Asignación de etiquetas de confidencialidad a grupos de Microsoft 365 en Microsoft Entra ID

  • Artículo

Microsoft Entra ID admite la aplicación de etiquetas de confidencialidad a grupos de Microsoft 365 cuando esas etiquetas se publican en el portal de Microsoft Purview o el portal de cumplimiento de Microsoft Purview y las etiquetas están configuradas para grupos y sitios.

Las etiquetas de confidencialidad se pueden aplicar a grupos entre aplicaciones y servicios como Outlook, Microsoft Teams y SharePoint. Para obtener más información, consulte Soporte con etiquetas de confidencialidad de la documentación de Purview.

Importante

Para configurar esta característica, debe haber al menos una licencia de Microsoft Entra ID P1 activa en la organización de Microsoft Entra.

Habilitación de la compatibilidad con la etiqueta de confidencialidad en PowerShell

Para aplicar etiquetas publicadas a grupos, primero debe habilitar la característica. Estos pasos habilitan la característica en Microsoft Entra ID. El SDK de PowerShell de Microsoft Graph se incluye en dos módulos, Microsoft.Graph y Microsoft.Graph.Beta.

  1. Abra una consulta de PowerShell en el equipo y ejecute los siguientes comandos para preparar la ejecución de los cmdlets.

    Install-Module Microsoft.Graph -Scope CurrentUser
Install-Module Microsoft.Graph.Beta -Scope CurrentUser

  2. Conéctese a su inquilino.

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"

  3. Se recupera la configuración actual del grupo para la organización de Microsoft Entra y se muestra la configuración actual del grupo.

    $grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"

    Si no se creó ninguna configuración de grupo para esta organización de Microsoft Entra, aparece una pantalla en blanco. En este caso, primero debe crear la configuración. Siga los pasos de Cmdlets de Microsoft Entra para configurar las opciones de grupo si desea crear una configuración de grupo para esta organización.

    Nota:

    Si la etiqueta de confidencialidad se habilitó anteriormente, verá EnableMIPLabels = True. En este caso, no es necesario hacer nada.

  4. Aplique la nueva configuración.

    $params = @{
     Values = @(
 	    @{
 		    Name = "EnableMIPLabels"
 		    Value = "True"
 	    }
     )
}

Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params

  5. Compruebe que el nuevo valor está presente.

    $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
$Setting.Values

Si recibe un error Request_BadRequest, se debe a que la configuración ya existe en el inquilino. Al intentar crear un nuevo par property:value, el resultado es un error. En tal caso, siga estos pasos:

  1. Emita un cmdlet Get-MgBetaDirectorySetting | FL y compruebe el identificador. Si hay varios valores de identificación, utilice el que tenga la propiedad EnableMIPLabels en la configuración de Valores.
  2. Emita el cmdlet Update-MgBetaDirectorySetting con el identificador recuperado.

También debe sincronizar las etiquetas de confidencialidad con Microsoft Entra ID. Encontrará instrucciones al respecto en Cómo habilitar etiquetas de confidencialidad para contenedores y sincronizarlas.

Asignación de una etiqueta a un nuevo grupo en el Centro de administración Microsoft Entra

  1. Inicie sesión en el centro de administración de Microsoft Entra por lo menos como administrador global.

  2. Seleccione Microsoft Entra ID.

  3. Seleccione Grupos>Todos los grupos>Nuevo grupo.

  4. En la página Nuevo grupo, seleccione Microsoft 365. Luego, rellene la información necesaria para el nuevo grupo y seleccione una etiqueta de confidencialidad de la lista.

    Captura de pantalla que muestra la asignación de una etiqueta de confidencialidad en la página Nuevos grupos.

  5. Seleccione Crear para guardar los cambios.

Se creará el grupo, y se aplicará automáticamente la configuración del sitio web y del grupo asociada a la etiqueta seleccionada.

Asignación de una etiqueta a un grupo existente en el Centro de administración Microsoft Entra

  1. Inicie sesión en el centro de administración de Microsoft Entra por lo menos como administrador global.

  2. Seleccione Microsoft Entra ID.

  3. Seleccione Grupos.

  4. En la página Todos los grupos, seleccione el grupo que desea etiquetar.

  5. En la página del grupo seleccionado, seleccione Propiedades y una etiqueta de confidencialidad en la lista.

    Captura de pantalla que muestra la asignación de una etiqueta de confidencialidad en la página de información general de un grupo.

  6. Seleccione Guardar para guardar los cambios.

Eliminación de una etiqueta de un grupo existente en el Centro de administración Microsoft Entra

  1. Inicie sesión en el centro de administración de Microsoft Entra por lo menos como administrador global.
  2. Seleccione Microsoft Entra ID.
  3. Seleccione Grupos>Todos los grupos.
  4. En la página Todos los grupos, seleccione el grupo del que desee eliminar la etiqueta.
  5. En la página Grupo, seleccione Propiedades.
  6. Seleccione Quitar.
  7. Seleccione Guardar para aplicar los cambios.

Uso de clasificaciones de Microsoft Entra clásicas

Después de habilitar esta característica, las clasificaciones "clásicas" de los grupos solo aparecen en los sitios y grupos existentes. Solo debe usarlas para nuevos grupos si crea grupos en aplicaciones que no admiten etiquetas de confidencialidad. El administrador puede convertirlas en etiquetas de confidencialidad posteriormente, si es necesario. Las clasificaciones clásicas son las antiguas que se configuran definiendo los valores de la configuración ClassificationList en Azure AD PowerShell. Si esta característica está habilitada, las clasificaciones no se aplican a los grupos.

Importante

Está previsto que PowerShell de Azure AD quede en desuso el 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Se recomienda migrar a PowerShell de Microsoft Graph para interactuar con Microsoft Entra ID (anteriormente Azure AD). PowerShell de Microsoft Graph permite acceder a todas las API de Microsoft Graph y está disponible en PowerShell 7. Para obtener respuestas a las consultas comunes sobre migración, consulte las preguntas más frecuentes sobre la migración.

Solución de problemas

En esta sección, se ofrecen sugerencias para solucionar problemas comunes.

Las etiquetas de confidencialidad no están disponibles para la asignación en un grupo

La opción de etiqueta de confidencialidad solo aparece para los grupos cuando se cumplen todas estas condiciones:

  1. La organización tiene una licencia Microsoft Entra ID P1 activa.
  2. La función está habilitada y EnableMIPLabels está establecido en True en el módulo PowerShell de Microsoft Graph.
  3. Las etiquetas de confidencialidad se publican en el portal de Microsoft Purview o en el portal de cumplimiento de Microsoft Purview para esta organización de Microsoft Entra.
  4. Las etiquetas están sincronizadas con Microsoft Entra ID con el cmdlet Execute-AzureAdLabelSync en el módulo Security Compliance de PowerShell. La etiqueta puede tardar hasta 24 horas después de la sincronización en estar disponible para Microsoft Entra ID.
  5. El ámbito de la etiqueta de confidencialidad se debe configurar para grupos y sitios.
  6. El grupo es un grupo de Microsoft 365.
  7. El usuario que actualmente ha iniciado sesión:
    1. Tiene privilegios suficientes para asignar etiquetas de confidencialidad. El usuario debe ser un administrador global, un administrador de grupo o el propietario del grupo.
    2. Debe estar dentro del ámbito de la directiva de publicación de etiquetas de confidencialidad.

Asegúrese de que se cumplen todas estas condiciones para asignar etiquetas a un grupo.

La etiqueta que quiere asignar no está en la lista

Si la etiqueta que busca no está en la lista:

  • Es posible que la etiqueta no se publique en el portal de Microsoft Purview o en el portal de cumplimiento de Microsoft Purview. Además, es posible que la etiqueta ya no esté publicada. Para obtener más información, consulte con el administrador.
  • Es posible que la etiqueta esté publicada pero no esté disponible para el usuario que ha iniciado la sesión. Para obtener más información sobre cómo acceder a la etiqueta, consulte con el administrador.

Cómo cambiar la etiqueta en un grupo

Las etiquetas se pueden intercambiar en cualquier momento siguiendo los mismos pasos que para asignar una etiqueta a un grupo existente:

  1. Inicie sesión en el centro de administración de Microsoft Entra por lo menos como administrador global.
  2. Seleccione Microsoft Entra ID.
  3. Seleccione Grupos>Todos los grupos y luego seleccione el grupo que desea etiquetar.
  4. En la página del grupo seleccionado, seleccione Propiedades y una nueva etiqueta de confidencialidad en la lista.
  5. Seleccione Guardar.

Los cambios de configuración de grupo en las etiquetas publicadas no se actualizan en los grupos

Al realizar cambios en la configuración de grupo de una etiqueta publicada en el portal de Microsoft Purview o elportal de cumplimiento de Microsoft Purview, esos cambios de directiva no se aplican automáticamente en los grupos etiquetados. Después de publicar y aplicar la etiqueta de confidencialidad a los grupos, Microsoft recomienda no cambiar la configuración de grupo de la etiqueta en el portal.

Si tiene que hacer un cambio, use una secuencia de comandos de PowerShell para aplicar manualmente las actualizaciones a los grupos afectados. Este método garantiza que todos los grupos existentes apliquen la nueva configuración.

Pasos siguientes