Polecenia cmdlet firmy Microsoft Entra służące do konfigurowania ustawień grupy

Artykuł
02/24/2024

Ten artykuł zawiera instrukcje dotyczące używania poleceń cmdlet programu PowerShell do tworzenia i aktualizowania grup w usłudze Microsoft Entra ID, części firmy Microsoft Entra. Ta zawartość dotyczy tylko grup platformy Microsoft 365 (czasami nazywanych ujednoliconymi grupami).

Ważne

Niektóre ustawienia wymagają licencji Microsoft Entra ID P1. Aby uzyskać więcej informacji, zobacz tabelę Ustawienia szablonu.

Aby uzyskać więcej informacji na temat zapobiegania tworzeniu grup zabezpieczeń przez użytkowników niebędących administratorami, ustaw AllowedToCreateSecurityGroups właściwość na False zgodnie z opisem w temacie Update-MgPolicyAuthorizationPolicyPolicy.

Ustawienia grup platformy Microsoft 365 są konfigurowane przy użyciu obiektu Ustawienia i obiektu Ustawienia Template. Początkowo nie widzisz żadnych obiektów Ustawienia w katalogu, ponieważ katalog jest skonfigurowany z ustawieniami domyślnymi. Aby zmienić ustawienia domyślne, należy utworzyć nowy obiekt ustawień przy użyciu szablonu ustawień. szablony Ustawienia są definiowane przez firmę Microsoft. Istnieje kilka różnych szablonów ustawień. Aby skonfigurować ustawienia grupy platformy Microsoft 365 dla katalogu, należy użyć szablonu o nazwie "Group.Unified". Aby skonfigurować ustawienia grupy platformy Microsoft 365 w jednej grupie, użyj szablonu o nazwie "Group.Unified.Guest". Ten szablon służy do zarządzania dostępem gościa do grupy platformy Microsoft 365.

Polecenia cmdlet są częścią modułu Microsoft Graph PowerShell . Aby uzyskać instrukcje dotyczące pobierania i instalowania modułu na komputerze, zobacz Instalowanie zestawu MICROSOFT Graph PowerShell SDK.

Uwaga

Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Uwaga

Po ustawieniu, aby ograniczyć dodawanie gości do Grupy Microsoft 365, administratorzy nadal będą dodawać użytkowników-gości do Grupy Microsoft 365. To ustawienie ograniczy użytkownikom niebędącym administratorami możliwość dodawania użytkowników-gości do grup platformy Microsoft 365.

Zainstaluj polecenia cmdlet programu PowerShell

Zainstaluj polecenia cmdlet programu Microsoft Graph zgodnie z opisem w temacie Instalowanie zestawu MICROSOFT Graph PowerShell SDK.

Otwórz aplikację Windows PowerShell jako administrator.
Zainstaluj polecenia cmdlet programu Microsoft Graph.
```
Install-Module Microsoft.Graph -Scope AllUsers
```
Zainstaluj polecenia cmdlet programu Microsoft Graph w wersji beta.
```
Install-Module Microsoft.Graph.Beta -Scope AllUsers
```

Tworzenie ustawień na poziomie katalogu

Te kroki umożliwiają utworzenie ustawień na poziomie katalogu, które mają zastosowanie do wszystkich grup platformy Microsoft 365 w katalogu.

W poleceniach cmdlet Directory Ustawienia należy określić identyfikator Ustawienia Template, którego chcesz użyć. Jeśli nie znasz tego identyfikatora, to polecenie cmdlet zwraca listę wszystkich szablonów ustawień:

Get-MgBetaDirectorySettingTemplate

To wywołanie polecenia cmdlet zwraca wszystkie dostępne szablony:

Id                                   DisplayName         Description
--                                   -----------         -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...

Aby dodać adres URL wytycznych dotyczących użycia, najpierw musisz uzyskać obiekt Ustawienia Template, który definiuje wartość adresu URL wytycznych dotyczących użycia, czyli szablon Group.Unified:
```
$TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
```
Utwórz obiekt zawierający wartości, które mają być używane dla ustawienia katalogu. Te wartości zmieniają wartość wytycznych dotyczących użycia i włączają etykiety poufności. Ustaw następujące lub inne ustawienie w szablonie zgodnie z wymaganiami:
```
$params = @{
   templateId = "$TemplateId"
   values = @(
      @{
         name = "UsageGuidelinesUrl"
         value = "https://guideline.example.com"
      }
      @{
         name = "EnableMIPLabels"
         value = "True"
      }
   )
}
```
Utwórz ustawienie katalogu przy użyciu polecenia New-MgBetaDirectorySetting:
```
New-MgBetaDirectorySetting -BodyParameter $params
```

Wartości można odczytać przy użyciu następujących poleceń:

$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
$Setting.Values

Aktualizowanie ustawień na poziomie katalogu

Aby zaktualizować wartość elementu UsageGuideLinesUrl w szablonie ustawienia, przeczytaj bieżące ustawienia z identyfikatora Entra firmy Microsoft. W przeciwnym razie można zastąpić istniejące ustawienia inne niż UsageGuideLinesUrl.

Pobierz bieżące ustawienia z Ustawienia Group.UnifiedTemplate:

$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}

Sprawdź bieżące ustawienia:

$Setting.Values

To polecenie zwraca następujące wartości:

Name                            Value
----                            -----
EnableMIPLabels                 True
CustomBlockedWordsList
EnableMSStandardBlockedWords    False
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
AllowGuestsToBeGroupOwner       False
AllowGuestsToAccessGroups       True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests                True
UsageGuidelinesUrl              https://guideline.example.com
ClassificationList
EnableGroupCreation             True
NewUnifiedGroupWritebackDefault True

Aby usunąć wartość UsageGuideLinesUrl, edytuj adres URL, aby był pustym ciągiem:

$params = @{
   Values = @(
      @{
         Name = "UsageGuidelinesUrl"
         Value = ""
      }
   )
}

Zaktualizuj wartość za pomocą polecenia cmdlet Update-MgBetaDirectorySetting :

Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params

Ustawienia szablonu

Poniżej przedstawiono ustawienia zdefiniowane w pliku Group.Unified Ustawienia Template. O ile nie określono inaczej, te funkcje wymagają licencji Microsoft Entra ID P1.

Ustawienie	Opis
EnableGroupCreation Typ: wartość logiczna Domyślnie: prawda	Flaga wskazująca, czy tworzenie grupy platformy Microsoft 365 jest dozwolone w katalogu przez użytkowników niebędących administratorami. To ustawienie nie wymaga licencji Microsoft Entra ID P1.
GroupCreationAllowedGroupId Typ: ciąg Ustawienie domyślne: ""	Identyfikator GUID grupy zabezpieczeń, dla której członkowie mogą tworzyć grupy platformy Microsoft 365 nawet wtedy, gdy enableGroupCreation == false.
UsageGuidelinesUrl Typ: ciąg Ustawienie domyślne: ""	Link do wytycznych dotyczących użycia grup.
KlasyfikacjaDescriptions Typ: ciąg Ustawienie domyślne: ""	Rozdzielana przecinkami lista opisów klasyfikacji. Wartość classificationDescriptions jest prawidłowa tylko w tym formacie: $setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description" gdzie klasyfikacja pasuje do wpisu w classificationList. To ustawienie nie ma zastosowania, gdy EnableMIPLabels == True. Limit znaków dla właściwości ClassificationDescriptions wynosi 300, a przecinki nie mogą być ucieczki,
DefaultClassification Typ: ciąg Ustawienie domyślne: ""	Klasyfikacja, która ma być używana jako domyślna klasyfikacja dla grupy, jeśli żadna z nich nie została określona. To ustawienie nie ma zastosowania, gdy EnableMIPLabels == True.
PrefixSuffixNamingRequirement Typ: ciąg Ustawienie domyślne: ""	Ciąg o maksymalnej długości 64 znaków, który definiuje konwencję nazewnictwa skonfigurowaną dla grup platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Wymuszanie zasad nazewnictwa dla grup platformy Microsoft 365.
CustomBlockedWordsList Typ: ciąg Ustawienie domyślne: ""	Rozdzielany przecinkami ciąg fraz, których użytkownicy nie będą mogli używać w nazwach grup lub aliasach. Aby uzyskać więcej informacji, zobacz Wymuszanie zasad nazewnictwa dla grup platformy Microsoft 365.
EnableMSStandardBlockedWords Typ: wartość logiczna Ustawienie domyślne: "Fałsz"	Przestarzałe. Nie używaj.
AllowGuestsToBeGroupOwner Typ: wartość logiczna Domyślna: Fałsz	Wartość logiczna wskazująca, czy użytkownik-gość może być właścicielem grup.
AllowGuestsToAccessGroups Typ: wartość logiczna Domyślnie: prawda	Wartość logiczna wskazująca, czy użytkownik-gość może mieć dostęp do zawartości grup platformy Microsoft 365. To ustawienie nie wymaga licencji Microsoft Entra ID P1.
GuestUsageGuidelinesUrl Typ: ciąg Ustawienie domyślne: ""	Adres URL linku do wytycznych dotyczących użycia gościa.
AllowToAddGuests Typ: wartość logiczna Domyślnie: prawda	Wartość logiczna wskazująca, czy można dodać gości do tego katalogu. To ustawienie może zostać zastąpione i stać się tylko do odczytu, jeśli właściwość EnableMIPLabels jest ustawiona na wartość True , a zasady gościa są skojarzone z etykietą poufności przypisaną do grupy. Jeśli ustawienie AllowToAddGuests ma wartość False na poziomie organizacji, wszystkie ustawienia AllowToAddGuests na poziomie grupy są ignorowane. Jeśli chcesz włączyć dostęp gościa tylko dla kilku grup, musisz ustawić wartość AllowToAddGuests na poziomie organizacji, a następnie selektywnie wyłączyć go dla określonych grup.
Lista klasyfikacji Typ: ciąg Ustawienie domyślne: ""	Rozdzielana przecinkami lista prawidłowych wartości klasyfikacji, które można zastosować do grup platformy Microsoft 365. To ustawienie nie ma zastosowania, gdy EnableMIPLabels == True.
EnableMIPLabels Typ: wartość logiczna Ustawienie domyślne: "Fałsz"	Flaga wskazująca, czy etykiety poufności opublikowane w portal zgodności Microsoft Purview można zastosować do grup platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Przypisywanie etykiet poufności dla grup platformy Microsoft 365.
NewUnifiedGroupWritebackDefault Typ: wartość logiczna Ustawienie domyślne: "True"	Flaga umożliwiająca administratorowi tworzenie nowych grup platformy Microsoft 365 bez ustawiania typu zasobu groupWritebackConfiguration w ładunku żądania. To ustawienie ma zastosowanie w przypadku skonfigurowania zapisywania zwrotnego grup w usłudze Microsoft Entra Połączenie. "NewUnifiedGroupWritebackDefault" to globalne ustawienie grupy platformy Microsoft 365. Domyślna wartość to true. Zaktualizowanie wartości ustawienia na false spowoduje zmianę domyślnego zachowania zapisywania zwrotnego dla nowo utworzonych grup platformy Microsoft 365 i nie zmieni wartości właściwości dla istniejących grup platformy Microsoft 365. Administrator grupy będzie musiał jawnie zaktualizować wartość właściwości isEnabled, aby zmienić stan zapisywania zwrotnego dla istniejących grup platformy Microsoft 365.

Przykład: Konfigurowanie zasad gościa dla grup na poziomie katalogu

Pobierz wszystkie szablony ustawień:
```
Get-MgBetaDirectorySettingTemplate
```

Aby ustawić zasady gościa dla grup na poziomie katalogu, potrzebny jest szablon Group.Unified.

$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ

Ustaw wartość parametru AllowToAddGuests dla określonego szablonu:

$params = @{
   templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "False"
      }
   )
}

Następnie utwórz nowy obiekt ustawień przy użyciu polecenia cmdlet New-MgBetaDirectorySetting :
```
$Setting = New-MgBetaDirectorySetting -BodyParameter $params
```
Wartości można odczytać przy użyciu:
```
$Setting.Values
```

Odczyt ustawień na poziomie katalogu

Jeśli znasz nazwę ustawienia, które chcesz pobrać, możesz użyć poniższego polecenia cmdlet, aby pobrać bieżącą wartość ustawień. W tym przykładzie pobieramy wartość ustawienia o nazwie "UsageGuidelinesUrl".

(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ

Te kroki umożliwiają odczyt ustawień na poziomie katalogu, które mają zastosowanie do wszystkich grup pakietu Office w katalogu.

Odczytaj wszystkie istniejące ustawienia katalogu:

Get-MgBetaDirectorySetting -All

To polecenie cmdlet zwraca listę wszystkich ustawień katalogu:

Id                                   DisplayName   TemplateId                           Values
--                                   -----------   ----------                           ------
c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...

Odczytaj wszystkie ustawienia dla określonej grupy:

Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"

Odczytaj wszystkie wartości ustawień katalogu określonego obiektu ustawień katalogu przy użyciu identyfikatora GUID identyfikatora Ustawienia:

(Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values

To polecenie cmdlet zwraca nazwy i wartości w tym obiekcie ustawień dla tej konkretnej grupy:

Name                          Value
----                          -----
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
CustomBlockedWordsList        
AllowGuestsToBeGroupOwner     False 
AllowGuestsToAccessGroups     True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests              True
UsageGuidelinesUrl            https://guideline.example.com
ClassificationList
EnableGroupCreation           True

Usuwanie ustawień na poziomie katalogu

Ten krok usuwa ustawienia na poziomie katalogu, które mają zastosowanie do wszystkich grup pakietu Office w katalogu.

Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"

Tworzenie ustawień dla określonej grupy

Pobierz szablony ustawień.
```
Get-MgBetaDirectorySettingTemplate
```

W wynikach znajdź szablon ustawień o nazwie "Groups.Unified.Guest":

Id                                   DisplayName            Description
--                                   -----------            -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...

Pobierz obiekt szablonu dla szablonu Groups.Unified.Guest:

$Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ

Pobierz identyfikator grupy, do której chcesz zastosować to ustawienie:
```
$GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
```

Utwórz nowe ustawienie:

$params = @{
   templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9"
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "False"
      }
   )
}

Utwórz ustawienie grupy:

New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params

Aby sprawdzić ustawienia, uruchom następujące polecenie:
```
Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
```

Aktualizowanie ustawień dla określonej grupy

Pobierz identyfikator grupy, której ustawienie chcesz zaktualizować:

$groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id

Pobierz ustawienie grupy:

$Setting = Get-MgBetaGroupSetting -GroupId $GroupId

Zaktualizuj ustawienie grupy zgodnie z potrzebami:

$params = @{
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "True"
      }
   )
}

Następnie możesz ustawić nową wartość dla tego ustawienia:

Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params

Możesz odczytać wartość ustawienia, aby upewnić się, że została ona poprawnie zaktualizowana:
```
Get-MgBetaGroupSetting -GroupId $GroupId  | FL Values
```

Dokumentacja składni poleceń cmdlet

Więcej dokumentacji programu Microsoft Graph PowerShell można znaleźć w sekcji Microsoft Entra Cmdlets (Polecenia cmdlet firmy Microsoft Entra).

Zarządzanie ustawieniami grupy przy użyciu programu Microsoft Graph

Aby skonfigurować ustawienia grupy i zarządzać nimi przy użyciu programu Microsoft Graph, zobacz groupSetting typ zasobu i skojarzone z nią metody.

Share via