コミュニケーションと情報バリアに関する問題

  • [アーティクル]

情報バリア は、組織が法的要件や業界の規制に準拠し続けるのに役立ちます。 たとえば、情報バリアを使用すると、特定のユーザー グループ間の通信を制限して、競合やその他の問題を回避できます。 (情報バリアを設定する方法の詳細については、 を参照してください。情報バリアのポリシーを定義します)。

情報バリアが設定された後に予期しない問題が発生した場合は、それらの問題を解決するために実行できるいくつかの手順があります。 この記事をガイドとして使用してください。

重要

この記事で説明されているタスクを実行するには、次のいずれかの適切なロールが割り当てられている必要があります。

  • コンプライアンス管理者
  • IB コンプライアンス管理 (これは新しいロールです)

情報バリアの前提条件の詳細については、「 前提条件 (情報バリア ポリシーの場合)」を参照してください。

必ず セキュリティとコンプライアンス センターの PowerShell に接続

問題: Microsoft Teamsでユーザーが予期せず他のユーザーとの通信をブロックされる

この場合、ユーザーは、Microsoft Teamsで他のユーザーと通信する予期しない問題を報告しています。 いくつかの例を次に示します。

  • ユーザーは、Microsoft Teams内の別のユーザーを検索しますが、見つかりません。
  • ユーザーは、Microsoft Teams内の別のユーザーを見つけることができますが、選択できません。
  • ユーザーは別のユーザーを表示できますが、Microsoft Teamsでその他のユーザーにメッセージを送信することはできません。

操作内容

ユーザーが情報バリア ポリシーの影響を受けるかどうかを判断します。 ポリシーの構成方法によっては、情報バリアが期待どおりに機能している可能性があります。 または、組織のポリシーを調整する必要がある場合があります。

  1. Identity パラメーター Get-InformationBarrierRecipientStatus コマンドレットを使用します。

    構文
    Get-InformationBarrierRecipientStatus -Identity

    名前、エイリアス、識別名 (DN)、正規 DN、電子メール アドレス、GUID など、各受信者を一意に識別する任意の ID 値を使用できます。

    		 Get-InformationBarrierRecipientStatus -Identity meganb

    この例では、Identity パラメーターにエイリアス (meganb) を使用しています。 このコマンドレットは、ユーザーが情報バリア ポリシーの影響を受けるかどうかを示す情報を返します。 (*ExoPolicyId: <を探しますGUID>.)

    ユーザーが情報バリア ポリシーに含まれていない場合は、サポートにお問い合わせください。 それ以外の場合は、次の手順に進みます。

  2. 情報バリア ポリシーに含まれるセグメントを確認します。 これを行うには、identity パラメーターと共に Get-InformationBarrierPolicy コマンドレットを使用します。

    構文
    Get-InformationBarrierPolicy

    ID 値として、前の手順で受け取ったポリシー GUID (ExoPolicyId) などの詳細を使用します。

    		 Get-InformationBarrierPolicy -Identity b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f

    この例では、ExoPolicyId b42c3d0f-xyxy-4506-xyxy-bf2853b5df6f を持つ情報バリア ポリシーに関する詳細情報を取得しています。

    コマンドレットを実行した後、結果で、 AssignedSegmentSegmentsAllowed、および SegmentsBlocked の値を探します。

    たとえば、 Get-InformationBarrierPolicy コマンドレットを実行すると、結果の一覧に次の内容が表示されます。

    AssignedSegment : Sales
SegmentsAllowed : {}
SegmentsBlocked : {Research}

    この場合、情報バリア ポリシーが、販売および研究セグメントに含まれるユーザーに影響を与えることがわかります。 この場合、Sales のユーザーは Research のユーザーと通信できなくなります。

    これが正しいと思われる場合は、情報バリアが期待どおりに機能しています。 表示されない場合は、次の手順に進みます。

  3. セグメントが正しく定義されていることを確認します。 これを行うには、 Get-OrganizationSegment コマンドレットを使用して、結果の一覧を確認します。

    構文
    Get-OrganizationSegment

    このコマンドレットは Identity パラメーターと共に使用します。

    		 Get-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd

    この例では、GUID c96e0837-c232-4a8a-841e-ef45787d8fcd を持つセグメントに関する情報を取得します。

    セグメントの詳細を確認します。 必要に応じて、セグメントを編集し、Start-InformationBarrierPoliciesApplicationコマンドレットを再利用します。

    情報バリア ポリシーに関する問題が引き続き発生する場合は、サポートにお問い合わせください

問題: Microsoft Teamsでブロックする必要があるユーザー間で通信が許可される

この場合、情報バリアは定義、アクティブ、適用されますが、通信を妨げる必要があるユーザーは、何らかの方法でMicrosoft Teamsでチャットしたり、相互に呼び出したりすることができます。

操作内容

対象のユーザーが情報バリア ポリシーに含まれていることを確認します。

  1. ID パラメーターを指定して、 Get-InformationBarrierRecipientStatus コマンドレットを使用します。

    構文*
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    名前、エイリアス、識別名、正規ドメイン名、電子メール アドレス、GUID など、各ユーザーを一意に識別する任意の値を使用できます。

    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    この例では、Microsoft 365 の 2 つのユーザー アカウント (Megan の場合は meganbAlex の場合は alexw を参照します。

    ヒント

    このコマンドレットは、1 人のユーザーにも使用できます。 Get-InformationBarrierRecipientStatus -Identity <value>

  2. 結果を確認します。 Get-InformationBarrierRecipientStatus コマンドレットは、属性値や適用される情報バリア ポリシーなど、ユーザーに関する情報を返します。

    次の表に示すように、結果を確認し、次の手順を実行します。

    結果 次の操作
    選択したユーザーのセグメントは一覧表示されません 次のいずれかの操作を行います。
    - Microsoft Entra ID でユーザー プロファイルを編集して、既存のセグメントにユーザーを割り当てます。 ( を参照してくださいMicrosoft 365 PowerShell を使用してユーザー アカウントのプロパティを構成)。
    - 情報バリアに サポートされる属性を使用してセグメントを定義します。 次に、新しいポリシーを定義するか既存のポリシーを編集そのセグメントを含めます。
    セグメントは一覧表示されますが、これらのセグメントには情報バリア ポリシーが割り当てされていません 次のいずれかの操作を行います。
    - 対象のセグメントごとに 新しい情報バリア ポリシーを定義します
    - 既存の情報バリア ポリシーを編集 適切なセグメントに割り当てる
    セグメントが一覧表示され、それぞれが情報バリア ポリシーに含まれます - Get-InformationBarrierPolicy コマンドレットを実行して、情報バリア ポリシーがアクティブであることを確認します
    - Get-InformationBarrierPoliciesApplicationStatus コマンドレットを実行して、ポリシーが適用されていることを確認します
    - Start-InformationBarrierPoliciesApplication コマンドレットを実行して、すべてのアクティブな情報バリア ポリシーを適用する

問題: 情報バリア ポリシーから 1 人のユーザーを削除する必要がある

この場合、情報バリア ポリシーが有効になり、1 人以上のユーザーがMicrosoft Teams内の他のユーザーとの通信を予期せずブロックされます。 情報バリア ポリシーを完全に削除するのではなく、情報バリア ポリシーから 1 人以上の個々のユーザーを削除できます。

操作内容

情報バリア ポリシーは、ユーザーのセグメントに割り当てられます。 セグメントは、ユーザー アカウント プロファイルで特定の attributes を使用して定義されます。 1 人のユーザーからポリシーを削除する必要がある場合は、Microsoft Entra でそのユーザーのプロファイルを編集して、情報バリアの影響を受けるセグメントにユーザーが含まれていないことを検討してください。

  1. ID パラメーターを指定して、 Get-InformationBarrierRecipientStatus コマンドレットを使用します。 このコマンドレットは、属性値や適用される情報バリア ポリシーなど、ユーザーに関する情報を返します。

    構文
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>

    名前、エイリアス、識別名、正規ドメイン名、電子メール アドレス、GUID など、各ユーザーを一意に識別する任意の値を使用できます。

    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw

    この例では、Microsoft 365 の 2 つのユーザー アカウント (Megan の場合は meganbAlex の場合は alexw を参照します。
    Get-InformationBarrierRecipientStatus -Identity <value>

    名前、エイリアス、識別名、正規ドメイン名、電子メール アドレス、GUID など、ユーザーを一意に識別する任意の値を使用できます。

    		 Get-InformationBarrierRecipientStatus -Identity jeanp

    この例では、Microsoft 365 の 1 つのアカウント ( jeanp を参照します。

  2. 結果を確認して、情報バリア ポリシーが割り当てられているかどうか、およびユーザーが属するセグメントを確認します。

  3. 情報バリアの影響を受けるセグメントからユーザーを削除するには、 Microsoft Entra ID でユーザーのプロファイル情報を更新

  4. FwdSync が発生するまで約 30 分待ちます。 または、 Start-InformationBarrierPoliciesApplication コマンドレットを実行して、すべてのアクティブな情報バリア ポリシーを適用します。

問題: 情報バリアの適用プロセスに時間がかかりすぎる

Start-InformationBarrierPoliciesApplication コマンドレットを実行した後、処理が完了するまでに時間がかかります。

操作内容

ポリシー アプリケーション コマンドレットを実行すると、組織内のすべてのアカウントに対して、ユーザーごとに情報バリア ポリシーが適用 (または削除) されることに注意してください。 ユーザーが多い場合は、処理に時間がかかります。 (一般的なガイドラインとして、5,000 個のユーザー アカウントを処理するには約 1 時間かかります)。

  1. Get-InformationBarrierPoliciesApplicationStatus コマンドレットを使用して、最新のポリシー アプリケーションの状態を確認します。

    最新のポリシー アプリケーションを表示するには すべてのポリシー アプリケーションの状態を表示するには
    Get-InformationBarrierPoliciesApplicationStatus Get-InformationBarrierPoliciesApplicationStatus -All $true

    これにより、ポリシー アプリケーションが完了したか、失敗したか、進行中であるかに関する情報が表示されます。

  2. 前の手順の結果に応じて、次のいずれかの手順を実行します。

    Status 次のステップ
    [Not started] (未開始) Start-InformationBarrierPoliciesApplication コマンドレットが実行されてから 45 分を超える場合は、監査ログを確認して、ポリシー定義にエラーがあるかどうか、またはアプリケーションが起動していないその他の理由を確認します。
    Failed アプリケーションが失敗した場合は、監査ログを確認します。 また、セグメントとポリシーを確認します。 ユーザーは複数のセグメントに割り当てられますか? セグメントには複数のポリシーが割り当てられますか? 必要に応じて、セグメントの編集および/または編集ポリシーStart-InformationBarrierPoliciesApplication コマンドレットをもう一度実行します。
    処理中 アプリケーションがまだ進行中の場合は、完了するまでの時間を長くします。 数日経過している場合は、監査ログを収集してから、サポートにお問い合わせください。

問題: 情報バリア ポリシーが適用されていない

この場合、セグメントを定義し、情報バリア ポリシーを定義し、それらのポリシーを適用しようとしました。 ただし、 Get-InformationBarrierPoliciesApplicationStatus コマンドレットを実行すると、ポリシー アプリケーションが失敗したことが確認できます。

操作内容

組織に Exchange アドレス帳ポリシー が設定されていないことを確認します。 このようなポリシーにより、情報バリア ポリシーが適用されなくなります。

  1. Exchange Online PowerShell に接続する

  2. Get-AddressBookPolicy コマンドレットを実行し、結果を確認します。

    結果 次のステップ
    Exchange アドレス帳ポリシーが一覧表示されます アドレス帳ポリシーを削除する
    アドレス帳ポリシーが存在しない 監査ログを確認して、ポリシー アプリケーションが失敗する理由を確認する

  3. ユーザー アカウント、セグメント、ポリシー、またはポリシー アプリケーションの状態を表示

問題: すべての指定されたユーザーに情報バリア ポリシーが適用されない

セグメントを定義し、情報バリア ポリシーを定義し、それらのポリシーを適用しようとすると、ポリシーが一部の受信者に適用されているのに、他の受信者には適用されないことがあります。 Get-InformationBarrierPoliciesApplicationStatus コマンドレットを実行するときに、出力で次のようなテキストを検索します。

同一性: <application guid>

合計受信者数: 81527

失敗した受信者: 2

失敗カテゴリ: なし

状態: 完了

操作内容

  1. 監査ログで <application guid>を検索します。 この PowerShell コードをコピーし、変数を変更できます。

    $DetailedLogs = Search-UnifiedAuditLog -EndDate <yyyy-mm-ddThh:mm:ss>  -StartDate <yyyy-mm-ddThh:mm:ss> -RecordType InformationBarrierPolicyApplication -ResultSize 1000 |?{$_.AuditData.Contains(<application guid>)}

  2. 監査ログからの詳細な出力で、 "UserId" フィールドと "ErrorDetails" フィールドの値を確認します。 これにより、エラーの原因が示されます。 この PowerShell コードをコピーし、変数を変更できます。

       $DetailedLogs[1] |fl

    例えば次が挙げられます。

    "UserId": User1

    "ErrorDetails":"Status: IBPolicyConflict。 エラー: IB セグメント "segment id1" と IB セグメント "segment id2" が競合しており、受信者に割り当てることができません。

  3. 通常、1 人のユーザーが複数のセグメントに含まれていることがわかります。 これを修正するには、OrganizationSegments-UserGroupFilter値を更新します。

  4. これらの手順 Information Barriers ポリシーを使用して、情報バリア ポリシーを再適用します

リソース