Compartilhar via


Atribuir os rótulos de confidenciabilidade nos grupos do Microsoft 365 na ID do Microsoft Entra

A ID do Microsoft Entra dá suporte à aplicação rótulos de confidencialidade aos grupos do Microsoft 365, quando esses rótulos são publicados no portal do Microsoft Purview ou no portal de conformidade Microsoft Purview, e os rótulos são configurados para grupos e sites.

Rótulos de confidencialidade podem ser aplicados a grupos entre aplicativos e serviços, como Outlook, Microsoft Teams e SharePoint. Para obter mais informações, consulte Suporte para rótulos de confidencialidade na documentação do Purview.

Importante

Para configurar esse recurso, deve haver pelo menos uma licença P1 ativa do Microsoft Entra ID em sua organização do Microsoft Entra.

Habilitar o suporte ao rótulo de sensibilidade no PowerShell

Para aplicar rótulos publicados a grupos, você deve primeiro habilitar o recurso. Essas etapas habilitam o recurso no Microsoft Entra ID. O SDK do Microsoft Graph PowerShell vem em dois módulos, Microsoft.Graph e Microsoft.Graph.Beta.

Todas as regiões operadas pela Microsoft devem escolher a Microsoft. Todas as outras regiões devem escolher sua operadora, se listada abaixo.

  1. Abra um prompt do PowerShell em seu computador e execute os comandos a seguir para se preparar para executar os cmdlets.

    Install-Module Microsoft.Graph -Scope CurrentUser
    Install-Module Microsoft.Graph.Beta -Scope CurrentUser
    
  2. Conecte-se ao seu locatário.

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    
  3. Busque as configurações atuais de grupo para a organização do Microsoft Entra e exiba as configurações de grupo atuais.

    $grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"
    

    Se nenhuma configuração de grupo tiver sido criada para esta organização do Microsoft Entra, você receberá uma tela em branco. Nesse caso, você deve primeiro criar as configurações. Siga as etapas no cmdlets do Microsoft Entra para definir as configurações de grupo e criar configurações de grupo para esta organização do Microsoft Entra.

    Observação

    Se o rótulo de confidencialidade tiver sido habilitado anteriormente, você visualizará EnableMIPLabels = True. Nesse caso, você não precisa fazer nada. Também certifique-se de que EnableGroupCreation = False, caso não queira que usuários não administradores possam criar grupos. Consulte as Configurações de modelo para obter detalhes.

  4. Aplique as novas configurações.

    $params = @{
         Values = @(
     	    @{
     		    Name = "EnableMIPLabels"
     		    Value = "True"
     	    }
         )
    }
    
    Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
    
  5. Verifique se o novo valor está presente.

    $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
    $Setting.Values
    

Se você receber um erro Request_BadRequest, é porque as configurações já existem no locatário. Quando você tenta criar um novo par property:value, o resultado é um erro. Nesse caso, siga estas etapas:

  1. Emita um cmdlet Get-MgBetaDirectorySetting | FL e verifique a ID. Se vários valores de ID estiverem presentes, use aquele em que você vê a propriedade EnableMIPLabels nas configurações de Valores.
  2. Emita o cmdlet Update-MgBetaDirectorySetting usando a ID que você recuperou.

Você também precisa sincronizar seus rótulos de confidencialidade com o Microsoft Entra ID. Para instruções, consulte Habilitar rótulos de confidencialidade para contêineres e sincronizar os rótulos.

Atribuir um rótulo a um novo grupo no centro de administração do Microsoft Entra

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.

  2. Selecione ID do Microsoft Entra.

  3. Selecione Grupos>Todos os grupos>Novo grupo.

  4. Na página Novo Grupo, selecione Microsoft 365. Depois, preencha as informações necessárias para o novo grupo e selecione um rótulo de confidencialidade na lista.

    Captura de tela que mostra a atribuição de um rótulo de confidencialidade na página Novos grupos.

  5. Selecione Criar para salvar suas alterações.

Seu grupo é criado e as configurações de site e grupo associadas ao rótulo selecionado são impostas automaticamente.

Atribuir um rótulo a um grupo existente no centro de administração do Microsoft Entra

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.

  2. Selecione ID do Microsoft Entra.

  3. Selecione Grupos.

  4. Na página Todos os grupos, selecione o grupo que você deseja rotular.

  5. Na página do grupo selecionado, selecione Propriedades e selecione um rótulo de sensibilidade na lista.

    Captura de tela que mostra a atribuição de um rótulo de confidencialidade na página de visão geral de um grupo.

  6. Selecione Salvar para salvar as alterações.

Remover um rótulo de um grupo existente no Centro de administração do Microsoft Entra

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.
  2. Selecione ID do Microsoft Entra.
  3. Selecione Grupos>Todos os grupos.
  4. Na página Todos os grupos, selecione o grupo do qual deseja remover o rótulo.
  5. Na página Grupo, selecione Propriedades.
  6. Selecione Remover.
  7. Selecione Salvar para salvar suas alterações.

Usar as classificações clássicas do Microsoft Entra

Depois de habilitar esse recurso, as classificações "clássicas" para grupos aparecem somente em grupos e sites existentes. Você só deve usá-las para novos grupos se criar grupos em aplicativos que não oferecem suporte a rótulos de confiabilidade. O administrador poderá convertê-las em rótulos de confidencialidade posteriormente, se necessário. As classificações clássicas são as classificações antigas que você define definindo valores para a configuração ClassificationList no PowerShell do Azure AD. Quando esse recurso está habilitado, essas classificações não são aplicadas a grupos.

Observação

Os módulos Azure AD e MSOnline PowerShell estão preteridos desde 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte a esses módulos se limitará à assistência à migração para o SDK do Microsoft Graph PowerShell e às correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas Frequentes sobre Migração. Observação: As versões 1.0.x do MSOnline poderão sofrer interrupções após 30 de junho de 2024.

Solução de problemas

Esta seção oferece dicas de solução de problemas para problemas comuns.

Os rótulos de confidencialidade não estão disponíveis para atribuição em um grupo

A opção de rótulo de confidencialidade só é exibida para grupos quando as seguintes condições são atendidas:

  1. A organização tem uma licença P1 ativa do Microsoft Entra.
  2. O recurso está habilitado e EnableMIPLabels está definido como Verdadeiro no do módulo PowerShell do Microsoft Graph.
  3. Os rótulos de confidencialidade são publicados no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview para esta organização do Microsoft Entra.
  4. Os rótulos são sincronizados com o Microsoft Entra ID com o cmdlet Execute-AzureAdLabelSync no módulo do PowerShell de Segurança e Conformidade. Pode demorar até 24 horas após a sincronização para que o rótulo seja disponibilizado no Microsoft Entra ID.
  5. O escopo do rótulo de confidencialidade deve ser configurado para Grupos e Sites.
  6. O grupo é um grupo do Microsoft 365.
  7. O usuário conectado atual:
    1. Tem privilégios suficientes para atribuir rótulos de confidencialidade. O usuário deve ser o proprietário do grupo ou pelo menos um administrador de grupos.
    2. Deve estar dentro do escopo da política de publicação de rótulo de confidencialidade.

Verifique se todas as condições anteriores foram atendidas para atribuir rótulos a um grupo.

O rótulo que você deseja atribuir não está na lista

Se o rótulo que você está procurando não estiver na lista:

  • O rótulo pode não ser publicado no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview. Além disso, o rótulo pode não ser mais publicado. Verifique com o administrador para obter mais informações.
  • O rótulo pode ser publicado, mas ele não está disponível para o usuário que iniciou a sessão. Verifique com o administrador para obter mais informações sobre como obter acesso ao rótulo.

Alterar o rótulo em um grupo

Os rótulos podem ser trocados a qualquer momento usando as mesmas etapas que atribuir um rótulo a um grupo existente:

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.
  2. Selecione ID do Microsoft Entra.
  3. Selecione Grupos>Todos os grupos e, em seguida, selecione o grupo que você deseja rotular.
  4. Na página do grupo selecionado, selecione Propriedades e selecione um rótulo de sensibilidade na lista.
  5. Selecione Salvar.

As alterações de configuração de grupo para rótulos publicados não são atualizadas nos grupos

Quando você faz alterações nas configurações de grupo de um rótulo publicado no portal do Microsoft Purview ou no portal de conformidade Microsoft Purview, essas alterações de política não são aplicadas automaticamente nos grupos rotulados. Depois que o rótulo de confidencialidade é publicado e aplicado a grupos, a Microsoft recomenda que você não altere as configurações de grupo para o rótulo no portal.

Se você precisar fazer uma alteração, use um script do PowerShell para aplicar manualmente as atualizações aos grupos afetados. Esse método garante que todos os grupos existentes imponham a nova configuração.

Próximas etapas