使用 OneDrive 的資訊屏障
Microsoft Purview 資訊屏障 是 Microsoft 365 中的原則,合規性系統管理員可以設定這些原則來防止使用者彼此通訊和共同作業。 例如,如果某個部門正在處理不應與特定其他部門共用的資訊,或必須防止或隔離部門與除外的所有使用者共同作業,此解決方案就很有用。 資訊屏障通常用於高度管制的產業,以及符合合規性需求的組織,例如財務、法律及政府。
對於 OneDrive,資訊屏障可以判斷並防止下列類型的未經授權共同作業:
- 使用者存取 OneDrive 或儲存的內容
- 與其他用戶共用 OneDrive 或儲存的內容
資訊屏障模式和 OneDrive
在 SharePoint 和 OneDrive 上啟用資訊屏障時,分割使用者的 OneDrive 會自動受到 IB 原則的保護。 資訊屏障模式 可根據 OneDrive 的 IB 模式和與 OneDrive 相關聯的區段,協助加強 OneDrive 網站的存取、共用和成員資格。
搭配 OneDrive 使用資訊屏障時,支援下列 IB 模式:
Mode | 描述 |
---|---|
開啟 | 當未分割的使用者布建其 OneDrive 時,預設會將網站的 IB 模式設定為 [開啟]。 沒有與網站相關聯的區段。 |
擁有者仲裁 | 當 OneDrive 用於與網站擁有者/仲裁者存在的不相容使用者共同作業時,OneDrive 的 IB 模式可以設定為擁有者仲裁。 如需擁有者仲裁網站的詳細資訊,請參閱 本節 。 |
Explicit | 當分割使用者在啟用后 24 小時內布建其 OneDrive 時,預設會將網站的 IB 模式設定為 Explicit 。 用戶的區段和其他與使用者區段相容的區段,以及彼此相容的區段,都會與使用者的 OneDrive 產生關聯。 |
混合 | 當允許分割使用者的 OneDrive 與未分隔的用戶共用時,網站的 IB 模式可以設定為混合。 這是 SharePoint 系統管理員可以在分割使用者的 OneDrive 上設定的加入模式。 |
注意事項
從 2022 年 7 月 12 日開始, 推斷 模式已變更為 混合 模式。 模式的功能維持不變。
從 OneDrive 共用檔案
開啟
當 OneDrive 沒有區段和 IB 模式為 Open 時:
- 用戶可以根據套用至使用者的資訊屏障原則和 OneDrive 的共用設定來共用檔案和資料夾。
擁有者仲裁
當網站有資訊屏障模式設定為 擁有者仲裁時:
- 與任何人共用 連結的 選項已停用。
- 已停用與 全公司鏈接共享的 選項。
- 網站及其內容可以與現有成員共用。
- 網站及其內容只能由 OneDrive 擁有者根據其 IB 原則共用。
Explicit
當 OneDrive 有資訊屏障區段,且模式設定為 [明確] 時:
- 與任何人共用 連結的 選項已停用。
- 已停用與 全公司鏈接共享的 選項。
- 檔案和資料夾只能與區段符合 OneDrive 區段的用戶共用。
混合
當 OneDrive 有資訊屏障區段,且模式設定為 混合時:
- 與任何人共用連結的選項已停用。
- 已停用與全公司鏈接共享的選項。
- 檔案和資料夾可以與區段符合 OneDrive 和租使用者中未隔離使用者的區段的用戶共用。
從 OneDrive 存取共用檔案
開啟模式
若要讓使用者存取 OneDrive 中沒有相關聯區段的內容,且 IB 模式為 Open:
- 檔案必須與用戶共用。
擁有者仲裁模式
若要讓使用者使用網站的資訊屏障模式存取 SharePoint 網站,會設定為 擁有者仲裁:
- 使用者具有網站訪問許可權。
明確模式
若要讓使用者存取 OneDrive 中具有區段的內容,並將 IB 模式設定為 Explicit:
用戶的區段必須符合與 OneDrive 相關聯的區段。
AND
檔案必須與用戶共用。
注意事項
根據預設,非區段使用者只能從IB模式為 Open的其他非區段使用者存取共用的OneDrive檔案。 他們無法從已套用區段 () 且 IB 模式為 Explicit 的 OneDrive 存取共用檔案。
混合模式
讓分割使用者存取 OneDrive 中區段和 IB 模式設定為 混合的內容:
用戶的區段必須符合與 OneDrive 相關聯的區段。
AND
檔案必須與用戶共用。
若要讓未隔離的使用者存取 OneDrive 中區段和 IB 模式設定為 混合的內容:
- 用戶必須具有網站訪問許可權。
案例範例
下列範例說明組織中的三個區段:HR、Sales 和 Research。 已定義資訊屏障原則,以封鎖 Sales 和 Research 區段之間的通訊和共同作業。
使用 OneDrive 中的資訊屏障,當區段套用至使用者時,該區段會在 24 小時內自動與使用者的 OneDrive 相關聯。 其他與用戶區段相容且彼此相容的區段也會與 OneDrive 相關聯。 OneDrive 最多可以有 100 個與其相關聯的區段。 全域或 SharePoint 系統管理員可以使用 PowerShell 來管理這些區段,如稍後在 關聯或移除使用者 OneDrive 上的其他區段一節中所述。
下表提供此範例設定的效果:
元件 | HR 使用者 | 銷售使用者 | 研究使用者 | 非區段使用者 |
---|---|---|---|---|
與 OneDrive 相關聯的區段 | 人力資源 | 銷售、HR | 研究、人力資源 | 無 |
OneDrive 上的 IB 模式 | Explicit | Explicit | Explicit | 開啟 |
OneDrive 內容可以與 共用 | 僅限 HR | 銷售和人力資源 | 研究與人力資源 | 根據所選共享設定的任何人 |
OneDrive 內容可由 存取 | 僅限 HR | 銷售和人力資源 | 研究與人力資源 | 已共享內容的任何人 |
在組織中啟用 SharePoint 和 OneDrive 資訊屏障
啟用 SharePoint 和 OneDrive 的資訊屏障是在單一動作中設定。 無法個別啟用服務的資訊屏障。 若要啟用 OneDrive 的資訊屏障,請參閱 在組織中啟用 SharePoint 和 OneDrive 資訊屏障。 啟用 SharePoint 和 OneDrive 的資訊屏障之後,請繼續閱讀本文中的 OneDrive 指引。
必要條件
- 請確定您符合 資訊屏障的授權需求。
- 建立資訊屏障原則 ,以允許或封鎖區段之間的通訊,並啟用原則。 建立區段,並在每個區段中定義使用者。
- 設定並啟用資訊屏障原則之後,請等候 24 小時,讓變更傳播到您的組織。
- 啟用 OneDrive 的資訊屏障。 啟用 SharePoint 和 OneDrive 的資訊屏障是在單一動作中設定,而且無法個別啟用這些服務。 若要啟用 OneDrive 的資訊屏障,請參閱搭配 SharePoint 使用資訊屏障 一文中的指引和步驟。
- 完成下列各節中的步驟,以自定義和管理組織中 OneDrive 的資訊屏障。
使用 PowerShell 檢視與 OneDrive 相關聯的區段
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
全域管理員或 SharePoint 系統管理員可以檢視和變更與使用者 OneDrive 相關聯的區段。 您的組織最多可以有5,000個區段,而且使用者可以指派給多個區段。
重要事項
只有當您的組織不是處於 舊 版模式時,才支援5,000個區段並將使用者指派給多個區段。 將使用者指派給多個區段需要額外的動作,才能變更貴組織的資訊屏障模式。 如需詳細資訊,請 參閱在資訊屏障) 中使用多區段支援 。
對於 舊版 模式的組織而言,支援的區段數目上限為 250,且使用者只能指派給一個區段。
舊版模式中的組織有資格在未來升級至最新版本的資訊屏障。 如需詳細資訊,請參閱 資訊屏障藍圖。
以全域系統管理員身 分連線到安全性 & 合規性中心 PowerShell 。
執行下列命令以取得區段及其 GUID 的清單。
Get-OrganizationSegment | ft Name, EXOSegmentID
儲存區段清單。
名稱 EXOSegmentId 銷售 a9592060-c856-4301-b60f-bf9a04990d4d 參考資料 27d20a85-1c1b-4af2-bf45-a41093b5d111 人力資源 a17efb47-e3c9-4d85-a188-1cd59c83de32 如果先前未完成,請下載並安裝最新的 SharePoint Online 管理命令介面。 如果您已安裝舊版的 SharePoint Online 管理命令介面,請遵循在組織中啟用SharePoint和 OneDrive 資訊屏障一文中的指示。
在 Microsoft 365 以全域系統管理員或 SharePoint 管理員的身分登入。 若要了解如何進行,請參閱開始使用 SharePoint Online 管理命令介面。
執行下列命令:
Get-SPOSite -Identity <site URL> | Select InformationSegment
例如:
Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationSegment
管理使用者 OneDrive 上的區段
警告
如果與使用者 OneDrive 相關聯的區段不符合套用至使用者的區段,使用者將無法存取其 OneDrive。 請小心不要將任何區段與非區段使用者的 OneDrive 產生關聯。
注意事項
如果使用者的區段變更,您所做的任何變更都會被覆寫。
若要建立區段與 OneDrive 的關聯,請在 SharePoint Online 管理命令介面 中執行下列命令。
重要事項
只有當您的組織不是處於 舊 版模式時,才支援5,000個區段並將使用者指派給多個區段。 將使用者指派給多個區段需要額外的動作,才能變更貴組織的資訊屏障模式。 如需詳細資訊,請 參閱在資訊屏障) 中使用多區段支援 。
對於 舊版 模式的組織而言,支援的區段數目上限為 250,且使用者只能指派給一個區段。
舊版模式中的組織有資格在未來升級至最新版本的資訊屏障。 如需詳細資訊,請參閱 資訊屏障藍圖。
Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>
例如:
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
當您將區段新增至 OneDrive 時,網站的 IB 模式會自動更新為 Explicit。 如果您嘗試建立與 OneDrive 上現有區段不相容的區段關聯,就會出現錯誤。
重要事項
只有當您的組織 不是舊版 模式時,才支援將使用者指派給多個區段。 若要判斷您的組織是否處於 舊 版模式,請 參閱檢查貴組織的 IB 模式) 。
對於舊 版模式的 組織,使用者只能指派給一個區段。
舊版模式中的組織有資格在未來升級至最新版本的資訊屏障。 如需詳細資訊,請參閱 資訊屏障藍圖。
若要從 OneDrive 移除區段,請執行下列命令。
Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>
例如:
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
如果移除 OneDrive 網站的所有區段,OneDrive 的 IB 模式會自動更新為 Open。
管理使用者 OneDrive (預覽版的 IB 模式)
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
若要檢視 OneDrive 網站的 IB 模式,請在 SharePoint Online 管理命令介面 中以 SharePoint 系統管理員或全域管理員身分執行下列命令:
Get-SPOSite -Identity <site URL> | Select InformationBarriersMode
例如:
Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode
SharePoint 系統管理員或全域系統管理員也能夠管理 OneDrive 網站的 IB 模式,以符合您組織使用新 IB 模式的需求:
擁有者仲裁模式範例
允許不相容的區段使用者存取 OneDrive。 例如,您想要允許租使用者中的 Sales 和 Research 區段使用者存取 HR 使用者的 OneDrive。
擁有者仲裁 是適用於 OneDrive 網站的模式,可讓不相容的區段使用者在仲裁者/擁有者身分的情況下存取 OneDrive。 只有網站擁有者能夠邀請相同網站上不相容的區段使用者。
若要將 OneDrive 網站 IB 模式更新為 擁有者仲裁,請執行下列 PowerShell 命令:
Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated
擁有者仲裁 IB 模式無法在具有區段的網站上設定。 將IB模式設定為擁有者仲裁之前,請先移除區段。 擁有網站訪問許可權的使用者可以存取擁有者仲裁網站。 只有網站擁有者根據其 IB 原則,才允許共用擁有者仲裁的 OneDrive 及其內容。
混合模式範例
允許未隔離的使用者存取與區段相關聯的 OneDrive。 例如,您想要允許 HR 區段和租使用者中未隔離的使用者存取 HR 使用者的 OneDrive。 混合模式適用於 OneDrive 網站,可讓分割和未隔離的使用者存取 OneDrive。
若要將 OneDrive 網站 IB 模式更新為混合,請執行下列 PowerShell 命令:
Set-SPOSite -Identity <siteurl> -InformationBarriersMode Mixed
混合IB模式無法在沒有區段的網站上設定。 在將IB模式設定為混合之前新增區段。
用戶區段變更的影響
如果使用者的區段變更,OneDrive 的區段和 IB 模式會在 24 小時內自動更新,如 OneDrive 資訊屏障一節中所述。
範例 1:使用者的區段已從 Research 更新為 Sales,使用者的 OneDrive 會在 24 小時內更新,如下所示:
- 區隔:銷售、HR
- IB 模式: 明確
範例 2:使用者的區段已從 HR 更新為 None,使用者的 OneDrive 會在 24 小時內更新,如下所示:
- 區段:無
- IB 模式: 開啟
資訊屏障原則變更的影響
如果合規性系統管理員變更現有的原則,變更可能會影響與 OneDrive 相關聯之區段的相容性。
例如,曾經相容的區段可能不再相容。 SharePoint 系統管理員必須據此變更與受影響網站相關聯的區段。 瞭解如何 在PowerShell中建立資訊屏障原則合規性報告。
如果在共用檔案之後變更原則,則只有在嘗試存取共用檔案的使用者套用的區段符合與 OneDrive 相關聯的區段時,共用連結才能運作。
稽核
稽核事件可在 Microsoft Purview 入口網站和 Microsoft Purview 合規性入口網站 中取得,以協助您監視資訊屏障活動。 稽核事件會針對下列活動記錄:
- 已啟用 SharePoint 和 OneDrive 的資訊屏障
- 套用至網站的區段
- 已變更的網站區段
- 已移除的網站區段
- 將資訊屏障模式套用至月臺
- 已變更網站的資訊屏障模式
- 已停用 SharePoint 和 OneDrive 的資訊屏障
如需 Office 365 中 OneDrive 區段稽核的詳細資訊,請參閱搜尋稽核記錄。