检查 SharePoint 中的信息屏障
- 9 分钟
对于 SharePoint, (GB) 的信息屏障可以确定和阻止以下类型的未经授权的协作:
- 将用户添加到网站。
- 用户访问网站或网站内容。
- 与其他用户共享网站或网站内容。
信息屏障模式有助于根据网站的 IB 模式以及与网站关联的任何段来加强网站的访问、共享和成员身份。 当组织通过 SharePoint 使用信息屏障时,信息屏障支持以下 IB 模式。
| Mode | 说明 | 示例 |
|---|---|---|
| 打开 | 当 SharePoint 网站没有段时,系统会自动将网站的 IB 模式设置为 “打开”。 | 为公司年度野餐创建的工作组网站。 |
| 所有者审查 (预览) | 当用户创建 SharePoint 网站以在网站所有者主持的不兼容段之间进行协作时,所有者应将网站的 IB 模式设置为 “所有者审查”。 支持此 IB 模式的唯一站点是未连接到 Microsoft 365 组的站点。 | 为销售和研究副总裁之间协作创建的网站, (网站所有者) 。 |
| 隐式 | 当Microsoft Teams 预配站点时,系统会默认将该站点的 IB 模式设置为 “隐式 ”。 SharePoint 管理员或全局管理员无法使用隐式模式配置管理段。 | 为所有销售细分用户创建的团队,以便彼此协作。 |
| Explicit | 当最终用户网站创建体验将段添加到 SharePoint 网站,或 SharePoint 管理员将段添加到网站时,系统会将该网站的 IB 模式设置为 “显式”。 | 为研究细分用户创建的研究网站。 |
IB 模式的共享网站
打开
当站点没有段,并且管理员将其 IB 模式设置为 “打开”时:
- 用户可以根据应用于用户的信息屏障策略共享网站及其内容。 例如,如果 IB 策略允许 HR 中的用户与 Research 中的用户通信,则用户可以与这些用户共享网站。
所有者审查
当管理员将站点的 IB 模式设置为 “所有者审查”时:
- 系统禁用与 任何人共享链接的选项。
- 系统禁用与 公司范围链接共享的选项。
- 网站所有者可以与现有成员共享网站及其内容。
- 网站所有者只能根据其 IB 策略共享网站及其内容。
注意
所有者审查 模式仅支持非组连接的站点。
隐式
当管理员将站点的 IB 模式设置为 隐式时:
- 系统禁用与 任何人共享链接的选项。
- 系统禁用与 公司范围链接共享的选项。
- 网站所有者或具有适当权限的其他用户可以通过共享链接与现有成员共享网站及其内容。
- 无法直接将新用户添加到网站。 团队所有者应使用 Microsoft Teams 将用户添加到团队的组中。
Explicit
当站点与段关联,并且管理员将其 IB 模式设置为 “显式”时:
- 系统禁用与 任何人共享链接的选项。
- 系统禁用与 公司范围链接共享的选项。
- 网站所有者或具有适当权限的其他用户只能与与网站段匹配的用户共享网站及其内容。 例如,如果管理员将网站与 HR 段相关联,则网站所有者或具有适当权限的其他用户只能与 HR 用户共享该网站。 即使 HR 与 Sales 和 Research 细分兼容,也会发生这种共享限制。
- 仅当新用户段与网站段匹配时,才能将新用户添加为网站成员。
IB 模式的访问控制
打开模式
当用户想要访问没有段的 SharePoint 网站,并且管理员将其 IB 模式设置为 “打开”时:
- 用户具有站点访问权限。
所有者审查模式
当用户想要访问 SharePoint 网站,并且管理员将其 IB 模式设置为 “所有者审查”时:
- 用户具有站点访问权限。
注意
管理员只能设置非组连接站点的 IB 模式 所有者审查。
隐式模式
当用户想要访问 SharePoint 网站,并且管理员将其 IB 模式设置为 隐式时:
- 用户必须是连接到站点的 Microsoft 365 组的成员。
- 如果用户不是连接到网站的 Microsoft 365 组的成员,则无法访问该网站。
- 信息屏障合规性助手可确保组成员身份符合 IB。
显式模式
当用户想要访问包含段的 SharePoint 网站,并且管理员将其 IB 模式设置为 “显式”时:
用户的段必须与与网站关联的段匹配。
AND
用户必须具有对站点的访问权限。
注意
非细分用户无法访问与段关联的网站。 他们会收到错误消息。
示例方案
以下示例演示 Contoso 的三个细分:HR、销售和研究。 Contoso 的 SharePoint 管理员创建了一个信息屏障策略,用于阻止销售和研究部门之间的通信和协作。 这些段不兼容。
借助 SharePoint 信息屏障,SharePoint 或全局管理员可以将段关联到网站。 这样做会阻止用户与这些细分以外的用户共享网站。 它还会阻止这些段以外的用户访问站点。 最多可以将 100 个兼容段与一个站点关联。 管理员将网站级别的段关联 (以前称为网站集级别的) 。 他们还可以将连接到站点的 Microsoft 365 组与网站的段相关联。
在此示例中,HR 细分与 Sales 和 Research 兼容。 但是,由于 Sales 和 Research 细分不兼容,因此管理员无法将它们与同一站点相关联。
在组织中启用 SharePoint 和 OneDrive 信息屏障
SharePoint 管理员或全局管理员可以在组织中的 SharePoint 和 OneDrive 中启用信息屏障。 他们可以在单个作中为 SharePoint 和 OneDrive 启用信息屏障。 它们无法为每个服务单独启用信息屏障。 完成以下步骤,为组织启用信息屏障:
下载并安装最新版本的 SharePoint Online 命令行管理程序。
以全局管理员或 Microsoft 365 中的 SharePoint 管理员身份连接到 SharePoint Online。
若要在 SharePoint 和 OneDrive 中启用信息屏障,请运行以下命令:
Set-SPOTenant -InformationBarriersSuspension $false在组织中为 SharePoint 和 OneDrive 启用信息屏障后,请等待大约 1 小时以使更改生效。
如果在 2022 年 3 月 15 日之前在组织中为 SharePoint 启用了信息屏障,则与 Teams 连接的网站的隐式 Microsoft模式的默认访问和共享控制基于与网站关联的段。
若要为租户中所有与 Teams 连接的隐式模式站点启用基于 Microsoft 365 组成员身份的访问和共享控制,请运行以下命令:
Set-SPOTenant -IBImplicitGroupBased $true
如果Microsoft 365 多地理位置,则必须为每个地理位置运行此命令。
网站所有者创建和管理网站
分段用户创建 SharePoint 网站时:
- 网站与用户的细分相关联。
- 系统会自动将站点的信息屏障模式设置为 “显式”。
当 SharePoint 网站的 IB 模式为 “显式”时, 即使网站已有段,网站所有者也可以向网站添加更多段。 网站所有者无法从网站中删除添加的段。 如果需要,SharePoint 管理员必须删除组织中添加的段。
当非分段用户创建 SharePoint 网站时:
- 网站不与任何段关联。
- 系统自动将站点的信息屏障模式设置为 “打开”。
当 SharePoint 管理员从 SharePoint 管理中心创建 SharePoint 网站时:
- 网站不与任何段关联。
- 系统自动将站点的信息屏障模式设置为 “打开”。
提示
若要帮助网站所有者向网站添加段,请 与 SharePoint 网站所有者共享将信息段与 SharePoint 网站关联一文。
Microsoft Teams 网站
当组织在 Microsoft Teams 中创建团队时,系统会自动为团队的文件创建 SharePoint 网站。 若要使用信息屏障控制来保护Microsoft团队网站,组织可以在 SharePoint 中为其租户启用信息屏障。 在 24 小时内,系统会自动将站点的信息屏障模式设置为 “隐式”。 与团队成员关联的细分也与网站相关联。
具有 隐式 信息屏障模式Microsoft Teams 网站基于 Microsoft 365 组成员身份具有网站访问权限和共享。 例如,如果用户是连接到网站的 Microsoft 365 组的成员,则他们有权访问 Microsoft Teams 网站。 连接到团队的 Microsoft 365 组符合 IB 标准。
注意
如果在 2022 年 3 月 15 日之前在组织中为 SharePoint 启用了信息屏障,系统会基于与 Teams 连接的网站的访问和共享。 例如,可以与与网站段匹配的用户共享网站及其内容。 或者,如果用户与网站具有相同的段,并且用户具有网站访问权限,则用户可以访问网站及其内容。
若要为组织中的所有 隐式 模式网站启用Microsoft 365 基于组成员身份的访问和共享控制,请以 SharePoint 管理员身份运行以下命令:
Set-SPOTenant -IBImplicitGroupBased $true
知识检查
为以下每个问题选择最佳答案。