Condividi tramite


Assegnare etichette di riservatezza ai gruppi di Microsoft 365 in Microsoft Entra ID

Microsoft Entra ID supporta l'applicazione di etichette di riservatezza ai gruppi di Microsoft 365 quando tali etichette vengono pubblicate nel portale di Microsoft Purview o nel Portale di conformità di Microsoft Purview e le etichette sono configurate per gruppi e siti.

Le etichette di riservatezza possono essere applicate ai gruppi tra app e servizi, ad esempio Outlook, Microsoft Teams e SharePoint. Per altre informazioni, vedere Supporto per le etichette di riservatezza nella documentazione di Purview.

Importante

Per configurare questa funzionalità, deve essere presente almeno una licenza Microsoft Entra ID P1 attiva nell'organizzazione Microsoft Entra.

Abilitare il supporto delle etichette di riservatezza in PowerShell

Per applicare le etichette pubblicate ai gruppi, è prima necessario abilitare la funzionalità. Questi passaggi abilitano la funzionalità in Microsoft Entra ID. Microsoft Graph PowerShell SDK è disponibile in due moduli e Microsoft.Graph Microsoft.Graph.Beta.

Tutte le aree gestite da Microsoft devono scegliere Microsoft. Tutte le altre aree devono scegliere l'operatore se elencato di seguito.

  1. Aprire un prompt di PowerShell nel computer ed eseguire i comandi seguenti per preparare l'esecuzione dei cmdlet.

    Install-Module Microsoft.Graph -Scope CurrentUser
    Install-Module Microsoft.Graph.Beta -Scope CurrentUser
    
  2. Connettersi al tenant.

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    
  3. Recuperare le impostazioni correnti del gruppo per l'organizzazione Microsoft Entra e visualizzare le impostazioni correnti del gruppo.

    $grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"
    

    Se non sono state create impostazioni di gruppo per l'organizzazione Microsoft Entra, viene visualizzata una schermata vuota. In questo caso, è prima necessario creare le impostazioni. Seguire la procedura descritta nei cmdlet di Microsoft Entra per configurare le impostazioni di gruppo per creare le impostazioni di gruppo per l'organizzazione Microsoft Entra.

    Nota

    Se l'etichetta di riservatezza è stata abilitata in precedenza, verrà visualizzato EnableMIPLabels = True. In questo caso, non è necessario eseguire alcuna operazione. Assicurarsi anche che EnableGroupCreation = False se non si vuole che gli utenti non amministratori siano in grado di creare gruppi. Per informazioni dettagliate, vedere Impostazioni del modello.

  4. Applicare le nuove impostazioni.

    $params = @{
         Values = @(
     	    @{
     		    Name = "EnableMIPLabels"
     		    Value = "True"
     	    }
         )
    }
    
    Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
    
  5. Verificare che il nuovo valore sia presente.

    $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
    $Setting.Values
    

Se viene visualizzato un Request_BadRequest errore, perché le impostazioni esistono già nel tenant. Quando si tenta di creare una nuova property:value coppia, il risultato è un errore. In questo caso, seguire questa procedura:

  1. Eseguire un Get-MgBetaDirectorySetting | FL cmdlet e controllare l'ID. Se sono presenti diversi valori ID, usare quello in cui viene visualizzata la EnableMIPLabels proprietà nelle impostazioni Valori .
  2. Eseguire il Update-MgBetaDirectorySetting cmdlet usando l'ID recuperato.

È anche necessario sincronizzare le etichette di riservatezza con Microsoft Entra ID. Per istruzioni, vedere Abilitare le etichette di riservatezza per i contenitori e sincronizzare le etichette.

Assegnare un'etichetta a un nuovo gruppo nell'interfaccia di amministrazione di Microsoft Entra

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di gruppi.

  2. Selezionare Microsoft Entra ID.

  3. Selezionare Gruppi>Tutti i gruppi>Nuovo gruppo.

  4. Nella pagina Nuovo gruppo selezionare Microsoft 365. Compilare quindi le informazioni necessarie per il nuovo gruppo e selezionare un'etichetta di riservatezza dall'elenco.

    Screenshot che mostra l'assegnazione di un'etichetta di riservatezza nella pagina Nuovi gruppi.

  5. Selezionare Crea per salvare le modifiche.

Il gruppo viene creato e vengono applicate automaticamente le impostazioni del sito e del gruppo associate all'etichetta selezionata.

Assegnare un'etichetta a un gruppo esistente nell'interfaccia di amministrazione di Microsoft Entra

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di gruppi.

  2. Selezionare Microsoft Entra ID.

  3. Seleziona Gruppi.

  4. Nella pagina Tutti i gruppi selezionare il gruppo da etichettare.

  5. Nella pagina del gruppo selezionato selezionare Proprietà e selezionare un'etichetta di riservatezza dall'elenco.

    Screenshot che mostra l'assegnazione di un'etichetta di riservatezza nella pagina di panoramica per un gruppo.

  6. Seleziona Salva per salvare le modifiche.

Rimuovere un'etichetta da un gruppo esistente nell'interfaccia di amministrazione di Microsoft Entra

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di gruppi.
  2. Selezionare Microsoft Entra ID.
  3. Selezionare Gruppi>Tutti i gruppi.
  4. Nella pagina Tutti i gruppi selezionare il gruppo da cui si vuole rimuovere l'etichetta.
  5. Nella pagina Gruppo selezionare Proprietà.
  6. Selezionare Rimuovi.
  7. Seleziona Salva per applicare le modifiche.

Usare le classificazioni classiche di Microsoft Entra

Dopo aver abilitato questa funzionalità, le classificazioni "classiche" per i gruppi vengono visualizzate solo nei gruppi e nei siti esistenti. È consigliabile usarli per i nuovi gruppi solo se si creano gruppi in app che non supportano le etichette di riservatezza. L'amministratore può convertirli in etichette di riservatezza in un secondo momento, se necessario. Le classificazioni classiche sono le classificazioni precedenti configurate definendo i valori per l'impostazione ClassificationList in Azure AD PowerShell. Quando questa funzionalità è abilitata, tali classificazioni non vengono applicate ai gruppi.

Nota

I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

Risoluzione dei problemi

Questa sezione offre suggerimenti per la risoluzione dei problemi comuni.

Le etichette di riservatezza non sono disponibili per l'assegnazione in un gruppo

L'opzione etichetta di riservatezza viene visualizzata per i gruppi solo quando vengono soddisfatte tutte le condizioni seguenti:

  1. L'organizzazione dispone di una licenza P1 microsoft Entra ID attiva.
  2. La funzionalità è abilitata ed EnableMIPLabels è impostata su True nel modulo Microsoft Graph PowerShell.
  3. Le etichette di riservatezza vengono pubblicate nel portale di Microsoft Purview o nel Portale di conformità di Microsoft Purview per l'organizzazione Microsoft Entra.
  4. Le etichette vengono sincronizzate con Microsoft Entra ID con il Execute-AzureAdLabelSync cmdlet nel modulo Security & Compliance PowerShell. La sincronizzazione dell'etichetta può richiedere fino a 24 ore prima che l'etichetta sia disponibile per Microsoft Entra ID.
  5. L'ambito dell'etichetta di riservatezza deve essere configurato per Gruppi e siti.
  6. Il gruppo è un gruppo di Microsoft 365.
  7. L'utente connesso corrente:
    1. Dispone di privilegi sufficienti per assegnare etichette di riservatezza. L'utente deve essere il proprietario del gruppo o almeno un amministratore di gruppi.
    2. Deve essere compreso nell'ambito dei criteri di pubblicazione delle etichette di riservatezza.

Assicurarsi che tutte le condizioni precedenti siano soddisfatte per assegnare etichette a un gruppo.

L'etichetta da assegnare non è presente nell'elenco

Se l'etichetta che si sta cercando non è presente nell'elenco:

  • L'etichetta potrebbe non essere pubblicata nel portale di Microsoft Purview o nel Portale di conformità di Microsoft Purview. Inoltre, l'etichetta potrebbe non essere più pubblicata. Per altre informazioni, rivolgersi all'amministratore.
  • L'etichetta potrebbe essere pubblicata, ma non è disponibile per l'utente che ha eseguito l'accesso. Rivolgersi all'amministratore per altre informazioni su come ottenere l'accesso all'etichetta.

Modificare l'etichetta in un gruppo

Le etichette possono essere scambiate in qualsiasi momento usando gli stessi passaggi dell'assegnazione di un'etichetta a un gruppo esistente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di gruppi.
  2. Selezionare Microsoft Entra ID.
  3. Selezionare Gruppi>Tutti i gruppi e quindi selezionare il gruppo da etichettare.
  4. Nella pagina del gruppo selezionato selezionare Proprietà e selezionare una nuova etichetta di riservatezza dall'elenco.
  5. Seleziona Salva.

Le modifiche delle impostazioni di gruppo alle etichette pubblicate non vengono aggiornate nei gruppi

Quando si apportano modifiche alle impostazioni di gruppo per un'etichetta pubblicata nel portale di Microsoft Purview o nel Portale di conformità di Microsoft Purview, tali modifiche ai criteri non vengono applicate automaticamente ai gruppi etichettati. Dopo la pubblicazione e l'applicazione dell'etichetta di riservatezza ai gruppi, Microsoft consiglia di non modificare le impostazioni del gruppo per l'etichetta nel portale.

Se è necessario apportare una modifica, usare uno script di PowerShell per applicare manualmente gli aggiornamenti ai gruppi interessati. Questo metodo garantisce che tutti i gruppi esistenti applichino la nuova impostazione.

Passaggi successivi