Использование информационных барьеров в SharePoint

Информационные барьеры Microsoft Purview — это политики в Microsoft 365, которые администратор соответствия требованиям может настроить, чтобы запретить пользователям общаться и сотрудничать друг с другом. Это решение полезно, если, например, одно из подразделений обрабатывает сведения, которыми не следует делиться с определенными другими подразделениями, или что-то из них необходимо предотвратить или изолировать от совместной работы со всеми пользователями за пределами этого подразделения. Информационные барьеры часто используются в строго регулируемых отраслях и организациях с требованиями к соответствию, таких как финансовые, юридические и государственные.

Для SharePoint информационные барьеры могут определять и предотвращать следующие типы несанкционированной совместной работы:

• Добавление пользователя на сайт
• Доступ пользователей к сайту или содержимому сайта
• Предоставление общего доступа к сайту или его содержимому другим пользователям

Режимы информационных барьеров помогают повысить доступ, общий доступ к сайту и членство на основе режима IB и сегментов, связанных с сайтом.

При использовании информационных барьеров в SharePoint поддерживаются следующие режимы IB:

Общий доступ к сайтам с пользователями основан на режиме IB сайта.

Если на сайте нет сегментов, а режим информационных барьеров сайта имеет значение Открыть:

• Сайт и его содержимое можно предоставить общий доступ на основе политики информационных барьеров, применяемой к пользователю. Например, если пользователю в отделе кадров разрешено общаться с пользователями в исследовании, он может предоставить доступ к сайту этим пользователям.

Если на сайте есть режим информационных барьеров, для него задано значение Модерация владельца:

• Параметр для предоставления общего доступа всем пользователям со ссылкой отключен.
• Параметр для предоставления общего доступа к ссылке на уровне компании отключен.
• (Для сайтов, подключенных к группам) Сайт и его содержимое можно предоставить существующим участникам.
• (Для сайтов, не подключенных к группам) Сайт и его содержимое может предоставлять общий доступ только владельцу сайта в отношении политики IB.

Если для режима информационных барьеров сайта задано значение Неявно:

• Параметр для предоставления общего доступа всем пользователям со ссылкой отключен.
• Параметр для предоставления общего доступа к ссылке на уровне компании отключен.
• Сайт и его содержимое можно предоставить существующим участникам через ссылку для общего доступа.
• Новые пользователи не могут быть добавлены на сайт напрямую. Владелец команды должен добавить пользователей в группу команды с помощью Microsoft Teams.

Если сайт связан с сегментами, а режим информационных барьеров сайта имеет значение Явный:

• Параметр для предоставления общего доступа всем пользователям со ссылкой отключен.
• Параметр для предоставления общего доступа к ссылке на уровне компании отключен.
• Сайт и его содержимое могут предоставляться только пользователям, сегмент которых соответствует сегменту сайта. Например, если сайт связан с сегментом отдела кадров, он может предоставляться только пользователям отдела кадров (даже если hr совместим с сегментами Sales и Research).
• Новые пользователи могут быть добавлены в качестве участников сайта только в том случае, если их сегмент соответствует сегменту сайта.

Политика IB применяется при открытии сайта SharePoint или содержимого на сайте SharePoint. Это основано на режиме IB сайта.

Для пользователя для доступа к сайту SharePoint без сегмента и режима информационных барьеров сайта задано значение Открыть:

• У пользователя есть разрешения на доступ к сайту.

Для доступа пользователя к сайту SharePoint с режимом информационных барьеров сайта задано значение Owner Moderated:

• (Для сайтов, не подключенных к группам) У пользователя есть разрешения на доступ к сайту.
• (Для сайтов, подключенных к группам) Пользователь должен быть членом группы Microsoft 365, подключенной к сайту.

Для доступа пользователя к сайтам SharePoint с режимом информационных барьеров, для которых задано значение Неявно:

• Пользователь должен быть членом группы Microsoft 365, подключенной к сайту.
• Пользователь, который не является членом группы Microsoft 365, подключенной к сайту, не будет иметь доступа к сайту
• Помощник соответствия требованиям информационных барьеров гарантирует, что членство в группе соответствует требованиям IB.

Для доступа пользователя к сайтам SharePoint с сегментами и режимом информационных барьеров сайта является явным:

• Сегмент пользователя должен соответствовать сегменту, связанному с сайтом.

  И

• Пользователь должен иметь разрешение на доступ к сайту.

Пользователи, не являющиеся сегментами, не могут получить доступ к сайту, связанному с сегментами. Они увидят сообщение об ошибке.

Многие организации используют приложения, работающие в контексте только приложений в своей организации. Чтобы разрешить этим приложениям, работающим в режиме только для приложений, доступ к защищенным сайтам IB, администраторы SharePoint могут включить возможность согласия.

Чтобы разрешить приложениям, работающим в режиме только для приложений, доступ к сайтам IB, выполните следующую команду:

Set-SPOTenant -AppBypassInformationBarriers $true

Если вы включили запись собраний Teams или приложение назначения EDU в своей организации, выполните следующую команду, чтобы разрешить этим приложениям взаимодействовать с защищенными IB сайтами:

Set-SPOTenant -AppOnlyBypassPeoplePickerPolicies $true

В следующем примере показаны три сегмента в организации: отдел кадров, продажи и исследования. Определена политика информационных барьеров, которая блокирует взаимодействие и совместную работу между сегментами продаж и исследований. Эти сегменты несовместимы.

Благодаря информационным барьерам SharePoint администратор SharePoint или глобальный администратор может связать сегменты с сайтом, чтобы предотвратить предоставление общего доступа к сайту пользователям за пределами сегментов или доступ к ним. С сайтом можно связать до 100 совместимых сегментов. Сегменты связаны на уровне сайта (ранее — уровень семейства веб-сайтов). Группа Microsoft 365, подключенная к сайту, также связана с сегментом сайта.

В предыдущем примере сегмент отдела кадров совместим как с продажами, так и с исследованиями. Однако, поскольку сегменты Sales и Research несовместимы, их нельзя связать с тем же сайтом.

1. Убедитесь, что выполнены требования к лицензированию для информационных барьеров.
2. Создайте политики информационных барьеров , которые разрешают или блокируют обмен данными между сегментами, а затем устанавливают для них активные. Создание сегментов и определение пользователей в каждом из них.
3. После настройки и активации политик информационных барьеров подождите 24 часа, пока изменения не будут распространены в вашей организации.
4. Выполните действия, описанные в следующих разделах, чтобы включить и управлять информационными барьерами SharePoint и OneDrive в организации.

Администраторы SharePoint или глобальные администраторы могут включить информационные барьеры в SharePoint и OneDrive в вашей организации. Выполните следующие действия, чтобы включить информационные барьеры для вашей организации.

1. Скачайте и установите последнюю версию командная консоль SharePoint Online.

2. Подключитесь к SharePoint Online в качестве глобального администратора или администратора SharePoint в Microsoft 365. Сведения о том, как это сделать, см. в статье Начало работы с командной консолью SharePoint Online.

3. Чтобы включить информационные барьеры в SharePoint и OneDrive, выполните следующую команду:

   Set-SPOTenant -InformationBarriersSuspension $false 
   

4. После включения информационных барьеров для SharePoint и OneDrive в организации подождите примерно 1 час, пока изменения вступают в силу.

Чтобы включить управление доступом и общим доступом на основе членства в группах Microsoft 365 для всех сайтов, подключенных к Teams в неявном режиме, в клиенте, выполните следующую команду:

Set-SPOTenant -IBImplicitGroupBased $true

Если вы установили предыдущую версию командная консоль SharePoint Online, выполните следующие действия.

1. Перейдите в раздел Добавление или удаление программ и удаление командная консоль SharePoint Online.

2. Перейдите в Центр загрузки Майкрософт для командная консоль SharePoint Online), выберите свой язык и нажмите кнопку Скачать.

3. Вам может быть предложено выбрать между загрузкой файла x64 и x86 .msi. Скачайте файл x64, если вы используете 64-разрядную версию Windows или файл x86, если вы используете 32-разрядную версию Windows. Если вы не знаете, какая версия используется на компьютере, см. статью Какая версия операционной системы Windows используется?

4. После завершения загрузки запустите файл установщика и выполните действия по настройке в рабочем процессе установки.

5. Подключитесь к SharePoint Online в качестве глобального администратора или администратора SharePoint в Microsoft 365. Сведения о том, как это сделать, см. в статье Начало работы с командной консолью SharePoint Online.

6. Чтобы включить информационные барьеры в SharePoint и OneDrive, выполните следующую команду:

   Set-SPOTenant -InformationBarriersSuspension $false 
   

7. Настроив информационные барьеры в SharePoint и OneDrive в организации, подождите примерно 1 час, пока изменения вступают в силу.

Чтобы включить управление доступом и общим доступом на основе членства в группах Microsoft 365 для всех сайтов в неявном режиме в организации, выполните следующую команду:

Set-SPOTenant -IBImplicitGroupBased $true

Администраторы SharePoint или глобальные администраторы могут просматривать сегменты на сайте SharePoint и управлять ими. В вашей организации может быть до 5000 сегментов, а пользователи могут быть назначены нескольким сегментам.

Просмотрите сегменты информационных барьеров и управляйте ими следующим образом:

Чтобы просмотреть, изменить или удалить информационные сегменты сайта, используйте активные сайты в Центре администрирования SharePoint.

В столбце Сегменты отображается первый сегмент, связанный с сайтом, и показано, есть ли у сайта другие сегменты. Узнайте, как отобразить или переместить этот столбец

Чтобы просмотреть полный список сегментов, связанных с сайтом, выберите имя сайта, чтобы открыть панель сведений, а затем перейдите на вкладку Параметры .

Чтобы изменить сегменты, связанные с сайтом, выберите Изменить, добавить или удалить сегменты, а затем нажмите кнопку Сохранить.

1. Подключитесь к PowerShell Центра соответствия требованиям безопасности & в качестве глобального администратора.

2. Выполните следующую команду, чтобы получить список сегментов и их идентификаторы GUID.

   Get-OrganizationSegment | ft Name, EXOSegmentID
   

3. Сохраните список сегментов.

   Развернуть таблицу

   Название	EXOSegmentId
   Отдел продаж	a9592060-c856-4301-b60f-bf9a04990d4d
   Справочные материалы	27d20a85-1c1b-4af2-bf45-a41093b5d111
   HR	a17efb47-e3c9-4d85-a188-1cd59c83de32

4. Если это еще не было завершено, скачайте и установите последнюю командная консоль SharePoint Online. Если вы установили предыдущую версию командная консоль SharePoint Online, следуйте инструкциям в разделе Включение информационных барьеров SharePoint и OneDrive в организации.

5. Подключитесь к SharePoint Online в качестве глобального администратора или администратора SharePoint в Microsoft 365. Сведения о том, как это сделать, см. в статье Начало работы с командной консолью SharePoint Online.

6. Выполните следующую команду:

   Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>
   

   Например:

   Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
   

При попытке связать сегмент, несовместимый с существующими сегментами сайта, появится сообщение об ошибке.

Чтобы удалить сегмент с сайта, выполните следующую команду:

Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>

Например:

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

Чтобы просмотреть сегменты сайта, выполните следующую команду, чтобы вернуть идентификаторы GUID всех сегментов, связанных с сайтом.

Get-SPOSite -Identity <site URL> | Select InformationSegment

SharePoint включает в себя службу передачи репрезентативного состояния (REST), которую можно использовать для управления сегментами на сайте. Чтобы получить доступ к ресурсам SharePoint и управлять сегментами сайта с помощью REST, вы создадите HTTP-запрос RESTful с помощью стандарта OData, который соответствует требуемому интерфейсу клиентской объектной модели приложения (API).

Дополнительные сведения о службе REST SharePoint см. в статье Знакомство со службой REST SharePoint.

Чтобы просмотреть режим IB сайта, выполните следующую команду:

Get-SPOSite -Identity <site URL> | Select InformationBarriersMode

Вы хотите разрешить пользователю Sales and Research совместную работу на сайте SharePoint в присутствии пользователя отдела кадров.

Модерация владельца — это режим, применимый к сайту (сайт, подключенный к Teams, сайты, не связанные с группами), который обеспечивает доступ к сайту несовместимым пользователям сегментов. Только владелец сайта может приглашать несовместимых пользователей сегментов на этом же сайте.

Чтобы обновить режим сайта до модерации владельца, выполните следующую команду PowerShell:

Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated

Режим IB с модерированием владельца нельзя задать на сайте с сегментами. Сначала удалите сегменты перед установкой режима IB в качестве модерации владельца. Доступ к сайту, модерированному владельцем, разрешен пользователям с разрешениями на доступ к сайту. Общий доступ к сайту, модерированному владельцем, и его содержимому разрешен только владельцем сайта в отношении политики IB.

События аудита доступны на портале Microsoft Purview , чтобы помочь вам отслеживать действия информационных барьеров. События аудита регистрируются для следующих действий:

• Включенные информационные барьеры для SharePoint и OneDrive
• Примененный сегмент к сайту
• Измененный сегмент сайта
• Удаленный сегмент сайта
• Режим примененных информационных барьеров к сайту
• Изменен режим информационных барьеров сайта
• Отключенные информационные барьеры для SharePoint и OneDrive

Дополнительные сведения об аудите сегментов SharePoint в Office 365 см. в разделе Поиск в журнале аудита на портале Microsoft Purview.

Когда сегментированные пользователи создают сайт SharePoint, он связан с сегментом пользователя, а режим информационных барьеров сайта автоматически устанавливается как Явный.

Кроме того, владельцы сайтов могут добавлять дополнительные сегменты на сайт SharePoint, у которого уже есть сегменты с режимом явного сайта. Владельцы сайтов не могут удалять добавленные сегменты с сайтов. При необходимости администраторам SharePoint потребуется удалить добавленные сегменты в вашей организации.

Когда несегментный пользователь создает сайт SharePoint, он не связан с каким-либо сегментом, а режим информационных барьеров сайта автоматически устанавливается на "Открыть".

Когда администратор SharePoint создает сайт SharePoint из Центра администрирования SharePoint, он не связан ни с каким сегментом, а для режима IB сайта задано значение Открыть.

Чтобы помочь владельцам сайтов добавить сегмент на сайт, поделитесь статьей Связывание сегментов информации с сайтами SharePoint с владельцами сайтов SharePoint.

При создании команды в Microsoft Teams сайт SharePoint автоматически создается для файлов команды. Чтобы защитить сайты групп Майкрософт с помощью управления информационными барьерами, можно включить информационные барьеры в SharePoint для клиента.

В течение 24 часов режим информационных барьеров сайта автоматически устанавливается как неявный , а сегменты, связанные с членами команды, связаны с сайтом.

Сайты Microsoft Teams с режимом информационных барьеров в качестве неявного имеют доступ к сайтам и совместное использование на основе членства в группах Microsoft 365.

Например, пользователи имеют доступ к сайту Microsoft Teams, если они являются членами группы Microsoft 365, подключенной к сайту. Группа Microsoft 365, подключенная к команде, соответствует требованиям IB.

• Сайт и его содержимое можно предоставить пользователю, сегмент которого соответствует сегменту сайта.
• Пользователь может получить доступ к сайту и его содержимому, если он имеет тот же сегмент, что и сайт, и имеет разрешения на доступ к сайту.

Чтобы включить управление доступом и общим доступом на основе членства в группах Microsoft 365 для всех сайтов в неявном режиме в организации, выполните следующую команду от имени администратора SharePoint:

Set-SPOTenant -IBImplicitGroupBased $true

Если в вашей организации включены информационные барьеры SharePoint, любой новый сайт частного канала автоматически наследует режим IB своей родительской команды Microsoft Team в течение 24 часов. Режим для частного канала назначается следующим образом:

Доступ к сайту частного канала и общий доступ регулируется режимом IB:

• Сайт частного канала с режимом открытых информационных барьеров

  • Доступ разрешен всем, у кого есть разрешения на доступ к сайту.
  • Ссылки для общего доступа разрешены в рамках существующей политики общего доступа сайта.
  • Люди средстве выбора позволяет обнаруживать пользователя по политике IB участника.

• Сайт частного канала с режимом неявных информационных барьеров

  • Доступ разрешен пользователю, который в настоящее время является участником частного канала.
  • Общий доступ разрешен с помощью Люди с существующим каналом доступа

Для сайтов частных каналов, уже настроенных в вашей организации, режим информационных барьеров будет установлен как Открытый. Чтобы настроить существующие сайты частного канала в неявном режиме, выполните следующий командлет в модуле SharePoint PowerShell:

Set-Sposite -Identity <site URL> -InformationBarriersMode Implicit

Подробнее об управлении сайтах команд, подключенных к Microsoft Teams.

Пользователи увидят результаты поиска из:

• Сегменты, связанные с сайтами: когда сегмент сайта соответствует сегменту пользователя и пользователь имеет разрешение на доступ к сайту. Например, сайт с явным режимом.
• Несементированные сайты: если у пользователя есть доступ к содержимому или сайту. Например, сайты в режиме Open, Owner Moderated или Неявный режим. Когда пользователь выбирает результат поиска, чтобы открыть содержимое на сайте, ему будет отказано в доступе, если он не соответствует политике IB сайта.

Если владелец сайта SharePoint или сегмент участника сайта изменяется, он по-прежнему будет иметь доступ к сайту или содержимому в режиме IB сайта:

• Открытый режим. Пользователь может получить доступ к сайту, если у него есть существующие разрешения на доступ к сайту.
• Владелец Модерирован: пользователь может получить доступ к сайту, если у него есть существующие разрешения на доступ к сайту.
• Неявный режим. Если пользователь является членом группы Microsoft 365, он по-прежнему будет иметь доступ к сайту.
• Явный режим. Если новый сегмент пользователя соответствует сегменту сайта и пользователь имеет разрешения на доступ к сайту, он по-прежнему будет иметь доступ к сайту.

Если администратор соответствия требованиям изменяет существующую политику IB, это изменение может повлиять на совместимость сегментов, связанных с сайтом (в явном или неявном режиме). Например, сегменты, которые когда-то были совместимы, могут быть несовместимы.

С отчетом о соответствии политике информационных барьеров администратор SharePoint сможет просматривать список сайтов, сегменты которых больше не совместимы. Дополнительные сведения см. в статье Создание отчета о соответствии политик информационных барьеров в PowerShell.

Чтобы управлять сайтами, которые не соответствуют требованиям, выполните приведенные далее действия.

• В явном режиме администратор SharePoint должен изменить связанные сегменты, чтобы обеспечить их соответствие требованиям IB.
• В неявном режиме администратор SharePoint не может управлять сегментами напрямую. Мы рекомендуем администратору Teams управлять членством в команде, чтобы привести список участников и сегменты в Teams в соответствие требованиям IB.

Если ваша организация хочет временно приостановить работу информационных барьеров в SharePoint, необходимо использовать командная консоль SharePoint Online и командлет Set-Spotenant.

Чтобы приостановить информационные барьеры, выполните следующую команду:

Set-SPOTenant -InformationBarriersSuspension $true 

IB поддерживает возможность согласия, доступную в модуле SharePoint PowerShell , для сайтов в режиме открытия для общего доступа к группам безопасности с поддержкой почты для разрешений сайта, общего доступа и целевой аудитории. Это поддерживается только на сайтах в режиме открытия . Администраторы SharePoint могут включить эту поддержку в вашей организации, и мы рекомендуем убедиться, что членство в группе безопасности соответствует IB.

Прежде чем включить поддержку групп, убедитесь, что выполнены следующие предварительные требования:

• В вашей организации есть только политики блокировки IB
• В вашей организации включена поддержка SharePoint IB (см . этот раздел этой статьи).

Чтобы настроить поддержку групп безопасности с поддержкой почты на сайтах в открытом режиме, выполните следующую команду:

Set-SPOTenant -ShowPeoplePickerGroupSuggestionsForIB $true

• Информационные барьеры в Microsoft Teams
• Информационные барьеры в OneDrive