Probleme mit Kommunikations- und Informationsbarrieren

  • Artikel

Informationsbarrieren können Dazu beitragen, dass Ihre organization den gesetzlichen Anforderungen und branchenspezifischen Vorschriften entsprechen. Mit Informationsbarrieren können Sie beispielsweise die Kommunikation zwischen bestimmten Benutzergruppen einschränken, um Interessenkonflikte oder andere Probleme zu vermeiden. (Weitere Informationen zum Einrichten von Informationsbarrieren finden Sie unter Definieren von Richtlinien für Informationsbarrieren.)

Wenn personen nach dem Bestehen von Informationsbarrieren auf unerwartete Probleme stoßen, können Sie einige Schritte ausführen, um diese Probleme zu beheben. Verwenden Sie diesen Artikel als Leitfaden.

Wichtig

Zum Ausführen der in diesem Artikel beschriebenen Aufgaben muss Ihnen eine entsprechende Rolle zugewiesen werden, z. B. eine der folgenden:

  • Globaler Microsoft 365-Unternehmensadministrator
  • Globaler Administrator
  • Complianceadministrator
  • IB Compliance Management (dies ist eine neue Rolle!)

Weitere Informationen zu den Voraussetzungen für Informationsbarrieren finden Sie unter Voraussetzungen (für Richtlinien für Informationsbarrieren).

Stellen Sie sicher, dass Sie eine Verbindung mit Security & Compliance Center PowerShell herstellen.

Problem: Benutzer werden unerwartet daran gehindert, mit anderen in Microsoft Teams zu kommunizieren

In diesem Fall melden Personen unerwartete Probleme bei der Kommunikation mit anderen Personen in Microsoft Teams. Einige Beispiele:

  • Ein Benutzer sucht in Microsoft Teams nach einem anderen Benutzer, kann diesen aber nicht finden.
  • Ein Benutzer kann einen anderen Benutzer in Microsoft Teams suchen, aber nicht auswählen.
  • Ein Benutzer kann einen anderen Benutzer sehen, aber keine Nachrichten an diesen anderen Benutzer in Microsoft Teams senden.

Vorgehensweise

Bestimmen Sie, ob die Benutzer von einer Richtlinie für Informationsbarrieren betroffen sind. Je nachdem, wie Richtlinien konfiguriert sind, funktionieren Informationsbarrieren möglicherweise wie erwartet. Oder Sie müssen möglicherweise die Richtlinien Ihrer organization verfeinern.

  1. Verwenden Sie das Cmdlet Get-InformationBarrierRecipientStatus mit dem Identity-Parameter.

    Syntax Beispiel
    Get-InformationBarrierRecipientStatus -Identity

    Sie können einen beliebigen Identitätswert verwenden, der jeden Empfänger eindeutig identifiziert, z. B. Name, Alias, Distinguished Name (DN), Kanonischer DN, Email Adresse oder GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb

    In diesem Beispiel verwenden wir einen Alias (meganb) für den Identity-Parameter. Dieses Cmdlet gibt Informationen zurück, die angeben, ob der Benutzer von einer Richtlinie für Informationsbarrieren betroffen ist. (Suchen Sie nach *ExoPolicyId: <GUID>.)

    Wenn die Benutzer nicht in den Richtlinien für Informationsbarrieren enthalten sind, wenden Sie sich an den Support. Führen Sie andernfalls die nächste Aktion aus.

  2. Finden Sie heraus, welche Segmente in einer Richtlinie für Informationsbarrieren enthalten sind. Verwenden Sie dazu das Get-InformationBarrierPolicy Cmdlet mit dem Identity-Parameter.

    Syntax Beispiel
    Get-InformationBarrierPolicy

    Verwenden Sie Details, z. B. die Richtlinien-GUID (ExoPolicyId), die Sie im vorherigen Schritt erhalten haben, als Identitätswert.

    		 Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f

    In diesem Beispiel erhalten wir detaillierte Informationen zur Richtlinie für informationsbarrieren mit ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f.

    Nachdem Sie das Cmdlet ausgeführt haben, suchen Sie in den Ergebnissen nach den Werten AssignedSegment, SegmentsAllowed und SegmentsBlocked .

    Nach dem Ausführen des Get-InformationBarrierPolicy Cmdlets haben wir beispielsweise Folgendes in unserer Ergebnisliste gesehen:

    AssignedSegment : Sales
SegmentsAllowed : {}
SegmentsBlocked : {Research}

    In diesem Fall sehen wir, dass eine Richtlinie für Informationsbarrieren Personen betrifft, die sich in den Segmenten Vertrieb und Forschung befinden. In diesem Fall werden Personen im Vertrieb daran gehindert, mit Personen in der Forschung zu kommunizieren.

    Wenn dies richtig erscheint, funktionieren Informationsbarrieren wie erwartet. Wenn nicht, fahren Sie mit dem nächsten Schritt fort.

  3. Stellen Sie sicher, dass Ihre Segmente richtig definiert sind. Verwenden Sie dazu das Get-OrganizationSegment Cmdlet, und überprüfen Sie die Liste der Ergebnisse.

    Syntax Beispiel
    Get-OrganizationSegment

    Verwenden Sie dieses Cmdlet mit einem Identity-Parameter.

    		 Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd

    In diesem Beispiel erhalten wir Informationen zu dem Segment mit der GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

    Überprüfen Sie die Details für das Segment. Bearbeiten Sie bei Bedarf ein Segment, und verwenden Sie dann das Start-InformationBarrierPoliciesApplication Cmdlet wieder.

    Wenn weiterhin Probleme mit Ihrer Richtlinie für Informationsbarrieren auftreten, wenden Sie sich an den Support.

Problem: Kommunikation zwischen Benutzern, die in Microsoft Teams blockiert werden sollten, sind zulässig.

In diesem Fall sind zwar Informationsbarrieren definiert, aktiv und angewendet, aber Personen, die daran gehindert werden sollen, miteinander zu kommunizieren, können in Microsoft Teams irgendwie miteinander chatten und anrufen.

Vorgehensweise

Stellen Sie sicher, dass die betreffenden Benutzer in eine Richtlinie für Informationsbarrieren eingeschlossen sind.

  1. Verwenden Sie das Cmdlet Get-InformationBarrierRecipientStatus mit Identity-Parametern.

    Syntax* Beispiel
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Sie können einen beliebigen Wert verwenden, der jeden Benutzer eindeutig identifiziert, z. B. Name, Alias, Distinguished Name, kanonischer Domänenname, E-Mail-Adresse oder GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    In diesem Beispiel beziehen wir uns auf zwei Benutzerkonten in Microsoft 365: meganb für Megan und alexw für Alex.

    Tipp

    Sie können dieses Cmdlet auch für einen einzelnen Benutzer verwenden: Get-InformationBarrierRecipientStatus -Identity <value>

  2. Überprüfen Sie die Ergebnisse. Das Cmdlet Get-InformationBarrierRecipientStatus gibt Informationen zu Benutzern zurück, z. B. Attributwerte und alle angewendeten Richtlinien für Informationsbarrieren.

    Überprüfen Sie die Ergebnisse, und führen Sie dann die nächsten Schritte aus, wie in der folgenden Tabelle beschrieben:

    Ergebnisse Was ist als Nächstes zu tun?
    Für die ausgewählten Benutzer sind keine Segmente aufgeführt. Führen Sie einen der folgenden Schritte aus:
    – Weisen Sie Benutzer einem vorhandenen Segment zu, indem Sie ihre Benutzerprofile in Microsoft Entra ID bearbeiten. (Weitere Informationen finden Sie unter Konfigurieren von Benutzerkontoeigenschaften mit Microsoft 365 PowerShell.)
    – Definieren sie ein Segment mithilfe eines unterstützten Attributs für Informationsbarrieren. Definieren Sie dann entweder eine neue Richtlinie , oder bearbeiten Sie eine vorhandene Richtlinie , um dieses Segment einzuschließen.
    Segmente werden aufgelistet, aber diesen Segmenten werden keine Richtlinien für Informationsbarrieren zugewiesen. Führen Sie einen der folgenden Schritte aus:
    - Definieren einer neuen Richtlinie für Informationsbarrieren für jedes betreffende Segment
    - Bearbeiten einer vorhandenen Richtlinie für Informationsbarrieren , um sie dem richtigen Segment zuzuweisen
    Segmente werden aufgelistet, und jedes ist in einer Richtlinie für Informationsbarrieren enthalten. – Führen Sie das Get-InformationBarrierPolicy Cmdlet aus, um zu überprüfen, ob Richtlinien für Informationsbarrieren aktiv sind.
    – Führen Sie das Get-InformationBarrierPoliciesApplicationStatus Cmdlet aus, um zu bestätigen, dass die Richtlinien angewendet wurden.
    – Führen Sie das Start-InformationBarrierPoliciesApplication Cmdlet aus, um alle aktiven Richtlinien für Informationsbarrieren anzuwenden.

Problem: Ich muss einen einzelnen Benutzer aus einer Richtlinie für Informationsbarrieren entfernen.

In diesem Fall sind Richtlinien für Informationsbarrieren in Kraft, und ein oder mehrere Benutzer werden unerwartet daran gehindert, mit anderen in Microsoft Teams zu kommunizieren. Anstatt Richtlinien für Informationsbarrieren vollständig zu entfernen, können Sie einen oder mehrere einzelne Benutzer aus den Richtlinien für Informationsbarrieren entfernen.

Vorgehensweise

Richtlinien für Informationsbarrieren werden Segmenten von Benutzern zugewiesen. Segmente werden mithilfe bestimmter Attribute in Benutzerkontoprofilen definiert. Wenn Sie eine Richtlinie von einem einzelnen Benutzer entfernen müssen, sollten Sie das Profil dieses Benutzers in Microsoft Entra so bearbeiten, dass der Benutzer nicht mehr in einem Segment enthalten ist, das von Informationsbarrieren betroffen ist.

  1. Verwenden Sie das Cmdlet Get-InformationBarrierRecipientStatus mit Identity-Parametern. Dieses Cmdlet gibt Informationen zu Benutzern zurück, z. B. Attributwerte und alle angewendeten Richtlinien für Informationsbarrieren.

    Syntax Beispiel
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Sie können einen beliebigen Wert verwenden, der jeden Benutzer eindeutig identifiziert, z. B. Name, Alias, Distinguished Name, kanonischer Domänenname, E-Mail-Adresse oder GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    In diesem Beispiel beziehen wir uns auf zwei Benutzerkonten in Microsoft 365: meganb für Megan und alexw für Alex.
    Get-InformationBarrierRecipientStatus -Identity <value>

    Sie können einen beliebigen Wert verwenden, der den Benutzer eindeutig identifiziert, z. B. Name, Alias, Distinguished Name, kanonischer Domänenname, E-Mail-Adresse oder GUID.

    		 Get-InformationBarrierRecipientStatus -Identity jeanp

    In diesem Beispiel beziehen wir uns auf ein einzelnes Konto in Microsoft 365: jeanp.

  2. Überprüfen Sie die Ergebnisse, um festzustellen, ob Richtlinien für Informationsbarrieren zugewiesen sind und zu welchen Segmenten die Benutzer gehören.

  3. Um einen Benutzer aus einem Segment zu entfernen, das von Informationsbarrieren betroffen ist, aktualisieren Sie die Profilinformationen des Benutzers in Microsoft Entra ID.

  4. Warten Sie etwa 30 Minuten, bis FwdSync auftritt. Oder führen Sie das Start-InformationBarrierPoliciesApplication Cmdlet aus, um alle aktiven Richtlinien für Informationsbarrieren anzuwenden.

Problem: Der Antragsprozess für die Informationsbarriere dauert zu lange.

Nach dem Ausführen des Cmdlets Start-InformationBarrierPoliciesApplication dauert es lange, bis der Prozess abgeschlossen ist.

Vorgehensweise

Beachten Sie, dass beim Ausführen des Richtlinienanwendungs-Cmdlets Richtlinien für Informationsbarrieren Benutzer für Benutzer für alle Konten in Ihrem organization angewendet (oder entfernt werden). Wenn Sie viele Benutzer haben, dauert die Verarbeitung eine Weile. (Als allgemeine Richtlinie dauert die Verarbeitung von 5.000 Benutzerkonten etwa eine Stunde.)

  1. Verwenden Sie das Cmdlet Get-InformationBarrierPoliciesApplicationStatus, um status der neuesten Richtlinienanwendung zu überprüfen.

    So zeigen Sie die neueste Richtlinienanwendung an So zeigen Sie status für alle Richtlinienanwendungen an
    Get-InformationBarrierPoliciesApplicationStatus Get-InformationBarrierPoliciesApplicationStatus -All $true

    Dadurch werden Informationen darüber angezeigt, ob die Richtlinienanwendung abgeschlossen wurde, fehlgeschlagen ist oder ausgeführt wird.

  2. Führen Sie abhängig von den Ergebnissen des vorherigen Schritts einen der folgenden Schritte aus:

    Status Nächster Schritt
    Nicht gestartet Wenn das Cmdlet Start-InformationBarrierPoliciesApplication mehr als 45 Minuten ausgeführt wurde, überprüfen Sie Ihr Überwachungsprotokoll, um festzustellen, ob Fehler in Richtliniendefinitionen vorliegen oder warum die Anwendung nicht gestartet wurde.
    Fehlgeschlagen Wenn bei der Anwendung ein Fehler aufgetreten ist, überprüfen Sie Ihr Überwachungsprotokoll. Überprüfen Sie auch Ihre Segmente und Richtlinien. Sind Benutzer mehreren Segmenten zugewiesen? Sind Segmente mehreren Richtlinien zugewiesen? Bearbeiten Sie bei Bedarf Segmente und/oder Bearbeitungsrichtlinien, und führen Sie dann das Cmdlet Start-InformationBarrierPoliciesApplication erneut aus.
    In Bearbeitung Wenn die Anwendung noch ausgeführt wird, sollten Sie mehr Zeit für den Abschluss ein lassen. Wenn mehrere Tage vergangen sind, sammeln Sie Ihre Überwachungsprotokolle, und wenden Sie sich dann an den Support.

Problem: Richtlinien für Informationsbarrieren werden überhaupt nicht angewendet

In diesem Fall haben Sie Segmente definiert, Richtlinien für Informationsbarrieren definiert und versucht, diese Richtlinien anzuwenden. Wenn Sie jedoch das Cmdlet ausführen, sehen Sie, dass bei der Get-InformationBarrierPoliciesApplicationStatus Richtlinienanwendung ein Fehler aufgetreten ist.

Vorgehensweise

Stellen Sie sicher, dass ihre organization nicht über Exchange-Adressbuchrichtlinien verfügt. Solche Richtlinien verhindern, dass Richtlinien für Informationsbarrieren angewendet werden.

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.

  2. Führen Sie das Cmdlet Get-AddressBookPolicy aus, und überprüfen Sie die Ergebnisse.

    Ergebnisse Nächster Schritt
    Exchange-Adressbuchrichtlinien sind aufgeführt Adressbuchrichtlinien entfernen
    Es sind keine Adressbuchrichtlinien vorhanden. Überprüfen Sie Ihre Überwachungsprotokolle, um herauszufinden, warum die Richtlinienanwendung fehlschlägt.

  3. Zeigen Sie status von Benutzerkonten, Segmenten, Richtlinien oder Richtlinienanwendungen an.

Problem: Richtlinie für Informationsbarrieren gilt nicht für alle vorgesehenen Benutzer

Nachdem Sie Segmente definiert, Richtlinien für Informationsbarrieren definiert und versucht haben, diese Richtlinien anzuwenden, stellen Sie möglicherweise fest, dass die Richtlinie auf einige Empfänger angewendet wird, aber nicht auf andere. Wenn Sie das Get-InformationBarrierPoliciesApplicationStatus Cmdlet ausführen, suchen Sie in der Ausgabe nach Text wie diesem.

Identität: <application guid>

Empfänger insgesamt: 81527

Fehlgeschlagene Empfänger: 2

Fehlerkategorie: Keine

Status: Abgeschlossen

Vorgehensweise

  1. Suchen Sie im Überwachungsprotokoll nach <application guid>. Sie können diesen PowerShell-Code kopieren und für Ihre Variablen ändern.

    $DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss>  -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}

  2. Überprüfen Sie die detaillierte Ausgabe aus dem Überwachungsprotokoll auf die Werte der "UserId" Felder und "ErrorDetails" . Dadurch erhalten Sie die Ursache für den Fehler. Sie können diesen PowerShell-Code kopieren und für Ihre Variablen ändern.

       $DetailedLogs[1] |fl

    Beispiel:

    "UserId": User1

    "ErrorDetails":"Status: IBPolicyConflict. Fehler: Das IB-Segment "Segment id1" und das IB-Segment "Segment id2" haben einen Konflikt und können dem Empfänger nicht zugewiesen werden.

  3. In der Regel werden Sie feststellen, dass ein Benutzer in mehr als einem Segment enthalten ist. Sie können dies beheben, indem Sie den -UserGroupFilter Wert in OrganizationSegmentsaktualisieren.

  4. Erneutes Anwenden von Richtlinien für Informationsbarrieren mithilfe dieser Verfahren Richtlinien für Informationsbarrieren.

Ressourcen