Устранение проблем с информационными барьерамиTroubleshooting information barriers

Информационные барьеры могут помочь организации соблюдать требования законодательства и отраслевые правила.Information barriers can help your organization remain compliant with legal requirements and industry regulations. Например, с помощью информационных барьеров можно ограничить связь между определенными группами пользователей, чтобы избежать конфликта интересов или других проблем.For example, with information barriers, you can restrict communication between specific groups of users to avoid a conflict of interest or other issues. (Дополнительные сведения о том, как настроить информационные барьеры, см. в руб. Определение политик для информационных барьеров.)(To learn more about how to set up information barriers, see Define policies for information barriers.)

В случае, если после устранения информационных барьеров у людей могут быть непредвиденные проблемы, можно предпринять несколько действий для их устранения.In the event that people run into unexpected issues after information barriers are in place, there are some steps you can take to resolve those issues. Используйте эту статью в качестве руководства.Use this article as a guide.

Важно!

Для выполнения задач, описанных в этой статье, вам должна быть назначена соответствующая роль, например одна из следующих:To perform the tasks described in this article, you must be assigned an appropriate role, such as one of the following:
- Microsoft 365 корпоративный глобального администратора- Microsoft 365 Enterprise Global Administrator
— глобальный администратор- global administrator
- Администратор соответствия требованиям- Compliance Administrator
- Управление соответствием требованиям IB (это новая роль!)- IB Compliance Management (this is a new role!)

Дополнительные сведения о предпосылках для информационных барьеров см. в дополнительных сведениях о необходимых для политики информационного барьера.To learn more about prerequisites for information barriers, see Prerequisites (for information barrier policies).

Не забудьте подключиться к центру & безопасности PowerShell.Make sure to connect to Security & Compliance Center PowerShell.

Проблема. Пользователям неожиданно блокируется общение с другими пользователями в Microsoft TeamsIssue: Users are unexpectedly blocked from communicating with others in Microsoft Teams

В этом случае люди сообщают о непредвиденных проблемах, связывающихся с другими Microsoft Teams.In this case, people are reporting unexpected issues communicating with others in Microsoft Teams. Ниже приведен ряд примеров.Some examples are:

  • Пользователь ищет, но не может найти другого пользователя в Microsoft Teams.A user searches for, but is unable to find, another user in Microsoft Teams.
  • Пользователь может найти, но не может выбрать другого пользователя в Microsoft Teams.A user can find, but cannot select, another user in Microsoft Teams.
  • Пользователь может видеть другого пользователя, но не может отправлять сообщения этому другому пользователю в Microsoft Teams.A user can see another user, but cannot send messages to that other user in Microsoft Teams.

ДействияWhat to do

Определите, влияет ли политика информационного барьера на пользователей.Determine whether the users are affected by an information barrier policy. В зависимости от того, как настроены политики, информационные барьеры могут работать так, как ожидалось.Depending on how policies are configured, information barriers might be working as expected. Или, возможно, вам придется уточнить политики вашей организации.Or, you might have to refine your organization's policies.

  1. Используйте комлет Get-InformationBarrierRecipientStatus с параметром Identity.Use the Get-InformationBarrierRecipientStatus cmdlet with the Identity parameter.

    СинтаксисSyntax ПримерExample
    Get-InformationBarrierRecipientStatus -Identity

    Можно использовать любое значение удостоверения, которое уникально идентифицирует каждого получателя, например Имя, Псевдоним, Имя, Канонический DN, адрес электронной почты или GUID.You can use any identity value that uniquely identifies each recipient, such as Name, Alias, Distinguished name (DN), Canonical DN, Email address, or GUID.

    Get-InformationBarrierRecipientStatus -Identity meganb

    В этом примере мы используем псевдоним (meganb) для параметра Identity.In this example, we are using an alias (meganb) for the Identity parameter. В этом комлете будут возвращаться сведения о том, влияет ли на пользователя политика информационного барьера.This cmdlet will return information that indicates whether the user is affected by an information barrier policy. (Найди *ExoPolicyId: <GUID> .)(Look for *ExoPolicyId: <GUID>.)

    Если пользователи не включены в политики информационного барьера, обратитесь в службу поддержки.If the users are not included in information barrier policies, contact support. В противном случае приступить к следующему шагу.Otherwise, proceed to the next step.

  2. Узнайте, какие сегменты включены в политику информационного барьера.Find out which segments are included in an information barrier policy. Для этого используйте комлет Get-InformationBarrierPolicy с параметром Identity.To do this, use the Get-InformationBarrierPolicy cmdlet with the Identity parameter.

    СинтаксисSyntax ПримерExample
    Get-InformationBarrierPolicy

    Используйте сведения, такие как GUID политики (ExoPolicyId), полученные во время предыдущего шага, в качестве значения удостоверения.Use details, such as the policy GUID (ExoPolicyId) you received during the previous step, as an identity value.

    Get-InformationBarrierPolicy -Identity b42c3d0f-49e9-4506-a0a5-bf2853b5df6f

    В этом примере мы получаю подробные сведения о политике информационного барьера, которая имеет ExoPolicyId b42c3d0f-49e9-4506-a0a5-bf2853b5df6f.In this example, we are getting detailed information about the information barrier policy that has ExoPolicyId b42c3d0f-49e9-4506-a0a5-bf2853b5df6f.

    После запуска cmdlet в результатах найди значения AssignedSegment, SegmentsAllowed и SegmentsBlocked.After you run the cmdlet, in the results, look for AssignedSegment, SegmentsAllowed, and SegmentsBlocked values.

    Например, после запуска cmdlet мы увидели в списке результатов Get-InformationBarrierPolicy следующее:For example, after running the Get-InformationBarrierPolicy cmdlet, we saw the following in our list of results:

    AssignedSegment : Sales
    SegmentsAllowed : {}
    SegmentsBlocked : {Research}
    

    В этом случае мы видим, что политика информационного барьера затрагивает людей, которые находятся в сегментах Продаж и Исследований.In this case, we can see that an information barrier policy affects people who are in the Sales and Research segments. В этом случае людям в Отделе продаж не позволяется общаться с людьми из Research.In this case, people in Sales are prevented from communicating with people in Research.

    Если это кажется правильным, информационные барьеры работают так, как ожидалось.If this seems correct, then information barriers are working as expected. Если нет, перейдите к следующему шагу.If not, proceed to the next step.

  3. Убедитесь, что сегменты определены правильно.Make sure your segments are defined correctly. Для этого используйте этот список и просмотрите Get-OrganizationSegment список результатов.To do this, use the Get-OrganizationSegment cmdlet, and review the list of results.

    СинтаксисSyntax ПримерExample
    Get-OrganizationSegment

    Используйте этот комдлет с параметром Identity.Use this cmdlet with an Identity parameter.

    Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd

    В этом примере мы будем получать сведения о сегменте с GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.In this example, we are getting information about the segment that has GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

    Просмотрите сведения для сегмента.Review the details for the segment. При необходимости отредактировать сегменти повторно использовать Start-InformationBarrierPoliciesApplication его.If necessary, edit a segment, and then re-use the Start-InformationBarrierPoliciesApplication cmdlet.

    Если у вас по-прежнему возникли проблемы с политикой информационного барьера, обратитесь в службу поддержки.If you are still having issues with your information barrier policy, contact support.

Проблема. Между пользователями, которые должны быть заблокированы в Microsoft TeamsIssue: Communications are allowed between users who should be blocked in Microsoft Teams

В этом случае, хотя информационные барьеры определены, активны и применены, люди, которым следует запретить общаться друг с другом, как-то могут общаться и вызывать друг друга в Microsoft Teams.In this case, although information barriers are defined, active, and applied, people who should be prevented from communicating with each other are somehow able to chat with and call each other in Microsoft Teams.

ДействияWhat to do

Убедитесь, что эти пользователи включены в политику информационного барьера.Verify that the users in question are included in an information barrier policy.

  1. Используйте комлет Get-InformationBarrierRecipientStatus с параметрами Identity.Use the Get-InformationBarrierRecipientStatus cmdlet with Identity parameters.

    Синтаксис _Syntax _ _ Пример*_ Example*
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Вы можете использовать любое значение, которое уникально идентифицирует каждого пользователя, например имя, псевдоним, имя, каноническое доменное имя, адрес электронной почты или GUID.You can use any value that uniquely identifies each user, such as name, alias, distinguished name, canonical domain name, email address, or GUID.

    Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    В этом примере мы ссылаемся на две учетные записи пользователей в Office 365: meganb для Меган и alexw для Alex.In this example, we refer to two user accounts in Office 365: meganb for Megan, and alexw for Alex.

    Совет

    Этот кодлет можно также использовать для одного пользователя: Get-InformationBarrierRecipientStatus -Identity <value>You can also use this cmdlet for a single user: Get-InformationBarrierRecipientStatus -Identity <value>

  2. Просмотрите результаты.Review the findings. В cmdlet Get-InformationBarrierRecipientStatus возвращается информация о пользователях, например значения атрибутов и применяемые политики информационного барьера.The Get-InformationBarrierRecipientStatus cmdlet returns information about users, such as attribute values and any information barrier policies that are applied.

    Просмотрите результаты, а затем примите следующие действия, как описано в следующей таблице:Review the results, and then take your next steps, as described in the following table:

    ResultsResults Что делать дальшеWhat to do next
    Для выбранного пользователя не указаны сегменты(ы)No segments are listed for the selected user(s) Выполните одно из следующих действий.Do one of the following:
    - Назначение пользователей существующему сегменту путем редактирования профилей пользователей в Azure Active Directory.- Assign users to an existing segment by editing their user profiles in Azure Active Directory. (См. настройка свойств учетных записей пользователей с Office 365 PowerShell.)(See Configure user account properties with Office 365 PowerShell.)
    - Определение сегмента с использованием поддерживаемого атрибута для информационных барьеров.- Define a segment using a supported attribute for information barriers. Затем либо определите новую политику, либо отредактировать существующую политику, чтобы включить этот сегмент.Then, either define a new policy or edit an existing policy to include that segment.
    Сегменты перечислены, но политики информационного барьера не назначены этим сегментамSegments are listed but no information barrier policies are assigned to those segments Выполните одно из следующих действий.Do one of the following:
    - Определение новой политики информационного барьера для каждого из этих сегментов- Define a new information barrier policy for each segment in question
    - Изменить существующую политику информационного барьера, чтобы назначить ее правильному сегменту- Edit an existing information barrier policy to assign it to the correct segment
    Перечислены сегменты, каждый из которых включен в политику информационного барьера.Segments are listed and each is included in an information barrier policy - Запустите Get-InformationBarrierPolicy cmdlet, чтобы убедиться, что политики информационного барьера активны- Run the Get-InformationBarrierPolicy cmdlet to verify that information barrier policies are active
    - Запустите Get-InformationBarrierPoliciesApplicationStatus cmdlet, чтобы подтвердить, что политики применяются- Run the Get-InformationBarrierPoliciesApplicationStatus cmdlet to confirm the policies are applied
    - Запустите Start-InformationBarrierPoliciesApplication cmdlet, чтобы применить все политики активного информационного барьера- Run the Start-InformationBarrierPoliciesApplication cmdlet to apply all active information barrier policies

Проблема. Мне нужно удалить одного пользователя из политики информационного барьераIssue: I need to remove a single user from an information barrier policy

В этом случае политики информационного барьера вступили в силу, и один или несколько пользователей неожиданно блокируют общение с другими пользователями в Microsoft Teams.In this case, information barrier policies are in effect, and a one or more users are unexpectedly blocked from communicating with others in Microsoft Teams. Вместо удаления политик информационного барьера можно удалить одного или несколько отдельных пользователей из политик информационного барьера.Rather than remove information barrier policies altogether, you can remove one or more individual users from information barrier policies.

ДействияWhat to do

Политики информационного барьера назначены сегментам пользователей.Information barrier policies are assigned to segments of users. Сегменты определяются с помощью определенных атрибутов в профилях учетных записей пользователей.Segments are defined by using certain attributes in user account profiles. Если необходимо удалить политику у одного пользователя, рассмотрите возможность редактирования профиля этого пользователя в Azure Active Directory, чтобы пользователь больше не был включен в сегмент, затронутый информационными барьерами.If you must remove a policy from a single user, consider editing that user's profile in Azure Active Directory such that the user is no longer included in a segment affected by information barriers.

  1. Используйте комлет Get-InformationBarrierRecipientStatus с параметрами Identity.Use the Get-InformationBarrierRecipientStatus cmdlet with Identity parameters. В этом комлете возвращаются сведения о пользователях, например значения атрибутов и применяемые политики информационного барьера.This cmdlet returns information about users, such as attribute values and any information barrier policies that are applied.

    СинтаксисSyntax ПримерExample
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Вы можете использовать любое значение, которое уникально идентифицирует каждого пользователя, например имя, псевдоним, имя, каноническое доменное имя, адрес электронной почты или GUID.You can use any value that uniquely identifies each user, such as name, alias, distinguished name, canonical domain name, email address, or GUID.

    Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    В этом примере мы ссылаемся на две учетные записи пользователей в Office 365: meganb для Меган и alexw для Alex.In this example, we refer to two user accounts in Office 365: meganb for Megan, and alexw for Alex.

    Get-InformationBarrierRecipientStatus -Identity <value>

    Вы можете использовать любое значение, которое однозначно идентифицирует пользователя, например имя, псевдоним, имя, каноническое доменное имя, адрес электронной почты или GUID.You can use any value that uniquely identifies the user, such as name, alias, distinguished name, canonical domain name, email address, or GUID.

    Get-InformationBarrierRecipientStatus -Identity jeanp

    В этом примере мы ссылаемся на одну учетную запись в Office 365: jeanp.In this example, we refer to a single account in Office 365: jeanp.

  2. Просмотрите результаты, чтобы узнать, назначены ли политики информационного барьера и к каков сегменту (s) принадлежит пользователь(ы).Review the results to see if information barrier policies are assigned, and to which segment(s) the user(s) belong.

  3. Чтобы удалить пользователя из сегмента, затронутого информационными барьерами, обновите сведения о профиле пользователя в Azure Active Directory.To remove a user from a segment affected by information barriers, update the user's profile information in Azure Active Directory.

  4. Подождите около 30 минут, пока произойдет FwdSync.Wait about 30 minutes for FwdSync to occur. Или запустите Start-InformationBarrierPoliciesApplication этот кодлет, чтобы применить все политики активного информационного барьера.Or, run the Start-InformationBarrierPoliciesApplication cmdlet to apply all active information barrier policies.

Проблема. Процесс применения информационного барьера принимает слишком много времениIssue: The information barrier application process is taking too long

После запуска комлета Start-InformationBarrierPoliciesApplication процесс действительно долго заканчивается.After running the Start-InformationBarrierPoliciesApplication cmdlet, the process is taking a really long time to finish.

ДействияWhat to do

Помните, что при запуске комлета приложения политики применяются (или удаляются) политики информационного барьера для всех учетных записей в организации.Keep in mind that when you run the policy application cmdlet, information barrier policies are being applied (or removed), user by user, for all accounts in your organization. Если у вас много пользователей, обработка займет некоторое время.If you have a lot of users, it will take a while to process. (В общем руководстве обработка 5000 учетных записей пользователей занимает около часа.)(As a general guideline, it takes about an hour to process 5,000 user accounts.)

  1. Чтобы проверить состояние последнего приложения политики, используйте кодлет Get-InformationBarrierPoliciesApplicationStatus.Use the Get-InformationBarrierPoliciesApplicationStatus cmdlet to verify status of the most recent policy application.

    Просмотр последнего приложения политикиTo view the most recent policy application Просмотр состояния для всех приложений политикиTo view status for all policy applications
    Get-InformationBarrierPoliciesApplicationStatus Get-InformationBarrierPoliciesApplicationStatus -All $true

    В нем будут отображаться сведения о том, завершено ли приложение политики, не выполнено или находится в процессе выполнения.This will display information about whether policy application completed, failed, or is in progress.

  2. В зависимости от результатов предыдущего шага вы можете сделать один из следующих действий:Depending on the results of the previous step, take one of the following steps:

    СостояниеStatus Следующий этапNext step
    Не запущено.Not started Если с момента запуска комлета Start-InformationBarrierPoliciesApplication прошло более 45 минут, просмотрите журнал аудита, чтобы узнать, есть ли ошибки в определениях политики или по какой-либо другой причине, по которой приложение не запущено.If it has been more than 45 minutes since the Start-InformationBarrierPoliciesApplication cmdlet has been run, review your audit log to see if there are any errors in policy definitions, or some other reason why the application has not started.
    Не удалось выполнитьFailed Если приложение не справилось, просмотрите журнал аудита.If the application has failed, review your audit log. Также просмотрите сегменты и политики.Also review your segments and policies. Назначены ли пользователям несколько сегментов?Are any users assigned to more than one segment? Назначены ли какие-либо сегменты более чем одной политике?Are any segments assigned more than one poliicy? При необходимости отредактировать сегменты и/илиизменить политики, а затем снова запустите кодлет Start-InformationBarrierPoliciesApplication.If necessary, edit segments and/or edit policies, and then run the Start-InformationBarrierPoliciesApplication cmdlet again.
    В процессе выполненияIn progress Если приложение еще не завершено, у вас будет больше времени на его завершение.If the application is still in progress, allow more time for it to complete. Если это было несколько дней, соберите журналы аудита и обратитесь в службу поддержки.If it has been several days, gather your audit logs, and then contact support.

Проблема. Политики информационного барьера вообще не применяютсяIssue: Information barrier policies are not being applied at all

В этом случае вы определили сегменты, определили политики информационного барьера и попытались применить эти политики.In this case, you have defined segments, defined information barrier policies, and have attempted to apply those policies. Однако при запуске cmdlet можно увидеть, что приложение политики Get-InformationBarrierPoliciesApplicationStatus не справилось.However, when you run the Get-InformationBarrierPoliciesApplicationStatus cmdlet, you can see that policy application has failed.

ДействияWhat to do

Убедитесь, что в организации нет Exchange политик адресной книги.Make sure that your organization does not have Exchange address book policies in place. Такие политики не будут применять политики информационного барьера.Such policies will prevent information barrier policies from being applied.

  1. Подключитесь к Exchange Online PowerShell.Connect to Exchange Online PowerShell.

  2. Запустите кодлет Get-AddressBookPolicy и просмотрите результаты.Run the Get-AddressBookPolicy cmdlet, and review the results.

    ResultsResults Следующий этапNext step
    Exchange указаны политики адресной книгиExchange address book policies are listed Удаление политик адресных книгRemove address book policies
    Политики адресной книги не существуютNo address book policies exist Просмотрите журналы аудита, чтобы выяснить причины сбоя приложения политикиReview your audit logs to find out why policy application is failing
  3. Просмотр состояния учетных записей пользователей, сегментов, политик или приложений политики.View status of user accounts, segments, policies, or policy application.

Проблема. Политика информационного барьера не применяется к всем назначенным пользователямIssue: Information barrier policy not applied to all designated users

После определения сегментов, определенных политик информационного барьера и попыток применения этих политик вы можете обнаружить, что политика применяется к некоторым получателям, но не к другим.After you have defined segments, defined information barrier policies, and have attempted to apply those policies, you may find that the policy is applying to some recipients, but not to others. При запуске Get-InformationBarrierPoliciesApplicationStatus cmdlet ищите выход для текста, подобного этому.When you run the Get-InformationBarrierPoliciesApplicationStatus cmdlet, search the output for text like this.

Identity: <application guid>Identity: <application guid>

Всего получателей: 81527Total Recipients: 81527

Неудались получатели: 2Failed Recipients: 2

Категория отказов: НетFailure Category: None

Состояние: полноеStatus: Complete

ДействияWhat to do

  1. Поиск в журнале аудита <application guid> для .Search in the audit log for <application guid>. Этот код PowerShell можно скопировать и изменить для переменных.You can copy this PowerShell code and modify for your variables.
$DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss>  -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)} 
  1. Проверьте подробный вывод из журнала аудита для значений "UserId" полей и "ErrorDetails" полей.Check the detailed output from the audit log for the values of the "UserId" and "ErrorDetails" fields. Это даст вам причину сбоя.This will give you the reason for the failure. Этот код PowerShell можно скопировать и изменить для переменных.You can copy this PowerShell code and modify for your variables.
   $DetailedLogs[1] |fl

Пример.For example:

"UserId": User1"UserId": User1

"ErrorDetails":"Status: IBPolicyConflict."ErrorDetails":"Status: IBPolicyConflict. Ошибка: сегмент IB "сегмент id1" и сегмент IB "segment id2" имеет конфликт и не может быть назначен получателю.Error: IB segment "segment id1" and IB segment "segment id2" has conflict and cannot be assigned to the recipient.

  1. Обычно вы найдете, что пользователь был включен в несколько сегментов.Usually, you will find that a user has been included in more than one segment. Это можно исправить, обновив -UserGroupFilter значение OrganizationSegments в .You can fix this by updating the -UserGroupFilter value in OrganizationSegments.

  2. Повторное применение политик информационного барьера с помощью этих процедур Политики информационных барьеров.Re-apply information barrier policies using these procedures Information Barriers policies.

РесурсыResources