將敏感度標籤指派給 Microsoft 365 群組，在 Microsoft Entra ID 中進行識別

Microsoft Entra ID 支援將 敏感度標籤 套用至 Microsoft 365 群組，當這些標籤發佈在 Microsoft Purview 入口網站 或 Microsoft Purview 合規性入口網站，並且標籤已為群組和網站完成設定時。

敏感度標籤可以套用至跨應用程式和服務的群組，例如 Outlook、Microsoft Teams 和 SharePoint。 如需詳細資訊，請查看 Purview 文件中的 敏感度標籤支援。

重要

若要設定這項功能，您的 Microsoft Entra 組織中必須至少有一個作用中Microsoft Entra ID P1 授權。

在 PowerShell 中啟用敏感度標籤支援

若要將已發佈的標籤套用至群組，您必須先啟用此功能。 這些步驟會啟用 Microsoft Entra ID 中的功能。 Microsoft Graph PowerShell SDK 有兩個模組，Microsoft.Graph 和 Microsoft.Graph.Beta。

所有Microsoft運作的區域都應該選擇Microsoft。 其他所有地區應在有列出的情況下選擇其服務提供商。

Microsoft

1. 在您的電腦上開啟 PowerShell 提示字元，並安裝執行 Cmdlet 所需的 Graph 模組。

   Install-Module Microsoft.Graph -Scope CurrentUser
   Install-Module Microsoft.Graph.Beta -Scope CurrentUser
   

2. 連接到您的租戶。

   Connect-MgGraph -Scopes "Directory.ReadWrite.All"
   

3. 擷取Microsoft Entra 組織的目前群組設定，並顯示目前的群組設定。

   $grpUnifiedSetting = Get-MgBetaDirectorySetting | Where-Object { $_.Values.Name -eq "EnableMIPLabels" }
   $grpUnifiedSetting.Values
   

   如果未為此Microsoft Entra 組織建立任何群組設定，您會收到空白畫面。 在此情況下，您必須先建立設定。 請遵循 Microsoft Entra Cmdlet 中的步驟設定群組設定， 來建立此Microsoft Entra 組織的群組設定。

   注意

   如果先前已啟用敏感度標籤，您會看到 EnableMIPLabels = True。 在此情況下，您不需要執行任何動作。 此外，如果您不希望非系統管理員用戶能夠建立群組，請確定 EnableGroupCreation = False。 如需詳細資訊，請參閱 範本設定。

4. 套用新的設定。

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

5. 確認新的值存在。

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

如果您收到 Request_BadRequest 錯誤，這是因為該設定在租戶中已存在。 當您嘗試建立新的 property:value 組時，結果是錯誤。 在此情況下，請遵循下列步驟：

1. 發出 Get-MgBetaDirectorySetting | FL Cmdlet 並確認 ID。 如果有多個識別碼值，請使用在 Values 設定中含有 EnableMIPLabels 屬性的那一個。
2. 使用您所擷取的ID發出 Update-MgBetaDirectorySetting cmdlet。

您也需要將敏感度標籤同步至Microsoft Entra ID。 如需指示，請參閱 為容器啟用敏感度標籤，以及同步處理標籤。

21Vianet

如果您要從 21Vianet 執行這些Microsoft 365 作業：

1. 在 Microsoft Entra ID 中註冊Microsoft Entra ID 應用程式。

2. 授與應用程式 API 許可權以存取 Microsoft Graph，包括 Directory.ReadWriteAll 和 Group.ReadWriteAll，您可能需要取得租用戶系統管理員的明確同意，才能將應用程式存取權授與 Microsoft Graph。

3. 產生客戶端密碼並加以複製。 您需要客戶端密碼才能連線到 MS Graph;

4. 以系統管理員身分執行 PowerShell：

   $ClientSecretCredential = Get-Credential -Credential
   

   執行命令之後，系統會提示您輸入密碼。 密碼是您在先前步驟中複製的新客戶端密碼。

5. 執行下列命令以取得 MS Graph 的存取權：

   Connect-MgGraph -TenantId "Current tenant id" - ClientSecretCredential $ClientSecretCredential -Environment China
   

6. 擷取Microsoft Entra 組織的目前群組設定，並顯示目前的群組設定。

   $grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"
   

   如果未為此Microsoft Entra 組織建立任何群組設定，您會收到空白畫面。 在此情況下，您必須先建立設定。 請遵循 Microsoft Entra Cmdlet 中的步驟，為這個 Microsoft Entra 組織配置群組設定。

   注意

   如果先前已啟用敏感度標籤，您會看到 EnableMIPLabels = True。 在此情況下，您不需要執行任何動作。 此外，如果您不希望非系統管理員用戶能夠建立群組，請務必檢查 EnableGroupCreation = False。 如需詳細資訊，請參閱 範本設定。

7. 套用新的設定。

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

8. 確認新的值存在。

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

如果您收到 Request_BadRequest 錯誤，這是因為該設定已存在於租戶中。 當您嘗試建立新的 property:value 組時，結果是錯誤。 在此情況下，請遵循下列步驟：

1. 發出 Get-MgBetaDirectorySetting | FL cmdlet 並檢查 ID。 如果有數個識別碼值，請使用您在 Values 設定中看到 EnableMIPLabels 屬性的那個。
2. 使用您所擷取的ID發出 Update-MgBetaDirectorySetting cmdlet。

您也需要將敏感度標籤同步至Microsoft Entra ID。 如需指示，請參閱 為容器啟用敏感度標籤，以及同步處理標籤。

將標籤指派給 Microsoft Entra 管理中心中的新群組

1. 以至少 群組系統管理員身分登入 Microsoft Entra 系統管理中心。

2. 選取 Microsoft Entra ID。

3. 選取 [群組]>[所有群組]>[新增群組]。

4. 在 [新增群組] 頁面上，選取 [Microsoft 365]。 然後填寫新群組的必要資訊，然後從清單中選取敏感度標籤。

   

5. 選取 [建立]，以儲存變更。

系統會建立您的群組，然後會自動強制執行與所選標籤相關聯的網站和群組設定。

將標籤指派給 Microsoft Entra 系統管理中心的現有群組

1. 至少以 群組系統管理員的身分登入 Microsoft Entra 系統管理中心。

2. 選取 Microsoft Entra ID。

3. 選取 [群組]。

4. 從 [[所有群組] 頁面中，選取您要標記的群組。

5. 在選取的群組頁面上，選取 屬性，然後從清單中選取敏感度標籤。

   

6. 選取 [保存] 以保存變更。

從 Microsoft Entra 系統管理中心的現有群組中移除標籤

1. 以至少 群組系統管理員身分登入 Microsoft Entra 系統管理中心。
2. 選取 Microsoft Entra ID。
3. 選取 群組>所有群組。
4. 在 所有群組 頁面上，選擇要移除標籤的群組。
5. 在 [群組] 頁面上，選取 屬性。
6. 選取 ，移除。
7. 點選 [儲存] 套用變更。

使用傳統Microsoft Entra 分類

啟用此功能之後，群組的「傳統」分類只會出現在現有的群組和網站上。 只有在您在不支援敏感度標籤的應用程式中建立群組時，才應該將它們用於新的群組。 您的系統管理員稍後可以視需要將它們轉換成敏感度標籤。 傳統分類是您在 Azure AD PowerShell 中定義 ClassificationList 設定值所設定的舊分類。 啟用此功能時，這些分類不會套用至群組。

注意

自 2024 年 3 月 30 日起，Azure AD 和 MSOnline PowerShell 模組已被取代。 若要深入瞭解，請參閱 淘汰更新。 在此日期之後，這些模組的支援僅限於Microsoft Graph PowerShell SDK 和安全性修正的移轉協助。 已淘汰的模組將繼續在 2025 年 3 月 30 日運作。

建議您移轉至 Microsoft Graph PowerShell，以與 Microsoft Entra ID （先前稱為 Azure AD） 互動。 如需常見的移轉問題，請參閱 移轉常見問題。 注意： MSOnline 1.0.x 版可能會在 2024 年 6 月 30 日之後發生中斷。

疑難解答問題

本節提供常見問題的疑難解答秘訣。

敏感度標籤無法在群組中分配

只有在符合下列所有條件時，才會針對群組顯示敏感度標籤選項：

1. 組織具有有效的 Microsoft Entra ID P1 授權。
2. 此功能已啟用，且在 Microsoft Graph PowerShell 模組中，EnableMIPLabels 已設定為 True。
3. 敏感度標籤會發行於 Microsoft Purview 入口網站或此 Microsoft Entra 組織的 Microsoft Purview 合規性入口網站中。
4. 卷標會使用 Security & Compliance PowerShell 模組中的 Execute-AzureAdLabelSync Cmdlet 同步到 Microsoft Entra 身份識別。 同步處理後，標籤最多可能需要 24 小時才能供 Microsoft Entra ID 使用。
5. 必須為群組 & 的網站設定 敏感度標籤範圍。
6. 此群組是Microsoft 365 群組。
7. 目前登入的使用者：
   1. 有足夠的許可權可指派敏感度標籤。 用戶必須是群組擁有者或至少群組管理員。
   2. 必須在的 敏感度標籤發佈原則範圍內。

請確定符合上述所有條件，以將標籤指派給群組。

您想要指派的標籤不在清單中

如果您要尋找的標籤不在清單中：

• 卷標可能不會在 Microsoft Purview 入口網站或 Microsoft Purview 合規性網站上發佈。 此外，標籤可能不再發佈。 請洽詢系統管理員以取得詳細資訊。
• 標籤可能已發佈，但對登入的使用者不可用。 請洽詢您的系統管理員，以取得如何取得標籤取權的詳細資訊。

變更群組上的標籤

您可以使用指定標籤給現有群組的相同步驟，隨時交換標籤：

1. 以至少 群組系統管理員身分登入 Microsoft Entra 系統管理中心。
2. 選取 Microsoft Entra ID。
3. 選取 [群組]>[所有群組]，然後選取您要標記的群組。
4. 在選定群組的頁面上，選取 屬性，然後從清單中選取新的敏感度標籤。
5. 選取 [儲存]。

群組的設定變更不會反映在已發佈的標籤上

當您在 Microsoft Purview 入口網站中變更已發行標籤的群組設定時， 或 Microsoft Purview 合規性入口網站，這些原則變更不會自動套用在已標記的群組上。 發佈敏感度標籤並套用至群組之後，Microsoft建議您不要在入口網站中變更標籤的群組設定。

如果您必須進行變更，請使用 PowerShell 腳本 手動將更新套用至受影響的群組。 此方法可確保所有現有的群組都強制執行新的設定。

後續步驟

• 使用敏感度標籤來保護 Microsoft Teams、Microsoft 365 個群組和 SharePoint 網站中的內容
• 使用 Azure AD PowerShell 腳本，在標籤原則變更後手動更新群組。
• 編輯群組設定
• 使用 PowerShell 命令管理群組