Verwenden von Informationsbarrieren mit OneDrive
Microsoft Purview-Informationsbarrieren sind Richtlinien in Microsoft 365, die ein Complianceadministrator konfigurieren kann, um zu verhindern, dass Benutzer miteinander kommunizieren und zusammenarbeiten. Diese Lösung ist z.B. nützlich, wenn in einer Abteilung Informationen bearbeitet werden, die mit bestimmten anderen Abteilungen nicht geteilt werden sollten, oder wenn eine Abteilung isoliert oder daran gehindert werden muss, mit jeglichen Benutzern außerhalb der Abteilung zusammenzuarbeiten. Informationsbarrieren werden häufig in stark regulierten Branchen und in Organisationen eingesetzt, für die Complianceanforderungen gelten (z. B. im Bereich Finanzen, Recht und Behörden).
Für OneDrive können Informationsbarrieren die folgenden Arten von nicht autorisierter Zusammenarbeit bestimmen und verhindern:
- Benutzerzugriff auf OneDrive oder gespeicherte Inhalte
- Freigeben von OneDrive oder gespeicherten Inhalten für andere Benutzer
Informationsbarrierenmodi und OneDrive
Wenn Informationsbarrieren auf SharePoint und OneDrive aktiviert sind, wird das OneDrive von segmentierten Benutzern automatisch mit IB-Richtlinien geschützt. Informationsbarrierenmodi helfen dabei, den Zugriff, die Freigabe und die Mitgliedschaft einer OneDrive-Website basierend auf dem IB-Modus und den mit OneDrive verknüpften Segmenten zu stärken.
Wenn Sie Informationsbarrieren mit OneDrive verwenden, werden die folgenden IB-Modi unterstützt:
| Mode | Beschreibung |
|---|---|
| Open | Wenn ein nicht segmentierte Benutzer sein OneDrive bereitstellt, wird der IB-Modus der Website standardmäßig auf Öffnen festgelegt. Der Website sind keine Segmente zugeordnet. |
| Besitzer moderiert | Wenn ein OneDrive für die Zusammenarbeit mit inkompatiblen Benutzern in Anwesenheit des Websitebesitzers/Moderators verwendet wird, kann der IB-Modus von OneDrive als Besitzer moderiert festgelegt werden. Weitere Informationen zur Website "Besitzermoderiert" finden Sie in diesem Abschnitt . |
| Explicit | Wenn ein segmentierte Benutzer sein OneDrive innerhalb von 24 Stunden nach der Aktivierung bereitstellt, wird der IB-Modus der Website standardmäßig auf Explizit festgelegt. Das Segment des Benutzers und andere Segmente, die mit dem Segment des Benutzers und miteinander kompatibel sind, werden dem OneDrive des Benutzers zugeordnet. |
| Mixed | Wenn oneDrive eines segmentierten Benutzers für nicht segmentierte Benutzer freigegeben werden darf, kann der IB-Modus der Website auf Gemischt festgelegt werden. Dies ist ein Aktivierungsmodus, den der SharePoint-Administrator auf OneDrive eines segmentierten Benutzers festlegen kann. |
Hinweis
Ab dem 12. Juli 2022 wurde der abgeleitete Modus in gemischter Modus geändert. Die Funktionalität für den Modus bleibt unverändert.
Freigeben von Dateien aus OneDrive
Öffnen
Wenn ein OneDrive über keine Segmente verfügt und der IB-Modus geöffnet ist:
- Ein Benutzer kann Dateien und Ordner basierend auf der für ihn geltenden Richtlinie für Informationsbarrieren und der Freigabeeinstellung für den OneDrive freigeben.
Besitzer moderiert
Wenn eine Website über Informationsbarrieren verfügt, wird der Modus "Besitzer moderiert" festgelegt:
- Die Option zum Freigeben für jeden mit dem Link ist deaktiviert.
- Die Option zum Teilen mit unternehmensweitem Link ist deaktiviert.
- Die Website und deren Inhalt können für vorhandene Mitglieder freigegeben werden.
- Die Website und ihre Inhalte können nur vom OneDrive-Besitzer gemäß seiner IB-Richtlinie freigegeben werden.
Explicit
Wenn ein OneDrive über Segmente mit Informationsbarrieren verfügt und der Modus auf Explizit festgelegt ist:
- Die Option zum Freigeben für jeden mit dem Link ist deaktiviert.
- Die Option zum Teilen mit unternehmensweitem Link ist deaktiviert.
- Dateien und Ordner können nur für Benutzer freigegeben werden, deren Segment dem des OneDrive entspricht.
Gemischt
Wenn ein OneDrive über Segmente mit Informationsbarrieren verfügt und der Modus auf Gemischt festgelegt ist:
- Die Option zum Freigeben für jeden mit dem Link ist deaktiviert.
- Die Option zum Teilen mit unternehmensweitem Link ist deaktiviert.
- Dateien und Ordner können für Benutzer freigegeben werden, deren Segment dem von OneDrive und nicht segmentierten Benutzern im Mandanten entspricht.
Zugreifen auf freigegebene Dateien über OneDrive
Open-Modus
Damit ein Benutzer auf Inhalte in einem OneDrive zugreifen kann, dem keine Segmente zugeordnet sind, und dem IB-Modus öffnen:
- Die Dateien müssen für den Benutzer freigegeben sein.
Moderieren des Besitzers
Damit ein Benutzer auf eine SharePoint-Website mit dem Informationsbarrieremodus der Website zugreifen kann, ist auf Besitzer moderiert festgelegt:
- Der Benutzer verfügt über Websitezugriffsberechtigungen.
Expliziter Modus
Damit ein Benutzer auf Inhalte in einem OneDrive zugreifen kann, in dem Segmente und der IB-Modus auf Explizit festgelegt sind:
Das Segment des Benutzers muss mit einem Segment übereinstimmen, das dem OneDrive zugeordnet ist.
UND
Die Dateien müssen für den Benutzer freigegeben sein.
Hinweis
Standardmäßig können Benutzer, die nicht segmentiert sind, auf freigegebene OneDrive-Dateien nur von anderen Benutzern ohne Segment mit ib-Modi als Öffnen zugreifen. Sie können nicht auf freigegebene Dateien aus OneDrive zugreifen, auf die Segmente angewendet wurden, und der IB-Modus ist Explizit.
Gemischter Modus
Für einen segmentierten Benutzer, um auf Inhalte in einem OneDrive zuzugreifen, in dem Segmente und der IB-Modus auf Gemischt festgelegt sind:
Das Segment des Benutzers muss mit einem Segment übereinstimmen, das dem OneDrive zugeordnet ist.
UND
Die Dateien müssen für den Benutzer freigegeben sein.
Für einen nicht segmentierten Benutzer, um auf Inhalte in einem OneDrive zuzugreifen, in dem Segmente und der IB-Modus auf Gemischt festgelegt sind:
- Der Benutzer muss über Websitezugriffsberechtigungen verfügen.
Beispielszenario
Das folgende Beispiel veranschaulicht drei Segmente in einem organization: PERSONAL, Vertrieb und Forschung. Es wurde eine Richtlinie für Informationsbarrieren definiert, die die Kommunikation und Zusammenarbeit zwischen den Segmenten "Vertrieb" und "Forschung" verhindert.
Wenn Informationsbarrieren in OneDrive verwendet werden, wird, wenn ein Segment auf einen Benutzer angewendet wird, dieses innerhalb von 24 Stunden automatisch dem OneDrive-Speicher des Benutzers zugeordnet. Andere, mit dem Segment des Benutzers und untereinander kompatible Segmente werden ebenfalls dem OneDrive zugeordnet. Einem OneDrive können bis zu 100 Segmente zugeordnet werden. Ein globaler oder SharePoint-Administrator kann diese Segmente mithilfe von PowerShell verwalten, wie weiter unten im Abschnitt Dem OneDrive eines Benutzers Segmente zuordnen oder davon entfernen.
Die folgende Tabelle enthält die Auswirkungen dieser Beispielkonfiguration:
| Komponenten | Benutzer "Personalwesen" | Benutzer "Vertrieb" | Benutzer "Forschung" | Benutzer ohne Segment |
|---|---|---|---|---|
| Segmente, die dem OneDrive zugeordnet sind | Personalwesen | Vertrieb, Personalwesen | Forschung, Personalwesen | Keines |
| IB-Modus auf OneDrive | Explicit | Explicit | Explicit | Öffnen |
| OneDrive-Inhalte können freigegeben werden für: | Nur "Personalwesen" | "Vertrieb" und "Personalwesen" | "Forschung" und "Personalwesen" | Jeden basierend auf den ausgewählten Freigabeeinstellungen |
| Auf OneDrive-Inhalte zugreifen kann: | Nur "Personalwesen" | "Vertrieb" und "Personalwesen" | "Forschung" und "Personalwesen" | Jeder, für den der Inhalt freigegeben wurde |
Aktivieren von SharePoint- und OneDrive-Informationsbarrieren in Ihrem organization
Die Aktivierung von Informationsbarrieren für SharePoint und OneDrive wird in einer einzigen Aktion konfiguriert. Informationsbarrieren für die Dienste können nicht separat aktiviert werden. Informationen zum Aktivieren von Informationsbarrieren für OneDrive finden Sie unter Aktivieren von SharePoint- und OneDrive-Informationsbarrieren in Ihrem organization. Nachdem Sie Informationsbarrieren für SharePoint und OneDrive aktiviert haben, fahren Sie mit der OneDrive-Anleitung in diesem Artikel fort.
Voraussetzungen
- Stellen Sie sicher, dass Sie die Lizenzierungsanforderungen für Informationsbarrieren erfüllen.
- Erstellen Sie Richtlinien für Informationsbarrieren , die die Kommunikation zwischen den Segmenten zulassen oder blockieren, und aktivieren Sie die Richtlinien. Erstellen Sie Segmente, und definieren Sie die Benutzer in den einzelnen Segmenten.
- Nachdem Sie Ihre Richtlinien für Informationsbarrieren konfiguriert und aktiviert haben, warten Sie 24 Stunden, bis die Änderungen in Ihrem organization weitergegeben werden.
- Aktivieren Sie Informationsbarrieren für OneDrive. Das Aktivieren von Informationsbarrieren für SharePoint und OneDrive wird in einer einzigen Aktion konfiguriert, und diese Dienste können nicht separat aktiviert werden. Informationen zum Aktivieren von Informationsbarrieren für OneDrive finden Sie in den Anleitungen und Schritten im Artikel Verwenden von Informationsbarrieren mit SharePoint .
- Führen Sie die Schritte in den folgenden Abschnitten aus, um Informationsbarrieren für OneDrive in Ihrem organization anzupassen und zu verwalten.
Verwenden von PowerShell zum Anzeigen der einem OneDrive zugeordneten Segmente
Ein globaler oder SharePoint-Administrator kann die Segmente anzeigen und ändern, die dem OneDrive eines Benutzers zugeordnet sind. Ihre organization kann bis zu 5.000 Segmente enthalten, und Benutzer können mehreren Segmenten zugewiesen werden.
Wichtig
Unterstützung für 5.000 Segmente und das Zuweisen von Benutzern zu mehreren Segmenten ist nur verfügbar, wenn sich Ihre organization nicht im Legacymodus befindet. Das Zuweisen von Benutzern zu mehreren Segmenten erfordert zusätzliche Aktionen zum Ändern des Informationsbarrieremodus für Ihre organization. Weitere Informationen finden Sie unter Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren).
Für Organisationen im Legacymodus wird maximal 250 Segmente unterstützt, und Benutzer können nur einem Segment zugewiesen werden. Organisationen im Legacymodus können in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.
Stellen Sie eine Verbindung mit der Security & Compliance Center PowerShell als globaler Administrator her.
Führen Sie den folgenden Befehl aus, um die Liste der Segmente und deren GUIDs abzurufen.
Get-OrganizationSegment | ft Name, EXOSegmentIDSpeichern Sie die Liste der Segmente.
Name EXOSegmentId Vertrieb a9592060-c856-4301-b60f-bf9a04990d4d Forschung 27d20a85-1c1b-4af2-bf45-a41093b5d111 Personalwesen a17efb47-e3c9-4d85-a188-1cd59c83de32 Falls noch nicht abgeschlossen, laden Sie die neueste SharePoint Online-Verwaltungsshell herunter, und installieren Sie sie. Wenn Sie eine frühere Version der SharePoint Online-Verwaltungsshell installiert haben, befolgen Sie die Anweisungen im Artikel Aktivieren von SharePoint- und OneDrive-Informationsbarrieren in Ihrem organization.
Stellen Sie eine Verbindung zu Microsoft Office SharePoint Online als Globaler Admin oder Microsoft Office SharePoint Online-Admin in Microsoft 365 her. Eine Anleitung dazu finden Sie unter Erste Schritte mit der Microsoft Office SharePoint Online-Verwaltungsshell.
Führen Sie den folgenden Befehl aus:
Get-SPOSite -Identity <site URL> | Select InformationSegmentZum Beispiel:
Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationSegment
Verwalten von Segmenten auf dem OneDrive eines Benutzers
Warnung
Wenn die dem OneDrive eines Benutzers zugeordneten Segmente nicht mit dem Segment des Benutzers übereinstimmen, kann dieser nicht auf seinen OneDrive zugreifen. Ordnen Sie dem OneDrive eines Benutzers, der keinem Segment angehört, keine Segmente zu.
Hinweis
Alle von Ihnen vorgenommenen Änderungen werden überschrieben, wenn sich das Segment des Benutzers ändert.
Führen Sie den folgenden Befehl in der SharePoint Online-Verwaltungsshell aus, um einem OneDrive ein Segment zuzuordnen.
Wichtig
Unterstützung für 5.000 Segmente und das Zuweisen von Benutzern zu mehreren Segmenten ist nur verfügbar, wenn sich Ihre organization nicht im Legacymodus befindet. Das Zuweisen von Benutzern zu mehreren Segmenten erfordert zusätzliche Aktionen zum Ändern des Informationsbarrieremodus für Ihre organization. Weitere Informationen finden Sie unter Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren).
Für Organisationen im Legacymodus wird maximal 250 Segmente unterstützt, und Benutzer können nur einem Segment zugewiesen werden. Organisationen im Legacymodus können in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.
Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>
Zum Beispiel:
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
Wenn Sie einem OneDrive Segmente hinzufügen, wird der IB-Modus der Website automatisch auf Explicit aktualisiert. Wenn Sie versuchen, ein Segment zuzuordnen, das mit den auf dem OneDrive vorhandenen Segmenten nicht kompatibel ist, wird eine Fehlermeldung angezeigt.
Wichtig
Unterstützung für das Zuweisen von Benutzern zu mehreren Segmenten ist nur verfügbar, wenn sich Ihre organization nicht im Legacymodus befindet. Informationen dazu, ob sich Ihr organization im Legacymodus befindet, finden Sie unter Überprüfen des IB-Modus für Ihre organization).
Benutzer können nur einem Segment für Organisationen im Legacymodus zugewiesen werden. Organisationen im Legacymodus können in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.
Führen Sie den folgenden Befehl aus, um ein Segment von einem OneDrive zu entfernen:
Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>
Zum Beispiel:
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
Wenn alle Segmente einer OneDrive-Website entfernt werden, wird der IB-Modus von OneDrive automatisch auf Öffnen aktualisiert.
Verwalten des IB-Modus des OneDrive eines Benutzers (Vorschau)
Um den IB-Modus einer OneDrive-Website anzuzeigen, führen Sie den folgenden Befehl in der SharePoint Online-Verwaltungsshell als SharePoint-Administrator oder globaler Administrator aus:
Get-SPOSite -Identity <site URL> | Select InformationBarriersMode
Zum Beispiel:
Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode
Ein SharePoint-Administrator oder globaler Administrator hat auch die Möglichkeit, den IB-Modus einer OneDrive-Website zu verwalten, um die Anforderungen Ihrer organization mit neuen IB-Modi zu erfüllen:
Beispiel für den moderierten Modus "Besitzer"
Erlauben Sie einem inkompatiblen Segmentbenutzer den Zugriff auf oneDrive. Sie möchten z. B. den Zugriff auf das OneDrive des PERSONAL-Benutzers sowohl von Den Segmentbenutzern "Vertrieb" als auch "Forschung" in Ihrem Mandanten zulassen.
"Besitzer moderiert" ist ein Modus, der für OneDrive-Websites gilt und inkompatiblen Segmentbenutzern den Zugriff auf OneDrive in Anwesenheit eines Moderators/Besitzers ermöglicht. Nur der Websitebesitzer hat die Möglichkeit, inkompatible Segmentbenutzer auf derselben Website einzuladen.
Führen Sie den folgenden PowerShell-Befehl aus, um den IB-Modus einer OneDrive-Website auf "Besitzer moderiert" zu aktualisieren:
Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated
Der Moderierte IB-Modus des Besitzers kann auf einer Website mit Segmenten nicht festgelegt werden. Entfernen Sie die Segmente, bevor Sie den IB-Modus als Besitzer moderiert festlegen. Der Zugriff auf eine vom Besitzer moderierte Website ist benutzern erlaubt, die über Websitezugriffsberechtigungen verfügen. Die Freigabe eines vom Besitzer moderierten OneDrives und dessen Inhalte ist nur vom Websitebesitzer gemäß seiner IB-Richtlinie zulässig.
Beispiel für gemischten Modus
Ermöglichen Sie nicht segmentierten Benutzern den Zugriff auf OneDrive, das Segmenten zugeordnet ist. Sie möchten z. B. den Zugriff auf das OneDrive des PERSONAL-Benutzers durch Personalsegment und nicht segmentierte Benutzer in Ihrem Mandanten ermöglichen. Gemischter Modus für OneDrive-Websites, der segmentierten und nicht segmentierten Benutzern den Zugriff auf OneDrive ermöglicht.
Führen Sie den folgenden PowerShell-Befehl aus, um den IB-Modus einer OneDrive-Website auf Gemischt zu aktualisieren:
Set-SPOSite -Identity <siteurl> -InformationBarriersMode Mixed
Der gemischte IB-Modus kann auf einer Website ohne Segmente nicht festgelegt werden. Fügen Sie Segmente hinzu, bevor Sie den IB-Modus auf Gemischt festlegen.
Auswirkungen von Änderungen an Benutzersegmenten
Wenn sich das Segment eines Benutzers ändert, werden das Segment und der IB-Modus von OneDrive innerhalb von 24 Stunden automatisch aktualisiert, wie im Abschnitt oben mit den OneDrive-Informationsbarrieren beschrieben.
Beispiel 1: Das Segment des Benutzers, das von "Research" in "Sales" aktualisiert wurde, lautet das OneDrive des Benutzers innerhalb von 24 Stunden wie folgt:
- Segment: Vertrieb, Personalwesen
- IB-Modus: Explizit
Beispiel 2: Das Segment des Benutzers wurde von HR auf None aktualisiert. Das OneDrive des Benutzers wird innerhalb von 24 Stunden wie folgt aussehen:
- Segment: Keine
- IB-Modus: Öffnen
Auswirkungen von Änderungen an Richtlinien für Informationsbarrieren
Wenn ein Complianceadministrator eine bestehende Richtlinie ändert, wirkt sich diese Änderung u. U. auf die Kompatibilität der Segmente aus, die dem OneDrive zugeordnet sind.
Segmente, die zuvor kompatibel waren, sind dann evtl. nicht mehr kompatibel. Ein SharePoint-Administrator muss die einer betroffenen Site zugeordneten Segmente entsprechend ändern. Erfahren Sie Näheres zum Erstellen eines Compliance-Berichts zu Richtlinien für Informationsbarrieren in PowerShell.
Wenn nach der Freigabe von Dateien eine Richtlinie geändert wird, funktionieren die Freigabelinks nur, wenn der Benutzer, der auf die freigegebenen Dateien zuzugreifen versucht, einem Segment angehört, das einem dem OneDrive zugeordneten Segment entspricht.
Überwachung
Überwachungsereignisse sind im Microsoft Purview-Portal und im Microsoft Purview-Complianceportal verfügbar, um Sie bei der Überwachung von Informationsbarriereaktivitäten zu unterstützen. Überwachungsereignisse werden für die folgenden Aktivitäten protokolliert:
- Aktivierte Informationsbarrieren für SharePoint und OneDrive
- Auf Website angewendetes Segment
- Geändertes Segment der Website
- Entferntes Segment der Website
- Angewendeter Informationsbarrierenmodus auf die Website
- Geänderter Informationsbarrieremodus der Website
- Deaktivierte Informationsbarrieren für SharePoint und OneDrive
Weitere Informationen zur OneDrive-Segmentüberwachung in Office 365 finden Sie unter Search überwachungsprotokoll.
Ressourcen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für