Problemas con las barreras de comunicaciones e información

Nota

El cumplimiento de Microsoft 365 ahora se denomina Microsoft Purview y las soluciones dentro del área de cumplimiento han cambiado de nombre. Para obtener más información sobre Microsoft Purview, consulte el anuncio en el blog.

Las barreras de información pueden ayudar a su organización a cumplir los requisitos legales y las regulaciones del sector. Por ejemplo, con las barreras de información, puede restringir la comunicación entre grupos específicos de usuarios para evitar un conflicto de intereses u otros problemas. (Para obtener más información sobre cómo configurar barreras de información, consulte Definición de directivas para barreras de información).

Cuando las personas se encuentran con problemas inesperados después de que haya barreras de información, hay algunos pasos que puede seguir para resolver esos problemas. Use este artículo como guía.

Importante

Para realizar las tareas descritas en este artículo, se le debe asignar un rol adecuado, como una de las siguientes:

  • administrador global de Microsoft 365 Enterprise
  • administrador global
  • Administrador de cumplimiento
  • Administración de cumplimiento de IB (¡este es un nuevo rol!)

Para obtener más información sobre los requisitos previos para las barreras de información, consulte Requisitos previos (para directivas de barreras de información).

Asegúrese de conectarse a PowerShell del Centro de cumplimiento de seguridad &.

Problema: se impide inesperadamente que los usuarios se comuniquen con otros usuarios de Microsoft Teams

En este caso, las personas informan de problemas inesperados al comunicarse con otros usuarios de Microsoft Teams. Por ejemplo:

  • Un usuario busca, pero no puede encontrar, otro usuario en Microsoft Teams.
  • Un usuario puede encontrar, pero no puede seleccionar, otro usuario en Microsoft Teams.
  • Un usuario puede ver a otro usuario, pero no puede enviar mensajes a ese otro usuario en Microsoft Teams.

Qué hacer

Determine si los usuarios se ven afectados por una directiva de barrera de información. En función de cómo se configuren las directivas, es posible que las barreras de información funcionen según lo esperado. O bien, es posible que tenga que refinar las directivas de su organización.

  1. Use el cmdlet Get-InformationBarrierRecipientStatus con el parámetro Identity.

    Sintaxis Ejemplo
    Get-InformationBarrierRecipientStatus -Identity

    Puede usar cualquier valor de identidad que identifique de forma única a cada destinatario, como Nombre, Alias, Nombre distintivo (DN), DN canónico, dirección Email o GUID.

    Get-InformationBarrierRecipientStatus -Identity meganb

    En este ejemplo, se usa un alias (meganb) para el parámetro Identity. Este cmdlet devolverá información que indica si el usuario se ve afectado por una directiva de barrera de información. (Busque *ExoPolicyId: <GUID>.)

    Si los usuarios no están incluidos en las directivas de barrera de información, póngase en contacto con el soporte técnico. De lo contrario, continúe con el paso siguiente.

  2. Averigüe qué segmentos se incluyen en una directiva de barrera de información. Para ello, use el Get-InformationBarrierPolicy cmdlet con el parámetro Identity.

    Sintaxis Ejemplo
    Get-InformationBarrierPolicy

    Use los detalles, como el GUID de directiva (ExoPolicyId) que recibió durante el paso anterior, como un valor de identidad.

    Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f

    En este ejemplo, se obtiene información detallada sobre la directiva de barrera de información que tiene ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f.

    Después de ejecutar el cmdlet, en los resultados, busque los valores AssignedSegment, SegmentsAllowed y SegmentsBlocked .

    Por ejemplo, después de ejecutar el Get-InformationBarrierPolicy cmdlet, vimos lo siguiente en nuestra lista de resultados:

    AssignedSegment : Sales
    SegmentsAllowed : {}
    SegmentsBlocked : {Research}
    

    En este caso, podemos ver que una directiva de barrera de información afecta a las personas que se encuentran en los segmentos Ventas e Investigación. En este caso, a las personas de Ventas se les impide comunicarse con personas de Investigación.

    Si esto parece correcto, las barreras de información funcionan según lo previsto. Si no es así, vaya al paso siguiente.

  3. Asegúrese de que los segmentos están definidos correctamente. Para ello, use el Get-OrganizationSegment cmdlet y revise la lista de resultados.

    Sintaxis Ejemplo
    Get-OrganizationSegment

    Use este cmdlet con un parámetro Identity.

    Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd

    En este ejemplo, se obtiene información sobre el segmento que tiene GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

    Revise los detalles del segmento. Si es necesario, edite un segmento y vuelva a usar el Start-InformationBarrierPoliciesApplication cmdlet .

    Si sigue teniendo problemas con la directiva de barrera de información, póngase en contacto con el soporte técnico.

Problema: se permiten las comunicaciones entre los usuarios que deben bloquearse en Microsoft Teams

En este caso, aunque se definen, activan y aplican barreras de información, las personas a las que se debe impedir que se comuniquen entre sí pueden chatear y llamarse entre sí en Microsoft Teams.

Qué hacer

Compruebe que los usuarios en cuestión están incluidos en una directiva de barrera de información.

  1. Use el cmdlet Get-InformationBarrierRecipientStatus con parámetros identity.

    Sintaxis _ _ Example*
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Puede usar cualquier valor que identifique de forma única a cada usuario, como nombre, alias, nombre distintivo, nombre de dominio canónico, dirección de correo electrónico o GUID.

    Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    En este ejemplo, nos referimos a dos cuentas de usuario en Microsoft 365: meganb para Megan y alexw para Alex.

    Sugerencia

    También puede usar este cmdlet para un único usuario: Get-InformationBarrierRecipientStatus -Identity <value>

  2. Revise los resultados. El cmdlet Get-InformationBarrierRecipientStatus devuelve información sobre los usuarios, como los valores de atributo y las directivas de barrera de información que se aplican.

    Revise los resultados y, a continuación, realice los pasos siguientes, como se describe en la tabla siguiente:

    Resultados Qué hacer a continuación
    No se muestran segmentos para los usuarios seleccionados Realiza una de las siguientes acciones:
    : asigne usuarios a un segmento existente mediante la edición de sus perfiles de usuario en Azure Active Directory. (Consulte Configuración de las propiedades de la cuenta de usuario con Microsoft 365 PowerShell).
    : defina un segmento mediante un atributo admitido para las barreras de información. A continuación, defina una nueva directiva o edite una directiva existente para incluir ese segmento.
    Los segmentos se enumeran, pero no se asignan directivas de barrera de información a esos segmentos. Realiza una de las siguientes acciones:
    - Definición de una nueva directiva de barrera de información para cada segmento en cuestión
    - Editar una directiva de barrera de información existente para asignarla al segmento correcto
    Los segmentos se enumeran y cada uno de ellos se incluye en una directiva de barrera de información. : ejecute el Get-InformationBarrierPolicy cmdlet para comprobar que las directivas de barrera de información están activas.
    : ejecute el Get-InformationBarrierPoliciesApplicationStatus cmdlet para confirmar que se aplican las directivas.
    : ejecute el Start-InformationBarrierPoliciesApplication cmdlet para aplicar todas las directivas de barrera de información activa.

Problema: Tengo que quitar un solo usuario de una directiva de barrera de información

En este caso, las directivas de barrera de información están en vigor y uno o varios usuarios se bloquean inesperadamente para comunicarse con otros usuarios de Microsoft Teams. En lugar de eliminar por completo las directivas de barrera de información, puede quitar uno o varios usuarios individuales de las directivas de barrera de información.

Qué hacer

Las directivas de barrera de información se asignan a segmentos de usuarios. Los segmentos se definen mediante el uso de determinados atributos en perfiles de cuenta de usuario. Si debe quitar una directiva de un único usuario, considere la posibilidad de editar el perfil de ese usuario en Azure Active Directory de forma que el usuario ya no se incluya en un segmento afectado por las barreras de información.

  1. Use el cmdlet Get-InformationBarrierRecipientStatus con parámetros identity. Este cmdlet devuelve información sobre los usuarios, como los valores de atributo y las directivas de barrera de información que se aplican.

    Sintaxis Ejemplo
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Puede usar cualquier valor que identifique de forma única a cada usuario, como nombre, alias, nombre distintivo, nombre de dominio canónico, dirección de correo electrónico o GUID.

    Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    En este ejemplo, nos referimos a dos cuentas de usuario en Microsoft 365: meganb para Megan y alexw para Alex.

    Get-InformationBarrierRecipientStatus -Identity <value>

    Puede usar cualquier valor que identifique de forma única al usuario, como nombre, alias, nombre distintivo, nombre de dominio canónico, dirección de correo electrónico o GUID.

    Get-InformationBarrierRecipientStatus -Identity jeanp

    En este ejemplo, nos referimos a una sola cuenta en Microsoft 365: jeanp.

  2. Revise los resultados para ver si se asignan directivas de barrera de información y a qué segmentos pertenecen los usuarios.

  3. Para quitar un usuario de un segmento afectado por barreras de información, actualice la información de perfil del usuario en Azure Active Directory.

  4. Espere unos 30 minutos a que se produzca FwdSync. O bien, ejecute el Start-InformationBarrierPoliciesApplication cmdlet para aplicar todas las directivas de barrera de información activa.

Problema: El proceso de aplicación de la barrera de información tarda demasiado tiempo

Después de ejecutar el cmdlet Start-InformationBarrierPoliciesApplication , el proceso tarda mucho tiempo en finalizar.

Qué hacer

Tenga en cuenta que, al ejecutar el cmdlet de la aplicación de directiva, se aplican (o quitan directivas de barrera de información), usuario por usuario, para todas las cuentas de su organización. Si tiene muchos usuarios, el proceso tardará un tiempo en procesarse. (Como guía general, se tarda aproximadamente una hora en procesar 5000 cuentas de usuario).

  1. Use el cmdlet Get-InformationBarrierPoliciesApplicationStatus para comprobar el estado de la aplicación de directiva más reciente.

    Para ver la aplicación de directiva más reciente Para ver el estado de todas las aplicaciones de directiva
    Get-InformationBarrierPoliciesApplicationStatus Get-InformationBarrierPoliciesApplicationStatus -All $true

    Esto mostrará información sobre si la aplicación de directiva se completó, produjo un error o está en curso.

  2. En función de los resultados del paso anterior, realice uno de los pasos siguientes:

    Estado Paso siguiente
    No iniciado Si han pasado más de 45 minutos desde que se ha ejecutado el cmdlet Start-InformationBarrierPoliciesApplication , revise el registro de auditoría para ver si hay errores en las definiciones de directiva o alguna otra razón por la que la aplicación no se ha iniciado.
    Failed Si se produjo un error en la aplicación, revise el registro de auditoría. Revise también los segmentos y las directivas. ¿Hay usuarios asignados a más de un segmento? ¿Hay segmentos asignados a más de una directiva? Si es necesario, edite segmentos o edite directivas y, a continuación, vuelva a ejecutar el cmdlet Start-InformationBarrierPoliciesApplication .
    En curso Si la aplicación sigue en curso, espere más tiempo para que se complete. Si han pasado varios días, recopile los registros de auditoría y, a continuación, póngase en contacto con el soporte técnico.

Problema: Las directivas de barrera de información no se aplican en absoluto

En este caso, ha definido segmentos, ha definido directivas de barrera de información y ha intentado aplicar esas directivas. Sin embargo, al ejecutar el Get-InformationBarrierPoliciesApplicationStatus cmdlet, puede ver que se ha producido un error en la aplicación de directiva.

Qué hacer

Asegúrese de que su organización no tiene directivas de libreta de direcciones de Exchange . Estas directivas impedirán que se apliquen directivas de barrera de información.

  1. Conéctese a Exchange Online PowerShell.

  2. Ejecute el cmdlet Get-AddressBookPolicy y revise los resultados.

    Resultados Paso siguiente
    Se enumeran las directivas de libreta de direcciones de Exchange Quitar directivas de libreta de direcciones
    No existen directivas de libreta de direcciones Revise los registros de auditoría para averiguar por qué se produce un error en la aplicación de directivas.
  3. Ver el estado de las cuentas de usuario, los segmentos, las directivas o la aplicación de directivas.

Problema: La directiva de barrera de información no se aplica a todos los usuarios designados

Después de definir segmentos, directivas de barrera de información definidas y haber intentado aplicar esas directivas, es posible que la directiva se aplique a algunos destinatarios, pero no a otros. Al ejecutar el Get-InformationBarrierPoliciesApplicationStatus cmdlet, busque texto como este en la salida.

Identidad: <application guid>

Total de destinatarios: 81527

Destinatarios con errores: 2

Categoría de error: Ninguno

Estado: Completado

Qué hacer

  1. Busque en el registro de <application guid>auditoría . Puede copiar este código de PowerShell y modificarlo para las variables.

    $DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss>  -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)} 
    
  2. Compruebe la salida detallada del registro de auditoría para ver los valores de los "UserId" campos y "ErrorDetails" . Esto le dará la razón del error. Puede copiar este código de PowerShell y modificarlo para las variables.

       $DetailedLogs[1] |fl
    

    Por ejemplo:

    "UserId": User1

    "ErrorDetails":"Status: IBPolicyConflict. Error: El segmento IB "segment id1" y el segmento IB "segment id2" tiene conflicto y no se puede asignar al destinatario.

  3. Normalmente, verá que un usuario se ha incluido en más de un segmento. Para corregirlo, actualice el -UserGroupFilter valor en OrganizationSegments.

  4. Vuelva a aplicar las directivas de barrera de información mediante estas directivas de barreras de información.

Recursos