Asignación de etiquetas de confidencialidad a grupos de Microsoft 365 en el identificador de Microsoft Entra

Microsoft Entra ID admite la aplicación de etiquetas de confidencialidad a grupos de Microsoft 365 cuando esas etiquetas se publican en el portal de Microsoft Purview o el portal de cumplimiento de Microsoft Purview y las etiquetas están configuradas para grupos y sitios.

Las etiquetas de confidencialidad se pueden aplicar a grupos entre aplicaciones y servicios como Outlook, Microsoft Teams y SharePoint. Para obtener más información, consulte Soporte con etiquetas de confidencialidad de la documentación de Purview.

Importante

Para configurar esta característica, debe haber al menos una licencia activa de Microsoft Entra ID P1 en su organización de Microsoft Entra.

Habilitar la compatibilidad con etiquetas de confidencialidad en PowerShell

Para aplicar etiquetas publicadas a grupos, primero debe habilitar la característica. Estos pasos habilitan la característica en microsoft Entra ID. El SDK de PowerShell de Microsoft Graph incluye dos módulos, Microsoft.Graph y Microsoft.Graph.Beta.

Todas las regiones operadas por Microsoft deben elegir Microsoft. Todas las demás regiones deben elegir su operador si aparece uno.

Microsoft

1. Abra un símbolo del sistema de PowerShell en el equipo e instale los módulos de Graph necesarios para ejecutar los cmdlets.

   Install-Module Microsoft.Graph -Scope CurrentUser
   Install-Module Microsoft.Graph.Beta -Scope CurrentUser
   

2. Conéctese al inquilino.

   Connect-MgGraph -Scopes "Directory.ReadWrite.All"
   

3. Obtenga la configuración del grupo actual para la organización de Microsoft Entra y muestre la configuración del grupo actual.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting | Where-Object { $_.Values.Name -eq "EnableMIPLabels" }
   $grpUnifiedSetting.Values
   

   Si no se creó ninguna configuración de grupo para esta organización de Microsoft Entra, obtendrá una pantalla vacía. En este caso, primero debe crear la configuración. Siga los pasos descritos en cmdlets de Microsoft Entra para configurar las opciones de grupo para crear opciones de grupo para esta organización de Microsoft Entra.

   Nota

   Si la etiqueta de confidencialidad se ha habilitado anteriormente, verá EnableMIPLabels = True. En este caso, no es necesario hacer nada. Asegúrese también de que EnableGroupCreation = False si no desea que los usuarios que no sean administradores puedan crear grupos. Consulte Configuración de plantillas para más información.

4. Aplique la nueva configuración.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

5. Compruebe que el nuevo valor está presente.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Si recibe un error de Request_BadRequest, se debe a que la configuración ya existe en el inquilino. Al intentar crear un par de property:value nuevo, el resultado es un error. En este caso, siga estos pasos:

1. Emita un cmdlet Get-MgBetaDirectorySetting | FL y compruebe el identificador. Si hay varios valores de identificador, use el que vea la propiedad EnableMIPLabels en los ajustes Valores.
2. Emita el cmdlet Update-MgBetaDirectorySetting con el identificador que recuperó.

También debe sincronizar las etiquetas de confidencialidad con el identificador de Microsoft Entra. Para obtener instrucciones, consulte Habilitar etiquetas de confidencialidad para contenedores y sincronizar etiquetas.

21Vianet

Si realiza estas operaciones de Microsoft 365 desde 21Vianet:

1. Registre una aplicación de Microsoft Entra ID en Microsoft Entra ID.

2. Otorgue a la API de la aplicación permisos para acceder a Microsoft Graph, incluidos Directory.ReadWriteAll y Group.ReadWriteAll. Es posible que necesite obtener el consentimiento explícito del administrador del inquilino para otorgar a la aplicación acceso a Microsoft Graph.

3. Genere un secreto de cliente y cópielo. Necesita el secreto de cliente para conectarse a MS Graph;

4. Ejecute PowerShell como administrador:

   $ClientSecretCredential = Get-Credential -Credential
   

   Después de ejecutar los comandos, se le pedirá que escriba una contraseña. La contraseña es el nuevo secreto de cliente que copió en el paso anterior.

5. Ejecute el siguiente comando para obtener acceso a MS Graph:

   Connect-MgGraph -TenantId "Current tenant id" - ClientSecretCredential $ClientSecretCredential -Environment China
   

6. Obtenga la configuración actual del grupo para la organización de Microsoft Entra y muestre la configuración del grupo actual.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"
   

   Si no se creó ninguna configuración de grupo para esta organización de Microsoft Entra, obtendrá una pantalla vacía. En este caso, primero debe crear la configuración. Siga los pasos descritos en cmdlets de Microsoft Entra para configurar las opciones de grupo para crear opciones de grupo para esta organización de Microsoft Entra.

   Nota

   Si la etiqueta de confidencialidad se ha habilitado anteriormente, verá EnableMIPLabels = True. En este caso, no es necesario hacer nada. Asegúrese de aplicar la configuración EnableGroupCreation = False si no desea que los usuarios que no sean administradores puedan crear grupos. Consulte Configuración de plantillas para más información.

7. Aplique la nueva configuración.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

8. Compruebe que el nuevo valor está presente.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Si recibe un error de Request_BadRequest, se debe a que la configuración ya existe en el inquilino. Al intentar crear un par de property:value nuevo, el resultado es un error. En este caso, siga estos pasos:

1. Emita un cmdlet Get-MgBetaDirectorySetting | FL y compruebe el identificador. Si hay varios valores de identificador, use el que vea la propiedad EnableMIPLabels en los ajustes Valores.
2. Emita el cmdlet Update-MgBetaDirectorySetting utilizando el ID que recuperó.

También debe sincronizar las etiquetas de confidencialidad con el identificador de Microsoft Entra. Para obtener instrucciones, consulte Habilitar etiquetas de confidencialidad para contenedores y sincronizar etiquetas.

Asignar una etiqueta a un nuevo grupo en el Centro de administración de Microsoft Entra

1. Inicie sesión en el Centro de administración Microsoft Entra por lo menos como Administrador de grupos.

2. Seleccione Microsoft Entra ID.

3. Seleccione Grupos>Todos los grupos>Nuevo grupo.

4. En la página Nuevo grupo, seleccione Microsoft 365. A continuación, rellene la información necesaria para el nuevo grupo y seleccione una etiqueta de confidencialidad en la lista.

   

5. Seleccione Crear para guardar los cambios.

El grupo se crea y la configuración de sitio y grupo asociada a la etiqueta seleccionada se aplican automáticamente.

Asignar una etiqueta a un grupo existente en el Centro de administración de Microsoft Entra

1. Inicie sesión en el Centro de administración Microsoft Entra por lo menos como Administrador de grupos.

2. Seleccione Microsoft Entra ID.

3. Seleccione Grupos.

4. En la página Todos los grupos, seleccione el grupo que desea etiquetar.

5. En la página del grupo seleccionado, seleccione Propiedades y una etiqueta de confidencialidad en la lista.

   

6. Seleccione Guardar para guardar los cambios.

Quitar una etiqueta de un grupo existente en el Centro de administración de Microsoft Entra

1. Inicie sesión en el Centro de administración Microsoft Entra por lo menos como Administrador de grupos.
2. Seleccione Microsoft Entra ID.
3. Seleccione Grupos>Todos los grupos.
4. En la página Todos los grupos, seleccione el grupo del que desea quitar la etiqueta.
5. En la página Grupo, seleccione Propiedades.
6. Seleccione Quitar.
7. Seleccione Guardar para aplicar los cambios.

Uso de clasificaciones clásicas de Microsoft Entra

Después de habilitar esta característica, las clasificaciones "clásicas" de los grupos solo aparecen en los sitios y grupos existentes. Solo debe usarlos para nuevos grupos si crea grupos en aplicaciones que no admiten etiquetas de confidencialidad. El administrador puede convertirlos en etiquetas de confidencialidad más adelante, si es necesario. Las clasificaciones clásicas son las clasificaciones antiguas que configuró mediante la definición de valores para la configuración de ClassificationList en PowerShell de Azure AD. Cuando esta característica está habilitada, esas clasificaciones no se aplican a los grupos.

Nota

Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Después de esta fecha, la compatibilidad con estos módulos se limita a la asistencia de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.

Se recomienda migrar a microsoft Graph PowerShell para interactuar con el identificador de Entra de Microsoft (anteriormente Azure AD). Para preguntas comunes sobre la migración, consulte las preguntas más frecuentes sobre la migración de . Nota: versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.

Solución de problemas

En esta sección se ofrecen sugerencias para solucionar problemas comunes.

Las etiquetas de confidencialidad no están disponibles para la asignación en un grupo

La opción de etiqueta de confidencialidad aparece solo para grupos cuando se cumplen todas las condiciones siguientes:

1. La organización tiene una licencia de Microsoft Entra ID P1 activa.
2. La característica está habilitada y EnableMIPLabels se establece en True en el módulo de PowerShell de Microsoft Graph.
3. Las etiquetas de confidencialidad se publican en el portal de Microsoft Purview o en el portal de cumplimiento de Microsoft Purview para esta organización de Microsoft Entra.
4. Las etiquetas se sincronizan con el identificador de Microsoft Entra con el cmdlet Execute-AzureAdLabelSync en el módulo de PowerShell seguridad y cumplimiento. Puede tardar hasta 24 horas después de la sincronización para que la etiqueta esté disponible para el ID de Microsoft Entra.
5. El ámbito de la etiqueta de confidencialidad se debe configurar para grupos y sitios.
6. El grupo es un grupo de Microsoft 365.
7. El usuario que actualmente ha iniciado sesión:
   1. Tiene privilegios suficientes para asignar etiquetas de confidencialidad. El usuario debe ser el propietario del grupo o al menos un administrador de grupos.
   2. Debe estar dentro del ámbito de la directiva de publicación de las etiquetas de confidencialidad.

Asegúrese de que se cumplen todas las condiciones anteriores para asignar etiquetas a un grupo.

La etiqueta que desea asignar no está en la lista

Si la etiqueta que busca no está en la lista:

• Es posible que la etiqueta no se publique en el portal de Microsoft Purview o en el portal de cumplimiento de Microsoft Purview. Además, es posible que la etiqueta ya no se publique. Consulte con el administrador para obtener más información.
• Es posible que la etiqueta se publique, pero no está disponible para el usuario que ha iniciado sesión. Consulte con el administrador para obtener más información sobre cómo obtener acceso a la etiqueta.

Cambiar la etiqueta de un grupo

Las etiquetas se pueden intercambiar en cualquier momento mediante los mismos pasos que la asignación de una etiqueta a un grupo existente:

1. Inicie sesión en el Centro de administración Microsoft Entra por lo menos como Administrador de grupos.
2. Seleccione Microsoft Entra ID.
3. Seleccione Grupos>Todos los gruposy, a continuación, seleccione el grupo que desea etiquetar.
4. En la página del grupo seleccionado, seleccione Propiedades y elija una nueva etiqueta de sensibilidad de la lista.
5. Seleccione Guardar.

Los cambios en la configuración de las etiquetas publicadas no se actualizan en los grupos.

Al realizar cambios en la configuración de grupo de una etiqueta publicada en el portal de Microsoft Purview o el portal de cumplimiento de Microsoft Purview , esos cambios de directiva no se aplican automáticamente en los grupos etiquetados. Después de publicar y aplicar la etiqueta de confidencialidad a los grupos, Microsoft recomienda no cambiar la configuración de grupo de la etiqueta en el portal.

Si debe realizar un cambio, use un script de PowerShell para aplicar manualmente actualizaciones a los grupos afectados. Este método garantiza que todos los grupos existentes apliquen la nueva configuración.

Pasos siguientes

• Usar etiquetas de confidencialidad para proteger el contenido en Microsoft Teams, grupos de Microsoft 365 y sitios de SharePoint
• Actualizar grupos después de cambiar la directiva de etiqueta manualmente con el script de PowerShell de Azure AD
• Editar la configuración del grupo
• Administrar grupos mediante comandos de PowerShell