Устранение проблем с коммуникацией в информационных барьерах

• Применяется к:

  Microsoft 365

Информационные барьеры Microsoft Purview помогают вашей организации соответствовать нормативным требованиям и отраслевым нормативным требованиям. Например, можно использовать информационные барьеры для ограничения взаимодействия между определенными группами пользователей, чтобы избежать конфликта интересов.

В следующих разделах описаны действия по устранению неполадок, которые могут возникнуть.

Внимание

Прежде чем устранять проблемы с информационными барьерами, убедитесь, что у вас есть соответствующие подписки и разрешения, выполнены необходимые предварительные требования и подключитесь к Центру безопасности и соответствия требованиям PowerShell.

Проблема. Пользователи неожиданно заблокированы для взаимодействия с другими пользователями в Teams

Пользователи сообщают о непредвиденных проблемах при попытке взаимодействовать с другими пользователями с помощью Microsoft Teams. Например:

• Пользователь ищет, но не может найти другого пользователя в Teams.
• Пользователь может найти, но не может выбрать другого пользователя в Teams.
• Пользователь может видеть другого пользователя, но не может отправлять сообщения пользователю в Teams.

Что следует делать

Определите, влияют ли пользователи на политику информационных барьеров. В зависимости от того, как настроены политики, информационные барьеры могут работать должным образом. Кроме того, может потребоваться уточнить политики вашей организации.

1. Используйте командлет Get-InformationBarrierRecipientStatus вместе с параметром Identity.

   Синтаксис	Пример
   Get-InformationBarrierRecipientStatus -Identity Вы можете использовать любое значение удостоверения, которое однозначно идентифицирует каждого получателя, например имя, псевдоним, различающееся имя (DN), каноническое DN, адрес электронной почты или GUID.	Get-InformationBarrierRecipientStatus -Identity meganb В этом примере для параметра Identity используется псевдоним (meganb). Этот командлет возвращает сведения, указывающие, влияет ли пользователь на политику информационных барьеров. (Найдите *ExoPolicyId: <GUID>.)

   Если пользователи не включены в политики информационных барьеров, обратитесь к служба поддержки Майкрософт. В противном случае переходите к следующему шагу.

2. Определите, какие сегменты включены в политику информационных барьеров. Для этого используйте командлет Get-InformationBarrierPolicy вместе с параметром Identity.

   Синтаксис	Пример
   Get-InformationBarrierPolicy Используйте сведения, такие как GUID политики (ExoPolicyId), полученные на предыдущем шаге, в качестве значения удостоверения.	Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f В этом примере приведены подробные сведения о политике информационных барьеров с exoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f.

   После запуска командлета просмотрите результаты для значений AssignedSegment, SegmentsAllowed и SegmentsBlocked .

   Например, после запуска командлета Get-InformationBarrierPolicy вы увидите следующее в результатах:

   AssignedSegment: Sales
   СегментыAllowed: {}
   SegmentsBlocked: {Research}

   В этом случае можно увидеть, что политика информационных барьеров влияет на людей, которые находятся в сегментах продаж и исследований. Люди в продажах не могут взаимодействовать с людьми в исследованиях.

   Если это кажется правильным, то информационные барьеры работают должным образом. Если нет, перейдите к следующему шагу.

3. Убедитесь, что сегменты определены правильно. Для этого используйте командлет Get-OrganizationSegment и просмотрите список результатов.

   Синтаксис	Пример
   Get-OrganizationSegment Используйте этот командлет с параметром Identity .	Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd В этом примере мы получаем сведения о сегменте с GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

   Просмотрите сведения о сегменте. При необходимости измените сегмент и повторно используйте командлет Start-InformationBarrierPoliciesApplication .

   Если у вас по-прежнему возникают проблемы при использовании политики информационных барьеров, обратитесь к служба поддержки Майкрософт.

Проблема. Связь разрешена между пользователями, которые должны быть заблокированы в Teams

Хотя информационные барьеры определены, активны и применяются, люди, которые не должны иметь возможности взаимодействовать друг с другом, могут общаться друг с другом и звонить друг с другом в Teams.

Что следует делать

Убедитесь, что указанные пользователи включены в политику информационных барьеров.

1. Используйте командлет Get-InformationBarrierRecipientStatus вместе с параметрами Identity и Identity2.

   Синтаксис*	Пример
   Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value> Вы можете использовать любое значение, однозначно определяющее каждого пользователя, например имя, псевдоним, различающееся имя, каноническое доменное имя, адрес электронной почты или GUID.	Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw Этот пример относится к двум учетным записям пользователей в Microsoft 365: meganb для Мегана и alexw Алекса.

   Совет

   Этот командлет можно также использовать для одного пользователя: Get-InformationBarrierRecipientStatus -Identity <value>

2. Просмотрите результаты. Командлет Get-InformationBarrierRecipientStatus возвращает сведения о пользователях, таких как значения атрибутов и все применяемые политики информационных барьеров.

   Выполните следующие действия, как описано в следующей таблице.

   Результат	Что делать дальше
   Для выбранных пользователей нет сегментов	Используйте один из следующих методов: Назначение пользователей существующему сегменту путем редактирования профилей пользователей в идентификаторе Microsoft Entra Определите сегмент с помощью поддерживаемого атрибута для информационных барьеров, а затем определите новую политику или измените существующую политику, чтобы включить этот сегмент. Выполните командлет Start-InformationBarrierPoliciesApplication, чтобы применить все активные политики информационных барьеров.
   Сегменты перечислены, но политики информационных барьеров не назначаются этим сегментам.	Используйте один из следующих методов: Определите новую политику информационных барьеров для каждого применимого сегмента. Измените существующую политику барьера информации, чтобы назначить ее соответствующему сегменту. Выполните командлет Start-InformationBarrierPoliciesApplication, чтобы применить все активные политики информационных барьеров.
   Сегменты перечислены, и каждый из них включается в политику информационных барьеров	Выполните командлет Get-InformationBarrierPolicy, чтобы убедиться, что политики информационных барьеров активны. Выполните командлет Get-InformationBarrierPoliciesApplicationStatus, чтобы убедиться, что применяются политики. Выполните командлет Start-InformationBarrierPoliciesApplication, чтобы применить все активные политики информационных барьеров.

Проблема. Я хочу удалить одного пользователя из политики информационных барьеров

Политики информационных барьеров в действительности, и один или несколько пользователей неожиданно заблокированы для взаимодействия с другими пользователями в Microsoft Teams. Вместо того чтобы полностью удалять политики информационных барьеров, можно удалить одного или нескольких отдельных пользователей из политик информационных барьеров.

Что следует делать

Политики информационных барьеров назначаются сегментам пользователей. Сегменты определяются с помощью определенных атрибутов в профилях учетных записей пользователей. Если вы должны удалить политику из одного пользователя, рассмотрите возможность редактирования профиля этого пользователя в Microsoft Entra, чтобы пользователь больше не включался в сегмент, затронутый информационными барьерами.

1. Используйте командлет Get-InformationBarrierRecipientStatus вместе с параметрами Identity и Identity2. Этот командлет возвращает сведения о пользователях, таких как значения атрибутов и все применяемые политики информационных барьеров.

   Синтаксис	Пример
   Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value> Вы можете использовать любое значение, однозначно определяющее каждого пользователя, например имя, псевдоним, различающееся имя, каноническое доменное имя, адрес электронной почты или GUID.	Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw Этот пример относится к двум учетным записям пользователей в Microsoft 365: meganb для Мегана и alexw Алекса.
   Get-InformationBarrierRecipientStatus -Identity <value> Вы можете использовать любое значение, однозначно определяющее пользователя, например имя, псевдоним, различающееся имя, каноническое доменное имя, адрес электронной почты или GUID.	Get-InformationBarrierRecipientStatus -Identity jeanp В этом примере используется одна учетная запись в Microsoft 365: jeanp.

2. Просмотрите результаты, чтобы узнать, назначены ли политики информационных барьеров и к каким сегментам относятся пользователи.

3. Чтобы удалить пользователя из сегмента, затронутого информационными барьерами, обновите сведения профиля пользователя в идентификаторе Microsoft Entra.

4. Подождите около 30 минут, пока операция FwdSync завершится. Или запустите командлет Start-InformationBarrierPoliciesApplication , чтобы применить все активные политики информационных барьеров.

Проблема: процесс приложения информационных барьеров занимает слишком много времени

После запуска командлета Start-InformationBarrierPoliciesApplication процесс занимает много времени.

Что следует делать

Помните, что при запуске командлета приложения политики политики барьеры применяются (или удаляются) пользователем для всех учетных записей в организации. Если у вас много пользователей, процесс занимает некоторое время. (В качестве общего руководства требуется около одного часа для обработки 5000 учетных записей пользователей.)

1. Используйте командлет Get-InformationBarrierPoliciesApplicationStatus, чтобы просмотреть состояние последнего приложения политики.

   Для последнего приложения политики	Для всех приложений политики
   Get-InformationBarrierPoliciesApplicationStatus	Get-InformationBarrierPoliciesApplicationStatus -All $true

   Эта команда отображает сведения о завершении, сбое или выполнении приложения политики.

2. В зависимости от результатов предыдущего шага выполните одно из следующих действий.

   Состояние	Следующий шаг
   Не запущено	Если с момента запуска командлета Start-InformationBarrierPoliciesApplication прошло более 45 минут, просмотрите журнал аудита, чтобы узнать, содержат ли определения политик какие-либо ошибки, или приложение не началось по какой-либо другой причине.
   Неудачно	Если приложение завершилось сбоем, просмотрите журнал аудита. Кроме того, просмотрите сегменты и политики. Назначаются ли пользователям несколько сегментов? Назначены ли сегменты более одной политики? Если это необходимо, измените сегменты или политики редактирования, а затем снова запустите командлет Start-InformationBarrierPoliciesApplication .
   Выполняется	Если приложение по-прежнему выполняется, предоставьте ему больше времени. Если с момента запуска приложения прошло несколько дней, соберите журналы аудита и обратитесь к служба поддержки Майкрософт.

Проблема. Политики информационных барьеров не применяются вообще

Вы определили сегменты, определили политики информационных барьеров и попытались применить эти политики. Однако при запуске командлета Get-InformationBarrierPoliciesApplicationStatus вы увидите, что это приложение политики завершилось сбоем.

Что следует делать

Убедитесь, что у вашей организации нет политик адресной книги Exchange. Такие политики препятствуют применению политик информационных барьеров.

1. Подключитесь к Exchange Online PowerShell.

2. Запустите командлет Get-AddressBookPolicy и просмотрите результаты.

   Результаты	Следующий шаг
   Перечислены политики адресной книги Exchange	Удалите политики адресной книги.
   Политики адресной книги не существуют	Просмотрите журналы аудита, чтобы определить, почему приложение политики завершилось сбоем.

3. Просмотр состояния учетных записей пользователей, сегментов, политик или приложения политик.

Проблема. Политика информационных барьеров не применяется ко всем назначенным пользователям

После определения сегментов и политик информационных барьеров, и вы пытаетесь применить эти политики, вы можете узнать, что политика применяется к некоторым получателям, но не к другим. При запуске командлета Get-InformationBarrierPoliciesApplicationStatus найдите выходные данные для текста, похожего на следующее:

Тождество: <application guid>
Всего получателей: 81527
Неудачные получатели: 2
Категория сбоя: нет
Состояние: выполнено

Что следует делать

1. Выполните поиск в журнале <application guid>аудита. Вы можете скопировать этот код PowerShell и изменить его, подставив переменные:

   $detailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss> -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)} 
   

2. Проверьте подробные выходные данные из журнала аудита для значений полей UserId и ErrorDetails . Это дает причину сбоя. Вы можете скопировать этот код PowerShell и изменить его, подставив переменные.

   $detailedLogs[1] | FL
   

   Например:

   UserId: User1
   "ErrorDetails": "Status: IBPolicyConflict. Ошибка: сегмент IB "идентификатор сегмента1" и сегмент IB "идентификатор сегмента 2" имеет конфликт и не может быть назначен получателю".

3. Как правило, вы узнаете, что пользователь был включен в несколько сегментов. Эту проблему можно устранить, обновив членство в сегменте. Для этого используйте командлет Set-OrganizationSegment вместе с параметром UserGroupFilter .

4. Повторное применение политик информационных барьеров.