解决信息屏障中的通信问题
Microsoft Purview 信息屏障 可帮助组织遵守法律要求和行业法规。 例如,可以使用信息屏障来限制特定用户组之间的通信,以避免利益冲突。
以下部分提供了可能遇到的各种问题的故障排除步骤。
重要
在排查信息屏障问题之前,请确保拥有 适当的订阅和权限,满足必要的 先决条件,并 连接到安全与合规中心 PowerShell。
问题:意外阻止用户与 Teams 中的其他人通信
用户在尝试使用 Microsoft Teams 与他人通信时报告意外问题。 例如:
- 用户在 Teams 中搜索但找不到其他用户。
- 用户可以在 Teams 中找到但无法选择其他用户。
- 用户可以看到其他用户,但无法在 Teams 中向该用户发送消息。
如何操作
确定用户是否受信息屏障策略的影响。 根据策略的配置方式,信息屏障可能按预期工作。 或者,可能需要优化组织的策略。
将 Get-InformationBarrierRecipientStatus cmdlet 与 Identity 参数一起使用。
语法 示例 Get-InformationBarrierRecipientStatus -Identity
可以使用唯一标识每个收件人的任何标识值,例如名称、别名、可分辨名称(DN)、规范 DN、电子邮件地址或 GUID。Get-InformationBarrierRecipientStatus -Identity meganb
此示例使用 Identity 参数的别名(meganb)。 此 cmdlet 返回指示用户是否受信息屏障策略影响的信息。 (查找 *ExoPolicyId: <GUID>.)如果信息屏障策略中不包含用户,请联系Microsoft 支持部门。 否则,请转到下一步。
确定信息屏障策略中包含的段。 为此,请使用 Get-InformationBarrierPolicy cmdlet 和 Identity 参数。
语法 示例 Get-InformationBarrierPolicy
使用在上一步收到的策略 GUID(ExoPolicyId)等详细信息作为标识值。Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f
此示例提供有关具有 ExoPolicyIdb42c3d0f-xyxy-4506-xyxy-bf2853b5df6f的信息屏障策略的详细信息。运行 cmdlet 后,检查 AssignedSegment、SegmentsAllowed 和 SegmentsBlocked 值的结果。
例如,运行 Get-InformationBarrierPolicy cmdlet 后,结果中会显示以下内容:
AssignedSegment :Sales
SegmentsAllowed: {}
SegmentsBlocked : {Research}在这种情况下,可以看到信息屏障策略会影响“销售和研究”细分市场中的人员。 销售人员无法与研究人员沟通。
如果这看起来正确,则信息屏障将按预期工作。 如果没有,请转到下一步。
确保正确定义段。 为此,请使用 Get-OrganizationSegment cmdlet 并查看结果列表。
语法 示例 Get-OrganizationSegment
将此 cmdlet 与 Identity 参数配合使用。Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
在此示例中,我们将获取有关具有 GUIDc96e0837-c232-4a8a-841e-ef45787d8fcd的段的信息。查看段的详细信息。 如有必要, 请编辑段,然后重复使用 Start-InformationBarrierPoliciesApplication cmdlet。
如果在使用信息屏障策略时仍遇到问题,请联系Microsoft 支持部门。
问题:允许在 Teams 中阻止的用户之间通信
尽管定义了信息屏障、主动和应用了信息屏障,但不应相互通信的人员能够在 Teams 中相互聊天和呼叫。
如何操作
验证有问题的用户是否包含在信息屏障策略中。
将 Get-InformationBarrierRecipientStatus cmdlet 与 Identity 和 Identity2 参数一起使用。
语法* 示例 Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
可以使用唯一标识每个用户的任何值,例如名称、别名、可分辨名称、规范域名、电子邮件地址或 GUID。Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
此示例引用 Microsoft 365 中的两个用户帐户:meganbMegan 和alexwAlex。提示
还可以将此 cmdlet 用于单个用户:
Get-InformationBarrierRecipientStatus -Identity <value>查看调查结果。 Get-InformationBarrierRecipientStatus cmdlet 返回有关用户的信息,例如属性值和应用的任何信息屏障策略。
执行后续步骤,如下表所述。
Result 下一步操作 所选用户未列出任何段 - 使用下列方法之一:
- 通过在 Microsoft Entra ID 中编辑其用户配置文件,将用户分配到现有段
- 使用支持的信息屏障属性定义段,然后定义新策略或编辑现有策略以包含该段。
- 运行 Start-InformationBarrierPoliciesApplication cmdlet 以应用所有活动的信息屏障策略。
已列出段,但未向这些段分配任何信息屏障策略 - 使用下列方法之一:
- 为每个适用段定义新的信息屏障策略 。
- 编辑现有信息屏障策略 ,将其分配给适用的段。
- 运行 Start-InformationBarrierPoliciesApplication cmdlet 以应用所有活动的信息屏障策略。
将列出段,每个段都包含在信息屏障策略中 - 运行 Get-InformationBarrierPolicy cmdlet 以验证信息屏障策略是否处于活动状态。
- 运行 Get-InformationBarrierPoliciesApplicationStatus cmdlet 以验证是否已应用策略。
- 运行 Start-InformationBarrierPoliciesApplication cmdlet 以应用所有活动的信息屏障策略。
- 使用下列方法之一:
问题:我想从信息屏障策略中删除单个用户
信息屏障策略生效,一个或多个用户意外地被阻止与 Microsoft Teams 中的其他人通信。 你可以从信息屏障策略中删除一个或多个单个用户,而不是完全删除信息屏障策略。
如何操作
将信息屏障策略分配给用户细分。 使用用户帐户配置文件中的某些属性定义段。 如果必须从单个用户中删除策略,请考虑在 Microsoft Entra 中编辑该用户的个人资料,以便用户不再包含在受信息屏障影响的段中。
结合使用 Get-InformationBarrierRecipientStatus cmdlet 和 Identity2 参数。 此 cmdlet 返回有关用户的信息,例如属性值和应用的任何信息屏障策略。
语法 示例 Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
可以使用唯一标识每个用户的任何值,例如名称、别名、可分辨名称、规范域名、电子邮件地址或 GUID。Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
此示例引用 Microsoft 365 中的两个用户帐户:meganbMegan 和alexwAlex。Get-InformationBarrierRecipientStatus -Identity <value>
可以使用唯一标识用户的任何值,例如名称、别名、可分辨名称、规范域名、电子邮件地址或 GUID。Get-InformationBarrierRecipientStatus -Identity jeanp
此示例引用 Microsoft 365 中的单个帐户:jeanp查看结果,了解是否分配了信息屏障策略,以及用户所属的段。
若要从受信息屏障影响的段中删除用户, 请更新Microsoft Entra ID 中的用户配置文件信息。
等待大约 30 分钟,FwdSync 操作完成。 或者,运行 Start-InformationBarrierPoliciesApplication cmdlet 以应用所有活动的信息屏障策略。
问题:信息屏障应用程序过程耗时太长
运行 Start-InformationBarrierPoliciesApplication cmdlet 后,该过程需要很长时间才能完成。
如何操作
请记住,当你运行策略应用程序 cmdlet 时,信息屏障策略将针对组织中的所有帐户应用(或删除)用户。 如果你有许多用户,该过程需要一段时间才能运行。 (作为一般准则,处理 5,000 个用户帐户大约需要一个小时。
使用 Get-InformationBarrierPoliciesApplicationStatus cmdlet 查看最新策略应用程序的状态。
对于最新的策略应用程序 对于所有策略应用程序 Get-InformationBarrierPoliciesApplicationStatusGet-InformationBarrierPoliciesApplicationStatus -All $true此命令显示有关策略应用程序是否已完成、失败或正在进行的信息。
根据上一步的结果,执行以下步骤之一。
Status 后续步骤 未启动 如果自运行 Start-InformationBarrierPoliciesApplication cmdlet 以来已超过 45 分钟,请查看审核日志以查看策略定义是否包含任何错误,或者应用程序没有出于其他原因启动。 已失败 如果应用程序失败,请查看审核日志。 另请查看细分市场和策略。 是否向多个细分分配了任何用户? 是否分配了多个策略的段? 如有必要, 请编辑段 或 编辑策略,然后再次运行 Start-InformationBarrierPoliciesApplication cmdlet。 正在学习 如果应用程序仍在进行中,请留出更多时间来完成该应用程序。 如果应用程序启动以来已过去几天,请收集审核日志,然后联系Microsoft 支持部门。
问题:信息屏障策略根本不应用
已定义细分、定义信息屏障策略,并尝试应用这些策略。 但是,运行 Get-InformationBarrierPoliciesApplicationStatus cmdlet 时,可以看到策略应用程序失败。
如何操作
确保组织没有 Exchange 通讯簿策略 。 此类策略可防止应用信息屏障策略。
运行 Get-AddressBookPolicy cmdlet,并查看结果。
结果 后续步骤 列出了 Exchange 通讯簿策略 删除通讯簿策略。 不存在通讯簿策略 查看审核日志以确定策略应用程序失败的原因。
问题:信息屏障策略不适用于所有指定用户
定义细分和信息屏障策略并尝试应用这些策略后,你可能会发现该策略应用于某些收件人,但不适用于其他收件人。 运行 Get-InformationBarrierPoliciesApplicationStatus cmdlet 时,在输出中搜索如下所示的文本:
身份:
<application guid>
收件人总数:81527
失败的收件人:2
失败类别:无
状态: 完成
如何操作
在审核日志
<application guid>中搜索 。 可以通过替换变量来复制此 PowerShell 代码并对其进行修改:$detailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss> -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}检查审核日志中有关 UserId 和 ErrorDetails 字段的值的详细输出。 执行此操作可提供失败的原因。 可以通过替换变量来复制此 PowerShell 代码并对其进行修改。
$detailedLogs[1] | FL例如:
“UserId”:User1
“ErrorDetails”: “Status: IBPolicyConflict. 错误:IB 段“segment id1”和 IB 段“segment id2”存在冲突,无法分配给收件人。通常,你了解到用户包含在多个段中。 可以通过更新段成员身份来解决此问题。 为此,请将 Set-OrganizationSegment cmdlet 与参数一
UserGroupFilter起使用。