Teilen über


Verwenden von Informationsbarrieren mit OneDrive

Microsoft Purview-Informationsbarrieren sind Richtlinien in Microsoft 365, die ein Complianceadministrator konfigurieren kann, um zu verhindern, dass Benutzer miteinander kommunizieren und zusammenarbeiten. Diese Lösung ist z.B. nützlich, wenn in einer Abteilung Informationen bearbeitet werden, die mit bestimmten anderen Abteilungen nicht geteilt werden sollten, oder wenn eine Abteilung isoliert oder daran gehindert werden muss, mit jeglichen Benutzern außerhalb der Abteilung zusammenzuarbeiten. Informationsbarrieren werden häufig in stark regulierten Branchen und in Organisationen eingesetzt, für die Complianceanforderungen gelten (z. B. im Bereich Finanzen, Recht und Behörden).

Für OneDrive können Informationsbarrieren die folgenden Arten von nicht autorisierter Zusammenarbeit bestimmen und verhindern:

  • Benutzerzugriff auf OneDrive oder gespeicherte Inhalte
  • Freigeben von OneDrive oder gespeicherten Inhalten für andere Benutzer

Informationsbarrierenmodi und OneDrive

Wenn Informationsbarrieren auf SharePoint und OneDrive aktiviert sind, wird das OneDrive von segmentierten Benutzern automatisch mit IB-Richtlinien geschützt. Informationsbarrierenmodi helfen dabei, den Zugriff, die Freigabe und die Mitgliedschaft einer OneDrive-Website basierend auf dem IB-Modus und den mit OneDrive verknüpften Segmenten zu stärken.

Wenn Sie Informationsbarrieren mit OneDrive verwenden, werden die folgenden IB-Modi unterstützt:

Mode Beschreibung
Open Wenn ein nicht segmentierte Benutzer sein OneDrive bereitstellt, wird der IB-Modus der Website standardmäßig auf Öffnen festgelegt. Der Website sind keine Segmente zugeordnet.
Besitzer moderiert Wenn ein OneDrive für die Zusammenarbeit mit inkompatiblen Benutzern in Anwesenheit des Websitebesitzers/Moderators verwendet wird, kann der IB-Modus von OneDrive als Besitzer moderiert festgelegt werden. Weitere Informationen zur Website "Besitzermoderiert" finden Sie in diesem Abschnitt .
Explicit Wenn ein segmentierte Benutzer sein OneDrive innerhalb von 24 Stunden nach der Aktivierung bereitstellt, wird der IB-Modus der Website standardmäßig auf Explizit festgelegt. Das Segment des Benutzers und andere Segmente, die mit dem Segment des Benutzers und miteinander kompatibel sind, werden dem OneDrive des Benutzers zugeordnet.
Mixed Wenn oneDrive eines segmentierten Benutzers für nicht segmentierte Benutzer freigegeben werden darf, kann der IB-Modus der Website auf Gemischt festgelegt werden. Dies ist ein Aktivierungsmodus, den der SharePoint-Administrator auf OneDrive eines segmentierten Benutzers festlegen kann.

Hinweis

Ab dem 12. Juli 2022 wurde der abgeleitete Modus in gemischter Modus geändert. Die Funktionalität für den Modus bleibt unverändert.

Freigeben von Dateien aus OneDrive

Öffnen

Wenn ein OneDrive über keine Segmente verfügt und der IB-Modus geöffnet ist:

  • Ein Benutzer kann Dateien und Ordner basierend auf der für ihn geltenden Richtlinie für Informationsbarrieren und der Freigabeeinstellung für den OneDrive freigeben.

Besitzer moderiert

Wenn eine Website über Informationsbarrieren verfügt, wird der Modus "Besitzer moderiert" festgelegt:

  • Die Option zum Freigeben für jeden mit dem Link ist deaktiviert.
  • Die Option zum Teilen mit unternehmensweitem Link ist deaktiviert.
  • Die Website und deren Inhalt können für vorhandene Mitglieder freigegeben werden.
  • Die Website und ihre Inhalte können nur vom OneDrive-Besitzer gemäß seiner IB-Richtlinie freigegeben werden.

Explicit

Wenn ein OneDrive über Segmente mit Informationsbarrieren verfügt und der Modus auf Explizit festgelegt ist:

  • Die Option zum Freigeben für jeden mit dem Link ist deaktiviert.
  • Die Option zum Teilen mit unternehmensweitem Link ist deaktiviert.
  • Dateien und Ordner können nur für Benutzer freigegeben werden, deren Segment dem des OneDrive entspricht.

Gemischt

Wenn ein OneDrive über Segmente mit Informationsbarrieren verfügt und der Modus auf Gemischt festgelegt ist:

  • Die Option zum Freigeben für jeden mit dem Link ist deaktiviert.
  • Die Option zum Teilen mit unternehmensweitem Link ist deaktiviert.
  • Dateien und Ordner können für Benutzer freigegeben werden, deren Segment dem von OneDrive und nicht segmentierten Benutzern im Mandanten entspricht.

Zugreifen auf freigegebene Dateien über OneDrive

Open-Modus

Damit ein Benutzer auf Inhalte in einem OneDrive zugreifen kann, dem keine Segmente zugeordnet sind, und dem IB-Modus öffnen:

  • Die Dateien müssen für den Benutzer freigegeben sein.

Moderieren des Besitzers

Damit ein Benutzer auf eine SharePoint-Website mit dem Informationsbarrieremodus der Website zugreifen kann, ist auf Besitzer moderiert festgelegt:

  • Der Benutzer verfügt über Websitezugriffsberechtigungen.

Expliziter Modus

Damit ein Benutzer auf Inhalte in einem OneDrive zugreifen kann, in dem Segmente und der IB-Modus auf Explizit festgelegt sind:

  1. Das Segment des Benutzers muss mit einem Segment übereinstimmen, das dem OneDrive zugeordnet ist.

    UND

  2. Die Dateien müssen für den Benutzer freigegeben sein.

Hinweis

Standardmäßig können Benutzer, die nicht segmentiert sind, auf freigegebene OneDrive-Dateien nur von anderen Benutzern ohne Segment mit ib-Modi als Öffnen zugreifen. Sie können nicht auf freigegebene Dateien aus OneDrive zugreifen, auf die Segmente angewendet wurden, und der IB-Modus ist Explizit.

Gemischter Modus

Für einen segmentierten Benutzer, um auf Inhalte in einem OneDrive zuzugreifen, in dem Segmente und der IB-Modus auf Gemischt festgelegt sind:

  1. Das Segment des Benutzers muss mit einem Segment übereinstimmen, das dem OneDrive zugeordnet ist.

    UND

  2. Die Dateien müssen für den Benutzer freigegeben sein.

Für einen nicht segmentierten Benutzer, um auf Inhalte in einem OneDrive zuzugreifen, in dem Segmente und der IB-Modus auf Gemischt festgelegt sind:

  • Der Benutzer muss über Websitezugriffsberechtigungen verfügen.

Beispielszenario

Im folgenden Beispiel werden drei Segmente in einer Organisation veranschaulicht: PERSONAL, Vertrieb und Forschung. Es wurde eine Richtlinie für Informationsbarrieren definiert, die die Kommunikation und Zusammenarbeit zwischen den Segmenten "Vertrieb" und "Forschung" verhindert.

Beispiel für Segmente in einer Organisation

Wenn Informationsbarrieren in OneDrive verwendet werden, wird, wenn ein Segment auf einen Benutzer angewendet wird, dieses innerhalb von 24 Stunden automatisch dem OneDrive-Speicher des Benutzers zugeordnet. Andere, mit dem Segment des Benutzers und untereinander kompatible Segmente werden ebenfalls dem OneDrive zugeordnet. Einem OneDrive können bis zu 100 Segmente zugeordnet werden. Ein globaler oder SharePoint-Administrator kann diese Segmente mithilfe von PowerShell verwalten, wie weiter unten im Abschnitt Dem OneDrive eines Benutzers Segmente zuordnen oder davon entfernen.

Die folgende Tabelle enthält die Auswirkungen dieser Beispielkonfiguration:

Komponenten Benutzer "Personalwesen" Benutzer "Vertrieb" Benutzer "Forschung" Benutzer ohne Segment
Segmente, die dem OneDrive zugeordnet sind Personalwesen Vertrieb, Personalwesen Forschung, Personalwesen Keines
IB-Modus auf OneDrive Explicit Explicit Explicit Öffnen
OneDrive-Inhalte können freigegeben werden für: Nur "Personalwesen" "Vertrieb" und "Personalwesen" "Forschung" und "Personalwesen" Jeden basierend auf den ausgewählten Freigabeeinstellungen
Auf OneDrive-Inhalte zugreifen kann: Nur "Personalwesen" "Vertrieb" und "Personalwesen" "Forschung" und "Personalwesen" Jeder, für den der Inhalt freigegeben wurde

Aktivieren von SharePoint- und OneDrive-Informationsbarrieren in Ihrer Organisation

Die Aktivierung von Informationsbarrieren für SharePoint und OneDrive wird in einer einzigen Aktion konfiguriert. Informationsbarrieren für die Dienste können nicht separat aktiviert werden. Informationen zum Aktivieren von Informationsbarrieren für OneDrive finden Sie unter Aktivieren von SharePoint- und OneDrive-Informationsbarrieren in Ihrer Organisation. Nachdem Sie Informationsbarrieren für SharePoint und OneDrive aktiviert haben, fahren Sie mit der OneDrive-Anleitung in diesem Artikel fort.

Voraussetzungen

  1. Stellen Sie sicher, dass Sie die Lizenzierungsanforderungen für Informationsbarrieren erfüllen.
  2. Erstellen Sie Richtlinien für Informationsbarrieren , die die Kommunikation zwischen den Segmenten zulassen oder blockieren, und aktivieren Sie die Richtlinien. Erstellen Sie Segmente, und definieren Sie die Benutzer in den einzelnen Segmenten.
  3. Nachdem Sie Ihre Richtlinien für Informationsbarrieren konfiguriert und aktiviert haben, warten Sie 24 Stunden, bis die Änderungen in Ihrer Organisation weitergegeben werden.
  4. Aktivieren Sie Informationsbarrieren für OneDrive. Das Aktivieren von Informationsbarrieren für SharePoint und OneDrive wird in einer einzigen Aktion konfiguriert, und diese Dienste können nicht separat aktiviert werden. Informationen zum Aktivieren von Informationsbarrieren für OneDrive finden Sie in den Anleitungen und Schritten im Artikel Verwenden von Informationsbarrieren mit SharePoint .
  5. Führen Sie die Schritte in den folgenden Abschnitten aus, um Informationsbarrieren für OneDrive in Ihrer Organisation anzupassen und zu verwalten.

Verwenden von PowerShell zum Anzeigen der einem OneDrive zugeordneten Segmente

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Ein globaler Administrator oder SharePoint-Administrator kann die Segmente anzeigen und ändern, die dem OneDrive eines Benutzers zugeordnet sind. Ihre Organisation kann über bis zu 5.000 Segmente verfügen, und Benutzer können mehreren Segmenten zugewiesen werden.

Wichtig

Unterstützung für 5.000 Segmente und das Zuweisen von Benutzern zu mehreren Segmenten ist nur verfügbar, wenn sich Ihre Organisation nicht im Legacymodus befindet. Das Zuweisen von Benutzern zu mehreren Segmenten erfordert zusätzliche Aktionen, um den Informationsbarrieremodus für Ihre Organisation zu ändern. Weitere Informationen finden Sie unter Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren).

Für Organisationen im Legacymodus wird maximal 250 Segmente unterstützt, und Benutzer können nur einem Segment zugewiesen werden. Organisationen im Legacymodus können in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.

  1. Stellen Sie eine Verbindung mit der Security & Compliance Center PowerShell als globaler Administrator her.

  2. Führen Sie den folgenden Befehl aus, um die Liste der Segmente und deren GUIDs abzurufen.

    Get-OrganizationSegment | ft Name, EXOSegmentID
    
  3. Speichern Sie die Liste der Segmente.

    Name EXOSegmentId
    Vertrieb a9592060-c856-4301-b60f-bf9a04990d4d
    Forschung 27d20a85-1c1b-4af2-bf45-a41093b5d111
    Personalwesen a17efb47-e3c9-4d85-a188-1cd59c83de32
  4. Falls noch nicht abgeschlossen, laden Sie die neueste SharePoint Online-Verwaltungsshell herunter, und installieren Sie sie. Wenn Sie eine frühere Version der SharePoint Online-Verwaltungsshell installiert haben, befolgen Sie die Anweisungen im Artikel Aktivieren von SharePoint- und OneDrive-Informationsbarrieren in Ihrer Organisation .

  5. Stellen Sie eine Verbindung zu Microsoft Office SharePoint Online als Globaler Admin oder Microsoft Office SharePoint Online-Admin in Microsoft 365 her. Eine Anleitung dazu finden Sie unter Erste Schritte mit der Microsoft Office SharePoint Online-Verwaltungsshell.

  6. Führen Sie den folgenden Befehl aus:

    Get-SPOSite -Identity <site URL> | Select InformationSegment 
    

    Beispiel:

    Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationSegment
    

Verwalten von Segmenten auf dem OneDrive eines Benutzers

Warnung

Wenn die dem OneDrive eines Benutzers zugeordneten Segmente nicht mit dem Segment des Benutzers übereinstimmen, kann dieser nicht auf seinen OneDrive zugreifen. Ordnen Sie dem OneDrive eines Benutzers, der keinem Segment angehört, keine Segmente zu.

Hinweis

Alle von Ihnen vorgenommenen Änderungen werden überschrieben, wenn sich das Segment des Benutzers ändert.

Führen Sie den folgenden Befehl in der SharePoint Online-Verwaltungsshell aus, um einem OneDrive ein Segment zuzuordnen.

Wichtig

Unterstützung für 5.000 Segmente und das Zuweisen von Benutzern zu mehreren Segmenten ist nur verfügbar, wenn sich Ihre Organisation nicht im Legacymodus befindet. Das Zuweisen von Benutzern zu mehreren Segmenten erfordert zusätzliche Aktionen, um den Informationsbarrieremodus für Ihre Organisation zu ändern. Weitere Informationen finden Sie unter Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren).

Für Organisationen im Legacymodus wird maximal 250 Segmente unterstützt, und Benutzer können nur einem Segment zugewiesen werden. Organisationen im Legacymodus können in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.

Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID> 

Beispiel:

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

Wenn Sie einem OneDrive Segmente hinzufügen, wird der IB-Modus der Website automatisch auf Explicit aktualisiert. Wenn Sie versuchen, ein Segment zuzuordnen, das mit den auf dem OneDrive vorhandenen Segmenten nicht kompatibel ist, wird eine Fehlermeldung angezeigt.

Wichtig

Die Unterstützung für das Zuweisen von Benutzern zu mehreren Segmenten ist nur verfügbar, wenn Sich Ihre Organisation nicht im Legacymodus befindet. Informationen dazu, ob sich Ihre Organisation im Legacymodus befindet, finden Sie unter Überprüfen des IB-Modus für Ihre Organisation).

Benutzer können nur einem Segment für Organisationen im Legacymodus zugewiesen werden. Organisationen im Legacymodus können in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.

Führen Sie den folgenden Befehl aus, um ein Segment von einem OneDrive zu entfernen:

Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>

Beispiel:

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

Wenn alle Segmente einer OneDrive-Website entfernt werden, wird der IB-Modus von OneDrive automatisch auf Öffnen aktualisiert.

Verwalten des IB-Modus des OneDrive eines Benutzers (Vorschau)

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Um den IB-Modus einer OneDrive-Website anzuzeigen, führen Sie den folgenden Befehl in der SharePoint Online-Verwaltungsshell als SharePoint-Administrator oder globaler Administrator aus:

Get-SPOSite -Identity <site URL> | Select InformationBarriersMode

Beispiel:

Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode

Ein SharePoint-Administrator oder globaler Administrator hat auch die Möglichkeit, den IB-Modus einer OneDrive-Website zu verwalten, um die Anforderungen Ihrer Organisation mit neuen IB-Modi zu erfüllen:

Beispiel für den moderierten Modus "Besitzer"

Erlauben Sie einem inkompatiblen Segmentbenutzer den Zugriff auf oneDrive. Sie möchten z. B. den Zugriff auf das OneDrive des PERSONAL-Benutzers sowohl von Den Segmentbenutzern "Vertrieb" als auch "Forschung" in Ihrem Mandanten zulassen.

"Besitzer moderiert" ist ein Modus, der für OneDrive-Websites gilt und inkompatiblen Segmentbenutzern den Zugriff auf OneDrive in Anwesenheit eines Moderators/Besitzers ermöglicht. Nur der Websitebesitzer hat die Möglichkeit, inkompatible Segmentbenutzer auf derselben Website einzuladen.

Führen Sie den folgenden PowerShell-Befehl aus, um den IB-Modus einer OneDrive-Website auf "Besitzer moderiert" zu aktualisieren:

Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated

Der Moderierte IB-Modus des Besitzers kann auf einer Website mit Segmenten nicht festgelegt werden. Entfernen Sie die Segmente, bevor Sie den IB-Modus als Besitzer moderiert festlegen. Der Zugriff auf eine vom Besitzer moderierte Website ist benutzern erlaubt, die über Websitezugriffsberechtigungen verfügen. Die Freigabe eines vom Besitzer moderierten OneDrives und dessen Inhalte ist nur vom Websitebesitzer gemäß seiner IB-Richtlinie zulässig.

Beispiel für gemischten Modus

Ermöglichen Sie nicht segmentierten Benutzern den Zugriff auf OneDrive, das Segmenten zugeordnet ist. Sie möchten z. B. den Zugriff auf das OneDrive des PERSONAL-Benutzers durch Personalsegment und nicht segmentierte Benutzer in Ihrem Mandanten ermöglichen. Gemischter Modus für OneDrive-Websites, der segmentierten und nicht segmentierten Benutzern den Zugriff auf OneDrive ermöglicht.

Führen Sie den folgenden PowerShell-Befehl aus, um den IB-Modus einer OneDrive-Website auf Gemischt zu aktualisieren:

Set-SPOSite -Identity <siteurl> -InformationBarriersMode Mixed

Der gemischte IB-Modus kann auf einer Website ohne Segmente nicht festgelegt werden. Fügen Sie Segmente hinzu, bevor Sie den IB-Modus auf Gemischt festlegen.

Auswirkungen von Änderungen an Benutzersegmenten

Wenn sich das Segment eines Benutzers ändert, werden das Segment und der IB-Modus von OneDrive innerhalb von 24 Stunden automatisch aktualisiert, wie im Abschnitt oben mit den OneDrive-Informationsbarrieren beschrieben.

Beispiel 1: Das Segment des Benutzers, das von "Research" in "Sales" aktualisiert wurde, lautet das OneDrive des Benutzers innerhalb von 24 Stunden wie folgt:

  • Segment: Vertrieb, Personalwesen
  • IB-Modus: Explizit

Beispiel 2: Das Segment des Benutzers wurde von HR auf None aktualisiert. Das OneDrive des Benutzers wird innerhalb von 24 Stunden wie folgt aussehen:

  • Segment: Keine
  • IB-Modus: Öffnen

Auswirkungen von Änderungen an Richtlinien für Informationsbarrieren

Wenn ein Complianceadministrator eine bestehende Richtlinie ändert, wirkt sich diese Änderung u. U. auf die Kompatibilität der Segmente aus, die dem OneDrive zugeordnet sind.

Segmente, die zuvor kompatibel waren, sind dann evtl. nicht mehr kompatibel. Ein SharePoint-Administrator muss die einer betroffenen Site zugeordneten Segmente entsprechend ändern. Erfahren Sie Näheres zum Erstellen eines Compliance-Berichts zu Richtlinien für Informationsbarrieren in PowerShell.

Wenn nach der Freigabe von Dateien eine Richtlinie geändert wird, funktionieren die Freigabelinks nur, wenn der Benutzer, der auf die freigegebenen Dateien zuzugreifen versucht, einem Segment angehört, das einem dem OneDrive zugeordneten Segment entspricht.

Überwachung

Überwachungsereignisse sind im Microsoft Purview-Portal und im Microsoft Purview-Complianceportal verfügbar, um Sie bei der Überwachung von Informationsbarriereaktivitäten zu unterstützen. Überwachungsereignisse werden für die folgenden Aktivitäten protokolliert:

  • Aktivierte Informationsbarrieren für SharePoint und OneDrive
  • Auf Website angewendetes Segment
  • Geändertes Segment der Website
  • Entferntes Segment der Website
  • Angewendeter Informationsbarrierenmodus auf die Website
  • Geänderter Informationsbarrieremodus der Website
  • Deaktivierte Informationsbarrieren für SharePoint und OneDrive

Weitere Informationen zur OneDrive-Segmentüberwachung in Office 365 finden Sie unter Durchsuchen des Überwachungsprotokolls.

Ressourcen