Usare le barriere informative con SharePoint

Microsoft Purview Information Barriers sono criteri in Microsoft 365 che un amministratore della conformità può configurare per impedire agli utenti di comunicare e collaborare tra loro. Questa soluzione è utile se, ad esempio, una divisione gestisce informazioni che non devono essere condivise con altre divisioni specifiche o una divisione deve essere impedita o isolata dalla collaborazione con tutti gli utenti esterni alla divisione. Le barriere informative vengono spesso usate in settori altamente regolamentati e in quelle organizzazioni con requisiti di conformità, ad esempio finanza, legale e pubblica amministrazione.

Per SharePoint, le barriere informative possono determinare e impedire i seguenti tipi di collaborazioni non autorizzate:

  • Aggiunta di un utente a un sito
  • Accesso utente a un sito o a un contenuto del sito
  • Condivisione di un sito o di un contenuto del sito con altri utenti

Modalità di barriere informative e siti di SharePoint

Le modalità di barriere informative consentono di rafforzare l'accesso, la condivisione e l'appartenenza a un sito in base alla modalità IB e ai segmenti associati al sito.

Quando si usano barriere informative con SharePoint, sono supportate le modalità IB seguenti:

Mode Descrizione Esempi
Apri Quando un sito SharePoint non ha segmenti, la modalità IB del sito viene impostata automaticamente su Apri. Vedere questa sezione per informazioni dettagliate sulla gestione dei segmenti con la configurazione in modalità Aperta . Sito del team creato per l'evento pic-nic per l'organizzazione.
Proprietario moderato (anteprima) Quando viene creato un sito SharePoint per la collaborazione tra segmenti incompatibili moderati dal proprietario del sito, la modalità IB del sito deve essere impostata su Owner Moderated. Questa modalità è attualmente supportata solo per i siti non connessi a un gruppo di Microsoft 365. Vedere questa sezione per informazioni dettagliate sulla gestione del sito Owner Moderated . Viene creato un sito per la collaborazione tra VP of Sales e Research in presenza di VP of HR (site owner).
Implicita Quando il provisioning di un sito viene eseguito da Microsoft Teams, la modalità IB del sito viene impostata come implicita per impostazione predefinita. Un amministratore SharePoint o un amministratore globale non può gestire i segmenti con la configurazione in modalità implicita. Viene creato un team per consentire a tutti gli utenti del segmento Sales di collaborare tra loro.
Explicit Quando un segmento viene aggiunto a un sito SharePoint tramite l'esperienza di creazione del sito dell'utente finale o da un amministratore SharePoint che aggiunge un segmento a un sito, la modalità IB del sito viene impostata come Esplicita. Vedere questa sezione per informazioni dettagliate sulla gestione dei segmenti con la configurazione in modalità esplicita . Viene creato un sito di ricerca per gli utenti del segmento Di ricerca.

Condivisione di siti per le modalità IB

Apri

Quando un sito non ha segmenti e la modalità barriere informative del sito è impostata su Apri:

  • Il sito e il relativo contenuto possono essere condivisi in base ai criteri di barriera delle informazioni applicati all'utente. Ad esempio, se un utente nelle risorse umane è autorizzato a comunicare con gli utenti in Ricerca, l'utente sarà in grado di condividere il sito con tali utenti.

Proprietario moderato

Quando un sito ha la modalità barriere informative è impostato su Proprietario moderato:

  • L'opzione per la condivisione con chiunque abbia il collegamento è disabilitata.
  • L'opzione per la condivisione con il collegamento a livello di azienda è disabilitata.
  • Il sito e il relativo contenuto possono essere condivisi con i membri esistenti.
  • Il sito e il relativo contenuto possono essere condivisi solo dal proprietario del sito in base ai criteri IB.

Nota

La modalità Moderated proprietario è supportata solo per i siti connessi non di gruppo.

Implicita

Quando la modalità barriere informative di un sito è impostata su Implicit:

  • L'opzione per la condivisione con chiunque abbia il collegamento è disabilitata.
  • L'opzione per la condivisione con il collegamento a livello di azienda è disabilitata.
  • Il sito e il relativo contenuto possono essere condivisi con i membri esistenti tramite un collegamento di condivisione.
  • I nuovi utenti non possono essere aggiunti direttamente al sito. Il proprietario del team deve aggiungere utenti al gruppo del team usando Microsoft Teams.

Nota

Se sono state abilitate le barriere informative per SharePoint nell'organizzazione prima del 15 marzo 2022, vedere la sezione Enable SharePoint and OneDrive information barriers in questo articolo.

Explicit

Quando un sito è associato a segmenti e la modalità delle barriere informative del sito è impostata su Esplicito:

  • L'opzione per la condivisione con chiunque abbia il collegamento è disabilitata.
  • L'opzione per la condivisione con il collegamento a livello di azienda è disabilitata.
  • Il sito e il relativo contenuto possono essere condivisi solo con gli utenti il cui segmento corrisponde a quello del sito. Ad esempio, se un sito è associato al segmento HR, il sito può essere condiviso con solo utenti HR (anche se le risorse umane sono compatibili con i segmenti Vendite e Ricerca).
  • I nuovi utenti possono essere aggiunti come membri del sito solo se il segmento corrisponde al segmento del sito.

Controllo di accesso per le modalità IB

Modalità aperta

Per consentire a un utente di accedere a un sito SharePoint senza segmenti e la modalità barriere informative del sito è impostata su Apri:

  • L'utente dispone delle autorizzazioni di accesso al sito.

Modalità Moderated proprietario

Per consentire a un utente di accedere a un sito SharePoint con la modalità barriere informative del sito è impostato su Proprietario moderato:

  • L'utente dispone delle autorizzazioni di accesso al sito.

Nota

La modalità Moderated proprietario è supportata solo per i siti connessi non di gruppo.

Modalità implicita

Per consentire a un utente di accedere a SharePoint siti con la modalità barriere informative impostata su Implicit:

  • L'utente deve essere un membro del gruppo Microsoft 365 connesso al sito
  • L'utente che non è membro del gruppo Microsoft 365 connesso al sito non avrà accesso al sito
  • L'assistente per la conformità alle barriere informative garantisce che l'appartenenza al gruppo sia conforme all'IB.

Nota

Se sono state abilitate le barriere informative per SharePoint nell'organizzazione prima del 15 marzo 2022, vedere la sezione Enable SharePoint and OneDrive information barriers in questo articolo.

Modalità esplicita

Per consentire a un utente di accedere a SharePoint siti con segmenti e la modalità barriere informative del sito è esplicito:

  • Il segmento dell'utente deve corrispondere a un segmento associato al sito.

    E

  • L'utente deve disporre dell'autorizzazione di accesso al sito.

Gli utenti non di segmento non possono accedere a un sito associato ai segmenti. Verrà visualizzato un messaggio di errore.

Scenario di esempio

L'esempio seguente illustra tre segmenti in un'organizzazione: RISORSE umane, Vendite e Ricerca. È stato definito un criterio di barriera delle informazioni che blocca la comunicazione e la collaborazione tra i segmenti Vendite e Ricerca. Questi segmenti non sono compatibili.

Esempio di segmenti in un'organizzazione.

Con SharePoint barriere informative, un SharePoint o un amministratore globale può associare segmenti a un sito per impedire che il sito venga condiviso o accessibile da utenti esterni ai segmenti. A un sito possono essere associati fino a 100 segmenti compatibili. I segmenti sono associati a livello di sito (in precedenza denominato livello di raccolta siti). Anche il gruppo Microsoft 365 connesso al sito è associato al segmento del sito.

Nell'esempio precedente, il segmento HR è compatibile sia con sales che con research. Tuttavia, poiché i segmenti Sales e Research non sono compatibili, non possono essere associati allo stesso sito.

Prerequisiti

  1. Assicurarsi di soddisfare i requisiti di licenza per le barriere informative.
  2. Creare criteri di barriera delle informazioni che consentono o bloccano la comunicazione tra i segmenti e quindi impostarli su attivo. Creare segmenti e definire gli utenti in ognuno di essi.
  3. Dopo aver configurato e attivato i criteri di barriera delle informazioni, attendere 24 ore per la propagazione delle modifiche nell'organizzazione.
  4. Completare i passaggi descritti nelle sezioni seguenti per abilitare e gestire le barriere informative SharePoint e OneDrive nell'organizzazione.

Abilitare le barriere informative SharePoint e OneDrive nell'organizzazione

SharePoint amministratori o amministratori globali possono abilitare le barriere informative in SharePoint e OneDrive nell'organizzazione. Completare i passaggi seguenti per abilitare le barriere informative per l'organizzazione:

  1. Scaricare e installare la versione più recente di SharePoint Online Management Shell.

  2. Connessione di SharePoint Online come amministratore globale o amministratore SharePoint in Microsoft 365. Per informazioni in merito, vedere Guida introduttiva a SharePoint Online Management Shell.

  3. Per abilitare le barriere informative in SharePoint e OneDrive, eseguire il comando seguente:

    Set-SPOTenant -InformationBarriersSuspension $false 
    
  4. Dopo aver abilitato le barriere informative per SharePoint e OneDrive nell'organizzazione, attendere circa 1 ora per rendere effettive le modifiche.

Nota

Se sono state abilitate le barriere informative per SharePoint nell'organizzazione prima del 15 marzo 2022, il controllo di accesso e condivisione predefinito per la modalità implicita per i siti connessi Microsoft Teams si basa sui segmenti associati al sito.

Per abilitare Microsoft 365 controllo di condivisione e accesso basato sull'appartenenza al gruppo per tutti i siti connessi alla modalità implicita Teams nel tenant, eseguire il comando seguente:

Set-SPOTenant -IBImplicitGroupBased $true

Nota

Se si dispone di Microsoft 365 Multi-Geo, è necessario eseguire questo comando per ogni località geografica.

Se è stata installata una versione precedente di SharePoint Online Management Shell, seguire questa procedura:

  1. Passare ad Aggiungere o rimuovere programmi e disinstallare SharePoint Online Management Shell.

  2. Passare all'Area download Microsoft per il SharePoint Online Management Shell), selezionare la lingua e quindi selezionare Scarica.

  3. Potrebbe essere richiesto di scegliere tra il download di un file di .msi x64 e x86. Scaricare il file x64 se si esegue la versione a 64 bit di Windows o il file x86 se si esegue la versione a 32 bit di Windows. Se non si conosce la versione in esecuzione nel computer, vedere Quale versione di Windows sistema operativo in esecuzione?

  4. Al termine del download, eseguire il file del programma di installazione e seguire i passaggi di configurazione della configurazione guidata.

  5. Connessione di SharePoint Online come amministratore globale o amministratore SharePoint in Microsoft 365. Per informazioni in merito, vedere Guida introduttiva a SharePoint Online Management Shell.

  6. Per abilitare le barriere informative in SharePoint e OneDrive, eseguire il comando seguente:

    Set-SPOTenant -InformationBarriersSuspension $false 
    
  7. Dopo aver configurato le barriere informative in SharePoint e OneDrive nell'organizzazione, attendere circa 1 ora per rendere effettive le modifiche.

Nota

Se sono state abilitate le barriere informative per SharePoint nell'organizzazione prima del 15 marzo 2022, il controllo di accesso e condivisione predefinito per la modalità implicita per i siti connessi Microsoft Teams si basa sui segmenti associati al sito.

Per abilitare Microsoft 365 controllo di accesso e condivisione basato sull'appartenenza al gruppo per tutti i siti in modalità implicita nell'organizzazione, eseguire il comando seguente:

Set-SPOTenant -IBImplicitGroupBased $true

Nota

Se si dispone di Microsoft 365 Multi-Geo, è necessario eseguire questo comando per ogni località geografica.

Visualizzare e gestire i segmenti come amministratore

SharePoint o gli amministratori globali possono visualizzare e gestire i segmenti in un sito SharePoint come indicato di seguito:

1. Usare l'interfaccia di amministrazione SharePoint per visualizzare e gestire i segmenti di informazioni

Per visualizzare, modificare o rimuovere segmenti di informazioni per un sito, usare Siti attivi nell'interfaccia di amministrazione SharePoint.

La colonna Segmenti elenca il primo segmento associato al sito e mostra se al sito sono associati altri segmenti. Informazioni su come visualizzare o spostare questa colonna

Colonna Segmenti nella pagina Siti attivi.

Per visualizzare l'elenco completo dei segmenti associati a un sito, selezionare il sito e quindi selezionare la scheda Criteri .

Scheda Criteri del pannello dei dettagli che elenca tutti i segmenti associati.

Per modificare i segmenti associati al sito, selezionare Modifica, aggiungere o rimuovere segmenti e quindi selezionare Salva.

Modificare il pannello segmenti di informazioni.

2. Usare SharePoint PowerShell per visualizzare e gestire i segmenti di informazioni in un sito

  1. Connessione a PowerShell del Centro conformità & sicurezza come amministratore globale.

  2. Eseguire il comando seguente per ottenere l'elenco dei segmenti e i relativi GUID.

    Get-OrganizationSegment | ft Name, EXOSegmentID
    
  3. Salvare l'elenco di segmenti.

    Nome EXOSegmentId
    Vendite a9592060-c856-4301-b60f-bf9a04990d4d
    Ricerca 27d20a85-1c1b-4af2-bf45-a41093b5d111
    Risorse umane a17efb47-e3c9-4d85-a188-1cd59c83de32
  4. Se non è stato completato in precedenza, scaricare e installare l'ultima SharePoint Online Management Shell. Se è stata installata una versione precedente di SharePoint Online Management Shell, seguire le istruzioni riportate nella sezione Enable SharePoint and OneDrive information barriers in your organization in questo articolo.

  5. Connessione di SharePoint Online come amministratore globale o amministratore SharePoint in Microsoft 365. Per informazioni in merito, vedere Guida introduttiva a SharePoint Online Management Shell.

  6. Eseguire il comando riportato di seguito:

    Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>
    

    Ad esempio:

    Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
    

Verrà visualizzato un messaggio di errore se si tenta di associare un segmento non compatibile con i segmenti esistenti del sito.

Nota

Quando si aggiunge un segmento a un sito, la modalità IB del sito viene aggiornata automaticamente come Esplicita.

Per rimuovere un segmento da un sito, eseguire il comando seguente:

Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>

Ad esempio:

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

Nota

Quando tutti i segmenti vengono rimossi da un sito, la modalità IB del sito viene aggiornata automaticamente in Apri.

Per visualizzare i segmenti di un sito, eseguire il comando seguente per restituire i GUID di tutti i segmenti associati al sito.

Get-SPOSite -Identity <site URL> | Select InformationSegment

3. Usare l'API REST SharePoint per visualizzare e gestire i segmenti di informazioni in un sito

SharePoint include un servizio REST (Representational State Transfer) che è possibile usare per gestire i segmenti in un sito. Per accedere alle risorse SharePoint e gestire i segmenti di sito usando REST, si creerà una richiesta HTTP RESTful usando lo standard OData, che corrisponde all'API (Application Programming Interface) del modello a oggetti client desiderato.

Per altre informazioni sul servizio REST SharePoint, vedere Informazioni sul servizio REST SharePoint.

Visualizzare e gestire le modalità IB come amministratore con SharePoint PowerShell

Per visualizzare la modalità IB di un sito, eseguire il comando seguente:

Get-SPOSite -Identity <site URL> | Select InformationBarriersMode

Scenario di modalità moderate del proprietario (anteprima)

Si vuole consentire a un utente di Sales and Research di collaborare a un sito SharePoint in presenza di un utente hr.

Owner Moderated è una nuova modalità applicabile al sito (non connessa a Microsoft 365 gruppo) che consente agli utenti del segmento incompatibili di accedere al sito. Solo il proprietario del sito ha la possibilità di invitare utenti di segmento incompatibili nello stesso sito.

Per aggiornare la modalità di un sito a Owner Moderated, eseguire il comando di PowerShell seguente:

Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated

La modalità IB moderata del proprietario non può essere impostata in un sito con segmenti. Rimuovere prima i segmenti prima di impostare la modalità IB come Owner Moderated. L'accesso a un sito moderato proprietario è consentito agli utenti con autorizzazioni di accesso al sito. La condivisione di un sito Moderated proprietario e del relativo contenuto è consentita solo dal proprietario del sito in base ai criteri IB.

Controllo

Gli eventi di controllo sono disponibili nel portale di conformità di Microsoft Purview per monitorare le attività delle barriere informative. Gli eventi di controllo vengono registrati per le attività seguenti:

  • Barriere informative abilitate per SharePoint e OneDrive
  • Segmento applicato al sito
  • Segmento del sito modificato
  • Segmento rimosso del sito
  • Modalità di barriere informative applicate al sito
  • Modifica della modalità barriere informative del sito
  • Barriere informative disabilitate per SharePoint e OneDrive

Per altre informazioni sul controllo del segmento SharePoint in Office 365, vedere Cercare il log di controllo nel Centro conformità.

Creazione e gestione del sito da parte dei proprietari del sito

Quando un utente segmentato crea un sito SharePoint, il sito è associato al segmento dell'utente e la modalità barriere informative del sito viene impostata automaticamente su Esplicito.

Inoltre, i proprietari del sito hanno la possibilità di aggiungere altri segmenti a un sito SharePoint che ha già segmenti con la modalità del sito impostata come Esplicita. I proprietari del sito non possono rimuovere i segmenti aggiunti dai siti. SharePoint amministratori dovranno rimuovere i segmenti aggiunti nell'organizzazione, se necessario.

Quando un utente non segmentato crea un sito SharePoint, il sito non è associato ad alcun segmento e la modalità barriere informative del sito viene impostata automaticamente su Apri.

Quando un amministratore SharePoint crea un sito SharePoint dall'interfaccia di amministrazione SharePoint, il sito non è associato ad alcun segmento e la modalità IB del sito è impostata su Apri.

Per consentire ai proprietari del sito di aggiungere un segmento a un sito, condividere l'articolo Associare segmenti di informazioni a SharePoint siti con i proprietari del sito SharePoint.

Microsoft Teams siti

Quando un team viene creato in Microsoft Teams, viene creato automaticamente un sito SharePoint per i file del team. Per proteggere i siti del team Microsoft con il controllo delle barriere informative, è possibile abilitare le barriere informative in SharePoint per il tenant.

Entro 24 ore, la modalità barriere informative del sito viene impostata automaticamente come Implicit e i segmenti associati ai membri del team sono associati al sito.

Microsoft Teams siti con la modalità barriera delle informazioni come implicito hanno accesso al sito e condivisione in base all Microsoft 365 appartenenza al gruppo.

Ad esempio, gli utenti hanno accesso al sito Microsoft Teams se sono membri del gruppo Microsoft 365 connesso al sito. Il gruppo Microsoft 365 connesso al team è conforme a IB.

Nota

Se sono state abilitate barriere informative per SharePoint nell'organizzazione prima del 15 marzo 2022, l'accesso e la condivisione del sito connesso Teams si basano sui segmenti del sito. Ad esempio:

  • Il sito e il relativo contenuto possono essere condivisi con l'utente il cui segmento corrisponde a quello del sito.
  • Un utente può accedere al sito e al relativo contenuto se ha lo stesso segmento del sito e dispone delle autorizzazioni di accesso al sito.

Per abilitare Microsoft 365 controllo di accesso e condivisione basato sull'appartenenza ai gruppi per tutti i siti in modalità implicita nell'organizzazione, eseguire il comando seguente come amministratore SharePoint:

Set-SPOTenant -IBImplicitGroupBased $true

Barriere di canale privato e informazioni (anteprima)

Quando le barriere SharePoint Information sono abilitate nell'organizzazione, qualsiasi nuovo sito di canale privato eredita automaticamente la modalità IB del team Microsoft padre entro 24 ore. La modalità per un canale privato viene assegnata come segue:

Modalità IB del team padre Modalità IB del sito del canale privato
Apri Apri
Implicito o Proprietario moderato Implicita

L'accesso e la condivisione del sito del canale privato sono regolati dalla modalità IB:

  • Sito del canale privato con modalità Open Information Barriers

    • L'accesso è consentito a chiunque disponga delle autorizzazioni di accesso al sito
    • I collegamenti di condivisione sono consentiti in base ai criteri di condivisione esistenti del sito
    • Selezione utenti consente l'individuazione dell'utente in base ai criteri IB del condivisore
  • Sito del canale privato con modalità barriere informative implicite

    • L'accesso è consentito all'utente attualmente membro del canale privato
    • La condivisione è consentita usando Utenti con collegamento di accesso esistente

I siti di canale privato già configurati nell'organizzazione avranno la modalità barriere informative impostata su Open. Per configurare i siti di canale privato esistenti in modalità implicita, eseguire il cmdlet seguente in SharePoint modulo powershell:

Set-Sposite -Identity <site URL> -InformationBarriersMode Implicit

Altre informazioni sulla gestione dei siti dei teams connessi a Microsoft Teams.

Gli utenti visualizzeranno i risultati della ricerca da:

  • Siti con un segmento associato che corrisponde al segmento dell'utente e l'utente ha l'autorizzazione di accesso al sito.
  • Siti che non hanno segmenti associati se hanno accesso al sito.

Effetti delle modifiche ai segmenti utente

Se un SharePoint proprietario del sito o il segmento di un membro del sito cambia, continuerà ad avere accesso al sito o al contenuto in base alla modalità IB del sito:

  • Modalità aperta: l'utente può accedere al sito se dispone di autorizzazioni di accesso al sito esistenti.
  • Proprietario moderato: l'utente può accedere al sito se dispone di autorizzazioni di accesso al sito esistenti.
  • Modalità implicita: se l'utente è membro del gruppo Microsoft 365, continuerà ad avere accesso al sito.
  • Modalità esplicita: se il nuovo segmento dell'utente corrisponde al segmento del sito e l'utente dispone delle autorizzazioni di accesso al sito, continuerà ad avere accesso al sito.

Effetti delle modifiche ai criteri di barriera delle informazioni esistenti

Se un amministratore della conformità modifica un criterio IB esistente, la modifica può influire sulla compatibilità dei segmenti associati a un sito (in modalità esplicita o implicita ). Ad esempio, i segmenti che una volta erano compatibili potrebbero non essere più compatibili.

Con il report sulla conformità ai criteri sulle barriere informative, l'amministratore SharePoint avrà la possibilità di visualizzare l'elenco dei siti in cui i segmenti non sono più compatibili. Per altre informazioni, vedere Informazioni su come creare un report sulla conformità dei criteri sulle barriere informative in PowerShell.

Per gestire i siti non conformi:

  • In modalità esplicita, un amministratore SharePoint deve modificare i segmenti associati per renderli conformi all'IB.
  • In modalità implicita, un amministratore SharePoint non può gestire direttamente i segmenti. È consigliabile che l'amministratore Teams gestisa l'appartenenza del team per portare il Teams roster di appartenenza e i segmenti alla conformità IB.

Come sospendere le barriere informative SharePoint e OneDrive nell'organizzazione

Se l'organizzazione desidera sospendere temporaneamente le barriere informative in SharePoint, è necessario usare SharePoint Online Management Shell e il cmdlet Set-Spotenant.

Per sospendere le barriere informative, eseguire il comando seguente:

Set-SPOTenant -InformationBarriersSuspension $true 

Nota

Se si dispone di Microsoft 365 Multi-Geo, è necessario eseguire questo comando per ogni località geografica.

Risorse