Mit Information Barriers in Microsoft 365 kann die Kollaboration und Kommunikation zwischen bestimmten Personengruppen innerhalb einer Organisation eingeschränkt werden.
Mit der Einführung von Clouddiensten ergeben sich neue Möglichkeiten hinsichtlich der Kollaboration innerhalb einer Organisation. Die Kommunikationswege verändern sich und Informationen werden transparenter und zugänglicher. Dies fördert die Zusammenarbeit zwischen verschiedenen Personengruppen.
Doch Microsoft bietet nicht nur Möglichkeiten die Kollaboration zu unterstützen, sondern diese bei Bedarf auch einzuschränken. Organisationen können Ihren Endusern eine offene und transparente Plattform bieten und diese zugleich hinsichtlich der Unternehmensanforderungen reglementieren. Die Kommunikation und der Austausch zwischen verschiedenen Personengruppen einer Organisation können mithilfe von Information Barriers eingeschränkt werden. Dies ermöglicht den Organisationen sensible Daten zu schützen und beispielsweise die organisationalen und/oder datenschutzrechtlichen Anforderungen zu erfüllen.
Information Barriers zwischen Personengruppen
Als Beispiel für die Implementierung von Information Barriers ziehen wir die folgenden drei Personengruppen heran:
- Gruppe 1: Firstline Worker
- Gruppe 2: Controlling
- Gruppe 3: HR
Da das Controlling Team in Besitz sensibler Unternehmensdaten ist, muss sichergestellt werden, dass diese Daten nicht mit Personengruppen geteilt werden können, die keinen Zugang haben sollten. Da das Controlling Team nicht mit der Personengruppe „Firstline Worker“ für die Erfüllung ihrer Tätigkeit kollaborieren muss, kann die Möglichkeit zu kommunizieren und zu kollaborieren technisch blockiert werden. Eine Kollaboration zwischen dem HR und dem Controlling Team ist jedoch erforderlich.
In diesem Fall können Informationbarrieren implementiert werden, die die Kommunikation und Kollaboration zwischen Controlling und Firstline Workern blockieren, aber zwischen dem Controlling und HR gewähren.
Mithilfe von Richtlinien wird für bestimmte Personengruppen entweder die Kommunikation und Kollaboration gestattet oder unterbunden. Wichtig ist hierbei, dass die Richtlinien und Restriktionen in beide Richtungen gelten müssen. Eine One-Way Restriction, wie beispielsweise Gruppe 1 darf mit Gruppe 2 kommunizieren, aber Gruppe 2 mit Gruppe 1 nicht, wird nicht unterstützt.
Wird die Kommunikation und Kollaboration eingeschränkt, so können diese Personengruppen nicht mehr miteinander chatten oder Dateien teilen und voneinander angerufen werden. Eine unautorisierte Kommunikation ist somit nicht mehr möglich.
Mögliche Einschränkungen für M365 Dienste
Information Barriers sind für Microsoft Teams, SharePoint Online und OneDrive for Business verfügbar. Je Dienst gibt es gewisse Einschränkungen, die festgelegt werden können.
Folgende Einschränkungen gelten für Microsoft Teams:
- Nach einem Benutzer suchen
- Hinzufügen von Mitgliedern zu einem Team
- Chats mit Personen starten
- Einladen einer Person zur Teilnahme an einer Besprechung
- Bildschirmfreigabe
- Anrufe via Teams
- Dateifreigabe
- Zugriff auf Dateien über den Freigabelink
Folgende Einschränkungen gelten für SharePoint Online und OneDrive for Business:
- Hinzufügen eines Mitglieds zu einer Website
- Zugriff auf eine Website und Ihre Inhalte
- Freigabe von Websites oder Inhalten für einen anderen Benutzer
- Durchsuchen einer Website
Für eine dynamische Zuweisung der Richtlinien und folglich eine korrekte und definierte Segmentierung der User können Attribute eines User Accounts in der Azure AD verwendet werden. Diese sind beispielsweise Department, Job Title, Location oder Teamname. Weiterhin ersetzen Information Barriers die Adressbook Policies. Beide Objekte können somit nicht in einem Tenant existieren.
Da mit der Einführung von Information Barriers ein massiver Userimpact einhergeht, bedarf es vor der Implementierung eine ausführliche und bedachte Planung und Konzeption dieser Barrieren.
Anlage von Information Barriers
Die Anlage der Informationsbarrieren erfolgt ausschließlich über PowerShell. Nachdem die Segmente definiert worden sind, können die Richtlinien erstellt werden. Wichtig zu beachten ist, dass hier in beide Richtungen die Richtlinien erstellt werden:
New-InformationBarrierPolicy -Name Controlling-FirstlineWorker -AssignedSegment “Controlling” -SegmentsBlocked “Firstline Worker” -State inactive
New-InformationBarrierPolicy -Name FirstlineWorker-Controlling -AssignedSegment “Firstline Worker” -SegmentsBlocked “Controlling” -State inactive
Bei der Erstellung der Richtlinien ist zu beachten, dass den Richtlinien der Parameter „State“ mit dem Wert „inactive“ mitgegeben wird. Dies gewährleistet, dass die Richtlinien noch nicht aktiviert sind, um noch Anpassungen und Überprüfungen vornehmen zu können.
Um die Policies nach erfolgreicher Überprüfung aktivieren zu können, wird die Guid der Policies benötigt, welche sich über den Befehl Get-InformationBarrierPolicy abrufen lässt. Anschließend kann mit Set-InformationBarrierPolicy und der entsprechenden Guid der State der Policy auf „active“ gesetzt werden.
Letztlich bedarf es eines letzten Befehls, damit die Information Barriers Policies im Tenant angewendet werden:
Start-InformationBarrierPoliciesApplication
Zusammenfassend bieten Information Barriers in Microsoft 365 eine gute Möglichkeit, die Kollaboration und Kommunikation zwischen Personengruppen zu kontrollieren und somit sensible Daten zu schützen. Nicht alle Daten sind immer für die gesamte Organisation bestimmt und können somit eingeschränkt werden.
Sie sind neugierig geworden? Sie wollen noch mehr über das Thema Information Barriers erfahren und die interne Kommunikation Ihres Unternehmens regulieren? Dann kontaktieren Sie uns.