Tilldela känslighetsetiketter till Microsoft 365-grupper i Microsoft Entra-ID

Microsoft Entra-ID stöder tillämpning av känslighetsetiketter på Microsoft 365-grupper när dessa etiketter publiceras i Microsoft Purview-portalen eller Microsoft Purview-efterlevnadsportalen och etiketterna är konfigurerade för grupper och webbplatser.

Känslighetsetiketter kan tillämpas på grupper mellan appar och tjänster som Outlook, Microsoft Teams och SharePoint. För mer information, se Stöd för känslighetsetiketter i Purview-dokumentationen.

Viktig

Om du vill konfigurera den här funktionen måste det finnas minst en aktiv Microsoft Entra ID P1-licens i din Microsoft Entra-organisation.

Aktivera stöd för känslighetsetiketter i PowerShell

Om du vill tillämpa publicerade etiketter på grupper måste du först aktivera funktionen. De här stegen aktiverar funktionen i Microsoft Entra-ID. Microsoft Graph PowerShell SDK finns i två moduler, Microsoft.Graph och Microsoft.Graph.Beta.

Alla Microsoft-drivna regioner bör välja Microsoft. Alla andra regioner bör välja sin operator om en sådan visas.

Microsoft

1. Öppna en PowerShell-prompt på datorn och installera de Graph-moduler som krävs för att köra cmdletarna.

   Install-Module Microsoft.Graph -Scope CurrentUser
   Install-Module Microsoft.Graph.Beta -Scope CurrentUser
   

2. Anslut till din klient.

   Connect-MgGraph -Scopes "Directory.ReadWrite.All"
   

3. Hämta de aktuella gruppinställningarna för Microsoft Entra-organisationen och visa de aktuella gruppinställningarna.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting | Where-Object { $_.Values.Name -eq "EnableMIPLabels" }
   $grpUnifiedSetting.Values
   

   Om inga gruppinställningar har skapats för den här Microsoft Entra-organisationen får du en tom skärm. I det här fallet måste du först skapa inställningarna. Följ stegen i Microsoft Entra-cmdletar för att konfigurera gruppinställningar för att skapa gruppinställningar för den här Microsoft Entra-organisationen.

   Notera

   Om känslighetsetiketten har aktiverats tidigare visas EnableMIPLabels = True. I det här fallet behöver du inte göra något. Se också till EnableGroupCreation = False om du inte vill att icke-administratörer ska kunna skapa grupper. Se inställningar för mallar för mer information.

4. Använd de nya inställningarna.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

5. Kontrollera att det nya värdet finns.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Om du får ett Request_BadRequest-fel beror det på att inställningarna redan finns i hyresgästen. När du försöker skapa ett nytt property:value par är resultatet ett fel. I det här fallet följer du dessa steg:

1. Utfärda en Get-MgBetaDirectorySetting | FL-cmdlet och kontrollera ID:t. Om det finns flera ID-värden använder du den där du ser egenskapen EnableMIPLabels i inställningarna för Values.
2. Utfärda cmdleten Update-MgBetaDirectorySetting med hjälp av det ID som du hämtade.

Du måste också synkronisera dina känslighetsetiketter med Microsoft Entra-ID. Anvisningar finns i Aktivera känslighetsetiketter för containrar och synkronisera etiketter.

21Vianet

Om du utför dessa Microsoft 365-åtgärder från 21Vianet:

1. Registrera ett Microsoft Entra-ID-program i Microsoft Entra-ID.

2. Ge ditt program API-behörigheter för att komma åt Microsoft Graph, inklusive Directory.ReadWriteAll och Group.ReadWriteAll. Du kan behöva få klientadministratörens uttryckliga medgivande för att bevilja programmet åtkomst till Microsoft Graph.

3. Generera en klienthemlighet och kopiera den. Du behöver klienthemligheten för att ansluta till MS Graph.

4. Kör PowerShell som administratör:

   $ClientSecretCredential = Get-Credential -Credential
   

   När kommandona har körts uppmanas du att ange ett lösenord. Lösenordet är den nya klienthemlighet som du kopierade i tidigare steg.

5. Kör följande kommando för att få åtkomst till MS Graph:

   Connect-MgGraph -TenantId "Current tenant id" - ClientSecretCredential $ClientSecretCredential -Environment China
   

6. Hämta de aktuella gruppinställningarna för Microsoft Entra-organisationen och visa de aktuella gruppinställningarna.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"
   

   Om inga gruppinställningar har skapats för den här Microsoft Entra-organisationen får du en tom skärm. I det här fallet måste du först skapa inställningarna. Följ stegen i Microsoft Entra-cmdletar för att konfigurera gruppinställningar för att skapa gruppinställningar för den här Microsoft Entra-organisationen.

   Notera

   Om känslighetsetiketten har aktiverats tidigare visas EnableMIPLabels = True. I det här fallet behöver du inte göra något. Se också till EnableGroupCreation = False om du inte vill att icke-administratörer ska kunna skapa grupper. Se inställningar för mallar för mer information.

7. Använd de nya inställningarna.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

8. Kontrollera att det nya värdet finns.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Om du får ett Request_BadRequest-fel beror det på att inställningarna redan finns i hyresgästen. När du försöker skapa ett nytt property:value par är resultatet ett fel. I det här fallet följer du dessa steg:

1. Utfärda en Get-MgBetaDirectorySetting | FL-cmdlet och kontrollera ID:t. Om det finns flera ID-värden använder du den där du ser egenskapen EnableMIPLabels i inställningarna för Values.
2. Utfärda cmdleten Update-MgBetaDirectorySetting med hjälp av det ID som du hämtade.

Du måste också synkronisera dina känslighetsetiketter med Microsoft Entra-ID. Anvisningar finns i Aktivera känslighetsetiketter för containrar och synkronisera etiketter.

Tilldela en etikett till en ny grupp i administrationscentret för Microsoft Entra

1. Logga in på Microsoft Entra administrationscenter som minst en gruppadministratör.

2. Välj Microsoft Entra ID.

3. Välj Grupper>Alla grupper>Ny grupp.

4. På sidan Ny grupp väljer du Microsoft 365. Fyll sedan i nödvändig information för den nya gruppen och välj en känslighetsetikett i listan.

   

5. Välj Skapa för att spara ändringarna.

Gruppen skapas och webbplats- och gruppinställningarna som är associerade med den valda etiketten tillämpas sedan automatiskt.

Tilldela en etikett till en befintlig grupp i administrationscentret för Microsoft Entra

1. Logga in på Microsoft Entra administrationscenter som minst en gruppadministratör.

2. Välj Microsoft Entra ID.

3. Välj grupper.

4. På sidan Alla grupper väljer du den grupp som du vill etikettera.

5. På den valda gruppens sida väljer du Egenskaper och väljer en känslighetsetikett i listan.

   

6. Välj Spara för att spara ändringarna.

Ta bort en etikett från en befintlig grupp i administrationscentret för Microsoft Entra

1. Logga in på Microsoft Entra administrationscenter som minst en gruppadministratör.
2. Välj Microsoft Entra ID.
3. Välj grupper>Alla grupper.
4. På sidan Alla grupper väljer du den grupp som du vill ta bort etiketten från.
5. På sidan Grupp väljer du Egenskaper.
6. Välj Ta bort.
7. Välj Spara för att tillämpa ändringarna.

Använda klassiska Microsoft Entra-klassificeringar

När du har aktiverat den här funktionen visas de "klassiska" klassificeringarna för grupper endast på befintliga grupper och webbplatser. Du bör endast använda dem för nya grupper om du skapar grupper i appar som inte stöder känslighetsetiketter. Administratören kan konvertera dem till känslighetsetiketter senare, om det behövs. Klassiska klassificeringar är de gamla klassificeringar som du konfigurerade tidigare. När den här funktionen är aktiverad tillämpas inte dessa klassificeringar på grupper.

Felsökningsproblem

Det här avsnittet innehåller felsökningstips för vanliga problem.

Känslighetsetiketter är inte tillgängliga för tilldelning i en grupp

Alternativet känslighetsetikett visas endast för grupper när alla följande villkor uppfylls:

1. Organisationen har en aktiv Microsoft Entra ID P1-licens.
2. Funktionen är aktiverad och EnableMIPLabels är inställd på True i Microsoft Graph PowerShell-modulen.
3. Känslighetsetiketterna publiceras i Microsoft Purview-portalen eller Microsoft Purview-efterlevnadsportalen för den här Microsoft Entra-organisationen.
4. Etiketter synkroniseras till Microsoft Entra-ID med cmdleten Execute-AzureAdLabelSync i PowerShell-modulen Security & Compliance. Det kan ta upp till 24 timmar efter synkroniseringen för etiketten att vara tillgänglig för Microsoft Entra-ID.
5. Omfånget för känslighetsetiketten måste konfigureras för grupper & och platser.
6. Gruppen är en Microsoft 365-grupp.
7. Den aktuella inloggade användaren:
   1. Har tillräcklig behörighet för att tilldela känslighetsetiketter. Användaren måste vara gruppägare eller minst gruppadministratör.
   2. Måste ligga inom ramen för publiceringspolicy för känslighets-etikett.

Kontrollera att alla föregående villkor är uppfyllda för att tilldela etiketter till en grupp.

Etiketten som du vill tilldela finns inte i listan

Om etiketten du letar efter inte finns i listan:

• Etiketten kanske inte publiceras i Microsoft Purview-portalen eller Microsoft Purview-efterlevnadsportalen. Etiketten kanske inte längre publiceras. Kontakta administratören om du vill ha mer information.
• Etiketten kan publiceras, men den är inte tillgänglig för den användare som är inloggad. Kontakta administratören om du vill ha mer information om hur du får åtkomst till etiketten.

Ändra etiketten i en grupp

Etiketter kan växlas när som helst genom att använda samma steg som att tilldela en etikett till en befintlig grupp:

1. Logga in på Microsoft Entra administrationscenter som minst en gruppadministratör.
2. Välj Microsoft Entra ID.
3. Välj Grupper>Alla grupperoch välj sedan den grupp som du vill märka.
4. På den valda gruppens sida väljer du Egenskaper och väljer en ny känslighetsetikett i listan.
5. Välj Spara.

Gruppinställningsändringar för publicerade etiketter uppdateras inte i grupperna

När du gör ändringar i gruppinställningarna för en publicerad etikett i Microsoft Purview-portalen eller Microsoft Purview-efterlevnadsportalentillämpas inte dessa principändringar automatiskt på de märkta grupperna. När känslighetsetiketten har publicerats och tillämpats på grupper rekommenderar Microsoft att du inte ändrar gruppinställningarna för etiketten i portalen.

Om du måste göra en ändring använder du ett PowerShell-skript för att manuellt tillämpa uppdateringar på de berörda grupperna. Den här metoden ser till att alla befintliga grupper tillämpar den nya inställningen.

Nästa steg

• Använd känslighetsetiketter för att skydda innehåll i Microsoft Teams, Microsoft 365-grupper och SharePoint-webbplatser
• Uppdatera grupper efter att etikettprincipen har ändrats manuellt med Azure AD PowerShell-skript
• Redigera gruppinställningar
• Hantera grupper med hjälp av PowerShell-kommandon