Zuweisen von Vertraulichkeitsbezeichnungen zu Microsoft 365-Gruppen in Microsoft Entra ID
Microsoft Entra ID unterstützt das Anwenden von Vertraulichkeitsbezeichnungen auf Microsoft 365-Gruppen, wenn diese Bezeichnungen im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal veröffentlicht werden und für Gruppen und Websites konfiguriert sind.
Vertraulichkeitsbezeichnungen können auf Gruppen über Apps und Dienste wie Outlook, Microsoft Teams und SharePoint hinweg angewandt werden. Weitere Informationen finden Sie in der Purview-Dokumentation unter Unterstützung für Vertraulichkeitsbezeichnungen.
Wichtig
Zum Konfigurieren dieses Features muss mindestens eine aktive Microsoft Entra ID P1-Lizenz in Ihrer Microsoft Entra-Organisation vorhanden sein.
Aktivieren der Unterstützung von Vertraulichkeitsbezeichnungen in PowerShell
Damit veröffentlichte Bezeichnungen auf Gruppen angewendet werden können, müssen Sie zunächst das Feature aktivieren. Diese Schritten aktivieren das Feature in Microsoft Entra ID. Das Microsoft Graph PowerShell SDK umfasst zwei Module, Microsoft.Graph
und Microsoft.Graph.Beta
.
Alle von Microsoft betriebenen Regionen sollten Microsoft auswählen. Alle anderen Regionen sollten ihren Operator auswählen, falls unten aufgeführt.
Öffnen Sie einen PowerShell-Prompt auf Ihrem Computer, und führen Sie die folgenden Befehle aus, um die Ausführung der Cmdlets vorzubereiten.
Install-Module Microsoft.Graph -Scope CurrentUser Install-Module Microsoft.Graph.Beta -Scope CurrentUser
Stellen Sie eine Verbindung mit Ihrem Mandanten her.
Connect-MgGraph -Scopes "Directory.ReadWrite.All"
Rufen Sie die aktuellen Gruppeneinstellungen für die Microsoft Entra-Organisation ab, und zeigen Sie die aktuellen Gruppeneinstellungen an.
$grpUnifiedSetting = Get-MgBetaDirectorySetting | Where-Object { $_.Values.Name -eq "EnableMIPLabels" } $grpUnifiedSetting.Values
Wenn für diese Microsoft Entra-Organisation keine Gruppeneinstellungen erstellt wurden, werden Sie einen leeren Bildschirm erhalten. In diesem Fall müssen Sie zuerst die Einstellungen erstellen. Um Gruppeneinstellungen für diese Microsoft Entra-Organisation zu erstellen, führen Sie die Schritte in Microsoft Entra-Cmdlets zum Konfigurieren von Gruppeneinstellungen aus.
Hinweis
Wenn die Vertraulichkeitsbezeichnung zuvor aktiviert wurde, wird
EnableMIPLabels = True
angezeigt. In diesem Fall müssen Sie nichts mehr tun. Stellen Sie außerdem sicher, dassEnableGroupCreation = False
ist, wenn Sie nicht möchten, dass Benutzerinnen und Benutzer, die keine Admins sind, Gruppen erstellen können. Ausführliche Informationen finden Sie unter Vorlageneinstellungen.Wenden Sie die neuen Einstellungen an.
$params = @{ Values = @( @{ Name = "EnableMIPLabels" Value = "True" } ) } Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
Überprüfen Sie, ob der neue Wert vorhanden ist.
$Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id $Setting.Values
Wenn eine Request_BadRequest
Fehlermeldung angezeigt wird, liegt dies daran, dass die Einstellungen bereits im Mandanten vorhanden sind. Wenn Sie versuchen, ein neues property:value
Paar zu erstellen, ist das Ergebnis ein Fehler. Führen Sie in diesem Fall die folgenden Schritte aus:
- Geben Sie ein
Get-MgBetaDirectorySetting | FL
Cmdlet aus, und überprüfen Sie die ID. Wenn mehrere ID-Werte vorhanden sind, verwenden Sie den Wert, in dem dieEnableMIPLabels
-Eigenschaft in den Values-Einstellungen enthalten ist. - Geben Sie das
Update-MgBetaDirectorySetting
Cmdlet mit der ID aus, die Sie abgerufen haben.
Außerdem müssen Sie Ihre Vertraulichkeitsbezeichnungen mit Microsoft Entra ID synchronisieren. Entsprechende Anweisungen finden Sie unter Aktivieren von Vertraulichkeitsbezeichnungen für Container und Synchronisieren von Bezeichnungen.
Zuweisen einer Bezeichnung zu einer neuen Gruppe im Microsoft Entra Admin Center
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.
Wählen Sie Microsoft Entra ID aus.
Wählen Sie Gruppen>Alle Gruppen>Neue Gruppe aus.
Wählen Sie auf der Seite Neue Gruppe Microsoft 365 aus. Füllen Sie dann die erforderlichen Informationen für die neue Gruppe aus, und wählen Sie anschließend eine Vertraulichkeitsbezeichnung aus der Liste aus.
Wählen Sie Erstellen aus, um Ihre Änderungen zu speichern.
Ihre Gruppe wird erstellt, und die mit der ausgewählten Bezeichnung verbundenen Standort- und Gruppeneinstellungen werden automatisch durchgesetzt.
Zuweisen einer Bezeichnung zu einer vorhandenen Gruppe im Microsoft Entra Admin Center
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.
Wählen Sie Microsoft Entra ID aus.
Gruppen auswählen.
Wählen Sie auf der Seite Alle Gruppen die Gruppe aus, die Sie bezeichnen möchten.
Wählen Sie auf der Seite der ausgewählten Gruppe Eigenschaften und anschließend eine Vertraulichkeitsbezeichnung aus der Liste aus.
Wählen Sie Speichern aus, um die Änderungen zu speichern.
Entfernen einer Bezeichnung aus einer vorhandenen Gruppe im Microsoft Entra Admin Center
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.
- Wählen Sie Microsoft Entra ID aus.
- Wählen Sie Gruppen>Alle Gruppen aus.
- Wählen Sie auf der Seite Alle Gruppen die Gruppe aus, deren Bezeichnung Sie entfernen möchten.
- Wählen Sie auf der Seite Gruppe die Option Eigenschaften aus.
- Wählen Sie Entfernen.
- Klicken Sie zum Übernehmen der Änderungen auf Speichern.
Verwenden von klassischen Microsoft Entra-Klassifizierungen
Nachdem Sie dieses Feature aktiviert haben, werden die „klassischen“ Klassifizierungen für Gruppen nur auf vorhandenen Gruppen und Websites angezeigt. Sie sollten sie nur für neue Gruppen verwenden, wenn Sie Gruppen in Apps erstellen, die Keine Vertraulichkeitsbezeichnungen unterstützen. Ihr Administrator kann sie bei Bedarf später in Vertraulichkeitsbezeichnungen umwandeln. Klassische Klassifizierungen sind die alten Klassifizierungen, die Sie durch Definieren von Werten für die ClassificationList
-Einstellung in Azure AD PowerShell eingerichtet haben. Wenn dieses Feature aktiviert ist, werden diese Klassifizierungen nicht auf Gruppen angewendet.
Hinweis
Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.
Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.
Fragen zur Problembehandlung
Dieser Abschnitt bietet Tipps zur Behandlung häufiger Probleme.
Vertraulichkeitsbezeichnungen sind nicht für die Zuweisung zu einer Gruppe verfügbar
Die Option Vertraulichkeitsbezeichnung wird nur für Gruppen angezeigt, wenn alle der folgenden Bedingungen erfüllt sind.
- Die Organisation verfügt über eine aktive Microsoft Entra ID P1-Lizenz.
- Das Feature ist aktiviert, und
EnableMIPLabels
wird im Microsoft Graph PowerShell-Modul auf True festgelegt. - Die Vertraulichkeitsbezeichnungen werden im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal für diese Microsoft Entra-Organisation veröffentlicht.
- Die Bezeichnungen werden im PowerShell-Modul Security Compliance mit dem
Execute-AzureAdLabelSync
cmdlet mit Microsoft Entra ID synchronisiert. Nach der Synchronisierung kann es bis zu 24 Stunden dauern, bis die Bezeichnung in Microsoft Entra ID verfügbar ist. - Der Vertraulichkeitsbezeichnungsbereich muss für Gruppen und Sites konfiguriert werden.
- Bei der Gruppe handelt es sich um eine Microsoft 365-Gruppe.
- Der aktuell angemeldete Benutzer:
- Verfügt über ausreichende Berechtigungen, um Vertraulichkeitsbezeichnungen zuzuweisen. Der Benutzer muss der Gruppenbesitzer oder mindestens ein Gruppenadministrator sein.
- Muss sich innerhalb des Bereichs der Veröffentlichungsrichtlinie für Vertraulichkeitsbezeichnungen befinden.
Stellen Sie sicher, dass alle Bedingungen erfüllt sind, damit Sie einer Gruppe Bezeichnungen zuweisen können.
Die Bezeichnung, die ich zuweisen möchte, ist nicht in der Liste enthalten
Wenn sich die gesuchte Bezeichnung nicht in der Liste befindet:
- Die Bezeichnung wird möglicherweise nicht im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal veröffentlicht. Außerdem wird die Bezeichnung möglicherweise nicht mehr veröffentlicht. Weitere Informationen erhalten Sie von Ihrem Administrator.
- Die Bezeichnung kann veröffentlicht werden, ist aber für den angemeldeten Benutzer nicht verfügbar. Weitere Informationen zum Zugriff auf die Bezeichnung erhalten Sie von Ihrem Administrator.
Ändern der Bezeichnung einer Gruppe
Bezeichnungen können jederzeit mit denselben Schritten wie bei der Zuweisung eines Bezeichners zu einer bestehenden Gruppe ausgetauscht werden:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.
- Wählen Sie Microsoft Entra ID aus.
- Wählen Sie Alle Gruppen> und dann die Gruppe aus, die Sie bezeichnen möchten.
- Wählen Sie auf der Seite der ausgewählten Gruppe Eigenschaften und anschließend eine neue Vertraulichkeitsbezeichnung aus der Liste aus.
- Wählen Sie Speichern aus.
Änderungen der Gruppeneinstellungen an veröffentlichten Bezeichnungen werden in den Gruppen nicht aktualisiert.
Wenn Sie Änderungen an den Gruppeneinstellungen für eine veröffentlichte Bezeichnung im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal vornehmen, werden diese Richtlinienänderungen nicht automatisch auf die bezeichneten Gruppen angewandt. Nachdem die Vertraulichkeitsbezeichnung veröffentlicht und auf Gruppen angewandt wurde, empfiehlt Microsoft, die Gruppeneinstellungen für die Bezeichnung nicht im Portal zu ändern.
Wenn Sie eine Änderung vornehmen müssen, verwenden Sie ein PowerShell-Skript, um Updates manuell auf die betroffenen Gruppen anzuwenden. Diese Methode stellt sicher, dass alle vorhandenen Gruppen die neue Einstellung erzwingen.
Nächste Schritte
- Verwenden von Vertraulichkeitsbezeichnungen zum Schützen des Inhalts in Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites
- Manuelles Aktualisieren von Gruppen nach der Änderung der Bezeichnungsrichtlinie mit einem Azure AD PowerShell-Skript
- Bearbeiten Ihrer Gruppeneinstellungen
- Verwalten von Gruppen mithilfe von PowerShell-Befehlen