Delen via

Vertrouwelijkheidslabels toewijzen aan Microsoft 365-groepen in Microsoft Entra-id

  • Artikel

Microsoft Entra ID ondersteunt het toepassen van vertrouwelijkheidslabels op Microsoft 365-groepen wanneer deze labels worden gepubliceerd in de Microsoft Purview-portal of de Microsoft Purview-complianceportal en de labels zijn geconfigureerd voor groepen en sites.

Vertrouwelijkheidslabels kunnen worden toegepast op groepen in apps en services zoals Outlook, Microsoft Teams en SharePoint. Zie Ondersteuning voor vertrouwelijkheidslabels in de Purview-documentatie voor meer informatie.

Belangrijk

Als u deze functie wilt configureren, moet er ten minste één actieve Microsoft Entra ID P1-licentie zijn in uw Microsoft Entra-organisatie.

Ondersteuning voor vertrouwelijkheidslabels inschakelen in PowerShell

Als u gepubliceerde labels wilt toepassen op groepen, moet u eerst de functie inschakelen. Met deze stappen schakelt u de functie in Microsoft Entra ID in. De Microsoft Graph PowerShell SDK bestaat uit twee modules, Microsoft.Graph en Microsoft.Graph.Beta.

Alle door Microsoft beheerde regio's moeten Microsoft kiezen. Alle andere regio's moeten hun operator kiezen als deze wordt vermeld.

  1. Open een PowerShell-prompt op uw computer en installeer de Graph-modules die nodig zijn om de cmdlets uit te voeren.

    Install-Module Microsoft.Graph -Scope CurrentUser
Install-Module Microsoft.Graph.Beta -Scope CurrentUser

  2. Maak verbinding met uw tenant.

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"

  3. Haal de huidige groepsinstellingen voor de Microsoft Entra-organisatie op en geef de huidige groepsinstellingen weer.

    $grpUnifiedSetting = Get-MgBetaDirectorySetting | Where-Object { $_.Values.Name -eq "EnableMIPLabels" }
$grpUnifiedSetting.Values

    Als er geen groepsinstellingen zijn gemaakt voor deze Microsoft Entra-organisatie, krijgt u een leeg scherm. In dit geval moet u eerst de instellingen maken. Volg de stappen in Microsoft Entra-cmdlets voor het configureren van groepsinstellingen om groepsinstellingen te maken voor deze Microsoft Entra-organisatie.

    Notitie

    Als het vertrouwelijkheidslabel eerder is ingeschakeld, ziet u EnableMIPLabels = True. In dit geval hoeft u niets te doen. Zorg er ook voor dat EnableGroupCreation = False als u niet wilt dat niet-beheerders groepen kunnen maken. Zie sjablooninstellingen voor meer informatie.

  4. Pas de nieuwe instellingen toe.

    $params = @{
     Values = @(
 	    @{
 		    Name = "EnableMIPLabels"
 		    Value = "True"
 	    }
     )
}

Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params

  5. Controleer of de nieuwe waarde aanwezig is.

    $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
$Setting.Values

Als u een Request_BadRequest fout krijgt, komt dit doordat de instellingen al in de tenant aanwezig zijn. Wanneer u een nieuw property:value paar probeert te maken, is het resultaat een fout. Voer in dit geval de volgende stappen uit:

  1. Geef een Get-MgBetaDirectorySetting | FL cmdlet en controleer de ID. Als er verschillende id-waarden aanwezig zijn, gebruikt u degene waarbij u de eigenschap EnableMIPLabels ziet in de waarden instellingen.
  2. Geef de Update-MgBetaDirectorySetting-cmdlet uit met behulp van de ID die u hebt opgehaald.

U moet uw vertrouwelijkheidslabels ook synchroniseren met Microsoft Entra-id. Zie Vertrouwelijkheidslabels inschakelen voor containers en labels synchroniserenvoor instructies.

Een label toewijzen aan een nieuwe groep in het Microsoft Entra-beheercentrum

  1. Meld u aan bij het Microsoft Entra-beheercentrum als op zijn minst een Groepsbeheerder.

  2. Selecteer Microsoft Entra ID.

  3. Selecteer Groepen>Alle groepen>Nieuwe groep.

  4. Selecteer op de pagina Nieuwe Groep de optie Microsoft 365. Vul vervolgens de vereiste gegevens voor de nieuwe groep in en selecteer een vertrouwelijkheidslabel in de lijst.

    Schermopname van het toewijzen van een vertrouwelijkheidslabel op de pagina Nieuwe groepen.

  5. Selecteer maken om uw wijzigingen op te slaan.

Uw groep wordt aangemaakt en de site- en groepsinstellingen die aan het geselecteerde label zijn gekoppeld, worden daarna automatisch toegepast.

Een label toewijzen aan een bestaande groep in het Microsoft Entra-beheercentrum

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Groepsbeheerder.

  2. Selecteer Microsoft Entra ID.

  3. Selecteer Groepen.

  4. Selecteer op de pagina Alle groepen de groep die u wilt labelen.

  5. Ga naar de pagina van de geselecteerde groep en selecteer Eigenschappen en selecteer een vertrouwelijkheidslabel uit de lijst.

    Schermopname van het toewijzen van een vertrouwelijkheidslabel op de overzichtspagina voor een groep.

  6. Selecteer Opslaan om uw wijzigingen op te slaan.

Een label verwijderen uit een bestaande groep in het Microsoft Entra-beheercentrum

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minstens een Groepsbeheerder.
  2. Selecteer Microsoft Entra ID.
  3. Selecteer Groepen>Alle groepen.
  4. Selecteer op de pagina Alle groepen de groep waaruit u het label wilt verwijderen.
  5. Op de pagina Groep selecteer Eigenschappen.
  6. Selecteer verwijderen.
  7. Selecteer Opslaan om uw wijzigingen toe te passen.

Klassieke Microsoft Entra-classificaties gebruiken

Nadat u deze functie hebt ingeschakeld, worden de klassieke classificaties voor groepen alleen weergegeven op bestaande groepen en sites. U moet deze alleen gebruiken voor nieuwe groepen als u groepen maakt in apps die geen ondersteuning bieden voor vertrouwelijkheidslabels. Uw beheerder kan ze later converteren naar vertrouwelijkheidslabels, indien nodig. Klassieke classificaties zijn de oude classificaties die u instelt door waarden te definiëren voor de ClassificationList-instelling in Azure AD PowerShell. Wanneer deze functie is ingeschakeld, worden deze classificaties niet toegepast op groepen.

Notitie

Azure AD- en MSOnline PowerShell-modules zijn vanaf 30 maart 2024 afgeschaft. Lees de afschaffingsupdatevoor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot migratieondersteuning voor Microsoft Graph PowerShell SDK en beveiligingsoplossingen. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

Het is raadzaam om te migreren naar Microsoft Graph PowerShell- om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratievoor algemene migratievragen. Opmerking: versies 1.0.x van MSOnline kunnen na 30 juni 2024 onderbrekingen ondervinden.

Problemen oplossen

Deze sectie bevat tips voor het oplossen van veelvoorkomende problemen.

Vertrouwelijkheidslabels zijn niet beschikbaar voor toewijzing in een groep

De optie vertrouwelijkheidslabel wordt alleen weergegeven voor groepen wanneer aan alle volgende voorwaarden wordt voldaan:

  1. De organisatie heeft een actieve Licentie voor Microsoft Entra ID P1.
  2. De functie is ingeschakeld en EnableMIPLabels is ingesteld op True in de Microsoft Graph PowerShell-module.
  3. De vertrouwelijkheidslabels worden gepubliceerd in de Microsoft Purview-portal of de Microsoft Purview-complianceportal voor deze Microsoft Entra-organisatie.
  4. Labels worden gesynchroniseerd met Microsoft Entra ID door middel van de Execute-AzureAdLabelSync cmdlet in de PowerShell module Security & Compliance. Het kan tot 24 uur na de synchronisatie duren voordat het label beschikbaar is voor Microsoft Entra ID.
  5. Het bereik van het gevoeligheidslabel moet worden geconfigureerd voor Groepen en sites &.
  6. De groep is een Microsoft 365-groep.
  7. De huidige aangemelde gebruiker:
    1. Heeft voldoende bevoegdheden om vertrouwelijkheidslabels toe te wijzen. De gebruiker moet de groepseigenaar of ten minste een groepsbeheerder zijn.
    2. Moet binnen de reikwijdte van de beleidsregels voor het publiceren van vertrouwelijkheidslabels vallen.

Zorg ervoor dat aan alle voorgaande voorwaarden wordt voldaan om labels toe te wijzen aan een groep.

Het label dat u wilt toewijzen, staat niet in de lijst

Als het label dat u zoekt niet in de lijst staat:

  • Het label wordt mogelijk niet gepubliceerd in de Microsoft Purview-portal of de Microsoft Purview-complianceportal. Het label kan ook niet meer worden uitgegeven. Neem contact op met uw beheerder voor meer informatie.
  • Het label kan worden gepubliceerd, maar is niet beschikbaar voor de gebruiker die is aangemeld. Neem contact op met uw beheerder voor meer informatie over het verkrijgen van toegang tot het label.

Het label op een groep wijzigen

Labels kunnen op elk gewenst moment worden gewisseld met dezelfde stappen als het toewijzen van een label aan een bestaande groep:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Groepsbeheerder.
  2. Selecteer Microsoft Entra ID.
  3. Selecteer Groepen>Alle groepenen selecteer vervolgens de groep die u wilt labelen.
  4. Selecteer op de pagina van de geselecteerde groep Eigenschappen en selecteer een nieuw vertrouwelijkheidslabel in de lijst.
  5. Selecteer opslaan.

Wijzigingen in groepsinstellingen voor gepubliceerde labels zijn niet bijgewerkt in de groepen

Wanneer u wijzigingen aanbrengt in groepsinstellingen voor een gepubliceerd label in de Microsoft Purview-portal of de Microsoft Purview-complianceportal, worden deze beleidswijzigingen niet automatisch toegepast op de gelabelde groepen. Nadat het vertrouwelijkheidslabel is gepubliceerd en toegepast op groepen, raadt Microsoft u aan de groepsinstellingen voor het label in de portal niet te wijzigen.

Als u een wijziging moet aanbrengen, gebruikt u een PowerShell-script om handmatig updates toe te passen op de betrokken groepen. Deze methode zorgt ervoor dat alle bestaande groepen de nieuwe instelling afdwingen.

Volgende stappen