Rutiny Microsoft Entra pro konfiguraci nastavení skupiny

Tento článek obsahuje instrukce pro použití PowerShell cmdletů k vytvoření a aktualizaci skupin v Microsoft Entra ID, která je součástí Microsoft Entra. Tento obsah platí jenom pro skupiny Microsoftu 365.

Důležité

Některá nastavení vyžadují licenci Microsoft Entra ID P1. Pro více informací se podívejte na tabulku nastavení šablony .

Další informace o tom, jak zabránit neadministrátorským uživatelům vytvářet skupiny zabezpečení, nastavte vlastnost AllowedToCreateSecurityGroups na hodnotu False, jak je popsáno v Update-MgPolicyAuthorizationPolicy.

Nastavení skupin Microsoftu 365 se konfiguruje pomocí objektu Nastavení a objektu SettingsTemplate. Zpočátku se v adresáři nezobrazují žádné objekty Nastavení, protože adresář je nakonfigurovaný s výchozím nastavením. Pokud chcete změnit výchozí nastavení, musíte vytvořit nový objekt nastavení pomocí šablony nastavení. Microsoft poskytuje několik šablon nastavení. Ke konfiguraci nastavení skupiny Microsoftu 365 pro váš adresář použijte šablonu s názvem Group.Unified. Pokud chcete nakonfigurovat nastavení skupiny Microsoft 365 v jedné skupině, použijte šablonu Group.Unified.Guest. Tato šablona slouží ke správě přístupu hostů ke skupině Microsoft 365.

Rutiny jsou součástí modulu Microsoft Graph PowerShellu. Pokyny ke stažení a instalaci modulu do počítače najdete v tématu Instalace sady Microsoft Graph PowerShell SDK.

Poznámka

I když jsou povolená omezení, která brání přidání hostů do skupin Microsoft 365, mohou správci stále přidávat hosty. Omezení platí jenom pro uživatele, kteří nejsou správci.

Instalace cmdletů PowerShellu

Nainstalujte rutiny Microsoft Graphu, jak je popsáno v tématu Instalace sady Microsoft Graph PowerShell SDK.

1. Otevřete aplikaci Windows PowerShell jako správce.

2. Nainstalujte rutiny Microsoft Graphu.

   PowerShell

   Install-Module Microsoft.Graph -Scope AllUsers
   

3. Nainstalujte beta rutiny Microsoft Graphu.

   PowerShell

   Install-Module Microsoft.Graph.Beta -Scope AllUsers
   

Vytvoření nastavení na úrovni adresáře

Tento postup vytvoří nastavení na úrovni adresáře, které platí pro všechny skupiny Microsoftu 365 v adresáři.

1. V rutinách DirectorySettings musíte zadat ID SettingsTemplate, které chcete použít. Pokud toto ID neznáte, vrátí tato rutina seznam všech šablon nastavení:

   PowerShell

   Get-MgBetaDirectorySettingTemplate
   

   Toto volání rutiny vrátí všechny dostupné šablony:

   Output

   Id                                   DisplayName         Description
   --                                   -----------         -----------
   62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
   08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
   16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
   4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
   898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
   5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...
   

2. Pokud chcete přidat adresu URL s pokyny k použití, musíte nejprve získat objekt SettingsTemplate, který definuje hodnotu adresy URL pokynů k použití; to znamená skupina. Sjednocená šablona:

   PowerShell

   $TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
   $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
   

3. Vytvořte objekt obsahující hodnoty, které se mají použít pro nastavení adresáře. Tyto hodnoty mění hodnotu pokynů pro použití a umožňují popisky citlivosti. Podle potřeby nastavte toto nebo jakékoli jiné nastavení v šabloně:

   PowerShell

   $params = @{
      templateId = "$TemplateId"
      values = @(
         @{
            name = "UsageGuidelinesUrl"
            value = "https://guideline.example.com"
         }
         @{
            name = "EnableMIPLabels"
            value = "True"
         }
      )
   }
   

4. Vytvořte nastavení adresáře pomocí New-MgBetaDirectorySetting:

   PowerShell

   New-MgBetaDirectorySetting -BodyParameter $params
   

5. Hodnoty můžete číst pomocí následujících příkazů:

   PowerShell

   $Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
   $Setting.Values
   

Aktualizace nastavení na úrovni adresáře

Pokud chcete aktualizovat hodnotu UsageGuideLinesUrl v šabloně nastavení, přečtěte si aktuální nastavení z ID Microsoft Entra, jinak bychom mohli přepsat stávající nastavení jiná než UsageGuideLinesUrl.

1. Získejte aktuální nastavení z group.Unified SettingsTemplate:

   PowerShell

   $Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
   

2. Zkontrolujte aktuální nastavení:

   PowerShell

   $Setting.Values
   

   Tento příkaz vrátí následující hodnoty:

   Output

   Name                            Value
   ----                            -----
   EnableMIPLabels                 True
   CustomBlockedWordsList
   EnableMSStandardBlockedWords    False
   ClassificationDescriptions
   DefaultClassification
   PrefixSuffixNamingRequirement
   AllowGuestsToBeGroupOwner       False
   AllowGuestsToAccessGroups       True
   GuestUsageGuidelinesUrl
   GroupCreationAllowedGroupId
   AllowToAddGuests                True
   UsageGuidelinesUrl              https://guideline.example.com
   ClassificationList
   EnableGroupCreation             True
   NewUnifiedGroupWritebackDefault True
   

3. Chcete-li odebrat hodnotu UsageGuideLinesUrl, upravte adresu URL tak, aby byla prázdný řetězec.

   PowerShell

   $params = @{
      Values = @(
         @{
            Name = "UsageGuidelinesUrl"
            Value = ""
         }
      )
   }
   

4. Aktualizujte hodnotu pomocí rutiny Update-MgBetaDirectorySetting:

   PowerShell

   Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params
   

Nastavení šablony

Tady jsou nastavení definovaná v Group.Unified SettingsTemplate. Pokud není uvedeno jinak, tyto funkce vyžadují licenci Microsoft Entra ID P1.

Nastavení	popis
EnableGroupCreation Typ: Boolean Výchozí: True	Tento příznak označuje, jestli uživatelé, kteří nejsou správci, můžou v adresáři vytvářet skupiny Microsoftu 365. Toto nastavení nevyžaduje licenci Microsoft Entra ID P1.
GroupCreationAllowedGroupId Typ: String Výchozí: ""	GUID skupiny zabezpečení, pro kterou mohou členové vytvářet skupiny Microsoft 365, i když EnableGroupCreation == false.
UsageGuidelinesUrl Typ: String Výchozí: ""	Odkaz na pokyny k používání skupiny
PopisyKlasifikace Typ: String Výchozí: ""	Seznam popisů klasifikace oddělený čárkami. Hodnota ClassificationDescriptions je platná pouze v tomto formátu: $setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description" kde Klasifikace odpovídá záznamu v ClassificationListu. Toto nastavení se nepoužije při EnableMIPLabels == True. Limit pro počet znaků pro vlastnost ClassificationDescriptions je 300 a čárky nelze uniknout.
výchozíKlasifikace Typ: String Výchozí: ""	Klasifikace, která se má použít jako výchozí klasifikace pro skupinu, pokud nebyla zadána žádná. Toto nastavení se nepoužije při EnableMIPLabels == True.
PrefixSuffixNamingRequirement Typ: String Výchozí: ""	Řetězec maximální délky 64 znaků, který definuje konvenci vytváření názvů nakonfigurovaných pro skupiny Microsoftu 365. Další informace najdete v tématu Vynucení zásad pojmenování pro skupiny Microsoftu 365.
CustomBlockedWordsList Typ: String Výchozí: ""	Řetězec frází oddělených čárkami, které uživatelé nesmí používat v názvech skupin nebo aliasech. Další informace najdete v tématu Vynucení zásad pojmenování pro skupiny Microsoftu 365.
EnableMSStandardBlockedWords Typ: Boolean Výchozí: False	Zavrhovaný. Nepoužívejte.
PovolitHostůmBýtVlastníkemSkupiny Typ: Boolean Výchozí: False	Logická hodnota označující, jestli uživatel typu host může být vlastníkem skupin.
PovolitHostůmPřístupDoSkupin Typ: Boolean Výchozí: True	Logická hodnota označující, jestli uživatel typu host může mít přístup k obsahu skupin Microsoftu 365. Toto nastavení nevyžaduje licenci Microsoft Entra ID P1.
GuestUsageGuidelinesUrl Typ: String Výchozí: ""	Adresa URL odkazu na pokyny pro použití hosta.
PovolitPřidávánÍHostů Typ: Boolean Výchozí: True	Logická hodnota označující, zda je povoleno přidávat hosty do tohoto adresáře. Toto nastavení se může přepsat a stane se jen pro čtení, pokud je EnableMIPLabels nastaveno na True a zásady pro hosty jsou přidruženy k popisku citlivosti přiřazenému skupině. Pokud je nastavení AllowToAddGuests nastaveno na hodnotu False na úrovni organizace, bude ignorováno jakékoli nastavení AllowToAddGuests na úrovni skupiny. Pokud chcete povolit přístup hostů jenom pro několik skupin, musíte nastavit, aby byl AllowToAddGuests pravdivý na úrovni organizace a pak ho selektivně zakažte pro konkrétní skupiny.
Seznam klasifikací Typ: String Výchozí: ""	Čárkami oddělený seznam platných hodnot klasifikace, které je možné použít pro skupiny Microsoftu 365. Toto nastavení se nepoužije, když EnableMIPLabels == True.
EnableMIPLabels Typ: Boolean Výchozí: False	Příznak označující, jestli se popisky citlivosti publikované na portálu dodržování předpisů Microsoft Purview dají použít pro skupiny Microsoftu 365. Další informace najdete v tématu Přiřazení popisků citlivosti pro skupiny Microsoftu 365.
NewUnifiedGroupWritebackDefault Typ: Boolean Výchozí: True	Příznak, který správci umožňuje vytvořit nové skupiny Microsoftu 365 bez nastavení typu prostředku groupWritebackConfiguration v datové části požadavku. Toto nastavení je použitelné, když je funkce "group writeback" nakonfigurována v nástroji Microsoft Entra Connect. NewUnifiedGroupWritebackDefault je globální nastavení skupiny Microsoftu 365. Výchozí hodnota je true. Aktualizace hodnoty nastavení na false změní výchozí chování zpětného zápisu pro nově vytvořené skupiny Microsoftu 365 a nezmění isEnabled hodnotu vlastnosti pro stávající skupiny Microsoftu 365. Správce skupiny musí explicitně aktualizovat hodnotu vlastnosti isEnabled, aby změnil stav zpětného zápisu pro stávající skupiny Microsoftu 365.

Příklad: Konfigurace zásad hosta pro skupiny na úrovni adresáře

1. Získejte všechny šablony nastavení:

   PowerShell

   Get-MgBetaDirectorySettingTemplate
   

2. Pokud chcete nastavit zásady hosta pro skupiny na úrovni adresáře, potřebujete šablonu Group.Unified.

   PowerShell

   $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ
   

3. Nastavte hodnotu allowToAddGuests pro zadanou šablonu:

   PowerShell

   $params = @{
      templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
      values = @(
         @{
            name = "AllowToAddGuests"
            value = "False"
         }
      )
   }
   

4. Dále vytvořte nový objekt nastavení pomocí rutiny New-MgBetaDirectorySetting:

   PowerShell

   $Setting = New-MgBetaDirectorySetting -BodyParameter $params
   

5. Hodnoty si můžete přečíst takto:

   PowerShell

   $Setting.Values
   

Čtení nastavení na úrovni adresáře

Pokud znáte název nastavení, které chcete načíst, můžete pomocí následující rutiny načíst aktuální hodnotu nastavení. V tomto příkladu načítáme hodnotu pro nastavení s názvem UsageGuidelinesUrl.

PowerShell

(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ

Tyto kroky čtou nastavení na úrovni adresáře, které platí pro všechny skupiny Office v adresáři.

1. Přečtěte si všechna existující nastavení adresáře:

   PowerShell

   Get-MgBetaDirectorySetting -All
   

   Tato rutina vrátí seznam všech nastavení adresáře:

   Output

   Id                                   DisplayName   TemplateId                           Values
   --                                   -----------   ----------                           ------
   c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...
   

2. Přečtěte si všechna nastavení pro konkrétní skupinu:

   PowerShell

   Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"
   

3. Pomocí identifikátoru GUID nastavení objektu adresářů si můžete přečíst všechny hodnoty nastavení adresáře.

   PowerShell

   (Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values
   

   Tato rutina vrátí názvy a hodnoty v tomto objektu nastavení pro tuto konkrétní skupinu:

   Output

   Name                          Value
   ----                          -----
   ClassificationDescriptions
   DefaultClassification
   PrefixSuffixNamingRequirement
   CustomBlockedWordsList        
   AllowGuestsToBeGroupOwner     False 
   AllowGuestsToAccessGroups     True
   GuestUsageGuidelinesUrl
   GroupCreationAllowedGroupId
   AllowToAddGuests              True
   UsageGuidelinesUrl            https://guideline.example.com
   ClassificationList
   EnableGroupCreation           True
   

Odebrání nastavení na úrovni adresáře

Tento krok odebere nastavení na úrovni adresáře, které platí pro všechny skupiny Office v adresáři.

PowerShell

Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"

Vytvoření nastavení pro konkrétní skupinu

1. Získejte šablony nastavení.

   PowerShell

   Get-MgBetaDirectorySettingTemplate
   

2. Ve výsledcích vyhledejte šablonu nastavení s názvem Groups.Unified.Guest:

   Output

   Id                                   DisplayName            Description
   --                                   -----------            -----------
   62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
   08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
   4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
   898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
   5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...
   

3. Načtení objektu šablony pro šablonu Groups.Unified.Guest:

   PowerShell

   $Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ
   

4. Získejte ID skupiny, na kterou chcete toto nastavení použít:

   PowerShell

   $GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
   

5. Vytvořte nové nastavení:

   PowerShell

   $params = @{
      templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9"
      values = @(
         @{
            name = "AllowToAddGuests"
            value = "False"
         }
      )
   }
   

6. Vytvořte nastavení skupiny:

   PowerShell

   New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params
   

7. Pokud chcete ověřit nastavení, spusťte tento příkaz:

   PowerShell

   Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
   

Aktualizace nastavení pro konkrétní skupinu

1. Získejte ID skupiny, jejíž nastavení chcete aktualizovat:

   PowerShell

   $groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
   

2. Získat nastavení skupiny:

   PowerShell

   $Setting = Get-MgBetaGroupSetting -GroupId $GroupId
   

3. Aktualizujte nastavení skupiny podle potřeby:

   PowerShell

   $params = @{
      values = @(
         @{
            name = "AllowToAddGuests"
            value = "True"
         }
      )
   }
   

4. Pak můžete nastavit novou hodnotu pro toto nastavení:

   PowerShell

   Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params
   

5. Hodnotu nastavení si můžete přečíst, abyste měli jistotu, že je správně aktualizována:

   PowerShell

   Get-MgBetaGroupSetting -GroupId $GroupId  | FL Values
   

Referenční syntaxi cmdletů

Další dokumentaci k prostředí Microsoft Graph PowerShell najdete v cmdlety Microsoft Entra.

Správa nastavení skupin pomocí Microsoft Graphu

Informace o konfiguraci a správě nastavení skupin pomocí Microsoft Graphu najdete v groupSetting typu prostředku a souvisejících metodách.

Další čtení

• Správa přístupu k prostředkům pomocí skupin Microsoft Entra
• Připojení vašich místních identit k Microsoft Entra ID