通信和信息屏障问题
信息屏障 可帮助组织遵守法律要求和行业法规。 例如,借助信息屏障,可以限制特定用户组之间的通信以避免利益冲突或其他问题。 (若要详细了解如何设置信息屏障,请参阅 定义信息屏障的策略。
在信息屏障发生后,当人们遇到意外问题时,可以采取一些措施来解决这些问题。 使用本文作为指南。
问题:意外阻止用户与 Microsoft Teams 中的其他人通信
在这种情况下,人们报告了与 Microsoft Teams 中的其他人沟通的意外问题。 一些示例如:
- 用户搜索Microsoft Teams 中的另一个用户,但找不到该用户。
- 用户可以在 Microsoft Teams 中找到但无法选择其他用户。
- 用户可以看到其他用户,但无法在 Microsoft Teams 中向该其他用户发送消息。
如何操作
确定用户是否受信息屏障策略的影响。 根据策略的配置方式,信息屏障可能按预期工作。 或者,可能需要优化组织的策略。
将 Get-InformationBarrierRecipientStatus cmdlet 与 Identity 参数配合使用。
语法 示例 Get-InformationBarrierRecipientStatus -Identity
可以使用唯一标识每个收件人的任何标识值,例如名称、别名、可分辨名称(DN)、规范 DN、电子邮件地址或 GUID。
Get-InformationBarrierRecipientStatus -Identity meganb
在此示例中,我们使用 Identity 参数的别名(meganb)。 此 cmdlet 将返回指示用户是否受信息屏障策略影响的信息。 (查找 *ExoPolicyId: <GUID>.)
如果信息屏障策略中不包含用户,请联系支持人员。 否则,请继续执行下一步。
了解信息屏障策略中包含哪些段。 为此,请使用
Get-InformationBarrierPolicy
带有 Identity 参数的 cmdlet。语法 示例 Get-InformationBarrierPolicy
使用在上一步收到的策略 GUID(ExoPolicyId)等详细信息作为标识值。
Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f
在此示例中,我们获取有关具有 ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f 的信息屏障策略的详细信息。
运行 cmdlet 后,在结果中查找 AssignedSegment、 SegmentsAllowed 和 SegmentsBlocked 值。
例如,运行
Get-InformationBarrierPolicy
cmdlet 后,我们在结果列表中看到以下内容:AssignedSegment : Sales SegmentsAllowed : {} SegmentsBlocked : {Research}
在这种情况下,我们可以看到信息屏障策略会影响处于“销售和研究”细分市场的人员。 在这种情况下,销售人员无法与 Research 中的人员通信。
如果这看起来正确,则信息屏障按预期工作。 若没有提示,请继续下一步。
确保正确定义段。 为此,请使用
Get-OrganizationSegment
cmdlet 并查看结果列表。语法 示例 Get-OrganizationSegment
将此 cmdlet 与 Identity 参数配合使用。
Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
在此示例中,我们将获取有关包含 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的段的信息。
查看段的详细信息。 如有必要, 请编辑段,然后重复使用
Start-InformationBarrierPoliciesApplication
cmdlet。如果信息屏障策略仍存在问题,请联系支持人员。
问题:允许在Microsoft Teams 中阻止的用户之间通信
在这种情况下,尽管定义了信息屏障、主动和应用了信息屏障,但应阻止相互通信的人员在某种程度上能够在 Microsoft Teams 中相互聊天和呼叫。
如何操作
验证有问题的用户是否包含在信息屏障策略中。
将 Get-InformationBarrierRecipientStatus cmdlet 与 Identity 参数配合使用。
语法* 示例 Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
可以使用唯一标识每个用户的任何值,例如名称、别名、可分辨名称、规范域名、电子邮件地址或 GUID。
Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
在此示例中,我们引用了 Microsoft 365 中的两个用户帐户:Meganb for Megan,以及 Alexw。
提示
还可以将此 cmdlet 用于单个用户:
Get-InformationBarrierRecipientStatus -Identity <value>
查看调查结果。 Get-InformationBarrierRecipientStatus cmdlet 返回有关用户的信息,例如属性值和应用的任何信息屏障策略。
查看结果,然后执行后续步骤,如下表所述:
结果 下一步操作 所选用户未列出任何段 执行下列操作之一:
- 通过在 Microsoft entra ID 中编辑其用户配置文件,将用户分配到现有段。 (请参阅 使用 Microsoft 365 PowerShell 配置用户帐户属性。
- 使用 信息屏障支持的属性定义段。 然后,定义新策略或编辑现有策略以包含该段。已列出段,但未向这些段分配任何信息屏障策略 执行下列操作之一:
- 为每个有问题的段定义新的信息屏障策略
- 编辑现有信息屏障策略 ,将其分配给正确的段将列出段,每个段都包含在信息屏障策略中 - 运行 Get-InformationBarrierPolicy
cmdlet 以验证信息屏障策略是否处于活动状态
- 运行Get-InformationBarrierPoliciesApplicationStatus
cmdlet 以确认策略已应用
- 运行Start-InformationBarrierPoliciesApplication
cmdlet 以应用所有活动信息屏障策略
问题:我需要从信息屏障策略中删除单个用户
在这种情况下,信息屏障策略有效,一个或多个用户意外地被阻止与Microsoft Teams 中的其他人通信。 你可以从信息屏障策略中删除一个或多个单个用户,而不是完全删除信息屏障策略。
如何操作
将信息屏障策略分配给用户细分。 使用用户帐户配置文件中的某些属性定义段。 如果必须从单个用户中删除策略,请考虑在 Microsoft Entra 中编辑该用户的配置文件,以便用户不再包含在受信息屏障影响的段中。
将 Get-InformationBarrierRecipientStatus cmdlet 与 Identity 参数配合使用。 此 cmdlet 返回有关用户的信息,例如属性值和应用的任何信息屏障策略。
语法 示例 Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
可以使用唯一标识每个用户的任何值,例如名称、别名、可分辨名称、规范域名、电子邮件地址或 GUID。
Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
在此示例中,我们引用了 Microsoft 365 中的两个用户帐户:Meganb for Megan,以及 Alexw。
Get-InformationBarrierRecipientStatus -Identity <value>
可以使用唯一标识用户的任何值,例如名称、别名、可分辨名称、规范域名、电子邮件地址或 GUID。
Get-InformationBarrierRecipientStatus -Identity jeanp
在此示例中,我们引用了 Microsoft 365: jeanp 中的单个帐户。
查看结果以查看是否分配了信息屏障策略,以及用户所属的段(s) 。
若要从受信息屏障影响的段中删除用户, 请更新Microsoft Entra ID 中的用户配置文件信息。
等待大约 30 分钟,FwdSync 发生。 或者,运行
Start-InformationBarrierPoliciesApplication
cmdlet 以应用所有活动信息屏障策略。
问题:信息屏障应用程序过程花费的时间太长
运行 Start-InformationBarrierPoliciesApplication cmdlet 后,该过程需要很长时间才能完成。
如何操作
请记住,当你运行策略应用程序 cmdlet 时,将针对组织中的所有帐户应用信息屏障策略(或由用户删除)。 如果你有许多用户,则需要一段时间才能处理。 (作为一般准则,处理 5,000 个用户帐户大约需要一个小时。
使用 Get-InformationBarrierPoliciesApplicationStatus cmdlet 验证最新策略应用程序的状态。
查看最新的策略应用程序 查看所有策略应用程序的状态 Get-InformationBarrierPoliciesApplicationStatus
Get-InformationBarrierPoliciesApplicationStatus -All $true
这将显示有关策略应用程序已完成、失败还是正在进行的信息。
根据上一步的结果,执行以下步骤之一:
Status 后续步骤 未启动 如果自 Start-InformationBarrierPoliciesApplication cmdlet 运行以来已超过 45 分钟,请查看审核日志,查看策略定义中是否存在任何错误,或应用程序未启动的其他原因。 已失败 如果应用程序失败,请查看审核日志。 另请查看细分市场和策略。 是否向多个细分分配了任何用户? 是否分配了多个策略的段? 如有必要, 请编辑段 和/或 编辑策略,然后再次运行 Start-InformationBarrierPoliciesApplication cmdlet。 正在学习 如果应用程序仍在进行中,请留出更多时间来完成该应用程序。 如果已过几天,请收集审核日志,然后联系支持人员。
问题:信息屏障策略根本不应用
在这种情况下,你已定义段、定义信息屏障策略,并尝试应用这些策略。 但是,运行 Get-InformationBarrierPoliciesApplicationStatus
cmdlet 时,可以看到策略应用程序已失败。
如何操作
确保你的组织没有 Exchange 通讯簿策略 。 此类策略将阻止应用信息屏障策略。
运行 Get-AddressBookPolicy cmdlet,并查看结果。
结果 后续步骤 列出了 Exchange 通讯簿策略 删除通讯簿策略 不存在通讯簿策略 查看审核日志,了解策略应用程序失败的原因
问题:信息屏障策略未应用于所有指定用户
定义段、定义信息屏障策略并尝试应用这些策略后,你可能会发现该策略适用于某些收件人,但不适用于其他收件人。
运行 Get-InformationBarrierPoliciesApplicationStatus
cmdlet 时,在输出中搜索如下所示的文本。
身份:
<application guid>
收件人总数:81527
失败的收件人:2
失败类别:无
状态: 完成
如何操作
在审核日志
<application guid>
中搜索 。 可以复制此 PowerShell 代码并修改变量。$DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss> -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}
检查审核日志中的详细输出,了解字段
"ErrorDetails"
的值"UserId"
。 这将为你提供失败的原因。 可以复制此 PowerShell 代码并修改变量。$DetailedLogs[1] |fl
例如:
“UserId”:User1
“ErrorDetails”:“Status: IBPolicyConflict. 错误:IB 段“segment id1”和 IB 段“segment id2”存在冲突,无法分配给收件人。
通常,你会发现用户已包含在多个段中。 可以通过更新
-UserGroupFilter
值来OrganizationSegments
修复此问题。使用这些过程 重新应用信息屏障策略。