將敏感度標籤指派給 Microsoft Entra ID 中的 Microsoft 365 群組
Microsoft Entra ID 支援將 [敏感度] 標籤套用至 Microsoft 365 群組,前提是這些標籤已於 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站發佈,且標籤已針對群組和網站設定。
敏感度標籤可以套用至橫跨應用程式和服務的群組,例如 Outlook、Microsoft Teams 和 SharePoint。 如需詳細資訊,請參閱 Purview 文件的敏感度標籤支援。
重要
若要設定此功能,您的 Microsoft Entra 組織中至少必須有一個作用中的 Microsoft Entra ID P1 授權。
在 PowerShell 中啟用敏感度標籤支援
若要將已發佈的標籤套用至群組,您必須先啟用此功能。 下列步驟會在 Microsoft Entra ID 中啟用此功能。 Microsoft Graph PowerShell SDK 有 Microsoft.Graph 和 Microsoft.Graph.Beta 等兩個模組。
所有Microsoft運作的區域都應該選擇Microsoft。 如果以下所列,所有其他區域都應該選擇其操作員。
在您的電腦上開啟 PowerShell 提示,然後執行下列命令以準備執行 Cmdlet。
Install-Module Microsoft.Graph -Scope CurrentUser Install-Module Microsoft.Graph.Beta -Scope CurrentUser連線至您的租用戶。
Connect-MgGraph -Scopes "Directory.ReadWrite.All"擷取 Microsoft Entra 組織目前的群組設定,並顯示目前的群組設定。
$grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"如果未針對此 Microsoft Entra 組織建立群組設定,您會看到空白畫面。 在此情況下,您必須先建立設定。 遵循用於設定群組設定的 Microsoft Entra Cmdlet 中的步驟,來建立適用於此 Microsoft Entra 組織的群組設定。
注意
如果先前已啟用敏感度標籤,您會看到
EnableMIPLabels = True。 在此情況下,您不需要執行任何動作。 此外,如果您不希望非管理員使用者能夠建立群組,請確定EnableGroupCreation = False。 如需詳細資訊,請參閱範本設定。套用新的設定。
$params = @{ Values = @( @{ Name = "EnableMIPLabels" Value = "True" } ) } Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params請確認新的值存在。
$Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id $Setting.Values
如果您收到 Request_BadRequest 錯誤,這是因為該設定已存在於租用戶中。 您嘗試建立新的 property:value 配對時,結果是錯誤。 在這種情況下請按照下列步驟執行:
- 發出
Get-MgBetaDirectorySetting | FLCmdlet 並檢查識別碼。 如果有數個識別碼值存在,請使用在 [值] 設定中顯示EnableMIPLabels屬性的識別碼值。 - 使用您擷取的識別碼發出
Update-MgBetaDirectorySettingCmdlet。
您也需讓敏感度標籤與 Microsoft Entra ID 同步。 如需相關說明,請參閱啟用容器的敏感度標籤和同步處理標籤。
將標籤指派給 Microsoft Entra 系統管理中心的新群組
至少以群組系統管理員的身分登入 Microsoft Entra 系統管理中心。
選取 [Microsoft Entra ID]。
選取 [群組]>[所有群組]>[新群組]。
在 [新群組] 頁面選取 [Microsoft 365]。 在 [新群組] 頁面填寫新群組的必要資訊,並從清單中選取敏感度標籤。
![顯示 [新群組] 頁面上指派敏感度標籤的螢幕擷取畫面。](media/groups-assign-sensitivity-labels/new-group-page.png)
選取 [建立] 儲存您的變更。
系統會建立您的群組,然後自動強制執行與選取的標籤相關聯的網站和群組設定。
將標籤指派給 Microsoft Entra 系統管理中心的現有群組
至少以群組系統管理員的身分登入 Microsoft Entra 系統管理中心。
選取 [Microsoft Entra ID]。
選取群組。
在 [所有群組] 頁面上,選取要加上標籤的群組。
在所選群組的頁面上選取 [屬性],然後從清單中選取敏感度標籤。
選取儲存以儲存變更。
在 Microsoft Entra 系統管理中心由現有群組移除標籤
- 至少以群組系統管理員的身分登入 Microsoft Entra 系統管理中心。
- 選取 [Microsoft Entra ID]。
- 選取 [群組] > [所有群組]。
- 在 [所有群組] 頁面選取您要從中移除標籤的群組。
- 在 [群組] 頁面上,選取 [屬性]。
- 選取 [移除]。
- 選取儲存套用變更。
使用傳統 Microsoft Entra 分類
啟用此功能之後,群組的「傳統」分類只會出現在現有群組和網站上。 只有在您於不支援敏感度標籤的應用程式建立群組時,才應該將其用於新的群組。 您的系統管理員後續可視需要將其轉換為敏感度標籤。 傳統分類是您藉由在 Azure AD PowerShell 中定義 ClassificationList 設定的值而設定的舊分類。 此功能啟用時,不會對群組套用這些分類。
注意
自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被淘汰。 若要深入了解,請閱讀淘汰更新。 在此日期之後,對這些模組的支援僅限於對 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。 淘汰的模組將繼續運作至 2025 年 3 月 30 日。
我們建議移轉至 Microsoft Graph PowerShell 以與 Microsoft Entra ID (以前稱為 Azure AD) 互動。 如需了解常見的移轉問題,請參閱移轉常見問題。 注意:MSOnline 1.0.x 版可能會在 2024 年 6 月 30 日之後發生中斷。
疑難排解問題
本節提供常見問題的疑難排解秘訣。
敏感度標籤無法用於群組的指派
只有在符合下列所有條件時,才會顯示群組的敏感度標籤選項:
- 組織具有作用中的 Microsoft Entra ID P1 授權。
- 此功能已啟用,且
EnableMIPLabels在 Microsoft Graph PowerShell 模組中設定為 True。 - 敏感度標籤會於此 Microsoft Entra 組織的 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站中發佈。
- 標籤會在安全性與合規性 PowerShell 模組中透過
Execute-AzureAdLabelSyncCmdlet 同步處理至 Microsoft Entra ID。 同步處理之後最多可能需要 24 小時的時間,標籤才可供 Microsoft Entra ID 使用。 - 敏感度標籤範圍必須針對群組和網站設定。
- 群組是 Microsoft 365 群組。
- 目前登入的使用者:
- 有足夠權限指派敏感度標籤。 使用者必須是群組擁有者或至少群組系統管理員。
- 必須位於敏感度標籤發佈原則的範圍內。
請確認符合所有前述條件,以將標籤指派給群組。
您要指派的標籤不在清單中
如果您要尋找的標籤不在清單中:
- 標籤可能未發佈於 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站。 也可能是標籤已不再能夠發佈。 詳細資訊請洽詢系統管理員。
- 標籤可能會發佈,但無法供登入的使用者使用。 如需如何取得標籤存取權的詳細資訊,請洽詢系統管理員。
變更群組的標籤
您可以隨時使用將標籤指派給現有群組的相同步驟來交換標籤:
- 至少以群組系統管理員的身分登入 Microsoft Entra 系統管理中心。
- 選取 [Microsoft Entra ID]。
- 選取 [群組]>[所有群組],然後選取您要以標籤標記的群組。
- 在所選群組的頁面上選取 [屬性],然後從清單中選取新的敏感度標籤。
- 選取 [儲存]。
對已發佈的標籤所做的群組設定變更並不會在群組上更新
在您對已於 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站發佈的標籤進行群組設定變更後,這些原則變更並不會自動套用至已加上標籤的群組。 敏感度標籤發佈並套用至群組之後,Microsoft 建議您不要在入口網站變更標籤的群組設定。
如果必須進行變更,請使用 PowerShell 指令碼,手動將更新套用至受影響的群組。 此方法可確保所有現有的群組都會強制執行新的設定。