將敏感度標籤指派給 Microsoft Entra ID 中的 Microsoft 365 群組

文章
05/03/2024

當這些標籤發佈在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站，且標籤已針對群組和網站設定時，Microsoft Entra ID 支援將這些標籤套用至 Microsoft 365 群組。

敏感度標籤可以套用至跨應用程式和服務的群組，例如 Outlook、Microsoft Teams 和 SharePoint。如需詳細資訊，請參閱 Purview 檔中的敏感度標籤支援。

重要

若要設定這項功能，您的 Microsoft Entra 組織中必須至少有一個作用中的 Microsoft Entra ID P1 授權。

在 PowerShell 中啟用敏感度標籤支援

若要將已發佈的標籤套用至群組，您必須先啟用此功能。這些步驟會啟用 Microsoft Entra ID 中的功能。 Microsoft Graph PowerShell SDK 有兩個模組， Microsoft.Graph 以及 Microsoft.Graph.Beta。

在您的計算機上開啟 PowerShell 提示字元，然後執行下列命令以準備執行 Cmdlet。

Install-Module Microsoft.Graph -Scope CurrentUser
Install-Module Microsoft.Graph.Beta -Scope CurrentUser

連線租使用者。

Connect-MgGraph -Scopes "Directory.ReadWrite.All"

擷取 Microsoft Entra 組織的目前群組設定，並顯示目前的群組設定。
```
$grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"
```
如果未為此 Microsoft Entra 組織建立任何群組設定，您會收到空白畫面。在此情況下，您必須先建立設定。請遵循 Microsoft Entra Cmdlet 中的步驟來設定群組設定，以建立此 Microsoft Entra 組織的群組設定。

注意

如果先前已啟用敏感度標籤，您會看到 EnableMIPLabels = True。 在此情況下，您不需要執行任何動作。

套用新的設定。

$params = @{
     Values = @(
 	    @{
 		    Name = "EnableMIPLabels"
 		    Value = "True"
 	    }
     )
}

Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params

確認新的值存在。

$Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
$Setting.Values

如果您收到 Request_BadRequest 錯誤，這是因為該設定已存在於租使用者中。當您嘗試建立新 property:value 配對時，結果是錯誤。在此情況下，請遵循下列步驟：

Get-MgBetaDirectorySetting | FL發出 Cmdlet 並檢查標識碼。如果存在數個識別碼值，請使用您在 [值] 設定上看到 EnableMIPLabels 屬性的位置。
Update-MgBetaDirectorySetting使用您所擷取的標識碼發出 Cmdlet。

您也需要將敏感度標籤同步處理至 Microsoft Entra ID。如需指示，請參閱啟用容器的敏感度標籤和同步標籤。

在 Microsoft Entra 系統管理中心將標籤指派給新群組

以至少全域管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
選取 [Microsoft Entra ID]。
選取 [群組>所有群組>] [新增群組]。
在 [ 新增群組] 頁面上，選取 [Microsoft 365]。然後填寫新群組的必要資訊，然後從清單中選取敏感度標籤。
選取 [建立] 以儲存變更。

系統會建立您的群組，然後會自動強制執行與所選標籤相關聯的網站和群組設定。

在 Microsoft Entra 系統管理中心將標籤指派給現有的群組

以至少全域管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
選取 [Microsoft Entra ID]。
選取群組。
從 [ 所有群組] 頁面中，選取您要加上標籤的群組。
在選取的群組頁面上，選取 [屬性 ]，然後從清單中選取敏感度標籤。
選取儲存以儲存變更。

從 Microsoft Entra 系統管理中心的現有群組移除標籤

以至少全域管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
選取 [Microsoft Entra ID]。
選取 [群組>所有群組]。
在 [ 所有群組 ] 頁面上，選取您要從中移除卷標的群組。
在 [ 群組] 頁面上，選取 [ 屬性]。
選取 [移除]。
選取儲存套用變更。

使用傳統 Microsoft Entra 分類

啟用此功能之後，群組的「傳統」分類只會出現在現有的群組和網站上。只有在您在不支援敏感度標籤的應用程式中建立群組時，才應該將它們用於新的群組。您的系統管理員稍後可以視需要將它們轉換成敏感度標籤。傳統分類是您在 Azure AD PowerShell 中定義設定值 ClassificationList 所設定的舊分類。啟用此功能時，這些分類不會套用至群組。

注意

自 2024 年 3 月 30 日起，Azure AD 和 MSOnline PowerShell 模組已被淘汰。若要深入了解，請閱讀淘汰更新。在此日期之後，對這些模組的支援僅限於對 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。淘汰的模組將繼續運作至 2025 年 3 月 30 日。

我們建議移轉至 Microsoft Graph PowerShell 以與 Microsoft Entra ID (以前稱為 Azure AD) 互動。如需了解常見的移轉問題，請參閱移轉常見問題。 注意：MSOnline 1.0.x 版可能會在 2024 年 6 月 30 日之後發生中斷。

疑難排解問題

本節提供常見問題的疑難排解秘訣。

群組上的指派無法使用敏感度標籤

只有在符合下列所有條件時，才會針對群組顯示敏感度標籤選項：

組織具有有效的 Microsoft Entra ID P1 授權。
此功能已啟用，且 EnableMIPLabels 在 Microsoft Graph PowerShell 模組中設定為 True 。
敏感度標籤會在 Microsoft Purview 入口網站或此 Microsoft Entra 組織的 Microsoft Purview 合規性入口網站中發佈。
卷標會與安全性與合規性 PowerShell 模組中的 Cmdlet 同步處理至 Microsoft Entra 識別符 Execute-AzureAdLabelSync 。同步處理后最多可能需要 24 小時，標籤才能供 Microsoft Entra 識別碼使用。
必須針對群組和網站設定敏感度標籤範圍。
此群組是 Microsoft 365 群組。
目前登入的使用者：
1. 有足夠的許可權可指派敏感度標籤。用戶必須是全域管理員 istrator、Group 管理員 istrator 或群組擁有者。
2. 必須位於敏感度標籤發佈原則的範圍內。

請確定符合上述所有條件，以將標籤指派給群組。

您想要指派的標籤不在清單中

如果您要尋找的標籤不在清單中：

卷標可能不會在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站中發佈。此外，標籤可能不再發佈。請洽詢系統管理員以取得詳細資訊。
卷標可能會發佈，但無法供登入的使用者使用。請洽詢您的系統管理員，以取得如何取得標籤取權的詳細資訊。

變更群組上的標籤

您可以使用指定標籤給現有群組的相同步驟，隨時交換標籤：

以至少全域管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
選取 [Microsoft Entra ID]。
選取 [群組>所有群組]，然後選取您要標記的群組。
在選取的群組頁面上，選取 [屬性 ]，然後從清單中選取新的敏感度標籤。
選取 [儲存]。

群組上的群組設定變更不會更新發佈標籤

當您在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站中變更已發佈標籤的群組設定時，這些原則變更不會自動套用至已標記的群組。發佈敏感度標籤並套用至群組之後，Microsoft 建議您不要在入口網站中變更標籤的群組設定。

如果您必須進行變更，請使用 PowerShell腳本手動將更新套用至受影響的群組。此方法可確保所有現有的群組都強制執行新的設定。