Partilhar via

Atribuir rótulos de sensibilidade a grupos do Microsoft 365 no Microsoft Entra ID

  • Artigo

O Microsoft Entra ID oferece suporte à aplicação de rótulos de sensibilidade a grupos do Microsoft 365 quando esses rótulos são publicados no portal Microsoft Purview ou no portal de conformidade do Microsoft Purview e os rótulos são configurados para grupos e sites.

Os rótulos de sensibilidade podem ser aplicados a grupos em aplicativos e serviços, como Outlook, Microsoft Teams e SharePoint. Para obter mais informações, consulte Suporte para rótulos de sensibilidade na documentação do Purview.

Importante

Para configurar esse recurso, deve haver pelo menos uma licença ativa do Microsoft Entra ID P1 em sua organização do Microsoft Entra.

Habilitar o suporte a rótulos de sensibilidade no PowerShell

Para aplicar rótulos publicados a grupos, você deve primeiro habilitar o recurso. Estas etapas habilitam o recurso no Microsoft Entra ID. O SDK do Microsoft Graph PowerShell vem em dois módulos Microsoft.Graph e Microsoft.Graph.Beta.

Todas as regiões operadas pela Microsoft devem escolher Microsoft. Todas as outras regiões devem escolher o seu operador, se listado abaixo.

  1. Abra um prompt do PowerShell em seu computador e execute os seguintes comandos para se preparar para executar os cmdlets.

    Install-Module Microsoft.Graph -Scope CurrentUser
Install-Module Microsoft.Graph.Beta -Scope CurrentUser

  2. Ligue-se ao seu inquilino.

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"

  3. Procure as configurações de grupo atuais para a organização do Microsoft Entra e exiba as configurações de grupo atuais.

    $grpUnifiedSetting = Get-MgBetaDirectorySetting | Where-Object { $_.Values.Name -eq "EnableMIPLabels" }
$grpUnifiedSetting.Values

    Se nenhuma configuração de grupo foi criada para esta organização do Microsoft Entra, você obterá uma tela vazia. Nesse caso, você deve primeiro criar as configurações. Siga as etapas nos cmdlets do Microsoft Entra para definir as configurações de grupo para criar configurações de grupo para esta organização do Microsoft Entra.

    Nota

    Se o rótulo de sensibilidade foi ativado anteriormente, você verá EnableMIPLabels = True. Neste caso, você não precisa fazer nada. Certifique-se também de que EnableGroupCreation = False , se você não quiser, os usuários não administradores possam criar grupos. Consulte Configurações de modelo para obter detalhes.

  4. Aplique as novas configurações.

    $params = @{
     Values = @(
 	    @{
 		    Name = "EnableMIPLabels"
 		    Value = "True"
 	    }
     )
}

Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params

  5. Verifique se o novo valor está presente.

    $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
$Setting.Values

Se você receber um Request_BadRequest erro, é porque as configurações já existem no locatário. Quando você tenta criar um novo property:value par, o resultado é um erro. Neste caso, siga estes passos:

  1. Emita um Get-MgBetaDirectorySetting | FL cmdlet e verifique a ID. Se vários valores de ID estiverem presentes, use aquele em que você vê a EnableMIPLabels propriedade nas configurações de Valores .
  2. Emita o Update-MgBetaDirectorySetting cmdlet usando a ID recuperada.

Você também precisa sincronizar seus rótulos de sensibilidade com o Microsoft Entra ID. Para obter instruções, consulte Habilitar rótulos de sensibilidade para contêineres e sincronizar rótulos.

Atribuir um rótulo a um novo grupo no centro de administração do Microsoft Entra

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.

  2. Selecione Microsoft Entra ID.

  3. Selecione Grupos>Todos os grupos>Novo grupo.

  4. Na página Novo Grupo, selecione Microsoft 365. Em seguida, preencha as informações necessárias para o novo grupo e selecione um rótulo de sensibilidade na lista.

    Captura de tela que mostra a atribuição de um rótulo de sensibilidade na página Novos grupos.

  5. Selecione Criar para salvar as alterações.

Seu grupo é criado e as configurações de site e grupo associadas ao rótulo selecionado são automaticamente impostas.

Atribuir um rótulo a um grupo existente no centro de administração do Microsoft Entra

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.

  2. Selecione Microsoft Entra ID.

  3. Selecione Grupos.

  4. Na página Todos os grupos , selecione o grupo que deseja rotular.

  5. Na página do grupo selecionado, selecione Propriedades e selecione um rótulo de sensibilidade na lista.

    Captura de tela que mostra a atribuição de um rótulo de sensibilidade na página de visão geral de um grupo.

  6. Selecione Guardar para guardar as alterações.

Remover um rótulo de um grupo existente no centro de administração do Microsoft Entra

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.
  2. Selecione Microsoft Entra ID.
  3. Selecione Grupos>Todos os grupos.
  4. Na página Todos os grupos , selecione o grupo do qual deseja remover o rótulo.
  5. Na página Grupo, selecione Propriedades.
  6. Selecione Remover.
  7. Selecione Guardar para aplicar as alterações.

Usar classificações clássicas do Microsoft Entra

Depois de ativar esse recurso, as classificações "clássicas" para grupos aparecem somente em grupos e sites existentes. Você deve usá-los para novos grupos somente se criar grupos em aplicativos que não oferecem suporte a rótulos de sensibilidade. O administrador pode convertê-los em rótulos de sensibilidade mais tarde, se necessário. As classificações clássicas são as classificações antigas que você configura definindo valores para a ClassificationList configuração no Azure AD PowerShell. Quando esse recurso está habilitado, essas classificações não são aplicadas a grupos.

Nota

Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de descontinuação. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

Solução de problemas

Esta seção oferece dicas de solução de problemas para problemas comuns.

Os rótulos de sensibilidade não estão disponíveis para atribuição em um grupo

A opção de rótulo de sensibilidade aparece para grupos somente quando todas as seguintes condições são atendidas:

  1. A organização tem uma licença ativa do Microsoft Entra ID P1.
  2. O recurso está habilitado e EnableMIPLabels definido como True no módulo do Microsoft Graph PowerShell.
  3. Os rótulos de sensibilidade são publicados no portal Microsoft Purview ou no portal de conformidade do Microsoft Purview para esta organização do Microsoft Entra.
  4. Os rótulos são sincronizados com a ID do Microsoft Entra com o Execute-AzureAdLabelSync cmdlet no módulo Security & Compliance PowerShell. Pode levar até 24 horas após a sincronização para que o rótulo esteja disponível para o Microsoft Entra ID.
  5. O escopo do rótulo de sensibilidade deve ser configurado para Grupos & Sites.
  6. O grupo é um grupo do Microsoft 365.
  7. O usuário conectado atual:
    1. Tem privilégios suficientes para atribuir rótulos de sensibilidade. O usuário deve ser o proprietário do grupo ou, pelo menos, um Administrador de Grupos.
    2. Deve estar dentro do escopo da política de publicação de rótulos de sensibilidade.

Verifique se todas as condições anteriores são atendidas para atribuir rótulos a um grupo.

O rótulo que você deseja atribuir não está na lista

Se a etiqueta que procura não estiver na lista:

  • O rótulo pode não ser publicado no portal Microsoft Purview ou no portal de conformidade Microsoft Purview. Além disso, o rótulo pode não ser mais publicado. Consulte o administrador para obter mais informações.
  • O rótulo pode ser publicado, mas não está disponível para o usuário conectado. Consulte o administrador para obter mais informações sobre como obter acesso ao rótulo.

Alterar o rótulo em um grupo

Os rótulos podem ser trocados a qualquer momento usando as mesmas etapas da atribuição de um rótulo a um grupo existente:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.
  2. Selecione Microsoft Entra ID.
  3. Selecione Grupos>Todos os grupos e, em seguida, selecione o grupo que pretende rotular.
  4. Na página do grupo selecionado, selecione Propriedades e selecione um novo rótulo de sensibilidade na lista.
  5. Selecione Guardar.

As alterações de configuração de grupo para rótulos publicados não são atualizadas nos grupos

Quando você faz alterações nas configurações de grupo de um rótulo publicado no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview, essas alterações de política não são aplicadas automaticamente nos grupos rotulados. Depois que o rótulo de sensibilidade for publicado e aplicado a grupos, a Microsoft recomenda que você não altere as configurações de grupo para o rótulo no portal.

Se você precisar fazer uma alteração, use um script do PowerShell para aplicar manualmente as atualizações aos grupos afetados. Esse método garante que todos os grupos existentes imponham a nova configuração.

Próximos passos