次の方法で共有

Microsoft Entra ID で Microsoft 365 グループに秘密度ラベルを割り当てる

  • [アーティクル]

Microsoft Entra ID では、Microsoft Purview ポータルまたは Microsoft Purview コンプライアンス ポータル秘密度ラベルが公開され、それらのラベルがグループおよびサイトに対して構成されている場合、Microsoft 365 グループへの秘密度ラベルの適用がサポートされます。

秘密度ラベルは、Outlook、Microsoft Teams、SharePoint などのアプリやサービス全体のグループに適用できます。 詳細については、Purview ドキュメントの秘密度ラベルのサポートに関するページを参照してください。

重要

この機能を構成するには、Microsoft Entra 組織に少なくとも 1 つのアクティブな Microsoft Entra ID P1 ライセンスが必要です。

PowerShell でセンシティビティ・ラベルのサポートを有効にする

発行されたラベルをグループに適用するには、まずこの機能を有効にする必要があります。 次の手順では、Microsoft Entra ID の機能を有効にします。 Microsoft Graph PowerShell SDK には、Microsoft.GraphMicrosoft.Graph.Betaの 2 つのモジュールが含まれています。

Microsoft が運営するすべてのリージョンでは、Microsoft を選択する必要があります。 他のすべてのリージョンでは、演算子が一覧表示されている場合は、その演算子を選択する必要があります。

  1. コンピューターで PowerShell プロンプトを開き、コマンドレットを実行するために必要な Graph モジュールをインストールします。

    Install-Module Microsoft.Graph -Scope CurrentUser
Install-Module Microsoft.Graph.Beta -Scope CurrentUser

  2. テナントに接続します。

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"

  3. Microsoft Entra 組織の現在のグループ設定をフェッチし、現在のグループ設定を表示します。

    $grpUnifiedSetting = Get-MgBetaDirectorySetting | Where-Object { $_.Values.Name -eq "EnableMIPLabels" }
$grpUnifiedSetting.Values

    この Microsoft Entra 組織のグループ設定が作成されていない場合は、空の画面が表示されます。 この場合は、最初に設定を作成する必要があります。 この Microsoft Entra 組織のグループ設定を作成 グループ設定を構成するには、Microsoft Entra コマンドレット の手順に従います。

    手記

    秘密度ラベルが以前に有効になっている場合は、EnableMIPLabels = Trueが表示されます。 この場合、何もする必要はありません。 また、管理者以外のユーザーがグループを作成できないようにする場合は、必ず EnableGroupCreation = False してください。 詳細については、「テンプレート設定の」を参照してください。

  4. 新しい設定を適用します。

    $params = @{
     Values = @(
 	    @{
 		    Name = "EnableMIPLabels"
 		    Value = "True"
 	    }
     )
}

Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params

  5. 新しい値が存在することを確認します。

    $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
$Setting.Values

Request_BadRequest エラーが発生した場合は、設定がテナントに既に存在するためです。 新しい property:value ペアを作成しようとすると、結果はエラーになります。 この場合は、次の手順に従います。

  1. Get-MgBetaDirectorySetting | FL コマンドレットを発行し、ID を確認します。 複数の ID 値が存在する場合は、値の 設定に EnableMIPLabels プロパティが表示される値を使用します。
  2. 取得した ID を使用して、Update-MgBetaDirectorySetting コマンドレットを発行します。

また、秘密度ラベルを Microsoft Entra ID に同期する必要もあります。 手順については、「コンテナーの秘密度ラベルを有効にして、ラベルを同期する」を参照してください。

Microsoft Entra 管理センターで新しいグループにラベルを割り当てる

  1. 少なくとも グループ管理者として、Microsoft Entra 管理センター にサインインします。

  2. Microsoft Entra IDを選択します。

  3. [グループ]>[すべてのグループ]>[新しいグループ] を選択します。

  4. [新しいグループ] ページで、[Microsoft 365] を選択します。 次に、新しいグループに必要な情報を入力し、一覧から秘密度ラベルを選択します。

    [新しいグループ] ページで秘密度ラベルを割り当てる方法を示すスクリーンショット。

  5. [作成] を選択して変更を保存します。

グループが作成され、選択したラベルに関連付けられているサイトとグループの設定が自動的に適用されます。

Microsoft Entra 管理センターで既存のグループにラベルを割り当てる

  1. 少なくとも グループ管理者として、Microsoft Entra 管理センター にサインインします。

  2. Microsoft Entra IDを選択します。

  3. グループを選択します。

  4. [すべてのグループ] ページから、ラベルを付けたいグループを選択します。

  5. 選択したグループのページで、[プロパティ] を選択し、一覧から秘密度ラベルを選択します。

    グループの概要ページに秘密度ラベルを割り当てる方法を示すスクリーンショット。

  6. [保存] を選択して変更を保存します。

Microsoft Entra 管理センターの既存のグループからラベルを削除する

  1. 少なくとも グループ管理者として、Microsoft Entra 管理センター にサインインします。
  2. Microsoft Entra IDを選択します。
  3. グループ>すべてのグループを選択します。
  4. すべてのグループ ページで、ラベルを削除するグループを選択します。
  5. [グループ] ページで、[プロパティ ]を選択します。
  6. [を選択し、を削除します。
  7. [保存] を選択して変更を適用します。

従来の Microsoft Entra 分類を使用する

この機能を有効にすると、グループの "クラシック" 分類は既存のグループとサイトにのみ表示されます。 秘密度ラベルをサポートしていないアプリでグループを作成する場合にのみ、新しいグループに使用する必要があります。 管理者は、必要に応じて後でそれらを機密ラベルに変換できます。 クラシック分類は、Azure AD PowerShell で ClassificationList 設定の値を定義することによって設定した古い分類です。 この機能を有効にすると、それらの分類はグループに適用されません。

手記

Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となります。 詳細については、非推奨の更新プログラムのを参照してください。 この日以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正に限定されます。 非推奨のモジュールは、2025 年 3 月 30 日まで引き続き機能します。

Microsoft Entra ID (旧称 Azure AD) と対話するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、移行に関する FAQを参照してください。 注: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。

問題のトラブルシューティング

このセクションでは、一般的な問題のトラブルシューティングのヒントを提供します。

秘密度ラベルをグループでの割り当てに使用できない

秘密度ラベル オプションは、次のすべての条件が満たされている場合にのみグループに対して表示されます。

  1. 組織には、アクティブな Microsoft Entra ID P1 ライセンスがあります。
  2. この機能は有効になっており、 は Microsoft Graph PowerShell モジュールで true を に設定されています。
  3. 秘密度ラベルは、この Microsoft Entra 組織の Microsoft Purview ポータルまたは Microsoft Purview コンプライアンス ポータルで発行されます。
  4. ラベルは、Security & Compliance PowerShell モジュールの Execute-AzureAdLabelSync コマンドレットを使用して Microsoft Entra ID に同期されます。 ラベルが Microsoft Entra ID で使用できるようになるには、同期後最大 24 時間かかる場合があります。
  5. 秘密度ラベルのスコープ は、グループとサイトに対して構成する必要があります。
  6. グループは Microsoft 365 グループです。
  7. 現在サインインしているユーザー:
    1. 秘密度ラベルを割り当てるための十分な特権があります。 ユーザーは、グループ所有者であるか、少なくともグループ管理者である必要があります。
    2. のセンシティビティラベル発行ポリシーの範囲内にある必要があります。

グループにラベルを割り当てるために、上記のすべての条件が満たされていることを確認します。

割り当てるラベルが一覧にない

探しているラベルが一覧にない場合:

  • ラベルは、Microsoft Purview ポータルまたは Microsoft Purview コンプライアンス ポータルで発行されない場合があります。 また、ラベルが発行されなくなる可能性もあります。 詳細については、管理者に問い合わせてください。
  • ラベルは公開されている可能性がありますが、サインインしているユーザーは使用できません。 ラベルにアクセスする方法の詳細については、管理者に問い合わせてください。

グループのラベルを変更する

ラベルは、既存のグループにラベルを割り当てるのと同じ手順を使用して、いつでもスワップできます。

  1. 少なくとも グループ管理者として、Microsoft Entra 管理センター にサインインします。
  2. Microsoft Entra IDを選択します。
  3. [グループ]>[すべてのグループ] を選択し、ラベルを付けるグループを選択します。
  4. 選択したグループのページで、[プロパティ] を選択し、リストから新しい感度ラベルを選択します。
  5. [保存] を選択します。

発行済みラベルに対するグループ設定の変更がグループで更新されない

Microsoft Purview ポータル または Microsoft Purview コンプライアンス ポータルで発行済みラベルのグループ設定に変更を加えた場合、これらのポリシー変更はラベル付きグループに自動的に適用されません。 秘密度ラベルを発行してグループに適用した後、ポータルでラベルのグループ設定を変更しないことをお勧めします。

変更する必要がある場合は、PowerShell スクリプト を使用して、影響を受けるグループに更新プログラムを手動で適用します。 このメソッドを使用すると、既存のすべてのグループで新しい設定が適用されます。

次の手順