コミュニケーションと情報障壁に関する問題

情報バリアは、organizationが法的要件や業界の規制に準拠し続けるのに役立ちます。 たとえば、情報バリアを使用すると、特定のユーザー グループ間の通信を制限して、競合やその他の問題を回避できます。 (情報バリアを設定する方法の詳細については、「情報バリア のポリシーを定義する」を参照してください)。

情報バリアが設定された後に予期しない問題が発生した場合は、これらの問題を解決するために実行できるいくつかの手順があります。 この記事をガイドとして使用してください。

重要

この記事で説明するタスクを実行するには、次のいずれかの適切なロールを割り当てる必要があります。

• Microsoft 365 Enterprise グローバル管理者
• グローバル管理者
• コンプライアンス管理者
• IB コンプライアンス管理 (これは新しいロールです)。)

情報バリアの前提条件の詳細については、「 前提条件 (情報バリア ポリシーの場合)」を参照してください。

セキュリティ & コンプライアンス センター PowerShell に接続してください。

問題: ユーザーが Microsoft Teams の他のユーザーとの通信を予期せずブロックされる

この場合、Microsoft Teams で他のユーザーと通信する予期しない問題が報告されます。 次に例を示します。

• ユーザーは、Microsoft Teams で別のユーザーを検索しますが、見つけることができません。
• ユーザーは、Microsoft Teams で別のユーザーを見つけることができますが、選択できません。
• ユーザーは別のユーザーを表示できますが、Microsoft Teams でその他のユーザーにメッセージを送信することはできません。

操作

ユーザーが情報バリア ポリシーの影響を受けるかどうかを判断します。 ポリシーの構成方法によっては、情報バリアが期待どおりに機能している可能性があります。 または、organizationのポリシーを調整する必要がある場合があります。

1. Identity パラメーターで Get-InformationBarrierRecipientStatus コマンドレットを使用します。

   構文	例
   Get-InformationBarrierRecipientStatus -Identity 名前、エイリアス、識別名 (DN)、正規 DN、Email アドレス、GUID など、各受信者を一意に識別する任意の ID 値を使用できます。	Get-InformationBarrierRecipientStatus -Identity meganb この例では、Identity パラメーターにエイリアス (meganb) を使用しています。 このコマンドレットは、ユーザーが情報バリア ポリシーの影響を受けるかどうかを示す情報を返します。 (*ExoPolicyId を探します。 <GUID>.)

   ユーザーが情報バリア ポリシーに含まれていない場合は、サポートにお問い合わせください。 それ以外の場合は、次の手順に進んでください。

2. 情報バリア ポリシーに含まれるセグメントを確認します。 これを行うには、Identity パラメーターを指定して Get-InformationBarrierPolicy コマンドレットを使用します。

   構文	例
   Get-InformationBarrierPolicy 前の手順で受け取ったポリシー GUID (ExoPolicyId) などの詳細を ID 値として使用します。	Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f この例では、ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f を持つ情報バリア ポリシーに関する詳細情報を取得しています。

   コマンドレットを実行した後、結果で AssignedSegment、 SegmentsAllowed、 SegmentsBlocked の各値を探します。

   たとえば、コマンドレットを実行すると Get-InformationBarrierPolicy 、結果の一覧に次の内容が表示されます。

   AssignedSegment : Sales
   SegmentsAllowed : {}
   SegmentsBlocked : {Research}
   

   この場合、情報バリア ポリシーが営業および研究セグメントに含まれるユーザーに影響を与えることがわかります。 この場合、Sales のユーザーは Research のユーザーと通信できなくなります。

   これが正しいと思われる場合は、情報バリアが期待どおりに機能しています。 そうでない場合は、次の手順に進みます。

3. セグメントが正しく定義されていることを確認します。 これを行うには、コマンドレットを Get-OrganizationSegment 使用して、結果の一覧を確認します。

   構文	例
   Get-OrganizationSegment このコマンドレットは Identity パラメーターと共に使用します。	Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd この例では、GUID c96e0837-c232-4a8a-841e-ef45787d8fcd を持つセグメントに関する情報を取得しています。

   セグメントの詳細を確認します。 必要に応じて、 セグメントを編集し、コマンドレットを再利用します Start-InformationBarrierPoliciesApplication 。

   引き続き情報バリア ポリシーに問題がある場合は、サポートにお問い合わせください。

問題: Microsoft Teams でブロックする必要があるユーザー間で通信が許可される

この場合、情報バリアは定義され、アクティブであり、適用されますが、相互に通信できないようにする必要があるユーザーは、Microsoft Teams で何らかの形でチャットしたり、相互に呼び出したりできます。

操作

問題のユーザーが情報バリア ポリシーに含まれていることを確認します。

1. Id パラメーターを使用して Get-InformationBarrierRecipientStatus コマンドレットを使用します。

   構文*	例
   Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value> 名前、エイリアス、識別名、正規ドメイン名、電子メール アドレス、GUID など、各ユーザーを一意に識別する任意の値を使用できます。	Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw この例では、Microsoft 365 の 2 つのユーザー アカウント (Megan の場合は meganb、Alex の場合は alexw) を参照します。

   ヒント

   1 人のユーザーに対してこのコマンドレットを使用することもできます。 Get-InformationBarrierRecipientStatus -Identity <value>

2. 結果を確認します。 Get-InformationBarrierRecipientStatus コマンドレットは、属性値や適用される情報バリア ポリシーなど、ユーザーに関する情報を返します。

   次の表に示すように、結果を確認し、次の手順を実行します。

   結果	次の操作
   選択したユーザーのセグメントは一覧表示されません	次のいずれかの操作を行います。 - Microsoft Entra IDでユーザー プロファイルを編集して、既存のセグメントにユーザーを割り当てます。 (「 Microsoft 365 PowerShell を使用してユーザー アカウントのプロパティを構成する」を参照してください)。 - 情報バリアに対してサポートされている属性を使用してセグメントを定義します。 次に、 新しいポリシーを定義 するか 、既存のポリシーを編集 してそのセグメントを含めます。
   セグメントは一覧表示されますが、これらのセグメントには情報バリア ポリシーが割り当てされていません	次のいずれかの操作を行います。 - 対象のセグメントごとに新しい情報バリア ポリシーを定義 する - 既存の情報バリア ポリシーを編集 して正しいセグメントに割り当てる
   セグメントが一覧表示され、それぞれが情報バリア ポリシーに含まれます	- コマンドレットを Get-InformationBarrierPolicy 実行して、情報バリア ポリシーがアクティブであることを確認します - コマンドレットを Get-InformationBarrierPoliciesApplicationStatus 実行して、ポリシーが適用されていることを確認します - コマンドレットを Start-InformationBarrierPoliciesApplication 実行して、すべてのアクティブな情報バリア ポリシーを適用します

問題: 情報バリア ポリシーから 1 人のユーザーを削除する必要がある

この場合、情報バリア ポリシーが有効になり、1 人以上のユーザーが Microsoft Teams の他のユーザーとの通信を予期せずブロックされます。 情報バリア ポリシーを完全に削除するのではなく、情報バリア ポリシーから 1 人以上の個々のユーザーを削除できます。

操作

情報バリア ポリシーは、ユーザーのセグメントに割り当てられます。 セグメントは、 ユーザー アカウント プロファイルで特定の属性を使用して定義されます。 1 人のユーザーからポリシーを削除する必要がある場合は、Microsoft Entraでそのユーザーのプロファイルを編集して、ユーザーが情報バリアの影響を受けるセグメントに含まれなくなったことを検討してください。

1. Id パラメーターを使用して Get-InformationBarrierRecipientStatus コマンドレットを使用します。 このコマンドレットは、属性値や適用される情報バリア ポリシーなど、ユーザーに関する情報を返します。

   構文	例
   Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value> 名前、エイリアス、識別名、正規ドメイン名、電子メール アドレス、GUID など、各ユーザーを一意に識別する任意の値を使用できます。	Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw この例では、Microsoft 365 の 2 つのユーザー アカウント (Megan の場合は meganb、Alex の場合は alexw) を参照します。
   Get-InformationBarrierRecipientStatus -Identity <value> 名前、エイリアス、識別名、正規ドメイン名、電子メール アドレス、GUID など、ユーザーを一意に識別する任意の値を使用できます。	Get-InformationBarrierRecipientStatus -Identity jeanp この例では、Microsoft 365: jeanp の 1 つのアカウントを参照します。

2. 結果を確認して、情報バリア ポリシーが割り当てられているかどうか、およびユーザーが属するセグメントを確認します。

3. 情報バリアの影響を受けるセグメントからユーザーを削除するには、Microsoft Entra IDでユーザーのプロファイル情報を更新します。

4. FwdSync が発生するまで約 30 分待ちます。 または、コマンドレットを Start-InformationBarrierPoliciesApplication 実行して、すべてのアクティブな情報バリア ポリシーを適用します。

問題: 情報バリアのアプリケーション プロセスに時間がかかりすぎる

Start-InformationBarrierPoliciesApplication コマンドレットを実行した後、プロセスの完了に時間がかかります。

操作

ポリシー アプリケーション コマンドレットを実行すると、organization内のすべてのアカウントに対して、ユーザーごとに情報バリア ポリシーが適用 (または削除) されることに注意してください。 ユーザーが多い場合は、処理に時間がかかります。 (一般的なガイドラインとして、5,000 のユーザー アカウントを処理するには約 1 時間かかります)。

1. Get-InformationBarrierPoliciesApplicationStatus コマンドレットを使用して、最新のポリシー アプリケーションの状態を確認します。

   最新のポリシー アプリケーションを表示するには	すべてのポリシー アプリケーションの状態を表示するには
   Get-InformationBarrierPoliciesApplicationStatus	Get-InformationBarrierPoliciesApplicationStatus -All $true

   これにより、ポリシー アプリケーションが完了したか、失敗したか、進行中かに関する情報が表示されます。

2. 前の手順の結果に応じて、次のいずれかの手順を実行します。

   状態	次の手順
   [未開始]	Start-InformationBarrierPoliciesApplication コマンドレットが実行されてから 45 分を超える場合は、監査ログを確認して、ポリシー定義にエラーがあるかどうか、またはアプリケーションが起動していないその他の理由を確認します。
   Failed	アプリケーションが失敗した場合は、監査ログを確認します。 また、セグメントとポリシーも確認します。 ユーザーは複数のセグメントに割り当てられますか? セグメントに複数のポリシーが割り当てられますか? 必要に応じて、 セグメントの編集 や ポリシーの編集を行い、 Start-InformationBarrierPoliciesApplication コマンドレットをもう一度実行します。
   処理中	アプリケーションがまだ進行中の場合は、完了するまでの時間を増やします。 数日経過している場合は、監査ログを収集し、サポートにお問い合わせください。

問題: 情報バリア ポリシーがまったく適用されていない

この場合、セグメントを定義し、情報バリア ポリシーを定義し、それらのポリシーを適用しようとしました。 ただし、コマンドレットを Get-InformationBarrierPoliciesApplicationStatus 実行すると、ポリシー アプリケーションが失敗したことが確認できます。

操作

organizationに Exchange アドレス帳ポリシーが設定されていないことを確認します。 このようなポリシーにより、情報バリア ポリシーが適用されなくなります。

1. Exchange Online PowerShell に接続する

2. Get-AddressBookPolicy コマンドレットを実行し、結果を確認します。

   結果	次の手順
   Exchange アドレス帳ポリシーが一覧表示されます	アドレス帳ポリシーを削除する
   アドレス帳ポリシーが存在しない	監査ログを確認して、ポリシー アプリケーションが失敗する理由を確認する

3. ユーザー アカウント、セグメント、ポリシー、またはポリシー アプリケーションの状態を表示します。

問題: すべての指定されたユーザーに情報バリア ポリシーが適用されない

セグメントを定義し、情報バリア ポリシーを定義し、それらのポリシーを適用しようとすると、ポリシーが一部の受信者に適用されているのに、他の受信者には適用されないことがあります。 コマンドレットを Get-InformationBarrierPoliciesApplicationStatus 実行するときに、出力で次のようなテキストを検索します。

Id： <application guid>

合計受信者数: 81527

失敗した受信者: 2

エラー カテゴリ: なし

状態: 完了

操作

1. 監査ログで を検索します <application guid>。 この PowerShell コードをコピーし、変数の変更を行うことができます。

   $DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss>  -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)} 
   

2. 監査ログからの詳細な出力で、 フィールドと "ErrorDetails" フィールドの値を"UserId"確認します。 これにより、エラーの理由が示されます。 この PowerShell コードをコピーし、変数の変更を行うことができます。

      $DetailedLogs[1] |fl
   

   例:

   "UserId": User1

   "ErrorDetails":"Status: IBPolicyConflict。 エラー: IB セグメント "segment id1" と IB セグメント "segment id2" が競合しており、受信者に割り当てることができません。

3. 通常、ユーザーが複数のセグメントに含まれていることがわかります。 これを修正するには、 のOrganizationSegments値を-UserGroupFilter更新します。

4. これらの手順 Information Barriers ポリシーを使用して 、情報バリア ポリシーを再適用します。

リソース

• Microsoft Teams で情報バリアのポリシーを定義する
• 情報障壁