Kommunikációs és információs akadályokkal kapcsolatos problémák

  • Cikk

Az információs akadályok segíthetnek a szervezetnek a jogi követelményeknek és az iparági előírásoknak való megfelelésben. Az információkorlátokkal például korlátozhatja a felhasználók adott csoportjai közötti kommunikációt, hogy elkerülje az összeférhetetlenséget vagy más problémákat. (Az információkorlátok beállításáról további információt az Információkorlátokra vonatkozó szabályzatok definiálása című témakörben talál.)

Ha a felhasználók váratlan problémákba ütköznek az információs akadályok fennállása után, néhány lépéssel megoldhatja ezeket a problémákat. Használja ezt a cikket útmutatóként.

Fontos

A cikkben ismertetett feladatok elvégzéséhez megfelelő szerepkörrel kell rendelkeznie, például az alábbiak egyikével:

  • Microsoft 365 Nagyvállalati verzió globális rendszergazda
  • globális rendszergazda
  • Megfelelőségi rendszergazda
  • IB Compliance Management (ez egy új szerepkör!)

Az információkorlátok előfeltételeiről további információt az Előfeltételek (az információkorlátokra vonatkozó szabályzatok) című témakörben talál.

Mindenképpen csatlakozzon a Security & Compliance Center PowerShellhez.

Probléma: A felhasználók váratlanul nem kommunikálhatnak másokkal a Microsoft Teamsben

Ebben az esetben a felhasználók váratlan problémákat jelentenek a Microsoft Teamsben való kommunikáció során. Néhány példa:

  • Egy felhasználó egy másik felhasználót keres, de nem talál a Microsoft Teamsben.
  • A felhasználók megkereshetnek, de nem választhatnak ki egy másik felhasználót a Microsoft Teamsben.
  • A felhasználók láthatnak egy másik felhasználót, de nem küldhetnek üzeneteket a másik felhasználónak a Microsoft Teamsben.

Teendők

Határozza meg, hogy a felhasználókra hatással van-e egy információkorlát-szabályzat. A szabályzatok konfigurálásának módjától függően előfordulhat, hogy az információkorlátok a várt módon működnek. Vagy előfordulhat, hogy pontosítania kell a szervezet szabályzatát.

  1. Használja a Get-InformationBarrierRecipientStatus parancsmagot az Identity paraméterrel.

    Szintaxis Példa
    Get-InformationBarrierRecipientStatus -Identity

    Bármilyen identitásértéket használhat, amely egyedileg azonosítja az egyes címzetteket, például Név, Alias, Megkülönböztető név (DN), Canonical DN, Email cím vagy GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb

    Ebben a példában egy aliast (meganb) használunk az Identity paraméterhez. Ez a parancsmag olyan információkat ad vissza, amelyek jelzik, hogy a felhasználóra hatással van-e egy információkorlát-szabályzat. (Keresse meg az *ExoPolicyId azonosítót: <GUID>.)

    Ha a felhasználók nem szerepelnek az információkorlát-szabályzatokban, forduljon az ügyfélszolgálathoz. Ellenkező esetben folytassa a következő lépésekkel.

  2. Megtudhatja, hogy mely szegmensek szerepelnek az információkorlát-szabályzatokban. Ehhez használja a Get-InformationBarrierPolicy parancsmagot az Identity paraméterrel.

    Szintaxis Példa
    Get-InformationBarrierPolicy

    Használjon olyan részleteket, mint az előző lépés során kapott szabályzat GUID azonosítója (ExoPolicyId) identitásértékként.

    		 Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f

    Ebben a példában részletes információkat kapunk az ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f azonosítójú információkorlát-szabályzatról.

    A parancsmag futtatása után az eredmények között keresse meg az AssignedSegment, SegmentsAllowed és SegmentsBlocked értékeket .

    A parancsmag futtatása Get-InformationBarrierPolicy után például a következőt láttuk az eredmények listájában:

    AssignedSegment : Sales
SegmentsAllowed : {}
SegmentsBlocked : {Research}

    Ebben az esetben azt látjuk, hogy egy információkorlát-szabályzat hatással van az értékesítési és kutatási szegmensben lévő személyekre. Ebben az esetben a Salesben lévő személyek nem kommunikálnak a kutatásban részt vevő személyekkel.

    Ha ez helyesnek tűnik, akkor az információs akadályok a várt módon működnek. Ha nem, folytassa a következő lépéssel

  3. Győződjön meg arról, hogy a szegmensek megfelelően vannak definiálva. Ehhez használja a Get-OrganizationSegment parancsmagot, és tekintse át az eredmények listáját.

    Szintaxis Példa
    Get-OrganizationSegment

    Használja ezt a parancsmagot egy Identity paraméterrel.

    		 Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd

    Ebben a példában a c96e0837-c232-4a8a-841e-ef45787d8fcd GUID azonosítóval rendelkezik.

    Tekintse át a szegmens részleteit. Ha szükséges, szerkesszen egy szegmenst, majd használja újra a Start-InformationBarrierPoliciesApplication parancsmagot.

    Ha továbbra is problémákat tapasztal az információkorlát-szabályzattal kapcsolatban, forduljon az ügyfélszolgálathoz.

Probléma: Kommunikáció engedélyezett a Microsoft Teamsben letiltandó felhasználók között

Ebben az esetben, bár az információkorlátok definiálva, aktívak és alkalmazhatók, azok a személyek, akikkel meg kell akadályozni a kommunikációt, valahogy képesek csevegni és felhívni egymást a Microsoft Teamsben.

Teendők

Ellenőrizze, hogy a kérdéses felhasználók szerepelnek-e az információkorlát-szabályzatban.

  1. Használja a Get-InformationBarrierRecipientStatus parancsmagot identity paraméterekkel.

    Szintaxis* Példa
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Bármely olyan értéket használhat, amely egyedileg azonosítja az egyes felhasználókat, például név, alias, megkülönböztető név, canonical tartománynév, e-mail-cím vagy GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    Ebben a példában a Microsoft 365-ben két felhasználói fiókra hivatkozunk: meganb meganb meganra, alexw pedig Alexre.

    Tipp

    Ezt a parancsmagot egyetlen felhasználóhoz is használhatja: Get-InformationBarrierRecipientStatus -Identity <value>

  2. Tekintse át az eredményeket. A Get-InformationBarrierRecipientStatus parancsmag információkat ad vissza a felhasználókról, például az attribútumértékeket és az alkalmazott információkorlát-házirendeket.

    Tekintse át az eredményeket, majd végezze el a következő lépéseket az alábbi táblázatban leírtak szerint:

    Eredmények Mi a következő teendő?
    A kijelölt felhasználó(k)hoz nem tartoznak szegmensek Tegye a következők valamelyikét:
    – Felhasználók hozzárendelése egy meglévő szegmenshez a felhasználói profilok szerkesztésével Microsoft Entra ID. (Lásd: Felhasználói fiókok tulajdonságainak konfigurálása a Microsoft 365 PowerShell-lel.)
    – Definiáljon egy szegmenst egy támogatott attribútummal az információkorlátokhoz. Ezután definiáljon egy új szabályzatot , vagy szerkesszen egy meglévő szabályzatot , hogy belefoglalja az adott szegmenst.
    A szegmensek fel vannak sorolva, de ezekhez a szegmensekhez nincsenek információkorlát-szabályzatok rendelve Tegye a következők valamelyikét:
    - Új információkorlát-szabályzat definiálása az egyes érintett szegmensekhez
    - Meglévő információkorlát-szabályzat szerkesztése a megfelelő szegmenshez való hozzárendeléshez
    A szegmensek fel vannak sorolva, és mindegyik szerepel egy információkorlát-szabályzatban – Futtassa a Get-InformationBarrierPolicy parancsmagot annak ellenőrzéséhez, hogy az információkorlát-szabályzatok aktívak-e
    – Futtassa a Get-InformationBarrierPoliciesApplicationStatus parancsmagot a szabályzatok alkalmazásának megerősítéséhez
    – Futtassa a Start-InformationBarrierPoliciesApplication parancsmagot az összes aktív információkorlát-szabályzat alkalmazásához

Probléma: Egyetlen felhasználót kell eltávolítanom egy információkorlát-szabályzatból

Ebben az esetben az információkorlát-szabályzatok érvényben vannak, és egy vagy több felhasználó váratlanul nem kommunikálhat másokkal a Microsoft Teamsben. Az információkorlát-szabályzatok teljes eltávolítása helyett eltávolíthat egy vagy több egyéni felhasználót az információkorlát-szabályzatokból.

Teendők

Az információkorlát-szabályzatok a felhasználók szegmenseihez vannak rendelve. A szegmensek meghatározott attribútumok használatával vannak definiálva a felhasználói fiókprofilokban. Ha el kell távolítania egy szabályzatot egyetlen felhasználóból, érdemes lehet úgy szerkeszteni a felhasználói profilt Microsoft Entra, hogy a felhasználó már ne szerepeljön az információkorlátok által érintett szegmensben.

  1. Használja a Get-InformationBarrierRecipientStatus parancsmagot identity paraméterekkel. Ez a parancsmag adatokat ad vissza a felhasználókról, például az attribútumértékeket és az alkalmazott információkorlát-házirendeket.

    Szintaxis Példa
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Bármely olyan értéket használhat, amely egyedileg azonosítja az egyes felhasználókat, például név, alias, megkülönböztető név, canonical tartománynév, e-mail-cím vagy GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    Ebben a példában a Microsoft 365-ben két felhasználói fiókra hivatkozunk: meganb meganb meganra, alexw pedig Alexre.

    Get-InformationBarrierRecipientStatus -Identity <value>

    Bármilyen értéket használhat, amely egyedileg azonosítja a felhasználót, például név, alias, megkülönböztető név, canonical tartománynév, e-mail-cím vagy GUID.

    		 Get-InformationBarrierRecipientStatus -Identity jeanp

    Ebben a példában egyetlen Microsoft 365-fiókra hivatkozunk: jeanp.

  2. Tekintse át az eredményeket, és ellenőrizze, hogy az információkorlát-szabályzatok hozzá vannak-e rendelve, és hogy a felhasználó(k) mely szegmens(ek)hez tartoznak.

  3. Ha el szeretne távolítani egy felhasználót az információkorlátok által érintett szegmensből, frissítse a felhasználó profiladatait a Microsoft Entra ID.

  4. Várjon körülbelül 30 percet, amíg az FwdSync bekövetkezik. Vagy futtassa a parancsmagot az Start-InformationBarrierPoliciesApplication összes aktív információkorlát-szabályzat alkalmazásához.

Probléma: Az információs akadály alkalmazásának folyamata túl sokáig tart

A Start-InformationBarrierPoliciesApplication parancsmag futtatása után a folyamat hosszú ideig tart.

Teendők

Ne feledje, hogy a szabályzatalkalmazás parancsmagjának futtatásakor a rendszer felhasználónként alkalmazza (vagy eltávolítja) az információkorlát-szabályzatokat a szervezet összes fiókjára. Ha sok felhasználója van, a feldolgozás eltarthat egy ideig. (Általános útmutatóként körülbelül egy órát vesz igénybe 5000 felhasználói fiók feldolgozása.)

  1. A Get-InformationBarrierPoliciesApplicationStatus parancsmaggal ellenőrizze a legújabb szabályzatalkalmazás állapotát.

    A legújabb szabályzatalkalmazás megtekintése Az összes szabályzatalkalmazás állapotának megtekintése
    Get-InformationBarrierPoliciesApplicationStatus Get-InformationBarrierPoliciesApplicationStatus -All $true

    Ez információkat jelenít meg arról, hogy a szabályzatalkalmazás befejeződött, sikertelen vagy folyamatban van.

  2. Az előző lépés eredményeitől függően végezze el az alábbi lépések egyikét:

    Állapot További lépés
    Nincs elindítva Ha több mint 45 perc telt el a Start-InformationBarrierPoliciesApplication parancsmag futtatása óta, tekintse át az auditnaplót, és ellenőrizze, hogy vannak-e hibák a szabályzatdefiníciókban, vagy más okból kifolyólag az alkalmazás nem indult el.
    Nem sikerült Ha az alkalmazás sikertelen volt, tekintse át az auditnaplót. Tekintse át a szegmenseket és a szabályzatokat is. Vannak olyan felhasználók, amelyek egynél több szegmenshez vannak hozzárendelve? Vannak olyan szegmensek, amelyekhez egynél több szabályzat van hozzárendelve? Ha szükséges, szerkessze a szegmenseket és/vagy szerkessze a szabályzatokat, majd futtassa újra a Start-InformationBarrierPoliciesApplication parancsmagot.
    Folyamatban Ha az alkalmazás még folyamatban van, hagyjon több időt a befejezésére. Ha több nap telt el, gyűjtse össze az auditnaplókat, majd lépjen kapcsolatba az ügyfélszolgálattal.

Probléma: Az információkorlátokra vonatkozó szabályzatokat egyáltalán nem alkalmazzák

Ebben az esetben meghatározott szegmenseket, meghatározott információkorlát-szabályzatokat, és megpróbálta alkalmazni ezeket a szabályzatokat. A parancsmag futtatásakor azonban láthatja, hogy a Get-InformationBarrierPoliciesApplicationStatus szabályzatalkalmazás meghiúsult.

Teendők

Győződjön meg arról, hogy a szervezet nem rendelkezik Exchange-címjegyzék-házirendekkel . Az ilyen szabályzatok megakadályozzák az információkorlátokra vonatkozó szabályzatok alkalmazását.

  1. Csatlakozás az Exchange Online PowerShell-hez.

  2. Futtassa a Get-AddressBookPolicy parancsmagot, és tekintse át az eredményeket.

    Eredmények További lépés
    Az Exchange címjegyzék-szabályzatai fel vannak sorolva Címjegyzék-házirendek eltávolítása
    Nem léteznek címjegyzék-szabályzatok Tekintse át az auditnaplókat, hogy megtudja, miért hiúsul meg a szabályzatalkalmazás

  3. A felhasználói fiókok, szegmensek, szabályzatok vagy szabályzatalkalmazások állapotának megtekintése.

Probléma: Az információkorlátra vonatkozó szabályzat nincs alkalmazva az összes kijelölt felhasználóra

Miután definiált szegmenseket, definiált információkorlát-szabályzatokat, és megpróbálta alkalmazni ezeket a házirendeket, előfordulhat, hogy a szabályzat egyes címzettekre vonatkozik, másokra azonban nem. A parancsmag futtatásakor Get-InformationBarrierPoliciesApplicationStatus keressen a kimenetben az alábbihoz hasonló szöveget.

Identitás: <application guid>

Címzettek összesen: 81527

Sikertelen címzettek: 2

Hibakategória: Nincs

Állapot: Kész

Teendők

  1. Keresse meg a következőt az auditnaplóban: <application guid>. Másolhatja ezt a PowerShell-kódot, és módosíthatja a változókat.

    $DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss>  -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}

  2. Ellenőrizze a és "ErrorDetails" a mező értékeit az auditnapló részletes kimenetében"UserId". Ez megadja a hiba okát. Másolhatja ezt a PowerShell-kódot, és módosíthatja a változókat.

       $DetailedLogs[1] |fl

    Például:

    "UserId": User1

    "ErrorDetails":"Status: IBPolicyConflict. Hiba: A "szegmensazonosító1" IB-szegmens és a "szegmensazonosító2" IB-szegmens ütközik, és nem rendelhető hozzá a címzetthez.

  3. Általában azt fogja tapasztalni, hogy egy felhasználó több szegmensben is szerepel. Ezt az érték frissítésével -UserGroupFilter javíthatja a fájlban OrganizationSegments.

  4. Alkalmazza újra az információkorlát-szabályzatokat az alábbi eljárásokkal : Információkorlát-szabályzatok.

Források