Assegnare etichette di riservatezza ai gruppi di Microsoft 365 in Azure Active Directory

  • Articolo

Azure Active Directory (Azure AD), parte di Microsoft Entra, supporta l'applicazione di etichette di riservatezza pubblicate dal Portale di conformità di Microsoft Purview ai gruppi di Microsoft 365. Le etichette di riservatezza si applicano a gruppi tra servizi come Outlook, Microsoft Teams e SharePoint. Per altre informazioni sul supporto delle app di Microsoft 365, vedere Supporto di Microsoft 365 per le etichette di riservatezza.

Importante

Per configurare questa funzionalità, è necessario avere almeno una licenza attiva Azure Active Directory Premium P1 nell'organizzazione di Azure AD.

Abilitare il supporto delle etichette di riservatezza in PowerShell

Per applicare le etichette pubblicate ai gruppi, è prima necessario abilitare la funzionalità. Questi passaggi abilitano la funzionalità in Azure AD.

  1. Aprire una finestra di Windows PowerShell nel computer in uso. È possibile aprirla senza privilegi elevati.

  2. Eseguire i comandi seguenti per preparare l'esecuzione dei cmdlet.

    Install-Module AzureADPreview
Import-Module AzureADPreview
AzureADPreview\Connect-AzureAD

    Nella pagina Accedi all'account immettere l'account amministratore e la password per connettersi al servizio e selezionare Accedi.

  3. Recuperare le impostazioni correnti del gruppo per l'organizzazione di Azure AD e visualizzare le impostazioni correnti del gruppo.

    $grpUnifiedSetting = (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ)
$Setting = $grpUnifiedSetting
$grpUnifiedSetting.Values

    Nota

    Se non sono state create impostazioni di gruppo per questa organizzazione di Azure AD, verrà visualizzata una schermata vuota. In questo caso, è prima necessario creare le impostazioni. Seguire la procedura nei cmdlet di Azure Active Directory per configurare le impostazioni del gruppo per creare impostazioni di gruppo per questa organizzazione di Azure AD.

    Nota

    Se l'etichetta di riservatezza è stata abilitata in precedenza, verrà visualizzato EnableMIPLabels = True. In questo caso, non è necessario eseguire alcuna operazione.

  4. Abilitare la funzionalità:

    $Setting["EnableMIPLabels"] = "True"

  5. Controllare il nuovo valore applicato:

    $Setting.Values

  6. Salvare le modifiche e applicare le impostazioni:

    Set-AzureADDirectorySetting -Id $grpUnifiedSetting.Id -DirectorySetting $Setting

Se si riceve un errore di Request_BadRequest, è perché le impostazioni sono già presenti nel tenant, quindi quando si tenta di creare una nuova coppia property:value, il risultato è un errore. In questo caso, seguire questa procedura:

  1. Ripetere i passaggi da 1 a 4 dal supporto dell'etichetta di riservatezza in PowerShell.
  2. Eseguire un Get-AzureADDirectorySetting | FL cmdlet e controllare l'ID. Se sono presenti diversi valori ID, usare quello in cui viene visualizzata la proprietà EnableMIPLabels nelle impostazioni Valori. Sarà necessario l'ID nel passaggio 4.
  3. Impostare la variabile di proprietà EnableMIPLabels: $Setting["EnableMIPLabels"] = "True"
  4. Eseguire il cmdlet usando l'ID Set-AzureADDirectorySetting -DirectorySetting $Setting -ID recuperato nel passaggio 2.
  5. Assicurarsi che il valore sia ora aggiornato correttamente eseguendo di nuovo l'emissione $Setting.Values .

Sarà anche necessario sincronizzare le etichette di riservatezza in Azure AD. Per istruzioni, vedere Come abilitare le etichette di riservatezza per i contenitori e sincronizzare le etichette.

Assegnare un'etichetta a un nuovo gruppo in portale di Azure

  1. Accedere al portale di Azure.

  2. Passare aGruppi di Azure Active Directory> e quindi selezionare Nuovo gruppo.

  3. Nella pagina Nuovo gruppo selezionare Office 365 e quindi compilare le informazioni necessarie per il nuovo gruppo e selezionare un'etichetta di riservatezza dall'elenco.

    Assegnare un'etichetta di riservatezza nella pagina Nuovi gruppi

  4. Salvare le modifiche e selezionare Crea.

Il gruppo viene creato e le impostazioni del sito e del gruppo associate all'etichetta selezionata vengono quindi applicate automaticamente.

Assegnare un'etichetta a un gruppo esistente in portale di Azure

  1. Accedere alla portale di Azure con un account amministratore gruppi o come proprietario del gruppo.

  2. Passare aGruppi diAzure Active Directory>.

  3. Nella pagina Tutti i gruppi selezionare il gruppo da etichettare.

  4. Nella pagina del gruppo selezionato selezionare Proprietà e selezionare un'etichetta di riservatezza dall'elenco.

    Assegnare un'etichetta di riservatezza nella pagina di panoramica per un gruppo

  5. Fare clic su Salva per salvare le modifiche.

Rimuovere un'etichetta da un gruppo esistente in portale di Azure

  1. Accedere alla portale di Azure con un account amministratore globale o gruppi o come proprietario del gruppo.
  2. Passare aGruppi diAzure Active Directory>.
  3. Nella pagina Tutti i gruppi selezionare il gruppo da cui si vuole rimuovere l'etichetta.
  4. Nella pagina Gruppo selezionare Proprietà.
  5. Selezionare Rimuovi.
  6. Selezionare Salva per applicare le modifiche.

Uso delle classificazioni di Azure AD classiche

Dopo aver abilitato questa funzionalità, le classificazioni "classiche" per i gruppi verranno visualizzate solo gruppi e siti esistenti e è consigliabile usarle solo per i nuovi gruppi solo se la creazione di gruppi nelle app che non supportano le etichette di riservatezza. Se necessario, l'amministratore può convertirli in etichette di riservatezza. Le classificazioni classiche sono le classificazioni precedenti configurate definendo i valori per l'impostazione ClassificationList in Azure AD PowerShell. Quando questa funzionalità è abilitata, tali classificazioni non verranno applicate ai gruppi.

Risoluzione dei problemi

Le etichette di riservatezza non sono disponibili per l'assegnazione in un gruppo

L'opzione etichetta di riservatezza viene visualizzata solo per i gruppi quando vengono soddisfatte tutte le condizioni seguenti:

  1. Le etichette vengono pubblicate nella Portale di conformità di Microsoft Purview per questa organizzazione di Azure AD.
  2. La funzionalità è abilitata, EnableMIPLabels è impostata su True dal modulo di Azure AD PowerShell.
  3. Le etichette vengono sincronizzate con Azure AD con il cmdlet Execute-AzureAdLabelSync nel modulo Security & Compliance PowerShell. Può richiedere fino a 24 ore dopo la sincronizzazione per l'etichetta disponibile per Azure AD.
  4. Il gruppo è un gruppo di Microsoft 365.
  5. L'organizzazione ha una licenza di Azure Active Directory Premium P1 attiva.
  6. L'ambito dell'etichetta di riservatezza deve essere configurato per i siti di gruppi&.
  7. L'utente connesso corrente dispone di privilegi sufficienti per assegnare etichette. L'utente deve essere un amministratore globale, un amministratore del gruppo o il proprietario del gruppo.
  8. L'utente connesso corrente deve trovarsi nell'ambito dei criteri di pubblicazione delle etichette di riservatezza

Assicurarsi che tutte le condizioni siano soddisfatte per assegnare etichette a un gruppo.

L'etichetta da assegnare non è nell'elenco

Se l'etichetta che si sta cercando non è nell'elenco, questo potrebbe essere il caso per uno dei motivi seguenti:

  • L'etichetta potrebbe non essere pubblicata nella Portale di conformità di Microsoft Purview. Ciò può essere applicato anche alle etichette che non sono più pubblicate. Per altre informazioni, consultare l'amministratore.
  • L'etichetta può tuttavia essere pubblicata, non è disponibile per l'utente che ha eseguito l'accesso. Controllare con l'amministratore per altre informazioni su come ottenere l'accesso all'etichetta.

Come modificare l'etichetta in un gruppo

Le etichette possono essere scambiate in qualsiasi momento usando gli stessi passaggi dell'assegnazione di un'etichetta a un gruppo esistente, come indicato di seguito:

  1. Accedere alla portale di Azure con un account amministratore globale o gruppo o come proprietario del gruppo.
  2. Passare aGruppi diAzure Active Directory>.
  3. Nella pagina Tutti i gruppi selezionare il gruppo da etichettare.
  4. Nella pagina del gruppo selezionato selezionare Proprietà e selezionare una nuova etichetta di riservatezza dall'elenco.
  5. Selezionare Salva.

Le modifiche delle impostazioni di gruppo alle etichette pubblicate non vengono aggiornate nei gruppi

Quando si apportano modifiche alle impostazioni di gruppo per un'etichetta pubblicata nel Portale di conformità di Microsoft Purview, tali modifiche ai criteri non vengono applicate automaticamente ai gruppi etichettati. Dopo aver pubblicato e applicato l'etichetta di riservatezza ai gruppi, Microsoft consiglia di non modificare le impostazioni del gruppo per l'etichetta nel Portale di conformità di Microsoft Purview.

Se è necessario apportare una modifica, usare uno script di Azure AD PowerShell per applicare manualmente gli aggiornamenti ai gruppi interessati. Questo metodo assicura che tutti i gruppi esistenti applichino la nuova impostazione.

Passaggi successivi