Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Информационные барьеры Microsoft Purview — это политики, которые запрещают пользователям общаться и сотрудничать друг с другом. В этой статье рассматривается поведение IB в OneDrive.
Для OneDrive информационные барьеры могут определять и предотвращать следующие типы несанкционированного взаимодействия:
- Доступ пользователей к OneDrive или сохраненное содержимое
- Совместное использование OneDrive или сохраненного содержимого с другими пользователями
Режимы информационных барьеров и OneDrive
При включении информационных барьеров в SharePoint и OneDrive вы автоматически защищаете OneDrive сегментированных пользователей с помощью политик IB. Режимы информационных барьеров помогают улучшить доступ, общий доступ к сайту OneDrive и членство в них на основе режима IB и сегментов, связанных с OneDrive.
При использовании информационных барьеров с OneDrive применяются следующие режимы IB :
- Открыть. В OneDrive нет сегментов. Этот режим используется по умолчанию, когда несементированные пользователи подготавливают oneDrive.
- Модерация владельца. OneDrive используется для совместной работы с несовместимыми пользователями в присутствии владельца сайта или модератора. Дополнительные сведения см. в этом разделе .
- Явно. Сегмент пользователя и другие совместимые сегменты связаны с OneDrive. Этот режим используется по умолчанию, когда сегментированные пользователи подготавливают oneDrive в течение 24 часов после включения.
- Смешанная. Сегментированные пользователи OneDrive могут предоставлять общий доступ к несегментированных пользователям. Этот режим является режимом согласия, который администратор SharePoint может установить в OneDrive сегментированного пользователя.
Примечание.
С 12 июля 2022 г. режим вывода переключён на смешанный режим. Функциональность режима остается неизменной.
режим открытия;
Поведение общего доступа в режиме открытия
Если в OneDrive нет сегментов и режим IB как Open:
- Пользователь может предоставлять общий доступ к файлам и папкам на основе политики IB, применяемой к пользователю, и параметра общего доступа для OneDrive.
Поведение доступа в режиме открытия
Для доступа пользователя к содержимому в OneDrive без сегментов и режиме IB как Open:
- Файлы должны быть переданы пользователю.
Режим модерации владельца
Поведение общего доступа с модерированием владельца
Если в OneDrive для режима информационных барьеров задано значение "Модерация владельца":
- Параметр для предоставления общего доступа всем пользователям со ссылкой отключен.
- Параметр для предоставления общего доступа к ссылке на уровне компании отключен.
- Вы можете поделиться сайтом и его содержимым с существующими участниками.
- Только владелец OneDrive может предоставить общий доступ к сайту и его содержимому в соответствии с политикой IB.
Поведение доступа с модерированием владельца
Для доступа пользователя к OneDrive с режимом "Информационные барьеры" задано значение "Модерация владельца":
- У пользователя есть разрешения на доступ к сайту.
Явный режим
Поведение общего доступа в явном режиме
Если в OneDrive есть сегменты информационных барьеров, а для режима задано значение Явно:
- Параметр для предоставления общего доступа всем пользователям со ссылкой отключен.
- Параметр для предоставления общего доступа к ссылке на уровне компании отключен.
- Вы можете делиться файлами и папками только с пользователями, сегмент которых соответствует сегменту OneDrive.
Поведение доступа в явном режиме
Для доступа пользователя к содержимому в OneDrive с сегментами и режимом IB, заданным как Явный:
Сегмент пользователя соответствует сегменту, связанному с OneDrive.
И
Файлы предоставляются пользователю.
Примечание.
По умолчанию пользователи, не являющиеся сегментами, могут получать доступ к общим файлам OneDrive только у других пользователей, не являющихся сегментами, с режимами IB, установленными как Открыть. Они не могут получить доступ к общим файлам из OneDrive, к которым применены сегменты, и режим IB является явным.
Смешанный режим
Поведение совместного использования в смешанном режиме
Если OneDrive использует сегменты информационных барьеров, а для режима задано значение Смешанное:
- Параметр для предоставления общего доступа всем пользователям со ссылкой отключен.
- Параметр для предоставления общего доступа к ссылке на уровне компании отключен.
- Вы можете делиться файлами и папками с пользователями, сегмент которых соответствует сегменту OneDrive и несегментированных пользователей в клиенте.
Поведение доступа в смешанном режиме
Для сегментированного пользователя для доступа к содержимому в OneDrive с сегментами и режимом IB, установленным для смешанного:
Сегмент пользователя соответствует сегменту, связанному с OneDrive.
И
Файлы предоставляются пользователю.
Для несегментированного пользователя для доступа к содержимому в OneDrive с сегментами и режимом IB, установленным для смешанного:
- У пользователя есть разрешения на доступ к сайту.
Пример сценария
В следующем примере показаны три сегмента в организации: отдел кадров, продажи и исследования. Вы определяете политику IB, которая блокирует взаимодействие и совместную работу между сегментами Sales и Research.
При использовании информационных барьеров в OneDrive при применении сегмента к пользователю сегмент автоматически связывается с OneDrive пользователя в течение 24 часов. OneDrive также связывается с другими сегментами, совместимыми с сегментом пользователя и друг с другом. OneDrive может содержать до 100 связанных сегментов. Глобальный администратор или администратор SharePoint может управлять этими сегментами с помощью PowerShell, как описано далее в разделе Связывание или удаление дополнительных сегментов в OneDrive пользователя.
В следующей таблице показаны эффекты этого примера конфигурации:
| Компоненты | Пользователи отдела кадров | Продажи пользователей | Исследование пользователей | Пользователи без сегментов |
|---|---|---|---|---|
| Сегменты, связанные с OneDrive | HR | Продажи, отдел кадров | Исследования, отдел кадров | Нет |
| Режим IB в OneDrive | Explicit | Explicit | Explicit | Открыть |
| Содержимое OneDrive может быть предоставлено с помощью | Только отдел кадров | Продажи и отдел кадров | Исследования и отдел кадров | Любой пользователь на основе выбранных параметров общего доступа |
| Доступ к содержимому OneDrive можно получить с помощью | Только отдел кадров | Продажи и отдел кадров | Исследования и отдел кадров | Все пользователи, которым предоставлен общий доступ к содержимому |
Включение информационных барьеров SharePoint и OneDrive в организации
Вы настраиваете включение информационных барьеров для SharePoint и OneDrive в одном действии. Вы не можете включить информационные барьеры для служб отдельно. Дополнительные сведения см. в статье Включение информационных барьеров SharePoint и OneDrive в организации. После включения информационных барьеров для SharePoint и OneDrive перейдите к руководству OneDrive, приведенным в этой статье.
Предварительные условия
- Убедитесь, что выполнены требования к лицензированию для информационных барьеров.
- Создайте политики IB , которые разрешают или блокируют обмен данными между сегментами и активируют политики. Создание сегментов и определение пользователей в каждом из них.
- После настройки и активации политик IB подождите 24 часа, пока изменения не будут распространены в вашей организации.
- Включите информационные барьеры для OneDrive. Вы настраиваете включение информационных барьеров для SharePoint и OneDrive в одном действии. Эти службы нельзя включить отдельно. Дополнительные сведения см. в руководстве и шагах в статье Использование информационных барьеров с SharePoint .
- Выполните действия, описанные в следующих разделах, чтобы настроить информационные барьеры для OneDrive в организации и управлять ими.
Использование PowerShell для просмотра сегментов, связанных с OneDrive
Важно!
Майкрософт рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
Глобальный администратор или администратор SharePoint может просматривать и изменять сегменты, связанные с OneDrive пользователя. Ваша организация может иметь до 5000 сегментов, а пользователи могут быть назначены нескольким сегментам.
Важно!
Поддержка 5000 сегментов и назначение пользователей нескольким сегментам доступна только в том случае, если ваша организация не находится в устаревшем режиме. Назначение пользователей нескольким сегментам требует дополнительных действий для изменения режима информационных барьеров для вашей организации. Дополнительные сведения см . в разделе Использование поддержки нескольких сегментов в разделе Информационные барьеры.
Для организаций в устаревшем режиме максимальное число поддерживаемых сегментов составляет 250, а пользователям разрешено назначать только один сегмент. Организации в устаревшем режиме имеют право на обновление до последней версии Информационных барьеров в будущем. Дополнительные сведения см. в статье Стратегия информационных барьеров.
Подключитесь к PowerShell по обеспечению безопасности & соответствия требованиям в качестве глобального администратора.
Выполните следующую команду, чтобы получить список сегментов и их идентификаторы GUID.
Get-OrganizationSegment | ft Name, EXOSegmentIDСохраните список сегментов.
Название EXOSegmentId Отдел продаж a9592060-c856-4301-b60f-bf9a04990d4d Справочные материалы 27d20a85-1c1b-4af2-bf45-a41093b5d111 HR a17efb47-e3c9-4d85-a188-1cd59c83de32 Необходимо использовать последнюю версию командная консоль SharePoint Online. Если вы установили предыдущую версию командная консоль SharePoint Online, перейдите в раздел Добавление и удаление программ и удаление командная консоль SharePoint Online. Затем установите последнюю версию. Дополнительные сведения см. в статье Начало работы с командная консоль SharePoint Online.
Подключите SharePoint, используя права глобального администратора или администратора SharePoint в Microsoft 365. Дополнительные сведения см. в статье Начало работы с командная консоль SharePoint Online.
Выполните следующую команду:
Get-SPOSite -Identity <site URL> | Select InformationSegmentНапример, вы можете:
Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationSegment
Управление сегментами в OneDrive пользователя
Предупреждение
Если сегменты, связанные с OneDrive пользователя, не соответствуют сегменту, который вы применяете к пользователю, пользователь не может получить доступ к OneDrive. Не связывайте сегменты с OneDrive несементного пользователя.
Примечание.
Все внесенные изменения перезаписываются, если изменяется сегмент пользователя.
Чтобы связать сегмент с OneDrive, выполните следующую команду в командная консоль SharePoint Online.
Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>
Например, вы можете:
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
При добавлении сегментов в OneDrive режим IB сайта автоматически обновляется до явного. При попытке связать сегмент, несовместимый с существующими сегментами в OneDrive, появляется ошибка.
Чтобы удалить сегмент из OneDrive, выполните следующую команду.
Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>
Например, вы можете:
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
Если удалить все сегменты сайта OneDrive, режим IB OneDrive автоматически обновится на Open.
Управление режимом IB в OneDrive пользователя (предварительная версия)
Важно!
Майкрософт рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
Чтобы просмотреть режим IB сайта OneDrive, выполните следующую команду в командная консоль SharePoint Online в качестве администратора SharePoint или глобального администратора:
Get-SPOSite -Identity <site URL> | Select InformationBarriersMode
Например, вы можете:
Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode
Администратор SharePoint или глобальный администратор также может управлять режимом IB сайта OneDrive в соответствии с потребностями вашей организации с помощью новых режимов IB:
Пример режима модерации владельца
Разрешите пользователю несовместимого сегмента доступ к OneDrive. Например, вы хотите разрешить доступ к OneDrive для пользователей сегмента "Продажи" и "Исследования" в вашем клиенте.
Модерация владельца — это режим, применимый к сайтам OneDrive, который позволяет несовместимым пользователям сегментов получать доступ к OneDrive в присутствии модератора или владельца. Только владелец сайта может приглашать несовместимых пользователей сегментов на один и тот же сайт.
Чтобы обновить режим IB сайта OneDrive до уровня Owner Moderated, выполните следующую команду PowerShell:
Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated
Вы не можете задать режим IB с модерированием владельца на сайте с сегментами. Удалите сегменты перед установкой режима IB в качестве модерации владельца. Пользователи с разрешениями на доступ к сайту могут получить доступ к сайту, модерированному владельцу. Только владелец сайта может предоставить общий доступ к Модерированному владельцу OneDrive и его содержимому в отношении политики IB.
Пример смешанного режима
Разрешите несегментированных пользователей доступ к OneDrive, связанным с сегментами. Например, вы хотите разрешить доступ к OneDrive для пользователей отдела кадров и незарегистрированных пользователей в клиенте. Смешанный режим применяется к сайтам OneDrive, которые позволяют сегментированных и несегментированных пользователей получать доступ к OneDrive.
Чтобы обновить режим IB сайта OneDrive до смешанного, выполните следующую команду PowerShell:
Set-SPOSite -Identity <siteurl> -InformationBarriersMode Mixed
Нельзя настроить смешанный режим IB на сайте без сегментов. Добавьте сегменты перед установкой режима IB как смешанного.
Влияние изменений на сегменты пользователей
Если сегмент пользователя меняется, режимы сегмента OneDrive и IB автоматически обновляются в течение 24 часов, как описано в разделе Информационные барьеры OneDrive.
Пример 1. Сегмент пользователя обновлен с "Исследование" до "Продажи", а oneDrive пользователя обновляется следующим образом в течение 24 часов:
- Сегмент: продажи, отдел кадров
- Режим IB: явный
Пример 2. Сегмент пользователя обновлен с "Отдел кадров" до "Нет"
- Сегмент: нет
- Режим IB: открыть
Последствия изменений политик IB
Если администратор соответствия требованиям изменяет существующую политику, это изменение может повлиять на совместимость сегментов, связанных с OneDrive.
Например, сегменты, которые когда-то были совместимы, могут быть несовместимы. Администратор SharePoint должен изменить сегменты, связанные с затронутым сайтом. Дополнительные сведения см. в статье Создание отчета о соответствии политике информационных барьеров в PowerShell.
Если изменить политику после того, как пользователи обмениваются файлами, ссылки общего доступа работают только в том случае, если к пользователю, пытающимся получить доступ к общим файлам, применяется сегмент, соответствующий сегменту, связанному с OneDrive.
Аудит
События аудита доступны на портале Microsoft Purview , чтобы помочь вам отслеживать действия IB. Система регистрирует события аудита для следующих действий:
- Включение информационных барьеров для SharePoint и OneDrive
- Применение сегмента к сайту
- Изменение сегмента сайта
- Удаление сегмента сайта
- Применение режима информационных барьеров к сайту
- Изменение режима информационных барьеров сайта
- Отключение информационных барьеров для SharePoint и OneDrive
Дополнительные сведения об аудите сегментов OneDrive в Microsoft 365 см. в разделе Поиск в журнале аудита.
Дальнейшие действия
- Использование информационных барьеров с SharePoint. Настройте режимы и сегменты IB для сайтов SharePoint в организации.
- Аналитические отчеты SharePoint и OneDrive. Запуск отчетов для определения учетных записей OneDrive по режиму IB и шаблонам использования.
- Создание отчета о соответствии политике информационных барьеров. Определите несоответствующие учетные записи OneDrive после изменения политики.