizenz für jeden Nutzer, der den Dienst verwendet. Hierfür kann eines der folgenden Pakete oder Addons zugewiesen werden:
- Purview Suite for Business Premium oder höher
- Office 365 E5
- Microsoft 365 A1 oder höher
- Microsoft 365 E5/F5
- Microsoft 365 E5/F5 Compliance-Addon
- Insider Risk Management-Addon
Berechtigungen
Für die Konfiguration von Informationsbarrieren wird eine der folgenden Rollen benötigt, wobei empfohlen wird, nach dem Minimalprinzip zu verfahren:
| Rolle | Berechtigung |
|---|---|
| IB-Compliance-Management | Verwaltung der Lösung Informationsbarrieren |
| Complianceadministrator | Vollzugriff auf alle Purview-Lösungen |
| Globaler Administrator | Vollzugriff auf sämtliche Dienste |
Darüber hinaus sind ggf. noch Berechtigungen erforderlich, falls für die Segmentierung spezielle Benutzerattribute gepflegt oder Microsoft 365-Gruppen angelegt werden sollen (bspw. Benutzeradministrator oder Gruppenadministrator). Es wird empfohlen, die Zuweisung von Segmenten auf Basis von Gruppen durchzuführen, da dies am leichtesten nachvollzogen werden kann. Außerdem sollten hierfür keine existierenden Gruppen wiederverwendet, sondern explizit neue Gruppen erstellt werden, um keine Abhängigkeiten aufzubauen.
Voraussetzungen
Festlegung der gewünschten Ziele
Bevor mit der Implementierung begonnen wird, ist es wichtig, festzulegen, welche Einschränkungen erreicht werden sollen und was nicht eingeschränkt werden darf. Hierzu sind u.a. folgende Fragestellungen relevant:
- Sollen die Mitarbeitenden vollständig abgetrennt werden (also keine Kommunikation, Teilen von Dateien, Hinzufügen zu Teams/SharePoint-Sites, usw.) oder müssen Teilfunktionen erhalten bleiben?
- Soll die Nutzung von Dateien in Teams/SharePoint Online/OneDrive generell unterbunden werden oder sollen Dateien hochgeladen und genutzt werden können?
Wenn die Ziele klar definiert sind, kann ein entsprechender Umsetzungsplan entworfen werden.
Aktivierung von Überwachungsprotokollen
Standardmäßig sind Überwachungsprotokolle in Microsoft 365 aktiviert. In älteren Microsoft-Mandanten kann es jedoch vorkommen, dass die Aktivierung noch nicht durchgeführt wurde. Dies kann im Purview-Portal geprüft werden. Wenn kein Banner zur Aktivierung angezeigt wird, sind Überwachungsprotokolle aktiviert.
Exchange-Adressbuchrichtlinien für Teams aktivieren
Die Informationsbarrieren verwenden im Hintergrund Exchange-Adressbuchrichtlinien, um die gegenseitige Sichtbarkeit der Segmentmitglieder einzuschränken. Dies ist standardmäßig nicht aktiviert und muss daher explizit eingeschaltet werden.
Hinweis: nach Aktivierung dauert es bis zu 24 Stunden, bis die Funktion tatsächlich aktiv ist! Davor darf nicht mit der Konfiguration fortgefahren werden!
- Teams Admin Center aufrufen
- Zum Bereich “Nach Namen suchen” wechseln
- “Verzeichnissuche mit einer Exchange-Adressbuchrichtlinie einschränken” aktivieren
Unterstützung in SharePoint Online aktivieren
In SharePoint Online sind Informationsbarrieren standardmäßig ausgeschaltet und müssen erst aktiviert werden. Dies kann nur über PowerShell durchgeführt werden:
# Prüfen, ob das Modul installiert ist und installieren, falls nicht
if (!(Get-InstalledModule Microsoft.Online.SharePoint.PowerShell -ErrorAction SilentlyContinue)){Install-Module Microsoft.Online.SharePoint.PowerShell -Scope CurrentUser}
# Zu SharePoint Online verbinden
Connect-SPOService -URL <URL der SharePoint-Admin-Seite, z.B. https://contoso-admin.sharepoint.com>
# Unterstützung für Informationsbarrieren aktivieren
Set-SPOTenant -InformationBarriersSuspension $false -IBImplicitGroupBased $trueHinweis: nach Ausführung der Befehle dauert noch bis zu 1 Stunde, ehe die Einstellungen aktiv werden. Erst dann kann mit der Konfiguration des IB-Modus für die Sites fortgefahren werden, falls notwendig!
Erstellung von Gruppen (optional)
Wird entschieden, Gruppen für die Zuordnung von Benutzern zu verwenden, so müssen hierfür zwingend Microsoft 365-Gruppen angelegt werden, da Purview technisch von Exchange Online abhängig ist und Exchange Online ausschließlich E-Mail-aktivierte Gruppen verarbeiten kann.
Die Gruppen können wie gewohnt über das Entra Admin Center erstellt werden. Wichtig: für alle Gruppen sollte die standardmäßig aktive Willkommensnachricht deaktiviert werden, die beim Hinzufügen von Benutzern standardmäßig versendet wird. Alternativ sollten die Benutzer vor dem Hinzufügen entsprechend informiert werden, um Irritationen und ein erhöhtes Anfrageaufkommen für den Helpdesk zu vermeiden.
# Prüfen, ob das Modul installiert ist und installieren, falls nicht
if (!(Get-InstalledModule ExchangeOnlineManagement -ErrorAction SilentlyContinue)){Install-Module ExchangeOnlineManagement -Scope CurrentUser}
# Zu Exchange Online verbinden
Connect-ExchangeOnline
# Gruppe erstellen und Willkommensnachricht deaktivieren
New-UnifiedGroup -DisplayName <Name der Gruppe> -Alias <Alias der Gruppe>
Set-UnifiedGroup -Identity <Name der Gruppe> -UnifiedGroupWelcomeMessageEnabled:$falseKonfiguration der Informationsbarrieren
Einrichtung der Segment-Parameter
Die Benutzer müssen sogenannten Segmenten hinzugefügt werden, um auf dieser Basis die Abtrennung gegeneinander zu realisieren. Segmente können bspw. auf Basis von Benutzerattributen oder Gruppenmitgliedschaften gebildet werden.
Dementsprechend muss bestimmt werden, wie Benutzer einem Segment zugeordnet werden sollen. Hierfür ist dann das entsprechende Attribut bzw. die dafür angelegten Gruppen zu verwenden.
Erstellung von Segmenten
Als nächstes sind die Segmente über das Purview-Portal zu erstellen:
- Purview-Portal aufrufen
- “+ Neues Segment” auswählen
- Namen vergeben, z.B. Namen der Entra ID-Gruppe oder gemäß einem ggf. existierenden Benennungskonzept (z.B. ABC-PVW-IBA-SEG-<Beschreibung>)
- Als Gruppenfilter das ausgewählte Attribut bzw. “Mitglied von” auswählen, wenn eine Gruppe verwendet werden soll. ACHTUNG: für eine Gruppe muss entweder die ID oder die E-Mail-Adresse hinterlegt werden, der Name funktioniert nicht!
- Erstellung abschließen und Schritte für weitere(s) Segment(e) wiederholen
Die Benutzer werden noch nicht den Segmenten zugewiesen, dies geschieht erst nach Erstellung und Aktivierung einer Richtlinie.
Erstellung einer Richtlinie
Nach Erstellung der Segmente muss eine Richtlinie erstellt werden, die definiert, ob die Kommunikation zwischen den Segmenten erlaubt oder blockiert werden soll.
WICHTIG: es muss in jedem Fall eine Richtlinie erstellt werden - auch dann, wenn die Kommunikation erlaubt werden soll. Andernfalls werden die Benutzer nicht den Segmenten zugewiesen, dies geschieht erst nach Aktivierung einer Richtlinie!
- Purview-Portal aufrufen
- “+ Richtlinie erstellen” auswählen
- Namen vergeben, z.B. Modus und Namen der Entra ID-Gruppen oder gemäß einem ggf. existierenden Benennungskonzept (z.B. ABC-PVW-IBA-POL-ALLOW-<Segment1>-<Segment2>)
- Eines der Segmente zuweisen (in diesem Schritt kann nur ein Segment zugewiesen werden)
- Unter “Kommunikation und Zusammenarbeit” den gewünschten Modus auswählen
- Unter “Segment auswählen”…
- …alle Segmente auswählen, wenn der Modus mit “Zulässig” konfiguriert wird
- …nur das jeweils andere Segment auswählen, wenn der Modus mit “Blockiert” konfiguriert wird
- Den Richtlinienstatus zunächst noch auf “Ausgeschaltet” belassen und die Erstellung abschließen
Konfiguration des expliziten Modus für SharePoint-Sites
Falls die Kommunikation zwischen den Benutzern über Teams erlaubt bleiben soll, aber die Benutzer daran gehindert werden müssen, sich gegenseitig in ihre Teams und SharePoint-Sites einzuladen, müssen die Sites dem jeweiligen Segment aktiv zugeordnet werden. Dies wird als expliziter Modus bezeichnet.
Die Konfiguration kann über das SharePoint Admin Center über die Eigenschaften der jeweiligen Site oder über PowerShell erfolgen. Verwendet das Unternehmen viele Sites, gestaltet sich die Einrichtung über PowerShell effektiver:
# Zu Purview und SharePoint Online verbinden
Connect-IPPSSession
Connect-SPOService -URL <URL der SharePoint-Admin-Seite, z.B. https://contoso-admin.sharepoint.com>
# IDs der Segmente ermitteln
Get-OrganizationSegment | ft Name, EXOSegmentID
# Segment für eine SharePoint-Site konfigurieren
Set-SPOSite -Identity <Site-URL> -AddInformationSegment <Segment-GUID>Start der Verarbeitung
Sind alle vorbereitenden Arbeiten abgeschlossen, kann die Richtlinie aktiviert und die Verarbeitung gestartet werden. Dieser Schritt ist zwingend erforderlich, da ansonsten die Konfiguration nicht angewendet wird. Die Verarbeitung wird mittels des folgenden PowerShell-Befehls gestartet:
# Anwendung der Informationsbarrieren starten
Start-InformationBarrierPoliciesApplicationDie Verarbeitung kann je nach Menge der Benutzer und Sites etwas dauern. Typischerweise benötigen 5000 Benutzer ca. 1 Stunde Verarbeitung. Sobald die Richtlinie aktiviert ist, kann mithilfe der folgenden Befehle geprüft werden, ob ein Benutzer einem Segment zugewiesen ist:
# Zu Exchange Online verbinden
Connect-ExchangeOnline
# Prüfen, ob das Postfach einem Segment zugewiesen wurde
Get-Recipient -Identity <E-Mail-Adresse> | fl *segment*Deaktivierung des Dateien-Uploads (optional)
In manchen Situationen kann es zusätzlich erforderlich sein, den Dateien-Upload in Teams, SharePoint Online und OneDrive global zu unterbinden. Dies kann per PowerShell wie folgt realisiert werden. Wie dies geht, zeigt der folgende Artikel: Teams nur für Audio/Video nutzen? Geht!
Entfernung von Informationsbarrieren
Sollen Informationsbarrieren zu einem späteren Zeitpunkt wieder entfernt werden, ist es wichtig, die Schritte in der richtigen Reihenfolge durchzuführen:
- Richtlinie auf “inaktiv” setzen
- Segmente so umkonfigurieren, dass keine Benutzer mehr zugeordnet werden (bspw. durch Angabe falscher Daten oder Konfiguration einer leeren Gruppe)
- Bereinigungsprozess abwarten oder mit dem folgenden PowerShell-Befehl sofort durchführen:
# Bereinigungsprozess manuell starten
Start-InformationBarrierPoliciesApplication -Cleanupgroupsegmentlink- Richtlinie löschen
- Segmente löschen
- Attribut bei allen Benutzern bereinigen oder ggf. angelegte Gruppen löschen
Gefällt Dir der Beitrag? Lass es andere wissen!
