Přiřaďte popisky citlivosti skupinám Microsoft 365 v Microsoft Entra ID.

Microsoft Entra ID podporuje použití popisků citlivosti pro skupiny Microsoftu 365, pokud jsou tyto popisky publikovány na portálu Microsoft Purview nebo portálu dodržování předpisů Microsoft Purview a popisky jsou nakonfigurované pro skupiny a weby.

Popisky citlivosti se dají použít u skupin napříč aplikacemi a službami, jako je Outlook, Microsoft Teams a SharePoint. Další informace najdete v tématu Podpora popisků citlivosti z dokumentace k Purview.

Důležitý

Pokud chcete tuto funkci nakonfigurovat, musí být ve vaší organizaci Microsoft Entra alespoň jedna aktivní licence ID P1.

Povolení podpory označení citlivosti v PowerShellu

Pokud chcete u skupin použít publikované popisky, musíte nejdřív tuto funkci povolit. Tento postup povolí funkci v MICROSOFT Entra ID. Sada Microsoft Graph PowerShell SDK se dodává ve dvou modulech, Microsoft.Graph a Microsoft.Graph.Beta.

Všechny oblasti provozované Microsoftem by měly zvolit Microsoft. Všechny ostatní oblasti by měly zvolit svého operátora, pokud je uvedený.

Microsoft

1. Na počítači otevřete příkazový řádek PowerShellu a nainstalujte moduly Graphu potřebné ke spuštění rutin.

   Install-Module Microsoft.Graph -Scope CurrentUser
   Install-Module Microsoft.Graph.Beta -Scope CurrentUser
   

2. Připojte se ke svému nájemci.

   Connect-MgGraph -Scopes "Directory.ReadWrite.All"
   

3. Získejte aktuální nastavení skupiny pro organizaci Microsoft Entra a zobrazte je.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting | Where-Object { $_.Values.Name -eq "EnableMIPLabels" }
   $grpUnifiedSetting.Values
   

   Pokud pro tuto organizaci Microsoft Entra nebyla vytvořena žádná nastavení skupiny, zobrazí se prázdná obrazovka. V takovém případě musíte nejprve vytvořit nastavení. Postupujte podle pokynů v rutinách Microsoft Entra pro konfiguraci nastavení skupiny a vytvořte nastavení skupiny pro tuto organizaci Microsoft Entra.

   Poznámka

   Pokud byl popisek citlivosti dříve povolený, zobrazí se EnableMIPLabels = True. V takovém případě nemusíte nic dělat. Také se ujistěte, že nastavíte EnableGroupCreation = False, pokud nechcete, aby uživatelé bez oprávnění správce mohli vytvářet skupiny. Další podrobnosti naleznete v části Nastavení šablony.

4. Použijte nové nastavení.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

5. Ověřte, že je k dispozici nová hodnota.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Pokud se zobrazí chyba Request_BadRequest, je to proto, že nastavení už v tenantovi existují. Když se pokusíte vytvořit novou dvojici property:value, výsledkem je chyba. V tomto případě postupujte takto:

1. Zadejte rutinu Get-MgBetaDirectorySetting | FL a zkontrolujte ID. Pokud existuje několik hodnot ID, použijte tu, kde vidíte vlastnost EnableMIPLabels v nastavení Hodnoty.
2. Vydání cmdletu Update-MgBetaDirectorySetting pomocí ID, které jste získali.

Musíte také synchronizovat popisky citlivosti s ID Microsoft Entra. Pokyny najdete v kapitole Povolení popisků citlivosti pro kontejnery a synchronizace popisků.

21Vianet

Pokud provádíte tyto operace Microsoftu 365 z 21Vianet:

1. Zaregistrujte aplikaci Microsoft Entra ID v Microsoft Entra ID.

2. Udělte oprávnění rozhraní API vaší aplikace pro přístup k Microsoft Graphu, včetně Directory.ReadWriteAll a Group.ReadWriteAll, a možná budete muset získat výslovný souhlas správce tenanta, abyste této aplikaci přístup udělili.

3. Vygenerujte tajný klíč klienta a zkopírujte ho. Pro připojení k MS Graphu potřebujete tajný klíč klienta;

4. Spusťte PowerShell jako správce:

   $ClientSecretCredential = Get-Credential -Credential
   

   Po spuštění příkazů se zobrazí výzva k zadání hesla. Heslo je nový tajný klíč klienta, který jste zkopírovali v předchozím kroku.

5. Spuštěním následujícího příkazu získejte přístup k MS Graphu:

   Connect-MgGraph -TenantId "Current tenant id" - ClientSecretCredential $ClientSecretCredential -Environment China
   

6. Načtěte aktuální nastavení skupiny pro organizaci Microsoft Entra a zobrazte aktuální nastavení skupiny.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"
   

   Pokud pro tuto organizaci Microsoft Entra nebyla vytvořena žádná nastavení skupiny, zobrazí se prázdná obrazovka. V takovém případě musíte nejprve vytvořit nastavení. Postupujte podle pokynů v rutinách Microsoft Entra pro konfiguraci nastavení skupiny a vytvořte nastavení skupiny pro tuto organizaci Microsoft Entra.

   Poznámka

   Pokud byl popisek citlivosti dříve povolený, zobrazí se EnableMIPLabels = True. V takovém případě nemusíte nic dělat. Ujistěte se také, že EnableGroupCreation = False, pokud nechcete, aby uživatelé bez oprávnění správce mohli vytvářet skupiny. Podrobnosti najdete v Nastavení šablony.

7. Použijte nové nastavení.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

8. Ověřte, že je k dispozici nová hodnota.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Pokud se zobrazí chyba Request_BadRequest, je to proto, že nastavení už v tenantovi existují. Když se pokusíte vytvořit novou dvojici property:value, výsledkem je chyba. V tomto případě postupujte takto:

1. Zadejte rutinu Get-MgBetaDirectorySetting | FL a zkontrolujte ID. Pokud je přítomno několik hodnot ID, použijte tu, kde vidíte vlastnost EnableMIPLabels v nastavení Hodnoty.
2. Vyřešte rutinu Update-MgBetaDirectorySetting pomocí ID, které jste získali.

Také musíte synchronizovat popisky citlivosti s Microsoft Entra ID. Pokyny viz Povolení popisků citlivosti pro kontejnery a synchronizace popisků.

Přiřaďte nálepku nové skupině v Centru pro správu Microsoft Entra

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce skupin.

2. Vyberte Microsoft Entra ID.

3. Vyberte Skupiny>Všechny skupiny>Nová skupina.

4. Na stránce Nová skupina vyberte Microsoft 365. Pak vyplňte požadované informace pro novou skupinu a ze seznamu vyberte popisek citlivosti.

   

5. Výběrem možnosti Vytvořit uložte změny.

Vaše skupina je vytvořena a nastavení webu a skupiny spojená s vybraným štítkem jsou pak automaticky vynucena.

Přiřaďte štítek existující skupině v Centru pro správu Microsoft Entra

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce skupin.

2. Vyberte Microsoft Entra ID.

3. Vyberte Skupiny.

4. Na stránce Všechny skupiny vyberte skupinu, kterou chcete označit.

5. Na stránce vybrané skupiny vyberte Vlastnosti a ze seznamu vyberte štítek citlivosti.

   

6. Vyberte Uložit a uložte změny.

Odebrat štítek z existující skupiny v Centru pro správu Microsoft Entra

1. Přihlaste se do centra pro správu Microsoft Entra jako alespoňadministrátor skupin .
2. Vyberte Microsoft Entra ID.
3. Vyberte Skupiny>Všechny skupiny.
4. Na stránce Všechny skupiny vyberte skupinu, ze které chcete popisek odebrat.
5. Na stránce Skupina vyberte Vlastnosti.
6. Vyberte Odebrat.
7. Vyberte Uložit pro použití změn.

Použití klasických klasifikací Microsoft Entra

Po povolení této funkce se klasické klasifikace pro skupiny zobrazí jenom na existujících skupinách a webech. Tyto byste měli používat pouze pro nové skupiny, pokud vytváříte skupiny v aplikacích, které nepodporují popisky citlivosti. Správce je může v případě potřeby později převést na popisky citlivosti. Klasické klasifikace jsou staré klasifikace, které jste nastavili definováním hodnot pro nastavení ClassificationList v Azure AD PowerShellu. Pokud je tato funkce povolená, tyto klasifikace se nepoužijí u skupin.

Poznámka

Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci vyřazení . Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.

Doporučujeme migrovat na Microsoft Graph PowerShellu pro interakci s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete vnejčastějších dotazech k migraci . Poznámka: Verze 1.0.x služby MSOnline může být přerušena po 30. červnu 2024.

Řešení potíží

Tato část nabízí tipy pro řešení běžných problémů.

Popisky citlivosti nejsou dostupné pro přiřazení na skupinu.

Možnost popisku citlivosti se zobrazí pro skupiny pouze v případě, že jsou splněny všechny následující podmínky:

1. Organizace má aktivní licenci Microsoft Entra ID P1.
2. Tato funkce je povolená a EnableMIPLabels je nastavená na True v modulu Microsoft Graph PowerShell.
3. Popisky citlivosti se publikují na portálu Microsoft Purview nebo na portálu pro dodržování předpisů Microsoft Purview pro tuto organizaci Microsoft Entra.
4. Popisky se synchronizují s Microsoft Entra ID pomocí rutiny Execute-AzureAdLabelSync v modulu PowerShell pro zajištění bezpečnosti a shody &. Než bude popisek dostupný pro ID Microsoft Entra, může trvat až 24 hodin po synchronizaci.
5. Rozsah popisků citlivosti musí být nakonfigurovaný pro skupiny & weby.
6. Skupina je skupina Microsoft 365.
7. Aktuální přihlášený uživatel:
   1. Má dostatečná oprávnění k přiřazení citlivostních popisků. Uživatel musí být vlastníkem skupiny nebo alespoň správcem skupin.
   2. Musí spadat do rozsahu zásady publikování popisků citlivosti .

Ujistěte se, že jsou splněny všechny předchozí podmínky pro přiřazení popisků ke skupině.

Popisek, který chcete přiřadit, v seznamu není.

Pokud popisek, který hledáte, není v seznamu:

• Popisek nemusí být publikovaný na portálu Microsoft Purview ani na portálu microsoft Purview pro dodržování předpisů. Popisek už nemusí být zveřejněn. Další informace získáte od správce.
• Popisek může být zveřejněn, ale není dostupný přihlášenému uživateli. Další informace o tom, jak získat přístup k štítku, vám poskytne správce.

Změna popisku ve skupině

Štítky je možné kdykoli vyměnit stejnými kroky jako přiřadit štítek k existující skupině.

1. Přihlaste se do centra pro správu Microsoft Entra jakosprávce skupin .
2. Vyberte Microsoft Entra ID.
3. Vyberte Skupiny>Všechny skupinya pak vyberte skupinu, kterou chcete označit.
4. Na stránce vybrané skupiny vyberte Vlastnosti a ze seznamu vyberte nový štítek citlivosti.
5. Vyberte Uložit.

Změny nastavení publikovaných popisků se neaktualizují ve skupinách.

Když provedete změny nastavení skupiny pro publikovaný popisek na portálu portálu Microsoft Purview nebo portálu dodržování předpisů Microsoft Purview, tyto změny zásad se u označených skupin automaticky nepoužijí. Po zveřejnění a použití štítku citlivosti na skupinách Microsoft doporučuje, abyste na portálu neměnili nastavení skupin pro tento štítek.

Pokud potřebujete provést změnu, použijte powershellový skript k ruční instalaci aktualizací pro ovlivněné skupiny. Tato metoda zajistí, že všechny existující skupiny budou uplatňovat nové nastavení.

Další kroky

• Použití popisků citlivosti k ochraně obsahu v Microsoft Teams, skupinách Microsoft 365 a sharepointových webech
• Aktualizovat skupiny ručně po změně zásady popisku pomocí skriptu Azure AD PowerShell
• Upravit nastavení skupiny
• Správa skupin pomocí příkazů PowerShellu