Verwenden von Informationsbarrieren mit SharePoint
Microsoft Purview-Informationsbarrieren sind Richtlinien in Microsoft 365, die ein Complianceadministrator konfigurieren kann, um zu verhindern, dass Benutzer miteinander kommunizieren und zusammenarbeiten. Diese Lösung ist z.B. nützlich, wenn in einer Abteilung Informationen bearbeitet werden, die mit bestimmten anderen Abteilungen nicht geteilt werden sollten, oder wenn eine Abteilung isoliert oder daran gehindert werden muss, mit jeglichen Benutzern außerhalb der Abteilung zusammenzuarbeiten. Informationsbarrieren werden häufig in stark regulierten Branchen und in Organisationen eingesetzt, für die Complianceanforderungen gelten (z. B. im Bereich Finanzen, Recht und Behörden).
Für SharePoint können Informationsbarrieren die folgenden Arten von nicht autorisierter Zusammenarbeit bestimmen und verhindern:
- Hinzufügen eines Benutzers zu einer Website
- Benutzerzugriff auf eine Website oder einen Websiteinhalt
- Freigeben von Website- oder Websiteinhalten für andere Benutzer
Informationsbarrierenmodi und SharePoint-Websites
Informationsbarrierenmodi helfen dabei, den Zugriff, die Freigabe und die Mitgliedschaft einer Website basierend auf dem IB-Modus und den mit der Website verknüpften Segmenten zu stärken.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Wenn Sie Informationsbarrieren mit SharePoint verwenden, werden die folgenden IB-Modi unterstützt:
Mode | Beschreibung | Beispiele |
---|---|---|
Open | Wenn eine SharePoint-Website keine Segmente enthält, wird der IB-Modus der Website automatisch auf Öffnen festgelegt. Ausführliche Informationen zum Verwalten von Segmenten mit der Konfiguration des Offenen Modus finden Sie in diesem Abschnitt. | Eine Teamwebsite, die für ein Picknick-Ereignis für Ihre organization erstellt wurde. |
Besitzer moderiert | Wenn eine SharePoint-Website für die Zusammenarbeit zwischen inkompatiblen Segmenten erstellt wird, die vom Websitebesitzer moderiert werden, sollte der IB-Modus der Website auf Besitzer moderiert festgelegt werden. Weitere Informationen zur Verwaltung der Website "Besitzermoderiert" finden Sie in diesem Abschnitt. | Eine Website wird für die Zusammenarbeit zwischen VP of Sales and Research in Anwesenheit von VP of HR (Websitebesitzer) erstellt. |
Implizit | Wenn eine Website von Microsoft Teams bereitgestellt wird, wird der IB-Modus der Website standardmäßig auf Implizit festgelegt. Ein SharePoint-Administrator oder globaler Administrator kann Segmente mit der Konfiguration im impliziten Modus nicht verwalten. | Es wird ein Team erstellt, damit alle Vertriebssegmentbenutzer miteinander zusammenarbeiten können. |
Explicit | Wenn ein Segment einer SharePoint-Website entweder über die Erstellungserfahrung von Endbenutzern oder durch einen SharePoint-Administrator hinzugefügt wird, der einer Website Segment hinzufügt, wird der IB-Modus der Website auf Explicit festgelegt. Ausführliche Informationen zum Verwalten von Segmenten mit der Expliziten Moduskonfiguration finden Sie in diesem Abschnitt. | Für Benutzer des Forschungssegments wird eine Forschungswebsite erstellt. |
Freigeben von Websites für IB-Modi
Die Freigabe von Websites für Benutzer basiert auf dem IB-Modus der Website.
Öffnen
Wenn eine Website keine Segmente aufweist und der Informationsbarrieremodus der Website auf Öffnen festgelegt ist:
- Die Website und ihre Inhalte können basierend auf der Richtlinie zur Informationsbarriere, die auf den Benutzer angewendet wird, freigegeben werden. Wenn z. B. ein Benutzer in der Personalabteilung mit Benutzern in Research kommunizieren darf, kann er die Website für diese Benutzer freigeben.
Tipp
Wenn Sie die Freigabe von Websites im offenen Modus mit E-Mail-aktivierten Sicherheitsgruppen zulassen möchten, lesen Sie den Abschnitt Zulassen der Freigabe von Websites im offenen Modus mit E-Mail-aktivierten Sicherheitsgruppen in diesem Artikel.
Besitzer moderiert
Wenn eine Website über Informationsbarrieren verfügt, wird der Modus "Besitzer moderiert" festgelegt:
- Die Option zum Freigeben für jeden mit dem Link ist deaktiviert.
- Die Option zum Teilen mit unternehmensweitem Link ist deaktiviert.
- (Für mit Gruppen verbundene Websites) Die Website und deren Inhalt können für vorhandene Mitglieder freigegeben werden.
- (Für nicht gruppengebundene Websites) Die Website und ihr Inhalt können nur vom Websitebesitzer gemäß seiner IB-Richtlinie freigegeben werden.
Implizit
Wenn der Informationsbarrieremodus einer Website auf Implizit festgelegt ist:
- Die Option zum Freigeben für jeden mit dem Link ist deaktiviert.
- Die Option zum Teilen mit unternehmensweitem Link ist deaktiviert.
- Die Website und deren Inhalt können über einen Freigabelink für vorhandene Mitglieder freigegeben werden.
- Neue Benutzer können der Website nicht direkt hinzugefügt werden. Der Teambesitzer sollte Benutzer mithilfe von Microsoft Teams zur Gruppe des Teams hinzufügen.
Hinweis
Wenn Sie Informationsbarrieren für SharePoint in Ihrem organization vor dem 15. März 2022 aktiviert haben, lesen Sie den Abschnitt Aktivieren von SharePoint- und OneDrive-Informationsbarrieren in diesem Artikel.
Explicit
Wenn eine Website Segmenten zugeordnet ist und der Informationsbarrieremodus der Website auf Explizit festgelegt ist:
- Die Option zum Freigeben für jeden mit dem Link ist deaktiviert.
- Die Option zum Teilen mit unternehmensweitem Link ist deaktiviert.
- Die Website und deren Inhalt können nur für Benutzer freigegeben werden, deren Segment mit dem der Website übereinstimmt. Wenn z. B. eine Website dem Hr-Segment zugeordnet ist, kann die Website nur für HR-Benutzer freigegeben werden (obwohl hr sowohl mit den Segmenten "Vertrieb" als auch "Forschung") kompatibel ist.
- Neue Benutzer können nur dann als Websitemitglieder hinzugefügt werden, wenn ihr Segment mit dem Segment der Website übereinstimmt.
Zugriffssteuerung für IB-Modi
Die IB-Richtlinie wird beim Öffnen der SharePoint-Website oder des Inhalts auf der SharePoint-Website erzwungen. Dies basiert auf dem IB-Modus der Website.
Open-Modus
Damit ein Benutzer auf eine SharePoint-Website ohne Segment zugreifen kann und der Informationsbarrieremodus der Website auf Öffnen festgelegt ist:
- Der Benutzer verfügt über Websitezugriffsberechtigungen.
Moderieren des Besitzers
Damit ein Benutzer auf eine SharePoint-Website mit dem Informationsbarrieremodus der Website zugreifen kann, ist auf Besitzer moderiert festgelegt:
- (Für nicht gruppengebundene Websites) Der Benutzer verfügt über Websitezugriffsberechtigungen.
- (Für mit Gruppen verbundene Websites) Der Benutzer muss Mitglied der Microsoft 365-Gruppe sein, die mit der Website verbunden ist.
Impliziter Modus
Damit ein Benutzer auf SharePoint-Websites zugreifen kann, deren Informationsbarrieremodus auf Implizit festgelegt ist:
- Der Benutzer muss Mitglied der Microsoft 365-Gruppe sein, die mit der Website verbunden ist.
- Ein Benutzer, der kein Mitglied der Microsoft 365-Gruppe ist, die mit der Website verbunden ist, hat keinen Zugriff auf die Website.
- Die Einhaltung von Informationsbarrieren Assistent stellt sicher, dass die Gruppenmitgliedschaft IB-konform ist.
Hinweis
Wenn Sie Informationsbarrieren für SharePoint in Ihrem organization vor dem 15. März 2022 aktiviert haben, lesen Sie den Abschnitt Aktivieren von SharePoint- und OneDrive-Informationsbarrieren in diesem Artikel.
Expliziter Modus
Für den Zugriff eines Benutzers auf SharePoint-Websites mit Segmenten und dem Informationsbarrieremodus der Website ist Explizit:
Das Segment des Benutzers muss mit einem Segment übereinstimmen, das der Website zugeordnet ist.
AND
Der Benutzer muss über Zugriffsberechtigungen für die Website verfügen.
Benutzer ohne Segmentierung können nicht auf eine Website zugreifen, die Segmenten zugeordnet ist. Es wird eine Fehlermeldung angezeigt.
Zulassen, dass Apps, die im reinen App-Modus ausgeführt werden, auf IB-Websites zugreifen
Viele Organisationen verwenden Anwendungen, die in einem reinen App-Kontext in ihren organization ausgeführt werden. Damit diese Apps, die nur im App-Modus ausgeführt werden, auf IB-geschützte Websites zugreifen können, können SharePoint-Administratoren die Aktivierungsfunktion aktivieren.
Wichtig
Richtlinien für Informationsbarrieren können sich auf die Anwendungen auswirken, die im Reinen App-Modus auf Websites zugreifen. Es wird empfohlen, die Richtlinie zu aktivieren und dann die Benutzeroberfläche für die apps zu testen, die in Ihrem organization verwendet werden.
Führen Sie den folgenden Befehl aus, um Anwendungen, die im reinen App-Modus ausgeführt werden, den Zugriff auf IB-Websites zu ermöglichen:
Set-SPOTenant -AppBypassInformationBarriers $true
Beispielszenario
Das folgende Beispiel veranschaulicht drei Segmente in einem organization: PERSONAL, Vertrieb und Forschung. Es wurde eine Richtlinie für Informationsbarrieren definiert, die die Kommunikation und Zusammenarbeit zwischen den Segmenten "Vertrieb" und "Forschung" verhindert. Diese Segmente sind inkompatibel.
Bei SharePoint-Informationsbarrieren kann ein SharePoint-Administrator oder globaler Administrator einer Website Segmente zuordnen, um zu verhindern, dass die Website für Benutzer außerhalb der Segmente freigegeben wird oder darauf zugreift. Einer Website können bis zu 100 kompatible Segmente zugeordnet werden. Die Segmente werden auf Websiteebene zugeordnet (früher als Websitesammlungsebene bezeichnet). Die microsoft 365-Gruppe, die mit der Website verbunden ist, ist auch dem Segment der Website zugeordnet.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Im vorherigen Beispiel ist das Hr-Segment sowohl mit Sales als auch mit Research kompatibel. Da die Segmente Sales und Research jedoch inkompatibel sind, können sie nicht demselben Standort zugeordnet werden.
Voraussetzungen
- Stellen Sie sicher, dass Sie die Lizenzierungsanforderungen für Informationsbarrieren erfüllen.
- Erstellen Sie Richtlinien für Informationsbarrieren , die die Kommunikation zwischen den Segmenten zulassen oder blockieren, und legen Sie sie dann auf aktiv fest. Erstellen Sie Segmente, und definieren Sie die Benutzer in den einzelnen Segmenten.
- Nachdem Sie Ihre Richtlinien für Informationsbarrieren konfiguriert und aktiviert haben, warten Sie 24 Stunden, bis die Änderungen in Ihrem organization weitergegeben werden.
- Führen Sie die Schritte in den folgenden Abschnitten aus, um SharePoint- und OneDrive-Informationsbarrieren in Ihrer organization zu aktivieren und zu verwalten.
Aktivieren von SharePoint- und OneDrive-Informationsbarrieren in Ihrem organization
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
SharePoint-Administratoren oder globale Administratoren können Informationsbarrieren in SharePoint und OneDrive in Ihrem organization aktivieren. Führen Sie die folgenden Schritte aus, um Informationsbarrieren für Ihre organization zu aktivieren:
Laden Sie die neueste Version von SharePoint Online-Verwaltungsshell herunter, und installieren Sie sie.
Stellen Sie eine Verbindung mit SharePoint Online als globaler Administrator oder SharePoint-Administrator in Microsoft 365 her. Eine Anleitung dazu finden Sie unter Erste Schritte mit der Microsoft Office SharePoint Online-Verwaltungsshell.
Führen Sie den folgenden Befehl aus, um Informationsbarrieren in SharePoint und OneDrive zu aktivieren:
Set-SPOTenant -InformationBarriersSuspension $false
Nachdem Sie Informationsbarrieren für SharePoint und OneDrive in Ihrem organization aktiviert haben, warten Sie etwa eine Stunde, bis die Änderungen wirksam werden.
Hinweis
Wenn Sie in Ihrem organization vor dem 15. März 2022 Informationsbarrieren für SharePoint aktiviert haben, basieren die Standardzugriffs- und Freigabesteuerung für den impliziten Modus für mit Microsoft Teams verbundene Websites auf den Segmenten, die der Website zugeordnet sind.
Führen Sie den folgenden Befehl aus, um die zugriffs- und freigabebasierte Zugriffs- und Freigabesteuerung auf Basis von Microsoft 365 für alle mit Teams verbundenen Websites im impliziten Modus in Ihrem Mandanten zu aktivieren:
Set-SPOTenant -IBImplicitGroupBased $true
Wenn Sie eine frühere Version des SharePoint Online-Verwaltungsshell installiert haben, führen Sie die folgenden Schritte aus:
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Wechseln Sie zu Programme hinzufügen oder entfernen, und deinstallieren Sie SharePoint Online-Verwaltungsshell.
Navigieren Sie zum Microsoft Download Center für die SharePoint Online-Verwaltungsshell), wählen Sie Ihre Sprache aus, und wählen Sie dann Herunterladen aus.
Möglicherweise werden Sie aufgefordert, zwischen dem Herunterladen einer x64- und x86-.msi-Datei zu wählen. Laden Sie die x64-Datei herunter, wenn Sie die 64-Bit-Version von Windows ausführen, oder die x86-Datei, wenn Sie die 32-Bit-Version von Windows ausführen. Wenn Sie nicht wissen, welche Version Auf Ihrem Computer ausgeführt wird, lesen Sie Welche Version des Windows-Betriebssystems verwende ich?.
Nachdem der Download abgeschlossen ist, führen Sie die Installationsdatei aus, und führen Sie die Konfigurationsschritte im Setupworkflow aus.
Stellen Sie eine Verbindung mit SharePoint Online als globaler Administrator oder SharePoint-Administrator in Microsoft 365 her. Eine Anleitung dazu finden Sie unter Erste Schritte mit der Microsoft Office SharePoint Online-Verwaltungsshell.
Führen Sie den folgenden Befehl aus, um Informationsbarrieren in SharePoint und OneDrive zu aktivieren:
Set-SPOTenant -InformationBarriersSuspension $false
Nachdem Sie Informationsbarrieren in SharePoint und OneDrive in Ihrem organization konfiguriert haben, warten Sie etwa eine Stunde, bis die Änderungen wirksam werden.
Hinweis
Wenn Sie in Ihrem organization vor dem 15. März 2022 Informationsbarrieren für SharePoint aktiviert haben, basieren die Standardzugriffs- und Freigabesteuerung für den impliziten Modus für mit Microsoft Teams verbundene Websites auf den Segmenten, die der Website zugeordnet sind.
Führen Sie den folgenden Befehl aus, um die gruppenmitgliedschaftsbasierte Zugriffs- und Freigabesteuerung von Microsoft 365 für alle Websites im impliziten Modus in Ihrem organization zu aktivieren:
Set-SPOTenant -IBImplicitGroupBased $true
Hinweis
Wenn Sie über Microsoft 365 Multi-Geo verfügen, müssen Sie diesen Befehl für jeden Ihrer geografischen Standorte ausführen.
Anzeigen und Verwalten von Segmenten als Administrator
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
SharePoint-Administratoren oder globale Administratoren können Segmente auf einer SharePoint-Website anzeigen und verwalten. Ihre organization kann bis zu 5.000 Segmente enthalten, und Benutzer können mehreren Segmenten zugewiesen werden.
Wichtig
Unterstützung für 5.000 Segmente und das Zuweisen von Benutzern zu mehreren Segmenten ist nur verfügbar, wenn sich Ihre organization nicht im Legacymodus befindet. Das Zuweisen von Benutzern zu mehreren Segmenten erfordert zusätzliche Aktionen zum Ändern des Informationsbarrieremodus für Ihre organization. Weitere Informationen finden Sie unter Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren).
Für Organisationen im Legacymodus wird maximal 250 Segmente unterstützt, und Benutzer können nur einem Segment zugewiesen werden. Organisationen im Legacymodus können in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.
Anzeigen und Verwalten von Segmenten von Informationsbarrieren wie folgt:
1. Anzeigen und Verwalten von Informationssegmenten im SharePoint Admin Center
Verwenden Sie Aktive Websites im SharePoint Admin Center, um Informationssegmente für eine Website anzuzeigen, zu bearbeiten oder zu entfernen.
In der Spalte Segmente wird das erste Segment aufgelistet, das der Website zugeordnet ist, und zeigt an, ob der Website weitere Segmente zugeordnet sind. Erfahren Sie, wie Sie diese Spalte anzeigen oder verschieben.
Um die vollständige Liste der Segmente anzuzeigen, die einer Website zugeordnet sind, wählen Sie den Websitenamen aus, um den Detailbereich zu öffnen, und wählen Sie dann die Registerkarte Einstellungen aus.
Um die der Website zugeordneten Segmente zu bearbeiten, wählen Sie Bearbeiten aus, fügen oder entfernen Segmente und dann Speichern aus.
2. Verwenden von SharePoint PowerShell zum Anzeigen und Verwalten von Informationssegmenten auf einer Website
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Stellen Sie als globaler Administrator eine Verbindung mit security & Compliance Center PowerShell her.
Führen Sie den folgenden Befehl aus, um die Liste der Segmente und deren GUIDs abzurufen.
Get-OrganizationSegment | ft Name, EXOSegmentID
Speichern Sie die Liste der Segmente.
Name EXOSegmentId Vertrieb a9592060-c856-4301-b60f-bf9a04990d4d Forschung 27d20a85-1c1b-4af2-bf45-a41093b5d111 Personalwesen a17efb47-e3c9-4d85-a188-1cd59c83de32 Falls noch nicht abgeschlossen, laden Sie die neueste SharePoint Online-Verwaltungsshell herunter, und installieren Sie sie. Wenn Sie eine frühere Version des SharePoint Online-Verwaltungsshell installiert haben, befolgen Sie die Anweisungen im Abschnitt Aktivieren von SharePoint- und OneDrive-Informationsbarrieren in Ihrem organization in diesem Artikel.
Stellen Sie eine Verbindung mit SharePoint Online als globaler Administrator oder SharePoint-Administrator in Microsoft 365 her. Eine Anleitung dazu finden Sie unter Erste Schritte mit der Microsoft Office SharePoint Online-Verwaltungsshell.
Führen Sie den folgenden Befehl aus:
Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>
Zum Beispiel:
Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
Wenn Sie versuchen, ein Segment zuzuordnen, das mit den vorhandenen Segmenten der Website nicht kompatibel ist, wird eine Fehlermeldung angezeigt.
Hinweis
Wenn Sie einem Standort ein Segment hinzufügen, wird der IB-Modus der Website automatisch als Explicit aktualisiert.
Führen Sie den folgenden Befehl aus, um segment von einer Website zu entfernen:
Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>
Beispiel:
Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
Hinweis
Wenn alle Segmente von einer Website entfernt werden, wird der IB-Modus der Website automatisch auf Öffnen aktualisiert.
Führen Sie zum Anzeigen der Segmente einer Website den folgenden Befehl aus, um die GUIDs aller Segmente zurückzugeben, die der Website zugeordnet sind.
Get-SPOSite -Identity <site URL> | Select InformationSegment
3. Verwenden der SharePoint-REST-API zum Anzeigen und Verwalten von Informationssegmenten auf einer Website
SharePoint enthält einen REST-Dienst (Representational State Transfer), mit dem Sie Segmente auf einer Website verwalten können. Um auf SharePoint-Ressourcen zuzugreifen und Websitesegmente mithilfe von REST zu verwalten, erstellen Sie eine RESTful-HTTP-Anforderung mit dem OData-Standard, der der gewünschten Clientobjektmodell-API (Application Programming Interface) entspricht.
Weitere Informationen zum SharePoint-REST-Dienst finden Sie unter Kennenlernen des SharePoint-REST-Diensts.
Anzeigen und Verwalten von IB-Modi als Administrator mit SharePoint PowerShell
Führen Sie den folgenden Befehl aus, um den IB-Modus einer Website anzuzeigen:
Get-SPOSite -Identity <site URL> | Select InformationBarriersMode
Szenario für den moderierten Modus des Besitzers
Sie möchten es einem Vertriebs- und Forschungsbenutzer ermöglichen, auf einer SharePoint-Website zusammenzuarbeiten, wenn ein Hr-Benutzer vorhanden ist.
"Besitzer moderiert" ist ein Modus, der auf die Website (mit Teams verbundene Website, nicht gruppengebundene Websites) anwendbar ist, der inkompatible Segmentbenutzern den Zugriff auf die Website ermöglicht. Nur der Websitebesitzer hat die Möglichkeit, inkompatible Segmentbenutzer auf derselben Website einzuladen.
Führen Sie den folgenden PowerShell-Befehl aus, um den Modus einer Website auf "Besitzer moderiert" zu aktualisieren:
Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated
Der Moderierte IB-Modus des Besitzers kann auf einer Website mit Segmenten nicht festgelegt werden. Entfernen Sie zuerst die Segmente, bevor Sie den IB-Modus als Besitzer moderiert festlegen. Der Zugriff auf eine vom Besitzer moderierte Website ist Benutzern mit Websitezugriffsberechtigungen gestattet. Die Freigabe einer vom Besitzer moderierten Website und ihrer Inhalte ist nur vom Websitebesitzer gemäß seiner IB-Richtlinie zulässig.
Überwachung
Überwachungsereignisse sind im Microsoft Purview-Portal und im Microsoft Purview-Complianceportal verfügbar, um Sie bei der Überwachung von Informationsbarriereaktivitäten zu unterstützen. Überwachungsereignisse werden für die folgenden Aktivitäten protokolliert:
- Aktivierte Informationsbarrieren für SharePoint und OneDrive
- Auf Website angewendetes Segment
- Geändertes Segment der Website
- Entferntes Segment der Website
- Angewendeter Informationsbarrierenmodus auf die Website
- Geänderter Informationsbarrieremodus der Website
- Deaktivierte Informationsbarrieren für SharePoint und OneDrive
Weitere Informationen zur SharePoint-Segmentüberwachung in Office 365 finden Sie unter Durchsuchen des Überwachungsprotokolls im Complianceportal.
Websiteerstellung und -verwaltung durch Websitebesitzer
Wenn ein segmentierte Benutzer eine SharePoint-Website erstellt, wird die Website dem Segment des Benutzers zugeordnet, und der Informationsbarrieremodus der Website wird automatisch auf Explizit festgelegt.
Darüber hinaus haben die Websitebesitzer die Möglichkeit, einer SharePoint-Website, auf der bereits Segmente mit dem Modus der Website als Explizit festgelegt sind, weitere Segmente hinzuzufügen. Websitebesitzer können keine hinzugefügten Segmente von Websites entfernen. SharePoint-Administratoren müssen bei Bedarf hinzugefügte Segmente in Ihrem organization entfernen.
Wenn ein nicht segmentierte Benutzer eine SharePoint-Website erstellt, wird die Website keinem Segment zugeordnet, und der Informationsbarrieremodus der Website wird automatisch auf Öffnen festgelegt.
Wenn ein SharePoint-Administrator eine SharePoint-Website über das SharePoint Admin Center erstellt, wird die Website keinem Segment zugeordnet, und der IB-Modus der Website ist auf Öffnen festgelegt.
Um Websitebesitzern beim Hinzufügen eines Segments zu einer Website zu helfen, teilen Sie den Artikel Zuordnen von Informationssegmenten zu SharePoint-Websites für Ihre SharePoint-Websitebesitzer.
Microsoft Teams-Websites
Wenn ein Team in Microsoft Teams erstellt wird, wird automatisch eine SharePoint-Website für die Dateien des Teams erstellt. Um die Microsoft-Teamwebsites mit Informationsbarrieren zu schützen, können Sie Informationsbarrieren in SharePoint für Ihren Mandanten aktivieren.
Innerhalb von 24 Stunden wird der Informationsbarrieremodus der Website automatisch als Implizit festgelegt, und segmente, die den Mitgliedern des Teams zugeordnet sind, werden der Website zugeordnet.
Microsoft Teams-Websites mit dem Informationsbarrieremodus implizit verfügen über Websitezugriff und -freigabe basierend auf der Microsoft 365-Gruppenmitgliedschaft.
Beispielsweise haben Benutzer Zugriff auf die Microsoft Teams-Website, wenn sie Mitglieder der Microsoft 365-Gruppe sind, die mit der Website verbunden ist. Die Microsoft 365-Gruppe, die mit dem Team verbunden ist, ist IB-konform.
Hinweis
Wenn Sie in Ihrem organization vor dem 15. März 2022 Informationsbarrieren für SharePoint aktiviert haben, basiert der Zugriff und die Freigabe der mit Teams verbundenen Website auf den Segmenten der Website. Zum Beispiel:
- Die Website und deren Inhalt können für Benutzer freigegeben werden, deren Segment mit dem der Website übereinstimmt.
- Auf die Website und ihren Inhalt kann ein Benutzer zugreifen, wenn er über dasselbe Segment wie die Website verfügt und über Websitezugriffsberechtigungen verfügt.
Führen Sie den folgenden Befehl als SharePoint-Administrator aus, um die auf Microsoft 365-Gruppenmitgliedschaft basierende Zugriffs- und Freigabesteuerung für alle Websites im impliziten Modus in Ihrem organization zu aktivieren:
Set-SPOTenant -IBImplicitGroupBased $true
Private Kanäle und Informationsbarrieren
Wenn SharePoint-Informationsbarrieren in Ihrem organization aktiviert sind, erbt jede neue private Kanalwebsite innerhalb von 24 Stunden automatisch den IB-Modus des übergeordneten Microsoft-Teams. Der Modus für einen privaten Kanal wird wie folgt zugewiesen:
IB-Modus des übergeordneten Teams | IB-Modus der Website für private Kanäle |
---|---|
Öffnen | Öffnen |
Implizit oder Vom Besitzer moderiert | Implizit |
Der Zugriff und die Freigabe von Websites mit privatem Kanal unterliegen dem IB-Modus:
Private Kanalwebsite mit dem Modus "Informationsbarrieren öffnen "
- Der Zugriff ist allen Personen gestattet, die über Websitezugriffsberechtigungen verfügen.
- Freigabelinks sind gemäß der vorhandenen Freigaberichtlinie der Website zulässig.
- Personen-Auswahl ermöglicht die Auffindbarkeit des Benutzers gemäß der IB-Richtlinie des Freigebenden.
Private Kanalwebsite mit dem Modus "Implizite Informationsbarrieren"
- Der Zugriff ist einem Benutzer erlaubt, der derzeit Mitglied des privaten Kanals ist.
- Die Freigabe ist mithilfe von Personen mit vorhandenem Zugriffslink zulässig.
Für private Kanalwebsites, die bereits in Ihrem organization konfiguriert sind, ist derEn Informationsbarrieremodus auf Öffnen festgelegt. Um vorhandene Private Channel-Websites im impliziten Modus zu konfigurieren, führen Sie das folgende Cmdlet im SharePoint PowerShell-Modul aus:
Set-Sposite -Identity <site URL> -InformationBarriersMode Implicit
Weitere Informationen zum Verwalten von mit Microsoft Teams verbundenen Teams-Websites.
Suchen
Benutzern werden Suchergebnisse aus folgenden Artikeln angezeigt:
- Zugeordnete Websites segmentieren: Wenn das Segment der Website mit dem Segment des Benutzers übereinstimmt und der Benutzer über websitezugriffsberechtigungen verfügt. Beispielsweise eine Website mit explizitem Modus.
- Nicht segmentierte Websites: Wenn der Benutzer bereits Zugriff auf den Inhalt oder die Website hat. Beispielsweise Websites mit dem Modus "Öffnen", "Besitzermoderiert" oder "Implizit ". Wenn der Benutzer das Suchergebnis auswählt, um den Inhalt auf der Website zu öffnen, wird dem Benutzer der Zugriff verweigert, wenn er nicht mit der IB-Richtlinie der Website übereinstimmt.
Auswirkungen von Änderungen an Benutzersegmenten
Wenn sich das Segment eines SharePoint-Websitebesitzers oder Eines Websitemitglieds ändert, hat er weiterhin Zugriff auf die Website oder den Inhalt gemäß dem IB-Modus der Website:
- Modus "Öffnen": Der Benutzer kann auf die Website zugreifen, wenn er über berechtigungen für den Websitezugriff verfügt.
- Vom Besitzer moderiert: Der Benutzer kann auf die Website zugreifen, wenn er über vorhandene Websitezugriffsberechtigungen verfügt.
- Impliziter Modus: Wenn der Benutzer Mitglied der Microsoft 365-Gruppe ist, hat er weiterhin Zugriff auf die Website.
- Expliziter Modus: Wenn das neue Segment des Benutzers mit dem Segment der Website übereinstimmt und der Benutzer über Websitezugriffsberechtigungen verfügt, hat er weiterhin Zugriff auf die Website.
Auswirkungen von Änderungen an bestehenden Richtlinien für Informationsbarrieren
Wenn ein Complianceadministrator eine vorhandene IB-Richtlinie ändert, kann sich die Änderung auf die Kompatibilität der Segmente auswirken, die einer Website zugeordnet sind (im expliziten oder impliziten Modus). Segmente, die zuvor kompatibel waren, sind dann evtl. nicht mehr kompatibel.
Mit dem Bericht zur Richtlinienkonformität von Informationsbarrieren kann der SharePoint-Administrator die Liste der Websites anzeigen, auf denen Segmente nicht mehr kompatibel sind. Weitere Informationen finden Sie unter Erstellen eines Berichts zur Richtlinienkonformität von Informationsbarrieren in PowerShell.
So verwalten Sie Websites mit nicht konformer Konformität:
- Im expliziten Modus muss ein SharePoint-Administrator die zugeordneten Segmente ändern, um sie zur IB-Konformität zu bringen.
- Im impliziten Modus kann ein SharePoint-Administrator Segmente nicht direkt verwalten. Wir empfehlen dem Teams-Administrator, die Mitgliedschaft des Teams zu verwalten, um die Teams-Mitgliedschaftsliste und -Segmente in ib compliance zu bringen.
Anhalten von SharePoint- und OneDrive-Informationsbarrieren in Ihrem organization
Wenn Ihre organization Informationsbarrieren in SharePoint vorübergehend anhalten möchten, müssen Sie SharePoint Online-Verwaltungsshell und das Cmdlet Set-Spotenant verwenden.
Führen Sie den folgenden Befehl aus, um Informationsbarrieren auszusetzen:
Set-SPOTenant -InformationBarriersSuspension $true
Hinweis
Wenn Sie über Microsoft 365 Multi-Geo verfügen, müssen Sie diesen Befehl für jeden Ihrer geografischen Standorte ausführen.
Zulassen der Freigabe von Websites im offenen Modus mit E-Mail-aktivierten Sicherheitsgruppen
IB unterstützt eine opt-in-Funktion, die im SharePoint PowerShell-Modul für Websites im Geöffneten Modus verfügbar ist, um für E-Mail-aktivierte Sicherheitsgruppen für Websiteberechtigungen, Freigabe und Zielgruppenadressierung freigegeben zu werden. Dies wird nur in Websites im offenen Modus unterstützt. SharePoint-Administratoren können diese Unterstützung in Ihrem organization aktivieren, und es wird empfohlen, sicherzustellen, dass die Sicherheitsgruppenmitgliedschaft IB-konform ist.
Vergewissern Sie sich vor dem Aktivieren der Gruppenunterstützung, dass die folgenden Voraussetzungen erfüllt sind:
- Ihr organization verfügt nur über IB-Blockrichtlinien.
- Ihre organization ist für SharePoint IB aktiviert (siehe diesen Abschnitt in diesem Artikel).
Führen Sie den folgenden Befehl aus, um die Unterstützung für E-Mail-aktivierte Sicherheitsgruppen in Websites im offenen Modus zu konfigurieren:
Set-SPOTenant -ShowPeoplePickerGroupSuggestionsForIB $true