A ID do Microsoft Entra dá suporte à aplicação rótulos de confidencialidade aos grupos do Microsoft 365, quando esses rótulos são publicados no portal do Microsoft Purview ou no portal de conformidade Microsoft Purview, e os rótulos são configurados para grupos e sites.


Antes de realizarmos os passos abaixo, quando houver a tentativa de criação de rótulos é esperado que a opção de Grupos e Sites esteja "desabilitado", sendo assim o intuito dos procedimentos consistem em habilitar esta opção e torna-la disponível para uso.


Rótulos de confidencialidade podem ser aplicados a grupos entre aplicativos e serviços, como Outlook, Microsoft Teams e SharePoint.


Para configurar esse recurso, deve haver pelo menos uma licença P1 ativa do Microsoft Entra ID em sua organização e uma licença do tipo Enterprise, para mais informações consulte seu vendedor SND.

Habilitar o suporte ao rótulo de sensibilidade no PowerShell


Para aplicar rótulos publicados a grupos, você deve primeiro habilitar o recurso. Essas etapas habilitam o recurso no Microsoft Entra ID. O SDK do Microsoft Graph PowerShell vem em dois módulos, Microsoft.Graph e Microsoft.Graph.Beta.

  1. Abra um prompt do PowerShell em seu computador como administrador e execute os comandos a seguir para se preparar para executar os cmdlets em negrito, vale ressaltar que os comandos de instalação de módulos podem demorar alguns minutos


Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

Digite o comando acima e aguarde até a tela ficar disponível para inserção de novos comandos.
 

Install-Module Microsoft.Graph -Scope CurrentUser

Digite o comando acima , selecione a opção "sim para todos" e aguarde até a tela ficar disponível para inserção de novos comandos.


Install-Module Microsoft.Graph.Beta -Scope CurrentUser

Digite o comando acima , selecione a opção "sim para todos" e aguarde até a tela ficar disponível para inserção de novos comandos.


Install-Module ExchangeOnlineManagement

Digite o comando acima , selecione a opção "sim para todos" e aguarde até a tela ficar disponível para inserção de novos comandos.


Install-Module PowerShellGet

Digite o comando acima , selecione a opção "sim para todos" e aguarde até a tela ficar disponível para inserção de novos comandos.


Install-Module Microsoft.Graph -Scope AllUsers

Digite o comando acima , selecione a opção "sim para todos" e aguarde até a tela ficar disponível para inserção de novos comandos.

 


Após a sequencia dos comandos acima, utilize o comando abaixo para conectar com a conta administrador global do ambiente, caso uma sessão seja iniciada automaticamente é necessário rodar o comando "Disconnect-MgGraph"


Connect-MgGraph -Scopes "Directory.ReadWrite.All"



Após o comando acima, utilize o comando abaixo, (Importante anotar o ID exclusivo recebido para comparar posteriormente)


Get-MgBetaDirectorySettingTemplate | where -Property DisplayName -Value Group.Unified -EQ


Imagem para ilustração.


Após o comando acima, utilize a sequencia de comandos abaixo, lembrando a cada comando aguardar até a tela ficar disponível para inserção de novos comandos. 


$TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id

Digite o comando acima e aguarde até a tela ficar disponível para inserção de novos comandos.


$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ

Digite o comando acima e aguarde até a tela ficar disponível para inserção de novos comandos.


$params = @{
templateId = "$TemplateId"
values = @(
@{
name = "UsageGuidelinesUrl"
value = "https://guideline.example.com"
}
@{
name = "EnableMIPLabels"
value = "True"
}
)
}

Digite o comando acima e aguarde até a tela ficar disponível para inserção de novos comandos.


New-MgBetaDirectorySetting -BodyParameter $params

Digite o comando acima e aguarde até a tela ficar disponível para inserção de novos comandos.


$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}

Digite o comando acima e aguarde até a tela ficar disponível para inserção de novos comandos.


Na imagem acima validamos a URL que iremos mencionar mais abaixo no KB.



$Setting.Values

Digite o comando acima e aguarde até a tela ficar disponível para inserção de novos comandos.


$params = @{
Values = @(
@{
Name = "UsageGuidelinesUrl"
Value = ""
}
)
}

Digite o comando acima e aguarde até a tela ficar disponível para inserção de novos comandos.


Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params

Digite o comando acima e aguarde até a tela ficar disponível para inserção de novos comandos.


(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ

Digite o comando acima e aguarde até a tela ficar disponível para inserção de novos comandos.


$grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"

Digite o comando acima e aguarde até a tela ficar disponível para inserção de novos comandos.


$grpUnifiedSetting.Values (Verifique se a URL do valor "UsageGuidelinesUrl" foi removida)


$params = @{
Values = @(
@{
Name = "EnableMIPLabels"
Value = "True"
}
)
}

Digite o comando acima e aguarde até a tela ficar disponível para inserção de novos comandos.


Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params

Digite o comando acima e aguarde até a tela ficar disponível para inserção de novos comandos.


Import-Module ExchangeOnlineManagement

Digite o comando acima e aguarde até a tela ficar disponível para inserção de novos comandos.


Connect-IPPSSession -UserPrincipalName  <UPN do usuário administrador global>

Digite o comando acima e aguarde até a tela ficar disponível para inserção de novos comandos.


Caso se depare com algum erro de conexão ou redirecionamento de URL ao tentar se autenticar utilizando o comando acima, é provável que a versão do Modulo de ExchangeOnline instalado em seu Powershell não seja compatível, sendo assim, basta rodar os comandos abaixo para forçar a instalação do modulo compatível para este procedimento. 


Get-InstalledModule ExchangeOnlineManagement | Format-List Name,Version,InstalledLocation

Digite o comando acima e valide a versão do modulo, caso não esteja na 3.5.1, rode o comando abaixo para forçar atualização:


Install-Module -Name ExchangeOnlineManagement -Force

Após instalar o modulo, basta rodar o comando anterior para validar se está na versão correta como na imagem e pode seguir com ultimo comando abaixo.


Execute-AzureAdLabelSync

Digite o comando acima e aguarde até a tela ficar disponível para inserção de novos comandos.


Após todos os módulos instalados e passos executados com sucesso basta ir para o Portal de conformidade procurar por Rótulos > Criar um rótulo.






 

E a opção desejada "Grupos e Sites" estará disponível e isto conclui o processo mencionado neste KB.