共用方式為

搭配 OneDrive 使用資訊屏障

Microsoft Purview 資訊屏障 是 Microsoft 365 中的原則,合規性系統管理員可以設定,以防止使用者彼此通訊和共同作業。 例如,如果一個部門正在處理不應與特定其他部門共用的資訊,或需要防止或隔離某個部門與部門外部的所有使用者共同作業,則此解決方案非常有用。 資訊屏障通常用於高度監管的行業和具有合規要求的組織,例如金融、法律和政府。

針對 OneDrive,資訊屏障可以判斷並防止下列類型的未經授權的共同作業:

  • 使用者對 OneDrive 或儲存內容的存取權
  • 與其他使用者共用 OneDrive 或儲存的內容

資訊屏障模式和 OneDrive

當您在 SharePoint 和 OneDrive 上啟用資訊屏障時,您可以使用 IB 原則自動保護分段使用者的 OneDrive。 資訊屏障模式 可根據 OneDrive 網站的 IB 模式和與 OneDrive 相關聯的區段,協助加強 OneDrive 網站的存取、共用和成員資格。

當您搭配 OneDrive 使用資訊屏障時,請支援下列 IB 模式:

模式 描述
開啟 當非分段使用者佈建其 OneDrive 時,網站的 IB 模式預設會設定為 [開啟]。 沒有與網站相關聯的區段。
業主主持 當 OneDrive 用於在網站擁有者/仲裁者在場的情況下與不相容的使用者共同作業時,OneDrive 的 IB 模式可以設定為 [擁有者已審核]。 請參閱 本節 ,以取得擁有者管理網站的詳細資訊。
Explicit 當分段使用者在啟用後的 24 小時內布建其 OneDrive 時,網站的 IB 模式預設會設定為 [明確]。 使用者的區段和與使用者區段相容且彼此相容的其他區段會與使用者的 OneDrive 相關聯。
混合 當允許與未分割的使用者共用分割使用者的 OneDrive 時,網站的 IB 模式可以設定為 混合。 這是 SharePoint 系統管理員可以在分段使用者的 OneDrive 上設定的選擇加入模式。

注意事項

從 2022 年 7 月 12 日開始, 推斷模式 變更為 混合 模式。 該模式的功能保持不變。

從 OneDrive 共用檔案

開啟

當 OneDrive 沒有區段且 IB 模式為 [開啟] 時:

  • 使用者可以根據套用至使用者的資訊屏障原則,以及 OneDrive 的共用設定來共用檔案和資料夾。

業主主持

當網站將資訊屏障模式設定為 擁有者管理時:

  • 與具有 連結的任何人 共用的選項已停用。
  • 全公司連結 共用的選項已停用。
  • 網站及其內容可以與現有成員共享。
  • 網站及其內容只能由 OneDrive 擁有者根據其 IB 原則共用。

Explicit

當 OneDrive 具有資訊屏障區段,且模式設定為 [明確] 時:

  • 與具有 連結的任何人 共用的選項已停用。
  • 全公司連結 共用的選項已停用。
  • 檔案和資料夾只能與區段符合 OneDrive 區段的使用者共用。

混合

當 OneDrive 使用資訊屏障區段,且您將模式設定為 混合時

  • 與具有 連結的任何人 共用的選項已停用。
  • 全公司連結 共用的選項已停用。
  • 您可以與區段符合 OneDrive 的使用者,以及租用戶中未區段的使用者共用檔案和資料夾。

從 OneDrive 存取共用檔案

開啟模式

若要讓使用者存取 OneDrive 中的內容,該內容沒有相關聯的區段,且 IB 模式為 [開啟]:

  • 檔案必須與使用者共用。

擁有者管理模式

若要讓使用者存取網站資訊屏障模式設定為 [擁有者已審核] 的 SharePoint 網站:

  • 使用者具有網站存取權限。

顯式模式

若要讓使用者存取具有區段且 IB 模式設定為 [明確] 的 OneDrive 中的內容:

  1. 使用者的區段符合與 OneDrive 相關聯的區段。

    AND

  2. 檔案會與使用者共用。

注意事項

根據預設,非區段使用者只能從其他具有 IB 模式為 「開啟」的非區段使用者存取共用的 OneDrive 檔案。 他們無法從已套用區段 () 且 IB 模式為 明確的 OneDrive 存取共用檔案。

混合模式

若要讓分段使用者存取具有區段且 IB 模式設定為 混合的 OneDrive 中的內容:

  1. 使用者的區段符合與 OneDrive 相關聯的區段。

    AND

  2. 檔案會與使用者共用。

若要讓未區段的使用者存取具有區段且 IB 模式設定為 混合的 OneDrive 中的內容:

  • 使用者具有網站存取權限。

案例範例

下列範例說明組織中的三個區段:人力資源、銷售和研究。 您可以定義資訊屏障原則,以封鎖 Sales 和 Research 區段之間的通訊和共同作業。

組織中的區段範例

使用 OneDrive 中的資訊屏障,當您將區段套用至使用者時,區段會在 24 小時內自動與使用者的 OneDrive 相關聯。 OneDrive 也會與使用者區段相容且彼此相容的其他區段相關聯。 OneDrive 最多可以有 100 個相關聯的區段。 全域或 SharePoint 系統管理員可以使用 PowerShell 來管理這些區段,如 稍後在關聯或移除使用者 OneDrive 上的其他區段一節所述。

下表顯示此範例組態的效果:

元件 人力資源用戶 銷售用戶 研究用戶 非區段使用者
與 OneDrive 相關聯的區段 人力資源 銷售、人力資源 研究、人力資源
OneDrive 上的 IB 模式 Explicit Explicit Explicit 開啟
OneDrive 內容可以與 僅人力資源 銷售和人力資源 研究與人力資源 根據所選共享設定的任何人
OneDrive 內容可以透過以下方式存取 僅人力資源 銷售和人力資源 研究與人力資源 與之分享內容的任何人

在組織中啟用 SharePoint 和 OneDrive 資訊屏障

您可以在單一動作中設定啟用 SharePoint 和 OneDrive 的資訊屏障。 您無法個別啟用服務的資訊屏障。 如需詳細資訊,請參閱 在組織中啟用 SharePoint 和 OneDrive 資訊屏障。 啟用 SharePoint 和 OneDrive 的資訊屏障之後,請繼續進行本文中的 OneDrive 指引。

必要條件

  1. 請確定您符合 資訊屏障的授權需求
  2. 建立資訊屏障原則 ,以允許或封鎖區段之間的通訊,並啟用原則。 建立區段並定義每個區段中的使用者。
  3. 設定並啟用資訊屏障原則之後,請等候 24 小時,讓變更在您的組織中傳播。
  4. 啟用 OneDrive 的資訊屏障。 您可以在單一動作中設定啟用 SharePoint 和 OneDrive 的資訊屏障。 您無法單獨啟用這些服務。 如需詳細資訊,請參閱搭配 SharePoint 使用資訊屏障 一文中的指引和步驟。
  5. 完成下列各節中的步驟,以自訂和管理組織中 OneDrive 的資訊屏障。

使用 PowerShell 檢視與 OneDrive 相關聯的區段

重要事項

Microsoft 建議您使用權限最少的角色。 將具有全域系統管理員角色的使用者數目降到最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權

全域系統管理員或 SharePoint 系統管理員可以檢視和變更與使用者 OneDrive 相關聯的區段。 您的組織最多可以有 5,000 個區段,而且可以將使用者指派給多個區段。

重要事項

支援 5,000 個區段並將使用者指派給多個區段,只有在您的組織未處於 舊版 模式時才能使用。 將使用者指派給多個區段需要額外的步驟來變更組織的資訊屏障模式。 如需詳細資訊,請參閱 在資訊屏障中使用多區段支援)

對於 舊版 模式的組織,支援的區段數目上限為 250,且使用者僅限於指派給一個區段。 舊版模式的組織有資格在未來升級至最新版本的資訊屏障。 如需詳細資訊,請參閱 資訊屏障藍圖

  1. 以全域系統管理員身分連線到 安全性 & 合規性中心 PowerShell

  2. 執行下列命令以取得區段及其 GUID 的清單。

    Get-OrganizationSegment | ft Name, EXOSegmentID

  3. 儲存區段清單。

    名稱 EXOSegmentId
    銷售 A9592060-C856-4301-B60F-BF9A04990D4D
    參考資料 27d20a85-1c1b-4af2-bf45-a41093b5d111
    人力資源 A17EFB47-E3C9-4D85-A188-1CD59C83De32

  4. 如果您先前未下載,請下載並安裝最新的 SharePoint Online 管理命令介面。 如果您安裝了舊版的 SharePoint Online 管理命令介面,請遵循在組織中啟用 SharePoint 和 OneDrive 資訊屏障一文中的指示。

  5. 在 Microsoft 365 以全域系統管理員或 SharePoint 管理員的身分登入。 若要了解如何進行,請參閱開始使用 SharePoint Online 管理命令介面

  6. 執行下列命令:

    Get-SPOSite -Identity <site URL> | Select InformationSegment

    例如:

    Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationSegment

管理使用者 OneDrive 上的區段

警告

如果與使用者的 OneDrive 相關聯的區段不符合您套用至使用者的區段,則使用者無法存取其 OneDrive。 請注意不要將任何區段與非區段使用者的 OneDrive 建立關聯。

注意事項

如果使用者的區段變更,您所做的任何變更都會被覆寫。

若要將區段與 OneDrive 產生關聯,請在 SharePoint Online 管理命令介面中執行下列命令。

重要事項

支援 5,000 個區段並將使用者指派給多個區段,只有在您的組織未處於 舊版 模式時才能使用。 將使用者指派給多個區段需要額外的步驟來變更組織的資訊屏障模式。 如需詳細資訊,請參閱 在資訊屏障中使用多區段支援)

對於 舊版 模式的組織,支援的區段數目上限為 250,且使用者僅限於指派給一個區段。 舊版模式的組織有資格在未來升級至最新版本的資訊屏障。 如需詳細資訊,請參閱 資訊屏障藍圖

Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>

例如:

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

當您將區段新增至 OneDrive 時,網站的 IB 模式會自動更新為 [明確]。 如果您嘗試建立與 OneDrive 上現有區段不相容的區段,則會出現錯誤。

重要事項

只有在您的組織未處於 舊版 模式時,才可支援將使用者指派給多個區段。 若要判斷您的組織是否處於 舊版 模式,請參閱檢查 您組織的 IB 模式

使用者只能指派給 舊版 模式下組織的一個區段。 舊版模式的組織將來可以升級至最新版本的資訊屏障。 如需詳細資訊,請參閱 資訊屏障藍圖

若要從 OneDrive 移除區段,請執行下列命令。

Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>

例如:

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

如果您移除 OneDrive 網站的所有區段,OneDrive 的 IB 模式會自動更新為 [ 開啟]。

管理使用者 OneDrive 的 IB 模式 (預覽)

重要事項

Microsoft 建議您使用權限最少的角色。 將具有全域系統管理員角色的使用者數目降到最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權

若要檢視 OneDrive 網站的 IB 模式,請以 SharePoint Online 管理命令介面 (SharePoint 系統管理員或全域系統管理員) 身分執行下列命令:

Get-SPOSite -Identity <site URL> | Select InformationBarriersMode

例如:

Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode

SharePoint 系統管理員或全域系統管理員也可以管理 OneDrive 網站的 IB 模式,以符合組織使用新 IB 模式的需求:

擁有者管理模式範例

允許不相容的區段使用者存取 OneDrive。 例如,您想要允許租使用者中的銷售和研究區段使用者同時存取 HR 使用者的 OneDrive。

擁有者已審核是 適用於 OneDrive 網站的模式,可讓不相容的區段使用者在仲裁者/擁有者在場的情況下存取 OneDrive。 只有網站擁有者才能邀請相同網站上不相容的區段使用者。

若要將 OneDrive 網站 IB 模式更新為 擁有者已審核,請執行下列 PowerShell 命令:

Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated

您無法在具有區段的網站上設定所有者管理的 IB 模式。 在將 IB 模式設定為 [擁有者管理] 之前,請先移除區段。 具有網站存取權限的使用者可以存取擁有者管理的網站。 只有網站擁有者才能根據其 IB 原則共用擁有者仲裁的 OneDrive 及其內容。

混合模式範例

允許未區段的使用者存取與區段相關聯的 OneDrive。 例如,您想要允許租使用者中的 HR 區段和未區段的使用者存取 HR 使用者的 OneDrive。 適用於 OneDrive 網站的混合模式,可讓分割和未分割的使用者存取 OneDrive。

若要將 OneDrive 網站的 IB 模式更新為混合,請執行下列 PowerShell 命令:

Set-SPOSite -Identity <siteurl> -InformationBarriersMode Mixed

您無法在沒有區段的網站上設定混合 IB 模式。 在將 IB 模式設定為混合之前新增區段。

使用者區隔變更的影響

如果使用者的區段變更,OneDrive 的區段和 IB 模式會在 24 小時內自動更新,如 OneDrive 資訊屏障一節所述。

範例 1:使用者的區段從 [研究] 更新為 [銷售],使用者的 OneDrive 會在 24 小時內更新如下:

  • 細分:銷售、人力資源
  • IB 模式: 顯式

範例2: 使用者區段從HR更新為無

  • 區段:無
  • IB模式: 開放

資訊屏障原則變更的影響

如果合規性系統管理員變更現有的原則,變更可能會影響與 OneDrive 相關聯之區段的相容性。

例如,曾經相容的區段可能不再相容。 SharePoint 系統管理員必須變更與受影響網站相關聯的區段。 如需詳細資訊,請參閱 在 PowerShell 中建立資訊屏障原則合規性報告

如果您在使用者共用檔案之後變更原則,則只有在嘗試存取共用檔案的使用者套用了符合與 OneDrive 相關聯的區段的區段時,共用連結才有效。

稽核

Microsoft Purview 入口網站中提供稽核事件,以協助您監視資訊屏障活動。 會記錄下列活動的稽核事件:

  • 啟用 SharePoint 和 OneDrive 的資訊屏障
  • 將區段套用至網站
  • 變更網站區段
  • 移除網站區段
  • 將資訊屏障模式套用至網站
  • 改變網站的資訊屏障模式
  • 停用 SharePoint 和 OneDrive 的資訊屏障

如需 Office 365 中 OneDrive 區段稽核的詳細資訊,請參閱搜尋稽核記錄

資源

  • Last updated on