Problemi relativi alle comunicazioni e alle barriere informative

  • Articolo

Le barriere informative possono aiutare l'organizzazione a rimanere conforme ai requisiti legali e alle normative del settore. Ad esempio, con le barriere informative, è possibile limitare la comunicazione tra gruppi specifici di utenti per evitare un conflitto di interessi o altri problemi. Per altre informazioni su come configurare le barriere informative, vedere Definire i criteri per le barriere informative.

Quando si verificano problemi imprevisti dopo che sono state create barriere informative, è possibile eseguire alcuni passaggi per risolverli. Usare questo articolo come guida.

Importante

Per eseguire le attività descritte in questo articolo, è necessario disporre di un ruolo appropriato, ad esempio uno dei seguenti:

  • Amministratore globale di Microsoft 365 Enterprise
  • amministratore globale
  • Amministratore di conformità
  • Gestione conformità IB (questo è un nuovo ruolo!)

Per altre informazioni sui prerequisiti per le barriere informative, vedere Prerequisiti (per i criteri delle barriere informative).

Assicurarsi di connettersi a PowerShell del Centro conformità & sicurezza.

Problema: agli utenti viene impedito in modo imprevisto di comunicare con altri utenti in Microsoft Teams

In questo caso, gli utenti segnalano problemi imprevisti durante la comunicazione con altri utenti in Microsoft Teams. Ecco alcuni esempi:

  • Un utente cerca, ma non riesce a trovare, un altro utente in Microsoft Teams.
  • Un utente può trovare, ma non può selezionare, un altro utente in Microsoft Teams.
  • Un utente può visualizzare un altro utente, ma non può inviare messaggi a tale altro utente in Microsoft Teams.

Soluzione

Determinare se gli utenti sono interessati da un criterio di barriera delle informazioni. A seconda della configurazione dei criteri, le barriere informative potrebbero funzionare come previsto. In alternativa, potrebbe essere necessario perfezionare i criteri dell'organizzazione.

  1. Usare il cmdlet Get-InformationBarrierRecipientStatus con il parametro Identity.

    Sintassi Esempio
    Get-InformationBarrierRecipientStatus -Identity

    È possibile usare qualsiasi valore identity che identifichi in modo univoco ogni destinatario, ad esempio Name, Alias, Distinguished name (DN), Canonical DN, Email address o GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb

    In questo esempio viene usato un alias (meganb) per il parametro Identity. Questo cmdlet restituirà informazioni che indicano se l'utente è interessato da un criterio di barriera delle informazioni. (Cercare *ExoPolicyId: <GUID>.

    Se gli utenti non sono inclusi nei criteri delle barriere informative, contattare il supporto tecnico. In caso contrario, procedere al passaggio successivo.

  2. Scopri quali segmenti sono inclusi in un criterio di barriera delle informazioni. A tale scopo, usare il Get-InformationBarrierPolicy cmdlet con il parametro Identity.

    Sintassi Esempio
    Get-InformationBarrierPolicy

    Usare i dettagli, ad esempio il GUID del criterio (ExoPolicyId) ricevuto durante il passaggio precedente, come valore identity.

    		 Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f

    In questo esempio vengono fornite informazioni dettagliate sui criteri di barriera delle informazioni con ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f.

    Dopo aver eseguito il cmdlet, nei risultati cercare i valori AssignedSegment, SegmentsAllowed e SegmentsBlocked .

    Ad esempio, dopo l'esecuzione del Get-InformationBarrierPolicy cmdlet, nell'elenco dei risultati sono stati visualizzati gli elementi seguenti:

    AssignedSegment : Sales
SegmentsAllowed : {}
SegmentsBlocked : {Research}

    In questo caso, è possibile notare che un criterio di barriera delle informazioni influisce sulle persone che si trovano nei segmenti Vendite e Ricerca. In questo caso, alle persone in Vendita viene impedito di comunicare con le persone in Ricerca.

    Se questo sembra corretto, le barriere informative funzionano come previsto. In caso contrario, procedere al passaggio successivo.

  3. Assicurarsi che i segmenti siano definiti correttamente. A tale scopo, usare il Get-OrganizationSegment cmdlet ed esaminare l'elenco dei risultati.

    Sintassi Esempio
    Get-OrganizationSegment

    Usare questo cmdlet con un parametro Identity.

    		 Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd

    In questo esempio vengono visualizzate informazioni sul segmento con GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

    Esaminare i dettagli per il segmento. Se necessario, modificare un segmento e quindi riutilizzare il Start-InformationBarrierPoliciesApplication cmdlet.

    Se si verificano ancora problemi con i criteri di barriera delle informazioni, contattare il supporto tecnico.

Problema: le comunicazioni sono consentite tra gli utenti che devono essere bloccati in Microsoft Teams

In questo caso, anche se le barriere informative sono definite, attive e applicate, le persone a cui dovrebbe essere impedito di comunicare tra loro sono in qualche modo in grado di chattare e chiamarsi a vicenda in Microsoft Teams.

Soluzione

Verificare che gli utenti in questione siano inclusi in un criterio di barriera delle informazioni.

  1. Usare il cmdlet Get-InformationBarrierRecipientStatus con i parametri Identity.

    Sintassi* Esempio
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    È possibile usare qualsiasi valore che identifichi in modo univoco ogni utente, ad esempio nome, alias, nome distinto, nome di dominio canonico, indirizzo di posta elettronica o GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    In questo esempio si fa riferimento a due account utente in Microsoft 365: meganb per Megan e alexw per Alex.

    Consiglio

    È anche possibile usare questo cmdlet per un singolo utente: Get-InformationBarrierRecipientStatus -Identity <value>

  2. Esaminare i risultati. Il cmdlet Get-InformationBarrierRecipientStatus restituisce informazioni sugli utenti, ad esempio i valori degli attributi e i criteri di barriera delle informazioni applicati.

    Esaminare i risultati e quindi eseguire i passaggi successivi, come descritto nella tabella seguente:

    Risultati Operazioni successive
    Nessun segmento elencato per gli utenti selezionati Eseguire una delle operazioni seguenti:
    - Assegnare gli utenti a un segmento esistente modificando i profili utente in Microsoft Entra ID. Vedere Configurare le proprietà dell'account utente con Microsoft 365 PowerShell.
    - Definire un segmento usando un attributo supportato per le barriere informative. Definire quindi un nuovo criterio o modificare un criterio esistente per includere tale segmento.
    I segmenti sono elencati, ma non vengono assegnati criteri di barriera delle informazioni a tali segmenti Eseguire una delle operazioni seguenti:
    - Definire un nuovo criterio di barriera delle informazioni per ogni segmento in questione
    - Modificare un criterio di barriera delle informazioni esistente per assegnarlo al segmento corretto
    I segmenti sono elencati e ognuno di essi è incluso in un criterio di barriera delle informazioni - Eseguire il Get-InformationBarrierPolicy cmdlet per verificare che i criteri di barriera delle informazioni siano attivi
    - Eseguire il Get-InformationBarrierPoliciesApplicationStatus cmdlet per verificare che i criteri siano applicati
    - Eseguire il Start-InformationBarrierPoliciesApplication cmdlet per applicare tutti i criteri di barriera delle informazioni attive

Problema: è necessario rimuovere un singolo utente da un criterio di barriera delle informazioni

In questo caso, i criteri di barriera delle informazioni sono in vigore e a uno o più utenti viene impedito in modo imprevisto di comunicare con altri utenti in Microsoft Teams. Invece di rimuovere completamente i criteri di barriera delle informazioni, è possibile rimuovere uno o più singoli utenti dai criteri delle barriere informative.

Soluzione

I criteri di barriera delle informazioni vengono assegnati a segmenti di utenti. I segmenti vengono definiti usando determinati attributi nei profili dell'account utente. Se è necessario rimuovere un criterio da un singolo utente, provare a modificare il profilo dell'utente in Microsoft Entra in modo che l'utente non sia più incluso in un segmento interessato dalle barriere informative.

  1. Usare il cmdlet Get-InformationBarrierRecipientStatus con i parametri Identity. Questo cmdlet restituisce informazioni sugli utenti, ad esempio i valori degli attributi e i criteri di barriera delle informazioni applicati.

    Sintassi Esempio
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    È possibile usare qualsiasi valore che identifichi in modo univoco ogni utente, ad esempio nome, alias, nome distinto, nome di dominio canonico, indirizzo di posta elettronica o GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    In questo esempio si fa riferimento a due account utente in Microsoft 365: meganb per Megan e alexw per Alex.
    Get-InformationBarrierRecipientStatus -Identity <value>

    È possibile usare qualsiasi valore che identifichi in modo univoco l'utente, ad esempio nome, alias, nome distinto, nome di dominio canonico, indirizzo di posta elettronica o GUID.

    		 Get-InformationBarrierRecipientStatus -Identity jeanp

    In questo esempio si fa riferimento a un singolo account in Microsoft 365: jeanp.

  2. Esaminare i risultati per verificare se sono stati assegnati criteri di barriera delle informazioni e a quali segmenti appartengono gli utenti.

  3. Per rimuovere un utente da un segmento interessato dalle barriere informative, aggiornare le informazioni sul profilo dell'utente in Microsoft Entra ID.

  4. Attendere circa 30 minuti per il verificarsi di FwdSync. In alternativa, eseguire il Start-InformationBarrierPoliciesApplication cmdlet per applicare tutti i criteri di barriera delle informazioni attive.

Problema: il processo dell'applicazione di barriera delle informazioni richiede troppo tempo

Dopo aver eseguito il cmdlet Start-InformationBarrierPoliciesApplication , il completamento del processo richiede molto tempo.

Soluzione

Tenere presente che quando si esegue il cmdlet dell'applicazione dei criteri, i criteri di barriera delle informazioni vengono applicati (o rimossi), utente per utente, per tutti gli account dell'organizzazione. Se si hanno molti utenti, l'elaborazione richiederà un po' di tempo. Come linea guida generale, l'elaborazione di 5.000 account utente richiede circa un'ora.

  1. Usare il cmdlet Get-InformationBarrierPoliciesApplicationStatus per verificare lo stato dell'applicazione di criteri più recente.

    Per visualizzare l'applicazione di criteri più recente Per visualizzare lo stato di tutte le applicazioni dei criteri
    Get-InformationBarrierPoliciesApplicationStatus Get-InformationBarrierPoliciesApplicationStatus -All $true

    Verranno visualizzate informazioni sul fatto che l'applicazione dei criteri sia stata completata, non riuscita o sia in corso.

  2. A seconda dei risultati del passaggio precedente, seguire questa procedura:

    Stato Passaggio successivo
    Non avviato Se sono trascorsi più di 45 minuti dall'esecuzione del cmdlet Start-InformationBarrierPoliciesApplication , esaminare il log di controllo per verificare se sono presenti errori nelle definizioni dei criteri o un altro motivo per cui l'applicazione non è stata avviata.
    Operazione non riuscita Se l'applicazione non è riuscita, esaminare il log di controllo. Esaminare anche i segmenti e i criteri. Gli utenti sono assegnati a più segmenti? A tutti i segmenti sono assegnati più criteri? Se necessario, modificare i segmenti e/o i criteri di modifica e quindi eseguire di nuovo il cmdlet Start-InformationBarrierPoliciesApplication .
    In corso Se l'applicazione è ancora in corso, attendere più tempo per il completamento. Se sono trascorsi diversi giorni, raccogliere i log di controllo e quindi contattare il supporto tecnico.

Problema: i criteri di barriera delle informazioni non vengono applicati affatto

In questo caso, sono stati definiti segmenti, definiti criteri di barriera delle informazioni e si è tentato di applicare tali criteri. Tuttavia, quando si esegue il cmdlet, è possibile notare che l'applicazione Get-InformationBarrierPoliciesApplicationStatus dei criteri non è riuscita.

Soluzione

Assicurarsi che l'organizzazione non disponga di criteri della rubrica di Exchange . Tali criteri impediranno l'applicazione di criteri di barriera delle informazioni.

  1. Connettersi a PowerShell per Exchange Online.

  2. Eseguire il cmdlet Get-AddressBookPolicy ed esaminare i risultati.

    Risultati Passaggio successivo
    Sono elencati i criteri della rubrica di Exchange Rimuovere i criteri rubrica
    Non esistono criteri della rubrica Esaminare i log di controllo per scoprire perché l'applicazione dei criteri ha esito negativo

  3. Visualizzare lo stato di account utente, segmenti, criteri o applicazione di criteri.

Problema: i criteri di barriera delle informazioni non vengono applicati a tutti gli utenti designati

Dopo aver definito i segmenti, definito i criteri di barriera delle informazioni e aver tentato di applicare tali criteri, è possibile che i criteri vengano applicati ad alcuni destinatari, ma non ad altri. Quando si esegue il Get-InformationBarrierPoliciesApplicationStatus cmdlet, cercare testo simile al seguente nell'output.

Identità: <application guid>

Destinatari totali: 81527

Destinatari non riusciti: 2

Categoria di errori: Nessuna

Stato: Completato

Soluzione

  1. Cercare nel log <application guid>di controllo . È possibile copiare questo codice di PowerShell e modificarlo per le variabili.

    $DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss>  -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}

  2. Controllare l'output dettagliato del log di controllo per i valori dei "UserId" campi e "ErrorDetails" . In questo modo verrà indicato il motivo dell'errore. È possibile copiare questo codice di PowerShell e modificarlo per le variabili.

       $DetailedLogs[1] |fl

    Ad esempio:

    "UserId": User1

    "ErrorDetails":"Status: IBPolicyConflict. Errore: il segmento IB "segment id1" e il segmento IB "segment id2" hanno un conflitto e non possono essere assegnati al destinatario.

  3. In genere, si scoprirà che un utente è stato incluso in più segmenti. È possibile risolvere questo problema aggiornando il -UserGroupFilter valore in OrganizationSegments.

  4. Riapplicare i criteri delle barriere informative usando queste procedure Criteri delle barriere informative.

Risorse