Zuweisen von Vertraulichkeitsbezeichnungen zu Microsoft 365-Gruppen in Microsoft Entra ID

Microsoft Entra ID unterstützt das Anwenden von Vertraulichkeitsbezeichnungen auf Microsoft 365-Gruppen, wenn diese Bezeichnungen im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal veröffentlicht werden und für Gruppen und Websites konfiguriert sind.

Vertraulichkeitsbezeichnungen können auf Gruppen über Apps und Dienste wie Outlook, Microsoft Teams und SharePoint hinweg angewandt werden. Weitere Informationen finden Sie in der Purview-Dokumentation unter Unterstützung für Vertraulichkeitsbezeichnungen.

Wichtig

Zum Konfigurieren dieses Features muss mindestens eine aktive Microsoft Entra ID P1-Lizenz in Ihrer Microsoft Entra-Organisation vorhanden sein.

Aktivieren der Unterstützung von Vertraulichkeitsbezeichnungen in PowerShell

Damit veröffentlichte Bezeichnungen auf Gruppen angewendet werden können, müssen Sie zunächst das Feature aktivieren. Diese Schritten aktivieren das Feature in Microsoft Entra ID. Das Microsoft Graph PowerShell SDK umfasst zwei Module, Microsoft.Graph und Microsoft.Graph.Beta.

Alle von Microsoft betriebenen Regionen sollten Microsoft auswählen. Alle anderen Regionen sollten ihren Operator auswählen, wenn eins aufgeführt ist.

Microsoft

1. Öffnen Sie eine PowerShell-Eingabeaufforderung auf Ihrem Computer, und installieren Sie die Graph-Module, die zum Ausführen der Cmdlets erforderlich sind.

   Install-Module Microsoft.Graph -Scope CurrentUser
   Install-Module Microsoft.Graph.Beta -Scope CurrentUser
   

2. Stellen Sie eine Verbindung mit Ihrem Mandanten her.

   Connect-MgGraph -Scopes "Directory.ReadWrite.All"
   

3. Rufen Sie die aktuellen Gruppeneinstellungen für die Microsoft Entra-Organisation ab, und zeigen Sie die aktuellen Gruppeneinstellungen an.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting | Where-Object { $_.Values.Name -eq "EnableMIPLabels" }
   $grpUnifiedSetting.Values
   

   Wenn für diese Microsoft Entra-Organisation keine Gruppeneinstellungen erstellt wurden, werden Sie einen leeren Bildschirm erhalten. In diesem Fall müssen Sie zuerst die Einstellungen erstellen. Um Gruppeneinstellungen für diese Microsoft Entra-Organisation zu erstellen, führen Sie die Schritte in Microsoft Entra-Cmdlets zum Konfigurieren von Gruppeneinstellungen aus.

   Hinweis

   Wenn die Vertraulichkeitsbezeichnung zuvor aktiviert wurde, wird EnableMIPLabels = True angezeigt. In diesem Fall müssen Sie nichts mehr tun. Stellen Sie außerdem sicher, dass EnableGroupCreation = False ist, wenn Sie nicht möchten, dass Benutzerinnen und Benutzer, die keine Admins sind, Gruppen erstellen können. Ausführliche Informationen finden Sie unter Vorlageneinstellungen.

4. Wenden Sie die neuen Einstellungen an.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

5. Überprüfen Sie, ob der neue Wert vorhanden ist.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Wenn eine Request_BadRequest Fehlermeldung angezeigt wird, liegt dies daran, dass die Einstellungen bereits im Mandanten vorhanden sind. Wenn Sie versuchen, ein neues property:value Paar zu erstellen, ist das Ergebnis ein Fehler. Führen Sie in diesem Fall die folgenden Schritte aus:

1. Geben Sie ein Get-MgBetaDirectorySetting | FL Cmdlet aus, und überprüfen Sie die ID. Wenn mehrere ID-Werte vorhanden sind, verwenden Sie den Wert, in dem die EnableMIPLabels-Eigenschaft in den Values-Einstellungen enthalten ist.
2. Geben Sie das Update-MgBetaDirectorySetting Cmdlet mit der ID aus, die Sie abgerufen haben.

Außerdem müssen Sie Ihre Vertraulichkeitsbezeichnungen mit Microsoft Entra ID synchronisieren. Entsprechende Anweisungen finden Sie unter Aktivieren von Vertraulichkeitsbezeichnungen für Container und Synchronisieren von Bezeichnungen.

21Vianet

Wenn Sie diese Microsoft 365-Vorgänge von 21Vianet ausführen:

1. Registrieren Sie eine Microsoft Entra ID-Anwendung in Microsoft Entra ID.

2. Gewähren Sie Ihrer Anwendungs-API Berechtigungen für den Zugriff auf Microsoft Graph, einschließlich Directory.ReadWriteAll und Group.ReadWriteAll. Möglicherweise benötigen Sie die ausdrückliche Einwilligung des Mandantenadministrators, um der Anwendung Zugriff auf Microsoft Graph zu gewähren.

3. Generieren Sie einen geheimen Clientschlüssel, und kopieren Sie ihn. Sie benötigen den geheimen Clientschlüssel, um eine Verbindung mit MS Graph herzustellen;

4. Führen Sie PowerShell als Administrator aus:

   $ClientSecretCredential = Get-Credential -Credential
   

   Nachdem Befehle ausgeführt wurden, werden Sie aufgefordert, ein Kennwort einzugeben. Das Kennwort ist der neue geheime Clientschlüssel, den Sie im vorherigen Schritt kopiert haben.

5. Führen Sie den folgenden Befehl aus, um Zugriff auf MS Graph zu erhalten:

   Connect-MgGraph -TenantId "Current tenant id" - ClientSecretCredential $ClientSecretCredential -Environment China
   

6. Rufen Sie die aktuellen Gruppeneinstellungen für die Microsoft Entra-Organisation ab, und zeigen Sie die aktuellen Gruppeneinstellungen an.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"
   

   Wenn für diese Microsoft Entra-Organisation keine Gruppeneinstellungen erstellt wurden, werden Sie einen leeren Bildschirm erhalten. In diesem Fall müssen Sie zuerst die Einstellungen erstellen. Um Gruppeneinstellungen für diese Microsoft Entra-Organisation zu erstellen, führen Sie die Schritte in Microsoft Entra-Cmdlets zum Konfigurieren von Gruppeneinstellungen aus.

   Hinweis

   Wenn die Vertraulichkeitsbezeichnung zuvor aktiviert wurde, wird EnableMIPLabels = True angezeigt. In diesem Fall müssen Sie nichts mehr tun. Stellen Sie außerdem sicher, dass EnableGroupCreation = False ist, wenn Sie nicht möchten, dass Benutzerinnen und Benutzer, die keine Admins sind, Gruppen erstellen können. Ausführliche Informationen finden Sie unter Vorlageneinstellungen.

7. Wenden Sie die neuen Einstellungen an.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

8. Überprüfen Sie, ob der neue Wert vorhanden ist.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Wenn eine Request_BadRequest Fehlermeldung angezeigt wird, liegt dies daran, dass die Einstellungen bereits im Mandanten vorhanden sind. Wenn Sie versuchen, ein neues property:value Paar zu erstellen, ist das Ergebnis ein Fehler. Führen Sie in diesem Fall die folgenden Schritte aus:

1. Geben Sie ein Get-MgBetaDirectorySetting | FL Cmdlet aus, und überprüfen Sie die ID. Wenn mehrere ID-Werte vorhanden sind, verwenden Sie den Wert, in dem die EnableMIPLabels-Eigenschaft in den Values-Einstellungen enthalten ist.
2. Geben Sie das Update-MgBetaDirectorySetting Cmdlet mit der ID aus, die Sie abgerufen haben.

Außerdem müssen Sie Ihre Vertraulichkeitsbezeichnungen mit Microsoft Entra ID synchronisieren. Entsprechende Anweisungen finden Sie unter Aktivieren von Vertraulichkeitsbezeichnungen für Container und Synchronisieren von Bezeichnungen.

Zuweisen einer Bezeichnung zu einer neuen Gruppe im Microsoft Entra Admin Center

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.

2. Wählen Sie Microsoft Entra ID aus.

3. Wählen Sie Gruppen>Alle Gruppen>Neue Gruppe aus.

4. Wählen Sie auf der Seite Neue GruppeMicrosoft 365 aus. Füllen Sie dann die erforderlichen Informationen für die neue Gruppe aus, und wählen Sie anschließend eine Vertraulichkeitsbezeichnung aus der Liste aus.

   Screenshot der Zuweisung einer Vertraulichkeitsbezeichnung auf der Seite „Neue Gruppen“

5. Wählen Sie Erstellen aus, um Ihre Änderungen zu speichern.

Ihre Gruppe wird erstellt, und die mit der ausgewählten Bezeichnung verbundenen Standort- und Gruppeneinstellungen werden automatisch durchgesetzt.

Zuweisen einer Bezeichnung zu einer vorhandenen Gruppe im Microsoft Entra Admin Center

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.

2. Wählen Sie Microsoft Entra ID aus.

3. Gruppen auswählen.

4. Wählen Sie auf der Seite Alle Gruppen die Gruppe aus, die Sie bezeichnen möchten.

5. Wählen Sie auf der Seite der ausgewählten Gruppe Eigenschaften und anschließend eine Vertraulichkeitsbezeichnung aus der Liste aus.

   Screenshot der Zuweisung einer Vertraulichkeitsbezeichnung auf der Übersichtsseite einer Gruppe

6. Wählen Sie Speichern aus, um die Änderungen zu speichern.

Entfernen einer Bezeichnung aus einer vorhandenen Gruppe im Microsoft Entra Admin Center

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.
2. Wählen Sie Microsoft Entra ID aus.
3. Wählen Sie Gruppen>Alle Gruppen aus.
4. Wählen Sie auf der Seite Alle Gruppen die Gruppe aus, deren Bezeichnung Sie entfernen möchten.
5. Wählen Sie auf der Seite Gruppe die Option Eigenschaften aus.
6. Wählen Sie Entfernen.
7. Klicken Sie zum Übernehmen der Änderungen auf Speichern.

Verwenden von klassischen Microsoft Entra-Klassifizierungen

Nachdem Sie dieses Feature aktiviert haben, werden die „klassischen“ Klassifizierungen für Gruppen nur auf vorhandenen Gruppen und Websites angezeigt. Sie sollten sie nur für neue Gruppen verwenden, wenn Sie Gruppen in Apps erstellen, die Keine Vertraulichkeitsbezeichnungen unterstützen. Ihr Administrator kann sie bei Bedarf später in Vertraulichkeitsbezeichnungen umwandeln. Klassische Klassifizierungen sind die alten Klassifizierungen, die Sie durch Definieren von Werten für die ClassificationList-Einstellung in Azure AD PowerShell eingerichtet haben. Wenn dieses Feature aktiviert ist, werden diese Klassifizierungen nicht auf Gruppen angewendet.

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.

Fragen zur Problembehandlung

Dieser Abschnitt bietet Tipps zur Behandlung häufiger Probleme.

Vertraulichkeitsbezeichnungen sind nicht für die Zuweisung zu einer Gruppe verfügbar

Die Option Vertraulichkeitsbezeichnung wird nur für Gruppen angezeigt, wenn alle der folgenden Bedingungen erfüllt sind.

1. Die Organisation verfügt über eine aktive Microsoft Entra ID P1-Lizenz.
2. Das Feature ist aktiviert, und EnableMIPLabels wird im Microsoft Graph PowerShell-Modul auf True festgelegt.
3. Die Vertraulichkeitsbezeichnungen werden im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal für diese Microsoft Entra-Organisation veröffentlicht.
4. Die Bezeichnungen werden im PowerShell-Modul Security Compliance mit dem Execute-AzureAdLabelSync cmdlet mit Microsoft Entra ID synchronisiert. Nach der Synchronisierung kann es bis zu 24 Stunden dauern, bis die Bezeichnung in Microsoft Entra ID verfügbar ist.
5. Der Vertraulichkeitsbezeichnungsbereich muss für Gruppen und Sites konfiguriert werden.
6. Bei der Gruppe handelt es sich um eine Microsoft 365-Gruppe.
7. Der aktuell angemeldete Benutzer:
   1. Verfügt über ausreichende Berechtigungen, um Vertraulichkeitsbezeichnungen zuzuweisen. Der Benutzer muss der Gruppenbesitzer oder mindestens ein Gruppenadministrator sein.
   2. Muss sich innerhalb des Bereichs der Veröffentlichungsrichtlinie für Vertraulichkeitsbezeichnungen befinden.

Stellen Sie sicher, dass alle Bedingungen erfüllt sind, damit Sie einer Gruppe Bezeichnungen zuweisen können.

Die Bezeichnung, die ich zuweisen möchte, ist nicht in der Liste enthalten

Wenn sich die gesuchte Bezeichnung nicht in der Liste befindet:

• Die Bezeichnung wird möglicherweise nicht im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal veröffentlicht. Außerdem wird die Bezeichnung möglicherweise nicht mehr veröffentlicht. Weitere Informationen erhalten Sie von Ihrem Administrator.
• Die Bezeichnung kann veröffentlicht werden, ist aber für den angemeldeten Benutzer nicht verfügbar. Weitere Informationen zum Zugriff auf die Bezeichnung erhalten Sie von Ihrem Administrator.

Ändern der Bezeichnung einer Gruppe

Bezeichnungen können jederzeit mit denselben Schritten wie bei der Zuweisung eines Bezeichners zu einer bestehenden Gruppe ausgetauscht werden:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.
2. Wählen Sie Microsoft Entra ID aus.
3. Wählen Sie Alle Gruppen> und dann die Gruppe aus, die Sie bezeichnen möchten.
4. Wählen Sie auf der Seite der ausgewählten Gruppe Eigenschaften und anschließend eine neue Vertraulichkeitsbezeichnung aus der Liste aus.
5. Wählen Sie Speichern aus.

Änderungen der Gruppeneinstellungen an veröffentlichten Bezeichnungen werden in den Gruppen nicht aktualisiert.

Wenn Sie Änderungen an den Gruppeneinstellungen für eine veröffentlichte Bezeichnung im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal vornehmen, werden diese Richtlinienänderungen nicht automatisch auf die bezeichneten Gruppen angewandt. Nachdem die Vertraulichkeitsbezeichnung veröffentlicht und auf Gruppen angewandt wurde, empfiehlt Microsoft, die Gruppeneinstellungen für die Bezeichnung nicht im Portal zu ändern.

Wenn Sie eine Änderung vornehmen müssen, verwenden Sie ein PowerShell-Skript, um Updates manuell auf die betroffenen Gruppen anzuwenden. Diese Methode stellt sicher, dass alle vorhandenen Gruppen die neue Einstellung erzwingen.

Nächste Schritte

• Verwenden von Vertraulichkeitsbezeichnungen zum Schützen des Inhalts in Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites
• Manuelles Aktualisieren von Gruppen nach der Änderung der Bezeichnungsrichtlinie mit einem Azure AD PowerShell-Skript
• Bearbeiten Ihrer Gruppeneinstellungen
• Verwalten von Gruppen mithilfe von PowerShell-Befehlen