Atribuir rótulos de confidencialidade a grupos de segurança Microsoft Entra (versão prévia)

Aplique rótulos de confidencialidade aos grupos de segurança na nuvem do Microsoft Entra para estender a classificação e a governança que você já usa para grupos do Microsoft 365. Os mesmos rótulos que você publica no portal do Microsoft Purview e configura para grupos e sites se aplicam automaticamente a grupos de segurança de nuvem, sem a necessidade de configuração de rótulo separada.

Note

Esse recurso não se aplica a grupos de segurança sincronizados de grupos de segurança Active Directory local ou grupos de segurança gerenciados por Exchange. Os rótulos também não têm suporte em grupos de segurança com associação dinâmica. Confira as limitações conhecidas para obter detalhes.

Importante

Este recurso está em versão preliminar. Determinados comportamentos, incluindo a capacidade de alterar rótulos após serem definidos e a aplicação para funções com altos privilégios, podem mudar antes da disponibilidade geral. Para configurar esse recurso, deve haver pelo menos uma licença ativa do Microsoft Entra ID P1 em sua organização do Microsoft Entra.

Principais diferenças da rotulagem de grupo Microsoft 365

Os rótulos de confidencialidade para grupos de segurança na nuvem compartilham a mesma infraestrutura subjacente de rótulos dos grupos do Microsoft 365, mas há diferenças importantes de comportamento:

Behavior Grupos do Microsoft 365 Grupos de segurança na nuvem
Mutabilidade do rótulo Os proprietários e administradores do grupo podem alterar ou remover rótulos a qualquer momento. Os rótulos são imutáveis uma vez aplicados. Você não pode alterar nem remover rótulos.
Atribuição de rótulo Atribua rótulos ao criar um grupo ou em grupos existentes. Atribua rótulos ao criar um grupo ou em grupos existentes. Para atribuir um rótulo a um grupo que contém grupos filho, primeiro remova todos os grupos filho, aplique o rótulo e, em seguida, adicione novamente os grupos filho.
Validação de associação Valide as inclusões de membros de acordo com as políticas de rótulos. Valide as adições de membros de acordo com as políticas de rótulos. Valide a participação existente de acordo com a política de convidado do rótulo na primeira atribuição do rótulo.
Suporte ao aninhamento Os grupos do Microsoft 365 não oferecem suporte a aninhamento. Compatível, mas os grupos filhos devem ter rótulos tão ou mais restritivos quanto o rótulo do grupo pai. Para obter detalhes, consulte o comportamento de aninhamento com grupos rotulados.
Bypass de administrador/alto privilégio Os administradores respeitam as políticas de rótulo. Durante a visualização, determinadas funções de administrador internas e aplicativos com permissões específicas podem ignorar a imposição de rótulos. Para obter a lista completa, consulte limitações conhecidas. Esse comportamento pode mudar antes da disponibilidade geral.

Note

Não há suporte para rótulos de confidencialidade para grupos de segurança habilitados para email e listas de distribuição.

Por que os rótulos são imutáveis na versão prévia

Os grupos do Microsoft 365 são estruturas de colaboração que aplicam a associação de membros a conteúdo compartilhado e cargas de trabalho, como SharePoint, Teams e Exchange. Em contraste, os grupos de segurança do Microsoft Entra ID são primitivos de autorização, ou seja, entidades de segurança cuja associação é avaliada pelo Microsoft Entra ID e por sistemas subsequentes de controle de acesso.

Quando um rótulo de confidencialidade aplicado a um grupo de segurança de nuvem proíbe o acesso de convidado, Microsoft Entra ID deve validar a associação efetiva no momento da avaliação. O pertencimento efetivo inclui tanto os membros diretos do grupo quanto os membros herdados de forma transitiva por meio de grupos aninhados. A validação garante que nenhum convidado esteja presente em nenhum nível da hierarquia de grupos.

Os grupos de segurança são usados diretamente em decisões de autorização, como escopo de Acesso Condicional, acesso a aplicativos e permissões de recurso. Sua afiliação identificada como tal representa um conjunto de direitos. A aplicação depende da resolução de pertencimento e da lógica de validação do Microsoft Entra ID, e não apenas de práticas de governança administrativa. Os processos de validação atuais se aplicam somente na criação de grupo ou quando um rótulo é atribuído pela primeira vez. A extensão desses processos de validação para outros cenários está em andamento.

Warning

As alterações na política de rótulos de confidencialidade no Microsoft Purview se aplicam imediatamente a novas verificações da política, mas não alteram a associação existente ao grupo. Por exemplo, se você alterar um rótulo de permitir bloquear o acesso de convidados, a nova política bloqueará os convidados em grupos recém-rotulados e bloqueará novas adições de convidados a grupos rotulados existentes, mas os convidados que já estão nesses grupos permanecerão até que um proprietário ou administrador os remova.

Evite alterar ou excluir a política de um rótulo depois que o rótulo estiver em uso em grupos de segurança. Os proprietários escolhem um rótulo com base nas proteções que ele fornece no momento da atribuição. Enfraquecer, apertar ou remover essas proteções pode criar uma incompatibilidade entre a política atual do rótulo e o estado existente do grupo. Para obter orientações mais abrangentes sobre o Purview, consulte Rótulos de confidencialidade no Microsoft Purview e Habilitar rótulos de confidencialidade para contêineres e sincronizar rótulos.

Limitações conhecidas (versão prévia)

Durante a visualização, as seguintes limitações se aplicam:

  • Imutabilidade do rótulo: Você não pode alterar ou remover um rótulo depois de aplicá-lo. Escolha os rótulos com cuidado antes de aplicá-los.

  • Desvio com privilégios elevados: As seguintes funções administrativas e permissões de aplicativo podem ignorar a aplicação da política de rótulos ao adicionar membros. Esse comportamento pode mudar antes da disponibilidade geral.

    • Admin roles: Global Administrator, User Administrator, Groups Administrator, Directory Writers, Exchange Administrator, SharePoint Administrator, Gerenciamento Avançado do SharePoint Administrator, Teams Administrator, Yammer Administrator, Helpdesk Administrator, Service Support Administrator
    • Permissões de aplicativo:Group.ReadWrite.All, Directory.ReadWrite.All, , Directory.ReadWriteAdvanced.AllGroupMember.ReadWrite.All
  • Sem rótulo para grupos aninhados: Você não pode aplicar um rótulo a um grupo de segurança que contém grupos aninhados. Remova todos os grupos aninhados primeiro, aplique o rótulo, rotule os grupos filho individualmente e adicione-os novamente. Os rótulos de grupo filho devem ser compatíveis com o pai.

  • Grupos de associação dinâmica: Você não pode aplicar rótulos de confidencialidade a grupos de segurança com associação dinâmica nesta versão. Embora existam certos casos extremos em que você possa aplicar um rótulo a um grupo dinâmico, a política associada ao rótulo não é aplicada.

  • Grupos locais e gerenciados pelo Exchange: Não há suporte a grupos de segurança sincronizados do Active Directory local nem a grupos de segurança gerenciados pelo Exchange.

  • Grupos de segurança habilitados para email e listas de distribuição: Não há suporte.

  • Centro de administração do Microsoft 365 e Meus Grupos: Não há suporte para atribuir rótulos de confidencialidade a grupos de segurança no Centro de administração do Microsoft 365 ou no portal My Groups. Use o centro de administração do Microsoft Entra, o portal Azure, o PowerShell ou o Microsoft Graph.

Pré-requisitos

Antes de atribuir rótulos de confidencialidade a grupos de segurança na nuvem, verifique se as seguintes condições são atendidas:

  1. Sua organização tem pelo menos uma licença ativa do Microsoft Entra ID P1 ou P2 (ou Microsoft 365 E3/E5).
  2. A configuração EnableMIPLabels está definida como True para grupos de segurança na nuvem nas configurações de diretório do locatário.
  3. Os rótulos de confidencialidade são publicados no portal do Microsoft Purview com o escopo Groups & Sites habilitado.
  4. Os rótulos são sincronizados para Microsoft Entra ID usando o cmdlet Execute-AzureADLabelSync. Os rótulos podem levar até 24 horas após a sincronização para ficarem disponíveis.
  5. O SDK do PowerShell do Microsoft Graph é instalado para os cmdlets de diretório e de gerenciamento de grupo neste artigo.
  6. O PowerShell de Segurança e Conformidade está instalado e conectado. O cmdlet Execute-AzureADLabelSync está disponível somente no PowerShell de Segurança e Conformidade, não no SDK do PowerShell do Microsoft Graph.

Habilitar o suporte à etiqueta de sensibilidade no PowerShell

Para aplicar rótulos de confidencialidade a grupos de segurança de nuvem, você deve habilitar o recurso criando ou atualizando as configurações de diretório no nível do locatário. Os grupos de segurança de nuvem usam o modelo de configurações Group.Security, que é separado do modelo Group.Unified usado para grupos de Microsoft 365.

Note

Se você já tiver habilitado rótulos de confidencialidade para grupos de Microsoft 365, ainda precisará concluir essas etapas para habilitá-los para grupos de segurança na nuvem. Os dois tipos de grupo usam modelos de configuração de diretório separados.

  1. Abra um prompt do PowerShell e instale os módulos do Graph necessários para executar os cmdlets.

    Install-Module Microsoft.Graph -Scope CurrentUser
    Install-Module Microsoft.Graph.Beta -Scope CurrentUser
    
  2. Conecte-se ao seu locatário.

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    
  3. Crie as configurações de diretório no nível do locatário para grupos de segurança na nuvem. Use o ID do modelo Group.Security.

    $params = @{
        templateId = "d209f6fa-3839-4d70-b83f-60b1c64d0e8f"
        values = @(
            @{
                name = "AllowToAddGuests"
                value = "True"
            }
            @{
                name = "EnableMIPLabels"
                value = "True"
            }
        )
    }
    New-MgBetaDirectorySetting -BodyParameter $params
    
  4. Verifique se as configurações foram criadas.

    (Get-MgBetaDirectorySetting | Where-Object {
        $_.DisplayName -eq "Group.Security"
    }).Values
    

    A saída deve mostrar EnableMIPLabels definido como True.

Se as configurações já existirem e você precisar atualizá-las:

$Setting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Security"
$params = @{
    Values = @(
        @{
            Name = "EnableMIPLabels"
            Value = "True"
        }
    )
}
Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id `
    -BodyParameter $params

Se você receber o erro Request_BadRequest, as configurações já existem. Use Get-MgBetaDirectorySetting | Format-List para localizar a ID de configuração correta e emita o Update-MgBetaDirectorySetting cmdlet com essa ID.

Você também precisa sincronizar seus rótulos de confidencialidade com a ID do Microsoft Entra. Para obter instruções, consulte Habilitar rótulos de confidencialidade para contêineres e sincronizar rótulos na documentação do Purview.

Atribuir um rótulo a um novo grupo de segurança no centro de administração do Microsoft Entra

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.

  2. Selecione Microsoft Entra ID.

  3. Selecione Grupos>Todos os grupos>Novo grupo.

  4. Na página Novo Grupo, selecione Segurança como o tipo de grupo.

  5. Preencha as informações necessárias e selecione um rótulo de confidencialidade na lista suspensa Rótulo de confidencialidade.

    Warning

    Depois de aplicar um rótulo de confidencialidade e criar o grupo, você não poderá alterar ou remover o rótulo. Verifique se o rótulo está alinhado com sua política de acesso e uso pretendida antes de prosseguir. Esse comportamento pode mudar antes da disponibilidade geral.

  6. Adicione proprietários e membros conforme necessário. Se o rótulo selecionado incluir uma política que bloqueia o acesso de convidados, você não poderá adicionar membros convidados.

  7. Selecione Criar para salvar suas alterações.

O grupo é criado e as restrições de associação associadas ao rótulo selecionado são impostas.

Atribuir um rótulo a um grupo de segurança existente no centro de administração do Microsoft Entra

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.

  2. Selecione Microsoft Entra ID.

  3. Selecione Grupos>Todos os grupos e selecione o grupo que você deseja rotular.

  4. Na página do grupo, selecione Propriedades.

  5. Selecione um rótulo de confidencialidade na lista suspensa Rótulo de confidencialidade.

    Warning

    Depois de aplicar o rótulo, você não poderá alterá-lo ou removê-lo. Se a associação atual do grupo entrar em conflito com a política do rótulo selecionado (por exemplo, o grupo contém convidados e o rótulo bloqueia o acesso de convidados), a operação de salvamento falhará. Resolva o conflito antes de aplicar o rótulo.

  6. Selecione Salvar para aplicar suas alterações.

Atribuir um rótulo usando o PowerShell ou Microsoft Graph

Para gerenciar rótulos e a associação a grupos rotulados programaticamente, use os seguintes trechos do PowerShell que chamam o endpoint beta do Microsoft Graph.

Aplicar um rótulo a um novo grupo de segurança

$param = @{
    description = "Your Group Description"
    displayName = "Your Group Name"
    mailEnabled = $false
    securityEnabled = $true
    mailNickname = "YourGroupNickName"
    assignedLabels = @(
        @{ "LabelId" = "<labelID>" }
    )
}
New-MgBetaGroup @param

Para recuperar as IDs de rótulo disponíveis, use o List sensitivityLabels Microsoft API do Graph.

Aplicar um rótulo a um grupo de segurança existente

$assignedLabels = @(
    @{ "LabelId" = "<labelID>" }
)
Update-MgBetaGroup -GroupId <groupId> -AssignedLabels $assignedLabels

Adicionar um membro a um grupo de segurança rotulado

$userUPN = "user1@domain.com"
$user = Get-MgBetaUser -UserId $userUPN
$odataID = "https://graph.microsoft.com/v1.0/directoryObjects/" + $user.Id
New-MgBetaGroupMemberByRef -GroupId <groupId> -OdataId $odataID

Quando você adiciona membros a um grupo rotulado, Microsoft Entra ID verifica se o novo membro atende às restrições do rótulo. Se o membro não atender às restrições (por exemplo, se você tentar adicionar um convidado a um grupo com uma política sem convidados), a operação será bloqueada e um erro será retornado.

Comportamento de aninhamento com grupos rotulados

Quando você trabalha com grupos aninhados e rótulos de confidencialidade, as seguintes regras se aplicam:

  • Você não pode rotular um grupo que atualmente contém grupos aninhados. Para atribuir um rótulo a um grupo pai, primeiro remova todos os grupos filhos aninhados, aplique o rótulo ao grupo pai e, em seguida, adicione os grupos filhos de volta.
  • Os grupos secundários devem ter um rótulo compatível. Quando você adiciona novamente um grupo filho a um grupo pai rotulado, o rótulo do grupo filho deve ser pelo menos tão restritivo quanto o rótulo do grupo pai. Você não pode adicionar um grupo filho com um rótulo menos restritivo (prioridade inferior) como membro de um grupo pai mais restritivo.
  • Você não pode aninhar grupos sem rótulo em um pai rotulado. Se o grupo pai tiver um rótulo, você deverá atribuir um rótulo compatível a todos os grupos filhos antes de adicioná-los.

Etapas para rotular um grupo pai com grupos aninhados

  1. Remova todos os grupos aninhados do grupo pai.
  2. Aplique o rótulo desejado ao grupo pai.
  3. Aplique rótulos a cada grupo filho (os rótulos devem ser iguais ou mais restritivos do que o rótulo do pai).
  4. Adicione os grupos filho rotulados novamente ao grupo pai.

Troubleshooting

Você não pode atribuir rótulos de confidencialidade a um grupo de segurança

A opção de rótulo de confidencialidade aparece para grupos de segurança de nuvem somente quando todas as seguintes condições são atendidas:

  1. A organização tem uma licença ativa do Microsoft Entra ID P1.
  2. EnableMIPLabels é definido como True nas configurações de Group.Security diretório.
  3. Os rótulos de confidencialidade são publicados no portal do Microsoft Purview para esta organização do Microsoft Entra.
  4. Os rótulos são sincronizados com o Microsoft Entra ID usando o cmdlet (executado no Security & Compliance PowerShell). Os rótulos podem levar até 24 horas após a sincronização para ficarem disponíveis.
  5. O escopo do rótulo de confidencialidade está configurado para Grupos & Sites.
  6. O grupo é um grupo do Cloud Security com tipo de associação atribuído (não dinâmico).
  7. O usuário conectado atual tem privilégios suficientes para atribuir rótulos de confidencialidade (proprietário do grupo ou pelo menos um Administrador de Grupos) e está dentro do escopo da política de publicação de rótulo de confidencialidade.

Falha na atribuição de rótulo devido a conflito de associação

Se você tentar aplicar um rótulo cuja política entra em conflito com os membros atuais do grupo, a operação falhará e exibirá um erro. Cenários comuns incluem:

  • Aplicando um rótulo que bloqueia o acesso de convidados a um grupo que contém membros convidados. Resolução: remova os membros convidados e aplique o rótulo.
  • Aplicando qualquer rótulo a um grupo que contenha grupos aninhados. Resolução: remova todos os grupos aninhados, aplique o rótulo, rotule os grupos filho e adicione-os novamente.

Falha na adição do membro devido a conflito de rótulos

Se você tentar adicionar um membro (convidado ou grupo aninhado) a um grupo de segurança de nuvem cuja política de rótulo está em conflito com a associação atual do grupo, a operação falhará com um erro. Cenários comuns incluem:

  • Adicionando um membro convidado a um grupo com um rótulo que bloqueia o acesso de convidado. Resolução: você não pode adicionar convidados a um grupo cujo rótulo não permite acesso de convidado.
  • Adicionando um grupo aninhado sem rótulo a um grupo pai rotulado. Resolução: aplique um rótulo ao grupo aninhado que seja igual ou mais restritivo que o rótulo do grupo pai e, em seguida, adicione o grupo aninhado.
  • Adicionando um grupo aninhado com um rótulo menos restritivo a um grupo pai. Resolução: o grupo aninhado deve ter um rótulo igual ou mais restritivo que o rótulo do grupo pai. Se o grupo aninhado tiver um rótulo menos restritivo, você não poderá adicioná-lo.

Você não pode alterar ou remover o rótulo

Durante a visualização, você não pode alterar rótulos de confidencialidade em grupos de segurança na nuvem. Depois de aplicar um rótulo, você não poderá modificá-lo ou removê-lo. Para alterar um rótulo, crie um novo grupo de segurança com o rótulo correto e adicione novamente os membros ao novo grupo.

Problema conhecido: assignedLabels não retornados no PowerShell

Há um problema conhecido em que a assignedLabels propriedade pode não ser preenchida quando você consulta um grupo por meio do PowerShell. Como solução alternativa, use o Microsoft Graph Explorer ou a API do Microsoft Graph diretamente:

GET https://graph.microsoft.com/v1.0/groups/{groupId}?$select=assignedLabels

Ou

GET https://graph.microsoft.com/v1.0/groups/{groupId}/assignedlabels