Microsoft Entra applets de commande pour la configuration des paramètres de groupe

Cet article contient des instructions concernant l’utilisation des applets de commande PowerShell, qui fait partie de Microsoft Entra, pour créer et mettre à jour des groupes Microsoft Entra ID. Ce contenu s’applique uniquement aux groupes Microsoft 365.

Important

Certains paramètres nécessitent une licence P1 de Microsoft Entra ID. Pour plus d’informations, consultez le tableau Paramètres de modèle.

Pour plus d’informations sur la façon d’empêcher les utilisateurs non administrateurs de créer des groupes de sécurité, définissez la AllowedToCreateSecurityGroups propriété sur False, comme décrit dans Update-MgPolicyAuthorizationPolicy.

Les paramètres des groupes Microsoft 365 sont configurés à l’aide d’un objet Settings et d’un objet SettingsTemplate. Au départ, vous ne voyez aucun objet Paramètres dans votre répertoire, car votre répertoire est configuré avec les paramètres par défaut. Pour changer les paramètres par défaut, vous devez créer un objet de paramètres en utilisant un modèle de paramètres. Microsoft fournit plusieurs modèles de paramètres. Pour configurer les paramètres du groupe Microsoft 365 pour votre répertoire, vous utilisez le modèle nommé « Group.Unified ». Pour configurer les paramètres de groupe Microsoft 365 sur un seul groupe, utilisez le modèle nommé « Group.Unified.Guest Ce modèle est utilisé pour gérer l’accès invité à un groupe Microsoft 365.

Les applets de commande font partie du module Microsoft Graph PowerShell . Pour obtenir des instructions sur le téléchargement et l’installation du module sur votre ordinateur, consultez Installer le Kit de développement logiciel (SDK) Microsoft Graph PowerShell.

Remarque

Même si les restrictions sont activées pour empêcher l’ajout d’invités à des groupes Microsoft 365, les administrateurs peuvent toujours ajouter des utilisateurs invités. La restriction s’applique uniquement aux utilisateurs non administrateurs.

Installer les applets de commande PowerShell

Installez les cmdlets Microsoft Graph, comme décrit dans Installer le Kit de développement logiciel (SDK) Microsoft Graph PowerShell.

1. Ouvrez l’application Windows PowerShell en tant qu’administrateur.

2. Installez les cmdlets Microsoft Graph.

   Install-Module Microsoft.Graph -Scope AllUsers
   

3. Installez les cmdlets bêta Microsoft Graph.

   Install-Module Microsoft.Graph.Beta -Scope AllUsers
   

Créer des paramètres au niveau du répertoire

Les étapes ci-après permettent de créer des paramètres au niveau du répertoire qui s’appliquent à tous les groupes Microsoft 365 du répertoire.

1. Dans les applets de commande DirectorySettings, vous devez spécifier l’ID du modèle SettingsTemplate que vous voulez utiliser. Si vous ne connaissez pas cet ID, cette applet de commande retourne la liste de tous les modèles de paramètres :

   Get-MgBetaDirectorySettingTemplate
   

   Cet appel d’applet de commande retourne tous les modèles disponibles :

   Id                                   DisplayName         Description
   --                                   -----------         -----------
   62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
   08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
   16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
   4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
   898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
   5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...
   

2. Pour ajouter une URL d’instructions d’utilisation, vous devez d’abord obtenir l’objet SettingsTemplate qui définit la valeur de l’URL des instructions d’utilisation ; c’est-à-dire le groupe. Modèle unifié :

   $TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
   $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
   

3. Créez un objet qui contient des valeurs à utiliser pour le paramètre de répertoire. Ces valeurs modifient la valeur des instructions d’utilisation et activent les étiquettes de confidentialité. Définissez ces paramètres ou tout autre paramètre dans le modèle en fonction des besoins :

   $params = @{
      templateId = "$TemplateId"
      values = @(
         @{
            name = "UsageGuidelinesUrl"
            value = "https://guideline.example.com"
         }
         @{
            name = "EnableMIPLabels"
            value = "True"
         }
      )
   }
   

4. Créez le paramètre de répertoire à l’aide de New-MgBetaDirectorySetting :

   New-MgBetaDirectorySetting -BodyParameter $params
   

5. Vous pouvez lire les valeurs à l’aide des commandes suivantes :

   $Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
   $Setting.Values
   

Mettre à jour des paramètres au niveau du répertoire

Pour mettre à jour la valeur de UsageGuideLinesUrl dans le modèle de paramètre, lisez les paramètres actuels de Microsoft Entra ID. Dans le cas contraire, il se pourrait que nous remplacions les paramètres existants autres que UsageGuideLinesUrl.

1. Obtenez les paramètres actuels à partir de Group.Unified SettingsTemplate :

   $Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
   

2. Vérifiez les paramètres actuels :

   $Setting.Values
   

   Cette commande retourne les valeurs suivantes :

   Name                            Value
   ----                            -----
   EnableMIPLabels                 True
   CustomBlockedWordsList
   EnableMSStandardBlockedWords    False
   ClassificationDescriptions
   DefaultClassification
   PrefixSuffixNamingRequirement
   AllowGuestsToBeGroupOwner       False
   AllowGuestsToAccessGroups       True
   GuestUsageGuidelinesUrl
   GroupCreationAllowedGroupId
   AllowToAddGuests                True
   UsageGuidelinesUrl              https://guideline.example.com
   ClassificationList
   EnableGroupCreation             True
   NewUnifiedGroupWritebackDefault True
   

3. Pour supprimer la valeur de UsageGuideLinesUrl, modifiez l’URL pour en faire une chaîne vide :

   $params = @{
      Values = @(
         @{
            Name = "UsageGuidelinesUrl"
            Value = ""
         }
      )
   }
   

4. Mettez à jour la valeur à l’aide de l’applet de commande Update-MgBetaDirectorySetting :

   Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params
   

Paramètres de modèle

Voici les paramètres définis dans le Group.Unified SettingsTemplate. Sauf indication contraire, ces fonctionnalités nécessitent une licence Microsoft Entra ID P1.

Paramètre	Description
EnableGroupCreation Entrez : Boolean Valeur par défaut : True	Cet indicateur indique si les utilisateurs non administrateurs peuvent créer des groupes Microsoft 365 dans l’annuaire. Ce paramètre ne nécessite pas de licence Microsoft Entra ID P1.
GroupCreationAllowedGroupId Entrez : String Valeur par défaut : ""	GUID du groupe de sécurité pour lequel les membres sont autorisés à créer des groupes Microsoft 365 même lorsque EnableGroupCreation == false.
UsageGuidelinesUrl Entrez : String Valeur par défaut : ""	Lien vers les instructions d’utilisation du groupe.
ClassificationDescriptions Entrez : String Valeur par défaut : ""	Liste de descriptions de classification délimitées par des virgules. La valeur de ClassificationDescriptions n’est valide que dans ce format : $setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description" où Classification correspond à une entrée dans ClassificationList. Ce paramètre ne s’applique pas quand EnableMIPLabels == True. La limite de caractères pour la propriété ClassificationDescriptions est 300 et les virgules ne peuvent pas être échappées.
ClassificationParDéfaut Entrez : String Valeur par défaut : ""	Classification qui doit être utilisée en tant que classement par défaut pour un groupe si aucune classification n’a été spécifiée. Ce paramètre ne s’applique pas quand EnableMIPLabels == True.
PrefixSuffixNamingRequirement Entrez : String Valeur par défaut : ""	Chaîne d’une longueur maximale de 64 caractères qui définit la convention d’affectation de noms configurée pour les groupes Microsoft 365. Pour plus d’informations, consultez Appliquer une stratégie de nommage pour les groupes Microsoft 365.
ListeDeMotsBloquésPersonnalisée Entrez : String Valeur par défaut : ""	Chaîne séparée par des virgules d’expressions que les utilisateurs ne sont pas autorisés à utiliser dans les noms de groupe ou les alias. Pour plus d’informations, consultez Appliquer une stratégie de nommage pour les groupes Microsoft 365.
EnableMSStandardBlockedWords Entrez : Boolean Valeur par défaut : False	Obsolète. N’utilisez pas.
PermettreAuxInvitésD'êtrePropriétaireDuGroupe Entrez : Boolean Valeur par défaut : False	Valeur booléenne indiquant si un utilisateur invité peut être ou non un propriétaire de groupes.
PermettreAuxInvitésD'accéderAuxGroupes Entrez : Boolean Valeur par défaut : True	Valeur booléenne indiquant si un utilisateur invité peut avoir ou non accès au contenu des groupes Microsoft 365. Ce paramètre ne nécessite pas de licence Microsoft Entra ID P1.
URLdesdirectivesd'utilisationpourlesinvités Entrez : String Valeur par défaut : ""	URL d’un lien vers les instructions d’utilisation des invités.
AllowToAddGuests Entrez : Boolean Valeur par défaut : True	Valeur booléenne indiquant si elle est autorisée ou non à ajouter des invités à ce répertoire. Ce paramètre peut être remplacé et devenir en lecture seule s'il EnableMIPLabels est défini sur True et si une politique d'invité est associée à l’étiquette de confidentialité affectée au groupe. Si le AllowToAddGuests paramètre est défini sur False au niveau de l’organisation, tout AllowToAddGuests paramètre au niveau du groupe est ignoré. Si vous souhaitez activer l’accès invité pour seulement quelques groupes, vous devez définir AllowToAddGuests la valeur true au niveau de l’organisation, puis le désactiver de manière sélective pour des groupes spécifiques.
ClassificationList Entrez : String Valeur par défaut : ""	Liste de valeurs de classification valides séparées par des virgules qui peuvent être appliquées à des groupes Microsoft 365. Ce paramètre ne s’applique pas quand EnableMIPLabels == True.
EnableMIPLabels Entrez : Boolean Valeur par défaut : False	Indicateur indiquant si les étiquettes de confidentialité publiées dans le portail Microsoft Purview peuvent être appliquées aux groupes Microsoft 365. Pour plus d’informations, consultez Attribuer des étiquettes de confidentialité pour les groupes Microsoft 365.
NewUnifiedGroupWritebackDefault Entrez : Boolean Valeur par défaut : True	Indicateur qui permet à un administrateur de créer de nouveaux groupes Microsoft 365 sans définir le type de ressource groupWritebackConfiguration dans la charge utile de la demande. Ce paramètre s’applique lorsque l’écriture différée de groupe est configurée dans Microsoft Entra Connect. NewUnifiedGroupWritebackDefault est un paramètre de groupe Microsoft 365 global. La valeur par défaut est true. La mise à jour de la valeur de paramètre sur false modifie le comportement d’écriture différée par défaut pour les groupes Microsoft 365 nouvellement créés et ne modifie pas la valeur de propriété isEnabled pour les groupes Microsoft 365 existants. L’administrateur de groupe doit explicitement mettre à jour la valeur de la propriété isEnabled pour modifier l'état de réécriture des groupes Microsoft 365 existants.

Exemple : Configurer une stratégie d’invité pour les groupes au niveau de l’annuaire

1. Obtenez tous les modèles de paramètre :

   Get-MgBetaDirectorySettingTemplate
   

2. Pour définir la stratégie d’invité pour les groupes au niveau du répertoire, vous avez besoin du modèle Group.Unified.

   $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ
   

3. Définissez une valeur pour AllowToAddGuests pour le modèle spécifié :

   $params = @{
      templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
      values = @(
         @{
            name = "AllowToAddGuests"
            value = "False"
         }
      )
   }
   

4. Ensuite, créez un objet de paramètres à l’aide de l’applet de commande New-MgBetaDirectorySetting :

   $Setting = New-MgBetaDirectorySetting -BodyParameter $params
   

5. Vous pouvez lire les valeurs en utilisant ceci :

   $Setting.Values
   

Lire les paramètres au niveau du répertoire

Si vous connaissez le nom du paramètre à récupérer, vous pouvez utiliser l’applet de commande ci-dessous pour récupérer la valeur des paramètres actuelle. Dans cet exemple, nous récupérons la valeur d’un paramètre nommé UsageGuidelinesUrl.

(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ

Les étapes suivantes permettent de lire les paramètres au niveau du répertoire qui s’appliquent à tous les groupes Office du répertoire.

1. Lisez tous les paramètres du répertoire existant :

   Get-MgBetaDirectorySetting -All
   

   Cette applet de commande retourne une liste de tous les paramètres du répertoire :

   Id                                   DisplayName   TemplateId                           Values
   --                                   -----------   ----------                           ------
   c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...
   

2. Lisez tous les paramètres d’un groupe spécifique :

   Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"
   

3. Lisez toutes les valeurs de paramètres d’annuaire d’un objet de paramètres d’annuaire spécifique, en utilisant le GUID de l’ID de paramètres :

   (Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values
   

   Cette applet de commande retourne les noms et les valeurs dans cet objet de paramètres pour ce groupe spécifique :

   Name                          Value
   ----                          -----
   ClassificationDescriptions
   DefaultClassification
   PrefixSuffixNamingRequirement
   CustomBlockedWordsList        
   AllowGuestsToBeGroupOwner     False 
   AllowGuestsToAccessGroups     True
   GuestUsageGuidelinesUrl
   GroupCreationAllowedGroupId
   AllowToAddGuests              True
   UsageGuidelinesUrl            https://guideline.example.com
   ClassificationList
   EnableGroupCreation           True
   

Supprimer des paramètres au niveau du répertoire

Les étapes suivantes permettent de supprimer les paramètres au niveau du répertoire qui s’appliquent à tous les groupes Office du répertoire.

Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"

Créer des paramètres pour un groupe spécifique

1. Obtenez les modèles de paramètres.

   Get-MgBetaDirectorySettingTemplate
   

2. Dans les résultats, recherchez le modèle de paramètres nommé « Groups.Unified.Guest » :

   Id                                   DisplayName            Description
   --                                   -----------            -----------
   62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
   08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
   4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
   898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
   5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...
   

3. Récupérez l’objet de modèle pour le modèle Groups.Unified.Guest :

   $Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ
   

4. Obtenez l’ID du groupe auquel vous souhaitez appliquer ce paramètre :

   $GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
   

5. Créez le nouveau paramètre :

   $params = @{
      templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9"
      values = @(
         @{
            name = "AllowToAddGuests"
            value = "False"
         }
      )
   }
   

6. Créez le paramètre de groupe :

   New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params
   

7. Pour vérifier les paramètres, exécutez cette commande :

   Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
   

Mettre à jour les paramètres d’un groupe spécifique

1. Obtenez l’ID du groupe dont vous souhaitez mettre à jour le paramètre :

   $groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
   

2. Récupérez le paramètre du groupe :

   $Setting = Get-MgBetaGroupSetting -GroupId $GroupId
   

3. Mettez à jour le paramètre du groupe selon vos besoins :

   $params = @{
      values = @(
         @{
            name = "AllowToAddGuests"
            value = "True"
         }
      )
   }
   

4. Vous pouvez ensuite définir la nouvelle valeur pour ce paramètre :

   Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params
   

5. Vous pouvez lire la valeur du paramètre pour vous assurer qu’il a été correctement mis à jour :

   Get-MgBetaGroupSetting -GroupId $GroupId  | FL Values
   

Informations de référence sur la syntaxe des applets de commande

Vous trouverez plus de documentation Microsoft Graph PowerShell sur les applets de commande Microsoft Entra.

Gérer les paramètres de groupe à l’aide de Microsoft Graph

Pour configurer et gérer les paramètres de groupe à l’aide de Microsoft Graph, consultez le groupSetting type de ressource et ses méthodes associées.

Lecture supplémentaire

• Gestion de l’accès aux ressources avec les groupes Microsoft Entra
• Intégration de vos identités sur site avec Microsoft Entra ID