Partager via


Microsoft Entra classification et étiquettes de confidentialité pour les groupes Microsoft 365

Cet article décrit la classification Microsoft Entra classique et les étiquettes de confidentialité.

Les étiquettes de confidentialité sont prises en charge par ces services.

Pour plus d’informations sur les étiquettes de confidentialité, consultez En savoir plus sur les étiquettes de confidentialité.

Pour en savoir plus sur les étiquettes de confidentialité et leur comportement pour les sites et les groupes Microsoft 365, voir Utiliser des étiquettes de confidentialité pour protéger le contenu dans Microsoft Teams, les groupes Microsoft 365 et les sites SharePoint.

Consultez les scénarios suivants pour connaître les meilleures pratiques lors de la migration de la classification classique Microsoft Entra vers les étiquettes de confidentialité.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Scénario 1 : Le locataire n’a jamais utilisé de classifications de Microsoft Entra classiques ou d’étiquettes de confidentialité pour les documents et les e-mails

  • Le Administration client active les étiquettes de confidentialité pour les groupes en définissant l’indicateur de locataire « EnableMIPLabels » sur true via l’applet de commande PowerShell Microsoft Graph.
  • Le Administration client crée les étiquettes de confidentialité dans le portail de conformité Microsoft Purview.
    • L’administrateur client peut choisir des actions liées aux fichiers et aux e-mails, telles que le chiffrement et le filigrane.
    • L’administrateur client peut choisir Groupes Microsoft 365 et les actions liées au site SharePoint Online pour les étiquettes de confidentialité.
  • Le Administration client publie la stratégie.
  • Les charges de travail compatibles affichent des étiquettes de confidentialité. Utilisez les étiquettes de confidentialité pour créer des groupes. Les charges de travail compatibles sont les services qui prennent en charge les étiquettes de confidentialité.
  • Les charges de travail non compatibles sont les services qui ne prennent pas encore en charge les étiquettes de confidentialité. Les groupes peuvent être créés, mais ils ne peuvent pas être associés à l’étiquette de confidentialité via des charges de travail non compatibles. Pour associer ces groupes à des étiquettes de confidentialité, les administrateurs clients peuvent exécuter des applets de commande PowerShell.

Tableau 1. Comportement des charges de travail compatibles et non compatibles : créer, modifier ou supprimer des groupes

Charge de travail Quelle liste d’étiquettes l’utilisateur voit-il dans la fenêtre de groupe ? Créer un groupe Modifier le groupe Delete group
Compatible étiquettes de confidentialité. Aucun changement de comportement. Aucun changement de comportement. Aucun changement de comportement.
Non compatible Aucune étiquette de confidentialité visible. L’utilisateur peut créer un groupe sans sélectionner l’étiquette de confidentialité.

Notez que l’administrateur peut exécuter des applets de commande pour appliquer des étiquettes de confidentialité en arrière-plan.
Cas 1 : Aucune étiquette de confidentialité précédemment sélectionnée. L’utilisateur peut modifier un groupe.

Cas 2 : étiquette de confidentialité appliquée précédemment en arrière-plan à l’aide de l’applet de commande. L’utilisateur peut modifier un groupe correctement, à l’exception du cas où l’utilisateur sélectionne une combinaison non valide de paramètre de confidentialité en ce qui concerne l’étiquette.
Aucun changement de comportement.

Remarque

Dans le cas du client de bureau Outlook (Win 32), une fois que l’administrateur active les étiquettes de confidentialité sur son locataire, et que son utilisateur se trouve sur une version antérieure du client de bureau Outlook (Win 32) :

  • L’utilisateur voit des étiquettes de confidentialité apparaître sur l’ancienne version du client de bureau Outlook.
  • Toutefois, lorsque l’utilisateur modifie un groupe et enregistre le groupe avec une étiquette de confidentialité, le paramètre de confidentialité sélectionné est remplacé par le paramètre de confidentialité de l’étiquette de confidentialité appliquée.

Nous vous recommandons de mettre à niveau vos utilisateurs sur une ancienne version du client Outlook vers la version la plus récente.

Scénario 2 : Le locataire utilise déjà des classifications d’ID Microsoft Entra classiques

Cas A : Le locataire n’a jamais utilisé d’étiquettes de confidentialité pour les documents et les e-mails

  1. Dans la portail de conformité Microsoft Purview, nous vous recommandons de créer des étiquettes de confidentialité portant le même nom que les étiquettes d’ID de Microsoft Entra classiques existantes.
  2. Utilisez l’applet de commande PowerShell pour appliquer ces étiquettes de confidentialité aux groupes Microsoft 365 existants et aux sites SharePoint à l’aide du mappage de noms.
  3. Administration pouvez choisir de supprimer les étiquettes d’ID de Microsoft Entra classiques :
    • Les charges de travail compatibles affichent ces étiquettes de confidentialité et ces groupes sont créés avec elles.
    • Les charges de travail non compatibles fonctionnent lors de la création de groupes, mais aucune étiquette de confidentialité n’y est attachée.
  4. Les administrateurs peuvent exécuter des applets de commande PowerShell pour appliquer des étiquettes de confidentialité à ces groupes sans étiquette.
    • Un administrateur peut également choisir de conserver les étiquettes d’ID de Microsoft Entra classiques :
      • Les charges de travail compatibles affichent ces étiquettes de confidentialité et les groupes sont créés avec elles. Les charges de travail compatibles sont les services qui prennent en charge les étiquettes de confidentialité.
      • Les charges de travail non compatibles fonctionnent lors de la création de groupes et affichent les étiquettes d’ID de Microsoft Entra classiques. Ces étiquettes d’ID Microsoft Entra classiques sont attachées à ces groupes créés avec des charges de travail non compatibles.
  5. Nous recommandons vivement aux administrateurs d’exécuter des applets de commande PowerShell pour appliquer des étiquettes de confidentialité à ces groupes avec des étiquettes d’ID Microsoft Entra classiques.

Tableau 2. Comportement des charges de travail compatibles et non compatibles : créer, modifier ou supprimer des groupes

Charge de travail Quelle liste d’étiquettes l’utilisateur voit-il dans la fenêtre de groupe ? Créer un groupe Modifier le groupe Delete group
Compatible étiquettes de confidentialité. Aucun changement de comportement. Aucun changement de comportement. Aucun changement de comportement.
Non compatible Anciennes étiquettes d’ID Microsoft Entra classiques. L’utilisateur peut créer un groupe avec l’étiquette d’ID de Microsoft Entra classique sélectionnée.

Notez que l’administrateur peut exécuter des applets de commande pour appliquer des étiquettes de confidentialité en arrière-plan.
Cas 1 : Aucune étiquette de confidentialité précédemment sélectionnée. L’utilisateur peut modifier un groupe.

Cas 2 : Étiquettes d’ID Microsoft Entra classiques précédemment sélectionnées. L’utilisateur peut modifier un groupe.

Cas 3 : étiquette de confidentialité précédemment appliquée en arrière-plan à l’aide de l’applet de commande. L’utilisateur doit être en mesure de modifier un groupe, à l’exception d’un cas où l’utilisateur sélectionne une combinaison non valide de paramètre de confidentialité en ce qui concerne l’étiquette.
L’utilisateur peut supprimer un groupe.

Remarque

Dans le cas du client de bureau Outlook (Win 32), une fois que l’administrateur active les étiquettes de confidentialité sur son locataire, et que son utilisateur se trouve sur une version antérieure du client de bureau Outlook (Win 32) :

  • L’utilisateur voit des étiquettes de confidentialité apparaître sur l’ancienne version du client de bureau Outlook.
  • Toutefois, lorsque l’utilisateur modifie un groupe et enregistre le groupe avec une étiquette de confidentialité, le paramètre de confidentialité sélectionné est remplacé par le paramètre de confidentialité de l’étiquette de confidentialité appliquée.

Nous vous recommandons de mettre à niveau vos utilisateurs sur une ancienne version du client Outlook vers la version la plus récente.

Cas B : Le locataire a utilisé des étiquettes de confidentialité pour les documents et les e-mails

  1. Dès que l’administrateur active la fonctionnalité d’étiquette de confidentialité sur le locataire en définissant l’indicateur de locataire « EnableMIPLabels » sur true, les étiquettes de confidentialité des documents et des e-mails dans les boîtes de dialogue création et modification de groupe/site/équipe s’affichent.
  2. Un administrateur peut utiliser les mêmes étiquettes de confidentialité de document et d’e-mail pour appliquer la confidentialité et l’accès des utilisateurs externes sur le groupe/le site/l’équipe en spécifiant les paramètres de groupe associés :
    1. Dans le portail de conformité Microsoft Purview, sélectionnez l’onglet Sites et groupes.
    2. Modifier une étiquette de confidentialité d’un document ou d’un e-mail.

Exemple de script

Pour obtenir un exemple de script permettant de migrer des groupes avec des étiquettes d’ID Microsoft Entra classiques vers des étiquettes de confidentialité, consultez Classification de groupe classique Microsoft Entra.