Назначение меток конфиденциальности группам Microsoft 365 в идентификаторе Microsoft Entra

Идентификатор Microsoft Entra поддерживает применение меток конфиденциальности к группам Microsoft 365 при публикации этих меток на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview, а метки настроены для групп и сайтов.

Метки конфиденциальности можно применять к группам между приложениями и службами, такими как Outlook, Microsoft Teams и SharePoint. Дополнительные сведения см. в разделе "Поддержка меток конфиденциальности" в документации по Purview.

Внимание

Чтобы настроить эту функцию, в организации Microsoft Entra ID P1 должна быть по крайней мере одна активная лицензия Microsoft Entra ID P1.

Включение поддержки меток конфиденциальности в PowerShell

Чтобы применить опубликованные метки к группам, сначала необходимо включить эту функцию. Эти действия позволяют включить функцию в идентификаторе Microsoft Entra. Пакет SDK Для Microsoft Graph PowerShell поставляется в двух модулях Microsoft.Graph и Microsoft.Graph.Beta.

Все управляемые корпорацией Майкрософт регионы должны выбрать корпорацию Майкрософт. Все остальные регионы должны выбрать свой оператор, если указано ниже.

  1. Откройте на компьютере запрос PowerShell и выполните следующие команды, чтобы подготовиться к выполнению командлетов.

    Install-Module Microsoft.Graph -Scope CurrentUser
    Install-Module Microsoft.Graph.Beta -Scope CurrentUser
    
  2. Подключитесь к клиенту.

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    
  3. Получение текущих параметров группы для организации Microsoft Entra и отображение текущих параметров группы.

    $grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"
    

    Если для этой организации Microsoft Entra не были созданы параметры группы, вы получите пустой экран. В этом случае необходимо сначала создать параметры. Выполните действия, описанные в командлетах Microsoft Entra для настройки параметров группы для создания параметров группы для этой организации Microsoft Entra.

    Примечание.

    Если метка конфиденциальности была включена ранее, вы увидите EnableMIPLabels = True. В этом случае вам ничего не нужно делать. Кроме того, убедитесь, что EnableGroupCreation = False если вы не хотите, чтобы пользователи, не являющиеся администраторами, могли создавать группы. Дополнительные сведения см . в параметрах шаблона.

  4. Примените новые параметры.

    $params = @{
         Values = @(
     	    @{
     		    Name = "EnableMIPLabels"
     		    Value = "True"
     	    }
         )
    }
    
    Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
    
  5. Убедитесь, что новое значение присутствует.

    $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
    $Setting.Values
    

Если вы получаете ошибку Request_BadRequest , это связано с тем, что параметры уже существуют в клиенте. При попытке создать новую property:value пару результатом является ошибка. В этом случае выполните следующие действия.

  1. Выполните командлет Get-MgBetaDirectorySetting | FL и проверьте идентификатор. Если присутствуют несколько значений идентификаторов, используйте тот, где отображается EnableMIPLabels свойство параметров значений .
  2. Update-MgBetaDirectorySetting Выполните командлет с помощью полученного идентификатора.

Кроме того, необходимо синхронизировать метки конфиденциальности с идентификатором Microsoft Entra. Инструкции см. в разделе "Включение меток конфиденциальности для контейнеров" и синхронизации меток.

Назначение метки новой группе в Центре администрирования Microsoft Entra

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

  2. Выберите Microsoft Entra ID.

  3. Выберите Groups (Группы) > All groups (Все группы) > New group (Создать группу).

  4. На странице "Новая группа" выберите Microsoft 365. Затем заполните необходимые сведения для новой группы и выберите метку конфиденциальности из списка.

    Снимок экрана: назначение метки конфиденциальности на странице

  5. Нажмите кнопку "Создать", чтобы сохранить изменения.

Будет создана группа, после чего будут автоматически применены параметры сайта и группы, связанные с выбранной меткой.

Назначение метки существующей группе в Центре администрирования Microsoft Entra

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

  2. Выберите Microsoft Entra ID.

  3. Выберите Группы.

  4. На странице Все группы выберите группу, для которой следует добавить метку.

  5. На странице выбранной группы откройте Свойства и в списке выберите метку конфиденциальности.

    Снимок экрана: назначение метки конфиденциальности на странице обзора для группы.

  6. Выберите Сохранить, чтобы сохранить изменения.

Удаление метки из существующей группы в Центре администрирования Microsoft Entra

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.
  2. Выберите Microsoft Entra ID.
  3. Выберите Группы>Все группы.
  4. На странице "Все группы" выберите группу, из которой нужно удалить метку.
  5. На странице Группа выберите Свойства.
  6. Выберите Удалить.
  7. Нажмите кнопку Сохранить, чтобы применить изменения.

Использование классических классификаций Записей Майкрософт

После включения этой функции классификации классических групп отображаются только на существующих группах и сайтах. Их следует использовать только в том случае, если вы создаете группы в приложениях, которые не поддерживают метки конфиденциальности. При необходимости администратор может преобразовать их в метки конфиденциальности. Классические классификации — это старые классификации, настроенные вами при определении значений для параметра ClassificationList в Azure AD PowerShell. Если эта функция включена, эти классификации не применяются к группам.

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.

Устранение неполадок

В этом разделе приведены советы по устранению распространенных проблем.

Метки конфиденциальности недоступны для назначения в группе

Параметр метки конфиденциальности отображается только в том случае, если выполняются все следующие условия:

  1. У организации есть активная лицензия Microsoft Entra ID P1.
  2. Эта функция включена и EnableMIPLabels имеет значение True в модуле Microsoft Graph PowerShell.
  3. Метки конфиденциальности публикуются на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview для этой организации Microsoft Entra.
  4. Метки синхронизируются с идентификатором Microsoft Entra с командлетом Execute-AzureAdLabelSync в модуле Security и Compliance PowerShell. После синхронизации метки может потребоваться до 24 часов после того, как метка будет доступна идентификатору Microsoft Entra.
  5. Область метки конфиденциальности должна быть настроена для групп и сайтов.
  6. Группа является группой Microsoft 365.
  7. Текущий пользователь, вошедшего в систему:
    1. Имеет достаточные привилегии для назначения меток конфиденциальности. Пользователь должен быть владельцем группы или по крайней мере администратором групп.
    2. Должен находиться в области политики публикации меток конфиденциальности.

Убедитесь, что выполнены все предыдущие условия, чтобы назначить метки группе.

Метка, которую вы хотите назначить, отсутствует в списке

Если метка, которую вы ищете, отсутствует в списке:

  • Метка может быть не опубликована на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview. Кроме того, метка больше не будет опубликована. Дополнительные сведения см. в своем администраторе.
  • Метка может быть опубликована, но она недоступна пользователю, вошедшему в систему. Дополнительные сведения о том, как получить доступ к метки, обратитесь к администратору.

Изменение метки в группе

Метки можно переключить в любое время, выполнив те же действия, что и назначение метки существующей группе:

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.
  2. Выберите Microsoft Entra ID.
  3. Выберите группы>"Все группы" и выберите группу, которую нужно наметить.
  4. На странице выбранной группы откройте Свойства и в списке выберите новую метку конфиденциальности.
  5. Выберите Сохранить.

Изменения параметров группы в опубликованных метках не обновляются в группах

При внесении изменений в параметры группы для опубликованной метки на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview эти изменения политики не применяются автоматически к помеченным группам. После публикации и применения метки конфиденциальности к группам корпорация Майкрософт рекомендует не изменять параметры группы для метки на портале.

Если необходимо внести изменения, используйте скрипт PowerShell для ручного применения обновлений к затронутым группам. Этот метод гарантирует, что новый параметр будет применен ко всем существующим группам.

Следующие шаги