Zuweisen von Vertraulichkeitsbezeichnungen zu Microsoft 365-Gruppen in Azure Active Directory

Azure Active Directory (Azure AD) (Teil von Micosoft Entra) unterstützt das Anwenden von Vertraulichkeitsbezeichnungen, die vom Microsoft Purview-Complianceportal für Microsoft 365-Gruppen veröffentlicht werden. Vertraulichkeitsbezeichnungen gelten für Gruppen über Dienste wie Outlook, Microsoft Teams und SharePoint hinweg. Weitere Informationen zur Unterstützung von Microsoft 365-Apps finden Sie unter Microsoft 365-Unterstützung für Vertraulichkeitsbezeichnungen.

Wichtig

Um dieses Feature zu konfigurieren, muss mindestens eine aktive Azure Active Directory Premium P1-Lizenz in Ihrer Azure AD-Organisation vorhanden sein.

Aktivieren der Unterstützung von Vertraulichkeitsbezeichnungen in PowerShell

Damit veröffentlichte Bezeichnungen auf Gruppen angewendet werden können, müssen Sie zunächst das Feature aktivieren. Diese Schritte aktivieren das Feature in Azure AD.

  1. Öffnen Sie ein Windows PowerShell-Fenster auf Ihrem Computer. Sie können es ohne erhöhte Rechte öffnen.

  2. Führen Sie die folgenden Befehle aus, um die Ausführung der Cmdlets vorzubereiten.

    Install-Module AzureADPreview
    Import-Module AzureADPreview
    AzureADPreview\Connect-AzureAD
    

    Geben Sie auf der Seite Bei Ihrem Konto anmelden Ihr Administratorkonto und das zugehörige Kennwort ein, um eine Verbindung mit dem Dienst herzustellen, und wählen Sie Anmelden aus.

  3. Rufen Sie die aktuellen Gruppeneinstellungen für die Azure AD-Organisation ab, und zeigen Sie die aktuellen Gruppeneinstellungen an.

    $grpUnifiedSetting = (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ)
    $Setting = $grpUnifiedSetting
    $grpUnifiedSetting.Values
    

    Hinweis

    Wenn für diese Azure AD-Organisation keine Gruppeneinstellungen erstellt wurden, erhalten Sie einen leeren Bildschirm. In diesem Fall müssen Sie zuerst die Einstellungen erstellen. Um Gruppeneinstellungen für diese Azure AD-Organisation zu erstellen, führen Sie die Schritte in Azure Active Directory-Cmdlets zum Konfigurieren von Gruppeneinstellungen aus.

    Hinweis

    Wenn die Vertraulichkeitsbezeichnung zuvor aktiviert wurde, wird EnableMIPLabels = True angezeigt. In diesem Fall sind von Ihrer Seite keine Schritte erforderlich.

  4. Aktivieren Sie das Feature:

    $Setting["EnableMIPLabels"] = "True"
    
  5. Überprüfen Sie den neuen angewendeten Wert:

    $Setting.Values
    
  6. Speichern Sie die Änderungen, und übernehmen Sie die Einstellungen:

    Set-AzureADDirectorySetting -Id $grpUnifiedSetting.Id -DirectorySetting $Setting
    

Wenn Sie einen Request_BadRequest-Fehler erhalten, liegt das daran, dass die Einstellungen bereits im Mandanten vorhanden sind. Wenn Sie also versuchen, ein neues Eigenschaft:Wert-Paar zu erstellen, wird ein Fehler ausgegeben. Führen Sie in diesem Fall die folgenden Schritte aus:

  1. Wiederholen Sie die Schritte 1-4 von Unterstützung für Empfindlichkeitslabel in PowerShell aktivieren.
  2. Geben Sie ein Get-AzureADDirectorySetting | FL Cmdlet aus, und überprüfen Sie die ID. Wenn mehrere ID-Werte vorhanden sind, verwenden Sie den Wert, in dem die EnableMIPLabels-Eigenschaft in den Values-Einstellungen enthalten ist. Sie benötigen die ID in Schritt 4.
  3. Legen Sie die Eigenschaftsvariable EnableMIPLabels fest:$Setting["EnableMIPLabels"] = "True"
  4. Geben Sie das Set-AzureADDirectorySetting -DirectorySetting $Setting -ID Cmdlet mit der ID aus, die Sie in Schritt 2 abgerufen haben.
  5. Stellen Sie sicher, dass der Wert jetzt ordnungsgemäß aktualisiert wird, indem Sie erneut $Setting.Values ausstellen.

Außerdem müssen Sie Ihre Vertraulichkeitsbezeichnungen mit Azure AD synchronisieren. Entsprechende Anweisungen finden Sie unter Aktivieren von Vertraulichkeitsbezeichnungen für Container und Synchronisieren von Bezeichnungen.

Zuweisen einer Bezeichnung zu einer neuen Gruppe im Azure-Portal

  1. Melden Sie sich beim Azure AD Admin Center an.

  2. Wählen Sie Gruppen und anschließend Neue Gruppe aus.

  3. Wählen Sie auf der Seite Neue Gruppe die Option Office 365 aus, füllen Sie dann die erforderlichen Informationen für die neue Gruppe aus, und wählen Sie anschließend eine Vertraulichkeitsbezeichnung aus der Liste aus.

    Assign a sensitivity label in the New groups page

  4. Speichern Sie die Änderungen, und wählen Sie Erstellen aus.

Ihre Gruppe wird erstellt, und die mit der ausgewählten Bezeichnung verbundenen Standort- und Gruppeneinstellungen werden automatisch durchgesetzt.

Zuweisen einer Bezeichnung zu einer vorhandenen Gruppe im Azure-Portal

  1. Melden Sie sich beim Azure AD Admin Center mit einem Gruppenadministratorkonto oder als Gruppenbesitzer an.

  2. Wählen Sie Gruppen aus.

  3. Wählen Sie auf der Seite Alle Gruppen die Gruppe aus, die Sie bezeichnen möchten.

  4. Wählen Sie auf der Seite der ausgewählten Gruppe Eigenschaften und anschließend eine Vertraulichkeitsbezeichnung aus der Liste aus.

    Assign a sensitivity label on the overview page for a group

  5. Wählen Sie Speichern, um Ihre Änderungen zu speichern.

Entfernen einer Bezeichnung von einer vorhandenen Gruppe im Azure-Portal

  1. Melden Sie sich beim Azure AD Admin Center mit einem globalen Administrator- oder Gruppenadministratorkonto oder als Gruppenbesitzer an.
  2. Wählen Sie Gruppen aus.
  3. Wählen Sie auf der Seite Alle Gruppen die Gruppe aus, deren Bezeichnung Sie entfernen möchten.
  4. Wählen Sie auf der Seite Gruppe die Option Eigenschaften aus.
  5. Wählen Sie Entfernen.
  6. Klicken Sie zum Übernehmen der Änderungen auf Speichern.

Verwenden klassischer Azure AD-Klassifizierungen

Nachdem Sie diese Funktion aktiviert haben, werden die „klassischen“ Klassifizierungen für Gruppen nur in vorhandenen Gruppen und Standorten angezeigt. Sie sollten sie nur dann für neue Gruppen verwenden, wenn Sie Gruppen in Apps erstellen, die keine Vertraulichkeitsbezeichnung unterstützen. Ihr Administrator kann sie bei Bedarf später in Vertraulichkeitsbezeichnungen umwandeln. Klassische Klassifizierungen sind die alten Klassifizierungen, die Sie durch Definieren von Werten für die ClassificationList-Einstellung in Azure AD PowerShell eingerichtet haben. Wenn dieses Feature aktiviert ist, werden diese Klassifizierungen nicht auf Gruppen angewendet.

Fragen zur Problembehandlung

Vertraulichkeitsbezeichnungen sind nicht für die Zuweisung zu einer Gruppe verfügbar.

Die Option „Vertraulichkeitsbezeichnung“ wird nur für Gruppen angezeigt, wenn alle der folgenden Bedingungen erfüllt sind:

  1. Für diese Azure AD-Organisation werden die Bezeichnungen im Microsoft Purview-Complianceportal veröffentlicht.
  2. Das Feature ist aktiviert, „EnableMIPLabels“ ist im Azure AD PowerShell-Modul auf „True“ festgelegt.
  3. Die Bezeichnungen werden im PowerShell-Modul &Security & Compliance mit dem Cmdlet Execute-AzureAdLabelSync mit Azure AD synchronisiert. Nach der Synchronisierung kann es bis zu 24 Stunden dauern, bis die Bezeichnung in Azure AD verfügbar ist.
  4. Bei der Gruppe handelt es sich um eine Microsoft 365-Gruppe.
  5. Die Organisation verfügt über eine Active Azure Active Directory Premium P1-Lizenz.
  6. Der Vertraulichkeitsbezeichnungsbereich muss für Gruppen und Sites konfiguriert werden.
  7. Der aktuell angemeldete Benutzer verfügt über ausreichende Berechtigungen, um Bezeichnungen zuzuweisen. Der Benutzer muss entweder ein globaler Administrator, ein Gruppenadministrator oder der Gruppenbesitzer sein.
  8. Der aktuell angemeldete Benutzer bzw. die Benutzerin muss sich innerhalb des Bereichs der Veröffentlichungsrichtlinie für Vertraulichkeitsbezeichnungen befinden.

Stellen Sie sicher, dass alle Bedingungen erfüllt sind, damit Sie einer Gruppe Bezeichnungen zuweisen können.

Die Bezeichnung, die ich zuweisen möchte, ist nicht in der Liste enthalten.

Wenn die gesuchte Bezeichnung nicht in der Liste enthalten ist, kann dies einen der folgenden Gründe haben:

  • Die Bezeichnung wird möglicherweise nicht im Microsoft Purview-Complianceportal veröffentlicht. Dies könnte auch für Bezeichnungen gelten, die nicht mehr veröffentlicht werden. Weitere Informationen erhalten Sie von Ihrem Administrator.
  • Die Bezeichnung kann veröffentlicht werden, ist aber für den angemeldeten Benutzer nicht verfügbar. Weitere Informationen zum Zugriff auf die Bezeichnung erhalten Sie von Ihrem Administrator.

Ändern der Bezeichnung einer Gruppe

Bezeichnungen können jederzeit mit denselben folgenden Schritten wie bei der Zuweisung eines Bezeichners zu einer bestehenden Gruppe ausgetauscht werden:

  1. Melden Sie sich beim Azure AD Admin Center mit einem globalen Administrator- oder Gruppenadministratorkonto oder als Gruppenbesitzer an.
  2. Wählen Sie Gruppen aus.
  3. Wählen Sie auf der Seite Alle Gruppen die Gruppe aus, die Sie bezeichnen möchten.
  4. Wählen Sie auf der Seite der ausgewählten Gruppe Eigenschaften und anschließend eine neue Vertraulichkeitsbezeichnung aus der Liste aus.
  5. Wählen Sie Speichern aus.

Änderungen der Gruppeneinstellungen an veröffentlichten Bezeichnungen werden in den Gruppen nicht aktualisiert.

Wenn Sie Änderungen an den Gruppeneinstellungen für eine veröffentlichte Bezeichnung im Microsoft Purview-Complianceportal vornehmen, werden diese Richtlinienänderungen nicht automatisch auf die bezeichneten Gruppen angewendet. Microsoft empfiehlt, die Gruppeneinstellungen für die Bezeichnung nicht im Microsoft Purview-Complianceportal zu ändern, nachdem die Vertraulichkeitsbezeichnung veröffentlicht und auf Gruppen angewendet wurde.

Wenn Sie eine Änderung vornehmen müssen, verwenden Sie ein Azure AD PowerShell-Skript, um Updates manuell auf die betroffenen Gruppen anzuwenden. Diese Methode stellt sicher, dass alle vorhandenen Gruppen die neue Einstellung erzwingen.

Nächste Schritte