Utiliser les obstacles à l’information avec OneDrive

Les barrières aux informations Microsoft Purview sont des stratégies dans Microsoft 365 qu’un administrateur de conformité peut configurer pour empêcher les utilisateurs de communiquer et de collaborer les uns avec les autres. Cette solution est utile si, par exemple, une division gère des informations qui ne doivent pas être partagées avec d’autres divisions spécifiques, ou si une division doit être empêchée, ou isolée, de collaborer avec tous les utilisateurs en dehors de la division. Les obstacles à l’information sont souvent utilisés dans les secteurs hautement réglementés et les organisations qui ont des exigences de conformité, telles que les finances, le droit et le gouvernement.

Pour OneDrive, les obstacles à l’information peuvent déterminer et empêcher les types de collaborations non autorisées suivants :

  • Accès utilisateur à OneDrive ou contenu stocké
  • Partage de OneDrive ou de contenu stocké avec d’autres utilisateurs

Modes d’obstacle à l’information et OneDrive

Lorsque les barrières à l’information sont activées sur SharePoint et OneDrive, le OneDrive des utilisateurs segmentés est automatiquement protégé par des stratégies IB. Les modes de barrières à l’information aident à renforcer l’accès, le partage et l’appartenance à un site OneDrive en fonction de son mode IB et des segments associés à OneDrive.

Lorsque vous utilisez des barrières d’information avec OneDrive, les modes IB suivants sont pris en charge :

Mode Description
Ouvert Lorsqu’un utilisateur non segmenté provisionne son OneDrive, le mode IB du site est défini sur Ouvrir, par défaut. Aucun segment n’est associé au site.
Propriétaire modéré Lorsqu’un OneDrive est utilisé pour la collaboration avec des utilisateurs incompatibles en présence du propriétaire/modérateur du site, le mode IB de OneDrive peut être défini en tant que mode Modéré par le propriétaire. Pour plus d’informations sur le site Owner Moderated, consultez cette section .
Explicit Lorsqu’un utilisateur segmenté provisionne son OneDrive dans les 24 heures suivant l’activation, le mode IB du site est défini comme explicite par défaut. Le segment de l’utilisateur et d’autres segments compatibles avec le segment de l’utilisateur et les uns avec les autres sont associés au OneDrive de l’utilisateur.
Mixte (préversion) Quand oneDrive d’un utilisateur segmenté est autorisé à être partagé avec des utilisateurs non agrégés, le mode IB du site peut être défini comme mixte. Il s’agit d’un mode d’adhésion que l’administrateur SharePoint peut définir sur OneDrive d’un utilisateur segmenté.

Notes

Depuis le 12 juillet 2022, le mode déduit est passé au mode mixte . Les fonctionnalités du mode restent les mêmes.

Partage de fichiers à partir de OneDrive

Ouvrir

Lorsqu’un OneDrive n’a pas de segments et le mode IB ouvert :

  • L’utilisateur peut partager des fichiers et des dossiers en fonction de la stratégie d’obstacle aux informations appliquée à l’utilisateur et du paramètre de partage pour OneDrive.

Propriétaire modéré

Lorsqu’un site a le mode barrières d’information est défini sur Owner Moderated :

  • L’option de partage avec Tout le monde avec le lien est désactivée.
  • L’option de partage avec le lien à l’échelle de l’entreprise est désactivée.
  • Le site et son contenu peuvent être partagés avec des membres existants.
  • Le site et son contenu ne peuvent être partagés que par le propriétaire de OneDrive conformément à sa stratégie d’ib.

Explicit

Lorsqu’un OneDrive comporte des segments de barrières d’informations et que le mode est défini sur Explicit :

  • L’option de partage avec Tout le monde avec le lien est désactivée.
  • L’option de partage avec le lien à l’échelle de l’entreprise est désactivée.
  • Les fichiers et dossiers ne peuvent être partagés qu’avec les utilisateurs dont le segment correspond à celui de OneDrive.

Mixte (préversion)

Lorsqu’un OneDrive comporte des segments de barrières d’informations et que le mode est défini sur Mixed :

  • L’option de partage avec Tout le monde avec le lien est désactivée.
  • L’option de partage avec le lien à l’échelle de l’entreprise est désactivée.
  • Les fichiers et dossiers peuvent être partagés avec des utilisateurs dont le segment correspond à celui de OneDrive et aux utilisateurs non agrégés dans le locataire.

Accès aux fichiers partagés à partir de OneDrive

Mode d'ouverture

Pour qu’un utilisateur accède au contenu dans un OneDrive sans segment associé et en mode IB ouvert :

  • Les fichiers doivent être partagés avec l’utilisateur.

Mode modéré propriétaire

Pour qu’un utilisateur accède à un site SharePoint avec le mode d’obstacles aux informations du site, la valeur Owner Moderated est définie sur Owner Moderated :

  • L’utilisateur dispose d’autorisations d’accès au site.

Mode explicite

Pour qu’un utilisateur accède au contenu d’un OneDrive dont les segments et le mode IB sont définis sur Explicit :

  1. Le segment de l’utilisateur doit correspondre à un segment associé à OneDrive.

    AND

  2. Les fichiers doivent être partagés avec l’utilisateur.

Notes

Par défaut, les utilisateurs non segmentants peuvent accéder aux fichiers OneDrive partagés uniquement à partir d’autres utilisateurs non segments avec les modes IB ouverts. Ils ne peuvent pas accéder aux fichiers partagés à partir de OneDrive pour lesquels des segments sont appliqués et le mode IB est Explicite.

Mode mixte (préversion)

Pour qu’un utilisateur segmenté accède au contenu d’un OneDrive dont les segments et le mode IB sont définis comme mixtes :

  1. Le segment de l’utilisateur doit correspondre à un segment associé à OneDrive.

    AND

  2. Les fichiers doivent être partagés avec l’utilisateur.

Pour qu’un utilisateur non agrégé accède au contenu d’un OneDrive dont les segments et le mode IB sont définis comme mixtes :

  • L’utilisateur doit disposer d’autorisations d’accès au site.

Exemple de scénario

L’exemple suivant illustre trois segments d’une organisation : RH, Sales et Research. Une stratégie d’obstacle à l’information a été définie qui bloque la communication et la collaboration entre les segments Ventes et Recherche.

Exemple de segments dans une organisation

Avec les barrières d’information dans OneDrive, lorsqu’un segment est appliqué à un utilisateur, dans les 24 heures, ce segment est automatiquement associé à OneDrive de l’utilisateur. Les autres segments compatibles avec le segment de l’utilisateur et les uns avec les autres seront également associés à OneDrive. Un OneDrive peut avoir jusqu’à 100 segments associés. Un administrateur général ou SharePoint peut gérer ces segments à l’aide de PowerShell, comme décrit plus loin dans la section Associer ou supprimer des segments supplémentaires sur OneDrive d’un utilisateur.

Le tableau suivant présente les effets de cet exemple de configuration :

Composants Utilisateurs RH Utilisateurs commerciaux Utilisateurs de recherche Utilisateurs non segmentants
Segments associés à OneDrive HR Ventes, RESSOURCES HUMAINEs Recherche, RH Aucun
Mode IB sur OneDrive Explicit Explicit Explicit Ouvrir
Le contenu OneDrive peut être partagé avec RESSOURCES HUMAINEs uniquement Ventes et ressources humaines Recherche et ressources humaines Toute personne basée sur les paramètres de partage sélectionnés
Le contenu OneDrive est accessible par RESSOURCES HUMAINEs uniquement Ventes et ressources humaines Recherche et ressources humaines Toute personne avec laquelle le contenu a été partagé

Activer les obstacles à l’information SharePoint et OneDrive dans votre organisation

L’activation des barrières d’information pour SharePoint et OneDrive est configurée en une seule action. Les obstacles à l’information pour les services ne peuvent pas être activés séparément. Pour activer les obstacles à l’information pour OneDrive, consultez Activer les obstacles à l’information SharePoint et OneDrive dans votre organisation. Une fois que vous avez activé les barrières à l’information pour SharePoint et OneDrive, poursuivez avec les conseils onedrive de cet article.

Prerequisites

  1. Veillez à respecter les exigences de licence pour les obstacles à l’information.
  2. Créez des stratégies de cloisonnement des informations qui autorisent ou bloquent la communication entre les segments et activent les stratégies. Créez des segments et définissez les utilisateurs dans chacun d’entre vous.
  3. Une fois que vous avez configuré et activé vos stratégies de cloisonnement des informations, attendez 24 heures que les modifications se propagent dans votre organisation.
  4. Activez les barrières à l’information pour OneDrive. L’activation des obstacles à l’information pour SharePoint et OneDrive est configurée en une seule action et ces services ne peuvent pas être activés séparément. Pour activer les obstacles à l’information pour OneDrive, consultez les conseils et les étapes de l’article Utiliser les obstacles à l’information avec SharePoint .
  5. Suivez les étapes décrites dans les sections suivantes pour personnaliser et gérer les obstacles à l’information pour OneDrive dans votre organisation.

Utiliser PowerShell pour afficher les segments associés à un OneDrive

Un administrateur général ou SharePoint peut afficher et modifier les segments associés à OneDrive d’un utilisateur.

  1. Connectez-vous au Centre de sécurité & conformité PowerShell en tant qu’administrateur général.

  2. Exécutez la commande suivante pour obtenir la liste des segments et leurs GUID.

    Get-OrganizationSegment | ft Name, EXOSegmentID
    
  3. Enregistrez la liste des segments.

    Name EXOSegmentId
    Ventes a9592060-c856-4301-b60f-bf9a04990d4d4d
    Recherche 27d20a85-1c1b-4af2-bf45-a41093b5d111
    HR a17efb47-e3c9-4d85-a188-1cd59c83de32
  4. Si ce n’est pas déjà fait, téléchargez et installez la dernière version de SharePoint Online Management Shell. Si vous avez installé une version précédente de SharePoint Online Management Shell, suivez les instructions fournies dans l’article Activer les barrières d’information SharePoint et OneDrive dans votre organisation .

  5. Connectez-vous à SharePoint en tant qu'administrateur général ou administrateur SharePoint dans Microsoft 365. Pour savoir comment, voir Prise en main de SharePoint Online Management Shell.

  6. Exécutez la commande suivante :

    Get-SPOSite -Identity <site URL> | Select InformationSegment 
    

    Par exemple :

    Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationSegment
    

Gérer les segments sur OneDrive d’un utilisateur

Avertissement

Si les segments associés au OneDrive d’un utilisateur ne correspondent pas au segment appliqué à l’utilisateur, l’utilisateur ne pourra pas accéder à son OneDrive. Veillez à ne pas associer de segments à OneDrive d’un utilisateur non segmenté.

Notes

Toutes les modifications que vous apportez seront remplacées si le segment de l’utilisateur change.

Pour associer un segment à un OneDrive, exécutez la commande suivante dans SharePoint Online Management Shell. Un OneDrive peut avoir jusqu’à 100 segments associés.

Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID> 

Par exemple :

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

Lorsque vous ajoutez des segments à un OneDrive, le mode IB du site est automatiquement mis à jour vers Explicit. Une erreur s’affiche si vous tentez d’associer un segment qui n’est pas compatible avec les segments existants sur OneDrive.

Pour supprimer un segment d’un OneDrive, exécutez la commande suivante.

Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>

Par exemple :

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

Si tous les segments d’un site OneDrive sont supprimés, le mode IB de OneDrive est automatiquement mis à jour vers Ouvrir.

Gérer le mode IB du OneDrive d’un utilisateur (préversion)

Pour afficher le mode IB d’un site OneDrive, exécutez la commande suivante dans SharePoint Online Management Shell en tant qu’administrateur SharePoint ou administrateur général :

Get-SPOSite -Identity <site URL> | Select InformationBarriersMode

Par exemple :

Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode

Un administrateur SharePoint ou un administrateur général a également la possibilité de gérer le mode IB d’un site OneDrive pour répondre aux besoins de votre organisation avec de nouveaux modes IB :

Exemple de mode modéré par propriétaire

Autoriser un accès utilisateur de segment incompatible à un OneDrive. Par exemple, vous souhaitez autoriser l’accès oneDrive de l’utilisateur RH aux utilisateurs des segments Ventes et Recherche dans votre locataire.

Owner Moderated est un mode applicable au site OneDrive qui permet aux utilisateurs de segment incompatibles d’accéder à OneDrive en présence d’un modérateur/propriétaire. Seul le propriétaire du site peut inviter des utilisateurs de segment incompatibles sur le même site.

Pour mettre à jour un mode IB de site OneDrive sur Owner Moderated, exécutez la commande PowerShell suivante :

Set-SPOSite -Identity <siteurl> InformationBarriersMode OwnerModerated

Le mode IB modéré par propriétaire ne peut pas être défini sur un site avec des segments. Supprimez les segments avant de définir le mode IB en tant que mode Modéré par le propriétaire. L’accès à un site modéré par le propriétaire est autorisé pour les utilisateurs disposant d’autorisations d’accès au site. Le partage d’un OneDrive modéré par le propriétaire et de son contenu est uniquement autorisé par le propriétaire du site conformément à sa stratégie IB.

Exemple de mode mixte

Autoriser les utilisateurs non agrégés à accéder à OneDrive associé à des segments. Par exemple, vous souhaitez autoriser l’accès à OneDrive de l’utilisateur RH par segment RH et par les utilisateurs non agrégés dans votre locataire. Mode mixte applicable au site OneDrive qui permet aux utilisateurs segmentés et non agrégés d’accéder à OneDrive.

Pour mettre à jour un mode IB de site OneDrive en mode Mixte, exécutez la commande PowerShell suivante :

Set-SPOSite -Identity <siteurl> InformationBarriersMode Mixed

Le mode IB mixte ne peut pas être défini sur un site sans segments. Ajoutez des segments avant de définir le mode IB comme mixte.

Effets des modifications apportées aux segments d’utilisateur

Si le segment d’un utilisateur change, le segment et le mode IB de OneDrive sont automatiquement mis à jour dans les 24 heures, comme décrit dans la section au-dessus des barrières d’information OneDrive

Exemple 1 : Segment de l’utilisateur mis à jour de Research à Sales, onedrive de l’utilisateur sera le suivant dans les 24 heures :

  • Segment : Ventes, RH
  • Mode IB : explicite

Exemple 2 : Le segment de l’utilisateur mis à jour de HR à Aucun, OneDrive de l’utilisateur sera le suivant dans les 24 heures :

  • Segment : Aucun
  • Mode IB : Ouvrir

Effets des modifications apportées aux stratégies d’obstacle à l’information

Si un administrateur de conformité modifie une stratégie existante, cette modification peut avoir un impact sur la compatibilité des segments associés à OneDrive.

Par exemple, les segments qui étaient auparavant compatibles peuvent ne plus être compatibles. Un administrateur SharePoint doit modifier les segments associés à un site affecté en conséquence. Découvrez comment créer un rapport de conformité aux stratégies d’obstacles à l’information dans PowerShell.

Si une stratégie change une fois les fichiers partagés, les liens de partage ne fonctionnent que si l’utilisateur qui tente d’accéder aux fichiers partagés a un segment appliqué qui correspond à un segment associé à OneDrive.

Audit

Les événements d’audit sont disponibles dans le portail de conformité Microsoft Purview pour vous aider à surveiller les activités de barrière à l’information. Les événements d’audit sont enregistrés pour les activités suivantes :

  • Obstacles à l’information activés pour SharePoint et OneDrive
  • Segment appliqué au site
  • Segment de site modifié
  • Segment de site supprimé
  • Mode d’obstacles à l’information appliqué au site
  • Changement du mode de barrières d’information du site
  • Barrières d’information désactivées pour SharePoint et OneDrive

Pour plus d’informations sur l’audit de segment OneDrive dans Office 365, consultez Rechercher dans le journal d’audit dans le Centre de conformité.

Ressources