Поделиться через


Использование информационных барьеров в OneDrive

Информационные барьеры Microsoft Purview — это политики в Microsoft 365, которые администратор соответствия требованиям может настроить, чтобы запретить пользователям общаться и сотрудничать друг с другом. Это решение полезно, если, например, одно из подразделений обрабатывает сведения, которыми не следует делиться с определенными другими подразделениями, или что-то из них необходимо предотвратить или изолировать от совместной работы со всеми пользователями за пределами этого подразделения. Информационные барьеры часто используются в строго регулируемых отраслях и организациях с требованиями к соответствию, таких как финансовые, юридические и государственные.

В OneDrive информационные барьеры могут определять и предотвращать следующие типы несанкционированного взаимодействия:

  • Доступ пользователей к OneDrive или сохраненное содержимое
  • Совместное использование OneDrive или сохраненного содержимого с другими пользователями

Режимы информационных барьеров и OneDrive

Если в SharePoint и OneDrive включены информационные барьеры, сегментированные пользователи OneDrive автоматически защищаются политиками IB. Режимы информационных барьеров помогают повысить доступ, общий доступ к сайту OneDrive и членство в них на основе режима IB и сегментов, связанных с OneDrive.

При использовании информационных барьеров в OneDrive поддерживаются следующие режимы IB:

Режим Описание
Открыть Когда несементированные пользователи подготавливают oneDrive, по умолчанию режим IB сайта устанавливается как Open. Сегменты, связанные с сайтом, отсутствуют.
Владелец модерирован Если OneDrive используется для совместной работы с несовместимыми пользователями в присутствии владельца или модератора сайта, для режима IB OneDrive можно задать режим модерации владельца. Дополнительные сведения о модерированном сайте владельца см. в этом разделе .
Explicit Когда сегментированные пользователи подготавливают OneDrive в течение 24 часов после включения, режим IB сайта по умолчанию устанавливается как Явный . Сегмент пользователя и другие сегменты, совместимые с сегментом пользователя и друг с другом, связываются с OneDrive пользователя.
Mixed Если oneDrive сегментированного пользователя разрешено предоставлять общий доступ к несегментированных пользователям, режим IB сайта можно задать как смешанный. Это режим согласия, который администратор SharePoint может установить в OneDrive сегментированного пользователя.

Примечание.

С 12 июля 2022 г . режим вывода переключился на смешанный режим. Функциональность режима остается неизменной.

Общий доступ к файлам из OneDrive

Открыть

Если в OneDrive нет сегментов и режим IB как Open:

  • Пользователь может предоставлять общий доступ к файлам и папкам на основе политики информационных барьеров, применяемой к пользователю, и параметра общего доступа для OneDrive.

Владелец модерирован

Если на сайте есть режим информационных барьеров, для него задано значение Модерация владельца:

  • Параметр для предоставления общего доступа всем пользователям со ссылкой отключен.
  • Параметр для предоставления общего доступа к ссылке на уровне компании отключен.
  • Сайт и его содержимое можно предоставить существующим участникам.
  • Сайт и его содержимое может предоставлять общий доступ только владельцу OneDrive в отношении политики IB.

Explicit

Если в OneDrive есть сегменты информационных барьеров, а для режима задано значение Явный:

  • Параметр для предоставления общего доступа всем пользователям со ссылкой отключен.
  • Параметр для предоставления общего доступа к ссылке на уровне компании отключен.
  • Доступ к файлам и папкам может предоставляться только пользователям, сегмент которых соответствует сегменту OneDrive.

Mixed

Если в OneDrive есть сегменты информационных барьеров, а для режима задано значение Смешанное:

  • Параметр для предоставления общего доступа всем пользователям со ссылкой отключен.
  • Параметр для предоставления общего доступа к ссылке на уровне компании отключен.
  • Файлы и папки могут предоставляться пользователям, сегмент которых соответствует сегменту OneDrive и несегментированных пользователей в клиенте.

Доступ к общим файлам из OneDrive

режим открытия;

Чтобы пользователь получил доступ к содержимому в OneDrive без связанных сегментов и режиме IB как Open:

  • Файлы должны быть переданы пользователю.

Режим модерации владельца

Для доступа пользователя к сайту SharePoint с режимом информационных барьеров сайта задано значение Owner Moderated:

  • У пользователя есть разрешения на доступ к сайту.

Явный режим

Чтобы пользователь получил доступ к содержимому в OneDrive с сегментами и режимом IB, для которого задано значение Явный:

  1. Сегмент пользователя должен соответствовать сегменту, связанному с OneDrive.

    И

  2. Файлы должны быть переданы пользователю.

Примечание.

По умолчанию пользователи, не являющиеся сегментами, могут получать доступ к общим файлам OneDrive только у других пользователей, не являющихся сегментами, с режимами IB как Открытые. Они не могут получить доступ к общим файлам из OneDrive, к которым применены сегменты, и режим IB является явным.

Смешанный режим

Для сегментированного пользователя для доступа к содержимому в OneDrive с сегментами и режимом IB, заданным как смешанный:

  1. Сегмент пользователя должен соответствовать сегменту, связанному с OneDrive.

    И

  2. Файлы должны быть переданы пользователю.

Для нерегментированного пользователя для доступа к содержимому в OneDrive с сегментами и режимом IB, заданным как смешанный:

  • Пользователь должен иметь разрешения на доступ к сайту.

Пример сценария

В следующем примере показаны три сегмента в организации: отдел кадров, продажи и исследования. Определена политика информационных барьеров, которая блокирует взаимодействие и совместную работу между сегментами продаж и исследований.

Пример сегментов в организации

При использовании информационных барьеров в OneDrive, когда сегмент применяется к пользователю, в течение 24 часов этот сегмент автоматически связывается с OneDrive пользователя. Другие сегменты, совместимые с сегментом пользователя и друг с другом, также будут связаны с OneDrive. OneDrive может содержать до 100 сегментов. Глобальный администратор или администратор SharePoint может управлять этими сегментами с помощью PowerShell, как описано далее в разделе Связывание или удаление дополнительных сегментов в OneDrive пользователя.

В следующей таблице описаны последствия этого примера конфигурации:

Компоненты Пользователи отдела кадров Продажи пользователей Исследование пользователей Пользователи без сегментов
Сегменты, связанные с OneDrive HR Продажи, отдел кадров Исследования, отдел кадров Нет
Режим IB в OneDrive Explicit Explicit Explicit Открыть
Содержимое OneDrive может быть предоставлено с помощью Только отдел кадров Продажи и отдел кадров Исследования и отдел кадров Любой пользователь на основе выбранных параметров общего доступа
Доступ к содержимому OneDrive можно получить с помощью Только отдел кадров Продажи и отдел кадров Исследования и отдел кадров Любой пользователь, которому предоставлен общий доступ к содержимому

Включение информационных барьеров SharePoint и OneDrive в организации

Включение информационных барьеров для SharePoint и OneDrive настраивается в одном действии. Информационные барьеры для служб не могут быть включены отдельно. Сведения о том, как включить информационные барьеры для OneDrive, см. в статье Включение информационных барьеров SharePoint и OneDrive в организации. После включения информационных барьеров для SharePoint и OneDrive перейдите к руководству OneDrive, приведенным в этой статье.

Предварительные условия

  1. Убедитесь, что выполнены требования к лицензированию для информационных барьеров.
  2. Создайте политики информационных барьеров , которые разрешают или блокируют обмен данными между сегментами и активируют политики. Создание сегментов и определение пользователей в каждом из них.
  3. После настройки и активации политик информационных барьеров подождите 24 часа, пока изменения не будут распространены в вашей организации.
  4. Включите информационные барьеры для OneDrive. Включение информационных барьеров для SharePoint и OneDrive настраивается в одном действии, и эти службы нельзя включить отдельно. Сведения о том, как включить информационные барьеры для OneDrive, см. в руководстве и шагах в статье Использование информационных барьеров с SharePoint .
  5. Выполните действия, описанные в следующих разделах, чтобы настроить информационные барьеры для OneDrive в вашей организации и управлять ими.

Использование PowerShell для просмотра сегментов, связанных с OneDrive

Важно!

Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.

Глобальный администратор или администратор SharePoint может просматривать и изменять сегменты, связанные с OneDrive пользователя. В вашей организации может быть до 5000 сегментов, а пользователи могут быть назначены нескольким сегментам.

Важно!

Поддержка 5000 сегментов и назначение пользователей нескольким сегментам доступна только в том случае, если ваша организация не находится в устаревшем режиме. Назначение пользователей нескольким сегментам требует дополнительных действий по изменению режима информационных барьеров для вашей организации. Дополнительные сведения см. в разделе Использование многосегментной поддержки в информационных барьерах ).

Для организаций в устаревшем режиме максимальное число поддерживаемых сегментов составляет 250, а пользователям разрешено назначать только один сегмент. Организации в устаревшем режиме будут иметь право на обновление до последней версии информационных барьеров в будущем. Дополнительные сведения см. в статье Стратегия информационных барьеров.

  1. Подключитесь к PowerShell Центра соответствия требованиям безопасности & в качестве глобального администратора.

  2. Выполните следующую команду, чтобы получить список сегментов и их идентификаторы GUID.

    Get-OrganizationSegment | ft Name, EXOSegmentID
    
  3. Сохраните список сегментов.

    Название EXOSegmentId
    Отдел продаж a9592060-c856-4301-b60f-bf9a04990d4d
    Справочные материалы 27d20a85-1c1b-4af2-bf45-a41093b5d111
    HR a17efb47-e3c9-4d85-a188-1cd59c83de32
  4. Если это еще не было завершено, скачайте и установите последнюю версию командной консоли SharePoint Online. Если вы установили предыдущую версию командной консоли SharePoint Online, следуйте инструкциям в статье Включение информационных барьеров SharePoint и OneDrive в вашей организации .

  5. Подключите SharePoint, используя права глобального администратора или администратора SharePoint в Microsoft 365. Сведения о том, как это сделать, см. в статье Начало работы с командной консолью SharePoint Online.

  6. Выполните следующую команду:

    Get-SPOSite -Identity <site URL> | Select InformationSegment 
    

    Например:

    Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationSegment
    

Управление сегментами в OneDrive пользователя

Предупреждение

Если сегменты, связанные с OneDrive пользователя, не соответствуют сегменту, примененным к пользователю, пользователь не сможет получить доступ к oneDrive. Будьте осторожны, не связывая сегменты с OneDrive пользователя без сегментов.

Примечание.

Все внесенные изменения будут перезаписаны при изменении сегмента пользователя.

Чтобы связать сегмент с OneDrive, выполните следующую команду в командной консоли SharePoint Online.

Важно!

Поддержка 5000 сегментов и назначение пользователей нескольким сегментам доступна только в том случае, если ваша организация не находится в устаревшем режиме. Назначение пользователей нескольким сегментам требует дополнительных действий по изменению режима информационных барьеров для вашей организации. Дополнительные сведения см. в разделе Использование многосегментной поддержки в информационных барьерах ).

Для организаций в устаревшем режиме максимальное число поддерживаемых сегментов составляет 250, а пользователям разрешено назначать только один сегмент. Организации в устаревшем режиме будут иметь право на обновление до последней версии информационных барьеров в будущем. Дополнительные сведения см. в статье Стратегия информационных барьеров.

Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID> 

Например:

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

При добавлении сегментов в OneDrive режим IB сайта автоматически обновляется до явного. При попытке связать сегмент, несовместимый с существующими сегментами в OneDrive, появится ошибка.

Важно!

Поддержка назначения пользователей нескольким сегментам доступна только в том случае, если ваша организация не находится в устаревшем режиме . Чтобы определить, находится ли ваша организация в устаревшем режиме, см. раздел Проверка режима IB для вашей организации).

Пользователям разрешено назначать только один сегмент для организаций в устаревшем режиме . Организации в устаревшем режиме будут иметь право на обновление до последней версии информационных барьеров в будущем. Дополнительные сведения см. в статье Стратегия информационных барьеров.

Чтобы удалить сегмент из OneDrive, выполните следующую команду.

Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>

Например:

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

Если все сегменты сайта OneDrive удалены, режим IB OneDrive автоматически обновляется до Open.

Управление режимом IB в OneDrive пользователя (предварительная версия)

Важно!

Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.

Чтобы просмотреть режим IB сайта OneDrive, выполните следующую команду в командной консоли SharePoint Online от имени администратора Или глобального администратора SharePoint:

Get-SPOSite -Identity <site URL> | Select InformationBarriersMode

Например:

Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode

Администратор SharePoint или глобальный администратор также может управлять режимом IB сайта OneDrive в соответствии с потребностями вашей организации с помощью новых режимов IB:

Пример режима модерации владельца

Разрешите пользователю несовместимого сегмента доступ к OneDrive. Например, вы хотите разрешить доступ к OneDrive для пользователей сегмента "Продажи" и "Исследования" в вашем клиенте.

Модерация владельца — это режим, применимый к сайту OneDrive, который предоставляет пользователям несовместимых сегментов доступ к OneDrive в присутствии модератора или владельца. Только владелец сайта может приглашать несовместимых пользователей сегментов на один и тот же сайт.

Чтобы обновить режим IB сайта OneDrive до уровня Owner Moderated, выполните следующую команду PowerShell:

Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated

Режим IB с модерированием владельца нельзя задать на сайте с сегментами. Удалите сегменты перед установкой режима IB в качестве модерации владельца. Доступ к сайту, модерированному владельцу, разрешен пользователям с разрешениями на доступ к сайту. Общий доступ к модерированному владельцу OneDrive и его содержимому разрешен только владельцем сайта в отношении политики IB.

Пример смешанного режима

Разрешите несегментированных пользователей доступ к OneDrive, связанным с сегментами. Например, вы хотите разрешить доступ к OneDrive для пользователей отдела кадров и незарегистрированных пользователей в клиенте. Смешанный режим, применимый к сайту OneDrive, который позволяет сегментированных и несегментированных пользователей получить доступ к OneDrive.

Чтобы обновить режим IB сайта OneDrive до смешанного, выполните следующую команду PowerShell:

Set-SPOSite -Identity <siteurl> -InformationBarriersMode Mixed

Смешанный режим IB нельзя задать на сайте без сегментов. Добавьте сегменты, прежде чем задать режим IB как смешанный.

Влияние изменений на сегменты пользователей

Если сегмент пользователя изменится, режим сегмента OneDrive и IB будет автоматически обновлен в течение 24 часов, как описано в разделе выше Информационные барьеры OneDrive.

Пример 1. Сегмент пользователя, обновленный с research to Sales, oneDrive пользователя будет выходить следующим образом в течение 24 часов:

  • Сегмент: продажи, отдел кадров
  • Режим IB: явный

Пример 2. Сегмент пользователя обновлен с HR до None. В течение 24 часов в OneDrive пользователя будет выполнено следующее:

  • Сегмент: нет
  • Режим IB: открыть

Последствия изменений политик информационных барьеров

Если администратор соответствия требованиям изменяет существующую политику, это изменение может повлиять на совместимость сегментов, связанных с OneDrive.

Например, сегменты, которые когда-то были совместимы, могут быть несовместимы. Администратор SharePoint должен соответствующим образом изменить сегменты, связанные с затронутым сайтом. Узнайте, как создать отчет о соответствии политике информационных барьеров в PowerShell.

Если политика изменяется после предоставления общего доступа к файлам, ссылки для общего доступа будут работать только в том случае, если к пользователю, пытающимся получить доступ к общим файлам, применен сегмент, соответствующий сегменту, связанному с OneDrive.

Аудит

События аудита доступны на портале Microsoft Purview и на портале соответствия требованиям Microsoft Purview , чтобы помочь вам отслеживать действия информационных барьеров. События аудита регистрируются для следующих действий:

  • Включенные информационные барьеры для SharePoint и OneDrive
  • Примененный сегмент к сайту
  • Измененный сегмент сайта
  • Удаленный сегмент сайта
  • Режим примененных информационных барьеров к сайту
  • Изменен режим информационных барьеров сайта
  • Отключенные информационные барьеры для SharePoint и OneDrive

Дополнительные сведения об аудите сегментов OneDrive в Office 365 см. в статье Поиск в журнале аудита.

Ресурсы