Jędrzej Boguszyński

Zatrudnij mnie!

Twoja firma zakupiła licencje Microsoft 365, które pozwalają używać etykiet poufności do tagowania i zabezpieczania danych przetwarzanych w chmurze. Niestety, przy próbie konfiguracji okazuje się, że możesz dodać etykiety tylko do plików i spotkań, a opcja dla grup M365, witryn SharePoint i usługi OneDrive jest wyszarzona (brzmi znajomo?).

Domyślnie funkcjonalność ta nie jest dostępna i trzeba ją uruchomić ręcznie. W tym krótkim poradniku opiszę, jak to zrobić, ponieważ oficjalna dokumentacja Microsoftu nie jest w tym temacie zbyt przejrzysta i sam też musiałem nieco „pogooglać” aby temat rozwiązać.

Jak włączyć tę funkcjonalność?

Po wejściu do panelu administracyjnego Microsoft Purview i przejściu do sekcji Information Protection, prawdopodobnie zobaczysz duży, żółty baner z informacją, że etykiety poufności nie są uruchomione dla usług SharePoint i OneDrive. Pojawi się tam również przycisk „Turn on now”.

Klikasz go, strona się odświeża, baner znika… czekasz pół godziny, godzinę, dwie (mając nadzieję że to po prostu czas propagacji zmian w chmurze), a funkcja w panelu dalej pozostaje nieaktywna.

To częsty przypadek. Niestety dokumentacja, którą Microsoft linkuje w panelu Purview (i która rzekomo ma pomóc włączyć tę integrację), niewiele wyjaśnia. Oto co naprawdę trzeba zrobić, aby to zadziałało.

Uruchamianie wsparcia etykietowania dla kontenerów Entra ID.

Aby labeling działał prawidłowo, należy uruchomić wsparcie etykietowania dla grup (i ogólnie pojętych „kontenerów” na dane). Funkcjonalność ta wymaga odpowiedniej konfiguracji w Entra ID, dlatego to właśnie tam musimy ją aktywować przy użyciu PowerShella.

1. Instalujemy moduł Microsoft Graph w Powershell, aby móc połączyć się z GraphAPI Microsoftu.

    Install-Module Microsoft.Graph -Scope AllUsers

    2. Tworzymy domyślny szablon dla wszystkich nowych grup EntraID, na bazie szablonu „Group.Unified”, żeby go użyć musimy pobrać jego ID (zostaniemy poproszeni o zalogowanie, wybieramy konto z odpowiednimi uprawnieniami w naszym tenancie).

      $TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ

      3. Tworzymy obiekt w umieścimy nasz customowy config szablonu z włączonym wsparcie dla etykiet poufności z Microsoft Purview.

      $params = @{
   templateId = "$TemplateId"
   values = @(
      @{
         name = "EnableMIPLabels"
         value = "True"
      }
   )
}

      4. Tworzymy ustawienie dla katalogu, narzucimy nasz szablon dla root directory, tak aby był przypisany do wszystkich grup w naszym tenancie.

      New-MgBetaDirectorySetting -BodyParameter $params

      5. Aby potwierdzić że ustawienie zostało zaaplikowane, możemy zaciągnąć konfig do zmiennej i wyświetlić ją w Powershell.

      $Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
$Setting.Values

        Jeżeli wszystko zadziałało powinniśmy dostać taki output:

        Name                            Value
----                            -----
NewUnifiedGroupWritebackDefault true
EnableMIPLabels                 True
CustomBlockedWordsList
EnableMSStandardBlockedWords    false
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
AllowGuestsToBeGroupOwner       false
AllowGuestsToAccessGroups       true
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests                true
UsageGuidelinesUrl
ClassificationList
EnableGroupCreation             true

        Ważne aby parametr EnableMIPLabels ustawiony był na true.

        Jeśli mieliście już wcześniej skonfigurowane etykiety poufności, musicie odczekać, aż zostaną one zsynchronizowane, zanim będzie można ich użyć z grupami w Entra ID. Możecie też wymusić tę synchronizację ręcznie – wystarczy połączyć się z modułem PowerShell dla Exchange Online i uruchomić polecenie:

        Execute-AzureAdLabelSync

        Uruchamianie wsparcia dla plików w Sharepoint i OneDrive.

        Następnym krokiem jest uruchomienie wsparcia dla plików przechowywanych w SharePoint i OneDrive (wcześniej włączaliśmy je dla samych „kontenerów”).

        1. Instalujemy moduł Microsoft.Online.Sharepoint.Powershell, który pozwoli nam administrować Sharepointem przez Powershell’a, a następnie go wczytujemy.

        Install-Module -Name Microsoft.Online.SharePoint.PowerShell
Import-Module Microsoft.Online.SharePoint.PowerShell -UseWindowsPowerShell

        2. Łączymy się do panelu administracyjnego naszego sharepointa (URL musimy podmienić na nasz własny, każdy Sharepoint ma unikatowy per organizacja), zostaniemy poproszeni o zalogowanie, wybieramy konto z odpowiednimi uprawnieniami w tenancie.

        Connect-SPOService -Url https://contoso-admin.sharepoint.com

        3. Uruchamiamy wsparcie dla integracji API w Sharepoint, dzięki czemu będzie on mógł komunikować się z Microsoft Purview.

        Set-SPOTenant -EnableAIPIntegration $true

        4. Uruchamiamy funkcje EnableMIPLabels dla całej naszej organizacji (to samo co wcześniej konfigurowaliśmy w Entra ID).

        Set-OrganizationConfig -EnableMIPLabels $true

        Podsumowanie

        Po wdrożeniu całej konfiguracji wymienionej wyżej, funkcjonalność dodawania etykiet poufności dla grup M365, witryn SharePoint i plików OneDrive powinna być już dostępna w Microsoft Purview dla Waszego tenanta.

        Oczywiście opcja ta może nie pojawić się od razu ze względu na czas propagacji zmian w środowiskach chmurowych. Zazwyczaj jednak po maksymalnie pół godziny powinniście być w stanie bez przeszkód skonfigurować Wasze etykiety poufności 🙂.

        Search Here

        Categories

        Archives

        Pages

        Social Media