Использование информационных барьеров с SharePoint

Информационные барьеры Microsoft Purview — это политики в Microsoft 365, которые администратор соответствия требованиям может настроить, чтобы запретить пользователям взаимодействовать друг с другом и взаимодействовать друг с другом. Это решение полезно, если, например, одно подразделение выполняет обработку сведений, которые не должны использоваться совместно с определенными другими подразделениями, или если необходимо запретить или изолировать подразделение, чтобы не сотрудничать со всеми пользователями за пределами этого подразделения. Информационные барьеры часто используются в строго регулируемых отраслях и организациях с требованиями к соответствию, таким как финансы, юридические и государственные учреждения.

Для SharePoint информационные барьеры могут определять и предотвращать следующие виды несанкционированной совместной работы:

  • Добавление пользователя на сайт
  • Доступ пользователей к контенту сайта или сайта
  • Совместное использование содержимого сайта или сайта с другими пользователями

Режимы информационных барьеров и SharePoint сайтов

Режимы информационных барьеров помогают усилить доступ, общий доступ и членство сайта в зависимости от режима IB и сегментов, связанных с сайтом.

При использовании информационных барьеров с SharePoint поддерживаются следующие режимы IB:

Mode Описание Примеры
Открыть Если на SharePoint сайта нет сегментов, режим IB сайта автоматически устанавливается как Открытый. Дополнительные сведения об управлении сегментами с помощью конфигурации открытого режима см. в этом разделе. Сайт группы, созданный для мероприятия для вашей организации.
Владелец модерации (предварительная версия) При создании SharePoint для совместной работы между несовместимыми сегментами, модерируемыми владельцем сайта, режим IB сайта должен быть задано как "Владелец модерации". В настоящее время этот режим поддерживается только для сайтов, которые не подключены к Microsoft 365 группы. Дополнительные сведения об управлении сайтом с модера средой владельца см. в этом разделе. Сайт создается для совместной работы между vp of Sales и Research в присутствии VP отдела кадров (владельца сайта).
Неявный поток Когда сайт подготавливается Microsoft Teams, режим IB сайта по умолчанию устанавливается как неявный. Администратор SharePoint или глобальный администратор не может управлять сегментами с конфигурацией неявного режима. Команда создается для совместной работы всех пользователей сегмента продаж.
Explicit При добавлении сегмента на сайт SharePoint с помощью интерфейса создания сайта пользователя или администратора SharePoint, добавляя сегмент на сайт, режим IB сайта устанавливается как Явный. Дополнительные сведения об управлении сегментами с помощью конфигурации явного режима см. в этом разделе. Для пользователей сегмента Research создается сайт исследования.

Совместное использование сайтов для режимов IB

Открыть

Если на сайте нет сегментов, а для режима информационных барьеров сайта задано значение "Открыть":

  • Доступ к сайту и его содержимому можно получить на основе политики информационных барьеров, примененной к пользователю. Например, если пользователю в отделе кадров разрешено взаимодействовать с пользователями в Research, он сможет поделиться сайтом с этими пользователями.

Модерация владельца

Если на сайте имеется режим информационных барьеров, задано значение Owner Moderated:

  • Параметр для совместного использования с любым пользователем по ссылке отключен.
  • Возможность поделиться ссылкой на уровне организации отключена.
  • Сайт и его содержимое можно использовать совместно с существующими участниками.
  • Доступ к сайту и его содержимому может получить только владелец сайта в соответствии с политикой IB.

Примечание

Режим модерации владельца поддерживается только для подключенных к группе сайтов.

Неявный поток

Если для режима информационных барьеров сайта задано значение "Неявный":

  • Параметр для совместного использования с любым пользователем по ссылке отключен.
  • Возможность поделиться ссылкой на уровне организации отключена.
  • Доступ к сайту и его содержимому можно предоставлять существующим участникам по ссылке для общего доступа.
  • Новые пользователи не могут быть добавлены на сайт напрямую. Владелец команды должен добавить пользователей в группу группы с помощью Microsoft Teams.

Примечание

Если вы включили информационные барьеры для SharePoint организации до 15 марта 2022 г., см. раздел "Включение SharePoint и OneDrive информационных барьеров" этой статьи.

Explicit

Если сайт связан с сегментами, а для режима информационных барьеров сайта задано значение Explicit:

  • Параметр для совместного использования с любым пользователем по ссылке отключен.
  • Возможность поделиться ссылкой на уровне организации отключена.
  • Доступ к сайту и его содержимому может быть предоставлен только пользователям, сегмент которых совпадает с сегментом сайта. Например, если сайт связан с сегментом отдела кадров, доступ к сайту можно получить только пользователям отдела кадров (даже если отдел кадров совместим с сегментами "Продажи" и "Исследования").
  • Новых пользователей можно добавлять в качестве участников сайта, только если их сегмент соответствует сегменту сайта.

Управление доступом для режимов IB

режим открытия;

Для доступа пользователя к сайту SharePoint без сегмента и режиму информационных барьеров сайта задано значение "Открыть":

  • У пользователя есть разрешения на доступ к сайту.

Режим модерации владельца

Для доступа пользователя к сайту SharePoint с помощью режима информационных барьеров сайта задано значение Owner Moderated:

  • У пользователя есть разрешения на доступ к сайту.

Примечание

Режим модерации владельца поддерживается только для подключенных к группе сайтов.

Неявный режим

Для доступа пользователя к сайтам SharePoint, для которых для режима информационных барьеров задано значение "Неявный":

  • Пользователь должен быть членом группы Microsoft 365, подключенной к сайту.
  • Пользователь, который не является членом Microsoft 365, подключенной к сайту, не будет иметь доступа к сайту.
  • Помощник по обеспечению соответствия требованиям информационных барьеров гарантирует, что членство в группе соответствует требованиям IB.

Примечание

Если вы включили информационные барьеры для SharePoint организации до 15 марта 2022 г., см. раздел "Включение SharePoint и OneDrive информационных барьеров" этой статьи.

Явный режим

Для доступа к сайтам SharePoint с сегментами и режимом информационных барьеров сайта используется явный режим:

  • Сегмент пользователя должен соответствовать сегменту, связанному с сайтом.

    AND

  • Пользователь должен иметь разрешение на доступ к сайту.

Пользователи без сегментов не могут получить доступ к сайту, связанному с сегментами. Отобразится сообщение об ошибке.

Пример сценария

В следующем примере показаны три сегмента в организации: отдел кадров, продажи и исследования. Определена политика информационных барьеров, которая блокирует обмен данными и совместную работу между сегментами "Продажи и исследования". Эти сегменты несовместимы.

Пример сегментов в организации.

С SharePoint информационных барьеров администратор SharePoint или глобальный администратор может связать сегменты с сайтом, чтобы запретить доступ к сайту пользователям за пределами сегментов или к нему. С сайтом можно связать до 100 совместимых сегментов. Сегменты связаны на уровне сайта (ранее он назывался уровнем семейства веб-сайтов). Группа Microsoft 365, подключенная к сайту, также связана с сегментом сайта.

В приведенном выше примере сегмент отдела кадров совместим с отделом продаж и исследованиями. Однако, поскольку сегменты Sales и Research несовместимы, их нельзя связать с тем же сайтом.

Предварительные требования

  1. Убедитесь, что выполнены требования лицензирования для информационных барьеров.
  2. Создайте политики информационных барьеров , которые разрешают или блокируют обмен данными между сегментами, а затем установите их активными. Создайте сегменты и определите пользователей в каждом из них.
  3. После настройки и активации политик информационных барьеров подождите 24 часа, пока изменения будут распространяться по вашей организации.
  4. Выполните действия, описанные в следующих разделах, чтобы включить SharePoint и OneDrive информационных барьеров в организации.

Включение SharePoint и OneDrive информационных барьеров в организации

SharePoint администраторы или глобальные администраторы могут включить информационные барьеры в SharePoint и OneDrive организации. Чтобы включить информационные барьеры для организации, выполните следующие действия.

  1. Скачайте и установите последнюю версию SharePoint Online Management Shell.

  2. Подключение SharePoint Online в качестве глобального администратора или администратора SharePoint в Microsoft 365. Сведения о том, как это сделать, см. в статье Начало работы с командной консолью SharePoint Online.

  3. Чтобы включить информационные барьеры в SharePoint и OneDrive, выполните следующую команду:

    Set-SPOTenant -InformationBarriersSuspension $false 
    
  4. После включения информационных барьеров для SharePoint и OneDrive организации подождите около 1 часа, пока изменения в силу не в силу.

Примечание

Если вы включили информационные барьеры для SharePoint в организации до 15 марта 2022 г., управление доступом и совместным доступом по умолчанию для неявного режима для подключенных Microsoft Teams сайтов основано на сегментах, связанных с сайтом.

Чтобы включить Microsoft 365 доступ и общий доступ на основе членства в группе для всех неявных Teams подключенных к клиенту сайтов, выполните следующую команду:

Set-SPOTenant -IBImplicitGroupBased $true

Примечание

Если у вас Microsoft 365 с поддержкой нескольких регионов, необходимо выполнить эту команду для каждого географического расположения.

Если вы установили предыдущую версию SharePoint Online Management Shell, выполните следующие действия:

  1. Перейдите к разделу "Добавление или удаление программ" и удалите SharePoint Online Management Shell.

  2. Перейдите в Центр загрузки Майкрософт для SharePoint Online Management Shell, выберите язык и нажмите кнопку "Скачать".

  3. Вам может быть предложено выбрать между скачиванием файла x64 .msi x86. Скачайте x64-файл, если вы используете 64-разрядную версию Windows или X86-файл, если вы используете 32-разрядную версию Windows. Если вы не знаете, какую версию вы используете на компьютере, см. Windows версии операционной системы?

  4. После завершения скачивания запустите файл установщика и выполните действия по настройке в мастере установки.

  5. Подключение SharePoint Online в качестве глобального администратора или администратора SharePoint в Microsoft 365. Сведения о том, как это сделать, см. в статье Начало работы с командной консолью SharePoint Online.

  6. Чтобы включить информационные барьеры в SharePoint и OneDrive, выполните следующую команду:

    Set-SPOTenant -InformationBarriersSuspension $false 
    
  7. После настройки информационных барьеров в SharePoint и OneDrive организации подождите около 1 часа, чтобы изменения вступили в силу.

Примечание

Если вы включили информационные барьеры для SharePoint в организации до 15 марта 2022 г., управление доступом и совместным доступом по умолчанию для неявного режима для подключенных Microsoft Teams сайтов основано на сегментах, связанных с сайтом.

Чтобы включить Microsoft 365 доступ и общий доступ на основе членства в группе для всех сайтов неявного режима в организации, выполните следующую команду:

Set-SPOTenant -IBImplicitGroupBased $true

Примечание

Если у вас Microsoft 365 с поддержкой нескольких регионов, необходимо выполнить эту команду для каждого географического расположения.

Просмотр сегментов и управление ими в качестве администратора

SharePoint или глобальные администраторы могут просматривать сегменты на сайте SharePoint и управлять ими следующим образом:

1. Используйте центр администрирования SharePoint для просмотра информационных сегментов и управления ими

Чтобы просмотреть, изменить или удалить сегменты информации для сайта, используйте активные сайты в SharePoint администрирования.

В столбце "Сегменты" перечислены первый сегмент, связанный с сайтом, и указывается, связаны ли с сайтом другие сегменты. Сведения о том, как отобразить или переместить этот столбец

Сегментирует столбец на странице "Активные сайты".

Чтобы просмотреть полный список сегментов, связанных с сайтом, выберите сайт, а затем перейдите на вкладку "Политики ".

Вкладка "Политики" на панели сведений со списком всех связанных сегментов.

Чтобы изменить сегменты, связанные с сайтом, выберите "Изменить", "Добавить или удалить сегменты", а затем нажмите кнопку "Сохранить".

Панель "Изменение информационных сегментов".

2. Использование SharePoint PowerShell для просмотра сегментов информации на сайте и управления ими

  1. Подключение к Центру & безопасности PowerShell в качестве глобального администратора.

  2. Выполните следующую команду, чтобы получить список сегментов и их идентификаторы GUID.

    Get-OrganizationSegment | ft Name, EXOSegmentID
    
  3. Сохраните список сегментов.

    Имя EXOSegmentId
    Отдел продаж a9592060-c856-4301-b60f-bf9a04990d4d
    Справочные материалы 27d20a85-1c1b-4af2-bf45-a41093b5d111
    HR a17efb47-e3c9-4d85-a188-1cd59c83de32
  4. Если вы еще не завершили работу, скачайте и установите последнюю версию SharePoint Online Management Shell. Если вы установили предыдущую версию командной консоли SharePoint Online, следуйте инструкциям в разделе "Включение SharePoint и OneDrive информационных барьеров в вашей организации" этой статьи.

  5. Подключение SharePoint Online в качестве глобального администратора или администратора SharePoint в Microsoft 365. Сведения о том, как это сделать, см. в статье Начало работы с командной консолью SharePoint Online.

  6. Выполните следующую команду:

    Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>
    

    Например:

    Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
    

При попытке связать сегмент, несовместимый с существующими сегментами сайта, вы увидите сообщение об ошибке.

Примечание

При добавлении сегмента на сайт режим IB сайта автоматически обновляется как явный.

Чтобы удалить сегмент с сайта, выполните следующую команду:

Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>

Например:

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

Примечание

Когда все сегменты удаляются с сайта, режим IB сайта автоматически обновляется до "Открыть".

Чтобы просмотреть сегменты сайта, выполните следующую команду, чтобы получить идентификаторы GUID всех сегментов, связанных с сайтом.

Get-SPOSite -Identity <site URL> | Select InformationSegment

3. Использование rest API SharePoint для просмотра сегментов информации на сайте и управления ими

SharePoint службу передачи репрезентационного состояния (REST), которую можно использовать для управления сегментами на сайте. Чтобы получить доступ SharePoint к ресурсам и управлять сегментами сайта с помощью REST, вы создадите HTTP-запрос RESTful с помощью стандарта OData, который соответствует требуемой клиентской объектной модели интерфейса программирования приложения (API).

Дополнительные сведения о SharePoint REST см. в статье "Знакомство с SharePoint REST".

Просмотр режимов IB и управление ими от имени администратора с помощью SharePoint PowerShell

Чтобы просмотреть режим IB сайта, выполните следующую команду:

Get-SPOSite -Identity <site URL> | Select InformationBarriersMode

Сценарий модерируемого режима владельца (предварительная версия)

Вы хотите разрешить пользователю Sales and Research совместно работать на SharePoint сайте в присутствии пользователя отдела кадров.

Owner Moderated — это новый режим, применимый к сайту (не подключенный к Microsoft 365 группе), который разрешает пользователям несовместимого сегмента доступ к сайту. Только владелец сайта может приглашать несовместимых пользователей сегментов на этот же сайт.

Чтобы обновить режим сайта до "Владелец модерации", выполните следующую команду PowerShell:

Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated

На сайте с сегментами нельзя задать режим модерируемой среды IB владельца. Сначала удалите сегменты, прежде чем настраивать режим IB в качестве модерируемого владельца. Доступ к сайту, модерируемом владельцем, разрешен пользователям с разрешениями на доступ к сайту. Общий доступ к сайту, модерируемому владельцем, и его содержимому разрешен только владельцу сайта в соответствии с политикой IB.

Аудит

События аудита доступны на портале соответствия требованиям Microsoft Purview для мониторинга действий информационных барьеров. События аудита регистрируются для следующих действий:

  • Включенные информационные барьеры для SharePoint и OneDrive
  • Примененный сегмент к сайту
  • Изменен сегмент сайта
  • Удаленный сегмент сайта
  • Режим примененных информационных барьеров к сайту
  • Изменен режим информационных барьеров сайта
  • Отключенные информационные барьеры для SharePoint и OneDrive

Дополнительные сведения об аудите SharePoint сегментов в Office 365 см. в разделе "Поиск в журнале аудита" в Центре соответствия требованиям.

Создание сайтов и управление ими владельцами сайтов

Когда сегментный пользователь создает сайт SharePoint, сайт связан с его сегментом, а для режима информационных барьеров сайта автоматически устанавливается значение Explicit.

Кроме того, владельцы сайта могут добавлять дополнительные сегменты на сайт SharePoint, на котором уже есть сегменты, для которых задан режим "Явный". Владельцы сайтов не могут удалять добавленные сегменты с сайтов. SharePoint администраторам при необходимости придется удалить добавленные сегменты в вашей организации.

Когда не сегментированные пользователи создают сайт SharePoint, сайт не связан ни с любым сегментом, а для режима информационных барьеров сайта автоматически устанавливается значение "Открыть".

Когда администратор SharePoint создает сайт SharePoint из центра администрирования SharePoint, сайт не связан ни с любым сегментом, а для режима IB сайта задано значение "Открыть".

Чтобы помочь владельцам сайта добавить сегмент на сайт, поделитесь сегментами сведений "Связать" с SharePoint сайтами с владельцами SharePoint сайта.

Microsoft Teams сайтов

При создании команды в Microsoft Teams сайт SharePoint автоматически создается для файлов группы. Чтобы защитить сайты microsoft Team с помощью управления информационными барьерами, можно включить информационные барьеры в SharePoint для вашего клиента.

В течение 24 часов режим информационных барьеров сайта автоматически устанавливается как неявный, а сегменты, связанные с участниками команды, связаны с сайтом.

Microsoft Teams сайтов с режимом информационного барьера в качестве неявного имеют доступ к сайту и общий доступ на основе Microsoft 365 членства в группе.

Например, пользователи имеют доступ к сайту Microsoft Teams, если они являются членами Microsoft 365 группы, подключенной к сайту. Группа Microsoft 365, подключенная к команде, соответствует требованиям IB.

Примечание

Если вы включили информационные барьеры для SharePoint организации до 15 марта 2022 г., доступ и общий доступ к сайту, подключенным к Teams, основаны на сегментах сайта. Например:

  • Сайт и его содержимое можно совместно использовать с пользователем, сегмент которого совпадает с сегментом сайта.
  • Доступ к сайту и его содержимому может получить пользователь, если он имеет тот же сегмент, что и сайт, и имеет разрешения на доступ к сайту.

Чтобы включить Microsoft 365 доступа и общего доступа на основе членства в группе для всех сайтов неявного режима в организации, выполните следующую команду от имени SharePoint администратора:

Set-SPOTenant -IBImplicitGroupBased $true

Частный канал и информационные барьеры (предварительная версия)

Если SharePoint информационные барьеры включены в вашей организации, любой новый сайт частного канала автоматически наследует родительский режим Microsoft Team iB в течение 24 часов. Режим для частного канала назначается следующим образом:

Режим IB родительской команды Режим IB сайта частного канала
Открыть Открыть
Неявный или владелец с модератором Неявный поток

Доступ к сайту частного канала и общий доступ к нему регулируется режимом IB:

  • Сайт частного канала с режимом открытых информационных барьеров

    • Доступ разрешен всем, у кого есть разрешения на доступ к сайту
    • Ссылки общего доступа разрешены в соответствии с существующей политикой общего доступа на сайте
    • Средство выбора людей позволяет обнаруживать пользователей в соответствии с политикой IB общего ресурса.
  • Сайт частного канала с режимом неявных информационных барьеров

    • Доступ разрешен пользователю, который в настоящее время является членом закрытого канала
    • Предоставление общего доступа разрешено с помощью "Люди с существующей ссылкой на доступ"

Сайты частных каналов, уже настроенные в вашей организации, будут иметь режим информационных барьеров как открытый. Чтобы настроить существующие сайты частных каналов в неявном режиме, выполните следующий командлет в SharePoint PowerShell:

Set-Sposite -Identity <site URL> -InformationBarriersMode Implicit

Подробнее об управлении сайтах команд, подключенных к Microsoft Teams.

Пользователи будут видеть результаты поиска из:

  • Сайты, которые имеют связанный сегмент, соответствующий сегменту пользователя, и пользователь имеет разрешение на доступ к сайту.
  • Сайты, у которых нет связанных сегментов, если у них есть доступ к сайту.

Влияние изменений в сегментах пользователей

Если владелец SharePoint или член сайта изменяет сегмент, он по-прежнему будет иметь доступ к сайту или содержимому в режиме IB сайта:

  • Открытый режим: пользователь может получить доступ к сайту, если у них есть существующие разрешения на доступ к сайту.
  • Модерация владельца: пользователь может получить доступ к сайту, если у них есть существующие разрешения на доступ к сайту.
  • Неявный режим. Если пользователь является членом Microsoft 365 группы, он по-прежнему будет иметь доступ к сайту.
  • Явный режим: если новый сегмент пользователя соответствует сегменту сайта и у пользователя есть разрешения на доступ к сайту, он по-прежнему будет иметь доступ к сайту.

Влияние изменений в существующих политиках информационных барьеров

Если администратор соответствия требованиям изменяет существующую политику IB, это изменение может повлиять на совместимость сегментов, связанных с сайтом (в явном или неявном режиме). Например, сегменты, которые ранее были совместимы, могут быть несовместимы.

С помощью отчета о соответствии политики информационных барьеров администратор SharePoint может просматривать список сайтов, сегменты которых больше не совместимы. Дополнительные сведения см. в статье о создании отчета о соответствии политик информационных барьеров в PowerShell.

Для управления сайтами соответствия требованиям:

  • В явном режиме администратор SharePoint должен изменить связанные сегменты, чтобы привести их к соответствию IB.
  • В неявном режиме администратор SharePoint не может управлять сегментами напрямую. Мы рекомендуем администратору Teams управлять членством в команде, чтобы привести список Teams и сегменты в соответствие требованиям IB.

Как приостановить SharePoint и OneDrive информационных барьеров в организации

Если ваша организация захотеет временно приостановить информационные барьеры на SharePoint, необходимо использовать командлет SharePoint Online Management Shell и командлет Set-Spotenant.

Чтобы приостановить информационные барьеры, выполните следующую команду:

Set-SPOTenant -InformationBarriersSuspension $true 

Примечание

Если у вас Microsoft 365 с поддержкой нескольких регионов, необходимо выполнить эту команду для каждого географического расположения.

Ресурсы