Condividi tramite

Risolvere i problemi di comunicazione nelle barriere informative

  • Articolo
  • Si applica a:
    Microsoft 365

Microsoft Purview Information Barriers può aiutare l'organizzazione a rimanere conforme ai requisiti legali e alle normative del settore. Ad esempio, è possibile usare barriere informative per limitare la comunicazione tra gruppi specifici di utenti per evitare un conflitto di interesse.

Le sezioni seguenti illustrano i passaggi per la risoluzione dei problemi che potrebbero verificarsi.

Importante

Prima di risolvere i problemi relativi alle barriere informative, assicurarsi di avere le sottoscrizioni e le autorizzazioni appropriate, soddisfare i prerequisiti necessari e connettersi a PowerShell del Centro sicurezza e conformità.

Problema: gli utenti non riescono a comunicare con altri utenti in Teams

Gli utenti segnalano problemi imprevisti quando tentano di comunicare con altri utenti usando Microsoft Teams. Ad esempio:

  • Un utente cerca, ma non riesce a trovare un altro utente in Teams.
  • Un utente può trovare, ma non può selezionare un altro utente in Teams.
  • Un utente può visualizzare un altro utente, ma non può inviare messaggi a tale utente in Teams.

Cosa fare

Determinare se gli utenti sono interessati da un criterio delle barriere informative. A seconda della configurazione dei criteri, le barriere informative potrebbero funzionare come previsto. In alternativa, potrebbe essere necessario perfezionare i criteri dell'organizzazione.

  1. Usare il cmdlet Get-InformationBarrierRecipientStatus insieme al parametro Identity .

    Sintassi Esempio
    Get-InformationBarrierRecipientStatus -Identity

    È possibile usare qualsiasi valore di identità che identifichi in modo univoco ogni destinatario, ad esempio Nome, Alias, Nome distinto (DN), DN canonico, Indirizzo di posta elettronica o GUID.    		 Get-InformationBarrierRecipientStatus -Identity meganb

    In questo esempio viene usato un alias (meganb) per il parametro Identity . Questo cmdlet restituisce informazioni che indicano se l'utente è interessato da un criterio di barriere informative. (Cercare *ExoPolicyId: <GUID>.

    Se gli utenti non sono inclusi nei criteri delle barriere informative, contattare supporto tecnico Microsoft. In caso contrario, vai al passaggio successivo.

  2. Determinare quali segmenti sono inclusi nei criteri delle barriere informative. A tale scopo, usare il cmdlet Get-InformationBarrierPolicy insieme al parametro Identity .

    Sintassi Esempio
    Get-InformationBarrierPolicy

    Usare i dettagli, ad esempio il GUID dei criteri (ExoPolicyId) ricevuto durante il passaggio precedente, come valore identity.    		 Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f

    In questo esempio vengono fornite informazioni dettagliate sui criteri barriere informative con ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f.

    Dopo aver eseguito il cmdlet, esaminare i risultati per i valori AssignedSegment, SegmentsAllowed e SegmentsBlocked .

    Ad esempio, dopo aver eseguito il cmdlet Get-InformationBarrierPolicy , nei risultati viene visualizzato quanto segue:

    AssignedSegment : Sales
    SegmentiAllowed : {}
    SegmentiBlocked: {Research}

    In questo caso, è possibile notare che un criterio di barriere informative influisce sulle persone che si trovano nei segmenti Vendite e Ricerca. Le persone in Sales non possono comunicare con le persone in Research.

    Se ciò sembra corretto, le barriere informative funzionano come previsto. In caso contrario, andare al passaggio successivo.

  3. Assicurarsi che i segmenti siano definiti correttamente. A tale scopo, usare il cmdlet Get-OrganizationSegment ed esaminare l'elenco dei risultati.

    Sintassi Esempio
    Get-OrganizationSegment

    Usare questo cmdlet con il parametro Identity .    		 Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd

    In questo esempio si ottengono informazioni sul segmento con GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

    Esaminare i dettagli per il segmento. Se necessario, modificare un segmento e quindi riutilizzare il cmdlet Start-InformationBarrierPoliciesApplication .

    Se si verificano ancora problemi quando si usano i criteri barriere informative, contattare supporto tecnico Microsoft.

Problema: la comunicazione è consentita tra gli utenti che devono essere bloccati in Teams

Anche se le barriere informative sono definite, attive e applicate, le persone che non devono essere in grado di comunicare tra loro possono chattare e chiamarsi tra loro in Teams.

Cosa fare

Verificare che gli utenti in questione siano inclusi in un criterio di barriere informative.

  1. Usare il cmdlet Get-InformationBarrierRecipientStatus insieme ai parametri Identity e Identity2 .

    Sintassi* Esempio
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    È possibile usare qualsiasi valore che identifichi in modo univoco ogni utente, ad esempio nome, alias, nome distinto, nome di dominio canonico, indirizzo di posta elettronica o GUID.    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    Questo esempio fa riferimento a due account utente in Microsoft 365: meganb per Megan e alexw per Alex.

    Suggerimento

    È anche possibile usare questo cmdlet per un singolo utente: Get-InformationBarrierRecipientStatus -Identity <value>

  2. Esaminare i risultati. Il cmdlet Get-InformationBarrierRecipientStatus restituisce informazioni sugli utenti, ad esempio i valori degli attributi e i criteri information barriers applicati.

    Eseguire i passaggi successivi, come descritto nella tabella seguente.

    Risultato  Operazioni da eseguire successivamente 
    Nessun segmento è elencato per gli utenti selezionati
    1. Usa uno dei seguenti metodi:
    2. Eseguire il cmdlet Start-InformationBarrierPoliciesApplication per applicare tutti i criteri di Information Barriers attivi.
    I segmenti sono elencati, ma non vengono assegnati criteri di barriera informativa a tali segmenti
    1. Usa uno dei seguenti metodi:
    2. Eseguire il cmdlet Start-InformationBarrierPoliciesApplication per applicare tutti i criteri di Information Barriers attivi.
    I segmenti sono elencati e ognuno è incluso in un criterio di barriera informativa
    1. Eseguire il cmdlet Get-InformationBarrierPolicy per verificare che i criteri delle barriere informative siano attivi.
    2. Eseguire il cmdlet Get-InformationBarrierPoliciesApplicationStatus per verificare che i criteri siano applicati.
    3. Eseguire il cmdlet Start-InformationBarrierPoliciesApplication per applicare tutti i criteri di Information Barriers attivi.

Problema: Si vuole rimuovere un singolo utente da un criterio di barriere informative

I criteri delle barriere informative sono attivi e uno o più utenti non possono comunicare in modo imprevisto con altri utenti in Microsoft Teams. Invece di rimuovere completamente i criteri delle barriere informative, è possibile rimuovere uno o più singoli utenti dai criteri delle barriere informative.

Cosa fare

I criteri delle barriere informative vengono assegnati ai segmenti di utenti. I segmenti vengono definiti usando determinati attributi nei profili dell'account utente. Se è necessario rimuovere un criterio da un singolo utente, è consigliabile modificare il profilo dell'utente in Microsoft Entra in modo che l'utente non sia più incluso in un segmento interessato dalle barriere informative.

  1. Usare il cmdlet Get-InformationBarrierRecipientStatus insieme ai parametri Identity e Identity2 . Questo cmdlet restituisce informazioni sugli utenti, ad esempio i valori degli attributi e i criteri delle barriere informative applicati.

    Sintassi Esempio
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    È possibile usare qualsiasi valore che identifichi in modo univoco ogni utente, ad esempio nome, alias, nome distinto, nome di dominio canonico, indirizzo di posta elettronica o GUID.    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    Questo esempio fa riferimento a due account utente in Microsoft 365: meganb per Megan e alexw per Alex.
    Get-InformationBarrierRecipientStatus -Identity <value>

    È possibile usare qualsiasi valore che identifichi in modo univoco l'utente, ad esempio nome, alias, nome distinto, nome di dominio canonico, indirizzo di posta elettronica o GUID.    		 Get-InformationBarrierRecipientStatus -Identity jeanp

    Questo esempio fa riferimento a un singolo account in Microsoft 365: jeanp.

  2. Esaminare i risultati per sapere se i criteri delle barriere informative sono assegnati e a quali segmenti appartengono gli utenti.

  3. Per rimuovere un utente da un segmento interessato dalle barriere informative, aggiornare le informazioni sul profilo dell'utente in Microsoft Entra ID.

  4. Attendere circa 30 minuti per il completamento dell'operazione FwdSync. In alternativa, eseguire il cmdlet Start-InformationBarrierPoliciesApplication per applicare tutti i criteri delle barriere informative attive.

Problema: il processo dell'applicazione Information Barriers richiede troppo tempo

Dopo aver eseguito il cmdlet Start-InformationBarrierPoliciesApplication , il processo richiede molto tempo.

Cosa fare

Tenere presente che quando si esegue il cmdlet dell'applicazione dei criteri, i criteri delle barriere informative vengono applicati (o rimossi) dall'utente per tutti gli account dell'organizzazione. Se sono presenti molti utenti, il processo richiede un po' di tempo per l'esecuzione. Le linee guida generali richiedono circa un'ora per elaborare 5.000 account utente.

  1. Usare il cmdlet Get-InformationBarrierPoliciesApplicationStatus per visualizzare lo stato dell'applicazione di criteri più recente.

    Per l'applicazione di criteri più recente Per tutte le applicazioni di criteri
    Get-InformationBarrierPoliciesApplicationStatus Get-InformationBarrierPoliciesApplicationStatus -All $true

    Questo comando visualizza informazioni su se un'applicazione di criteri è stata completata, non riuscita o è in corso.

  2. A seconda dei risultati del passaggio precedente, eseguire uno dei passaggi seguenti.

    Stato Passaggio successivo
    Non avviato Se sono trascorsi più di 45 minuti dall'esecuzione del cmdlet Start-InformationBarrierPoliciesApplication , esaminare il log di controllo per verificare se le definizioni dei criteri contengono errori o se l'applicazione non è stata avviata per altri motivi.
    Non riuscito Se l'applicazione non è riuscita, esaminare il log di controllo. Esaminare anche i segmenti e i criteri. Gli utenti sono assegnati a più di un segmento? Sono assegnati più segmenti a più criteri? Se è necessario, modificare i segmenti o modificare i criteri e quindi eseguire di nuovo il cmdlet Start-InformationBarrierPoliciesApplication.
    In corso Se l'applicazione è ancora in corso, attendere più tempo per il completamento. Se sono trascorsi diversi giorni dall'avvio dell'applicazione, raccogliere i log di controllo e quindi contattare supporto tecnico Microsoft.

Problema: i criteri delle barriere informative non vengono applicati affatto

Sono stati definiti segmenti, sono stati definiti i criteri delle barriere informative e si è tentato di applicare tali criteri. Tuttavia, quando si esegue il cmdlet Get-InformationBarrierPoliciesApplicationStatus , è possibile vedere che l'applicazione dei criteri non è riuscita.

Cosa fare

Assicurarsi che l'organizzazione non disponga dei criteri della rubrica di Exchange. Tali criteri impediscono l'applicazione dei criteri delle barriere informative.

  1. Connettersi a PowerShell per Exchange Online.

  2. Eseguire il cmdlet Get-AddressBookPolicy ed esaminare i risultati.

    Risultati Passaggio successivo
    I criteri della rubrica di Exchange sono elencati Rimuovere i criteri della rubrica.
    Non esistono criteri della rubrica Esaminare i log di controllo per determinare il motivo per cui l'applicazione dei criteri non è riuscita.

  3. Visualizzare lo stato di account utente, segmenti, criteri o applicazione dei criteri.

Problema: i criteri delle barriere informative non vengono applicati a tutti gli utenti designati

Dopo aver definito i segmenti e i criteri delle barriere informative e si tenta di applicare tali criteri, è possibile apprendere che i criteri vengono applicati ad alcuni destinatari, ma non ad altri. Quando si esegue il cmdlet Get-InformationBarrierPoliciesApplicationStatus , cercare testo simile al seguente:

Identità: <application guid>
Totale destinatari: 81527
Destinatari non riusciti: 2
Categoria di errore: Nessuno
Stato: completato

Cosa fare

  1. Cercare nel log di controllo .<application guid> È possibile copiare questo codice di PowerShell e modificarlo sostituendo le variabili:

    $detailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss> -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}

  2. Controllare l'output dettagliato del log di controllo per i valori dei campi UserId e ErrorDetails . In questo modo viene fornito il motivo dell'errore. È possibile copiare questo codice di PowerShell e modificarlo sostituendo le variabili.

    $detailedLogs[1] | FL

    Ad esempio:

    "UserId": User1
    "ErrorDetails": "Status: IBPolicyConflict. Errore: il segmento IB "segment id1" e il segmento IB "segment id2" presentano conflitti e non possono essere assegnati al destinatario.

  3. In genere, si apprenderà che un utente è stato incluso in più segmenti. È possibile risolvere questo problema aggiornando l'appartenenza ai segmenti. A tale scopo, usare il cmdlet Set-OrganizationSegment insieme al UserGroupFilter parametro .

  4. Riapplicare i criteri delle barriere informative.