Dela via


Microsoft Entra-cmdletar för att konfigurera gruppinställningar

Den här artikeln innehåller instruktioner för hur du använder PowerShell-cmdletar för att skapa och uppdatera grupper i Microsoft Entra ID, en del av Microsoft Entra. Det här innehållet gäller endast för Microsoft 365-grupper (kallas ibland enhetliga grupper).

Viktigt!

Vissa inställningar kräver en Microsoft Entra ID P1-licens. Mer information finns i tabellen Mallinställningar .

Om du vill ha mer information om hur du förhindrar att icke-administratörsanvändare skapar säkerhetsgrupper ställer du in egenskapen på False enligt beskrivningen AllowedToCreateSecurityGroups i Update-MgPolicyAuthorizationPolicy.

Inställningar för Microsoft 365-grupper konfigureras med hjälp av ett Inställningar-objekt och ett Inställningar Template-objekt. Inledningsvis ser du inga Inställningar objekt i katalogen, eftersom katalogen har konfigurerats med standardinställningarna. Om du vill ändra standardinställningarna måste du skapa ett nytt inställningsobjekt med hjälp av en inställningsmall. Inställningar mallar definieras av Microsoft. Det finns flera olika inställningsmallar. Om du vill konfigurera Microsoft 365-gruppinställningar för din katalog använder du mallen "Group.Unified". Om du vill konfigurera Gruppinställningar för Microsoft 365 i en enda grupp använder du mallen "Group.Unified.Guest". Den här mallen används för att hantera gäståtkomst till en Microsoft 365-grupp.

Cmdletarna är en del av Microsoft Graph PowerShell-modulen . Anvisningar om hur du laddar ned och installerar modulen på datorn finns i Installera Microsoft Graph PowerShell SDK.

Kommentar

Azure AD- och MSOnline PowerShell-moduler är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med mars 30 2025.

Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra-ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Obs! Versioner 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.

Kommentar

Med inställningarna på plats för att begränsa tillägg av gäster till Microsoft 365-grupper lägger administratörer fortfarande till gästanvändare i Microsoft 365-grupper. Inställningen begränsar användare som inte är administratörer från att lägga till gästanvändare i Microsoft 365-grupper.

Installera PowerShell cmdlets

Installera Microsoft Graph-cmdletarna enligt beskrivningen i Installera Microsoft Graph PowerShell SDK.

  1. Öppna Windows PowerShell-appen som administratör.

  2. Installera Microsoft Graph-cmdletarna.

    Install-Module Microsoft.Graph -Scope AllUsers
    
  3. Installera Microsoft Graph-beta-cmdletarna.

    Install-Module Microsoft.Graph.Beta -Scope AllUsers
    

Skapa inställningar på katalognivå

De här stegen skapar inställningar på katalognivå som gäller för alla Microsoft 365-grupper i katalogen.

  1. I cmdletarna Directory Inställningar måste du ange ID:t för den Inställningar Template som du vill använda. Om du inte känner till det här ID:t returnerar den här cmdleten listan över alla inställningsmallar:

    Get-MgBetaDirectorySettingTemplate
    

    Det här cmdlet-anropet returnerar alla mallar som är tillgängliga:

    Id                                   DisplayName         Description
    --                                   -----------         -----------
    62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
    08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
    16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
    4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
    898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
    5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...
    
  2. Om du vill lägga till en url för användningsguiden måste du först hämta objektet Inställningar Template som definierar url-värdet för användningsguiden, dvs. mallen Group.Unified:

    $TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
    $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
    
  3. Skapa ett objekt som innehåller värden som ska användas för kataloginställningen. Dessa värden ändrar användnings riktlinjevärdet och aktiverar känslighetsetiketter. Ange dessa eller andra inställningar i mallen efter behov:

    $params = @{
       templateId = "$TemplateId"
       values = @(
          @{
             name = "UsageGuidelinesUrl"
             value = "https://guideline.example.com"
          }
          @{
             name = "EnableMIPLabels"
             value = "True"
          }
       )
    }
    
  4. Skapa kataloginställningen med hjälp av New-MgBetaDirectorySetting:

    New-MgBetaDirectorySetting -BodyParameter $params
    
  5. Du kan läsa värdena med hjälp av följande kommandon:

    $Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
    $Setting.Values
    

Uppdatera inställningar på katalognivå

Om du vill uppdatera värdet för UsageGuideLinesUrl i inställningsmallen läser du de aktuella inställningarna från Microsoft Entra-ID, annars kan vi skriva över befintliga inställningar förutom UsageGuideLinesUrl.

  1. Hämta de aktuella inställningarna från Group.Unified Inställningar Template:

    $Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
    
  2. Kontrollera de aktuella inställningarna:

    $Setting.Values
    

    Det här kommandot returnerar följande värden:

    Name                            Value
    ----                            -----
    EnableMIPLabels                 True
    CustomBlockedWordsList
    EnableMSStandardBlockedWords    False
    ClassificationDescriptions
    DefaultClassification
    PrefixSuffixNamingRequirement
    AllowGuestsToBeGroupOwner       False
    AllowGuestsToAccessGroups       True
    GuestUsageGuidelinesUrl
    GroupCreationAllowedGroupId
    AllowToAddGuests                True
    UsageGuidelinesUrl              https://guideline.example.com
    ClassificationList
    EnableGroupCreation             True
    NewUnifiedGroupWritebackDefault True
    
  3. Om du vill ta bort värdet för UsageGuideLinesUrl redigerar du URL:en så att den blir en tom sträng:

    $params = @{
       Values = @(
          @{
             Name = "UsageGuidelinesUrl"
             Value = ""
          }
       )
    }
    
  4. Uppdatera värdet med hjälp av cmdleten Update-MgBetaDirectorySetting :

    Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params
    

Mallinställningar

Här är inställningarna som definieras i Group.Unified Inställningar Template. Om inget annat anges kräver dessa funktioner en Microsoft Entra ID P1-licens.

Inställning Beskrivning
  • EnableGroupCreation
  • Typ: Boolesk
  • Standard: Sant
Flaggan som anger om skapande av Microsoft 365-grupper tillåts i katalogen av icke-administratörsanvändare. Den här inställningen kräver ingen Microsoft Entra ID P1-licens.
  • GroupCreationAllowedGroupId
  • Typ: Sträng
  • Standard: ""
GUID för säkerhetsgruppen som medlemmarna får skapa Microsoft 365-grupper för även när EnableGroupCreation == false.
  • UsageGuidelinesUrl
  • Typ: Sträng
  • Standard: ""
En länk till riktlinjerna för gruppanvändning.
  • ClassificationDescriptions
  • Typ: Sträng
  • Standard: ""
En kommaavgränsad lista med klassificeringsbeskrivningar. Värdet för ClassificationDescriptions är endast giltigt i det här formatet:
$setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description"
där Klassificering matchar en post i klassificeringslistan.
Den här inställningen gäller inte när EnableMIPLabels == True.
Teckengränsen för egenskapen ClassificationDescriptions är 300 och kommatecken kan inte överskridas.
  • DefaultClassification
  • Typ: Sträng
  • Standard: ""
Den klassificering som ska användas som standardklassificering för en grupp om ingen har angetts.
Den här inställningen gäller inte när EnableMIPLabels == True.
  • PrefixSuffixNamingRequirement
  • Typ: Sträng
  • Standard: ""
Sträng med en maximal längd på 64 tecken som definierar namngivningskonventionen som konfigurerats för Microsoft 365-grupper. Mer information finns i Framtvinga en namngivningsprincip för Microsoft 365-grupper.
  • CustomBlockedWordsList
  • Typ: Sträng
  • Standard: ""
Kommaavgränsad frassträng som användarna inte får använda i gruppnamn eller alias. Mer information finns i Framtvinga en namngivningsprincip för Microsoft 365-grupper.
  • EnableMSStandardBlockedWords
  • Typ: Boolesk
  • Standard: "False"
Inaktuell. Använd inte.
  • AllowGuestsToBeGroupOwner
  • Typ: Boolesk
  • Standard: False
Booleskt värde som anger om en gästanvändare kan vara ägare till grupper eller inte.
  • AllowGuestsToAccessGroups
  • Typ: Boolesk
  • Standard: Sant
Booleskt värde som anger om en gästanvändare kan ha åtkomst till Innehåll i Microsoft 365-grupper. Den här inställningen kräver ingen Microsoft Entra ID P1-licens.
  • GuestUsageGuidelinesUrl
  • Typ: Sträng
  • Standard: ""
URL:en för en länk till riktlinjerna för gästanvändning.
  • AllowToAddGuests
  • Typ: Boolesk
  • Standard: Sant
Ett booleskt värde som anger om gäster får läggas till i den här katalogen eller inte.
Den här inställningen kan åsidosättas och bli skrivskyddad om EnableMIPLabels är inställt på Sant och en gästprincip är associerad med känslighetsetiketten som tilldelats gruppen.
Om inställningen AllowToAddGuests är inställd på False på organisationsnivå ignoreras alla AllowToAddGuests-inställningar på gruppnivå. Om du bara vill aktivera gäståtkomst för ett fåtal grupper måste du ange AllowToAddGuests som sant på organisationsnivå och sedan selektivt inaktivera det för specifika grupper.
  • Klassificeringslista
  • Typ: Sträng
  • Standard: ""
En kommaavgränsad lista med giltiga klassificeringsvärden som kan tillämpas på Microsoft 365-grupper.
Den här inställningen gäller inte när EnableMIPLabels == True.
  • EnableMIPLabels
  • Typ: Boolesk
  • Standard: "False"
Flaggan som anger om känslighetsetiketter som publicerats i efterlevnadsportal i Microsoft Purview kan tillämpas på Microsoft 365-grupper. Mer information finns i Tilldela känslighetsetiketter för Microsoft 365-grupper.
  • NewUnifiedGroupWritebackDefault
  • Typ: Boolesk
  • Standard: "True"
Flaggan som gör att en administratör kan skapa nya Microsoft 365-grupper utan att ange resurstypen groupWritebackConfiguration i nyttolasten för begäran. Den här inställningen gäller när tillbakaskrivning av grupper konfigureras i Microsoft Entra Anslut. "NewUnifiedGroupWritebackDefault" är en global Microsoft 365-gruppinställning. Standardvärdet är sant. Om du uppdaterar inställningsvärdet till false ändras standardbeteendet för tillbakaskrivning för nyligen skapade Microsoft 365-grupper och ändras inte isEnabled-egenskapsvärdet för befintliga Microsoft 365-grupper. Gruppadministratören måste uttryckligen uppdatera egenskapen group isEnabled för att ändra tillbakaskrivningstillståndet för befintliga Microsoft 365-grupper.

Exempel: Konfigurera gästprincip för grupper på katalognivå

  1. Hämta alla inställningsmallar:

    Get-MgBetaDirectorySettingTemplate
    
  2. Om du vill ange gästprincip för grupper på katalognivå behöver du mallen Group.Unified.

    $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ
    
  3. Ange ett värde för AllowToAddGuests för den angivna mallen:

    $params = @{
       templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
       values = @(
          @{
             name = "AllowToAddGuests"
             value = "False"
          }
       )
    }
    
  4. Skapa sedan ett nytt inställningsobjekt med hjälp av cmdleten New-MgBetaDirectorySetting :

    $Setting = New-MgBetaDirectorySetting -BodyParameter $params
    
  5. Du kan läsa värdena med hjälp av:

    $Setting.Values
    

Läsa inställningar på katalognivå

Om du vet namnet på den inställning som du vill hämta kan du använda cmdleten nedan för att hämta det aktuella inställningsvärdet. I det här exemplet hämtar vi värdet för en inställning med namnet "UsageGuidelinesUrl".

(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ

De här stegen läser inställningar på katalognivå, som gäller för alla Office-grupper i katalogen.

  1. Läs alla befintliga kataloginställningar:

    Get-MgBetaDirectorySetting -All
    

    Den här cmdleten returnerar en lista över alla kataloginställningar:

    Id                                   DisplayName   TemplateId                           Values
    --                                   -----------   ----------                           ------
    c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...
    
  2. Läs alla inställningar för en specifik grupp:

    Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"
    
  3. Läs alla kataloginställningsvärden för ett specifikt kataloginställningsobjekt med hjälp av Inställningar ID GUID:

    (Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values
    

    Den här cmdleten returnerar namnen och värdena i det här inställningsobjektet för den här specifika gruppen:

    Name                          Value
    ----                          -----
    ClassificationDescriptions
    DefaultClassification
    PrefixSuffixNamingRequirement
    CustomBlockedWordsList        
    AllowGuestsToBeGroupOwner     False 
    AllowGuestsToAccessGroups     True
    GuestUsageGuidelinesUrl
    GroupCreationAllowedGroupId
    AllowToAddGuests              True
    UsageGuidelinesUrl            https://guideline.example.com
    ClassificationList
    EnableGroupCreation           True
    

Ta bort inställningar på katalognivå

Det här steget tar bort inställningar på katalognivå som gäller för alla Office-grupper i katalogen.

Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"

Skapa inställningar för en specifik grupp

  1. Hämta inställningsmallarna.

    Get-MgBetaDirectorySettingTemplate
    
  2. I resultatet letar du efter inställningsmallen med namnet "Groups.Unified.Guest":

    Id                                   DisplayName            Description
    --                                   -----------            -----------
    62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
    08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
    4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
    898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
    5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...
    
  3. Hämta mallobjektet för mallen Groups.Unified.Guest:

    $Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ
    
  4. Hämta ID:t för den grupp som du vill tillämpa den här inställningen på:

    $GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
    
  5. Skapa den nya inställningen:

    $params = @{
       templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9"
       values = @(
          @{
             name = "AllowToAddGuests"
             value = "False"
          }
       )
    }
    
  6. Skapa gruppinställningen:

    New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params
    
  7. Kontrollera inställningarna genom att köra det här kommandot:

    Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
    

Uppdatera inställningar för en specifik grupp

  1. Hämta ID:t för den grupp vars inställning du vill uppdatera:

    $groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
    
  2. Hämta inställningen för gruppen:

    $Setting = Get-MgBetaGroupSetting -GroupId $GroupId
    
  3. Uppdatera inställningen för gruppen efter behov:

    $params = @{
       values = @(
          @{
             name = "AllowToAddGuests"
             value = "True"
          }
       )
    }
    
  4. Sedan kan du ange det nya värdet för den här inställningen:

    Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params
    
  5. Du kan läsa värdet för inställningen för att kontrollera att den har uppdaterats korrekt:

    Get-MgBetaGroupSetting -GroupId $GroupId  | FL Values
    

Cmdlet-syntaxreferens

Du hittar mer Microsoft Graph PowerShell-dokumentation på Microsoft Entra-cmdletar.

Hantera gruppinställningar med Hjälp av Microsoft Graph

Information om hur du konfigurerar och hanterar gruppinställningar med Hjälp av Microsoft Graph finns i groupSetting resurstypen och dess associerade metoder.

Mer att läsa