通信和信息屏障问题

信息屏障 可帮助组织遵守法律要求和行业法规。 例如,借助信息屏障,可以限制特定用户组之间的通信以避免利益冲突或其他问题。 (若要详细了解如何设置信息屏障,请参阅 定义信息屏障的策略。

在信息屏障发生后,当人们遇到意外问题时,可以采取一些措施来解决这些问题。 使用本文作为指南。

重要

若要执行本文中所述的任务,必须分配适当的角色,例如以下任一角色:

  • 合规性管理员
  • IB 合规性管理(这是一个新的角色!

若要详细了解信息屏障的先决条件,请参阅先决条件(有关信息屏障策略)。

请确保 连接到安全与合规中心 PowerShell

问题:意外阻止用户与 Microsoft Teams 中的其他人通信

在这种情况下,人们报告了与 Microsoft Teams 中的其他人沟通的意外问题。 一些示例如:

  • 用户搜索Microsoft Teams 中的另一个用户,但找不到该用户。
  • 用户可以在 Microsoft Teams 中找到但无法选择其他用户。
  • 用户可以看到其他用户,但无法在 Microsoft Teams 中向该其他用户发送消息。

如何操作

确定用户是否受信息屏障策略的影响。 根据策略的配置方式,信息屏障可能按预期工作。 或者,可能需要优化组织的策略。

  1. Get-InformationBarrierRecipientStatus cmdlet 与 Identity 参数配合使用。

    语法 示例
    Get-InformationBarrierRecipientStatus -Identity

    可以使用唯一标识每个收件人的任何标识值,例如名称、别名、可分辨名称(DN)、规范 DN、电子邮件地址或 GUID。

    Get-InformationBarrierRecipientStatus -Identity meganb

    在此示例中,我们使用 Identity 参数的别名(meganb)。 此 cmdlet 将返回指示用户是否受信息屏障策略影响的信息。 (查找 *ExoPolicyId: <GUID>.)

    如果信息屏障策略中不包含用户,请联系支持人员。 否则,请继续执行下一步。

  2. 了解信息屏障策略中包含哪些段。 为此,请使用 Get-InformationBarrierPolicy 带有 Identity 参数的 cmdlet。

    语法 示例
    Get-InformationBarrierPolicy

    使用在上一步收到的策略 GUID(ExoPolicyId)等详细信息作为标识值。

    Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f

    在此示例中,我们获取有关具有 ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f 的信息屏障策略的详细信息。

    运行 cmdlet 后,在结果中查找 AssignedSegmentSegmentsAllowedSegmentsBlocked 值。

    例如,运行 Get-InformationBarrierPolicy cmdlet 后,我们在结果列表中看到以下内容:

    AssignedSegment : Sales
    SegmentsAllowed : {}
    SegmentsBlocked : {Research}
    

    在这种情况下,我们可以看到信息屏障策略会影响处于“销售和研究”细分市场的人员。 在这种情况下,销售人员无法与 Research 中的人员通信。

    如果这看起来正确,则信息屏障按预期工作。 若没有提示,请继续下一步。

  3. 确保正确定义段。 为此,请使用 Get-OrganizationSegment cmdlet 并查看结果列表。

    语法 示例
    Get-OrganizationSegment

    将此 cmdlet 与 Identity 参数配合使用。

    Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd

    在此示例中,我们将获取有关包含 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的段的信息。

    查看段的详细信息。 如有必要, 请编辑段,然后重复使用 Start-InformationBarrierPoliciesApplication cmdlet。

    如果信息屏障策略仍存在问题,请联系支持人员

问题:允许在Microsoft Teams 中阻止的用户之间通信

在这种情况下,尽管定义了信息屏障、主动和应用了信息屏障,但应阻止相互通信的人员在某种程度上能够在 Microsoft Teams 中相互聊天和呼叫。

如何操作

验证有问题的用户是否包含在信息屏障策略中。

  1. Get-InformationBarrierRecipientStatus cmdlet 与 Identity 参数配合使用。

    语法* 示例
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    可以使用唯一标识每个用户的任何值,例如名称、别名、可分辨名称、规范域名、电子邮件地址或 GUID。

    Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    在此示例中,我们引用了 Microsoft 365 中的两个用户帐户:Meganb for Megan以及 Alexw

    提示

    还可以将此 cmdlet 用于单个用户: Get-InformationBarrierRecipientStatus -Identity <value>

  2. 查看调查结果。 Get-InformationBarrierRecipientStatus cmdlet 返回有关用户的信息,例如属性值和应用的任何信息屏障策略。

    查看结果,然后执行后续步骤,如下表所述:

    结果 下一步操作
    所选用户未列出任何段 执行下列操作之一:
    - 通过在 Microsoft entra ID 中编辑其用户配置文件,将用户分配到现有段。 (请参阅 使用 Microsoft 365 PowerShell 配置用户帐户属性。
    - 使用 信息屏障支持的属性定义段。 然后,定义新策略或编辑现有策略以包含该段。
    已列出段,但未向这些段分配任何信息屏障策略 执行下列操作之一:
    - 为每个有问题的段定义新的信息屏障策略
    - 编辑现有信息屏障策略 ,将其分配给正确的段
    将列出段,每个段都包含在信息屏障策略中 - 运行 Get-InformationBarrierPolicy cmdlet 以验证信息屏障策略是否处于活动状态
    - 运行 Get-InformationBarrierPoliciesApplicationStatus cmdlet 以确认策略已应用
    - 运行 Start-InformationBarrierPoliciesApplication cmdlet 以应用所有活动信息屏障策略

问题:我需要从信息屏障策略中删除单个用户

在这种情况下,信息屏障策略有效,一个或多个用户意外地被阻止与Microsoft Teams 中的其他人通信。 你可以从信息屏障策略中删除一个或多个单个用户,而不是完全删除信息屏障策略。

如何操作

将信息屏障策略分配给用户细分。 使用用户帐户配置文件中的某些属性定义段。 如果必须从单个用户中删除策略,请考虑在 Microsoft Entra 中编辑该用户的配置文件,以便用户不再包含在受信息屏障影响的段中。

  1. Get-InformationBarrierRecipientStatus cmdlet 与 Identity 参数配合使用。 此 cmdlet 返回有关用户的信息,例如属性值和应用的任何信息屏障策略。

    语法 示例
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    可以使用唯一标识每个用户的任何值,例如名称、别名、可分辨名称、规范域名、电子邮件地址或 GUID。

    Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    在此示例中,我们引用了 Microsoft 365 中的两个用户帐户:Meganb for Megan以及 Alexw

    Get-InformationBarrierRecipientStatus -Identity <value>

    可以使用唯一标识用户的任何值,例如名称、别名、可分辨名称、规范域名、电子邮件地址或 GUID。

    Get-InformationBarrierRecipientStatus -Identity jeanp

    在此示例中,我们引用了 Microsoft 365: jeanp 中的单个帐户。

  2. 查看结果以查看是否分配了信息屏障策略,以及用户所属的段(s) 。

  3. 若要从受信息屏障影响的段中删除用户, 请更新Microsoft Entra ID 中的用户配置文件信息。

  4. 等待大约 30 分钟,FwdSync 发生。 或者,运行 Start-InformationBarrierPoliciesApplication cmdlet 以应用所有活动信息屏障策略。

问题:信息屏障应用程序过程花费的时间太长

运行 Start-InformationBarrierPoliciesApplication cmdlet 后,该过程需要很长时间才能完成。

如何操作

请记住,当你运行策略应用程序 cmdlet 时,将针对组织中的所有帐户应用信息屏障策略(或由用户删除)。 如果你有许多用户,则需要一段时间才能处理。 (作为一般准则,处理 5,000 个用户帐户大约需要一个小时。

  1. 使用 Get-InformationBarrierPoliciesApplicationStatus cmdlet 验证最新策略应用程序的状态。

    查看最新的策略应用程序 查看所有策略应用程序的状态
    Get-InformationBarrierPoliciesApplicationStatus Get-InformationBarrierPoliciesApplicationStatus -All $true

    这将显示有关策略应用程序已完成、失败还是正在进行的信息。

  2. 根据上一步的结果,执行以下步骤之一:

    Status 后续步骤
    未启动 如果自 Start-InformationBarrierPoliciesApplication cmdlet 运行以来已超过 45 分钟,请查看审核日志,查看策略定义中是否存在任何错误,或应用程序未启动的其他原因。
    已失败 如果应用程序失败,请查看审核日志。 另请查看细分市场和策略。 是否向多个细分分配了任何用户? 是否分配了多个策略的段? 如有必要, 请编辑段 和/或 编辑策略,然后再次运行 Start-InformationBarrierPoliciesApplication cmdlet。
    正在学习 如果应用程序仍在进行中,请留出更多时间来完成该应用程序。 如果已过几天,请收集审核日志,然后联系支持人员。

问题:信息屏障策略根本不应用

在这种情况下,你已定义段、定义信息屏障策略,并尝试应用这些策略。 但是,运行 Get-InformationBarrierPoliciesApplicationStatus cmdlet 时,可以看到策略应用程序已失败。

如何操作

确保你的组织没有 Exchange 通讯簿策略 。 此类策略将阻止应用信息屏障策略。

  1. 连接到 Exchange Online PowerShell

  2. 运行 Get-AddressBookPolicy cmdlet,并查看结果。

    结果 后续步骤
    列出了 Exchange 通讯簿策略 删除通讯簿策略
    不存在通讯簿策略 查看审核日志,了解策略应用程序失败的原因
  3. 查看用户帐户、细分、策略或策略应用程序的状态。

问题:信息屏障策略未应用于所有指定用户

定义段、定义信息屏障策略并尝试应用这些策略后,你可能会发现该策略适用于某些收件人,但不适用于其他收件人。 运行 Get-InformationBarrierPoliciesApplicationStatus cmdlet 时,在输出中搜索如下所示的文本。

身份: <application guid>

收件人总数:81527

失败的收件人:2

失败类别:无

状态: 完成

如何操作

  1. 在审核日志 <application guid>中搜索 。 可以复制此 PowerShell 代码并修改变量。

    $DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss>  -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)} 
    
  2. 检查审核日志中的详细输出,了解字段"ErrorDetails"的值"UserId"。 这将为你提供失败的原因。 可以复制此 PowerShell 代码并修改变量。

       $DetailedLogs[1] |fl
    

    例如:

    “UserId”:User1

    “ErrorDetails”:“Status: IBPolicyConflict. 错误:IB 段“segment id1”和 IB 段“segment id2”存在冲突,无法分配给收件人。

  3. 通常,你会发现用户已包含在多个段中。 可以通过更新 -UserGroupFilter 值来 OrganizationSegments修复此问题。

  4. 使用这些过程 重新应用信息屏障策略

资源