Condividi tramite


Usare le barriere informative con OneDrive

Microsoft Purview Information Barriers è un criterio di Microsoft 365 che un amministratore della conformità può configurare per impedire agli utenti di comunicare e collaborare tra loro. Questa soluzione è utile se, ad esempio, una divisione gestisce informazioni che non devono essere condivise con altre divisioni specifiche o una divisione deve essere impedita o isolata dalla collaborazione con tutti gli utenti esterni alla divisione. Le barriere informative vengono spesso usate in settori altamente regolamentati e in quelle organizzazioni con requisiti di conformità, ad esempio finanza, legale e pubblica amministrazione.

Per OneDrive, le barriere informative possono determinare e impedire i tipi di collaborazioni non autorizzate seguenti:

  • Accesso utente a OneDrive o contenuto archiviato
  • Condivisione di OneDrive o contenuto archiviato con altri utenti

Modalità barriere informative e OneDrive

Quando le barriere informative sono abilitate in SharePoint e OneDrive, OneDrive degli utenti segmentati viene protetto automaticamente con i criteri IB. Le modalità barriere informative consentono di rafforzare l'accesso, la condivisione e l'appartenenza a un sito di OneDrive in base alla modalità IB e ai segmenti associati a OneDrive.

Quando si usano barriere informative con OneDrive, sono supportate le modalità IB seguenti:

Mode Descrizione
Apri Quando un utente non segmentato effettua il provisioning di OneDrive, la modalità IB del sito viene impostata su Apri, per impostazione predefinita. Non sono presenti segmenti associati al sito.
Proprietario moderato Quando un OneDrive viene usato per la collaborazione con utenti incompatibili in presenza del proprietario/moderatore del sito, la modalità IB di OneDrive può essere impostata su Owner Moderated. Per informazioni dettagliate sul sito Owner Moderated, vedere questa sezione .
Explicit Quando un utente segmentato effettua il provisioning di OneDrive entro 24 ore dall'abilitazione, la modalità IB del sito viene impostata come Esplicita per impostazione predefinita. Il segmento dell'utente e altri segmenti compatibili con il segmento dell'utente e l'uno con l'altro vengono associati a OneDrive dell'utente.
Misto Quando onedrive di un utente segmentato può essere condiviso con utenti non segmentati, la modalità IB del sito può essere impostata su Misto. Si tratta di una modalità di consenso esplicito che l'amministratore di SharePoint può impostare in OneDrive di un utente segmentato.

Nota

A partire dal 12 luglio 2022, la modalità dedotta è stata modificata in modalità mista . La funzionalità per la modalità rimane la stessa.

Condivisione di file da OneDrive

Apri

Quando onedrive non ha segmenti e modalità IB come Open:

  • L'utente può condividere file e cartelle in base ai criteri di barriera delle informazioni applicati all'utente e all'impostazione di condivisione per OneDrive.

Proprietario moderato

Quando un sito ha la modalità barriere informative è impostato su Proprietario moderato:

  • L'opzione per la condivisione con chiunque abbia il collegamento è disabilitata.
  • L'opzione per la condivisione con il collegamento a livello di azienda è disabilitata.
  • Il sito e il relativo contenuto possono essere condivisi con i membri esistenti.
  • Il sito e il relativo contenuto possono essere condivisi solo dal proprietario di OneDrive in base ai criteri IB.

Explicit

Quando un OneDrive ha segmenti di barriere informative e la modalità è impostata su Explicit:

  • L'opzione per la condivisione con chiunque abbia il collegamento è disabilitata.
  • L'opzione per la condivisione con il collegamento a livello di azienda è disabilitata.
  • I file e le cartelle possono essere condivisi solo con gli utenti il cui segmento corrisponde a quello di OneDrive.

Misto

Quando un OneDrive ha segmenti di barriere informative e la modalità è impostata su Misto:

  • L'opzione per la condivisione con chiunque abbia il collegamento è disabilitata.
  • L'opzione per la condivisione con il collegamento a livello di azienda è disabilitata.
  • I file e le cartelle possono essere condivisi con gli utenti il cui segmento corrisponde a quello di OneDrive e agli utenti non distribuiti nel tenant.

Accesso ai file condivisi da OneDrive

Modalità aperta

Per consentire a un utente di accedere al contenuto in un OneDrive senza segmenti associati e la modalità IB come Apri:

  • I file devono essere condivisi con l'utente.

Modalità Moderated proprietario

Per consentire a un utente di accedere a un sito di SharePoint con la modalità barriere informative del sito, è impostato su Proprietario moderato:

  • L'utente dispone delle autorizzazioni di accesso al sito.

Modalità esplicita

Per consentire a un utente di accedere al contenuto in un OneDrive con segmenti e la modalità IB impostata su Explicit:

  1. Il segmento dell'utente deve corrispondere a un segmento associato a OneDrive.

    E

  2. I file devono essere condivisi con l'utente.

Nota

Per impostazione predefinita, gli utenti non di segmento possono accedere ai file di OneDrive condivisi solo da altri utenti non di segmento con modalità IB come Apri. Non possono accedere ai file condivisi da OneDrive che hanno segmenti applicati e la modalità IB è Esplicita.

Modalità mista

Per consentire a un utente segmentato di accedere al contenuto in un OneDrive con segmenti e la modalità IB impostata su Misto:

  1. Il segmento dell'utente deve corrispondere a un segmento associato a OneDrive.

    E

  2. I file devono essere condivisi con l'utente.

Per consentire a un utente non segmentato di accedere al contenuto in un OneDrive con segmenti e la modalità IB impostata come Mista:

  • L'utente deve disporre delle autorizzazioni di accesso al sito.

Scenario di esempio

L'esempio seguente illustra tre segmenti in un'organizzazione: RISORSE umane, Vendite e Ricerca. È stato definito un criterio di barriera delle informazioni che blocca la comunicazione e la collaborazione tra i segmenti Vendite e Ricerca.

Esempio di segmenti in un'organizzazione

Con le barriere informative in OneDrive, quando un segmento viene applicato a un utente, entro 24 ore tale segmento viene associato automaticamente a OneDrive dell'utente. Anche altri segmenti compatibili con il segmento dell'utente e tra loro verranno associati a OneDrive. A OneDrive possono essere associati fino a 100 segmenti. Un amministratore globale o di SharePoint può gestire questi segmenti usando PowerShell, come descritto più avanti nella sezione Associare o rimuovere segmenti aggiuntivi in OneDrive di un utente.

La tabella seguente illustra gli effetti di questa configurazione di esempio:

Componenti Utenti hr Utenti di vendita Utenti della ricerca Utenti non di segmento
Segmenti associati a OneDrive Risorse umane Vendite, risorse umane Ricerca, risorse umane Nessuno
Modalità IB in OneDrive Explicit Explicit Explicit Apri
Il contenuto di OneDrive può essere condiviso con Solo risorse umane Vendite e risorse umane Ricerca e risorse umane Chiunque in base alle impostazioni di condivisione selezionate
È possibile accedere al contenuto di OneDrive Solo risorse umane Vendite e risorse umane Ricerca e risorse umane Chiunque abbia condiviso il contenuto

Abilitare le barriere informative di SharePoint e OneDrive nell'organizzazione

L'abilitazione delle barriere informative per SharePoint e OneDrive viene configurata in una singola azione. Le barriere informative per i servizi non possono essere abilitate separatamente. Per abilitare le barriere informative per OneDrive, vedere Abilitare le barriere informative di SharePoint e OneDrive nell'organizzazione. Dopo aver abilitato le barriere informative per SharePoint e OneDrive, continuare con le indicazioni di OneDrive in questo articolo.

Prerequisiti

  1. Assicurarsi di soddisfare i requisiti di licenza per le barriere informative.
  2. Creare criteri di barriera delle informazioni che consentono o bloccano la comunicazione tra i segmenti e attivano i criteri. Creare segmenti e definire gli utenti in ognuno di essi.
  3. Dopo aver configurato e attivato i criteri di barriera delle informazioni, attendere 24 ore per la propagazione delle modifiche nell'organizzazione.
  4. Abilitare le barriere informative per OneDrive. L'abilitazione delle barriere informative per SharePoint e OneDrive viene configurata in un'unica azione e questi servizi non possono essere abilitati separatamente. Per abilitare le barriere informative per OneDrive, vedere le indicazioni e i passaggi nell'articolo Usare le barriere informative con SharePoint .
  5. Completare i passaggi descritti nelle sezioni seguenti per personalizzare e gestire le barriere informative per OneDrive nell'organizzazione.

Usare PowerShell per visualizzare i segmenti associati a un OneDrive

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.

Un amministratore globale o un amministratore di SharePoint può visualizzare e modificare i segmenti associati a OneDrive di un utente. L'organizzazione può avere fino a 5.000 segmenti e gli utenti possono essere assegnati a più segmenti.

Importante

Il supporto per 5.000 segmenti e l'assegnazione di utenti a più segmenti è disponibile solo quando l'organizzazione non è in modalità legacy . L'assegnazione di utenti a più segmenti richiede azioni aggiuntive per modificare la modalità delle barriere informative per l'organizzazione. Per altre informazioni, vedere Usare il supporto multi-segmento nelle barriere informative) per informazioni dettagliate.

Per le organizzazioni in modalità legacy , il numero massimo di segmenti supportati è 250 e gli utenti sono limitati ad essere assegnati a un solo segmento. Le organizzazioni in modalità legacy saranno idonee per l'aggiornamento alla versione più recente delle barriere informative in futuro. Per altre informazioni, vedere la roadmap sulle barriere informative.

  1. Connettersi a PowerShell del Centro conformità & sicurezza come amministratore globale.

  2. Eseguire il comando seguente per ottenere l'elenco dei segmenti e i relativi GUID.

    Get-OrganizationSegment | ft Name, EXOSegmentID
    
  3. Salvare l'elenco di segmenti.

    Nome EXOSegmentId
    Vendite a9592060-c856-4301-b60f-bf9a04990d4d
    Ricerca 27d20a85-1c1b-4af2-bf45-a41093b5d111
    Risorse umane a17efb47-e3c9-4d85-a188-1cd59c83de32
  4. Se non è stato completato in precedenza, scaricare e installare la shell di gestione di SharePoint Online più recente. Se è stata installata una versione precedente di SharePoint Online Management Shell, seguire le istruzioni nell'articolo Abilitare le barriere informative di SharePoint e OneDrive nell'organizzazione .

  5. Connettiti a SharePoint come amministratore globale o amministratore di SharePoint in Microsoft 365. Per informazioni in merito, vedere Guida introduttiva a SharePoint Online Management Shell.

  6. Eseguire il comando riportato di seguito:

    Get-SPOSite -Identity <site URL> | Select InformationSegment 
    

    Ad esempio:

    Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationSegment
    

Gestire i segmenti in OneDrive di un utente

Avviso

Se i segmenti associati a OneDrive di un utente non corrispondono al segmento applicato all'utente, l'utente non sarà in grado di accedere a OneDrive. Prestare attenzione a non associare alcun segmento a OneDrive di un utente non di segmento.

Nota

Tutte le modifiche apportate verranno sovrascritte se il segmento dell'utente cambia.

Per associare un segmento a onedrive, eseguire il comando seguente in SharePoint Online Management Shell.

Importante

Il supporto per 5.000 segmenti e l'assegnazione di utenti a più segmenti è disponibile solo quando l'organizzazione non è in modalità legacy . L'assegnazione di utenti a più segmenti richiede azioni aggiuntive per modificare la modalità delle barriere informative per l'organizzazione. Per altre informazioni, vedere Usare il supporto multi-segmento nelle barriere informative) per informazioni dettagliate.

Per le organizzazioni in modalità legacy , il numero massimo di segmenti supportati è 250 e gli utenti sono limitati ad essere assegnati a un solo segmento. Le organizzazioni in modalità legacy saranno idonee per l'aggiornamento alla versione più recente delle barriere informative in futuro. Per altre informazioni, vedere la roadmap sulle barriere informative.

Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID> 

Ad esempio:

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

Quando si aggiungono segmenti a OneDrive, la modalità IB del sito viene aggiornata automaticamente a Explicit. Verrà visualizzato un errore se si tenta di associare un segmento non compatibile con i segmenti esistenti in OneDrive.

Importante

Il supporto per l'assegnazione di utenti a più segmenti è disponibile solo quando l'organizzazione non è in modalità legacy . Per determinare se l'organizzazione è in modalità legacy , vedere Controllare la modalità IB per l'organizzazione.

Gli utenti sono limitati ad essere assegnati a un solo segmento per le organizzazioni in modalità legacy . Le organizzazioni in modalità legacy saranno idonee per l'aggiornamento alla versione più recente delle barriere informative in futuro. Per altre informazioni, vedere la roadmap sulle barriere informative.

Per rimuovere un segmento da onedrive, eseguire il comando seguente.

Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>

Ad esempio:

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

Se tutti i segmenti di un sito di OneDrive vengono rimossi, la modalità IB di OneDrive viene aggiornata automaticamente in Apri.

Gestire la modalità IB di OneDrive di un utente (anteprima)

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.

Per visualizzare la modalità IB di un sito di OneDrive, eseguire il comando seguente in SharePoint Online Management Shell come amministratore di SharePoint o amministratore globale:

Get-SPOSite -Identity <site URL> | Select InformationBarriersMode

Ad esempio:

Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode

Un amministratore di SharePoint o un amministratore globale ha anche la possibilità di gestire la modalità IB di un sito di OneDrive per soddisfare le esigenze dell'organizzazione con nuove modalità IB:

Esempio di modalità Moderated proprietario

Consentire a un utente del segmento incompatibile l'accesso a onedrive. Ad esempio, si vuole consentire l'accesso a OneDrive dell'utente HR sia agli utenti del segmento Vendite che a Quello di Ricerca nel tenant.

Owner Moderated è una modalità applicabile al sito di OneDrive che consente agli utenti del segmento incompatibili di accedere a OneDrive in presenza di un moderatore/proprietario. Solo il proprietario del sito ha la possibilità di invitare utenti del segmento incompatibili nello stesso sito.

Per aggiornare una modalità IB del sito di OneDrive a Owner Moderated, eseguire il comando di PowerShell seguente:

Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated

La modalità IB moderata del proprietario non può essere impostata in un sito con segmenti. Rimuovere i segmenti prima di impostare la modalità IB come Owner Moderated. L'accesso a un sito moderato proprietario è consentito per gli utenti con autorizzazioni di accesso al sito. La condivisione di un OneDrive con moderatore proprietario e del relativo contenuto è consentita solo dal proprietario del sito in base ai criteri IB.

Esempio di modalità mista

Consentire agli utenti non segmentati di accedere a OneDrive associato ai segmenti. Ad esempio, si vuole consentire l'accesso a OneDrive dell'utente HR tramite il segmento HR e gli utenti non segmentati nel tenant. Modalità mista applicabile al sito di OneDrive che consente agli utenti segmentati e non segmentati di accedere a OneDrive.

Per aggiornare una modalità IB del sito di OneDrive a Mixed, eseguire il comando di PowerShell seguente:

Set-SPOSite -Identity <siteurl> -InformationBarriersMode Mixed

La modalità IB mista non può essere impostata in un sito senza segmenti. Aggiungere segmenti prima di impostare la modalità IB come Mista.

Effetti delle modifiche ai segmenti utente

Se il segmento di un utente cambia, il segmento di OneDrive e la modalità IB verranno aggiornati automaticamente entro 24 ore, come descritto nella sezione precedente sulle barriere informative di OneDrive

Esempio 1: il segmento dell'utente aggiornato da Ricerca a Vendite, OneDrive dell'utente sarà il seguente entro 24 ore:

  • Segmento: vendite, risorse umane
  • Modalità IB: esplicita

Esempio 2: il segmento dell'utente aggiornato da HR a Nessuno, OneDrive dell'utente sarà il seguente entro 24 ore:

  • Segmento: Nessuno
  • Modalità IB: Apri

Effetti delle modifiche ai criteri delle barriere informative

Se un amministratore della conformità modifica un criterio esistente, la modifica può influire sulla compatibilità dei segmenti associati a OneDrive.

Ad esempio, i segmenti che una volta erano compatibili potrebbero non essere più compatibili. Un amministratore di SharePoint deve modificare di conseguenza i segmenti associati a un sito interessato. Informazioni su come creare un report sulla conformità dei criteri sulle barriere informative in PowerShell.

Se un criterio cambia dopo la condivisione dei file, i collegamenti di condivisione funzioneranno solo se l'utente che tenta di accedere ai file condivisi ha applicato un segmento che corrisponde a un segmento associato a OneDrive.

Controllo

Gli eventi di controllo sono disponibili nel portale di Microsoft Purview e nel portale di conformità di Microsoft Purview per monitorare le attività sulle barriere informative. Gli eventi di controllo vengono registrati per le attività seguenti:

  • Barriere informative abilitate per SharePoint e OneDrive
  • Segmento applicato al sito
  • Segmento del sito modificato
  • Segmento rimosso del sito
  • Modalità di barriere informative applicate al sito
  • Modifica della modalità barriere informative del sito
  • Barriere informative disabilitate per SharePoint e OneDrive

Per altre informazioni sul controllo del segmento di OneDrive in Office 365, vedere Cercare nel log di controllo.

Risorse