Assegnare etichette di riservatezza ai gruppi di Microsoft 365 in Microsoft Entra ID

Microsoft Entra ID supporta l'applicazione di etichette di riservatezza ai gruppi di Microsoft 365 quando tali etichette vengono pubblicate nel portale di Microsoft Purview o nel portale di conformità di Microsoft Purview e le etichette sono configurate per gruppi e siti.

Le etichette di riservatezza possono essere applicate ai gruppi tra app e servizi, ad esempio Outlook, Microsoft Teams e SharePoint. Per altre informazioni, vedere Supporto per le etichette di riservatezza dalla documentazione di Purview.

Importante

Per configurare questa funzionalità, deve essere presente almeno una licenza Microsoft Entra ID P1 attiva nell'organizzazione Microsoft Entra.

Abilitare il supporto delle etichette di riservatezza in PowerShell

Per applicare le etichette pubblicate ai gruppi, è prima necessario abilitare la funzionalità. Questi passaggi abilitano la funzionalità in Microsoft Entra ID. Microsoft Graph PowerShell SDK è disponibile in due moduli, Microsoft.Graph e Microsoft.Graph.Beta.

Tutte le aree gestite da Microsoft devono scegliere Microsoft. Tutte le altre aree devono scegliere l'operatore se uno è elencato.

Microsoft

1. Aprire un prompt di PowerShell nel computer e installare i moduli Graph necessari per eseguire i cmdlet.

   Install-Module Microsoft.Graph -Scope CurrentUser
   Install-Module Microsoft.Graph.Beta -Scope CurrentUser
   

2. Connetti al tenant.

   Connect-MgGraph -Scopes "Directory.ReadWrite.All"
   

3. Recuperare le impostazioni correnti del gruppo per l'organizzazione Microsoft Entra e visualizzare le impostazioni correnti del gruppo.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting | Where-Object { $_.Values.Name -eq "EnableMIPLabels" }
   $grpUnifiedSetting.Values
   

   Se non sono state create impostazioni di gruppo per l'organizzazione Microsoft Entra, viene visualizzata una schermata vuota. In questo caso, è prima necessario creare le impostazioni. Seguire i passaggi descritti in cmdlet di Microsoft Entra per configurare le impostazioni di gruppo per creare le impostazioni di gruppo per l'organizzazione Microsoft Entra.

   Nota

   Se l'etichetta di riservatezza è stata abilitata in precedenza, verrà visualizzato EnableMIPLabels = True. In questo caso, non è necessario eseguire alcuna operazione. Assicurarsi anche di controllare EnableGroupCreation = False, se non si desidera che gli utenti non amministratori possano creare gruppi. Consultare impostazioni del modello per informazioni dettagliate.

4. Applicare le nuove impostazioni.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

5. Verificare che il nuovo valore sia presente.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Se viene visualizzato un errore di Request_BadRequest, è perché le impostazioni esistono già nel tenant. Quando si tenta di creare una nuova coppia di property:value, il risultato è un errore. In questo caso, seguire questa procedura:

1. Emettere un cmdlet Get-MgBetaDirectorySetting | FL e controllare l'ID. Se sono presenti diversi valori ID, usare quello in cui viene visualizzata la proprietà EnableMIPLabels nelle impostazioni Valori.
2. Eseguire il cmdlet Update-MgBetaDirectorySetting usando l'ID recuperato.

È anche necessario sincronizzare le etichette di riservatezza con Microsoft Entra ID. Per istruzioni, vedere Abilitare le etichette di riservatezza per i contenitori e sincronizzare le etichette.

21Vianet

Se si eseguono queste operazioni di Microsoft 365 da 21Vianet:

1. Registrare un'applicazione Microsoft Entra ID in Microsoft Entra ID.

2. Concedi all'API della tua applicazione le autorizzazioni per accedere a Microsoft Graph, tra cui Directory.ReadWriteAll e Group.ReadWriteAll, potrebbe essere necessario ottenere il consenso esplicito dell'amministratore del tenant per concedere all'applicazione l'accesso a Microsoft Graph.

3. Generare una chiave segreta del client e copiarla. È necessario il segreto client per connettersi a MS Graph;

4. Eseguire PowerShell come amministratore:

   $ClientSecretCredential = Get-Credential -Credential
   

   Dopo l'esecuzione dei comandi, verrà richiesto di immettere una password. La password è il nuovo segreto del client copiato nel passaggio precedente.

5. Eseguire il comando seguente per ottenere l'accesso a MS Graph:

   Connect-MgGraph -TenantId "Current tenant id" - ClientSecretCredential $ClientSecretCredential -Environment China
   

6. Recuperare le impostazioni correnti del gruppo per l'organizzazione Microsoft Entra e visualizzare le impostazioni correnti del gruppo.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"
   

   Se non sono state create impostazioni di gruppo per l'organizzazione Microsoft Entra, viene visualizzata una schermata vuota. In questo caso, è prima necessario creare le impostazioni. Per configurare le impostazioni di gruppo per questa organizzazione Microsoft Entra, seguire i passaggi descritti nei cmdlet di Microsoft Entra .

   Nota

   Se l'etichetta di riservatezza è stata abilitata in precedenza, vedrai EnableMIPLabels = True. In questo caso, non è necessario eseguire alcuna operazione. Assicurati anche che EnableGroupCreation = False sia impostato se non vuoi che gli utenti non amministratori possano creare gruppi. Per informazioni dettagliate, vedere impostazioni del modello.

7. Applicare le nuove impostazioni.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

8. Verificare che il nuovo valore sia presente.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Se viene visualizzato un errore di Request_BadRequest, è perché le impostazioni esistono già nel tenant. Quando si tenta di creare una nuova coppia di property:value, il risultato è un errore. In questo caso, seguire questa procedura:

1. Emettere un cmdlet Get-MgBetaDirectorySetting | FL e controllare l'ID. Se sono presenti diversi valori ID, usare quello in cui viene visualizzata la proprietà EnableMIPLabels nelle impostazioni Valori.
2. Emesso il cmdlet Update-MgBetaDirectorySetting utilizzando l'ID recuperato.

È anche necessario sincronizzare le etichette di riservatezza con Microsoft Entra ID. Per ulteriori istruzioni, consultare Abilitare le etichette di riservatezza per i contenitori e sincronizzare le etichette.

Assegnare un'etichetta a un nuovo gruppo nell'interfaccia di amministrazione di Microsoft Entra

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno un amministratore dei gruppi di .

2. Selezionare Microsoft Entra ID.

3. Selezionare Gruppi>Tutti i gruppi>Nuovo gruppo.

4. Nella pagina Nuovo gruppo selezionare Microsoft 365. Compilare quindi le informazioni necessarie per il nuovo gruppo e selezionare un'etichetta di riservatezza dall'elenco.

   

5. Selezionare Crea per salvare le modifiche.

Il gruppo viene creato e vengono applicate automaticamente le impostazioni del sito e del gruppo associate all'etichetta selezionata.

Assegnare un'etichetta a un gruppo esistente nell'interfaccia di amministrazione di Microsoft Entra

1. Accedi al centro di amministrazione di Microsoft Entra come almeno un Amministratore dei gruppi .

2. Selezionare Microsoft Entra ID.

3. Selezionare Gruppi.

4. Nella pagina Tutti i gruppi selezionare il gruppo da etichettare.

5. Nella pagina del gruppo selezionato selezionare Proprietà e selezionare un'etichetta di riservatezza dall'elenco.

   

6. Selezionare Salva per salvare le modifiche.

Rimuovere un'etichetta da un gruppo esistente nell'interfaccia di amministrazione di Microsoft Entra

1. Accedi al centro di amministrazione di Microsoft Entra come almeno un amministratore dei gruppi.
2. Selezionare Microsoft Entra ID.
3. Selezionare Gruppi>Tutti i gruppi.
4. Nella pagina Tutti i gruppi selezionare il gruppo da cui si vuole rimuovere l'etichetta.
5. Nella pagina del gruppo , seleziona Proprietà.
6. Selezionare Rimuovi.
7. Selezionare Salva per applicare le modifiche.

Usare le classificazioni classiche di Microsoft Entra

Dopo aver abilitato questa funzionalità, le classificazioni "classiche" per i gruppi vengono visualizzate solo nei gruppi e nei siti esistenti. È consigliabile usarli per i nuovi gruppi solo se si creano gruppi in app che non supportano le etichette di riservatezza. L'amministratore può convertirli in etichette di riservatezza in un secondo momento, se necessario. Le classificazioni classiche sono le classificazioni precedenti configurate definendo i valori per l'impostazione ClassificationList in Azure AD PowerShell. Quando questa funzionalità è abilitata, tali classificazioni non vengono applicate ai gruppi.

Nota

I moduli di Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per saperne di più, leggi l'aggiornamento sulla dismissione . Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, vedere domande frequenti sulla migrazione . Nota: Le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

Risoluzione dei problemi

Questa sezione offre suggerimenti per la risoluzione dei problemi comuni.

Le etichette di riservatezza non sono disponibili per l'assegnazione a un determinato gruppo

L'opzione etichetta di riservatezza viene visualizzata per i gruppi solo quando vengono soddisfatte tutte le condizioni seguenti:

1. L'organizzazione dispone di una licenza Microsoft Entra ID P1 attiva.
2. La funzionalità è abilitata e EnableMIPLabels è impostata su True nel modulo Microsoft Graph PowerShell.
3. Le etichette di riservatezza vengono pubblicate nel portale di Microsoft Purview o nel portale di conformità di Microsoft Purview per questa organizzazione Microsoft Entra.
4. Le etichette vengono sincronizzate con Microsoft Entra ID tramite il cmdlet Execute-AzureAdLabelSync nel modulo PowerShell di Sicurezza e Conformità &. La sincronizzazione dell'etichetta può richiedere fino a 24 ore prima che l'etichetta sia disponibile per Microsoft Entra ID.
5. L'ambito dell'etichetta di riservatezza deve essere configurato per i gruppi & Siti.
6. Il gruppo è un gruppo di Microsoft 365.
7. L'utente attualmente connesso
   1. Dispone di privilegi sufficienti per assegnare etichette di riservatezza. L'utente deve essere il proprietario del gruppo o almeno un amministratore di gruppi.
   2. Deve rientrare nella portata della politica di pubblicazione delle etichette di riservatezza .

Assicurarsi che tutte le condizioni precedenti siano soddisfatte per assegnare etichette a un gruppo.

L'etichetta da assegnare non è presente nell'elenco

Se l'etichetta che si sta cercando non è presente nell'elenco:

• L'etichetta potrebbe non essere pubblicata nel portale di Microsoft Purview o nel portale di conformità di Microsoft Purview. Inoltre, l'etichetta potrebbe non essere più pubblicata. Per altre informazioni, rivolgersi all'amministratore.
• L'etichetta potrebbe essere pubblicata, ma non è disponibile per l'utente che ha eseguito l'accesso. Rivolgersi all'amministratore per altre informazioni su come ottenere l'accesso all'etichetta.

Modificare l'etichetta di un gruppo

Le etichette possono essere scambiate in qualsiasi momento usando gli stessi passaggi dell'assegnazione di un'etichetta a un gruppo esistente:

1. Accedi al centro di amministrazione di Microsoft Entra come almeno un amministratore dei gruppi .
2. Selezionare Microsoft Entra ID.
3. Selezionare Gruppi>Tutti i gruppie quindi selezionare il gruppo da etichettare.
4. Nella pagina del gruppo selezionato, selezionare Proprietà e scegliere una nuova etichetta di sensibilità dall'elenco.
5. Selezionare Salva.

Le modifiche delle impostazioni di gruppo alle etichette pubblicate non vengono aggiornate nei gruppi

Quando si apportano modifiche alle impostazioni di gruppo per un'etichetta pubblicata nel portale di Microsoft Purview o nel portale di conformità di Microsoft Purview , tali modifiche ai criteri non vengono applicate automaticamente ai gruppi etichettati. Dopo la pubblicazione e l'applicazione dell'etichetta di sensibilità ai gruppi, Microsoft consiglia di non modificare le impostazioni del gruppo relative all'etichetta nel portale.

Se è necessario apportare una modifica, usare uno script di PowerShell per applicare manualmente gli aggiornamenti ai gruppi interessati. Questo metodo garantisce che tutti i gruppi esistenti applichino la nuova impostazione.

Passaggi successivi

• Usare le etichette di riservatezza per proteggere il contenuto in Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint
• Aggiornare manualmente i gruppi dopo la modifica dei criteri dell'etichetta con lo script di Azure AD PowerShell
• Modificare le impostazioni del gruppo
• Gestire i gruppi usando i comandi di PowerShell