다음을 통해 공유

정보 장벽의 통신 문제 해결

  • 아티클
  • 적용 대상:
    Microsoft 365

Microsoft Purview Information Barriers는 조직이 법적 요구 사항 및 업계 규정을 준수하는 데 도움이 될 수 있습니다. 예를 들어 정보 장벽을 사용하여 특정 사용자 그룹 간의 통신을 제한하여 이해 상충을 방지할 수 있습니다.

다음 섹션에서는 발생할 수 있는 다양한 문제에 대한 문제 해결 단계를 제공합니다.

Important

정보 장벽 문제를 해결하기 전에 적절한 구독 및 권한이 있는지 확인하고, 필요한 필수 구성 요소를 충족하고, 보안 및 규정 준수 센터 PowerShell에 연결합니다.

문제: 사용자가 Teams에서 다른 사용자와 통신할 수 예기치 않게 차단됨

사용자가 Microsoft Teams를 사용하여 다른 사용자와 통신하려고 할 때 예기치 않은 문제를 보고합니다. 예시:

  • 사용자가 Teams에서 다른 사용자를 검색하지만 찾을 수 없습니다.
  • 사용자는 Teams에서 다른 사용자를 찾을 수 있지만 선택할 수는 없습니다.
  • 사용자는 다른 사용자를 볼 수 있지만 Teams에서 해당 사용자에게 메시지를 보낼 수는 없습니다.

수행할 작업

사용자가 정보 장벽 정책의 영향을 받는지 여부를 확인합니다. 정책 구성 방법에 따라 정보 장벽이 예상대로 작동할 수 있습니다. 또는 조직의 정책을 구체화해야 할 수도 있습니다.

  1. Get-InformationBarrierRecipientStatus cmdlet을 Identity 매개 변수와 함께 사용합니다.

    Syntax 예제
    Get-InformationBarrierRecipientStatus -Identity

    이름, 별칭, DN(고유 이름), 정식 DN, 전자 메일 주소 또는 GUID와 같이 각 받는 사람을 고유하게 식별하는 ID 값을 사용할 수 있습니다.    		 Get-InformationBarrierRecipientStatus -Identity meganb

    이 예제에서는 Identity 매개 변수에 별칭(meganb)을 사용합니다. 이 cmdlet은 사용자가 Information Barriers 정책의 영향을 받는지 여부를 나타내는 정보를 반환합니다. (*ExoPolicyId를 < 찾습니다.GUID>.)

    사용자가 Information Barriers 정책에 포함되지 않은 경우 Microsoft 지원 문의하세요. 그렇지 않은 경우 다음 단계로 이동합니다.

  2. 정보 장벽 정책에 포함되는 세그먼트를 결정합니다. 이렇게 하려면 Identity 매개 변수와 함께 Get-InformationBarrierPolicy cmdlet을 사용합니다.

    Syntax 예제
    Get-InformationBarrierPolicy

    이전 단계에서 받은 정책 GUID(ExoPolicyId)와 같은 세부 정보를 ID 값으로 사용합니다.    		 Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f

    이 예제에서는 ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f가 있는 정보 장벽 정책에 대한 자세한 정보를 제공합니다.

    cmdlet을 실행한 후 AssignedSegment, SegmentsAllowedSegmentsBlocked 값에 대한 결과를 검사합니다.

    예를 들어 Get-InformationBarrierPolicy cmdlet을 실행하면 결과에 다음이 표시됩니다.

    AssignedSegment: Sales
    SegmentsAllowed: {}
    SegmentsBlocked: {Research}

    이 경우 정보 장벽 정책이 영업 및 리서치 세그먼트에 있는 사람들에게 영향을 주는 것을 볼 수 있습니다. 영업 담당자가 리서치 담당자와 통신할 수 없는 경우

    이것이 올바르다면 정보 장벽이 예상대로 작동합니다. 그렇지 않은 경우 다음 단계로 이동합니다.

  3. 세그먼트가 올바르게 정의되어 있는지 확인합니다. 이렇게 하려면 Get-OrganizationSegment cmdlet을 사용하고 결과 목록을 검토합니다.

    Syntax 예제
    Get-OrganizationSegment

    Identity 매개 변수와 함께 이 cmdlet을 사용합니다.    		 Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd

    이 예제에서는 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd가 있는 세그먼트에 대한 정보를 가져옵니다.

    세그먼트에 대한 세부 정보를 검토합니다. 필요한 경우 세그먼트를 편집한 다음 Start-InformationBarrierPoliciesApplication cmdlet을 다시 사용합니다.

    Information Barriers 정책을 사용할 때 여전히 문제가 발생하는 경우 Microsoft 지원 문의하세요.

문제: Teams에서 차단해야 하는 사용자 간에 통신이 허용됨

정보 장벽이 정의되고 활성화되고 적용되지만 서로 통신할 수 없는 사용자는 Teams에서 서로 채팅하고 전화를 걸 수 있습니다.

수행할 작업

문제의 사용자가 정보 장벽 정책에 포함되어 있는지 확인합니다.

  1. Get-InformationBarrierRecipientStatus cmdlet을 Identity 및 Identity2 매개 변수와 함께 사용합니다.

    Syntax* 예제
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    이름, 별칭, 고유 이름, 정식 도메인 이름, 전자 메일 주소 또는 GUID와 같이 각 사용자를 고유하게 식별하는 값을 사용할 수 있습니다.    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    이 예제에서는 Microsoft 365의 두 사용자 계정인 meganb Megan 및 alexw Alex를 참조합니다.

    단일 사용자에 대해 이 cmdlet을 사용할 수도 있습니다. Get-InformationBarrierRecipientStatus -Identity <value>

  2. 결과를 검토합니다. Get-InformationBarrierRecipientStatus cmdlet은 특성 값 및 적용되는 정보 장벽 정책과 같은 사용자에 대한 정보를 반환합니다.

    다음 표에 설명된 대로 다음 단계를 수행합니다.

    결과  다음으로 수행할 사항 
    선택한 사용자에 대한 세그먼트가 나열되지 않음
    1. 다음 방법 중 하나를 사용하십시오.
    2. Start-InformationBarrierPoliciesApplication cmdlet을 실행하여 모든 활성 정보 장벽 정책을 적용합니다.
    세그먼트가 나열되지만 해당 세그먼트에 정보 장벽 정책이 할당되지 않습니다.
    1. 다음 방법 중 하나를 사용하십시오.
    2. Start-InformationBarrierPoliciesApplication cmdlet을 실행하여 모든 활성 정보 장벽 정책을 적용합니다.
    세그먼트가 나열되고 각 세그먼트가 정보 장벽 정책에 포함됩니다.
    1. Get-InformationBarrierPolicy cmdlet을 실행하여 정보 장벽 정책이 활성 상태인지 확인합니다.
    2. Get-InformationBarrierPoliciesApplicationStatus cmdlet을 실행하여 정책이 적용되었는지 확인합니다.
    3. Start-InformationBarrierPoliciesApplication cmdlet을 실행하여 모든 활성 정보 장벽 정책을 적용합니다.

문제: 정보 장벽 정책에서 단일 사용자를 제거하려고 합니다.

정보 장벽 정책이 적용되고 하나 이상의 사용자가 Microsoft Teams의 다른 사용자와 통신하지 못하도록 예기치 않게 차단됩니다. 정보 장벽 정책을 완전히 제거하는 대신 정보 장벽 정책에서 하나 이상의 개별 사용자를 제거할 수 있습니다.

수행할 작업

정보 장벽 정책은 사용자 세그먼트에 할당됩니다. 세그먼트는 사용자 계정 프로필에서 특정 특성을 사용하여 정의됩니다. 단일 사용자에서 정책을 제거해야 하는 경우 사용자가 정보 장벽의 영향을 받는 세그먼트에 더 이상 포함되지 않도록 Microsoft Entra에서 해당 사용자의 프로필을 편집하는 것이 좋습니다.

  1. Get-InformationBarrierRecipientStatus cmdlet을 Identity 및 Identity2 매개 변수와 함께 사용합니다. 이 cmdlet은 특성 값 및 적용되는 정보 장벽 정책과 같은 사용자에 대한 정보를 반환합니다.

    Syntax 예제
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    이름, 별칭, 고유 이름, 정식 도메인 이름, 전자 메일 주소 또는 GUID와 같이 각 사용자를 고유하게 식별하는 값을 사용할 수 있습니다.    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    이 예제에서는 Microsoft 365의 두 사용자 계정인 meganb Megan 및 alexw Alex를 참조합니다.
    Get-InformationBarrierRecipientStatus -Identity <value>

    이름, 별칭, 고유 이름, 정식 도메인 이름, 전자 메일 주소 또는 GUID와 같이 사용자를 고유하게 식별하는 값을 사용할 수 있습니다.    		 Get-InformationBarrierRecipientStatus -Identity jeanp

    이 예제에서는 Microsoft 365 jeanp의 단일 계정을 참조합니다.

  2. 결과를 검토하여 정보 장벽 정책이 할당되었는지 여부와 사용자가 속한 세그먼트를 알아봅니다.

  3. 정보 장벽의 영향을 받는 세그먼트에서 사용자를 제거하려면 Microsoft Entra ID에서 사용자의 프로필 정보를 업데이트합니다.

  4. FwdSync 작업이 완료될 때까지 30분 정도 기다립니다. 또는 Start-InformationBarrierPoliciesApplication cmdlet을 실행하여 모든 활성 정보 장벽 정책을 적용합니다.

문제: Information Barriers 애플리케이션 프로세스에 너무 오래 걸립니다.

Start-InformationBarrierPoliciesApplication cmdlet을 실행한 후 프로세스를 완료하는 데 시간이 오래 걸립니다.

수행할 작업

정책 애플리케이션 cmdlet을 실행할 때 조직의 모든 계정에 대해 사용자가 Information Barriers 정책을 적용하거나 제거합니다. 사용자가 많은 경우 프로세스를 실행하는 데 시간이 걸립니다. (일반적인 지침으로 5,000개의 사용자 계정을 처리하는 데 약 1시간이 걸립니다.)

  1. Get-InformationBarrierPoliciesApplicationStatus cmdlet을 사용하여 최신 정책 애플리케이션의 상태를 확인합니다.

    최신 정책 애플리케이션의 경우 모든 정책 애플리케이션의 경우
    Get-InformationBarrierPoliciesApplicationStatus Get-InformationBarrierPoliciesApplicationStatus -All $true

    이 명령은 정책 애플리케이션이 완료되었는지, 실패했는지 또는 진행 중인지에 대한 정보를 표시합니다.

  2. 이전 단계의 결과에 따라 다음 단계 중 하나를 수행합니다.

    상태 다음 단계
    시작되지 않음 Start-InformationBarrierPoliciesApplication cmdlet이 실행된 후 45분이 지난 경우 감사 로그를 검토하여 정책 정의에 오류가 포함되어 있는지 또는 다른 이유로 애플리케이션이 시작되지 않았는지 확인합니다.
    실패함 애플리케이션이 실패한 경우 감사 로그를 검토합니다. 또한 세그먼트 및 정책을 검토합니다. 둘 이상의 세그먼트에 할당된 사용자가 있나요? 세그먼트에 둘 이상의 정책이 할당되어 있나요? 필요한 경우 세그먼트를 편집하거나 정책을 편집한 다음 Start-InformationBarrierPoliciesApplication cmdlet을 다시 실행합니다.
    진행 중 애플리케이션이 아직 진행 중인 경우 완료하는 데 더 많은 시간을 허용합니다. 애플리케이션이 시작된 후 며칠이 지난 경우 감사 로그를 수집한 다음 Microsoft 지원 문의하세요.

문제: 정보 장벽 정책이 전혀 적용되지 않음

세그먼트를 정의하고, 정보 장벽 정책을 정의하고, 해당 정책을 적용하려고 했습니다. 그러나 Get-InformationBarrierPoliciesApplicationStatus cmdlet을 실행하면 해당 정책 애플리케이션이 실패했음을 확인할 수 있습니다.

수행할 작업

조직에 Exchange 주소록 정책이 없는지 확인합니다. 이러한 정책은 정보 장벽 정책이 적용되지 않도록 방지합니다.

  1. Exchange Online PowerShell에 연결합니다.

  2. Get-AddressBookPolicy cmdlet을 실행하고 결과를 검토합니다.

    결과 다음 단계
    Exchange 주소록 정책이 나열됩니다. 주소록 정책을 제거합니다.
    주소록 정책이 없음 감사 로그를 검토하여 정책 애플리케이션이 실패한 이유를 확인합니다.

  3. 사용자 계정, 세그먼트, 정책 또는 정책 애플리케이션의 상태를 봅니다.

문제: 정보 장벽 정책이 지정된 모든 사용자에게 적용되지 않음

세그먼트 및 정보 장벽 정책을 정의하고 해당 정책을 적용하려고 하면 정책이 일부 받는 사람에게는 적용되지만 다른 받는 사람에게는 적용되지 않는다는 것을 알게 될 수 있습니다. Get-InformationBarrierPoliciesApplicationStatus cmdlet을 실행하는 경우 출력에서 다음과 유사한 텍스트를 검색합니다.

신원: <application guid>
총 받는 사람 수: 81527
실패한 받는 사람: 2
실패 범주: 없음
상태: 완료

수행할 작업

  1. 감사 로그에서 .를 검색합니다 <application guid>. 이 PowerShell 코드를 복사하고 변수를 대체하여 수정할 수 있습니다.

    $detailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss> -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}

  2. 감사 로그의 자세한 출력에서 UserId 및 ErrorDetails 필드의 값을 확인합니다. 이렇게 하면 실패의 원인이 제공됩니다. 이 PowerShell 코드를 복사하고 변수를 대체하여 수정할 수 있습니다.

    $detailedLogs[1] | FL

    예시:

    "UserId": User1
    "ErrorDetails": "Status: IBPolicyConflict. 오류: IB 세그먼트 "segment id1" 및 IB 세그먼트 "segment id2"에 충돌이 있으며 받는 사람에게 할당할 수 없습니다."

  3. 일반적으로 사용자가 둘 이상의 세그먼트에 포함되었다는 것을 알게 됩니다. 세그먼트 멤버 자격을 업데이트하여 이 문제를 해결할 수 있습니다. 이렇게 하려면 Set-OrganizationSegment cmdlet을 매개 변수와 UserGroupFilter 함께 사용합니다.

  4. 정보 장벽 정책을 다시 적용합니다.