Atribuir rótulos de confidencialidade a grupos do Microsoft 365 na ID do Microsoft Entra

O Microsoft Entra ID dá suporte à aplicação de rótulos de confidencialidade a grupos do Microsoft 365 quando esses rótulos são publicados no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview, e os rótulos são configurados para grupos e sites.

Rótulos de confidencialidade podem ser aplicados a grupos entre aplicativos e serviços, como Outlook, Microsoft Teams e SharePoint. Para obter mais informações, confira Suporte para rótulos de confidencialidade na documentação do Purview.

Importante

Para configurar esse recurso, deve haver pelo menos uma licença ativa do Microsoft Entra ID P1 em sua organização do Microsoft Entra.

Habilitar o suporte à etiqueta de sensibilidade no PowerShell

Para aplicar rótulos publicados a grupos, primeiro você deve habilitar o recurso. Essas etapas habilitam o recurso na ID do Microsoft Entra. O SDK do Microsoft Graph PowerShell vem em dois módulos, Microsoft.Graph e Microsoft.Graph.Beta.

Todas as regiões operadas pela Microsoft devem escolher a Microsoft. Todas as outras regiões devem escolher seu operador se uma estiver listada.

Microsoft

1. Abra um prompt do PowerShell em seu computador e instale os módulos do Graph necessários para executar os cmdlets.

   Install-Module Microsoft.Graph -Scope CurrentUser
   Install-Module Microsoft.Graph.Beta -Scope CurrentUser
   

2. Conecte-se ao seu locatário.

   Connect-MgGraph -Scopes "Directory.ReadWrite.All"
   

3. Busque as configurações de grupo atuais para a organização do Microsoft Entra e exiba as configurações de grupo atuais.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting | Where-Object { $_.Values.Name -eq "EnableMIPLabels" }
   $grpUnifiedSetting.Values
   

   Se nenhuma configuração de grupo tiver sido criada para esta organização do Microsoft Entra, você obterá uma tela vazia. Nesse caso, primeiro você deve criar as configurações. Siga as etapas em Cmdlets do Microsoft Entra para definir as configurações de grupo para criar configurações de grupo para esta organização do Microsoft Entra.

   Nota

   Se o rótulo de confidencialidade tiver sido habilitado anteriormente, você verá EnableMIPLabels = True. Nesse caso, você não precisa fazer nada. Também certifique-se de que EnableGroupCreation = False, caso não queira que usuários não administradores possam criar grupos. Confira Configurações do modelo para obter detalhes.

4. Aplique as novas configurações.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

5. Verifique se o novo valor está presente.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Se você receber um erro de Request_BadRequest, isso ocorre porque as configurações já existem no locatário. Quando você tenta criar um novo par de property:value, o resultado é um erro. Nesse caso, siga estas etapas:

1. Emita um cmdlet Get-MgBetaDirectorySetting | FL e verifique a ID. Se vários valores de ID estiverem presentes, use aquele em que você vê a propriedade EnableMIPLabels nas configurações de Valores.
2. Emita o cmdlet Update-MgBetaDirectorySetting usando a ID recuperada.

Você também precisa sincronizar seus rótulos de confidencialidade com a ID do Microsoft Entra. Para obter instruções, consulte Habilitar etiquetas de sensibilidade para contêineres e sincronizar etiquetas.

21Vianet

Se você estiver executando estas operações do Microsoft 365 da 21Vianet:

1. Registre um aplicativo do Microsoft Entra ID no Microsoft Entra ID.

2. Conceda permissões à API do aplicativo para acessar o Microsoft Graph, incluindo Directory.ReadWriteAll e Group.ReadWriteAll. Talvez seja necessário obter o consentimento explícito do administrador do tenant para que o aplicativo tenha acesso ao Microsoft Graph.

3. Gere um segredo do cliente e copie-o. Você precisa do segredo do cliente para se conectar ao MS Graph;

4. Execute o PowerShell como administrador:

   $ClientSecretCredential = Get-Credential -Credential
   

   Depois que os comandos são executados, você será solicitado a inserir uma senha. A senha é o novo segredo do cliente copiado na etapa anterior.

5. Execute o seguinte comando para obter acesso ao MS Graph:

   Connect-MgGraph -TenantId "Current tenant id" - ClientSecretCredential $ClientSecretCredential -Environment China
   

6. Busque as configurações de grupo atuais para a organização do Microsoft Entra e exiba as configurações de grupo atuais.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"
   

   Se nenhuma configuração de grupo tiver sido criada para esta organização do Microsoft Entra, você obterá uma tela vazia. Nesse caso, primeiro você deve criar as configurações. Siga as etapas em Cmdlets do Microsoft Entra para definir as configurações de grupo para criar configurações de grupo para esta organização do Microsoft Entra.

   Nota

   Se o rótulo de confidencialidade tiver sido habilitado anteriormente, você verá EnableMIPLabels = True. Nesse caso, você não precisa fazer nada. Certifique-se também de EnableGroupCreation = False se você não quiser que usuários que não são administradores possam criar grupos. Confira Configurações do modelo para obter detalhes.

7. Aplique as novas configurações.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

8. Verifique se o novo valor está presente.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Se você receber um erro de Request_BadRequest, isso ocorre porque as configurações já existem no locatário. Quando você tenta criar um novo par de property:value, o resultado é um erro. Nesse caso, siga estas etapas:

1. Emita um cmdlet Get-MgBetaDirectorySetting | FL e verifique a ID. Se vários valores de ID estiverem presentes, use aquele em que você vê a propriedade EnableMIPLabels nas configurações de Valores.
2. Emita o cmdlet Update-MgBetaDirectorySetting usando a ID recuperada.

Você também precisa sincronizar seus rótulos de confidencialidade com a ID do Microsoft Entra. Para obter instruções, consulte Habilitar etiquetas de sensibilidade para contêineres e sincronizar etiquetas.

Atribuir um rótulo a um novo grupo no Centro de administração do Microsoft Entra

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.

2. Selecione Microsoft Entra ID.

3. Selecione Grupos de >Todos os grupos>Novo grupo.

4. Na página Novo Grupo, selecione Microsoft 365. Em seguida, preencha as informações necessárias para o novo grupo e selecione um rótulo de confidencialidade na lista.

   

5. Selecione Criar para salvar suas alterações.

Seu grupo é criado e as configurações de site e grupo associadas ao rótulo selecionado são automaticamente impostas.

Atribuir um rótulo a um grupo existente no Centro de administração do Microsoft Entra

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.

2. Selecione Microsoft Entra ID.

3. Selecione Grupos.

4. Na página Todos os grupos, selecione o grupo que você deseja rotular.

5. Na página do grupo selecionado, selecione Propriedades e selecione um rótulo de confidencialidade na lista.

   

6. Selecione Salvar para salvar suas alterações.

Remover um rótulo de um grupo existente no Centro de administração do Microsoft Entra

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.
2. Selecione Microsoft Entra ID.
3. Selecione Grupos>Todos os grupos.
4. Na página Todos os grupos, selecione o grupo do qual você deseja remover o rótulo.
5. Na página Grupo, selecione Propriedades.
6. Selecione Remover.
7. Selecione Salvar para aplicar suas alterações.

Usar classificações clássicas do Microsoft Entra

Depois de habilitar esse recurso, as classificações "clássicas" para grupos aparecem apenas em grupos e sites existentes. Você deve usá-los para novos grupos somente se criar grupos em aplicativos sem suporte para rótulos de confidencialidade. O administrador pode convertê-los em rótulos de confidencialidade posteriormente, se necessário. Classificações clássicas são as classificações antigas que você configurou definindo valores para a configuração de ClassificationList no PowerShell do Azure AD. Quando esse recurso está habilitado, essas classificações não são aplicadas a grupos.

Nota

Os módulos do Azure AD e do MSOnline PowerShell são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de substituição. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão funcionando até março de 30 de 2025.

Recomendamos migrar para Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). Para perguntas comuns sobre migração, consulte as perguntas frequentes sobre migração. Observação: versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

Solução de problemas

Esta seção oferece dicas de solução de problemas para problemas comuns.

Os rótulos de confidencialidade não estão disponíveis para atribuição em um grupo

A opção de rótulo de confidencialidade aparece para grupos somente quando todas as seguintes condições são atendidas:

1. A organização tem uma licença ativa do Microsoft Entra ID P1.
2. O recurso está habilitado e EnableMIPLabels está definido como True no módulo do Microsoft Graph PowerShell.
3. Os rótulos de confidencialidade são publicados no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview para esta organização do Microsoft Entra.
4. Os rótulos são sincronizados com o Microsoft Entra ID usando o cmdlet Execute-AzureAdLabelSync no módulo PowerShell de Segurança e Conformidade &. Pode levar até 24 horas após a sincronização para que o rótulo esteja disponível para a ID do Microsoft Entra.
5. O escopo do rótulo de confidencialidade deve ser configurado para Grupos e Sites.
6. O grupo é um grupo do Microsoft 365.
7. O usuário conectado atual:
   1. Tem privilégios suficientes para atribuir rótulos de confidencialidade. O usuário deve ser o proprietário do grupo ou pelo menos um Administrador de Grupos.
   2. Deve estar dentro do escopo da política de publicação de rótulo de confidencialidade.

Verifique se todas as condições anteriores são atendidas para atribuir rótulos a um grupo.

O rótulo que você deseja atribuir não está na lista

Se o rótulo que você está procurando não estiver na lista:

• O rótulo pode não ser publicado no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview. Além disso, o rótulo pode não ser mais publicado. Verifique com o administrador para obter mais informações.
• O rótulo pode ser publicado, mas não está disponível para o usuário que está conectado. Verifique com o administrador mais informações sobre como obter acesso ao rótulo.

Alterar o rótulo de um grupo

Os rótulos podem ser trocados a qualquer momento usando as mesmas etapas que atribuir um rótulo a um grupo existente:

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.
2. Selecione Microsoft Entra ID.
3. Selecione Grupos>Todos os grupose selecione o grupo que você deseja rotular.
4. Na página do grupo selecionado, selecione Propriedades e selecione um novo rótulo de confidencialidade na lista.
5. Selecione Salvar.

Alterações na configuração do grupo para rótulos publicados não são atualizadas nos grupos

Quando você faz alterações nas configurações de grupo de um rótulo publicado no do portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview , essas alterações de política não são aplicadas automaticamente nos grupos rotulados. Depois que o rótulo de confidencialidade é publicado e aplicado a grupos, a Microsoft recomenda que você não altere as configurações de grupo para o rótulo no portal.

Se você precisar fazer uma alteração, use um script do PowerShell para aplicar atualizações manualmente aos grupos afetados. Esse método garante que todos os grupos existentes imponham a nova configuração.

Próximas etapas

• Usar rótulos de confidencialidade para proteger o conteúdo no Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint
• Atualizar grupos manualmente após a alteração da política de rótulos com o script do PowerShell do Azure AD
• Editar as configurações de grupo
• Gerenciar grupos usando comandos do PowerShell