Atribuir rótulos de sensibilidade a grupos do Microsoft 365 no Microsoft Entra ID

O Microsoft Entra ID suporta a aplicação de rótulos de sensibilidade a grupos do Microsoft 365 quando esses rótulos são publicados no portal Microsoft Purview ou no portal de conformidade do Microsoft Purview e os rótulos são configurados para grupos e sites.

Os rótulos de sensibilidade podem ser aplicados a grupos em aplicativos e serviços, como Outlook, Microsoft Teams e SharePoint. Para mais informações, consulte a documentação do Purview, na secção Suporte para rótulos de sensibilidade.

Importante

Para configurar esse recurso, deve haver pelo menos uma licença ativa do Microsoft Entra ID P1 em sua organização do Microsoft Entra.

Habilitar o suporte a rótulos de sensibilidade no PowerShell

Para aplicar rótulos publicados a grupos, você deve primeiro habilitar o recurso. Estas etapas habilitam o recurso no Microsoft Entra ID. O SDK do Microsoft Graph PowerShell vem em dois módulos, Microsoft.Graph e Microsoft.Graph.Beta.

Todas as regiões operadas pela Microsoft devem escolher Microsoft. Todas as outras regiões devem escolher o seu operador, caso este esteja listado.

Microsoft

1. Abra um prompt do PowerShell em seu computador e instale os módulos do Graph necessários para executar os cmdlets.

   Install-Module Microsoft.Graph -Scope CurrentUser
   Install-Module Microsoft.Graph.Beta -Scope CurrentUser
   

2. Ligue-se ao seu inquilino.

   Connect-MgGraph -Scopes "Directory.ReadWrite.All"
   

3. Procure as configurações de grupo atuais para a organização do Microsoft Entra e exiba as configurações de grupo atuais.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting | Where-Object { $_.Values.Name -eq "EnableMIPLabels" }
   $grpUnifiedSetting.Values
   

   Se nenhuma configuração de grupo foi criada para esta organização do Microsoft Entra, você obterá uma tela vazia. Nesse caso, você deve primeiro criar as configurações. Siga as etapas nos cmdlets do Microsoft Entra para configurar as definições de grupo para criar configurações de grupo para esta organização do Microsoft Entra.

   Observação

   Se o rótulo de sensibilidade foi ativado anteriormente, você verá EnableMIPLabels = True. Neste caso, você não precisa fazer nada. Certifique-se também de EnableGroupCreation = False se não quiser permitir que utilizadores sem permissões de administrador criem grupos. Consulte as Configurações do modelo para obter detalhes.

4. Aplique as novas configurações.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

5. Verifique se o novo valor está presente.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Se você receber um erro de Request_BadRequest, é porque as configurações já existem no locatário. Quando você tenta criar um novo par de property:value, o resultado é um erro. Neste caso, siga estes passos:

1. Emita um cmdlet Get-MgBetaDirectorySetting | FL e verifique a ID. Se vários valores de ID estiverem presentes, use aquele em que se veja a propriedade EnableMIPLabels nas configurações Valores.
2. Emita o cmdlet Update-MgBetaDirectorySetting usando a ID recuperada.

Você também precisa sincronizar seus rótulos de sensibilidade com o Microsoft Entra ID. Para obter instruções, consulte Habilitar rótulos de sensibilidade para contêineres e sincronizar rótulos.

21Vianet

Se estiver a executar estas operações do Microsoft 365 a partir da 21Vianet:

1. Registre um aplicativo Microsoft Entra ID no Microsoft Entra ID.

2. Conceda permissões à API do aplicativo para acessar o Microsoft Graph, incluindo Directory.ReadWriteAll e Group.ReadWriteAll. Poderá ser necessário obter o consentimento explícito do administrador do inquilino para conceder ao aplicativo acesso ao Microsoft Graph.

3. Gere um segredo do cliente e copie-o. Você precisa do segredo do cliente para se conectar ao MS Graph;

4. Execute o PowerShell como administrador:

   $ClientSecretCredential = Get-Credential -Credential
   

   Depois que os comandos forem executados, você será solicitado a inserir uma senha. A senha é o novo segredo do cliente que você copiou na etapa anterior.

5. Execute o seguinte comando para obter acesso ao MS Graph:

   Connect-MgGraph -TenantId "Current tenant id" - ClientSecretCredential $ClientSecretCredential -Environment China
   

6. Procure as configurações de grupo atuais para a organização do Microsoft Entra e exiba as configurações de grupo atuais.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"
   

   Se nenhuma configuração de grupo foi criada para esta organização do Microsoft Entra, você obterá uma tela vazia. Nesse caso, você deve primeiro criar as configurações. Siga as etapas nos cmdlets do Microsoft Entra para configurar as definições de grupo para criar configurações de grupo para esta organização do Microsoft Entra.

   Observação

   Se o rótulo de sensibilidade foi ativado anteriormente, você verá EnableMIPLabels = True. Neste caso, você não precisa fazer nada. Certifique-se também de EnableGroupCreation = False se não quiser permitir que utilizadores sem permissões de administrador criem grupos. Consulte as Configurações do modelo para obter detalhes.

7. Aplique as novas configurações.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

8. Verifique se o novo valor está presente.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Se você receber um erro de Request_BadRequest, é porque as configurações já existem no locatário. Quando você tenta criar um novo par de property:value, o resultado é um erro. Neste caso, siga estes passos:

1. Emita um cmdlet Get-MgBetaDirectorySetting | FL e verifique a ID. Se vários valores de ID estiverem presentes, use aquele em que se veja a propriedade EnableMIPLabels nas configurações Valores.
2. Emita o cmdlet Update-MgBetaDirectorySetting usando a ID recuperada.

Você também precisa sincronizar seus rótulos de sensibilidade com o Microsoft Entra ID. Para obter instruções, consulte Habilitar rótulos de sensibilidade para contêineres e sincronizar rótulos.

Atribuir um rótulo a um novo grupo no centro de administração do Microsoft Entra

1. Entre no centro de administração do Microsoft Entra com pelo menos a função de Administrador de Grupos .

2. Selecione Microsoft Entra ID.

3. Selecione Grupos>Todos os grupos>Novo grupo.

4. Na página Novo Grupo, selecione Microsoft 365. Em seguida, preencha as informações necessárias para o novo grupo e selecione um rótulo de sensibilidade na lista.

   

5. Selecione Criar para salvar as alterações.

Seu grupo é criado e as configurações de site e grupo associadas ao rótulo selecionado são automaticamente impostas.

Atribuir um rótulo a um grupo existente no centro de administração do Microsoft Entra

1. Entre no centro de administração do Microsoft Entra com pelo menos a função de Administrador de Grupos .

2. Selecione Microsoft Entra ID.

3. Selecione Grupos.

4. Na página Todos os grupos, selecione o grupo que deseja rotular.

5. Na página do grupo selecionado, selecione Propriedades e selecione um rótulo de sensibilidade na lista.

   

6. Selecione Salvar para salvar as alterações.

Remover um rótulo de um grupo existente no centro de administração do Microsoft Entra

1. Entre no centro de administração do Microsoft Entra com pelo menos a função de Administrador de Grupos .
2. Selecione Microsoft Entra ID.
3. Selecione Grupos>Todos os grupos.
4. Na página Todos os grupos, selecione o grupo do qual deseja remover o rótulo.
5. Na página Grupo , selecione Propriedades.
6. Selecione Remover.
7. Selecione Salvar para aplicar as alterações.

Usar classificações clássicas do Microsoft Entra

Depois de ativar esse recurso, as classificações "clássicas" para grupos aparecem somente em grupos e sites existentes. Você deve usá-los apenas para novos grupos se criar grupos em aplicações que não suportam etiquetas de sensibilidade. O administrador pode convertê-los em rótulos de sensibilidade mais tarde, se necessário. As classificações clássicas são as classificações antigas que você configurou anteriormente. Quando esse recurso está habilitado, essas classificações não são aplicadas a grupos.

Solução de problemas

Esta seção oferece dicas de solução de problemas para problemas comuns.

Os rótulos de sensibilidade não estão disponíveis para atribuição em um grupo

A opção de rótulo de sensibilidade aparece para grupos somente quando todas as seguintes condições são atendidas:

1. A organização tem uma licença ativa do Microsoft Entra ID P1.
2. O recurso está habilitado e EnableMIPLabels está definido como True no módulo do Microsoft Graph PowerShell.
3. Os rótulos de sensibilidade são publicados no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview para a organização Microsoft Entra.
4. Os rótulos são sincronizados com o Microsoft Entra ID usando o cmdlet no módulo PowerShell de Segurança & Conformidade. Pode levar até 24 horas após a sincronização para que o rótulo esteja disponível para o Microsoft Entra ID.
5. O escopo do rótulo de sensibilidade deve ser configurado para Grupos e Sites.
6. O grupo é um grupo do Microsoft 365.
7. O usuário conectado atual:
   1. Tem privilégios suficientes para atribuir rótulos de sensibilidade. O usuário deve ser o proprietário do grupo ou, pelo menos, um Administrador de Grupos.
   2. Deve estar dentro do escopo da política de publicação de rótulos de sensibilidade.

Verifique se todas as condições anteriores são atendidas para atribuir rótulos a um grupo.

O rótulo que você deseja atribuir não está na lista

Se a etiqueta que procura não estiver na lista:

• O rótulo pode não ser publicado no portal Microsoft Purview ou no portal de conformidade Microsoft Purview. Além disso, o rótulo pode não ser mais publicado. Consulte o administrador para obter mais informações.
• O rótulo pode ser publicado, mas não está disponível para o usuário conectado. Consulte o administrador para obter mais informações sobre como obter acesso ao rótulo.

Alterar o rótulo num grupo

Os rótulos podem ser trocados a qualquer momento usando as mesmas etapas da atribuição de um rótulo a um grupo existente:

1. Entre no centro de administração do Microsoft Entra com pelo menos a função de Administrador de Grupos .
2. Selecione Microsoft Entra ID.
3. Selecione Grupos>Todos os grupose, em seguida, selecione o grupo que pretende rotular.
4. Na página do grupo selecionado, selecione Propriedades e selecione um novo rótulo de sensibilidade na lista.
5. Selecione Salvar.

As alterações nas definições dos grupos para etiquetas publicadas não são atualizadas nos grupos

Quando você faz alterações nas configurações de grupo de um rótulo publicado no do portal Microsoft Purview ou no portal de conformidade Microsoft Purview, essas alterações de política não são aplicadas automaticamente nos grupos rotulados. Depois que o rótulo de sensibilidade for publicado e aplicado a grupos, a Microsoft recomenda que você não altere as configurações de grupo para o rótulo no portal.

Se precisar fazer uma alteração, use um script do PowerShell para aplicar manualmente as atualizações aos grupos afetados. Esse método garante que todos os grupos existentes imponham a nova configuração.

Próximos passos

• Usar rótulos de sensibilidade para proteger conteúdo no Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint
• Atualizar grupos após a alteração da política de rótulo manualmente com o script do Azure AD PowerShell
• Editar as configurações do grupo
• Gerenciar grupos usando comandos do PowerShell