Albano Lala

Cloud, Collaborazione, Guide, Microsoft 365, Sicurezza
30 Gennaio 2021

Information Barriers in OneDrive e SharePoint Online

Le Information Barriers sono uno strumento che dà la possibilità ad un amministratore di Microsoft 365 di configurare tramite specifiche policies delle barriere logiche che permettono o negano agli utenti la possibilità di comunicare e collaborare. Le Information Barriers sono spesso utilizzate in settori con particolari requisiti di conformità, come quello finanziario, legale o governativo. Per maggiori informazioni su questo strumento vi rimando al precedente articolo “Information Barriers in Microsoft Teams“.

Nell’immagine sottostante sono illustrati tre segmenti di un’organizzazione: HR, Sales e Tecnico. È stata definita una policy che blocca la comunicazione e la collaborazione tra i segmenti Tecnico e Sales. Questi segmenti sono incompatibili.

Figura 1 – Esempio Applicazione Information Barriers

Con le Information Barriers su SharePoint, un Global admin o un SharePoint admin può associare i segmenti ad uno specifico “site” di SharePoint per impedire che il sito venga condiviso o visitato da utente esterni ai segmenti. È possibile associare ad un site fino a 100 segmenti di Information
Barriers. I segmenti sono associati a livello di sito (precedentemente definiti Site Collection). Se un sito è associato ad un Microsoft 365 group (ad esempio il site di un Team di Microsoft Teams), anche il gruppo è associato allo stesso segmento del sito. Nell’esempio dell’immagine soprastante il segmento HR è compatibile sia con le vendite che con il gruppo dei tecnici. Tuttavia, poiché i segmenti Sales e Tecnico sono incompatibili, non possono essere associati allo stesso site.

Prerequisiti

Prima di iniziare la configurazione su SharePoint e OneDrive ci assicuriamo di avere tutti i prerequisiti di licensing e permessi amministrativi per Information Barriers:

Chi può configurare Information Barriers Policies?

L’amministratore globale di Microsoft 365
L’amministratore globale di Office 365
L’amministratore di Compliance di Microsoft 365
L’amministratore di Information Barriers

Di che licenze ho bisogno?

Microsoft 365 E5/A5
Office 365 E5/A5
Office 365 Advanced Compliance
Microsoft 365 Compliance E5/A5
Microsoft 365 Insider Risk Management

Operazioni di on-boarding:

Completiamo il form che ci permetterà di abilitare Information Barriers su SharePoint e OneDrive nell’Organizzazione.
Creiamo i segmenti e definiamo il filtro di attributi delle identità. Creiamo le policies che bloccheranno o permetteranno la comunicazione tra I segmenti, in seguito attiveremo quest’ultime. Per informazioni più dettagliate su come creare segmenti e policies vi rimando al precedente articolo “Information Barriers in Microsoft Teams“.
Attiviamo le Information Barriers policies, e attendiamo all’incirca 24h per la propagazione delle modifiche nell’organizzazione.

Quali sono gli effetti delle Information Barriers policies sui miei site?

Condivisione di siti con segmenti associati
- Quando un segmento è associato a un sito:
  - L’opzione per la condivisione con “tutti gli utenti con il collegamento” è disattivata.
  - Il site e il relativo contenuto possono essere condivisi solo con gli utenti il cui segmento corrisponde a quello del site. Ad esempio, se un site è associato solo a HR, il site può essere condiviso solo con altri utenti HR (anche se HR è compatibile con le vendite e la ricerca).
  - È possibile aggiungere nuovi utenti al site come membri del site solo se il relativo segmento corrisponde a quello del site.
- Quando un sito non ha segmenti associati:
  - Il sito e i suoi contenuti possono essere condivisi in base alla policy di information barriers applicata all’utente. Ad esempio, se un utente in HR è autorizzato a comunicare con gli utenti nella ricerca, l’utente sarà in grado di condividere il sito con tali utenti.
Accesso a siti con segmenti associati
- Il segmento dell’utente deve corrispondere a un segmento associato al site.
- L’utente deve disporre dell’autorizzazione di accesso per il site.
Gli utenti non appartenenti al segmento non possono accedere ad un site associato a segmenti. Verrà visualizzato un messaggio di errore che indicherà l’impossibilità di accedere a causa delle policy aziendali.
Ricerca
- Gli utenti vedranno i risultati della ricerca da:
  - Site che dispongono di un segmento associato che corrisponde al segmento dell’utente e che l’utente dispone dell’autorizzazione di accesso al sito.
  - Site che dispongono di un segmento associato che corrisponde al segmento dell’utente e che l’utente dispone dell’autorizzazione di accesso al sito.
Effetti delle modifiche apportate ai segmenti di utenti o ai criteri barriera delle informazioni
- Se il segmento del proprietario di un site di SharePoint cambia, l’utente non sarà in grado di accedere al site se il relativo segmento non corrisponde ad alcuno dei segmenti associati al sito. Per consentire all’utente di accedere al sito, un amministratore di SharePoint deve associare il nuovo segmento dell’utente al sito.
- Se un amministratore di conformità cambia una policy esistente, la modifica può influire sulla compatibilità dei segmenti associati a un site. Ad esempio, i segmenti che una volta erano compatibili potrebbero non essere più compatibili. Un amministratore di SharePoint deve modificare di conseguenza i segmenti associati al sito interessato.

Quali sono gli effetti delle Information Barriers policies su OneDrive?

Se si modifica il segmento di un utente, il segmento associato al relativo spazio su OneDrive verrà aggiornato automaticamente in modo che corrisponda entro 24 ore e verranno aggiunti tutti i segmenti compatibili.

Se una policy cambia dopo la condivisione dei file, i collegamenti di condivisione funzioneranno solo se l’utente che tenta di accedere ai file condivisi ha un segmento applicato che corrisponde a un segmento associato allo spazio OneDrive di chi ha condiviso il dato.

Ricordiamo che lo spazio su OneDrive di uno specifico utente fa comunque riferimento ad un “Personal Site” di SharePoint Online, quindi concettualmente dobbiamo continuare a pensare che stiamo associando dei segmenti e in seguito applicando delle policy comunque a dei Site di SharePoint Online.

Vediamo ora la procedura di applicazione delle policy su SharePoint Online e OneDrive, gli step dettagliati sui moduli necessari di PowerShell e i primi passi con segmenti e policy sono descritti nell’articolo “Information Barriers in Microsoft Teams“:

Figura 2 – Collegamento Modulo Security & Compliance Powershell

Collegamento Modulo PowerShell Security & Compliance.

Figura 3 – Definizione Attributo Department degli utenti interessati dai segmenti

Compiliamo gli attributi sui quali faremo filtro con i segmenti delle Information Barriers, nel mio caso è stato utilizzato l’attributo “Department”. Ogni segmento farà filtro sul contenuto di questo attributo.

Figura 4 – Permission necessarie all’Information Barriers Processor

Diamo i permessi all’Information Barriers Processor di “leggere e scrivere nella nostra directory”, “leggere e scrivere nelle identità gruppo della nostra directory” e di accedere e leggere le informazioni dei profili utente.

Figura 5 – Esempio definizione Information Barriers Policy

Esempio Information Barriers Policy che andrà a bloccare la comunicazione e la collaborazione tra segmento “Financial” e segmento “Investment”.

Figura 6 – Riassunto policy Information Barriers

Riassunto della policy di Information Barriers appena creata.

Figura 7 – Modulo Forms da compilare per “abilitare” Information Barriers su SharePoint e OneDrive

Come anticipato nei prerequisiti all’inizio dell’articolo, prima di poter applicare qualsiasi modifica con questo strumento su SharePoint Online e OneDrive è necessario procedere con la compilazione di questo Form di Onboarding, se non lo fate nel momento in cui userete le CMDLETS in PowerShell vedrete un errore che in modo molto esplicito vi dirà che “Information Barriers NON è ancora abilitato nel vostro Tenant”.

Figura 8 – Form Onboarding Information Barriers completato

Procediamo con l’associazione dei segmenti ad uno dei nostri site di SharePoint Online.

Vediamo quali sono I segmenti che abbiamo definito:

1	Get-OrganizationSegment \| ft Name, EXOSegmentID

Avrete un output di questo tipo:

Nome EXOSegmentId

Sales a9592060-c856-4301-b60f-bf9a04990d4d

Tecnici 27d20a85-1c1b-4af2-bf45-a41093b5d111

HR a17efb47-e3c9-4d85-a188-1cd59c83de32

Colleghiamoci al modulo di SharePoint Online, vedere “Guida Introduttiva SharePoint Management Shell”

1	Connect-SPOService -Url https://mymicrosoft365labs-admin.sharepoint.com

Associamo i segmenti ad uno dei nostri site:

1	Set-SPOSite-Identity https://mymicrosoft365labs.sharepoint.com/sites/HR -AddInformationSegment a9592060-c856-4301-b60f-bf9a04990d4d, 27d20a85-1c1b-4af2-bf45-a41093b5d111, a17efb47-e3c9-4d85-a188-1cd59c83de32

Esempio rimozione segmento dal sito:

1	Set-SPOSite-Identity https://mymicrosoft365labs.sharepoint.com/sites/HR -AddInformationSegment a9592060-c856-4301-b60f-bf9a04990d4d, 27d20a85-1c1b-4af2-bf45-a41093b5d111, a17efb47-e3c9-4d85-a188-1cd59c83de32

Vediamo il risultato dell’associazione sul sito:

1	Get-SPOSite -identity Identity https://mymicrosoft365labs.sharepoint.com/sites/HR \| select informationsegment

Figura 9 – Esempio CMDLET associazione segmenti a site di SharePoint

Procediamo con l’associazione dei segmenti su Personal Site di OneDrive:

Colleghiamoci al modulo di SharePoint Online, vedere “Guida Introduttiva SharePoint Management Shell”

1	Connect-SPOService -Url https:// mymicrosoft365labs -admin.sharepoint.com

Vediamo una lista dei personal site (OneDrive personali degli utenti) della nostra Organizzazione

1	Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like '-my.sharepoint.com/personal/'" \| Select -ExpandProperty Url \| Out-File $LogFile -Force

Figura 10 – Lista Personal Site Organizzazione

Qui troviamo tutte le “URL” che ci serviranno per associare i segmenti a OneDrive per gli utenti interessati.

Associamo un segmento al personal site (OneDrive) dell’utente interessato:

1	Set-SPOSite -Identity https:// mymicrosoft365labs-My.sharepoint.com/Personal/Bruce_Wayne_technical365_it -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

Esempio rimozione del segmento da OneDrive:

1	Set-SPOSite -Identity https:// mymicrosoft365labs-My.sharepoint.com/Personal/Bruce_Wayne_technical365_it -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

Vediamo un paio di esempio di applicazioni delle Information Barriers:

Figura 11 – Esempio Document Center site SharePoint Online

Figura 12 – Bruce Banner tenta di acceder al Document Center del Segmento HR

Figura 13 – Esempio Accesso negato a causa della mancanza del segmento associato al department di Bruce Banner sul site del Document Center dell’HR

Figura 14 – Bruce Banner riesce ad accedera al site dopo aver aggiunto il suo segmento e dopo l’invito ricevuto dall’HR

Figura 15 – l’HR Mario Rossi tenta di condividere una presentazione con Peter Parker senza successo, il segmento di Peter non è ancora stato associato al Personal Site (Onedrive) di Mario

Figura 16 – Una volta aggiunto il segmento di Peter sul Personal Site (Onedrive) di Mario, quest’ultimo può condividere la presentazione con Peter

Figura 17 – Presentazione condivisa con Peter con successo

CONCLUSIONI

Con Information Barriers, è possibile definire criteri progettati per impedire a determinati segmenti di utenti di comunicare tra loro o consentire a segmenti specifici di comunicare solo con determinati altri segmenti. Le policies di Information Barriers possono aiutare l’Organizzazione a mantenere la conformità con gli standard e le normative di settore pertinenti ed evitare potenziali conflitti di interesse, su SharePoint Online e OneDrive questo strumento può essere molto utile per aiutare gli amministratori sulla gestione dei dati sensibili dei vari reparti dell’Organizzazione.

Stay Tuned on ICTPower!!