通訊和資訊屏障的問題
資訊屏障 可協助貴組織遵守法律需求和產業法規。 例如,使用資訊屏障時,您可以限制特定使用者群組之間的通訊,以避免利益衝突或其他問題。 (若要深入瞭解如何設定資訊屏障,請參閱 定義資訊屏障的原則。
當資訊屏障就緒之後,人們遇到非預期的問題時,您可以採取一些步驟來解決這些問題。 使用本文作為指南。
重要
若要執行本文所述的工作,您必須獲指派適當的角色,例如下列其中一項:
- 合規性系統管理員
- IB 合規性管理 (這是一個新的角色!
若要深入瞭解資訊屏障的必要條件,請參閱必要條件(適用於資訊屏障原則)。
問題:使用者意外遭到封鎖,無法與Microsoft Teams 中的其他人通訊
在此情況下,人們會回報與Microsoft Teams 中其他人通訊的非預期問題。 一些範例包括:
- 使用者在 Microsoft Teams 中搜尋但找不到其他使用者。
- 用戶可以在 Microsoft Teams 中尋找另一位使用者,但無法選取。
- 使用者可以看到其他使用者,但無法將訊息傳送給 Microsoft Teams 中的其他使用者。
怎麼辦?
判斷使用者是否受到資訊屏障原則的影響。 根據原則的設定方式,資訊屏障可能會如預期般運作。 或者,您可能必須精簡組織的原則。
使用 Get-InformationBarrierRecipientStatus Cmdlet 搭配 Identity 參數。
語法 範例 Get-InformationBarrierRecipientStatus -Identity您可以使用任何可唯一識別每個收件者的身分識別值,例如名稱、別名、辨別名稱(DN)、標準 DN、電子郵件位址或 GUID。
Get-InformationBarrierRecipientStatus -Identity meganb在此範例中,我們使用 Identity 參數的別名 (meganb)。 此 Cmdlet 會傳回資訊,指出使用者是否受到資訊屏障原則的影響。 (尋找 *ExoPolicyId: <GUID>.)
如果使用者未包含在資訊屏障原則中,請連絡支持人員。 否則,請繼續進行下一個步驟。
了解資訊屏障原則中包含哪些區段。 若要這樣做,請使用
Get-InformationBarrierPolicyCmdlet 搭配 Identity 參數。語法 範例 Get-InformationBarrierPolicy使用詳細數據,例如您在上一個步驟中收到的原則 GUID (ExoPolicyId)作為身分識別值。
Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f在此範例中,我們會取得具有 ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f 之資訊屏障原則的詳細資訊。
執行 Cmdlet 之後,請在結果中尋找 AssignedSegment、 SegmentAllowed 和 SegmentBlocked 值。
例如,在執行
Get-InformationBarrierPolicyCmdlet 之後,我們在結果清單中看到下列內容:AssignedSegment : Sales SegmentsAllowed : {} SegmentsBlocked : {Research}在此情況下,我們可以看到資訊屏障原則會影響銷售與研究區段中的人員。 在此情況下,銷售人員無法與 Research 中的人員通訊。
如果這看起來正確,則資訊屏障會如預期般運作。 如果沒有,請繼續進行下一個步驟。
請確定您的區段已正確定義。 若要這樣做,請使用
Get-OrganizationSegmentCmdlet,並檢閱結果清單。語法 範例 Get-OrganizationSegment使用此 Cmdlet 搭配 Identity 參數。
Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd在此範例中,我們會取得 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd 的區段相關信息。
檢閱區段的詳細數據。 如有必要, 請編輯區段,然後重複使用
Start-InformationBarrierPoliciesApplicationCmdlet。如果您仍然遇到資訊屏障原則的問題,請連絡支持人員。
問題:在Microsoft Teams 中應封鎖的用戶之間允許通訊
在此情況下,雖然已定義資訊屏障、作用中且已套用,但應該防止彼此通訊的人員,不知何故能夠在Microsoft Teams 中彼此聊天和通話。
怎麼辦?
確認有問題的使用者已包含在資訊屏障原則中。
使用 Get-InformationBarrierRecipientStatus Cmdlet 搭配 Identity 參數。
語法* 範例 Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>您可以使用任何可唯一識別每個使用者的值,例如名稱、別名、辨別名稱、標準功能變數名稱、電子郵件位址或 GUID。
Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw在此範例中,我們會參考 Microsoft 365 中的兩個用戶帳戶:meganb for Megan,以及 Alexw 的 alexw。
提示
您也可以將此 Cmdlet 用於單一使用者:
Get-InformationBarrierRecipientStatus -Identity <value>檢閱結果。 Get-InformationBarrierRecipientStatus Cmdlet 會傳回使用者的相關信息,例如屬性值和套用的任何資訊屏障原則。
檢閱結果,然後採取後續步驟,如下表所述:
結果 接下來該怎麼做 選取的使用者未列出任何區段 執行下列其中一項動作:
- 在 entra 識別碼 Microsoft 中編輯使用者配置檔,以將使用者指派給現有的區段。 (請參閱 使用 Microsoft 365 PowerShell 設定用戶帳戶屬性。
- 使用 資訊屏障的支持屬性定義區段。 然後, 定義新的原則 或 編輯現有的原則 以包含該區段。區段會列出,但未將任何資訊屏障原則指派給這些區段 執行下列其中一項動作:
- 為每個有問題的區段定義新的資訊屏障原則
- 編輯現有的資訊屏障原則 ,將它指派給正確的區段區段會列出,且每個區段都包含在資訊屏障原則中 - 執行 Get-InformationBarrierPolicyCmdlet 以確認資訊屏障原則為作用中
- 執行Get-InformationBarrierPoliciesApplicationStatusCmdlet 以確認已套用原則
- 執行Start-InformationBarrierPoliciesApplicationCmdlet 以套用所有作用中資訊屏障原則
問題:我需要從資訊屏障原則中移除單一使用者
在此情況下,資訊屏障原則實際上已生效,且一或多個使用者意外遭到封鎖,無法與Microsoft Teams 中的其他人通訊。 您可以從資訊屏障原則中移除一或多個個別使用者,而不是完全移除資訊屏障原則。
怎麼辦?
資訊屏障原則會指派給用戶區段。 區段是在用戶帳戶配置檔中使用特定屬性來定義。 如果您必須從單一使用者移除原則,請考慮在 Microsoft Entra 中編輯該使用者的配置檔,讓使用者不再包含在受資訊屏障影響的區段中。
使用 Get-InformationBarrierRecipientStatus Cmdlet 搭配 Identity 參數。 此 Cmdlet 會傳回使用者的相關信息,例如屬性值和套用的任何資訊屏障原則。
語法 範例 Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>您可以使用任何可唯一識別每個使用者的值,例如名稱、別名、辨別名稱、標準功能變數名稱、電子郵件位址或 GUID。
Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw在此範例中,我們會參考 Microsoft 365 中的兩個用戶帳戶:meganb for Megan,以及 Alexw 的 alexw。
Get-InformationBarrierRecipientStatus -Identity <value>您可以使用任何可唯一識別使用者的值,例如名稱、別名、辨別名稱、標準功能變數名稱、電子郵件位址或 GUID。
Get-InformationBarrierRecipientStatus -Identity jeanp在此範例中,我們會參考 Microsoft 365: jeanp 中的單一帳戶。
檢閱結果,以查看是否已指派資訊屏障原則,以及使用者所屬的區段。
若要從受資訊屏障影響的區段中移除使用者, 請在 Microsoft Entra ID 中更新使用者的配置檔資訊。
等候大約 30 分鐘,FwdSync 發生。 或者,執行
Start-InformationBarrierPoliciesApplicationCmdlet 以套用所有作用中資訊屏障原則。
問題:資訊屏障應用程式程序花費的時間太長
執行 Start-InformationBarrierPoliciesApplication Cmdlet 之後,程式需要很長的時間才能完成。
怎麼辦?
請記住,當您執行原則應用程式 Cmdlet 時,組織中所有帳戶都會套用資訊屏障原則(或由使用者移除)。 如果您有許多使用者,則需要一段時間才能處理。 (一般指導方針需要大約一個小時才能處理5,000個用戶帳戶。
使用 Get-InformationBarrierPoliciesApplicationStatus Cmdlet 來驗證最新原則應用程式的狀態。
若要檢視最新的原則應用程式 檢視所有原則應用程式的狀態 Get-InformationBarrierPoliciesApplicationStatusGet-InformationBarrierPoliciesApplicationStatus -All $true這會顯示原則應用程式已完成、失敗或進行中的相關信息。
根據上一個步驟的結果,採取下列其中一個步驟:
狀態 下一步 未啟動 如果啟動資訊BarrierPoliciesApplication Cmdlet 已執行 45 分鐘以上,請檢閱您的稽核記錄,以查看原則定義中是否有任何錯誤,或應用程式尚未啟動的其他原因。 失敗 如果應用程式失敗,請檢閱您的稽核記錄。 另請檢閱您的區段和原則。 是否有任何使用者指派給多個區段? 是否有指派多個原則的區段? 如有必要, 請編輯區段 和/或 編輯原則,然後再次執行 Start-InformationBarrierPoliciesApplication Cmdlet。 進行中 如果應用程式仍在進行中,請讓應用程式有更多時間完成。 如果已經數天,請收集您的稽核記錄,然後連絡支持人員。
問題:資訊屏障原則完全未套用
在此情況下,您已定義區段、定義的資訊屏障原則,並嘗試套用這些原則。 不過,當您執行 Get-InformationBarrierPoliciesApplicationStatus Cmdlet 時,您可以看到原則應用程式失敗。
怎麼辦?
請確定您的組織沒有 Exchange 通訊簿原則 。 這類原則可防止套用資訊屏障原則。
執行 Get-AddressBookPolicy Cmdlet,並檢閱結果。
結果 下一步 列出 Exchange 通訊簿原則 拿掉通訊錄原則 沒有通訊簿原則存在 檢閱您的稽核記錄,以了解原則應用程式失敗的原因
問題:資訊屏障原則未套用至所有指定的使用者
定義區段、定義的資訊屏障原則,並嘗試套用這些原則之後,您可能會發現原則會套用至某些收件者,但不適用於其他收件者。
當您執行 Get-InformationBarrierPoliciesApplicationStatus Cmdlet 時,搜尋輸出中的文字,如下所示。
身份:
<application guid>收件者總數:81527
失敗的收件者:2
失敗類別:無
狀態:完成
怎麼辦?
在稽核紀錄
<application guid>中搜尋 。 您可以複製此 PowerShell 程式代碼,並修改變量。$DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss> -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}檢查稽核記錄檔中的詳細輸出,以取得 和
"ErrorDetails"欄位的值"UserId"。 這會提供失敗的原因。 您可以複製此 PowerShell 程式代碼,並修改變量。$DetailedLogs[1] |fl例如:
“UserId”: User1
“ErrorDetails”:“Status: IBPolicyConflict。 錯誤:IB 區段 「segment id1」 和 IB 區段 「segment id2」 發生衝突,且無法指派給收件者。
通常,您會發現使用者已包含在多個區段中。 您可以藉由更新
-UserGroupFilter中的OrganizationSegments值來修正此問題。使用這些程式 重新套用資訊屏障原則的資訊屏障原則。