Freigeben über

Probleme mit Kommunikations- und Informationsbarrieren

  • Artikel

Informationsbarrieren können Ihrer Organisation dabei helfen, die gesetzlichen Anforderungen und Branchenvorschriften einzuhalten. Mit Informationsbarrieren können Sie beispielsweise die Kommunikation zwischen bestimmten Benutzergruppen einschränken, um einen Interessenkonflikt oder andere Probleme zu vermeiden. (Weitere Informationen zum Einrichten von Informationsbarrieren finden Sie unter Definieren Sie Richtlinien für Informationsbarrieren.)

Wenn Personen unerwartete Probleme haben, nachdem Informationsbarrieren vorhanden sind, gibt es einige Schritte, die Sie ausführen können, um diese Probleme zu beheben. Verwenden Sie diesen Artikel als Leitfaden.

Wichtig

Um die in diesem Artikel beschriebenen Aufgaben auszuführen, müssen Sie eine geeignete Rolle wie eine der folgenden Aufgaben zugewiesen sein:

  • Complianceadministrator
  • IB Compliance Management (dies ist eine neue Rolle!)

Weitere Informationen zu Voraussetzungen für Informationsbarrieren finden Sie unter Voraussetzungen (für Richtlinien für Informationsbarrieren).

Stellen Sie sicher, dass Sie eine Verbindung mit Security & Compliance Center PowerShell herstellen.

Problem: Benutzer werden unerwartet daran gehindert, mit anderen personen in Microsoft Teams zu kommunizieren

In diesem Fall melden Personen unerwartete Probleme bei der Kommunikation mit anderen Personen in Microsoft Teams. Beispiele:

  • Ein Benutzer sucht nach einem anderen Benutzer in Microsoft Teams, der aber nicht gefunden werden kann.
  • Ein Benutzer kann einen anderen Benutzer in Microsoft Teams finden, aber nicht auswählen.
  • Ein Benutzer kann einen anderen Benutzer sehen, aber keine Nachrichten an diesen anderen Benutzer in Microsoft Teams senden.

Vorgehensweise

Ermitteln Sie, ob die Benutzer von einer Richtlinie für Informationsbarrieren betroffen sind. Je nachdem, wie Richtlinien konfiguriert sind, funktionieren Informationsbarrieren möglicherweise wie erwartet. Oder Sie müssen möglicherweise die Richtlinien Ihrer Organisation verfeinern.

  1. Verwenden Sie das Cmdlet "Get-InformationBarrierRecipientStatus " mit dem Parameter "Identity".

    Syntax Beispiel
    Get-InformationBarrierRecipientStatus -Identity

    Sie können einen beliebigen Identitätswert verwenden, der jeden Empfänger eindeutig identifiziert, z. B. Name, Alias, Distinguished Name (DN), kanonische DN, E-Mail-Adresse oder GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb

    In diesem Beispiel verwenden wir einen Alias (Meganb) für den Identity-Parameter. Dieses Cmdlet gibt Informationen zurück, die angeben, ob der Benutzer von einer Richtlinie für Informationsbarrieren betroffen ist. (Suchen Sie nach *ExoPolicyId: <GUID>.)

    Wenn die Benutzer nicht in Richtlinien für Informationsbarrieren enthalten sind, wenden Sie sich an den Support. Fahren Sie andernfalls mit dem nächsten Schritt fort.

  2. Erfahren Sie, welche Segmente in einer Richtlinie für Informationsbarrieren enthalten sind. Verwenden Sie dazu das Get-InformationBarrierPolicy Cmdlet mit dem Parameter "Identity".

    Syntax Beispiel
    Get-InformationBarrierPolicy

    Verwenden Sie Details, z. B. die Richtlinien-GUID (ExoPolicyId), die Sie im vorherigen Schritt erhalten haben, als Identitätswert.

    		 Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f

    In diesem Beispiel erhalten wir detaillierte Informationen zur Richtlinie für Informationsbarrieren mit ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f.

    Nachdem Sie das Cmdlet ausgeführt haben, suchen Sie in den Ergebnissen nach den Werten AssignedSegment, SegmentsAllowed und SegmentsBlocked .

    Nach dem Ausführen des Get-InformationBarrierPolicy Cmdlets haben wir beispielsweise folgendes in unserer Liste der Ergebnisse gesehen:

    AssignedSegment : Sales
SegmentsAllowed : {}
SegmentsBlocked : {Research}

    In diesem Fall können wir sehen, dass eine Richtlinie für Informationsbarrieren Personen betrifft, die sich in den Segmenten Vertrieb und Forschung befinden. In diesem Fall werden Personen im Vertrieb daran gehindert, mit Personen in der Forschung zu kommunizieren.

    Wenn dies richtig erscheint, funktionieren Informationsbarrieren wie erwartet. Wenn nicht, fahren Sie mit dem nächsten Schritt fort.

  3. Stellen Sie sicher, dass Ihre Segmente richtig definiert sind. Verwenden Sie dazu das Get-OrganizationSegment Cmdlet, und überprüfen Sie die Liste der Ergebnisse.

    Syntax Beispiel
    Get-OrganizationSegment

    Verwenden Sie dieses Cmdlet mit einem Identity-Parameter.

    		 Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd

    In diesem Beispiel erhalten wir Informationen zum Segment mit GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

    Überprüfen Sie die Details für das Segment. Bearbeiten Sie bei Bedarf ein Segment, und verwenden Sie dann das Start-InformationBarrierPoliciesApplication Cmdlet.

    Wenn weiterhin Probleme mit Ihrer Richtlinie für Informationsbarrieren auftreten, wenden Sie sich an den Support.

Problem: Kommunikationen sind zwischen Benutzern zulässig, die in Microsoft Teams blockiert werden sollen

In diesem Fall, obwohl Informationsbarrieren definiert, aktiv und angewendet werden, können Personen, die daran gehindert werden, miteinander zu kommunizieren, irgendwie in der Lage sein, miteinander zu chatten und sich in Microsoft Teams anzurufen.

Vorgehensweise

Stellen Sie sicher, dass die betreffenden Benutzer in eine Richtlinie für Informationsbarrieren eingeschlossen sind.

  1. Verwenden Sie das Cmdlet Get-InformationBarrierRecipientStatus mit Identitätsparametern.

    Syntax* Beispiel
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Sie können jeden Beliebigen Wert verwenden, der jeden Benutzer eindeutig identifiziert, z. B. Name, Alias, Distinguished Name, kanonischer Domänenname, E-Mail-Adresse oder GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    In diesem Beispiel beziehen wir uns auf zwei Benutzerkonten in Microsoft 365: meganb für Megan und alexw für Alex.

    Tipp

    Sie können dieses Cmdlet auch für einen einzelnen Benutzer verwenden: Get-InformationBarrierRecipientStatus -Identity <value>

  2. Überprüfen Sie die Ergebnisse. Das Cmdlet Get-InformationBarrierRecipientStatus gibt Informationen zu Benutzern zurück, z. B. Attributwerte und alle angewendeten Richtlinien für Informationsbarrieren.

    Überprüfen Sie die Ergebnisse, und führen Sie dann Die nächsten Schritte aus, wie in der folgenden Tabelle beschrieben:

    Ergebnisse Nächste Schritte
    Es werden keine Segmente für die ausgewählten Benutzer aufgelistet. Führen Sie eines der folgenden Verfahren aus:
    – Weisen Sie Benutzern ein vorhandenes Segment zu, indem Sie ihre Benutzerprofile in der Microsoft Entra-ID bearbeiten. (Siehe Konfigurieren von Benutzerkontoeigenschaften mit Microsoft 365 PowerShell.)
    – Definieren sie ein Segment mithilfe eines unterstützten Attributs für Informationsbarrieren. Definieren Sie dann entweder eine neue Richtlinie , oder bearbeiten Sie eine vorhandene Richtlinie , um dieses Segment einzuschließen.
    Segmente werden aufgelistet, aber diesen Segmenten werden keine Richtlinien für Informationsbarrieren zugewiesen. Führen Sie eines der folgenden Verfahren aus:
    - Definieren einer neuen Richtlinie für Informationsbarrieren für jedes betreffende Segment
    - Bearbeiten einer vorhandenen Richtlinie für Informationsbarrieren, um sie dem richtigen Segment zuzuweisen
    Segmente werden aufgelistet, und jede ist in einer Richtlinie für Informationsbarrieren enthalten – Führen Sie das Get-InformationBarrierPolicy Cmdlet aus, um zu überprüfen, ob Richtlinien für Informationsbarrieren aktiv sind.
    - Führen Sie das Get-InformationBarrierPoliciesApplicationStatus Cmdlet aus, um zu bestätigen, dass die Richtlinien angewendet werden.
    - Führen Sie das Start-InformationBarrierPoliciesApplication Cmdlet aus, um alle aktiven Richtlinien für Informationsbarrieren anzuwenden.

Problem: Ich muss einen einzelnen Benutzer aus einer Richtlinie für Informationsbarrieren entfernen.

In diesem Fall sind Richtlinien für Informationsbarrieren wirksam, und ein oder mehrere Benutzer werden unerwartet daran gehindert, mit anderen personen in Microsoft Teams zu kommunizieren. Anstatt Richtlinien für Informationsbarrieren vollständig zu entfernen, können Sie einen oder mehrere einzelne Benutzer aus Richtlinien für Informationsbarrieren entfernen.

Vorgehensweise

Richtlinien für Informationsbarrieren werden Segmenten von Benutzern zugewiesen. Segmente werden mithilfe bestimmter Attribute in Benutzerkontoprofilen definiert. Wenn Sie eine Richtlinie von einem einzelnen Benutzer entfernen müssen, sollten Sie das Profil dieses Benutzers in Microsoft Entra so bearbeiten, dass der Benutzer nicht mehr in einem Segment enthalten ist, das von Informationsbarrieren betroffen ist.

  1. Verwenden Sie das Cmdlet Get-InformationBarrierRecipientStatus mit Identitätsparametern. Dieses Cmdlet gibt Informationen zu Benutzern zurück, z. B. Attributwerte und alle angewendeten Richtlinien für Informationsbarrieren.

    Syntax Beispiel
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Sie können jeden Beliebigen Wert verwenden, der jeden Benutzer eindeutig identifiziert, z. B. Name, Alias, Distinguished Name, kanonischer Domänenname, E-Mail-Adresse oder GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    In diesem Beispiel beziehen wir uns auf zwei Benutzerkonten in Microsoft 365: meganb für Megan und alexw für Alex.

    Get-InformationBarrierRecipientStatus -Identity <value>

    Sie können jeden Beliebigen Wert verwenden, der den Benutzer eindeutig identifiziert, z. B. Name, Alias, Distinguished Name, kanonischer Domänenname, E-Mail-Adresse oder GUID.

    		 Get-InformationBarrierRecipientStatus -Identity jeanp

    In diesem Beispiel verweisen wir auf ein einzelnes Konto in Microsoft 365: jeanp.

  2. Überprüfen Sie die Ergebnisse, um festzustellen, ob Richtlinien für Informationsbarrieren zugewiesen sind und zu welchen Segmenten die Benutzer gehören.

  3. Um einen Benutzer aus einem Segment zu entfernen, das von Informationsbarrieren betroffen ist, aktualisieren Sie die Profilinformationen des Benutzers in der Microsoft Entra-ID.

  4. Warten Sie ca. 30 Minuten, bis FwdSync ausgeführt wird. Oder führen Sie das Start-InformationBarrierPoliciesApplication Cmdlet aus, um alle aktiven Richtlinien für Informationsbarrieren anzuwenden.

Problem: Der Anwendungsprozess für Informationsbarrieren dauert zu lange.

Nach dem Ausführen des Cmdlets "Start-InformationBarrierPoliciesApplication " dauert der Vorgang lange.

Vorgehensweise

Denken Sie daran, dass beim Ausführen des Richtlinienanwendungs-Cmdlets Richtlinien für Informationsbarrieren für alle Konten in Ihrer Organisation angewendet (oder entfernt) werden. Wenn Sie viele Benutzer haben, dauert die Verarbeitung eine Weile. (Als allgemeine Richtlinie dauert es etwa eine Stunde, um 5.000 Benutzerkonten zu verarbeiten.)

  1. Verwenden Sie das Cmdlet Get-InformationBarrierPoliciesApplicationStatus , um den Status der neuesten Richtlinienanwendung zu überprüfen.

    So zeigen Sie die neueste Richtlinienanwendung an So zeigen Sie den Status für alle Richtlinienanwendungen an
    Get-InformationBarrierPoliciesApplicationStatus Get-InformationBarrierPoliciesApplicationStatus -All $true

    Dadurch werden Informationen darüber angezeigt, ob die Richtlinienanwendung abgeschlossen, fehlgeschlagen oder ausgeführt wird.

  2. Führen Sie je nach den Ergebnissen des vorherigen Schritts eine der folgenden Schritte aus:

    Status Nächster Schritt
    Nicht gestartet Wenn das Cmdlet "Start-InformationBarrierPoliciesApplication" mehr als 45 Minuten ausgeführt wurde, überprüfen Sie das Überwachungsprotokoll, um festzustellen, ob Fehler in Richtliniendefinitionen vorliegen, oder einen anderen Grund, warum die Anwendung nicht gestartet wurde.
    Fehler Wenn die Anwendung fehlgeschlagen ist, überprüfen Sie Das Überwachungsprotokoll. Überprüfen Sie auch Ihre Segmente und Richtlinien. Sind Benutzer mehreren Segmenten zugewiesen? Sind Segmente mehreren Richtlinien zugewiesen? Bearbeiten Sie bei Bedarf Segmente und/oder Bearbeiten von Richtlinien, und führen Sie dann das Cmdlet Start-InformationBarrierPoliciesApplication erneut aus.
    In Bearbeitung Wenn die Anwendung noch ausgeführt wird, lassen Sie mehr Zeit für den Abschluss der Anwendung zu. Wenn dies mehrere Tage war, sammeln Sie Ihre Überwachungsprotokolle, und wenden Sie sich dann an den Support.

Problem: Richtlinien für Informationsbarrieren werden überhaupt nicht angewendet

In diesem Fall haben Sie Segmente definiert, Richtlinien für Informationsbarrieren definiert und versucht, diese Richtlinien anzuwenden. Wenn Sie das Get-InformationBarrierPoliciesApplicationStatus Cmdlet ausführen, können Sie jedoch sehen, dass die Richtlinienanwendung fehlgeschlagen ist.

Vorgehensweise

Stellen Sie sicher, dass In Ihrer Organisation keine Exchange-Adressbuchrichtlinien vorhanden sind. Solche Richtlinien verhindern, dass Richtlinien für Informationsbarrieren angewendet werden.

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.

  2. Führen Sie das Cmdlet Get-AddressBookPolicy aus, und überprüfen Sie die Ergebnisse.

    Ergebnisse Nächster Schritt
    Exchange-Adressbuchrichtlinien sind aufgeführt. Entfernen von Adressbuchrichtlinien
    Es sind keine Adressbuchrichtlinien vorhanden. Überprüfen Sie Ihre Überwachungsprotokolle, um herauszufinden, warum die Richtlinienanwendung fehlschlägt.

  3. Anzeigen des Status von Benutzerkonten, Segmenten, Richtlinien oder Richtlinienanwendungen.

Problem: Richtlinie für Informationsbarrieren nicht auf alle vorgesehenen Benutzer angewendet

Nachdem Sie Segmente, definierte Richtlinien für Informationsbarrieren definiert und versucht haben, diese Richtlinien anzuwenden, stellen Sie möglicherweise fest, dass die Richtlinie für einige Empfänger gilt, aber nicht für andere. Wenn Sie das Get-InformationBarrierPoliciesApplicationStatus Cmdlet ausführen, durchsuchen Sie die Ausgabe nach Text wie diesem.

Identität: <application guid>

Gesamtempfänger: 81527

Fehlgeschlagene Empfänger: 2

Fehlerkategorie: Keine

Status: Abgeschlossen

Vorgehensweise

  1. Suchen Sie im Überwachungsprotokoll nach <application guid>. Sie können diesen PowerShell-Code kopieren und für Ihre Variablen ändern.

    $DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss>  -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}

  2. Überprüfen Sie die detaillierte Ausgabe aus dem Überwachungsprotokoll auf die Werte und "UserId" "ErrorDetails" Felder. Dies gibt Ihnen den Grund für den Fehler. Sie können diesen PowerShell-Code kopieren und für Ihre Variablen ändern.

       $DetailedLogs[1] |fl

    Beispiel:

    "UserId": User1

    "ErrorDetails":"Status: IBPolicyConflict. Fehler: Das IB-Segment "Segment id1" und das IB-Segment "Segment id2" weist Einen Konflikt auf und kann dem Empfänger nicht zugewiesen werden.

  3. In der Regel werden Sie feststellen, dass ein Benutzer in mehr als einem Segment enthalten ist. Sie können dies beheben, indem Sie den -UserGroupFilter Wert in OrganizationSegments.

  4. Erneutes Anwenden von Richtlinien für Informationsbarrieren mithilfe dieser Verfahren richtlinien für Informationsbarrieren.

Ressourcen