情報バリアの通信に関する問題を解決する

• 適用対象:

  Microsoft 365

Microsoft Purview Information Barriers は、組織が法的要件や業界の規制に準拠し続けるのに役立ちます。 たとえば、情報バリアを使用して、特定のユーザー グループ間の通信を制限して、関心の競合を回避できます。

次のセクションでは、発生する可能性があるさまざまな問題のトラブルシューティング手順について説明します。

重要

Information Barriers の問題をトラブルシューティングする前に、 サブスクリプションとアクセス許可を適用し必要な 前提条件を満たし、Security & Compliance Center PowerShell に接続 していることを確認。

問題: ユーザーが Teams の他のユーザーとの通信を予期せずブロックされる

ユーザーがMicrosoft Teamsを使用して他のユーザーと通信しようとすると、予期しない問題が報告されます。 例えば次が挙げられます。

• ユーザーは Teams で別のユーザーを検索しますが、見つかりません。
• ユーザーは Teams で別のユーザーを見つけることができますが、選択できません。
• ユーザーは別のユーザーを表示できますが、Teams でそのユーザーにメッセージを送信することはできません。

操作内容

ユーザーが情報バリア ポリシーの影響を受けるかどうかを判断します。 ポリシーの構成方法によっては、情報バリアが期待どおりに機能している可能性があります。 または、組織のポリシーを調整する必要がある場合があります。

1. Get-InformationBarrierRecipientStatus コマンドレットを Identity パラメーターと共に使用します。

   Syntax	例
   Get-InformationBarrierRecipientStatus -Identity 名前、エイリアス、識別名 (DN)、正規 DN、電子メール アドレス、GUID など、各受信者を一意に識別する任意の ID 値を使用できます。	Get-InformationBarrierRecipientStatus -Identity meganb この例では、 Identity パラメーターにエイリアス (meganb) を使用します。 このコマンドレットは、ユーザーが Information Barriers ポリシーの影響を受けるかどうかを示す情報を返します。 (*ExoPolicyId: <を探しますGUID>.)

   ユーザーが情報バリア ポリシーに含まれていない場合は、Microsoft サポートにお問い合わせください。 それ以外の場合、次のステップに進んでください。

2. 情報バリア ポリシーに含まれるセグメントを決定します。 これを行うには、 Get-InformationBarrierPolicy コマンドレットを Identity パラメーターと共に使用します。

   Syntax	例
   Get-InformationBarrierPolicy ID 値として、前の手順で受け取ったポリシー GUID (ExoPolicyId) などの詳細を使用します。	Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f この例では、ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6fを持つ Information Barriers ポリシーに関する詳細情報を提供します。

   コマンドレットを実行した後、 AssignedSegment、 SegmentsAllowed、および SegmentsBlocked 値の結果を調べます。

   たとえば、 Get-InformationBarrierPolicy コマンドレットを実行すると、結果に次の内容が表示されます。

   AssignedSegment : Sales
   SegmentsAllowed: {}
   SegmentsBlocked : {Research}

   この場合、情報バリア ポリシーが販売および研究セグメントに含まれるユーザーに影響を与えることがわかります。 Sales のユーザーは、Research のユーザーと通信できなくなります。

   これが正しいと思われる場合は、情報バリアが期待どおりに動作しています。 そうでない場合は、次の手順に進みます。

3. セグメントが正しく定義されていることを確認します。 これを行うには、 Get-OrganizationSegment コマンドレットを使用して、結果の一覧を確認します。

   Syntax	例
   Get-OrganizationSegment このコマンドレットは、 Identity パラメーターと共に使用します。	Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd この例では、GUID c96e0837-c232-4a8a-841e-ef45787d8fcdを持つセグメントに関する情報を取得します。

   セグメントの詳細を確認します。 必要に応じて、セグメントを編集し、Start-InformationBarrierPoliciesApplication コマンドレットを再利用します。

   Information Barriers ポリシーの使用時に問題が解決しない場合は、Microsoft サポートにお問い合わせください。

問題: Teams でブロックする必要があるユーザー間の通信が許可される

情報バリアは定義され、アクティブであり、適用されますが、相互に通信できないユーザーは Teams でチャットしたり、相互に呼び出したりすることができます。

操作内容

対象のユーザーが情報バリア ポリシーに含まれていることを確認します。

1. Identity および Identity2 パラメーターと共に、Get-InformationBarrierRecipientStatus コマンドレットを使用します。

   Syntax*	例
   Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value> 名前、エイリアス、識別名、正規ドメイン名、電子メール アドレス、GUID など、各ユーザーを一意に識別する任意の値を使用できます。	Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw この例では、Microsoft 365 の 2 つのユーザー アカウント (Megan の meganb と Alex の alexw ) を参照しています。

   ヒント

   このコマンドレットは、1 人のユーザーにも使用できます。 Get-InformationBarrierRecipientStatus -Identity <value>

2. 結果を確認します。 Get-InformationBarrierRecipientStatus コマンドレットは、属性値や適用されるすべての Information Barriers ポリシーなど、ユーザーに関する情報を返します。

   次の表で説明するように、次の手順を実行します。

   結果	次の操作
   選択したユーザーのセグメントは一覧表示されません	以下のいずれかの方法を使用します。 Microsoft Entra ID でユーザー プロファイルを編集 、既存のセグメントにユーザーを割り当てる 情報バリアにサポートされている属性を使用してセグメントを定義し新しいポリシーを定義するか既存のポリシーを編集そのセグメントを含めます。 Start-InformationBarrierPoliciesApplication コマンドレットを実行して、アクティブなすべての Information Barriers ポリシーを適用します。
   セグメントは一覧表示されますが、これらのセグメントには情報バリア ポリシーが割り当てされていません	以下のいずれかの方法を使用します。 該当するセグメントごとに 新しい情報バリア ポリシーを定義します。 既存の情報バリア ポリシーを編集して 該当するセグメントに割り当てます。 Start-InformationBarrierPoliciesApplication コマンドレットを実行して、アクティブなすべての Information Barriers ポリシーを適用します。
   セグメントが一覧表示され、それぞれが情報バリア ポリシーに含まれます	Get-InformationBarrierPolicy コマンドレットを実行して、情報バリア ポリシーがアクティブであることを確認します。 Get-InformationBarrierPoliciesApplicationStatus コマンドレットを実行して、ポリシーが適用されていることを確認します。 Start-InformationBarrierPoliciesApplication コマンドレットを実行して、アクティブなすべての Information Barriers ポリシーを適用します。

問題: 情報バリア ポリシーから 1 人のユーザーを削除する

情報バリア ポリシーが有効であり、1 人以上のユーザーがMicrosoft Teams内の他のユーザーとの通信を予期せずブロックされます。 情報バリア ポリシーを完全に削除する代わりに、情報バリア ポリシーから 1 人以上の個々のユーザーを削除できます。

操作内容

情報バリア ポリシーは、ユーザーのセグメントに割り当てられます。 セグメントは、ユーザー アカウント プロファイルで特定の attributes を使用して定義されます。 1 人のユーザーからポリシーを削除する必要がある場合は、情報バリアの影響を受けるセグメントにユーザーが含まれていないように、Microsoft Entra でそのユーザーのプロファイルを編集することを検討してください。

1. Get-InformationBarrierRecipientStatus コマンドレットを、Identity および Identity2 パラメーターと共に使用します。 このコマンドレットは、属性値や適用される Information Barriers ポリシーなど、ユーザーに関する情報を返します。

   Syntax	例
   Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value> 名前、エイリアス、識別名、正規ドメイン名、電子メール アドレス、GUID など、各ユーザーを一意に識別する任意の値を使用できます。	Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw この例では、Microsoft 365 の 2 つのユーザー アカウント (Megan の meganb と Alex の alexw ) を参照しています。
   Get-InformationBarrierRecipientStatus -Identity <value> 名前、エイリアス、識別名、正規ドメイン名、電子メール アドレス、GUID など、ユーザーを一意に識別する任意の値を使用できます。	Get-InformationBarrierRecipientStatus -Identity jeanp この例では、Microsoft 365 の 1 つのアカウントを参照しています: jeanp。

2. 結果を確認して、情報バリア ポリシーが割り当てられているかどうか、およびユーザーがどのセグメントに属しているかを確認します。

3. 情報バリアの影響を受けるセグメントからユーザーを削除するには、Microsoft Entra ID でユーザーのプロファイル情報を更新。

4. FwdSync 操作が完了するまで約 30 分待ちます。 または、 Start-InformationBarrierPoliciesApplication コマンドレットを実行して、アクティブなすべての Information Barriers ポリシーを適用します。

問題: Information Barriers アプリケーション プロセスに時間がかかりすぎる

Start-InformationBarrierPoliciesApplication コマンドレットを実行した後、処理が完了するまでに時間がかかります。

操作内容

ポリシー アプリケーション コマンドレットを実行すると、Information Barriers ポリシーが組織内のすべてのアカウントに対してユーザーによってユーザーによって適用 (または削除) されることに注意してください。 ユーザーが多い場合、プロセスの実行には時間がかかります。 (一般的なガイドラインとして、5,000 個のユーザー アカウントの処理には約 1 時間かかります)。

1. Get-InformationBarrierPoliciesApplicationStatus コマンドレットを使用して、最新のポリシー アプリケーションの状態を表示します。

   最新のポリシー アプリケーションの場合	すべてのポリシー アプリケーションの場合
   Get-InformationBarrierPoliciesApplicationStatus	Get-InformationBarrierPoliciesApplicationStatus -All $true

   このコマンドは、ポリシー アプリケーションが完了したか、失敗したか、進行中であるかに関する情報を表示します。

2. 前の手順の結果に応じて、次のいずれかの手順を実行します。

   Status	次のステップ
   [Not started] (未開始)	Start-InformationBarrierPoliciesApplication コマンドレットが実行されてから 45 分以上が経過した場合は、監査ログを確認して、ポリシー定義にエラーが含まれているか、アプリケーションが何らかの理由で起動しなかったかどうかを確認します。
   Failed	アプリケーションが失敗した場合は、監査ログを確認します。 また、セグメントとポリシーを確認します。 ユーザーは複数のセグメントに割り当てられますか? セグメントには複数のポリシーが割り当てられますか? 必要に応じて、セグメントの編集またはポリシーの編集をしStart-InformationBarrierPoliciesApplication コマンドレットをもう一度実行します。
   処理中	アプリケーションがまだ進行中の場合は、完了するまでの時間を長くします。 アプリケーションの起動から数日が経過した場合は、監査ログを収集してから、Microsoft サポートにお問い合わせください。

問題: 情報バリア ポリシーがまったく適用されない

セグメントを定義し、情報バリア ポリシーを定義し、それらのポリシーを適用しようとしました。 ただし、 Get-InformationBarrierPoliciesApplicationStatus コマンドレットを実行すると、ポリシー アプリケーションが失敗したことがわかります。

操作内容

組織に Exchange アドレス帳ポリシー がないことを確認します。 このようなポリシーにより、情報バリア ポリシーが適用されなくなります。

1. Exchange Online PowerShell に接続する

2. Get-AddressBookPolicy コマンドレットを実行し、結果を確認します。

   結果	次のステップ
   Exchange アドレス帳ポリシーが一覧表示されます	アドレス帳ポリシーを削除します。
   アドレス帳ポリシーが存在しない	監査ログを確認して、ポリシー アプリケーションが失敗した理由を判断します。

3. ユーザー アカウント、セグメント、ポリシー、またはポリシー アプリケーションの状態を表示。

問題: 指定されたすべてのユーザーに情報バリア ポリシーが適用されない

セグメントと情報バリア ポリシーを定義し、それらのポリシーを適用しようとすると、ポリシーが一部の受信者には適用されますが、他の受信者には適用されないことが分かることがあります。 Get-InformationBarrierPoliciesApplicationStatus コマンドレットを実行するときに、出力で次のようなテキストを検索します。

同一性： <application guid>
合計受信者数: 81527
失敗した受信者: 2
失敗カテゴリ: なし
状態: 完了

操作内容

1. 監査ログで <application guid>を検索します。 この PowerShell コードをコピーし、変数を置き換えて変更できます。

   $detailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss> -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)} 
   

2. 監査ログからの詳細な出力で、 UserId フィールドと ErrorDetails フィールドの値を確認します。 これを行うと、エラーの原因が示されます。 この PowerShell コードをコピーし、変数を置き換えて変更できます。

   $detailedLogs[1] | FL
   

   例えば次が挙げられます。

   "UserId": User1
   "ErrorDetails": "Status: IBPolicyConflict. エラー: IB セグメント "segment id1" と IB segment "segment id2" が競合しており、受信者に割り当てることができません。"

3. 通常、ユーザーが複数のセグメントに含まれていることを学習します。 この問題は、セグメント メンバーシップを更新することで解決できます。 これを行うには、 Set-OrganizationSegment コマンドレットを UserGroupFilter パラメーターと共に使用します。

4. 情報バリア ポリシーを再適用する。