Problem med kommunikations- och informationsbarriärer
Informationsbarriärer kan hjälpa din organisation att uppfylla juridiska krav och branschregler. Med informationsbarriärer kan du till exempel begränsa kommunikationen mellan specifika grupper av användare för att undvika intressekonflikter eller andra problem. (Mer information om hur du konfigurerar informationsbarriärer finns i Definiera principer för informationsbarriärer.)
När personer stöter på oväntade problem när informationsbarriärer finns på plats finns det några steg du kan vidta för att lösa dessa problem. Använd den här artikeln som en guide.
Viktigt
Om du vill utföra de uppgifter som beskrivs i den här artikeln måste du tilldelas en lämplig roll, till exempel något av följande:
- Microsoft 365 Enterprise global administratör
- global administratör
- Efterlevnadsadministratör
- IB Efterlevnadshantering (det här är en ny roll!)
Mer information om förutsättningar för informationsbarriärer finns i Krav (för informationsbarriärprinciper).
Se till att ansluta till Security & Compliance Center PowerShell.
Problem: Användare blockeras oväntat från att kommunicera med andra i Microsoft Teams
I det här fallet rapporterar personer oväntade problem med att kommunicera med andra i Microsoft Teams. Några exempel är:
- En användare söker efter, men kan inte hitta, en annan användare i Microsoft Teams.
- En användare kan hitta, men kan inte välja, en annan användare i Microsoft Teams.
- En användare kan se en annan användare, men kan inte skicka meddelanden till den andra användaren i Microsoft Teams.
Lämplig åtgärd
Avgör om användarna påverkas av en princip för informationsbarriärer. Beroende på hur principer konfigureras kan informationsbarriärer fungera som förväntat. Eller så kan du behöva förfina organisationens principer.
Använd cmdleten Get-InformationBarrierRecipientStatus med parametern Identity.
Syntax Exempel Get-InformationBarrierRecipientStatus -Identity
Du kan använda valfritt identitetsvärde som unikt identifierar varje mottagare, till exempel Namn, Alias, Unikt namn (DN), Kanoniskt DN, Email adress eller GUID.
Get-InformationBarrierRecipientStatus -Identity meganb
I det här exemplet använder vi ett alias (meganb) för parametern Identity. Den här cmdleten returnerar information som anger om användaren påverkas av en informationsbarriärprincip. (Leta efter *ExoPolicyId: <GUID>.)
Kontakta supporten om användarna inte ingår i informationsbarriärprinciperna. Annars går du vidare till nästa steg.
Ta reda på vilka segment som ingår i en princip för informationsbarriärer. Det gör du genom att använda cmdleten
Get-InformationBarrierPolicy
med parametern Identity.Syntax Exempel Get-InformationBarrierPolicy
Använd information, till exempel det princip-GUID (ExoPolicyId) som du fick under föregående steg, som ett identitetsvärde.
Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f
I det här exemplet får vi detaljerad information om informationsbarriärprincipen med ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f.
När du har kört cmdleten letar du i resultatet efter värdena AssignedSegment, SegmentsAllowed och SegmentsBlocked .
När vi till exempel har kört cmdleten
Get-InformationBarrierPolicy
såg vi följande i vår resultatlista:AssignedSegment : Sales SegmentsAllowed : {} SegmentsBlocked : {Research}
I det här fallet kan vi se att en princip för informationsbarriärer påverkar personer som ingår i segmenten Försäljning och forskning. I det här fallet hindras personer i Försäljning från att kommunicera med personer inom forskning.
Om detta verkar korrekt fungerar informationsbarriärer som förväntat. Annars går du vidare till nästa steg.
Kontrollera att segmenten har definierats korrekt. Det gör du genom att använda cmdleten
Get-OrganizationSegment
och granska resultatlistan.Syntax Exempel Get-OrganizationSegment
Använd den här cmdleten med en identitetsparameter.
Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
I det här exemplet får vi information om segmentet som har GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.
Granska informationen för segmentet. Om det behövs redigerar du ett segment och återanvänder sedan cmdleten
Start-InformationBarrierPoliciesApplication
.Kontakta supporten om du fortfarande har problem med din princip för informationsbarriärer.
Problem: Kommunikation tillåts mellan användare som ska blockeras i Microsoft Teams
I det här fallet, även om informationsbarriärer definieras, är aktiva och tillämpas, kan personer som ska hindras från att kommunicera med varandra på något sätt chatta med och ringa varandra i Microsoft Teams.
Lämplig åtgärd
Kontrollera att användarna i fråga ingår i en informationsbarriärprincip.
Använd cmdleten Get-InformationBarrierRecipientStatus med identitetsparametrar.
Syntax* Exempel Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
Du kan använda valfritt värde som unikt identifierar varje användare, till exempel namn, alias, unikt namn, kanoniskt domännamn, e-postadress eller GUID.
Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
I det här exemplet refererar vi till två användarkonton i Microsoft 365: meganb för Megan och alexw för Alex.
Tips
Du kan också använda den här cmdleten för en enskild användare:
Get-InformationBarrierRecipientStatus -Identity <value>
Granska resultaten. Cmdleten Get-InformationBarrierRecipientStatus returnerar information om användare, till exempel attributvärden och eventuella principer för informationsbarriärer som tillämpas.
Granska resultaten och utför sedan nästa steg enligt beskrivningen i följande tabell:
Resultat Vad du ska göra härnäst Inga segment visas för de valda användarna Gör något av följande:
– Tilldela användare till ett befintligt segment genom att redigera deras användarprofiler i Microsoft Entra ID. (Se Konfigurera egenskaper för användarkonto med Microsoft 365 PowerShell.)
– Definiera ett segment med hjälp av ett attribut som stöds för informationsbarriärer. Definiera sedan en ny princip eller redigera en befintlig princip för att inkludera det segmentet.Segment visas men inga informationsbarriärprinciper tilldelas till dessa segment Gör något av följande:
- Definiera en ny princip för informationsbarriärer för varje segment i fråga
- Redigera en befintlig princip för informationsbarriär för att tilldela den till rätt segmentSegment listas och var och en ingår i en informationsbarriärprincip – Kör cmdleten Get-InformationBarrierPolicy
för att verifiera att informationsbarriärprinciper är aktiva
– Kör cmdletenGet-InformationBarrierPoliciesApplicationStatus
för att bekräfta att principerna tillämpas
– Kör cmdletenStart-InformationBarrierPoliciesApplication
för att tillämpa alla principer för aktiva informationsbarriärer
Problem: Jag måste ta bort en enskild användare från en informationsbarriärprincip
I det här fallet gäller principer för informationsbarriärer och en eller flera användare blockeras oväntat från att kommunicera med andra i Microsoft Teams. I stället för att ta bort principer för informationsbarriärer helt och hållet kan du ta bort en eller flera enskilda användare från principer för informationsbarriärer.
Lämplig åtgärd
Informationsbarriärprinciper tilldelas till segment av användare. Segment definieras med hjälp av vissa attribut i användarkontoprofiler. Om du måste ta bort en princip från en enskild användare kan du redigera användarens profil i Microsoft Entra så att användaren inte längre ingår i ett segment som påverkas av informationsbarriärer.
Använd cmdleten Get-InformationBarrierRecipientStatus med identitetsparametrar. Den här cmdleten returnerar information om användare, till exempel attributvärden och eventuella principer för informationsbarriärer som tillämpas.
Syntax Exempel Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
Du kan använda valfritt värde som unikt identifierar varje användare, till exempel namn, alias, unikt namn, kanoniskt domännamn, e-postadress eller GUID.
Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
I det här exemplet refererar vi till två användarkonton i Microsoft 365: meganb för Megan och alexw för Alex.
Get-InformationBarrierRecipientStatus -Identity <value>
Du kan använda valfritt värde som unikt identifierar användaren, till exempel namn, alias, unikt namn, kanoniskt domännamn, e-postadress eller GUID.
Get-InformationBarrierRecipientStatus -Identity jeanp
I det här exemplet refererar vi till ett enda konto i Microsoft 365: jeanp.
Granska resultaten för att se om informationsbarriärprinciper har tilldelats och till vilka segment som användaren eller användarna tillhör.
Om du vill ta bort en användare från ett segment som påverkas av informationsbarriärer uppdaterar du användarens profilinformation i Microsoft Entra ID.
Vänta cirka 30 minuter innan FwdSync inträffar. Eller kör cmdleten
Start-InformationBarrierPoliciesApplication
för att tillämpa alla aktiva informationsbarriärprinciper.
Problem: Programprocessen för informationsbarriären tar för lång tid
När du har kört cmdleten Start-InformationBarrierPoliciesApplication tar processen lång tid att slutföra.
Lämplig åtgärd
Tänk på att när du kör principprogrammets cmdlet tillämpas (eller tas bort) principer för informationsbarriärer, användare för användare, för alla konton i din organisation. Om du har många användare tar det en stund att bearbeta. (Som en allmän riktlinje tar det ungefär en timme att bearbeta 5 000 användarkonton.)
Använd cmdleten Get-InformationBarrierPoliciesApplicationStatus för att verifiera status för det senaste principprogrammet.
Så här visar du det senaste principprogrammet Visa status för alla principprogram Get-InformationBarrierPoliciesApplicationStatus
Get-InformationBarrierPoliciesApplicationStatus -All $true
Då visas information om huruvida principprogrammet har slutförts, misslyckats eller pågår.
Beroende på resultatet av föregående steg utför du något av följande steg:
Status Nästa steg Inte startad Om det har gått mer än 45 minuter sedan cmdleten Start-InformationBarrierPoliciesApplication har körts läser du granskningsloggen för att se om det finns några fel i principdefinitioner eller någon annan anledning till varför programmet inte har startats. Misslyckades Om programmet har misslyckats granskar du granskningsloggen. Granska även dina segment och principer. Är några användare tilldelade till fler än ett segment? Tilldelas segment fler än en princip? Om det behövs redigerar du segment och/eller redigerar principer och kör sedan cmdleten Start-InformationBarrierPoliciesApplication igen. Pågår Om programmet fortfarande pågår kan du ge det mer tid att slutföra det. Om det har gått flera dagar samlar du in granskningsloggarna och kontaktar sedan supporten.
Problem: Informationsbarriärprinciper tillämpas inte alls
I det här fallet har du definierat segment, definierat principer för informationsbarriärer och försökt tillämpa dessa principer. Men när du kör cmdleten Get-InformationBarrierPoliciesApplicationStatus
kan du se att principprogrammet har misslyckats.
Lämplig åtgärd
Kontrollera att din organisation inte har principer för Exchange-adressbok på plats. Sådana principer kommer att förhindra att informationsbarriärprinciper tillämpas.
Anslut till Exchange Online PowerShell.
Kör cmdleten Get-AddressBookPolicy och granska resultatet.
Resultat Nästa steg Principer för Exchange-adressbok visas Ta bort adressboksprinciper Det finns inga adressboksprinciper Granska granskningsloggarna för att ta reda på varför principprogrammet misslyckas Visa status för användarkonton, segment, principer eller principprogram.
Problem: Informationsbarriärprincipen tillämpas inte på alla utsedda användare
När du har definierat segment, definierat principer för informationsbarriärer och försökt tillämpa dessa principer kan det hända att principen tillämpas på vissa mottagare, men inte för andra.
När du kör cmdleten Get-InformationBarrierPoliciesApplicationStatus
söker du i utdata efter text som den här.
Identitet:
<application guid>
Totalt antal mottagare: 81527
Misslyckade mottagare: 2
Felkategori: Ingen
Status: Slutförd
Lämplig åtgärd
Sök i granskningsloggen efter
<application guid>
. Du kan kopiera den här PowerShell-koden och ändra för dina variabler.$DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss> -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}
Kontrollera de detaljerade utdata från granskningsloggen för värdena för fälten
"UserId"
och"ErrorDetails"
. Detta ger dig orsaken till felet. Du kan kopiera den här PowerShell-koden och ändra för dina variabler.$DetailedLogs[1] |fl
Till exempel:
"UserId": User1
"ErrorDetails":"Status: IBPolicyConflict. Fel: IB-segmentet "segment-Id1" och IB-segmentet "segment-ID2" är i konflikt och kan inte tilldelas till mottagaren.
Vanligtvis märker du att en användare har inkluderats i mer än ett segment. Du kan åtgärda detta genom att
-UserGroupFilter
uppdatera värdet iOrganizationSegments
.Tillämpa informationsbarriärprinciper på nytt med hjälp av dessa procedurer Principer för informationsbarriärer.
Resurser
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för