Verwenden von Informationsbarrieren mit OneDrive

Microsoft Purview Information Barriers sind Richtlinien in Microsoft 365, die ein Complianceadministrator konfigurieren kann, um zu verhindern, dass Benutzer miteinander kommunizieren und zusammenarbeiten. Diese Lösung ist z.B. nützlich, wenn in einer Abteilung Informationen bearbeitet werden, die mit bestimmten anderen Abteilungen nicht geteilt werden sollten, oder wenn eine Abteilung isoliert oder daran gehindert werden muss, mit jeglichen Benutzern außerhalb der Abteilung zusammenzuarbeiten. Informationsbarrieren werden häufig in stark regulierten Branchen und in Organisationen eingesetzt, für die Complianceanforderungen gelten (z. B. im Bereich Finanzen, Recht und Behörden).

Für OneDrive können Informationsbarrieren die folgenden Arten von nicht autorisierten Zusammenarbeiten ermitteln und verhindern:

  • Benutzerzugriff auf OneDrive oder gespeicherte Inhalte
  • Freigeben von OneDrive oder gespeicherten Inhalten für andere Benutzer

Informationsbarrierenmodi und OneDrive

Wenn Informationsbarrieren in SharePoint und OneDrive aktiviert sind, wird das OneDrive der segmentierten Benutzer automatisch durch IB-Richtlinien geschützt. Informationsbarrierenmodi tragen dazu bei, den Zugriff, die Freigabe und die Mitgliedschaft einer OneDrive-Website basierend auf ihrem IB-Modus und den mit OneDrive verbundenen Segmenten zu stärken.

Bei verwendung von Informationsbarrieren mit OneDrive werden die folgenden IB-Modi unterstützt:

Mode Beschreibung
Öffnen Wenn ein nicht segmentierter Benutzer sein OneDrive vorspartiert, wird der IB-Modus der Website standardmäßig als "Öffnen" festgelegt. Der Website sind keine Segmente zugeordnet.
Besitzer moderiert Wenn ein OneDrive für die Zusammenarbeit mit inkompatiblen Benutzern in Anwesenheit des Websitebesitzers/Moderators verwendet wird, kann der Ib-Modus von OneDrive als "Owner Moderated" festgelegt werden. Weitere Informationen finden Sie in diesem Abschnitt auf der Website "Owner Moderated".
Explicit Wenn ein segmentierter Benutzer sein OneDrive innerhalb von 24 Stunden nach Aktivierung vorspart, wird der IB-Modus der Website standardmäßig als explizit festgelegt. Das Segment des Benutzers und andere Segmente, die mit dem Segment des Benutzers und miteinander kompatibel sind, werden dem OneDrive des Benutzers zugeordnet.
Gemischt (Vorschau) Wenn das OneDrive eines segmentierten Benutzers für nicht segmentierte Benutzer freigegeben werden darf, kann der IB-Modus der Website als gemischt festgelegt werden. Dies ist ein Opt-In-Modus, den der SharePoint-Administrator auf OneDrive eines segmentierten Benutzers festlegen kann.

Hinweis

Ab dem 12. Juli 2022 wurde der abgeleitete Modus in den gemischten Modus geändert. Die Funktionalität für den Modus bleibt unverändert.

Freigeben von Dateien von OneDrive

Öffnen

Wenn ein OneDrive keine Segmente und den IB-Modus als "Öffnen" aufweist:

  • Ein Benutzer kann Dateien und Ordner basierend auf der für ihn geltenden Richtlinie für Informationsbarrieren und der Freigabeeinstellung für den OneDrive freigeben.

Besitzer moderiert

Wenn für eine Website der Modus "Informationsbarrieren" auf "Besitzer moderiert" festgelegt ist:

  • Die Option zum Freigeben für "Jeder" mit dem Link ist deaktiviert.
  • Die Option zum Freigeben mit unternehmensweitem Link ist deaktiviert.
  • Die Website und deren Inhalt können für vorhandene Mitglieder freigegeben werden.
  • Die Website und ihre Inhalte können nur vom OneDrive-Besitzer gemäß ihrer IB-Richtlinie freigegeben werden.

Explicit

Wenn ein OneDrive Segmente mit Informationsbarrieren aufweist und der Modus auf "Explizit" festgelegt ist:

  • Die Option zum Freigeben für "Jeder" mit dem Link ist deaktiviert.
  • Die Option zum Freigeben mit unternehmensweitem Link ist deaktiviert.
  • Dateien und Ordner können nur für Benutzer freigegeben werden, deren Segment dem des OneDrive entspricht.

Gemischt (Vorschau)

Wenn ein OneDrive Segmente mit Informationsbarrieren aufweist und der Modus auf "Gemischt" festgelegt ist:

  • Die Option zum Freigeben für "Jeder" mit dem Link ist deaktiviert.
  • Die Option zum Freigeben mit unternehmensweitem Link ist deaktiviert.
  • Dateien und Ordner können für Benutzer freigegeben werden, deren Segment mit dem von OneDrive und nicht segmentierten Benutzern im Mandanten übereinstimmt.

Zugreifen auf freigegebene Dateien von OneDrive

Open-Modus

Damit ein Benutzer auf Inhalte in einem OneDrive zugreifen kann, denen keine Segmente zugeordnet sind, und im IB-Modus als "Öffnen":

  • Die Dateien müssen für den Benutzer freigegeben sein.

Moderierter Besitzermodus

Damit ein Benutzer auf eine SharePoint-Website mit dem Informationsbarrierenmodus der Website zugreifen kann, ist " Owner Moderated" festgelegt:

  • Der Benutzer verfügt über Websitezugriffsberechtigungen.

Expliziter Modus

Damit ein Benutzer auf Inhalte in einem OneDrive zugreifen kann, in dem Segmente und der IB-Modus auf "Explizit" festgelegt ist:

  1. Das Segment des Benutzers muss mit einem Segment übereinstimmen, das dem OneDrive zugeordnet ist.

    UND

  2. Die Dateien müssen für den Benutzer freigegeben sein.

Hinweis

Standardmäßig können Benutzer ohne Segment auf freigegebene OneDrive-Dateien nur von anderen Nichtsegmentbenutzern mit IB-Modi als "Öffnen" zugreifen. Sie können nicht auf freigegebene Dateien von OneDrive aus zugreifen, auf die Segmente angewendet wurden, und der IB-Modus ist explizit.

Gemischter Modus (Vorschau)

Damit ein segmentiertes Benutzer auf Inhalte in einem OneDrive zugreifen kann, dessen Segmente und der IB-Modus als gemischt festgelegt ist:

  1. Das Segment des Benutzers muss mit einem Segment übereinstimmen, das dem OneDrive zugeordnet ist.

    UND

  2. Die Dateien müssen für den Benutzer freigegeben sein.

Damit ein nicht segmentiertes Benutzer auf Inhalte in einem OneDrive zugreifen kann, in dem Segmente und der IB-Modus als gemischt festgelegt ist:

  • Der Benutzer muss über Websitezugriffsberechtigungen verfügen.

Beispielszenario

Im folgenden Beispiel werden drei Segmente in einer Organisation veranschaulicht: Personalwesen, Vertrieb und Forschung. Es wurde eine Richtlinie für Informationsbarrieren definiert, die die Kommunikation und Zusammenarbeit zwischen den Segmenten "Vertrieb" und "Forschung" verhindert.

Beispiel für Segmente in einer Organisation

Wenn Informationsbarrieren in OneDrive verwendet werden, wird, wenn ein Segment auf einen Benutzer angewendet wird, dieses innerhalb von 24 Stunden automatisch dem OneDrive-Speicher des Benutzers zugeordnet. Andere, mit dem Segment des Benutzers und untereinander kompatible Segmente werden ebenfalls dem OneDrive zugeordnet. Einem OneDrive können bis zu 100 Segmente zugeordnet werden. Ein globaler oder SharePoint-Administrator kann diese Segmente mithilfe von PowerShell verwalten, wie weiter unten im Abschnitt Dem OneDrive eines Benutzers Segmente zuordnen oder davon entfernen.

In der folgenden Tabelle sind die Auswirkungen dieser Beispielkonfiguration aufgeführt:

Komponenten Benutzer "Personalwesen" Benutzer "Vertrieb" Benutzer "Forschung" Benutzer ohne Segment
Segmente, die dem OneDrive zugeordnet sind Personalwesen Vertrieb, Personalwesen Forschung, Personalwesen Keines
IB-Modus auf OneDrive Explicit Explicit Explicit Öffnen
OneDrive-Inhalte können freigegeben werden für: Nur "Personalwesen" "Vertrieb" und "Personalwesen" "Forschung" und "Personalwesen" Jeden basierend auf den ausgewählten Freigabeeinstellungen
Auf OneDrive-Inhalte zugreifen kann: Nur "Personalwesen" "Vertrieb" und "Personalwesen" "Forschung" und "Personalwesen" Jeder, für den der Inhalt freigegeben wurde

Aktivieren von SharePoint- und OneDrive-Informationsbarrieren in Ihrer Organisation

Das Aktivieren von Informationsbarrieren für SharePoint und OneDrive wird in einer einzigen Aktion konfiguriert. Informationsbarrieren für die Dienste können nicht separat aktiviert werden. Informationen zum Aktivieren von Informationsbarrieren für OneDrive finden Sie unter Aktivieren von SharePoint- und OneDrive-Informationsbarrieren in Ihrer Organisation. Nachdem Sie Informationsbarrieren für SharePoint und OneDrive aktiviert haben, fahren Sie mit den OneDrive-Anleitungen in diesem Artikel fort.

Voraussetzungen

  1. Stellen Sie sicher, dass Sie die Lizenzierungsanforderungen für Informationsbarrieren erfüllen.
  2. Erstellen Sie Richtlinien für Informationsbarrieren , die die Kommunikation zwischen den Segmenten zulassen oder blockieren, und aktivieren Sie die Richtlinien. Erstellen Sie Segmente, und definieren Sie die Benutzer in den einzelnen Segmenten.
  3. Nachdem Sie Ihre Richtlinien für Informationsbarrieren konfiguriert und aktiviert haben, warten Sie 24 Stunden, bis die Änderungen in Ihrer Organisation weitergegeben werden.
  4. Aktivieren Sie Informationsbarrieren für OneDrive. Das Aktivieren von Informationsbarrieren für SharePoint und OneDrive wird in einer einzigen Aktion konfiguriert, und diese Dienste können nicht separat aktiviert werden. Informationen zum Aktivieren von Informationsbarrieren für OneDrive finden Sie in den Anleitungen und Schritten im Artikel "Verwenden von Informationsbarrieren mit SharePoint ".
  5. Führen Sie die Schritte in den folgenden Abschnitten aus, um Informationsbarrieren für OneDrive in Ihrer Organisation anzupassen und zu verwalten.

Verwenden von PowerShell zum Anzeigen der einem OneDrive zugeordneten Segmente

Ein globaler oder SharePoint-Administrator kann die Segmente anzeigen und ändern, die dem OneDrive eines Benutzers zugeordnet sind.

  1. Stellen Sie eine Verbindung mit der Security & Compliance Center PowerShell als globaler Administrator her.

  2. Führen Sie den folgenden Befehl aus, um die Liste der Segmente und deren GUIDs abzurufen.

    Get-OrganizationSegment | ft Name, EXOSegmentID
    
  3. Speichern Sie die Liste der Segmente.

    Name EXOSegmentId
    Vertrieb a9592060-c856-4301-b60f-bf9a04990d4d
    Forschung 27d20a85-1c1b-4af2-bf45-a41093b5d111
    Personalwesen a17efb47-e3c9-4d85-a188-1cd59c83de32
  4. Falls noch nicht abgeschlossen, laden Sie die neueste SharePoint Online-Verwaltungsshell herunter, und installieren Sie sie. Wenn Sie eine frühere Version der SharePoint Online-Verwaltungsshell installiert haben, folgen Sie den Anweisungen im Artikel "Aktivieren von SharePoint- und OneDrive-Informationsbarrieren in Ihrer Organisation ".

  5. Verbinden Sie sich mit SharePoint als globaler Administrator oder SharePoint-Administrator in Microsoft 365. Eine Anleitung dazu finden Sie unter Erste Schritte mit der SharePoint Online-Verwaltungsshell.

  6. Führen Sie den folgenden Befehl aus:

    Get-SPOSite -Identity <site URL> | Select InformationSegment 
    

    Zum Beispiel:

    Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationSegment
    

Verwalten von Segmenten auf oneDrive eines Benutzers

Warnung

Wenn die dem OneDrive eines Benutzers zugeordneten Segmente nicht mit dem Segment des Benutzers übereinstimmen, kann dieser nicht auf seinen OneDrive zugreifen. Ordnen Sie dem OneDrive eines Benutzers, der keinem Segment angehört, keine Segmente zu.

Hinweis

Alle von Ihnen vorgenommenen Änderungen werden überschrieben, wenn sich das Segment des Benutzers ändert.

Führen Sie den folgenden Befehl in der SharePoint Online-Verwaltungsshell aus, um einem OneDrive ein Segment zuzuordnen. Einem OneDrive können bis zu 100 Segmente zugeordnet sein.

Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID> 

Zum Beispiel:

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

Wenn Sie einem OneDrive Segmente hinzufügen, wird der IB-Modus der Website automatisch auf Explizit aktualisiert. Wenn Sie versuchen, ein Segment zuzuordnen, das mit den auf dem OneDrive vorhandenen Segmenten nicht kompatibel ist, wird eine Fehlermeldung angezeigt.

Führen Sie den folgenden Befehl aus, um ein Segment von einem OneDrive zu entfernen:

Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>

Zum Beispiel:

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

Wenn alle Segmente einer OneDrive-Website entfernt werden, wird der IB-Modus von OneDrive automatisch auf "Öffnen" aktualisiert.

Verwalten des IB-Modus des OneDrive eines Benutzers (Vorschau)

Um den IB-Modus einer OneDrive-Website anzuzeigen, führen Sie den folgenden Befehl in der SharePoint Online-Verwaltungsshell als SharePoint-Administrator oder globaler Administrator aus:

Get-SPOSite -Identity <site URL> | Select InformationBarriersMode

Zum Beispiel:

Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode

Ein SharePoint-Administrator oder globaler Administrator hat auch die Möglichkeit, den IB-Modus einer OneDrive-Website zu verwalten, um die Anforderungen Ihrer Organisation mit neuen IB-Modi zu erfüllen:

Beispiel für den moderierten Besitzermodus

Zulassen des Zugriffs eines inkompatiblen Segmentbenutzers auf ein OneDrive. Beispielsweise möchten Sie zulassen, dass benutzer des Bereichs "Vertrieb" und "Forschung" in Ihrem Mandanten auf OneDrive des Hr-Benutzers zugreifen können.

Owner Moderated ist ein Für OneDrive-Website gültiger Modus, der inkompatiblen Segmentbenutzern den Zugriff auf OneDrive in Anwesenheit eines Moderators/Besitzers ermöglicht. Nur der Websitebesitzer kann inkompatible Segmentbenutzer auf derselben Website einladen.

Führen Sie den folgenden PowerShell-Befehl aus, um einen OneDrive-Website-IB-Modus auf " Owner Moderated" zu aktualisieren:

Set-SPOSite -Identity <siteurl> InformationBarriersMode OwnerModerated

Der vom Besitzer moderierte IB-Modus kann auf einer Website mit Segmenten nicht festgelegt werden. Entfernen Sie die Segmente, bevor Sie den IB-Modus als Besitzer moderiert festlegen. Der Zugriff auf eine vom Besitzer moderierte Website ist für Benutzer mit Websitezugriffsberechtigungen zulässig. Die Freigabe eines vom Besitzer moderierten OneDrive und seiner Inhalte ist nur vom Websitebesitzer gemäß seiner IB-Richtlinie zulässig.

Beispiel für gemischten Modus

Zulassen, dass nicht segmentierte Benutzer auf OneDrive zugreifen, das Segmenten zugeordnet ist. Beispielsweise möchten Sie zulassen, dass auf oneDrive des Hr-Benutzers vom Hr-Segment und nicht segmentierten Benutzern in Ihrem Mandanten zugegriffen wird. Gemischter Modus für OneDrive-Website, der segmentierten und nicht segmentierten Benutzern den Zugriff auf OneDrive ermöglicht.

Führen Sie den folgenden PowerShell-Befehl aus, um einen OneDrive-Website-IB-Modus auf "Gemischt" zu aktualisieren:

Set-SPOSite -Identity <siteurl> InformationBarriersMode Mixed

Der gemischte IB-Modus kann auf einer Website ohne Segmente nicht festgelegt werden. Fügen Sie Segmente hinzu, bevor Sie den IB-Modus als gemischt festlegen.

Auswirkungen von Änderungen an Benutzersegmenten

Wenn sich das Segment eines Benutzers ändert, werden das OneDrive-Segment und der IB-Modus automatisch innerhalb von 24 Stunden aktualisiert, wie im Abschnitt über OneDrive-Informationsbarrieren beschrieben.

Beispiel 1: Das Segment des Benutzers wurde von "Recherchieren" in "Vertrieb" aktualisiert. Das OneDrive des Benutzers sieht innerhalb von 24 Stunden wie folgt aus:

  • Segment: Vertrieb, Personalwesen
  • IB-Modus: Explizit

Beispiel 2: Das Segment des Benutzers wurde von HR auf None aktualisiert, das OneDrive des Benutzers wird innerhalb von 24 Stunden wie folgt aussehen:

  • Segment: Keine
  • IB-Modus: Öffnen

Auswirkungen von Änderungen an Informationsbarrierenrichtlinien

Wenn ein Complianceadministrator eine bestehende Richtlinie ändert, wirkt sich diese Änderung u. U. auf die Kompatibilität der Segmente aus, die dem OneDrive zugeordnet sind.

Segmente, die zuvor kompatibel waren, sind dann evtl. nicht mehr kompatibel. Ein SharePoint-Administrator muss die einer betroffenen Site zugeordneten Segmente entsprechend ändern. Erfahren Sie Näheres zum Erstellen eines Compliance-Berichts zu Richtlinien für Informationsbarrieren in PowerShell.

Wenn nach der Freigabe von Dateien eine Richtlinie geändert wird, funktionieren die Freigabelinks nur, wenn der Benutzer, der auf die freigegebenen Dateien zuzugreifen versucht, einem Segment angehört, das einem dem OneDrive zugeordneten Segment entspricht.

Überwachung

Überwachungsereignisse sind in der Microsoft Purview-Complianceportal verfügbar, um Sie bei der Überwachung von Informationsbarrierenaktivitäten zu unterstützen. Überwachungsereignisse werden für die folgenden Aktivitäten protokolliert:

  • Aktivierte Informationsbarrieren für SharePoint und OneDrive
  • Auf Website angewendetes Segment
  • Geändertes Segment der Website
  • Segment der Website entfernt
  • Angewendeter Modus für Informationsbarrieren auf website
  • Geänderter Modus für Informationsbarrieren der Website
  • Deaktivierte Informationsbarrieren für SharePoint und OneDrive

Weitere Informationen zur Überwachung von OneDrive-Segmenten in Office 365 finden Sie unter Durchsuchen des Überwachungsprotokolls im Compliance Center.

Ressourcen