Problemas con las comunicaciones y las barreras de información
Las barreras de información pueden ayudar a su organización a cumplir los requisitos legales y las regulaciones del sector. Por ejemplo, con barreras de información, puede restringir la comunicación entre grupos específicos de usuarios para evitar un conflicto de intereses u otros problemas. (Para más información sobre cómo configurar barreras de información, consulte Definir directivas para barreras de información).
Cuando las personas se encuentran con problemas inesperados después de que se produzcan barreras de información, hay algunos pasos que puede seguir para resolver esos problemas. Use este artículo como guía.
Importante
Para realizar las tareas descritas en este artículo, debe tener asignado un rol adecuado, como uno de los siguientes:
- Administrador de cumplimiento
- Ib Compliance Management (este es un nuevo rol!)
Para más información sobre los requisitos previos para las barreras de información, consulte Requisitos previos (para directivas de barreras de información).
Asegúrese de conectarse a PowerShell del Centro de seguridad y cumplimiento.
Problema: Los usuarios no pueden comunicarse con otros usuarios de Microsoft Teams de forma inesperada
En este caso, las personas notifican problemas inesperados que se comunican con otros usuarios de Microsoft Teams. Ejemplos:
- Un usuario busca, pero no puede encontrar, otro usuario de Microsoft Teams.
- Un usuario puede encontrar, pero no puede seleccionarlo, otro usuario de Microsoft Teams.
- Un usuario puede ver a otro usuario, pero no puede enviar mensajes a ese otro usuario de Microsoft Teams.
Qué hacer
Determine si los usuarios se ven afectados por una directiva de barrera de información. En función de cómo se configuran las directivas, las barreras de información podrían funcionar según lo previsto. O bien, es posible que tenga que refinar las directivas de su organización.
Use el cmdlet Get-InformationBarrierRecipientStatus con el parámetro Identity.
Sintaxis Ejemplo Get-InformationBarrierRecipientStatus -IdentityPuede usar cualquier valor de identidad que identifique de forma única a cada destinatario, como Nombre, Alias, Nombre distintivo (DN), DN canónico, Dirección de correo electrónico o GUID.
Get-InformationBarrierRecipientStatus -Identity meganbEn este ejemplo, se usa un alias (meganb) para el parámetro Identity. Este cmdlet devolverá información que indica si el usuario se ve afectado por una directiva de barrera de información. (Busque *ExoPolicyId: <GUID>.
Si los usuarios no están incluidos en las directivas de barrera de información, póngase en contacto con el soporte técnico. De lo contrario, continúe con el paso siguiente.
Averigüe qué segmentos se incluyen en una directiva de barrera de información. Para ello, use el
Get-InformationBarrierPolicycmdlet con el parámetro Identity.Sintaxis Ejemplo Get-InformationBarrierPolicyUse detalles, como el GUID de directiva (ExoPolicyId) que recibió durante el paso anterior, como un valor de identidad.
Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6fEn este ejemplo, se obtiene información detallada sobre la directiva de barrera de información que tiene ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f.
Después de ejecutar el cmdlet, en los resultados, busque los valores AssignedSegment, SegmentAllowed y SegmentBlocked .
Por ejemplo, después de ejecutar el
Get-InformationBarrierPolicycmdlet, hemos visto lo siguiente en nuestra lista de resultados:AssignedSegment : Sales SegmentsAllowed : {} SegmentsBlocked : {Research}En este caso, podemos ver que una directiva de barrera de información afecta a las personas que se encuentran en los segmentos Ventas e Investigación. En este caso, se impide que las personas de Ventas se comuniquen con personas en Investigación.
Si esto parece correcto, las barreras de información funcionan según lo previsto. Si no, siga con el paso siguiente.
Asegúrese de que los segmentos están definidos correctamente. Para ello, use el
Get-OrganizationSegmentcmdlet y revise la lista de resultados.Sintaxis Ejemplo Get-OrganizationSegmentUse este cmdlet con un parámetro Identity.
Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcdEn este ejemplo, se obtiene información sobre el segmento que tiene GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.
Revise los detalles del segmento. Si es necesario, edite un segmento y vuelva a usar el
Start-InformationBarrierPoliciesApplicationcmdlet .Si sigue teniendo problemas con la directiva de barrera de información, póngase en contacto con el soporte técnico.
Problema: las comunicaciones se permiten entre los usuarios que deben bloquearse en Microsoft Teams
En este caso, aunque las barreras de información se definen, activan y aplican, las personas que deben impedirse comunicarse entre sí son capaces de chatear entre sí y llamarse entre sí en Microsoft Teams.
Qué hacer
Compruebe que los usuarios en cuestión se incluyen en una directiva de barrera de información.
Use el cmdlet Get-InformationBarrierRecipientStatus con parámetros Identity.
Sintaxis* Ejemplo Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>Puede usar cualquier valor que identifique de forma única a cada usuario, como nombre, alias, nombre distintivo, nombre de dominio canónico, dirección de correo electrónico o GUID.
Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexwEn este ejemplo, nos referimos a dos cuentas de usuario en Microsoft 365: meganb para Megan y alexw para Alex.
Sugerencia
También puede usar este cmdlet para un único usuario:
Get-InformationBarrierRecipientStatus -Identity <value>Revise los resultados. El cmdlet Get-InformationBarrierRecipientStatus devuelve información sobre los usuarios, como los valores de atributo y las directivas de barrera de información que se aplican.
Revise los resultados y, a continuación, realice los pasos siguientes, como se describe en la tabla siguiente:
Resultados Qué hacer a continuación No se muestran segmentos para los usuarios seleccionados. Realice una de las siguientes acciones:
- Asigne usuarios a un segmento existente editando sus perfiles de usuario en microsoft Entra ID. (Consulte Configurar las propiedades de la cuenta de usuario con Microsoft 365 PowerShell).
- Definir un segmento mediante un atributo admitido para las barreras de información. A continuación, defina una nueva directiva o edite una directiva existente para incluir ese segmento.Se muestran segmentos, pero no se asignan directivas de barrera de información a esos segmentos. Realice una de las siguientes acciones:
- Definición de una nueva directiva de barrera de información para cada segmento en cuestión
- Editar una directiva de barrera de información existente para asignarla al segmento correctoLos segmentos se enumeran y cada uno se incluye en una directiva de barrera de información. - Ejecute el Get-InformationBarrierPolicycmdlet para comprobar que las directivas de barrera de información están activas.
: ejecute elGet-InformationBarrierPoliciesApplicationStatuscmdlet para confirmar que se aplican las directivas.
: ejecute elStart-InformationBarrierPoliciesApplicationcmdlet para aplicar todas las directivas de barrera de información activa.
Problema: Necesito quitar un solo usuario de una directiva de barrera de información
En este caso, las directivas de barrera de información están en vigor y uno o varios usuarios se bloquean inesperadamente para comunicarse con otros usuarios de Microsoft Teams. En lugar de quitar las directivas de barrera de información por completo, puede quitar uno o varios usuarios individuales de las directivas de barrera de información.
Qué hacer
Las directivas de barrera de información se asignan a segmentos de usuarios. Los segmentos se definen mediante determinados atributos en perfiles de cuenta de usuario. Si debe quitar una directiva de un solo usuario, considere la posibilidad de editar el perfil del usuario en Microsoft Entra para que el usuario ya no esté incluido en un segmento afectado por las barreras de información.
Use el cmdlet Get-InformationBarrierRecipientStatus con parámetros Identity. Este cmdlet devuelve información sobre los usuarios, como los valores de atributo y las directivas de barrera de información que se aplican.
Sintaxis Ejemplo Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>Puede usar cualquier valor que identifique de forma única a cada usuario, como nombre, alias, nombre distintivo, nombre de dominio canónico, dirección de correo electrónico o GUID.
Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexwEn este ejemplo, nos referimos a dos cuentas de usuario en Microsoft 365: meganb para Megan y alexw para Alex.
Get-InformationBarrierRecipientStatus -Identity <value>Puede usar cualquier valor que identifique de forma única al usuario, como nombre, alias, nombre distintivo, nombre de dominio canónico, dirección de correo electrónico o GUID.
Get-InformationBarrierRecipientStatus -Identity jeanpEn este ejemplo, nos referimos a una sola cuenta en Microsoft 365: jeanp.
Revise los resultados para ver si se asignan directivas de barrera de información y a qué segmentos pertenecen los usuarios.
Para quitar un usuario de un segmento afectado por las barreras de información, actualice la información del perfil del usuario en Microsoft Entra ID.
Espere unos 30 minutos para que se produzca FwdSync. O bien, ejecute el
Start-InformationBarrierPoliciesApplicationcmdlet para aplicar todas las directivas de barrera de información activa.
Problema: el proceso de aplicación de barrera de información tarda demasiado tiempo
Después de ejecutar el cmdlet Start-InformationBarrierPoliciesApplication , el proceso tarda mucho tiempo en finalizar.
Qué hacer
Tenga en cuenta que, al ejecutar el cmdlet de aplicación de directiva, las directivas de barrera de información se aplican (o quitan), usuario por usuario, para todas las cuentas de su organización. Si tiene muchos usuarios, tardará un tiempo en procesarse. (Como guía general, se tarda aproximadamente una hora en procesar 5000 cuentas de usuario).
Use el cmdlet Get-InformationBarrierPoliciesApplicationStatus para comprobar el estado de la aplicación de directiva más reciente.
Para ver la aplicación de directiva más reciente Para ver el estado de todas las aplicaciones de directiva Get-InformationBarrierPoliciesApplicationStatusGet-InformationBarrierPoliciesApplicationStatus -All $trueEsto mostrará información sobre si la aplicación de directiva se completó, produjo un error o está en curso.
En función de los resultados del paso anterior, realice uno de los pasos siguientes:
Estado Siguiente paso No iniciado Si ha transcurrido más de 45 minutos desde que se ha ejecutado el cmdlet Start-InformationBarrierPoliciesApplication, revise el registro de auditoría para ver si hay algún error en las definiciones de directiva o algún otro motivo por el que la aplicación no se ha iniciado. Con error Si se ha producido un error en la aplicación, revise el registro de auditoría. Revise también los segmentos y las directivas. ¿Hay usuarios asignados a más de un segmento? ¿Hay segmentos asignados a más de una directiva? Si es necesario, edite segmentos o edite directivas y, a continuación, vuelva a ejecutar el cmdlet Start-InformationBarrierPoliciesApplication. En curso Si la aplicación sigue en curso, espere más tiempo para que se complete. Si ha pasado varios días, recopile los registros de auditoría y póngase en contacto con el soporte técnico.
Problema: Las directivas de barrera de información no se aplican en absoluto
En este caso, ha definido segmentos, directivas de barrera de información definidas y ha intentado aplicar esas directivas. Sin embargo, al ejecutar el cmdlet, puede ver que se ha producido un error en la Get-InformationBarrierPoliciesApplicationStatus aplicación de directiva.
Qué hacer
Asegúrese de que su organización no tiene directivas de libreta de direcciones de Exchange. Estas directivas impedirán que se apliquen directivas de barrera de información.
Conéctese a Exchange Online PowerShell.
Ejecute el cmdlet Get-AddressBookPolicy y revise los resultados.
Resultados Siguiente paso Se enumeran las directivas de libreta de direcciones de Exchange Quitar directivas de libreta de direcciones No existen directivas de libreta de direcciones Revise los registros de auditoría para averiguar por qué se produce un error en la aplicación de directiva. Vea el estado de las cuentas de usuario, los segmentos, las directivas o la aplicación de directiva.
Problema: La directiva de barrera de información no se aplica a todos los usuarios designados
Después de definir segmentos, definir directivas de barrera de información e intentar aplicar esas directivas, es posible que encuentre que la directiva se aplica a algunos destinatarios, pero no a otros.
Al ejecutar el Get-InformationBarrierPoliciesApplicationStatus cmdlet, busque el resultado del texto como este.
Identidad:
<application guid>Total de destinatarios: 81527
Destinatarios con errores: 2
Categoría de error: Ninguno
Estado: completo
Qué hacer
Busque en el registro
<application guid>de auditoría . Puede copiar este código de PowerShell y modificar para las variables.$DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss> -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}Compruebe la salida detallada del registro de auditoría para ver los valores de los
"UserId"campos y"ErrorDetails". Esto le dará el motivo del error. Puede copiar este código de PowerShell y modificar para las variables.$DetailedLogs[1] |flPor ejemplo:
"UserId": User1
"ErrorDetails":"Status: IBPolicyConflict. Error: el segmento ib "segment id1" y el segmento IB "segment id2" tienen conflictos y no se pueden asignar al destinatario.
Normalmente, verá que un usuario se ha incluido en más de un segmento. Para corregirlo, actualice el
-UserGroupFiltervalor enOrganizationSegments.Vuelva a aplicar directivas de barrera de información mediante estos procedimientos Directivas de barreras de información.