Przypisywanie etykiet poufności do grup Microsoft 365 w Microsoft Entra ID

Microsoft Entra ID obsługuje stosowanie etykiet poufności do grup Microsoft 365, gdy te etykiety są opublikowane w portalu Microsoft Purview lub w portalu zgodności Microsoft Purview i są skonfigurowane dla grup i witryn.

Etykiety poufności można stosować do grup w aplikacjach i usługach, takich jak Outlook, Microsoft Teams i SharePoint. Aby uzyskać więcej informacji, zobacz Obsługa etykiet poufności w dokumentacji Purview.

Ważny

Aby skonfigurować tę funkcję, musi istnieć co najmniej jedna aktywna licencja microsoft Entra ID P1 w organizacji firmy Microsoft Entra.

Włącz obsługę etykiet poufności w programie PowerShell

Aby zastosować opublikowane etykiety do grup, należy najpierw włączyć tę funkcję. Te kroki umożliwiają włączenie funkcji w identyfikatorze Entra firmy Microsoft. Zestaw MICROSOFT Graph PowerShell SDK zawiera dwa moduły, Microsoft.Graph i Microsoft.Graph.Beta.

Wszystkie regiony obsługiwane przez firmę Microsoft powinny wybrać firmę Microsoft. Wszystkie inne regiony powinny wybrać swój operator, jeśli jeden z nich jest wymieniony.

Microsoft

1. Otwórz monit programu PowerShell na komputerze i zainstaluj moduły programu Graph wymagane do uruchomienia poleceń cmdlet.

   Install-Module Microsoft.Graph -Scope CurrentUser
   Install-Module Microsoft.Graph.Beta -Scope CurrentUser
   

2. Połącz się ze swoim środowiskiem.

   Connect-MgGraph -Scopes "Directory.ReadWrite.All"
   

3. Pobierz bieżące ustawienia grupy dla organizacji Microsoft Entra i wyświetl bieżące ustawienia grupy.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting | Where-Object { $_.Values.Name -eq "EnableMIPLabels" }
   $grpUnifiedSetting.Values
   

   Jeśli dla tej organizacji firmy Microsoft Entra nie utworzono żadnych ustawień grupy, zostanie wyświetlony pusty ekran. W takim przypadku należy najpierw utworzyć ustawienia. Wykonaj kroki opisane w cmdletach Microsoft Entra do konfigurowania ustawień grupy, aby skonfigurować ustawienia grupowe dla tej organizacji Microsoft Entra.

   Notatka

   Jeśli wcześniej została włączona etykieta poufności, ujrzysz EnableMIPLabels = True. W takim przypadku nie musisz nic robić. Również upewnij się EnableGroupCreation = False, jeśli nie chcesz, aby użytkownicy niebędący administratorami mogli tworzyć grupy. Aby uzyskać szczegółowe informacje, zobacz Ustawienia szablonu.

4. Zastosuj nowe ustawienia.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

5. Sprawdź, czy nowa wartość jest obecna.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Jeśli pojawi się błąd Request_BadRequest, to z powodu tego, że ustawienia już istnieją w najemcy. Podczas próby utworzenia nowej pary property:value wynik jest błędem. W takim przypadku wykonaj następujące kroki:

1. Wydaj polecenie cmdlet Get-MgBetaDirectorySetting | FL i sprawdź identyfikator. Jeśli istnieje kilka wartości identyfikatorów, użyj tej, na której widzisz właściwość EnableMIPLabels w ustawieniach Wartości .
2. Wydaj polecenie cmdlet Update-MgBetaDirectorySetting przy użyciu pobranego identyfikatora.

Należy również zsynchronizować etykiety poufności z identyfikatorem Entra firmy Microsoft. Aby uzyskać instrukcje, zobacz , jak włączyć etykiety poufności dla kontenerów i synchronizować etykiety.

21Vianet

Jeśli wykonujesz te operacje platformy Microsoft 365 z usługi 21Vianet:

1. Zarejestruj aplikację Microsoft Entra ID w usłudze Microsoft Entra ID.

2. Nadaj swojej aplikacji uprawnienia interfejsu API do uzyskania dostępu do Microsoft Graph, w tym do Directory.ReadWriteAll i Group.ReadWriteAll. Może być konieczne uzyskanie wyraźnej zgody administratora dzierżawy, aby aplikacja mogła uzyskać dostęp do Microsoft Graph.

3. Wygeneruj klucz tajny klienta i skopiuj go. Klucz tajny klienta jest potrzebny do nawiązania połączenia z usługą MS Graph;

4. Uruchom program PowerShell jako administrator:

   $ClientSecretCredential = Get-Credential -Credential
   

   Po uruchomieniu poleceń zostanie wyświetlony monit o wprowadzenie hasła. Hasło to nowy klucz tajny klienta skopiowany we wcześniejszym kroku.

5. Uruchom następujące polecenie, aby uzyskać dostęp do programu MS Graph:

   Connect-MgGraph -TenantId "Current tenant id" - ClientSecretCredential $ClientSecretCredential -Environment China
   

6. Pobierz bieżące ustawienia grupy dla organizacji Microsoft Entra i wyświetl bieżące ustawienia grupy.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"
   

   Jeśli dla tej organizacji firmy Microsoft Entra nie utworzono żadnych ustawień grupy, zostanie wyświetlony pusty ekran. W takim przypadku należy najpierw utworzyć ustawienia. Wykonaj kroki opisane w cmdletach Microsoft Entra do konfigurowania ustawień grupy, aby skonfigurować ustawienia grupowe dla tej organizacji Microsoft Entra.

   Notatka

   Jeśli wcześniej została włączona etykieta poufności, ujrzysz EnableMIPLabels = True. W takim przypadku nie musisz nic robić. Również upewnij się EnableGroupCreation = False, jeśli nie chcesz, aby użytkownicy niebędący administratorami mogli tworzyć grupy. Aby uzyskać szczegółowe informacje, zobacz Ustawienia szablonu.

7. Zastosuj nowe ustawienia.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

8. Sprawdź, czy nowa wartość jest obecna.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Jeśli pojawi się błąd Request_BadRequest, to z powodu tego, że ustawienia już istnieją w najemcy. Podczas próby utworzenia nowej pary property:value wynik jest błędem. W takim przypadku wykonaj następujące kroki:

1. Wydaj polecenie cmdlet Get-MgBetaDirectorySetting | FL i sprawdź identyfikator. Jeśli istnieje kilka wartości identyfikatorów, użyj tej, na której widzisz właściwość EnableMIPLabels w ustawieniach Wartości .
2. Wydaj polecenie cmdlet Update-MgBetaDirectorySetting przy użyciu pobranego identyfikatora.

Należy również zsynchronizować etykiety poufności z identyfikatorem Entra firmy Microsoft. Aby uzyskać instrukcje, zobacz , jak włączyć etykiety poufności dla kontenerów i synchronizować etykiety.

Nadaj etykietę nowej grupie w centrum administracyjnym Microsoft Entra

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator Grup.

2. Wybierz pozycję Microsoft Entra ID.

3. Wybierz Grupy>Wszystkie grupy>Nowa grupa.

4. Na stronie Nowa grupa wybierz pozycję Microsoft 365. Następnie wypełnij wymagane informacje dla nowej grupy i wybierz etykietę poufności z listy.

   

5. Wybierz pozycję Utwórz, aby zapisać zmiany.

Twoja grupa została utworzona, a ustawienia witryny i grupy skojarzone z wybraną etykietą są następnie automatycznie egzekwowane.

Przypisywanie etykiety do istniejącej grupy w centrum administracyjnym firmy Microsoft Entra

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator Grup.

2. Wybierz pozycję Microsoft Entra ID.

3. Wybierz grupy .

4. Na stronie Wszystkie grupy wybierz grupę, którą chcesz oznaczyć.

5. Na stronie wybranej grupy wybierz opcję Właściwości i wybierz etykietę poufności z listy.

   

6. Wybierz Zapisz, aby zapisać zmiany.

Usuwanie etykiety z istniejącej grupy w centrum administracyjnym firmy Microsoft Entra

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator Grup.
2. Wybierz pozycję Microsoft Entra ID.
3. Wybierz pozycję Grupy>Wszystkie grupy.
4. Na stronie Wszystkie grupy wybierz grupę, z której chcesz usunąć etykietę.
5. Na stronie Grupa wybierz Właściwości .
6. Wybierz pozycję Usuń.
7. Wybierz Zapisz, aby zastosować zmiany.

Używanie klasycznych klasyfikacji entra firmy Microsoft

Po włączeniu tej funkcji klasyfikacje "klasyczne" dla grup są wyświetlane tylko w istniejących grupach i witrynach. Należy ich używać tylko w przypadku nowych grup, jeśli tworzysz grupy w aplikacjach, które nie obsługują etykiet poufności. Administrator może później przekonwertować je na etykiety poufności, jeśli zajdzie taka potrzeba. Klasyfikacje klasyczne to stare klasyfikacje, które zostały wcześniej skonfigurowane. Po włączeniu tej funkcji te klasyfikacje nie są stosowane do grup.

Rozwiązywanie problemów

Ta sekcja zawiera porady dotyczące rozwiązywania typowych problemów.

Etykiety poufności nie są dostępne do przypisania do grupy

Opcja etykiety poufności jest wyświetlana dla grup tylko wtedy, gdy spełnione są wszystkie następujące warunki.

1. Organizacja ma aktywną licencję microsoft Entra ID P1.
2. Ta funkcja jest włączona, a EnableMIPLabels jest ustawiona na true w module programu Microsoft Graph PowerShell.
3. Etykiety poufności są publikowane w portalu usługi Microsoft Purview lub portalu zgodności usługi Microsoft Purview dla tej organizacji firmy Microsoft Entra.
4. Etykiety są synchronizowane z identyfikatorem Entra firmy Microsoft za pomocą polecenia cmdlet Execute-AzureAdLabelSync w module Security & Compliance programu PowerShell. Synchronizacja etykiety może potrwać do 24 godzin, aby etykieta była dostępna dla identyfikatora Entra firmy Microsoft.
5. Zakres etykiety poufności należy skonfigurować dla grup witryn &.
6. Grupa jest grupą platformy Microsoft 365.
7. Bieżący zalogowany użytkownik:
   1. Ma dostateczne uprawnienia do przypisywania etykiet poufności. Użytkownik musi być właścicielem grupy lub co najmniej administratorem grup.
   2. Musi należeć do zakresu zasad publikowania etykiety poufności zgodnie z polityką.

Upewnij się, że wszystkie powyższe warunki są spełnione, aby przypisać etykiety do grupy.

Etykieta, którą chcesz przypisać, nie znajduje się na liście

Jeśli etykieta, której szukasz, nie znajduje się na liście:

• Etykieta może nie zostać opublikowana w portalu usługi Microsoft Purview lub w portalu zgodności usługi Microsoft Purview. Ponadto etykieta może nie zostać opublikowana. Aby uzyskać więcej informacji, zapoznaj się z administratorem.
• Etykieta może zostać opublikowana, ale nie jest dostępna dla użytkownika, który jest zalogowany. Aby uzyskać więcej informacji na temat uzyskiwania dostępu do etykiety, zapoznaj się z administratorem.

Zmienianie etykiety w grupie

Etykiety można zamienić w dowolnym momencie, wykonując te same czynności co przypisywanie etykiety do istniejącej grupy:

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator Grup.
2. Wybierz pozycję Microsoft Entra ID.
3. Wybierz pozycję Grupy>Wszystkie grupy, a następnie wybierz grupę, którą chcesz oznaczyć.
4. Na stronie wybranej grupy wybierz opcję Właściwości i wybierz nową etykietę poufności z listy.
5. Wybierz pozycję Zapisz.

Zmiany ustawień dotyczących opublikowanych etykiet nie są aktualizowane w grupach

Po wprowadzeniu zmian w ustawieniach grupy dla opublikowanej etykiety w portalu Microsoft Purview lub portalu zgodności Microsoft Purviewte zmiany zasad nie są automatycznie stosowane w grupach oznaczonych etykietami. Po opublikowaniu i zastosowaniu etykiety poufności do grup, firma Microsoft zaleca, aby w portalu nie zmieniać ustawień grupy dotyczących tej etykiety.

Jeśli musisz wprowadzić zmianę, użyj skryptu programu PowerShell , aby ręcznie zastosować aktualizacje do grup, których dotyczy problem. Ta metoda zapewnia, że wszystkie istniejące grupy wymuszają nowe ustawienie.

Następne kroki

• Używanie etykiet poufności do ochrony zawartości w usłudze Microsoft Teams, grupach platformy Microsoft 365 i witrynach programu SharePoint
• Ręcznie zaktualizuj grupy po zmianie zasad etykiet za pomocą skryptu Azure AD PowerShell
• Edytowanie ustawień grupy
• Zarządzanie grupami przy użyciu poleceń programu PowerShell