通过 SharePoint 使用信息屏障
Microsoft Purview 信息屏障 是 Microsoft 365 中的策略,合规性管理员可以对其进行配置,以防止用户相互通信和协作。 例如,如果某个部门正在处理不应与其他特定部门共享的信息,或者需要阻止或隔离某个部门与部门外部的所有用户协作,则此解决方案非常有用。 信息屏障通常用于高度管控的行业和具有合规性要求的组织,例如财务、法律和政府。
对于 SharePoint,信息屏障可以确定并阻止以下类型的未经授权的协作:
- 将用户添加到网站
- 用户访问网站或网站内容
- 与其他用户共享网站或网站内容
信息屏障模式和 SharePoint 网站
信息屏障模式 有助于根据站点的 IB 模式和与网站关联的段加强网站的访问、共享和成员身份。
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
在 SharePoint 中使用信息屏障时,支持以下 IB 模式:
Mode | 说明 | 示例 |
---|---|---|
“打开” | 当 SharePoint 网站没有段时,网站的 IB 模式将自动设置为 “打开”。 有关使用开放模式配置管理段的详细信息,请参阅此部分。 | 为组织的野餐活动创建的工作组网站。 |
所有者审查 | 创建 SharePoint 网站以在网站所有者主持的不兼容段之间进行协作时,网站的 IB 模式应设置为 “所有者审查”。 有关管理所有者审查网站的详细信息,请参阅此部分。 | 创建一个网站,供销售和研究副总裁在人力资源副总裁 (网站所有者) 进行协作。 |
隐式 | 当网站由 Microsoft Teams 预配时,网站的 IB 模式默认设置为 “隐式 ”。 SharePoint 管理员或全局管理员无法使用 隐式 模式配置管理段。 | 将为所有销售细分用户创建一个团队,以便彼此协作。 |
Explicit | 通过最终用户网站创建体验或 SharePoint 管理员向网站添加段添加到 SharePoint 网站时,网站的 IB 模式设置为 显式。 有关使用显式模式配置管理段的详细信息,请参阅此部分。 | 为研究细分用户创建一个研究网站。 |
IB 模式的共享网站
与用户共享网站基于网站的 IB 模式。
打开
当站点没有段且站点的信息屏障模式设置为 “打开”时:
- 可以根据应用于用户的信息屏障策略共享网站及其内容。 例如,如果 HR 中的用户被允许与 Research 中的用户通信,则用户可以与这些用户共享网站。
提示
如果要允许使用启用邮件的安全组共享 开放 模式网站,请参阅本文中的 允许共享具有已启用邮件的安全组的开放模式站点 部分。
所有者审查
当站点具有信息屏障模式设置为 “所有者审查”时:
- 禁用与 任何人共享链接 的选项。
- 禁用了与 公司范围链接 共享的选项。
- (对于组连接的站点) 网站及其内容可与现有成员共享。
- (对于非组连接的站点) 网站及其内容只能由网站所有者根据其 IB 策略共享。
隐式
当站点的信息屏障模式设置为 “隐式”时:
- 禁用与 任何人共享链接 的选项。
- 禁用了与 公司范围链接 共享的选项。
- 网站及其内容可以通过共享链接与现有成员共享。
- 无法将新用户直接添加到网站。 团队所有者应使用 Microsoft Teams 将用户添加到团队的组中。
注意
如果在 2022 年 3 月 15 日之前已在组织中为 SharePoint 启用了信息屏障,请参阅本文中的 启用 SharePoint 和 OneDrive 信息屏障 部分。
Explicit
当网站与段 (关联时,) 并且站点的信息屏障模式设置为 “显式”:
- 禁用与 任何人共享链接 的选项。
- 禁用了与 公司范围链接 共享的选项。
- 网站及其内容只能与其细分与网站内容匹配的用户共享。 例如,如果网站与 HR 细分市场相关联,则即使 HR 与销售和研究细分) 兼容,也可以仅与 HR 用户共享 (。
- 仅当新用户段与网站段匹配时,才能将其添加为网站成员。
IB 模式的访问控制
在 SharePoint 网站中打开 SharePoint 网站或内容时,将强制实施 IB 策略。 这基于网站的 IB 模式。
打开模式
对于访问没有段和网站信息屏障模式的 SharePoint 网站的用户,设置为 “打开”:
- 用户具有站点访问权限。
所有者审查模式
对于使用网站信息屏障模式访问 SharePoint 网站的用户,设置为 “所有者审查”:
- (对于非组连接的站点) 用户具有站点访问权限。
- (对于组连接的站点) 用户必须是连接到站点的 Microsoft 365 组的成员。
隐式模式
对于访问信息屏障模式设置为 “隐式”的 SharePoint 网站的用户:
- 用户必须是连接到站点的 Microsoft 365 组的成员
- 不是连接到网站的 Microsoft 365 组成员的用户将无法访问该网站
- 信息屏障合规性助手可确保组成员身份符合 IB。
注意
如果在 2022 年 3 月 15 日之前已在组织中为 SharePoint 启用了信息屏障,请参阅本文中的 启用 SharePoint 和 OneDrive 信息屏障 部分。
显式模式
对于访问具有段和网站信息屏障模式的 SharePoint 网站的用户,为 显式:
用户的细分必须与与网站关联的段匹配。
AND
用户必须具有对站点的访问权限。
非细分用户无法访问与段关联的网站。 他们将看到错误消息。
允许在仅应用模式下运行的应用访问 IB 站点
许多组织在其组织中使用在仅限应用上下文中运行的应用程序。 若要允许在仅应用模式下运行的这些应用访问 IB 保护的网站,SharePoint 管理员可以启用选择加入功能。
重要
信息屏障策略可能会影响以应用模式访问站点的应用程序。 建议启用该策略,然后测试组织中使用的应用的体验。
若要使在仅应用模式下运行的应用程序能够访问 IB 站点,请运行以下命令:
Set-SPOTenant -AppBypassInformationBarriers $true
示例方案
以下示例演示了组织中的三个细分市场:人力资源、销售和研究。 已定义一个信息屏障策略,用于阻止销售和研究部门之间的通信和协作。 这些段不兼容。
借助 SharePoint 信息屏障,SharePoint 管理员或全局管理员可以将段关联到网站,以防止与段外的用户共享或访问网站。 最多可以与站点关联 100 个兼容段。 段在网站级别关联, (以前称为网站集级别) 。 连接到网站的 Microsoft 365 组也与网站的段相关联。
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
在前面的示例中,HR 细分市场与 Sales 和 Research 兼容。 但是,由于 Sales 和 Research 细分不兼容,因此它们不能与同一网站相关联。
先决条件
- 确保满足 信息屏障的许可要求。
- 创建允许或阻止段之间的通信的信息屏障策略,然后将其设置为活动。 创建段并定义每个段中的用户。
- 配置并激活信息屏障策略后,请等待 24 小时更改在组织中传播。
- 完成以下部分中的步骤,以便在组织中启用和管理 SharePoint 和 OneDrive 信息屏障。
在组织中启用 SharePoint 和 OneDrive 信息屏障
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
SharePoint 管理员或全局管理员可以在组织中的 SharePoint 和 OneDrive 中启用信息屏障。 完成以下步骤,为组织启用信息屏障:
下载并安装最新版本的 SharePoint Online 命令行管理程序。
在 Microsoft 365 中以全局管理员或 SharePoint 管理员身份连接到 SharePoint Online。 若要了解具体操作步骤,请参阅 SharePoint 在线管理壳入门。
若要在 SharePoint 和 OneDrive 中启用信息屏障,请运行以下命令:
Set-SPOTenant -InformationBarriersSuspension $false
在组织中为 SharePoint 和 OneDrive 启用信息屏障后,请等待大约 1 小时以使更改生效。
注意
如果在 2022 年 3 月 15 日之前在组织中为 SharePoint 启用了信息屏障,则对 Microsoft与 Teams 连接的网站的隐式模式的默认访问和共享控制基于与网站关联的段。
若要为租户中所有与 Teams 连接的隐式模式站点启用基于 Microsoft 365 组成员身份的访问和共享控制,请运行以下命令:
Set-SPOTenant -IBImplicitGroupBased $true
如果安装了以前版本的 SharePoint Online 命令行管理程序,请完成以下步骤:
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
转到添加或删除程序并卸载SharePoint Online 命令行管理程序。
导航到SharePoint Online 命令行管理程序) 的Microsoft下载中心,选择你的语言,然后选择“下载”。
系统可能会要求你在下载 x64 和 x86 .msi 文件之间进行选择。 如果运行的是 64 位版本的 Windows,请下载 x64 文件;如果运行的是 32 位版本的 Windows,请下载 x86 文件。 如果不知道计算机上运行的是哪个版本,请参阅 我运行的是哪个版本的 Windows 操作系统?。
下载完成后,运行安装程序文件并按照安装工作流中的配置步骤进行操作。
在 Microsoft 365 中以全局管理员或 SharePoint 管理员身份连接到 SharePoint Online。 若要了解具体操作步骤,请参阅 SharePoint 在线管理壳入门。
若要在 SharePoint 和 OneDrive 中启用信息屏障,请运行以下命令:
Set-SPOTenant -InformationBarriersSuspension $false
在组织中的 SharePoint 和 OneDrive 中配置信息屏障后,请等待大约 1 小时,更改才会生效。
注意
如果在 2022 年 3 月 15 日之前在组织中为 SharePoint 启用了信息屏障,则对 Microsoft与 Teams 连接的网站的隐式模式的默认访问和共享控制基于与网站关联的段。
若要为组织中所有隐式模式站点启用Microsoft 365 基于组成员身份的访问和共享控制,请运行以下命令:
Set-SPOTenant -IBImplicitGroupBased $true
注意
如果Microsoft 365 多地理位置,则必须为每个地理位置运行此命令。
以管理员身份查看和管理段
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
SharePoint 管理员或全局管理员可以查看和管理 SharePoint 网站上的段。 你的组织最多可以有 5,000 个细分,用户可以分配到多个细分。
重要
仅当组织不处于 旧模式 时,才支持 5,000 个段和将用户分配到多个段。 将用户分配到多个段需要执行其他操作来更改组织的信息屏障模式。 有关详细信息,请参阅 在信息屏障中使用多段支持) 。
对于 处于旧模式 的组织,支持的最大段数为 250,并且用户只能分配到一个细分。
处于旧模式的组织将来有资格升级到最新版本的信息屏障。 有关详细信息,请参阅 信息屏障路线图。
按如下所示查看和管理信息屏障段:
1. 使用 SharePoint 管理中心查看和管理信息段
若要查看、编辑或删除网站的信息段,请使用 SharePoint 管理中心中的活动网站。
“细分”列列出了与网站关联的第一个段,并显示网站是否具有关联的其他段。 了解如何显示或移动此列
若要查看与网站关联的段的完整列表,请选择网站名称以打开详细信息面板,然后选择 “设置” 选项卡。
若要编辑与网站关联的段,请选择 “编辑”、“添加或删除段”,然后选择“ 保存”。
2. 使用 SharePoint PowerShell 查看和管理网站上的信息段
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
以全局管理员身份连接到 安全 & 合规中心 PowerShell 。
运行以下命令以获取段及其 GUID 的列表。
Get-OrganizationSegment | ft Name, EXOSegmentID
保存段列表。
名称 EXOSegmentId 销售 a9592060-c856-4301-b60f-bf9a04990d4d 信息检索 27d20a85-1c1b-4af2-bf45-a41093b5d111 HR a17efb47-e3c9-4d85-a188-1cd59c83de32 如果之前未完成,请下载并安装最新的SharePoint Online 命令行管理程序。 如果安装了以前版本的 SharePoint Online 命令行管理程序,请按照本文在组织中启用 SharePoint 和 OneDrive 信息屏障部分中的说明进行操作。
在 Microsoft 365 中以 全局管理员或 SharePoint 管理员身份连接到 SharePoint Online。 若要了解具体操作步骤,请参阅 SharePoint 在线管理壳入门。
运行以下命令:
Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>
例如:
Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
如果尝试关联与站点现有段不兼容的段,则会看到一条错误消息。
注意
向网站添加段时,站点的 IB 模式会自动更新为 显式。
若要从站点中删除段,请运行以下命令:
Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>
例如:
Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
注意
从网站中删除所有段后,站点的 IB 模式将自动更新为 “打开”。
若要查看站点的段,请运行以下命令以返回与站点关联的任何段的 GUID。
Get-SPOSite -Identity <site URL> | Select InformationSegment
3. 使用 SharePoint REST API 查看和管理网站上的信息段
SharePoint 包含一个代表性状态传输 (REST) 服务,可用于管理网站上的段。 若要使用 REST 访问 SharePoint 资源和管理网站段,你将使用 OData 标准构造 RESTful HTTP 请求,该标准对应于所需的客户端对象模型应用程序编程接口 (API) 。
有关 SharePoint REST 服务的详细信息,请参阅 了解 SharePoint REST 服务。
使用 SharePoint PowerShell 以管理员身份查看和管理 IB 模式
若要查看站点的 IB 模式,请运行以下命令:
Get-SPOSite -Identity <site URL> | Select InformationBarriersMode
所有者审查模式方案
您希望允许销售和研究用户在存在 HR 用户的情况下在 SharePoint 网站上进行协作。
所有者审查 模式适用于站点 (与 Teams 连接的站点、非组连接的站点) 允许不兼容的细分用户访问站点。 只有网站所有者才能够邀请同一网站上不兼容的细分用户。
若要将站点模式更新为 “所有者审查”,请运行以下 PowerShell 命令:
Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated
无法在具有段的网站上设置所有者审查 IB 模式。 先删除段,然后再将 IB 模式设置为“所有者审查”。 拥有网站访问权限的用户可以访问所有者审查的网站。 只有网站所有者根据 IB 策略允许共享所有者审查的网站及其内容。
审核
Microsoft Purview 门户和Microsoft Purview 合规门户中提供了审核事件,可帮助监视信息屏障活动。 为以下活动记录审核事件:
- 为 SharePoint 和 OneDrive 启用信息屏障
- 已将段应用到站点
- 已更改网站段
- 删除了网站段
- 将信息屏障模式应用到站点
- 更改了站点的信息屏障模式
- 已禁用 SharePoint 和 OneDrive 的信息屏障
有关 Office 365 中的 SharePoint 段审核的详细信息,请参阅在合规性门户中搜索审核日志。
网站所有者创建和管理网站
当分段用户创建 SharePoint 网站时,该网站与用户的细分相关联,并且网站的信息屏障模式会自动设置为 显式。
此外,网站所有者还能够向 SharePoint 网站添加更多段,该网站已将网站模式设置为 “显式”的段。 网站所有者无法从网站中删除添加的段。 如果需要,SharePoint 管理员必须删除组织中添加的段。
当非分段用户创建 SharePoint 网站时,该网站不会与任何段关联,并且网站的信息屏障模式会自动设置为 “打开”。
当 SharePoint 管理员从 SharePoint 管理中心创建 SharePoint 网站时,该网站不与任何段关联,并且网站的 IB 模式设置为 “打开”。
若要帮助网站所有者向网站添加段,请 与 SharePoint 网站所有者共享将信息段与 SharePoint 网站关联一文。
Microsoft Teams 网站
在 Microsoft Teams 中创建团队时,会自动为团队的文件创建 SharePoint 网站。 若要使用信息屏障控制来保护Microsoft团队网站,可以在 SharePoint 中为租户启用信息屏障。
在 24 小时内,站点的信息屏障模式会自动设置为 隐式 ,与团队成员关联的段与网站相关联。
信息屏障模式为 隐式 的Microsoft Teams 网站基于Microsoft 365 组成员身份拥有网站访问权限和共享。
例如,如果用户是连接到网站的 Microsoft 365 组的成员,则他们有权访问 Microsoft Teams 网站。 连接到团队的 Microsoft 365 组符合 IB 标准。
注意
如果在 2022 年 3 月 15 日之前已在组织中为 SharePoint 启用信息屏障,则 Teams 连接的网站的访问和共享基于网站的段。 例如:
- 网站及其内容可以与网站段匹配的用户共享。
- 如果用户与网站的段相同,并且具有网站访问权限,则用户可以访问网站及其内容。
若要为组织中的所有 隐式 模式网站启用Microsoft 365 基于组成员身份的访问和共享控制,请以 SharePoint 管理员身份运行以下命令:
Set-SPOTenant -IBImplicitGroupBased $true
专用频道和信息屏障
在组织中启用 SharePoint 信息屏障后,任何新的专用频道网站都会在 24 小时内自动继承其父Microsoft团队的 IB 模式。 专用频道的模式分配方式如下:
父团队的 IB 模式 | 专用频道站点的 IB 模式 |
---|---|
打开 | 打开 |
隐式或所有者审查 | 隐式 |
专用频道网站访问和共享受其 IB 模式的约束:
具有 “打开 信息屏障”模式的专用频道站点
- 允许具有网站访问权限的任何人访问
- 根据站点的现有共享策略允许共享链接
- 人员选取器允许根据共享者的 IB 策略发现用户
具有 隐式 信息屏障模式的专用频道站点
- 允许当前是专用频道成员的用户进行访问
- 允许使用具有现有访问链接的人员进行共享
组织中已配置的私人频道站点的信息屏障模式将设置为 “打开”。 若要将现有专用频道网站配置为 隐式 模式,请在 SharePoint PowerShell 模块中运行以下 cmdlet:
Set-Sposite -Identity <site URL> -InformationBarriersMode Implicit
详细了解如何管理Microsoft Teams 连接的团队网站。
搜索
用户将看到以下搜索结果:
- 段关联网站:当网站的段与用户的细分匹配并且用户具有网站访问权限时。 例如,具有 显式 模式的站点。
- 非分段网站:当用户对内容或网站具有现有访问权限时。 例如,具有 “打开”、“ 所有者审查 ”或 “隐式” 模式的网站。 当用户选择搜索结果以打开网站中的内容时,如果用户与网站的 IB 策略不匹配,将被拒绝访问。
对用户段的更改的影响
如果 SharePoint 网站所有者或网站成员的段发生更改,则根据网站的 IB 模式,他们将继续有权访问网站或内容:
- 打开模式:如果用户具有现有网站访问权限,则可以访问网站。
- 所有者审查:如果用户具有现有网站访问权限,则可以访问网站。
- 隐式模式:如果用户是 Microsoft 365 组的成员,则他们将继续有权访问网站。
- 显式模式:如果用户的新段与网站的段匹配,并且用户具有网站访问权限,则他们将继续有权访问该网站。
对现有信息屏障策略的更改的影响
如果合规性管理员更改了现有 IB 策略,则更改可能会影响在 显式 或 隐式 模式下) 与站点 (关联的段的兼容性。 例如,曾经兼容的段可能不再兼容。
借助信息屏障策略符合性报告,SharePoint 管理员将能够查看段不再兼容的网站列表。 有关详细信息,请参阅 了解如何在 PowerShell 中创建信息屏障策略合规性报告。
若要管理不符合要求的网站,请执行以下操作:
- 在 显式 模式下,SharePoint 管理员必须更改关联的段才能使其符合 IB。
- 在 隐式 模式下,SharePoint 管理员无法直接管理段。 我们建议 Teams 管理员管理团队的成员身份,以将 Teams 成员资格名单和细分引入 IB 合规性。
如何在组织中挂起 SharePoint 和 OneDrive 信息屏障
如果您的组织希望暂时暂停 SharePoint 上的信息屏障,则必须使用 SharePoint Online 命令行管理程序 和 Set-Spotenant cmdlet。
若要挂起信息屏障,请运行以下命令:
Set-SPOTenant -InformationBarriersSuspension $true
注意
如果Microsoft 365 多地理位置,则必须为每个地理位置运行此命令。
允许使用已启用邮件的安全组共享开放模式网站
IB 支持在 SharePoint PowerShell 模块中提供的选择加入功能,以便与启用邮件的安全组共享,以访问网站权限、共享和受众目标。 仅 开放 模式网站支持此操作。 SharePoint 管理员可以在组织中启用此支持,建议确保安全组成员身份符合 IB 要求。
在启用组支持之前,请验证是否满足以下先决条件:
若要在 打开 模式站点中配置已启用邮件的安全组支持,请运行以下命令:
Set-SPOTenant -ShowPeoplePickerGroupSuggestionsForIB $true