Cmdlet Microsoft Entra untuk mengonfigurasi pengaturan grup
Artikel ini berisi instruksi untuk menggunakan cmdlet PowerShell untuk membuat dan memperbarui grup di ID Microsoft Entra, bagian dari Microsoft Entra. Konten ini hanya berlaku untuk grup Microsoft 365 (terkadang disebut grup terpadu).
Penting
Beberapa pengaturan memerlukan lisensi Microsoft Entra ID P1. Untuk informasi selengkapnya, lihat tabel Pengaturan templat.
Untuk informasi selengkapnya tentang cara mencegah pengguna nonadministrator membuat grup keamanan, atur AllowedToCreateSecurityGroups properti ke False seperti yang dijelaskan dalam Update-MgPolicyAuthorizationPolicy.
Pengaturan grup Microsoft 365 dikonfigurasi menggunakan objek Pengaturan dan objek SettingsTemplate. Awalnya, Anda tidak melihat objek Pengaturan apa pun di direktori, karena direktori dikonfigurasi dengan pengaturan default. Untuk mengubah pengaturan default, Anda harus membuat objek pengaturan baru menggunakan templat pengaturan. Templat pengaturan ditentukan oleh Microsoft. Ada beberapa templat pengaturan yang berbeda. Untuk mengonfigurasi pengaturan grup Microsoft 365 untuk direktori, Anda menggunakan templat bernama "Group.Unified". Untuk mengonfigurasi pengaturan grup Microsoft 365 di grup tunggal, gunakan templat bernama "Group.Unified.Guest". Templat ini digunakan untuk mengelola akses tamu ke grup Microsoft 365.
Cmdlet adalah bagian dari modul Microsoft Graph PowerShell . Untuk petunjuk cara mengunduh dan menginstal modul di komputer Anda, lihat Menginstal Microsoft Graph PowerShell SDK.
Penting
Azure AD PowerShell direncanakan untuk dihentikan pada 30 Maret 2024. Untuk mempelajari lebih lanjut, baca pembaruan penghentian. Sebaiknya migrasi ke Microsoft Graph PowerShell untuk berinteraksi dengan ID Microsoft Entra (sebelumnya Microsoft Azure AD). Microsoft Graph PowerShell memungkinkan akses ke semua MICROSOFT Graph API dan tersedia di PowerShell 7. Untuk jawaban atas kueri migrasi umum, lihat Tanya Jawab Umum Migrasi.
Catatan
Dengan pengaturan yang diterapkan untuk membatasi penambahan tamu ke Grup Microsoft 365, administrator masih akan menambahkan pengguna tamu ke Grup Microsoft 365. Pengaturan akan membatasi pengguna non-admin menambahkan pengguna tamu ke grup Microsoft 365.
Menginstal cmdlet PowerShell
Instal cmdlet Microsoft Graph seperti yang dijelaskan dalam Menginstal Microsoft Graph PowerShell SDK.
Buka aplikasi Windows PowerShell sebagai administrator.
Instal cmdlet Microsoft Graph.
Install-Module Microsoft.Graph -Scope AllUsersInstal cmdlet beta Microsoft Graph.
Install-Module Microsoft.Graph.Beta -Scope AllUsers
Membuat pengaturan di tingkat direktori
Langkah-langkah ini membuat pengaturan di tingkat direktori, yang berlaku untuk semua grup Microsoft 365 di direktori.
Di cmdlet DirectorySettings, Anda harus menentukan ID PengaturanTemplate yang ingin Anda gunakan. Jika Anda tidak tahu ID ini, cmdlet ini mengembalikan daftar semua templat pengaturan:
Get-MgBetaDirectorySettingTemplatePanggilan cmdlet ini mengembalikan semua templat yang tersedia:
Id DisplayName Description -- ----------- ----------- 62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified ... 08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group 16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn Setting templates define the different settings that can be used for the associ... 4bc7f740-180e-4586-adb6-38b2e9024e6b Application... 898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ... 5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...Untuk menambahkan URL pedoman penggunaan, pertama-tama Anda perlu mendapatkan objek SettingsTemplate yang menentukan nilai URL pedoman penggunaan; yaitu, templat Group.Unified:
$TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQBuat objek yang berisi nilai yang akan digunakan untuk pengaturan direktori. Nilai-nilai ini mengubah nilai pedoman penggunaan dan mengaktifkan label sensitivitas. Atur ini atau pengaturan lain dalam templat sebagaimana diperlukan:
$params = @{ templateId = "$TemplateId" values = @( @{ name = "UsageGuidelinesUrl" value = "https://guideline.example.com" } @{ name = "EnableMIPLabels" value = "True" } ) }Buat pengaturan direktori dengan menggunakan New-MgBetaDirectorySetting:
New-MgBetaDirectorySetting -BodyParameter $paramsAnda dapat membaca nilai dengan menggunakan perintah berikut:
$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"} $Setting.Values
Memperbarui pengaturan di tingkat direktori
Untuk memperbarui nilai untuk UsageGuideLinesUrl dalam templat pengaturan, baca pengaturan saat ini dari ID Microsoft Entra, jika tidak, kita bisa menimpa pengaturan yang ada selain UsageGuideLinesUrl.
Dapatkan pengaturan saat ini dari SettingsTemplate Group.Unified:
$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}Periksa pengaturan saat ini:
$Setting.ValuesPerintah ini mengembalikan nilai berikut:
Name Value ---- ----- EnableMIPLabels True CustomBlockedWordsList EnableMSStandardBlockedWords False ClassificationDescriptions DefaultClassification PrefixSuffixNamingRequirement AllowGuestsToBeGroupOwner False AllowGuestsToAccessGroups True GuestUsageGuidelinesUrl GroupCreationAllowedGroupId AllowToAddGuests True UsageGuidelinesUrl https://guideline.example.com ClassificationList EnableGroupCreation True NewUnifiedGroupWritebackDefault TrueUntuk menghapus nilai UsageGuideLinesUrl, edit URL menjadi string kosong:
$params = @{ Values = @( @{ Name = "UsageGuidelinesUrl" Value = "" } ) }Perbarui nilai dengan menggunakan cmdlet Update-MgBetaDirectorySetting :
Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params
Pengaturan templat
Berikut pengaturan yang ditentukan dalam SettingsTemplate Group.Unified. Kecuali dinyatakan lain, fitur ini memerlukan lisensi Microsoft Entra ID P1.
| Pengaturan | Keterangan |
|---|---|
|
Bendera yang menunjukkan apakah pembuatan grup Microsoft 365 diizinkan di direktori oleh pengguna nonadmin. Pengaturan ini tidak memerlukan lisensi Microsoft Entra ID P1. |
|
GUID dari grup keamanan di mana anggota boleh membuat grup Microsoft 365 bahkan ketika EnableGroupCreation == false. |
|
Tautan ke Pedoman Penggunaan Grup. |
|
Daftar deskripsi klasifikasi yang dibatasi koma. Nilai ClassificationDescriptions hanya valid dalam format ini: $setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description" di mana Klasifikasi cocok dengan entri dalam ClassificationList. Pengaturan ini tidak berlaku saat EnableMIPLabels == True. Batas karakter untuk properti ClassificationDescriptions adalah 300, dan koma tidak dapat diloloskan, |
|
Klasifikasi yang akan digunakan sebagai klasifikasi default untuk grup jika tidak ada yang ditentukan. Pengaturan ini tidak berlaku saat EnableMIPLabels == True. |
|
String dengan panjang maksimum 64 karakter yang menentukan konvensi penamaan yang dikonfigurasi untuk grup Microsoft 365. Untuk informasi selengkapnya, lihat Memberlakukan kebijakan penamaan untuk grup Microsoft 365. |
|
Rangkaian frasa yang dipisahkan koma yang tidak akan diizinkan pengguna untuk digunakan dalam nama atau alias grup. Untuk informasi selengkapnya, lihat Memberlakukan kebijakan penamaan untuk grup Microsoft 365. |
|
Ditolak. Jangan gunakan. |
|
Boolean menunjukkan apakah pengguna tamu dapat menjadi pemilik grup atau tidak. |
|
Boolean mengindikasikan apakah pengguna tamu dapat memiliki akses ke konten grup Microsoft 365 atau tidak. Pengaturan ini tidak memerlukan lisensi Microsoft Entra ID P1. |
|
URL tautan ke panduan penggunaan tamu. |
|
Boolean menunjukkan apakah diizinkan atau tidak untuk menambahkan tamu ke direktori ini. Pengaturan ini dapat ditimpa dan menjadi baca-saja jika EnableMIPLabels diatur ke True dan kebijakan tamu dikaitkan dengan label sensitivitas yang ditetapkan ke grup. Jika pengaturan AllowToAddGuests diatur ke False di tingkat organisasi, pengaturan AllowToAddGuests apa pun di tingkat grup diabaikan. Jika Anda ingin mengaktifkan akses tamu hanya untuk beberapa grup, Anda harus mengatur AllowToAddGuests agar benar di tingkat organisasi, lalu secara selektif menonaktifkannya untuk grup tertentu. |
|
Daftar nilai klasifikasi valid yang dibatasi koma yang dapat diterapkan ke grup Microsoft 365. Pengaturan ini tidak berlaku saat EnableMIPLabels == True. |
|
Bendera yang menunjukkan apakah label sensitivitas yang diterbitkan di Pusat Kepatuhan Microsoft Purview dapat diterapkan ke grup Microsoft 365. Untuk informasi selengkapnya, lihat Menetapkan Label Sensitivitas untuk grup Microsoft 365. |
|
Bendera yang memungkinkan admin untuk membuat grup Microsoft 365 baru tanpa mengatur jenis sumber daya groupWritebackConfiguration di payload permintaan. Pengaturan ini berlaku ketika tulis balik grup dikonfigurasi di Microsoft Entra Koneksi. "NewUnifiedGroupWritebackDefault" adalah pengaturan grup Microsoft 365 global. Nilai defaultnya adalah true. Memperbarui nilai pengaturan ke salah akan mengubah perilaku tulis balik default untuk grup Microsoft 365 yang baru dibuat, dan tidak akan mengubah nilai properti isEnabled untuk grup Microsoft 365 yang sudah ada. Admin grup harus secara eksplisit memperbarui nilai properti grup isEnabled untuk mengubah status tulis balik untuk grup Microsoft 365 yang sudah ada. |
Contoh: Mengonfigurasi kebijakan Tamu untuk grup di tingkat direktori
Dapatkan semua templat pengaturan:
Get-MgBetaDirectorySettingTemplateUntuk mengatur kebijakan tamu untuk grup di tingkat direktori, Anda memerlukan templat Group.Unified.
$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQTetapkan nilai untuk AllowToAddGuests untuk templat yang ditentukan:
$params = @{ templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b" values = @( @{ name = "AllowToAddGuests" value = "False" } ) }Selanjutnya, buat objek pengaturan baru dengan menggunakan cmdlet New-MgBetaDirectorySetting :
$Setting = New-MgBetaDirectorySetting -BodyParameter $paramsAnda bisa membaca nilai menggunakan:
$Setting.Values
Memperbarui pengaturan di tingkat direktori
Jika Anda mengetahui nama pengaturan yang ingin Anda ambil, Anda dapat menggunakan cmdlet di bawah ini untuk mengambil nilai pengaturan saat ini. Dalam contoh ini, kami mengambil nilai untuk pengaturan bernama "UsageGuidelinesUrl."
(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ
Langkah-langkah ini membuat pengaturan di tingkat direktori, yang berlaku untuk semua grup Office di direktori.
Baca semua pengaturan direktori yang ada:
Get-MgBetaDirectorySetting -AllCmdlet ini mengembalikan daftar semua pengaturan direktori:
Id DisplayName TemplateId Values -- ----------- ---------- ------ c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...Baca semua pengaturan untuk grup tertentu:
Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"Baca semua nilai pengaturan direktori untuk objek pengaturan direktori tertentu, menggunakan GUID ID Pengaturan:
(Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").valuesCmdlet ini mengembalikan nama dan nilai dalam objek pengaturan ini untuk grup tertentu ini:
Name Value ---- ----- ClassificationDescriptions DefaultClassification PrefixSuffixNamingRequirement CustomBlockedWordsList AllowGuestsToBeGroupOwner False AllowGuestsToAccessGroups True GuestUsageGuidelinesUrl GroupCreationAllowedGroupId AllowToAddGuests True UsageGuidelinesUrl https://guideline.example.com ClassificationList EnableGroupCreation True
Memperbarui pengaturan di tingkat direktori
Langkah ini menghapus pengaturan di tingkat direktori, yang berlaku untuk semua grup Office di direktori.
Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"
Membuat pengaturan untuk grup tertentu
Dapatkan templat pengaturan.
Get-MgBetaDirectorySettingTemplateDalam hasilnya, temukan templat pengaturan bernama "Groups.Unified.Guest":
Id DisplayName Description -- ----------- ----------- 62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified ... 08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group 4bc7f740-180e-4586-adb6-38b2e9024e6b Application ... 898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ... 5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...Ambil objek templat untuk templat Groups.Unified.Guest:
$Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQDapatkan ID grup tempat Anda ingin menerapkan pengaturan ini:
$GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").IdBuat pengaturan baru:
$params = @{ templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9" values = @( @{ name = "AllowToAddGuests" value = "False" } ) }Buat pengaturan grup:
New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $paramsUntuk memverifikasi pengaturan, jalankan perintah ini:
Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
Memperbarui pengaturan untuk grup tertentu
Dapatkan ID grup yang pengaturannya ingin Anda perbarui:
$groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").IdAmbil pengaturan grup:
$Setting = Get-MgBetaGroupSetting -GroupId $GroupIdPerbarui pengaturan grup sesuai kebutuhan Anda:
$params = @{ values = @( @{ name = "AllowToAddGuests" value = "True" } ) }Kemudian Anda dapat mengatur nilai baru untuk pengaturan ini:
Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $paramsAnda dapat membaca nilai pengaturan untuk memastikan pengaturan telah diperbarui dengan benar:
Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
Referensi sintaks cmdlet
Anda dapat menemukan dokumentasi Microsoft Graph PowerShell lainnya di Microsoft Entra Cmdlets.
Mengelola pengaturan grup menggunakan Microsoft Graph
Untuk mengonfigurasi dan mengelola pengaturan grup menggunakan Microsoft Graph, lihat groupSetting jenis sumber daya dan metode terkaitnya.