Rutiny Microsoft Entra pro konfiguraci nastavení skupiny
Tento článek obsahuje pokyny pro použití rutin Prostředí PowerShell k vytvoření a aktualizaci skupin v MICROSOFT Entra ID, součást Microsoft Entra. Tento obsah platí jenom pro skupiny Microsoftu 365 (někdy označované jako sjednocené skupiny).
Důležité
Některá nastavení vyžadují licenci Microsoft Entra ID P1. Další informace najdete v tabulce Nastavení šablony.
Další informace o tom, jak zabránit uživatelům, kteří nejsou správci, ve vytváření skupin zabezpečení, nastavte AllowedToCreateSecurityGroups vlastnost na False, jak je popsáno v update-MgPolicyAuthorizationPolicy.
Nastavení skupin Microsoftu 365 se konfiguruje pomocí objektu Nastavení a objektu Nastavení Template. Zpočátku se v adresáři nezobrazují žádné Nastavení objekty, protože je váš adresář nakonfigurovaný s výchozím nastavením. Pokud chcete změnit výchozí nastavení, musíte vytvořit nový objekt nastavení pomocí šablony nastavení. Nastavení šablony definuje Microsoft. Existuje několik různých šablon nastavení. Ke konfiguraci nastavení skupiny Microsoftu 365 pro váš adresář použijte šablonu s názvem Group.Unified. Pokud chcete nakonfigurovat nastavení skupiny Microsoftu 365 pro jednu skupinu, použijte šablonu s názvem Group.Unified.Guest. Tato šablona slouží ke správě přístupu hostů ke skupině Microsoft 365.
Rutiny jsou součástí modulu Microsoft Graph PowerShell . Pokyny ke stažení a instalaci modulu do počítače najdete v tématu Instalace sady Microsoft Graph PowerShell SDK.
Důležité
30. března 2024 se plánuje vyřazení Azure AD PowerShellu. Další informace najdete v aktualizaci vyřazení. Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Microsoft Graph PowerShell umožňuje přístup ke všem rozhraním Microsoft Graph API a je k dispozici v PowerShellu 7. Odpovědi na běžné dotazy na migraci najdete v nejčastějších dotazech k migraci.
Poznámka:
Když je nastavení nastavené tak, aby bylo možné omezit přidávání hostů do Skupiny Microsoft 365, budou správci přidávat uživatele typu host do Skupiny Microsoft 365. Nastavení omezí uživatelům, kteří nejsou správci, přidávat uživatele typu host do skupin Microsoftu 365.
Instalace rutin PowerShellu
Nainstalujte rutiny Microsoft Graphu, jak je popsáno v tématu Instalace sady Microsoft Graph PowerShell SDK.
Otevřete aplikaci Windows PowerShell jako správce.
Nainstalujte rutiny Microsoft Graphu.
Install-Module Microsoft.Graph -Scope AllUsersNainstalujte beta rutiny Microsoft Graphu.
Install-Module Microsoft.Graph.Beta -Scope AllUsers
Vytvoření nastavení na úrovni adresáře
Tento postup vytvoří nastavení na úrovni adresáře, které platí pro všechny skupiny Microsoftu 365 v adresáři.
V rutinách Directory Nastavení musíte zadat ID Nastavení Template, které chcete použít. Pokud toto ID neznáte, vrátí tato rutina seznam všech šablon nastavení:
Get-MgBetaDirectorySettingTemplateToto volání rutiny vrátí všechny dostupné šablony:
Id DisplayName Description -- ----------- ----------- 62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified ... 08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group 16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn Setting templates define the different settings that can be used for the associ... 4bc7f740-180e-4586-adb6-38b2e9024e6b Application... 898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ... 5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...Pokud chcete přidat adresu URL s pokyny k použití, musíte nejprve získat objekt Nastavení Template, který definuje hodnotu adresy URL pokynů k použití. To znamená šablona Group.Unified:
$TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQVytvořte objekt obsahující hodnoty, které se mají použít pro nastavení adresáře. Tyto hodnoty mění hodnotu zásad použití a povolují popisky citlivosti. Podle potřeby nastavte toto nebo jakékoli jiné nastavení v šabloně:
$params = @{ templateId = "$TemplateId" values = @( @{ name = "UsageGuidelinesUrl" value = "https://guideline.example.com" } @{ name = "EnableMIPLabels" value = "True" } ) }Vytvořte nastavení adresáře pomocí New-MgBetaDirectorySetting:
New-MgBetaDirectorySetting -BodyParameter $paramsHodnoty můžete číst pomocí následujících příkazů:
$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"} $Setting.Values
Aktualizace nastavení na úrovni adresáře
Pokud chcete aktualizovat hodnotu UsageGuideLinesUrl v šabloně nastavení, přečtěte si aktuální nastavení z ID Microsoft Entra, jinak bychom mohli přepsat stávající nastavení jiná než UsageGuideLinesUrl.
Získejte aktuální nastavení ze skupiny.Unified Nastavení Template:
$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}Zkontrolujte aktuální nastavení:
$Setting.ValuesTento příkaz vrátí následující hodnoty:
Name Value ---- ----- EnableMIPLabels True CustomBlockedWordsList EnableMSStandardBlockedWords False ClassificationDescriptions DefaultClassification PrefixSuffixNamingRequirement AllowGuestsToBeGroupOwner False AllowGuestsToAccessGroups True GuestUsageGuidelinesUrl GroupCreationAllowedGroupId AllowToAddGuests True UsageGuidelinesUrl https://guideline.example.com ClassificationList EnableGroupCreation True NewUnifiedGroupWritebackDefault TruePokud chcete odebrat hodnotu UsageGuideLinesUrl, upravte adresu URL tak, aby byla prázdná řetězec:
$params = @{ Values = @( @{ Name = "UsageGuidelinesUrl" Value = "" } ) }Aktualizujte hodnotu pomocí rutiny Update-MgBetaDirectorySetting :
Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params
Nastavení šablony
Tady jsou nastavení definovaná v Nastavení Template Group.Unified. Pokud není uvedeno jinak, tyto funkce vyžadují licenci Microsoft Entra ID P1.
| Nastavení | Popis |
|---|---|
|
Příznak označující, jestli je vytváření skupiny Microsoft 365 v adresáři povolené uživateli bez oprávnění správce. Toto nastavení nevyžaduje licenci Microsoft Entra ID P1. |
|
IDENTIFIKÁTOR GUID skupiny zabezpečení, pro kterou mají členové povoleno vytvářet skupiny Microsoftu 365, i když EnableGroupCreation == false. |
|
Odkaz na pokyny k používání skupiny |
|
Seznam popisů klasifikace oddělený čárkami. Hodnota ClassificationDescriptions je platná pouze v tomto formátu: $setting["ClassificationDescriptions"] ="Classification:Description;Classification:Description" where Classification matches an entry in the ClassificationList. Toto nastavení neplatí, když EnableMIPLabels == True. Omezení znaků pro vlastnosti ClassificationDescriptions je 300 a čárky nelze utéct, |
|
Klasifikace, která se má použít jako výchozí klasifikace pro skupinu, pokud nebyla zadána žádná. Toto nastavení neplatí, když EnableMIPLabels == True. |
|
Řetězec maximální délky 64 znaků, který definuje konvenci vytváření názvů nakonfigurovaných pro skupiny Microsoftu 365. Další informace najdete v tématu Vynucení zásad pojmenování pro skupiny Microsoftu 365. |
|
Řetězec frází oddělených čárkami, které uživatelé nebudou moct používat v názvech skupin nebo aliasech. Další informace najdete v tématu Vynucení zásad pojmenování pro skupiny Microsoftu 365. |
|
Zastaralé Nepoužívat. |
|
Logická hodnota označující, jestli uživatel typu host může být vlastníkem skupin. |
|
Logická hodnota označující, jestli uživatel typu host může mít přístup k obsahu skupin Microsoftu 365. Toto nastavení nevyžaduje licenci Microsoft Entra ID P1. |
|
Adresa URL odkazu na pokyny pro použití hosta. |
|
Logická hodnota označující, zda je povoleno přidávat hosty do tohoto adresáře. Toto nastavení se může přepsat a stát se jen pro čtení, pokud je EnableMIPLabels nastavená na Hodnotu True a zásada hosta je přidružená k popisku citlivosti přiřazené skupině. Pokud je nastavení AllowToAddGuests nastaveno na hodnotu False na úrovni organizace, budou všechna nastavení AllowToAddGuests na úrovni skupiny ignorována. Pokud chcete povolit přístup hostů jenom pro několik skupin, je nutné nastavit, aby hodnoty AllowToAddGuests byly pravdivé na úrovni organizace a pak je selektivně zakažte pro konkrétní skupiny. |
|
Čárkami oddělený seznam platných hodnot klasifikace, které je možné použít pro skupiny Microsoftu 365. Toto nastavení neplatí, když EnableMIPLabels == True. |
|
Příznak označující, jestli se popisky citlivosti publikované v Portál dodržování předpisů Microsoft Purview dají použít u skupin Microsoftu 365. Další informace najdete v tématu Přiřazení popisků citlivosti pro skupiny Microsoftu 365. |
|
Příznak, který správci umožňuje vytvořit nové skupiny Microsoftu 365 bez nastavení typu prostředku groupWritebackConfiguration v datové části požadavku. Toto nastavení platí, pokud je zpětný zápis skupiny nakonfigurovaný v microsoft entra Připojení. NewUnifiedGroupWritebackDefault je globální nastavení skupiny Microsoftu 365. Výchozí hodnota je true. Při aktualizaci hodnoty nastavení na false se změní výchozí chování zpětného zápisu pro nově vytvořené skupiny Microsoftu 365 a nezmění se hodnota vlastnostiEnabled pro stávající skupiny Microsoftu 365. Správce skupiny bude muset explicitně aktualizovat hodnotu vlastnosti isEnabled, aby změnil stav zpětného zápisu pro stávající skupiny Microsoftu 365. |
Příklad: Konfigurace zásad hosta pro skupiny na úrovni adresáře
Získejte všechny šablony nastavení:
Get-MgBetaDirectorySettingTemplatePokud chcete nastavit zásady hosta pro skupiny na úrovni adresáře, potřebujete šablonu Group.Unified.
$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQNastavte hodnotu allowToAddGuests pro zadanou šablonu:
$params = @{ templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b" values = @( @{ name = "AllowToAddGuests" value = "False" } ) }Dále pomocí rutiny New-MgBetaDirectorySetting vytvořte nový objekt nastavení:
$Setting = New-MgBetaDirectorySetting -BodyParameter $paramsHodnoty si můžete přečíst takto:
$Setting.Values
Čtení nastavení na úrovni adresáře
Pokud znáte název nastavení, které chcete načíst, můžete pomocí následující rutiny načíst aktuální hodnotu nastavení. V tomto příkladu načítáme hodnotu pro nastavení s názvem UsageGuidelinesUrl.
(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ
Tyto kroky čtou nastavení na úrovni adresáře, které platí pro všechny skupiny Office v adresáři.
Přečtěte si všechna existující nastavení adresáře:
Get-MgBetaDirectorySetting -AllTato rutina vrátí seznam všech nastavení adresáře:
Id DisplayName TemplateId Values -- ----------- ---------- ------ c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...Přečtěte si všechna nastavení pro konkrétní skupinu:
Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"Pomocí identifikátoru GUID ID Nastavení načtěte všechny hodnoty nastavení adresáře konkrétního objektu nastavení adresáře:
(Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").valuesTato rutina vrátí názvy a hodnoty v tomto objektu nastavení pro tuto konkrétní skupinu:
Name Value ---- ----- ClassificationDescriptions DefaultClassification PrefixSuffixNamingRequirement CustomBlockedWordsList AllowGuestsToBeGroupOwner False AllowGuestsToAccessGroups True GuestUsageGuidelinesUrl GroupCreationAllowedGroupId AllowToAddGuests True UsageGuidelinesUrl https://guideline.example.com ClassificationList EnableGroupCreation True
Odebrání nastavení na úrovni adresáře
Tento krok odebere nastavení na úrovni adresáře, které platí pro všechny skupiny Office v adresáři.
Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"
Vytvoření nastavení pro konkrétní skupinu
Získejte šablony nastavení.
Get-MgBetaDirectorySettingTemplateVe výsledcích vyhledejte šablonu nastavení s názvem Groups.Unified.Guest:
Id DisplayName Description -- ----------- ----------- 62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified ... 08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group 4bc7f740-180e-4586-adb6-38b2e9024e6b Application ... 898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ... 5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...Načtení objektu šablony pro šablonu Groups.Unified.Guest:
$Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQZískejte ID skupiny, na kterou chcete toto nastavení použít:
$GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").IdVytvořte nové nastavení:
$params = @{ templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9" values = @( @{ name = "AllowToAddGuests" value = "False" } ) }Vytvořte nastavení skupiny:
New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $paramsPokud chcete ověřit nastavení, spusťte tento příkaz:
Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
Aktualizace nastavení pro konkrétní skupinu
Získejte ID skupiny, jejíž nastavení chcete aktualizovat:
$groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").IdNačtení nastavení skupiny:
$Setting = Get-MgBetaGroupSetting -GroupId $GroupIdAktualizujte nastavení skupiny podle potřeby:
$params = @{ values = @( @{ name = "AllowToAddGuests" value = "True" } ) }Pak můžete nastavit novou hodnotu pro toto nastavení:
Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $paramsHodnotu nastavení si můžete přečíst, abyste měli jistotu, že je správně aktualizována:
Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
Referenční informace k syntaxi rutin
Další dokumentaci k Prostředí Microsoft Graph PowerShell najdete v rutinách Microsoft Entra.
Správa nastavení skupin pomocí Microsoft Graphu
Pokud chcete nakonfigurovat a spravovat nastavení skupin pomocí Microsoft Graphu, podívejte se na groupSetting typ prostředku a jeho přidružené metody.