Freigeben über

Verwenden von Informationsbarrieren mit SharePoint

Microsoft Purview-Informationsbarrieren sind Richtlinien in Microsoft 365, die ein Compliance-Admin konfigurieren kann, um Benutzer daran zu hindern, miteinander zu kommunizieren oder zusammenzuarbeiten. Diese Lösung ist z.B. nützlich, wenn in einer Abteilung Informationen bearbeitet werden, die mit bestimmten anderen Abteilungen nicht geteilt werden sollten, oder wenn eine Abteilung isoliert oder daran gehindert werden muss, mit jeglichen Benutzern außerhalb der Abteilung zusammenzuarbeiten. Informationsbarrieren werden häufig in stark regulierten Branchen und in Organisationen mit Compliance-Anforderungen, wie Finanzen, Recht und Behörden, eingesetzt.

Für SharePoint können Informationsbarrieren die folgenden Arten von unautorisierten Zusammenarbeiten erkennen und verhindern:

  • Einen Benutzer zu einer Website hinzufügen
  • Benutzerzugriff auf eine Website oder deren Inhalte
  • Freigabe von Websites oder Websiteinhalten für andere Benutzer

Informationsbarrierenmodi und SharePoint-Websites

Informationsbarrierenmodi helfen den Zugriff, die Freigabe und die Mitgliedschaft einer Website basierend auf dem IB-Modus und den Segmenten, die der Website zugeordnet sind, zu stärken.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle „globaler Administrator“ trägt zur Verbesserung der Sicherheit Ihrer Organisation bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Wenn Sie Informationsbarrieren mit SharePoint verwenden, können Sie die folgenden IB-Modi nutzen:

Modus Beschreibung Beispiele
Open Wenn eine SharePoint-Website keine Segmente hat, wird der IB-Modus der Website automatisch auf Offen gesetzt. Ausführliche Informationen zum Verwalten von Segmenten mit der Konfiguration des offener Modus finden Sie in diesem Abschnitt. Eine Teamwebsite für ein Picknick-Event für Ihre Organisation.
Vom Besitzer moderiert Wenn eine SharePoint-Website für die Zusammenarbeit zwischen inkompatiblen Segmenten erstellt wird, die vom Websitebesitzer moderiert werden, muss der IB-Modus der Website auf Vom Benutzer moderiert festgelegt werden. Weitere Informationen zur Verwaltung einer Website, die vom Benutzer moderiert wird, finden Sie in diesem Abschnitt. Eine Website wird für die Zusammenarbeit zwischen VP des Vertriebs and Research im Beisein von VP des Personalwesens (Websitebesitzer) erstellt.
Implizit Wenn eine Site von Microsoft Teams bereitgestellt wird, wird der IB-Modus der Site standardmäßig als implizit festgelegt. Ein SharePoint-Admin oder globaler Admin kann keine Segmente mit der Konfiguration des impliziten Modus verwalten. Ein Team wird erstellt, damit alle Benutzer des Vertriebssegments miteinander zusammenarbeiten können.
Explicit Wenn einem SharePoint-Website ein Segment hinzugefügt wird, entweder über die Erstellungserfahrung von Endbenutzerwebsites oder durch einen SharePoint-Admin, der ein Segment zu einer Website hinzufügt, wird der IB-Modus der Website auf Explizit festgelegt. Ausführliche Informationen zum Verwalten von Segmenten mit der Konfiguration des expliziten Modus finden Sie in diesem Abschnitt. Für Benutzer im Forschungssegment wird eine Forschungswebsite erstellt.

Freigabe von Websites für IB-Modi

Die Freigabe von Websites für Benutzer basiert auf dem IB-Modus der Website.

Öffnen

Wenn eine Website keine Segmente aufweist und Sie den Informationsbarrierenmodus der Website auf Offen festlegen:

  • Die Website und ihre Inhalte können basierend auf der auf den Benutzer angewendeten Richtlinie zur Informationsbarriere freigegeben werden. Wenn ein PW-Benutzer beispielsweise mit Benutzern im Abschnitt Forschung kommunizieren darf, kann der Benutzer die Website für diese Benutzer freigeben.

Tipp

Wenn Sie die Freigabe von Websites im offenen Modus für E-Mail-aktivierte Sicherheitsgruppen zulassen möchten, lesen Sie den Abschnitt Freigeben von Websites im offenen Modus mit E-Mail-aktivierten Sicherheitsgruppen in diesem Artikel.

Vom Besitzer moderiert

Wenn Sie den Informationsbarrierenmodus einer Website auf Vom Besitzer moderiert festlegen:

  • Die Option zur Freigabe für Jeder mit diesem Link ist deaktiviert.
  • Die Option zum Teilen mit einem unternehmensweiten Link ist deaktiviert.
  • (Für mit Gruppen verbundene Websites) Die Website und deren Inhalt können für vorhandene Mitglieder freigegeben werden.
  • (Für nicht mit Gruppen verbundene Websites) Die Website und ihr Inhalt können nur vom Websitebesitzer gemäß der IB-Richtlinie freigegeben werden.

Implizit

Wenn Sie den Informationsbarrierenmodus einer Website auf Implizit festlegen:

  • Die Option zur Freigabe für Jeder mit diesem Link ist deaktiviert.
  • Die Option zum Teilen mit einem unternehmensweiten Link ist deaktiviert.
  • Die Website und deren Inhalt können über einen Freigabelink für vorhandene Mitglieder freigegeben werden.
  • Neue Benutzer können nicht direkt zur Website hinzugefügt werden. Der Teambesitzer sollte Benutzer mithilfe von Microsoft Teams zur Teamgruppe hinzufügen.

Hinweis

Wenn Sie Informationsbarrieren für SharePoint in Ihrer Organisation vor dem 15. März 2022 aktiviert haben, lesen Sie den Abschnitt Aktivieren von SharePoint- und OneDrive-Informationsbarrieren in diesem Artikel.

Explicit

Wenn Sie eine Website Segmenten zuordnen und den Informationsbarrierenmodus der Website auf Explizit festlegen:

  • Die Option zur Freigabe für Jeder mit diesem Link ist deaktiviert.
  • Die Option zum Teilen mit einem unternehmensweiten Link ist deaktiviert.
  • Sie können die Website und deren Inhalt nur für Benutzer freigeben, deren Segment mit dem der Website übereinstimmt. Wenn Sie beispielsweise eine Website dem PW-Segment zuordnen, können Sie die Website nur für PW-Benutzer freigeben (obwohl dieses mit den Segmenten „Vertrieb“ und „Forschung“ kompatibel ist).
  • Sie können neue Benutzer nur dann als Websitemitglieder hinzufügen, wenn ihr Segment mit dem Segment der Website übereinstimmt.

Zugriffssteuerung für IB-Modi

Die IB-Richtlinie wird beim Öffnen der SharePoint-Website oder des Inhalts auf der SharePoint-Website durchgesetzt. Diese Durchsetzung basiert auf dem IB-Modus der Website.

Open-Modus

Damit ein Benutzer auf eine SharePoint-Website zugreifen kann, die über kein Segment verfügt und deren Informationsbarrierenmodus auf Offen festgelegt ist:

  • Der Benutzer verfügt über Zugriffsberechtigungen für die Website.

Moderierter Modus des Besitzers

Damit ein Benutzer auf eine SharePoint-Website zugreifen kann, für die der Informationsbarrierenmodus der Website auf Vom Benutzer moderiert festgelegt ist:

  • (Für nicht mit Gruppen verbundene Websites) Der Benutzer verfügt über Websitezugriffsberechtigungen.
  • (Für mit Gruppen verbundene Websites) Der Benutzer muss Mitglied der Microsoft 365-Gruppe sein, die mit der Website verbunden ist.

Modus „Implizit“

So greifen Sie auf SharePoint-Websites zu, deren Informationsbarrierenmodus auf Implizit festgelegt ist:

  • Sie sind Mitglied der Microsoft 365-Gruppe, die mit der Website verbunden ist.
  • Wenn Sie kein Mitglied der Microsoft 365-Gruppe sind, die mit der Website verbunden ist, können Sie nicht auf die Website zugreifen.
  • Der Compliance-Assistent für Informationsbarrieren stellt sicher, dass die Gruppenmitgliedschaft IB-konform ist.

Hinweis

Wenn Sie Informationsbarrieren für SharePoint in Ihrer Organisation vor dem 15. März 2022 aktiviert haben, lesen Sie den Abschnitt Aktivieren von SharePoint- und OneDrive-Informationsbarrieren in diesem Artikel.

Modus „Explizit“

So greifen Sie auf SharePoint-Websites zu, die Segmente verwenden und deren Informationsbarrierenmodus auf Explizit festgelegt ist:

  • Ihr Segment entspricht einem Segment, das der Website zugeordnet ist.

    AND

  • Sie verfügen über Zugriffsberechtigungen für die Website.

Benutzer ohne Segmente können nicht auf eine Website zugreifen, die Segmenten zugeordnet ist. Ihnen wird eine Fehlermeldung angezeigt.

Zulassen, dass Apps, die im reinen App-Modus ausgeführt werden, auf IB-Websites zugreifen

Viele Organisationen verwenden Anwendungen, die in einem ausschließlich App-Kontext in ihrer Organisation ausgeführt werden. Damit diese Apps, die im ausschließlich App-Modus ausgeführt werden, auf IB-geschützte Websites zugreifen können, können SharePoint-Admins die Abonnement-Funktion aktivieren.

Wichtig

Richtlinien für Informationsbarrieren können sich auf Anwendungen auswirken, die im ausschließlich App-Modus auf Websites zugreifen. Wir empfehlen, die Richtlinie zu aktivieren und anschließend die Nutzungserfahrung der in Ihrer Organisation verwendeten Apps zu testen.

Führen Sie den folgenden Befehl aus, um Anwendungen, die im ausschließlich App-Modus ausgeführt werden, den Zugriff auf IB-Websites zu ermöglichen:

Set-SPOTenant -AppBypassInformationBarriers $true

Wenn Sie in Ihrer Organisation die Anwendung für Teams-Besprechungsaufzeichnung oder EDU-Zuweisung aktivieren, führen Sie den folgenden Befehl aus, um diesen Anwendungen die Interaktion mit IB-geschützten Websites zu erlauben:

Set-SPOTenant -AppOnlyBypassPeoplePickerPolicies $true

Beispielszenario

Das folgende Beispiel stellt drei Segmente in einer Organisation dar: „Personalwesen“, „Vertrieb“ und „Forschung“. Eine Richtlinie für Informationsbarrieren blockiert die Kommunikation und Zusammenarbeit zwischen den Segmenten „Vertrieb“ und „Forschung“. Diese Segmente sind nicht kompatibel.

Beispiel für Segmente in einer Organisation.

Mit SharePoint-Informationsbarrieren kann ein SharePoint-Admin oder ein globaler Admin Segmente einer Website zuordnen, um zu verhindern, dass die Website mit Benutzern außerhalb dieser Segmente geteilt oder von ihnen aufgerufen wird. Sie können einer Website bis zu 100 kompatible Segmente zuordnen. Sie ordnen die Segmente auf Websiteebene (früher als Websitesammlungsebene bezeichnet) zu. Die Microsoft 365-Gruppe, die mit dem Standort verbunden ist, ist auch dem Segment des Standorts zugeordnet.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle „globaler Administrator“ trägt zur Verbesserung der Sicherheit Ihrer Organisation bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Im vorherigen Beispiel ist das Segment „Personalwesen“ sowohl mit „Vertrieb“ als auch mit „Forschung“ kompatibel. Da die Segmente „Vertrieb“ und „Forschung“ jedoch inkompatibel sind, können Sie sie nicht derselben Website zuordnen.

Voraussetzungen

  1. Stellen Sie sicher, dass die Lizenzierungsanforderungen für Informationsbarrieren erfüllt sind.
  2. Erstellen Sie Richtlinien für Informationsbarrieren, die die Kommunikation zwischen den Segmenten erlauben oder blockieren, und setzen Sie diese dann auf aktiv. Erstellen Sie Segmente, und definieren Sie die Benutzer in den einzelnen Segmenten.
  3. Warten Sie 24 Stunden nach der Konfiguration und Aktivierung Ihrer Richtlinien für Informationsbarrieren, damit die Änderungen in Ihrer Organisation wirksam werden.
  4. Führen Sie die Schritte in den folgenden Abschnitten aus, um SharePoint- und OneDrive-Informationsbarrieren in Ihrer Organisation zu aktivieren und zu verwalten.

Aktivieren Sie die SharePoint- und OneDrive-Informationsbarrieren in Ihrer Organisation

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle „globaler Administrator“ trägt zur Verbesserung der Sicherheit Ihrer Organisation bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

SharePoint-Admins oder globale Admins können Informationsbarrieren in SharePoint und OneDrive in Ihrer Organisation aktivieren. Führen Sie die folgenden Schritte aus, um Informationsbarrieren für Ihre Organisation zu aktivieren:

  1. Neueste Version der SharePoint Online-Verwaltungsshell herunterladen und installieren.

  2. Stellen Sie eine Verbindung mit SharePoint Online als globaler Admin oder SharePoint-Admin in Microsoft 365 her. Eine Anleitung dazu finden Sie unter Erste Schritte mit der Microsoft Office SharePoint Online-Verwaltungsshell.

  3. Führen Sie den folgenden Befehl aus, um Informationsbarrieren in SharePoint und OneDrive zu aktivieren:

    Set-SPOTenant -InformationBarriersSuspension $false

  4. Warten Sie ungefähr eine Stunde, bis die Änderungen wirksam werden, nachdem Sie Informationsbarrieren für SharePoint und OneDrive in Ihrer Organisation aktiviert haben.

Hinweis

Wenn Sie Informationsbarrieren für SharePoint in Ihrer Organisation vor dem 15. März 2022 aktiviert haben, basieren die Standardzugriffs- und Freigabesteuerungen für den impliziten Modus bei mit Microsoft Teams verbundenen Websites auf den Segmenten, die der Website zugeordnet sind.

Führen Sie den folgenden Befehl aus, um die zugriffs- und freigabebasierte Steuerung auf Basis der Microsoft 365-Gruppenmitgliedschaft für alle im impliziten Modus betriebenen, mit Teams verbundenen Websites in Ihrem Mandanten zu aktivieren:

Set-SPOTenant -IBImplicitGroupBased $true

Wenn Sie eine frühere Version der SharePoint Online-Verwaltungsshell installiert haben, führen Sie die folgenden Schritte aus:

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle „globaler Administrator“ trägt zur Verbesserung der Sicherheit Ihrer Organisation bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

  1. Wechseln Sie zu Programme hinzufügen oder entfernen und deinstallieren Sie SharePoint Online-Verwaltungsshell.

  2. Navigieren Sie zum Microsoft Download Center für die SharePoint Online-Verwaltungsshell, wählen Sie Ihre Sprache aus und klicken Sie dann auf Herunterladen.

  3. Sie werden möglicherweise aufgefordert, eine x64- oder eine x86-MSI-Datei auszuwählen. Laden Sie die x64-Datei herunter, wenn Sie mit der 64-Bit-Version von Windows arbeiten, oder die x86-Datei, wenn Sie mit der 32-Bit-Version auf Windows arbeiten. Wenn Sie nicht wissen, welche Version auf Ihrem Computer ausgeführt wird, lesen Sie Welche Version des Windows-Betriebssystems verwende ich?.

  4. Führen Sie nach Abschluss des Downloads die Installationsdatei aus, und führen Sie die Konfigurationsschritte im Setupworkflow aus.

  5. Stellen Sie eine Verbindung mit SharePoint Online als globaler Admin oder SharePoint-Admin in Microsoft 365 her. Eine Anleitung dazu finden Sie unter Erste Schritte mit der Microsoft Office SharePoint Online-Verwaltungsshell.

  6. Führen Sie den folgenden Befehl aus, um Informationsbarrieren in SharePoint und OneDrive zu aktivieren:

    Set-SPOTenant -InformationBarriersSuspension $false

  7. Warten Sie ungefähr eine Stunde, bis die Änderungen wirksam werden, nachdem Sie Informationsbarrieren in SharePoint und OneDrive in Ihrer Organisation konfiguriert haben.

Hinweis

Wenn Sie Informationsbarrieren für SharePoint in Ihrer Organisation vor dem 15. März 2022 aktiviert haben, basieren die Standardzugriffs- und Freigabesteuerungen für den impliziten Modus bei mit Microsoft Teams verbundenen Websites auf den Segmenten, die der Website zugeordnet sind.

Führen Sie den folgenden Befehl aus, um die Zugriffs- und Freigabe- Steuerung auf Basis der Microsoft 365-Gruppenmitgliedschaft für alle im impliziten Modus betriebenen Websites in Ihrer Organisation zu aktivieren:

Set-SPOTenant -IBImplicitGroupBased $true

Hinweis

Wenn Sie über Microsoft 365 Multi-Geo verfügen, führen Sie diesen Befehl für jeden Ihrer geografischen Standorte aus.

Anzeigen und Verwalten von Segmenten als Admin

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle „globaler Administrator“ trägt zur Verbesserung der Sicherheit Ihrer Organisation bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

SharePoint-Admins oder globale Admins können Segmente auf einer SharePoint-Website anzeigen und verwalten. Ihre Organisation kann bis zu 5.000 Segmente enthalten, und Benutzer können mehreren Segmenten zugewiesen werden.

Wichtig

Die Unterstützung für 5.000 Segmente und die Zuweisung von Benutzern zu mehreren Segmenten ist nur verfügbar, wenn sich Ihre Organisation nicht im Legacymodus befindet. Die Zuweisung von Benutzenden zu mehreren Segmenten erfordert zusätzliche Schritte, um den Modus für Informationsbarrieren in Ihrer Organisation zu ändern. Weitere Informationen finden Sie unter Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren.

Für Organisationen im Legacy-Modus werden maximal 250 Segmente unterstützt, und Benutzer können nur einem Segment zugewiesen werden. Organisationen im Legacy-Modus sind berechtigt, in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchzuführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.

Anzeigen und Verwalten von Segmenten für Informationsbarrieren wie folgt:

1. Anzeigen und Verwalten von Informationssegmenten im SharePoint Admin Center

Verwenden Sie Aktive Websites im SharePoint Admin Center, um Informationssegmente für eine Website anzuzeigen, zu bearbeiten oder zu entfernen.

In der Spalte „Segmente“ wird das erste Segment aufgelistet, das der Website zugeordnet ist, und angezeigt, ob der Website weitere Segmente zugeordnet sind. Erfahren Sie, wie Sie diese Spalte anzeigen oder verschieben können

Spalte „Segmente“ auf der Seite „Aktive Websites“.

Um die vollständige Liste der Segmente anzuzeigen, die einer Website zugeordnet sind, wählen Sie den Websitenamen aus, um den Detailbereich zu öffnen, und wählen Sie dann die Registerkarte Einstellungen aus.

Um die der Website zugeordneten Segmente zu bearbeiten, wählen Sie Bearbeiten aus, fügen Sie Segmente hinzu oder entfernen Sie diese und wählen Sie dann Speichern aus.

Informationssegmente bearbeiten.

2. Verwenden von SharePoint PowerShell zum Anzeigen und Verwalten von Informationssegmenten auf einer Website

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle „globaler Administrator“ trägt zur Verbesserung der Sicherheit Ihrer Organisation bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

  1. Stellen Sie eine Verbindung mit der Security & Compliance Center PowerShell als globaler Admin her.

  2. Führen Sie den folgenden Befehl aus, um die Liste der Segmente und deren GUIDs abzurufen.

    Get-OrganizationSegment | ft Name, EXOSegmentID

  3. Speichern Sie die Liste der Segmente.

    Name EXOSegmentId
    Vertrieb a9592060-c856-4301-b60f-bf9a04990d4d
    Forschung 27d20a85-1c1b-4af2-bf45-a41093b5d111
    Personalwesen a17efb47-e3c9-4d85-a188-1cd59c83de32

  4. Wenn Sie diesen Schritt noch nicht abgeschlossen haben, laden Sie die neueste SharePoint Online-Verwaltungsshell herunter und installieren Sie sie. Wenn Sie eine frühere Version der SharePoint Online-Verwaltungsshell installiert haben, befolgen Sie die Anweisungen im Abschnitt Aktivieren von SharePoint- und OneDrive-Informationsbarrieren in Ihrer Organisation in diesem Artikel.

  5. Stellen Sie eine Verbindung mit SharePoint Online als globaler Admin oder SharePoint-Admin in Microsoft 365 her. Eine Anleitung dazu finden Sie unter Erste Schritte mit der Microsoft Office SharePoint Online-Verwaltungsshell.

  6. Führen Sie den folgenden Befehl aus:

    Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>

    Zum Beispiel:

    Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

Wenn Sie versuchen, ein Segment zuzuordnen, das mit den vorhandenen Segmenten der Website nicht kompatibel ist, wird eine Fehlermeldung angezeigt.

Hinweis

Wenn Sie einer Website ein Segment hinzufügen, wird der IB-Modus der Website automatisch als Explicit aktualisiert.

Führen Sie den folgenden Befehl aus, um ein Segment von einer Website zu entfernen:

Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>

Beispiel:

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

Hinweis

Wenn Sie alle Segmente von einer Website entfernen, wird der IB-Modus der Website automatisch auf Offen aktualisiert.

Führen Sie zum Anzeigen der Segmente einer Website den folgenden Befehl aus, um die GUIDs aller Segmente zurückzugeben, die der Website zugeordnet sind.

Get-SPOSite -Identity <site URL> | Select InformationSegment

3. Verwenden Sie die SharePoint-REST-API, um Informationssegmente auf einer Website anzuzeigen und zu verwalten

SharePoint enthält einen REST-Dienst (Representational State Transfer), mit dem Sie Segmente auf einer Website verwalten können. Um auf SharePoint-Ressourcen zuzugreifen und Websitesegmente mithilfe von REST zu verwalten, erstellen Sie eine RESTful-HTTP-Anforderung mit dem OData-Standard. Diese Anforderung entspricht der gewünschten Anwendungsprogrammierschnittstelle (API) des Clientobjektmodells.

Weitere Informationen zum SharePoint REST-Dienst finden Sie unter Grundlegendes zum SharePoint-REST-Dienst.

Zeigen Sie als Admin mit SharePoint PowerShell IB-Modi an und verwalten Sie sie

Führen Sie den folgenden Befehl aus, um den IB-Modus einer Website anzuzeigen:

Get-SPOSite -Identity <site URL> | Select InformationBarriersMode

Szenario für den Modus „Vom Besitzer moderiert“

Sie möchten es einem Vertriebs- und Forschungsbenutzer ermöglichen, auf einer SharePoint-Website zusammenzuarbeiten, wenn ein PW-Benutzer anwesend ist.

Vom Besitzer moderiert ist ein Modus, der auf Websites (Teams-verbundene Websites, nicht mit Gruppen verbundene Websites) anwendbar ist und inkompatiblen Segmentbenutzern den Zugriff auf die Website erlaubt. Nur die Websitebesitzer können inkompatible Segmentbenutzer auf derselben Website einladen.

Führen Sie den folgenden PowerShell-Befehl aus, um den Modus einer Website auf Vom Besitzer moderiert zu aktualisieren:

Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated

Sie können den IB-Modus „Vom Besitzer moderiert“ nicht auf einer Website mit Segmenten festlegen. Entfernen Sie zuerst die Segmente, bevor Sie den IB-Modus auf „Vom Besitzer moderiert“ festlegen. Benutzer mit Websitezugriffsberechtigungen können auf eine vom Benutzer moderierte Website zugreifen. Nur die Websitebesitzer können eine vom Besitzer moderierte Website und deren Inhalte gemäß ihrer IB-Richtlinie freigeben.

Überwachung

Sie können Überwachungsereignisse im Microsoft Purview-Portal anzeigen, um Aktivitäten von Informationsbarrieren zu überwachen. Das System protokolliert Überwachungsereignisse für die folgenden Aktivitäten:

  • Informationsbarrieren für SharePoint und OneDrive aktivieren
  • Anwenden eines Segments auf eine Website
  • Ändern des Segments einer Website
  • Entfernen des Segments einer Website
  • Anwenden des Modus Informationsbarrieren auf eine Website
  • Ändern des Informationsbarrierenmodus einer Website
  • Informationsbarrieren für SharePoint und OneDrive deaktivieren

Weitere Informationen zur Überwachung von SharePoint-Segmenten in Office 365 finden Sie unter Durchsuchen des Überwachungsprotokolls im Microsoft Purview-Portal.

Websiteerstellung und -verwaltung durch Websitebesitzer

Wenn ein segmentierter Benutzer eine SharePoint-Website erstellt, wird die Website dem Segment des Benutzers zugeordnet, und der Informationsbarrieremodus der Website wird automatisch auf Explicit festgelegt.

Websitebesitzer können einer SharePoint-Website, die bereits über Segmente verfügt und deren Modus auf Explicit festgelegt ist, weitere Segmente hinzufügen. Websitebesitzer können keine hinzugefügten Segmente von Websites entfernen. SharePoint-Admins müssen bei Bedarf hinzugefügte Segmente in Ihrer Organisation entfernen.

Wenn ein nicht segmentierter Benutzer eine SharePoint-Website erstellt, wird die Website keinem Segment zugeordnet, und der Informationsbarrieremodus der Website wird automatisch auf Offen festgelegt.

Wenn ein SharePoint-Admin eine SharePoint-Website aus dem SharePoint Admin Center erstellt, wird die Website keinem Segment zugeordnet, und der IB-Modus der Website wird auf Offen festgelegt.

Um Websitebesitzern beim Hinzufügen eines Segments zu einer Website zu helfen, teilen Sie den Artikel Zuordnen von Informationssegmenten zu SharePoint-Websites mit Ihren SharePoint-Websitebesitzer.

Microsoft Teams-Websites

Wenn Sie ein Team in Microsoft Teams erstellen, erstellen Sie auch automatisch eine SharePoint-Website für die Dateien des Teams. Um die Microsoft Teams-Websites mit der Steuerung von Informationsbarrieren zu schützen, können Sie Informationsbarrieren in SharePoint für Ihren Mandanten aktivieren.

Innerhalb von 24 Stunden wird der Informationsbarrieremodus der Website automatisch auf Implizit festgelegt, und Segmente, die den Mitgliedern des Teams zugeordnet sind, werden der Website zugeordnet.

Microsoft Teams-Websites mit dem Informationsbarrieremodus Implizit verfügen über Websitezugriff und -freigabe basierend auf der Microsoft 365-Gruppenmitgliedschaft.

Beispielsweise haben Benutzer Zugriff auf die Microsoft Teams-Website, wenn sie Mitglieder der Microsoft 365-Gruppe sind, die mit der Website verbunden ist. Die mit dem Team verbundene Microsoft 365-Gruppe ist IB-konform.

Hinweis

Wenn Sie Informationsbarrieren für SharePoint in Ihrer Organisation vor dem 15. März 2022 aktiviert haben, basiert der Zugriff und die Freigabe der mit Teams verbundenen Website auf den Segmenten der Website. Zum Beispiel:

  • Die Website und deren Inhalt können für Benutzer freigegeben werden, deren Segment mit dem der Website übereinstimmt.
  • Auf die Website und deren Inhalt kann ein Benutzer zugreifen, wenn er über dasselbe Segment wie die Website verfügt und über Websitezugriffsberechtigungen verfügt.

Führen Sie den folgenden Befehl aus, um die Zugriffs- und Freigabe- Steuerung auf Basis der Microsoft 365-Gruppenmitgliedschaft für alle im impliziten Modus betriebenen Websites in Ihrer Organisation als SharePoint-Admin zu aktivieren:

Set-SPOTenant -IBImplicitGroupBased $true

Private Kanäle und Informationsbarrieren

Wenn Sie SharePoint-Informationsbarrieren in Ihrer Organisation aktivieren, erbt jede neue private Kanalwebsite innerhalb von 24 Stunden automatisch den IB-Modus des übergeordneten Microsoft Teams. Der Modus für einen privaten Kanal wird wie folgt zugewiesen:

IB-Modus des übergeordneten Teams IB-Modus der Website für private Kanäle
Öffnen Öffnen
Implizit oder vom Besitzer moderiert Implizit

Der Zugriff auf und die Freigabe von Websites des privaten Kanals wird durch den IB-Modus gesteuert:

  • Private Kanalwebsite mit offenem Informationsbarrieren-Modus

    • Der Zugriff ist allen Personen gestattet, die über Websitezugriffsberechtigungen verfügen
    • Freigabelinks sind gemäß der vorhandenen Freigaberichtlinie der Website zulässig
    • Die Personen-Auswahl ermöglicht die Auffindbarkeit von Benutzern gemäß der IB-Richtlinie der freigebenden Person

  • Private Kanalwebsite mit implizitem Informationsbarrieren-Modus

    • Der Zugriff ist für Benutzer zulässig, die derzeit Mitglied des privaten Kanals sind
    • Die Freigabe ist mithilfe von Personen mit vorhandenem Zugriffslink zulässig

Private Kanalwebsites, die bereits in Ihrer Organisation konfiguriert sind, haben ihren Informationsbarrieren-Modus auf Offen eingestellt. Um vorhandene private Kanalwebsites in den impliziten Modus zu versetzen, führen Sie das folgende Cmdlet im SharePoint PowerShell-Modul aus:

Set-Sposite -Identity <site URL> -InformationBarriersMode Implicit

Weitere Informationen zum Verwalten von mit Microsoft Teams verbundenen Teams-Websites.

Benutzern werden Suchergebnisse aus folgenden Quellen angezeigt:

  • Segmenten zugeordnete Websites: Wenn das Segment der Website mit dem Segment des Benutzers übereinstimmt und der Benutzer über Zugriffsberechtigungen für die Website verfügt. Beispielsweise eine Website mit explizitem Modus.
  • Nicht segmentierte Websites: Wenn der Benutzer bereits Zugriff auf den Inhalt oder die Website hat. Beispielsweise Websites mit offenem, vom Besitzer moderierten oder implizitem Modus. Wenn der Benutzer das Suchergebnis auswählt, um den Inhalt auf der Website zu öffnen, wird der Zugriff verweigert, falls die IB-Richtlinie der Website nicht erfüllt ist.

Mandantenweite Suche und Copilot-Erfahrung

Die Benutzererfahrung ist wie folgt:

  • Segmenten zugeordnete Websites: Wenn das Segment der Website mit dem Segment des Benutzers übereinstimmt und der Benutzer über Zugriffsberechtigungen für die Website verfügt. Beispielsweise eine Website mit explizitem Modus. 

  • Websites im offenem Modus: Wenn der Benutzer bereits Zugriff auf den Inhalt oder die Website hat. 

  • Websites im impliziten und vom Besitzer moderierten Modus:

    • Wenn der Benutzer bereits Zugriff auf den Inhalt oder die Website hat.

    • Wenn der Benutzer vor der Anwendung der Richtlinie Zugriff auf die Website und deren Inhalte hatte, werden ihm Website und deren Inhalte weiterhin in Such- und Copilot-Ergebnissen angezeigt. Beim Versuch, den Inhalt zu öffnen, wird der Zugriff jedoch verweigert, wenn die IB-Richtlinie der Website nicht eingehalten wird. 

Auswirkungen von Änderungen an Benutzersegmenten

Wenn sich das Segment eines SharePoint-Websitebesitzers oder -Mitglieds ändert, bleibt der Zugriff auf die Website oder den Inhalt gemäß dem IB-Modus der Website erhalten:

  • Offener Modus: Der Benutzer kann auf die Website zugreifen, wenn er über bestehende Zugriffsberechtigungen für die Website verfügt.
  • Vom Benutzer moderiert: Der Benutzer kann auf die Website zugreifen, wenn er über bestehende Zugriffsberechtigungen für die Website verfügt.
  • Impliziter Modus: Wenn der Benutzer Mitglied der Microsoft 365-Gruppe ist, behält er den Zugriff auf die Website.
  • Expliziter Modus: Wenn das neue Segment des Benutzers mit dem Segment der Website übereinstimmt und der Benutzer über Zugriffsberechtigungen für die Website verfügt, behält er den Zugriff auf die Website.

Auswirkungen von Änderungen an Benutzersegmenten oder Richtlinien für Informationsbarrieren

Wenn ein Compliance-Admin eine bestehende IB-Richtlinie ändert, kann dies die Kompatibilität der Segmente beeinflussen, die einer Website zugeordnet sind (im expliziten oder impliziten Modus*). Segmente, die zuvor kompatibel waren, sind dann möglicherweise nicht mehr kompatibel.

Mit dem Bericht zur Richtlinienkonformität von Informationsbarrieren kann der SharePoint-Admin die Liste der Websites anzeigen, bei denen die Segmente nicht mehr kompatibel sind. Weitere Informationen finden Sie unter Erfahren Sie Näheres zum Erstellen eines Compliance-Berichts zu Richtlinien für Informationsbarrieren in PowerShell.

So verwalten Sie Websites, die nicht konform sind:

  • Im expliziten Modus muss ein SharePoint-Admin die zugeordneten Segmente ändern, um die IB-Konformität sicherzustellen.
  • Im impliziten Modus kann ein SharePoint-Admin Segmente nicht direkt verwalten. Wir empfehlen dem Teams-Admin, die Mitgliedschaft des Teams zu verwalten, um die Mitgliederliste und Segmente in Einklang mit den Informationsbarrieren zu bringen.

So halten Sie die SharePoint- und OneDrive-Informationsbarrieren in Ihrer Organisation an

Wenn Ihre Organisation Informationsbarrieren in SharePoint vorübergehend anhalten möchte, verwenden Sie die SharePoint Online-Verwaltungsshell und das Cmdlet Set-Spotenant.

Führen Sie den folgenden Befehl aus, um Informationsbarrieren anzuhalten:

Set-SPOTenant -InformationBarriersSuspension $true

Hinweis

Wenn Sie über Microsoft 365 Multi-Geo verfügen, führen Sie diesen Befehl für jeden Ihrer geografischen Standorte aus.

Freigabe von Websites im offenen Modus mit E-Mail-aktivierten Sicherheitsgruppen zulassen

IB unterstützt eine Abonnement-Funktion, die im SharePoint PowerShell-Modul für Websites im offenen Modus verfügbar ist, damit diese mit E-Mail-aktivierten Sicherheitsgruppen für Websiteberechtigungen, Freigabe und Zielgruppenadressierung geteilt werden können. Diese Funktion wird nur für Websites im offenen Modus unterstützt. SharePoint-Admins können diese Unterstützung in Ihrer Organisation aktivieren. Es wird empfohlen, sicherzustellen, dass die Sicherheitsgruppenmitgliedschaft IB-konform ist.

Vergewissern Sie sich vor dem Aktivieren der Gruppenunterstützung, dass die folgenden Voraussetzungen erfüllt sind:

Führen Sie den folgenden Befehl aus, um die Unterstützung für E-Mail-aktivierte Sicherheitsgruppen in Websites im offenenModus zu konfigurieren:

Set-SPOTenant -ShowPeoplePickerGroupSuggestionsForIB $true

Ressourcen

  • Last updated on