将敏感度标签分配到 Microsoft Entra ID 中的 Microsoft 365 组

  • 项目

Microsoft Entra ID 支持将 Microsoft Purview 合规性门户发布的敏感度标签应用于 Microsoft 365 组。 敏感度标签适用于各种服务(例如 Outlook、Microsoft Teams 和 SharePoint)中的组。 有关 Microsoft 365 应用支持的详细信息,请参阅 Microsoft 365 对敏感度标签的支持

重要

若要配置此功能,Microsoft Entra 组织中必须至少有一个有效的 Microsoft Entra ID P1 许可证。

在 PowerShell 中启用敏感度标签支持

若要将已发布的标签应用于组,必须先启用此功能。 这些步骤在 Microsoft Entra ID 中启用该功能。 Microsoft Graph PowerShell SDK 有 2 个模块:Microsoft.GraphMicrosoft.Graph.Beta

  1. 在计算机上打开 PowerShell 提示符,并运行以下命令,准备好运行 cmdlet。

    Install-Module Microsoft.Graph -Scope CurrentUser
Install-Module Microsoft.Graph.Beta -Scope CurrentUser

  2. 连接到租户。

    Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "Directory.ReadWrite.All"

  3. 提取 Microsoft Entra 组织的当前组设置并显示当前组设置。

    $grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"

    如果未为此 Microsoft Entra 组织创建任何组设置,将看到一个空白屏幕。 在这种情况下,必须先创建设置。 按照用于配置组设置的 Microsoft Entra cmdlet 中的步骤为此 Microsoft Entra 组织创建组设置。

    注意

    如果之前启用了敏感度标签,将看到 EnableMIPLabels = True。 在这种情况下,你无需执行任何其他操作。

  4. 应用新设置。

    $params = @{
     Values = @(
 	    @{
 		    Name = "EnableMIPLabels"
 		    Value = "True"
 	    }
     )
}

Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params

  5. 验证新值是否存在。

    $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
$Setting.Values

如果收到 Request_BadRequest 错误,这是因为租户中已存在此设置。 尝试创新新的 property:value 对时,结果是错误。 在这种情况下,请执行以下步骤:

  1. 发出 Get-MgBetaDirectorySetting | FL cmdlet 并检查 ID。 如果存在多个 ID 值,请使用在“”设置中为 EnableMIPLabels 属性使用的值。
  2. 使用检索到的 ID 发出 Update-MgBetaDirectorySetting cmdlet。

还需要将敏感度标签与 Microsoft Entra ID 同步。 有关说明,请参阅为容器启用敏感度标签以及同步标签

在 Microsoft Entra 管理中心将标签分配给新组

  1. 至少以全局管理员身份登录到 Microsoft Entra 管理中心

  2. 选择“Microsoft Entra ID”。

  3. 选择“组”>“所有组”>“新建组” 。

  4. 在“新建组”页面上,选择 Microsoft 365。 然后填写新组所需的信息,然后从列表中选择一个敏感度标签。

    屏幕截图显示如何在“新建组”页上分配敏感度标签。

  5. 选择“创建”以保存更改。

组即已创建,并且将自动强制实施与选定标签关联的站点和组设置。

将标签分配给 Microsoft Entra 管理中心中的现有组

  1. 至少以全局管理员身份登录到 Microsoft Entra 管理中心

  2. 选择“Microsoft Entra ID”。

  3. 选择

  4. 在“所有组”页面中,选择要添加标签的组。

  5. 在选定组的页面上,选择“属性”,然后从列表中选择一个敏感度标签。

    屏幕截图显示如何在组的概述页上分配敏感度标签。

  6. 选择“保存”以保存更改。

从 Microsoft Entra 管理中心的现有组中删除标签

  1. 至少以全局管理员身份登录到 Microsoft Entra 管理中心
  2. 选择“Microsoft Entra ID”。
  3. 选择“组”>“所有组” 。
  4. 在“所有组”页面中,选择要从中删除标签的组。
  5. 在“”页面上,选择“属性”。
  6. 选择“删除” 。
  7. 单击“保存”应用所做的更改。

使用经典 Microsoft Entra 分类

启用此功能后,组的“经典”分类仅显示在现有组和网站上。 仅当在不支持敏感度标签的应用中创建组时,才应将其用于新组。 稍后管理员可以根据需要将其转换为敏感度标签。 经典分类是指通过在 Azure AD PowerShell 中为 ClassificationList 设置定义值来设置的旧分类。 启用此功能后,这些分类不会应用于组。

重要

我们计划在 2024 年 3 月 30 日弃用 Azure AD PowerShell。 若要了解详细信息,请阅读有关弃用的更新。 我们建议迁移到 Microsoft Graph PowerShell,以便与 Microsoft Entra ID(以前称为 Azure AD)进行交互。 Microsoft Graph PowerShell 在 PowerShell 7 上提供,支持访问所有 Microsoft Graph API。 有关常见迁移查询的解答,请参阅迁移常见问题解答

对问题进行故障排除

本部分提供常见问题的故障排除提示。

敏感度标签不适用于对组的分配

仅当满足以下所有条件时,才会为组显示敏感度标签选项:

  1. 组织具有有效的 Microsoft Entra ID P1 许可证。
  2. 启用此功能后,Microsoft Graph PowerShell 模块中的 EnableMIPLabels 将设置为 True
  3. 敏感度标签在此 Microsoft Entra 组织的 Microsoft Purview 合规性门户中发布。
  4. 标签通过安全性和符合性 PowerShell 模块中的 Execute-AzureAdLabelSync cmdlet 同步到 Microsoft Entra ID。 在同步后,可能最长会需要 24 小时才能使标签可用于 Microsoft Entra ID。
  5. 必须为“组和站点”配置敏感度标签范围
  6. 组为 Microsoft 365 组。
  7. 当前已登录用户:
    1. 有足够的权限来分配敏感度标签。 用户必须是全局管理员、组管理员或组所有者。
    2. 必须在敏感度标签发布策略的范围内。

请确保满足所有条件,以便将标签分配给组。

列表中没有要分配的标签

如果要查找的标签不在列表中:

  • 此标签可能未在 Microsoft Purview 合规性门户发布。 此外,标签可能不再发布。 有关详细信息,请与管理员联系。
  • 标签可能已发布,但无法供已登录的用户使用。 有关如何获取标签访问权限的详细信息,请咨询管理员。

更改组的标签

可以使用与向现有组分配标签的相同步骤随时交换标签:

  1. 至少以全局管理员身份登录到 Microsoft Entra 管理中心
  2. 选择“Microsoft Entra ID”。
  3. 选择“”>“所有组”,然后选择要标记的组。
  4. 在选定组的页面上,选择“属性”,然后从列表中选择一个新的敏感度标签。
  5. 选择“保存”。

对已发布标签的组设置所做的更改不会在组中更新

当你在 Microsoft Purview 合规性门户更改已发布的标签的组设置时,这些策略更改不会自动应用于带标签的组。 发布敏感度标签并将其应用到组后,Microsoft 建议不要在 Microsoft Purview 合规性门户更改该标签的组设置。

如果必须进行更改,请使用 PowerShell 脚本将更新手动应用于受影响的组。 此方法可确保所有现有组都强制实施新的设置。

后续步骤