Problémy s komunikačními a informačními bariérami

  • Článek

Informační bariéry můžou vaší organizaci pomoct i nadále dodržovat zákonné požadavky a oborové předpisy. Pomocí informačních bariér můžete například omezit komunikaci mezi konkrétními skupinami uživatelů, abyste se vyhnuli střetu zájmů nebo jiným problémům. (Další informace o tom, jak nastavit informační bariéry, najdete v tématu Definování zásad pro informační bariéry.)

Pokud lidé narazí na neočekávané problémy poté, co jsou zavedeny informační bariéry, můžete tyto problémy vyřešit několika kroky. Jako vodítko použijte tento článek.

Důležité

Abyste mohli provádět úlohy popsané v tomto článku, musíte mít přiřazenou odpovídající roli, například jednu z následujících rolí:

  • globální správce Microsoft 365 Enterprise
  • Globální správce
  • Správce dodržování předpisů
  • Ib Compliance Management (toto je nová role!)

Další informace o požadavcích na informační bariéry najdete v tématu Požadavky (pro zásady informačních bariér).

Nezapomeňte se připojit k PowerShellu Centra dodržování předpisů security &.

Problém: Uživatelům se neočekávaně zablokuje komunikace s ostatními uživateli v Microsoft Teams

V tomto případě lidé hlásí neočekávané problémy s komunikací s ostatními v Microsoft Teams. Mezi příklady patří:

  • Uživatel hledá jiného uživatele v Microsoft Teams, ale nemůže ho najít.
  • Uživatel může najít, ale nemůže vybrat jiného uživatele v Microsoft Teams.
  • Uživatel může zobrazit jiného uživatele, ale nemůže mu posílat zprávy v Microsoft Teams.

Co dělat

Určete, jestli jsou uživatelé ovlivněni zásadami informačních bariér. V závislosti na konfiguraci zásad můžou informační bariéry fungovat podle očekávání. Nebo možná budete muset upřesnit zásady vaší organizace.

  1. Použijte rutinu Get-InformationBarrierRecipientStatus s parametrem Identity.

    Syntaxe Příklad
    Get-InformationBarrierRecipientStatus -Identity

    Můžete použít libovolnou hodnotu identity, která jednoznačně identifikuje každého příjemce, jako je název, alias, rozlišující jméno (DN), kanonický název, Email adresa nebo IDENTIFIKÁTOR GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb

    V tomto příkladu používáme alias (meganb) pro parametr Identity. Tato rutina vrátí informace, které označují, jestli je uživatel ovlivněn zásadami informačních bariér. (Vyhledejte *ExoPolicyId: <GUID>.)

    Pokud uživatelé nejsou zahrnuti do zásad informačních bariér, obraťte se na podporu. V opačném případě přejděte k dalšímu kroku.

  2. Zjistěte, které segmenty jsou součástí zásad informačních bariér. K tomu použijte rutinu Get-InformationBarrierPolicy s parametrem Identity.

    Syntaxe Příklad
    Get-InformationBarrierPolicy

    Jako hodnotu identity použijte podrobnosti, jako je identifikátor GUID zásady (ExoPolicyId), který jste obdrželi v předchozím kroku.

    		 Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f

    V tomto příkladu získáváme podrobné informace o zásadách informačních bariér, které mají ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f.

    Po spuštění rutiny vyhledejte ve výsledcích hodnoty AssignedSegment, SegmentsAllowed a SegmentsBlocked .

    Například po spuštění rutiny Get-InformationBarrierPolicy jsme v seznamu výsledků viděli následující:

    AssignedSegment : Sales
SegmentsAllowed : {}
SegmentsBlocked : {Research}

    V tomto případě vidíme, že zásady informačních bariér mají vliv na lidi, kteří jsou v segmentech Prodej a Výzkum. V takovém případě se lidem v prodeji zabrání v komunikaci s lidmi ve službě Research.

    Pokud se to zdá být správné, informační bariéry fungují podle očekávání. Pokud ne, pokračujte dalším krokem.

  3. Ujistěte se, že jsou segmenty správně definované. Uděláte to tak, že použijete rutinu Get-OrganizationSegment a zkontrolujete seznam výsledků.

    Syntaxe Příklad
    Get-OrganizationSegment

    Použijte tuto rutinu s parametrem Identity.

    		 Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd

    V tomto příkladu získáváme informace o segmentu, který má identifikátor GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

    Zkontrolujte podrobnosti o segmentu. V případě potřeby upravte segment a pak rutinu Start-InformationBarrierPoliciesApplication znovu použijte.

    Pokud máte stále problémy se zásadami informačních bariér, obraťte se na podporu.

Problém: Komunikace mezi uživateli, kteří by měli být v Microsoft Teams blokovaní

I když jsou v tomto případě informační bariéry definované, aktivní a použité, lidé, kterým by se mělo zabránit ve vzájemné komunikaci, můžou v Microsoft Teams nějak chatovat a volat.

Co dělat

Ověřte, že jsou uživatelé zahrnuti do zásad informačních bariér.

  1. Použijte rutinu Get-InformationBarrierRecipientStatus s parametry identity.

    Syntaxe* Příklad
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Můžete použít libovolnou hodnotu, která jednoznačně identifikuje každého uživatele, například jméno, alias, rozlišující jméno, kanonický název domény, e-mailovou adresu nebo identifikátor GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    V tomto příkladu odkazujeme na dva uživatelské účty v Microsoftu 365: meganb pro Megan a alexw pro Alex.

    Tip

    Můžete také použít tuto rutinu pro jednoho uživatele: Get-InformationBarrierRecipientStatus -Identity <value>

  2. Zkontrolujte zjištění. Rutina Get-InformationBarrierRecipientStatus vrací informace o uživatelích, jako jsou hodnoty atributů a všechny použité zásady informačních bariér.

    Zkontrolujte výsledky a pak proveďte další kroky, jak je popsáno v následující tabulce:

    Výsledky Co dělat dál
    Pro vybrané uživatele nejsou uvedené žádné segmenty. Udělejte jedno z následujícího:
    – Přiřaďte uživatele k existujícímu segmentu úpravou jejich profilů uživatelů v Microsoft Entra ID. (Viz Konfigurace vlastností uživatelského účtu pomocí Microsoft 365 PowerShellu.)
    – Definujte segment pomocí podporovaného atributu pro informační bariéry. Pak buď definujte novou zásadu , nebo upravte existující zásadu tak, aby zahrnovaly tento segment.
    Segmenty jsou uvedené, ale k těmto segmentům se nepřiřazují žádné zásady informačních bariér. Udělejte jedno z následujícího:
    - Definování nových zásad informačních bariér pro každý příslušný segment
    - Úprava existujících zásad informačních bariér a jejich přiřazení ke správnému segmentu
    Segmenty jsou uvedené a každý z nich je zahrnutý v zásadách informačních bariér. – Spuštěním rutiny Get-InformationBarrierPolicy ověřte, že jsou zásady informačních bariér aktivní.
    – Spuštěním rutiny Get-InformationBarrierPoliciesApplicationStatus ověřte, že se zásady používají.
    – Spuštěním rutiny Start-InformationBarrierPoliciesApplication použijte všechny aktivní zásady informační bariéry.

Problém: Potřebuji odebrat jednoho uživatele ze zásad informačních bariér

V tomto případě platí zásady informačních bariér a jednomu nebo několika uživatelům se neočekávaně zablokuje komunikace s ostatními uživateli v Microsoft Teams. Místo toho, abyste úplně odebrali zásady informačních bariér, můžete ze zásad informačních bariér odebrat jednoho nebo více jednotlivých uživatelů.

Co dělat

Zásady informačních bariér se přiřazují segmentům uživatelů. Segmenty se definují pomocí určitých atributů v profilech uživatelských účtů. Pokud musíte odebrat zásadu jednomu uživateli, zvažte úpravu profilu tohoto uživatele v Microsoft Entra tak, aby uživatel již nebyl zahrnut do segmentu ovlivněného informačními bariérami.

  1. Použijte rutinu Get-InformationBarrierRecipientStatus s parametry identity. Tato rutina vrací informace o uživatelích, jako jsou hodnoty atributů a všechny použité zásady informačních bariér.

    Syntaxe Příklad
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Můžete použít libovolnou hodnotu, která jednoznačně identifikuje každého uživatele, například jméno, alias, rozlišující jméno, kanonický název domény, e-mailovou adresu nebo identifikátor GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    V tomto příkladu odkazujeme na dva uživatelské účty v Microsoftu 365: meganb pro Megan a alexw pro Alex.
    Get-InformationBarrierRecipientStatus -Identity <value>

    Můžete použít libovolnou hodnotu, která uživatele jednoznačně identifikuje, například jméno, alias, rozlišující jméno, kanonický název domény, e-mailová adresa nebo identifikátor GUID.

    		 Get-InformationBarrierRecipientStatus -Identity jeanp

    V tomto příkladu odkazujeme na jeden účet v Microsoftu 365: jeanp.

  2. Zkontrolujte výsledky a zjistěte, jestli jsou přiřazené zásady informačních bariér a do kterých segmentů uživatelé patří.

  3. Pokud chcete odebrat uživatele ze segmentu ovlivněného informačními bariérami, aktualizujte informace o profilu uživatele v Microsoft Entra ID.

  4. Počkejte asi 30 minut, než dojde k FwdSync. Nebo spusťte rutinu Start-InformationBarrierPoliciesApplication a použijte všechny aktivní zásady informační bariéry.

Problém: Proces aplikace informační bariéry trvá příliš dlouho

Po spuštění rutiny Start-InformationBarrierPoliciesApplication trvá dokončení procesu dlouho.

Co dělat

Mějte na paměti, že při spuštění rutiny aplikace zásad se zásady informačních bariér použijí (nebo odeberou) uživatele podle uživatele pro všechny účty ve vaší organizaci. Pokud máte mnoho uživatelů, bude zpracování chvíli trvat. (Obecně platí, že zpracování 5 000 uživatelských účtů trvá přibližně hodinu.)

  1. Pomocí rutiny Get-InformationBarrierPoliciesApplicationStatus ověřte stav nejnovější aplikace zásad.

    Zobrazení nejnovější aplikace zásad Zobrazení stavu všech aplikací zásad
    Get-InformationBarrierPoliciesApplicationStatus Get-InformationBarrierPoliciesApplicationStatus -All $true

    Zobrazí se informace o tom, jestli se aplikace zásad dokončila, selhala nebo probíhá.

  2. V závislosti na výsledcích předchozího kroku proveďte jeden z následujících kroků:

    Stav Další krok
    Nespustilo se Pokud od spuštění rutiny Start-InformationBarrierPoliciesApplication uplynulo více než 45 minut, zkontrolujte protokol auditu a zjistěte, jestli v definicích zásad nedošlo k chybám nebo z nějakého jiného důvodu, proč se aplikace nespustila.
    Selhalo Pokud aplikace selhala, zkontrolujte protokol auditu. Zkontrolujte také segmenty a zásady. Jsou uživatelé přiřazeni k více než jednomu segmentu? Jsou některé segmenty přiřazeny více než jednu zásadu? V případě potřeby upravte segmenty nebo zásady a pak znovu spusťte rutinu Start-InformationBarrierPoliciesApplication .
    Probíhá Pokud aplikace stále probíhá, počkejte více času na dokončení. Pokud uplynulo několik dní, shromážděte protokoly auditu a pak kontaktujte podporu.

Problém: Zásady informačních bariér se vůbec nepoužívají

V tomto případě jste definovali segmenty, definovali zásady informačních bariér a pokusili jste se tyto zásady použít. Když ale spustíte rutinu Get-InformationBarrierPoliciesApplicationStatus , uvidíte, že aplikace zásad selhala.

Co dělat

Ujistěte se, že vaše organizace nemá zavedeny zásady adresáře Exchange . Tyto zásady zabrání uplatnění zásad informačních bariér.

  1. Připojení k modulu Exchange Online PowerShell.

  2. Spusťte rutinu Get-AddressBookPolicy a zkontrolujte výsledky.

    Výsledky Další krok
    Jsou uvedené zásady adresáře Exchange Odebrání zásad adresáře
    Neexistují žádné zásady adresáře. Zkontrolujte protokoly auditu a zjistěte, proč aplikace zásad selhává.

  3. Zobrazení stavu uživatelských účtů, segmentů, zásad nebo aplikace zásad

Problém: Zásady informačních bariér se nevztahují na všechny určené uživatele

Jakmile definujete segmenty, definujete zásady informačních bariér a pokusíte se tyto zásady použít, můžete zjistit, že se zásady vztahují na některé příjemce, ale ne na jiné. Při spuštění rutiny Get-InformationBarrierPoliciesApplicationStatus vyhledejte ve výstupu text podobný tomuto.

Identity: <application guid>

Celkový počet příjemců: 81527

Neúspěšní příjemci: 2

Kategorie selhání: Žádná

Stav: Dokončeno

Co dělat

  1. V protokolu auditování vyhledejte .<application guid> Tento kód PowerShellu můžete zkopírovat a upravit pro své proměnné.

    $DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss>  -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}

  2. V podrobném výstupu z protokolu auditování zkontrolujte hodnoty "UserId" polí a "ErrorDetails" . Tím zjistíte důvod selhání. Tento kód PowerShellu můžete zkopírovat a upravit pro své proměnné.

       $DetailedLogs[1] |fl

    Příklady:

    "UserId": User1

    "ErrorDetails":"Status: IBPolicyConflict. Chyba: Segment IB id1 a SEGMENT IB id2 je v konfliktu a nelze ho přiřadit příjemci.

  3. Obvykle zjistíte, že uživatel byl zahrnut do více než jednoho segmentu. Tento problém můžete vyřešit aktualizací -UserGroupFilter hodnoty v OrganizationSegmentssouboru .

  4. Znovu použijte zásady informačních bariér pomocí těchto postupů Zásady informačních bariér.

Zdroje