通訊和資訊屏障的問題
資訊屏障 可協助您的組織符合法律需求和產業法規。 例如,利用資訊屏障,您可以限制特定使用者群組之間的通訊,以避免發生感興趣的衝突或其他問題。 (若要深入瞭解如何設定資訊屏障,請參閱 定義資訊屏障的原則。)
當人員在資訊屏障就緒后遇到非預期的問題時,您可以採取一些步驟來解決這些問題。 善用本文作為指南。
重要事項
若要執行本文中所述的工作,您必須獲指派適當的角色,例如下列其中一項:
- Microsoft 365 企業版全域系統管理員
- 全域管理員
- 合規性系統管理員
- IB 合規性管理 (這是新的角色!)
若要深入瞭解資訊屏障的必要條件,請 參閱) 資訊屏障原則的必要條件 (。
問題:使用者意外遭到封鎖,無法與 Microsoft Teams 中的其他人通訊
在此情況下,用戶回報與 Microsoft Teams 中其他人通訊時發生非預期的問題。 部分範例如下:
- 使用者在 Microsoft Teams 中搜尋另一個使用者,但找不到。
- 用戶可以在 Microsoft Teams 中尋找另一個使用者,但無法選取。
- 使用者可以看到另一位使用者,但無法在 Microsoft Teams 中將訊息傳送給其他使用者。
處理方式
判斷使用者是否受到資訊屏障原則的影響。 根據原則的設定方式,資訊屏障可能會如預期般運作。 或者,您可能必須精簡組織的原則。
使用 Get-InformationBarrierRecipientStatus Cmdlet 搭配 Identity 參數。
語法 範例 Get-InformationBarrierRecipientStatus -Identity您可以使用可唯一識別每個收件者的身分識別值,例如名稱、別名、辨別名稱 (DN) 、標準 DN、Email 位址或 GUID。
Get-InformationBarrierRecipientStatus -Identity meganb在此範例中,我們使用別名 (identity 參數的 meganb) 。 此 Cmdlet 會傳回資訊,指出使用者是否受到資訊屏障原則的影響。 (尋找 *ExoPolicyId: <GUID>.)
如果資訊屏障原則中未包含使用者,請連絡支持人員。 否則,請繼續進行下一個步驟。
了解資訊屏障原則中包含哪些區段。 若要這樣做,請使用
Get-InformationBarrierPolicyCmdlet 搭配 Identity 參數。語法 範例 Get-InformationBarrierPolicy使用詳細數據,例如您在上一個步驟中收到的原則 GUID (ExoPolicyId) 做為身分識別值。
Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f在此範例中,我們會取得具有 ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f 的資訊屏障原則詳細資訊。
執行 Cmdlet 之後,請在結果中尋找 AssignedSegment、 SegmentsAllowed 和 SegmentsBlocked 值。
例如,在執行
Get-InformationBarrierPolicyCmdlet 之後,我們在結果清單中看到下列專案:AssignedSegment : Sales SegmentsAllowed : {} SegmentsBlocked : {Research}在此情況下,我們可以看到資訊屏障原則會影響銷售和研究區段中的人員。 在此情況下,Sales 中的人員無法與 Research 中的人員通訊。
如果這看起來是正確的,則資訊屏障會如預期般運作。 若未完成,請繼續進行下一個步驟。
請確定已正確定義您的區段。 若要這樣做,請使用
Get-OrganizationSegmentCmdlet,並檢閱結果清單。語法 範例 Get-OrganizationSegment使用此 Cmdlet 搭配 Identity 參數。
Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd在此範例中,我們會取得具有 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的區段相關信息。
檢閱區段的詳細數據。 如有必要, 請編輯區段,然後重複使用 Cmdlet
Start-InformationBarrierPoliciesApplication。如果您的資訊屏障原則仍有問題,請連絡支持人員。
問題:Microsoft Teams 中應封鎖的用戶之間允許通訊
在此情況下,雖然資訊屏障已定義、作用中且已套用,但應該防止彼此通訊的人員還是能夠在 Microsoft Teams 中互相聊天和通話。
處理方式
確認有問題的使用者包含在資訊屏障原則中。
使用 Get-InformationBarrierRecipientStatus Cmdlet 搭配 Identity 參數。
語法* 範例 Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>您可以使用可唯一識別每個使用者的任何值,例如名稱、別名、辨別名稱、正式功能變數名稱、電子郵件位址或 GUID。
Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw在此範例中,我們會參考 Microsoft 365 中的兩個用戶帳戶:meganb for Megan,Alexw。
提示
您也可以針對單一使用者使用此 Cmdlet:
Get-InformationBarrierRecipientStatus -Identity <value>檢閱結果。 Get-InformationBarrierRecipientStatus Cmdlet 會傳回使用者的相關信息,例如屬性值和套用的任何資訊屏障原則。
檢閱結果,然後採取後續步驟,如下表所述:
Results 下一步該怎麼辦 選取的使用者 () 不會列出任何區段 執行下列其中一項:
- 在 Microsoft Entra ID 中編輯使用者配置檔,將使用者指派給現有的區段。 (請參閱使用 Microsoft 365 PowerShell.) 設定使用者帳戶屬性
- 使用 支援的資訊屏障屬性來定義區段。 然後, 定義新原則 或 編輯現有原則 以包含該區段。已列出區段,但不會將任何資訊屏障原則指派給這些區段 執行下列其中一項:
- 為每個有問題的區段定義新的資訊屏障原則
- 編輯現有的資訊屏障原則 ,將其指派給正確的區段區段會列出,且每個區段都包含在資訊屏障原則中 - 執行 Cmdlet Get-InformationBarrierPolicy以確認資訊屏障原則為作用中
- 執行Get-InformationBarrierPoliciesApplicationStatusCmdlet 以確認已套用原則
- 執行Start-InformationBarrierPoliciesApplicationCmdlet 以套用所有作用中資訊屏障原則
問題:我需要從資訊屏障原則中移除單一使用者
在此情況下,資訊屏障原則會生效,而且會意外封鎖一或多個使用者與 Microsoft Teams 中的其他人通訊。 您可以從資訊屏障原則中移除一或多個個別使用者,而不是完全移除資訊屏障原則。
處理方式
資訊屏障原則會指派給用戶區段。 區段是使用 用戶帳戶配置檔中的特定屬性來定義。 如果您必須從單一使用者移除原則,請考慮在 Microsoft Entra 中編輯該使用者的配置檔,讓使用者不再包含在受資訊屏障影響的區段中。
使用 Get-InformationBarrierRecipientStatus Cmdlet 搭配 Identity 參數。 此 Cmdlet 會傳回使用者的相關信息,例如屬性值和套用的任何資訊屏障原則。
語法 範例 Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>您可以使用可唯一識別每個使用者的任何值,例如名稱、別名、辨別名稱、正式功能變數名稱、電子郵件位址或 GUID。
Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw在此範例中,我們會參考 Microsoft 365 中的兩個用戶帳戶:meganb for Megan,Alexw。
Get-InformationBarrierRecipientStatus -Identity <value>您可以使用可唯一識別使用者的任何值,例如名稱、別名、辨別名稱、標準功能變數名稱、電子郵件位址或 GUID。
Get-InformationBarrierRecipientStatus -Identity jeanp在此範例中,我們會參考 Microsoft 365 中的單一帳戶: 回應。
檢閱結果,以查看是否已指派資訊屏障原則,以及使用者 () 所屬) (區段。
若要從受資訊屏障影響的區段中移除使用者,請在 Microsoft Entra ID 中更新使用者的配置檔資訊。
等候約 30 分鐘,FwdSync 才會發生。 或者,執行
Start-InformationBarrierPoliciesApplicationCmdlet 以套用所有作用中的資訊屏障原則。
問題:資訊屏障應用程式程序花費的時間太長
執行 Start-InformationBarrierPoliciesApplication Cmdlet 之後,此程式需要很長的時間才能完成。
處理方式
請記住,當您執行原則應用程式 Cmdlet 時,會針對組織中的所有帳戶套用 (或移除) 使用者的資訊屏障原則。 如果您有許多使用者,則需要一些時間來處理。 (一般指導方針,處理5,000個用戶帳戶大約需要一小時的時間。)
使用 Get-InformationBarrierPoliciesApplicationStatus Cmdlet 來驗證最新原則應用程式的狀態。
檢視最新的原則應用程式 檢視所有原則應用程式的狀態 Get-InformationBarrierPoliciesApplicationStatusGet-InformationBarrierPoliciesApplicationStatus -All $true這會顯示原則應用程式是否已完成、失敗或正在進行中的相關信息。
根據上一個步驟的結果,採取下列其中一個步驟:
狀態 下一步 未啟動 如果執行 Start-InformationBarrierPoliciesApplication Cmdlet 已經超過 45 分鐘,請檢閱您的稽核記錄,以查看原則定義中是否有任何錯誤,或應用程式未啟動的一些其他原因。 已失敗 如果應用程式失敗,請檢閱您的稽核記錄。 也請檢閱您的區段和原則。 是否有任何使用者指派給多個區段? 是否有任何區段指派多個原則? 如有必要, 請編輯區段 和/或 編輯原則,然後再次執行 Start-InformationBarrierPoliciesApplication Cmdlet。 進行中。 如果應用程式仍在進行中,請允許更多時間讓應用程式完成。 如果已經過幾天,請收集稽核記錄,然後連絡支持人員。
問題:資訊屏障原則完全不會套用
在此情況下,您已定義區段、定義資訊屏障原則,並嘗試套用這些原則。 不過,當您執行 Cmdlet Get-InformationBarrierPoliciesApplicationStatus 時,您會看到原則應用程式失敗。
處理方式
請確定您的組織沒有已備妥 Exchange 通訊簿原則 。 這類原則會防止套用資訊屏障原則。
執行 Get-AddressBookPolicy Cmdlet,並檢閱結果。
Results 下一步 列出 Exchange 通訊簿原則 拿掉通訊錄原則 沒有通訊簿原則存在 檢閱稽核記錄以了解原則應用程式失敗的原因
問題:資訊屏障原則未套用至所有指定的使用者
定義區段、定義資訊屏障原則,並嘗試套用這些原則之後,您可能會發現原則正在套用至某些收件者,但未套用至其他收件者。
當您執行 Cmdlet Get-InformationBarrierPoliciesApplicationStatus 時,請在輸出中搜尋如下的文字。
身份:
<application guid>收件者總數:81527
失敗的收件者:2
失敗類別:無
狀態:完成
處理方式
在稽核紀錄
<application guid>中搜尋 。 您可以複製此 PowerShell 程式代碼,並針對變數進行修改。$DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss> -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}檢查稽核記錄的詳細輸出,以取得 和
"ErrorDetails"欄位的"UserId"值。 這會提供失敗的原因。 您可以複製此 PowerShell 程式代碼,並針對變數進行修改。$DetailedLogs[1] |fl例如:
“UserId”: User1
“ErrorDetails”:“Status: IBPolicyConflict. 錯誤:IB 區段 「segment id1」 和 IB 區段 「segment id2」 發生衝突,無法指派給收件者。
通常,您會發現使用者已包含在多個區段中。 您可以藉由更新 中的
OrganizationSegments值來-UserGroupFilter修正此問題。使用這些程式重新套用資訊屏障 原則資訊屏障原則。
資源
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應