Problémy s komunikačními a informačními bariérami

Informační bariéry můžou vaší organizaci pomoct zůstat v souladu s právními požadavky a průmyslovými předpisy. S informačními bariérami můžete například omezit komunikaci mezi konkrétními skupinami uživatelů, aby se zabránilo střetu zájmů nebo jiným problémům. (Další informace o tom, jak nastavit informační bariéry, najdete v tématu Definování zásad pro informační bariéry.)

Když se lidé po vytvoření informačních bariér nachytá v neočekávaných problémech, můžete tyto problémy vyřešit několika kroky. Tento článek použijte jako vodítko.

Důležité

Abyste museli provádět úkoly popsané v tomto článku, musíte mít přiřazenou odpovídající roli, například jednu z těchto akcí:

  • Microsoft 365 Enterprise Globální správce
  • globální správce
  • Správce dodržování předpisů
  • Správa dodržování předpisů IB (toto je nová role!)

Další informace o předpokladech pro informační bariéry najdete v tématu Předpoklady (pro zásady informační bariéry).

Ujistěte se, že se připojujete k Centru & dodržování předpisů PowerShell.

Problém: Uživatelům se neočekávaně zablokuje komunikace s ostatními v Microsoft Teams

V tomto případě lidé hlásí neočekávané problémy při komunikaci s ostatními Microsoft Teams. K příkladům patří:

  • Uživatel hledá jiného uživatele v Microsoft Teams.
  • Uživatel může najít jiného uživatele v Microsoft Teams.
  • Uživatel vidí jiného uživatele, ale nemůže mu posílat zprávy v Microsoft Teams.

Co dělat

Zjistěte, jestli jsou uživatelé ovlivněni zásadou informační bariéry. V závislosti na konfiguraci zásad můžou informační bariéry fungovat podle očekávání. Nebo možná budete muset upřesnit zásady vaší organizace.

  1. Použijte rutinu Get-InformationBarrierRecipientStatus s parametrem Identita.

    Syntaxe Příklad
    Get-InformationBarrierRecipientStatus -Identity

    Můžete použít libovolnou hodnotu identity, která jedinečně identifikuje každého příjemce, například Jméno, Alias, Rozlišující jméno (DN), Kanonický dn, E-mailová adresa nebo IDENTIFIKÁTOR GUID.

    Get-InformationBarrierRecipientStatus -Identity meganb

    V tomto příkladu používáme alias (meganb) pro parametr Identity. Tato rutina vrátí informace, které označuje, jestli se na uživatele vztahují zásady informační bariéry. (Vyhledejte *ExoPolicyId: <GUID> .)

    Pokud uživatelé nejsou zahrnuti do zásad informační bariéry, kontaktujte podporu. V opačném případě přejděte k dalšímu kroku.

  2. Zjistěte, které segmenty jsou zahrnuté do zásad informační bariéry. K tomu použijte Get-InformationBarrierPolicy rutinu s parametrem Identita.

    Syntaxe Příklad
    Get-InformationBarrierPolicy

    Jako hodnotu identity použijte podrobnosti, jako je identifikátor GUID zásad (ExoPolicyId), který jste dostali v předchozím kroku.

    Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f

    V tomto příkladu dostáváme podrobné informace o zásadách informační bariéry, která má ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f.

    Po spuštění rutiny vyhledejte ve výsledcích hodnoty AssignedSegment, SegmentsAllowed a SegmentsBlocked.

    Například po spuštění rutiny jsme v našem seznamu výsledků viděli Get-InformationBarrierPolicy následující:

    AssignedSegment : Sales
    SegmentsAllowed : {}
    SegmentsBlocked : {Research}
    

    V tomto případě vidíme, že zásada informační bariéry se týká lidí, kteří jsou v segmentech Prodej a Výzkum. V takovém případě je lidem v prodeji znemožněna komunikace s lidmi ve výzkumu.

    Pokud se to zdá správné, fungují informační bariéry očekávaným způsobem. Pokud ne, pokračujte dalším krokem.

  3. Zkontrolujte, jestli jsou segmenty správně definované. K tomu použijte Get-OrganizationSegment rutinu a zkontrolujte seznam výsledků.

    Syntaxe Příklad
    Get-OrganizationSegment

    Tuto rutinu použijte s parametrem Identity.

    Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd

    V tomto příkladu dostáváme informace o segmentu, který má identifikátor GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

    Zkontrolujte podrobnosti segmentu. V případě potřeby upravte segment apak rutinu znovu Start-InformationBarrierPoliciesApplication použijte.

    Pokud máte stále problémy se zásadou informační bariéry, kontaktujte podporu.

Problém: Komunikace je povolená mezi uživateli, kteří by měli být v Microsoft Teams

I když jsou v tomto případě informační bariéry definované, aktivní a použité, lidé, kterým by mělo být zabráněné vzájemně komunikovat, si pokaždé volají v Microsoft Teams.

Co dělat

Ověřte, jestli jsou uživatelé zahrnuti do zásad informační bariéry.

  1. Použijte rutinu Get-InformationBarrierRecipientStatus s parametry identity.

    Syntaxe _ _ Příklad*
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Můžete použít libovolnou hodnotu, která jedinečně identifikuje každého uživatele, například jméno, alias, rozlišující jméno, název kanonické domény, e-mailovou adresu nebo identifikátor GUID.

    Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    V tomto příkladu odkazujeme na dva uživatelské účty v Office 365: meganb pro Megan a alexw pro Alex.

    Tip

    Tuto rutinu můžete použít taky pro jednoho uživatele: Get-InformationBarrierRecipientStatus -Identity <value>

  2. Zkontrolujte zjištění. Rutina Get-InformationBarrierRecipientStatus vrací informace o uživatelích, jako jsou hodnoty atributů a všechny použité zásady informační bariéry.

    Zkontrolujte výsledky a udělejte další kroky, jak je popsáno v následující tabulce:

    Výsledky Co dělat dál
    Pro vybrané uživatele nejsou uvedené žádné segmenty. Udělejte jedno z následujícího:
    – Přiřaďte uživatele k existujícímu segmentu úpravou profilů uživatelů v Azure Active Directory. (Viz Konfigurace vlastností uživatelského účtu pomocí Office 365 PowerShellu.)
    - Definujte segment pomocí podporovaného atributu pro informační bariéry. Potom buď definujte novou zásadu, nebo upravte existující zásadu tak, aby zahrnovala tento segment.
    Segmenty jsou uvedené, ale k uvedenými segmentům nejsou přiřazeny žádné zásady informační bariéry. Udělejte jedno z následujícího:
    - Definování nové zásady informační bariéry pro jednotlivé segmenty
    - Úprava existující zásady informační bariéry, která ji přiřadí správnému segmentu
    Segmenty jsou uvedené a každý z nich je zahrnutý v zásadách informační bariéry. – Spuštěním rutiny ověřte, jestli jsou zásady Get-InformationBarrierPolicy bariéry informací aktivní
    – Spusťte Get-InformationBarrierPoliciesApplicationStatus rutinu, abyste potvrdili, že jsou zásady použité.
    – Spusťte Start-InformationBarrierPoliciesApplication rutinu a použijte všechny zásady bariér aktivních informací.

Problém: Potřebuji odebrat jednoho uživatele ze zásad informační bariéry.

V takovém případě jsou zásady bariéry informací v platnosti a jednomu nebo více uživatelům se neočekávaně zablokuje komunikace s ostatními v Microsoft Teams. Místo toho, aby se zásady informační bariéry úplně odebírat, můžete jednoho nebo víc jednotlivých uživatelů ze zásad informační bariéry odebrat.

Co dělat

Zásady informační bariéry jsou přiřazeny segmentům uživatelů. Segmenty jsou definované pomocí určitých atributů v profilech uživatelských účtů. Pokud musíte odebrat zásadu jednomu uživateli, zvažte úpravy profilu tohoto uživatele v Azure Active Directory tak, aby uživatel už nebyl zahrnutý do segmentu, na který se informační bariéry válely.

  1. Použijte rutinu Get-InformationBarrierRecipientStatus s parametry identity. Tato rutina vrací informace o uživatelích, jako jsou hodnoty atributů a všechny použité zásady informační bariéry.

    Syntaxe Příklad
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Můžete použít libovolnou hodnotu, která jedinečně identifikuje každého uživatele, například jméno, alias, rozlišující jméno, název kanonické domény, e-mailovou adresu nebo identifikátor GUID.

    Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    V tomto příkladu odkazujeme na dva uživatelské účty v Office 365: meganb pro Megan a alexw pro Alex.

    Get-InformationBarrierRecipientStatus -Identity <value>

    Můžete použít libovolnou hodnotu, která jedinečně identifikuje uživatele, například jméno, alias, rozlišující jméno, název kanonické domény, e-mailovou adresu nebo identifikátor GUID.

    Get-InformationBarrierRecipientStatus -Identity jeanp

    V tomto příkladu odkazujeme na jeden účet v Office 365: janp.

  2. Zkontrolujte výsledky a zkontrolujte, jestli jsou přiřazeny zásady informační bariéry a ke kterým segmentům patří.

  3. Pokud chcete uživatele odebrat ze segmentu ovlivněného informačními bariérami, aktualizujte informace o profilu uživatele v Azure Active Directory.

  4. Počkejte asi 30 minut, než se FwdSync objeví. Nebo spusťte Start-InformationBarrierPoliciesApplication rutinu a použijte všechny aktivní zásady bariéry informací.

Problém: Proces aplikace s informační bariérou trvá moc dlouho.

Po spuštění rutiny Start-InformationBarrierPoliciesApplication trvá proces dlouho.

Co dělat

Mějte na paměti, že když spustíte rutinu aplikace zásad, použijí se (nebo odebrali) zásady informační bariéry pro všechny účty ve vaší organizaci podle uživatelů. Pokud máte hodně uživatelů, bude to chvíli trvat. (Obecně platí, že zpracování 5 000 uživatelských účtů trvá asi hodinu.)

  1. K ověření stavu nejnovější aplikace zásad použijte rutinu Get-InformationBarrierPoliciesApplicationStatus.

    Zobrazení nejnovější aplikace zásad Zobrazení stavu pro všechny aplikace zásad
    Get-InformationBarrierPoliciesApplicationStatus Get-InformationBarrierPoliciesApplicationStatus -All $true

    Zobrazí se informace o tom, jestli je aplikace zásad dokončená, neúspěšná nebo probíhající.

  2. V závislosti na výsledcích předchozího kroku udělejte jeden z následujících kroků:

    Stav Další krok
    Nezačal(a) Pokud od spuštění rutiny Start-InformationBarrierPoliciesApplication uběhlo víc než 45 minut, zkontrolujte v protokolu auditování, jestli v definicích zásad nejsou nějaké chyby, nebo z nějakého jiného důvodu, proč aplikace nezačala.
    Selhalo Pokud aplikace selhala, zkontrolujte protokol auditování. Zkontrolujte taky segmenty a zásady. Jsou všichni uživatelé přiřazeni k více než jednomu segmentu? Mají nějaké segmenty přiřazeno více než jednu zásadu? V případě potřeby upravte segmenty nebo zásady úprava potom znovu spusťte rutinu Start-InformationBarrierPoliciesApplication.
    Probíhá Pokud je aplikace pořád v průběhu, nechte ji na dokončení více času. Pokud to bylo několik dní, shromážděte protokoly auditování a kontaktujte podporu.

Problém: Zásady informační bariéry se vůbec nevyu ít

V takovém případě jste definovali segmenty, definované zásady bariér informací a pokusili jste se tyto zásady použít. Když ale rutinu Get-InformationBarrierPoliciesApplicationStatus spustíte, uvidíte, že aplikace zásad selhala.

Co dělat

Ujistěte se, že vaše organizace nemá Exchange zásady adresáře. Takové zásady zabrání tomu, aby se zásady bariéry informací použily.

  1. Připojení k Exchange Online PowerShellu.

  2. Spusťte rutinu Get-AddressBookPolicy a zkontrolujte výsledky.

    Výsledky Další krok
    Exchange jsou uvedené zásady adresáře Odebrání zásad adresáře
    Neexistují žádné zásady adresáře. Zkontrolujte protokoly auditování a zjistěte, proč se aplikace zásad nedaří.
  3. Zobrazení stavu uživatelských účtů, segmentů, zásad nebo aplikace zásad

Problém: Zásady informační bariéry se neumát u všech určených uživatelů

Jakmile definujete segmenty, definujete zásady bariéry informací a pokusíte se tyto zásady použít, můžete zjistit, že se tato zásada vztahuje na některé příjemce, ale ne na ostatní. Když rutinu Get-InformationBarrierPoliciesApplicationStatus spustíte, hledejte ve výstupu text, jako je tento.

Identita: <application guid>

Celkový počet příjemců: 81527

Neúspěšní příjemci: 2

Kategorie selhání: Žádné

Stav: Dokončeno

Co dělat

  1. V protokolu auditování vyhledejte <application guid> . Tento kód PowerShellu můžete zkopírovat a upravit pro proměnné.

    $DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss>  -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)} 
    
  2. Zkontrolujte podrobný výstup z protokolu auditování pro hodnoty "UserId" polí "ErrorDetails" a. Tím se zobrazí důvod neúspěchu. Tento kód PowerShellu můžete zkopírovat a upravit pro proměnné.

       $DetailedLogs[1] |fl
    

    Příklad:

    "Id_uživatele": Uživatel1

    "ErrorDetails":"Status: IBPolicyConflict. Chyba: Segment IB "id1 segmentu" a segment IB "id2 segmentu" má konflikt a nelze ho přiřadit příjemci.

  3. Obvykle zjistíte, že uživatel je zahrnutý do více než jednoho segmentu. Tento problém můžete vyřešit aktualizací -UserGroupFilter hodnoty v aplikaci OrganizationSegments .

  4. Znovu použijte zásady informační bariéry pomocí těchto postupů Zásady informační bariéry.

Zdroje