Asignación de etiquetas de confidencialidad a grupos de Microsoft 365 en Microsoft Entra ID

Microsoft Entra ID admite la aplicación de etiquetas de confidencialidad a grupos de Microsoft 365 cuando esas etiquetas se publican en el portal de Microsoft Purview o el portal de cumplimiento de Microsoft Purview y las etiquetas están configuradas para grupos y sitios.

Las etiquetas de confidencialidad se pueden aplicar a grupos entre aplicaciones y servicios como Outlook, Microsoft Teams y SharePoint. Para obtener más información, consulte Soporte con etiquetas de confidencialidad de la documentación de Purview.

Importante

Para configurar esta característica, debe haber al menos una licencia de Microsoft Entra ID P1 activa en la organización de Microsoft Entra.

Habilitación de la compatibilidad con la etiqueta de confidencialidad en PowerShell

Para aplicar etiquetas publicadas a grupos, primero debe habilitar la característica. Estos pasos habilitan la característica en Microsoft Entra ID. El SDK de PowerShell de Microsoft Graph se incluye en dos módulos, Microsoft.Graph y Microsoft.Graph.Beta.

Todas las regiones operadas por Microsoft deben elegir Microsoft. Todas las demás regiones deben elegir su operador si se muestra a continuación.

  1. Abra una consulta de PowerShell en el equipo y ejecute los siguientes comandos para preparar la ejecución de los cmdlets.

    Install-Module Microsoft.Graph -Scope CurrentUser
    Install-Module Microsoft.Graph.Beta -Scope CurrentUser
    
  2. Conéctese a su inquilino.

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    
  3. Se recupera la configuración actual del grupo para la organización de Microsoft Entra y se muestra la configuración actual del grupo.

    $grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"
    

    Si no se creó ninguna configuración de grupo para esta organización de Microsoft Entra, aparece una pantalla en blanco. En este caso, primero debe crear la configuración. Siga los pasos de Cmdlets de Microsoft Entra para configurar las opciones de grupo si desea crear una configuración de grupo para esta organización.

    Nota:

    Si la etiqueta de confidencialidad se ha habilitado anteriormente, verá EnableMIPLabels = True. En este caso, no es necesario hacer nada. Asegúrese también de que EnableGroupCreation = False si no desea que los usuarios que no sean administradores puedan crear grupos. Consulte Configuración de plantillas para más información.

  4. Aplique la nueva configuración.

    $params = @{
         Values = @(
     	    @{
     		    Name = "EnableMIPLabels"
     		    Value = "True"
     	    }
         )
    }
    
    Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
    
  5. Compruebe que el nuevo valor está presente.

    $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
    $Setting.Values
    

Si recibe un error Request_BadRequest, se debe a que la configuración ya existe en el inquilino. Al intentar crear un nuevo par property:value, el resultado es un error. En tal caso, siga estos pasos:

  1. Emita un cmdlet Get-MgBetaDirectorySetting | FL y compruebe el identificador. Si hay varios valores de identificación, utilice el que tenga la propiedad EnableMIPLabels en la configuración de Valores.
  2. Emita el cmdlet Update-MgBetaDirectorySetting con el identificador recuperado.

También debe sincronizar las etiquetas de confidencialidad con Microsoft Entra ID. Encontrará instrucciones al respecto en Cómo habilitar etiquetas de confidencialidad para contenedores y sincronizarlas.

Asignación de una etiqueta a un nuevo grupo en el Centro de administración Microsoft Entra

  1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.

  2. Seleccione Microsoft Entra ID.

  3. Seleccione Grupos>Todos los grupos>Nuevo grupo.

  4. En la página Nuevo grupo, seleccione Microsoft 365. Luego, rellene la información necesaria para el nuevo grupo y seleccione una etiqueta de confidencialidad de la lista.

    Captura de pantalla que muestra la asignación de una etiqueta de confidencialidad en la página Nuevos grupos.

  5. Seleccione Crear para guardar los cambios.

Se creará el grupo, y se aplicará automáticamente la configuración del sitio web y del grupo asociada a la etiqueta seleccionada.

Asignación de una etiqueta a un grupo existente en el Centro de administración Microsoft Entra

  1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.

  2. Seleccione Microsoft Entra ID.

  3. Seleccione Grupos.

  4. En la página Todos los grupos, seleccione el grupo que desea etiquetar.

  5. En la página del grupo seleccionado, seleccione Propiedades y una etiqueta de confidencialidad en la lista.

    Captura de pantalla que muestra la asignación de una etiqueta de confidencialidad en la página de información general de un grupo.

  6. Seleccione Guardar para guardar los cambios.

Eliminación de una etiqueta de un grupo existente en el Centro de administración Microsoft Entra

  1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.
  2. Seleccione Microsoft Entra ID.
  3. Seleccione Grupos>Todos los grupos.
  4. En la página Todos los grupos, seleccione el grupo del que desee eliminar la etiqueta.
  5. En la página Grupo, seleccione Propiedades.
  6. Seleccione Quitar.
  7. Seleccione Guardar para aplicar los cambios.

Uso de clasificaciones de Microsoft Entra clásicas

Después de habilitar esta característica, las clasificaciones "clásicas" de los grupos solo aparecen en los sitios y grupos existentes. Solo debe usarlas para nuevos grupos si crea grupos en aplicaciones que no admiten etiquetas de confidencialidad. El administrador puede convertirlas en etiquetas de confidencialidad posteriormente, si es necesario. Las clasificaciones clásicas son las antiguas que se configuran definiendo los valores de la configuración ClassificationList en Azure AD PowerShell. Si esta característica está habilitada, las clasificaciones no se aplican a los grupos.

Nota:

Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lee la actualización de desuso. Desde esta fecha, el soporte de estos módulos se limita a la asistencia de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.

Se recomienda migrar a PowerShell de Microsoft Graph para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para preguntas comunes sobre la migración, consulta las Preguntas más frecuentes sobre migración. Nota: versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.

Solución de problemas

En esta sección, se ofrecen sugerencias para solucionar problemas comunes.

Las etiquetas de confidencialidad no están disponibles para la asignación en un grupo

La opción de etiqueta de confidencialidad solo aparece para los grupos cuando se cumplen todas estas condiciones:

  1. La organización tiene una licencia Microsoft Entra ID P1 activa.
  2. La función está habilitada y EnableMIPLabels está establecido en True en el módulo PowerShell de Microsoft Graph.
  3. Las etiquetas de confidencialidad se publican en el portal de Microsoft Purview o en el portal de cumplimiento de Microsoft Purview para esta organización de Microsoft Entra.
  4. Las etiquetas están sincronizadas con Microsoft Entra ID con el cmdlet Execute-AzureAdLabelSync en el módulo Security Compliance de PowerShell. La etiqueta puede tardar hasta 24 horas después de la sincronización en estar disponible para Microsoft Entra ID.
  5. El ámbito de la etiqueta de confidencialidad se debe configurar para grupos y sitios.
  6. El grupo es un grupo de Microsoft 365.
  7. El usuario que actualmente ha iniciado sesión:
    1. Tiene privilegios suficientes para asignar etiquetas de confidencialidad. El usuario debe ser el propietario del grupo o al menos un administrador de grupos.
    2. Debe estar dentro del ámbito de la directiva de publicación de etiquetas de confidencialidad.

Asegúrese de que se cumplen todas estas condiciones para asignar etiquetas a un grupo.

La etiqueta que quiere asignar no está en la lista

Si la etiqueta que busca no está en la lista:

  • Es posible que la etiqueta no se publique en el portal de Microsoft Purview o en el portal de cumplimiento de Microsoft Purview. Además, es posible que la etiqueta ya no esté publicada. Para obtener más información, consulte con el administrador.
  • Es posible que la etiqueta esté publicada pero no esté disponible para el usuario que ha iniciado la sesión. Para obtener más información sobre cómo acceder a la etiqueta, consulte con el administrador.

Cómo cambiar la etiqueta en un grupo

Las etiquetas se pueden intercambiar en cualquier momento siguiendo los mismos pasos que para asignar una etiqueta a un grupo existente:

  1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.
  2. Seleccione Microsoft Entra ID.
  3. Seleccione Grupos>Todos los grupos y luego seleccione el grupo que desea etiquetar.
  4. En la página del grupo seleccionado, seleccione Propiedades y una nueva etiqueta de confidencialidad en la lista.
  5. Seleccione Guardar.

Los cambios de configuración de grupo en las etiquetas publicadas no se actualizan en los grupos

Al realizar cambios en la configuración de grupo de una etiqueta publicada en el portal de Microsoft Purview o elportal de cumplimiento de Microsoft Purview, esos cambios de directiva no se aplican automáticamente en los grupos etiquetados. Después de publicar y aplicar la etiqueta de confidencialidad a los grupos, Microsoft recomienda no cambiar la configuración de grupo de la etiqueta en el portal.

Si tiene que hacer un cambio, use una secuencia de comandos de PowerShell para aplicar manualmente las actualizaciones a los grupos afectados. Este método garantiza que todos los grupos existentes apliquen la nueva configuración.

Pasos siguientes