Microsoft Entra-cmdlets voor het configureren van groepsinstellingen

Dit artikel bevat instructies voor het gebruik van PowerShell-cmdlets voor het maken en bijwerken van groepen in Microsoft Entra ID, onderdeel van Microsoft Entra. Deze inhoud is alleen van toepassing op Microsoft 365-groepen (ook wel geïntegreerde groepen genoemd).

Belangrijk

Voor sommige instellingen is een Licentie voor Microsoft Entra ID P1 vereist. Zie de tabel Sjablooninstellingen voor meer informatie.

Voor meer informatie over het voorkomen dat gebruikers zonder beheerdersrechten beveiligingsgroepen maken, stelt u de AllowedToCreateSecurityGroups eigenschap in op False, zoals beschreven in Update-MgPolicyAuthorizationPolicy.

Instellingen voor Microsoft 365-groepen worden geconfigureerd met behulp van een Instellingen-object en een Instellingen Template-object. In eerste instantie ziet u geen Instellingen objecten in uw map, omdat uw map is geconfigureerd met de standaardinstellingen. Als u de standaardinstellingen wilt wijzigen, moet u een nieuw instellingenobject maken met behulp van een instellingensjabloon. Instellingen sjablonen worden gedefinieerd door Microsoft. Er zijn verschillende instellingensjablonen. Als u microsoft 365-groepsinstellingen voor uw directory wilt configureren, gebruikt u de sjabloon 'Group.Unified'. Als u microsoft 365-groepsinstellingen voor één groep wilt configureren, gebruikt u de sjabloon 'Group.Unified.Guest'. Deze sjabloon wordt gebruikt voor het beheren van gasttoegang tot een Microsoft 365-groep.

De cmdlets maken deel uit van de Microsoft Graph PowerShell-module . Zie De Microsoft Graph PowerShell SDK installeren voor instructies voor het downloaden en installeren van de module op uw computer.

Belangrijk

Azure AD PowerShell is gepland voor afschaffing op 30 maart 2024. Lees de afschaffingsupdate voor meer informatie. Het is raadzaam om te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Microsoft Graph PowerShell biedt toegang tot alle Microsoft Graph API's en is beschikbaar in PowerShell 7. Zie de veelgestelde vragen over migratie voor antwoorden op veelvoorkomende migratiequery's.

Notitie

Nu de instellingen zijn ingesteld om de toevoeging van gasten aan Microsoft 365 Groepen te beperken, voegen beheerders nog steeds gastgebruikers toe aan Microsoft 365 Groepen. Met deze instelling kunnen niet-beheerders geen gastgebruikers toevoegen aan Microsoft 365-groepen.

PowerShell-cmdlets installeren

Installeer de Microsoft Graph-cmdlets zoals beschreven in De Microsoft Graph PowerShell SDK installeren.

1. Open de Windows PowerShell-app als beheerder.

2. Installeer de Microsoft Graph-cmdlets.

   Install-Module Microsoft.Graph -Scope AllUsers
   

3. Installeer de bèta-cmdlets van Microsoft Graph.

   Install-Module Microsoft.Graph.Beta -Scope AllUsers
   

Instellingen maken op directoryniveau

Met deze stappen maakt u instellingen op directoryniveau, die van toepassing zijn op alle Microsoft 365-groepen in de map.

1. In de cmdlets Directory Instellingen moet u de id opgeven van de Instellingen Template die u wilt gebruiken. Als u deze id niet weet, retourneert deze cmdlet de lijst met alle instellingensjablonen:

   Get-MgBetaDirectorySettingTemplate
   

   Met deze cmdlet-aanroep worden alle beschikbare sjablonen geretourneerd:

   Id                                   DisplayName         Description
   --                                   -----------         -----------
   62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
   08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
   16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
   4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
   898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
   5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...
   

2. Als u een URL voor de gebruiksrichtlijn wilt toevoegen, moet u eerst het Instellingen Template-object ophalen dat de URL-waarde voor de gebruiksrichtlijn definieert; dat wil weten de sjabloon Group.Unified:

   $TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
   $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
   

3. Maak een object dat waarden bevat die moeten worden gebruikt voor de mapinstelling. Deze waarden wijzigen de waarde van de gebruiksrichtlijn en schakelen vertrouwelijkheidslabels in. Stel deze of een andere instelling in de sjabloon in zoals vereist:

   $params = @{
      templateId = "$TemplateId"
      values = @(
         @{
            name = "UsageGuidelinesUrl"
            value = "https://guideline.example.com"
         }
         @{
            name = "EnableMIPLabels"
            value = "True"
         }
      )
   }
   

4. Maak de mapinstelling met behulp van new-MgBetaDirectorySetting:

   New-MgBetaDirectorySetting -BodyParameter $params
   

5. U kunt de waarden lezen met behulp van de volgende opdrachten:

   $Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
   $Setting.Values
   

Instellingen op directoryniveau bijwerken

Als u de waarde voor UsageGuideLinesUrl in de instellingssjabloon wilt bijwerken, leest u de huidige instellingen van Microsoft Entra-id, anders kunnen we bestaande instellingen overschrijven dan de UsageGuideLinesUrl.

1. Haal de huidige instellingen op uit de Group.Unified Instellingen Template:

   $Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
   

2. Controleer de huidige instellingen:

   $Setting.Values
   

   Met deze opdracht worden de volgende waarden geretourneerd:

   Name                            Value
   ----                            -----
   EnableMIPLabels                 True
   CustomBlockedWordsList
   EnableMSStandardBlockedWords    False
   ClassificationDescriptions
   DefaultClassification
   PrefixSuffixNamingRequirement
   AllowGuestsToBeGroupOwner       False
   AllowGuestsToAccessGroups       True
   GuestUsageGuidelinesUrl
   GroupCreationAllowedGroupId
   AllowToAddGuests                True
   UsageGuidelinesUrl              https://guideline.example.com
   ClassificationList
   EnableGroupCreation             True
   NewUnifiedGroupWritebackDefault True
   

3. Als u de waarde van UsageGuideLinesUrl wilt verwijderen, bewerkt u de URL als een lege tekenreeks:

   $params = @{
      Values = @(
         @{
            Name = "UsageGuidelinesUrl"
            Value = ""
         }
      )
   }
   

4. Werk de waarde bij met behulp van de cmdlet Update-MgBetaDirectorySetting :

   Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params
   

Sjablooninstellingen

Dit zijn de instellingen die zijn gedefinieerd in de Group.Unified Instellingen Template. Tenzij anders aangegeven, is voor deze functies een Microsoft Entra ID P1-licentie vereist.

Instelling	Beschrijving
EnableGroupCreation Type: Booleaans Standaardwaarde: waar	De vlag die aangeeft of het maken van Microsoft 365-groepen is toegestaan in de directory door niet-beheerders. Voor deze instelling is geen Licentie voor Microsoft Entra ID P1 vereist.
GroupCreationAllowedGroupId Type: Tekenreeks Standaard: ""	GUID van de beveiligingsgroep waarvoor de leden Microsoft 365-groepen mogen maken, zelfs als EnableGroupCreation == false.
UsageGuidelinesUrl Type: Tekenreeks Standaard: ""	Een koppeling naar de richtlijnen voor groepsgebruik.
ClassificationDescriptions Type: Tekenreeks Standaard: ""	Een door komma's gescheiden lijst met classificatiebeschrijvingen. De waarde van ClassificationDescriptions is alleen geldig in deze indeling: $setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description" waarbij classificatie overeenkomt met een vermelding in de ClassificationList. Deze instelling is niet van toepassing wanneer EnableMIPLabels == True. Tekenlimiet voor eigenschap ClassificationDescriptions is 300 en komma's kunnen niet worden ontsnapt,
DefaultClassification Type: Tekenreeks Standaard: ""	De classificatie die moet worden gebruikt als de standaardclassificatie voor een groep als er geen is opgegeven. Deze instelling is niet van toepassing wanneer EnableMIPLabels == True.
Voorvoegsels AchtervoegselNamingRequirement Type: Tekenreeks Standaard: ""	Tekenreeks van maximaal 64 tekens die de naamconventie definieert die is geconfigureerd voor Microsoft 365-groepen. Zie Een naamgevingsbeleid afdwingen voor Microsoft 365-groepen voor meer informatie.
CustomBlockedWordsList Type: Tekenreeks Standaard: ""	Door komma's gescheiden tekenreeksen die gebruikers niet mogen gebruiken in groepsnamen of aliassen. Zie Een naamgevingsbeleid afdwingen voor Microsoft 365-groepen voor meer informatie.
EnableMSStandardBlockedWords Type: Booleaans Standaard: 'Onwaar'	Afgeschaft. Niet gebruiken.
AllowGuestsToBeGroupOwner Type: Booleaans Standaardwaarde: False.	Booleaanse waarde die aangeeft of een gastgebruiker een eigenaar van groepen kan zijn.
AllowGuestsToAccessGroups Type: Booleaans Standaardwaarde: waar	Booleaanse waarde die aangeeft of een gastgebruiker toegang heeft tot inhoud van Microsoft 365-groepen. Voor deze instelling is geen Licentie voor Microsoft Entra ID P1 vereist.
GuestUsageGuidelinesUrl Type: Tekenreeks Standaard: ""	De URL van een koppeling naar de richtlijnen voor gastgebruik.
AllowToAddGuests Type: Booleaans Standaardwaarde: waar	Een Booleaanse waarde die aangeeft of gasten wel of niet mogen worden toegevoegd aan deze directory. Deze instelling kan worden overschreven en wordt alleen-lezen als EnableMIPLabels is ingesteld op Waar en een gastbeleid is gekoppeld aan het gevoeligheidslabel dat aan de groep is toegewezen. Als de instelling AllowToAddGuests is ingesteld op False op organisatieniveau, wordt de instelling AllowToAddGuests op groepsniveau genegeerd. Als u gasttoegang wilt inschakelen voor slechts een paar groepen, moet u AllowToAddGuests instellen op waar op organisatieniveau en deze vervolgens selectief uitschakelen voor specifieke groepen.
ClassificationList Type: Tekenreeks Standaard: ""	Een door komma's gescheiden lijst met geldige classificatiewaarden die kunnen worden toegepast op Microsoft 365-groepen. Deze instelling is niet van toepassing wanneer EnableMIPLabels == True.
EnableMIPLabels Type: Booleaans Standaard: 'Onwaar'	De vlag die aangeeft of vertrouwelijkheidslabels die zijn gepubliceerd in Microsoft Purview-nalevingsportal kunnen worden toegepast op Microsoft 365-groepen. Zie Vertrouwelijkheidslabels toewijzen voor Microsoft 365-groepen voor meer informatie.
NewUnifiedGroupWritebackDefault Type: Booleaans Standaard: 'Waar'	De vlag waarmee een beheerder nieuwe Microsoft 365-groepen kan maken zonder het resourcetype groupWritebackConfiguration in de nettolading van de aanvraag in te stellen. Deze instelling is van toepassing wanneer groeps terugschrijven is geconfigureerd in Microsoft Entra Verbinding maken. NewUnifiedGroupWritebackDefault is een globale Microsoft 365-groepsinstelling. De standaardwaarde is true. Als u de instellingswaarde bijwerkt op false, wordt het standaardgedrag voor terugschrijven voor nieuw gemaakte Microsoft 365-groepen gewijzigd en wordt de eigenschapswaarde isEnabled niet gewijzigd voor bestaande Microsoft 365-groepen. Groepsbeheerder moet de eigenschapswaarde isEnabled expliciet bijwerken om de terugschrijfstatus voor bestaande Microsoft 365-groepen te wijzigen.

Voorbeeld: Gastbeleid configureren voor groepen op directoryniveau

1. Alle instellingssjablonen ophalen:

   Get-MgBetaDirectorySettingTemplate
   

2. Als u gastbeleid wilt instellen voor groepen op directoryniveau, hebt u de group.unified-sjabloon nodig.

   $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ
   

3. Stel een waarde in voor AllowToAddGuests voor de opgegeven sjabloon:

   $params = @{
      templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
      values = @(
         @{
            name = "AllowToAddGuests"
            value = "False"
         }
      )
   }
   

4. Maak vervolgens een nieuw instellingenobject met behulp van de cmdlet New-MgBetaDirectorySetting :

   $Setting = New-MgBetaDirectorySetting -BodyParameter $params
   

5. U kunt de waarden lezen met behulp van:

   $Setting.Values
   

Instellingen lezen op directoryniveau

Als u de naam weet van de instelling die u wilt ophalen, kunt u de onderstaande cmdlet gebruiken om de huidige waarde voor instellingen op te halen. In dit voorbeeld wordt de waarde opgehaald voor een instelling met de naam UsageGuidelinesUrl.

(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ

Deze stappen lezen instellingen op adreslijstniveau, die van toepassing zijn op alle Office-groepen in de directory.

1. Alle bestaande mapinstellingen lezen:

   Get-MgBetaDirectorySetting -All
   

   Met deze cmdlet wordt een lijst met alle mapinstellingen geretourneerd:

   Id                                   DisplayName   TemplateId                           Values
   --                                   -----------   ----------                           ------
   c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...
   

2. Alle instellingen voor een specifieke groep lezen:

   Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"
   

3. Lees alle waarden voor mapinstellingen van een specifiek object voor mapinstellingen met behulp van Instellingen ID-GUID:

   (Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values
   

   Deze cmdlet retourneert de namen en waarden in dit instellingenobject voor deze specifieke groep:

   Name                          Value
   ----                          -----
   ClassificationDescriptions
   DefaultClassification
   PrefixSuffixNamingRequirement
   CustomBlockedWordsList        
   AllowGuestsToBeGroupOwner     False 
   AllowGuestsToAccessGroups     True
   GuestUsageGuidelinesUrl
   GroupCreationAllowedGroupId
   AllowToAddGuests              True
   UsageGuidelinesUrl            https://guideline.example.com
   ClassificationList
   EnableGroupCreation           True
   

Instellingen verwijderen op directoryniveau

Met deze stap verwijdert u instellingen op adreslijstniveau, die van toepassing zijn op alle Office-groepen in de adreslijst.

Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"

Instellingen voor een specifieke groep maken

1. Haal de instellingensjablonen op.

   Get-MgBetaDirectorySettingTemplate
   

2. Zoek in de resultaten naar de instellingensjabloon met de naam Groups.Unified.Guest:

   Id                                   DisplayName            Description
   --                                   -----------            -----------
   62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
   08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
   4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
   898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
   5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...
   

3. Haal het sjabloonobject op voor de groups.Unified.Guest-sjabloon:

   $Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ
   

4. Haal de id op van de groep waarop u deze instelling wilt toepassen:

   $GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
   

5. Maak de nieuwe instelling:

   $params = @{
      templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9"
      values = @(
         @{
            name = "AllowToAddGuests"
            value = "False"
         }
      )
   }
   

6. Maak de groepsinstelling:

   New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params
   

7. Voer deze opdracht uit om de instellingen te controleren:

   Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
   

Instellingen voor een specifieke groep bijwerken

1. Haal de id op van de groep waarvan u de instelling wilt bijwerken:

   $groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
   

2. Haal de instelling van de groep op:

   $Setting = Get-MgBetaGroupSetting -GroupId $GroupId
   

3. Werk de instelling van de groep bij zoals u nodig hebt:

   $params = @{
      values = @(
         @{
            name = "AllowToAddGuests"
            value = "True"
         }
      )
   }
   

4. Vervolgens kunt u de nieuwe waarde voor deze instelling instellen:

   Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params
   

5. U kunt de waarde van de instelling lezen om te controleren of deze correct is bijgewerkt:

   Get-MgBetaGroupSetting -GroupId $GroupId  | FL Values
   

Naslaginformatie over cmdletsyntaxis

Meer documentatie over Microsoft Graph PowerShell vindt u in Microsoft Entra Cmdlets.

Groepsinstellingen beheren met Microsoft Graph

Zie het resourcetype en de groupSetting bijbehorende methoden om groepsinstellingen te configureren en te beheren met Behulp van Microsoft Graph.

Meer artikelen

• Toegang tot resources beheren met Microsoft Entra-groepen
• Uw on-premises identiteiten integreren met Microsoft Entra-id