Przypisywanie etykiet poufności do grup platformy Microsoft 365 w identyfikatorze Entra firmy Microsoft

Identyfikator entra firmy Microsoft obsługuje stosowanie etykiet poufności do grup platformy Microsoft 365, gdy te etykiety są publikowane w portalu Microsoft Purview lub portal zgodności Microsoft Purview, a etykiety są konfigurowane dla grup i witryn.

Etykiety poufności można stosować do grup w aplikacjach i usługach, takich jak Outlook, Microsoft Teams i SharePoint. Aby uzyskać więcej informacji, zobacz Obsługa etykiet poufności w dokumentacji usługi Purview.

Ważne

Aby skonfigurować tę funkcję, musi istnieć co najmniej jedna aktywna licencja microsoft Entra ID P1 w organizacji firmy Microsoft Entra.

Włączanie obsługi etykiet poufności w programie PowerShell

Aby zastosować opublikowane etykiety do grup, należy najpierw włączyć tę funkcję. Te kroki umożliwiają włączenie funkcji w identyfikatorze Entra firmy Microsoft. Zestaw SDK programu PowerShell programu Microsoft Graph jest dostępny w dwóch modułach: Microsoft.Graph i Microsoft.Graph.Beta.

Wszystkie regiony obsługiwane przez firmę Microsoft powinny wybrać firmę Microsoft. Wszystkie inne regiony powinny wybrać operatora, jeśli zostały wymienione poniżej.

Microsoft

1. Otwórz wiersz polecenia programu PowerShell na komputerze i uruchom następujące polecenia, aby przygotować się do uruchomienia poleceń cmdlet.

   Install-Module Microsoft.Graph -Scope CurrentUser
   Install-Module Microsoft.Graph.Beta -Scope CurrentUser
   

2. Połącz się z dzierżawą.

   Connect-MgGraph -Scopes "Directory.ReadWrite.All"
   

3. Pobierz bieżące ustawienia grupy dla organizacji Microsoft Entra i wyświetl bieżące ustawienia grupy.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting | Where-Object { $_.Values.Name -eq "EnableMIPLabels" }
   $grpUnifiedSetting.Values
   

   Jeśli dla tej organizacji firmy Microsoft Entra nie utworzono żadnych ustawień grupy, zostanie wyświetlony pusty ekran. W takim przypadku należy najpierw utworzyć ustawienia. Wykonaj kroki opisane w temacie Microsoft Entra cmdlets for configuring group settings to create group settings for this Microsoft Entra organization (Konfigurowanie ustawień grupy w celu utworzenia ustawień grupy dla tej organizacji firmy Microsoft Entra).

   Uwaga

   Jeśli etykieta poufności została wcześniej włączona, zostanie wyświetlona pozycja EnableMIPLabels = True. W takim przypadku nie musisz nic robić. Upewnij się również, że EnableGroupCreation = False jeśli nie chcesz, aby użytkownicy niebędący administratorami mogli tworzyć grupy. Aby uzyskać szczegółowe informacje, zobacz Ustawienia szablonu.

4. Zastosuj nowe ustawienia.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

5. Sprawdź, czy nowa wartość jest obecna.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Jeśli wystąpi Request_BadRequest błąd, oznacza to, że ustawienia już istnieją w dzierżawie. Podczas próby utworzenia nowej property:value pary wynik jest błędem. W takim przypadku wykonaj następujące kroki:

1. Wydaj Get-MgBetaDirectorySetting | FL polecenie cmdlet i sprawdź identyfikator. Jeśli istnieje kilka wartości identyfikatorów, użyj wartości, w której jest widoczna EnableMIPLabels właściwość w ustawieniach Wartości .
2. Wydaj Update-MgBetaDirectorySetting polecenie cmdlet przy użyciu pobranego identyfikatora.

Należy również zsynchronizować etykiety poufności z identyfikatorem Entra firmy Microsoft. Aby uzyskać instrukcje, zobacz Włączanie etykiet poufności dla kontenerów i synchronizowanie etykiet.

21Vianet

Jeśli wykonujesz te operacje M365 z 21Vianet:

1. Zarejestruj aplikację Microsoft Entra ID w identyfikatorze Entra firmy Microsoft.

2. Udziel uprawnień interfejsu API aplikacji w celu uzyskania dostępu do programu Microsoft Graph, w tym Directory.ReadWriteAll i Group.ReadWriteAll, może być konieczne uzyskanie jawnej zgody administratora dzierżawy na udzielenie aplikacji dostępu do usługi Microsft Graph.

3. Wygeneruj klucz tajny klienta i skopiuj go. Klucz tajny klienta będzie potrzebny do nawiązania połączenia z usługą MS Graph;

4. Uruchom program PowerShell jako administrator:

   $ClientSecretCredential = Get-Credential -Credential
   

   Po uruchomieniu poleceń zostanie wyświetlony monit o wprowadzenie hasła. Hasło to nowy klucz tajny klienta skopiowany we wcześniejszym kroku.

5. Uruchom następujące polecenie, aby uzyskać dostęp do programu MS Graph:

   Connect-MgGraph -TenantId "Current tenant id" - ClientSecretCredential $ClientSecretCredential -Environment China
   

6. Pobierz bieżące ustawienia grupy dla organizacji Microsoft Entra i wyświetl bieżące ustawienia grupy.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"
   

   Jeśli dla tej organizacji firmy Microsoft Entra nie utworzono żadnych ustawień grupy, zostanie wyświetlony pusty ekran. W takim przypadku należy najpierw utworzyć ustawienia. Wykonaj kroki opisane w temacie Microsoft Entra cmdlets for configuring group settings to create group settings for this Microsoft Entra organization (Konfigurowanie ustawień grupy w celu utworzenia ustawień grupy dla tej organizacji firmy Microsoft Entra).

   Uwaga

   Jeśli etykieta poufności została wcześniej włączona, zostanie wyświetlona pozycja EnableMIPLabels = True. W takim przypadku nie musisz nic robić. Upewnij się również, że EnableGroupCreation = False jeśli nie chcesz, aby użytkownicy niebędący administratorami mogli tworzyć grupy. Aby uzyskać szczegółowe informacje, zobacz Ustawienia szablonu.

7. Zastosuj nowe ustawienia.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

8. Sprawdź, czy nowa wartość jest obecna.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Jeśli wystąpi Request_BadRequest błąd, oznacza to, że ustawienia już istnieją w dzierżawie. Podczas próby utworzenia nowej property:value pary wynik jest błędem. W takim przypadku wykonaj następujące kroki:

1. Wydaj Get-MgBetaDirectorySetting | FL polecenie cmdlet i sprawdź identyfikator. Jeśli istnieje kilka wartości identyfikatorów, użyj wartości, w której jest widoczna EnableMIPLabels właściwość w ustawieniach Wartości .
2. Wydaj Update-MgBetaDirectorySetting polecenie cmdlet przy użyciu pobranego identyfikatora.

Należy również zsynchronizować etykiety poufności z identyfikatorem Entra firmy Microsoft. Aby uzyskać instrukcje, zobacz Włączanie etykiet poufności dla kontenerów i synchronizowanie etykiet.

Przypisywanie etykiety do nowej grupy w centrum administracyjnym firmy Microsoft Entra

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator grup.

2. Wybierz Microsoft Entra ID.

3. Wybierz pozycję Grupy>Wszystkie grupy>Nowa grupa.

4. Na stronie Nowa grupa wybierz pozycję Microsoft 365. Następnie wypełnij wymagane informacje dla nowej grupy i wybierz etykietę poufności z listy.

   

5. Wybierz pozycję Utwórz , aby zapisać zmiany.

Grupa zostanie utworzona, a ustawienia witryny i grupy skojarzone z wybraną etykietą zostaną automatycznie wymuszone.

Przypisywanie etykiety do istniejącej grupy w centrum administracyjnym firmy Microsoft Entra

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator grup.

2. Wybierz Microsoft Entra ID.

3. Wybierz pozycję Grupy.

4. Na stronie Wszystkie grupy wybierz grupę, którą chcesz oznaczyć.

5. Na stronie wybranej grupy wybierz pozycję Właściwości i wybierz etykietę poufności z listy.

   

6. Wybierz Zapisz, aby zapisać zmiany.

Usuwanie etykiety z istniejącej grupy w centrum administracyjnym firmy Microsoft Entra

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator grup.
2. Wybierz Microsoft Entra ID.
3. Wybierz pozycję Grupy>Wszystkie grupy.
4. Na stronie Wszystkie grupy wybierz grupę, z której chcesz usunąć etykietę.
5. Na stronie Grupa wybierz pozycję Właściwości.
6. Wybierz Usuń.
7. Wybierz pozycję Zapisz, aby zastosować zmiany.

Używanie klasycznych klasyfikacji entra firmy Microsoft

Po włączeniu tej funkcji klasyfikacje "klasyczne" dla grup są wyświetlane tylko w istniejących grupach i witrynach. Należy ich używać tylko w przypadku nowych grup, jeśli tworzysz grupy w aplikacjach, które nie obsługują etykiet poufności. Administrator może później przekonwertować je na etykiety poufności. Klasyfikacje klasyczne to stare klasyfikacje konfigurowane przez zdefiniowanie wartości dla ClassificationList ustawienia w programie Azure AD PowerShell. Po włączeniu tej funkcji te klasyfikacje nie są stosowane do grup.

Uwaga

Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Rozwiązywanie problemów

Ta sekcja zawiera porady dotyczące rozwiązywania typowych problemów.

Etykiety poufności nie są dostępne do przypisania w grupie

Opcja etykiety poufności jest wyświetlana dla grup tylko wtedy, gdy zostaną spełnione wszystkie następujące warunki:

1. Organizacja ma aktywną licencję microsoft Entra ID P1.
2. Ta funkcja jest włączona i EnableMIPLabels jest ustawiona na wartość True w module programu Microsoft Graph PowerShell.
3. Etykiety poufności są publikowane w portalu Microsoft Purview lub portal zgodności Microsoft Purview dla tej organizacji firmy Microsoft Entra.
4. Etykiety są synchronizowane z identyfikatorem Entra firmy Microsoft za pomocą Execute-AzureAdLabelSync polecenia cmdlet w module PowerShell Zabezpieczenia i zgodność. Synchronizacja etykiety może potrwać do 24 godzin, aby etykieta była dostępna dla identyfikatora Entra firmy Microsoft.
5. Zakres etykiety poufności musi być skonfigurowany dla grup i witryn.
6. Grupa jest grupą platformy Microsoft 365.
7. Bieżący zalogowany użytkownik:
   1. Ma wystarczające uprawnienia do przypisywania etykiet poufności. Użytkownik musi być właścicielem grupy lub co najmniej administratorem grup.
   2. Musi należeć do zakresu zasad publikowania etykiet poufności.

Upewnij się, że wszystkie powyższe warunki są spełnione, aby przypisać etykiety do grupy.

Etykieta, którą chcesz przypisać, nie znajduje się na liście

Jeśli etykieta, której szukasz, nie znajduje się na liście:

• Etykieta może nie zostać opublikowana w portalu Microsoft Purview lub portal zgodności Microsoft Purview. Ponadto etykieta może nie zostać opublikowana. Aby uzyskać więcej informacji, zapoznaj się z administratorem.
• Etykieta może zostać opublikowana, ale nie jest dostępna dla użytkownika, który jest zalogowany. Aby uzyskać więcej informacji na temat uzyskiwania dostępu do etykiety, zapoznaj się z administratorem.

Zmienianie etykiety w grupie

Etykiety można zamienić w dowolnym momencie, wykonując te same czynności co przypisywanie etykiety do istniejącej grupy:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator grup.
2. Wybierz Microsoft Entra ID.
3. Wybierz pozycję Grupy>Wszystkie grupy, a następnie wybierz grupę, którą chcesz oznaczyć.
4. Na stronie wybranej grupy wybierz pozycję Właściwości i wybierz nową etykietę poufności z listy.
5. Wybierz pozycję Zapisz.

Zmiany ustawień grupy w opublikowanych etykietach nie są aktualizowane w grupach

Po wprowadzeniu zmian w ustawieniach grupy dla opublikowanej etykiety w portalu Microsoft Purview lub portal zgodności Microsoft Purview te zmiany zasad nie są automatycznie stosowane w grupach oznaczonych etykietami. Po opublikowaniu i zastosowaniu etykiety poufności do grup firma Microsoft zaleca, aby nie zmieniać ustawień grupy dla etykiety w portalu.

Jeśli musisz wprowadzić zmianę, użyj skryptu programu PowerShell, aby ręcznie zastosować aktualizacje do grup, których dotyczy problem. Ta metoda zapewnia, że wszystkie istniejące grupy wymuszają nowe ustawienie.

Następne kroki

• Używanie etykiet poufności do ochrony zawartości w usłudze Microsoft Teams, grupach platformy Microsoft 365 i witrynach programu SharePoint
• Ręczne aktualizowanie grup po zmianie zasad etykiet za pomocą skryptu programu PowerShell usługi Azure AD
• Edytowanie ustawień grupy
• Zarządzanie grupami przy użyciu poleceń programu PowerShell