Condividi tramite

Problemi relativi alle comunicazioni e alle barriere informative

  • Articolo

Le barriere informative possono aiutare l'organizzazione a rimanere conformi ai requisiti legali e alle normative del settore. Ad esempio, con barriere informative, è possibile limitare la comunicazione tra gruppi specifici di utenti per evitare un conflitto di interessi o altri problemi. Per altre informazioni su come configurare le barriere informative, vedere Definire i criteri per le barriere informative.

Quando si verificano problemi imprevisti dopo che sono state applicate barriere informative, è possibile eseguire alcuni passaggi per risolvere tali problemi. Usare questo articolo come guida.

Importante

Per eseguire le attività descritte in questo articolo, è necessario assegnare un ruolo appropriato, ad esempio uno dei seguenti:

  • Amministratore di conformità
  • Gestione conformità IB (questo è un nuovo ruolo!)

Per altre informazioni sui prerequisiti per le barriere informative, vedere Prerequisiti (per i criteri delle barriere informative).

Assicurarsi di connettersi a PowerShell del Centro sicurezza e conformità.

Problema: gli utenti non possono comunicare in modo imprevisto con altri utenti in Microsoft Teams

In questo caso, le persone segnalano problemi imprevisti che comunicano con altri utenti in Microsoft Teams. Alcuni esempi sono:

  • Un utente cerca, ma non riesce a trovare un altro utente in Microsoft Teams.
  • Un utente può trovare, ma non può selezionare un altro utente in Microsoft Teams.
  • Un utente può visualizzare un altro utente, ma non può inviare messaggi a tale altro utente in Microsoft Teams.

Cosa fare

Determinare se gli utenti sono interessati da un criterio di barriera informativa. A seconda della configurazione dei criteri, le barriere informative potrebbero funzionare come previsto. In alternativa, potrebbe essere necessario perfezionare i criteri dell'organizzazione.

  1. Usare il cmdlet Get-InformationBarrierRecipientStatus con il parametro Identity.

    Sintassi Esempio
    Get-InformationBarrierRecipientStatus -Identity

    È possibile usare qualsiasi valore di identità che identifichi in modo univoco ogni destinatario, ad esempio Nome, Alias, Nome distinto (DN), DN canonico, Indirizzo di posta elettronica o GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb

    In questo esempio viene usato un alias (meganb) per il parametro Identity. Questo cmdlet restituirà informazioni che indicano se l'utente è interessato da un criterio di barriera informativa. (Cercare *ExoPolicyId: <GUID>.

    Se gli utenti non sono inclusi nei criteri delle barriere informative, contattare il supporto tecnico. In caso contrario, procedere al passaggio successivo.

  2. Scopri quali segmenti sono inclusi in un criterio di barriera informativa. A tale scopo, usare il Get-InformationBarrierPolicy cmdlet con il parametro Identity.

    Sintassi Esempio
    Get-InformationBarrierPolicy

    Usare i dettagli, ad esempio il GUID dei criteri (ExoPolicyId) ricevuto durante il passaggio precedente, come valore identity.

    		 Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f

    In questo esempio vengono fornite informazioni dettagliate sui criteri di barriera informativa con ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f.

    Dopo aver eseguito il cmdlet, nei risultati cercare i valori AssignedSegment, SegmentsAllowed e SegmentsBlocked .

    Ad esempio, dopo aver eseguito il Get-InformationBarrierPolicy cmdlet, nell'elenco dei risultati è stato illustrato quanto segue:

    AssignedSegment : Sales
SegmentsAllowed : {}
SegmentsBlocked : {Research}

    In questo caso, è possibile notare che un criterio di barriera informativa influisce sulle persone che si trovano nei segmenti Vendite e Ricerca. In questo caso, le persone in Sales non possono comunicare con le persone in Research.

    Se ciò sembra corretto, le barriere informative funzionano come previsto. In caso contrario, procedere con il passaggio successivo.

  3. Assicurarsi che i segmenti siano definiti correttamente. A tale scopo, usare il Get-OrganizationSegment cmdlet ed esaminare l'elenco dei risultati.

    Sintassi Esempio
    Get-OrganizationSegment

    Usare questo cmdlet con un parametro Identity.

    		 Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd

    In questo esempio si ottengono informazioni sul segmento con GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

    Esaminare i dettagli per il segmento. Se necessario, modificare un segmento e quindi riutilizzare il Start-InformationBarrierPoliciesApplication cmdlet.

    Se si verificano ancora problemi con i criteri di barriera informativa, contattare il supporto tecnico.

Problema: le comunicazioni sono consentite tra gli utenti che devono essere bloccati in Microsoft Teams

In questo caso, anche se le barriere informative sono definite, attive e applicate, le persone che devono essere impedite di comunicare tra loro sono in qualche modo in grado di chattare e chiamarsi tra loro in Microsoft Teams.

Cosa fare

Verificare che gli utenti in questione siano inclusi in un criterio di barriera informativa.

  1. Usare il cmdlet Get-InformationBarrierRecipientStatus con i parametri Identity.

    Sintassi* Esempio
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    È possibile usare qualsiasi valore che identifichi in modo univoco ogni utente, ad esempio nome, alias, nome distinto, nome di dominio canonico, indirizzo di posta elettronica o GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    In questo esempio si fa riferimento a due account utente in Microsoft 365: meganb per Megan e alexw per Alex.

    Suggerimento

    È anche possibile usare questo cmdlet per un singolo utente: Get-InformationBarrierRecipientStatus -Identity <value>

  2. Esaminare i risultati. Il cmdlet Get-InformationBarrierRecipientStatus restituisce informazioni sugli utenti, ad esempio i valori degli attributi e i criteri di barriera informativa applicati.

    Esaminare i risultati e quindi eseguire i passaggi successivi, come descritto nella tabella seguente:

    Risultati Operazioni da eseguire successivamente
    Nessun segmento è elencato per gli utenti selezionati Esegui una delle operazioni seguenti:
    - Assegnare gli utenti a un segmento esistente modificando i profili utente in Microsoft Entra ID. (Vedere Configurare le proprietà dell'account utente con Microsoft 365 PowerShell.
    - Definire un segmento usando un attributo supportato per le barriere informative. Definire quindi un nuovo criterio o modificare un criterio esistente per includere tale segmento.
    I segmenti sono elencati, ma non vengono assegnati criteri di barriera informativa a tali segmenti Esegui una delle operazioni seguenti:
    - Definire un nuovo criterio di barriera informativa per ogni segmento in questione
    - Modificare un criterio di barriera informativa esistente per assegnarlo al segmento corretto
    I segmenti sono elencati e ognuno è incluso in un criterio di barriera informativa - Eseguire il Get-InformationBarrierPolicy cmdlet per verificare che i criteri delle barriere informative siano attivi
    - Eseguire il cmdlet per confermare l'applicazione Get-InformationBarrierPoliciesApplicationStatus dei criteri
    - Eseguire il Start-InformationBarrierPoliciesApplication cmdlet per applicare tutti i criteri di barriera delle informazioni attive

Problema: È necessario rimuovere un singolo utente da un criterio di barriera informativa

In questo caso, i criteri delle barriere informative sono attivi e uno o più utenti non possono comunicare con altri utenti in Microsoft Teams. Invece di rimuovere completamente i criteri delle barriere informative, è possibile rimuovere uno o più utenti singoli dai criteri delle barriere informative.

Cosa fare

I criteri delle barriere informative vengono assegnati ai segmenti di utenti. I segmenti vengono definiti usando determinati attributi nei profili dell'account utente. Se è necessario rimuovere un criterio da un singolo utente, è consigliabile modificare il profilo dell'utente in Microsoft Entra in modo che l'utente non sia più incluso in un segmento interessato dalle barriere informative.

  1. Usare il cmdlet Get-InformationBarrierRecipientStatus con i parametri Identity. Questo cmdlet restituisce informazioni sugli utenti, ad esempio i valori degli attributi e i criteri di barriera informativa applicati.

    Sintassi Esempio
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    È possibile usare qualsiasi valore che identifichi in modo univoco ogni utente, ad esempio nome, alias, nome distinto, nome di dominio canonico, indirizzo di posta elettronica o GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    In questo esempio si fa riferimento a due account utente in Microsoft 365: meganb per Megan e alexw per Alex.

    Get-InformationBarrierRecipientStatus -Identity <value>

    È possibile usare qualsiasi valore che identifichi in modo univoco l'utente, ad esempio nome, alias, nome distinto, nome di dominio canonico, indirizzo di posta elettronica o GUID.

    		 Get-InformationBarrierRecipientStatus -Identity jeanp

    In questo esempio si fa riferimento a un singolo account in Microsoft 365: jeanp.

  2. Esaminare i risultati per verificare se i criteri delle barriere informative sono assegnati e a quali segmenti appartengono gli utenti.

  3. Per rimuovere un utente da un segmento interessato dalle barriere informative, aggiornare le informazioni sul profilo dell'utente in Microsoft Entra ID.

  4. Attendere circa 30 minuti per l'esecuzione di FwdSync. In alternativa, eseguire il Start-InformationBarrierPoliciesApplication cmdlet per applicare tutti i criteri delle barriere informative attive.

Problema: il processo di applicazione delle barriere informative richiede troppo tempo

Dopo aver eseguito il cmdlet Start-InformationBarrierPoliciesApplication , il processo richiede molto tempo.

Cosa fare

Tenere presente che quando si esegue il cmdlet dell'applicazione di criteri, i criteri di barriera informativa vengono applicati (o rimossi), utente per utente, per tutti gli account dell'organizzazione. Se si hanno molti utenti, l'elaborazione richiederà un po' di tempo. Le linee guida generali richiedono circa un'ora per elaborare 5.000 account utente.

  1. Usare il cmdlet Get-InformationBarrierPoliciesApplicationStatus per verificare lo stato dell'applicazione dei criteri più recente.

    Per visualizzare l'applicazione di criteri più recente Per visualizzare lo stato per tutte le applicazioni di criteri
    Get-InformationBarrierPoliciesApplicationStatus Get-InformationBarrierPoliciesApplicationStatus -All $true

    Verranno visualizzate informazioni sul completamento, l'esito negativo o l'esecuzione dell'applicazione dei criteri.

  2. A seconda dei risultati del passaggio precedente, eseguire una delle operazioni seguenti:

    Stato Passaggio successivo
    Non avviato Se sono trascorsi più di 45 minuti dall'esecuzione del cmdlet Start-InformationBarrierPoliciesApplication , esaminare il log di controllo per verificare se sono presenti errori nelle definizioni dei criteri o un altro motivo per cui l'applicazione non è stata avviata.
    Non riuscito Se l'applicazione non è riuscita, esaminare il log di controllo. Esaminare anche i segmenti e i criteri. Gli utenti sono assegnati a più di un segmento? Sono assegnati più segmenti a più criteri? Se necessario, modificare i segmenti e/o modificare i criteri e quindi eseguire di nuovo il cmdlet Start-InformationBarrierPoliciesApplication.
    In corso Se l'applicazione è ancora in corso, attendere più tempo per il completamento. Se sono trascorsi diversi giorni, raccogliere i log di controllo e quindi contattare il supporto tecnico.

Problema: i criteri delle barriere informative non vengono applicati affatto

In questo caso, sono stati definiti segmenti, criteri di barriera informativa definiti e si è tentato di applicare tali criteri. Tuttavia, quando si esegue il cmdlet, è possibile vedere che l'applicazione Get-InformationBarrierPoliciesApplicationStatus dei criteri non è riuscita.

Cosa fare

Assicurarsi che l'organizzazione non disponga dei criteri della rubrica di Exchange. Tali criteri impediranno l'applicazione dei criteri delle barriere informative.

  1. Connettersi a PowerShell per Exchange Online.

  2. Eseguire il cmdlet Get-AddressBookPolicy ed esaminare i risultati.

    Risultati Passaggio successivo
    I criteri della rubrica di Exchange sono elencati Rimuovere i criteri della rubrica
    Non esistono criteri della rubrica Esaminare i log di controllo per scoprire perché l'applicazione dei criteri ha esito negativo

  3. Visualizzare lo stato di account utente, segmenti, criteri o applicazione dei criteri.

Problema: criteri di barriera informativa non applicati a tutti gli utenti designati

Dopo aver definito segmenti, definiti criteri di barriera informativa e aver tentato di applicare tali criteri, è possibile che i criteri vengano applicati ad alcuni destinatari, ma non ad altri. Quando si esegue il Get-InformationBarrierPoliciesApplicationStatus cmdlet, cercare testo simile al seguente nell'output.

Identità: <application guid>

Totale destinatari: 81527

Destinatari non riusciti: 2

Categoria di errore: Nessuno

Stato: completato

Cosa fare

  1. Cercare nel log di controllo .<application guid> È possibile copiare questo codice di PowerShell e modificarlo per le variabili.

    $DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss>  -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}

  2. Controllare l'output dettagliato del log di controllo per i valori dei "UserId" campi e "ErrorDetails" . In questo modo verrà visualizzato il motivo dell'errore. È possibile copiare questo codice di PowerShell e modificarlo per le variabili.

       $DetailedLogs[1] |fl

    Ad esempio:

    "UserId": User1

    "ErrorDetails":"Status: IBPolicyConflict. Errore: il segmento IB "segment id1" e il segmento IB "segment id2" presenta conflitti e non può essere assegnato al destinatario.

  3. In genere, si scopre che un utente è stato incluso in più segmenti. È possibile risolvere questo problema aggiornando il -UserGroupFilter valore in OrganizationSegments.

  4. Riapplicare i criteri delle barriere informative usando queste procedure Criteri di barriere informative.

Risorse