Usar barreras de información con OneDrive
Las barreras de información de Microsoft Purview son directivas de Microsoft 365 que un administrador de cumplimiento puede configurar para evitar que los usuarios se comuniquen y colabore entre sí. Esta solución es útil si, por ejemplo, una división controla información que no debe compartirse con otras divisiones específicas, o si es necesario impedir o aislar una división para colaborar con todos los usuarios fuera de la división. Las barreras de información se usan a menudo en sectores altamente regulados y en aquellas organizaciones con requisitos de cumplimiento, como finanzas, legales y gubernamentales.
Para OneDrive, las barreras de información pueden determinar y evitar los siguientes tipos de colaboraciones no autorizadas:
- Acceso de usuario a OneDrive o contenido almacenado
- Uso compartido de OneDrive o contenido almacenado con otros usuarios
Modos de barreras de información y OneDrive
Cuando se habilitan las barreras de información en SharePoint y OneDrive, OneDrive de los usuarios segmentados se protege automáticamente con directivas de IB. Los modos de barreras de información ayudan a reforzar el acceso, el uso compartido y la pertenencia a un sitio de OneDrive en función de su modo IB y los segmentos asociados a OneDrive.
Al usar barreras de información con OneDrive, se admiten los siguientes modos de IB:
| Mode | Descripción |
|---|---|
| Abrir | Cuando un usuario no segmentado aprovisiona su OneDrive, el modo IB del sitio se establece como Abierto de forma predeterminada. No hay segmentos asociados al sitio. |
| Moderado por el propietario | Cuando se usa OneDrive para la colaboración con usuarios incompatibles en presencia del propietario o moderador del sitio, el modo IB de OneDrive se puede establecer como Moderador del propietario. Consulte esta sección para obtener más información sobre el sitio moderado por el propietario. |
| Explicit | Cuando un usuario segmentado aprovisiona su OneDrive dentro de las 24 horas posteriores a la habilitación, el modo IB del sitio se establece como Explícito de forma predeterminada. El segmento del usuario y otros segmentos que son compatibles con el segmento del usuario y entre sí se asocian al OneDrive del usuario. |
| Mixed | Cuando se permite compartir OneDrive de un usuario segmentado con usuarios no segmentados, el modo IB del sitio se puede establecer como Mixto. Este es un modo de participación que el administrador de SharePoint puede establecer en OneDrive de un usuario segmentado. |
Nota:
A partir del 12 de julio de 2022, el modo inferido ha cambiado al modo mixto . La funcionalidad del modo sigue siendo la misma.
Uso compartido de archivos desde OneDrive
Abrir
Cuando OneDrive no tiene segmentos y el modo IB como Abierto:
- El usuario puede compartir archivos y carpetas en función de la directiva de barrera de información aplicada al usuario y de la configuración de uso compartido de OneDrive.
Moderado por el propietario
Cuando un sitio tiene el modo de barreras de información se establece en Moderado por el propietario:
- La opción para compartir con cualquiera con el vínculo está deshabilitada.
- La opción para compartir con el vínculo de toda la empresa está deshabilitada.
- El sitio y su contenido se pueden compartir con miembros existentes.
- El sitio y su contenido solo los puede compartir el propietario de OneDrive según su directiva de IB.
Explicit
Cuando un OneDrive tiene segmentos de barreras de información y el modo se establece en Explícito:
- La opción para compartir con cualquiera con el vínculo está deshabilitada.
- La opción para compartir con el vínculo de toda la empresa está deshabilitada.
- Los archivos y carpetas solo se pueden compartir con usuarios cuyo segmento coincida con el de OneDrive.
Mixtos
Cuando un OneDrive tiene segmentos de barreras de información y el modo se establece en Mixto:
- La opción para compartir con cualquiera con el vínculo está deshabilitada.
- La opción para compartir con el vínculo de toda la empresa está deshabilitada.
- Los archivos y las carpetas se pueden compartir con usuarios cuyo segmento coincide con el de OneDrive y los usuarios no inicializados del inquilino.
Acceso a archivos compartidos desde OneDrive
Modo de apertura
Para que un usuario acceda al contenido de un OneDrive que no tiene segmentos asociados y el modo IB como Abierto:
- Los archivos deben compartirse con el usuario.
Modo moderado por el propietario
Para que un usuario acceda a un sitio de SharePoint con el modo de barreras de información del sitio se establece en Moderado por el propietario:
- El usuario tiene permisos de acceso al sitio.
Modo explícito
Para que un usuario acceda al contenido de un OneDrive que tenga segmentos y el modo IB establecido en Explícito:
El segmento del usuario debe coincidir con un segmento asociado a OneDrive.
Y
Los archivos deben compartirse con el usuario.
Nota:
De forma predeterminada, los usuarios que no son de segmento solo pueden acceder a archivos compartidos de OneDrive desde otros usuarios que no sean de segmento con modos IB como Abrir. No pueden acceder a archivos compartidos desde OneDrive que tienen segmentos aplicados y el modo IB es Explícito.
Modo mixto
Para que un usuario segmentado acceda al contenido de un OneDrive que tenga segmentos y el modo IB establecido como Mixto:
El segmento del usuario debe coincidir con un segmento asociado a OneDrive.
Y
Los archivos deben compartirse con el usuario.
Para que un usuario no segmentado acceda al contenido de un OneDrive que tenga segmentos y el modo IB establecido como Mixto:
- El usuario debe tener permisos de acceso al sitio.
Escenario de ejemplo
En el ejemplo siguiente se muestran tres segmentos de una organización: RR. HH., Ventas e Investigación. Se ha definido una directiva de barrera de información que bloquea la comunicación y la colaboración entre los segmentos Sales e Research.
Con las barreras de información en OneDrive, cuando se aplica un segmento a un usuario, en un plazo de 24 horas ese segmento se asocia automáticamente a OneDrive del usuario. Otros segmentos que son compatibles con el segmento del usuario y entre sí también se asociarán con OneDrive. Un OneDrive puede tener hasta 100 segmentos asociados. Un administrador global o de SharePoint puede administrar estos segmentos mediante PowerShell, como se describe más adelante en la sección Asociar o quitar segmentos adicionales en OneDrive de un usuario.
La tabla siguiente muestra los efectos de esta configuración de ejemplo:
| Componentes | Usuarios de RR. HH. | Usuarios de ventas | Investigación de usuarios | Usuarios que no son de segmento |
|---|---|---|---|---|
| Segmentos asociados a OneDrive | HR | Ventas, RR. HH. | Investigación, RR. HH. | Ninguno |
| Modo IB en OneDrive | Explicit | Explicit | Explicit | Abrir |
| El contenido de OneDrive se puede compartir con | Solo RR. HH. | Ventas y recursos humanos | Investigación y RR. HH. | Cualquier usuario en función de la configuración de uso compartido seleccionada |
| Se puede acceder al contenido de OneDrive mediante | Solo RR. HH. | Ventas y recursos humanos | Investigación y RR. HH. | Cualquier persona con la que se haya compartido el contenido |
Habilitación de barreras de información de SharePoint y OneDrive en su organización
La habilitación de barreras de información para SharePoint y OneDrive se configura en una sola acción. Las barreras de información para los servicios no se pueden habilitar por separado. Para habilitar las barreras de información para OneDrive, vea Habilitar las barreras de información de SharePoint y OneDrive en su organización. Después de habilitar las barreras de información para SharePoint y OneDrive, continúe con las instrucciones de OneDrive de este artículo.
Requisitos previos
- Asegúrese de cumplir los requisitos de licencia para las barreras de información.
- Cree directivas de barrera de información que permitan o bloqueen la comunicación entre los segmentos y activen las directivas. Cree segmentos y defina los usuarios en cada uno de ellos.
- Después de configurar y activar las directivas de barrera de información, espere 24 horas para que los cambios se propaguen a través de la organización.
- Habilitar barreras de información para OneDrive. La habilitación de barreras de información para SharePoint y OneDrive se configura en una sola acción y estos servicios no se pueden habilitar por separado. Para habilitar las barreras de información para OneDrive, consulte las instrucciones y los pasos del artículo Uso de barreras de información con SharePoint .
- Complete los pasos de las secciones siguientes para personalizar y administrar las barreras de información para OneDrive en su organización.
Uso de PowerShell para ver los segmentos asociados a OneDrive
Importante
Microsoft recomienda usar roles con los permisos más mínimos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
Un administrador global o administrador de SharePoint puede ver y cambiar los segmentos asociados a OneDrive de un usuario. Su organización puede tener hasta 5000 segmentos y los usuarios se pueden asignar a varios segmentos.
Importante
La compatibilidad con 5000 segmentos y la asignación de usuarios a varios segmentos solo está disponible cuando la organización no está en modo heredado . La asignación de usuarios a varios segmentos requiere acciones adicionales para cambiar el modo de barreras de información para su organización. Para obtener más información, consulte Uso de compatibilidad con varios segmentos en barreras de información) para obtener más información.
En el caso de las organizaciones en modo heredado , el número máximo de segmentos admitidos es de 250 y los usuarios están restringidos a asignarse a un solo segmento. Las organizaciones en modo heredado podrán actualizar a la versión más reciente de las barreras de información en el futuro. Para obtener más información, consulte el mapa de ruta de barreras de información.
Conéctese a PowerShell del Centro de cumplimiento de seguridad & como administrador global.
Ejecute el siguiente comando para obtener la lista de segmentos y sus GUID.
Get-OrganizationSegment | ft Name, EXOSegmentIDGuarde la lista de segmentos.
Nombre EXOSegmentId Ventas a9592060-c856-4301-b60f-bf9a04990d4d Referencia 27d20a85-1c1b-4af2-bf45-a41093b5d111 HR a17efb47-e3c9-4d85-a188-1cd59c83de32 Si no se completó anteriormente, descargue e instale el shell de administración de SharePoint Online más reciente. Si instaló una versión anterior del Shell de administración de SharePoint Online, siga las instrucciones del artículo Habilitar barreras de información de SharePoint y OneDrive en su organización .
Conéctese a SharePoint como un administrador global o como un administrador de SharePoint en Microsoft 365. Para saber cómo hacerlo, consulte Introducción al Shell de administración de SharePoint Online.
Ejecute el comando siguiente:
Get-SPOSite -Identity <site URL> | Select InformationSegmentPor ejemplo:
Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationSegment
Administración de segmentos en OneDrive de un usuario
Advertencia
Si los segmentos asociados a OneDrive de un usuario no coinciden con el segmento aplicado al usuario, el usuario no podrá acceder a su OneDrive. Tenga cuidado de no asociar ningún segmento con OneDrive de un usuario que no sea de segmento.
Nota:
Los cambios que realice se sobrescribirán si cambia el segmento del usuario.
Para asociar un segmento a OneDrive, ejecute el siguiente comando en el Shell de administración de SharePoint Online.
Importante
La compatibilidad con 5000 segmentos y la asignación de usuarios a varios segmentos solo está disponible cuando la organización no está en modo heredado . La asignación de usuarios a varios segmentos requiere acciones adicionales para cambiar el modo de barreras de información para su organización. Para obtener más información, consulte Uso de compatibilidad con varios segmentos en barreras de información) para obtener más información.
En el caso de las organizaciones en modo heredado , el número máximo de segmentos admitidos es de 250 y los usuarios están restringidos a asignarse a un solo segmento. Las organizaciones en modo heredado podrán actualizar a la versión más reciente de las barreras de información en el futuro. Para obtener más información, consulte el mapa de ruta de barreras de información.
Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>
Por ejemplo:
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
Al agregar segmentos a OneDrive, el modo IB del sitio se actualiza automáticamente a Explícito. Aparecerá un error si intenta asociar un segmento que no es compatible con los segmentos existentes en OneDrive.
Importante
La compatibilidad con la asignación de usuarios a varios segmentos solo está disponible cuando la organización no está en modo heredado . Para determinar si su organización está en modo heredado, consulte Comprobación del modo IB para su organización).
Los usuarios están restringidos a asignarse a un solo segmento para organizaciones en modo heredado . Las organizaciones en modo heredado podrán actualizar a la versión más reciente de las barreras de información en el futuro. Para obtener más información, consulte el mapa de ruta de barreras de información.
Para quitar el segmento de una instancia de OneDrive, ejecute el siguiente comando.
Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>
Por ejemplo:
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
Si se quitan todos los segmentos de un sitio de OneDrive, el modo IB de OneDrive se actualiza automáticamente a Abrir.
Administración del modo IB de OneDrive de un usuario (versión preliminar)
Importante
Microsoft recomienda usar roles con los permisos más mínimos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
Para ver el modo IB de un sitio de OneDrive, ejecute el siguiente comando en el Shell de administración de SharePoint Online como administrador de SharePoint o administrador global:
Get-SPOSite -Identity <site URL> | Select InformationBarriersMode
Por ejemplo:
Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode
Un administrador de SharePoint o un administrador global también tiene la capacidad de administrar el modo IB de un sitio de OneDrive para satisfacer las necesidades de su organización con nuevos modos de IB:
Ejemplo del modo moderado por el propietario
Permitir que un usuario de segmento incompatible acceda a OneDrive. Por ejemplo, quiere permitir que los usuarios del segmento Sales e Research del inquilino accedan a OneDrive del usuario de RR. HH.
Owner Moderated es un modo aplicable al sitio de OneDrive que permite a los usuarios de segmentos incompatibles acceder a OneDrive en presencia de un moderador o propietario. Solo el propietario del sitio tiene la capacidad de invitar a usuarios de segmento incompatibles en el mismo sitio.
Para actualizar un modo IB de sitio de OneDrive a Moderado por el propietario, ejecute el siguiente comando de PowerShell:
Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated
El modo IB moderado por el propietario no se puede establecer en un sitio con segmentos. Quite los segmentos antes de establecer el modo IB como Moderado por el propietario. Se permite el acceso a un sitio moderado por el propietario para los usuarios que tienen permisos de acceso al sitio. El uso compartido de onedrive moderado por el propietario y su contenido solo lo permite el propietario del sitio según su directiva de IB.
Ejemplo de modo mixto
Permitir que los usuarios no asignados accedan a OneDrive asociado a segmentos. Por ejemplo, quiere permitir que el segmento de RR. HH. y los usuarios noegmentados del inquilino accedan a OneDrive del usuario de RR. HH. Modo mixto aplicable al sitio de OneDrive que permite a los usuarios segmentados y no segmentados acceder a OneDrive.
Para actualizar un modo IB de sitio de OneDrive a Mixto, ejecute el siguiente comando de PowerShell:
Set-SPOSite -Identity <siteurl> -InformationBarriersMode Mixed
El modo IB mixto no se puede establecer en un sitio sin segmentos. Agregue segmentos antes de establecer el modo IB como Mixto.
Efectos de los cambios en los segmentos de usuario
Si cambia el segmento de un usuario, el segmento de OneDrive y el modo IB se actualizarán automáticamente en un plazo de 24 horas, como se describe en la sección anterior a las barreras de información de OneDrive.
Ejemplo 1: El segmento del usuario actualizado de Investigación a Ventas, el OneDrive del usuario será el siguiente en un plazo de 24 horas:
- Segmento: Ventas, RR. HH.
- Modo IB: explícito
Ejemplo 2: El segmento del usuario actualizado de RR. HH. a Ninguno, el OneDrive del usuario será el siguiente en un plazo de 24 horas:
- Segmento: Ninguno
- Modo IB: Abrir
Efectos de los cambios en las directivas de barreras de información
Si un administrador de cumplimiento cambia una directiva existente, el cambio puede afectar a la compatibilidad de los segmentos asociados a OneDrive.
Por ejemplo, es posible que los segmentos que antes eran compatibles ya no sean compatibles. Un administrador de SharePoint debe cambiar los segmentos asociados a un sitio afectado en consecuencia. Obtenga información sobre cómo crear un informe de cumplimiento de directivas de barreras de información en PowerShell.
Si una directiva cambia después de que se compartan los archivos, los vínculos de uso compartido solo funcionarán si el usuario que intenta acceder a los archivos compartidos tiene aplicado un segmento que coincide con un segmento asociado a OneDrive.
Auditoría
Los eventos de auditoría están disponibles en el portal de Microsoft Purview y en el portal de cumplimiento de Microsoft Purview para ayudarle a supervisar las actividades de barrera de información. Los eventos de auditoría se registran para las actividades siguientes:
- Barreras de información habilitadas para SharePoint y OneDrive
- Segmento aplicado al sitio
- Segmento modificado del sitio
- Segmento eliminado del sitio
- Modo de barreras de información aplicadas al sitio
- Se ha cambiado el modo de barreras de información del sitio
- Barreras de información deshabilitadas para SharePoint y OneDrive
Para obtener más información sobre la auditoría de segmentos de OneDrive en Office 365, vea Buscar en el registro de auditoría.