Freigeben über

Beheben von Kommunikationsproblemen in Informationsbarrieren

  • Artikel
  • Gilt für::
    Microsoft 365

Microsoft Purview Information Barrieren können Ihrer Organisation helfen, die gesetzlichen Anforderungen und branchenspezifischen Vorschriften einzuhalten. Sie können beispielsweise Informationsbarrieren verwenden, um die Kommunikation zwischen bestimmten Benutzergruppen einzuschränken, um einen Interessenkonflikt zu vermeiden.

In den folgenden Abschnitten finden Sie Schritte zur Problembehandlung für verschiedene Probleme, die möglicherweise auftreten.

Wichtig

Bevor Sie Probleme mit Informationsbarrieren beheben, stellen Sie sicher, dass Sie über die entsprechenden Abonnements und Berechtigungen verfügen, die erforderlichen Voraussetzungen erfüllen und eine Verbindung mit Security & Compliance Center PowerShell herstellen.

Problem: Benutzer werden unerwartet daran gehindert, mit anderen personen in Teams zu kommunizieren

Ihre Benutzer melden unerwartete Probleme, wenn sie versuchen, mithilfe von Microsoft Teams mit anderen zu kommunizieren. Zum Beispiel:

  • Ein Benutzer sucht nach einem anderen Benutzer in Teams, der aber nicht gefunden werden kann.
  • Ein Benutzer kann einen anderen Benutzer in Teams finden, aber nicht auswählen.
  • Ein Benutzer kann einen anderen Benutzer sehen, aber keine Nachrichten an diesen Benutzer in Teams senden.

Vorgehensweise

Ermitteln Sie, ob die Benutzer von einer Richtlinie für Informationsbarrieren betroffen sind. Je nachdem, wie Richtlinien konfiguriert sind, funktionieren Informationsbarrieren möglicherweise wie erwartet. Oder Sie müssen möglicherweise die Richtlinien Ihrer Organisation verfeinern.

  1. Verwenden Sie das Cmdlet "Get-InformationBarrierRecipientStatus " zusammen mit dem Parameter "Identity ".

    Syntax Beispiel
    Get-InformationBarrierRecipientStatus -Identity

    Sie können einen beliebigen Identitätswert verwenden, der jeden Empfänger eindeutig identifiziert, z. B. Name, Alias, Distinguished Name (DN), kanonische DN, E-Mail-Adresse oder GUID.    		 Get-InformationBarrierRecipientStatus -Identity meganb

    In diesem Beispiel wird ein Alias (Meganb) für den Parameter "Identity" verwendet. Dieses Cmdlet gibt Informationen zurück, die angeben, ob der Benutzer von einer Richtlinie für Informationsbarrieren betroffen ist. (Suchen Sie nach *ExoPolicyId: <GUID>.)

    Wenn die Benutzer nicht in richtlinien für Informationsbarrieren enthalten sind, wenden Sie sich an Microsoft-Support. Andernfalls fahren Sie mit dem nächsten Schritt fort.

  2. Bestimmen Sie, welche Segmente in einer Richtlinie für Informationsbarrieren enthalten sind. Verwenden Sie dazu das Cmdlet "Get-InformationBarrierPolicy " zusammen mit dem Parameter "Identity ".

    Syntax Beispiel
    Get-InformationBarrierPolicy

    Verwenden Sie Details, z. B. die Richtlinien-GUID (ExoPolicyId), die Sie im vorherigen Schritt erhalten haben, als Identitätswert.    		 Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f

    Dieses Beispiel enthält detaillierte Informationen zur Richtlinie für Informationsbarrieren mit ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f.

    Überprüfen Sie nach dem Ausführen des Cmdlets die Ergebnisse für assignedSegment-, SegmentsAllowed- und SegmentsBlocked-Werte .

    Nachdem Sie beispielsweise das Cmdlet Get-InformationBarrierPolicy ausgeführt haben, wird Folgendes in den Ergebnissen angezeigt:

    AssignedSegment : Sales
    SegmenteAllowed: {}
    SegmentBlocked : {Research}

    In diesem Fall können Sie sehen, dass eine Richtlinie für Informationsbarrieren Personen betrifft, die sich in den Segmenten Vertrieb und Forschung befinden. Personen im Vertrieb werden daran gehindert, mit Personen in der Forschung zu kommunizieren.

    Wenn dies richtig erscheint, funktionieren die Informationsbarrieren wie erwartet. Wenn nicht, fahren Sie mit dem nächsten Schritt fort.

  3. Stellen Sie sicher, dass Ihre Segmente richtig definiert sind. Verwenden Sie dazu das Cmdlet Get-OrganizationSegment , und überprüfen Sie die Liste der Ergebnisse.

    Syntax Beispiel
    Get-OrganizationSegment

    Verwenden Sie dieses Cmdlet mit dem Parameter "Identity ".    		 Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd

    In diesem Beispiel erhalten wir Informationen zum Segment mit GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

    Überprüfen Sie die Details für das Segment. Bearbeiten Sie bei Bedarf ein Segment, und verwenden Sie dann das Cmdlet Start-InformationBarrierPoliciesApplication .

    Wenn weiterhin Probleme auftreten, wenn Sie Ihre Richtlinie für Informationsbarrieren verwenden, wenden Sie sich an Microsoft-Support.

Problem: Die Kommunikation ist zwischen Benutzern zulässig, die in Teams blockiert werden sollen.

Obwohl Informationsbarrieren definiert, aktiv und angewendet werden, können Personen, die nicht miteinander kommunizieren können, in Teams miteinander chatten und sich gegenseitig anrufen.

Vorgehensweise

Stellen Sie sicher, dass die betreffenden Benutzer in eine Richtlinie für Informationsbarrieren eingeschlossen sind.

  1. Verwenden Sie das Cmdlet "Get-InformationBarrierRecipientStatus " zusammen mit den Parametern "Identity " und "Identity2 ".

    Syntax* Beispiel
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Sie können jeden Beliebigen Wert verwenden, der jeden Benutzer eindeutig identifiziert, z. B. Name, Alias, Distinguished Name, kanonischer Domänenname, E-Mail-Adresse oder GUID.    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    Dieses Beispiel bezieht sich auf zwei Benutzerkonten in Microsoft 365: meganb für Megan und alexw für Alex.

    Tipp

    Sie können dieses Cmdlet auch für einen einzelnen Benutzer verwenden: Get-InformationBarrierRecipientStatus -Identity <value>

  2. Überprüfen Sie die Ergebnisse. Das Cmdlet Get-InformationBarrierRecipientStatus gibt Informationen zu Benutzern zurück, z. B. Attributwerte und alle angewendeten Richtlinien für Informationsbarrieren.

    Führen Sie die nächsten Schritte aus, wie in der folgenden Tabelle beschrieben.

    Ergebnis  Nächste Schritte 
    Für die ausgewählten Benutzer werden keine Segmente aufgelistet.
    1. Verwenden Sie eine der folgenden Methoden:
    2. Führen Sie das Cmdlet Start-InformationBarrierPoliciesApplication aus, um alle aktiven Richtlinien für Informationsbarrieren anzuwenden.
    Segmente werden aufgelistet, aber diesen Segmenten werden keine Richtlinien für Informationsbarrieren zugewiesen.
    1. Verwenden Sie eine der folgenden Methoden:
    2. Führen Sie das Cmdlet Start-InformationBarrierPoliciesApplication aus, um alle aktiven Richtlinien für Informationsbarrieren anzuwenden.
    Segmente werden aufgelistet, und jede ist in einer Richtlinie für Informationsbarrieren enthalten
    1. Führen Sie das Cmdlet Get-InformationBarrierPolicy aus, um zu überprüfen, ob Richtlinien für Informationsbarrieren aktiv sind.
    2. Führen Sie das Cmdlet Get-InformationBarrierPoliciesApplicationStatus aus, um zu überprüfen, ob die Richtlinien angewendet werden.
    3. Führen Sie das Cmdlet Start-InformationBarrierPoliciesApplication aus, um alle aktiven Richtlinien für Informationsbarrieren anzuwenden.

Problem: Ich möchte einen einzelnen Benutzer aus einer Richtlinie für Informationsbarrieren entfernen.

Richtlinien für Informationsbarrieren sind wirksam, und ein oder mehrere Benutzer werden unerwartet daran gehindert, mit anderen personen in Microsoft Teams zu kommunizieren. Anstatt Informationsbarrieren-Richtlinien vollständig zu entfernen, können Sie einen oder mehrere einzelne Benutzer aus Informationsbarrierenrichtlinien entfernen.

Vorgehensweise

Richtlinien für Informationsbarrieren werden Segmenten von Benutzern zugewiesen. Segmente werden mithilfe bestimmter Attribute in Benutzerkontoprofilen definiert. Wenn Sie eine Richtlinie von einem einzelnen Benutzer entfernen müssen, sollten Sie das Profil dieses Benutzers in Microsoft Entra bearbeiten, damit der Benutzer nicht mehr in einem Segment enthalten ist, das von Informationsbarrieren betroffen ist.

  1. Verwenden Sie das Cmdlet "Get-InformationBarrierRecipientStatus " zusammen mit den Parametern "Identity " und "Identity2 ". Dieses Cmdlet gibt Informationen zu Benutzern zurück, z. B. Attributwerte und alle angewendeten Informationsbarrierenrichtlinien.

    Syntax Beispiel
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Sie können jeden Beliebigen Wert verwenden, der jeden Benutzer eindeutig identifiziert, z. B. Name, Alias, Distinguished Name, kanonischer Domänenname, E-Mail-Adresse oder GUID.    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    Dieses Beispiel bezieht sich auf zwei Benutzerkonten in Microsoft 365: meganb für Megan und alexw für Alex.
    Get-InformationBarrierRecipientStatus -Identity <value>

    Sie können jeden Beliebigen Wert verwenden, der den Benutzer eindeutig identifiziert, z. B. Name, Alias, Distinguished Name, kanonischer Domänenname, E-Mail-Adresse oder GUID.    		 Get-InformationBarrierRecipientStatus -Identity jeanp

    In diesem Beispiel wird auf ein einzelnes Konto in Microsoft 365 verwiesen: jeanp.

  2. Überprüfen Sie die Ergebnisse, um zu erfahren, ob Richtlinien für Informationsbarrieren zugewiesen sind und welchen Segmenten die Benutzer angehören.

  3. Um einen Benutzer aus einem Segment zu entfernen, das von Informationsbarrieren betroffen ist, aktualisieren Sie die Profilinformationen des Benutzers in der Microsoft Entra-ID.

  4. Warten Sie ungefähr 30 Minuten, bis der FwdSync-Vorgang abgeschlossen ist. Oder führen Sie das Cmdlet Start-InformationBarrierPoliciesApplication aus, um alle aktiven Richtlinien für Informationsbarrieren anzuwenden.

Problem: Der Anwendungsprozess für Informationsbarrieren dauert zu lange.

Nach dem Ausführen des Cmdlets "Start-InformationBarrierPoliciesApplication " dauert der Vorgang lange.

Vorgehensweise

Denken Sie daran, dass beim Ausführen des Richtlinienanwendungs-Cmdlets Informationsbarrieren-Richtlinien vom Benutzer für alle Konten in Ihrer Organisation angewendet (oder entfernt werden). Wenn Sie viele Benutzer haben, dauert der Vorgang eine Weile, um ausgeführt zu werden. (Als allgemeine Richtlinie dauert es etwa eine Stunde, 5.000 Benutzerkonten zu verarbeiten.)

  1. Verwenden Sie das Cmdlet Get-InformationBarrierPoliciesApplicationStatus , um den Status der neuesten Richtlinienanwendung anzuzeigen.

    Für die neueste Richtlinienanwendung Für alle Richtlinienanwendungen
    Get-InformationBarrierPoliciesApplicationStatus Get-InformationBarrierPoliciesApplicationStatus -All $true

    Dieser Befehl zeigt Informationen darüber an, ob eine Richtlinienanwendung abgeschlossen, fehlgeschlagen oder ausgeführt wird.

  2. Je nach den Ergebnissen des vorherigen Schritts führen Sie einen der folgenden Schritte aus.

    Status Nächster Schritt
    Nicht gestartet Wenn seit der Ausführung des Cmdlets Start-InformationBarrierPoliciesApplication mehr als 45 Minuten vergangen sind, überprüfen Sie das Überwachungsprotokoll, um festzustellen, ob Richtliniendefinitionen Fehler enthalten oder die Anwendung aus einem anderen Grund nicht gestartet wurde.
    Fehler Wenn die Anwendung fehlgeschlagen ist, überprüfen Sie Ihr Überwachungsprotokoll. Überprüfen Sie auch Ihre Segmente und Richtlinien. Sind Benutzer mehreren Segmenten zugewiesen? Sind Segmente mehreren Richtlinien zugewiesen? Wenn dies erforderlich ist, bearbeiten Sie Segmente oder Bearbeiten von Richtlinien, und führen Sie dann das Cmdlet Start-InformationBarrierPoliciesApplication erneut aus .
    In Bearbeitung Wenn die Anwendung noch in Bearbeitung ist, lassen Sie mehr Zeit für den Abschluss der Anwendung zu. Wenn seit dem Start der Anwendung mehrere Tage vergangen sind, sammeln Sie Ihre Überwachungsprotokolle, und wenden Sie sich an Microsoft-Support.

Problem: Richtlinien für Informationsbarrieren werden überhaupt nicht angewendet

Sie haben Segmente definiert, Richtlinien für Informationsbarrieren definiert und versucht, diese Richtlinien anzuwenden. Wenn Sie jedoch das Cmdlet Get-InformationBarrierPoliciesApplicationStatus ausführen, können Sie sehen, dass die Richtlinienanwendung fehlgeschlagen ist.

Vorgehensweise

Stellen Sie sicher, dass In Ihrer Organisation keine Exchange-Adressbuchrichtlinien vorhanden sind. Solche Richtlinien verhindern, dass Richtlinien für Informationsbarrieren angewendet werden.

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.

  2. Führen Sie das Cmdlet Get-AddressBookPolicy aus, und überprüfen Sie die Ergebnisse.

    Ergebnisse Nächster Schritt
    Exchange-Adressbuchrichtlinien sind aufgeführt. Entfernen sie Adressbuchrichtlinien.
    Es sind keine Adressbuchrichtlinien vorhanden. Überprüfen Sie Ihre Überwachungsprotokolle, um zu ermitteln, warum die Richtlinienanwendung fehlgeschlagen ist.

  3. Zeigen Sie den Status von Benutzerkonten, Segmenten, Richtlinien oder Richtlinienanwendungen an.

Problem: Die Richtlinie für Informationsbarrieren wird nicht auf alle vorgesehenen Benutzer angewendet.

Nachdem Sie Segmente und Richtlinien für Informationsbarrieren definiert haben und versuchen, diese Richtlinien anzuwenden, erfahren Sie möglicherweise, dass die Richtlinie auf einige Empfänger angewendet wird, aber nicht auf andere. Wenn Sie das Cmdlet Get-InformationBarrierPoliciesApplicationStatus ausführen, suchen Sie die Ausgabe nach Text, der wie folgt aussieht:

Identität: <application guid>
Gesamtempfänger: 81527
Fehlgeschlagene Empfänger: 2
Fehlerkategorie: Keine
Status: Abgeschlossen

Vorgehensweise

  1. Suchen Sie im Überwachungsprotokoll nach <application guid>. Sie können diesen PowerShell-Code kopieren und ändern, indem Sie Ihre Variablen ersetzen:

    $detailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss> -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}

  2. Überprüfen Sie die detaillierte Ausgabe aus dem Überwachungsprotokoll auf die Werte der Felder "UserId " und "ErrorDetails ". Dies stellt den Grund für den Fehler bereit. Sie können diesen PowerShell-Code kopieren und ändern, indem Sie Ihre Variablen ersetzen.

    $detailedLogs[1] | FL

    Zum Beispiel:

    "UserId": User1
    "ErrorDetails": "Status: IBPolicyConflict. Fehler: Das IB-Segment "Segment id1" und das IB-Segment "Segment-ID2" weist Einen Konflikt auf und kann dem Empfänger nicht zugewiesen werden.

  3. In der Regel erfahren Sie, dass ein Benutzer in mehr als einem Segment enthalten war. Sie können dieses Problem beheben, indem Sie die Segmentmitgliedschaft aktualisieren. Verwenden Sie dazu das Cmdlet Set-OrganizationSegment zusammen mit dem UserGroupFilter Parameter.

  4. Richtlinien für Informationsbarrieren erneut anwenden.