Проблемы с коммуникационными и информационными барьерами

  • Статья

Информационные барьеры могут помочь вашей организации соответствовать юридическим и отраслевым нормативным требованиям. Например, с помощью информационных барьеров можно ограничить взаимодействие между определенными группами пользователей, чтобы избежать конфликта интересов или других проблем. (Дополнительные сведения о настройке информационных барьеров см. в статье Определение политик для информационных барьеров.)

Когда люди могут столкнуться с непредвиденными проблемами после возникновения информационных барьеров, существует несколько действий, которые можно предпринять для решения этих проблем. В качестве руководства используйте эту статью.

Важно!

Для выполнения задач, описанных в этой статье, необходимо назначить соответствующую роль, например одну из следующих:

  • Глобальный администратор Microsoft 365 корпоративный
  • глобальный администратор
  • Администратор соответствия требованиям
  • Управление соответствием требованиям IB (это новая роль!)

Дополнительные сведения о предварительных требованиях для информационных барьеров см. в разделе Предварительные требования (для политик информационных барьеров).

Обязательно подключитесь к PowerShell Центра соответствия требованиям безопасности &.

Проблема. Пользователи неожиданно заблокированы для общения с другими пользователями в Microsoft Teams

В этом случае люди сообщают о непредвиденных проблемах, взаимодействуя с другими пользователями в Microsoft Teams. Ниже приведен ряд примеров.

  • Пользователь ищет, но не может найти другого пользователя в Microsoft Teams.
  • Пользователь может найти, но не может выбрать другого пользователя в Microsoft Teams.
  • Пользователь может видеть другого пользователя, но не может отправлять сообщения другому пользователю в Microsoft Teams.

Действия

Определите, подвержены ли пользователи политике информационных барьеров. В зависимости от того, как настроены политики, информационные барьеры могут работать должным образом. Кроме того, вам может потребоваться уточнить политики организации.

  1. Используйте командлет Get-InformationBarrierRecipientStatus с параметром Identity.

    Синтаксис Пример
    Get-InformationBarrierRecipientStatus -Identity

    Можно использовать любое значение удостоверения, которое однозначно идентифицирует каждого получателя, например Имя, Псевдоним, Различающееся имя (DN), Каноническое имя DN, Email адрес или GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb

    В этом примере для параметра Identity используется псевдоним (meganb). Этот командлет возвращает сведения, указывающие, влияет ли на пользователя политика информационных барьеров. (Найдите *ExoPolicyId: <GUID>.)

    Если пользователи не включены в политики информационных барьеров, обратитесь в службу поддержки. В противном случае перейдите к следующему шагу.

  2. Узнайте, какие сегменты включены в политику информационных барьеров. Для этого используйте Get-InformationBarrierPolicy командлет с параметром Identity.

    Синтаксис Пример
    Get-InformationBarrierPolicy

    Используйте сведения, такие как GUID политики (ExoPolicyId), полученный на предыдущем шаге, в качестве значения удостоверения.

    		 Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f

    В этом примере мы получаем подробные сведения о политике информационных барьеров, которая содержит ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f.

    После выполнения командлета в результатах найдите значения AssignedSegment, SegmentsAllowed и SegmentsBlocked .

    Например, после выполнения командлета Get-InformationBarrierPolicy в списке результатов мы увидели следующее:

    AssignedSegment : Sales
SegmentsAllowed : {}
SegmentsBlocked : {Research}

    В этом случае мы видим, что политика информационных барьеров влияет на людей, которые находятся в сегментах "Продажи и исследования". В этом случае люди в отделе продаж не могут общаться с людьми в области исследований.

    Если это кажется правильным, информационные барьеры работают должным образом. Если нет, перейдите к следующему шагу.

  3. Убедитесь, что сегменты определены правильно. Для этого используйте Get-OrganizationSegment командлет и просмотрите список результатов.

    Синтаксис Пример
    Get-OrganizationSegment

    Используйте этот командлет с параметром Identity.

    		 Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd

    В этом примере мы получаем сведения о сегменте с идентификатором GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

    Просмотрите сведения о сегменте. При необходимости измените сегмент, а затем повторно используйте Start-InformationBarrierPoliciesApplication командлет .

    Если у вас по-прежнему возникают проблемы с политикой информационных барьеров, обратитесь в службу поддержки.

Проблема. Обмен данными между пользователями, которые должны быть заблокированы в Microsoft Teams

В этом случае, хотя информационные барьеры определены, активны и применяются, люди, которым следует запретить общаться друг с другом, каким-то образом могут общаться и звонить друг с другом в Microsoft Teams.

Действия

Убедитесь, что рассматриваемые пользователи включены в политику информационных барьеров.

  1. Используйте командлет Get-InformationBarrierRecipientStatus с параметрами identity.

    Синтаксис* Пример
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Можно использовать любое значение, уникально определяющее каждого пользователя, например имя, псевдоним, различающееся имя, каноническое доменное имя, адрес электронной почты или GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    В этом примере мы ссылаемся на две учетные записи пользователей в Microsoft 365: meganb для Megan и alexw для Alex.

    Совет

    Этот командлет также можно использовать для одного пользователя: Get-InformationBarrierRecipientStatus -Identity <value>

  2. Просмотрите результаты. Командлет Get-InformationBarrierRecipientStatus возвращает сведения о пользователях, такие как значения атрибутов и применяемые политики информационных барьеров.

    Просмотрите результаты и выполните следующие действия, как описано в следующей таблице:

    Results Дальнейшие действия
    Сегменты для выбранных пользователей не перечислены. Выполните одно из следующих действий.
    — Назначьте пользователей существующему сегменту, изменив их профили пользователей в Microsoft Entra ID. (См . раздел Настройка свойств учетной записи пользователя с помощью Microsoft 365 PowerShell.)
    — Определите сегмент с помощью поддерживаемого атрибута для информационных барьеров. Затем определите новую политику или измените существующую политику , чтобы она включала этот сегмент.
    Сегменты перечислены, но этим сегментам не назначены политики информационных барьеров. Выполните одно из следующих действий.
    - Определение новой политики информационных барьеров для каждого рассматриваемого сегмента
    - Изменение существующей политики информационных барьеров , чтобы назначить ее правильному сегменту
    Сегменты перечислены, и каждый из них включен в политику информационных барьеров — Запустите Get-InformationBarrierPolicy командлет, чтобы убедиться, что политики информационных барьеров активны.
    — Запустите Get-InformationBarrierPoliciesApplicationStatus командлет, чтобы подтвердить применение политик.
    — Запустите Start-InformationBarrierPoliciesApplication командлет, чтобы применить все активные политики информационных барьеров.

Проблема. Мне нужно удалить одного пользователя из политики информационных барьеров

В этом случае применяются политики информационных барьеров, и один или несколько пользователей неожиданно заблокированы для общения с другими пользователями в Microsoft Teams. Вместо того, чтобы полностью удалять политики информационных барьеров, можно удалить одного или нескольких отдельных пользователей из политик информационных барьеров.

Действия

Политики информационных барьеров назначаются сегментам пользователей. Сегменты определяются с помощью определенных атрибутов в профилях учетных записей пользователей. Если необходимо удалить политику для одного пользователя, рассмотрите возможность изменения профиля этого пользователя в Microsoft Entra таким образом, чтобы пользователь больше не включался в сегмент, затронутый информационными барьерами.

  1. Используйте командлет Get-InformationBarrierRecipientStatus с параметрами identity. Этот командлет возвращает сведения о пользователях, такие как значения атрибутов и все применяемые политики информационных барьеров.

    Синтаксис Пример
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Можно использовать любое значение, уникально определяющее каждого пользователя, например имя, псевдоним, различающееся имя, каноническое доменное имя, адрес электронной почты или GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    В этом примере мы ссылаемся на две учетные записи пользователей в Microsoft 365: meganb для Megan и alexw для Alex.
    Get-InformationBarrierRecipientStatus -Identity <value>

    Можно использовать любое уникальное значение, которое идентифицирует пользователя, например имя, псевдоним, различающееся имя, каноническое доменное имя, адрес электронной почты или GUID.

    		 Get-InformationBarrierRecipientStatus -Identity jeanp

    В этом примере мы ссылаемся на одну учетную запись в Microsoft 365: jeanp.

  2. Просмотрите результаты, чтобы узнать, назначены ли политики информационных барьеров и к каким сегментам относятся пользователи.

  3. Чтобы удалить пользователя из сегмента, на который влияют информационные барьеры, обновите сведения профиля пользователя в Microsoft Entra ID.

  4. Подождите около 30 минут, пока не произойдет FwdSync. Или выполните Start-InformationBarrierPoliciesApplication командлет , чтобы применить все активные политики информационных барьеров.

Проблема. Процесс подачи заявки на информационный барьер занимает слишком много времени

После выполнения командлета Start-InformationBarrierPoliciesApplication процесс завершается долго.

Действия

Помните, что при выполнении командлета приложения политики политики применяются (или удаляются) по пользователям для всех учетных записей в вашей организации. Если у вас много пользователей, обработка займет некоторое время. (В качестве общего руководства обработка 5000 учетных записей пользователей занимает около часа.)

  1. Используйте командлет Get-InformationBarrierPoliciesApplicationStatus для проверки состояния последнего приложения политики.

    Просмотр последнего приложения политики Просмотр состояния для всех приложений политики
    Get-InformationBarrierPoliciesApplicationStatus Get-InformationBarrierPoliciesApplicationStatus -All $true

    Отобразятся сведения о том, завершено ли приложение политики, завершилось ли оно сбоем или выполняется.

  2. В зависимости от результатов предыдущего шага выполните одно из следующих действий.

    Состояние Следующее действие
    Не запущено. Если с момента выполнения командлета Start-InformationBarrierPoliciesApplication прошло более 45 минут, просмотрите журнал аудита, чтобы узнать, есть ли ошибки в определениях политик или по какой-либо другой причине, по которой приложение не запущено.
    Не удалось выполнить Если приложение завершилось сбоем, просмотрите журнал аудита. Также просмотрите сегменты и политики. Назначены ли пользователи более чем одному сегменту? Каким-либо сегментам назначено несколько политик? При необходимости измените сегменты и (или ) политики, а затем снова запустите командлет Start-InformationBarrierPoliciesApplication .
    Выполняется Если приложение все еще выполняется, предоставьте больше времени для его завершения. Если прошло несколько дней, соберите журналы аудита и обратитесь в службу поддержки.

Проблема. Политики информационных барьеров вообще не применяются

В этом случае вы определили сегменты, политики информационных барьеров и попытались применить эти политики. Однако при выполнении командлета вы увидите Get-InformationBarrierPoliciesApplicationStatus , что приложение политики завершилось сбоем.

Действия

Убедитесь, что в вашей организации нет политик адресной книги Exchange . Такие политики помешают применению политик информационных барьеров.

  1. Подключитесь к Exchange Online PowerShell.

  2. Запустите командлет Get-AddressBookPolicy и просмотрите результаты.

    Results Следующее действие
    Перечислены политики адресной книги Exchange Удаление политик адресных книг
    Политики адресной книги не существуют Просмотрите журналы аудита, чтобы узнать, почему приложение политики завершается сбоем

  3. Просмотр состояния учетных записей пользователей, сегментов, политик или приложений политик.

Проблема: политика информационных барьеров не применяется ко всем назначенным пользователям

После определения сегментов, политик информационных барьеров и попытки применить эти политики вы можете обнаружить, что политика применяется к некоторым получателям, но не к другим. При выполнении командлета Get-InformationBarrierPoliciesApplicationStatus найдите в выходных данных текст, подобный следующему.

Идентичности: <application guid>

Всего получателей: 81527

Неудачные получатели: 2

Категория сбоя: Нет

Состояние: Завершено

Действия

  1. Выполните поиск в журнале аудита по запросу <application guid>. Этот код PowerShell можно скопировать и изменить для переменных.

    $DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss>  -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}

  2. Проверьте подробные выходные данные из журнала аудита на наличие значений "UserId" полей и "ErrorDetails" . Это даст вам причину сбоя. Этот код PowerShell можно скопировать и изменить для переменных.

       $DetailedLogs[1] |fl

    Например:

    "UserId": User1

    "ErrorDetails":"Status: IBPolicyConflict. Ошибка: сегмент IB "segment id1" и сегмент IB "segment id2" имеют конфликт и не могут быть назначены получателю.

  3. Как правило, вы обнаружите, что пользователь был включен в несколько сегментов. Это можно исправить, обновив -UserGroupFilter значение в OrganizationSegments.

  4. Повторно примените политики информационных барьеров с помощью этих процедур политики информационных барьеров.

Ресурсы