将敏感度标签分配到 Microsoft Entra ID 中的 Microsoft 365 组
如果敏感度标签是在 Microsoft Purview 门户或 Microsoft Purview 合规性门户中发布的,并且这些标签是为组和站点配置的,则 Microsoft Entra ID 支持将这些标签应用于 Microsoft 365 组。
敏感度标签可以应用于跨应用和服务(如 Outlook、Microsoft Teams 和 SharePoint)的组。 有关详细信息,请从 Purview 文档查看对敏感度标签的支持。
重要
若要配置此功能,Microsoft Entra 组织中必须至少有一个有效的 Microsoft Entra ID P1 许可证。
在 PowerShell 中启用敏感度标签支持
若要将已发布的标签应用于组,必须先启用此功能。 这些步骤在 Microsoft Entra ID 中启用该功能。 Microsoft Graph PowerShell SDK 有 2 个模块:Microsoft.Graph 和 Microsoft.Graph.Beta。
所有 Microsoft 运行的区域都应选择 Microsoft。 如果下面列出,所有其他区域都应选择其运算符。
在计算机上打开 PowerShell 提示符,并运行以下命令,准备好运行 cmdlet。
Install-Module Microsoft.Graph -Scope CurrentUser Install-Module Microsoft.Graph.Beta -Scope CurrentUser连接到租户。
Connect-MgGraph -Scopes "Directory.ReadWrite.All"提取 Microsoft Entra 组织的当前组设置并显示当前组设置。
$grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"如果未为此 Microsoft Entra 组织创建任何组设置,将看到一个空白屏幕。 在这种情况下,必须先创建设置。 按照用于配置组设置的 Microsoft Entra cmdlet 中的步骤为此 Microsoft Entra 组织创建组设置。
注意
如果之前启用了敏感度标签,则会看到
EnableMIPLabels = True。 在这种情况下,你无需执行任何其他操作。 此外,如果不想让非管理员用户创建组,请确保EnableGroupCreation = False。 有关详细信息,请参阅模板设置。应用新设置。
$params = @{ Values = @( @{ Name = "EnableMIPLabels" Value = "True" } ) } Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params验证新值是否存在。
$Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id $Setting.Values
如果收到 Request_BadRequest 错误,这是因为租户中已存在此设置。 尝试创新新的 property:value 对时,结果是错误。 在这种情况下,请执行以下步骤:
- 发出
Get-MgBetaDirectorySetting | FLcmdlet 并检查 ID。 如果存在多个 ID 值,请使用在“值”设置中为EnableMIPLabels属性使用的值。 - 使用检索到的 ID 发出
Update-MgBetaDirectorySettingcmdlet。
还需要将敏感度标签与 Microsoft Entra ID 同步。 有关说明,请参阅为容器启用敏感度标签以及同步标签。
在 Microsoft Entra 管理中心将标签分配给新组
至少以组管理员身份登录到 Microsoft Entra 管理中心。
选择“Microsoft Entra ID”。
选择“组”>“所有组”>“新建组” 。
在“新建组”页面上,选择 Microsoft 365。 然后填写新组所需的信息,然后从列表中选择一个敏感度标签。
选择“创建”以保存更改。
组即已创建,并且将自动强制实施与选定标签关联的站点和组设置。
将标签分配给 Microsoft Entra 管理中心中的现有组
至少以组管理员身份登录到 Microsoft Entra 管理中心。
选择“Microsoft Entra ID”。
选择组。
在“所有组”页面中,选择要添加标签的组。
在选定组的页面上,选择“属性”,然后从列表中选择一个敏感度标签。
选择“保存”以保存更改。
从 Microsoft Entra 管理中心的现有组中删除标签
- 至少以组管理员身份登录到 Microsoft Entra 管理中心。
- 选择“Microsoft Entra ID”。
- 选择“组”>“所有组” 。
- 在“所有组”页面中,选择要从中删除标签的组。
- 在“组”页面上,选择“属性”。
- 选择“删除” 。
- 单击“保存”应用所做的更改。
使用经典 Microsoft Entra 分类
启用此功能后,组的“经典”分类仅显示在现有组和网站上。 仅当在不支持敏感度标签的应用中创建组时,才应将其用于新组。 稍后管理员可以根据需要将其转换为敏感度标签。 经典分类是指通过在 Azure AD PowerShell 中为 ClassificationList 设置定义值来设置的旧分类。 启用此功能后,这些分类不会应用于组。
注意
自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模块已弃用。 若要了解详细信息,请阅读有关弃用的更新。 在此日期之后,对这些模块的支持仅限于到 Microsoft Graph PowerShell SDK 的迁移帮助和安全性修复。 弃用的模块将持续运行至 2025 年 3 月 30 日。
我们建议迁移到 Microsoft Graph PowerShell,以便与 Microsoft Entra ID(以前称为 Azure AD)进行交互。 有关常见迁移问题,请参阅迁移常见问题解答。 注意:2024 年 6 月 30 日之后,MSOnline 版本 1.0.x 可能会遇到中断。
对问题进行故障排除
本部分提供常见问题的故障排除提示。
敏感度标签不适用于对组的分配
仅当满足以下所有条件时,才会为组显示敏感度标签选项:
- 组织具有有效的 Microsoft Entra ID P1 许可证。
- 启用此功能后,Microsoft Graph PowerShell 模块中的
EnableMIPLabels将设置为 True。 - 敏感度标签是在此 Microsoft Entra 组织的 Microsoft Purview 门户或 Microsoft Purview 合规性门户中发布的。
- 标签通过安全性和符合性 PowerShell 模块中的
Execute-AzureAdLabelSynccmdlet 同步到 Microsoft Entra ID。 在同步后,可能最长会需要 24 小时才能使标签可用于 Microsoft Entra ID。 - 必须为“组和站点”配置敏感度标签范围。
- 组为 Microsoft 365 组。
- 当前已登录用户:
- 有足够的权限来分配敏感度标签。 用户必须是组所有者或至少是组管理员。
- 必须在敏感度标签发布策略的范围内。
请确保满足所有条件,以便将标签分配给组。
列表中没有要分配的标签
如果要查找的标签不在列表中:
- 标签可能不会在 Microsoft Purview 门户或 Microsoft Purview 合规性门户中发布。 此外,标签可能不再发布。 有关详细信息,请与管理员联系。
- 标签可能已发布,但无法供已登录的用户使用。 有关如何获取标签访问权限的详细信息,请咨询管理员。
更改组的标签
可以使用与向现有组分配标签的相同步骤随时交换标签:
- 至少以组管理员身份登录到 Microsoft Entra 管理中心。
- 选择“Microsoft Entra ID”。
- 选择“组”>“所有组”,然后选择要标记的组。
- 在选定组的页面上,选择“属性”,然后从列表中选择一个新的敏感度标签。
- 选择“保存”。
对已发布标签的组设置所做的更改不会在组中更新
当你在 Microsoft Purview 门户或 Microsoft Purview 合规性门户中对已发布标签的组设置进行更改时,这些策略更改不会自动应用于带标签的组。 发布敏感度标签并将其应用于组后,Microsoft 建议不要在门户中更改标签的组设置。
如果必须进行更改,请使用 PowerShell 脚本将更新手动应用于受影响的组。 此方法可确保所有现有组都强制实施新的设置。