通信和信息障碍问题
信息屏障 可帮助组织遵守法律要求和行业法规。 例如,借助信息屏障,可以限制特定用户组之间的通信,以避免利益冲突或其他问题。 (若要详细了解如何设置信息屏障,请参阅 定义信息屏障的策略。)
当人们在信息屏障到位后遇到意外问题时,可以采取一些步骤来解决这些问题。 使用本文作为指南。
重要
若要执行本文中所述的任务,必须为你分配适当的角色,例如以下角色之一:
- Microsoft 365 企业版全局管理员
- 全局管理员
- 合规性管理员
- IB 合规性管理 (这是一个新角色!)
若要详细了解信息屏障的先决条件,请参阅信息 屏障策略的先决条件 () 。
问题:在 Microsoft Teams 中意外阻止用户与他人通信
在这种情况下,用户报告了与 Microsoft Teams 中其他人通信的意外问题。 示例如下:
- 用户在 Microsoft Teams 中搜索但无法找到其他用户。
- 用户可以在 Microsoft Teams 中查找但无法选择其他用户。
- 用户可以看到另一个用户,但无法在 Microsoft Teams 中向该其他用户发送消息。
需执行的操作
确定用户是否受信息屏障策略的影响。 根据策略的配置方式,信息屏障可能按预期工作。 或者,可能需要优化组织的策略。
将 Get-InformationBarrierRecipientStatus cmdlet 与 Identity 参数配合使用。
语法 示例 Get-InformationBarrierRecipientStatus -Identity可以使用唯一标识每个收件人的任何标识值,例如姓名、别名、可分辨姓名 (DN) 、规范 DN、Email地址或 GUID。
Get-InformationBarrierRecipientStatus -Identity meganb在此示例中,我们使用别名 (meganb) 作为 Identity 参数。 此 cmdlet 将返回指示用户是否受信息屏障策略影响的信息。 (查找 *ExoPolicyId: <GUID>.)
如果用户未包含在信息屏障策略中,请联系支持人员。 否则,继续执行下一步。
了解信息屏障策略中包含哪些段。 为此,请将
Get-InformationBarrierPolicycmdlet 与 Identity 参数一起使用。语法 示例 Get-InformationBarrierPolicy使用详细信息(例如在上一步中收到的策略 GUID (ExoPolicyId) )作为标识值。
Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f在此示例中,我们将获取有关具有 ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f 的信息屏障策略的详细信息。
运行 cmdlet 后,在结果中查找 AssignedSegment、 SegmentsAllowed 和 SegmentsBlocked 值。
例如,运行
Get-InformationBarrierPolicycmdlet 后,我们在结果列表中看到了以下内容:AssignedSegment : Sales SegmentsAllowed : {} SegmentsBlocked : {Research}在本例中,我们可以看到信息屏障策略会影响销售和研究细分中的人员。 在这种情况下,销售人员无法与研究人员进行通信。
如果这看起来正确,则信息屏障将按预期工作。 如果没有,继续执行下一步。
请确保正确定义了段。 为此,请使用
Get-OrganizationSegmentcmdlet 并查看结果列表。语法 示例 Get-OrganizationSegment将此 cmdlet 与 Identity 参数一起使用。
Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd在此示例中,我们将获取有关具有 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的段的信息。
查看段的详细信息。 如有必要, 请编辑段,然后重复使用 cmdlet
Start-InformationBarrierPoliciesApplication。如果仍然遇到信息屏障策略问题,请联系支持人员。
问题:允许在 Microsoft Teams 中阻止的用户之间通信
在这种情况下,尽管已定义、激活并应用了信息屏障,但应阻止彼此通信的人员能够以某种方式在 Microsoft Teams 中相互聊天和呼叫。
需执行的操作
验证有问题的用户是否包含在信息屏障策略中。
将 Get-InformationBarrierRecipientStatus cmdlet 与 Identity 参数配合使用。
语法* 示例 Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>可以使用唯一标识每个用户的任何值,例如名称、别名、可分辨名称、规范域名、电子邮件地址或 GUID。
Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw在此示例中,我们引用了 Microsoft 365 中的两个用户帐户:meganb for Megan,alexw for Alex。
提示
还可以将此 cmdlet 用于单个用户:
Get-InformationBarrierRecipientStatus -Identity <value>查看调查结果。 Get-InformationBarrierRecipientStatus cmdlet 返回有关用户的信息,例如属性值和应用的任何信息屏障策略。
查看结果,然后执行后续步骤,如下表所述:
结果 下一步操作 未列出所选用户 () 执行下列操作之一:
- 通过在 Microsoft Entra ID 中编辑用户个人资料,将用户分配到现有段。 (请参阅 使用 Microsoft 365 PowerShell 配置用户帐户属性。)
- 使用 支持的信息屏障属性定义段。 然后, 定义新策略 或 编辑现有策略 以包含该段。已列出段,但未向这些段分配任何信息屏障策略 执行下列操作之一:
- 为每个有关细分定义新的信息屏障策略
- 编辑现有信息屏障策略 ,将其分配到正确的段已列出段,每个段都包含在信息屏障策略中 - 运行 Get-InformationBarrierPolicycmdlet 以验证信息屏障策略是否处于活动状态
- 运行Get-InformationBarrierPoliciesApplicationStatuscmdlet 以确认已应用策略
- 运行Start-InformationBarrierPoliciesApplicationcmdlet 以应用所有活动的信息屏障策略
问题:我需要从信息屏障策略中删除单个用户
在这种情况下,信息屏障策略有效,意外阻止一个或多个用户在 Microsoft Teams 中与他人通信。 可以从信息屏障策略中删除一个或多个单个用户,而不是完全删除信息屏障策略。
需执行的操作
信息屏障策略分配给用户细分。 段是使用 用户帐户配置文件中的某些属性定义的。 如果必须从单个用户中删除策略,请考虑在Microsoft Entra中编辑该用户的个人资料,以便该用户不再包含在受信息屏障影响的段中。
将 Get-InformationBarrierRecipientStatus cmdlet 与 Identity 参数配合使用。 此 cmdlet 返回有关用户的信息,例如属性值和应用的任何信息屏障策略。
语法 示例 Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>可以使用唯一标识每个用户的任何值,例如名称、别名、可分辨名称、规范域名、电子邮件地址或 GUID。
Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw在此示例中,我们引用了 Microsoft 365 中的两个用户帐户:meganb for Megan,alexw for Alex。
Get-InformationBarrierRecipientStatus -Identity <value>可以使用唯一标识用户的任何值,例如名称、别名、可分辨名称、规范域名、电子邮件地址或 GUID。
Get-InformationBarrierRecipientStatus -Identity jeanp在此示例中,我们引用 Microsoft 365: jeanp 中的单个帐户。
查看结果以查看是否分配了信息屏障策略,以及用户 () 所属 () 。
若要从受信息屏障影响的细分中删除用户,请在Microsoft Entra ID中更新用户的个人资料信息。
等待大约 30 分钟,等待 FwdSync 发生。 或者,
Start-InformationBarrierPoliciesApplication运行 cmdlet 以应用所有活动的信息屏障策略。
问题:信息屏障应用程序过程花费的时间太长
运行 Start-InformationBarrierPoliciesApplication cmdlet 后,该过程需要很长时间才能完成。
需执行的操作
请记住,运行策略应用程序 cmdlet 时,信息屏障策略将 (或删除组织中所有帐户) 用户。 如果有许多用户,则需要一段时间来处理。 (作为一般准则,处理 5,000 个用户帐户大约需要一个小时。)
使用 Get-InformationBarrierPoliciesApplicationStatus cmdlet 验证最新策略应用程序的状态。
查看最新的策略应用程序 查看所有策略应用程序的状态 Get-InformationBarrierPoliciesApplicationStatusGet-InformationBarrierPoliciesApplicationStatus -All $true这将显示有关策略应用程序已完成、失败还是正在进行的信息。
根据上一步的结果,执行以下步骤之一:
状态 后续步骤 未启动 如果运行 Start-InformationBarrierPoliciesApplication cmdlet 已超过 45 分钟,请查看审核日志,查看策略定义中是否存在任何错误或应用程序未启动的其他原因。 失败 如果应用程序失败,请查看审核日志。 此外,请查看细分市场和策略。 是否有任何用户分配到多个细分? 是否为任何段分配了多个策略? 如有必要, 请编辑段 和/或 编辑策略,然后再次运行 Start-InformationBarrierPoliciesApplication cmdlet。 正在进行 如果应用程序仍在进行中,请留出更多时间完成。 如果已过几天,请收集审核日志,然后联系支持人员。
问题:根本不应用信息屏障策略
在这种情况下,你定义了段、定义了信息屏障策略,并尝试应用了这些策略。 但是,运行 Get-InformationBarrierPoliciesApplicationStatus cmdlet 时,可以看到策略应用程序已失败。
需执行的操作
确保你的组织没有 制定 Exchange 通讯簿策略 。 此类策略将阻止应用信息屏障策略。
运行 Get-AddressBookPolicy cmdlet 并查看结果。
结果 后续步骤 已列出 Exchange 通讯簿策略 删除通讯簿策略 不存在通讯簿策略 查看审核日志,找出策略应用程序失败的原因
问题:信息屏障策略未应用于所有指定用户
定义段、定义信息屏障策略并尝试应用这些策略后,你可能会发现该策略正在应用于某些收件人,但不适用于其他收件人。
运行 Get-InformationBarrierPoliciesApplicationStatus cmdlet 时,在输出中搜索如下所示的文本。
身份:
<application guid>收件人总数:81527
失败的收件人:2
失败类别:无
状态:完成
需执行的操作
在审核日志中搜索
<application guid>。 可以复制此 PowerShell 代码并修改变量。$DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss> -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}检查审核日志中的详细输出,了解 和
"ErrorDetails"字段的值"UserId"。 这会提供失败的原因。 可以复制此 PowerShell 代码并修改变量。$DetailedLogs[1] |fl例如:
“UserId”:User1
“ErrorDetails”:“Status: IBPolicyConflict。 错误:IB 段“段 id1”和 IB 段“段 id2”存在冲突,无法分配给收件人。
通常,你会发现一个用户已包含在多个段中。 可以通过更新
-UserGroupFilter中的OrganizationSegments值来解决此问题。使用这些过程重新应用信息屏障策略。
资源
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈