Cmdlet di Azure Active Directory per la configurazione delle impostazioni di gruppo

Articolo
03/17/2023

Questo articolo contiene istruzioni per l'uso dei cmdlet di PowerShell per creare e aggiornare i gruppi in Azure Active Directory (Azure AD), parte di Microsoft Entra. Questo contenuto si applica solo ai gruppi di Microsoft 365 (talvolta denominati gruppi unificati).

Importante

Alcune impostazioni richiedono una licenza per Azure Active Directory Premium P1. Per altre informazioni, vedere la tabella relativa alle impostazioni modello.

Per altre informazioni su come evitare che utenti non amministratori creino gruppi di sicurezza, configurare il valore Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False come illustrato in Set-MSOLCompanySettings.

Le impostazioni dei gruppi di Microsoft 365 vengono configurate usando un oggetto Settings e un oggetto SettingsTemplate. Non vengono inizialmente visualizzati oggetti Settings nella directory, perché la directory è configurata con le impostazioni personalizzate. Per modificarle, è necessario creare un nuovo oggetto Settings usando un modello di impostazioni. I modelli di impostazioni sono definiti da Microsoft. Sono disponibili diversi modelli di impostazioni. Per configurare le impostazioni del gruppo di Microsoft 365 per la directory, usare il modello denominato "Group.Unified". Per configurare le impostazioni del gruppo di Microsoft 365 in un singolo gruppo, usare il modello denominato "Group.Unified.Guest". Questo modello viene usato per gestire l'accesso guest a un gruppo di Microsoft 365.

I cmdlet fanno parte del modulo Azure Active Directory PowerShell V2. Per istruzioni sul download e sull'installazione del modulo nel computer, vedere l'articolo Azure Active Directory PowerShell Version 2 (Azure Active Directory PowerShell versione 2). È possibile installare la versione 2 del modulo da PowerShell Gallery.

Nota

Con le impostazioni disponibili per limitare l'aggiunta di guest a Gruppi di Microsoft 365, gli amministratori aggiungeranno comunque utenti guest a Gruppi di Microsoft 365. L'impostazione impedirà agli utenti non amministratori di aggiungere utenti guest ai gruppi di Microsoft 365.

Installare i cmdlet di PowerShell

Assicurarsi di disinstallare qualsiasi versione precedente del modulo PowerShell per Graph di Azure Active Directory per Windows PowerShell e installare Azure Active Directory PowerShell per Graph - Versione di anteprima pubblica (successiva alla versione 2.0.0.137) prima di eseguire i comandi di PowerShell.

Aprire l'app Windows PowerShell come amministratore.
Disinstallare qualsiasi versione precedente di AzureADPreview.
```
Uninstall-Module AzureADPreview
Uninstall-Module azuread
```
Installare la versione più recente di AzureADPreview.
```
Install-Module AzureADPreview
```

Creare le impostazioni a livello di directory

Questi passaggi creano impostazioni a livello di directory, che si applicano a tutti i gruppi di Microsoft 365 nella directory. Il cmdlet Get-AzureADDirectorySettingTemplate è disponibile solo nel modulo di anteprima di Azure AD PowerShell per Graph.

Nei cmdlet DirectorySettings è necessario specificare l'ID del SettingsTemplate che si vuole usare. Se non si conosce l'ID, questo cmdlet restituisce l'elenco di tutti i modelli di impostazioni:

Get-AzureADDirectorySettingTemplate

Questa chiamata del cmdlet restituirà tutti i modelli disponibili:

Id                                   DisplayName         Description
--                                   -----------         -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...

Per aggiungere un URL alle linee guida sull'utilizzo, è necessario innanzitutto ottenere l'oggetto SettingsTemplate che definisce il valore di URL delle linee guida sull'utilizzo, vale a dire il modello Group.Unified:
```
$TemplateId = (Get-AzureADDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
```
Successivamente, creare un nuovo oggetto impostazioni sulla base del modello:
```
$Setting = $Template.CreateDirectorySetting()
```
Aggiornare quindi l'oggetto impostazioni con un nuovo valore. I due esempi seguenti modificano il valore delle linee guida di utilizzo e abilitano le etichette di riservatezza. Impostare queste o qualsiasi altra impostazione nel modello in base alle esigenze:
```
$Setting["UsageGuidelinesUrl"] = "https://guideline.example.com"
$Setting["EnableMIPLabels"] = "True"
```

Applicare quindi l'impostazione:

New-AzureADDirectorySetting -DirectorySetting $Setting

È possibile leggere i valori usando:
```
$Setting.Values
```

Aggiornare le impostazioni a livello di directory

Per aggiornare il valore di UsageGuideLinesUrl nel modello di impostazione, leggere le impostazioni correnti da Azure AD. In caso contrario, è possibile sovrascrivere le impostazioni esistenti diverse da UsageGuideLinesUrl.

Ottenere le impostazioni correnti da Group.Unified SettingsTemplate:

$Setting = Get-AzureADDirectorySetting | ? { $_.DisplayName -eq "Group.Unified"}

Controllare le impostazioni correnti:

$Setting.Values

Output:

 Name                            Value
 ----                            -----
 EnableMIPLabels                 True
 CustomBlockedWordsList
 EnableMSStandardBlockedWords    False
 ClassificationDescriptions
 DefaultClassification
 PrefixSuffixNamingRequirement
 AllowGuestsToBeGroupOwner       False
 AllowGuestsToAccessGroups       True
 GuestUsageGuidelinesUrl
 GroupCreationAllowedGroupId
 AllowToAddGuests                True
 UsageGuidelinesUrl              https://guideline.example.com
 ClassificationList
 EnableGroupCreation             True
 NewUnifiedGroupWritebackDefault True

Per rimuovere il valore di UsageGuideLinesUrl, modificare l'URL in modo che sia una stringa vuota:
```
$Setting["UsageGuidelinesUrl"] = ""
```

Salvare l'aggiornamento nella directory:

Set-AzureADDirectorySetting -Id $Setting.Id -DirectorySetting $Setting

Impostazioni modello

Di seguito sono riportate le impostazioni definite in SettingsTemplate di Group.Unified. Se non diversamente indicato, queste funzionalità richiedono una licenza per Azure Active Directory Premium P1.

Impostazione	Descrizione
EnableGroupCreation Tipo: Boolean Valore predefinito: True	Flag che indica se la creazione di gruppi di Microsoft 365 è consentita nella directory da utenti non amministratori. Questa impostazione non richiede una licenza per Azure Active Directory Premium P1.
GroupCreationAllowedGroupId Tipo: String Impostazione predefinita: ""	GUID del gruppo di sicurezza per cui i membri possono creare gruppi di Microsoft 365 anche quando EnableGroupCreation == false.
UsageGuidelinesUrl Tipo: String Impostazione predefinita: ""	Collegamento alle linee guida sull'utilizzo dei gruppi.
ClassificationDescriptions Tipo: String Impostazione predefinita: ""	Elenco delimitato da virgole di descrizioni di classificazione. Il valore di ClassificationDescriptions è valido solo nel formato seguente: $setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description" dove Classificazione corrisponde a una voce in ClassificationList. Questa impostazione non si applica quando EnableMIPLabels == True. Il limite di caratteri per la classificazione delle proprietàDescriptions è 300 e le virgole non possono essere precedute da caratteri di escape,
DefaultClassification Tipo: String Impostazione predefinita: ""	Classificazione da usare come classificazione predefinita per un gruppo, se non specificata. Questa impostazione non si applica quando EnableMIPLabels == True.
PrefixSuffixNamingRequirement Tipo: String Impostazione predefinita: ""	Stringa di lunghezza massima di 64 caratteri che definisce la convenzione di denominazione configurata per i gruppi di Microsoft 365. Per altre informazioni, vedere Applicare un criterio di denominazione per i gruppi di Microsoft 365.
CustomBlockedWordsList Tipo: String Impostazione predefinita: ""	Stringa di frasi delimitate da virgole che gli utenti non potranno usare in nomi o alias di gruppo. Per altre informazioni, vedere Applicare un criterio di denominazione per i gruppi di Microsoft 365.
EnableMSStandardBlockedWords Tipo: Boolean Impostazione predefinita: "False"	Deprecato. Non usare.
AllowGuestsToBeGroupOwner Tipo: Boolean Valore predefinito: False	Valore booleano che indica se un utente guest può essere o meno un proprietario di gruppi.
AllowGuestsToAccessGroups Tipo: Boolean Valore predefinito: True	Boolean che indica se un utente guest può avere accesso al contenuto dei gruppi di Microsoft 365. Questa impostazione non richiede una licenza per Azure Active Directory Premium P1.
GuestUsageGuidelinesUrl Tipo: String Impostazione predefinita: ""	URL di un collegamento alle linee guida per l'utilizzo guest.
AllowToAddGuests Tipo: Boolean Valore predefinito: True	Valore booleano che indica se è consentito o meno aggiungere utenti guest a questa directory. Questa impostazione può essere sottoposta a override e diventa di sola lettura se EnableMIPLabels è impostata su True e un criterio guest è associato all'etichetta di riservatezza assegnata al gruppo. Se l'impostazione AllowToAddGuests è impostata su False a livello di organizzazione, viene ignorata qualsiasi impostazione AllowToAddGuests a livello di gruppo. Se si vuole abilitare l'accesso guest solo per pochi gruppi, è necessario impostare AllowToAddGuests come true a livello di organizzazione e disabilitarlo in modo selettivo per gruppi specifici.
ClassificationList Tipo: String Impostazione predefinita: ""	Elenco delimitato da virgole di valori di classificazione validi che possono essere applicati ai gruppi di Microsoft 365. Questa impostazione non si applica quando EnableMIPLabels == True.
EnableMIPLabels Tipo: Boolean Impostazione predefinita: "False"	Flag che indica se le etichette di riservatezza pubblicate in Portale di conformità di Microsoft Purview possono essere applicate ai gruppi di Microsoft 365. Per altre informazioni, vedere Assegnare etichette di riservatezza per i gruppi di Microsoft 365.
NewUnifiedGroupWritebackDefault Tipo: Boolean Impostazione predefinita: "True"	Flag che consente a un amministratore di creare nuovi gruppi di Microsoft 365 senza impostare il tipo di risorsa groupWritebackConfiguration nel payload della richiesta. Questa impostazione è applicabile quando il writeback del gruppo è configurato in Azure AD Connect. "NewUnifiedGroupWritebackDefault" è un'impostazione globale del gruppo Microfot 365. Il valore predefinito è true. L'aggiornamento del valore di impostazione su false modifica il comportamento di writeback predefinito per i gruppi di Microsoft 365 appena creati e non cambierà il valore della proprietà isEnabled per i gruppi microsoft 365 esistenti. L'amministratore del gruppo dovrà aggiornare in modo esplicito il valore della proprietà isEnabled per modificare lo stato di writeback per i gruppi di Microsoft 365 esistenti.

Esempio: Configurare criteri guest per i gruppi a livello di directory

Ottenere tutti i modelli di impostazione:
```
Get-AzureADDirectorySettingTemplate
```

Per impostare criteri guest per i gruppi a livello di directory, è necessario il modello Group.Unified

$Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ

Successivamente, creare un nuovo oggetto impostazioni sulla base del modello:
```
$Setting = $template.CreateDirectorySetting()
```
Aggiornare quindi l'impostazione AllowToAddGuests
```
$Setting["AllowToAddGuests"] = $False
```

Applicare quindi l'impostazione:

Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting

È possibile leggere i valori usando:
```
$Setting.Values
```

Leggere le impostazioni a livello di directory

Se si conosce il nome dell'impostazione da recuperare, è possibile usare il cmdlet seguente per recuperare il valore corrente dell'impostazione. In questo esempio viene recuperato il valore per un'impostazione denominata "UsageGuidelinesUrl".

(Get-AzureADDirectorySetting).Values | Where-Object -Property Name -Value UsageGuidelinesUrl -EQ

Quelli che seguono sono i passaggi necessari per leggere le impostazioni a livello di directory, che si applicano a tutti i gruppi di Office presenti nella directory.

Leggere tutte le impostazioni della directory esistenti:

Get-AzureADDirectorySetting -All $True

Questo cmdlet restituisce un elenco di tutte le impostazioni della directory:

Id                                   DisplayName   TemplateId                           Values
--                                   -----------   ----------                           ------
c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...

Leggere tutte le impostazioni di un determinato gruppo:

Get-AzureADObjectSetting -TargetObjectId ab6a3887-776a-4db7-9da4-ea2b0d63c504 -TargetType Groups

Leggere tutti i valori delle impostazioni della directory di un oggetto impostazioni directory specifico usando il GUID Impostazioni:

(Get-AzureADDirectorySetting -Id c391b57d-5783-4c53-9236-cefb5c6ef323).values

Questo cmdlet restituisce i nomi e valori in questo oggetto Settings per il gruppo specifico:

Name                          Value
----                          -----
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
CustomBlockedWordsList        
AllowGuestsToBeGroupOwner     False 
AllowGuestsToAccessGroups     True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests              True
UsageGuidelinesUrl            https://guideline.example.com
ClassificationList
EnableGroupCreation           True

Rimuovere le impostazioni a livello di directory

Questo passaggio consente di rimuovere le impostazioni a livello di directory, che si applicano a tutti i gruppi di Office presenti nella directory.

Remove-AzureADDirectorySetting –Id c391b57d-5783-4c53-9236-cefb5c6ef323c

Creare impostazioni per un gruppo specifico

Cercare il modello di impostazioni denominato "Groups.Unified.Guest"

Get-AzureADDirectorySettingTemplate

Id                                   DisplayName            Description
--                                   -----------            -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...

Recuperare l'oggetto modello per il modello Groups.Unified.Guest:

$Template1 = Get-AzureADDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ

Creare un nuovo oggetto Settings dal modello:

$SettingCopy = $Template1.CreateDirectorySetting()

Impostare il valore richiesto:

$SettingCopy["AllowToAddGuests"]=$False

Ottenere l'ID del gruppo a cui si vuole applicare questa impostazione:
```
$groupID= (Get-AzureADGroup -SearchString "YourGroupName").ObjectId
```

Creare la nuova impostazione per il gruppo richiesto nella directory:

New-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -DirectorySetting $SettingCopy

Per verificare le impostazioni, eseguire questo comando:

Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups | fl Values

Aggiornare le impostazioni per un gruppo specifico

Ottenere l'ID del gruppo di cui si vuole aggiornare l'impostazione:

$groupID= (Get-AzureADGroup -SearchString "YourGroupName").ObjectId

Recuperare l'impostazione del gruppo:

$Setting = Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups

Aggiornare l'impostazione del gruppo in base alle esigenze, ad esempio.
```
$Setting["AllowToAddGuests"] = $True
```

Ottenere quindi l'ID dell'impostazione per questo gruppo specifico:

Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups

Si otterrà una risposta simile a questa:

Id                                   DisplayName            TemplateId                             Values
--                                   -----------            -----------                            ----------
2dbee4ca-c3b6-4f0d-9610-d15569639e1a Group.Unified.Guest    08d542b9-071f-4e16-94b0-74abb372e3d9   {class SettingValue {...

È quindi possibile impostare il nuovo valore per questa impostazione:

Set-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -Id 2dbee4ca-c3b6-4f0d-9610-d15569639e1a -DirectorySetting $Setting

È possibile leggere il valore dell'impostazione per assicurarsi che sia stato aggiornato correttamente:
```
Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups | fl Values
```

Riferimento alla sintassi cmdlet

Per altre informazioni su Azure Active Directory PowerShell, consultare la documentazione sui cmdlet di Azure Active Directory.

Gestire le impostazioni del gruppo con Microsoft Graph

Per configurare e gestire le impostazioni del gruppo usando Microsoft Graph, vedere il tipo di risorsa groupSetting e i relativi metodi associati.