Microsoft Entra-Cmdlets zum Konfigurieren von Gruppeneinstellungen

Artikel
02/28/2024

Dieser Artikel enthält Anweisungen zur Verwendung von PowerShell-Cmdlets zum Erstellen und Aktualisieren von Gruppen in Microsoft Entra ID, einem Teil von Microsoft Entra. Dieser Inhalt gilt nur für Microsoft 365-Gruppen (manchmal auch als „einheitliche Gruppen“ bezeichnet).

Wichtig

Für einige Einstellungen ist eine Microsoft Entra-ID P1-Lizenz erforderlich. Weitere Informationen finden Sie in der Tabelle Vorlageneinstellungen.

Um Benutzer ohne Administratorrechte am Erstellen von Sicherheitsgruppen zu hindern, legen Sie die Eigenschaft AllowedToCreateSecurityGroups wie unter Update-MgPolicyAuthorizationPolicy beschrieben auf „False“ fest.

Microsoft 365-Gruppeneinstellungen werden mithilfe eines „Settings“- und eines „SettingsTemplate“-Objekts konfiguriert. Zu Beginn werden keine Einstellungsobjekte in Ihrem Verzeichnis angezeigt, da Ihr Verzeichnis mit den Standardeinstellungen konfiguriert ist. Um die Standardeinstellungen zu ändern, erstellen Sie mithilfe einer Einstellungsvorlage ein neues Einstellungsobjekt. Einstellungsvorlagen werden von Microsoft definiert. Es werden verschiedene Einstellungsvorlagen unterstützt. Zum Konfigurieren von Microsoft 365-Gruppeneinstellungen für Ihr Verzeichnis verwenden Sie die Vorlage „Group.Unified“. Zum Konfigurieren von Microsoft 365-Gruppeneinstellungen für eine einzelne Gruppe verwenden Sie die Vorlage „Group.Unified.Guest“. Diese Vorlage dient zum Verwalten des Gastzugriffs auf eine Microsoft 365-Gruppe.

Die Cmdlets sind Bestandteil des Microsoft Graph PowerShell-Moduls. Anweisungen zum Herunterladen und Installieren des Moduls auf Ihrem Computer finden Sie unter Installieren des Microsoft Graph PowerShell SDK.

Wichtig

Bei Azure AD PowerShell ist die Einstellung der Unterstützung für den 30. März 2024 geplant. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Microsoft Graph PowerShell ermöglicht den Zugriff auf alle Microsoft Graph-APIs und ist in PowerShell 7 verfügbar. Antworten auf allgemeine Migrationsfragen finden Sie unter Häufig gestellte Fragen zur Migration.

Hinweis

Wenn die Einstellungen zum Einschränken des Hinzufügens von Gästen zu Microsoft 365-Gruppen verwendet werden, fügen Administrator*innen weiterhin Gastbenutzer*innen in Microsoft 365 hinzu. Die Einstellung verhindert, dass Benutzer*innen ohne Administratorrechte in Microsoft 365 Gastbenutzer*innen hinzufügen.

Installieren von PowerShell-Cmdlets

Installieren Sie die Microsoft Graph-Cmdlets wie unter Installieren des Microsoft Graph PowerShell SDK beschrieben.

Führen Sie die Windows PowerShell-App als Administrator aus.

Installieren Sie die Microsoft Graph-Cmdlets.

Install-Module Microsoft.Graph -Scope AllUsers

Installieren Sie die Microsoft Graph Beta-Cmdlets.

Install-Module Microsoft.Graph.Beta -Scope AllUsers

Erstellen von Einstellungen auf Verzeichnisebene

Mit diesen Schritten werden Einstellungen auf Verzeichnisebene erstellt, die für alle Microsoft 365-Gruppen im Verzeichnis gelten.

In den DirectorySettings-Cmdlets müssen Sie die ID des SettingsTemplate-Objekts angeben, das Sie verwenden möchten. Wenn Sie diese ID nicht kennen, gibt dieses Cmdlet die Liste aller Einstellungsvorlagen zurück:

Get-MgBetaDirectorySettingTemplate

Bei Aufruf dieses Cmdlets werden alle verfügbaren Vorlagen zurückgegeben:

Id                                   DisplayName         Description
--                                   -----------         -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...

Um eine URL zu Nutzungsrichtlinien hinzuzufügen, müssen Sie zunächst das SettingsTemplate-Objekt abrufen, das den Wert für die Nutzungsrichtlinien-URL definiert, also die Group.Unified-Vorlage:
```
$TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
```
Erstellen Sie ein Objekt, das Werte enthält, die für die Verzeichniseinstellung verwendet werden sollen. Diese Werte ändern den Wert für die Verwendungsrichtlinie und aktivieren Vertraulichkeitsbezeichnungen. Legen Sie nach Bedarf diese oder eine andere Einstellung in der Vorlage fest:
```
$params = @{
   templateId = "$TemplateId"
   values = @(
      @{
         name = "UsageGuidelinesUrl"
         value = "https://guideline.example.com"
      }
      @{
         name = "EnableMIPLabels"
         value = "True"
      }
   )
}
```
Erstellen Sie die Verzeichniseinstellung mithilfe von New-MgBetaDirectorySetting:
```
New-MgBetaDirectorySetting -BodyParameter $params
```

Sie können die Werte mit den folgenden Befehlen lesen:

$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
$Setting.Values

Aktualisieren von Einstellungen auf Verzeichnisebene

Um den Wert für UsageGuideLinesUrl in der Vorlage mit den Einstellungen zu aktualisieren, lesen Sie die aktuellen Einstellungen aus Microsoft Entra ID. Andernfalls kann dazu kommen, dass auch andere vorhandene Einstellungen außer UsageGuideLinesUrl überschrieben werden.

Rufen Sie die aktuellen Einstellungen aus Group.Unified SettingsTemplate ab:

$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}

Überprüfen Sie die aktuellen Einstellungen:

$Setting.Values

Mit diesem Befehl werden die folgenden Werte zurückgegeben:

Name                            Value
----                            -----
EnableMIPLabels                 True
CustomBlockedWordsList
EnableMSStandardBlockedWords    False
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
AllowGuestsToBeGroupOwner       False
AllowGuestsToAccessGroups       True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests                True
UsageGuidelinesUrl              https://guideline.example.com
ClassificationList
EnableGroupCreation             True
NewUnifiedGroupWritebackDefault True

Um den Wert von UsageGuideLinesUrl zu entfernen, bearbeiten Sie die URL so, dass sie zu einer leeren Zeichenfolge wird:
```
$params = @{
   Values = @(
      @{
         Name = "UsageGuidelinesUrl"
         Value = ""
      }
   )
}
```

Aktualisieren Sie den Wert mithilfe des Cmdlets Update-MgBetaDirectorySetting:

Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params

Vorlageneinstellungen

Folgende Einstellungen sind im SettingsTemplate-Objekt „Group.Unified“ definiert. Sofern nicht anders angegeben, erfordern diese Features eine Microsoft Entra-ID P1-Lizenz.

Einstellung	Beschreibung
EnableGroupCreation Typ: Boolean Standardwert: True	Das Flag, das angibt, ob die Erstellung von Microsoft 365-Gruppen im Verzeichnis durch Benutzer ohne Administratorrechte zulässig ist. Für diese Einstellung ist keine Microsoft Entra ID P1-Lizenz erforderlich.
GroupCreationAllowedGroupId Typ: String Standardeinstellung: ""	GUID der Sicherheitsgruppe, deren Mitgliedern das Erstellen von Microsoft 365-Gruppen auch dann erlaubt ist, wenn der EnableGroupCreation-Wert „false“ lautet.
UsageGuidelinesUrl Typ: String Standardeinstellung: ""	Ein Link zu den Nutzungsrichtlinien für die Gruppe.
ClassificationDescriptions Typ: String Standardeinstellung: ""	Eine durch Trennzeichen getrennte Liste mit Klassifizierungsbeschreibungen. Der Wert von ClassificationDescriptions ist nur in folgendem Format gültig: $setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description" wobei Classification mit einem Eintrag in ClassificationList übereinstimmt. Diese Einstellung gilt nicht, wenn der EnableMIPLabels-Wert „True“ lautet. Das Zeichenlimit für die ClassificationDescriptions-Eigenschaft beträgt 300, und Kommas können nicht mit Escapezeichen versehen werden.
DefaultClassification Typ: String Standardeinstellung: ""	Die Klassifizierung, die als Standardklassifizierung einer Gruppe verwendet werden soll, falls keine angegeben wurde. Diese Einstellung gilt nicht, wenn der EnableMIPLabels-Wert „True“ lautet.
PrefixSuffixNamingRequirement Typ: String Standardeinstellung: ""	Zeichenfolge mit einer maximalen Länge von 64 Zeichen, mit der die für Microsoft 365-Gruppen konfigurierte Namenskonvention definiert wird. Weitere Informationen finden Sie unter Erzwingen einer Benennungsrichtlinie für Microsoft 365-Gruppen.
CustomBlockedWordsList Typ: String Standardeinstellung: ""	Eine durch Trennzeichen getrennte Zeichenfolge mit Ausdrücken, deren Verwendung in Gruppennamen oder -aliasen nicht gestattet ist. Weitere Informationen finden Sie unter Erzwingen einer Benennungsrichtlinie für Microsoft 365-Gruppen.
EnableMSStandardBlockedWords Typ: Boolean Standardwert: „False“	Veraltet. Nicht verwenden.
AllowGuestsToBeGroupOwner Typ: Boolean Standardwert: False	Boolescher Wert, der angibt, ob ein Gastbenutzer Besitzer von Gruppen sein kann.
AllowGuestsToAccessGroups Typ: Boolean Standardwert: True	Boolescher Wert, der angibt, ob ein Gastbenutzer Zugriff auf die Inhalte von Microsoft 365-Gruppen hat. Für diese Einstellung ist keine Microsoft Entra ID P1-Lizenz erforderlich.
GuestUsageGuidelinesUrl Typ: String Standardeinstellung: ""	Die URL eines Links zu den Richtlinien für die Nutzung des Gastzugangs
AllowToAddGuests Typ: Boolean Standardwert: True	Ein boolescher Wert, der angibt, ob das Hinzufügen von Gästen zu diesem Verzeichnis erlaubt ist. Diese Einstellung kann außer Kraft gesetzt und schreibgeschützt werden, wenn EnableMIPLabels auf True festgelegt ist und der der Gruppe zugeordneten Vertraulichkeitsbezeichnung eine Gastrichtlinie zugeordnet ist. Wenn die Einstellung AllowToAddGuests auf Organisationsebene auf FALSE festgelegt ist, wird jede AllowToAddGuest-Einstellung auf Gruppenebene ignoriert. Wenn Sie den Gastzugriff nur für einige wenige Gruppen aktivieren möchten, müssen Sie AllowToAddGuests auf Organisationsebene auf TRUE festlegen und dann für bestimmte Gruppen selektiv deaktivieren.
ClassificationList Typ: String Standardeinstellung: ""	Eine durch Trennzeichen getrennte Liste der gültigen Klassifizierungswerte, die auf Microsoft 365-Gruppen angewendet werden können. Diese Einstellung gilt nicht, wenn der EnableMIPLabels-Wert „True“ lautet.
EnableMIPLabels Typ: Boolean Standardwert: „False“	Das Flag, das angibt, ob die im Microsoft Purview-Complianceportal veröffentlichten Vertraulichkeitsbezeichnungen auf Microsoft 365-Gruppen angewendet werden können. Weitere Informationen finden Sie unter Zuweisen von Vertraulichkeitsbezeichnungen für Microsoft 365-Gruppen.
NewUnifiedGroupWritebackDefault Typ: Boolean Standard: TRUE	Das Flag, mit dem ein Administrator neue Microsoft 365-Gruppen erstellen kann, ohne den Ressourcentyp „groupWritebackConfiguration“ in den Anforderungsnutzdaten festzulegen. Diese Einstellung gilt, wenn Gruppenrückschreiben in Microsoft Entra Connect konfiguriert ist. „NewUnifiedGroupWritebackDefault“ ist eine globale Microsoft 365-Gruppeneinstellung. Der Standardwert ist true. Durch Aktualisieren des Einstellungswerts auf FALSE ändert sich das Standardrückschreibungsverhalten für neu erstellte Microsoft 365-Gruppen. Der Wert der Eigenschaft „isEnabled“ ändert sich für vorhandene Microsoft 365-Gruppen hingegen nicht. Der Gruppenadministrator muss den Wert der Eigenschaft „isEnabled“ der Gruppe explizit aktualisieren, um den Rückschreibungsstatus für vorhandene Microsoft 365-Gruppen zu ändern.

Beispiel: Konfigurieren einer Gastrichtlinie für Gruppen auf Verzeichnisebene

Rufen Sie alle Einstellungsvorlagen ab:
```
Get-MgBetaDirectorySettingTemplate
```

Um die Gastrichtlinie für Gruppen auf Verzeichnisebene festzulegen, benötigen Sie die Vorlage „Group.Unified“.

$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ

Legen Sie einen Wert für „AllowToAddGuests“ für die angegebene Vorlage fest:

$params = @{
   templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "False"
      }
   )
}

Erstellen Sie als Nächstes ein neues Einstellungsobjekt mithilfe des Cmdlets New-MgBetaDirectorySetting:
```
$Setting = New-MgBetaDirectorySetting -BodyParameter $params
```
Sie können die Werte lesen mithilfe von:
```
$Setting.Values
```

Lesen von Einstellungen auf Verzeichnisebene

Wenn Sie den Namen der Einstellung kennen, die Sie abrufen möchten, können Sie das untenstehende Cmdlet verwenden, um den aktuellen Einstellungswert abzurufen. In diesem Beispiel rufen wir den Wert für eine Einstellung namens „UsageGuidelinesUrl“ ab.

(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ

Mit diesen Schritten werden auf Verzeichnisebene Einstellungen gelesen, die für alle Office-Gruppen im Verzeichnis gelten.

Lesen aller vorhandenen Verzeichniseinstellungen:

Get-MgBetaDirectorySetting -All

Dieses Cmdlet gibt eine Liste aller Verzeichniseinstellungen zurück:

Id                                   DisplayName   TemplateId                           Values
--                                   -----------   ----------                           ------
c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...

Lesen aller Einstellungen für eine bestimmte Gruppe:

Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"

Lesen aller Werte von Verzeichniseinstellungen für ein bestimmtes Verzeichniseinstellungsobjekt mithilfe der Einstellungs-ID „GUID“:

(Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values

Dieses Cmdlet gibt die Namen und Werte in diesem Einstellungsobjekt für diese spezielle Gruppe zurück:

Name                          Value
----                          -----
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
CustomBlockedWordsList        
AllowGuestsToBeGroupOwner     False 
AllowGuestsToAccessGroups     True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests              True
UsageGuidelinesUrl            https://guideline.example.com
ClassificationList
EnableGroupCreation           True

Entfernen von Einstellungen auf Verzeichnisebene

Mit diesen Schritten werden auf Verzeichnisebene Einstellungen entfernt, die für alle Office-Gruppen im Verzeichnis gelten.

Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"

Erstellen von Einstellungen für eine bestimmte Gruppe

Rufen Sie die Einstellungsvorlagen ab.
```
Get-MgBetaDirectorySettingTemplate
```

Suchen Sie in den Ergebnissen die Einstellungsvorlage mit dem Namen „Groups.Unified.Guest“.

Id                                   DisplayName            Description
--                                   -----------            -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...

Abrufen des Vorlagenobjekts für die Vorlage „Groups.Unified.Guest“:

$Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ

Rufen Sie die ID der Gruppe ab, auf die Sie diese Einstellung anwenden möchten:
```
$GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
```

Erstellen Sie die neue Einstellung:

$params = @{
   templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9"
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "False"
      }
   )
}

Erstellen Sie die Gruppeneinstellung:

New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params

Um die Einstellungen zu überprüfen, führen Sie diesen Befehl aus:
```
Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
```

Aktualisieren von Einstellungen für eine bestimmte Gruppe

Rufen Sie die ID der Gruppe ab, deren Einstellung Sie aktualisieren möchten:
```
$groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
```

Rufen Sie die Einstellung der Gruppe ab:

$Setting = Get-MgBetaGroupSetting -GroupId $GroupId

Aktualisieren Sie die Einstellung der Gruppe nach Bedarf:

$params = @{
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "True"
      }
   )
}

Anschließend können Sie den neuen Wert für diese Einstellung festlegen:

Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params

Sie können den Wert der Einstellung lesen, um sicherzustellen, dass er ordnungsgemäß aktualisiert wurde:
```
Get-MgBetaGroupSetting -GroupId $GroupId  | FL Values
```

Referenz der Cmdletsyntax

Weitere Informationen zu Microsoft Graph PowerShell finden Sie unter Microsoft Entra-Cmdlets.

Verwalten von Gruppeneinstellungen mithilfe von Microsoft Graph

Informationen zum Konfigurieren und Verwalten von Gruppeneinstellungen mithilfe von Microsoft Graph finden Sie unter groupSettingRessourcentyp und den zugehörigen Methoden.