Partager via

Utiliser les cloisonnements de l’information avec OneDrive

  • Article

Les obstacles à l’information Microsoft Purview sont des stratégies dans Microsoft 365 qu’un administrateur de conformité peut configurer pour empêcher les utilisateurs de communiquer et de collaborer entre eux. Cette solution est utile si, par exemple, une division gère des informations qui ne doivent pas être partagées avec d’autres divisions spécifiques, ou si une division doit être empêchée, ou isolée, de collaborer avec tous les utilisateurs en dehors de la division. Les obstacles à l’information sont souvent utilisés dans les secteurs hautement réglementés et les organisations ayant des exigences de conformité, telles que les finances, les services juridiques et le gouvernement.

Pour OneDrive, les obstacles à l’information peuvent déterminer et empêcher les types de collaborations non autorisées suivants :

  • Accès utilisateur à OneDrive ou au contenu stocké
  • Partage de OneDrive ou de contenu stocké avec d’autres utilisateurs

Modes d’obstacle à l’information et OneDrive

Lorsque des obstacles à l’information sont activés sur SharePoint et OneDrive, les onedrive des utilisateurs segmentés sont automatiquement protégés par des stratégies IB. Les modes d’obstacles à l’information aident à renforcer l’accès, le partage et l’appartenance à un site OneDrive en fonction de son mode IB et des segments associés à OneDrive.

Lorsque vous utilisez des barrières à l’information avec OneDrive, les modes IB suivants sont pris en charge :

Mode Description
Ouvert Lorsqu’un utilisateur non segmenté approvisionne son OneDrive, le mode IB du site est défini sur Ouvert, par défaut. Aucun segment n’est associé au site.
Propriétaire modéré Lorsqu’un OneDrive est utilisé pour la collaboration avec des utilisateurs incompatibles en présence du propriétaire/modérateur du site, le mode IB de OneDrive peut être défini sur Propriétaire modéré. Pour plus d’informations sur le site Owner Moderated, consultez cette section .
Explicit Lorsqu’un utilisateur segmenté approvisionne son OneDrive dans les 24 heures suivant l’activation, le mode IB du site est défini sur Explicite par défaut. Le segment de l’utilisateur et les autres segments compatibles avec le segment de l’utilisateur et entre eux sont associés au OneDrive de l’utilisateur.
Mixed Lorsque le OneDrive d’un utilisateur segmenté est autorisé à être partagé avec des utilisateurs non segmentés, le mode IB du site peut être défini sur Mixte. Il s’agit d’un mode d’inscription que l’administrateur SharePoint peut définir sur OneDrive d’un utilisateur segmenté.

Remarque

À compter du 12 juillet 2022, le mode Inféré est passé au mode mixte . La fonctionnalité du mode reste la même.

Partage de fichiers à partir de OneDrive

Ouvrir

Lorsqu’un OneDrive n’a pas de segments et que le mode IB est Ouvert :

  • L’utilisateur peut partager des fichiers et des dossiers en fonction de la stratégie d’obstacle à l’information appliquée à l’utilisateur et du paramètre de partage pour OneDrive.

Propriétaire modéré

Lorsqu’un site a un mode d’obstacles à l’information est défini sur Propriétaire modéré :

  • L’option de partage avec toute personne disposant du lien est désactivée.
  • L’option de partage avec le lien à l’échelle de l’entreprise est désactivée.
  • Le site et son contenu peuvent être partagés avec des membres existants.
  • Le site et son contenu peuvent être partagés uniquement par le propriétaire OneDrive conformément à sa stratégie IB.

Explicit

Lorsqu’un OneDrive a des segments d’obstacles à l’information et que le mode est défini sur Explicite :

  • L’option de partage avec toute personne disposant du lien est désactivée.
  • L’option de partage avec le lien à l’échelle de l’entreprise est désactivée.
  • Les fichiers et dossiers ne peuvent être partagés qu’avec des utilisateurs dont le segment correspond à celui de OneDrive.

Mixte

Lorsqu’un OneDrive contient des segments d’obstacles à l’information et que le mode est défini sur Mixte :

  • L’option de partage avec toute personne disposant du lien est désactivée.
  • L’option de partage avec le lien à l’échelle de l’entreprise est désactivée.
  • Les fichiers et dossiers peuvent être partagés avec des utilisateurs dont le segment correspond à celui des utilisateurs OneDrive et non segmentés dans le locataire.

Accès aux fichiers partagés à partir de OneDrive

Mode d'ouverture

Pour qu’un utilisateur accède au contenu d’un OneDrive qui n’a aucun segment associé et le mode IB comme Ouvert :

  • Les fichiers doivent être partagés avec l’utilisateur.

Mode modéré propriétaire

Pour qu’un utilisateur accède à un site SharePoint avec le mode d’obstacles à l’information du site est défini sur Modé du propriétaire :

  • L’utilisateur dispose d’autorisations d’accès au site.

Mode explicite

Pour qu’un utilisateur accède au contenu d’un OneDrive avec des segments et le mode IB défini sur Explicite :

  1. Le segment de l’utilisateur doit correspondre à un segment associé à OneDrive.

    AND

  2. Les fichiers doivent être partagés avec l’utilisateur.

Remarque

Par défaut, les utilisateurs non segments peuvent accéder aux fichiers OneDrive partagés uniquement à partir d’autres utilisateurs non segments avec le mode IB comme Ouvert. Ils ne peuvent pas accéder aux fichiers partagés à partir de OneDrive pour lesquels des segments sont appliqués et le mode IB est Explicite.

Mode mixte

Pour qu’un utilisateur segmenté accède au contenu d’un OneDrive dont les segments et le mode IB est défini sur Mixte :

  1. Le segment de l’utilisateur doit correspondre à un segment associé à OneDrive.

    AND

  2. Les fichiers doivent être partagés avec l’utilisateur.

Pour qu’un utilisateur non segmenté accède au contenu d’un OneDrive dont les segments et le mode IB est défini sur Mixte :

  • L’utilisateur doit disposer d’autorisations d’accès au site.

Exemple de scénario

L’exemple suivant illustre trois segments dans une organisation : RH, Ventes et Recherche. Une stratégie d’obstacle à l’information a été définie qui bloque la communication et la collaboration entre les segments Ventes et Recherche.

Exemple de segments dans une organisation

Avec les obstacles à l’information dans OneDrive, lorsqu’un segment est appliqué à un utilisateur, dans les 24 heures, ce segment est automatiquement associé au OneDrive de l’utilisateur. D’autres segments compatibles avec le segment de l’utilisateur et entre eux sont également associés à OneDrive. Un OneDrive peut avoir jusqu’à 100 segments associés. Un administrateur général ou SharePoint peut gérer ces segments à l’aide de PowerShell, comme décrit plus loin dans la section Associer ou supprimer des segments supplémentaires sur le OneDrive d’un utilisateur.

Le tableau suivant définit les effets de cet exemple de configuration :

Composants Utilisateurs RH Utilisateurs des ventes Utilisateurs de recherche Utilisateurs non segments
Segments associés à OneDrive HR Ventes, RH Recherche, RH Aucun
Mode IB sur OneDrive Explicit Explicit Explicit Ouvrir
Le contenu OneDrive peut être partagé avec RH uniquement Ventes et RH Recherche et RH Toute personne en fonction des paramètres de partage sélectionnés
Le contenu OneDrive est accessible par RH uniquement Ventes et RH Recherche et RH Toute personne avec laquelle le contenu a été partagé

Activer les obstacles aux informations SharePoint et OneDrive dans votre organisation

L’activation des obstacles à l’information pour SharePoint et OneDrive est configurée en une seule action. Les obstacles à l’information pour les services ne peuvent pas être activés séparément. Pour activer les obstacles à l’information pour OneDrive, voir Activer les obstacles à l’information SharePoint et OneDrive dans votre organisation. Une fois que vous avez activé les obstacles à l’information pour SharePoint et OneDrive, suivez les instructions onedrive de cet article.

Configuration requise

  1. Assurez-vous de respecter les exigences de licence pour les obstacles à l’information.
  2. Créez des stratégies de barrière de l’information qui autorisent ou bloquent la communication entre les segments et activent les stratégies. Créez des segments et définissez les utilisateurs dans chacun d’eux.
  3. Une fois que vous avez configuré et activé vos stratégies de barrière des informations, attendez 24 heures que les modifications se propagent dans votre organisation.
  4. Activer les obstacles à l’information pour OneDrive. L’activation des obstacles à l’information pour SharePoint et OneDrive est configurée en une seule action et ces services ne peuvent pas être activés séparément. Pour activer les obstacles à l’information pour OneDrive, consultez les instructions et les étapes de l’article Utiliser des obstacles à l’information avec SharePoint .
  5. Suivez les étapes décrites dans les sections suivantes pour personnaliser et gérer les obstacles à l’information pour OneDrive dans votre organisation.

Utiliser PowerShell pour afficher les segments associés à un OneDrive

Importante

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. La réduction du nombre d’utilisateurs dotés du rôle Administrateur général permet d’améliorer la sécurité de votre organisation. En savoir plus sur les rôles et autorisations Microsoft Purview.

Un administrateur général ou un administrateur SharePoint peut afficher et modifier les segments associés au OneDrive d’un utilisateur. Votre organisation peut avoir jusqu’à 5 000 segments et les utilisateurs peuvent être affectés à plusieurs segments.

Importante

La prise en charge de 5 000 segments et l’affectation d’utilisateurs à plusieurs segments sont disponibles uniquement lorsque votre organisation n’est pas en mode hérité . L’affectation d’utilisateurs à plusieurs segments nécessite des actions supplémentaires pour modifier le mode d’obstacles à l’information pour votre organisation. Pour plus d’informations, consultez Utiliser la prise en charge multi-segment dans les obstacles à l’information) pour plus d’informations.

Pour les organisations en mode hérité , le nombre maximal de segments pris en charge est de 250 et les utilisateurs sont limités à un seul segment. Les organisations en mode hérité pourront effectuer une mise à niveau vers la version la plus récente des obstacles à l’information à l’avenir. Pour plus d’informations, consultez la feuille de route des obstacles à l’information.

  1. Connectez-vous au Centre de conformité de la sécurité & PowerShell en tant qu’administrateur général.

  2. Exécutez la commande suivante pour obtenir la liste des segments et leurs GUID.

    Get-OrganizationSegment | ft Name, EXOSegmentID

  3. Enregistrez la liste des segments.

    Name EXOSegmentId
    Ventes a9592060-c856-4301-b60f-bf9a04990d4d
    Recherche 27d20a85-1c1b-4af2-bf45-a41093b5d111
    HR a17efb47-e3c9-4d85-a188-1cd59c83de32

  4. Si ce n’est pas déjà fait, téléchargez et installez la dernière version de SharePoint Online Management Shell. Si vous avez installé une version précédente de SharePoint Online Management Shell, suivez les instructions de l’article Activer les obstacles aux informations SharePoint et OneDrive dans votre organisation .

  5. Connectez-vous à SharePoint en tant qu’administrateur général ou administrateur SharePoint dans Microsoft 365. Pour savoir comment procéder, reportez-vous à l’article Prise en main de SharePoint Online Management Shell.

  6. Exécutez la commande suivante :

    Get-SPOSite -Identity <site URL> | Select InformationSegment

    Par exemple :

    Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationSegment

Gérer les segments sur le OneDrive d’un utilisateur

Avertissement

Si les segments associés au OneDrive d’un utilisateur ne correspondent pas au segment appliqué à l’utilisateur, l’utilisateur ne pourra pas accéder à son OneDrive. Veillez à ne pas associer de segments au OneDrive d’un utilisateur non segment.

Remarque

Toutes les modifications que vous apportez sont remplacées si le segment de l’utilisateur change.

Pour associer un segment à un oneDrive, exécutez la commande suivante dans SharePoint Online Management Shell.

Importante

La prise en charge de 5 000 segments et l’affectation d’utilisateurs à plusieurs segments sont disponibles uniquement lorsque votre organisation n’est pas en mode hérité . L’affectation d’utilisateurs à plusieurs segments nécessite des actions supplémentaires pour modifier le mode d’obstacles à l’information pour votre organisation. Pour plus d’informations, consultez Utiliser la prise en charge multi-segment dans les obstacles à l’information) pour plus d’informations.

Pour les organisations en mode hérité , le nombre maximal de segments pris en charge est de 250 et les utilisateurs sont limités à un seul segment. Les organisations en mode hérité pourront effectuer une mise à niveau vers la version la plus récente des obstacles à l’information à l’avenir. Pour plus d’informations, consultez la feuille de route des obstacles à l’information.

Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>

Par exemple :

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

Lorsque vous ajoutez des segments à un OneDrive, le mode IB du site est automatiquement mis à jour vers Explicit. Une erreur s’affiche si vous essayez d’associer un segment qui n’est pas compatible avec les segments existants sur OneDrive.

Importante

La prise en charge de l’affectation d’utilisateurs à plusieurs segments n’est disponible que lorsque votre organisation n’est pas en mode hérité . Pour déterminer si votre organisation est en mode hérité , consultez Vérifier le mode IB pour votre organisation).

Les utilisateurs sont limités à être affectés à un seul segment pour les organisations en mode hérité . Les organisations en mode hérité pourront effectuer une mise à niveau vers la version la plus récente des obstacles à l’information à l’avenir. Pour plus d’informations, consultez la feuille de route des obstacles à l’information.

Pour supprimer un segment d’un OneDrive, exécutez la commande suivante.

Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>

Par exemple :

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

Si tous les segments d’un site OneDrive sont supprimés, le mode IB de OneDrive est automatiquement mis à jour vers Ouvrir.

Gérer le mode IB du OneDrive d’un utilisateur (préversion)

Importante

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. La réduction du nombre d’utilisateurs dotés du rôle Administrateur général permet d’améliorer la sécurité de votre organisation. En savoir plus sur les rôles et autorisations Microsoft Purview.

Pour afficher le mode IB d’un site OneDrive, exécutez la commande suivante dans SharePoint Online Management Shell en tant qu’administrateur SharePoint ou administrateur général :

Get-SPOSite -Identity <site URL> | Select InformationBarriersMode

Par exemple :

Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode

Un administrateur SharePoint ou un administrateur général a également la possibilité de gérer le mode IB d’un site OneDrive pour répondre aux besoins de votre organisation avec de nouveaux modes IB :

Exemple de mode modéré propriétaire

Autoriser un utilisateur de segment incompatible à accéder à un OneDrive. Par exemple, vous souhaitez autoriser l’accès à OneDrive de l’utilisateur RH à la fois par les utilisateurs du segment Ventes et Recherche de votre locataire.

Owner Moderated est un mode applicable au site OneDrive qui permet aux utilisateurs de segments incompatibles d’accéder à OneDrive en présence d’un modérateur/propriétaire. Seul le propriétaire du site a la possibilité d’inviter des utilisateurs de segment incompatibles sur le même site.

Pour mettre à jour un mode IB de site OneDrive vers Owner Moderated, exécutez la commande PowerShell suivante :

Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated

Le mode IB modéré par le propriétaire ne peut pas être défini sur un site avec des segments. Supprimez les segments avant de définir le mode IB sur Owner Moderated. L’accès à un site modéré propriétaire est autorisé pour les utilisateurs disposant d’autorisations d’accès au site. Le partage d’un OneDrive modéré par le propriétaire et de son contenu est autorisé uniquement par le propriétaire du site conformément à sa stratégie IB.

Exemple de mode mixte

Autoriser les utilisateurs non segmentés à accéder à OneDrive associé à des segments. Par exemple, vous souhaitez autoriser l’accès au OneDrive de l’utilisateur RH par le segment RH et les utilisateurs non segmentés dans votre locataire. Mode mixte applicable au site OneDrive qui permet aux utilisateurs segmentés et non segmentés d’accéder à OneDrive.

Pour mettre à jour le mode IB d’un site OneDrive vers Mixed, exécutez la commande PowerShell suivante :

Set-SPOSite -Identity <siteurl> -InformationBarriersMode Mixed

Le mode IB mixte ne peut pas être défini sur un site sans segments. Ajoutez des segments avant de définir le mode IB sur Mixte.

Effets des modifications apportées aux segments d’utilisateurs

Si le segment d’un utilisateur change, le segment de OneDrive et le mode IB sont automatiquement mis à jour dans les 24 heures, comme décrit dans la section ci-dessus obstacles à l’information OneDrive

Exemple 1 : Segment de l’utilisateur mis à jour de Recherche à Ventes, le OneDrive de l’utilisateur se présente comme suit dans les 24 heures :

  • Segment : Ventes, RH
  • Mode IB : explicite

Exemple 2 : Segment de l’utilisateur mis à jour de HR à None, le OneDrive de l’utilisateur sera le suivant dans les 24 heures :

  • Segment : Aucun
  • Mode IB : Ouvrir

Effets des modifications apportées aux stratégies de barrière à l’information

Si un administrateur de conformité modifie une stratégie existante, la modification peut avoir un impact sur la compatibilité des segments associés à OneDrive.

Par exemple, les segments qui étaient autrefois compatibles peuvent ne plus l’être. Un administrateur SharePoint doit modifier les segments associés à un site affecté en conséquence. Découvrez comment créer un rapport de conformité des stratégies d’obstacles aux informations dans PowerShell.

Si une stratégie change après le partage de fichiers, les liens de partage fonctionnent uniquement si un segment correspondant à un segment associé à OneDrive est appliqué à l’utilisateur qui tente d’accéder aux fichiers partagés.

Audit

Les événements d’audit sont disponibles dans le portail Microsoft Purview et le portail de conformité Microsoft Purview pour vous aider à surveiller les activités de barrière à l’information. Les événements d’audit sont enregistrés pour les activités suivantes :

  • Activation des obstacles à l’information pour SharePoint et OneDrive
  • Segment appliqué au site
  • Segment de site modifié
  • Segment de site supprimé
  • Mode d’obstacles aux informations appliquées au site
  • Modification du mode d’obstacles aux informations du site
  • Obstacles aux informations désactivés pour SharePoint et OneDrive

Pour plus d’informations sur l’audit de segment OneDrive dans Office 365, voir Rechercher dans le journal d’audit.

Ressources