使用信息屏障和OneDrive

信息屏障是Microsoft 365管理员可配置的策略,以防止用户相互通信和协作。 例如,如果一个部门正在处理不应与其他特定部门共享的信息,或者需要阻止或隔离部门与部门外的所有用户进行协作,则此解决方案非常有用。 信息屏障通常用于高度管控行业和具有合规性要求的组织,如财务、法律和政府。

例如OneDrive,信息屏障可以确定并阻止以下类型的未经授权的协作:

  • 用户访问内容OneDrive存储的内容
  • 与OneDrive共享内容或存储内容

信息屏障模式和OneDrive

在用户和用户上启用SharePoint OneDrive时,OneDrive细分用户的信息将自动使用 IBM 策略进行保护。 信息屏障模式有助于增强访问、共享和成员资格OneDrive网站基于其 IBM 模式和与网站关联的OneDrive。

将信息屏障与 OneDrive时,支持以下 IBM 模式:

Mode 说明
打开 当非分段用户设置其OneDrive时,网站的"IBM"模式默认设置为"打开"。 没有与网站关联的分段。
所有者已主持 当OneDrive在网站所有者/审阅人存在的情况下与不兼容用户进行协作时,OneDrive 的"IBM"模式可以设置为"所有者仲裁"。 有关 所有者主持 网站的详细信息,请参阅此部分。
Explicit 当分段的用户在启用OneDrive 24 小时内设置其权限时,网站的"IBM"模式默认设置为 "显式"。 用户的线段和其他与用户的线段兼容且相互兼容的线段与用户的线段OneDrive。

从网站共享OneDrive

打开

当一OneDrive没有线段且为"打开"的"IBM 模式 "时

  • 用户可以根据应用于用户的信息屏障策略和用户共享设置来共享文件和OneDrive。

所有者已主持

当网站信息屏障模式设置为所有者 审核时

  • 已禁用与具有 链接的任何人 共享的选项。
  • 已禁用与公司 范围链接 共享的选项。
  • 网站及其内容可以与现有成员共享。
  • 网站及其内容仅能按其 ONEDRIVE策略由网站所有者共享。

Explicit

当一个OneDrive具有以"EXPLICIT"作为"EXPLICIT"的"下一个"的分段

  • 已禁用与具有 链接的任何人 共享的选项。
  • 已禁用与公司 范围链接 共享的选项。
  • 文件和文件夹只能与其段与项目组匹配的用户OneDrive。

从共享文件访问OneDrive

打开模式

For a user to access content in a OneDrive that has no segments associated and IBM mode as Open

  • 文件必须与用户共享。

所有者审核模式

对于访问具有SharePoint障碍模式的网站的用户,设置为 "所有者主持":

  • 用户具有网站访问权限。

显式模式

For a user to access content in a OneDrive that has segments and IBM mode as Explicit

  1. 用户的线段必须与与用户关联的线段OneDrive。

    AND

  2. 文件必须与用户共享。

备注

默认情况下,非区段用户只能访问ONEDRIVE为 Open 的其他非分段用户共享 的文件。 他们无法从应用了段OneDrive应用了 (且") "模式为 Explicit 的共享文件。

示例方案

以下示例说明了一个组织中三个部门:HR、Sales 和 Research。 已定义信息屏障策略,阻止销售和研究部门之间的通信和协作。

组织中分段的示例

由于信息障碍OneDrive,在将一个段应用于用户时,该段会在 24 小时内自动与用户的 OneDrive。 与用户细分和彼此兼容的其他线段也将与用户细分OneDrive。 一OneDrive最多具有 100 个与之关联的线段。 全局管理员或SharePoint管理员可以使用 PowerShell 管理这些分段,如稍后在关联或删除用户服务上的其他OneDrive。

下表列出了此示例配置的效果:

组件 HR 用户 销售用户 研究用户 非分段用户
与项目关联的OneDrive HR 销售、人力资源 研究、人力资源
上的 IBM OneDrive Explicit Explicit Explicit 打开
OneDrive内容可以共享 仅 HR 销售和人力资源 研发和人力资源 基于所选的共享设置的任何人
OneDrive内容的访问者 仅 HR 销售和人力资源 研发和人力资源 已与之共享内容的任何人

在SharePoint启用OneDrive信息屏障

在单个操作中SharePoint OneDrive为用户和用户启用信息屏障。 服务的信息屏障无法单独启用。 若要为用户启用OneDrive,请参阅在组织中SharePoint OneDrive信息屏障"。 为用户和用户启用信息SharePoint OneDrive,请继续阅读本文OneDrive指南。

先决条件

  1. 确保您满足信息 屏障的许可要求
  2. 创建允许或阻止 分段之间的通信的信息屏障策略,并激活这些策略。 创建分段并定义每个分段中的用户。
  3. 配置并激活信息屏障策略后,请等待 24 小时,让更改在整个组织中传播。
  4. 为用户启用OneDrive。 在单个操作中SharePoint为 OneDrive 启用信息屏障,这些服务无法单独启用。 若要为信息屏障启用OneDrive,请参阅使用信息屏障和SharePoint中的指南和步骤。
  5. 完成以下各节中的步骤,以自定义和管理组织中OneDrive的信息障碍。

使用 PowerShell 查看与项目关联的OneDrive

全局或SharePoint管理员可以查看和更改与用户服务关联的OneDrive。

  1. 连接全局管理员&安全与合规中心PowerShell。

  2. 运行以下命令获取分段列表及其 GUID。

    Get-OrganizationSegment | ft Name, EXOSegmentID
    
  3. 保存分段列表。

    名称 EXOSegmentId
    销售 a9592060-c856-4301-b60f-bf9a04990d4d
    研究 27d20a85-1c1b-4af2-bf45-a41093b5d111
    HR a17efb47-e3c9-4d85-a188-1cd59c83de32
  4. 如果之前尚未完成,请下载并安装最新的 SharePoint Online 命令行管理程序。 如果安装了早期版本的 SharePoint Online 命令行管理程序,请按照 Enable SharePoint and OneDrive information barriers in your organization一文中的说明进行操作。

  5. 在 Microsoft 365 中以全局管理员或 SharePoint 管理员身份连接到 SharePoint Online。要了解具体操作步骤,请参阅 SharePoint Online 命令行管理程序入门

  6. 运行以下命令:

    Get-SPOSite -Identity <site URL> | Select InformationSegment 
    

    例如:

    Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationSegment
    

管理用户细分OneDrive

警告

如果与用户的OneDrive相关联的线段与应用于用户的线段不匹配,则用户无法访问其OneDrive。 请注意不要将任何线段与非OneDrive的线段关联。

备注

如果用户的区段发生更改,您做出的任何更改都将覆盖。

若要将段与OneDrive关联,请运行 SharePoint Online 命令行管理程序中的以下命令。 A OneDrive can have up to 100 associated segments.

Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID> 

例如:

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

向网站添加分段OneDrive,网站的"IBM"模式将自动更新为 "显式"。 如果您尝试关联与现有线段不兼容的线段,将显示OneDrive。

若要从项目中删除OneDrive,请运行以下命令。

Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>

例如:

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

如果删除网站的所有OneDrive,则网站的 IBM 模式OneDrive自动更新为 "打开"。

管理用户的预览版预览OneDrive (的)

管理员SharePoint全局管理员可以通过以下 PowerShell 命令管理 ONEDRIVE的 IBM 模式:

Get-SPOSite -Identity <site URL> | Select InformationBarriersMode

例如:

Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode

所有者审核模式方案:允许不兼容的段用户访问OneDrive。 例如,您希望允许销售OneDrive研发部门用户访问的 HR 用户信息。

所有者仲裁 是一种适用于OneDrive网站的新模式,该模式允许不兼容的OneDrive在审查方/所有者存在的情况下访问网站。 只有网站所有者能够邀请同一网站上不兼容的段用户。

若要将OneDrive所有者主持,请运行以下 PowerShell 命令:

Set-SPOSite -Identity <siteurl> InformationBarriersMode OwnerModerated

无法在具有分段的网站上设置所有者审核的 IBM 模式。 先删除分段,然后再将"IBM 模式"设置为"所有者主持"。 允许具有网站访问权限的用户访问所有者主持网站。 只有网站所有者OneDrive其 IBM 策略才允许共享所有者主持会议及其内容。

用户区段更改的影响

如果用户的线段发生更改,OneDrive的线段和 IBM 模式将在 24 小时内自动更新,如上述信息屏障OneDrive中所述

示例 1:用户细分从 Research 更新为 Sales,该用户的OneDrive将在 24 小时内如下所示:

  • 细分:销售、人力资源
  • IBM 模式: 显式

示例 2:用户的区段从 HR 更新为"无",OneDrive 24 小时内如下所示:

  • Segment:无
  • IBM 模式: 打开

信息屏障策略更改的影响

如果合规性管理员更改现有策略,则更改可能会影响与策略关联的OneDrive。

例如,曾经兼容的线段可能不再兼容。 管理员SharePoint必须相应地更改与受影响网站关联的分段。 了解如何在 PowerShell 中创建信息屏障策略合规性报告

如果共享文件后策略发生更改,则共享链接仅在尝试访问共享文件的用户应用了与与共享文件关联的段匹配的段OneDrive。

审核

审核事件在 Microsoft 365 中心提供,可帮助你监视信息屏障活动。 将记录以下活动的审核事件:

  • 为用户和用户启用SharePoint OneDrive
  • 应用到网站的线段
  • 已更改网站段
  • 已删除的网站段
  • 对网站应用的信息屏障模式
  • 已更改网站的信息屏障模式
  • 针对用户和用户禁用SharePoint OneDrive

有关在OneDrive审核Office 365,请参阅在审核日志中心搜索审核。

资源