將敏感度標籤指派給 Microsoft Entra ID 中的 Microsoft 365 群組

發行項
08/22/2024

Microsoft Entra ID 支援將 [敏感度] 標籤套用至 Microsoft 365 群組，前提是這些標籤已於 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站發佈，且標籤已針對群組和網站設定。

敏感度標籤可以套用至橫跨應用程式和服務的群組，例如 Outlook、Microsoft Teams 和 SharePoint。如需詳細資訊，請參閱 Purview 文件的敏感度標籤支援。

重要

若要設定此功能，您的 Microsoft Entra 組織中至少必須有一個作用中的 Microsoft Entra ID P1 授權。

在 PowerShell 中啟用敏感度標籤支援

若要將已發佈的標籤套用至群組，您必須先啟用此功能。下列步驟會在 Microsoft Entra ID 中啟用此功能。 Microsoft Graph PowerShell SDK 有 Microsoft.Graph 和 Microsoft.Graph.Beta 等兩個模組。

所有Microsoft運作的區域都應該選擇Microsoft。如果以下所列，所有其他區域都應該選擇其操作員。

Microsoft
21Vianet

在您的電腦上開啟 PowerShell 提示，然後執行下列命令以準備執行 Cmdlet。

Install-Module Microsoft.Graph -Scope CurrentUser
Install-Module Microsoft.Graph.Beta -Scope CurrentUser

連線至您的租用戶。

Connect-MgGraph -Scopes "Directory.ReadWrite.All"

擷取 Microsoft Entra 組織目前的群組設定，並顯示目前的群組設定。
```
$grpUnifiedSetting = Get-MgBetaDirectorySetting | Where-Object { $_.Values.Name -eq "EnableMIPLabels" }
$grpUnifiedSetting.Values
```
如果未針對此 Microsoft Entra 組織建立群組設定，您會看到空白畫面。在此情況下，您必須先建立設定。遵循用於設定群組設定的 Microsoft Entra Cmdlet 中的步驟，來建立適用於此 Microsoft Entra 組織的群組設定。

注意

如果先前已啟用敏感度標籤，您會看到 EnableMIPLabels = True。在此情況下，您不需要執行任何動作。此外，如果您不希望非管理員使用者能夠建立群組，請確定 EnableGroupCreation = False。如需詳細資訊，請參閱範本設定。

套用新的設定。

$params = @{
     Values = @(
 	    @{
 		    Name = "EnableMIPLabels"
 		    Value = "True"
 	    }
     )
}

Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params

請確認新的值存在。

$Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
$Setting.Values

如果您收到 Request_BadRequest 錯誤，這是因為該設定已存在於租用戶中。您嘗試建立新的 property:value 配對時，結果是錯誤。在這種情況下請按照下列步驟執行：

發出 Get-MgBetaDirectorySetting | FL Cmdlet 並檢查識別碼。如果有數個識別碼值存在，請使用在 [值] 設定中顯示 EnableMIPLabels 屬性的識別碼值。
使用您擷取的識別碼發出 Update-MgBetaDirectorySetting Cmdlet。

您也需讓敏感度標籤與 Microsoft Entra ID 同步。如需相關說明，請參閱啟用容器的敏感度標籤和同步處理標籤。

如果您要從 21Vianet 執行這些 M365 作業：

在 Microsoft Entra ID 中註冊Microsoft Entra ID 應用程式。
將應用程式 API 許可權授與存取 Microsoft Graph，包括 Directory.ReadWriteAll 和 Group.ReadWriteAll，您可能需要取得租用戶系統管理員的明確同意，才能將 Microsft Graph 的存取權授與應用程式。
產生客戶端密碼並加以複製。您將需要客戶端密碼才能連線到 MS Graph;
以系統管理員身分執行 PowerShell：
```
$ClientSecretCredential = Get-Credential -Credential
```
執行命令之後，系統會提示您輸入密碼。密碼是您在先前步驟中複製的新客戶端密碼。

執行下列命令以取得 MS Graph 的存取權：

Connect-MgGraph -TenantId "Current tenant id" - ClientSecretCredential $ClientSecretCredential -Environment China

擷取 Microsoft Entra 組織目前的群組設定，並顯示目前的群組設定。
```
$grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"
```
如果未針對此 Microsoft Entra 組織建立群組設定，您會看到空白畫面。在此情況下，您必須先建立設定。遵循用於設定群組設定的 Microsoft Entra Cmdlet 中的步驟，來建立適用於此 Microsoft Entra 組織的群組設定。

注意

如果先前已啟用敏感度標籤，您會看到 EnableMIPLabels = True。在此情況下，您不需要執行任何動作。此外，如果您不希望非管理員使用者能夠建立群組，請確定 EnableGroupCreation = False。如需詳細資訊，請參閱範本設定。

套用新的設定。

$params = @{
     Values = @(
 	    @{
 		    Name = "EnableMIPLabels"
 		    Value = "True"
 	    }
     )
}

Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params

請確認新的值存在。

$Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
$Setting.Values

發出 Get-MgBetaDirectorySetting | FL Cmdlet 並檢查識別碼。如果有數個識別碼值存在，請使用在 [值] 設定中顯示 EnableMIPLabels 屬性的識別碼值。
使用您擷取的識別碼發出 Update-MgBetaDirectorySetting Cmdlet。

您也需讓敏感度標籤與 Microsoft Entra ID 同步。如需相關說明，請參閱啟用容器的敏感度標籤和同步處理標籤。

將標籤指派給 Microsoft Entra 系統管理中心的新群組

至少以群組系統管理員的身分登入 Microsoft Entra 系統管理中心。
選取 [Microsoft Entra ID]。
選取 [群組]>[所有群組]>[新群組]。
在 [新群組] 頁面選取 [Microsoft 365]。在 [新群組] 頁面填寫新群組的必要資訊，並從清單中選取敏感度標籤。
選取 [建立] 儲存您的變更。

系統會建立您的群組，然後自動強制執行與選取的標籤相關聯的網站和群組設定。

將標籤指派給 Microsoft Entra 系統管理中心的現有群組

至少以群組系統管理員的身分登入 Microsoft Entra 系統管理中心。
選取 [Microsoft Entra ID]。
選取群組。
在 [所有群組] 頁面上，選取要加上標籤的群組。
在所選群組的頁面上選取 [屬性]，然後從清單中選取敏感度標籤。
選取儲存以儲存變更。

在 Microsoft Entra 系統管理中心由現有群組移除標籤

至少以群組系統管理員的身分登入 Microsoft Entra 系統管理中心。
選取 [Microsoft Entra ID]。
選取 [群組] > [所有群組]。
在 [所有群組] 頁面選取您要從中移除標籤的群組。
在 [群組] 頁面上，選取 [屬性]。
選取 [移除]。
選取儲存套用變更。

使用傳統 Microsoft Entra 分類

啟用此功能之後，群組的「傳統」分類只會出現在現有群組和網站上。只有在您於不支援敏感度標籤的應用程式建立群組時，才應該將其用於新的群組。您的系統管理員後續可視需要將其轉換為敏感度標籤。傳統分類是您藉由在 Azure AD PowerShell 中定義 ClassificationList 設定的值而設定的舊分類。此功能啟用時，不會對群組套用這些分類。

注意

自 2024 年 3 月 30 日起，Azure AD 和 MSOnline PowerShell 模組已被淘汰。若要深入了解，請閱讀淘汰更新。在此日期之後，對這些模組的支援僅限於對 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。淘汰的模組將繼續運作至 2025 年 3 月 30 日。

我們建議移轉至 Microsoft Graph PowerShell 以與 Microsoft Entra ID (以前稱為 Azure AD) 互動。如需了解常見的移轉問題，請參閱移轉常見問題。 注意：MSOnline 1.0.x 版可能會在 2024 年 6 月 30 日之後發生中斷。

疑難排解問題

本節提供常見問題的疑難排解秘訣。

敏感度標籤無法用於群組的指派

只有在符合下列所有條件時，才會顯示群組的敏感度標籤選項：

組織具有作用中的 Microsoft Entra ID P1 授權。
此功能已啟用，且 EnableMIPLabels 在 Microsoft Graph PowerShell 模組中設定為 True。
敏感度標籤會於此 Microsoft Entra 組織的 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站中發佈。
標籤會在安全性與合規性 PowerShell 模組中透過 Execute-AzureAdLabelSync Cmdlet 同步處理至 Microsoft Entra ID。同步處理之後最多可能需要 24 小時的時間，標籤才可供 Microsoft Entra ID 使用。
敏感度標籤範圍必須針對群組和網站設定。
群組是 Microsoft 365 群組。
目前登入的使用者：
1. 有足夠權限指派敏感度標籤。使用者必須是群組擁有者或至少群組系統管理員。
2. 必須位於敏感度標籤發佈原則的範圍內。

請確認符合所有前述條件，以將標籤指派給群組。

您要指派的標籤不在清單中

如果您要尋找的標籤不在清單中：

標籤可能未發佈於 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站。也可能是標籤已不再能夠發佈。詳細資訊請洽詢系統管理員。
標籤可能會發佈，但無法供登入的使用者使用。如需如何取得標籤存取權的詳細資訊，請洽詢系統管理員。

變更群組的標籤

您可以隨時使用將標籤指派給現有群組的相同步驟來交換標籤：

至少以群組系統管理員的身分登入 Microsoft Entra 系統管理中心。
選取 [Microsoft Entra ID]。
選取 [群組]>[所有群組]，然後選取您要以標籤標記的群組。
在所選群組的頁面上選取 [屬性]，然後從清單中選取新的敏感度標籤。
選取 [儲存]。

對已發佈的標籤所做的群組設定變更並不會在群組上更新

在您對已於 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站發佈的標籤進行群組設定變更後，這些原則變更並不會自動套用至已加上標籤的群組。敏感度標籤發佈並套用至群組之後，Microsoft 建議您不要在入口網站變更標籤的群組設定。

如果必須進行變更，請使用 PowerShell 指令碼，手動將更新套用至受影響的群組。此方法可確保所有現有的群組都會強制執行新的設定。

共用方式為