搭配 SharePoint 使用資訊障礙

Microsoft Purview 資訊屏障 是 Microsoft 365 中合規性系統管理員可以設定的原則,以防止使用者彼此通訊和共同作業。 例如,如果某個部門正在處理不應與特定其他部門共用的資訊,或部門必須防止或隔離與除法以外的所有使用者共同作業,這個解決方案就很有用。 資訊屏障通常用於高度管制的產業,以及符合合規性需求的組織,例如財務、法律及政府。

針對 SharePoint,資訊屏障可以判斷並防止下列類型的未經授權共同作業:

  • 將使用者新增至網站
  • 使用者存取網站或網站內容
  • 與其他使用者共用網站或網站內容

資訊屏障模式和 SharePoint 網站

資訊屏障模式 可根據網站的 IB 模式和與網站相關聯的區段,協助加強網站的存取、共用和成員資格。

搭配 SharePoint 使用資訊屏障時,支援下列 IB 模式:

Mode 描述 範例
開啟 當 SharePoint 網站沒有區段時,網站的 IB 模式會自動設定為 [開啟]。 如需使用啟模式組態管理區段的詳細資訊,請參閱本節 為您的組織建立的小組網站,以進行 Picnic 活動。
擁有者仲裁 (預覽) 建立 SharePoint 網站以在網站擁有者審核的不相容區段之間共同作業時,應將網站的 IB 模式設定為[ 擁有者仲裁]。 此模式目前僅支援未連線至 Microsoft 365 群組的網站。 如需管理擁有者仲裁網站的詳細資訊,請參閱本節 建立網站是為了在 HR (網站擁有者) 的 VP 存在的情況下,在銷售和研究的 VP 之間共同作業。
隱 式 當 Microsoft Teams 布建網站時,預設會將網站的 IB 模式設定為 隱含 。 SharePoint 系統管理員或全域管理員無法使用 隱含 模式設定來管理區段。 系統會為所有銷售區隔使用者建立小組,以便彼此共同作業。
Explicit 透過使用者網站建立體驗或 SharePoint 系統管理員將區段新增至 SharePoint 網站時,網站的 IB 模式會設定為 [明確]。 如需使用明確模式組態管理區段的詳細資訊,請參閱本節 為 Research 區段使用者建立研究網站。

IB 模式的共用網站

開啟

當網站沒有區段且網站的資訊屏障模式設定為 [開啟]時:

  • 網站及其內容可以根據套用至使用者的資訊屏障原則來共用。 例如,如果 HR 中的使用者能夠與 Research 中的使用者通訊,使用者將能夠與這些使用者共用網站。

擁有者仲裁

當網站有資訊屏障模式設定為 擁有者仲裁時

  • 與任何人共用 連結的 選項已停用。
  • 已停用與 全公司連結共用的 選項。
  • 網站及其內容可以與現有成員共用。
  • 網站及其內容只能由網站擁有者根據其 IB 原則共用。

注意事項

只有非群組連線的網站才支援擁有者仲裁模式。

隱 式

當網站的資訊屏障模式設定為 隱含時:

  • 與任何人共用 連結的 選項已停用。
  • 已停用與 全公司連結共用的 選項。
  • 網站及其內容可以透過共用連結與現有成員共用。
  • 無法將新使用者直接新增至網站。 小組擁有者應該使用 Microsoft Teams 將使用者新增至小組的群組。

注意事項

如果您已在 2022 年 3 月 15 日前為組織中的 SharePoint 啟用資訊屏障,請參閱本文中的 啟用 SharePoint 和 OneDrive 資訊屏障一 節。

Explicit

當網站與區段相關聯時, (的) ,而網站的資訊屏障模式會設定為 [明確]

  • 與任何人共用 連結的 選項已停用。
  • 已停用與 全公司連結共用的 選項。
  • 網站及其內容只能與區段符合網站區段的使用者共用。 例如,如果網站與 HR 區段相關聯,即使 HR 與銷售和研究區段) 相容,網站仍只能與 HR 使用者共用 (。
  • 只有當新使用者的區段符合網站區段時,才能新增為網站成員。

IB 模式的存取控制

開啟模式

若要讓使用者存取沒有區段的 SharePoint 網站,且網站的資訊屏障模式會設定為 [開啟]

  • 使用者具有網站存取權限。

擁有者仲裁模式

若要讓使用者使用網站的資訊屏障模式存取 SharePoint 網站,會設定為 擁有者仲裁

  • 使用者具有網站存取權限。

注意事項

只有非群組連線的網站才支援擁有者仲裁模式。

隱含模式

若要讓使用者存取訊號屏障模式設為 隱含的 SharePoint 網站:

  • 使用者必須是連線至網站的 Microsoft 365 群組成員
  • 不是連線至網站之 Microsoft 365 群組成員的使用者將無法存取網站
  • 資訊屏障合規性助理可確保群組成員資格符合 IB 規範。

注意事項

如果您已在 2022 年 3 月 15 日前為組織中的 SharePoint 啟用資訊屏障,請參閱本文中的 啟用 SharePoint 和 OneDrive 資訊屏障一 節。

明確模式

若要讓使用者存取具有區段和網站資訊屏障模式的 SharePoint 網站,則為 明確

  • 使用者的區段必須符合與網站相關聯的區段。

    AND

  • 使用者必須具有網站的存取權限。

非區段使用者無法存取與區段相關聯的網站。 他們會看到錯誤訊息。

案例範例

下列範例說明組織中的三個區段:HR、Sales 和 Research。 已定義資訊屏障原則,以封鎖 Sales 和 Research 區段之間的通訊和共同作業。 這些區段不相容。

組織中的區段範例。

透過 SharePoint 資訊屏障,SharePoint 系統管理員或全域管理員可以將區段與網站建立關聯,以防止區段外部的使用者共用或存取網站。 最多可以有 100 個相容區段與網站相關聯。 這些區段會與先前稱為網站集合層級) (網站層級相關聯。 連線到網站的 Microsoft 365 群組也會與網站的區段相關聯。

在上述範例中,HR 區段與 Sales 和 Research 相容。 不過,由於 Sales and Research 區段不相容,因此無法與相同的網站相關聯。

先決條件

  1. 請確定您符合 資訊屏障的授權需求
  2. 建立資訊屏障原則 ,以允許或封鎖區段之間的通訊,然後將它們設定為作用中。 建立區段,並在每個區段中定義使用者。
  3. 設定並啟用資訊屏障原則之後,請等候 24 小時,讓變更傳播到您的組織。
  4. 完成下列各節中的步驟,以在組織中啟用和管理 SharePoint 和 OneDrive 資訊屏障。

在組織中啟用 SharePoint 和 OneDrive 資訊屏障

SharePoint 系統管理員或全域管理員可以在組織中的 SharePoint 和 OneDrive 中啟用資訊屏障。 完成下列步驟,為您的組織啟用資訊屏障:

  1. 下載 並安裝最新版的 SharePoint Online 管理命令介面。

  2. 以 Microsoft 365 中的全域管理員或 SharePoint 系統管理員 身分連線到 SharePoint Online。 若要了解如何進行,請參閱開始使用 SharePoint Online 管理命令介面

  3. 若要在 SharePoint 和 OneDrive 中啟用資訊屏障,請執行下列命令:

    Set-SPOTenant -InformationBarriersSuspension $false 
    
  4. 在組織中啟用 SharePoint 和 OneDrive 的資訊屏障之後,請等候大約 1 小時,變更才會生效。

注意事項

如果您已在 2022 年 3 月 15 日之前為組織中的 SharePoint 啟用資訊屏障,則 Microsoft Teams 連線網站的隱含模式預設存取和共用控制會以與網站相關聯的區段為基礎。

若要為租使用者中所有與 Teams 連線的網站啟用 Microsoft 365 群組成員資格型存取和共用控制,請執行下列命令:

Set-SPOTenant -IBImplicitGroupBased $true

注意事項

如果您有 Microsoft 365 多地理位置,則必須針對每個地理位置執行此命令。

如果您已安裝舊版的 SharePoint Online 管理命令介面,請完成下列步驟:

  1. 移至 [新增或移除程式] ,然後卸載 SharePoint Online 管理命令介面

  2. 流覽至 SharePoint Online 管理命令接 口) 的 Microsoft 下載中心,選取您的語言,然後選取 [ 下載]

  3. 系統可能會要求您選擇下載 x64 和 x86 .msi檔案。 如果您執行的是 64 位版本的 Windows 或 x86 檔案,如果您執行的是 32 位版本的 Windows,請下載 x64 檔案。 如果您不知道您在電腦上執行的版本,請參閱 我正在執行哪個版本的 Windows 作業系統?

  4. 下載完成之後,請執行安裝程式檔案,並遵循安裝精靈中的設定步驟。

  5. 以 Microsoft 365 中的全域管理員或 SharePoint 系統管理員 身分連線到 SharePoint Online。 若要了解如何進行,請參閱開始使用 SharePoint Online 管理命令介面

  6. 若要在 SharePoint 和 OneDrive 中啟用資訊屏障,請執行下列命令:

    Set-SPOTenant -InformationBarriersSuspension $false 
    
  7. 在組織中的 SharePoint 和 OneDrive 中設定資訊屏障之後,請等候大約 1 小時,變更才會生效。

注意事項

如果您已在 2022 年 3 月 15 日之前為組織中的 SharePoint 啟用資訊屏障,則 Microsoft Teams 連線網站的隱含模式預設存取和共用控制會以與網站相關聯的區段為基礎。

若要為組織中的所有隱含模式網站啟用 Microsoft 365 群組成員資格型存取和共用控制,請執行下列命令:

Set-SPOTenant -IBImplicitGroupBased $true

注意事項

如果您有 Microsoft 365 多地理位置,則必須針對每個地理位置執行此命令。

以系統管理員身分檢視和管理區段

SharePoint 系統管理員或全域管理員可以在 SharePoint 網站上檢視和管理區段,如下所示:

1.使用 SharePoint 系統管理中心來檢視和管理資訊區段

若要檢視、編輯或移除網站的資訊區段,請使用SharePoint 系統管理中心的使用中網站

[區段] 資料行會列出與網站相關聯的第一個區段,並顯示網站是否有其他相關聯的區段。 瞭解如何顯示或移動此資料行

[使用中網站] 頁面上的 [區段] 資料行。

若要檢視與網站相關聯的完整區段清單,請選取網站,然後選取 [ 原則] 索引卷 標。

詳細資料面板中列出所有相關聯區段的原則索引標籤。

若要編輯與網站相關聯的區段,請選取 [ 編輯]、新增或移除區段,然後選取 [ 儲存]

編輯資訊區段面板。

2.使用 SharePoint PowerShell 檢視和管理網站上的資訊區段

  1. 以全域管理員身分連線到 安全 & 性合規性中心 PowerShell

  2. 執行下列命令以取得區段及其 GUID 的清單。

    Get-OrganizationSegment | ft Name, EXOSegmentID
    
  3. 儲存區段清單。

    名稱 EXOSegmentId
    銷售 a9592060-c856-4301-b60f-bf9a04990d4d
    參考資料 27d20a85-1c1b-4af2-bf45-a41093b5d111
    人力資源 a17efb47-e3c9-4d85-a188-1cd59c83de32
  4. 如果先前未完成, 請下載 並安裝最新的 SharePoint Online 管理命令介面。 如果您已安裝舊版的 SharePoint Online 管理命令介面,請遵循本文中啟 用組織中的 SharePoint 和 OneDrive 資訊屏障一 節中的指示。

  5. 以 Microsoft 365 中的 全域管理員或 SharePoint 系統管理員 身分連線到 SharePoint Online。 若要了解如何進行,請參閱開始使用 SharePoint Online 管理命令介面

  6. 執行下列命令:

    Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>
    

    例如:

    Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
    

如果您嘗試建立與網站現有區段不相容的區段關聯,您會看到錯誤訊息。

注意事項

當您將區段新增至網站時,網站的 IB 模式會自動更新為 Explicit

若要從月臺移除區段,請執行下列命令:

Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>

例如:

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

注意事項

從網站移除所有區段時,網站的 IB 模式會自動更新為 [開啟]

若要檢視網站的區段,請執行下列命令以傳回與網站相關聯之任何區段的 GUID。

Get-SPOSite -Identity <site URL> | Select InformationSegment

3.使用 SharePoint REST API 來檢視和管理網站上的資訊區段

SharePoint 包含表示狀態傳輸 (REST) 服務,可用來管理網站上的區段。 若要使用 REST 存取 SharePoint 資源及管理網站區段,您將使用 OData 標準來建構 RESTful HTTP 要求,該標準會對應至所需的用戶端物件模型應用程式開發介面 (API) 。

如需 SharePoint REST 服務的詳細資訊, 請參閱瞭解 SharePoint REST 服務

使用 SharePoint PowerShell 以系統管理員身分檢視和管理 IB 模式

若要檢視網站的 IB 模式,請執行下列命令:

Get-SPOSite -Identity <site URL> | Select InformationBarriersMode

擁有者仲裁模式案例 (預覽)

您想要允許銷售和研究使用者在有 HR 使用者的情況下,于 SharePoint 網站上共同作業。

擁有者仲裁 是適用于網站 (未連線到 Microsoft 365 群組) 的新模式,可讓不相容的區段使用者存取網站。 只有網站擁有者能夠邀請此相同網站上不相容的區隔使用者。

若要將網站的模式更新為 擁有者仲裁,請執行下列 PowerShell 命令:

Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated

擁有者仲裁 IB 模式無法在具有區段的網站上設定。 先移除區段,再將 IB 模式設定為擁有者仲裁。 擁有者仲裁網站的存取權允許具有網站存取權限的使用者。 只有網站擁有者根據其 IB 原則才允許共用擁有者仲裁網站及其內容。

稽核

稽核事件可在Microsoft Purview 合規性入口網站中取得,以協助您監視資訊屏障活動。 稽核事件會針對下列活動記錄:

  • 已啟用 SharePoint 和 OneDrive 的資訊屏障
  • 套用至網站的區段
  • 已變更的網站區段
  • 已移除的網站區段
  • 將資訊屏障模式套用至月臺
  • 已變更網站的資訊屏障模式
  • 已停用 SharePoint 和 OneDrive 的資訊屏障

如需有關 Office 365 中 SharePoint 區段稽核的詳細資訊,請參閱在合規性中心搜尋稽核記錄

網站擁有者建立和管理網站

當分割使用者建立 SharePoint 網站時,網站會與使用者的區段相關聯,而網站的資訊屏障模式會自動設定為 Explicit

此外,網站擁有者能夠將更多區段新增至 SharePoint 網站,該網站已將網站模式設定為 Explicit的區段。 網站擁有者無法從網站移除新增的區段。 如有需要,SharePoint 系統管理員必須移除組織中新增的區段。

當非區段使用者建立 SharePoint 網站時,網站不會與任何區段相關聯,而且網站的資訊屏障模式會自動設定為 [開啟]

當 SharePoint 系統管理員從 SharePoint 系統管理中心建立 SharePoint網站時,網站不會與任何區段相關聯,且網站的 IB 模式會設定為 [開啟]

若要協助網站擁有者將區段新增至網站,請 與您的 SharePoint 網站擁有者分享將資訊區段與 SharePoint 網站建立關聯 一文。

Microsoft Teams 網站

在 Microsoft Teams 中建立小組時,會自動為小組的檔案建立 SharePoint 網站。 若要使用資訊屏障控制來保護 Microsoft 小組網站,您可以在 SharePoint 中為您的租使用者啟用資訊屏障。

在 24 小時內,網站的資訊屏障模式會自動設定為 隱含 ,且與小組成員相關聯的區段會與網站相關聯。

資訊屏障模式為 隱含 的 Microsoft Teams 網站可根據 Microsoft 365 群組成員資格存取和共用網站。

例如,如果使用者是連線至網站的 Microsoft 365 群組成員,則可以存取 Microsoft Teams 網站。 連線到小組的 Microsoft 365 群組符合 IB 規範。

注意事項

如果您已在 2022 年 3 月 15 日之前為組織中的 SharePoint 啟用資訊屏障,則 Teams 連線網站的存取和共用會以網站區段為基礎。 例如:

  • 網站及其內容可以與區段符合網站區段的使用者共用。
  • 如果使用者的區段與網站的區段相同,而且具有網站存取權限,則使用者可以存取網站及其內容。

若要為組織中的所有 隱含 模式網站啟用 Microsoft 365 群組成員資格型存取和共用控制,請以 SharePoint 系統管理員身分執行下列命令:

Set-SPOTenant -IBImplicitGroupBased $true

預覽 (的私人頻道和資訊屏障)

當組織中啟用 SharePoint 資訊屏障時,任何新的私人頻道網站都會在 24 小時內自動繼承其父系 Microsoft Team 的 IB 模式。 私人通道的模式指派如下:

父團隊的 IB 模式 私人頻道網站的 IB 模式
開啟 開啟
隱含或擁有者仲裁 隱 式

私人頻道網站存取和共用是由其 IB 模式所控管:

  • 具有 啟資訊屏障模式的私人頻道網站

    • 任何具有網站存取權限的人員都可以存取
    • 根據網站現有的共用原則允許共用連結
    • 人員選擇器允許根據共用者的 IB 原則來探索使用者
  • 具有 隱含 資訊屏障模式的私人頻道網站

    • 目前為私人頻道成員的使用者可存取
    • 允許使用具有現有存取連結的人員共用

您組織中已設定的私人頻道網站會將其資訊屏障模式設定為 [開啟]。 若要將現有的私人頻道網站設定為 隱含 模式,請在 SharePoint Powershell 模組中執行下列 Cmdlet:

Set-Sposite -Identity <site URL> -InformationBarriersMode Implicit

深入了解如何管理 Microsoft Teams 連線的小組網站

使用者會從下列專案看到搜尋結果:

  • 具有符合使用者區段且使用者具有網站存取權限之相關聯區段的網站。
  • 如果沒有相關聯區段的網站可以存取網站,則為 。

使用者區段變更的影響

如果 SharePoint 網站擁有者或網站成員的區段變更,他們仍可根據網站的 IB 模式存取網站或內容:

  • 開啟模式:如果使用者具有現有的網站存取權限,則可以存取網站。
  • 擁有者仲裁:如果使用者具有現有的網站存取權限,則可以存取網站。
  • 隱含模式:如果使用者是 Microsoft 365 群組的成員,他們仍可繼續存取網站。
  • 明確模式:如果使用者的新區段符合網站的區段,且使用者具有網站存取權限,他們將繼續擁有網站的存取權。

現有資訊屏障原則變更的影響

如果合規性系統管理員變更現有的 IB 原則,變更可能會影響與 明確隱含 模式中網站 (相關聯區段的相容性) 。 例如,曾經相容的區段可能不再相容。

使用資訊屏障原則合規性報告時,SharePoint 系統管理員將能夠檢視區段不再相容的網站清單。 如需詳細資訊,請 參閱瞭解如何在 PowerShell 中建立資訊屏障原則合規性報告

若要管理不符合規範的網站:

  • 明確 模式中,SharePoint 系統管理員必須變更相關聯的區段,使其符合 IB 規範。
  • 隱含 模式中,SharePoint 系統管理員無法直接管理區段。 我們建議 Teams 系統管理員管理小組的成員資格,以將 Teams 成員資格名冊和區隔帶入 IB 合規性。

如何暫停組織中的 SharePoint 和 OneDrive 資訊屏障

如果您的組織想要暫時暫停 SharePoint 上的資訊屏障,您必須使用 SharePoint Online 管理命令介面和 Set-Spotenant Cmdlet。

若要暫停資訊屏障,請執行下列命令:

Set-SPOTenant -InformationBarriersSuspension $true 

注意事項

如果您有 Microsoft 365 多地理位置,則必須針對每個地理位置執行此命令。

資源