Problem med kommunikations- och informationsbarriärer

  • Artikel

Informationsbarriärer kan hjälpa din organisation att uppfylla juridiska krav och branschregler. Med informationsbarriärer kan du till exempel begränsa kommunikationen mellan specifika grupper av användare för att undvika intressekonflikter eller andra problem. (Mer information om hur du konfigurerar informationsbarriärer finns i Definiera principer för informationsbarriärer.)

När personer stöter på oväntade problem när informationsbarriärer finns på plats finns det några steg du kan vidta för att lösa dessa problem. Använd den här artikeln som en guide.

Viktigt

Om du vill utföra de uppgifter som beskrivs i den här artikeln måste du tilldelas en lämplig roll, till exempel något av följande:

  • Microsoft 365 Enterprise global administratör
  • global administratör
  • Efterlevnadsadministratör
  • IB Efterlevnadshantering (det här är en ny roll!)

Mer information om förutsättningar för informationsbarriärer finns i Krav (för informationsbarriärprinciper).

Se till att ansluta till Security & Compliance Center PowerShell.

Problem: Användare blockeras oväntat från att kommunicera med andra i Microsoft Teams

I det här fallet rapporterar personer oväntade problem med att kommunicera med andra i Microsoft Teams. Några exempel är:

  • En användare söker efter, men kan inte hitta, en annan användare i Microsoft Teams.
  • En användare kan hitta, men kan inte välja, en annan användare i Microsoft Teams.
  • En användare kan se en annan användare, men kan inte skicka meddelanden till den andra användaren i Microsoft Teams.

Lämplig åtgärd

Avgör om användarna påverkas av en princip för informationsbarriärer. Beroende på hur principer konfigureras kan informationsbarriärer fungera som förväntat. Eller så kan du behöva förfina organisationens principer.

  1. Använd cmdleten Get-InformationBarrierRecipientStatus med parametern Identity.

    Syntax Exempel
    Get-InformationBarrierRecipientStatus -Identity

    Du kan använda valfritt identitetsvärde som unikt identifierar varje mottagare, till exempel Namn, Alias, Unikt namn (DN), Kanoniskt DN, Email adress eller GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb

    I det här exemplet använder vi ett alias (meganb) för parametern Identity. Den här cmdleten returnerar information som anger om användaren påverkas av en informationsbarriärprincip. (Leta efter *ExoPolicyId: <GUID>.)

    Kontakta supporten om användarna inte ingår i informationsbarriärprinciperna. Annars går du vidare till nästa steg.

  2. Ta reda på vilka segment som ingår i en princip för informationsbarriärer. Det gör du genom att använda cmdleten Get-InformationBarrierPolicy med parametern Identity.

    Syntax Exempel
    Get-InformationBarrierPolicy

    Använd information, till exempel det princip-GUID (ExoPolicyId) som du fick under föregående steg, som ett identitetsvärde.

    		 Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f

    I det här exemplet får vi detaljerad information om informationsbarriärprincipen med ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f.

    När du har kört cmdleten letar du i resultatet efter värdena AssignedSegment, SegmentsAllowed och SegmentsBlocked .

    När vi till exempel har kört cmdleten Get-InformationBarrierPolicy såg vi följande i vår resultatlista:

    AssignedSegment : Sales
SegmentsAllowed : {}
SegmentsBlocked : {Research}

    I det här fallet kan vi se att en princip för informationsbarriärer påverkar personer som ingår i segmenten Försäljning och forskning. I det här fallet hindras personer i Försäljning från att kommunicera med personer inom forskning.

    Om detta verkar korrekt fungerar informationsbarriärer som förväntat. Annars går du vidare till nästa steg.

  3. Kontrollera att segmenten har definierats korrekt. Det gör du genom att använda cmdleten Get-OrganizationSegment och granska resultatlistan.

    Syntax Exempel
    Get-OrganizationSegment

    Använd den här cmdleten med en identitetsparameter.

    		 Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd

    I det här exemplet får vi information om segmentet som har GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

    Granska informationen för segmentet. Om det behövs redigerar du ett segment och återanvänder sedan cmdleten Start-InformationBarrierPoliciesApplication .

    Kontakta supporten om du fortfarande har problem med din princip för informationsbarriärer.

Problem: Kommunikation tillåts mellan användare som ska blockeras i Microsoft Teams

I det här fallet, även om informationsbarriärer definieras, är aktiva och tillämpas, kan personer som ska hindras från att kommunicera med varandra på något sätt chatta med och ringa varandra i Microsoft Teams.

Lämplig åtgärd

Kontrollera att användarna i fråga ingår i en informationsbarriärprincip.

  1. Använd cmdleten Get-InformationBarrierRecipientStatus med identitetsparametrar.

    Syntax* Exempel
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Du kan använda valfritt värde som unikt identifierar varje användare, till exempel namn, alias, unikt namn, kanoniskt domännamn, e-postadress eller GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    I det här exemplet refererar vi till två användarkonton i Microsoft 365: meganb för Megan och alexw för Alex.

    Tips

    Du kan också använda den här cmdleten för en enskild användare: Get-InformationBarrierRecipientStatus -Identity <value>

  2. Granska resultaten. Cmdleten Get-InformationBarrierRecipientStatus returnerar information om användare, till exempel attributvärden och eventuella principer för informationsbarriärer som tillämpas.

    Granska resultaten och utför sedan nästa steg enligt beskrivningen i följande tabell:

    Resultat Vad du ska göra härnäst
    Inga segment visas för de valda användarna Gör något av följande:
    – Tilldela användare till ett befintligt segment genom att redigera deras användarprofiler i Microsoft Entra ID. (Se Konfigurera egenskaper för användarkonto med Microsoft 365 PowerShell.)
    – Definiera ett segment med hjälp av ett attribut som stöds för informationsbarriärer. Definiera sedan en ny princip eller redigera en befintlig princip för att inkludera det segmentet.
    Segment visas men inga informationsbarriärprinciper tilldelas till dessa segment Gör något av följande:
    - Definiera en ny princip för informationsbarriärer för varje segment i fråga
    - Redigera en befintlig princip för informationsbarriär för att tilldela den till rätt segment
    Segment listas och var och en ingår i en informationsbarriärprincip – Kör cmdleten Get-InformationBarrierPolicy för att verifiera att informationsbarriärprinciper är aktiva
    – Kör cmdleten Get-InformationBarrierPoliciesApplicationStatus för att bekräfta att principerna tillämpas
    – Kör cmdleten Start-InformationBarrierPoliciesApplication för att tillämpa alla principer för aktiva informationsbarriärer

Problem: Jag måste ta bort en enskild användare från en informationsbarriärprincip

I det här fallet gäller principer för informationsbarriärer och en eller flera användare blockeras oväntat från att kommunicera med andra i Microsoft Teams. I stället för att ta bort principer för informationsbarriärer helt och hållet kan du ta bort en eller flera enskilda användare från principer för informationsbarriärer.

Lämplig åtgärd

Informationsbarriärprinciper tilldelas till segment av användare. Segment definieras med hjälp av vissa attribut i användarkontoprofiler. Om du måste ta bort en princip från en enskild användare kan du redigera användarens profil i Microsoft Entra så att användaren inte längre ingår i ett segment som påverkas av informationsbarriärer.

  1. Använd cmdleten Get-InformationBarrierRecipientStatus med identitetsparametrar. Den här cmdleten returnerar information om användare, till exempel attributvärden och eventuella principer för informationsbarriärer som tillämpas.

    Syntax Exempel
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    Du kan använda valfritt värde som unikt identifierar varje användare, till exempel namn, alias, unikt namn, kanoniskt domännamn, e-postadress eller GUID.

    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    I det här exemplet refererar vi till två användarkonton i Microsoft 365: meganb för Megan och alexw för Alex.
    Get-InformationBarrierRecipientStatus -Identity <value>

    Du kan använda valfritt värde som unikt identifierar användaren, till exempel namn, alias, unikt namn, kanoniskt domännamn, e-postadress eller GUID.

    		 Get-InformationBarrierRecipientStatus -Identity jeanp

    I det här exemplet refererar vi till ett enda konto i Microsoft 365: jeanp.

  2. Granska resultaten för att se om informationsbarriärprinciper har tilldelats och till vilka segment som användaren eller användarna tillhör.

  3. Om du vill ta bort en användare från ett segment som påverkas av informationsbarriärer uppdaterar du användarens profilinformation i Microsoft Entra ID.

  4. Vänta cirka 30 minuter innan FwdSync inträffar. Eller kör cmdleten Start-InformationBarrierPoliciesApplication för att tillämpa alla aktiva informationsbarriärprinciper.

Problem: Programprocessen för informationsbarriären tar för lång tid

När du har kört cmdleten Start-InformationBarrierPoliciesApplication tar processen lång tid att slutföra.

Lämplig åtgärd

Tänk på att när du kör principprogrammets cmdlet tillämpas (eller tas bort) principer för informationsbarriärer, användare för användare, för alla konton i din organisation. Om du har många användare tar det en stund att bearbeta. (Som en allmän riktlinje tar det ungefär en timme att bearbeta 5 000 användarkonton.)

  1. Använd cmdleten Get-InformationBarrierPoliciesApplicationStatus för att verifiera status för det senaste principprogrammet.

    Så här visar du det senaste principprogrammet Visa status för alla principprogram
    Get-InformationBarrierPoliciesApplicationStatus Get-InformationBarrierPoliciesApplicationStatus -All $true

    Då visas information om huruvida principprogrammet har slutförts, misslyckats eller pågår.

  2. Beroende på resultatet av föregående steg utför du något av följande steg:

    Status Nästa steg
    Inte startad Om det har gått mer än 45 minuter sedan cmdleten Start-InformationBarrierPoliciesApplication har körts läser du granskningsloggen för att se om det finns några fel i principdefinitioner eller någon annan anledning till varför programmet inte har startats.
    Misslyckades Om programmet har misslyckats granskar du granskningsloggen. Granska även dina segment och principer. Är några användare tilldelade till fler än ett segment? Tilldelas segment fler än en princip? Om det behövs redigerar du segment och/eller redigerar principer och kör sedan cmdleten Start-InformationBarrierPoliciesApplication igen.
    Pågår Om programmet fortfarande pågår kan du ge det mer tid att slutföra det. Om det har gått flera dagar samlar du in granskningsloggarna och kontaktar sedan supporten.

Problem: Informationsbarriärprinciper tillämpas inte alls

I det här fallet har du definierat segment, definierat principer för informationsbarriärer och försökt tillämpa dessa principer. Men när du kör cmdleten Get-InformationBarrierPoliciesApplicationStatus kan du se att principprogrammet har misslyckats.

Lämplig åtgärd

Kontrollera att din organisation inte har principer för Exchange-adressbok på plats. Sådana principer kommer att förhindra att informationsbarriärprinciper tillämpas.

  1. Anslut till Exchange Online PowerShell.

  2. Kör cmdleten Get-AddressBookPolicy och granska resultatet.

    Resultat Nästa steg
    Principer för Exchange-adressbok visas Ta bort adressboksprinciper
    Det finns inga adressboksprinciper Granska granskningsloggarna för att ta reda på varför principprogrammet misslyckas

  3. Visa status för användarkonton, segment, principer eller principprogram.

Problem: Informationsbarriärprincipen tillämpas inte på alla utsedda användare

När du har definierat segment, definierat principer för informationsbarriärer och försökt tillämpa dessa principer kan det hända att principen tillämpas på vissa mottagare, men inte för andra. När du kör cmdleten Get-InformationBarrierPoliciesApplicationStatus söker du i utdata efter text som den här.

Identitet: <application guid>

Totalt antal mottagare: 81527

Misslyckade mottagare: 2

Felkategori: Ingen

Status: Slutförd

Lämplig åtgärd

  1. Sök i granskningsloggen efter <application guid>. Du kan kopiera den här PowerShell-koden och ändra för dina variabler.

    $DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss>  -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}

  2. Kontrollera de detaljerade utdata från granskningsloggen för värdena för fälten "UserId" och "ErrorDetails" . Detta ger dig orsaken till felet. Du kan kopiera den här PowerShell-koden och ändra för dina variabler.

       $DetailedLogs[1] |fl

    Till exempel:

    "UserId": User1

    "ErrorDetails":"Status: IBPolicyConflict. Fel: IB-segmentet "segment-Id1" och IB-segmentet "segment-ID2" är i konflikt och kan inte tilldelas till mottagaren.

  3. Vanligtvis märker du att en användare har inkluderats i mer än ett segment. Du kan åtgärda detta genom att -UserGroupFilter uppdatera värdet i OrganizationSegments.

  4. Tillämpa informationsbarriärprinciper på nytt med hjälp av dessa procedurer Principer för informationsbarriärer.

Resurser