Problemen met communicatie- en informatiebarrières
Informatiebarrières kunnen uw organisatie helpen om te voldoen aan wettelijke vereisten en branchevoorschriften. Met informatiebarrières kunt u bijvoorbeeld de communicatie tussen specifieke groepen gebruikers beperken om belangenconflicten of andere problemen te voorkomen. (Zie Beleid voor informatiebarrières definiëren voor meer informatie over het instellen van informatiebarrières.)
Wanneer mensen onverwachte problemen ondervinden nadat er informatiebarrières zijn ingesteld, zijn er enkele stappen die u kunt ondernemen om deze problemen op te lossen. Gebruik dit artikel als richtlijn.
Belangrijk
Als u de taken wilt uitvoeren die in dit artikel worden beschreven, moet u een geschikte rol krijgen, zoals een van de volgende:
- globale beheerder Microsoft 365 Enterprise
- globale beheerder
- Beheerder voor naleving
- IB Compliance Management (dit is een nieuwe rol!)
Zorg ervoor dat u verbinding maakt met Security & Compliance Center PowerShell.
Probleem: gebruikers kunnen onverwacht niet communiceren met anderen in Microsoft Teams
In dit geval melden mensen onverwachte problemen met de communicatie met anderen in Microsoft Teams. Enkele voorbeelden zijn:
- Een gebruiker zoekt naar een andere gebruiker in Microsoft Teams, maar kan deze niet vinden.
- Een gebruiker kan een andere gebruiker vinden, maar niet selecteren in Microsoft Teams.
- Een gebruiker kan een andere gebruiker zien, maar kan geen berichten verzenden naar die andere gebruiker in Microsoft Teams.
Wat moet u doen?
Bepaal of de gebruikers worden beïnvloed door een informatiebarrièrebeleid. Afhankelijk van hoe beleidsregels zijn geconfigureerd, werken informatiebarrières mogelijk zoals verwacht. Of misschien moet u het beleid van uw organisatie verfijnen.
Gebruik de cmdlet Get-InformationBarrierRecipientStatus met de parameter Identity.
Syntaxis Voorbeeld Get-InformationBarrierRecipientStatus -Identity
U kunt elke identiteitswaarde gebruiken die elke geadresseerde uniek identificeert, zoals Name, Alias, Distinguished Name (DN), Canonical DN, Email address of GUID.
Get-InformationBarrierRecipientStatus -Identity meganb
In dit voorbeeld gebruiken we een alias (meganb) voor de parameter Identity. Deze cmdlet retourneert informatie die aangeeft of de gebruiker wordt beïnvloed door een informatiebarrièrebeleid. (Zoek naar *ExoPolicyId: <GUID>.)
Als de gebruikers niet zijn opgenomen in het beleid voor informatiebarrières, neemt u contact op met de ondersteuning. Anders gaat u verder met de volgende stap.
Ontdek welke segmenten zijn opgenomen in een informatiebarrièrebeleid. Gebruik hiervoor de
Get-InformationBarrierPolicy
cmdlet met de parameter Identity.Syntaxis Voorbeeld Get-InformationBarrierPolicy
Gebruik details, zoals de beleids-GUID (ExoPolicyId) die u tijdens de vorige stap hebt ontvangen, als identiteitswaarde.
Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f
In dit voorbeeld krijgen we gedetailleerde informatie over het informatiebarrièrebeleid met ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f.
Nadat u de cmdlet hebt uitgevoerd, zoekt u in de resultaten de waarden AssignedSegment, SegmentsAllowed en SegmentsBlocked .
Na het uitvoeren van de
Get-InformationBarrierPolicy
cmdlet hebben we bijvoorbeeld het volgende in onze lijst met resultaten gezien:AssignedSegment : Sales SegmentsAllowed : {} SegmentsBlocked : {Research}
In dit geval zien we dat een informatiebarrièrebeleid van invloed is op personen in de segmenten Verkoop en Onderzoek. In dit geval kunnen personen in Sales niet communiceren met personen in Onderzoek.
Als dit juist lijkt, werken informatiebarrières zoals verwacht. Zo niet, ga dan verder met de volgende stap.
Zorg ervoor dat uw segmenten juist zijn gedefinieerd. Gebruik hiervoor de
Get-OrganizationSegment
cmdlet en bekijk de lijst met resultaten.Syntaxis Voorbeeld Get-OrganizationSegment
Gebruik deze cmdlet met een identiteitsparameter.
Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
In dit voorbeeld krijgen we informatie over het segment met GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.
Bekijk de details voor het segment. Bewerk zo nodig een segment en gebruik de
Start-InformationBarrierPoliciesApplication
cmdlet opnieuw.Als u nog steeds problemen ondervindt met uw informatiebarrièrebeleid, neemt u contact op met de ondersteuning.
Probleem: communicatie is toegestaan tussen gebruikers die moeten worden geblokkeerd in Microsoft Teams
In dit geval, hoewel informatiebarrières zijn gedefinieerd, actief en toegepast, kunnen personen die niet met elkaar kunnen communiceren op de een of andere manier met elkaar chatten en bellen in Microsoft Teams.
Wat moet u doen?
Controleer of de betreffende gebruikers zijn opgenomen in een informatiebarrièrebeleid.
Gebruik de cmdlet Get-InformationBarrierRecipientStatus met identiteitsparameters.
Syntaxis* Voorbeeld Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
U kunt elke waarde gebruiken die elke gebruiker uniek identificeert, zoals naam, alias, DN-naam, canonieke domeinnaam, e-mailadres of GUID.
Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
In dit voorbeeld verwijzen we naar twee gebruikersaccounts in Microsoft 365: meganb voor Megan en alexw voor Alex.
Tip
U kunt deze cmdlet ook voor één gebruiker gebruiken:
Get-InformationBarrierRecipientStatus -Identity <value>
Bekijk de bevindingen. De cmdlet Get-InformationBarrierRecipientStatus retourneert informatie over gebruikers, zoals kenmerkwaarden en eventuele beleidsregels voor informatiebarrières die worden toegepast.
Bekijk de resultaten en voer vervolgens de volgende stappen uit, zoals beschreven in de volgende tabel:
Resultaten Wat u nu moet doen Er worden geen segmenten weergegeven voor de geselecteerde gebruiker(s) Voer een van de volgende handelingen uit:
- Wijs gebruikers toe aan een bestaand segment door hun gebruikersprofielen te bewerken in Microsoft Entra ID. (Zie Eigenschappen van gebruikersaccounts configureren met Microsoft 365 PowerShell.)
- Definieer een segment met behulp van een ondersteund kenmerk voor informatiebarrières. Definieer vervolgens een nieuw beleid of bewerk een bestaand beleid om dat segment op te nemen.Segmenten worden vermeld, maar er wordt geen beleid voor informatiebarrières toegewezen aan deze segmenten Voer een van de volgende handelingen uit:
- Een nieuw informatiebarrièrebeleid definiëren voor elk segment in kwestie
- Een bestaand informatiebarrièrebeleid bewerken om dit toe te wijzen aan het juiste segmentSegmenten worden vermeld en elk is opgenomen in een informatiebarrièrebeleid - Voer de Get-InformationBarrierPolicy
cmdlet uit om te controleren of het beleid voor informatiebarrières actief is
- Voer deGet-InformationBarrierPoliciesApplicationStatus
cmdlet uit om te bevestigen dat het beleid wordt toegepast
- Voer deStart-InformationBarrierPoliciesApplication
cmdlet uit om alle actieve beleidsregels voor informatiebarrières toe te passen
Probleem: Ik moet één gebruiker verwijderen uit een informatiebarrièrebeleid
In dit geval is het beleid voor informatiebarrières van kracht en kunnen een of meer gebruikers onverwacht niet met anderen communiceren in Microsoft Teams. In plaats van het beleid voor informatiebarrières helemaal te verwijderen, kunt u een of meer afzonderlijke gebruikers verwijderen uit beleidsregels voor informatiebarrières.
Wat moet u doen?
Beleid voor informatiebarrières wordt toegewezen aan segmenten van gebruikers. Segmenten worden gedefinieerd met behulp van bepaalde kenmerken in gebruikersaccountprofielen. Als u een beleid van één gebruiker moet verwijderen, kunt u overwegen het profiel van die gebruiker in Microsoft Entra zodanig te bewerken dat de gebruiker niet meer wordt opgenomen in een segment dat wordt beïnvloed door informatiebarrières.
Gebruik de cmdlet Get-InformationBarrierRecipientStatus met identiteitsparameters. Deze cmdlet retourneert informatie over gebruikers, zoals kenmerkwaarden en eventuele beleidsregels voor informatiebarrières die worden toegepast.
Syntaxis Voorbeeld Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
U kunt elke waarde gebruiken die elke gebruiker uniek identificeert, zoals naam, alias, DN-naam, canonieke domeinnaam, e-mailadres of GUID.
Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
In dit voorbeeld verwijzen we naar twee gebruikersaccounts in Microsoft 365: meganb voor Megan en alexw voor Alex.
Get-InformationBarrierRecipientStatus -Identity <value>
U kunt elke waarde gebruiken die de gebruiker uniek identificeert, zoals naam, alias, DN-naam, canonieke domeinnaam, e-mailadres of GUID.
Get-InformationBarrierRecipientStatus -Identity jeanp
In dit voorbeeld verwijzen we naar één account in Microsoft 365: jeanp.
Bekijk de resultaten om te zien of beleid voor informatiebarrières is toegewezen en tot welk segment de gebruiker(s) behoren.
Als u een gebruiker wilt verwijderen uit een segment dat wordt beïnvloed door informatiebarrières, werkt u de profielgegevens van de gebruiker bij in Microsoft Entra ID.
Wacht ongeveer 30 minuten totdat FwdSync plaatsvindt. Of voer de
Start-InformationBarrierPoliciesApplication
cmdlet uit om alle actieve beleidsregels voor informatiebarrières toe te passen.
Probleem: het aanvraagproces voor informatiebarrières duurt te lang
Nadat de cmdlet Start-InformationBarrierPoliciesApplication is uitgevoerd, duurt het lang voordat het proces is voltooid.
Wat moet u doen?
Houd er rekening mee dat wanneer u de cmdlet van de beleidstoepassing uitvoert, beleidsregels voor informatiebarrières worden toegepast (of verwijderd), per gebruiker, voor alle accounts in uw organisatie. Als u veel gebruikers hebt, duurt het even voordat deze is verwerkt. (Als algemene richtlijn duurt het ongeveer een uur om 5000 gebruikersaccounts te verwerken.)
Gebruik de cmdlet Get-InformationBarrierPoliciesApplicationStatus om de status van de meest recente beleidstoepassing te controleren.
De meest recente beleidstoepassing weergeven Status weergeven voor alle beleidstoepassingen Get-InformationBarrierPoliciesApplicationStatus
Get-InformationBarrierPoliciesApplicationStatus -All $true
Hiermee wordt informatie weergegeven over of de beleidstoepassing is voltooid, mislukt of wordt uitgevoerd.
Voer een van de volgende stappen uit, afhankelijk van de resultaten van de vorige stap:
Status Volgende stap Niet gestart Als het meer dan 45 minuten geleden is dat de cmdlet Start-InformationBarrierPoliciesApplication is uitgevoerd, controleert u uw auditlogboek om te zien of er fouten zijn in beleidsdefinities of een andere reden waarom de toepassing niet is gestart. Mislukt Als de toepassing is mislukt, controleert u uw auditlogboek. Bekijk ook uw segmenten en beleidsregels. Zijn er gebruikers toegewezen aan meer dan één segment? Zijn er segmenten toegewezen aan meer dan één beleid? Bewerk indien nodig segmenten en/of beleidsregels en voer vervolgens de cmdlet Start-InformationBarrierPoliciesApplication opnieuw uit. Wordt uitgevoerd Als de toepassing nog steeds wordt uitgevoerd, moet u langer wachten om deze te voltooien. Als het enkele dagen geleden is, verzamelt u uw auditlogboeken en neemt u contact op met de ondersteuning.
Probleem: Beleid voor informatiebarrières wordt helemaal niet toegepast
In dit geval hebt u segmenten gedefinieerd, beleidsregels voor informatiebarrières gedefinieerd en geprobeerd dit beleid toe te passen. Wanneer u de Get-InformationBarrierPoliciesApplicationStatus
cmdlet uitvoert, ziet u echter dat de beleidstoepassing is mislukt.
Wat moet u doen?
Zorg ervoor dat uw organisatie geen Exchange-adresboekbeleid heeft. Dergelijke beleidsregels voorkomt dat beleid voor informatiebarrières wordt toegepast.
Maak verbinding met Exchange Online PowerShell.
Voer de cmdlet Get-AddressBookPolicy uit en bekijk de resultaten.
Resultaten Volgende stap Beleid voor Exchange-adresboeken wordt weergegeven Adresboekbeleid verwijderen Er bestaat geen adresboekbeleid Controleer uw auditlogboeken om erachter te komen waarom de beleidstoepassing mislukt Bekijk de status van gebruikersaccounts, segmenten, beleidsregels of beleidstoepassing.
Probleem: Informatiebarrièrebeleid wordt niet toegepast op alle aangewezen gebruikers
Nadat u segmenten hebt gedefinieerd, beleidsregels voor informatiebarrières hebt gedefinieerd en hebt geprobeerd dit beleid toe te passen, ziet u mogelijk dat het beleid van toepassing is op sommige geadresseerden, maar niet op andere.
Wanneer u de Get-InformationBarrierPoliciesApplicationStatus
cmdlet uitvoert, zoekt u in de uitvoer naar tekst zoals deze.
Identiteit:
<application guid>
Totaal aantal geadresseerden: 81527
Mislukte geadresseerden: 2
Foutcategorie: Geen
Status: Voltooid
Wat moet u doen?
Zoek in het auditlogboek naar
<application guid>
. U kunt deze PowerShell-code kopiëren en wijzigen voor uw variabelen.$DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss> -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}
Controleer de gedetailleerde uitvoer uit het auditlogboek voor de waarden van de
"UserId"
velden en"ErrorDetails"
. Dit geeft u de reden voor de fout. U kunt deze PowerShell-code kopiëren en wijzigen voor uw variabelen.$DetailedLogs[1] |fl
Bijvoorbeeld:
"UserId": Gebruiker1
"ErrorDetails":"Status: IBPolicyConflict. Fout: IB-segment 'segment id1' en IB-segment 'segment id2' hebben een conflict en kunnen niet worden toegewezen aan de ontvanger.
Meestal zult u merken dat een gebruiker is opgenomen in meer dan één segment. U kunt dit oplossen door de
-UserGroupFilter
waarde bij te werken inOrganizationSegments
.Beleid voor informatiebarrières opnieuw toepassen met behulp van deze procedures Beleid voor informatiebarrières.
Middelen
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor