Attribuer des étiquettes de confidentialité à des groupes Microsoft 365 dans l’ID Microsoft Entra

Microsoft Entra ID prend en charge l’application d’étiquettes de confidentialité aux groupes Microsoft 365 lorsque ces étiquettes sont publiées dans le portail Microsoft Purview ou le portail de conformité Microsoft Purview et les étiquettes sont configurées pour les groupes et les sites.

Les étiquettes de confidentialité peuvent être appliquées aux groupes entre les applications et services tels qu’Outlook, Microsoft Teams et SharePoint. Pour obtenir plus d’informations, consultez Prise en charge pour les étiquettes de confidentialité dans la documentation Purview.

Important

Pour configurer cette fonctionnalité, il doit y avoir au moins une licence Microsoft Entra ID P1 active dans votre organisation Microsoft Entra.

Activer la fonctionnalité de prise en charge des étiquettes de sensibilité dans PowerShell.

Pour appliquer des étiquettes publiées à des groupes, vous devez d’abord activer la fonctionnalité. Ces étapes activent la fonctionnalité dans Microsoft Entra ID. Le Kit de développement logiciel (SDK) Microsoft Graph PowerShell est fourni dans deux modules, Microsoft.Graph et Microsoft.Graph.Beta.

Toutes les régions gérées par Microsoft doivent choisir Microsoft. Toutes les autres régions devraient choisir leur opérateur s'il est répertorié.

Microsoft

1. Ouvrez une invite PowerShell sur votre ordinateur et installez les modules Graph requis pour exécuter les applets de commande.

   Install-Module Microsoft.Graph -Scope CurrentUser
   Install-Module Microsoft.Graph.Beta -Scope CurrentUser
   

2. Connectez-vous à votre locataire.

   Connect-MgGraph -Scopes "Directory.ReadWrite.All"
   

3. Récupérez les paramètres de groupe actuels pour l’organisation Microsoft Entra et affichez les paramètres de groupe actuels.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting | Where-Object { $_.Values.Name -eq "EnableMIPLabels" }
   $grpUnifiedSetting.Values
   

   Si aucun paramètre de groupe n’a été créé pour cette organisation Microsoft Entra, vous obtenez un écran vide. Dans ce cas, vous devez d’abord créer les paramètres. Suivez les étapes décrites dans les applets de commande Microsoft Entra pour configurer les paramètres de groupe afin de créer des paramètres de groupe pour cette organisation Microsoft Entra.

   Note

   Si l’étiquette de confidentialité a été activée précédemment, vous voyez EnableMIPLabels = True. Dans ce cas, vous n’avez rien à faire. Assurez-vous également que la condition EnableGroupCreation = False est satisfaite si vous ne souhaitez pas que les utilisateurs non-admin puissent créer des groupes. Pour plus d'informations, consultez les paramètres du modèle .

4. Appliquez les nouveaux paramètres.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

5. Vérifiez que la nouvelle valeur est présente.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Si vous recevez une erreur Request_BadRequest, c’est parce que les paramètres existent déjà dans le locataire. Lorsque vous essayez de créer une paire property:value, le résultat est une erreur. Dans ce cas, procédez comme suit :

1. Émettez une applet de commande Get-MgBetaDirectorySetting | FL et vérifiez l’ID. Si plusieurs valeurs d’ID sont présentes, utilisez celle où vous voyez la propriété EnableMIPLabels sur les paramètres Values.
2. Émettez l’applet de commande Update-MgBetaDirectorySetting à l’aide de l’ID que vous avez récupéré.

Vous devez également synchroniser vos étiquettes de confidentialité avec l’ID Microsoft Entra. Pour obtenir des instructions, consultez Activer les étiquettes de confidentialité pour les conteneurs et synchroniser les étiquettes.

21Vianet

Si vous effectuez ces opérations Microsoft 365 à partir de 21Vianet :

1. Inscrivez une application Microsoft Entra ID dans Microsoft Entra ID.

2. Accordez à votre API d’application des autorisations pour accéder à Microsoft Graph, notamment Directory.ReadWriteAll et Group.ReadWriteAll, vous devrez peut-être obtenir le consentement explicite de l’administrateur client pour accorder à l’application l’accès à Microsoft Graph.

3. Générez un secret client et copiez-le. Vous avez besoin de la clé secrète client pour vous connecter à MS Graph ;

4. Exécutez PowerShell en tant qu’administrateur :

   $ClientSecretCredential = Get-Credential -Credential
   

   Une fois les commandes exécutées, vous êtes invité à entrer un mot de passe. Le mot de passe est le nouveau secret client que vous avez copié à l’étape précédente.

5. Exécutez la commande suivante pour accéder à MS Graph :

   Connect-MgGraph -TenantId "Current tenant id" - ClientSecretCredential $ClientSecretCredential -Environment China
   

6. Récupérez les paramètres de groupe actuels pour l’organisation Microsoft Entra et affichez les paramètres de groupe actuels.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"
   

   Si aucun paramètre de groupe n’a été créé pour cette organisation Microsoft Entra, vous obtenez un écran vide. Dans ce cas, vous devez d’abord créer les paramètres. Suivez les étapes décrites dans les applets de commande Microsoft Entra pour configurer les paramètres de groupe afin de créer des paramètres de groupe pour cette organisation Microsoft Entra.

   Note

   Si l’étiquette de confidentialité a été activée précédemment, vous voyez EnableMIPLabels = True. Dans ce cas, vous n’avez rien à faire. Vérifiez également que EnableGroupCreation = False si vous ne souhaitez pas que les utilisateurs non administrateurs puissent créer des groupes. Pour plus d’informations, consultez Paramètres modèle.

7. Appliquez les nouveaux paramètres.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

8. Vérifiez que la nouvelle valeur est présente.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Si vous recevez une erreur Request_BadRequest, c’est parce que les paramètres existent déjà dans le locataire. Lorsque vous essayez de créer une nouvelle paire property:value, vous obtenez un message d'erreur. Dans ce cas, procédez comme suit :

1. Émettez une applet de commande Get-MgBetaDirectorySetting | FL et vérifiez l’ID. Si plusieurs valeurs d’ID sont présentes, utilisez celle où vous voyez la propriété EnableMIPLabels sur les paramètres Values.
2. Émettez l’applet de commande Update-MgBetaDirectorySetting à l’aide de l’ID que vous avez récupéré.

Vous devez également synchroniser vos étiquettes de confidentialité avec l’ID Microsoft Entra. Pour obtenir des instructions, consultez Activer les étiquettes de confidentialité pour les conteneurs et synchroniser les étiquettes.

Attribuer une étiquette à un nouveau groupe dans le Centre d’administration Microsoft Entra

1. Connectez-vous au centre d'administration Microsoft Entra en tant qu'au moins un administrateur de groupes .

2. Sélectionnez Microsoft Entra ID.

3. Sélectionnez Groupes>Tous les groupes>nouveau groupe.

4. Dans la page Nouveau groupe, sélectionnez Microsoft 365. Renseignez ensuite les informations requises pour le nouveau groupe et sélectionnez une étiquette de confidentialité dans la liste.

   

5. Sélectionnez Créer pour enregistrer vos modifications.

Votre groupe est créé et les paramètres de site et de groupe associés à l’étiquette sélectionnée sont ensuite appliqués automatiquement.

Attribuer une étiquette à un groupe existant dans le Centre d’administration Microsoft Entra

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu'administrateur de groupes au moins.

2. Sélectionnez Microsoft Entra ID.

3. Sélectionnez Groupes.

4. Dans la page Tous les groupes, sélectionnez le groupe que vous souhaitez étiqueter.

5. Sur la page du groupe sélectionné, sélectionnez Propriétés et sélectionnez une étiquette de sensibilité dans la liste.

   

6. Sélectionnez Enregistrer pour enregistrer vos modifications.

Supprimer une étiquette d’un groupe existant dans le Centre d’administration Microsoft Entra

1. Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur de groupes.
2. Sélectionnez Microsoft Entra ID.
3. Sélectionnez Groupes>Tous les groupes.
4. Dans la page Tous les groupes, sélectionnez le groupe dont vous souhaitez supprimer l’étiquette.
5. Dans la page Groupe, sélectionnez Propriétés.
6. Sélectionnez Supprimer.
7. Sélectionnez Enregistrer pour appliquer vos modifications.

Utiliser des classifications Microsoft Entra classiques

Une fois cette fonctionnalité activée, les classifications « classiques » pour les groupes apparaissent uniquement sur les groupes et les sites existants. Vous devez les utiliser uniquement pour les nouveaux groupes si vous créez des groupes dans des applications qui ne prennent pas en charge les étiquettes de confidentialité. Votre administrateur peut les convertir en étiquettes de confidentialité ultérieurement, si nécessaire. Les classifications classiques sont les anciennes classifications que vous avez configurées en définissant des valeurs pour le paramètre ClassificationList dans Azure AD PowerShell. Lorsque cette fonctionnalité est activée, ces classifications ne sont pas appliquées aux groupes.

Note

Les modules Azure AD et MSOnline PowerShell sont déconseillés depuis le 30 mars 2024. Pour en savoir plus, lisez les mises à jour de la dépréciation. Après cette date, la prise en charge de ces modules est limitée à l’assistance de migration vers le Kit de développement logiciel (SDK) Microsoft Graph PowerShell et les correctifs de sécurité. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec l’ID Microsoft Entra (anciennement Azure AD). Pour connaître les questions courantes sur la migration, reportez-vous au forum aux questions sur la migration . Remarque : versions 1.0.x de MSOnline peut rencontrer une interruption après le 30 juin 2024.

Résolution des problèmes

Cette section propose des conseils de dépannage pour les problèmes courants.

Les étiquettes de sensibilité ne peuvent pas être attribuées à un groupe

L’option étiquette de confidentialité s’affiche pour les groupes uniquement lorsque toutes les conditions suivantes sont remplies :

1. L’organisation dispose d’une licence Microsoft Entra ID P1 active.
2. La fonctionnalité est activée et EnableMIPLabels est définie sur True dans le module Microsoft Graph PowerShell.
3. Les étiquettes de confidentialité sont publiées dans le portail Microsoft Purview ou dans le portail de conformité Microsoft Purview pour cette organisation Microsoft Entra.
4. Les étiquettes sont synchronisées avec Microsoft Entra ID avec la cmdlet Execute-AzureAdLabelSync dans le module PowerShell Security & Compliance. Il peut s'écouler jusqu'à 24 heures après la synchronisation avant que l'étiquette soit disponible pour l'ID Microsoft Entra.
5. L’étendue de l’étiquette de confidentialité doit être configurée pour les groupes et les sites.
6. Le groupe est un groupe Microsoft 365.
7. Utilisateur connecté actuel :
   1. Dispose de privilèges suffisants pour attribuer des étiquettes de confidentialité. L’utilisateur doit être le propriétaire du groupe ou au moins un administrateur de groupes.
   2. Doit se trouver dans l’étendue de la stratégie de publication des étiquettes de confidentialité.

Vérifiez que toutes les conditions précédentes sont remplies pour affecter des étiquettes à un groupe.

L’étiquette que vous souhaitez affecter n’est pas dans la liste

Si l’étiquette que vous recherchez n’est pas dans la liste :

• L’étiquette peut ne pas être publiée dans le portail Microsoft Purview ou dans le portail de conformité Microsoft Purview. En outre, l’étiquette peut ne plus être publiée. Pour plus d’informations, contactez votre administrateur.
• L’étiquette peut être publiée, mais elle n’est pas disponible pour l’utilisateur connecté. Consultez votre administrateur pour plus d’informations sur la façon d’accéder à l’étiquette.

Modifier l’étiquette sur un groupe

Les étiquettes peuvent être échangées à tout moment en suivant les mêmes étapes que l’affectation d’une étiquette à un groupe existant :

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu'administrateur de groupes au minimum.
2. Sélectionnez Microsoft Entra ID.
3. Sélectionnez Groupes>Tous les groupes, puis sélectionnez le groupe que vous souhaitez étiqueter.
4. Dans la page du groupe sélectionné, sélectionnez Propriétés et sélectionnez une nouvelle étiquette de sensibilité dans la liste.
5. Sélectionnez Enregistrer.

Les modifications des paramètres de groupe apportées aux étiquettes publiées ne sont pas mises à jour sur les groupes.

Lorsque vous apportez des modifications aux paramètres de groupe d’une étiquette publiée dans le portail Microsoft Purview ou le portail de conformité Microsoft Purview, ces modifications de stratégie ne sont pas automatiquement appliquées aux groupes étiquetés. Une fois l’étiquette de confidentialité publiée et appliquée aux groupes, Microsoft vous recommande de ne pas modifier les paramètres de groupe de l’étiquette dans le portail.

Si vous devez apporter une modification, utilisez un script PowerShell pour appliquer manuellement des mises à jour aux groupes concernés. Cette méthode garantit que tous les groupes existants appliquent le nouveau paramètre.

Étapes suivantes

• Utiliser des étiquettes de confidentialité pour protéger le contenu dans les groupes Microsoft Teams, Microsoft 365 et les sites SharePoint
• Mettre à jour les groupes après la modification manuelle de la stratégie d’étiquette avec le script Azure AD PowerShell
• Modifier les paramètres de votre groupe
• Gérer des groupes à l’aide de commandes PowerShell