Изучение информационных барьеров в OneDrive

Завершено

Информационные барьеры Microsoft Purview — это политики в Microsoft 365, которые администратор соответствия требованиям может настроить, чтобы запретить пользователям общаться и сотрудничать друг с другом. Это решение полезно, если, например, одно из подразделений обрабатывает сведения, которыми не следует делиться с определенными другими подразделениями. Другой пример — когда организация хочет предотвратить или изолировать подразделение от совместной работы со всеми пользователями за пределами этого подразделения.

Организации часто используют информационные барьеры в строго регулируемых отраслях. Организации с требованиями к соответствию, такие как финансы, юридические и государственные, также обычно используют их.

В OneDrive информационные барьеры могут определять и предотвращать следующие типы несанкционированного взаимодействия:

• Доступ пользователей к OneDrive или сохраненное содержимое.
• Совместное использование OneDrive или сохраненного содержимого с другими пользователями.

Режимы информационных барьеров и OneDrive

Когда организация включает информационные барьеры в SharePoint и OneDrive, политики IB автоматически защищают OneDrive сегментированных пользователей. Режимы информационных барьеров помогают повысить доступ, общий доступ к сайту OneDrive и членство в них на основе режима IB и сегментов, связанных с OneDrive.

Администраторы SharePoint или глобальные администраторы Microsoft 365 обычно устанавливают режим информационных барьеров для сайтов OneDrive. Владелец сайта может иметь разрешения на настройку некоторых параметров, связанных с OneDrive, но администратор с соответствующими разрешениями должен создавать политики информационных барьеров и управлять ими.

В следующей таблице указаны режимы IB, поддерживаемые OneDrive.

Режим	Описание
Открыть	Когда незарегистрированные пользователи настраивают oneDrive, администратор по умолчанию устанавливает режим IB сайта как Open. Сегменты, связанные с сайтом, отсутствуют.
Владелец модерирован	Если владелец или модератор сайта использует OneDrive для совместной работы с несовместимыми пользователями, администратор может задать режим IB OneDrive как Владелец Модерирован. Дополнительные сведения см. в разделе Сайт с модерированием владельца.
Explicit	Когда сегментированные пользователи настраивают OneDrive в течение 24 часов после включения, администратор может по умолчанию задать режим IB сайта как явный . Сегмент пользователя и другие сегменты, совместимые с сегментом пользователя и друг с другом, связываются с OneDrive пользователя.
Вывести	Когда администратор настраивает oneDrive сегментированного пользователя, чтобы пользователь смог поделиться им с незарегистрированных пользователей, администратор может задать режим IB сайта как вывод. Этот режим является режимом согласия, который администратор может установить в OneDrive сегментированного пользователя.

Общий доступ к файлам из OneDrive

Открыть

Если в OneDrive нет сегментов, а режим IB — Open:

• Владелец сайта или другие пользователи с соответствующими разрешениями могут предоставлять общий доступ к файлам и папкам на основе политики информационных барьеров, примененной к пользователю, и параметра общего доступа для OneDrive.

Владелец модерирован

Когда администратор настроил режим IB сайта в режиме "Модерация владельца":

• Система отключает возможность предоставления общего доступа всем пользователям по ссылке.
• Система отключает возможность предоставления общего доступа к ссылке на уровне компании.
• Владелец сайта может предоставить доступ к сайту и его содержимому существующим участникам.
• Владелец сайта может предоставлять общий доступ только к сайту и его содержимому в отношении политики IB.

Explicit

Если в OneDrive есть сегменты информационных барьеров, а администратор присвоил режиму IB явное:

• Система отключает возможность предоставления общего доступа всем пользователям по ссылке.
• Система отключает возможность предоставления общего доступа к ссылке на уровне компании.
• Владелец сайта или другие пользователи с соответствующими разрешениями могут обмениваться файлами и папками только с пользователями, сегмент которых соответствует сегменту OneDrive.

Вывести

Если в OneDrive есть сегменты информационных барьеров, а администратор присвоил режиму IB значение Inferred:

• Система отключает возможность предоставления общего доступа всем пользователям по ссылке.
• Система отключает возможность предоставления общего доступа к ссылке на уровне компании.
• Владелец сайта или другие пользователи с соответствующими разрешениями могут обмениваться файлами и папками с пользователями, сегмент которых соответствует сегменту OneDrive и незарегистрированных пользователей в клиенте.

Доступ к общим файлам из OneDrive

режим открытия;

Если пользователь хочет получить доступ к содержимому в OneDrive без сегментов, а администратор присвоил режиму IB значение Открыть:

• Владелец сайта или другие пользователи с соответствующими разрешениями должны предоставить пользователю общий доступ к файлам.

Режим модерации владельца

Если пользователь хочет получить доступ к сайту SharePoint, а администратор устанавливает режим IB в режиме модерации владельца:

• У пользователя есть разрешения на доступ к сайту.

Явный режим

Если пользователь хочет получить доступ к содержимому в OneDrive с сегментами, а администратор присвоил режиму IB значение Явный:

• Сегмент пользователя должен соответствовать сегменту, связанному с OneDrive.

  И

• Владелец сайта или другие пользователи с соответствующими разрешениями должны предоставить пользователю общий доступ к файлам.

Примечание.

По умолчанию пользователи, не имеющие тегов, могут получать доступ к общим файлам OneDrive только у других пользователей без тегов с режимами IB как Открытые. Они не могут получить доступ к общим файлам из OneDrive, к которым применены сегменты, и режим IB является явным.

Режим вывода

Когда сегментированные пользователи хотят получить доступ к содержимому в OneDrive с сегментами, а администратор присвоил режиму IB значение Inferred:

• Сегмент пользователя должен соответствовать сегменту, связанному с OneDrive.

  И

• Владелец сайта или другие пользователи с соответствующими разрешениями должны предоставить пользователю общий доступ к файлам.

Если незарегистрированные пользователи хотят получить доступ к содержимому в OneDrive с сегментами, а администратор присвоил режиму IB значение Inferred:

• Пользователь должен иметь разрешения на доступ к сайту.

Пример сценария

В следующем примере показаны три сегмента в Contoso: отдел кадров, продажи и исследования. Администратор SharePoint компании Contoso создал политику информационных барьеров, которая блокирует взаимодействие и совместную работу между сегментами Sales и Research.

Когда OneDrive применяет сегмент к пользователю, в течение 24 часов система автоматически связывает этот сегмент с OneDrive пользователя. Другие сегменты, которые считаются совместимыми с сегментом пользователя и друг с другом, также связываются с OneDrive. С сайтом OneDrive может быть связано до 100 сегментов. Глобальный администратор или администратор SharePoint может управлять этими сегментами с помощью PowerShell.

В следующей таблице показаны эффекты этого примера конфигурации в Contoso.

Компоненты	Пользователи отдела кадров	Продажи пользователей	Исследование пользователей	Пользователи, не относящиеся к тегу
Сегменты, связанные с OneDrive	HR	Продажи, отдел кадров	Исследования, отдел кадров	Нет
Режим IB в OneDrive	Explicit	Explicit	Explicit	Открыть
Предоставление общего доступа к содержимому OneDrive с помощью...	Только отдел кадров	Продажи и отдел кадров	Исследования и отдел кадров	Любой пользователь на основе выбранных параметров общего доступа.
Доступ к OneDrive	Только отдел кадров	Продажи и отдел кадров	Исследования и отдел кадров	Любой пользователь, с которым администратор предоставил общий доступ к содержимому.

Включение информационных барьеров SharePoint и OneDrive в организации

Администраторы SharePoint или глобальные администраторы могут включить информационные барьеры в SharePoint и OneDrive в организации. Они могут включить информационные барьеры для SharePoint и OneDrive в одном действии. Они не могут включать информационные барьеры отдельно для каждой службы. Выполните следующие действия, чтобы включить информационные барьеры для вашей организации.

1. Скачайте и установите последнюю версию командная консоль SharePoint Online.

2. Подключитесь к SharePoint Online в качестве глобального администратора или администратора SharePoint в Microsoft 365.

3. Чтобы включить информационные барьеры в SharePoint и OneDrive, выполните следующую команду:

   Set-SPOTenant -InformationBarriersSuspension $false
   

4. После включения информационных барьеров для SharePoint и OneDrive в организации подождите примерно 1 час, пока изменения вступают в силу.

Если вы включили информационные барьеры для SharePoint в организации до 15 марта 2022 г., управление доступом и совместное использование по умолчанию для неявного режима для сайтов, подключенных к Microsoft Teams, зависит от сегментов, связанных с сайтом.

Чтобы включить управление доступом и общим доступом на основе членства в группах Microsoft 365 для всех сайтов, подключенных к Teams в неявном режиме, в клиенте, выполните следующую команду:

Set-SPOTenant -IBImplicitGroupBased $true

Если у вас microsoft 365 Multi-Geo, необходимо выполнить эту команду для каждого географического расположения.

Управление сегментами в OneDrive пользователя

Предостережение

Если сегменты, связанные с OneDrive пользователя, не соответствуют сегменту, примененным к пользователю, пользователь не сможет получить доступ к oneDrive. Будьте осторожны, чтобы не связывать сегменты с OneDrive пользователя, не включаемого в систему.

Предупреждение

Если сегмент пользователя изменяется, изменения могут быть перезаписаны.

Чтобы связать сегмент с OneDrive, выполните следующую команду в командная консоль SharePoint Online. OneDrive может содержать до 100 связанных сегментов.

Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>

Например:

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

При добавлении сегментов в OneDrive система автоматически устанавливает режим IB сайта в явное. При попытке связать сегмент, несовместимый с существующими сегментами в OneDrive, появляется ошибка.

Чтобы удалить сегмент из OneDrive, выполните следующую команду.

Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>

Например:

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

Если администратор удаляет все сегменты сайта OneDrive, система автоматически устанавливает режим IB на сайте OneDrive "Открыть".

Влияние изменений на сегменты пользователей

Если сегмент пользователя изменяется, OneDrive автоматически обновляет режим сегмента и IB в течение 24 часов.

Пример 1. Сегмент пользователя обновлен с "Исследование" на "Продажи". OneDrive пользователя отображается следующим образом в течение 24 часов:

• Сегмент: продажи, отдел кадров
• Режим IB: явный

Пример 2. Сегмент пользователя обновлен с HR на None. OneDrive пользователя отображается следующим образом в течение 24 часов:

• Сегмент: нет
• Режим IB: открыть

Последствия изменений политик информационных барьеров

Если администратор соответствия требованиям изменяет существующую политику, это изменение может повлиять на совместимость сегментов, связанных с OneDrive.

Например, сегменты, которые когда-то были совместимы, могут быть несовместимы. Администратор SharePoint должен соответствующим образом изменить сегменты, связанные с затронутым сайтом. Узнайте, как создать отчет о соответствии политике информационных барьеров в PowerShell.

Если политика изменится после предоставления общего доступа к файлам, по-прежнему работают ли ссылки для общего доступа? Только если у пользователя, пытающегося получить доступ к общим файлам, применяется сегмент, соответствующий сегменту, связанному с OneDrive.

Просмотр сегментов, связанных с OneDrive пользователя

Глобальный администратор или администратор SharePoint может просматривать и изменять сегменты, связанные с OneDrive пользователя.

1. Подключитесь к PowerShell соответствия требованиям безопасности & в качестве глобальный администратор Microsoft 365.

2. Выполните следующую команду, чтобы получить список сегментов и их идентификаторы GUID.

   Get-OrganizationSegment | ft Name, EXOSegmentID
   

3. Сохраните список сегментов. В следующей таблице указаны сегменты для сценария Contoso, представленного ранее в этом модуле обучения.

   Название	EXOSegmentId
   Отдел продаж	a9592060-c856-4301-b60f-bf9a04990d4d
   Справочные материалы	27d20a85-1c1b-4af2-bf45-a41093b5d111
   HR	a17efb47-e3c9-4d85-a188-1cd59c83de32

4. Если это еще не было завершено, скачайте и установите последнюю командная консоль SharePoint Online. Если вы установили предыдущую версию командная консоль SharePoint Online, следуйте инструкциям в статье Включение информационных барьеров SharePoint и OneDrive в вашей организации.

5. Подключите SharePoint, используя права глобального администратора или администратора SharePoint в Microsoft 365.

6. Выполните следующую команду:

   Get-SPOSite -Identity <site URL> | Select InformationSegment
   

   Например:

   Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select Info
   

Управление режимом IB в OneDrive пользователя

Чтобы просмотреть режим IB сайта OneDrive, выполните следующую команду в командная консоль SharePoint Online в качестве администратора SharePoint или глобального администратора:

Get-SPOSite -Identity <site URL> | Select InformationBarriersMode

Например:

Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode

Администратор SharePoint организации или глобальный администратор также может управлять режимом IB на сайте OneDrive в соответствии с потребностями организации с помощью новых режимов IB.

Установите для режима IB значение Режим модерации владельца.

Режим "Модерация владельца " обеспечивает несовместимый сегментный доступ пользователей к OneDrive. Например, вы хотите разрешить пользователям сегмента Sales и Research доступ к OneDrive пользователя отдела кадров. Модерация владельца применима к сайту OneDrive, который позволяет несовместимым пользователям сегментировать доступ к OneDrive в присутствии модератора или владельца. Только владелец сайта может приглашать несовместимых пользователей сегментов на один и тот же сайт.

Чтобы обновить режим IB сайта OneDrive до уровня Owner Moderated, выполните следующую команду PowerShell:

Set-SPOSite -Identity <siteurl> InformationBarriersMode OwnerModerated

Для сайта OneDrive с сегментами нельзя настроить режим IB с модерированием владельца. Перед установкой режима IB в качестве модерированного владельца необходимо удалить сегменты. Пользователи могут получить доступ к сайту, модерированному владельцем, если у них есть разрешения на доступ к сайту. Только владелец сайта OneDrive, модерированного владельцем, может предоставлять общий доступ к его содержимому согласно политике IB.

Установите режим IB в режим вывода.

Режим вывода позволяет несегментированные пользователи получать доступ к OneDrive, связанному с сегментами. Например, вы хотите разрешить сегменту отдела кадров и несегментированных пользователям доступ к OneDrive пользователя отдела кадров. Выводимый режим применим к сайту OneDrive, который разрешает сегментированные и несегментированные пользователи доступ к OneDrive.

Чтобы обновить режим IB сайта OneDrive до inferred, выполните следующую команду PowerShell:

Set-SPOSite -Identity <siteurl> InformationBarriersMode Inferred

Вы можете настроить режим inferred IB на сайте без сегментов. Перед установкой режима IB в качестве выводимого необходимо добавить сегменты.