Назначение меток конфиденциальности группам безопасности Microsoft Entra (предварительная версия)

Примените метки конфиденциальности к облачным группам безопасности Microsoft Entra, чтобы расширить классификацию и механизмы управления, которые вы уже используете для групп Microsoft 365. Те же метки, которые вы публикуете в Портал Microsoft Purview и настраиваете для групп и сайтов, применяются автоматически к облачным группам безопасности без отдельной конфигурации меток.

Note

Эта функция не применяется к группам безопасности, синхронизированным из локальная служба Active Directory или групп безопасности, управляемых Exchange. Метки также не поддерживаются в группах безопасности с динамическим членством. Дополнительные сведения см. в известных ограничениях .

Important

Эта функция находится в режиме предварительного просмотра. Некоторые аспекты поведения, включая возможность изменять метки после их назначения и применение к ролям с высоким уровнем привилегий, могут измениться до выхода в общую доступность. Чтобы настроить эту функцию, в вашей организации Microsoft Entra должна быть активна по крайней мере одна лицензия Microsoft Entra ID P1.

Основные отличия от меток групп Microsoft 365

Метки конфиденциальности для групп безопасности облака используют ту же базовую инфраструктуру меток, что и группы Microsoft 365, но существуют важные различия в поведении.

Behavior Группы Microsoft 365 Группы безопасности облака
Изменяемость метки Владельцы групп и администраторы могут изменять или удалять метки в любое время. Метки неизменяемы после применения. Невозможно изменить или удалить метки.
Назначение меток Назначьте метки при создании группы или существующих группах. Назначьте метки при создании группы или существующих группах. Чтобы пометить группу дочерними группами, сначала удалите все дочерние группы, примените метку и добавьте дочерние группы обратно.
Проверка членства Проверять добавление участников на соответствие политикам меток. Проверяйте добавления участников в соответствии с политиками меток. Проверяйте существующую принадлежность на соответствие политике гостевого доступа для метки при первом назначении метки.
Поддержка вложения Группы Microsoft 365 не поддерживают вложенные группы. Поддерживается, но дочерние группы должны иметь метки с тем же или более строгим уровнем ограничений, чем метка родительской группы. Дополнительные сведения см. в разделе "Вложенное поведение" с помеченными группами.
Обход администратора или с высоким уровнем привилегий Администраторы соблюдают политики маркировки. Во время предварительной версии некоторые встроенные роли администратора и приложения с определенными разрешениями могут обойти применение меток. Полный список см. в разделе "Известные ограничения". Это поведение может измениться до официального выпуска.

Note

Применение меток конфиденциальности к группам безопасности с поддержкой почты и спискам рассылки не поддерживается.

Почему метки неизменяемы в предварительной версии

Microsoft 365 группы — это конструкции совместной работы, которые применяют членство к общему содержимому и рабочим нагрузкам, таким как SharePoint, Teams и Exchange. В отличие от этого, группы безопасности Microsoft Entra ID являются базовыми сущностями авторизации, то есть субъектами безопасности, членство в которых проверяется Microsoft Entra ID и нижестоящими системами управления доступом.

Если метка конфиденциальности, примененная к группе безопасности облака, запрещает гостевой доступ, Microsoft Entra ID должна проверить эффективное членство во время оценки. Фактическое членство включает как прямых участников группы, так и участников, унаследованных транзитивно через вложенные группы. Проверка гарантирует, что гости не присутствуют на любом уровне иерархии групп.

Группы безопасности используются непосредственно в решениях авторизации, таких как область условного доступа, доступ к приложениям и разрешения ресурсов. Их помеченное членство представляет собой набор прав. Принудительное применение зависит от разрешения членства в Microsoft Entra ID и логики проверки, а не от методов административного управления. Текущие процессы проверки применяются только к созданию группы или при первом назначении метки. Расширение этих процессов проверки для других сценариев выполняется.

Предупреждение

Изменения политики меток конфиденциальности в Microsoft Purview немедленно применяются при новых проверках политики, но не изменяют текущий состав групп. Например, если изменить метку с разрешения на блокировку гостевого доступа, новая политика блокирует гостей в недавно помеченных группах и блокирует новые гостевые дополнения к существующим помеченным группам, но гости уже в этих группах остаются до тех пор, пока владелец или администратор не удаляет их.

Избегайте изменения или удаления политики метки после использования метки в группах безопасности. Владельцы выбирают метку исходя из того, какие меры защиты она обеспечивает при назначении. Ослабление, усиление или удаление этих мер защиты может привести к несоответствию между текущей политикой метки и текущим состоянием группы. Дополнительные сведения и рекомендации по Purview см. в разделах Метки конфиденциальности в Microsoft Purview и Включение меток конфиденциальности для контейнеров и синхронизация меток.

Известные ограничения (предварительная версия)

Во время предварительной версии применяются следующие ограничения:

  • Неизменяемость метки: Вы не можете изменить или удалить метку после его применения. Перед применением меток тщательно выбирайте метки.

  • Обход с высоким уровнем привилегий: Следующие роли администратора и разрешения приложения могут обходить применение политик меток при добавлении участников. Это поведение может измениться до общедоступного выпуска.

    • Роли администратора: глобальный администратор, администратор пользователей, администратор групп, авторы каталогов, администратор Exchange, администратор SharePoint, администратор расширенного управления SharePoint, администратор Teams, администратор Yammer, администратор службы технической поддержки, администратор службы поддержки
    • Разрешения приложения:Group.ReadWrite.All, Directory.ReadWrite.All, Directory.ReadWriteAdvanced.AllGroupMember.ReadWrite.All

  • Нет меток вложенных групп: Метку нельзя применить к группе безопасности, содержащей вложенные группы. Сначала удалите все вложенные группы, примените метку, пометьте дочерние группы по отдельности, а затем добавьте их обратно. Метки дочерних групп должны быть совместимы с родительской группой.

  • Группы с динамическим членством: В этой версии нельзя применять метки конфиденциальности к группам безопасности с динамическим членством. Хотя в некоторых пограничных случаях можно применить метку к динамической группе, связанная политика меток не применяется.

  • Локальные и управляемые Exchange группы: Группы безопасности, синхронизированные с локальная служба Active Directory и управляемыми Exchange группами безопасности, не поддерживаются.

  • Группы безопасности с поддержкой почты и списки рассылки: Не поддерживается.

  • Центр администрирования Microsoft 365 и My Groups: Назначение меток конфиденциальности группам безопасности не поддерживается в центре администрирования Microsoft 365 и на портале My Groups. Вместо этого используйте Центр администрирования Microsoft Entra, портал Azure, PowerShell или Microsoft Graph.

Необходимые условия

Прежде чем назначить метки конфиденциальности группам безопасности облака, убедитесь, что выполнены следующие условия:

  1. У вашей организации есть по крайней мере одна активная лицензия Microsoft Entra ID P1 или P2 (или Microsoft 365 E3/E5).
  2. Для параметра EnableMIPLabels задано значение True для облачных групп безопасности в параметрах каталога арендатора.
  3. Метки конфиденциальности публикуются в портале Microsoft Purview с включенной областью Группы и сайты.
  4. Метки синхронизируются с Microsoft Entra ID с помощью командлета Execute-AzureADLabelSync. Метки могут занять до 24 часов после синхронизации, чтобы стать доступными.
  5. Microsoft Graph PowerShell SDK установлен для командлетов для параметров каталога и управления группами в этой статье.
  6. Среда PowerShell для обеспечения безопасности и соответствия требованиям устанавливается и подключена. Командлет Execute-AzureADLabelSync доступен только в PowerShell для безопасности и соответствия требованиям, а не в Microsoft Graph PowerShell SDK.

Включить поддержку меток конфиденциальности в PowerShell

Чтобы применить метки конфиденциальности к группам безопасности облака, необходимо включить эту функцию, создав или обновив параметры каталога на уровне клиента. Группы безопасности облака используют шаблон параметров Group.Security, который отличается от шаблона Group.Unified, используемого для групп Microsoft 365.

Note

Если метки конфиденциальности для групп Microsoft 365 уже включены, необходимо выполнить эти действия, чтобы включить их для групп безопасности облака. Два типа групп используют отдельные шаблоны параметров каталога.

  1. Откройте приглашение PowerShell и установите модули Graph, необходимые для запуска командлетов.

    Install-Module Microsoft.Graph -Scope CurrentUser
Install-Module Microsoft.Graph.Beta -Scope CurrentUser

  2. Подключитесь к арендатору.

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"

  3. Создайте параметры каталога уровня клиента для групп безопасности облака. Используйте идентификатор шаблона Group.Security.

    $params = @{
    templateId = "d209f6fa-3839-4d70-b83f-60b1c64d0e8f"
    values = @(
        @{
            name = "AllowToAddGuests"
            value = "True"
        }
        @{
            name = "EnableMIPLabels"
            value = "True"
        }
    )
}
New-MgBetaDirectorySetting -BodyParameter $params

  4. Проверьте, что настройки были созданы.

    (Get-MgBetaDirectorySetting | Where-Object {
    $_.DisplayName -eq "Group.Security"
}).Values

    Результат должен показывать, что для EnableMIPLabels задано значение True.

Если параметры уже существуют и необходимо обновить их:

$Setting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Security"
$params = @{
    Values = @(
        @{
            Name = "EnableMIPLabels"
            Value = "True"
        }
    )
}
Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id `
    -BodyParameter $params

Если появится сообщение об ошибке Request_BadRequest , параметры уже существуют. Используйте Get-MgBetaDirectorySetting | Format-List, чтобы найти нужный идентификатор параметра, затем выполните командлет Update-MgBetaDirectorySetting с этим идентификатором.

Кроме того, необходимо синхронизировать метки конфиденциальности с идентификатором Microsoft Entra. Инструкции см. в статье Включение меток конфиденциальности для контейнеров и синхронизация меток в документации Purview.

Назначьте метку новой группе безопасности в центре администрирования Microsoft Entra

  1. Войдите в центр администрирования Microsoft Entra как минимум администратор групп.

  2. Выберите Microsoft Entra ID.

  3. Выберите Groups (Группы) >All groups (Все группы) >New group (Создать группу).

  4. На странице "Создать группу" выберите "Безопасность " в качестве типа группы.

  5. Заполните необходимые сведения и выберите метку конфиденциальности в раскрывающемся списке метки конфиденциальности .

    Предупреждение

    После применения метки конфиденциальности и создания группы невозможно изменить или удалить метку. Перед продолжением убедитесь, что метка соответствует предполагаемой политике доступа и использования. Это поведение может измениться до официального выпуска.

  6. При необходимости добавьте владельцев и членов. Если выбранная метка содержит политику, которая блокирует гостевой доступ, нельзя добавить гостевых участников.

  7. Нажмите кнопку Создать , чтобы сохранить изменения.

Создается группа, а ограничения членства, связанные с выбранной меткой, применяются.

Назначьте метку существующей группе безопасности в центре администрирования Microsoft Entra

  1. Войдите в центр администрирования Microsoft Entra как минимум администратор групп.

  2. Выберите Microsoft Entra ID.

  3. Выберите группы>"Все группы", а затем выберите группу, которую нужно наметить.

  4. На странице группы выберите "Свойства".

  5. Выберите метку конфиденциальности в раскрывающемся списке метки конфиденциальности .

    Предупреждение

    После применения метки вы не сможете изменить или удалить ее. Если текущее членство в группе конфликтует с политикой выбранной метки (например, группа содержит гостей и метку блокирует гостевой доступ), операция сохранения завершается ошибкой. Устраните конфликт перед применением метки.

  6. Нажмите кнопку Сохранить, чтобы применить изменения.

Назначение метки с помощью PowerShell или Microsoft Graph

Чтобы управлять метками и членством в группах с метками программным способом, используйте следующие фрагменты кода PowerShell, которые вызывают конечную точку Microsoft Graph бета-версии.

Применить метку к новой группе безопасности

$param = @{
    description = "Your Group Description"
    displayName = "Your Group Name"
    mailEnabled = $false
    securityEnabled = $true
    mailNickname = "YourGroupNickName"
    assignedLabels = @(
        @{ "LabelId" = "<labelID>" }
    )
}
New-MgBetaGroup @param

Чтобы получить доступные идентификаторы меток, используйте List sensitivityLabels Microsoft API Graph.

Применить метку к существующей группе безопасности

$assignedLabels = @(
    @{ "LabelId" = "<labelID>" }
)
Update-MgBetaGroup -GroupId <groupId> -AssignedLabels $assignedLabels

Добавление члена в помеченную группу безопасности

$userUPN = "user1@domain.com"
$user = Get-MgBetaUser -UserId $userUPN
$odataID = "https://graph.microsoft.com/v1.0/directoryObjects/" + $user.Id
New-MgBetaGroupMemberByRef -GroupId <groupId> -OdataId $odataID

При добавлении участников в помеченную группу Microsoft Entra ID проверяет, соответствует ли новый член ограничений метки. Если член не соответствует ограничениям (например, при попытке добавить гостя в группу с политикой без гостей), операция блокируется и возвращается ошибка.

Поведение вложения с помеченными группами

При работе с вложенными группами и метками конфиденциальности применяются следующие правила:

  • Вы не можете пометить группу, которая в настоящее время содержит вложенные группы. Чтобы назначить метку родительской группе, сначала удалите все вложенные (дочерние) группы, примените метку к родительской группе, а затем снова добавьте дочерние группы.
  • Дочерние группы должны иметь подходящую метку. Когда вы снова добавляете дочернюю группу в помеченную родительскую группу, метка дочерней группы должна быть как минимум такой же строгой, как метка родительской группы. Нельзя добавить дочернюю группу с менее строгой меткой (более низким приоритетом) в качестве члена более строгой родительской группы.
  • Нельзя вкладывать группы без метки в родительскую группу с меткой. Если у родительской группы есть метка, перед их добавлением необходимо пометить все дочерние группы с совместимой меткой.

Шаги по маркировке родительской группы с вложенными группами

  1. Удалите все дочерние группы из родительской группы.
  2. Примените нужную метку к родительской группе.
  3. Примените метки к каждой дочерней группе (метки должны быть такими же или более строгими, чем метка родительской группы).
  4. Добавьте помеченные дочерние группы обратно в родительскую группу.

Troubleshooting

Не удается назначить метки конфиденциальности группе безопасности

Параметр метки конфиденциальности отображается только для облачных групп безопасности, если выполнены все следующие условия:

  1. У организации есть активная лицензия Microsoft Entra ID P1.
  2. EnableMIPLabels имеет значение True в Group.Security параметрах каталога.
  3. Метки конфиденциальности публикуются в портале Microsoft Purview для этой организации Microsoft Entra.
  4. Метки синхронизируются с Microsoft Entra ID с помощью командлета (запускаемого из PowerShell Security & Compliance). Метки могут занять до 24 часов после синхронизации, чтобы стать доступными.
  5. Область действия метки конфиденциальности настроена для Групп и сайтов.
  6. Группа — это группа Cloud Security с назначенным типом членства (а не динамическим).
  7. Текущий пользователь, вошедший в систему, имеет достаточные привилегии для назначения меток конфиденциальности (является владельцем группы или как минимум администратором групп) и подпадает под действие политики публикации меток конфиденциальности.

Не удается назначить метки из-за конфликта членства

Если вы пытаетесь применить метку, политика которой конфликтует с текущим членством в группе, операция завершается ошибкой. Ниже приведены распространенные сценарии.

  • Применение метки, которая блокирует гостевой доступ к группе, содержащей гостевых участников. Решение: Удалите гостевых пользователей, а затем примените метку.
  • Применение любой метки к группе, содержащей вложенные группы. Решение. Удалите все вложенные группы, примените метку, пометьте дочерние группы и добавьте их обратно.

Не удалось добавить участника из-за конфликта меток

Если вы пытаетесь добавить участника (гостевую или вложенную группу) в группу безопасности облака, политика меток которой конфликтует с текущим членством в группе, операция завершается ошибкой. Ниже приведены распространенные сценарии.

  • Добавление гостевого члена в группу с меткой, которая блокирует гостевой доступ. Разрешение. Вы не можете добавлять гостей в группу, метка которой не разрешает гостевой доступ.
  • Добавление вложенной группы без метки в родительскую группу, имеющую метку. Решение: Примените к вложенной группе метку, которая является такой же или более строгой, чем у родительской группы, а затем добавьте вложенную группу.
  • Добавление вложенной группы с менее строгой меткой в родительскую группу. Решение: Вложенная группа должна иметь метку, которая является столь же или более строгой, чем метка родительской группы. Если вложенная группа имеет менее ограничивающую метку, ее нельзя добавить.

Невозможно изменить или удалить метку

Во время предварительной версии метки конфиденциальности нельзя изменять в группах безопасности облака. После применения метки его нельзя изменить или удалить. Чтобы изменить метку, создайте новую группу безопасности с правильной меткой, а затем повторно добавьте участников в новую группу.

Известная проблема: assignedLabels не возвращается в PowerShell

Существует известная проблема, из-за которой assignedLabels свойство не может быть заполнено при запросе группы через PowerShell. В качестве обходного решения используйте обозреватель Microsoft Graph или API Graph напрямую:

GET https://graph.microsoft.com/v1.0/groups/{groupId}?$select=assignedLabels

Или

GET https://graph.microsoft.com/v1.0/groups/{groupId}/assignedlabels

Связанный контент

  • Last updated on