Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Purview-Informationsbarrieren sind Richtlinien in Microsoft 365, die ein Complianceadministrator konfigurieren kann, um zu verhindern, dass Benutzer miteinander kommunizieren und zusammenarbeiten. Diese Lösung ist z.B. nützlich, wenn in einer Abteilung Informationen bearbeitet werden, die mit bestimmten anderen Abteilungen nicht geteilt werden sollten, oder wenn eine Abteilung isoliert oder daran gehindert werden muss, mit jeglichen Benutzern außerhalb der Abteilung zusammenzuarbeiten. Informationsbarrieren werden häufig in stark regulierten Branchen und Organisationen mit Complianceanforderungen wie Finanzen, Recht und Behörden verwendet.
Für OneDrive können Informationsbarrieren die folgenden Arten von nicht autorisierter Zusammenarbeit bestimmen und verhindern:
- Benutzerzugriff auf OneDrive oder gespeicherte Inhalte
- Freigeben von OneDrive oder gespeicherten Inhalten für andere Benutzer
Modi für Informationsbarrieren und OneDrive
Wenn Sie Informationsbarrieren auf SharePoint und OneDrive aktivieren, schützen Sie das OneDrive von segmentierten Benutzern automatisch mit IB-Richtlinien. Modi für Informationsbarrieren helfen dabei, den Zugriff, die Freigabe und die Mitgliedschaft einer OneDrive-Website basierend auf dem IB-Modus und den mit OneDrive verknüpften Segmenten zu stärken.
Wenn Sie Informationsbarrieren mit OneDrive verwenden, unterstützen Sie die folgenden IB-Modi:
| Modus | Beschreibung |
|---|---|
| Open | Wenn ein nicht segmentierte Benutzer sein OneDrive bereitstellt, wird der IB-Modus der Website standardmäßig auf Öffnen festgelegt. Der Website sind keine Segmente zugeordnet. |
| Besitzer moderiert | Wenn ein OneDrive für die Zusammenarbeit mit inkompatiblen Benutzern in Anwesenheit des Websitebesitzers/Moderators verwendet wird, kann der IB-Modus von OneDrive als Besitzer moderiert festgelegt werden. Weitere Informationen zur Website "Besitzermoderiert" finden Sie in diesem Abschnitt . |
| Explicit | Wenn ein segmentierte Benutzer sein OneDrive innerhalb von 24 Stunden nach der Aktivierung bereitstellt, wird der IB-Modus der Website standardmäßig auf Explizit festgelegt. Das Segment des Benutzers und andere Segmente, die mit dem Segment des Benutzers und miteinander kompatibel sind, werden dem OneDrive des Benutzers zugeordnet. |
| Mixed | Wenn oneDrive eines segmentierten Benutzers für nicht segmentierte Benutzer freigegeben werden darf, kann der IB-Modus der Website auf Gemischt festgelegt werden. Dies ist ein Aktivierungsmodus, den der SharePoint-Administrator auf OneDrive eines segmentierten Benutzers festlegen kann. |
Hinweis
Ab dem 12. Juli 2022 wurde der abgeleitete Modus in den gemischten Modus geändert. Die Funktionalität für den Modus bleibt unverändert.
Freigeben von Dateien aus OneDrive
Öffnen
Wenn ein OneDrive über keine Segmente verfügt und der IB-Modus geöffnet ist:
- Ein Benutzer kann Dateien und Ordner basierend auf der für ihn geltenden Richtlinie für Informationsbarrieren und der Freigabeeinstellung für den OneDrive freigeben.
Besitzer moderiert
Wenn für eine Website der Modus "Informationsbarrieren" auf "Besitzer moderiert" festgelegt ist:
- Die Option zum Freigeben für jeden mit dem Link ist deaktiviert.
- Die Option zum Teilen mit unternehmensweitem Link ist deaktiviert.
- Die Website und deren Inhalt können für vorhandene Mitglieder freigegeben werden.
- Die Website und ihre Inhalte können nur vom OneDrive-Besitzer gemäß seiner IB-Richtlinie freigegeben werden.
Explicit
Wenn ein OneDrive über Segmente mit Informationsbarrieren verfügt und der Modus auf Explizit festgelegt ist:
- Die Option zum Freigeben für jeden mit dem Link ist deaktiviert.
- Die Option zum Teilen mit unternehmensweitem Link ist deaktiviert.
- Dateien und Ordner können nur für Benutzer freigegeben werden, deren Segment dem des OneDrive entspricht.
Gemischt
Wenn ein OneDrive -Segmente mit Informationsbarrieren verwendet und Sie den Modus auf Gemischt festlegen:
- Die Option zum Freigeben für jeden mit dem Link ist deaktiviert.
- Die Option zum Teilen mit unternehmensweitem Link ist deaktiviert.
- Sie können Dateien und Ordner für Benutzer freigeben, deren Segment dem von OneDrive und nicht segmentierten Benutzern im Mandanten entspricht.
Zugreifen auf freigegebene Dateien über OneDrive
Open-Modus
Damit ein Benutzer auf Inhalte in einem OneDrive zugreifen kann, dem keine Segmente zugeordnet sind, und dem IB-Modus öffnen:
- Die Dateien müssen für den Benutzer freigegeben sein.
Moderieren des Besitzers
Damit ein Benutzer auf eine SharePoint-Website mit dem Informationsbarrierenmodus der Website zugreifen kann, ist auf Besitzer moderiert festgelegt:
- Der Benutzer verfügt über Websitezugriffsberechtigungen.
Expliziter Modus
Damit ein Benutzer auf Inhalte in einem OneDrive zugreifen kann, in dem Segmente und der IB-Modus auf Explizit festgelegt sind:
Das Segment des Benutzers entspricht einem Segment, das dem OneDrive zugeordnet ist.
AND
Die Dateien werden für den Benutzer freigegeben.
Hinweis
Standardmäßig können Benutzer, die nicht segmentiert sind, auf freigegebene OneDrive-Dateien nur von anderen Benutzern ohne Segment mit ib-Modi als Öffnen zugreifen. Sie können nicht auf freigegebene Dateien aus OneDrive zugreifen, auf die Segmente angewendet wurden, und der IB-Modus ist Explizit.
Gemischter Modus
Für einen segmentierten Benutzer, um auf Inhalte in einem OneDrive zuzugreifen, in dem Segmente und der IB-Modus auf Gemischt festgelegt sind:
Das Segment des Benutzers entspricht einem Segment, das dem OneDrive zugeordnet ist.
AND
Die Dateien werden für den Benutzer freigegeben.
Für einen nicht segmentierten Benutzer, um auf Inhalte in einem OneDrive zuzugreifen, in dem Segmente und der IB-Modus auf Gemischt festgelegt sind:
- Der Benutzer verfügt über Websitezugriffsberechtigungen.
Beispielszenario
Das folgende Beispiel veranschaulicht drei Segmente in einem organization: PERSONAL, Vertrieb und Forschung. Sie definieren eine Richtlinie für Informationsbarrieren, die die Kommunikation und Zusammenarbeit zwischen den Segmenten Vertrieb und Forschung blockiert.
Wenn Sie bei Informationsbarrieren in OneDrive ein Segment auf einen Benutzer anwenden, wird das Segment innerhalb von 24 Stunden automatisch mit dem OneDrive des Benutzers verknüpft. OneDrive ordnet auch anderen Segmenten zu, die mit dem Segment des Benutzers und miteinander kompatibel sind. OneDrive kann bis zu 100 zugeordnete Segmente aufweisen. Ein globaler oder SharePoint-Administrator kann diese Segmente mithilfe von PowerShell verwalten, wie weiter unten im Abschnitt Zuordnen oder Entfernen zusätzlicher Segmente auf dem OneDrive eines Benutzers beschrieben.
Die folgende Tabelle zeigt die Auswirkungen dieser Beispielkonfiguration:
| Komponenten | Benutzer "Personalwesen" | Benutzer "Vertrieb" | Benutzer "Forschung" | Benutzer ohne Segment |
|---|---|---|---|---|
| Segmente, die dem OneDrive zugeordnet sind | Personalwesen | Vertrieb, Personalwesen | Forschung, Personalwesen | Keines |
| IB-Modus auf OneDrive | Explicit | Explicit | Explicit | Öffnen |
| OneDrive-Inhalte können freigegeben werden für: | Nur "Personalwesen" | "Vertrieb" und "Personalwesen" | "Forschung" und "Personalwesen" | Jeden basierend auf den ausgewählten Freigabeeinstellungen |
| Auf OneDrive-Inhalte zugreifen kann: | Nur "Personalwesen" | "Vertrieb" und "Personalwesen" | "Forschung" und "Personalwesen" | Jeder, für den der Inhalt freigegeben wurde |
Aktivieren von SharePoint- und OneDrive-Informationsbarrieren in Ihrem organization
Sie konfigurieren die Aktivierung von Informationsbarrieren für SharePoint und OneDrive in einer einzigen Aktion. Sie können Informationsbarrieren für die Dienste nicht separat aktivieren. Weitere Informationen finden Sie unter Aktivieren von SharePoint- und OneDrive-Informationsbarrieren in Ihrem organization. Nachdem Sie Informationsbarrieren für SharePoint und OneDrive aktiviert haben, fahren Sie mit der OneDrive-Anleitung in diesem Artikel fort.
Voraussetzungen
- Stellen Sie sicher, dass Sie die Lizenzierungsanforderungen für Informationsbarrieren erfüllen.
- Erstellen Sie Richtlinien für Informationsbarrieren , die die Kommunikation zwischen den Segmenten zulassen oder blockieren, und aktivieren Sie die Richtlinien. Erstellen Sie Segmente, und definieren Sie die Benutzer in den einzelnen Segmenten.
- Nachdem Sie Ihre Richtlinien für Informationsbarrieren konfiguriert und aktiviert haben, warten Sie 24 Stunden, bis die Änderungen über Ihre organization weitergegeben werden.
- Aktivieren Sie Informationsbarrieren für OneDrive. Sie konfigurieren die Aktivierung von Informationsbarrieren für SharePoint und OneDrive in einer einzigen Aktion. Sie können diese Dienste nicht separat aktivieren. Weitere Informationen finden Sie in den Anleitungen und Schritten im Artikel Verwenden von Informationsbarrieren mit SharePoint .
- Führen Sie die Schritte in den folgenden Abschnitten aus, um Informationsbarrieren für OneDrive in Ihrem organization anzupassen und zu verwalten.
Verwenden von PowerShell zum Anzeigen der einem OneDrive zugeordneten Segmente
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Ein globaler Administrator oder SharePoint-Administrator kann die Segmente anzeigen und ändern, die dem OneDrive eines Benutzers zugeordnet sind. Ihre organization kann bis zu 5.000 Segmente enthalten, und Benutzer können mehreren Segmenten zugewiesen werden.
Wichtig
Unterstützung für 5.000 Segmente und das Zuweisen von Benutzern zu mehreren Segmenten ist nur verfügbar, wenn sich Ihre organization nicht im Legacymodus befindet. Das Zuweisen von Benutzern zu mehreren Segmenten erfordert zusätzliche Schritte, um den Modus für Informationsbarrieren für Ihre organization zu ändern. Weitere Informationen finden Sie unter Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren.
Für Organisationen im Legacymodus wird maximal 250 Segmente unterstützt, und Benutzer können nur einem Segment zugewiesen werden. Organisationen im Legacymodus sind berechtigt, in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchzuführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.
Stellen Sie eine Verbindung mit der Security & Compliance Center PowerShell als globaler Administrator her.
Führen Sie den folgenden Befehl aus, um die Liste der Segmente und deren GUIDs abzurufen.
Get-OrganizationSegment | ft Name, EXOSegmentIDSpeichern Sie die Liste der Segmente.
Name EXOSegmentId Vertrieb a9592060-c856-4301-b60f-bf9a04990d4d Forschung 27d20a85-1c1b-4af2-bf45-a41093b5d111 Personalwesen a17efb47-e3c9-4d85-a188-1cd59c83de32 Falls noch nicht geschehen, laden Sie die neueste SharePoint Online-Verwaltungsshell herunter, und installieren Sie sie. Wenn Sie eine frühere Version des SharePoint Online-Verwaltungsshell installiert haben, befolgen Sie die Anweisungen im Artikel Aktivieren von SharePoint- und OneDrive-Informationsbarrieren in Ihrem organization.
Stellen Sie eine Verbindung zu Microsoft Office SharePoint Online als Globaler Admin oder Microsoft Office SharePoint Online-Admin in Microsoft 365 her. Eine Anleitung dazu finden Sie unter Erste Schritte mit der Microsoft Office SharePoint Online-Verwaltungsshell.
Führen Sie den folgenden Befehl aus:
Get-SPOSite -Identity <site URL> | Select InformationSegmentZum Beispiel:
Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationSegment
Verwalten von Segmenten auf dem OneDrive eines Benutzers
Warnung
Wenn die Segmente, die dem OneDrive eines Benutzers zugeordnet sind, nicht mit dem Segment übereinstimmen, das Sie für den Benutzer anwenden, kann der Benutzer nicht auf sein OneDrive zugreifen. Ordnen Sie dem OneDrive eines Benutzers, der keinem Segment angehört, keine Segmente zu.
Hinweis
Alle Von Ihnen vorgenommenen Änderungen werden überschrieben, wenn sich das Segment des Benutzers ändert.
Führen Sie den folgenden Befehl in der SharePoint Online-Verwaltungsshell aus, um einem OneDrive ein Segment zuzuordnen.
Wichtig
Unterstützung für 5.000 Segmente und das Zuweisen von Benutzern zu mehreren Segmenten ist nur verfügbar, wenn sich Ihre organization nicht im Legacymodus befindet. Das Zuweisen von Benutzern zu mehreren Segmenten erfordert zusätzliche Schritte, um den Modus für Informationsbarrieren für Ihre organization zu ändern. Weitere Informationen finden Sie unter Verwenden von Unterstützung für mehrere Segmente in Informationsbarrieren.
Für Organisationen im Legacymodus wird maximal 250 Segmente unterstützt, und Benutzer können nur einem Segment zugewiesen werden. Organisationen im Legacymodus sind berechtigt, in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchzuführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.
Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>
Zum Beispiel:
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
Wenn Sie einem OneDrive Segmente hinzufügen, wird der IB-Modus der Website automatisch auf Explicit aktualisiert. Wenn Sie versuchen, ein Segment zuzuordnen, das mit den vorhandenen Segmenten auf OneDrive nicht kompatibel ist, wird ein Fehler angezeigt.
Wichtig
Die Unterstützung für das Zuweisen von Benutzern zu mehreren Segmenten ist nur verfügbar, wenn sich Ihre organization nicht im Legacymodus befindet. Informationen dazu, ob sich Ihr organization im Legacymodus befindet, finden Sie unter Überprüfen des IB-Modus für Ihre organization.
Benutzer können nur einem Segment für Organisationen im Legacymodus zugewiesen werden. Organisationen im Legacymodus können in Zukunft ein Upgrade auf die neueste Version von Informationsbarrieren durchführen. Weitere Informationen finden Sie in der Roadmap zu Informationsbarrieren.
Führen Sie den folgenden Befehl aus, um ein Segment aus einem OneDrive zu entfernen.
Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>
Zum Beispiel:
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
Wenn Sie alle Segmente einer OneDrive-Website entfernen, wird der IB-Modus von OneDrive automatisch auf Öffnen aktualisiert.
Verwalten des IB-Modus des OneDrive eines Benutzers (Vorschau)
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Um den IB-Modus einer OneDrive-Website anzuzeigen, führen Sie den folgenden Befehl im SharePoint Online-Verwaltungsshell als SharePoint-Administrator oder globaler Administrator aus:
Get-SPOSite -Identity <site URL> | Select InformationBarriersMode
Zum Beispiel:
Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode
Ein SharePoint-Administrator oder globaler Administrator kann auch den IB-Modus einer OneDrive-Website verwalten, um die Anforderungen Ihrer organization mit neuen IB-Modi zu erfüllen:
Beispiel für den moderierten Modus "Besitzer"
Erlauben Sie einem inkompatiblen Segmentbenutzer den Zugriff auf oneDrive. Sie möchten z. B. den Zugriff auf das OneDrive des PERSONAL-Benutzers sowohl von Den Segmentbenutzern "Vertrieb" als auch "Forschung" in Ihrem Mandanten zulassen.
"Besitzer moderiert" ist ein Modus, der für OneDrive-Websites gilt und inkompatiblen Segmentbenutzern den Zugriff auf OneDrive in Anwesenheit eines Moderators/Besitzers ermöglicht. Nur der Websitebesitzer hat die Möglichkeit, inkompatible Segmentbenutzer auf derselben Website einzuladen.
Führen Sie den folgenden PowerShell-Befehl aus, um den IB-Modus einer OneDrive-Website auf "Besitzer moderiert" zu aktualisieren:
Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated
Sie können den Ib-Modus "Besitzermoderiert" auf einer Website mit Segmenten nicht festlegen. Entfernen Sie die Segmente, bevor Sie den IB-Modus als Besitzer moderiert festlegen. Benutzer mit Websitezugriffsberechtigungen können auf eine websitemoderierte Website zugreifen. Nur der Websitebesitzer kann ein vom Besitzer moderiertes OneDrive und dessen Inhalte gemäß seiner IB-Richtlinie freigeben.
Beispiel für gemischten Modus
Ermöglichen Sie nicht segmentierten Benutzern den Zugriff auf OneDrive, das Segmenten zugeordnet ist. Sie möchten z. B. den Zugriff auf das OneDrive des PERSONAL-Benutzers durch Personalsegment und nicht segmentierte Benutzer in Ihrem Mandanten ermöglichen. Gemischter Modus für OneDrive-Websites, der segmentierten und nicht segmentierten Benutzern den Zugriff auf OneDrive ermöglicht.
Führen Sie den folgenden PowerShell-Befehl aus, um den IB-Modus einer OneDrive-Website auf Gemischt zu aktualisieren:
Set-SPOSite -Identity <siteurl> -InformationBarriersMode Mixed
Sie können den gemischten IB-Modus auf einer Website ohne Segmente nicht festlegen. Fügen Sie Segmente hinzu, bevor Sie den IB-Modus als gemischt festlegen.
Auswirkungen von Änderungen an Benutzersegmenten
Wenn sich das Segment eines Benutzers ändert, werden das Segment und der IB-Modus von OneDrive automatisch innerhalb von 24 Stunden aktualisiert, wie im Abschnitt OneDrive-Informationsbarrieren beschrieben.
Beispiel 1: Das Segment des Benutzers, das von Research in Sales aktualisiert wurde, wird das OneDrive des Benutzers innerhalb von 24 Stunden wie folgt aktualisiert:
- Segment: Vertrieb, Personalwesen
- IB-Modus: Explizit
Beispiel 2: Benutzersegment von HR auf None aktualisiert
- Segment: Keine
- IB-Modus: Öffnen
Auswirkungen von Änderungen an Richtlinien für Informationsbarrieren
Wenn ein Complianceadministrator eine vorhandene Richtlinie ändert, kann sich die Änderung auf die Kompatibilität der segmenten auswirken, die oneDrive zugeordnet sind.
Beispielsweise sind Segmente, die einmal kompatibel waren, möglicherweise nicht mehr kompatibel. Ein SharePoint-Administrator muss die Segmente ändern, die einer betroffenen Website zugeordnet sind. Weitere Informationen finden Sie unter Erstellen eines Berichts zur Einhaltung von Richtlinien für Informationsbarrieren in PowerShell.
Wenn Sie eine Richtlinie ändern, nachdem Benutzer Dateien freigegeben haben, funktionieren die Freigabelinks nur, wenn für den Benutzer, der versucht, auf die freigegebenen Dateien zuzugreifen, ein Segment angewendet wurde, das einem Segment entspricht, das dem OneDrive zugeordnet ist.
Überwachung
Überwachungsereignisse sind im Microsoft Purview-Portal verfügbar, um Sie bei der Überwachung von Informationsbarriereaktivitäten zu unterstützen. Überwachungsereignisse werden für die folgenden Aktivitäten protokolliert:
- Aktivieren von Informationsbarrieren für SharePoint und OneDrive
- Anwenden eines Segments auf eine Website
- Ändern des Websitesegments
- Entfernen eines Standortsegments
- Anwenden des Modus "Informationsbarrieren" auf die Website
- Ändern des Informationsbarrieremodus der Website
- Deaktivieren von Informationsbarrieren für SharePoint und OneDrive
Weitere Informationen zur OneDrive-Segmentüberwachung in Office 365 finden Sie unter Durchsuchen des Überwachungsprotokolls.