Проблемы с коммуникацией и информационными барьерами

Примечание

Центр соответствия требованиям Microsoft 365 теперь называется Microsoft Purview, а названия решений в области соответствия требованиям были изменены. Дополнительные сведения о Microsoft Purview см. в объявлении блога.

Информационные барьеры могут помочь вашей организации соответствовать юридическим требованиям и отраслевым нормативным требованиям. Например, с помощью информационных барьеров можно ограничить обмен данными между определенными группами пользователей, чтобы избежать конфликта интересов или других проблем. (Дополнительные сведения о настройке информационных барьеров см. в разделе "Определение политик информационных барьеров".)

Когда после создания информационных барьеров у пользователей возникнут непредвиденные проблемы, можно выполнить ряд действий по их устранению. В качестве руководства используйте эту статью.

Важно!

Для выполнения задач, описанных в этой статье, необходимо назначить соответствующую роль, например одну из следующих:

  • Microsoft 365 корпоративный глобального администратора
  • глобальный администратор
  • Администратор соответствия требованиям
  • Управление соответствием требованиям IB (это новая роль!)

Дополнительные сведения о предварительных требованиях для информационных барьеров см. в разделе "Предварительные требования " (для политик информационных барьеров)".

Обязательно подключитесь к Центру & безопасности PowerShell.

Проблема: пользователям неожиданно запрещается взаимодействовать с другими пользователями в Microsoft Teams

В этом случае люди сообщают о непредвиденных проблемах при взаимодействии с другими пользователями в Microsoft Teams. Ниже приведен ряд примеров.

  • Пользователь ищет другого пользователя в Microsoft Teams, но не может найти его.
  • Пользователь может найти, но не может выбрать другого пользователя в Microsoft Teams.
  • Пользователь может видеть другого пользователя, но не может отправлять сообщения другому пользователю в Microsoft Teams.

Действия

Определите, затрагивает ли пользователей политика информационных барьеров. В зависимости от того, как настроены политики, информационные барьеры могут работать должным образом. Кроме того, может потребоваться уточнить политики организации.

  1. Используйте командлет Get-InformationBarrierRecipientStatus с параметром Identity.

    Синтаксис Пример
    Get-InformationBarrierRecipientStatus -Identity

    Можно использовать любое значение удостоверения, которое однозначно идентифицирует каждого получателя, например имя, псевдоним, различающееся имя (DN), каноническое DN, Email адрес или GUID.

    Get-InformationBarrierRecipientStatus -Identity meganb

    В этом примере мы используем псевдоним (meganb) для параметра Identity. Этот командлет вернет сведения, указывающие, затрагивает ли пользователя политика информационных барьеров. (Найдите *ExoPolicyId: <GUID>.)

    Если пользователи не включены в политики информационных барьеров, обратитесь в службу поддержки. В противном случае перейдите к следующему шагу.

  2. Узнайте, какие сегменты включены в политику информационных барьеров. Для этого используйте командлет Get-InformationBarrierPolicy с параметром Identity.

    Синтаксис Пример
    Get-InformationBarrierPolicy

    Используйте сведения, такие как GUID политики (ExoPolicyId), полученный на предыдущем шаге, в качестве значения удостоверения.

    Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f

    В этом примере мы будем получать подробные сведения о политике информационных барьеров с ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f.

    После выполнения командлета в результатах найдите значения AssignedSegment, SegmentsAllowed и SegmentsBlocked .

    Например, после выполнения командлета Get-InformationBarrierPolicy в списке результатов мы увидели следующее:

    AssignedSegment : Sales
    SegmentsAllowed : {}
    SegmentsBlocked : {Research}
    

    В этом случае мы видим, что политика информационных барьеров влияет на людей, которые находятся в сегментах "Продажи и исследования". В этом случае сотрудники отдела продаж не могут взаимодействовать с сотрудниками research.

    Если это кажется правильным, информационные барьеры работают должным образом. Если нет, перейдите к следующему шагу.

  3. Убедитесь, что сегменты определены правильно. Для этого используйте командлет Get-OrganizationSegment и просмотрите список результатов.

    Синтаксис Пример
    Get-OrganizationSegment

    Используйте этот командлет с параметром Identity.

    Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd

    В этом примере мы будем получать сведения о сегменте с GUID c96e0837-c232-4a8a-841e-ef45787d8fcdd.

    Просмотрите сведения о сегменте. При необходимости измените сегмент и повторно используйте Start-InformationBarrierPoliciesApplication командлет.

    Если у вас по-прежнему возникают проблемы с политикой информационных барьеров, обратитесь в службу поддержки.

Проблема. Обмен данными разрешен между пользователями, которые должны быть заблокированы в Microsoft Teams

В этом случае, несмотря на то, что информационные барьеры определены, активны и применены, пользователи, которым следует запретить общение друг с другом, могут общаться и вызывать друг друга в Microsoft Teams.

Действия

Убедитесь, что указанные пользователи включены в политику информационных барьеров.

  1. Используйте командлет Get-InformationBarrierRecipientStatus с параметрами Identity.

    Синтаксис _ _ Example*
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Можно использовать любое значение, однозначно определяющее каждого пользователя, например имя, псевдоним, различающееся имя, каноническое доменное имя, адрес электронной почты или GUID.

    Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    В этом примере мы ссылаемся на две учетные записи пользователей в Microsoft 365: meganb for Megan и alexw для Алекса.

    Совет

    Этот командлет также можно использовать для одного пользователя: Get-InformationBarrierRecipientStatus -Identity <value>

  2. Просмотрите результаты. Командлет Get-InformationBarrierRecipientStatus возвращает сведения о пользователях, такие как значения атрибутов и применяемые политики информационных барьеров.

    Просмотрите результаты и выполните следующие действия, как описано в следующей таблице:

    Results Дальнейшие действия
    Для выбранных пользователей сегменты не указаны. Выполните одно из следующих действий.
    — Назначайте пользователей существующему сегменту, изменяя их профили пользователей в Azure Active Directory. (См . раздел "Настройка свойств учетной записи пользователя с помощью Microsoft 365 PowerShell".)
    — определите сегмент с помощью поддерживаемого атрибута для информационных барьеров. Затем определите новую политику или измените существующую политику, чтобы включить этот сегмент.
    Сегменты перечислены, но этим сегментам не назначены политики информационных барьеров. Выполните одно из следующих действий.
    - Определение новой политики информационных барьеров для каждого из этих сегментов
    - Изменение существующей политики информационных барьеров, чтобы назначить ее правильному сегменту
    В списке перечислены сегменты, каждый из которых включен в политику информационных барьеров. — Запустите командлет Get-InformationBarrierPolicy , чтобы убедиться, что политики информационных барьеров активны.
    — Запустите Get-InformationBarrierPoliciesApplicationStatus командлет, чтобы убедиться, что политики применены.
    — Выполните командлет Start-InformationBarrierPoliciesApplication , чтобы применить все активные политики информационных барьеров.

Проблема. Мне нужно удалить одного пользователя из политики информационных барьеров

В этом случае применяются политики информационных барьеров, и одному или нескольким пользователям неожиданно запрещается взаимодействовать с другими пользователями в Microsoft Teams. Вместо того чтобы полностью удалять политики информационных барьеров, можно удалить одного или нескольких отдельных пользователей из политик информационных барьеров.

Действия

Политики информационных барьеров назначаются сегментам пользователей. Сегменты определяются с помощью определенных атрибутов в профилях учетных записей пользователей. Если необходимо удалить политику у одного пользователя, рассмотрите возможность изменения профиля этого пользователя в Azure Active Directory таким образом, чтобы пользователь больше не был включен в сегмент, затронутый информационными барьерами.

  1. Используйте командлет Get-InformationBarrierRecipientStatus с параметрами Identity. Этот командлет возвращает сведения о пользователях, такие как значения атрибутов и применяемые политики информационных барьеров.

    Синтаксис Пример
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Можно использовать любое значение, однозначно определяющее каждого пользователя, например имя, псевдоним, различающееся имя, каноническое доменное имя, адрес электронной почты или GUID.

    Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    В этом примере мы ссылаемся на две учетные записи пользователей в Microsoft 365: meganb for Megan и alexw для Алекса.

    Get-InformationBarrierRecipientStatus -Identity <value>

    Можно использовать любое значение, однозначно определяющее пользователя, например имя, псевдоним, различающееся имя, каноническое доменное имя, адрес электронной почты или GUID.

    Get-InformationBarrierRecipientStatus -Identity jeanp

    В этом примере мы ссылаемся на одну учетную запись в Microsoft 365: simonp.

  2. Просмотрите результаты, чтобы узнать, назначены ли политики информационных барьеров и к каков сегментам принадлежат пользователи.

  3. Чтобы удалить пользователя из сегмента, затронутого информационными барьерами, обновите сведения о профиле пользователя в Azure Active Directory.

  4. Подождите около 30 минут, пока произойдет FwdSync. Или выполните командлет Start-InformationBarrierPoliciesApplication , чтобы применить все активные политики информационных барьеров.

Проблема. Процесс приложения информационного барьера занимает слишком много времени

После выполнения командлета Start-InformationBarrierPoliciesApplication процесс занимает много времени.

Действия

Имейте в виду, что при выполнении командлета приложения политики информационных барьеров применяются (или удаляются) для всех учетных записей в организации. Если у вас много пользователей, обработка займет некоторое время. (Как правило, обработка 5000 учетных записей пользователей занимает около часа.)

  1. Используйте командлет Get-InformationBarrierPoliciesApplicationStatus для проверки состояния последнего приложения политики.

    Просмотр последнего приложения политики Просмотр состояния для всех приложений политики
    Get-InformationBarrierPoliciesApplicationStatus Get-InformationBarrierPoliciesApplicationStatus -All $true

    Отобразится информация о том, завершено ли приложение политики, завершилось ли сбоем или выполняется.

  2. В зависимости от результатов предыдущего шага выполните одно из следующих действий:

    Состояние Следующее действие
    Не запущено. Если с момента запуска командлета Start-InformationBarrierPoliciesApplication прошло более 45 минут, просмотрите журнал аудита, чтобы узнать, есть ли ошибки в определениях политик или по какой-либо другой причине, по которой приложение не запущено.
    Не удалось выполнить Если приложение завершилось сбоем, просмотрите журнал аудита. Также просмотрите сегменты и политики. Назначены ли какие-либо пользователи нескольким сегментам? Назначены ли сегменты нескольким политикам? При необходимости измените сегменты и (или) политики, а затем снова запустите командлет Start-InformationBarrierPoliciesApplication .
    Выполняется Если приложение все еще выполняется, укажите больше времени для его завершения. Если это было несколько дней, соберите журналы аудита и обратитесь в службу поддержки.

Проблема. Политики информационных барьеров не применяются.

В этом случае вы определили сегменты, политики информационных барьеров и попытались применить эти политики. Однако при выполнении командлета Get-InformationBarrierPoliciesApplicationStatus можно увидеть, что приложение политики завершилось сбоем.

Действия

Убедитесь, что в вашей организации нет политик адресной книги Exchange . Такие политики не будут применять политики информационных барьеров.

  1. Подключитесь к Exchange Online PowerShell.

  2. Запустите командлет Get-AddressBookPolicy и просмотрите результаты.

    Results Следующее действие
    В списке перечислены политики адресной книги Exchange Удаление политик адресных книг
    Политики адресной книги не существуют Просмотрите журналы аудита, чтобы узнать, почему приложение политики завершается сбоем
  3. Просмотр состояния учетных записей пользователей, сегментов, политик или приложений политики.

Проблема. Политика информационных барьеров не применяется ко всем назначенным пользователям

После того как вы определили сегменты, политики информационных барьеров и попытались применить эти политики, вы можете обнаружить, что политика применяется к некоторым получателям, но не к другим. При выполнении командлета Get-InformationBarrierPoliciesApplicationStatus выполните поиск текста в выходных данных.

Идентичности: <application guid>

Всего получателей: 81527

Получатели с ошибками: 2

Категория сбоя: нет

Состояние: завершено

Действия

  1. Выполните поиск в журнале аудита по запросу <application guid>. Этот код PowerShell можно скопировать и изменить для переменных.

    $DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss>  -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)} 
    
  2. Проверьте подробные выходные данные журнала аудита на наличие значений "UserId" полей и полей "ErrorDetails" . Это позволит получить причину сбоя. Этот код PowerShell можно скопировать и изменить для переменных.

       $DetailedLogs[1] |fl
    

    Например:

    "UserId": User1

    "ErrorDetails":"Status: IBPolicyConflict. Ошибка: сегмент IB "segment id1" и сегмент IB "segment id2" конфликтуют и не могут быть назначены получателю.

  3. Обычно вы обнаружите, что пользователь был включен в несколько сегментов. Это можно исправить, обновив значение -UserGroupFilter в OrganizationSegments.

  4. Повторное применение политик информационных барьеров с помощью этих процедур политики информационных барьеров.

Ресурсы