Problemy z barierami komunikacyjnymi i informacyjnymi

  • Artykuł

Bariery informacyjne mogą pomóc organizacji zachować zgodność z wymaganiami prawnymi i przepisami branżowymi. Na przykład w przypadku barier informacyjnych można ograniczyć komunikację między określonymi grupami użytkowników, aby uniknąć konfliktu interesów lub innych problemów. (Aby dowiedzieć się więcej o sposobie konfigurowania barier informacyjnych, zobacz Definiowanie zasad dla barier informacyjnych).

Gdy ludzie napotkają nieoczekiwane problemy po wprowadzeniu barier informacyjnych, możesz wykonać kilka kroków, aby rozwiązać te problemy. Skorzystaj z tego artykułu jako przewodnika.

Ważna

Aby wykonać zadania opisane w tym artykule, musisz mieć przypisaną odpowiednią rolę, taką jak jedna z następujących:

  • administrator globalny Microsoft 365 Enterprise
  • administrator globalny
  • Administrator zgodności
  • Zarządzanie zgodnością IB (jest to nowa rola!)

Aby dowiedzieć się więcej na temat wymagań wstępnych dotyczących barier informacyjnych, zobacz Wymagania wstępne (w przypadku zasad barier informacyjnych).

Upewnij się, że nawiązaliśmy połączenie z programem PowerShell Centrum zgodności usługi Security &.

Problem: Nieoczekiwane zablokowanie komunikacji użytkowników z innymi osobami w usłudze Microsoft Teams

W tym przypadku osoby zgłaszają nieoczekiwane problemy z komunikacją z innymi osobami w usłudze Microsoft Teams. Oto kilka przykładów:

  • Użytkownik wyszukuje innego użytkownika w usłudze Microsoft Teams, ale nie może go odnaleźć.
  • Użytkownik może znaleźć innego użytkownika w usłudze Microsoft Teams, ale nie może go wybrać.
  • Użytkownik może zobaczyć innego użytkownika, ale nie może wysyłać komunikatów do tego innego użytkownika w usłudze Microsoft Teams.

Co robić

Określ, czy zasady bariery informacyjnej mają wpływ na użytkowników. W zależności od sposobu konfigurowania zasad bariery informacyjne mogą działać zgodnie z oczekiwaniami. Może być też konieczne uściślanie zasad organizacji.

  1. Użyj polecenia cmdlet Get-InformationBarrierRecipientStatus z parametrem Identity.

    Składni Przykład
    Get-InformationBarrierRecipientStatus -Identity

    Możesz użyć dowolnej wartości tożsamości, która jednoznacznie identyfikuje każdego adresata, na przykład name, alias, distinguished name (DN), Canonical DN, Email address lub GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb

    W tym przykładzie używamy aliasu (meganb) dla parametru Identity. To polecenie cmdlet zwróci informacje wskazujące, czy zasady bariery informacyjnej mają wpływ na użytkownika. (Poszukaj *ExoPolicyId: <IDENTYFIKATOR GUID>).

    Jeśli użytkownicy nie są uwzględniane w zasadach bariery informacji, skontaktuj się z pomocą techniczną. W przeciwnym razie przejdź do następnego kroku.

  2. Dowiedz się, które segmenty są uwzględnione w zasadach barier informacyjnych. W tym celu użyj Get-InformationBarrierPolicy polecenia cmdlet z parametrem Identity.

    Składni Przykład
    Get-InformationBarrierPolicy

    Użyj szczegółów, takich jak identyfikator GUID zasad (ExoPolicyId) otrzymany w poprzednim kroku, jako wartości tożsamości.

    		 Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f

    W tym przykładzie otrzymujemy szczegółowe informacje o zasadach bariery informacyjnej z identyfikatorem ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f.

    Po uruchomieniu polecenia cmdlet w wynikach poszukaj wartości AssignedSegment, SegmentsAllowed i SegmentsBlocked .

    Na przykład po uruchomieniu Get-InformationBarrierPolicy polecenia cmdlet na naszej liście wyników zobaczyliśmy następujące elementy:

    AssignedSegment : Sales
SegmentsAllowed : {}
SegmentsBlocked : {Research}

    W tym przypadku widzimy, że zasady bariery informacyjnej wpływają na osoby, które znajdują się w segmentach Sprzedaż i badania. W tym przypadku osoby w obszarze Sprzedaż nie mogą komunikować się z osobami w obszarze Badania.

    Jeśli wydaje się to poprawne, bariery informacyjne działają zgodnie z oczekiwaniami. W przeciwnym wypadku przejdź do następnego kroku.

  3. Upewnij się, że segmenty są poprawnie zdefiniowane. W tym celu użyj Get-OrganizationSegment polecenia cmdlet i przejrzyj listę wyników.

    Składni Przykład
    Get-OrganizationSegment

    Użyj tego polecenia cmdlet z parametrem Identity.

    		 Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd

    W tym przykładzie otrzymujemy informacje o segmencie z identyfikatorem GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

    Przejrzyj szczegóły segmentu. W razie potrzeby edytuj segment, a następnie ponownie użyj Start-InformationBarrierPoliciesApplication polecenia cmdlet.

    Jeśli nadal masz problemy z zasadami bariery informacyjnej, skontaktuj się z pomocą techniczną.

Problem: Komunikacja między użytkownikami, którzy powinni zostać zablokowani w usłudze Microsoft Teams

W takim przypadku, mimo że bariery informacyjne są zdefiniowane, aktywne i stosowane, osoby, którym należy uniemożliwić komunikowanie się ze sobą, mogą w jakiś sposób rozmawiać ze sobą i dzwonić do siebie w usłudze Microsoft Teams.

Co robić

Sprawdź, czy użytkownicy, których dotyczy problem, są uwzględniane w zasadach bariery informacyjnej.

  1. Użyj polecenia cmdlet Get-InformationBarrierRecipientStatus z parametrami tożsamości.

    Składni* Przykład
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Możesz użyć dowolnej wartości, która jednoznacznie identyfikuje każdego użytkownika, takiej jak nazwa, alias, nazwa wyróżniająca, nazwa domeny kanonicznej, adres e-mail lub identyfikator GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    W tym przykładzie odwołujemy się do dwóch kont użytkowników na platformie Microsoft 365: meganb for Megan i alexw for Alex.

    Porada

    Możesz również użyć tego polecenia cmdlet dla jednego użytkownika: Get-InformationBarrierRecipientStatus -Identity <value>

  2. Przejrzyj wyniki. Polecenie cmdlet Get-InformationBarrierRecipientStatus zwraca informacje o użytkownikach, takie jak wartości atrybutów i wszelkie zastosowane zasady bariery informacji.

    Przejrzyj wyniki, a następnie wykonaj kolejne kroki zgodnie z opisem w poniższej tabeli:

    Wyniki Co robić dalej
    Dla wybranych użytkowników nie są wyświetlane żadne segmenty Wykonaj jeden z następujących kroków:
    — Przypisz użytkowników do istniejącego segmentu, edytując profile użytkowników w Tożsamość Microsoft Entra. (Zobacz Konfigurowanie właściwości konta użytkownika przy użyciu programu Microsoft 365 PowerShell).
    — Definiowanie segmentu przy użyciu obsługiwanego atrybutu dla barier informacyjnych. Następnie zdefiniuj nowe zasady lub edytuj istniejące zasady , aby uwzględnić ten segment.
    Segmenty są wymienione, ale żadne zasady bariery informacyjnej nie są przypisane do tych segmentów Wykonaj jeden z następujących kroków:
    - Definiowanie nowych zasad barier informacyjnych dla każdego danego segmentu
    - Edytowanie istniejących zasad bariery informacyjnej w celu przypisania ich do właściwego segmentu
    Segmenty są wymienione, a każdy z nich jest uwzględniony w zasadach barier informacyjnych — Uruchom Get-InformationBarrierPolicy polecenie cmdlet, aby sprawdzić, czy zasady bariery informacyjnej są aktywne
    — Uruchom polecenie cmdlet, Get-InformationBarrierPoliciesApplicationStatus aby potwierdzić, że zasady są stosowane
    — Uruchom polecenie cmdlet, Start-InformationBarrierPoliciesApplication aby zastosować wszystkie aktywne zasady barier informacyjnych

Problem: Muszę usunąć jednego użytkownika z zasad bariery informacyjnej

W takim przypadku obowiązują zasady bariery informacyjnej, a co najmniej jeden użytkownik nieoczekiwanie nie może komunikować się z innymi użytkownikami w usłudze Microsoft Teams. Zamiast całkowicie usuwać zasady barier informacyjnych, można usunąć co najmniej jednego użytkownika z zasad bariery informacyjnej.

Co robić

Zasady bariery informacyjnej są przypisywane do segmentów użytkowników. Segmenty są definiowane przy użyciu określonych atrybutów w profilach konta użytkownika. Jeśli musisz usunąć zasady z jednego użytkownika, rozważ edytowanie profilu tego użytkownika w Microsoft Entra w taki sposób, aby użytkownik nie był już uwzględniony w segmencie dotkniętym barierami informacyjnymi.

  1. Użyj polecenia cmdlet Get-InformationBarrierRecipientStatus z parametrami tożsamości. To polecenie cmdlet zwraca informacje o użytkownikach, takie jak wartości atrybutów i wszelkie zastosowane zasady bariery informacyjnej.

    Składni Przykład
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Możesz użyć dowolnej wartości, która jednoznacznie identyfikuje każdego użytkownika, takiej jak nazwa, alias, nazwa wyróżniająca, nazwa domeny kanonicznej, adres e-mail lub identyfikator GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    W tym przykładzie odwołujemy się do dwóch kont użytkowników na platformie Microsoft 365: meganb for Megan i alexw for Alex.
    Get-InformationBarrierRecipientStatus -Identity <value>

    Możesz użyć dowolnej wartości, która jednoznacznie identyfikuje użytkownika, takiej jak nazwa, alias, nazwa wyróżniająca, nazwa domeny kanonicznej, adres e-mail lub identyfikator GUID.

    		 Get-InformationBarrierRecipientStatus -Identity jeanp

    W tym przykładzie odwołujemy się do jednego konta na platformie Microsoft 365: jeanp.

  2. Przejrzyj wyniki, aby sprawdzić, czy przypisano zasady barier informacyjnych i do których segmentów należą użytkownicy.

  3. Aby usunąć użytkownika z segmentu objętego barierami informacyjnymi, zaktualizuj informacje o profilu użytkownika w Tożsamość Microsoft Entra.

  4. Poczekaj około 30 minut na wystąpienie narzędzia FwdSync. Możesz też uruchomić Start-InformationBarrierPoliciesApplication polecenie cmdlet, aby zastosować wszystkie aktywne zasady bariery informacyjnej.

Problem: Proces aplikacji bariery informacyjnej trwa zbyt długo

Po uruchomieniu polecenia cmdlet Start-InformationBarrierPoliciesApplication proces trwa długo.

Co robić

Należy pamiętać, że po uruchomieniu polecenia cmdlet aplikacji zasad zasady bariery informacji są stosowane (lub usuwane), użytkownik przez użytkownika, dla wszystkich kont w organizacji. Jeśli masz wielu użytkowników, przetwarzanie zajmie trochę czasu. (Zgodnie z ogólnymi wytycznymi przetwarzanie 5000 kont użytkowników zajmuje około godziny).

  1. Użyj polecenia cmdlet Get-InformationBarrierPoliciesApplicationStatus , aby zweryfikować stan najnowszej aplikacji zasad.

    Aby wyświetlić najnowszą aplikację zasad Aby wyświetlić stan dla wszystkich aplikacji zasad
    Get-InformationBarrierPoliciesApplicationStatus Get-InformationBarrierPoliciesApplicationStatus -All $true

    Spowoduje to wyświetlenie informacji o tym, czy aplikacja zasad została ukończona, nie powiodła się, czy jest w toku.

  2. W zależności od wyników poprzedniego kroku wykonaj jeden z następujących kroków:

    Stan Następny krok
    Nie uruchomiono Jeśli od uruchomienia polecenia cmdlet Start-InformationBarrierPoliciesApplication minęło ponad 45 minut, przejrzyj dziennik inspekcji, aby sprawdzić, czy w definicjach zasad występują błędy, lub z innego powodu, dla którego aplikacja nie została uruchomiona.
    Zakończone niepowodzeniem Jeśli aplikacja nie powiodła się, przejrzyj dziennik inspekcji. Przejrzyj również segmenty i zasady. Czy wszyscy użytkownicy są przypisani do więcej niż jednego segmentu? Czy do jakichkolwiek segmentów przypisano więcej niż jedną zasadę? W razie potrzeby edytuj segmenty i/lub edytuj zasady, a następnie ponownie uruchom polecenie cmdlet Start-InformationBarrierPoliciesApplication .
    W toku Jeśli aplikacja jest nadal w toku, poczekaj więcej czasu na jej ukończenie. Jeśli minęło kilka dni, zbierz dzienniki inspekcji, a następnie skontaktuj się z pomocą techniczną.

Problem: Zasady bariery informacyjnej nie są w ogóle stosowane

W takim przypadku zdefiniowano segmenty, zdefiniowano zasady barier informacyjnych i podjęto próbę zastosowania tych zasad. Jednak po uruchomieniu Get-InformationBarrierPoliciesApplicationStatus polecenia cmdlet widać, że aplikacja zasad nie powiodła się.

Co robić

Upewnij się, że twoja organizacja nie ma zasad książki adresowej programu Exchange . Takie zasady uniemożliwią stosowanie zasad barier informacyjnych.

  1. Połącz się z usługą Exchange Online w programie PowerShell.

  2. Uruchom polecenie cmdlet Get-AddressBookPolicy i przejrzyj wyniki.

    Wyniki Następny krok
    Zasady książki adresowej programu Exchange są wyświetlane Usuwanie zasad książki adresowej
    Nie istnieją żadne zasady książki adresowej Przejrzyj dzienniki inspekcji, aby dowiedzieć się, dlaczego aplikacja zasad kończy się niepowodzeniem

  3. Wyświetl stan kont użytkowników, segmentów, zasad lub aplikacji zasad.

Problem: Zasady bariery informacyjnej nie są stosowane do wszystkich wyznaczonych użytkowników

Po zdefiniowaniu segmentów, zdefiniowaniu zasad barier informacyjnych i podjęciu próby zastosowania tych zasad może się okazać, że zasady mają zastosowanie do niektórych adresatów, ale nie do innych. Po uruchomieniu Get-InformationBarrierPoliciesApplicationStatus polecenia cmdlet wyszukaj w danych wyjściowych tekst podobny do tego.

Tożsamości: <application guid>

Łączna liczba adresatów: 81527

Adresaci niepomyślnie: 2

Kategoria awarii: Brak

Stan: Ukończono

Co robić

  1. Wyszukaj w dzienniku <application guid>inspekcji ciąg . Ten kod programu PowerShell można skopiować i zmodyfikować dla zmiennych.

    $DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss>  -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}

  2. Sprawdź szczegółowe dane wyjściowe dziennika inspekcji "UserId" pod kątem wartości pól i "ErrorDetails" . Spowoduje to przyczynę awarii. Ten kod programu PowerShell można skopiować i zmodyfikować dla zmiennych.

       $DetailedLogs[1] |fl

    Przykład:

    "UserId": Użytkownik1

    "ErrorDetails":"Stan: IBPolicyConflict. Błąd: Segment IB "segment id1" i segment IB "segment id2" ma konflikt i nie można go przypisać do odbiorcy.

  3. Zazwyczaj okazuje się, że użytkownik został uwzględniony w więcej niż jednym segmencie. Aby rozwiązać ten problem, zaktualizuj -UserGroupFilter wartość w OrganizationSegmentspliku .

  4. Ponownie zastosować zasady barier informacyjnych przy użyciu tych procedur Zasady barier informacyjnych.

Zasoby