欢迎来到公海710 在 SPO 网站、团队网站和会议上配置标签

Microsoft 365 环境中最容易被忽视和最重要的一些部分是了解您拥有的数据类型、数据的去向以及数据所在的位置。大多数人都知道我们可以为文档和电子邮件分配敏感度标签，但我们也可以为 Microsoft 365 组、Microsoft Teams 和 Microsoft SharePoint 网站（称为容器）分配敏感度标签。在容器级别应用标签使我们能够覆盖从租户级别 SharePoint 共享设置继承的共享设置、设置 Teams 和 Microsoft 365 组的隐私设置，以及管理用户从非托管设备拥有的访问级别。

假设您必须构建一个将托管公司机密数据的 SharePoint 网站。您的业​​务要求是该网站必须可以从任何地方通过任何设备访问，并且必须尽可能安全。如果不在 SharePoint 网站上放置标签，这两个要求可能会被视为相互排斥。为了实现此要求，我们可以将默认敏感度标签应用到站点作为机密/内部。我们还可以利用 Entra 条件访问规则的强大功能并限制对该站点兼容设备的访问。但是等一下，您说 - 我们的业务要求规定该站点必须可以从任何地方访问。好吧，输入 SharePoint 网站上的标签。我们现在可以规定不合规的设备只能通过网络访问该网站。

此行为与为文件或电子邮件分配标签略有不同。有几件事需要记住。首先，当您将敏感度标签应用到受支持的容器时，该标签会自动将敏感度类别和配置的保护设置应用到站点或组。其次，这些容器中的内容不会继承敏感类别的标签或文件和电子邮件的设置，例如内容标记和加密。为了让用户可以在 SharePoint 网站或团队网站中标记其文档，请确保您已为 SharePoint 和 OneDrive 中的 Office 文件启用敏感度标签。

可用的具体容器级保护设置如下：

1. Teams 网站和 Microsoft 365 组的隐私（公共或私人）
2. 外部用户访问
3. 来自 SharePoint 网站的外部共享
4. 从非托管设备访问
5. 身份验证上下文
6. SharePoint 网站的默认共享链接（仅限 PowerShell 配置）
7. 网站共享设置（仅限 PowerShell 配置）
8. 频道会议的默认标签

现在我们已经完成了介绍，让我们讨论一下如何启用此功能。提醒一下：启用这些功能时需要耐心。设置需要一段时间（对我来说大约 45 分钟）才能在 Purview 和 Entra 之间同步。

当我在租户中启用此功能时，我想使用一组不同的标签进行测试。不需要使用一组新标签；您可以修改现有标签以包括 SharePoint 网站、组和会议。我决定建立新标签，因为我做了很多测试，而且我不想有任何交叉污染。在这种情况下，我要测试的重要项目是将不合规的计算机限制为仅进行 Web 访问。这些设置反映在下面的屏幕截图中。

创建或修改标签以包含群组和网站后，我们需要启用 Entra ID 中的某些功能。此功能利用 Entra ID，并且至少需要 Microsoft Entra ID P1 许可证。由于这种依赖性，我们需要在连接到安全与合规性 PowerShell 时运行几个 PowerShell 命令。以下命令安装 Azure Active Directory (AD) 预览版 PowerShell 模块、检索当前的 Entra 统一组设置，并在组织级别启用统一组的 Microsoft 信息保护标签设置。

# 第 1 步：安装并导入 AzureADPreview 模块，然后连接到 Azure AD
安装模块 AzureADPreview
导入模块 AzureADPreview
AzureADPreviewConnect-AzureAD
# 第 2 步：获取并使用 Group.Unified 的 Azure AD 目录设置
$grpUnifiedSetting = 获取 AzureADDirectorySetting |其中对象-属性显示名称-值“Group.Unified”-EQ
$设置 = $grpUnifiedSetting
$grpUnifiedSetting.Values
# 第 3 步：启用 MIP 标签
$Setting["EnableMIPLabels"] = "True"
# 第 4 步：更新 Azure AD 目录设置
Set-AzureADDirectorySetting -Id $grpUnifiedSetting.Id -DirectorySetting $Setting

我们可以运行以下命令来验证值“EnableMIPLabels”是否设置为 true。

# 获取 Group.Unified 的 Azure AD 目录设置
$grpUnifiedSetting = 获取 AzureADDirectorySetting |其中对象-属性显示名称-值“Group.Unified”-EQ
$grpUnifiedSetting.Values

最后一步是将我们的标签同步到 Entra ID。为此，我们需要通过 PowerShell 连接到安全与合规中心。仅供参考：Connect-IPPSSession -UserPrincipalName。连接后，我们运行以下命令：Execute-AzureAdLabelSync。就是这样;现在我们等待。正如前面提到的，同步对我来说大约需要 45 分钟。结果如以下屏幕截图所示。

参考文献：

1. https://learn.microsoft.com/en-us/purview/sensitivity-labels-teams-groups-sites#enable-this-preview-and-synchronize-labels
2. https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-settings-cmdlet
3. https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-assign-sensitivity-labels