解決資訊屏障中的通訊問題
Microsoft Purview 資訊屏障 可協助貴組織遵守法律需求和產業法規。 例如,您可以使用資訊屏障來限制特定使用者群組之間的通訊,以避免利益衝突。
下列各節提供您可能遇到的各種問題的疑難解答步驟。
重要
在針對資訊屏障問題進行疑難解答之前,請確定您擁有 適當的訂用帳戶和許可權、符合必要 條件,以及 連線到安全性與合規性中心 PowerShell。
問題:使用者意外遭到封鎖,無法與 Teams 中的其他人通訊
當用戶嘗試使用 Microsoft Teams 與其他人通訊時,回報非預期的問題。 例如:
- 使用者在 Teams 中搜尋但找不到其他使用者。
- 用戶可以在 Teams 中找到但無法選取另一位使用者。
- 使用者可以看到其他使用者,但無法將訊息傳送給 Teams 中的該使用者。
要執行的動作
判斷使用者是否受到資訊屏障原則的影響。 根據原則的設定方式,資訊屏障可能會如預期般運作。 或者,您可能必須精簡組織的原則。
使用 Get-InformationBarrierRecipientStatus Cmdlet 搭配 Identity 參數。
語法 範例 Get-InformationBarrierRecipientStatus -Identity
您可以使用任何可唯一識別每個收件者的身分識別值,例如名稱、別名、辨別名稱(DN)、標準 DN、電子郵件位址或 GUID。Get-InformationBarrierRecipientStatus -Identity meganb
此範例使用 Identity 參數的別名 (meganb)。 此 Cmdlet 會傳回資訊,指出使用者是否受到資訊屏障原則的影響。 (尋找 *ExoPolicyId: <GUID>.)如果使用者未包含在資訊屏障原則中,請連絡 Microsoft 支援服務。 否則,移至下一個步驟。
判斷資訊屏障原則中包含哪些區段。 若要這樣做,請使用 Get-InformationBarrierPolicy Cmdlet 搭配 Identity 參數。
語法 範例 Get-InformationBarrierPolicy
使用詳細數據,例如您在上一個步驟中收到的原則 GUID (ExoPolicyId)作為身分識別值。Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f
此範例提供具有 ExoPolicyIdb42c3d0f-xyxy-4506-xyxy-bf2853b5df6f之資訊屏障原則的詳細資訊。執行 Cmdlet 之後,請檢查 AssignedSegment、SegmentsAllowed 和 SegmentBlocked 值的結果。
例如,執行 Get-InformationBarrierPolicy Cmdlet 之後,您會在結果中看到下列內容:
AssignedSegment : Sales
SegmentAllowed : {}
SegmentBlocked : {Research}在此情況下,您可以看到資訊屏障原則會影響銷售與研究區段中的人員。 銷售人員無法與研究人員通訊。
如果這看起來正確,則資訊屏障會如預期般運作。 如果沒有,請移至下一個步驟。
請確定您的區段已正確定義。 若要這樣做,請使用 Get-OrganizationSegment Cmdlet,並檢閱結果清單。
語法 範例 Get-OrganizationSegment
搭配 Identity 參數使用此 Cmdlet。Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
在此範例中,我們會取得具有 GUIDc96e0837-c232-4a8a-841e-ef45787d8fcd之區段的相關信息。檢閱區段的詳細數據。 如有必要, 請編輯區段,然後重複使用 Start-InformationBarrierPoliciesApplication Cmdlet。
如果您在使用資訊屏障原則時仍遇到問題,請連絡 Microsoft 支援服務。
問題:Teams 中應封鎖的用戶之間允許通訊
雖然已定義、主動和套用資訊屏障,但不應該彼此通訊的人員可以在Teams中彼此聊天和通話。
要執行的動作
確認有問題的使用者包含在資訊屏障原則中。
使用 Get-InformationBarrierRecipientStatus Cmdlet 搭配 Identity 和 Identity2 參數。
語法* 範例 Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
您可以使用任何可唯一識別每個使用者的值,例如名稱、別名、辨別名稱、標準功能變數名稱、電子郵件位址或 GUID。Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
此範例是指 Microsoft 365 中的兩個用戶帳戶:meganb適用於 Megan,以及alexwAlex。提示
您也可以將此 Cmdlet 用於單一使用者:
Get-InformationBarrierRecipientStatus -Identity <value>檢閱結果。 Get-InformationBarrierRecipientStatus Cmdlet 會傳回使用者的相關信息,例如屬性值和套用的任何資訊屏障原則。
請執行後續步驟,如下表所述。
結果 接下來該怎麼做 選取的使用者未列出任何區段 - 使用下列其中一種方法:
- 在 entra 識別碼 Microsoft 中編輯使用者配置檔,以 將使用者指派給現有的區段
- 使用 資訊屏障的支持屬性來定義區段,然後 定義新的原則 或 編輯現有的 原則以包含該區段。
- 執行 Start-InformationBarrierPoliciesApplication Cmdlet 以套用所有作用中的資訊屏障原則。
區段會列出,但未將任何資訊屏障原則指派給這些區段 - 使用下列其中一種方法:
- 為每個適用的區段定義新的資訊屏障原則 。
- 編輯現有的資訊屏障原則 ,將它指派給適用的區段。
- 執行 Start-InformationBarrierPoliciesApplication Cmdlet 以套用所有作用中的資訊屏障原則。
區段會列出,且每個區段都包含在資訊屏障原則中 - 執行 Get-InformationBarrierPolicy Cmdlet,以確認資訊屏障原則為作用中。
- 執行 Get-InformationBarrierPoliciesApplicationStatus Cmdlet 以確認已套用原則。
- 執行 Start-InformationBarrierPoliciesApplication Cmdlet 以套用所有作用中的資訊屏障原則。
- 使用下列其中一種方法:
問題:我想要從資訊屏障原則中移除單一使用者
資訊屏障原則生效,且一或多個使用者意外遭到封鎖,無法與Microsoft Teams中的其他人通訊。 您可以從資訊屏障原則中移除一或多個個別使用者,而不是完全移除資訊屏障原則。
要執行的動作
資訊屏障原則會指派給用戶區段。 區段是在用戶帳戶配置檔中使用特定屬性來定義。 如果您必須從單一使用者移除原則,請考慮在 Microsoft Entra 中編輯該使用者的配置檔,讓使用者不再包含在受資訊屏障影響的區段中。
使用 Get-InformationBarrierRecipientStatus Cmdlet 搭配 Identity 和 Identity2 參數。 此 Cmdlet 會傳回使用者的相關信息,例如屬性值和套用的任何資訊屏障原則。
語法 範例 Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
您可以使用任何可唯一識別每個使用者的值,例如名稱、別名、辨別名稱、標準功能變數名稱、電子郵件位址或 GUID。Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
此範例是指 Microsoft 365 中的兩個用戶帳戶:meganb適用於 Megan,以及alexwAlex。Get-InformationBarrierRecipientStatus -Identity <value>
您可以使用任何可唯一識別使用者的值,例如名稱、別名、辨別名稱、標準功能變數名稱、電子郵件位址或 GUID。Get-InformationBarrierRecipientStatus -Identity jeanp
此範例參考 Microsoft 365 中的單一帳戶:jeanp。檢閱結果,以瞭解是否已指派資訊屏障原則,以及使用者所屬的區段。
若要從受資訊屏障影響的區段中移除使用者, 請在 Microsoft Entra ID 中更新使用者的配置檔資訊。
等候大約 30 分鐘,FwdSync 作業完成。 或者,執行 Start-InformationBarrierPoliciesApplication Cmdlet 以套用所有使用中的資訊屏障原則。
問題:資訊屏障應用程式程序花費的時間太長
執行 Start-InformationBarrierPoliciesApplication Cmdlet 之後,程式需要很長的時間才能完成。
要執行的動作
請記住,當您執行原則應用程式 Cmdlet 時,組織內所有帳戶的用戶都會套用資訊屏障原則(或移除)。 如果您有許多使用者,程式需要一段時間才能執行。 (一般指導方針需要大約一個小時才能處理5,000個用戶帳戶。
使用 Get-InformationBarrierPoliciesApplicationStatus Cmdlet 來檢視最新原則應用程式的狀態。
針對最新的原則應用程式 所有原則應用程式 Get-InformationBarrierPoliciesApplicationStatusGet-InformationBarrierPoliciesApplicationStatus -All $true此命令會顯示原則應用程式已完成、失敗或進行中的相關信息。
根據上一個步驟的結果,採取下列步驟之一。
狀態 下一步 未啟動 如果在執行 Start-InformationBarrierPoliciesApplication Cmdlet 之後超過 45 分鐘,請檢閱您的稽核記錄,以查看原則定義是否包含任何錯誤,或應用程式因其他原因未啟動。 失敗 如果應用程式失敗,請檢閱您的稽核記錄。 另請檢閱您的區段和原則。 是否有任何使用者指派給多個區段? 是否有指派多個原則的區段? 如有必要, 請編輯區段 或 編輯原則,然後再次執行 Start-InformationBarrierPoliciesApplication Cmdlet。 進行中 如果應用程式仍在進行中,請讓應用程式有更多時間完成。 如果應用程式啟動后的幾天過去了,請收集您的稽核記錄,然後連絡 Microsoft 支援服務。
問題:完全不會套用資訊屏障原則
您已定義區段、定義的資訊屏障原則,並嘗試套用這些原則。 不過,當您執行 Get-InformationBarrierPoliciesApplicationStatus Cmdlet 時,您可以看到原則應用程式失敗。
要執行的動作
請確定您的組織沒有 Exchange 通訊簿原則 。 這類原則可防止套用資訊屏障原則。
執行 Get-AddressBookPolicy Cmdlet,並檢閱結果。
結果 下一步 列出 Exchange 通訊簿原則 拿掉通訊錄原則。 沒有通訊簿原則存在 檢閱您的稽核記錄,以判斷原則應用程式失敗的原因。
問題:資訊屏障原則未套用至所有指定的使用者
定義區段和資訊屏障原則,並嘗試套用這些原則之後,您可能會發現原則會套用至某些收件者,但不會套用至其他收件者。 當您執行 Get-InformationBarrierPoliciesApplicationStatus Cmdlet 時,搜尋輸出中的文字,如下所示:
身份:
<application guid>
收件者總數:81527
失敗的收件者:2
失敗類別:無
狀態:完成
要執行的動作
在稽核紀錄
<application guid>中搜尋 。 您可以藉由替代變數來複製此 PowerShell 程式代碼並加以修改:$detailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss> -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}檢查稽核記錄檔的詳細輸出,以取得 UserId 和 ErrorDetails 欄位的值。 這樣做會提供失敗的原因。 您可以藉由替代變數來複製此 PowerShell 程式代碼並加以修改。
$detailedLogs[1] | FL例如:
“UserId”: User1
“ErrorDetails”: “Status: IBPolicyConflict. 錯誤:IB 區段 「segment id1」 和 IB 區段 「segment id2」 發生衝突,且無法指派給收件者。通常,您會了解使用者已包含在多個區段中。 您可以藉由更新區段成員資格來修正此問題。 若要這樣做,請使用 Set-OrganizationSegment Cmdlet 搭配
UserGroupFilter參數。