Problémy s komunikačními a informačními bariérami
Informační bariéry můžou vaší organizaci pomoct i nadále dodržovat zákonné požadavky a oborové předpisy. Pomocí informačních bariér můžete například omezit komunikaci mezi konkrétními skupinami uživatelů, abyste se vyhnuli střetu zájmů nebo jiným problémům. (Další informace o tom, jak nastavit informační bariéry, najdete v tématu Definování zásad pro informační bariéry.)
Pokud lidé narazí na neočekávané problémy poté, co jsou zavedeny informační bariéry, můžete tyto problémy vyřešit několika kroky. Jako vodítko použijte tento článek.
Důležité
Abyste mohli provádět úlohy popsané v tomto článku, musíte mít přiřazenou odpovídající roli, například jednu z následujících rolí:
- globální správce Microsoft 365 Enterprise
- Globální správce
- Správce dodržování předpisů
- Ib Compliance Management (toto je nová role!)
Další informace o požadavcích na informační bariéry najdete v tématu Požadavky (pro zásady informačních bariér).
Nezapomeňte se připojit k PowerShellu Centra dodržování předpisů security &.
Problém: Uživatelům se neočekávaně zablokuje komunikace s ostatními uživateli v Microsoft Teams
V tomto případě lidé hlásí neočekávané problémy s komunikací s ostatními v Microsoft Teams. Mezi příklady patří:
- Uživatel hledá jiného uživatele v Microsoft Teams, ale nemůže ho najít.
- Uživatel může najít, ale nemůže vybrat jiného uživatele v Microsoft Teams.
- Uživatel může zobrazit jiného uživatele, ale nemůže mu posílat zprávy v Microsoft Teams.
Co dělat
Určete, jestli jsou uživatelé ovlivněni zásadami informačních bariér. V závislosti na konfiguraci zásad můžou informační bariéry fungovat podle očekávání. Nebo možná budete muset upřesnit zásady vaší organizace.
Použijte rutinu Get-InformationBarrierRecipientStatus s parametrem Identity.
Syntaxe Příklad Get-InformationBarrierRecipientStatus -Identity
Můžete použít libovolnou hodnotu identity, která jednoznačně identifikuje každého příjemce, jako je název, alias, rozlišující jméno (DN), kanonický název, Email adresa nebo IDENTIFIKÁTOR GUID.
Get-InformationBarrierRecipientStatus -Identity meganb
V tomto příkladu používáme alias (meganb) pro parametr Identity. Tato rutina vrátí informace, které označují, jestli je uživatel ovlivněn zásadami informačních bariér. (Vyhledejte *ExoPolicyId: <GUID>.)
Pokud uživatelé nejsou zahrnuti do zásad informačních bariér, obraťte se na podporu. V opačném případě přejděte k dalšímu kroku.
Zjistěte, které segmenty jsou součástí zásad informačních bariér. K tomu použijte rutinu
Get-InformationBarrierPolicy
s parametrem Identity.Syntaxe Příklad Get-InformationBarrierPolicy
Jako hodnotu identity použijte podrobnosti, jako je identifikátor GUID zásady (ExoPolicyId), který jste obdrželi v předchozím kroku.
Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f
V tomto příkladu získáváme podrobné informace o zásadách informačních bariér, které mají ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f.
Po spuštění rutiny vyhledejte ve výsledcích hodnoty AssignedSegment, SegmentsAllowed a SegmentsBlocked .
Například po spuštění rutiny
Get-InformationBarrierPolicy
jsme v seznamu výsledků viděli následující:AssignedSegment : Sales SegmentsAllowed : {} SegmentsBlocked : {Research}
V tomto případě vidíme, že zásady informačních bariér mají vliv na lidi, kteří jsou v segmentech Prodej a Výzkum. V takovém případě se lidem v prodeji zabrání v komunikaci s lidmi ve službě Research.
Pokud se to zdá být správné, informační bariéry fungují podle očekávání. Pokud ne, pokračujte dalším krokem.
Ujistěte se, že jsou segmenty správně definované. Uděláte to tak, že použijete rutinu
Get-OrganizationSegment
a zkontrolujete seznam výsledků.Syntaxe Příklad Get-OrganizationSegment
Použijte tuto rutinu s parametrem Identity.
Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
V tomto příkladu získáváme informace o segmentu, který má identifikátor GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.
Zkontrolujte podrobnosti o segmentu. V případě potřeby upravte segment a pak rutinu
Start-InformationBarrierPoliciesApplication
znovu použijte.Pokud máte stále problémy se zásadami informačních bariér, obraťte se na podporu.
Problém: Komunikace mezi uživateli, kteří by měli být v Microsoft Teams blokovaní
I když jsou v tomto případě informační bariéry definované, aktivní a použité, lidé, kterým by se mělo zabránit ve vzájemné komunikaci, můžou v Microsoft Teams nějak chatovat a volat.
Co dělat
Ověřte, že jsou uživatelé zahrnuti do zásad informačních bariér.
Použijte rutinu Get-InformationBarrierRecipientStatus s parametry identity.
Syntaxe* Příklad Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
Můžete použít libovolnou hodnotu, která jednoznačně identifikuje každého uživatele, například jméno, alias, rozlišující jméno, kanonický název domény, e-mailovou adresu nebo identifikátor GUID.
Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
V tomto příkladu odkazujeme na dva uživatelské účty v Microsoftu 365: meganb pro Megan a alexw pro Alex.
Tip
Můžete také použít tuto rutinu pro jednoho uživatele:
Get-InformationBarrierRecipientStatus -Identity <value>
Zkontrolujte zjištění. Rutina Get-InformationBarrierRecipientStatus vrací informace o uživatelích, jako jsou hodnoty atributů a všechny použité zásady informačních bariér.
Zkontrolujte výsledky a pak proveďte další kroky, jak je popsáno v následující tabulce:
Výsledky Co dělat dál Pro vybrané uživatele nejsou uvedené žádné segmenty. Udělejte jedno z následujícího:
– Přiřaďte uživatele k existujícímu segmentu úpravou jejich profilů uživatelů v Microsoft Entra ID. (Viz Konfigurace vlastností uživatelského účtu pomocí Microsoft 365 PowerShellu.)
– Definujte segment pomocí podporovaného atributu pro informační bariéry. Pak buď definujte novou zásadu , nebo upravte existující zásadu tak, aby zahrnovaly tento segment.Segmenty jsou uvedené, ale k těmto segmentům se nepřiřazují žádné zásady informačních bariér. Udělejte jedno z následujícího:
- Definování nových zásad informačních bariér pro každý příslušný segment
- Úprava existujících zásad informačních bariér a jejich přiřazení ke správnému segmentuSegmenty jsou uvedené a každý z nich je zahrnutý v zásadách informačních bariér. – Spuštěním rutiny Get-InformationBarrierPolicy
ověřte, že jsou zásady informačních bariér aktivní.
– Spuštěním rutinyGet-InformationBarrierPoliciesApplicationStatus
ověřte, že se zásady používají.
– Spuštěním rutinyStart-InformationBarrierPoliciesApplication
použijte všechny aktivní zásady informační bariéry.
Problém: Potřebuji odebrat jednoho uživatele ze zásad informačních bariér
V tomto případě platí zásady informačních bariér a jednomu nebo několika uživatelům se neočekávaně zablokuje komunikace s ostatními uživateli v Microsoft Teams. Místo toho, abyste úplně odebrali zásady informačních bariér, můžete ze zásad informačních bariér odebrat jednoho nebo více jednotlivých uživatelů.
Co dělat
Zásady informačních bariér se přiřazují segmentům uživatelů. Segmenty se definují pomocí určitých atributů v profilech uživatelských účtů. Pokud musíte odebrat zásadu jednomu uživateli, zvažte úpravu profilu tohoto uživatele v Microsoft Entra tak, aby uživatel již nebyl zahrnut do segmentu ovlivněného informačními bariérami.
Použijte rutinu Get-InformationBarrierRecipientStatus s parametry identity. Tato rutina vrací informace o uživatelích, jako jsou hodnoty atributů a všechny použité zásady informačních bariér.
Syntaxe Příklad Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
Můžete použít libovolnou hodnotu, která jednoznačně identifikuje každého uživatele, například jméno, alias, rozlišující jméno, kanonický název domény, e-mailovou adresu nebo identifikátor GUID.
Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
V tomto příkladu odkazujeme na dva uživatelské účty v Microsoftu 365: meganb pro Megan a alexw pro Alex.
Get-InformationBarrierRecipientStatus -Identity <value>
Můžete použít libovolnou hodnotu, která uživatele jednoznačně identifikuje, například jméno, alias, rozlišující jméno, kanonický název domény, e-mailová adresa nebo identifikátor GUID.
Get-InformationBarrierRecipientStatus -Identity jeanp
V tomto příkladu odkazujeme na jeden účet v Microsoftu 365: jeanp.
Zkontrolujte výsledky a zjistěte, jestli jsou přiřazené zásady informačních bariér a do kterých segmentů uživatelé patří.
Pokud chcete odebrat uživatele ze segmentu ovlivněného informačními bariérami, aktualizujte informace o profilu uživatele v Microsoft Entra ID.
Počkejte asi 30 minut, než dojde k FwdSync. Nebo spusťte rutinu
Start-InformationBarrierPoliciesApplication
a použijte všechny aktivní zásady informační bariéry.
Problém: Proces aplikace informační bariéry trvá příliš dlouho
Po spuštění rutiny Start-InformationBarrierPoliciesApplication trvá dokončení procesu dlouho.
Co dělat
Mějte na paměti, že při spuštění rutiny aplikace zásad se zásady informačních bariér použijí (nebo odeberou) uživatele podle uživatele pro všechny účty ve vaší organizaci. Pokud máte mnoho uživatelů, bude zpracování chvíli trvat. (Obecně platí, že zpracování 5 000 uživatelských účtů trvá přibližně hodinu.)
Pomocí rutiny Get-InformationBarrierPoliciesApplicationStatus ověřte stav nejnovější aplikace zásad.
Zobrazení nejnovější aplikace zásad Zobrazení stavu všech aplikací zásad Get-InformationBarrierPoliciesApplicationStatus
Get-InformationBarrierPoliciesApplicationStatus -All $true
Zobrazí se informace o tom, jestli se aplikace zásad dokončila, selhala nebo probíhá.
V závislosti na výsledcích předchozího kroku proveďte jeden z následujících kroků:
Stav Další krok Nespustilo se Pokud od spuštění rutiny Start-InformationBarrierPoliciesApplication uplynulo více než 45 minut, zkontrolujte protokol auditu a zjistěte, jestli v definicích zásad nedošlo k chybám nebo z nějakého jiného důvodu, proč se aplikace nespustila. Selhalo Pokud aplikace selhala, zkontrolujte protokol auditu. Zkontrolujte také segmenty a zásady. Jsou uživatelé přiřazeni k více než jednomu segmentu? Jsou některé segmenty přiřazeny více než jednu zásadu? V případě potřeby upravte segmenty nebo zásady a pak znovu spusťte rutinu Start-InformationBarrierPoliciesApplication . Probíhá Pokud aplikace stále probíhá, počkejte více času na dokončení. Pokud uplynulo několik dní, shromážděte protokoly auditu a pak kontaktujte podporu.
Problém: Zásady informačních bariér se vůbec nepoužívají
V tomto případě jste definovali segmenty, definovali zásady informačních bariér a pokusili jste se tyto zásady použít. Když ale spustíte rutinu Get-InformationBarrierPoliciesApplicationStatus
, uvidíte, že aplikace zásad selhala.
Co dělat
Ujistěte se, že vaše organizace nemá zavedeny zásady adresáře Exchange . Tyto zásady zabrání uplatnění zásad informačních bariér.
Připojení k modulu Exchange Online PowerShell.
Spusťte rutinu Get-AddressBookPolicy a zkontrolujte výsledky.
Výsledky Další krok Jsou uvedené zásady adresáře Exchange Odebrání zásad adresáře Neexistují žádné zásady adresáře. Zkontrolujte protokoly auditu a zjistěte, proč aplikace zásad selhává. Zobrazení stavu uživatelských účtů, segmentů, zásad nebo aplikace zásad
Problém: Zásady informačních bariér se nevztahují na všechny určené uživatele
Jakmile definujete segmenty, definujete zásady informačních bariér a pokusíte se tyto zásady použít, můžete zjistit, že se zásady vztahují na některé příjemce, ale ne na jiné.
Při spuštění rutiny Get-InformationBarrierPoliciesApplicationStatus
vyhledejte ve výstupu text podobný tomuto.
Identity:
<application guid>
Celkový počet příjemců: 81527
Neúspěšní příjemci: 2
Kategorie selhání: Žádná
Stav: Dokončeno
Co dělat
V protokolu auditování vyhledejte .
<application guid>
Tento kód PowerShellu můžete zkopírovat a upravit pro své proměnné.$DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss> -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}
V podrobném výstupu z protokolu auditování zkontrolujte hodnoty
"UserId"
polí a"ErrorDetails"
. Tím zjistíte důvod selhání. Tento kód PowerShellu můžete zkopírovat a upravit pro své proměnné.$DetailedLogs[1] |fl
Příklady:
"UserId": User1
"ErrorDetails":"Status: IBPolicyConflict. Chyba: Segment IB id1 a SEGMENT IB id2 je v konfliktu a nelze ho přiřadit příjemci.
Obvykle zjistíte, že uživatel byl zahrnut do více než jednoho segmentu. Tento problém můžete vyřešit aktualizací
-UserGroupFilter
hodnoty vOrganizationSegments
souboru .Znovu použijte zásady informačních bariér pomocí těchto postupů Zásady informačních bariér.
Zdroje
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro