搭配 SharePoint 使用資訊障礙
Microsoft Purview 資訊屏障 是 Microsoft 365 中的原則,合規性系統管理員可以設定這些原則來防止使用者彼此通訊和共同作業。 例如,如果某個部門正在處理不應與特定其他部門共用的資訊,或必須防止或隔離部門與除外的所有使用者共同作業,此解決方案就很有用。 資訊屏障通常用於高度管制的產業,以及符合合規性需求的組織,例如財務、法律及政府。
針對 SharePoint,資訊屏障可以判斷並防止下列類型的未經授權共同作業:
- 將使用者新增至網站
- 使用者存取網站或網站內容
- 與其他使用者共享網站或網站內容
資訊屏障模式和 SharePoint 網站
資訊屏障模式 可根據網站的IB模式和與網站相關聯的區段,協助加強網站的存取、共用和成員資格。
重要事項
Microsoft建議您使用許可權最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
搭配 SharePoint 使用資訊屏障時,支援下列 IB 模式:
| Mode | 描述 | 範例 |
|---|---|---|
| 開啟 | 當 SharePoint 網站沒有區段時,網站的 IB 模式會自動設定為 [開啟]。 如需使用開啟模式組態管理區段的詳細資訊,請參閱本節。 | 為您的組織建立的小組網站,以進行 Picnic 活動。 |
| 擁有者仲裁 | 建立 SharePoint 網站以在網站擁有者審核的不相容區段之間共同作業時,應將網站的 IB 模式設定為[ 擁有者仲裁]。 如需管理擁有者仲裁網站的詳細資訊,請參閱本節。 | 建立網站是為了在 HR (網站擁有者) 的 VP 存在的情況下,在銷售和研究的 VP 之間共同作業。 |
| 含蓄 | 當Microsoft Teams 布建網站時,預設會將網站的IB模式設定為 隱含 。 SharePoint 系統管理員或全域管理員無法使用 隱含 模式設定來管理區段。 | 系統會為所有銷售區隔使用者建立小組,以便彼此共同作業。 |
| Explicit | 透過用戶網站建立體驗或 SharePoint 系統管理員將區段新增至 SharePoint 網站時,網站的 IB 模式會設定為 [明確]。 如需使用明確模式組態管理區段的詳細資訊,請參閱本節。 | 為 Research 區段使用者建立研究網站。 |
IB 模式的共享網站
與使用者共享網站是以網站的IB模式為基礎。
開啟
當網站沒有區段且網站的資訊屏障模式設定為 [開啟] 時:
- 網站及其內容可以根據套用至使用者的資訊屏障原則來共用。 例如,如果 HR 中的用戶能夠與 Research 中的使用者通訊,使用者將能夠與這些使用者共享網站。
提示
如果您想要允許與擁有郵件功能的安全組共用 開 啟模式網站,請參閱本文中的 允許共用具有擁有郵件功能的安全組的開啟模式網站 一節。
擁有者仲裁
當網站有資訊屏障模式設定為 擁有者仲裁時:
- 與任何人共用 連結的 選項已停用。
- 已停用與 全公司鏈接共享的 選項。
- (針對群組連線的網站) 網站及其內容可以與現有成員共用。
- (針對非群組連線的網站) 網站及其內容只能由網站擁有者根據其 IB 原則共用。
含蓄
當網站的資訊屏障模式設定為 隱含時:
- 與任何人共用 連結的 選項已停用。
- 已停用與 全公司鏈接共享的 選項。
- 網站及其內容可以透過共用連結與現有成員共用。
- 無法將新使用者直接新增至網站。 小組擁有者應該使用 Microsoft Teams,將使用者新增至小組的群組。
注意事項
如果您在 2022 年 3 月 15 日之前已在組織中啟用 SharePoint 的資訊屏障,請參閱本文中的 啟用 SharePoint 和 OneDrive 資訊屏障一 節。
Explicit
當網站與區段相關聯時, (的) ,而網站的資訊屏障模式會設定為 [明確]:
- 與任何人共用 連結的 選項已停用。
- 已停用與 全公司鏈接共享的 選項。
- 網站及其內容只能與區段符合網站區段的用戶共用。 例如,如果網站與 HR 區段相關聯,即使 HR 與銷售和研究區段) 相容,網站仍只能與 HR 用戶共用 (。
- 只有當新使用者的區段符合網站區段時,才能新增為網站成員。
IB 模式的訪問控制
開啟 SharePoint 網站或 SharePoint 網站中的內容時,會強制執行 IB 原則。 這是以網站的 IB 模式為基礎。
開啟模式
若要讓使用者存取沒有區段的 SharePoint 網站,且網站的資訊屏障模式會設定為 [開啟]:
- 使用者具有網站訪問許可權。
擁有者仲裁模式
若要讓使用者使用網站的資訊屏障模式存取 SharePoint 網站,會設定為 擁有者仲裁:
- (針對非群組連線的網站) 使用者具有網站訪問許可權。
- (針對群組連線的網站) 用戶必須是聯機至網站之 Microsoft 365 群組的成員。
隱含模式
若要讓使用者存取資訊屏障模式設為 隱含的 SharePoint 網站:
- 用戶必須是連線至網站Microsoft 365 群組的成員
- 不是連線至網站之 Microsoft 365 群組成員的使用者將無法存取網站
- 資訊屏障合規性助理可確保群組成員資格符合IB規範。
注意事項
如果您在 2022 年 3 月 15 日之前已在組織中啟用 SharePoint 的資訊屏障,請參閱本文中的 啟用 SharePoint 和 OneDrive 資訊屏障一 節。
明確模式
若要讓使用者存取具有區段和網站資訊屏障模式的 SharePoint 網站,則為 明確:
用戶的區段必須符合與網站相關聯的區段。
AND
用戶必須具有網站的訪問許可權。
非區段用戶無法存取與區段相關聯的網站。 他們會看到錯誤訊息。
允許以僅限應用程式模式執行的應用程式存取IB網站
許多組織會使用在其組織中僅限應用程式內容中執行的應用程式。 若要允許以僅限應用程式模式執行的這些應用程式存取受IB保護的網站,SharePoint系統管理員可以啟用選擇加入功能。
重要事項
資訊屏障原則可能會影響以僅限應用程式模式存取網站的應用程式。 建議您啟用原則,然後針對組織中使用的應用程式測試體驗。
若要讓以僅限應用程式模式執行的應用程式能夠存取 IB 網站,請執行下列命令:
Set-SPOTenant -AppBypassInformationBarriers $true
案例範例
下列範例說明組織中的三個區段:HR、Sales 和 Research。 已定義資訊屏障原則,以封鎖 Sales 和 Research 區段之間的通訊和共同作業。 這些區段不相容。
透過 SharePoint 資訊屏障,SharePoint 系統管理員或全域管理員可以將區段與網站建立關聯,以防止區段外部的用戶共用或存取網站。 最多可以有 100 個相容區段與網站相關聯。 這些區段會與先前稱為網站集合層級) (網站層級相關聯。 聯機到網站的Microsoft 365 群組也會與網站的區段相關聯。
重要事項
Microsoft建議您使用許可權最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
在上述範例中,HR 區段與 Sales 和 Research 相容。 不過,因為 Sales and Research 區段不相容,所以它們無法與相同的網站相關聯。
必要條件
- 請確定您符合 資訊屏障的授權需求。
- 建立資訊屏障原則 ,以允許或封鎖區段之間的通訊,然後將它們設定為作用中。 建立區段,並在每個區段中定義使用者。
- 設定並啟用資訊屏障原則之後,請等候 24 小時,讓變更傳播到您的組織。
- 完成下列各節中的步驟,以在組織中啟用和管理 SharePoint 和 OneDrive 資訊屏障。
在組織中啟用 SharePoint 和 OneDrive 資訊屏障
重要事項
Microsoft建議您使用許可權最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
SharePoint 系統管理員或全域管理員可以在組織中的 SharePoint 和 OneDrive 中啟用資訊屏障。 完成下列步驟,為您的組織啟用資訊屏障:
下載 並安裝最新版的 SharePoint Online 管理命令介面。
在 Microsoft 365 中以全域管理員或 SharePoint 系統管理員 身分連線到 SharePoint Online。 若要了解如何進行,請參閱開始使用 SharePoint Online 管理命令介面。
若要在 SharePoint 和 OneDrive 中啟用資訊屏障,請執行下列命令:
Set-SPOTenant -InformationBarriersSuspension $false在組織中啟用 SharePoint 和 OneDrive 的資訊屏障之後,請等候大約 1 小時,變更才會生效。
注意事項
如果您已在 2022 年 3 月 15 日之前為組織中的 SharePoint 啟用資訊屏障,則Microsoft Teams 連線網站的隱含模式預設存取和共用控制是以與網站相關聯的區段為基礎。
若要為租使用者中所有與 Teams 連線的網站啟用 Microsoft 365 群組成員資格型存取和共用控制,請執行下列命令:
Set-SPOTenant -IBImplicitGroupBased $true
如果您已安裝舊版的 SharePoint Online 管理命令介面,請完成下列步驟:
重要事項
Microsoft建議您使用許可權最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
移至 [新增或移除程式] ,然後卸載 SharePoint Online 管理命令介面。
流覽至 SharePoint Online 管理命令 介面) Microsoft 下載中心,選取您的語言,然後選取 [ 下載]。
系統可能會要求您選擇下載 x64 和 x86 .msi 檔案。 如果您執行的是64位版本的Windows或 x86 檔案,如果您執行的是32位版本的Windows,請下載 x64 檔案。 如果您不知道您在計算機上執行的版本,請參閱 我正在執行哪個版本的 Windows 作業系統?。
下載完成之後,請執行安裝程序檔案,並遵循安裝精靈中的設定步驟。
在 Microsoft 365 中以全域管理員或 SharePoint 系統管理員 身分連線到 SharePoint Online。 若要了解如何進行,請參閱開始使用 SharePoint Online 管理命令介面。
若要在 SharePoint 和 OneDrive 中啟用資訊屏障,請執行下列命令:
Set-SPOTenant -InformationBarriersSuspension $false在組織中的 SharePoint 和 OneDrive 中設定資訊屏障之後,請等候大約 1 小時,變更才會生效。
注意事項
如果您已在 2022 年 3 月 15 日之前為組織中的 SharePoint 啟用資訊屏障,則Microsoft Teams 連線網站的隱含模式預設存取和共用控制是以與網站相關聯的區段為基礎。
若要為組織中的所有隱含模式網站啟用Microsoft 365 群組成員資格型存取和共用控制,請執行下列命令:
Set-SPOTenant -IBImplicitGroupBased $true
注意事項
如果您已Microsoft 365 多地理位置,則必須針對每個地理位置執行此命令。
以系統管理員身分檢視和管理區段
重要事項
Microsoft建議您使用許可權最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
SharePoint 系統管理員或全域管理員可以檢視和管理 SharePoint 網站上的區段。 您的組織最多可以有5,000個區段,而且使用者可以指派給多個區段。
重要事項
只有當您的組織不是處於 舊 版模式時,才支援5,000個區段並將使用者指派給多個區段。 將使用者指派給多個區段需要額外的動作,才能變更貴組織的資訊屏障模式。 如需詳細資訊,請 參閱在資訊屏障) 中使用多區段支援 。
對於 舊版 模式的組織而言,支援的區段數目上限為 250,且使用者只能指派給一個區段。 處於 舊 版模式的組織未來將有資格升級至最新版本的資訊屏障。 如需詳細資訊,請參閱 資訊屏障藍圖。
檢視和管理資訊屏障區段,如下所示:
1.使用 SharePoint 系統管理中心來檢視和管理資訊區段
若要檢視、編輯或移除網站的資訊區段,請使用 SharePoint 系統管理中心的使用中網站。
[區段] 數據行會列出與網站相關聯的第一個區段,並顯示網站是否有其他相關聯的區段。 瞭解如何顯示或移動此數據行
![[使用中網站] 頁面上的 [區段] 數據行。](media/info-barriers-segments-column.png)
若要檢視與網站相關聯的完整區段清單,請選取網站名稱以開啟詳細數據面板,然後選取 [ 設定] 索引標籤 。
若要編輯與網站相關聯的區段,請選取 [ 編輯]、新增或移除區段,然後選取 [ 儲存]。
2.使用 SharePoint PowerShell 檢視和管理網站上的資訊區段
重要事項
Microsoft建議您使用許可權最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
執行下列命令以取得區段及其 GUID 的清單。
Get-OrganizationSegment | ft Name, EXOSegmentID儲存區段清單。
名稱 EXOSegmentId 銷售 a9592060-c856-4301-b60f-bf9a04990d4d 參考資料 27d20a85-1c1b-4af2-bf45-a41093b5d111 人力資源 a17efb47-e3c9-4d85-a188-1cd59c83de32 如果先前未完成, 請下載 並安裝最新的 SharePoint Online 管理命令介面。 如果您已安裝舊版的 SharePoint Online 管理命令介面,請遵循本文中啟 用組織中的 SharePoint 和 OneDrive 資訊屏障一 節中的指示。
在 Microsoft 365 中以 全域管理員或 SharePoint 系統管理員 身分連線到 SharePoint Online。 若要了解如何進行,請參閱開始使用 SharePoint Online 管理命令介面。
執行下列命令:
Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>例如:
Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
如果您嘗試建立與網站現有區段不相容的區段關聯,您會看到錯誤訊息。
注意事項
當您將區段新增至網站時,網站的 IB 模式會自動更新為 Explicit。
若要從月臺移除區段,請執行下列命令:
Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>
例如:
Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
注意事項
從網站移除所有區段時,網站的 IB 模式會自動更新為 [開啟]。
若要檢視網站的區段,請執行下列命令以傳回與網站相關聯之任何區段的 GUID。
Get-SPOSite -Identity <site URL> | Select InformationSegment
3.使用 SharePoint REST API 來檢視和管理網站上的資訊區段
SharePoint 包含表示狀態傳輸 (REST) 服務,可用來管理網站上的區段。 若要使用 REST 存取 SharePoint 資源及管理網站區段,您將使用 OData 標準來建構 RESTful HTTP 要求,該標準會對應至所需的客戶端物件模型應用程式開發介面, (API) 。
如需 SharePoint REST 服務的詳細資訊, 請參閱瞭解 SharePoint REST 服務。
使用 SharePoint PowerShell 以系統管理員身分檢視和管理 IB 模式
若要檢視網站的 IB 模式,請執行下列命令:
Get-SPOSite -Identity <site URL> | Select InformationBarriersMode
擁有者仲裁模式案例
您想要允許銷售和研究使用者在有 HR 用戶的情況下,於 SharePoint 網站上共同作業。
擁有者仲裁 模式適用於網站 (Teams 連線網站、非群組連線的網站) 允許不相容的區隔使用者存取網站。 只有網站擁有者能夠邀請此相同網站上不相容的區隔使用者。
若要將網站的模式更新為 擁有者仲裁,請執行下列 PowerShell 命令:
Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated
擁有者仲裁 IB 模式無法在具有區段的網站上設定。 先移除區段,再將IB模式設定為擁有者仲裁。 擁有者仲裁網站的存取權允許具有網站訪問許可權的使用者。 只有網站擁有者根據其 IB 原則才允許共用擁有者仲裁網站及其內容。
稽核
稽核事件可在 Microsoft Purview 入口網站和 Microsoft Purview 合規性入口 網站中取得,以協助您監視資訊屏障活動。 稽核事件會針對下列活動記錄:
- 已啟用 SharePoint 和 OneDrive 的資訊屏障
- 套用至網站的區段
- 已變更的網站區段
- 已移除的網站區段
- 將資訊屏障模式套用至月臺
- 已變更網站的資訊屏障模式
- 已停用 SharePoint 和 OneDrive 的資訊屏障
如需 Office 365 中 SharePoint 區段稽核的詳細資訊,請參閱 在合規性入口網站中搜尋稽核記錄。
網站擁有者建立和管理網站
當分割使用者建立 SharePoint 網站時,網站會與使用者的區段相關聯,而網站的資訊屏障模式會自動設定為 Explicit。
此外,網站擁有者能夠將更多區段新增至 SharePoint 網站,該網站已將網站模式設定為 Explicit 的區段。 網站擁有者無法從網站移除新增的區段。 如有需要,SharePoint 系統管理員必須移除組織中新增的區段。
當非區段使用者建立 SharePoint 網站時,網站不會與任何區段相關聯,而且網站的資訊屏障模式會自動設定為 [開啟]。
當 SharePoint 系統管理員從 SharePoint 系統管理中心建立 SharePoint 網站時,網站不會與任何區段相關聯,且網站的 IB 模式會設定為 [開啟]。
若要協助網站擁有者將區段新增至網站,請 與您的 SharePoint 網站擁有者分享將資訊區段與 SharePoint 網站建立關聯 一文。
Microsoft Teams 網站
在 Microsoft Teams 中建立小組時,系統會自動為小組的檔案建立 SharePoint 網站。 若要使用資訊屏障控制來保護Microsoft小組網站,您可以在SharePoint中為您的租用戶啟用資訊屏障。
在24小時內,網站的資訊屏障模式會自動設定為 隱含 ,且與小組成員相關聯的區段會與網站相關聯。
Microsoft資訊屏障模式為 隱含 的 Teams 網站,可根據Microsoft 365 群組成員資格來存取和共享網站。
例如,如果使用者是連線至網站的Microsoft 365 群組成員,則可存取Microsoft Teams 網站。 線上至小組的Microsoft 365 群組符合IB規範。
注意事項
如果您在 2022 年 3 月 15 日之前已在組織中啟用 SharePoint 的資訊屏障,則 Teams 連線網站的存取和共用是以網站區段為基礎。 例如:
- 網站及其內容可以與區段符合網站區段的用戶共用。
- 如果使用者的區段與網站的區段相同,而且具有網站訪問許可權,則使用者可以存取網站及其內容。
若要為組織中的所有 隱含 模式網站啟用Microsoft 365 群組成員資格型存取和共用控制,請以SharePoint系統管理員身分執行下列命令:
Set-SPOTenant -IBImplicitGroupBased $true
私人頻道和資訊屏障
當組織中啟用 SharePoint 資訊屏障時,任何新的私人頻道網站都會在 24 小時內自動繼承其父Microsoft小組的 IB 模式。 私人通道的模式指派如下:
| 父團隊的 IB 模式 | 私人頻道網站的IB模式 |
|---|---|
| 開啟 | 開啟 |
| 隱含或擁有者仲裁 | 含蓄 |
私人頻道網站存取和共用是由其 IB 模式所控管:
具有 開 啟資訊屏障模式的私人頻道網站
- 任何具有網站訪問許可權的人員都可以存取
- 根據網站現有的共享原則允許共享連結
- 人員選擇器允許根據共用者的 IB 原則來探索使用者
具有 隱含 資訊屏障模式的私人頻道網站
- 目前為私人頻道成員的使用者可以存取
- 允許使用 具有現有存取連結的人員共用
您組織中已設定的私人頻道網站會將其資訊屏障模式設定為 [開啟]。 若要將現有的私人頻道網站設定為 隱含 模式,請在 SharePoint PowerShell 模組中執行下列 Cmdlet:
Set-Sposite -Identity <site URL> -InformationBarriersMode Implicit
深入了解如何管理 Microsoft Teams 連線的小組網站。
搜尋
使用者會從下列專案看到搜尋結果:
- 區段相關聯的網站:當網站的區段符合使用者的區段,且使用者具有網站訪問許可權時。 例如,具有 明確 模式的網站。
- 非分段網站:當使用者具有內容或網站的現有存取權時。 例如,開 啟、 擁有者仲裁 或 隱含 模式的網站。 當使用者選取搜尋結果以開啟網站中的內容時,如果使用者不符合網站的IB原則,則會拒絕使用者存取。
用戶區段變更的影響
如果 SharePoint 網站擁有者或網站成員的區段變更,他們仍可根據網站的 IB 模式存取網站或內容:
- 開啟模式:如果使用者具有現有的網站訪問許可權,則可以存取網站。
- 擁有者仲裁:如果使用者具有現有的網站訪問許可權,則可以存取網站。
- 隱含模式:如果使用者是 Microsoft 365 群組的成員,他們仍可繼續存取網站。
- 明確模式:如果用戶的新區段符合網站的區段,且使用者具有網站訪問許可權,他們將繼續擁有網站的存取權。
現有資訊屏障原則變更的影響
如果合規性系統管理員變更現有的 IB 原則,變更可能會影響在 明確 或 隱含 模式) 中與網站 (相關聯的區段相容性。 例如,曾經相容的區段可能不再相容。
使用資訊屏障原則合規性報告時,SharePoint 系統管理員將能夠檢視區段不再相容的網站清單。 如需詳細資訊,請 參閱瞭解如何在PowerShell中建立資訊屏障原則合規性報告。
若要管理不符合規範的網站:
- 在 明確 模式中,SharePoint 系統管理員必須變更相關聯的區段,使其符合 IB 規範。
- 在 隱含 模式中,SharePoint 系統管理員無法直接管理區段。 我們建議 Teams 系統管理員管理小組的成員資格,以將 Teams 成員資格名冊和區隔帶入 IB 合規性。
如何暫停組織中的 SharePoint 和 OneDrive 資訊屏障
如果您的組織想要暫時暫停 SharePoint 上的資訊屏障,您必須使用 SharePoint Online 管理命令介面和 Set-Spotenant Cmdlet。
若要暫停資訊屏障,請執行下列命令:
Set-SPOTenant -InformationBarriersSuspension $true
注意事項
如果您已Microsoft 365 多地理位置,則必須針對每個地理位置執行此命令。
允許使用擁有郵件功能的安全組共享開啟模式網站
IB 支援 SharePoint PowerShell 模組 中可用的加入功能,讓處於 開 啟模式的網站與 擁有郵件功能的安全組 共用,以取得網站許可權、共用和目標物件。 只有 開 啟模式網站才支援此功能。 SharePoint 系統管理員可以在您的組織中啟用這項支援,建議您確定安全組成員資格符合 IB 規範。
啟用群組支援之前,請確認您已符合下列必要條件:
若要在 開 啟模式網站中設定擁有郵件功能的安全組支援,請執行下列命令:
Set-SPOTenant -ShowPeoplePickerGroupSuggestionsForIB $true