Microsoft Entra ID で Microsoft 365 グループに秘密度ラベルを割り当てる

Microsoft Entra ID では、Microsoft Purview コンプライアンス ポータルによって公開されている秘密度ラベルを Microsoft 365 グループに適用することがサポートされています。 秘密度ラベルは、Outlook、Microsoft Teams、SharePoint などのサービス全体で、グループに対して適用されます。 Microsoft 365 アプリのサポートの詳細については、Microsoft 365 での秘密度ラベルのサポートに関する記事を参照してください。

重要

この機能を構成するには、Microsoft Entra 組織に Microsoft Entra ID P1 ライセンスが少なくとも 1 つ有効にする必要があります。

PowerShell で秘密度ラベルのサポートを有効にする

公開されているラベルをグループに適用するには、まずこの機能を有効にする必要があります。 次の手順により Microsoft Entra ID の機能が有効になります。 Microsoft Graph PowerShell SDK には、2 つのモジュール (Microsoft.GraphMicrosoft.Graph.Beta) が含まれています。

  1. コンピューターで PowerShell プロンプトを開き、次のコマンドを実行してコマンドレットの実行を準備します。

    Install-Module Microsoft.Graph -Scope CurrentUser
    Install-Module Microsoft.Graph.Beta -Scope CurrentUser
    
  2. テナントに接続します。

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    
  3. Microsoft Entra 組織の現在のグループ設定をフェッチし、現在のグループ設定を表示します。

    $grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"
    

    この Microsoft Entra 組織に対してグループ設定が作成されていない場合は、空の画面が表示されます。 この場合、まず設定を作成する必要があります。 「グループの設定を構成するための Microsoft Entra コマンドレット」の手順に従ってこの Microsoft Entra 組織のグループ設定を作成します。

    Note

    秘密度ラベルが前に有効になっていた場合は、EnableMIPLabels = True と表示されます。 この場合、ほかに何も実行する必要はありません。

  4. 新しい設定を適用します。

    $params = @{
         Values = @(
     	    @{
     		    Name = "EnableMIPLabels"
     		    Value = "True"
     	    }
         )
    }
    
    Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
    
  5. 新しい値が存在することを確認します。

    $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
    $Setting.Values
    

Request_BadRequest エラーが発生した場合は、設定がテナントに既に存在しているためです。 新しい property:value ペアを作成しようとすると、結果がエラーになります。 このような場合は、次の手順に従います。

  1. Get-MgBetaDirectorySetting | FL コマンドレットを発行し、ID を確認します。 複数の ID 値が存在する場合は、[値] 設定の EnableMIPLabels プロパティが表示されているものを使用します。
  2. 取得した ID を使用して、Update-MgBetaDirectorySetting コマンドレットを発行します。

また、秘密度ラベルを Microsoft Entra ID に同期する必要があります。 手順については、「コンテナーの秘密度ラベルを有効化してラベルを同期する」を参照してください。

Microsoft Entra 管理センターで新しいグループにラベルを割り当てる

  1. Microsoft Entra 管理センター に 少なくともグローバル管理者 としてサインインします。

  2. [Microsoft Entra ID] を選びます。

  3. [グループ]>[すべてのグループ]>[新しいグループ] の順に選択します。

  4. [新しいグループ] ページで、[Microsoft 365] を選択します。 それから、新しいグループに必要な情報を入力して、一覧から秘密度ラベルを選択します。

    Screenshot that shows assigning a sensitivity label on the New groups page.

  5. [作成] を選択して変更を保存します。

グループが作成され、選択したラベルに関連付けられているサイトおよびグループの設定が自動的に適用されます。

Microsoft Entra 管理センターで既存のグループにラベルを割り当てる

  1. Microsoft Entra 管理センター に 少なくともグローバル管理者 としてサインインします。

  2. [Microsoft Entra ID] を選びます。

  3. グループを選択します。

  4. [すべてのグループ] ページから、ラベルを適用するグループを選択します。

  5. 選択したグループのページで [プロパティ] を選択し、一覧から秘密度ラベルを選択します。

    Screenshot that shows assigning a sensitivity label on the overview page for a group.

  6. 保存を選択して、変更を保存します。

Microsoft Entra 管理センターの既存のグループからラベルを削除する

  1. Microsoft Entra 管理センター に 少なくともグローバル管理者 としてサインインします。
  2. [Microsoft Entra ID] を選びます。
  3. [グループ]>[すべてのグループ] の順に選択します。
  4. [すべてのグループ] ページで、ラベルを削除するグループを選択します。
  5. その [グループ] ページで、 [プロパティ] を選択します。
  6. [削除] を選択します。
  7. [保存] を選択して変更を保存します。

クラシック Microsoft Entra 分類を使用する

この機能を有効にすると、グループの "クラシック" 分類は既存のグループとサイトにのみ表示されます。 秘密度ラベルをサポートしていないアプリでグループを作成する場合にのみ、新しいグループにこれらを使用する必要があります。 管理者は必要に応じて、これらを後で秘密度ラベルに変換できます。 従来の分類とは、Azure AD PowerShell で ClassificationList 設定の値を定義することによって設定した以前の分類のことです。 この機能を有効にすると、それらの分類はグループに適用されません。

重要

Azure AD PowerShell は 2024 年 3 月 30 日に非推奨となる予定です。 詳細については、非推奨の最新情報を参照してください。 Microsoft Entra ID (旧称 Azure AD) を使用するには、Microsoft Graph PowerShell に移行することをお勧めします。 Microsoft Graph PowerShell を使うと、すべての Microsoft Graph API にアクセスできます。また、PowerShell 7 上で使用できます。 一般的な移行の質問に対する回答については、移行に関する FAQ を参照してください。

問題のトラブルシューティング

このセクションでは、一般的な問題に対するトラブルシューティングのヒントを提供します。

グループの割り当てに秘密度ラベルを使用できない

秘密度ラベル オプションは、次のすべての条件が満たされている場合にのみ、グループに対して表示されます。

  1. 組織に有効な Microsoft Entra ID P1 ライセンスがあります。
  2. 機能が有効になっており、Microsoft Graph PowerShell モジュールで EnableMIPLabelsTrue に設定されています。
  3. 秘密度ラベルが、この Microsoft Entra 組織の Microsoft Purview コンプライアンス ポータルで公開されています。
  4. ラベルは、Security & Compliance PowerShell モジュールの Execute-AzureAdLabelSync コマンドレットで Microsoft Entra ID に同期されます。 同期後、ラベルを Microsoft Entra ID で使用できるようになるには、最大 24 時間かかる場合があります。
  5. グループおよびサイトには、秘密度ラベル スコープを構成する必要があります。
  6. グループは Microsoft 365 グループです。
  7. 現在サインインしているユーザー:
    1. 秘密度ラベルを割り当てるための十分な権限を持っている。 そのユーザーは、全体管理者、グループ管理者、またはグループの所有者である必要があります。
    2. 秘密度ラベル発行ポリシーのスコープ内である必要があります。

ラベルをグループに割り当てるには、上記の条件がすべて満たされていることを確認してください。

割り当てたいラベルが一覧にありません

探しているラベルが一覧にない場合:

  • そのラベルが、Microsoft Purview コンプライアンス ポータルで公開されていない。 また、ラベルが発行されなくなる可能性もあります。 詳細については、管理者にご確認ください。
  • ラベルは公開されている可能性があるが、サインインしているユーザーにはそのラベルを使用できない。 ラベルにアクセスする方法の詳細については、管理者にご確認ください。

グループに対するラベルを変更する

ラベルは、既存のグループに割り当てるのと同じ手順を使用することによりいつでも交換できます。

  1. Microsoft Entra 管理センター に 少なくともグローバル管理者 としてサインインします。
  2. [Microsoft Entra ID] を選びます。
  3. [グループ]>[すべてのグループ]を選択し、ラベルを付けるグループを選択します。
  4. 選択したグループのページで [プロパティ] を選択し、一覧から新しい秘密度ラベルを選択します。
  5. [保存] を選択します。

公開されているラベルに加えたグループ設定変更が、グループに対して更新されない

公開されたラベルのグループ設定を Microsoft Purview コンプライアンス ポータルで変更しても、それらのポリシー変更はラベルが付けられたグループに自動的には適用されません。 Microsoft は、秘密度ラベルが公開され、グループに適用された後に、Microsoft Purview コンプライアンス ポータルでラベルのグループ設定を変更しないことをおすすめします。

変更が必要な場合は、PowerShell スクリプトを使用して、影響を受けるグループに更新を手動で適用します。 この方法を使用すると、既存のすべてのグループに新しい設定が適用されます。

次のステップ