Azure Active Directory で Microsoft 365 グループに秘密度ラベルを割り当てる

Microsoft Entra の一部である Azure Active Directory (Azure AD) では、Microsoft Purview コンプライアンス ポータルによって公開されている秘密度ラベルを Microsoft 365 グループに適用することがサポートされています。 秘密度ラベルは、Outlook、Microsoft Teams、SharePoint などのサービス全体で、グループに対して適用されます。 Microsoft 365 アプリのサポートの詳細については、Microsoft 365 での秘密度ラベルのサポートに関する記事を参照してください。

重要

この機能を構成するには、Azure AD 組織にアクティブな Azure Active Directory Premium P1 ライセンスが少なくとも 1 つ必要です。

PowerShell で秘密度ラベルのサポートを有効にする

公開されているラベルをグループに適用するには、まずこの機能を有効にする必要があります。 次の手順を実行すると、Azure AD でこの機能が有効になります。

  1. コンピューターで Windows PowerShell ウィンドウを開きます。 これは昇格された特権がなくても開くことができます。

  2. 次のコマンドを実行して、コマンドレットを実行する準備をします。

    Install-Module AzureADPreview
    Import-Module AzureADPreview
    AzureADPreview\Connect-AzureAD
    

    [アカウントにサインインする] ページで、管理者アカウントとパスワードを入力してサービスに接続し、 [サインイン] を選択します。

  3. Azure AD 組織の現在のグループ設定をフェッチし、現在のグループ設定を表示します。

    $grpUnifiedSetting = (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ)
    $Setting = $grpUnifiedSetting
    $grpUnifiedSetting.Values
    

    注意

    この Azure AD 組織に対してグループ設定が作成されていない場合は、空の画面が表示されます。 この場合、まず設定を作成する必要があります。 「グループの設定を構成するための Azure Active Directory コマンドレット」の手順に従って、この Azure AD 組織のグループ設定を作成します。

    注意

    秘密度ラベルが前に有効になっている場合は、EnableMIPLabels = True が表示されます。 この場合、何もする必要はありません。

  4. 機能を有効にします。

    $Setting["EnableMIPLabels"] = "True"
    
  5. 新しく適用された値を確認します。

    $Setting.Values
    
  6. 変更を保存して設定を適用します。

    Set-AzureADDirectorySetting -Id $grpUnifiedSetting.Id -DirectorySetting $Setting
    

Request_BadRequest エラーが発生した場合は、設定がテナントに既に存在していることが原因であるため、新しいプロパティ: 値のペアを作成しようとすると、結果はエラーになります。 このような場合は、次の手順を実行します。

  1. PowerShell で秘密度ラベルのサポートを有効にする」の手順 1 〜 4 を繰り返します。
  2. Get-AzureADDirectorySetting | FL コマンドレットを発行し、ID を確認します。 複数の ID 値が存在する場合は、[値] 設定の EnableMIPLabels プロパティが表示されているものを使用します。 手順 4 で ID が必要になります。
  3. EnableMIPLabels プロパティ変数を設定します: $Setting["EnableMIPLabels"] = "True"
  4. 手順2で取得した ID を使用して、Set-AzureADDirectorySetting -DirectorySetting $Setting -ID コマンドレットを発行します。
  5. $Setting.Values を再発行することによって、値が正しく更新されたことを確認します。

また、秘密度ラベルを Azure AD に同期する必要があります。 手順については、「コンテナーの秘密度ラベルを有効化してラベルを同期する方法」を参照してください。

Azure portal で新しいグループにラベルを割り当てる

  1. Azure AD 管理センターにサインインします。

  2. [グループ] を選択し、 [新しいグループ] を選択します。

  3. [新しいグループ] ページで、 [Office 365] を選択し、新しいグループに必要な情報を入力して、一覧から秘密度ラベルを選択します。

    [新しいグループ] ページで秘密度ラベルを割り当てる

  4. 変更を保存し、 [作成] を選択します。

グループが作成され、選択したラベルに関連付けられているサイトおよびグループの設定が自動的に適用されます。

Azure portal で既存のグループにラベルを割り当てる

  1. グループ管理者のアカウントを使用するか、またはグループの所有者として Azure AD 管理センターにサインインします。

  2. [グループ] を選びます。

  3. [すべてのグループ] ページから、ラベルを適用するグループを選択します。

  4. 選択したグループのページで [プロパティ] を選択し、一覧から秘密度ラベルを選択します。

    グループの [概要] ページで秘密度ラベルを割り当てる

  5. [保存] を選択して変更を保存します。

Azure portal で既存のグループからラベルを削除する

  1. グローバル管理者かグループ管理者のアカウントを使用するか、またはグループの所有者として Azure AD 管理センターにサインインします。
  2. [グループ] を選びます。
  3. [すべてのグループ] ページから、ラベルを削除するグループを選択します。
  4. その [グループ] ページで、 [プロパティ] を選択します。
  5. [削除] を選択します。
  6. [保存] を選択して変更を保存します。

従来の Azure AD 分類を使用する

この機能を有効にすると、グループの "従来の" 分類が、既存のグループとサイトについてのみ表示され、秘密度ラベルをサポートしていないアプリでグループを作成する場合にのみ、これらを新しいグループに使用する必要があります。 管理者は必要に応じて、これらを後で秘密度ラベルに変換できます。 従来の分類とは、Azure AD PowerShell で ClassificationList 設定の値を定義することによって設定した以前の分類のことです。 この機能を有効にすると、それらの分類はグループに適用されなくなります。

問題のトラブルシューティング

グループの割り当てに秘密度ラベルを使用できない

[秘密度ラベル] オプションは、次のすべての条件が満たされている場合にのみ、グループに対して表示されます。

  1. ラベルは、この Azure AD 組織の Microsoft Purview コンプライアンス ポータルで公開されています。
  2. 機能が有効になっており、Azure AD PowerShell モジュールで EnableMIPLabels が True に設定されています。
  3. ラベルは、Security & Compliance PowerShell モジュールの Execute-AzureAdLabelSync コマンドレットで Azure AD に同期されます。 同期後、ラベルを Azure AD で使用できるようになるには、最大 24 時間かかる場合があります。
  4. グループは Microsoft 365 グループです。
  5. 組織に、アクティブな Azure Active Directory Premium P1 ライセンスがある。
  6. グループおよびサイトには、秘密度ラベル スコープを構成する必要があります。
  7. 現在サインインしているユーザーに、ラベルを割り当てるための十分な権限がある。 そのユーザーは、全体管理者、グループ管理者、またはグループの所有者のいずれかである必要があります。
  8. 現在サインインしているユーザーは、秘密度ラベル発行ポリシーのスコープ内にある必要があります

ラベルをグループに割り当てるには、上記のすべての条件が満たされていることを確認してください。

割り当てたいラベルが一覧にありません

探しているラベルが一覧にない場合は、次のいずれかの理由が考えられます。

  • そのラベルが、Microsoft Purview コンプライアンス ポータルで公開されていない。 これは、公開されなくなったラベルにも当てはまります。 詳細については、管理者にご確認ください。
  • ラベルは公開されているが、サインインしているユーザーにはそのラベルを使用できない。 ラベルにアクセスする方法の詳細については、管理者にご確認ください。

グループに対するラベルを変更する方法

ラベルは、次に示すように、既存のグループに割り当てるのと同じ手順を使用することによりいつでも交換できます。

  1. グローバル管理者かグループ管理者のアカウントを使用するか、またはグループの所有者として Azure AD 管理センターにサインインします。
  2. [グループ] を選びます。
  3. [すべてのグループ] ページから、ラベルを適用するグループを選択します。
  4. 選択したグループのページで [プロパティ] を選択し、一覧から新しい秘密度ラベルを選択します。
  5. [保存] を選択します。

公開されているラベルに加えたグループ設定変更が、グループに対して更新されない

公開されたラベルのグループ設定を Microsoft Purview コンプライアンス ポータルで変更しても、それらのポリシー変更はラベルが付けられたグループに自動的には適用されません。 Microsoft は、秘密度ラベルが公開され、グループに適用された後に、Microsoft Purview コンプライアンス ポータルでラベルのグループ設定を変更しないことをお勧めします。

変更が必要な場合は、Azure AD PowerShell スクリプトを使用して、影響を受けるグループに更新を手動で適用します。 この方法を使用すると、既存のすべてのグループに新しい設定が適用されます。

次のステップ