Azure Active Directory-Cmdlets zum Konfigurieren von Gruppeneinstellungen

Artikel
03/19/2023
8 Minuten Lesedauer

Dieser Artikel enthält Anweisungen zur Verwendung von PowerShell-Cmdlets zum Erstellen und Aktualisieren von Gruppen in Azure Active Directory (Azure AD), einem Teil von Microsoft Entra. Dieser Inhalt gilt nur für Microsoft 365-Gruppen (manchmal auch als „einheitliche Gruppen“ bezeichnet).

Wichtig

Für einige Einstellungen ist eine Azure Active Directory Premium P1-Lizenz erforderlich. Weitere Informationen finden Sie in der Tabelle Vorlageneinstellungen.

Weitere Informationen, wie Sie Benutzer ohne Administratorrechte am Erstellen von Sicherheitsgruppen hindern, finden Sie, indem Sie Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False, wie unter Set-MSOLCompanySettings beschrieben, festlegen.

Microsoft 365-Gruppeneinstellungen werden mithilfe eines „Settings“- und eines „SettingsTemplate“-Objekts konfiguriert. Zu Beginn werden keine Einstellungsobjekte in Ihrem Verzeichnis angezeigt, da Ihr Verzeichnis mit den Standardeinstellungen konfiguriert ist. Um die Standardeinstellungen zu ändern, erstellen Sie mithilfe einer Einstellungsvorlage ein neues Einstellungsobjekt. Einstellungsvorlagen werden von Microsoft definiert. Es werden verschiedene Einstellungsvorlagen unterstützt. Zum Konfigurieren von Microsoft 365-Gruppeneinstellungen für Ihr Verzeichnis verwenden Sie die Vorlage „Group.Unified“. Zum Konfigurieren von Microsoft 365-Gruppeneinstellungen für eine einzelne Gruppe verwenden Sie die Vorlage „Group.Unified.Guest“. Diese Vorlage dient zum Verwalten des Gastzugriffs auf eine Microsoft 365-Gruppe.

Die Cmdlets gehören zum Modul Azure Active Directory PowerShell V2. Weitere Anweisungen zum Herunterladen und Installieren des Moduls auf Ihrem Computer finden Sie im Artikel Azure Active Directory PowerShell Version 2. Sie können die Version 2 des Moduls über den PowerShell-Katalog installieren.

Hinweis

Wenn die Einstellungen zum Einschränken des Hinzufügens von Gästen zu Microsoft 365-Gruppen verwendet werden, fügen Administrator*innen weiterhin Gastbenutzer*innen in Microsoft 365 hinzu. Die Einstellung verhindert, dass Benutzer*innen ohne Administratorrechte in Microsoft 365 Gastbenutzer*innen hinzufügen.

Installieren von PowerShell-Cmdlets

Achten Sie darauf, dass Sie alle älteren Versionen von Azure Active Directory PowerShell für das Graph-Modul für Windows PowerShell deinstallieren und Azure Active Directory PowerShell für Graph – öffentliche Vorschauversion (höhere Version als 2.0.0.137) vor dem Ausführen der PowerShell-Befehle installieren.

Führen Sie die Windows PowerShell-App als Administrator aus.
Deinstallieren Sie alle vorherigen Versionen von AzureADPreview.
```
Uninstall-Module AzureADPreview
Uninstall-Module azuread
```
Installieren Sie die neueste Version von AzureADPreview.
```
Install-Module AzureADPreview
```

Erstellen von Einstellungen auf Verzeichnisebene

Mit diesen Schritten werden Einstellungen auf Verzeichnisebene erstellt, die für alle Microsoft 365-Gruppen im Verzeichnis gelten. Das Cmdlet „Get-AzureADDirectorySettingTemplate“ steht nur im Azure AD PowerShell-Vorschaumodul für Graph zur Verfügung.

In den DirectorySettings-Cmdlets müssen Sie die ID des SettingsTemplate-Objekts angeben, das Sie verwenden möchten. Wenn Sie diese ID nicht kennen, gibt dieses Cmdlet die Liste aller Einstellungsvorlagen zurück:

Get-AzureADDirectorySettingTemplate

Bei Aufruf dieses Cmdlets werden alle verfügbaren Vorlagen zurückgegeben:

Id                                   DisplayName         Description
--                                   -----------         -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...

Um eine URL zu Nutzungsrichtlinien hinzuzufügen, müssen Sie zunächst das SettingsTemplate-Objekt abrufen, das den Wert für die Nutzungsrichtlinien-URL definiert, also die Group.Unified-Vorlage:
```
$TemplateId = (Get-AzureADDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
```
Erstellen Sie danach basierend auf dieser Vorlage ein neues Einstellungsobjekt:
```
$Setting = $Template.CreateDirectorySetting()
```
Aktualisieren Sie dann das Einstellungsobjekt mit einem neuen Wert. In den beiden folgenden Beispielen wird der Wert für die Verwendungsrichtlinie geändert, und Vertraulichkeitsbezeichnungen werden aktiviert. Legen Sie nach Bedarf diese oder eine andere Einstellung in der Vorlage fest:
```
$Setting["UsageGuidelinesUrl"] = "https://guideline.example.com"
$Setting["EnableMIPLabels"] = "True"
```

Wenden Sie dann die Einstellungen an:

New-AzureADDirectorySetting -DirectorySetting $Setting

Sie können die Werte lesen mithilfe von:
```
$Setting.Values
```

Aktualisieren von Einstellungen auf Verzeichnisebene

Um den Wert für UsageGuideLinesUrl in der Vorlage mit den Einstellungen zu aktualisieren, lesen Sie die aktuellen Einstellungen aus Azure AD. Andernfalls kann dazu kommen, dass auch andere vorhandene Einstellungen außer UsageGuideLinesUrl überschrieben werden.

Rufen Sie die aktuellen Einstellungen aus Group.Unified SettingsTemplate ab:

$Setting = Get-AzureADDirectorySetting | ? { $_.DisplayName -eq "Group.Unified"}

Überprüfen Sie die aktuellen Einstellungen:

$Setting.Values

Ausgabe:

 Name                            Value
 ----                            -----
 EnableMIPLabels                 True
 CustomBlockedWordsList
 EnableMSStandardBlockedWords    False
 ClassificationDescriptions
 DefaultClassification
 PrefixSuffixNamingRequirement
 AllowGuestsToBeGroupOwner       False
 AllowGuestsToAccessGroups       True
 GuestUsageGuidelinesUrl
 GroupCreationAllowedGroupId
 AllowToAddGuests                True
 UsageGuidelinesUrl              https://guideline.example.com
 ClassificationList
 EnableGroupCreation             True
 NewUnifiedGroupWritebackDefault True

Um den Wert von UsageGuideLinesUrl zu entfernen, bearbeiten Sie die URL so, dass sie zu einer leeren Zeichenfolge wird:
```
$Setting["UsageGuidelinesUrl"] = ""
```

Speichern Sie die Aktualisierung im Verzeichnis:

Set-AzureADDirectorySetting -Id $Setting.Id -DirectorySetting $Setting

Vorlageneinstellungen

Folgende Einstellungen sind im SettingsTemplate-Objekt „Group.Unified“ definiert. Sofern nicht anders angegeben, ist für diese Features eine Azure Active Directory Premium P1-Lizenz erforderlich.

Einstellung	Beschreibung
EnableGroupCreation Typ: Boolean Standardwert: True	Das Flag, das angibt, ob die Erstellung von Microsoft 365-Gruppen im Verzeichnis durch Benutzer ohne Administratorrechte zulässig ist. Für diese Einstellung ist keine Azure Active Directory Premium P1-Lizenz erforderlich.
GroupCreationAllowedGroupId Typ: String Standardeinstellung: ""	GUID der Sicherheitsgruppe, deren Mitgliedern das Erstellen von Microsoft 365-Gruppen auch dann erlaubt ist, wenn der EnableGroupCreation-Wert „false“ lautet.
UsageGuidelinesUrl Typ: String Standardeinstellung: ""	Ein Link zu den Nutzungsrichtlinien für die Gruppe.
ClassificationDescriptions Typ: String Standardeinstellung: ""	Eine durch Trennzeichen getrennte Liste mit Klassifizierungsbeschreibungen. Der Wert von ClassificationDescriptions ist nur in folgendem Format gültig: $setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description" wobei Classification mit einem Eintrag in ClassificationList übereinstimmt. Diese Einstellung gilt nicht, wenn der EnableMIPLabels-Wert „True“ lautet. Das Zeichenlimit für die ClassificationDescriptions-Eigenschaft beträgt 300, und Kommas können nicht mit Escapezeichen versehen werden.
DefaultClassification Typ: String Standardeinstellung: ""	Die Klassifizierung, die als Standardklassifizierung einer Gruppe verwendet werden soll, falls keine angegeben wurde. Diese Einstellung gilt nicht, wenn der EnableMIPLabels-Wert „True“ lautet.
PrefixSuffixNamingRequirement Typ: String Standardeinstellung: ""	Zeichenfolge mit einer maximalen Länge von 64 Zeichen, mit der die für Microsoft 365-Gruppen konfigurierte Namenskonvention definiert wird. Weitere Informationen finden Sie unter Erzwingen einer Benennungsrichtlinie für Microsoft 365-Gruppen.
CustomBlockedWordsList Typ: String Standardeinstellung: ""	Eine durch Trennzeichen getrennte Zeichenfolge mit Ausdrücken, deren Verwendung in Gruppennamen oder -aliasen nicht gestattet ist. Weitere Informationen finden Sie unter Erzwingen einer Benennungsrichtlinie für Microsoft 365-Gruppen.
EnableMSStandardBlockedWords Typ: Boolean Standardwert: „False“	Veraltet. Nicht verwenden.
AllowGuestsToBeGroupOwner Typ: Boolean Standardwert: False	Boolescher Wert, der angibt, ob ein Gastbenutzer Besitzer von Gruppen sein kann.
AllowGuestsToAccessGroups Typ: Boolean Standardwert: True	Boolescher Wert, der angibt, ob ein Gastbenutzer Zugriff auf die Inhalte von Microsoft 365-Gruppen hat. Für diese Einstellung ist keine Azure Active Directory Premium P1-Lizenz erforderlich.
GuestUsageGuidelinesUrl Typ: String Standardeinstellung: ""	Die URL eines Links zu den Richtlinien für die Nutzung des Gastzugangs
AllowToAddGuests Typ: Boolean Standardwert: True	Ein boolescher Wert, der angibt, ob das Hinzufügen von Gästen zu diesem Verzeichnis erlaubt ist. Diese Einstellung kann außer Kraft gesetzt und schreibgeschützt werden, wenn EnableMIPLabels auf True festgelegt ist und der der Gruppe zugeordneten Vertraulichkeitsbezeichnung eine Gastrichtlinie zugeordnet ist. Wenn die Einstellung AllowToAddGuests auf Organisationsebene auf FALSE festgelegt ist, wird jede AllowToAddGuest-Einstellung auf Gruppenebene ignoriert. Wenn Sie den Gastzugriff nur für einige wenige Gruppen aktivieren möchten, müssen Sie AllowToAddGuests auf Organisationsebene auf TRUE festlegen und dann für bestimmte Gruppen selektiv deaktivieren.
ClassificationList Typ: String Standardeinstellung: ""	Eine durch Trennzeichen getrennte Liste der gültigen Klassifizierungswerte, die auf Microsoft 365-Gruppen angewendet werden können. Diese Einstellung gilt nicht, wenn der EnableMIPLabels-Wert „True“ lautet.
EnableMIPLabels Typ: Boolean Standardwert: „False“	Das Flag, das angibt, ob die im Microsoft Purview-Complianceportal veröffentlichten Vertraulichkeitsbezeichnungen auf Microsoft 365-Gruppen angewendet werden können. Weitere Informationen finden Sie unter Zuweisen von Vertraulichkeitsbezeichnungen für Microsoft 365-Gruppen.
NewUnifiedGroupWritebackDefault Typ: Boolean Standard: TRUE	Das Flag, mit dem ein Administrator neue Microsoft 365-Gruppen erstellen kann, ohne den Ressourcentyp „groupWritebackConfiguration“ in den Anforderungsnutzdaten festzulegen. Diese Einstellung gilt, wenn Gruppenrückschreiben in Azure AD Connect konfiguriert ist. „NewUnifiedGroupWritebackDefault“ ist eine globale Microsoft 365-Gruppeneinstellung. Der Standardwert ist true. Durch Aktualisieren des Einstellungswerts auf FALSE ändert sich das Standardrückschreibungsverhalten für neu erstellte Microsoft 365-Gruppen. Der Wert der Eigenschaft „isEnabled“ ändert sich für vorhandene Microsoft 365-Gruppen hingegen nicht. Der Gruppenadministrator muss den Wert der Eigenschaft „isEnabled“ der Gruppe explizit aktualisieren, um den Rückschreibungsstatus für vorhandene Microsoft 365-Gruppen zu ändern.

Beispiel: Konfigurieren einer Gastrichtlinie für Gruppen auf Verzeichnisebene

Rufen Sie alle Einstellungsvorlagen ab:
```
Get-AzureADDirectorySettingTemplate
```

Um die Gastrichtlinie für Gruppen auf Verzeichnisebene festzulegen, benötigen Sie die Vorlage „Group.Unified“.

$Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ

Erstellen Sie danach basierend auf dieser Vorlage ein neues Einstellungsobjekt:
```
$Setting = $template.CreateDirectorySetting()
```
Aktualisieren Sie dann die Einstellung „AllowToAddGuests“.
```
$Setting["AllowToAddGuests"] = $False
```

Wenden Sie dann die Einstellungen an:

Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting

Sie können die Werte lesen mithilfe von:
```
$Setting.Values
```

Lesen von Einstellungen auf Verzeichnisebene

Wenn Sie den Namen der Einstellung kennen, die Sie abrufen möchten, können Sie das untenstehende Cmdlet verwenden, um den aktuellen Einstellungswert abzurufen. In diesem Beispiel rufen wir den Wert für eine Einstellung namens „UsageGuidelinesUrl“ ab.

(Get-AzureADDirectorySetting).Values | Where-Object -Property Name -Value UsageGuidelinesUrl -EQ

Mit diesen Schritten werden auf Verzeichnisebene Einstellungen gelesen, die für alle Office-Gruppen im Verzeichnis gelten.

Lesen aller vorhandenen Verzeichniseinstellungen:

Get-AzureADDirectorySetting -All $True

Dieses Cmdlet gibt eine Liste aller Verzeichniseinstellungen zurück:

Id                                   DisplayName   TemplateId                           Values
--                                   -----------   ----------                           ------
c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...

Lesen aller Einstellungen für eine bestimmte Gruppe:

Get-AzureADObjectSetting -TargetObjectId ab6a3887-776a-4db7-9da4-ea2b0d63c504 -TargetType Groups

Lesen aller Werte von Verzeichniseinstellungen für ein bestimmtes Verzeichniseinstellungsobjekt mithilfe der Einstellungs-ID „GUID“:

(Get-AzureADDirectorySetting -Id c391b57d-5783-4c53-9236-cefb5c6ef323).values

Dieses Cmdlet gibt die Namen und Werte in diesem Einstellungsobjekt für diese spezielle Gruppe zurück:

Name                          Value
----                          -----
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
CustomBlockedWordsList        
AllowGuestsToBeGroupOwner     False 
AllowGuestsToAccessGroups     True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests              True
UsageGuidelinesUrl            https://guideline.example.com
ClassificationList
EnableGroupCreation           True

Entfernen von Einstellungen auf Verzeichnisebene

Mit diesen Schritten werden auf Verzeichnisebene Einstellungen entfernt, die für alle Office-Gruppen im Verzeichnis gelten.

Remove-AzureADDirectorySetting –Id c391b57d-5783-4c53-9236-cefb5c6ef323c

Erstellen von Einstellungen für eine bestimmte Gruppe

Suchen der Einstellungsvorlage mit dem Namen „Groups.Unified.Guest“

Get-AzureADDirectorySettingTemplate

Id                                   DisplayName            Description
--                                   -----------            -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...

Abrufen des Vorlagenobjekts für die Vorlage „Groups.Unified.Guest“:

$Template1 = Get-AzureADDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ

Erstellen eines neuen Einstellungsobjekts anhand der Vorlage:
```
$SettingCopy = $Template1.CreateDirectorySetting()
```
Festlegen der Einstellung auf den erforderlichen Wert:
```
$SettingCopy["AllowToAddGuests"]=$False
```
Rufen Sie die ID der Gruppe ab, auf die Sie diese Einstellung anwenden möchten:
```
$groupID= (Get-AzureADGroup -SearchString "YourGroupName").ObjectId
```

Erstellen der neuen Einstellung für die erforderliche Gruppe im Verzeichnis:

New-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -DirectorySetting $SettingCopy

Um die Einstellungen zu überprüfen, führen Sie diesen Befehl aus:

Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups | fl Values

Aktualisieren von Einstellungen für eine bestimmte Gruppe

Rufen Sie die ID der Gruppe ab, deren Einstellung Sie aktualisieren möchten:
```
$groupID= (Get-AzureADGroup -SearchString "YourGroupName").ObjectId
```

Rufen Sie die Einstellung der Gruppe ab:

$Setting = Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups

Aktualisieren Sie die Einstellung der Gruppe nach Bedarf, z.B.
```
$Setting["AllowToAddGuests"] = $True
```

Dann rufen Sie die ID der Einstellung für diese spezifische Gruppe ab:

Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups

Sie erhalten eine Antwort, die in etwa wie folgt aussieht:

Id                                   DisplayName            TemplateId                             Values
--                                   -----------            -----------                            ----------
2dbee4ca-c3b6-4f0d-9610-d15569639e1a Group.Unified.Guest    08d542b9-071f-4e16-94b0-74abb372e3d9   {class SettingValue {...

Anschließend können Sie den neuen Wert für diese Einstellung festlegen:

Set-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -Id 2dbee4ca-c3b6-4f0d-9610-d15569639e1a -DirectorySetting $Setting

Sie können den Wert der Einstellung lesen, um sicherzustellen, dass er ordnungsgemäß aktualisiert wurde:
```
Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups | fl Values
```

Referenz der Cmdletsyntax

Weitere Informationen zu Azure Active Directory PowerShell finden Sie unter Azure Active Directory-Cmdlets.

Verwalten von Gruppeneinstellungen mithilfe von Microsoft Graph

Informationen zum Konfigurieren und Verwalten von Gruppeneinstellungen mithilfe von Microsoft Graph finden Sie unter groupSetting-Ressourcentyp und den zugehörigen Methoden.