Microsoft Entra applets de commande pour la configuration des paramètres de groupe

Article
02/28/2024

Cet article contient des instructions concernant l’utilisation des applets de commande PowerShell, qui fait partie de Microsoft Entra, pour créer et mettre à jour des groupes Microsoft Entra ID. Ce contenu s’applique uniquement aux groupes Microsoft 365 (parfois appelés groupes unifiés).

Important

Certains paramètres nécessitent une licence P1 de Microsoft Entra ID. Pour plus d’informations, consultez le tableau Paramètres de modèle.

Pour plus d’informations sur la manière d’empêcher les utilisateurs non administrateurs de créer des groupes de sécurité, définissez la AllowedToCreateSecurityGroupspropriété sur False comme décrit dans Update-MgPolicyAuthorizationPolicy.

Les paramètres des groupes Microsoft 365 sont configurés à l’aide d’un objet Settings et d’un objet SettingsTemplate. Au départ, vous ne voyez aucun objet Paramètres dans votre répertoire, car votre répertoire est configuré avec les paramètres par défaut. Pour changer les paramètres par défaut, vous devez créer un objet de paramètres en utilisant un modèle de paramètres. Les modèles de paramètres sont définis par Microsoft. Il existe différents modèles de paramètres. Pour configurer les paramètres du groupe Microsoft 365 pour votre répertoire, vous utilisez le modèle nommé « Group.Unified ». Pour configurer les paramètres du groupe Microsoft 365 sur un seul groupe, utilisez le modèle nommé « Group.Unified.Guest ». Ce modèle est utilisé pour gérer l’accès invité à un groupe Microsoft 365.

Les cmdlets font partie du module Microsoft Graph PowerShell. Pour savoir comment télécharger et installer le module sur votre ordinateur, voir Installer le Microsoft Graph PowerShell SDK.

Important

La dépréciation d’Azure AD PowerShell est prévue pour le 30 mars 2024. Pour en savoir plus, lisez la mise à jour de dépréciation. Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Microsoft Graph PowerShell permet d’accéder à toutes les API Microsoft Graph et est disponible sur PowerShell 7. Pour obtenir des réponses aux demandes courantes sur la migration, consultez la FAQ sur la migration.

Remarque

Une fois les paramètres en place pour limiter l’ajout d’invités aux groupes Microsoft 365, les administrateurs pourront toujours ajouter des utilisateurs invités aux groupes Microsoft 365. Ce paramètre empêchera les utilisateurs non administrateurs d’ajouter des utilisateurs invités aux groupes Microsoft 365.

Installer les applets de commande PowerShell

Installez les cmdlets Microsoft Graph, comme décrit dans Installer le Kit de développement logiciel (SDK) Microsoft Graph PowerShell.

Ouvrez l’application Windows PowerShell en tant qu’administrateur.

Installez les cmdlets Microsoft Graph.

Install-Module Microsoft.Graph -Scope AllUsers

Installez les cmdlets bêta Microsoft Graph.

Install-Module Microsoft.Graph.Beta -Scope AllUsers

Créer des paramètres au niveau du répertoire

Les étapes ci-après permettent de créer des paramètres au niveau du répertoire qui s’appliquent à tous les groupes Microsoft 365 du répertoire.

Dans les applets de commande DirectorySettings, vous devez spécifier l’ID du modèle SettingsTemplate que vous voulez utiliser. Si vous ne connaissez pas cet identifiant, cette cmdlet renvoie la liste de tous les modèles de paramètres :

Get-MgBetaDirectorySettingTemplate

Cet appel d’applet de commande retourne tous les modèles disponibles :

Id                                   DisplayName         Description
--                                   -----------         -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...

Pour ajouter une URL d’instructions d’utilisation, vous devez d’abord obtenir l’objet SettingsTemplate qui définit la valeur de l’URL d’instructions d’utilisation ; autrement dit, le modèle Group.Unified :
```
$TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
```
Créer un objet contenant les valeurs à utiliser pour le paramètre du répertoire. Ces valeurs modifient la valeur du guide d’utilisation et activent les étiquettes de confidentialité. Définissez ces paramètres ou tout autre paramètre dans le modèle en fonction des besoins :
```
$params = @{
   templateId = "$TemplateId"
   values = @(
      @{
         name = "UsageGuidelinesUrl"
         value = "https://guideline.example.com"
      }
      @{
         name = "EnableMIPLabels"
         value = "True"
      }
   )
}
```
Créez le paramètre de répertoire à l’aide du New-MgBetaDirectorySetting :
```
New-MgBetaDirectorySetting -BodyParameter $params
```

Vous pouvez lire les valeurs en utilisant les commandes suivantes :

$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
$Setting.Values

Mettre à jour des paramètres au niveau du répertoire

Pour mettre à jour la valeur de UsageGuideLinesUrl dans le modèle de paramètre, lisez les paramètres actuels de Microsoft Entra ID. Dans le cas contraire, il se pourrait que nous remplacions les paramètres existants autres que UsageGuideLinesUrl.

Obtenez les paramètres actuels à partir de Group.Unified SettingsTemplate :

$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}

Vérifiez les paramètres actuels :

$Setting.Values

Cette commande retourne les valeurs suivantes :

Name                            Value
----                            -----
EnableMIPLabels                 True
CustomBlockedWordsList
EnableMSStandardBlockedWords    False
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
AllowGuestsToBeGroupOwner       False
AllowGuestsToAccessGroups       True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests                True
UsageGuidelinesUrl              https://guideline.example.com
ClassificationList
EnableGroupCreation             True
NewUnifiedGroupWritebackDefault True

Pour supprimer la valeur de UsageGuideLinesUrl, modifiez l’URL pour en faire une chaîne vide :

$params = @{
   Values = @(
      @{
         Name = "UsageGuidelinesUrl"
         Value = ""
      }
   )
}

Mettez à jour la valeur en utilisant la cmdlet Update-MgBetaDirectorySetting :

Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params

Paramètres de modèle

Voici les paramètres définis dans l’objet SettingsTemplate Group.Unified. Sauf indication contraire, ces fonctionnalités nécessitent une licence P1 de Microsoft Entra ID.

Paramètre	Description
EnableGroupCreation Tapez : Boolean Valeur par défaut : True	Indicateur spécifiant si la création de groupes Microsoft 365 est autorisée dans le répertoire par les utilisateurs non-administrateurs. Ce paramètre ne nécessite pas de licence P1 de Microsoft Entra ID.
GroupCreationAllowedGroupId Tapez : String Par défaut : ""	GUID du groupe de sécurité pour lequel les membres sont autorisés à créer des groupes Microsoft 365 même lorsque EnableGroupCreation == false.
UsageGuidelinesUrl Tapez : String Par défaut : ""	Lien vers les instructions d’utilisation du groupe.
ClassificationDescriptions Tapez : String Par défaut : ""	Liste séparée par des virgules des descriptions de classification. La valeur de ClassificationDescriptions est uniquement valide au format suivant : $setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description" où Classification correspond à une entrée dans ClassificationList. Ce paramètre ne s’applique pas lorsque EnableMIPLabels == True. Pour la propriété ClassificationDescriptions, le nombre de caractères est limité à 300, et les virgules ne peuvent pas être placées dans une séquence d’échappement.
DefaultClassification Tapez : String Par défaut : ""	Classification qui doit être utilisée en tant que classement par défaut pour un groupe si aucune classification n’a été spécifiée. Ce paramètre ne s’applique pas lorsque EnableMIPLabels == True.
PrefixSuffixNamingRequirement Tapez : String Par défaut : ""	Chaîne d’une longueur maximale de 64 caractères qui définit la convention d’affectation de noms configurée pour les groupes Microsoft 365. Pour plus d’informations, consultez Appliquer une stratégie d’affectation de noms pour les groupes Microsoft 365.
CustomBlockedWordsList Tapez : String Par défaut : ""	Chaîne d’expressions séparées par des virgules que les utilisateurs ne seront pas autorisés à employer dans les noms ou alias de groupe. Pour plus d’informations, consultez Appliquer une stratégie d’affectation de noms pour les groupes Microsoft 365.
EnableMSStandardBlockedWords Tapez : Boolean Valeur par défaut : « False » (faux)	Obsolète. Ne pas utiliser.
AllowGuestsToBeGroupOwner Tapez : Boolean Valeur par défaut : False	Valeur booléenne indiquant si un utilisateur invité peut être ou non un propriétaire de groupes.
AllowGuestsToAccessGroups Tapez : Boolean Valeur par défaut : True	Valeur booléenne indiquant si un utilisateur invité peut avoir ou non accès au contenu des groupes Microsoft 365. Ce paramètre ne nécessite pas de licence P1 de Microsoft Entra ID.
GuestUsageGuidelinesUrl Tapez : String Par défaut : ""	URL d’un lien vers les instructions d’utilisation de l’invité.
AllowToAddGuests Tapez : Boolean Valeur par défaut : True	Une valeur booléenne indiquant si l’utilisateur est autorisé ou non à ajouter des invités à ce répertoire. Ce paramètre peut être remplacé et devenir en lecture seule si EnableMIPLabels est défini sur True et qu’une stratégie invité est associée à l’étiquette de sensibilité attribuée au groupe. Si le paramètre AllowToAddGuests a la valeur False au niveau de l’organisation, tout paramètre AllowToAddGuests au niveau du groupe est ignoré. Si vous ne souhaitez activer l’accès invité que pour quelques groupes, vous devez définir AllowToAddGuests sur True au niveau de l’organisation, puis le désactiver de manière sélective pour des groupes spécifiques.
ClassificationList Tapez : String Par défaut : ""	Liste de valeurs de classification valides séparées par des virgules qui peuvent être appliquées à des groupes Microsoft 365. Ce paramètre ne s’applique pas lorsque EnableMIPLabels == True.
EnableMIPLabels Tapez : Boolean Valeur par défaut : « False » (faux)	Indicateur spécifiant si les étiquettes de confidentialité publiées dans le portail de conformité Microsoft Purview peuvent être appliquées aux groupes Microsoft 365. Pour plus d’informations, consultez Attribuer des étiquettes de confidentialité pour les groupes Microsoft 365.
NewUnifiedGroupWritebackDefault Tapez : Boolean Par défaut : « True »	Indicateur qui permet à un administrateur de créer de nouveaux groupes Microsoft 365 sans définir le type de ressource groupWritebackConfiguration dans la charge utile de la demande. Ce paramètre est applicable quand l’écriture différée de groupe est configurée dans Microsoft Entra Connect. « NewUnifiedGroupWritebackDefault » est un paramètre de groupe global de Microsoft 365. La valeur par défaut est true. La mise à jour de la valeur de paramètre sur false modifie le comportement d’écriture différée par défaut pour les groupes Microsoft 365 nouvellement créés et ne change pas la valeur de propriété isEnabled pour les groupes Microsoft 365 existants. L’administrateur de groupe doit mettre à jour explicitement la valeur de la propriété isEnabled du groupe pour modifier l’état d’écriture différée pour les groupes Microsoft 365 existants.

Exemple : Configurer une stratégie d’invité pour les groupes au niveau de l’annuaire

Obtenez tous les modèles de paramètre :
```
Get-MgBetaDirectorySettingTemplate
```
Pour définir la stratégie d’invité pour les groupes au niveau de l’annuaire, vous avez besoin du modèle Group.Unified.
```
$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ
```

Définissez une valeur pour AllowToAddGuests pour le modèle spécifié :

$params = @{
   templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "False"
      }
   )
}

Ensuite, créez un objet de paramètres à l’aide de l’applet de commande New-MgBetaDirectorySetting :
```
$Setting = New-MgBetaDirectorySetting -BodyParameter $params
```
Vous pouvez lire les valeurs en utilisant ceci :
```
$Setting.Values
```

Lire les paramètres au niveau du répertoire

Si vous connaissez le nom du paramètre à récupérer, vous pouvez utiliser l’applet de commande ci-dessous pour récupérer la valeur des paramètres actuelle. Dans cet exemple, nous récupérons la valeur d’un paramètre nommé « UsageGuidelinesUrl ».

(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ

Les étapes suivantes permettent de lire les paramètres au niveau du répertoire qui s’appliquent à tous les groupes Office du répertoire.

Lisez tous les paramètres du répertoire existant :

Get-MgBetaDirectorySetting -All

Cette applet de commande retourne une liste de tous les paramètres du répertoire :

Id                                   DisplayName   TemplateId                           Values
--                                   -----------   ----------                           ------
c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...

Lisez tous les paramètres d’un groupe spécifique :

Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"

Lisez toutes les valeurs de paramètres d’annuaire d’un objet de paramètres d’annuaire spécifique, en utilisant le GUID de l’ID de paramètres :

(Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values

Cette applet de commande retourne les noms et les valeurs dans cet objet de paramètres pour ce groupe spécifique :

Name                          Value
----                          -----
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
CustomBlockedWordsList        
AllowGuestsToBeGroupOwner     False 
AllowGuestsToAccessGroups     True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests              True
UsageGuidelinesUrl            https://guideline.example.com
ClassificationList
EnableGroupCreation           True

Supprimer des paramètres au niveau du répertoire

Les étapes suivantes permettent de supprimer les paramètres au niveau du répertoire qui s’appliquent à tous les groupes Office du répertoire.

Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"

Créer des paramètres pour un groupe spécifique

Obtenez des modèles de paramètres.
```
Get-MgBetaDirectorySettingTemplate
```

Dans les résultats, trouvez le modèle de paramètres nommé « Groups.Unified.Guest » :

Id                                   DisplayName            Description
--                                   -----------            -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...

Récupérez l’objet de modèle pour le modèle Groups.Unified.Guest :

$Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ

Obtenez l’ID du groupe auquel vous souhaitez appliquer ce paramètre :
```
$GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
```

Créez le nouveau paramètre :

$params = @{
   templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9"
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "False"
      }
   )
}

Créez le paramètre du groupe :

New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params

Pour vérifier les paramètres, exécutez cette commande :
```
Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
```

Mettre à jour les paramètres d’un groupe spécifique

Obtenez l’ID du groupe dont vous voulez mettre à jour le paramètre :
```
$groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
```

Récupérez le paramètre du groupe :

$Setting = Get-MgBetaGroupSetting -GroupId $GroupId

Mettez à jour le paramètre du groupe dont vous avez besoin :

$params = @{
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "True"
      }
   )
}

Vous pouvez ensuite définir la nouvelle valeur de ce paramètre :

Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params

Vous pouvez lire la valeur du paramètre pour vérifier qu’elle a bien été mise à jour :
```
Get-MgBetaGroupSetting -GroupId $GroupId  | FL Values
```

Informations de référence sur la syntaxe des applets de commande

Vous trouverez plus d’informations sur la documentation Microsoft Graph PowerShell dans la page dédiée aux cmdlets Microsoft Entra.

Gérer les paramètres de groupe à l’aide de Microsoft Graph

Pour configurer et gérer les paramètres de groupe à l’aide de Microsoft Graph, consultez le type de ressource groupSetting et ses méthodes associées.