Usare le barriere informative con OneDrive
Microsoft Purview Information Barriers è un criterio di Microsoft 365 che un amministratore della conformità può configurare per impedire agli utenti di comunicare e collaborare tra loro. Questa soluzione è utile se, ad esempio, una divisione gestisce informazioni che non devono essere condivise con altre divisioni specifiche o una divisione deve essere impedita o isolata dalla collaborazione con tutti gli utenti esterni alla divisione. Le barriere informative vengono spesso usate in settori altamente regolamentati e in quelle organizzazioni con requisiti di conformità, ad esempio finanza, legale e pubblica amministrazione.
Per OneDrive, le barriere informative possono determinare e impedire i tipi di collaborazioni non autorizzate seguenti:
- Accesso utente a OneDrive o contenuto archiviato
- Condivisione di OneDrive o contenuto archiviato con altri utenti
Modalità barriere informative e OneDrive
Quando le barriere informative sono abilitate in SharePoint e OneDrive, OneDrive degli utenti segmentati viene protetto automaticamente con i criteri IB. Le modalità barriere informative consentono di rafforzare l'accesso, la condivisione e l'appartenenza a un sito di OneDrive in base alla modalità IB e ai segmenti associati a OneDrive.
Quando si usano barriere informative con OneDrive, sono supportate le modalità IB seguenti:
Mode | Descrizione |
---|---|
Apri | Quando un utente non segmentato effettua il provisioning di OneDrive, la modalità IB del sito viene impostata su Apri, per impostazione predefinita. Non sono presenti segmenti associati al sito. |
Proprietario moderato | Quando un OneDrive viene usato per la collaborazione con utenti incompatibili in presenza del proprietario/moderatore del sito, la modalità IB di OneDrive può essere impostata su Owner Moderated. Per informazioni dettagliate sul sito Owner Moderated, vedere questa sezione . |
Explicit | Quando un utente segmentato effettua il provisioning di OneDrive entro 24 ore dall'abilitazione, la modalità IB del sito viene impostata come Esplicita per impostazione predefinita. Il segmento dell'utente e altri segmenti compatibili con il segmento dell'utente e l'uno con l'altro vengono associati a OneDrive dell'utente. |
Misto | Quando onedrive di un utente segmentato può essere condiviso con utenti non segmentati, la modalità IB del sito può essere impostata su Misto. Si tratta di una modalità di consenso esplicito che l'amministratore di SharePoint può impostare in OneDrive di un utente segmentato. |
Nota
A partire dal 12 luglio 2022, la modalità dedotta è stata modificata in modalità mista . La funzionalità per la modalità rimane la stessa.
Condivisione di file da OneDrive
Apri
Quando onedrive non ha segmenti e modalità IB come Open:
- L'utente può condividere file e cartelle in base ai criteri di barriera delle informazioni applicati all'utente e all'impostazione di condivisione per OneDrive.
Proprietario moderato
Quando un sito ha la modalità barriere informative è impostato su Proprietario moderato:
- L'opzione per la condivisione con chiunque abbia il collegamento è disabilitata.
- L'opzione per la condivisione con il collegamento a livello di azienda è disabilitata.
- Il sito e il relativo contenuto possono essere condivisi con i membri esistenti.
- Il sito e il relativo contenuto possono essere condivisi solo dal proprietario di OneDrive in base ai criteri IB.
Explicit
Quando un OneDrive ha segmenti di barriere informative e la modalità è impostata su Explicit:
- L'opzione per la condivisione con chiunque abbia il collegamento è disabilitata.
- L'opzione per la condivisione con il collegamento a livello di azienda è disabilitata.
- I file e le cartelle possono essere condivisi solo con gli utenti il cui segmento corrisponde a quello di OneDrive.
Misto
Quando un OneDrive ha segmenti di barriere informative e la modalità è impostata su Misto:
- L'opzione per la condivisione con chiunque abbia il collegamento è disabilitata.
- L'opzione per la condivisione con il collegamento a livello di azienda è disabilitata.
- I file e le cartelle possono essere condivisi con gli utenti il cui segmento corrisponde a quello di OneDrive e agli utenti non distribuiti nel tenant.
Accesso ai file condivisi da OneDrive
Modalità aperta
Per consentire a un utente di accedere al contenuto in un OneDrive senza segmenti associati e la modalità IB come Apri:
- I file devono essere condivisi con l'utente.
Modalità Moderated proprietario
Per consentire a un utente di accedere a un sito di SharePoint con la modalità barriere informative del sito, è impostato su Proprietario moderato:
- L'utente dispone delle autorizzazioni di accesso al sito.
Modalità esplicita
Per consentire a un utente di accedere al contenuto in un OneDrive con segmenti e la modalità IB impostata su Explicit:
Il segmento dell'utente deve corrispondere a un segmento associato a OneDrive.
E
I file devono essere condivisi con l'utente.
Nota
Per impostazione predefinita, gli utenti non di segmento possono accedere ai file di OneDrive condivisi solo da altri utenti non di segmento con modalità IB come Apri. Non possono accedere ai file condivisi da OneDrive che hanno segmenti applicati e la modalità IB è Esplicita.
Modalità mista
Per consentire a un utente segmentato di accedere al contenuto in un OneDrive con segmenti e la modalità IB impostata su Misto:
Il segmento dell'utente deve corrispondere a un segmento associato a OneDrive.
E
I file devono essere condivisi con l'utente.
Per consentire a un utente non segmentato di accedere al contenuto in un OneDrive con segmenti e la modalità IB impostata come Mista:
- L'utente deve disporre delle autorizzazioni di accesso al sito.
Scenario di esempio
L'esempio seguente illustra tre segmenti in un'organizzazione: RISORSE umane, Vendite e Ricerca. È stato definito un criterio di barriera delle informazioni che blocca la comunicazione e la collaborazione tra i segmenti Vendite e Ricerca.
Con le barriere informative in OneDrive, quando un segmento viene applicato a un utente, entro 24 ore tale segmento viene associato automaticamente a OneDrive dell'utente. Anche altri segmenti compatibili con il segmento dell'utente e tra loro verranno associati a OneDrive. A OneDrive possono essere associati fino a 100 segmenti. Un amministratore globale o di SharePoint può gestire questi segmenti usando PowerShell, come descritto più avanti nella sezione Associare o rimuovere segmenti aggiuntivi in OneDrive di un utente.
La tabella seguente illustra gli effetti di questa configurazione di esempio:
Componenti | Utenti hr | Utenti di vendita | Utenti della ricerca | Utenti non di segmento |
---|---|---|---|---|
Segmenti associati a OneDrive | Risorse umane | Vendite, risorse umane | Ricerca, risorse umane | Nessuno |
Modalità IB in OneDrive | Explicit | Explicit | Explicit | Apri |
Il contenuto di OneDrive può essere condiviso con | Solo risorse umane | Vendite e risorse umane | Ricerca e risorse umane | Chiunque in base alle impostazioni di condivisione selezionate |
È possibile accedere al contenuto di OneDrive | Solo risorse umane | Vendite e risorse umane | Ricerca e risorse umane | Chiunque abbia condiviso il contenuto |
Abilitare le barriere informative di SharePoint e OneDrive nell'organizzazione
L'abilitazione delle barriere informative per SharePoint e OneDrive viene configurata in una singola azione. Le barriere informative per i servizi non possono essere abilitate separatamente. Per abilitare le barriere informative per OneDrive, vedere Abilitare le barriere informative di SharePoint e OneDrive nell'organizzazione. Dopo aver abilitato le barriere informative per SharePoint e OneDrive, continuare con le indicazioni di OneDrive in questo articolo.
Prerequisiti
- Assicurarsi di soddisfare i requisiti di licenza per le barriere informative.
- Creare criteri di barriera delle informazioni che consentono o bloccano la comunicazione tra i segmenti e attivano i criteri. Creare segmenti e definire gli utenti in ognuno di essi.
- Dopo aver configurato e attivato i criteri di barriera delle informazioni, attendere 24 ore per la propagazione delle modifiche nell'organizzazione.
- Abilitare le barriere informative per OneDrive. L'abilitazione delle barriere informative per SharePoint e OneDrive viene configurata in un'unica azione e questi servizi non possono essere abilitati separatamente. Per abilitare le barriere informative per OneDrive, vedere le indicazioni e i passaggi nell'articolo Usare le barriere informative con SharePoint .
- Completare i passaggi descritti nelle sezioni seguenti per personalizzare e gestire le barriere informative per OneDrive nell'organizzazione.
Usare PowerShell per visualizzare i segmenti associati a un OneDrive
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.
Un amministratore globale o un amministratore di SharePoint può visualizzare e modificare i segmenti associati a OneDrive di un utente. L'organizzazione può avere fino a 5.000 segmenti e gli utenti possono essere assegnati a più segmenti.
Importante
Il supporto per 5.000 segmenti e l'assegnazione di utenti a più segmenti è disponibile solo quando l'organizzazione non è in modalità legacy . L'assegnazione di utenti a più segmenti richiede azioni aggiuntive per modificare la modalità delle barriere informative per l'organizzazione. Per altre informazioni, vedere Usare il supporto multi-segmento nelle barriere informative) per informazioni dettagliate.
Per le organizzazioni in modalità legacy , il numero massimo di segmenti supportati è 250 e gli utenti sono limitati ad essere assegnati a un solo segmento. Le organizzazioni in modalità legacy sono idonee per l'aggiornamento alla versione più recente delle barriere informative in futuro. Per altre informazioni, vedere la roadmap sulle barriere informative.
Connettersi a PowerShell del Centro conformità & sicurezza come amministratore globale.
Eseguire il comando seguente per ottenere l'elenco dei segmenti e i relativi GUID.
Get-OrganizationSegment | ft Name, EXOSegmentID
Salvare l'elenco di segmenti.
Nome EXOSegmentId Vendite a9592060-c856-4301-b60f-bf9a04990d4d Ricerca 27d20a85-1c1b-4af2-bf45-a41093b5d111 Risorse umane a17efb47-e3c9-4d85-a188-1cd59c83de32 Se non è stato completato in precedenza, scaricare e installare l'SharePoint Online Management Shell più recente. Se è stata installata una versione precedente del SharePoint Online Management Shell, seguire le istruzioni nell'articolo Abilitare le barriere informative di SharePoint e OneDrive nell'organizzazione.
Connettiti a SharePoint come amministratore globale o amministratore di SharePoint in Microsoft 365. Per informazioni in merito, vedere Guida introduttiva a SharePoint Online Management Shell.
Eseguire il comando riportato di seguito:
Get-SPOSite -Identity <site URL> | Select InformationSegment
Ad esempio:
Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationSegment
Gestire i segmenti in OneDrive di un utente
Avviso
Se i segmenti associati a OneDrive di un utente non corrispondono al segmento applicato all'utente, l'utente non sarà in grado di accedere a OneDrive. Prestare attenzione a non associare alcun segmento a OneDrive di un utente non di segmento.
Nota
Tutte le modifiche apportate vengono sovrascritte se il segmento dell'utente cambia.
Per associare un segmento a onedrive, eseguire il comando seguente nel SharePoint Online Management Shell.
Importante
Il supporto per 5.000 segmenti e l'assegnazione di utenti a più segmenti è disponibile solo quando l'organizzazione non è in modalità legacy . L'assegnazione di utenti a più segmenti richiede azioni aggiuntive per modificare la modalità delle barriere informative per l'organizzazione. Per altre informazioni, vedere Usare il supporto multi-segmento nelle barriere informative) per informazioni dettagliate.
Per le organizzazioni in modalità legacy , il numero massimo di segmenti supportati è 250 e gli utenti sono limitati ad essere assegnati a un solo segmento. Le organizzazioni in modalità legacy sono idonee per l'aggiornamento alla versione più recente delle barriere informative in futuro. Per altre informazioni, vedere la roadmap sulle barriere informative.
Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>
Ad esempio:
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
Quando si aggiungono segmenti a OneDrive, la modalità IB del sito viene aggiornata automaticamente a Explicit. Verrà visualizzato un errore se si tenta di associare un segmento non compatibile con i segmenti esistenti in OneDrive.
Importante
Il supporto per l'assegnazione di utenti a più segmenti è disponibile solo quando l'organizzazione non è in modalità legacy . Per determinare se l'organizzazione è in modalità legacy , vedere Controllare la modalità IB per l'organizzazione.
Gli utenti sono limitati ad essere assegnati a un solo segmento per le organizzazioni in modalità legacy . Le organizzazioni in modalità legacy sono idonee per l'aggiornamento alla versione più recente delle barriere informative in futuro. Per altre informazioni, vedere la roadmap sulle barriere informative.
Per rimuovere un segmento da onedrive, eseguire il comando seguente.
Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>
Ad esempio:
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
Se tutti i segmenti di un sito di OneDrive vengono rimossi, la modalità IB di OneDrive viene aggiornata automaticamente in Apri.
Gestire la modalità IB di OneDrive di un utente (anteprima)
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.
Per visualizzare la modalità IB di un sito di OneDrive, eseguire il comando seguente nel SharePoint Online Management Shell come amministratore di SharePoint o amministratore globale:
Get-SPOSite -Identity <site URL> | Select InformationBarriersMode
Ad esempio:
Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode
Un amministratore di SharePoint o un amministratore globale ha anche la possibilità di gestire la modalità IB di un sito di OneDrive per soddisfare le esigenze dell'organizzazione con nuove modalità IB:
Esempio di modalità Moderated proprietario
Consentire a un utente del segmento incompatibile l'accesso a onedrive. Ad esempio, si vuole consentire l'accesso a OneDrive dell'utente HR sia agli utenti del segmento Vendite che a Quello di Ricerca nel tenant.
Owner Moderated è una modalità applicabile al sito di OneDrive che consente agli utenti del segmento incompatibili di accedere a OneDrive in presenza di un moderatore/proprietario. Solo il proprietario del sito ha la possibilità di invitare utenti del segmento incompatibili nello stesso sito.
Per aggiornare una modalità IB del sito di OneDrive a Owner Moderated, eseguire il comando di PowerShell seguente:
Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated
La modalità IB moderata del proprietario non può essere impostata in un sito con segmenti. Rimuovere i segmenti prima di impostare la modalità IB come Owner Moderated. L'accesso a un sito moderato proprietario è consentito per gli utenti con autorizzazioni di accesso al sito. La condivisione di un OneDrive con moderatore proprietario e del relativo contenuto è consentita solo dal proprietario del sito in base ai criteri IB.
Esempio di modalità mista
Consentire agli utenti non segmentati di accedere a OneDrive associato ai segmenti. Ad esempio, si vuole consentire l'accesso a OneDrive dell'utente HR tramite il segmento HR e gli utenti non segmentati nel tenant. Modalità mista applicabile al sito di OneDrive che consente agli utenti segmentati e non segmentati di accedere a OneDrive.
Per aggiornare una modalità IB del sito di OneDrive a Mixed, eseguire il comando di PowerShell seguente:
Set-SPOSite -Identity <siteurl> -InformationBarriersMode Mixed
La modalità IB mista non può essere impostata in un sito senza segmenti. Aggiungere segmenti prima di impostare la modalità IB come Mista.
Effetti delle modifiche ai segmenti utente
Se il segmento di un utente cambia, il segmento di OneDrive e la modalità IB vengono aggiornati automaticamente entro 24 ore, come descritto nella sezione Barriere informative di OneDrive.
Esempio 1: il segmento dell'utente aggiornato da Ricerca a Vendite, OneDrive dell'utente viene aggiornato come segue entro 24 ore:
- Segmento: vendite, risorse umane
- Modalità IB: esplicita
Esempio 2: il segmento dell'utente aggiornato da HR a Nessuno, OneDrive dell'utente viene aggiornato come segue entro 24 ore:
- Segmento: Nessuno
- Modalità IB: Apri
Effetti delle modifiche ai criteri delle barriere informative
Se un amministratore della conformità modifica un criterio esistente, la modifica può influire sulla compatibilità dei segmenti associati a OneDrive.
Ad esempio, i segmenti che una volta erano compatibili potrebbero non essere più compatibili. Un amministratore di SharePoint deve modificare di conseguenza i segmenti associati a un sito interessato. Informazioni su come creare un report sulla conformità dei criteri sulle barriere informative in PowerShell.
Se un criterio cambia dopo la condivisione dei file, i collegamenti di condivisione funzioneranno solo se l'utente che tenta di accedere ai file condivisi ha applicato un segmento che corrisponde a un segmento associato a OneDrive.
Controllo
Gli eventi di controllo sono disponibili nel portale di Microsoft Purview e nella Portale di conformità di Microsoft Purview per monitorare le attività delle barriere informative. Gli eventi di controllo vengono registrati per le attività seguenti:
- Barriere informative abilitate per SharePoint e OneDrive
- Segmento applicato al sito
- Segmento del sito modificato
- Segmento rimosso del sito
- Modalità di barriere informative applicate al sito
- Modifica della modalità barriere informative del sito
- Barriere informative disabilitate per SharePoint e OneDrive
Per altre informazioni sul controllo dei segmenti di OneDrive in Office 365, vedere Cercare nel log di controllo.