Microsoft Entra-cmdlets voor het configureren van groepsinstellingen
Dit artikel bevat instructies voor het gebruik van PowerShell-cmdlets voor het maken en bijwerken van groepen in Microsoft Entra ID, onderdeel van Microsoft Entra. Deze inhoud is alleen van toepassing op Microsoft 365-groepen (ook wel geïntegreerde groepen genoemd).
Belangrijk
Voor sommige instellingen is een Licentie voor Microsoft Entra ID P1 vereist. Zie de tabel Sjablooninstellingen voor meer informatie.
Voor meer informatie over het voorkomen dat gebruikers zonder beheerdersrechten beveiligingsgroepen maken, stelt u de AllowedToCreateSecurityGroups
eigenschap in op False, zoals beschreven in Update-MgPolicyAuthorizationPolicy.
Instellingen voor Microsoft 365-groepen worden geconfigureerd met behulp van een Instellingen-object en een Instellingen Template-object. In eerste instantie ziet u geen Instellingen objecten in uw map, omdat uw map is geconfigureerd met de standaardinstellingen. Als u de standaardinstellingen wilt wijzigen, moet u een nieuw instellingenobject maken met behulp van een instellingensjabloon. Instellingen sjablonen worden gedefinieerd door Microsoft. Er zijn verschillende instellingensjablonen. Als u microsoft 365-groepsinstellingen voor uw directory wilt configureren, gebruikt u de sjabloon 'Group.Unified'. Als u microsoft 365-groepsinstellingen voor één groep wilt configureren, gebruikt u de sjabloon 'Group.Unified.Guest'. Deze sjabloon wordt gebruikt voor het beheren van gasttoegang tot een Microsoft 365-groep.
De cmdlets maken deel uit van de Microsoft Graph PowerShell-module . Zie De Microsoft Graph PowerShell SDK installeren voor instructies voor het downloaden en installeren van de module op uw computer.
Notitie
Azure AD- en MSOnline PowerShell-modules zijn vanaf 30 maart 2024 afgeschaft. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot migratieondersteuning voor Microsoft Graph PowerShell SDK en beveiligingsoplossingen. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.
Het is raadzaam om te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: versies 1.0.x van MSOnline kunnen na 30 juni 2024 onderbrekingen ondervinden.
Notitie
Nu de instellingen zijn ingesteld om de toevoeging van gasten aan Microsoft 365 Groepen te beperken, voegen beheerders nog steeds gastgebruikers toe aan Microsoft 365 Groepen. Met deze instelling kunnen niet-beheerders geen gastgebruikers toevoegen aan Microsoft 365-groepen.
PowerShell-cmdlets installeren
Installeer de Microsoft Graph-cmdlets zoals beschreven in De Microsoft Graph PowerShell SDK installeren.
Open de Windows PowerShell-app als beheerder.
Installeer de Microsoft Graph-cmdlets.
Install-Module Microsoft.Graph -Scope AllUsers
Installeer de bèta-cmdlets van Microsoft Graph.
Install-Module Microsoft.Graph.Beta -Scope AllUsers
Instellingen maken op directoryniveau
Met deze stappen maakt u instellingen op directoryniveau, die van toepassing zijn op alle Microsoft 365-groepen in de map.
In de cmdlets Directory Instellingen moet u de id opgeven van de Instellingen Template die u wilt gebruiken. Als u deze id niet weet, retourneert deze cmdlet de lijst met alle instellingensjablonen:
Get-MgBetaDirectorySettingTemplate
Met deze cmdlet-aanroep worden alle beschikbare sjablonen geretourneerd:
Id DisplayName Description -- ----------- ----------- 62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified ... 08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group 16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn Setting templates define the different settings that can be used for the associ... 4bc7f740-180e-4586-adb6-38b2e9024e6b Application... 898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ... 5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...
Als u een URL voor de gebruiksrichtlijn wilt toevoegen, moet u eerst het Instellingen Template-object ophalen dat de URL-waarde voor de gebruiksrichtlijn definieert; dat wil weten de sjabloon Group.Unified:
$TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
Maak een object dat waarden bevat die moeten worden gebruikt voor de mapinstelling. Deze waarden wijzigen de waarde van de gebruiksrichtlijn en schakelen vertrouwelijkheidslabels in. Stel deze of een andere instelling in de sjabloon in zoals vereist:
$params = @{ templateId = "$TemplateId" values = @( @{ name = "UsageGuidelinesUrl" value = "https://guideline.example.com" } @{ name = "EnableMIPLabels" value = "True" } ) }
Maak de mapinstelling met behulp van new-MgBetaDirectorySetting:
New-MgBetaDirectorySetting -BodyParameter $params
U kunt de waarden lezen met behulp van de volgende opdrachten:
$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"} $Setting.Values
Instellingen op directoryniveau bijwerken
Als u de waarde voor UsageGuideLinesUrl in de instellingssjabloon wilt bijwerken, leest u de huidige instellingen van Microsoft Entra-id, anders kunnen we bestaande instellingen overschrijven dan de UsageGuideLinesUrl.
Haal de huidige instellingen op uit de Group.Unified Instellingen Template:
$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
Controleer de huidige instellingen:
$Setting.Values
Met deze opdracht worden de volgende waarden geretourneerd:
Name Value ---- ----- EnableMIPLabels True CustomBlockedWordsList EnableMSStandardBlockedWords False ClassificationDescriptions DefaultClassification PrefixSuffixNamingRequirement AllowGuestsToBeGroupOwner False AllowGuestsToAccessGroups True GuestUsageGuidelinesUrl GroupCreationAllowedGroupId AllowToAddGuests True UsageGuidelinesUrl https://guideline.example.com ClassificationList EnableGroupCreation True NewUnifiedGroupWritebackDefault True
Als u de waarde van UsageGuideLinesUrl wilt verwijderen, bewerkt u de URL als een lege tekenreeks:
$params = @{ Values = @( @{ Name = "UsageGuidelinesUrl" Value = "" } ) }
Werk de waarde bij met behulp van de cmdlet Update-MgBetaDirectorySetting :
Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params
Sjablooninstellingen
Dit zijn de instellingen die zijn gedefinieerd in de Group.Unified Instellingen Template. Tenzij anders aangegeven, is voor deze functies een Microsoft Entra ID P1-licentie vereist.
Instelling | Beschrijving |
---|---|
|
De vlag die aangeeft of het maken van Microsoft 365-groepen is toegestaan in de directory door niet-beheerders. Voor deze instelling is geen Licentie voor Microsoft Entra ID P1 vereist. |
|
GUID van de beveiligingsgroep waarvoor de leden Microsoft 365-groepen mogen maken, zelfs als EnableGroupCreation == false. |
|
Een koppeling naar de richtlijnen voor groepsgebruik. |
|
Een door komma's gescheiden lijst met classificatiebeschrijvingen. De waarde van ClassificationDescriptions is alleen geldig in deze indeling: $setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description" waarbij classificatie overeenkomt met een vermelding in de ClassificationList. Deze instelling is niet van toepassing wanneer EnableMIPLabels == True. Tekenlimiet voor eigenschap ClassificationDescriptions is 300 en komma's kunnen niet worden ontsnapt, |
|
De classificatie die moet worden gebruikt als de standaardclassificatie voor een groep als er geen is opgegeven. Deze instelling is niet van toepassing wanneer EnableMIPLabels == True. |
|
Tekenreeks van maximaal 64 tekens die de naamconventie definieert die is geconfigureerd voor Microsoft 365-groepen. Zie Een naamgevingsbeleid afdwingen voor Microsoft 365-groepen voor meer informatie. |
|
Door komma's gescheiden tekenreeksen die gebruikers niet mogen gebruiken in groepsnamen of aliassen. Zie Een naamgevingsbeleid afdwingen voor Microsoft 365-groepen voor meer informatie. |
|
Afgeschaft. Niet gebruiken. |
|
Booleaanse waarde die aangeeft of een gastgebruiker een eigenaar van groepen kan zijn. |
|
Booleaanse waarde die aangeeft of een gastgebruiker toegang heeft tot inhoud van Microsoft 365-groepen. Voor deze instelling is geen Licentie voor Microsoft Entra ID P1 vereist. |
|
De URL van een koppeling naar de richtlijnen voor gastgebruik. |
|
Een Booleaanse waarde die aangeeft of gasten wel of niet mogen worden toegevoegd aan deze directory. Deze instelling kan worden overschreven en wordt alleen-lezen als EnableMIPLabels is ingesteld op Waar en een gastbeleid is gekoppeld aan het gevoeligheidslabel dat aan de groep is toegewezen. Als de instelling AllowToAddGuests is ingesteld op False op organisatieniveau, wordt de instelling AllowToAddGuests op groepsniveau genegeerd. Als u gasttoegang wilt inschakelen voor slechts een paar groepen, moet u AllowToAddGuests instellen op waar op organisatieniveau en deze vervolgens selectief uitschakelen voor specifieke groepen. |
|
Een door komma's gescheiden lijst met geldige classificatiewaarden die kunnen worden toegepast op Microsoft 365-groepen. Deze instelling is niet van toepassing wanneer EnableMIPLabels == True. |
|
De vlag die aangeeft of vertrouwelijkheidslabels die zijn gepubliceerd in Microsoft Purview-nalevingsportal kunnen worden toegepast op Microsoft 365-groepen. Zie Vertrouwelijkheidslabels toewijzen voor Microsoft 365-groepen voor meer informatie. |
|
De vlag waarmee een beheerder nieuwe Microsoft 365-groepen kan maken zonder het resourcetype groupWritebackConfiguration in de nettolading van de aanvraag in te stellen. Deze instelling is van toepassing wanneer groeps terugschrijven is geconfigureerd in Microsoft Entra Verbinding maken. NewUnifiedGroupWritebackDefault is een globale Microsoft 365-groepsinstelling. De standaardwaarde is true. Als u de instellingswaarde bijwerkt op false, wordt het standaardgedrag voor terugschrijven voor nieuw gemaakte Microsoft 365-groepen gewijzigd en wordt de eigenschapswaarde isEnabled niet gewijzigd voor bestaande Microsoft 365-groepen. Groepsbeheerder moet de eigenschapswaarde isEnabled expliciet bijwerken om de terugschrijfstatus voor bestaande Microsoft 365-groepen te wijzigen. |
Voorbeeld: Gastbeleid configureren voor groepen op directoryniveau
Alle instellingssjablonen ophalen:
Get-MgBetaDirectorySettingTemplate
Als u gastbeleid wilt instellen voor groepen op directoryniveau, hebt u de group.unified-sjabloon nodig.
$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ
Stel een waarde in voor AllowToAddGuests voor de opgegeven sjabloon:
$params = @{ templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b" values = @( @{ name = "AllowToAddGuests" value = "False" } ) }
Maak vervolgens een nieuw instellingenobject met behulp van de cmdlet New-MgBetaDirectorySetting :
$Setting = New-MgBetaDirectorySetting -BodyParameter $params
U kunt de waarden lezen met behulp van:
$Setting.Values
Instellingen lezen op directoryniveau
Als u de naam weet van de instelling die u wilt ophalen, kunt u de onderstaande cmdlet gebruiken om de huidige waarde voor instellingen op te halen. In dit voorbeeld wordt de waarde opgehaald voor een instelling met de naam UsageGuidelinesUrl.
(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ
Deze stappen lezen instellingen op adreslijstniveau, die van toepassing zijn op alle Office-groepen in de directory.
Alle bestaande mapinstellingen lezen:
Get-MgBetaDirectorySetting -All
Met deze cmdlet wordt een lijst met alle mapinstellingen geretourneerd:
Id DisplayName TemplateId Values -- ----------- ---------- ------ c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...
Alle instellingen voor een specifieke groep lezen:
Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"
Lees alle waarden voor mapinstellingen van een specifiek object voor mapinstellingen met behulp van Instellingen ID-GUID:
(Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values
Deze cmdlet retourneert de namen en waarden in dit instellingenobject voor deze specifieke groep:
Name Value ---- ----- ClassificationDescriptions DefaultClassification PrefixSuffixNamingRequirement CustomBlockedWordsList AllowGuestsToBeGroupOwner False AllowGuestsToAccessGroups True GuestUsageGuidelinesUrl GroupCreationAllowedGroupId AllowToAddGuests True UsageGuidelinesUrl https://guideline.example.com ClassificationList EnableGroupCreation True
Instellingen verwijderen op directoryniveau
Met deze stap verwijdert u instellingen op adreslijstniveau, die van toepassing zijn op alle Office-groepen in de adreslijst.
Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"
Instellingen voor een specifieke groep maken
Haal de instellingensjablonen op.
Get-MgBetaDirectorySettingTemplate
Zoek in de resultaten naar de instellingensjabloon met de naam Groups.Unified.Guest:
Id DisplayName Description -- ----------- ----------- 62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified ... 08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group 4bc7f740-180e-4586-adb6-38b2e9024e6b Application ... 898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ... 5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...
Haal het sjabloonobject op voor de groups.Unified.Guest-sjabloon:
$Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ
Haal de id op van de groep waarop u deze instelling wilt toepassen:
$GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
Maak de nieuwe instelling:
$params = @{ templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9" values = @( @{ name = "AllowToAddGuests" value = "False" } ) }
Maak de groepsinstelling:
New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params
Voer deze opdracht uit om de instellingen te controleren:
Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
Instellingen voor een specifieke groep bijwerken
Haal de id op van de groep waarvan u de instelling wilt bijwerken:
$groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
Haal de instelling van de groep op:
$Setting = Get-MgBetaGroupSetting -GroupId $GroupId
Werk de instelling van de groep bij zoals u nodig hebt:
$params = @{ values = @( @{ name = "AllowToAddGuests" value = "True" } ) }
Vervolgens kunt u de nieuwe waarde voor deze instelling instellen:
Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params
U kunt de waarde van de instelling lezen om te controleren of deze correct is bijgewerkt:
Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
Naslaginformatie over cmdletsyntaxis
Meer documentatie over Microsoft Graph PowerShell vindt u in Microsoft Entra Cmdlets.
Groepsinstellingen beheren met Microsoft Graph
Zie het resourcetype en de groupSetting
bijbehorende methoden om groepsinstellingen te configureren en te beheren met Behulp van Microsoft Graph.