Použití informačních bariér s OneDrivem
Informační bariéry Microsoft Purview jsou zásady v Microsoftu 365, které může správce dodržování předpisů nakonfigurovat tak, aby uživatelům zabránil v vzájemné komunikaci a spolupráci. Toto řešení je užitečné například v případě, že jedna divize zpracovává informace, které by se neměly sdílet s konkrétními dalšími divizemi, nebo pokud je potřeba zabránit nebo izolovat oddělení ve spolupráci se všemi uživateli mimo danou divizí. Informační bariéry se často používají ve vysoce regulovaných odvětvích a organizacích s požadavky na dodržování předpisů, jako jsou finance, právní předpisy a státní správa.
U OneDrivu můžou informační bariéry určit a zabránit následujícím druhům neoprávněné spolupráce:
- Přístup uživatelů k OneDrivu nebo uloženému obsahu
- Sdílení OneDrivu nebo uloženého obsahu s jinými uživateli
Režimy informačních bariér a OneDrive
Když jsou na SharePointu a OneDrivu povolené informační bariéry, oneDrive segmentovaných uživatelů se automaticky chrání zásadami IB. Režimy informačních bariér pomáhají posílit přístup, sdílení a členství na webu OneDrive na základě jeho režimu IB a segmentů přidružených k OneDrivu.
Při používání informačních bariér s OneDrivem se podporují následující režimy IB:
| Režim | Popis |
|---|---|
| Otevřít | Když uživatel, který není segmentovaný, zřídí svůj OneDrive, je režim IB webu ve výchozím nastavení nastavený na Otevřít. K lokalitě nejsou přidruženy žádné segmenty. |
| Vlastník moderovaný | Pokud se OneDrive používá ke spolupráci s nekompatibilními uživateli v přítomnosti vlastníka nebo moderátora webu, je možné režim IB oneDrivu nastavit jako moderovaný vlastník. Podrobnosti o webu moderovaného vlastníkem najdete v této části . |
| Explicitní | Když segmentovaný uživatel zřídí svůj OneDrive do 24 hodin od povolení, režim IB webu se ve výchozím nastavení nastaví jako Explicit . Segment uživatele a další segmenty, které jsou kompatibilní se segmentem uživatele a mezi sebou, se přidružují k OneDrivu uživatele. |
| Smíšené | Pokud je povoleno sdílet OneDrive segmentovaného uživatele s nezasoupenými uživateli, můžete režim IB webu nastavit jako smíšený. Jedná se o režim výslovného souhlasu, který může správce SharePointu nastavit na OneDrivu segmentovaného uživatele. |
Poznámka
Od 12. července 2022 se odvozený režim změnil na Smíšený režim. Funkce režimu zůstávají stejné.
Sdílení souborů z OneDrivu
Otevřít
Pokud OneDrive nemá žádné segmenty a režim IB jako Otevřený:
- Uživatel může sdílet soubory a složky na základě zásad informačních bariér použitých pro uživatele a nastavení sdílení pro OneDrive.
Vlastník moderovaný
Pokud je režim informačních bariér webu nastavený na moderovaný vlastníkem:
- Možnost sdílet s kýmkoli s odkazem je zakázaná.
- Možnost sdílení s odkazem pro celou společnost je zakázaná.
- Web a jeho obsah je možné sdílet s existujícími členy.
- Web a jeho obsah může sdílet jenom vlastník OneDrivu podle svých zásad IB.
Explicitní
Pokud má OneDrive segmenty informačních bariér a režim je nastavený na Explicit:
- Možnost sdílet s kýmkoli s odkazem je zakázaná.
- Možnost sdílení s odkazem pro celou společnost je zakázaná.
- Soubory a složky je možné sdílet jenom s uživateli, jejichž segment odpovídá segmentu OneDrivu.
Smíšené
Pokud má OneDrive segmenty informačních bariér a režim je nastavený na Smíšený:
- Možnost sdílet s kýmkoli s odkazem je zakázaná.
- Možnost sdílení s odkazem pro celou společnost je zakázaná.
- Soubory a složky je možné sdílet s uživateli, jejichž segment odpovídá segmentu OneDrivu a nesesazeným uživatelům v tenantovi.
Přístup ke sdíleným souborům z OneDrivu
Režim otevření
Pokud má uživatel přístup k obsahu na OneDrivu, který nemá přidružené žádné segmenty, a režim IB jako Otevřený:
- Soubory musí být sdíleny s uživatelem.
Režim moderování vlastníka
Pro uživatele, který má přístup k webu SharePoint s informačními bariérami, je režim informačních bariér webu nastavený na Vlastník moderovaný:
- Uživatel má přístupová oprávnění k webu.
Explicitní režim
Pokud má uživatel přístup k obsahu na OneDrivu, který má segmenty a režim IB nastavený na Explicit:
Segment uživatele musí odpovídat segmentu, který je přidružený k OneDrivu.
A
Soubory musí být sdíleny s uživatelem.
Poznámka
Ve výchozím nastavení můžou uživatelé, kteří nejsou segmenty, přistupovat ke sdíleným souborům OneDrivu jenom od ostatních uživatelů, kteří nejsou segmenty, s režimy IB jako Otevřít. Nemají přístup ke sdíleným souborům z OneDrivu, které mají použité segmenty a režim IB je explicitní.
Smíšený režim
Segmentovaný uživatel má přístup k obsahu na OneDrivu, který má segmenty a režim IB nastavený na Smíšený:
Segment uživatele musí odpovídat segmentu, který je přidružený k OneDrivu.
A
Soubory musí být sdíleny s uživatelem.
Pokud má nezasoupený uživatel přístup k obsahu na OneDrivu, který má segmenty a režim IB nastavený na smíšený:
- Uživatel musí mít přístupová oprávnění k webu.
Ukázkový scénář
Následující příklad znázorňuje tři segmenty v organizaci: HR, Sales a Research. Byly definovány zásady informačních bariér, které blokují komunikaci a spolupráci mezi segmenty Prodej a Výzkum.
U informačních bariér na OneDrivu platí, že když se na uživatele použije segment, během 24 hodin se tento segment automaticky přidružuje k OneDrivu uživatele. K OneDrivu se přidružují i další segmenty, které jsou kompatibilní se segmentem uživatele a navzájem. OneDrive může mít přidružených až 100 segmentů. Globální správce nebo správce SharePointu může tyto segmenty spravovat pomocí PowerShellu, jak je popsáno dále v části Přidružení nebo odebrání dalších segmentů na OneDrivu uživatele.
Následující tabulka uvádí účinky této ukázkové konfigurace:
| Součásti | Uživatelé lidských zdrojů | Uživatelé prodeje | Uživatelé zdrojů informací | Uživatelé, kteří nejsou segmenty |
|---|---|---|---|---|
| Segmenty přidružené k OneDrivu | HR | Sales, HR | Výzkum, HR | Žádné |
| Režim IB na OneDrivu | Explicitní | Explicitní | Explicitní | Otevřít |
| Obsah OneDrivu je možné sdílet s | Pouze HR | Sales and HR | Výzkum a personální oddělení | Kdokoli na základě vybraného nastavení sdílení |
| K obsahu OneDrivu má přístup | Pouze HR | Sales and HR | Výzkum a personální oddělení | Každý, s kým byl obsah sdílen |
Povolení informačních bariér SharePointu a OneDrivu ve vaší organizaci
Povolení informačních bariér pro SharePoint a OneDrive se konfiguruje v jediné akci. Informační bariéry pro služby nelze povolit samostatně. Informace o povolení informačních bariér pro OneDrive najdete v tématu Povolení informačních bariér SharePointu a OneDrivu ve vaší organizaci. Po povolení informačních bariér pro SharePoint a OneDrive pokračujte pokyny pro OneDrive v tomto článku.
Požadavky
- Ujistěte se, že splňujete licenční požadavky na informační bariéry.
- Vytvořte zásady informačních bariér , které povolují nebo blokují komunikaci mezi segmenty a aktivují zásady. Vytvořte segmenty a definujte v každém z nich uživatele.
- Po nakonfigurování a aktivaci zásad informačních bariér počkejte 24 hodin, než se změny rozšíří ve vaší organizaci.
- Povolte informační bariéry pro OneDrive. Povolení informačních bariér pro SharePoint a OneDrive se konfiguruje v jediné akci a tyto služby není možné povolit samostatně. Informace o povolení informačních bariér pro OneDrive najdete v doprovodných materiálech a krocích v článku Použití informačních bariér na SharePointu .
- Dokončete kroky v následujících částech a přizpůsobte a spravujte informační bariéry pro OneDrive ve vaší organizaci.
Zobrazení segmentů přidružených k OneDrivu pomocí PowerShellu
Globální správce nebo správce SharePointu může zobrazit a změnit segmenty spojené s OneDrivem uživatele. Vaše organizace může mít až 5 000 segmentů a uživatele je možné přiřadit k více segmentům.
Důležité
Podpora pro 5 000 segmentů a přiřazení uživatelů k více segmentům je dostupná jenom v případě, že vaše organizace není ve starším režimu. Přiřazení uživatelů k více segmentům vyžaduje další akce ke změně režimu informačních bariér ve vaší organizaci. Další informace najdete v tématu Použití podpory více segmentů v informačních bariérách ).
Pro organizace ve starším režimu je maximální počet podporovaných segmentů 250 a uživatelé jsou omezeni na přiřazení pouze k jednomu segmentu. Organizace ve starším režimu budou mít v budoucnu nárok na upgrade na nejnovější verzi informačních bariér. Další informace najdete v roadmapě informačních překážek.
Připojte se k PowerShellu centra dodržování předpisů zabezpečení & jako globální správce.
Spuštěním následujícího příkazu získáte seznam segmentů a jejich identifikátorů GUID.
Get-OrganizationSegment | ft Name, EXOSegmentIDUložte seznam segmentů.
Název EXOSegmentId Prodejní a9592060-c856-4301-b60f-bf9a04990d4d4d Zdroje informací 27d20a85-1c1b-4af2-bf45-a41093b5d111 HR a17efb47-e3c9-4d85-a188-1cd59c83de32 Pokud jste to ještě nedokončili, stáhněte a nainstalujte nejnovější prostředí SharePoint Online Management Shell. Pokud jste nainstalovali předchozí verzi prostředí SharePoint Online Management Shell, postupujte podle pokynů v článku Povolení informačních bariér SharePointu a OneDrivu ve vaší organizaci .
Připojte se k SharePointu jako globální správce nebo správce SharePointu v Microsoft 365. Postup najdete v tématu Začínáme s Prostředím SharePoint Online Management Shell.
Spusťte následující příkaz:
Get-SPOSite -Identity <site URL> | Select InformationSegmentPříklad:
Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationSegment
Správa segmentů na OneDrivu uživatele
Upozornění
Pokud segmenty přidružené k OneDrivu uživatele neodpovídají segmentu použitému uživateli, uživatel nebude mít přístup ke svému OneDrivu. Dávejte pozor, abyste k OneDrivu uživatele, který není segmenty, nepřidružujte žádné segmenty.
Poznámka
Všechny změny, které provedete, se přepíšou, pokud se změní segment uživatele.
Pokud chcete přidružit segment k OneDrivu, spusťte v SharePointu Online Management Shellu následující příkaz.
Důležité
Podpora pro 5 000 segmentů a přiřazení uživatelů k více segmentům je dostupná jenom v případě, že vaše organizace není ve starším režimu. Přiřazení uživatelů k více segmentům vyžaduje další akce ke změně režimu informačních bariér ve vaší organizaci. Další informace najdete v tématu Použití podpory více segmentů v informačních bariérách ).
Pro organizace ve starším režimu je maximální počet podporovaných segmentů 250 a uživatelé jsou omezeni na přiřazení pouze k jednomu segmentu. Organizace ve starším režimu budou mít v budoucnu nárok na upgrade na nejnovější verzi informačních bariér. Další informace najdete v roadmapě informačních překážek.
Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>
Příklad:
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
Když přidáte segmenty na OneDrive, režim IB webu se automaticky aktualizuje na Explicit. Pokud se pokusíte přidružit segment, který není kompatibilní s existujícími segmenty na OneDrivu, zobrazí se chyba.
Důležité
Podpora přiřazování uživatelů do více segmentů je dostupná jenom v případě, že vaše organizace není ve starším režimu. Pokud chcete zjistit, jestli je vaše organizace ve starším režimu, přečtěte si téma Kontrola režimu IB pro vaši organizaci).
Uživatelé jsou ve starším režimu omezeni na přiřazení pouze k jednomu segmentu pro organizace. Organizace ve starším režimu budou mít v budoucnu nárok na upgrade na nejnovější verzi informačních bariér. Další informace najdete v roadmapě informačních překážek.
Pokud chcete odebrat segment z OneDrivu, spusťte následující příkaz.
Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>
Příklad:
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
Pokud se odeberou všechny segmenty webu OneDrive, režim IB na OneDrivu se automaticky aktualizuje na Otevřít.
Správa režimu IB na OneDrivu uživatele (Preview)
Pokud chcete zobrazit režim IB webu OneDrivu, spusťte v SharePointu Online Management Shellu následující příkaz jako správce SharePointu nebo globální správce:
Get-SPOSite -Identity <site URL> | Select InformationBarriersMode
Příklad:
Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode
Správce SharePointu nebo globální správce má také možnost spravovat režim IB webu OneDrive tak, aby vyhovoval potřebám vaší organizace pomocí nových režimů IB:
Příklad režimu moderování vlastníka
Povolit nekompatibilnímu segmentu přístup uživatele k OneDrivu. Chcete například povolit přístup k OneDrivu uživatele personálního oddělení pro uživatele v segmentu Prodej i Výzkum ve vašem tenantovi.
Vlastník moderovaný je režim použitelný pro web OneDrive, který umožňuje nekompatibilním uživatelům přístup k OneDrivu za přítomnosti moderátora nebo vlastníka. Pouze vlastník webu má možnost zvát nekompatibilní uživatele segmentu na stejný web.
Pokud chcete aktualizovat režim IB webu OneDrivu na moderovaný vlastníkem, spusťte následující příkaz PowerShellu:
Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated
Na webu se segmenty není možné nastavit režim vlastníka moderovaného ib. Před nastavením režimu IB na režim Moded vlastníka odeberte segmenty. Přístup k webu moderovaného vlastníkem je povolený pro uživatele, kteří mají přístupová oprávnění k webu. Sdílení OneDrivu moderovaného vlastníkem a jeho obsahu je povoleno pouze vlastníkem webu na základě zásad IB.
Příklad smíšeného režimu
Povolte nezasazeným uživatelům přístup k OneDrivu přidruženému k segmentům. Chcete například povolit přístup k OneDrivu uživatele hr pro segment lidských zdrojů a nesesoumentovaným uživatelům ve vašem tenantovi. Smíšený režim použitelný pro web OneDrive, který umožňuje segmentovaným a nezasegmentovaným uživatelům přístup k OneDrivu.
Pokud chcete aktualizovat režim IB webu OneDrivu na smíšený, spusťte následující příkaz PowerShellu:
Set-SPOSite -Identity <siteurl> -InformationBarriersMode Mixed
Smíšený režim IB nejde nastavit na webu bez segmentů. Před nastavením režimu IB na smíšený přidejte segmenty.
Účinky změn na uživatelské segmenty
Pokud se segment uživatele změní, segment OneDrivu a režim IB se automaticky aktualizují během 24 hodin, jak je popsáno v části nad informačními bariérami OneDrivu.
Příklad 1: Segment uživatele, který se aktualizoval z research (Výzkum) na Sales (Prodej), bude oneDrive uživatele během 24 hodin následující:
- Segment: Prodej, HR
- Režim IB: Explicitní
Příklad 2: Segment uživatele se aktualizoval z hr na Žádný. OneDrive uživatele bude do 24 hodin následující:
- Segment: Žádný
- Režim IB: Otevření
Dopady změn zásad informačních bariér
Pokud správce dodržování předpisů změní existující zásady, může mít tato změna vliv na kompatibilitu segmentů přidružených k OneDrivu.
Například segmenty, které byly dříve kompatibilní, už nemusí být kompatibilní. Správce SharePointu musí odpovídajícím způsobem změnit segmenty přidružené k ovlivněným webům. Zjistěte, jak v PowerShellu vytvořit sestavu dodržování zásad informačních bariér.
Pokud se zásady po nasdílení souborů změní, odkazy na sdílení budou fungovat jenom v případě, že uživatel, který se pokouší o přístup ke sdíleným souborům, použije segment, který odpovídá segmentu přidruženému k OneDrivu.
Auditování
Události auditu jsou k dispozici v Portál dodržování předpisů Microsoft Purview, které vám pomůžou monitorovat aktivity informační bariéry. Události auditu se protokolují pro následující aktivity:
- Povolené informační bariéry pro SharePoint a OneDrive
- Použitý segment na lokalitu
- Změněný segment webu
- Odebraný segment lokality
- Použitý režim informačních bariér na webu
- Změna režimu informačních bariér webu
- Zakázané informační bariéry pro SharePoint a OneDrive
Další informace o auditování segmentů OneDrivu v Office 365 najdete v tématu Prohledávání protokolu auditu v Centru dodržování předpisů.