Microsoft Purview 資訊障礙 是 Microsoft 365 中的政策,合規管理員可設定以防止使用者彼此溝通與協作。 此解決方案適用於例如某部門處理不應與其他部門共享的資訊,或需要防止或隔離該部門與該部門外所有使用者協作的情況。 資訊屏障常用於高度監管的產業及有合規要求的組織,如金融、法律和政府。
對於 SharePoint 來說,資訊障礙可以判斷並防止以下類型的未經授權協作:
- 新增使用者到網站
- 使用者存取網站或網站內容
- 與其他使用者分享網站或網站內容
資訊障礙模式與 SharePoint 網站
資訊障礙模式 有助於根據網站的IB模式及相關區塊,強化網站的存取、分享與會員資格。
重要事項
Microsoft 建議您使用權限最少的角色。 以全域管理員角色最小化使用者數量,有助於提升組織的安全。 了解更多關於 Microsoft Purview 角色與權限的資訊。
當你在 SharePoint 中使用資訊障礙時,可以使用以下 IB 模式:
| 模式 | 描述 | 範例 |
|---|---|---|
| 開啟 | 當 SharePoint 網站沒有分段時,該網站的 IB 模式會自動設定為 「開放」。 請參閱 本節 ,了解如何以 開放 模式配置管理區段。 | 一個為你們組織野餐活動打造的團隊網站。 |
| 業主管理 | 當 SharePoint 網站是為了不相容的區段間協作而建立時,該網站的 IB 模式應設定為 擁有者管理。 請參閱 本節 ,了解如何管理 業主管理 網站。 | 為銷售副總裁與研究部門建立一個合作網站,並由人力資源副總裁 (網站擁有者) 。 |
| 暗示的 | 當一個網站由 Microsoft Teams 配置時,該網站的 IB 模式預設為 隱含 模式。 SharePoint 管理員或全域管理員無法用 隱式 模式設定來管理區段。 | 為所有銷售部門使用者建立一個團隊,以便彼此協作。 |
| Explicit | 當分段透過終端使用者建立體驗或 SharePoint 管理員新增分段到網站時,該站點的 IB 模式會設定為 明確。 請參閱 本節 ,了解如何使用 明確 模式設定管理區段。 | 為研究區塊用戶建立研究網站。 |
IB 模式的分享網站
與使用者分享網站的行為是基於網站的 IB 模式。
開啟
當一個網站沒有分段,且你將該網站的資訊障礙模式設為 「開放」時:
- 網站及其內容可依據對使用者適用的資訊障礙政策進行分享。 例如,如果人力資源中的使用者被允許與研究部門的使用者溝通,該使用者可以與這些使用者分享網站。
提示
如果你想允許使用郵件啟用的安全群組分享 開放 模式網站,請參閱本文中「 允許分享帶有郵件啟用安全群組的開放模式網站 」章節。
業主管理
當你將網站的資訊障礙模式設為擁有 者管理時:
- 「與 任何持有連結 的人分享」的選項已被關閉。
- 全 公司連結 共享的選項已被關閉。
- (對於群組連結網站) 網站及其內容可與現有會員分享。
- (對於非群組連結的網站) 根據網站擁有者(IB)政策,網站及其內容僅能由網站擁有者分享。
暗示的
當你將網站的資訊障礙模式設為 隱性時:
- 「與 任何持有連結 的人分享」的選項已被關閉。
- 全 公司連結 共享的選項已被關閉。
- 網站及其內容可透過分享連結與現有會員分享。
- 新用戶無法直接加入網站。 團隊擁有者應該使用 Microsoft Teams 將使用者加入團隊的群組。
注意事項
如果您在 2022 年 3 月 15 日前啟用了 SharePoint 資訊障礙,請參閱本文中的 「啟用 SharePoint 與 OneDrive 資訊障礙 」章節。
Explicit
當你將網站與分段關聯,並將該網站的資訊障礙模式設為 「明確」時:
- 「與 任何持有連結 的人分享」的選項已被關閉。
- 全 公司連結 共享的選項已被關閉。
- 你只能與該網站的細分相符的用戶分享網站及其內容。 例如,如果你將一個網站與人力資源分段關聯,即使人資與銷售和研究分段 () 相容,你仍可只與人資用戶共享該網站。
- 只有當新用戶的分隔與該網站的分隔相符時,才能新增為網站成員。
IB 模式的存取控制
當開啟 SharePoint 網站或該網站內容時,IB 政策會被強制執行。 此執法依據網站的IB模式進行。
開放模式
使用者若要存取沒有分段且資訊障礙模式設為 「開啟」的 SharePoint 網站:
- 使用者擁有網站存取權限。
擁有者管理模式
使用者若要存取 SharePoint 網站,且該網站的資訊障礙模式設為「 擁有者管理」:
- (對於非群組連接的網站) 使用者擁有網站存取權限。
- (對於群組連接的網站) 使用者必須是與該網站連接的 Microsoft 365 群組成員。
隱式模式
要存取使用資訊障礙模式為 隱含模式的 SharePoint 網站:
- 你是與該網站相關的 Microsoft 365 群組成員。
- 如果你不是連接該網站的 Microsoft 365 群組成員,你就無法存取該網站。
- 資訊障礙合規助理確保團體成員符合投資銀行(IB)規範。
注意事項
如果您在 2022 年 3 月 15 日前啟用了 SharePoint 資訊障礙,請參閱本文中的 「啟用 SharePoint 與 OneDrive 資訊障礙 」章節。
顯式模式
要存取使用分段及網站資訊障礙模式的 SharePoint 網站,具體為:
你的分區與該網站相關的細分相匹配。
AND
你擁有網站的存取權限。
非分群用戶無法存取與分群相關的網站。 他們看到錯誤訊息。
允許以僅應用程式模式運行的應用程式存取 IB 網站
許多組織在其組織中使用僅在應用程式情境下執行的應用程式。 為了讓這些僅在應用程式模式下運行的應用程式存取 IB 保護的網站,SharePoint 管理員可以啟用選擇加入功能。
重要事項
資訊障礙政策可能會影響以僅應用程式模式存取網站的應用程式。 我們建議你啟用該政策,然後測試組織中使用的應用程式體驗。
要啟用僅應用程式模式下的應用程式存取 IB 站點,請執行以下指令:
Set-SPOTenant -AppBypassInformationBarriers $true
如果您在組織中啟用 Teams 會議錄音或 EDU 指派應用程式,請執行以下指令,讓這些應用程式能與 IB 保護的網站互動:
Set-SPOTenant -AppOnlyBypassPeoplePickerPolicies $true
案例範例
以下範例說明組織中的三個部門:人力資源、銷售與研究。 資訊障礙政策阻礙銷售與研究部門之間的溝通與協作。 這些片段不相容。
透過 SharePoint 資訊障礙,SharePoint 管理員或全域管理員可以將分段關聯到網站,以防止該分段被分段外的使用者分享或存取。 你可以將最多 100 個相容的分段與一個網站關聯。 你將場域層級的區段關聯起來 (過去稱為場址收藏層級) 。 連接至該網站的 Microsoft 365 群組也與該網站區段相關聯。
重要事項
Microsoft 建議您使用權限最少的角色。 以全域管理員角色最小化使用者數量,有助於提升組織的安全。 了解更多關於 Microsoft Purview 角色與權限的資訊。
在前述範例中,人力資源部門同時適用於銷售與研究部門。 然而,由於銷售與研究區塊不相容,你無法將它們與同一網站聯想在一起。
必要條件
- 務必符合 資訊障礙的執照要求。
- 建立資訊屏障政策 ,允許或阻擋這些區段之間的通訊,然後將其設為啟用。 建立分區並定義每個區段的使用者。
- 設定並啟用資訊障礙政策後,請等待 24 小時,讓變更在組織中自動擴散。
- 請完成以下章節的步驟,以啟用並管理組織中的 SharePoint 與 OneDrive 資訊障礙。
在您的組織中啟用 SharePoint 與 OneDrive 資訊障礙
重要事項
Microsoft 建議您使用權限最少的角色。 以全域管理員角色最小化使用者數量,有助於提升組織的安全。 了解更多關於 Microsoft Purview 角色與權限的資訊。
SharePoint 管理員或全域管理員可以在組織內啟用 SharePoint 與 OneDrive 的資訊屏障。 完成以下步驟,為您的組織啟用資訊障礙:
下載並安裝最新版本的 SharePoint Online 管理命令介面。
在 Microsoft 365 中,以全域管理員或 SharePoint 管理員 身份連接 SharePoint Online。 若要了解如何進行,請參閱開始使用 SharePoint Online 管理命令介面。
執行以下指令以啟用 SharePoint 與 OneDrive 中的資訊屏障:
Set-SPOTenant -InformationBarriersSuspension $false在您啟用 SharePoint 與 OneDrive 資訊障礙後,請等待約 1 小時,變更生效。
注意事項
如果你在 2022 年 3 月 15 日前啟用了 SharePoint 資訊障礙,Microsoft Teams 連接網站隱式模式的預設存取與分享控制權會根據該網站所關聯的分段來設定。
要啟用 Microsoft 365 基於群組成員的存取與分享控制權,適用於租戶中所有隱含模式 Teams 連接的網站,請執行以下指令:
Set-SPOTenant -IBImplicitGroupBased $true
如果您安裝的是先前版本的 SharePoint Online 管理命令介面,請完成以下步驟:
重要事項
Microsoft 建議您使用權限最少的角色。 以全域管理員角色最小化使用者數量,有助於提升組織的安全。 了解更多關於 Microsoft Purview 角色與權限的資訊。
前往新增或移除程式,並卸載 SharePoint Online 管理命令介面。
前往SharePoint Online 管理命令介面) 的Microsoft下載中心,選擇你的語言,然後選擇下載。
你可能會被要求在下載 x64 或 x86 .msi 檔案之間做選擇。 如果你用的是 64 位元版本的 Windows,請下載 x64 檔案;如果你用的是 32 位元版本的 Windows,請下載 x86 檔案。 如果你不知道電腦上使用的是哪個版本,請參考「我使用的是哪個版本的 Windows 作業系統?」。
下載完成後,執行安裝程式並依照設定流程的設定步驟操作。
在 Microsoft 365 中,以全域管理員或 SharePoint 管理員 身份連接 SharePoint Online。 若要了解如何進行,請參閱開始使用 SharePoint Online 管理命令介面。
執行以下指令以啟用 SharePoint 與 OneDrive 中的資訊屏障:
Set-SPOTenant -InformationBarriersSuspension $false在組織中設定 SharePoint 和 OneDrive 的資訊屏障後,請等待約一小時,變更才會生效。
注意事項
如果你在 2022 年 3 月 15 日前啟用了 SharePoint 資訊障礙,Microsoft Teams 連接網站隱式模式的預設存取與分享控制權會根據該網站所關聯的分段來設定。
要啟用 Microsoft 365 基於群組成員的存取與分享控制,適用於組織內所有隱式模式站點,請執行以下指令:
Set-SPOTenant -IBImplicitGroupBased $true
注意事項
如果你有 Microsoft 365 Multi-Geo,請對每個地理位置執行此指令。
以管理員身份檢視和管理分段
重要事項
Microsoft 建議您使用權限最少的角色。 以全域管理員角色最小化使用者數量,有助於提升組織的安全。 了解更多關於 Microsoft Purview 角色與權限的資訊。
SharePoint 管理員或全域管理員可以在 SharePoint 網站查看和管理分段。 您的組織最多可有 5,000 個分段,且使用者可以被指派到多個分段。
重要事項
支援 5,000 個分段,並指派多個分段,僅在組織未處於 舊有 模式時啟用。 將使用者指派到多個區段需要額外步驟來更改組織的資訊障礙模式。 欲了解更多資訊,請參閱 資訊障礙) 中使用多段支援 。
對於處於 傳統 模式的組織,最多支援的區段數為 250 個,且使用者只能被指派到一個區段。 處於 舊有 模式的組織未來有資格升級至最新版本的資訊障礙。 欲了解更多資訊,請參閱 資訊障礙路線圖。
查看並管理資訊障礙區塊如下:
1. 使用 SharePoint 管理中心來檢視和管理資訊區段
要查看、編輯或移除網站的資訊區段,請使用 SharePoint 管理中心的 Active sites。
分段欄位列出與該網站關聯的第一個分段,並顯示該分區是否有其他分段相關聯。 學習如何顯示或移動這欄
若要查看與網站相關的完整分段清單,請選擇網站名稱以開啟詳細面板,然後選擇 設定 標籤。
要編輯與該網站相關的分段,請選擇 編輯、新增或移除分段,然後選擇 儲存。
2. 使用 SharePoint PowerShell 查看並管理網站上的資訊區段
重要事項
Microsoft 建議您使用權限最少的角色。 以全域管理員角色最小化使用者數量,有助於提升組織的安全。 了解更多關於 Microsoft Purview 角色與權限的資訊。
以全域管理員身份連接 安全 & 合規中心 PowerShell 。
執行以下指令即可取得區段清單及其 GUID。
Get-OrganizationSegment | ft Name, EXOSegmentID把分段清單存下來。
名稱 EXOSegmentId 銷售 A9592060-C856-4301-B60F-BF9A04990D4D 參考資料 27d20a85-1C1B-4af2-BF45-A41093B5D111 人力資源 A17EFB47-E3C9-4D85-A188-1CD59C83De32 如果您之前還沒完成這個步驟,請下載並安裝最新的 SharePoint Online 管理命令介面。 如果您安裝了先前版本的 SharePoint Online 管理命令介面,請依照本文中「在您的組織啟用 SharePoint 與 OneDrive 資訊障礙」章節的指示。
在 Microsoft 365 中,以 全域管理員或 SharePoint 管理員 身份連接 SharePoint Online。 若要了解如何進行,請參閱開始使用 SharePoint Online 管理命令介面。
執行下列命令:
Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>例如:
Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
如果你嘗試將一個與網站現有細分不相容的分段關聯,會看到錯誤訊息。
注意事項
當你在網站新增一個區塊時,該網站的 IB 模式會自動更新為 「明確」。
要從網站移除一個區段,請執行以下指令:
Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>
例如:
Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
注意事項
當你從網站移除所有區段時,該網站的 IB 模式會自動更新為 開放模式。
要查看該站點的區段,請執行以下指令以回傳與該站點相關的任何區段的 GUID。
Get-SPOSite -Identity <site URL> | Select InformationSegment
3. 使用 SharePoint REST API 來檢視和管理網站上的資訊區段
SharePoint 包含 REST) 服務 (表示狀態傳輸(Representational State Transfer),可以用來管理網站上的分段。 要使用 REST 存取 SharePoint 資源並管理網站區段,請使用 OData 標準構建一個 RESTful HTTP 請求。 此請求對應於所需的客戶端物件模型應用程式介面 (API) 。
欲了解更多關於 SharePoint REST 服務的資訊,請參閱 「認識 SharePoint REST 服務」。
以管理員身份使用 SharePoint PowerShell 查看並管理 IB 模式
要查看網站的 IB 模式,請執行以下指令:
Get-SPOSite -Identity <site URL> | Select InformationBarriersMode
業主管理模式情境
你想讓銷售和研究使用者在 SharePoint 網站上在人資使用者面前協作。
擁有者管理 模式適用於網站 (Teams 連接的網站、非群組連結網站) ,允許不相容的分段使用者存取網站。 只有網站擁有者有權邀請不相容的分段用戶加入同一網站。
要將網站模式更新為 擁有者管理,請執行以下 PowerShell 指令:
Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated
你無法在有區段的網站上設定擁有者管理的 IB 模式。 在將 IB 模式設為擁有者管理前,請先移除這些分段。 擁有網站存取權限的使用者可存取由擁有者管理的網站。 只有網站擁有者才能根據其 IB 政策分享擁有者管理的網站及其內容。
稽核
您可以在 Microsoft Purview 入口網站 查看審計事件,以監控資訊障礙活動。 系統會記錄以下活動的稽核事件:
- 啟用 SharePoint 與 OneDrive 的資訊屏障
- 將分段應用於網站
- 變更網站區段
- 移除遺址的段子
- 對網站套用資訊障礙模式
- 網站資訊障礙模式的變更
- 解除 SharePoint 與 OneDrive 的資訊障礙
欲了解更多關於 Office 365 中 SharePoint 區段稽核的資訊,請參閱 Microsoft Purview 入口網站的「搜尋稽核日誌」。
場地建立與場地所有者管理
當分段使用者建立 SharePoint 網站時,該網站會與該使用者的分段關聯,網站的資訊屏障模式會自動設為 「明確」。
網站擁有者可以為已擁有 SharePoint 網站的 Secs 新增更多分段,且該網站的模式設為 Explicit。 網站擁有者無法移除新增的分段。 SharePoint 管理員需要在必要時移除組織內新增的分段。
當非分段使用者建立 SharePoint 網站時,該網站不會與任何分段產生關聯,且網站的資訊屏障模式會自動設為 「開啟」。
當 SharePoint 管理員從 SharePoint 管理中心建立 SharePoint 網站時,該網站不會與任何區段關聯,且網站的 IB 模式會設定為 「開啟」。
為了幫助網站擁有者新增分段,請將 「與 SharePoint 網站關聯資訊分段 」這篇文章分享給你的 SharePoint 網站擁有者。
Microsoft Teams 網站
當你在 Microsoft Teams 建立團隊時,也會自動為團隊的檔案建立 SharePoint 網站。 為了保護擁有資訊障礙控制的 Microsoft Teams 網站,你可以在 SharePoint 中為你的租戶啟用資訊障礙。
24 小時內,網站的資訊障礙模式會自動設為 隱 性,且與團隊成員相關的分段會與網站相關聯。
採用 隱式 資訊障礙模式的 Microsoft Teams 網站,根據 Microsoft 365 群組成員資格,網站存取與分享。
例如,若使用者是連接至 Microsoft 365 群組的成員,則可存取該 Microsoft Teams 網站。 連接 Team 的 Microsoft 365 團隊符合 IB 標準。
注意事項
如果您在 2022 年 3 月 15 日前啟用 SharePoint 資訊障礙,Teams 連接的網站存取與分享將依據網站的區段而定。 例如:
- 網站及其內容可以分享給與該網站分隔相符的用戶。
- 若使用者擁有與該網站相同的區段並擁有網站存取權限,即可存取該網站及其內容。
要啟用 Microsoft 365 基於群組成員的存取與分享控制權,針對組織中所有 隱式 模式網站,請以 SharePoint 管理員身份執行以下指令:
Set-SPOTenant -IBImplicitGroupBased $true
私人管道與資訊障礙
當您在組織中啟用 SharePoint 資訊障礙後,任何新的私人通道網站會在 24 小時內自動繼承其母 Microsoft Teams 的 IB 模式。 私人頻道的模式分配如下:
| 母隊的IB模式 | 私人頻道網站的 IB 模式 |
|---|---|
| 開啟 | 開啟 |
| 隱含或擁有者管理 | 暗示的 |
私人頻道網站存取與分享由其 IB 模式管理:
私人頻道網站採用 開放 資訊障礙模式
- 任何擁有網站存取權限的人都可以存取
- 根據網站現有的分享政策,允許分享連結
- 人員選擇器允許根據分享者的 IB 政策發現使用者
私人頻道網站,具備隱 性 資訊障礙模式
- 目前為私人頻道成員的用戶可存取
- 允許使用已有存取連結的人員進行分享
你組織中已設定的私人頻道網站,其資訊障礙模式已設定為 開放。 要將現有的私有頻道網站設定為 隱式 模式,請在 SharePoint PowerShell 模組中執行以下 cmdlet:
Set-Sposite -Identity <site URL> -InformationBarriersMode Implicit
深入了解如何管理 Microsoft Teams 連線的小組網站。
搜尋
使用者可從以下平台查看搜尋結果:
- 分段關聯網站:當該網站分段與使用者分段相符,且使用者擁有網站存取權限時。 例如,一個有 明確 模式的網站。
- 非分段網站:當使用者已有內容或網站的存取權。 例如,有 開放模式、擁有 者管理 模式或 隱性 模式的網站。 當使用者選擇搜尋結果以開啟網站內容時,若內容不符合網站的 IB 政策,將被拒絕存取。
租戶範圍搜尋與 Copilot 體驗
使用者體驗如下:
分段關聯網站:當該網站分段與使用者分段相符,且使用者擁有網站存取權限時。 例如,一個有 明確 模式的網站。
開放模式網站: 當使用者已有內容或網站的存取權時。
隱含模式與擁有者管理模式網站:
當使用者已有內容或網站的存取權時。
若使用者在政策申請前已取得網站及內容存取權,他們仍可在搜尋及 Copilot 結果中看到該網站及其內容。 然而,嘗試開啟內容時,若不遵守網站的 IB 政策,將被拒絕存取。
使用者區段變更的影響
若 SharePoint 網站擁有者或站點成員的分區變更,他們仍可依據網站的 IB 模式存取該站點或內容:
- 開放模式:使用者若擁有現有網站存取權限,即可存取該網站。
- 擁有者管理:使用者若已擁有現有網站存取權限,即可存取該網站。
- 隱式模式:若使用者是 Microsoft 365 群組成員,仍可存取該網站。
- 明確模式:若使用者的新分區與該網站分區相符,且使用者擁有網站存取權限,則仍可繼續存取該網站。
現有資訊障礙政策變更的影響
若合規管理員更改現有的 IB 政策,變更可能會影響與網站相關的區段相容性, (在 顯 式或 隱式 模式*) 。 例如,曾經相容的段子可能不再相容。
透過資訊障礙政策合規報告,SharePoint 管理員可以查看分段不再相容的網站清單。 欲了解更多資訊,請參閱 「學習如何在 PowerShell 中建立資訊障礙政策合規報告」。
管理不合規的網站:
- 在 明確 模式下,SharePoint 管理員必須更改相關區段,使其符合 IB 規範。
- 在 隱式 模式下,SharePoint 管理員無法直接管理分段。 我們建議 Teams 管理員管理團隊會員,以便將 Teams 會員名單及分段納入 IB 合規。
如何在你的組織中暫停 SharePoint 和 OneDrive 資訊障礙
如果您的組織想暫時暫停 SharePoint 上的資訊障礙,請使用 SharePoint Online 管理命令介面及 Set-Spotenant 指令程式。
要暫停資訊障礙,請執行以下指令:
Set-SPOTenant -InformationBarriersSuspension $true
注意事項
如果你有 Microsoft 365 Multi-Geo,請對每個地理位置執行此指令。
允許使用郵件啟用的安全群組共享開放模式網站
IB 支援 SharePoint PowerShell 模組 中的選擇加入功能, 開放模式下的 網站可與 郵件啟用的安全群組 共享,用於網站權限、分享及目標受眾設定。 此功能僅支援 開放 模式網站。 SharePoint 管理員可以在你的組織中啟用這項支援。 我們建議您確保安全群組成員資格符合 IB 規範。
在啟用群組支援前,請確認您符合以下先決條件:
要在 開放 模式網站中配置郵件啟用的安全群組支援,請執行以下指令:
Set-SPOTenant -ShowPeoplePickerGroupSuggestionsForIB $true