Cmdlet Microsoft Entra untuk mengonfigurasi pengaturan grup

Ikhtisar

Artikel ini berisi instruksi untuk menggunakan cmdlet PowerShell untuk membuat dan memperbarui grup di ID Microsoft Entra, bagian dari Microsoft Entra. Konten ini hanya berlaku untuk grup Microsoft 365.

Penting

Beberapa pengaturan memerlukan lisensi Microsoft Entra ID P1. Untuk informasi selengkapnya, lihat tabel Pengaturan templat.

Untuk informasi selengkapnya tentang cara mencegah pengguna nonadministrator membuat grup keamanan, atur properti AllowedToCreateSecurityGroups ke False seperti yang dijelaskan dalam Update-MgPolicyAuthorizationPolicy.

Pengaturan grup Microsoft 365 dikonfigurasi menggunakan objek Pengaturan dan objek SettingsTemplate. Awalnya, Anda tidak melihat objek Pengaturan apa pun di direktori Anda, karena direktori Anda dikonfigurasi dengan pengaturan default. Untuk mengubah pengaturan default, Anda harus membuat objek pengaturan baru menggunakan templat pengaturan. Microsoft menyediakan beberapa templat pengaturan. Untuk mengonfigurasi pengaturan grup Microsoft 365 untuk direktori, Anda menggunakan templat bernama "Group.Unified". Untuk mengonfigurasi pengaturan grup Microsoft 365 pada satu grup, gunakan templat bernama "Group.Unified.Guest". Templat ini digunakan untuk mengelola akses tamu ke grup Microsoft 365.

Cmdlet adalah bagian dari modul Microsoft Graph PowerShell. Untuk petunjuk cara mengunduh dan menginstal modul di komputer Anda, lihat Menginstal Microsoft Graph PowerShell SDK.

Nota

Bahkan dengan pembatasan yang diaktifkan untuk mencegah penambahan tamu ke grup Microsoft 365, administrator masih dapat menambahkan pengguna tamu. Pembatasan hanya berlaku untuk pengguna non-admin.

Menginstal PowerShell cmdlet

Instal cmdlet Microsoft Graph seperti yang dijelaskan dalam Menginstal Microsoft Graph PowerShell SDK.

Buka aplikasi Windows PowerShell sebagai administrator.

Pasang cmdlet Microsoft Graph.

Install-Module Microsoft.Graph -Scope AllUsers

Instal cmdlet Microsoft Graph versi beta.

Install-Module Microsoft.Graph.Beta -Scope AllUsers

Menyambungkan ke Microsoft Graph

Sebelum menjalankan cmdlet Get-Mg*, New-Mg*, atau Update-Mg* dalam artikel ini, Anda harus terlebih dahulu mengautentikasi dengan Microsoft Graph.

Connect-MgGraph -Scopes "Directory.ReadWrite.All"

Anda akan diminta untuk masuk dan menyetujui izin yang diperlukan.

Memverifikasi koneksi Anda
```
Get-MgContext
```
Perintah ini mengonfirmasi bahwa Anda masuk dan memperlihatkan profil Microsoft Graph yang saat ini dipilih.
Beberapa contoh dalam artikel ini menggunakan Microsoft Graph beta API. Untuk beralih profil:
```
Select-MgProfile -Name "beta"
```

Nota

Jika Anda tidak menjalankan perintah Connect-MgGraph, semua Get-Mg*, New-Mg*, dan Update-Mg* dalam dokumen ini akan gagal.

Membuat pengaturan di tingkat direktori

Langkah-langkah ini membuat pengaturan di tingkat direktori, yang berlaku untuk semua grup Microsoft 365 di direktori.

Pada cmdlet DirectorySettings, Anda harus menentukan ID TemplatePengaturan yang ingin Anda gunakan. Jika Anda tidak tahu ID ini, cmdlet ini mengembalikan daftar semua templat pengaturan:

Get-MgBetaDirectorySettingTemplate

Panggilan cmdlet ini mengembalikan semua templat yang tersedia:

Id                                   DisplayName         Description
--                                   -----------         -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...

Untuk menambahkan URL pedoman penggunaan, pertama-tama Anda perlu mendapatkan objek SettingsTemplate yang menentukan nilai URL pedoman penggunaan; yaitu, templat Group.Unified:

$TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ

Buat objek yang berisi nilai yang akan digunakan untuk pengaturan direktori. Nilai-nilai ini mengubah nilai pedoman penggunaan dan mengaktifkan label sensitivitas. Atur pengaturan ini atau lainnya dalam templat sesuai kebutuhan:

$params = @{
   templateId = "$TemplateId"
   values = @(
      @{
         name = "UsageGuidelinesUrl"
         value = "https://guideline.example.com"
      }
      @{
         name = "EnableMIPLabels"
         value = "True"
      }
   )
}

Buat pengaturan direktori dengan menggunakan New-MgBetaDirectorySetting:
```
New-MgBetaDirectorySetting -BodyParameter $params
```

Anda dapat membaca nilai dengan menggunakan perintah berikut:

$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
$Setting.Values

Memperbarui pengaturan di tingkat direktori

Untuk memperbarui nilai untuk "UsageGuideLinesUrl" di templat pengaturan, baca pengaturan saat ini dari Microsoft Entra ID; jika tidak, Anda mungkin berakhir menimpa pengaturan yang ada selain "UsageGuideLinesUrl".

Dapatkan pengaturan saat ini dari Group.Unified SettingsTemplate:

$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}

Periksa pengaturan saat ini:

$Setting.Values

Perintah ini mengembalikan nilai berikut:

Name                            Value
----                            -----
EnableMIPLabels                 True
CustomBlockedWordsList
EnableMSStandardBlockedWords    False
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
AllowGuestsToBeGroupOwner       False
AllowGuestsToAccessGroups       True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests                True
UsageGuidelinesUrl              https://guideline.example.com
ClassificationList
EnableGroupCreation             True
NewUnifiedGroupWritebackDefault True

Untuk menghapus nilai UsageGuideLinesUrl, edit URL menjadi string kosong:

$params = @{
   Values = @(
      @{
         Name = "UsageGuidelinesUrl"
         Value = ""
      }
   )
}

Perbarui nilai dengan menggunakan cmdlet Update-MgBetaDirectorySetting:

Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params

Pengaturan templat

Berikut adalah pengaturan yang ditentukan dalam Group.Unified SettingsTemplate. Kecuali dinyatakan lain, fitur ini memerlukan lisensi Microsoft Entra ID P1.

Pengaturan	Deskripsi
AktifkanPembuatanGrup Jenis: `Boolean` Standar: `True`	Bendera ini menunjukkan apakah pengguna nonadmin dapat membuat grup Microsoft 365 di direktori. Pengaturan ini tidak memerlukan lisensi Microsoft Entra ID P1.
GroupCreationAllowedGroupId Jenis: `String` Standar: `""`	GUID grup keamanan bagi anggota yang diizinkan untuk membuat grup Microsoft 365 bahkan ketika kondisi `EnableGroupCreation == false`terpenuhi.
PanduanPenggunaanUrl Jenis: `String` Standar: `""`	Tautan ke Panduan Penggunaan Grup.
KlasifikasiDeskripsi Jenis: `String` Standar: `""`	Daftar deskripsi klasifikasi yang dibatasi koma. Nilai `ClassificationDescriptions` hanya valid dalam format ini: `$setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description"` di mana Klasifikasi cocok dengan entri di ClassificationList. Pengaturan ini tidak berlaku saat `EnableMIPLabels == True`. Batas karakter untuk properti `ClassificationDescriptions` adalah 300, dan koma tidak dapat diloloskan.
DefaultClassification Jenis: `String` Standar: `""`	Klasifikasi yang akan digunakan sebagai klasifikasi default untuk grup jika tidak ada yang ditentukan. Pengaturan ini tidak berlaku saat `EnableMIPLabels == True`. Nilai ini hanya dapat diatur ketika `ClassificationList` diatur dalam panggilan yang sama.
KebutuhanPenamaanAwalanAkhiran Jenis: `String` Standar: `""`	String dengan panjang maksimum 64 karakter yang menentukan konvensi penamaan yang dikonfigurasi untuk grup Microsoft 365. Untuk informasi selengkapnya, lihat Menerapkan kebijakan penamaan untuk grup Microsoft 365.
DaftarKataTerlarangKustom Jenis: `String` Standar: `""`	String frasa yang dipisahkan koma yang tidak diizinkan digunakan pengguna dalam nama grup atau alias. Untuk informasi selengkapnya, lihat Menerapkan kebijakan penamaan untuk grup Microsoft 365.
AktifkanMSStandardBlockedWords Jenis: `Boolean` Standar: `False`	Tidak Direkomendasikan Jangan gunakan.
IzinkanTamuMenjadiPemilikGrup Jenis: `Boolean` Standar: `False`	Boolean menunjukkan apakah pengguna tamu dapat menjadi pemilik grup atau tidak.
izinkanTamuMengaksesGrup Jenis: `Boolean` Standar: `True`	Boolean menunjukkan apakah pengguna tamu dapat memiliki akses ke konten grup Microsoft 365 atau tidak. Pengaturan ini tidak memerlukan lisensi Microsoft Entra ID P1.
UrlPanduanPenggunaanTamu Jenis: `String` Standar: `""`	URL tautan ke panduan penggunaan tamu.
IzinkanMenambahkanTamu Jenis: `Boolean` Standar: `True`	Boolean yang menunjukkan apakah diizinkan untuk menambahkan tamu ke direktori ini atau tidak. Pengaturan ini mungkin ditimpa dan menjadi hanya-baca jika `EnableMIPLabels` disetel ke True dan kebijakan tamu dikaitkan dengan label sensitivitas yang diberlakukan pada grup. Jika pengaturan `AllowToAddGuests` diatur ke False di tingkat organisasi, pengaturan `AllowToAddGuests` apa pun di tingkat grup diabaikan. Jika Anda ingin mengaktifkan akses tamu hanya untuk beberapa grup, Anda harus mengatur `AllowToAddGuests` menjadi true di tingkat organisasi, lalu secara selektif menonaktifkannya untuk grup tertentu.
DaftarKlasifikasi Jenis: `String` Standar: `""`	Daftar nilai klasifikasi valid yang dibatasi koma yang dapat diterapkan ke grup Microsoft 365. Pengaturan ini tidak berlaku saat EnableMIPLabels == True.
AktifkanLabelMIP Jenis: `Boolean` Standar: `False`	Bendera yang menunjukkan apakah label sensitivitas yang diterbitkan di portal Microsoft Purview dapat diterapkan ke grup Microsoft 365. Untuk informasi selengkapnya, lihat Menetapkan Label Sensitivitas untuk grup Microsoft 365.
TulisBalikGrupBersatuBaruBawaan Jenis: `Boolean` Standar: `True`	Bendera yang memungkinkan admin membuat grup Microsoft 365 baru tanpa mengatur jenis sumber daya groupWritebackConfiguration dalam payload permintaan. Pengaturan ini berlaku ketika penulisan ulang grup dikonfigurasi di Microsoft Entra Connect. `NewUnifiedGroupWritebackDefault` adalah pengaturan grup Microsoft 365 global. Nilai default adalah true. Memperbarui nilai pengaturan menjadi false mengubah perilaku tulis balik default untuk grup Microsoft 365 yang baru dibuat, dan tidak mengubah nilai properti isEnabled untuk grup Microsoft 365 yang sudah ada. Admin grup perlu secara eksplisit memperbarui nilai properti isEnabled grup untuk mengubah status tulis balik untuk grup Microsoft 365 yang sudah ada.

Contoh: Mengonfigurasi kebijakan Tamu untuk grup di tingkat direktori

Dapatkan semua templat pengaturan:
```
Get-MgBetaDirectorySettingTemplate
```

Untuk mengatur kebijakan tamu untuk grup di tingkat direktori, Anda memerlukan templat Group.Unified.

$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ

Tetapkan nilai untuk AllowToAddGuests untuk templat yang ditentukan:

$params = @{
   templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "False"
      }
   )
}

Selanjutnya, buat objek pengaturan baru dengan menggunakan cmdlet New-MgBetaDirectorySetting:
```
$Setting = New-MgBetaDirectorySetting -BodyParameter $params
```
Anda dapat membaca nilai menggunakan:
```
$Setting.Values
```

Membaca pengaturan di tingkat direktori

Jika Anda mengetahui nama pengaturan yang ingin Anda ambil, Anda dapat menggunakan cmdlet di bawah ini untuk mengambil nilai pengaturan saat ini. Dalam contoh ini, nilai untuk pengaturan bernama UsageGuidelinesUrl diambil.

(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ

Langkah-langkah ini membaca pengaturan di tingkat direktori, yang berlaku untuk semua grup Microsoft 365 di direktori.

Baca semua pengaturan direktori yang ada:

Get-MgBetaDirectorySetting -All

Cmdlet ini mengembalikan daftar semua pengaturan direktori:

Id                                   DisplayName   TemplateId                           Values
--                                   -----------   ----------                           ------
c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...

Baca semua pengaturan untuk grup tertentu:

Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"

Baca semua nilai pengaturan dari objek pengaturan direktori tertentu, menggunakan GUID ID Pengaturan:

(Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values

Cmdlet ini mengembalikan nama dan nilai dalam objek pengaturan ini untuk grup tertentu ini:

Name                          Value
----                          -----
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
CustomBlockedWordsList        
AllowGuestsToBeGroupOwner     False 
AllowGuestsToAccessGroups     True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests              True
UsageGuidelinesUrl            https://guideline.example.com
ClassificationList
EnableGroupCreation           True

Menghapus pengaturan di tingkat direktori

Langkah ini menghapus pengaturan di tingkat direktori, yang berlaku untuk semua grup Microsoft 365 di direktori.

Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"

Membuat pengaturan untuk grup tertentu

Dapatkan templat pengaturan.
```
Get-MgBetaDirectorySettingTemplate
```

Dalam hasilnya, temukan templat pengaturan bernama "Groups.Unified.Guest":

Id                                   DisplayName            Description
--                                   -----------            -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...

Ambil objek templat untuk templat Groups.Unified.Guest:

$Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ

Dapatkan ID grup yang ingin Anda terapkan pengaturan ini ke:

$GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id

Buat pengaturan baru:

$params = @{
   templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9"
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "False"
      }
   )
}

Buat pengaturan grup:

New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params

Untuk memverifikasi pengaturan, jalankan perintah ini:

Get-MgBetaGroupSetting -GroupId $GroupId | FL Values

Memperbarui pengaturan untuk grup tertentu

Dapatkan ID grup yang pengaturannya ingin Anda perbarui:

$groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id

Dapatkan pengaturan grup:

$Setting = Get-MgBetaGroupSetting -GroupId $GroupId

Perbarui pengaturan grup sesuai kebutuhan Anda:

$params = @{
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "True"
      }
   )
}

Kemudian Anda dapat mengatur nilai baru untuk pengaturan ini:

Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params

Anda dapat membaca nilai pengaturan untuk memastikan bahwa pengaturan telah diperbarui dengan benar:
```
Get-MgBetaGroupSetting -GroupId $GroupId  | FL Values
```

Referensi Sintaks Cmdlet

Anda dapat menemukan dokumentasi Microsoft Graph PowerShell lainnya di Microsoft Entra Cmdlets.

Mengelola pengaturan grup menggunakan Microsoft Graph

Untuk mengonfigurasi dan mengelola pengaturan grup menggunakan Microsoft Graph, lihat jenis sumber daya groupSetting dan metode terkaitnya.

Saran dan Komentar

Apakah halaman ini membantu?

Last updated on 2025-06-05