בעיות בתקשורת ובחסומי מידע

מחסומי מידע יכולים לעזור לארגון שלך להישאר תואם לדרישות המשפטיות ולתקנות המקובלות בתעשייה. לדוגמה, עם מחסומי מידע, באפשרותך להגביל את התקשורת בין קבוצות ספציפיות של משתמשים כדי להימנע מהתנגשות עניין או נושאים אחרים. (לקבלת מידע נוסף על הגדרת מחסומי מידע, ראה הגדרת מדיניות עבור מחסומי מידע.)

כאשר אנשים נתקלים בבעיות בלתי צפויות לאחר הצבת מחסומי מידע, יש כמה שלבים שבאפשרותך לבצע כדי לפתור בעיות אלה. השתמש במאמר זה כמדריך.

חשוב

כדי לבצע את המשימות המתוארות במאמר זה, עליך להיות מוקצה לתפקיד מתאים, כגון אחת מהפעולות הבאות:

• Microsoft 365 Enterprise כללי כללי
• מנהל מערכת כללי
• מנהל תאימות
• ניהול תאימות IB (זהו תפקיד חדש!)

לקבלת מידע נוסף על דרישות מוקדמות עבור מחסומי מידע, ראה דרישות מוקדמות (למדיניות מחסומי מידע).

הקפד להתחבר ל- PowerShell של מרכז & האבטחה.

בעיה: יצירת קשר עם משתמשים ב- Microsoft Teams נחסמה באופן בלתי צפוי

במקרה זה, אנשים מדווחים על בעיות בלתי צפויות בתקשורת עם אנשים אחרים ב- Microsoft Teams. להלן כמה דוגמאות:

• משתמש מחפש משתמש אחר ב- Microsoft Teams, אך אינו מצליח למצוא אותו.
• משתמש יכול למצוא משתמש אחר ב- Microsoft Teams, אך אינו יכול לבחור אותו.
• משתמש יכול לראות משתמש אחר, אך אינו יכול לשלוח הודעות למשתמש אחר זה ב- Microsoft Teams.

מה ניתן לעשות

קבע אם המשתמשים מושפעים ממדיניות מחסום מידע. בהתאם לאופן קביעת התצורה של פריטי מדיניות, ייתכן שמחסומי מידע פועלים כצפוי. לחלופין, ייתכן שתצטרך למקד את מדיניות הארגון שלך.

1. השתמש ב - cmdlet Get-InformationBarrierRecipientStatus עם הפרמטר Identity.

   תחביר	דוגמה
   Get-InformationBarrierRecipientStatus -Identity באפשרותך להשתמש בכל ערך זהות שמזהה באופן ייחודי כל נמען, כגון שם, כינוי, שם ייחודי (DN), DN קנוני, כתובת דואר אלקטרוני או GUID.	Get-InformationBarrierRecipientStatus -Identity meganb בדוגמה זו, אנו משתמשים בכינוי (meganb) עבור הפרמטר Identity. cmdlet זה יחזיר מידע המציין אם המשתמש מושפע ממדיניות מחסום מידע. (חפש *ExoPolicyId: <GUID>.)

   אם המשתמשים אינם נכללים במדיניות מחסום מידע, פנה למחלקת התמיכה. אחרת, המשך לשלב הבא.

2. גלה אילו מקטעים כלולים במדיניות מחסום מידע. לשם כך, השתמש ב- Get-InformationBarrierPolicy cmdlet עם הפרמטר Identity.

   תחביר	דוגמה
   Get-InformationBarrierPolicy השתמש בפרטים, כגון ה- GUID של המדיניות (ExoPolicyId) שקיבלת בשלב הקודם, כערך זהות.	Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f בדוגמה זו, אנו מקבלים מידע מפורט אודות מדיניות מחסום המידע הכוללת את ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f.

   לאחר הפעלת ה- cmdlet, בתוצאות, חפש את הערכים AssignedSegment, SegmentsAllowed ו - SegmentsBlocked .

   לדוגמה, לאחר הפעלת ה Get-InformationBarrierPolicy - cmdlet, ראינו את הפרטים הבאים ברשימת התוצאות שלנו:

   AssignedSegment : Sales
   SegmentsAllowed : {}
   SegmentsBlocked : {Research}
   

   במקרה זה, ניתן לראות שמדיניות מחסום מידע משפיעה על אנשים במקטעים 'מכירות' ו'מחקר'. במקרה זה, אנשים במכירות מונעים קיום תקשורת עם אנשים ב'מחקר'.

   אם זה נראה נכון, מחסומי מידע פועלים כצפוי. אם לא, המשך לשלב הבא.

3. ודא שהמקטעים מוגדרים כראוי. לשם כך, השתמש ב- Get-OrganizationSegment cmdlet ועיין ברשימת התוצאות.

   תחביר	דוגמה
   Get-OrganizationSegment השתמש ב- cmdlet זה עם פרמטר Identity.	Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd בדוגמה זו, אנו מקבלים מידע אודות המקטע בעל GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

   סקור את הפרטים עבור המקטע. במידת הצורך, ערוך מקטע ולאחר מכן השתמש שוב ב- Start-InformationBarrierPoliciesApplication cmdlet.

   אם אתה עדיין נתקל בבעיות במדיניות מחסום המידע שלך, פנה למחלקת התמיכה.

בעיה: תקשורת מותרת בין משתמשים שיש לחסום ב- Microsoft Teams

במקרה זה, למרות שמחסומי מידע מוגדרים, פעילים ומוחלים, אנשים שיש למנוע מהם לקיים תקשורת זה עם זה יכולים איכשהו לשוחח בצ'אט ולחייג זה עם זה ב- Microsoft Teams.

מה ניתן לעשות

ודא שהמשתמשים המדוברים נכללים במדיניות מחסום מידע.

1. השתמש ב - cmdlet Get-InformationBarrierRecipientStatus עם פרמטרים של זהות.

   תחביר*	דוגמה
   Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value> באפשרותך להשתמש בכל ערך שמזהה באופן ייחודי כל משתמש, כגון שם, כינוי, שם ייחודי, שם תחום קנוני, כתובת דואר אלקטרוני או GUID.	Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw בדוגמה זו, אנו מתייחסים לשני חשבונות משתמשים ב- Microsoft 365: meganb for Megan ו - alexw עבור Alex.

   עצה

   באפשרותך גם להשתמש ב- cmdlet זה עבור משתמש יחיד: Get-InformationBarrierRecipientStatus -Identity <value>

2. סקור את הממצאים. ה - cmdlet Get-InformationBarrierRecipientStatus מחזיר מידע אודות משתמשים, כגון ערכי תכונה ופריטי מדיניות של מחסום מידע המוחלים.

   סקור את התוצאות ולאחר מכן בצע את השלבים הבאים, כמתואר בטבלה הבאה:

   תוצאות	מה לעשות בשלב הבא
   לא מפורטים מקטעים עבור המשתמשים שנבחרו	בצע אחת מהפעולות הבאות: - להקצות משתמשים למקטע קיים על-ידי עריכת פרופילי המשתמשים שלהם Microsoft Entra מזהה. (ראה קביעת תצורה של מאפייני חשבון משתמש באמצעות Microsoft 365 PowerShell.) - להגדיר מקטע באמצעות תכונה נתמכת עבור מחסומי מידע. לאחר מכן, הגדר מדיניות חדשה אוערוך מדיניות קיימת כדי לכלול מקטע זה.
   מקטעים רשומים אך לא מוקצית מדיניות מחסום מידע למקטעים אלה	בצע אחת מהפעולות הבאות: - הגדרת מדיניות חדשה של מחסום מידע עבור כל מקטע המדובר - ערוך מדיניות קיימת של מחסום מידע כדי להקצות אותה למקטע הנכון
   המקטעים מפורטים וכל אחד מהם כלול במדיניות מחסום מידע	- הפעל את ה Get-InformationBarrierPolicy - cmdlet כדי לוודא שמדיניות מחסום המידע פעילה - הפעל את ה Get-InformationBarrierPoliciesApplicationStatus - cmdlet כדי לוודא שהמדיניות מוחלת - להפעיל את cmdlet Start-InformationBarrierPoliciesApplication כדי להחיל את כל פריטי המדיניות הפעילים של מחסום מידע

בעיה: אני צריך להסיר משתמש יחיד ממדיניות מחסום מידע

במקרה זה, מדיניות מחסום מידע תוקף, ומשתמש אחד או יותר חסומים באופן בלתי צפוי לקיים תקשורת עם אנשים אחרים ב- Microsoft Teams. במקום להסיר לחלוטין מדיניות של מחסום מידע, באפשרותך להסיר משתמש בודד אחד או יותר ממדיניות מחסום המידע.

מה ניתן לעשות

מדיניות מחסום מידע מוקצית למקטעי משתמשים. מקטעים מוגדרים באמצעות תכונות מסוימות בפרופילי חשבון משתמש. אם עליך להסיר מדיניות ממשתמש יחיד, שקול לערוך את הפרופיל של משתמש זה ב- Microsoft Entra כך שהמשתמש לא ייכלל עוד במקטע המושפע ממחסומי מידע.

1. השתמש ב - cmdlet Get-InformationBarrierRecipientStatus עם פרמטרים של זהות. cmdlet זה מחזיר מידע אודות משתמשים, כגון ערכי תכונה וכל מדיניות מחסום מידע המוחלת.

   תחביר	דוגמה
   Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value> באפשרותך להשתמש בכל ערך שמזהה באופן ייחודי כל משתמש, כגון שם, כינוי, שם ייחודי, שם תחום קנוני, כתובת דואר אלקטרוני או GUID.	Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw בדוגמה זו, אנו מתייחסים לשני חשבונות משתמשים ב- Microsoft 365: meganb for Megan ו - alexw עבור Alex.
   Get-InformationBarrierRecipientStatus -Identity <value> באפשרותך להשתמש בכל ערך שמזהה באופן ייחודי את המשתמש, כגון שם, כינוי, שם ייחודי, שם תחום קנוני, כתובת דואר אלקטרוני או GUID.	Get-InformationBarrierRecipientStatus -Identity jeanp בדוגמה זו, אנו מתייחסים לחשבון יחיד ב- Microsoft 365: jeanp.

2. סקור את התוצאות כדי לראות אם הוקצתה מדיניות מחסום מידע, ולאו מקטעים שייכים המשתמשים.

3. כדי להסיר משתמש ממקטע המושפע ממחסומי מידע, עדכן את פרטי הפרופיל של המשתמש במקטע Microsoft Entra מזהה.

4. המתן כ- 30 דקות עד להתרחשות FwdSync. לחלופין, הפעל את ה Start-InformationBarrierPoliciesApplication - cmdlet כדי להחיל את כל פריטי המדיניות הפעילים של מחסום מידע.

בעיה: תהליך היישום של מחסום המידע נמשך זמן רב מדי

לאחר הפעלת ה- cmdlet Start-InformationBarrierPoliciesApplication , התהליך נמשך זמן רב.

מה ניתן לעשות

זכור כי בעת הפעלת ה- cmdlet של יישום המדיניות, מדיניות מחסום מידע מוחלת (או מוסרת), משתמש על-ידי משתמש, עבור כל החשבונות בארגון שלך. אם יש לך משתמשים רבים, עיבודו יחלוף זמן מה. (כקווים מנחים כלליים, עיבוד 5,000 חשבונות משתמשים נמשך כשעה.)

1. השתמש ב - cmdlet Get-InformationBarrierPoliciesApplicationStatus כדי לאמת את המצב של יישום המדיניות העדכני ביותר.

   כדי להציג את יישום המדיניות העדכני ביותר	כדי להציג מצב עבור כל יישומי המדיניות
   Get-InformationBarrierPoliciesApplicationStatus	Get-InformationBarrierPoliciesApplicationStatus -All $true

   פעולה זו תציג מידע המציין אם יישום המדיניות הושלם, נכשל או מתבצע.

2. בהתאם לתוצאות השלב הקודם, בצע אחד מהפעולות הבאות:

   מצב	השלב הבא
   לא התחיל	אם חלף יותר מ- 45 דקות מאז הפעלת ה- cmdlet Start-InformationBarrierPoliciesApplication , עיין ביומן הביקורת כדי לראות אם קיימות שגיאות בהגדרות מדיניות, או מסיבה אחרת מדוע היישום לא הופעל.
   נכשל	אם היישום נכשל, סקור את יומן הביקורת שלך. עיין גם במקטעים ובמדיניות שלך. האם משתמשים כלשהם מוקצים ליותר ממקטע אחד? האם מקטעים כלשהם מוקצים ליותר ממדיניות אחת? במידת הצורך, ערוך מקטעים ו /או ערוך פריטי מדיניות ולאחר מכן הפעל שוב את ה- cmdlet Start-InformationBarrierPoliciesApplication .
   מתבצע	אם היישום עדיין מתבצע, אפשר לו זמן רב יותר להשלמתו. אם חלפו כמה ימים, אסוף את יומני הביקורת ולאחר מכן פנה למחלקת התמיכה.

בעיה: מדיניות מחסום מידע אינה מוחלת כלל

במקרה זה, הגדרת מקטעים, הגדרת מדיניות מחסום מידע, ואתה ניסית להחיל פריטי מדיניות אלה. עם זאת, בעת הפעלת ה- Get-InformationBarrierPoliciesApplicationStatus cmdlet, באפשרותך לראות כי יישום המדיניות נכשל.

מה ניתן לעשות

ודא שלא קיימת מדיניות פנקס כתובות של Exchange בארגון שלך. מדיניות זו תמנע החלה של מדיניות מחסום מידע.

1. התחברות אל Exchange Online PowerShell.

2. הפעל את ה- cmdlet Get-AddressBookPolicy ועיין בתוצאות.

   תוצאות	השלב הבא
   פריטי מדיניות של פנקס הכתובות של Exchange מפורטים	הסרת פריטי מדיניות של פנקס כתובות
   לא קיימים פריטי מדיניות של פנקס כתובות	סקור את יומני הביקורת שלך כדי לגלות מדוע יישום המדיניות נכשל

3. הצג את המצב של חשבונות משתמשים, מקטעים, פריטי מדיניות או יישום מדיניות.

בעיה: מדיניות מחסום מידע אינה חלה על כל המשתמשים המיועדים

לאחר הגדרת מקטעים, הגדרת מדיניות של מחסום מידע וניסיון להחיל פריטי מדיניות אלה, ייתכן שתצטרך לגלות שהמדיניות חלה על נמענים מסוימים, אך לא על אחרים. בעת הפעלת ה- Get-InformationBarrierPoliciesApplicationStatus cmdlet, חפש בפלט טקסט כגון זה.

זהות: <application guid>

סה"כ נמענים: 81527

נמענים שנכשלו: 2

קטגוריית כשל: ללא

מצב: הושלם

מה ניתן לעשות

1. חפש ביומן הביקורת אחר <application guid>. באפשרותך להעתיק קוד PowerShell זה ולשנות אותו עבור המשתנים שלך.

   $DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss>  -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)} 
   

2. בדוק את הפלט המפורט מ יומן הביקורת לקבלת הערכים של השדות "UserId" והשדות "ErrorDetails" . פעולה זו תספק לך את הסיבה לכשל. באפשרותך להעתיק קוד PowerShell זה ולשנות אותו עבור המשתנים שלך.

      $DetailedLogs[1] |fl
   

   לדוגמה:

   "UserId": User1

   "ErrorDetails":"מצב: IBPolicyConflict. שגיאה: המקטע IB "segment id1" וקטע IB "segment id2" מתנגשים ואין אפשרות להקצות אותם לנמען.

3. בדרך כלל, תמצא שמשתמש נכלל ביותר ממקטע אחד. באפשרותך לתקן זאת על-ידי עדכון הערך -UserGroupFilter ב- OrganizationSegments.

4. החל מחדש את מדיניות מחסום המידע באמצעות מדיניות מחסומי מידע של הליכים אלה.

משאבים

• הגדרת מדיניות עבור מחסומי מידע ב- Microsoft Teams
• מחסומי מידע