Share via


Microsoft Entra-Cmdlets zum Konfigurieren von Gruppeneinstellungen

Dieser Artikel enthält Anweisungen zur Verwendung von PowerShell-Cmdlets zum Erstellen und Aktualisieren von Gruppen in Microsoft Entra ID, einem Teil von Microsoft Entra. Dieser Inhalt gilt nur für Microsoft 365-Gruppen (manchmal auch als „einheitliche Gruppen“ bezeichnet).

Wichtig

Für einige Einstellungen ist eine Microsoft Entra-ID P1-Lizenz erforderlich. Weitere Informationen finden Sie in der Tabelle Vorlageneinstellungen.

Um Benutzer ohne Administratorrechte am Erstellen von Sicherheitsgruppen zu hindern, legen Sie die Eigenschaft AllowedToCreateSecurityGroups wie unter Update-MgPolicyAuthorizationPolicy beschrieben auf „False“ fest.

Microsoft 365-Gruppeneinstellungen werden mithilfe eines „Settings“- und eines „SettingsTemplate“-Objekts konfiguriert. Zu Beginn werden keine Einstellungsobjekte in Ihrem Verzeichnis angezeigt, da Ihr Verzeichnis mit den Standardeinstellungen konfiguriert ist. Um die Standardeinstellungen zu ändern, erstellen Sie mithilfe einer Einstellungsvorlage ein neues Einstellungsobjekt. Einstellungsvorlagen werden von Microsoft definiert. Es werden verschiedene Einstellungsvorlagen unterstützt. Zum Konfigurieren von Microsoft 365-Gruppeneinstellungen für Ihr Verzeichnis verwenden Sie die Vorlage „Group.Unified“. Zum Konfigurieren von Microsoft 365-Gruppeneinstellungen für eine einzelne Gruppe verwenden Sie die Vorlage „Group.Unified.Guest“. Diese Vorlage dient zum Verwalten des Gastzugriffs auf eine Microsoft 365-Gruppe.

Die Cmdlets sind Bestandteil des Microsoft Graph PowerShell-Moduls. Anweisungen zum Herunterladen und Installieren des Moduls auf Ihrem Computer finden Sie unter Installieren des Microsoft Graph PowerShell SDK.

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.

Hinweis

Wenn die Einstellungen zum Einschränken des Hinzufügens von Gästen zu Microsoft 365-Gruppen verwendet werden, fügen Administrator*innen weiterhin Gastbenutzer*innen in Microsoft 365 hinzu. Die Einstellung verhindert, dass Benutzer*innen ohne Administratorrechte in Microsoft 365 Gastbenutzer*innen hinzufügen.

Installieren von PowerShell-Cmdlets

Installieren Sie die Microsoft Graph-Cmdlets wie unter Installieren des Microsoft Graph PowerShell SDK beschrieben.

  1. Führen Sie die Windows PowerShell-App als Administrator aus.

  2. Installieren Sie die Microsoft Graph-Cmdlets.

    Install-Module Microsoft.Graph -Scope AllUsers
    
  3. Installieren Sie die Microsoft Graph Beta-Cmdlets.

    Install-Module Microsoft.Graph.Beta -Scope AllUsers
    

Erstellen von Einstellungen auf Verzeichnisebene

Mit diesen Schritten werden Einstellungen auf Verzeichnisebene erstellt, die für alle Microsoft 365-Gruppen im Verzeichnis gelten.

  1. In den DirectorySettings-Cmdlets müssen Sie die ID des SettingsTemplate-Objekts angeben, das Sie verwenden möchten. Wenn Sie diese ID nicht kennen, gibt dieses Cmdlet die Liste aller Einstellungsvorlagen zurück:

    Get-MgBetaDirectorySettingTemplate
    

    Bei Aufruf dieses Cmdlets werden alle verfügbaren Vorlagen zurückgegeben:

    Id                                   DisplayName         Description
    --                                   -----------         -----------
    62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
    08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
    16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
    4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
    898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
    5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...
    
  2. Um eine URL zu Nutzungsrichtlinien hinzuzufügen, müssen Sie zunächst das SettingsTemplate-Objekt abrufen, das den Wert für die Nutzungsrichtlinien-URL definiert, also die Group.Unified-Vorlage:

    $TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
    $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
    
  3. Erstellen Sie ein Objekt, das Werte enthält, die für die Verzeichniseinstellung verwendet werden sollen. Diese Werte ändern den Wert für die Verwendungsrichtlinie und aktivieren Vertraulichkeitsbezeichnungen. Legen Sie nach Bedarf diese oder eine andere Einstellung in der Vorlage fest:

    $params = @{
       templateId = "$TemplateId"
       values = @(
          @{
             name = "UsageGuidelinesUrl"
             value = "https://guideline.example.com"
          }
          @{
             name = "EnableMIPLabels"
             value = "True"
          }
       )
    }
    
  4. Erstellen Sie die Verzeichniseinstellung mithilfe von New-MgBetaDirectorySetting:

    New-MgBetaDirectorySetting -BodyParameter $params
    
  5. Sie können die Werte mit den folgenden Befehlen lesen:

    $Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
    $Setting.Values
    

Aktualisieren von Einstellungen auf Verzeichnisebene

Um den Wert für UsageGuideLinesUrl in der Vorlage mit den Einstellungen zu aktualisieren, lesen Sie die aktuellen Einstellungen aus Microsoft Entra ID. Andernfalls kann dazu kommen, dass auch andere vorhandene Einstellungen außer UsageGuideLinesUrl überschrieben werden.

  1. Rufen Sie die aktuellen Einstellungen aus Group.Unified SettingsTemplate ab:

    $Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
    
  2. Überprüfen Sie die aktuellen Einstellungen:

    $Setting.Values
    

    Mit diesem Befehl werden die folgenden Werte zurückgegeben:

    Name                            Value
    ----                            -----
    EnableMIPLabels                 True
    CustomBlockedWordsList
    EnableMSStandardBlockedWords    False
    ClassificationDescriptions
    DefaultClassification
    PrefixSuffixNamingRequirement
    AllowGuestsToBeGroupOwner       False
    AllowGuestsToAccessGroups       True
    GuestUsageGuidelinesUrl
    GroupCreationAllowedGroupId
    AllowToAddGuests                True
    UsageGuidelinesUrl              https://guideline.example.com
    ClassificationList
    EnableGroupCreation             True
    NewUnifiedGroupWritebackDefault True
    
  3. Um den Wert von UsageGuideLinesUrl zu entfernen, bearbeiten Sie die URL so, dass sie zu einer leeren Zeichenfolge wird:

    $params = @{
       Values = @(
          @{
             Name = "UsageGuidelinesUrl"
             Value = ""
          }
       )
    }
    
  4. Aktualisieren Sie den Wert mithilfe des Cmdlets Update-MgBetaDirectorySetting:

    Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params
    

Vorlageneinstellungen

Folgende Einstellungen sind im SettingsTemplate-Objekt „Group.Unified“ definiert. Sofern nicht anders angegeben, erfordern diese Features eine Microsoft Entra-ID P1-Lizenz.

Einstellung Beschreibung
  • EnableGroupCreation
  • Typ: Boolean
  • Standardwert: True
Das Flag, das angibt, ob die Erstellung von Microsoft 365-Gruppen im Verzeichnis durch Benutzer ohne Administratorrechte zulässig ist. Für diese Einstellung ist keine Microsoft Entra ID P1-Lizenz erforderlich.
  • GroupCreationAllowedGroupId
  • Typ: String
  • Standardeinstellung: ""
GUID der Sicherheitsgruppe, deren Mitgliedern das Erstellen von Microsoft 365-Gruppen auch dann erlaubt ist, wenn der EnableGroupCreation-Wert „false“ lautet.
  • UsageGuidelinesUrl
  • Typ: String
  • Standardeinstellung: ""
Ein Link zu den Nutzungsrichtlinien für die Gruppe.
  • ClassificationDescriptions
  • Typ: String
  • Standardeinstellung: ""
Eine durch Trennzeichen getrennte Liste mit Klassifizierungsbeschreibungen. Der Wert von ClassificationDescriptions ist nur in folgendem Format gültig:
$setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description"
wobei Classification mit einem Eintrag in ClassificationList übereinstimmt.
Diese Einstellung gilt nicht, wenn der EnableMIPLabels-Wert „True“ lautet.
Das Zeichenlimit für die ClassificationDescriptions-Eigenschaft beträgt 300, und Kommas können nicht mit Escapezeichen versehen werden.
  • DefaultClassification
  • Typ: String
  • Standardeinstellung: ""
Die Klassifizierung, die als Standardklassifizierung einer Gruppe verwendet werden soll, falls keine angegeben wurde.
Diese Einstellung gilt nicht, wenn der EnableMIPLabels-Wert „True“ lautet.
  • PrefixSuffixNamingRequirement
  • Typ: String
  • Standardeinstellung: ""
Zeichenfolge mit einer maximalen Länge von 64 Zeichen, mit der die für Microsoft 365-Gruppen konfigurierte Namenskonvention definiert wird. Weitere Informationen finden Sie unter Erzwingen einer Benennungsrichtlinie für Microsoft 365-Gruppen.
  • CustomBlockedWordsList
  • Typ: String
  • Standardeinstellung: ""
Eine durch Trennzeichen getrennte Zeichenfolge mit Ausdrücken, deren Verwendung in Gruppennamen oder -aliasen nicht gestattet ist. Weitere Informationen finden Sie unter Erzwingen einer Benennungsrichtlinie für Microsoft 365-Gruppen.
  • EnableMSStandardBlockedWords
  • Typ: Boolean
  • Standardwert: „False“
Veraltet. Nicht verwenden.
  • AllowGuestsToBeGroupOwner
  • Typ: Boolean
  • Standardwert: False
Boolescher Wert, der angibt, ob ein Gastbenutzer Besitzer von Gruppen sein kann.
  • AllowGuestsToAccessGroups
  • Typ: Boolean
  • Standardwert: True
Boolescher Wert, der angibt, ob ein Gastbenutzer Zugriff auf die Inhalte von Microsoft 365-Gruppen hat. Für diese Einstellung ist keine Microsoft Entra ID P1-Lizenz erforderlich.
  • GuestUsageGuidelinesUrl
  • Typ: String
  • Standardeinstellung: ""
Die URL eines Links zu den Richtlinien für die Nutzung des Gastzugangs
  • AllowToAddGuests
  • Typ: Boolean
  • Standardwert: True
Ein boolescher Wert, der angibt, ob das Hinzufügen von Gästen zu diesem Verzeichnis erlaubt ist.
Diese Einstellung kann außer Kraft gesetzt und schreibgeschützt werden, wenn EnableMIPLabels auf True festgelegt ist und der der Gruppe zugeordneten Vertraulichkeitsbezeichnung eine Gastrichtlinie zugeordnet ist.
Wenn die Einstellung AllowToAddGuests auf Organisationsebene auf FALSE festgelegt ist, wird jede AllowToAddGuest-Einstellung auf Gruppenebene ignoriert. Wenn Sie den Gastzugriff nur für einige wenige Gruppen aktivieren möchten, müssen Sie AllowToAddGuests auf Organisationsebene auf TRUE festlegen und dann für bestimmte Gruppen selektiv deaktivieren.
  • ClassificationList
  • Typ: String
  • Standardeinstellung: ""
Eine durch Trennzeichen getrennte Liste der gültigen Klassifizierungswerte, die auf Microsoft 365-Gruppen angewendet werden können.
Diese Einstellung gilt nicht, wenn der EnableMIPLabels-Wert „True“ lautet.
  • EnableMIPLabels
  • Typ: Boolean
  • Standardwert: „False“
Das Flag, das angibt, ob die im Microsoft Purview-Complianceportal veröffentlichten Vertraulichkeitsbezeichnungen auf Microsoft 365-Gruppen angewendet werden können. Weitere Informationen finden Sie unter Zuweisen von Vertraulichkeitsbezeichnungen für Microsoft 365-Gruppen.
  • NewUnifiedGroupWritebackDefault
  • Typ: Boolean
  • Standard: TRUE
Das Flag, mit dem ein Administrator neue Microsoft 365-Gruppen erstellen kann, ohne den Ressourcentyp „groupWritebackConfiguration“ in den Anforderungsnutzdaten festzulegen. Diese Einstellung gilt, wenn Gruppenrückschreiben in Microsoft Entra Connect konfiguriert ist. „NewUnifiedGroupWritebackDefault“ ist eine globale Microsoft 365-Gruppeneinstellung. Der Standardwert ist true. Durch Aktualisieren des Einstellungswerts auf FALSE ändert sich das Standardrückschreibungsverhalten für neu erstellte Microsoft 365-Gruppen. Der Wert der Eigenschaft „isEnabled“ ändert sich für vorhandene Microsoft 365-Gruppen hingegen nicht. Der Gruppenadministrator muss den Wert der Eigenschaft „isEnabled“ der Gruppe explizit aktualisieren, um den Rückschreibungsstatus für vorhandene Microsoft 365-Gruppen zu ändern.

Beispiel: Konfigurieren einer Gastrichtlinie für Gruppen auf Verzeichnisebene

  1. Rufen Sie alle Einstellungsvorlagen ab:

    Get-MgBetaDirectorySettingTemplate
    
  2. Um die Gastrichtlinie für Gruppen auf Verzeichnisebene festzulegen, benötigen Sie die Vorlage „Group.Unified“.

    $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ
    
  3. Legen Sie einen Wert für „AllowToAddGuests“ für die angegebene Vorlage fest:

    $params = @{
       templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
       values = @(
          @{
             name = "AllowToAddGuests"
             value = "False"
          }
       )
    }
    
  4. Erstellen Sie als Nächstes ein neues Einstellungsobjekt mithilfe des Cmdlets New-MgBetaDirectorySetting:

    $Setting = New-MgBetaDirectorySetting -BodyParameter $params
    
  5. Sie können die Werte lesen mithilfe von:

    $Setting.Values
    

Lesen von Einstellungen auf Verzeichnisebene

Wenn Sie den Namen der Einstellung kennen, die Sie abrufen möchten, können Sie das untenstehende Cmdlet verwenden, um den aktuellen Einstellungswert abzurufen. In diesem Beispiel rufen wir den Wert für eine Einstellung namens „UsageGuidelinesUrl“ ab.

(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ

Mit diesen Schritten werden auf Verzeichnisebene Einstellungen gelesen, die für alle Office-Gruppen im Verzeichnis gelten.

  1. Lesen aller vorhandenen Verzeichniseinstellungen:

    Get-MgBetaDirectorySetting -All
    

    Dieses Cmdlet gibt eine Liste aller Verzeichniseinstellungen zurück:

    Id                                   DisplayName   TemplateId                           Values
    --                                   -----------   ----------                           ------
    c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...
    
  2. Lesen aller Einstellungen für eine bestimmte Gruppe:

    Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"
    
  3. Lesen aller Werte von Verzeichniseinstellungen für ein bestimmtes Verzeichniseinstellungsobjekt mithilfe der Einstellungs-ID „GUID“:

    (Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values
    

    Dieses Cmdlet gibt die Namen und Werte in diesem Einstellungsobjekt für diese spezielle Gruppe zurück:

    Name                          Value
    ----                          -----
    ClassificationDescriptions
    DefaultClassification
    PrefixSuffixNamingRequirement
    CustomBlockedWordsList        
    AllowGuestsToBeGroupOwner     False 
    AllowGuestsToAccessGroups     True
    GuestUsageGuidelinesUrl
    GroupCreationAllowedGroupId
    AllowToAddGuests              True
    UsageGuidelinesUrl            https://guideline.example.com
    ClassificationList
    EnableGroupCreation           True
    

Entfernen von Einstellungen auf Verzeichnisebene

Mit diesen Schritten werden auf Verzeichnisebene Einstellungen entfernt, die für alle Office-Gruppen im Verzeichnis gelten.

Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"

Erstellen von Einstellungen für eine bestimmte Gruppe

  1. Rufen Sie die Einstellungsvorlagen ab.

    Get-MgBetaDirectorySettingTemplate
    
  2. Suchen Sie in den Ergebnissen die Einstellungsvorlage mit dem Namen „Groups.Unified.Guest“.

    Id                                   DisplayName            Description
    --                                   -----------            -----------
    62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
    08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
    4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
    898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
    5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...
    
  3. Abrufen des Vorlagenobjekts für die Vorlage „Groups.Unified.Guest“:

    $Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ
    
  4. Rufen Sie die ID der Gruppe ab, auf die Sie diese Einstellung anwenden möchten:

    $GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
    
  5. Erstellen Sie die neue Einstellung:

    $params = @{
       templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9"
       values = @(
          @{
             name = "AllowToAddGuests"
             value = "False"
          }
       )
    }
    
  6. Erstellen Sie die Gruppeneinstellung:

    New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params
    
  7. Um die Einstellungen zu überprüfen, führen Sie diesen Befehl aus:

    Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
    

Aktualisieren von Einstellungen für eine bestimmte Gruppe

  1. Rufen Sie die ID der Gruppe ab, deren Einstellung Sie aktualisieren möchten:

    $groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
    
  2. Rufen Sie die Einstellung der Gruppe ab:

    $Setting = Get-MgBetaGroupSetting -GroupId $GroupId
    
  3. Aktualisieren Sie die Einstellung der Gruppe nach Bedarf:

    $params = @{
       values = @(
          @{
             name = "AllowToAddGuests"
             value = "True"
          }
       )
    }
    
  4. Anschließend können Sie den neuen Wert für diese Einstellung festlegen:

    Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params
    
  5. Sie können den Wert der Einstellung lesen, um sicherzustellen, dass er ordnungsgemäß aktualisiert wurde:

    Get-MgBetaGroupSetting -GroupId $GroupId  | FL Values
    

Referenz der Cmdletsyntax

Weitere Informationen zu Microsoft Graph PowerShell finden Sie unter Microsoft Entra-Cmdlets.

Verwalten von Gruppeneinstellungen mithilfe von Microsoft Graph

Informationen zum Konfigurieren und Verwalten von Gruppeneinstellungen mithilfe von Microsoft Graph finden Sie unter groupSettingRessourcentyp und den zugehörigen Methoden.

Zusätzliche Lektüre