檢查 OneDrive 中的資訊屏障

  • 8 分鐘

Microsoft Purview 資訊屏障是 Microsoft 365 中的原則,合規性系統管理員可以設定這些原則來防止使用者彼此通訊和共同作業。 例如,如果某個部門正在處理不應與特定其他部門共用的資訊,此解決方案就很有用。 另一個範例是組織想要防止或隔離部門與部門以外的所有使用者共同作業。

組織通常會在高度管制的產業中使用資訊屏障。 具有合規性需求的組織,例如財務、法律及政府也經常使用它們。

對於 OneDrive,資訊屏障可以判斷並防止下列類型的未經授權共同作業:

  • 使用者存取 OneDrive 或儲存的內容。
  • 與其他用戶共用 OneDrive 或儲存的內容。

資訊屏障模式和 OneDrive

當組織在 SharePoint 和 OneDrive 上啟用資訊屏障時,IB 原則會自動保護分割使用者的 OneDrive。 資訊屏障模式可根據 OneDrive 的 IB 模式和與 OneDrive 相關聯的區段,協助加強 OneDrive 網站的存取、共用和成員資格。

SharePoint 系統管理員或Microsoft 365 全域管理員通常會設定 OneDrive 網站的資訊屏障模式。 網站擁有者可能有權設定一些與 OneDrive 相關的設定,但具有適當許可權的系統管理員必須建立和管理資訊屏障原則。

下表識別 OneDrive 支援的 IB 模式。

Mode 描述
開啟 當未隔離的使用者設定其 OneDrive 時,系統管理員預設會將網站的 IB 模式設定為 [開啟]。 沒有與網站相關聯的區段。
擁有者仲裁 當網站的擁有者/仲裁者使用 OneDrive 與不相容的使用者共同作業時,系統管理員可以將 OneDrive 的 IB 模式設定為 擁有者仲裁。 如需詳細資訊,請 參閱擁有者仲裁網站
Explicit 當分割使用者在啟用后 24 小時內設定其 OneDrive 時,系統管理員可以預設將網站的 IB 模式設定為 Explicit 。 用戶的區段和其他與使用者區段相容的區段,以及彼此相容的區段,都會與使用者的 OneDrive 產生關聯。
推斷 當系統管理員設定分割使用者的 OneDrive,讓使用者可以與未隔離的用戶共用時,系統管理員可以將網站的 IB 模式設定為 [推斷]。 此模式是系統管理員可以在分割使用者的 OneDrive 上設定的加入模式。

從 OneDrive 共用檔案

開啟

當 OneDrive 沒有區段且其 IB 模式為 Open 時:

  • 網站擁有者或其他具有適當許可權的使用者,可以根據套用至使用者的資訊屏障原則和 OneDrive 的共用設定來共用檔案和資料夾。

擁有者仲裁

當系統管理員將網站的 IB 模式設定為 擁有者仲裁時

  • 系統會停用與 任何人共用連結的選項
  • 系統會停用與 全公司鏈接共享的選項
  • 網站擁有者可以與現有成員共享網站及其內容。
  • 網站擁有者只能根據其 IB 原則來共享網站及其內容。

Explicit

當 OneDrive 有資訊屏障區段,且系統管理員將其 IB 模式設定為 Explicit 時:

  • 系統會停用與 任何人共用連結的選項
  • 系統會停用與 全公司鏈接共享的選項
  • 網站擁有者或其他具有適當許可權的使用者只能與區段符合 OneDrive 的使用者共用檔案和資料夾。

推斷

當 OneDrive 有資訊屏障區段,且系統管理員將其 IB 模式設定為 推斷時:

  • 系統會停用與 任何人共用連結的選項
  • 系統會停用與 全公司鏈接共享的選項
  • 網站擁有者或其他具有適當許可權的使用者,可以與區段符合 OneDrive 和租使用者中未分割使用者之區段的使用者共用檔案和資料夾。

從 OneDrive 存取共用檔案

開啟模式

當使用者想要存取 OneDrive 中沒有區段的內容,且系統管理員將其 IB 模式設定為 [開啟] 時:

  • 網站擁有者或其他具有適當許可權的用戶必須與使用者共享檔案。

擁有者仲裁模式

當使用者想要存取 SharePoint 網站,且系統管理員將 IB 模式設定為 擁有者仲裁時

  • 使用者具有網站訪問許可權。

明確模式

當使用者想要在具有區段的 OneDrive 中存取內容,且系統管理員將其 IB 模式設定為 [明確] 時:

  • 用戶的區段必須符合與 OneDrive 相關聯的區段。

    AND

  • 網站擁有者或其他具有適當許可權的用戶必須與使用者共享檔案。

注意事項

根據預設,非隔離使用者只能從其他 IB 模式為 Open 的非隔離使用者存取共用的 OneDrive 檔案。 他們無法從已套用區段 () 且 IB 模式為 Explicit 的 OneDrive 存取共用檔案。

推斷模式

當分割使用者想要存取具有區段的 OneDrive 中的內容,且系統管理員將其 IB 模式設定為 推斷時:

  • 用戶的區段必須符合與 OneDrive 相關聯的區段。

    AND

  • 網站擁有者或其他具有適當許可權的用戶必須與使用者共享檔案。

當未隔離的使用者想要存取具有區段之 OneDrive 中的內容,且系統管理員將其 IB 模式設定為 推斷時:

  • 用戶必須具有網站訪問許可權。

案例範例

下列範例說明 Contoso 的三個區段:HR、Sales 和 Research。 Contoso 的 SharePoint 系統管理員已建立資訊屏障原則,以封鎖 Sales 和 Research 區段之間的通訊和共同作業。

顯示組織中區段範例的圖表。

當 OneDrive 將區段套用至使用者時,系統會在 24 小時內自動將該區段與使用者的 OneDrive 產生關聯。 其他被視為與用戶區段相容且彼此相容的區段也會與 OneDrive 相關聯。 OneDrive 網站最多可以有 100 個與其相關聯的區段。 全域或 SharePoint 系統管理員可以使用 PowerShell 來管理這些區段。

下表顯示此範例設定在 Contoso 的效果。

元件 HR 使用者 銷售使用者 研究使用者 非隔離使用者
與 OneDrive 相關聯的區段 人力資源 銷售、HR 研究、人力資源
OneDrive 上的 IB 模式 Explicit Explicit Explicit 開啟
與您共用 OneDrive 內容... 僅限 HR 銷售和人力資源 研究與人力資源 根據選取的共享設定的任何人。
誰可以存取 OneDrive 僅限 HR 銷售和人力資源 研究與人力資源 系統管理員與之共享內容的任何人。

在組織中啟用 SharePoint 和 OneDrive 資訊屏障

SharePoint 系統管理員或全域管理員可以在組織中的 SharePoint 和 OneDrive 中啟用資訊屏障。 它們可以在單一動作中啟用 SharePoint 和 OneDrive 的資訊屏障。 它們無法個別為每個服務啟用資訊屏障。 完成下列步驟,為您的組織啟用資訊屏障:

  1. 下載並安裝最新版的 SharePoint Online 管理命令介面。

  2. 在 Microsoft 365 中以全域管理員或 SharePoint 系統管理員身分連線到 SharePoint Online。

  3. 若要在 SharePoint 和 OneDrive 中啟用資訊屏障,請執行下列命令:

    Set-SPOTenant -InformationBarriersSuspension $false

  4. 在組織中啟用 SharePoint 和 OneDrive 的資訊屏障之後,請等候大約 1 小時,變更才會生效。

如果您在 2022 年 3 月 15 日之前為組織中的 SharePoint 啟用資訊屏障,則Microsoft Teams 連線網站的隱含模式預設存取和共用控制是以與網站相關聯的區段為基礎。

若要為租使用者中所有與 Teams 連線的網站啟用 Microsoft 365 群組成員資格型存取和共用控制,請執行下列命令:

Set-SPOTenant -IBImplicitGroupBased $true

如果您已Microsoft 365 多地理位置,則必須針對每個地理位置執行此命令。

管理使用者 OneDrive 上的區段

注意

如果與使用者 OneDrive 相關聯的區段不符合套用至使用者的區段,使用者將無法存取其 OneDrive。 請小心不要將任何區段與非隔離使用者的 OneDrive 產生關聯。

警告

如果使用者的區段變更,您的變更可能會被覆寫。

若要建立區段與 OneDrive 的關聯,請在 SharePoint Online 管理命令介面 中執行下列命令。 OneDrive 最多可以有 100 個相關聯的區段。

Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>

例如:

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

當您將區段新增至 OneDrive 時,系統會自動將網站的 IB 模式設定為 Explicit。 如果您嘗試建立與 OneDrive 上現有區段不相容的區段關聯,就會出現錯誤。

若要從 OneDrive 移除區段,請執行下列命令。

Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>

例如:

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

如果系統管理員移除 OneDrive 網站的所有區段,系統會自動將 OneDrive 網站的 IB 模式設定為 [開啟]

用戶區段變更的影響

如果使用者的區段變更,OneDrive 會在 24 小時內自動更新區段和 IB 模式。

範例 1:使用者的區段已從 Research 更新為 Sales。 使用者的 OneDrive 會在 24 小時內顯示如下:

  • 區隔: 銷售、HR
  • IB 模式: 明確

範例 2:使用者的區段已從 HR 更新為 None。 使用者的 OneDrive 會在 24 小時內顯示如下:

  • 區段:
  • IB 模式: 開啟

資訊屏障原則變更的影響

如果合規性系統管理員變更現有的原則,變更可能會影響與 OneDrive 相關聯之區段的相容性。

例如,曾經相容的區段可能不再相容。 SharePoint 系統管理員必須據此變更與受影響網站相關聯的區段。 瞭解如何 在PowerShell中建立資訊屏障原則合規性報告

如果共用檔案之後的原則變更,共享連結是否仍可運作? 只有當嘗試存取共用檔案的使用者套用的區段符合與 OneDrive 相關聯的區段時。

檢視與使用者 OneDrive 相關聯的區段

全域或 SharePoint 系統管理員可以檢視和變更與使用者 OneDrive 相關聯的區段。

  1. 以 Microsoft 365 全域管理員 身分連線到安全性 & 合規性 PowerShell

  2. 執行下列命令以取得區段及其 GUID 的清單。

    Get-OrganizationSegment | ft Name, EXOSegmentID

  3. 儲存區段清單。 下表識別此訓練單元稍早呈現的 Contoso 案例區段。

    名稱 EXOSegmentId
    銷售 a9592060-c856-4301-b60f-bf9a04990d4d
    參考資料 27d20a85-1c1b-4af2-bf45-a41093b5d111
    人力資源 a17efb47-e3c9-4d85-a188-1cd59c83de32

  4. 如果先前未完成,請下載並安裝最新的 SharePoint Online 管理命令介面。 如果您已安裝舊版的 SharePoint Online 管理命令介面,請遵循在組織中啟用SharePoint和 OneDrive 資訊屏障一文中的指示。

  5. 在 Microsoft 365 以全域系統管理員或 SharePoint 管理員的身分登入。

  6. 執行下列命令:

    Get-SPOSite -Identity <site URL> | Select InformationSegment

    例如:

    Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select Info

管理使用者 OneDrive 的 IB 模式

若要檢視 OneDrive 網站的 IB 模式,請在 SharePoint Online 管理命令介面 中以 SharePoint 系統管理員或全域管理員身分執行下列命令:

Get-SPOSite -Identity <site URL> | Select InformationBarriersMode

例如:

Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode

組織的 SharePoint 系統管理員或全域管理員也能夠管理 OneDrive 網站的 IB 模式,以符合具有新 IB 模式的組織需求。

將IB模式設定為擁有者仲裁模式

擁有者仲裁 模式允許不相容的區段使用者存取 OneDrive。 例如,您想要允許 Sales 和 Research 區段使用者存取 HR 使用者的 OneDrive。 擁有者仲裁 適用於 OneDrive 網站,允許不相容的區段使用者在仲裁者/擁有者身分的情況下存取 OneDrive。 只有網站擁有者能夠邀請相同網站上不相容的區段使用者。

若要將 OneDrive 網站 IB 模式更新為 擁有者仲裁,請執行下列 PowerShell 命令:

Set-SPOSite -Identity <siteurl> InformationBarriersMode OwnerModerated

您無法在具有區段的網站上,將 OneDrive 網站設定為擁有者仲裁 IB 模式。 您必須先移除區段,再將IB模式設定為擁有者仲裁。 如果使用者具有網站訪問許可權,則可以存取擁有者仲裁網站。 只有擁有者仲裁 OneDrive 網站的網站擁有者可以根據其 IB 原則共用其內容。

將IB模式設定為推斷模式

推斷 模式可讓未隔離的使用者存取與區段相關聯的 OneDrive。 例如,您想要允許 HR 區段和未隔離的使用者存取 HR 使用者的 OneDrive。 推斷 模式適用於 OneDrive 網站,可讓分割和未分割的使用者存取 OneDrive。

若要將 OneDrive 網站 IB 模式更新為 推斷,請執行下列 PowerShell 命令:

Set-SPOSite -Identity <siteurl> InformationBarriersMode Inferred

您可以在沒有區段的網站上設定推斷的 IB 模式。 您必須先新增區段,再將IB模式設定為 [推斷]。