通过 SharePoint 使用信息屏障

Microsoft Purview 信息屏障 是 Microsoft 365 中的策略,合规性管理员可以对其进行配置,以防止用户相互通信和协作。 例如,如果某个部门正在处理不应与其他特定部门共享的信息,或者需要阻止或隔离某个部门与部门外部的所有用户协作,则此解决方案非常有用。 信息屏障通常用于高度管控的行业和具有合规性要求的组织,例如财务、法律和政府。

对于 SharePoint,信息屏障可以确定并阻止以下类型的未经授权的协作:

  • 将用户添加到网站
  • 用户访问网站或网站内容
  • 与其他用户共享网站或网站内容

信息屏障模式和 SharePoint 网站

信息屏障模式 有助于根据站点的 IB 模式和与网站关联的段加强网站的访问、共享和成员身份。

重要

Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限

在 SharePoint 中使用信息屏障时,支持以下 IB 模式:

Mode 说明 示例
打开 当 SharePoint 网站没有段时,网站的 IB 模式将自动设置为 “打开”。 有关使用开放模式配置管理段的详细信息,请参阅此部分 为组织的野餐活动创建的工作组网站。
所有者审查 创建 SharePoint 网站以在网站所有者主持的不兼容段之间进行协作时,网站的 IB 模式应设置为 “所有者审查”。 有关管理所有者审查网站的详细信息,请参阅此部分 创建一个网站,供销售和研究副总裁在人力资源副总裁 (网站所有者) 进行协作。
隐式 当网站由 Microsoft Teams 预配时,网站的 IB 模式默认设置为 “隐式 ”。 SharePoint 管理员或全局管理员无法使用 隐式 模式配置管理段。 将为所有销售细分用户创建一个团队,以便彼此协作。
Explicit 通过最终用户网站创建体验或 SharePoint 管理员向网站添加段添加到 SharePoint 网站时,网站的 IB 模式设置为 显式。 有关使用显式模式配置管理段的详细信息,请参阅此部分 为研究细分用户创建一个研究网站。

IB 模式的共享网站

与用户共享网站基于网站的 IB 模式。

打开

当站点没有段且站点的信息屏障模式设置为 “打开”时:

  • 可以根据应用于用户的信息屏障策略共享网站及其内容。 例如,如果 HR 中的用户被允许与 Research 中的用户通信,则用户可以与这些用户共享网站。

提示

如果要允许使用启用邮件的安全组共享 开放 模式网站,请参阅本文中的 允许共享具有已启用邮件的安全组的开放模式站点 部分。

所有者审查

当站点具有信息屏障模式设置为 “所有者审查”时:

  • 禁用与 任何人共享链接 的选项。
  • 禁用了与 公司范围链接 共享的选项。
  • (对于组连接的站点) 网站及其内容可与现有成员共享。
  • (对于非组连接的站点) 网站及其内容只能由网站所有者根据其 IB 策略共享。

隐式

当站点的信息屏障模式设置为 “隐式”时:

  • 禁用与 任何人共享链接 的选项。
  • 禁用了与 公司范围链接 共享的选项。
  • 网站及其内容可以通过共享链接与现有成员共享。
  • 无法将新用户直接添加到网站。 团队所有者应使用 Microsoft Teams 将用户添加到团队的组中。

注意

如果在 2022 年 3 月 15 日之前已在组织中为 SharePoint 启用了信息屏障,请参阅本文中的 启用 SharePoint 和 OneDrive 信息屏障 部分。

Explicit

当网站与段 (关联时,) 并且站点的信息屏障模式设置为 “显式”:

  • 禁用与 任何人共享链接 的选项。
  • 禁用了与 公司范围链接 共享的选项。
  • 网站及其内容只能与其细分与网站内容匹配的用户共享。 例如,如果网站与 HR 细分市场相关联,则即使 HR 与销售和研究细分) 兼容,也可以仅与 HR 用户共享 (。
  • 仅当新用户段与网站段匹配时,才能将其添加为网站成员。

IB 模式的访问控制

在 SharePoint 网站中打开 SharePoint 网站或内容时,将强制实施 IB 策略。 这基于网站的 IB 模式。

打开模式

对于访问没有段和网站信息屏障模式的 SharePoint 网站的用户,设置为 “打开”:

  • 用户具有站点访问权限。

所有者审查模式

对于使用网站信息屏障模式访问 SharePoint 网站的用户,设置为 “所有者审查”:

  • (对于非组连接的站点) 用户具有站点访问权限。
  • (对于组连接的站点) 用户必须是连接到站点的 Microsoft 365 组的成员。

隐式模式

对于访问信息屏障模式设置为 “隐式”的 SharePoint 网站的用户:

  • 用户必须是连接到站点的 Microsoft 365 组的成员
  • 不是连接到网站的 Microsoft 365 组成员的用户将无法访问该网站
  • 信息屏障合规性助手可确保组成员身份符合 IB。

注意

如果在 2022 年 3 月 15 日之前已在组织中为 SharePoint 启用了信息屏障,请参阅本文中的 启用 SharePoint 和 OneDrive 信息屏障 部分。

显式模式

对于访问具有段和网站信息屏障模式的 SharePoint 网站的用户,为 显式

  • 用户的细分必须与与网站关联的段匹配。

    AND

  • 用户必须具有对站点的访问权限。

非细分用户无法访问与段关联的网站。 他们将看到错误消息。

允许在仅应用模式下运行的应用访问 IB 站点

许多组织在其组织中使用在仅限应用上下文中运行的应用程序。 若要允许在仅应用模式下运行的这些应用访问 IB 保护的网站,SharePoint 管理员可以启用选择加入功能。

重要

信息屏障策略可能会影响以应用模式访问站点的应用程序。 建议启用该策略,然后测试组织中使用的应用的体验。

若要使在仅应用模式下运行的应用程序能够访问 IB 站点,请运行以下命令:

Set-SPOTenant -AppBypassInformationBarriers $true

示例方案

以下示例演示了组织中的三个细分市场:人力资源、销售和研究。 已定义一个信息屏障策略,用于阻止销售和研究部门之间的通信和协作。 这些段不兼容。

组织中的段示例。

借助 SharePoint 信息屏障,SharePoint 管理员或全局管理员可以将段关联到网站,以防止与段外的用户共享或访问网站。 最多可以与站点关联 100 个兼容段。 段在网站级别关联, (以前称为网站集级别) 。 连接到网站的 Microsoft 365 组也与网站的段相关联。

重要

Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限

在前面的示例中,HR 细分市场与 Sales 和 Research 兼容。 但是,由于 Sales 和 Research 细分不兼容,因此它们不能与同一网站相关联。

先决条件

  1. 确保满足 信息屏障的许可要求
  2. 创建允许或阻止段之间的通信的信息屏障策略,然后将其设置为活动。 创建段并定义每个段中的用户。
  3. 配置并激活信息屏障策略后,请等待 24 小时更改在组织中传播。
  4. 完成以下部分中的步骤,以便在组织中启用和管理 SharePoint 和 OneDrive 信息屏障。

在组织中启用 SharePoint 和 OneDrive 信息屏障

重要

Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限

SharePoint 管理员或全局管理员可以在组织中的 SharePoint 和 OneDrive 中启用信息屏障。 完成以下步骤,为组织启用信息屏障:

  1. 下载并安装最新版本的 SharePoint Online 命令行管理程序。

  2. 在 Microsoft 365 中以全局管理员或 SharePoint 管理员身份连接到 SharePoint Online。 若要了解具体操作步骤,请参阅 SharePoint 在线管理壳入门

  3. 若要在 SharePoint 和 OneDrive 中启用信息屏障,请运行以下命令:

    Set-SPOTenant -InformationBarriersSuspension $false 
    
  4. 在组织中为 SharePoint 和 OneDrive 启用信息屏障后,请等待大约 1 小时以使更改生效。

注意

如果在 2022 年 3 月 15 日之前在组织中为 SharePoint 启用了信息屏障,则对 Microsoft与 Teams 连接的网站的隐式模式的默认访问和共享控制基于与网站关联的段。

若要为租户中所有与 Teams 连接的隐式模式站点启用基于 Microsoft 365 组成员身份的访问和共享控制,请运行以下命令:

Set-SPOTenant -IBImplicitGroupBased $true

如果安装了以前版本的 SharePoint Online 命令行管理程序,请完成以下步骤:

重要

Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限

  1. 转到添加或删除程序并卸载SharePoint Online 命令行管理程序

  2. 导航到SharePoint Online 命令行管理程序) 的Microsoft下载中心,选择你的语言,然后选择“下载”。

  3. 系统可能会要求你在下载 x64 和 x86 .msi 文件之间进行选择。 如果运行的是 64 位版本的 Windows,请下载 x64 文件;如果运行的是 32 位版本的 Windows,请下载 x86 文件。 如果不知道计算机上运行的是哪个版本,请参阅 我运行的是哪个版本的 Windows 操作系统?

  4. 下载完成后,运行安装程序文件并按照安装工作流中的配置步骤进行操作。

  5. 在 Microsoft 365 中以全局管理员或 SharePoint 管理员身份连接到 SharePoint Online。 若要了解具体操作步骤,请参阅 SharePoint 在线管理壳入门

  6. 若要在 SharePoint 和 OneDrive 中启用信息屏障,请运行以下命令:

    Set-SPOTenant -InformationBarriersSuspension $false 
    
  7. 在组织中的 SharePoint 和 OneDrive 中配置信息屏障后,请等待大约 1 小时,更改才会生效。

注意

如果在 2022 年 3 月 15 日之前在组织中为 SharePoint 启用了信息屏障,则对 Microsoft与 Teams 连接的网站的隐式模式的默认访问和共享控制基于与网站关联的段。

若要为组织中所有隐式模式站点启用Microsoft 365 基于组成员身份的访问和共享控制,请运行以下命令:

Set-SPOTenant -IBImplicitGroupBased $true

注意

如果Microsoft 365 多地理位置,则必须为每个地理位置运行此命令。

以管理员身份查看和管理段

重要

Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限

SharePoint 管理员或全局管理员可以查看和管理 SharePoint 网站上的段。 你的组织最多可以有 5,000 个细分,用户可以分配到多个细分。

重要

仅当组织不处于 旧模式 时,才支持 5,000 个段和将用户分配到多个段。 将用户分配到多个段需要执行其他操作来更改组织的信息屏障模式。 有关详细信息,请参阅 在信息屏障中使用多段支持)

对于 处于旧模式 的组织,支持的最大段数为 250,并且用户只能分配到一个细分。 处于旧模式的组织将来有资格升级到最新版本的信息屏障。 有关详细信息,请参阅 信息屏障路线图

按如下所示查看和管理信息屏障段:

1. 使用 SharePoint 管理中心查看和管理信息段

若要查看、编辑或删除网站的信息段,请使用 SharePoint 管理中心中的活动网站

“细分”列列出了与网站关联的第一个段,并显示网站是否具有关联的其他段。 了解如何显示或移动此列

“活动网站”页上的“段”列。

若要查看与网站关联的段的完整列表,请选择网站名称以打开详细信息面板,然后选择 “设置” 选项卡。

若要编辑与网站关联的段,请选择 “编辑”、“添加或删除段”,然后选择“ 保存”。

“编辑信息段”面板。

2. 使用 SharePoint PowerShell 查看和管理网站上的信息段

重要

Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限

  1. 以全局管理员身份连接到 安全 & 合规中心 PowerShell

  2. 运行以下命令以获取段及其 GUID 的列表。

    Get-OrganizationSegment | ft Name, EXOSegmentID
    
  3. 保存段列表。

    名称 EXOSegmentId
    销售 a9592060-c856-4301-b60f-bf9a04990d4d
    信息检索 27d20a85-1c1b-4af2-bf45-a41093b5d111
    HR a17efb47-e3c9-4d85-a188-1cd59c83de32
  4. 如果之前未完成,请下载并安装最新的SharePoint Online 命令行管理程序。 如果安装了以前版本的 SharePoint Online 命令行管理程序,请按照本文在组织中启用 SharePoint 和 OneDrive 信息屏障部分中的说明进行操作。

  5. 在 Microsoft 365 中以 全局管理员或 SharePoint 管理员身份连接到 SharePoint Online。 若要了解具体操作步骤,请参阅 SharePoint 在线管理壳入门

  6. 运行以下命令:

    Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>
    

    例如:

    Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
    

如果尝试关联与站点现有段不兼容的段,则会看到一条错误消息。

注意

向网站添加段时,站点的 IB 模式会自动更新为 显式

若要从站点中删除段,请运行以下命令:

Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>

例如:

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

注意

从网站中删除所有段后,站点的 IB 模式将自动更新为 “打开”。

若要查看站点的段,请运行以下命令以返回与站点关联的任何段的 GUID。

Get-SPOSite -Identity <site URL> | Select InformationSegment

3. 使用 SharePoint REST API 查看和管理网站上的信息段

SharePoint 包含一个代表性状态传输 (REST) 服务,可用于管理网站上的段。 若要使用 REST 访问 SharePoint 资源和管理网站段,你将使用 OData 标准构造 RESTful HTTP 请求,该标准对应于所需的客户端对象模型应用程序编程接口 (API) 。

有关 SharePoint REST 服务的详细信息,请参阅 了解 SharePoint REST 服务

使用 SharePoint PowerShell 以管理员身份查看和管理 IB 模式

若要查看站点的 IB 模式,请运行以下命令:

Get-SPOSite -Identity <site URL> | Select InformationBarriersMode

所有者审查模式方案

您希望允许销售和研究用户在存在 HR 用户的情况下在 SharePoint 网站上进行协作。

所有者审查 模式适用于站点 (与 Teams 连接的站点、非组连接的站点) 允许不兼容的细分用户访问站点。 只有网站所有者才能够邀请同一网站上不兼容的细分用户。

若要将站点模式更新为 “所有者审查”,请运行以下 PowerShell 命令:

Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated

无法在具有段的网站上设置所有者审查 IB 模式。 先删除段,然后再将 IB 模式设置为“所有者审查”。 拥有网站访问权限的用户可以访问所有者审查的网站。 只有网站所有者根据 IB 策略允许共享所有者审查的网站及其内容。

审核

Microsoft Purview 门户Microsoft Purview 合规门户中提供了审核事件,可帮助监视信息屏障活动。 为以下活动记录审核事件:

  • 为 SharePoint 和 OneDrive 启用信息屏障
  • 已将段应用到站点
  • 已更改网站段
  • 删除了网站段
  • 将信息屏障模式应用到站点
  • 更改了站点的信息屏障模式
  • 已禁用 SharePoint 和 OneDrive 的信息屏障

有关 Office 365 中的 SharePoint 段审核的详细信息,请参阅在合规性门户中搜索审核日志

网站所有者创建和管理网站

当分段用户创建 SharePoint 网站时,该网站与用户的细分相关联,并且网站的信息屏障模式会自动设置为 显式

此外,网站所有者还能够向 SharePoint 网站添加更多段,该网站已将网站模式设置为 “显式”的段。 网站所有者无法从网站中删除添加的段。 如果需要,SharePoint 管理员必须删除组织中添加的段。

当非分段用户创建 SharePoint 网站时,该网站不会与任何段关联,并且网站的信息屏障模式会自动设置为 “打开”。

当 SharePoint 管理员从 SharePoint 管理中心创建 SharePoint 网站时,该网站不与任何段关联,并且网站的 IB 模式设置为 “打开”。

若要帮助网站所有者向网站添加段,请 与 SharePoint 网站所有者共享将信息段与 SharePoint 网站关联一文。

Microsoft Teams 网站

在 Microsoft Teams 中创建团队时,会自动为团队的文件创建 SharePoint 网站。 若要使用信息屏障控制来保护Microsoft团队网站,可以在 SharePoint 中为租户启用信息屏障。

在 24 小时内,站点的信息屏障模式会自动设置为 隐式 ,与团队成员关联的段与网站相关联。

信息屏障模式为 隐式 的Microsoft Teams 网站基于Microsoft 365 组成员身份拥有网站访问权限和共享。

例如,如果用户是连接到网站的 Microsoft 365 组的成员,则他们有权访问 Microsoft Teams 网站。 连接到团队的 Microsoft 365 组符合 IB 标准。

注意

如果在 2022 年 3 月 15 日之前已在组织中为 SharePoint 启用信息屏障,则 Teams 连接的网站的访问和共享基于网站的段。 例如:

  • 网站及其内容可以与网站段匹配的用户共享。
  • 如果用户与网站的段相同,并且具有网站访问权限,则用户可以访问网站及其内容。

若要为组织中的所有 隐式 模式网站启用Microsoft 365 基于组成员身份的访问和共享控制,请以 SharePoint 管理员身份运行以下命令:

Set-SPOTenant -IBImplicitGroupBased $true

专用频道和信息屏障

在组织中启用 SharePoint 信息屏障后,任何新的专用频道网站都会在 24 小时内自动继承其父Microsoft团队的 IB 模式。 专用频道的模式分配方式如下:

父团队的 IB 模式 专用频道站点的 IB 模式
打开 打开
隐式或所有者审查 隐式

专用频道网站访问和共享受其 IB 模式的约束:

  • 具有 “打开 信息屏障”模式的专用频道站点

    • 允许具有网站访问权限的任何人访问
    • 根据站点的现有共享策略允许共享链接
    • 人员选取器允许根据共享者的 IB 策略发现用户
  • 具有 隐式 信息屏障模式的专用频道站点

    • 允许当前是专用频道成员的用户进行访问
    • 允许使用具有现有访问链接的人员进行共享

组织中已配置的私人频道站点的信息屏障模式将设置为 “打开”。 若要将现有专用频道网站配置为 隐式 模式,请在 SharePoint PowerShell 模块中运行以下 cmdlet:

Set-Sposite -Identity <site URL> -InformationBarriersMode Implicit

详细了解如何管理Microsoft Teams 连接的团队网站

用户将看到以下搜索结果:

  • 段关联网站:当网站的段与用户的细分匹配并且用户具有网站访问权限时。 例如,具有 显式 模式的站点。
  • 非分段网站:当用户对内容或网站具有现有访问权限时。 例如,具有 “打开”、“ 所有者审查 ”或 “隐式” 模式的网站。 当用户选择搜索结果以打开网站中的内容时,如果用户与网站的 IB 策略不匹配,将被拒绝访问。

对用户段的更改的影响

如果 SharePoint 网站所有者或网站成员的段发生更改,则根据网站的 IB 模式,他们将继续有权访问网站或内容:

  • 打开模式:如果用户具有现有网站访问权限,则可以访问网站。
  • 所有者审查:如果用户具有现有网站访问权限,则可以访问网站。
  • 隐式模式:如果用户是 Microsoft 365 组的成员,则他们将继续有权访问网站。
  • 显式模式:如果用户的新段与网站的段匹配,并且用户具有网站访问权限,则他们将继续有权访问该网站。

对现有信息屏障策略的更改的影响

如果合规性管理员更改了现有 IB 策略,则更改可能会影响在 显式隐式 模式下) 与站点 (关联的段的兼容性。 例如,曾经兼容的段可能不再兼容。

借助信息屏障策略符合性报告,SharePoint 管理员将能够查看段不再兼容的网站列表。 有关详细信息,请参阅 了解如何在 PowerShell 中创建信息屏障策略合规性报告

若要管理不符合要求的网站,请执行以下操作:

  • 显式 模式下,SharePoint 管理员必须更改关联的段才能使其符合 IB。
  • 隐式 模式下,SharePoint 管理员无法直接管理段。 我们建议 Teams 管理员管理团队的成员身份,以将 Teams 成员资格名单和细分引入 IB 合规性。

如何在组织中挂起 SharePoint 和 OneDrive 信息屏障

如果您的组织希望暂时暂停 SharePoint 上的信息屏障,则必须使用 SharePoint Online 命令行管理程序 和 Set-Spotenant cmdlet。

若要挂起信息屏障,请运行以下命令:

Set-SPOTenant -InformationBarriersSuspension $true 

注意

如果Microsoft 365 多地理位置,则必须为每个地理位置运行此命令。

允许使用已启用邮件的安全组共享开放模式网站

IB 支持在 SharePoint PowerShell 模块中提供的选择加入功能,以便与启用邮件的安全组共享,以访问网站权限、共享和受众目标。 仅 开放 模式网站支持此操作。 SharePoint 管理员可以在组织中启用此支持,建议确保安全组成员身份符合 IB 要求。

在启用组支持之前,请验证是否满足以下先决条件:

若要在 打开 模式站点中配置已启用邮件的安全组支持,请运行以下命令:

Set-SPOTenant -ShowPeoplePickerGroupSuggestionsForIB $true

资源