Zuweisen von Vertraulichkeitsbezeichnungen zu Microsoft 365-Gruppen in Microsoft Entra ID

Artikel
04/09/2024

Microsoft Entra ID unterstützt das Anwenden von Vertraulichkeitsbezeichnungen auf Microsoft 365-Gruppen, wenn diese Bezeichnungen im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal veröffentlicht werden und für Gruppen und Websites konfiguriert sind.

Vertraulichkeitsbezeichnungen können auf Gruppen über Apps und Dienste wie Outlook, Microsoft Teams und SharePoint hinweg angewandt werden. Weitere Informationen finden Sie in der Purview-Dokumentation unter Unterstützung für Vertraulichkeitsbezeichnungen.

Wichtig

Zum Konfigurieren dieses Features muss mindestens eine aktive Microsoft Entra ID P1-Lizenz in Ihrer Microsoft Entra-Organisation vorhanden sein.

Aktivieren der Unterstützung von Vertraulichkeitsbezeichnungen in PowerShell

Damit veröffentlichte Bezeichnungen auf Gruppen angewendet werden können, müssen Sie zunächst das Feature aktivieren. Diese Schritten aktivieren das Feature in Microsoft Entra ID. Das Microsoft Graph PowerShell SDK umfasst zwei Module, Microsoft.Graph und Microsoft.Graph.Beta.

Öffnen Sie einen PowerShell-Prompt auf Ihrem Computer, und führen Sie die folgenden Befehle aus, um die Ausführung der Cmdlets vorzubereiten.
```
Install-Module Microsoft.Graph -Scope CurrentUser
Install-Module Microsoft.Graph.Beta -Scope CurrentUser
```
Stellen Sie eine Verbindung mit Ihrem Mandanten her.
```
Connect-MgGraph -Scopes "Directory.ReadWrite.All"
```
Rufen Sie die aktuellen Gruppeneinstellungen für die Microsoft Entra-Organisation ab, und zeigen Sie die aktuellen Gruppeneinstellungen an.
```
$grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"
```
Wenn für diese Microsoft Entra-Organisation keine Gruppeneinstellungen erstellt wurden, werden Sie einen leeren Bildschirm erhalten. In diesem Fall müssen Sie zuerst die Einstellungen erstellen. Um Gruppeneinstellungen für diese Microsoft Entra-Organisation zu erstellen, führen Sie die Schritte in Microsoft Entra-Cmdlets zum Konfigurieren von Gruppeneinstellungen aus.

Hinweis

Wenn die Vertraulichkeitsbezeichnung zuvor aktiviert wurde, wird EnableMIPLabels = True angezeigt. In diesem Fall müssen Sie nichts mehr tun.

Wenden Sie die neuen Einstellungen an.

$params = @{
     Values = @(
 	    @{
 		    Name = "EnableMIPLabels"
 		    Value = "True"
 	    }
     )
}

Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params

Überprüfen Sie, ob der neue Wert vorhanden ist.

$Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
$Setting.Values

Wenn eine Request_BadRequest Fehlermeldung angezeigt wird, liegt dies daran, dass die Einstellungen bereits im Mandanten vorhanden sind. Wenn Sie versuchen, ein neues property:value Paar zu erstellen, ist das Ergebnis ein Fehler. Führen Sie in diesem Fall die folgenden Schritte aus:

Geben Sie ein Get-MgBetaDirectorySetting | FL Cmdlet aus, und überprüfen Sie die ID. Wenn mehrere ID-Werte vorhanden sind, verwenden Sie den Wert, in dem die EnableMIPLabels-Eigenschaft in den Values-Einstellungen enthalten ist.
Geben Sie das Update-MgBetaDirectorySetting Cmdlet mit der ID aus, die Sie abgerufen haben.

Außerdem müssen Sie Ihre Vertraulichkeitsbezeichnungen mit Microsoft Entra ID synchronisieren. Entsprechende Anweisungen finden Sie unter Aktivieren von Vertraulichkeitsbezeichnungen für Container und Synchronisieren von Bezeichnungen.

Zuweisen einer Bezeichnung zu einer neuen Gruppe im Microsoft Entra Admin Center

Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Globaler Administrator an.
Wählen Sie Microsoft Entra ID aus.
Wählen Sie Gruppen>Alle Gruppen>Neue Gruppe aus.
Wählen Sie auf der Seite Neue GruppeMicrosoft 365 aus. Füllen Sie dann die erforderlichen Informationen für die neue Gruppe aus, und wählen Sie anschließend eine Vertraulichkeitsbezeichnung aus der Liste aus.
Wählen Sie Erstellen aus, um Ihre Änderungen zu speichern.

Ihre Gruppe wird erstellt, und die mit der ausgewählten Bezeichnung verbundenen Standort- und Gruppeneinstellungen werden automatisch durchgesetzt.

Zuweisen einer Bezeichnung zu einer vorhandenen Gruppe im Microsoft Entra Admin Center

Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Globaler Administrator an.
Wählen Sie Microsoft Entra ID aus.
Gruppen auswählen.
Wählen Sie auf der Seite Alle Gruppen die Gruppe aus, die Sie bezeichnen möchten.
Wählen Sie auf der Seite der ausgewählten Gruppe Eigenschaften und anschließend eine Vertraulichkeitsbezeichnung aus der Liste aus.
Wählen Sie Speichern aus, um die Änderungen zu speichern.

Entfernen einer Bezeichnung aus einer vorhandenen Gruppe im Microsoft Entra Admin Center

Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Globaler Administrator an.
Wählen Sie Microsoft Entra ID aus.
Wählen Sie Gruppen>Alle Gruppen aus.
Wählen Sie auf der Seite Alle Gruppen die Gruppe aus, deren Bezeichnung Sie entfernen möchten.
Wählen Sie auf der Seite Gruppe die Option Eigenschaften aus.
Wählen Sie Entfernen.
Klicken Sie zum Übernehmen der Änderungen auf Speichern.

Verwenden von klassischen Microsoft Entra-Klassifizierungen

Nachdem Sie dieses Feature aktiviert haben, werden die „klassischen“ Klassifizierungen für Gruppen nur auf vorhandenen Gruppen und Websites angezeigt. Sie sollten sie nur für neue Gruppen verwenden, wenn Sie Gruppen in Apps erstellen, die Keine Vertraulichkeitsbezeichnungen unterstützen. Ihr Administrator kann sie bei Bedarf später in Vertraulichkeitsbezeichnungen umwandeln. Klassische Klassifizierungen sind die alten Klassifizierungen, die Sie durch Definieren von Werten für die ClassificationList-Einstellung in Azure AD PowerShell eingerichtet haben. Wenn dieses Feature aktiviert ist, werden diese Klassifizierungen nicht auf Gruppen angewendet.

Wichtig

Die Unterstützung von Azure AD PowerShell wird voraussichtlich am 30. März 2024 eingestellt. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Microsoft Graph PowerShell ermöglicht den Zugriff auf alle Microsoft Graph-APIs und ist in PowerShell 7 verfügbar. Antworten auf allgemeine Migrationsfragen finden Sie unter Häufig gestellte Fragen zur Migration.

Fragen zur Problembehandlung

Dieser Abschnitt bietet Tipps zur Behandlung häufiger Probleme.

Vertraulichkeitsbezeichnungen sind nicht für die Zuweisung zu einer Gruppe verfügbar

Die Option Vertraulichkeitsbezeichnung wird nur für Gruppen angezeigt, wenn alle der folgenden Bedingungen erfüllt sind.

Die Organisation verfügt über eine aktive Microsoft Entra ID P1-Lizenz.
Das Feature ist aktiviert, und EnableMIPLabels wird im Microsoft Graph PowerShell-Modul auf True festgelegt.
Die Vertraulichkeitsbezeichnungen werden im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal für diese Microsoft Entra-Organisation veröffentlicht.
Die Bezeichnungen werden im PowerShell-Modul Security Compliance mit dem Execute-AzureAdLabelSync cmdlet mit Microsoft Entra ID synchronisiert. Nach der Synchronisierung kann es bis zu 24 Stunden dauern, bis die Bezeichnung in Microsoft Entra ID verfügbar ist.
Der Vertraulichkeitsbezeichnungsbereich muss für Gruppen und Sites konfiguriert werden.
Bei der Gruppe handelt es sich um eine Microsoft 365-Gruppe.
Der aktuell angemeldete Benutzer:
1. Verfügt über ausreichende Berechtigungen, um Vertraulichkeitsbezeichnungen zuzuweisen. Der Benutzer muss ein globaler Administrator, ein Gruppenadministrator oder der Gruppenbesitzer sein.
2. Muss sich innerhalb des Bereichs der Veröffentlichungsrichtlinie für Vertraulichkeitsbezeichnungen befinden.

Stellen Sie sicher, dass alle Bedingungen erfüllt sind, damit Sie einer Gruppe Bezeichnungen zuweisen können.

Die Bezeichnung, die ich zuweisen möchte, ist nicht in der Liste enthalten

Wenn sich die gesuchte Bezeichnung nicht in der Liste befindet:

Die Bezeichnung wird möglicherweise nicht im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal veröffentlicht. Außerdem wird die Bezeichnung möglicherweise nicht mehr veröffentlicht. Weitere Informationen erhalten Sie von Ihrem Administrator.
Die Bezeichnung kann veröffentlicht werden, ist aber für den angemeldeten Benutzer nicht verfügbar. Weitere Informationen zum Zugriff auf die Bezeichnung erhalten Sie von Ihrem Administrator.

Ändern der Bezeichnung einer Gruppe

Bezeichnungen können jederzeit mit denselben Schritten wie bei der Zuweisung eines Bezeichners zu einer bestehenden Gruppe ausgetauscht werden:

Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Globaler Administrator an.
Wählen Sie Microsoft Entra ID aus.
Wählen Sie Alle Gruppen> und dann die Gruppe aus, die Sie bezeichnen möchten.
Wählen Sie auf der Seite der ausgewählten Gruppe Eigenschaften und anschließend eine neue Vertraulichkeitsbezeichnung aus der Liste aus.
Wählen Sie Speichern aus.

Änderungen der Gruppeneinstellungen an veröffentlichten Bezeichnungen werden in den Gruppen nicht aktualisiert.

Wenn Sie Änderungen an den Gruppeneinstellungen für eine veröffentlichte Bezeichnung im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal vornehmen, werden diese Richtlinienänderungen nicht automatisch auf die bezeichneten Gruppen angewandt. Nachdem die Vertraulichkeitsbezeichnung veröffentlicht und auf Gruppen angewandt wurde, empfiehlt Microsoft, die Gruppeneinstellungen für die Bezeichnung nicht im Portal zu ändern.

Wenn Sie eine Änderung vornehmen müssen, verwenden Sie ein PowerShell-Skript, um Updates manuell auf die betroffenen Gruppen anzuwenden. Diese Methode stellt sicher, dass alle vorhandenen Gruppen die neue Einstellung erzwingen.