将信息屏障与 OneDrive 配合使用
Microsoft Purview 信息屏障 是 Microsoft 365 中的策略,合规性管理员可以对其进行配置,以防止用户相互通信和协作。 例如,如果某个部门正在处理不应与其他特定部门共享的信息,或者需要阻止或隔离某个部门与部门外部的所有用户协作,则此解决方案非常有用。 信息屏障通常用于高度管控的行业和具有合规性要求的组织,例如财务、法律和政府。
对于 OneDrive,信息屏障可以确定并阻止以下类型的未经授权的协作:
- 用户对 OneDrive 或存储内容的访问权限
- 与其他用户共享 OneDrive 或存储的内容
格式屏障模式和 OneDrive
在 SharePoint 和 OneDrive 上启用信息屏障后,分段用户的 OneDrive 将自动受到 IB 策略的保护。 信息屏障模式 有助于基于 OneDrive 站点的 IB 模式和与 OneDrive 关联的段加强 OneDrive 网站的访问、共享和成员身份。
对 OneDrive 使用信息屏障时,支持以下 IB 模式:
Mode | 描述 |
---|---|
“打开” | 当非分段用户预配其 OneDrive 时,站点的 IB 模式默认设置为“打开”。 没有与站点关联的段。 |
所有者审查 | 当 OneDrive 用于与网站所有者/审查者存在不兼容的用户进行协作时,OneDrive 的 IB 模式可以设置为“所有者审查”。 有关所有者审查网站的详细信息,请参阅 此部分 。 |
Explicit | 当分段用户在启用后的 24 小时内预配其 OneDrive 时,站点的 IB 模式默认设置为 “显式 ”。 用户的段和与用户段兼容的其他段以及彼此兼容的段与用户的 OneDrive 相关联。 |
Mixed | 当允许分段用户的 OneDrive 与未划分的用户共享时,网站的 IB 模式可以设置为 混合。 这是 SharePoint 管理员可以在分段用户的 OneDrive 上设置的选择加入模式。 |
注意
从 2022 年 7 月 12 日开始, 推断 模式已更改为 混合 模式。 模式的功能保持不变。
从 OneDrive 共享文件
打开
当 OneDrive 没有段且 IB 模式为 “打开”时:
- 用户可以根据应用于用户的信息屏障策略和 OneDrive 的共享设置来共享文件和文件夹。
所有者审查
当站点具有信息屏障模式设置为 “所有者审查”时:
- 禁用与 任何人共享链接 的选项。
- 禁用了与 公司范围链接 共享的选项。
- 网站及其内容可与现有成员共享。
- 根据 IB 策略,只有 OneDrive 所有者才能共享网站及其内容。
Explicit
当 OneDrive 具有信息屏障段且模式设置为 “显式”时:
- 禁用与 任何人共享链接 的选项。
- 禁用了与 公司范围链接 共享的选项。
- 文件和文件夹只能与其段与 OneDrive 的段匹配的用户共享。
混合
当 OneDrive 具有信息屏障段且模式设置为 “混合”时:
- 禁用与任何人共享链接的选项。
- 禁用了与公司范围链接共享的选项。
- 文件和文件夹可以与与 OneDrive 的段匹配的用户共享,以及租户中未细分的用户。
从 OneDrive 访问共享文件
打开模式
对于用户访问未关联段且 IB 模式为 Open 的 OneDrive 中的内容:
- 文件必须与用户共享。
所有者审查模式
对于使用网站信息屏障模式访问 SharePoint 网站的用户,设置为 “所有者审查”:
- 用户具有站点访问权限。
显式模式
对于用户访问具有段且 IB 模式设置为 显式的 OneDrive 中的内容:
用户的段必须与与 OneDrive 关联的段匹配。
AND
文件必须与用户共享。
注意
默认情况下,非分段用户只能从 IB 模式为 “打开”的其他非分段用户访问共享的 OneDrive 文件。 他们无法访问已应用段 () 且 IB 模式为 显式的 OneDrive 中的共享文件。
混合模式
对于已分段用户访问具有段且 IB 模式设置为 混合的 OneDrive 中的内容:
用户的段必须与与 OneDrive 关联的段匹配。
AND
文件必须与用户共享。
对于未划分的用户访问具有段且 IB 模式设置为 混合的 OneDrive 中的内容:
- 用户必须具有站点访问权限。
示例方案
以下示例演示了组织中的三个细分市场:人力资源、销售和研究。 已定义一个信息屏障策略,用于阻止销售和研究部门之间的通信和协作。
由于 OneDrive 中存在信息屏障,当段应用于用户时,在 24 小时内该段会自动与用户的 OneDrive 关联。 与用户段和彼此兼容的其他段也将与 OneDrive 相关联。 OneDrive 最多可以有 100 个与之关联的段。 全局或 SharePoint 管理员可以使用 PowerShell 管理这些段,如后面 在用户的 OneDrive 上关联或删除其他段部分中所述。
下表说明了此示例配置的效果:
组件 | HR 用户 | 销售用户 | 研究用户 | 非细分用户 |
---|---|---|---|---|
与 OneDrive 关联的段 | HR | Sales、HR | 研究、人力资源 | None |
OneDrive 上的 IB 模式 | Explicit | Explicit | Explicit | 打开 |
OneDrive 内容可以共享 | 仅限 HR | 销售和人力资源 | 研究和人力资源 | 基于所选共享设置的任何人 |
OneDrive 内容可通过 | 仅限 HR | 销售和人力资源 | 研究和人力资源 | 与内容共享的任何人 |
在组织中启用 SharePoint 和 OneDrive 信息屏障
在单个操作中配置了为 SharePoint 和 OneDrive 启用信息屏障。 不能单独启用服务的信息屏障。 若要为 OneDrive 启用信息屏障,请参阅 在组织中启用 SharePoint 和 OneDrive 信息屏障。 为 SharePoint 和 OneDrive 启用信息屏障后,请继续阅读本文中的 OneDrive 指南。
先决条件
- 确保满足 信息屏障的许可要求。
- 创建允许或阻止段之间的通信的信息屏障策略,并激活策略。 创建段并定义每个段中的用户。
- 配置并激活信息屏障策略后,请等待 24 小时更改在组织中传播。
- 为 OneDrive 启用信息屏障。 为 SharePoint 和 OneDrive 启用信息屏障是在单个操作中配置的,不能单独启用这些服务。 若要为 OneDrive 启用信息屏障,请参阅将 信息屏障用于 SharePoint 一文中的指南和步骤。
- 完成以下部分中的步骤,在组织中自定义和管理 OneDrive 的信息屏障。
使用 PowerShell 查看与 OneDrive 关联的段
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
全局管理员或 SharePoint 管理员可以查看和更改与用户的 OneDrive 关联的段。 你的组织最多可以有 5,000 个细分,用户可以分配到多个细分。
重要
仅当组织不处于 旧模式 时,才支持 5,000 个段和将用户分配到多个段。 将用户分配到多个段需要执行其他操作来更改组织的信息屏障模式。 有关详细信息,请参阅 在信息屏障中使用多段支持) 。
对于 处于旧模式 的组织,支持的最大段数为 250,并且用户只能分配到一个细分。
处于旧模式的组织将来有资格升级到最新版本的信息屏障。 有关详细信息,请参阅 信息屏障路线图。
以全局管理员身份连接到 安全 & 合规中心 PowerShell 。
运行以下命令以获取段及其 GUID 的列表。
Get-OrganizationSegment | ft Name, EXOSegmentID
保存段列表。
名称 EXOSegmentId 销售 a9592060-c856-4301-b60f-bf9a04990d4d 信息检索 27d20a85-1c1b-4af2-bf45-a41093b5d111 HR a17efb47-e3c9-4d85-a188-1cd59c83de32 如果之前未完成,请下载并安装最新的SharePoint Online 命令行管理程序。 如果安装了以前版本的 SharePoint Online 命令行管理程序,请按照在组织中启用 SharePoint 和 OneDrive 信息屏障一文中的说明进行操作。
在Microsoft 365中,以全局管理员或SharePoint管理员连接到SharePoint。 若要了解具体操作步骤,请参阅 SharePoint 在线管理壳入门。
运行以下命令:
Get-SPOSite -Identity <site URL> | Select InformationSegment
例如:
Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationSegment
管理用户的 OneDrive 上的段
警告
如果与用户的 OneDrive 关联的段与应用于用户的段不匹配,则用户将无法访问其 OneDrive。 请注意,不要将任何段与非段用户的 OneDrive 相关联。
注意
如果用户的段发生更改,将覆盖所做的任何更改。
若要将段与 OneDrive 关联,请在 SharePoint Online 命令行管理程序中运行以下命令。
重要
仅当组织不处于 旧模式 时,才支持 5,000 个段和将用户分配到多个段。 将用户分配到多个段需要执行其他操作来更改组织的信息屏障模式。 有关详细信息,请参阅 在信息屏障中使用多段支持) 。
对于 处于旧模式 的组织,支持的最大段数为 250,并且用户只能分配到一个细分。
处于旧模式的组织将来有资格升级到最新版本的信息屏障。 有关详细信息,请参阅 信息屏障路线图。
Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>
例如:
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
将段添加到 OneDrive 时,站点的 IB 模式会自动更新为 显式。 如果尝试关联与 OneDrive 上现有段不兼容的段,将显示错误。
重要
仅当组织不处于 旧模式 时,才支持将用户分配到多个段。 若要确定组织是否处于 旧模式 ,请参阅 检查组织的 IB 模式) 。
对于 处于旧模式 的组织,用户只能分配到一个细分市场。
处于旧模式的组织将来有资格升级到最新版本的信息屏障。 有关详细信息,请参阅 信息屏障路线图。
若要从 OneDrive 中删除段,请运行以下命令。
Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>
例如:
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
如果删除了 OneDrive 网站的所有段,OneDrive 的 IB 模式将自动更新为 “打开”。
管理用户的 OneDrive (预览版的 IB 模式)
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
若要查看 OneDrive 网站的 IB 模式,请在 SharePoint Online 命令行管理程序以 SharePoint 管理员或全局管理员身份运行以下命令:
Get-SPOSite -Identity <site URL> | Select InformationBarriersMode
例如:
Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode
SharePoint 管理员或全局管理员还可以通过新的 IB 模式管理 OneDrive 网站的 IB 模式,以满足组织的需求:
所有者审查模式示例
允许不兼容的段用户访问 OneDrive。 例如,你希望允许租户中的“销售”和“研究”细分用户同时访问 HR 用户的 OneDrive。
所有者审查 是一种适用于 OneDrive 网站的模式,它允许不兼容的网段用户在有审查者/所有者的情况下访问 OneDrive。 只有网站所有者才能够邀请同一网站上不兼容的段用户。
若要将 OneDrive 站点 IB 模式更新为 “所有者审查”,请运行以下 PowerShell 命令:
Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated
无法在具有段的网站上设置所有者审查 IB 模式。 删除段,然后再将 IB 模式设置为“所有者审查”。 拥有网站访问权限的用户可以访问所有者审查的网站。 仅网站所有者根据 IB 策略允许共享所有者审查的 OneDrive 及其内容。
混合模式示例
允许未划分的用户访问与段关联的 OneDrive。 例如,你希望允许租户中的 HR 细分和未划分的用户访问 HR 用户的 OneDrive。 适用于 OneDrive 站点的混合模式,允许分段和未细分的用户访问 OneDrive。
若要将 OneDrive 站点 IB 模式更新为混合模式,请运行以下 PowerShell 命令:
Set-SPOSite -Identity <siteurl> -InformationBarriersMode Mixed
不能在没有段的网站上设置混合 IB 模式。 在将 IB 模式设置为“混合”之前添加段。
对用户段的更改的影响
如果用户的细分发生更改,OneDrive 的段和 IB 模式将在 24 小时内自动更新,如 OneDrive 信息屏障部分中所述。
示例 1:用户细分从“研究”更新为“销售”,用户的 OneDrive 在 24 小时内更新如下:
- 细分:Sales、HR
- IB 模式: 显式
示例 2:用户段从 HR 更新为 None,用户的 OneDrive 在 24 小时内更新如下:
- 段:无
- IB 模式: 打开
信息屏障策略更改的影响
如果合规性管理员更改了现有策略,则更改可能会影响与 OneDrive 关联的段的兼容性。
例如,曾经兼容的段可能不再兼容。 SharePoint 管理员必须相应地更改与受影响网站关联的段。 了解如何 在 PowerShell 中创建信息屏障策略合规性报告。
如果策略在共享文件后发生更改,则仅当尝试访问共享文件的用户应用了与 OneDrive 关联的段匹配的段时,共享链接才起作用。
审核
Microsoft Purview 门户和Microsoft Purview 合规门户中提供了审核事件,可帮助监视信息屏障活动。 为以下活动记录审核事件:
- 为 SharePoint 和 OneDrive 启用信息屏障
- 已将段应用到站点
- 已更改网站段
- 删除了网站段
- 将信息屏障模式应用到站点
- 更改了站点的信息屏障模式
- 已禁用 SharePoint 和 OneDrive 的信息屏障
有关 Office 365 中的 OneDrive 段审核的详细信息,请参阅搜索审核日志。