Attribuer des étiquettes de confidentialité aux groupes Microsoft 365 dans Microsoft Entra ID

Article
11/26/2023

Microsoft Entra ID, qui fait partie de Microsoft Entra, prend en charge l'application d'étiquettes de sensibilité publiées par le portail de conformité Microsoft Purview aux groupes Microsoft 365. Les étiquettes de sensibilité s’appliquent au groupe parmi des services tels qu’Outlook, Microsoft Teams et SharePoint. Pour plus d’informations sur la prise en charge des applications Microsoft 365, consultez Prise en charge de Microsoft 365 pour les étiquettes de sensibilité.

Important

Pour configurer cette fonctionnalité, il doit y avoir au moins une licence Microsoft Entra ID P1 active dans votre organisation Microsoft Entra.

Activer la prise en charge des étiquettes de sensibilité dans PowerShell

Pour appliquer des étiquettes publiées à des groupes, vous devez d’abord activer la fonctionnalité. Ces étapes activent la fonctionnalité dans Microsoft Entra ID.

Ouvrez une invite de commande PowerShell sur votre ordinateur. Vous pouvez l’ouvrir sans privilèges élevés.
Exécutez les commandes suivantes pour préparer l’exécution des applets de commande.
```
Install-Module AzureADPreview
Import-Module AzureADPreview
AzureADPreview\Connect-AzureAD
```
Dans la page Connectez-vous à votre compte, entrez votre compte d’administrateur et votre mot de passe pour vous connecter à votre service, puis sélectionnez Se connecter.
Récupérez les paramètres de groupe actuels pour l’organisation Microsoft Entra et affichez les paramètres de groupe actuels.
```
$grpUnifiedSetting = (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ)
$Setting = $grpUnifiedSetting
$grpUnifiedSetting.Values
```
Remarque

Si aucun paramètre de groupe n'a été créé pour cette organisation Microsoft Entra, vous obtiendrez un écran vide. Dans ce cas, vous devez d’abord créer les paramètres. Suivez les étapes décrites dans les applets de commande Microsoft Entra pour configurer les paramètres de groupe afin de créer des paramètres de groupe pour cette organisation Microsoft Entra.

Remarque

Si l’étiquette de sensibilité a été activée précédemment, vous verrez EnableMIPLabels = true. Dans ce cas, vous n’avez rien à faire.
Activez la fonctionnalité :
```
$Setting["EnableMIPLabels"] = "True"
```
Vérifiez la nouvelle valeur appliquée :
```
$Setting.Values
```

Ensuite, enregistrez les modifications et appliquez les paramètres :

Set-AzureADDirectorySetting -Id $grpUnifiedSetting.Id -DirectorySetting $Setting

Si vous recevez une erreur Request_BadRequest, c’est parce que les paramètres existent déjà dans le locataire. Par conséquent, lorsque vous essayez de créer une nouvelle paire propriété-valeur, le résultat est une erreur. Dans ce cas, procédez comme suit :

Répétez les étapes 1 à 4 décrites dans Activer la prise en charge des étiquettes de sensibilité dans PowerShell.
Émettez une cmdlet Get-AzureADDirectorySetting | FL et vérifiez l’ID. Si plusieurs valeurs d’ID sont présentes, utilisez celle où vous voyez la propriété EnableMIPLabels sur les paramètres de valeurs. Vous aurez besoin de l’ID à l’étape 4.
Définissez la variable de propriété EnableMIPLabels : $Setting["EnableMIPLabels"] = "True"
Émettez la cmdlet Set-AzureADDirectorySetting -DirectorySetting $Setting -ID à l’aide de l’ID que vous avez récupéré à l’étape 2.
Assurez-vous que la valeur est maintenant correctement mise à jour en émettant de nouveau $Setting.Values.

Vous devrez également synchroniser vos étiquettes de sensibilité avec Microsoft Entra ID. Pour obtenir des instructions, consultez Guide pratique pour activer des étiquettes de sensibilité pour des conteneurs et synchroniser des étiquettes.

Attribuer une étiquette à un nouveau groupe dans le Portail Azure

Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur d’utilisateurs.
Sélectionnez Microsoft Entra ID.
Choisissez Groupes>Tous les groupes>Nouveau groupe.
Dans la page Nouveau groupe, sélectionnez Microsoft 365, puis remplissez les informations requises pour le nouveau groupe et sélectionnez une étiquette de sensibilité dans la liste.
Sélectionnez Créer pour enregistrer vos modifications.

Votre groupe est créé et les paramètres de site et de groupe associés à l'étiquette sélectionnée sont automatiquement appliqués.

Attribuer une étiquette à un groupe existant dans le Portail Azure

Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur d’utilisateurs.
Sélectionnez Microsoft Entra ID.
Sélectionner Groupes.
Dans la page Tous les groupes, sélectionnez le groupe que vous souhaitez étiqueter.
Sur la page du groupe sélectionné, sélectionnez Propriétés et sélectionnez une étiquette de sensibilité dans la liste.
Sélectionnez Enregistrer pour enregistrer vos modifications.

Retirer une étiquette d’un groupe existant dans le Portail Azure

Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur d’utilisateurs.
Sélectionnez Microsoft Entra ID.
Sélectionnez Groupes>Tous les groupes.
Dans la page Tous les groupes, sélectionnez le groupe duquel vous souhaitez supprimer l’étiquette.
Dans la page Groupe, sélectionnez Propriétés.
Sélectionnez Supprimer.
Sélectionnez Enregistrer pour enregistrer vos modifications.

Utilisation des classifications Microsoft Entra classiques

Une fois cette fonctionnalité activée, les classifications « classiques » des groupes n'apparaîtront que pour les groupes et sites existants, et vous ne devez les utiliser pour de nouveaux groupes que si vous créez des groupes dans des applications qui ne prennent pas en charge les étiquettes de sensibilité. Si nécessaire, votre administrateur peut ultérieurement les convertir en étiquettes de sensibilité. Les classifications classiques sont les anciennes classifications que vous avez configurées en définissant des valeurs pour le paramètre ClassificationList dans Azure AD PowerShell. Lorsque cette fonctionnalité est activée, ces classifications ne sont pas appliquées aux groupes.

Important

Azure AD PowerShell est prévu pour la dépréciation le 30 mars 2024. Pour plus d’informations sur les plans de dépréciation, consultez les mises à jour concernant la dépréciation. Nous vous encourageons à continuer de migrer vers Microsoft Graph PowerShell, qui est le module recommandé pour interagir avec Microsoft Entra ID. En outre, Microsoft Graph PowerShell vous permet d’accéder à toutes les API Microsoft Graph et est disponible sur PowerShell 7. Pour plus d’informations, consultez Mise à niveau d’Azure AD PowerShell vers Microsoft Graph PowerShell.

Résolution des problèmes

Les étiquettes de sensibilité ne peuvent pas être attribuées à un groupe

L’option Étiquette de confidentialité s’affiche uniquement pour les groupes lorsque toutes les conditions suivantes sont remplies :

L'organisation dispose d'une licence Microsoft Entra ID P1 active.
La fonctionnalité est activée, EnableMIPLabels est défini sur True dans le module PowerShell Azure AD.
De plus, les étiquettes de sensibilité sont publiées sur le portail de conformité Microsoft Purview pour cette organisation Microsoft Entra.
Les étiquettes sont synchronisées avec Microsoft Entra ID avec la cmdlet Execute-AzureAdLabelSync dans le module Security & Compliance PowerShell. Cela peut prendre jusqu'à 24 heures après la synchronisation pour que l'étiquette soit disponible pour Microsoft Entra ID.
L'étendue de l’étiquette de confidentialité doit être configurée pour les groupes et les sites.
Le groupe est un groupe Microsoft 365.
L’utilisateur connecté actuel:
1. dispose de privilèges suffisants pour attribuer des étiquette de confidentialité. L’utilisateur doit être un administrateur général, un administrateur de groupe ou le propriétaire du groupe
2. et doit se trouver dans l’étendue de la stratégie de publication des étiquettes de confidentialité

Assurez-vous que toutes les conditions citées ci-dessus sont remplies pour attribuer des étiquettes à un groupe.

L’étiquette que je souhaite attribuer ne figure pas dans la liste

Si l’étiquette que vous recherchez ne figure pas dans la liste, cela peut être le cas pour l’une des raisons suivantes :

L’étiquette n’est peut-être pas publiée dans le portail de conformité Microsoft Purview. Cela peut également s’appliquer aux étiquettes qui ne sont plus publiées. Pour plus d’informations, contactez votre administrateur.
L’étiquette peut être publiée, mais elle n’est pas disponible pour l’utilisateur qui est connecté. Contactez votre administrateur pour plus d’informations sur la façon d’obtenir l’accès à l’étiquette.

Modifier l'étiquette d'un groupe

Les étiquettes peuvent être échangées à tout moment à l’aide des mêmes étapes que l’attribution d’une étiquette à un groupe existant, comme suit :

1. Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur d’utilisateurs.
Sélectionnez Microsoft Entra ID.
Sélectionner Groupes.
Choisissez Tous les groupes, sélectionnez le groupe que vous souhaitez étiqueter.
Dans la page du groupe sélectionné, sélectionnez Propriétés et sélectionnez une nouvelle étiquette de sensibilité dans la liste.
Sélectionnez Enregistrer.

Les modifications apportées aux paramètres de groupe sur les étiquettes publiées ne sont pas mises à jour sur les groupes

Lorsque vous apportez des modifications aux paramètres de groupe pour une étiquette publiée dans le portail de conformité Microsoft Purview, ces modifications de stratégie ne sont pas appliquées automatiquement sur les groupes étiquetés. Une fois l’étiquette de confidentialité publiée et appliquée aux groupes, Microsoft vous recommande de ne pas modifier les paramètres de groupe pour l’étiquette dans le portail de conformité Microsoft Purview.

Si vous devez apporter une modification, utilisez un script PowerShell Azure AD pour appliquer manuellement les mises à jour aux groupes concernés. Cette méthode garantit que tous les groupes existants appliquent le nouveau paramètre.