Microsoft Entra-cmdletar för att konfigurera gruppinställningar

Artikel
02/26/2024

Den här artikeln innehåller instruktioner för hur du använder PowerShell-cmdletar för att skapa och uppdatera grupper i Microsoft Entra ID, en del av Microsoft Entra. Det här innehållet gäller endast för Microsoft 365-grupper (kallas ibland enhetliga grupper).

Viktigt!

Vissa inställningar kräver en Microsoft Entra ID P1-licens. Mer information finns i tabellen Mallinställningar .

Om du vill ha mer information om hur du förhindrar att icke-administratörsanvändare skapar säkerhetsgrupper ställer du in egenskapen på False enligt beskrivningen AllowedToCreateSecurityGroups i Update-MgPolicyAuthorizationPolicy.

Inställningar för Microsoft 365-grupper konfigureras med hjälp av ett Inställningar-objekt och ett Inställningar Template-objekt. Inledningsvis ser du inga Inställningar objekt i katalogen, eftersom katalogen har konfigurerats med standardinställningarna. Om du vill ändra standardinställningarna måste du skapa ett nytt inställningsobjekt med hjälp av en inställningsmall. Inställningar mallar definieras av Microsoft. Det finns flera olika inställningsmallar. Om du vill konfigurera Microsoft 365-gruppinställningar för din katalog använder du mallen "Group.Unified". Om du vill konfigurera Gruppinställningar för Microsoft 365 i en enda grupp använder du mallen "Group.Unified.Guest". Den här mallen används för att hantera gäståtkomst till en Microsoft 365-grupp.

Cmdletarna är en del av Microsoft Graph PowerShell-modulen . Anvisningar om hur du laddar ned och installerar modulen på datorn finns i Installera Microsoft Graph PowerShell SDK.

Viktigt!

Azure AD PowerShell planeras för utfasning den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra-ID (tidigare Azure AD). Microsoft Graph PowerShell ger åtkomst till alla Microsoft Graph-API:er och är tillgängligt i PowerShell 7. Svar på vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering.

Kommentar

Med inställningarna på plats för att begränsa tillägg av gäster till Microsoft 365-grupper lägger administratörer fortfarande till gästanvändare i Microsoft 365-grupper. Inställningen begränsar användare som inte är administratörer från att lägga till gästanvändare i Microsoft 365-grupper.

Installera PowerShell cmdlets

Installera Microsoft Graph-cmdletarna enligt beskrivningen i Installera Microsoft Graph PowerShell SDK.

Öppna Windows PowerShell-appen som administratör.

Installera Microsoft Graph-cmdletarna.

Install-Module Microsoft.Graph -Scope AllUsers

Installera Microsoft Graph-beta-cmdletarna.

Install-Module Microsoft.Graph.Beta -Scope AllUsers

Skapa inställningar på katalognivå

De här stegen skapar inställningar på katalognivå som gäller för alla Microsoft 365-grupper i katalogen.

I cmdletarna Directory Inställningar måste du ange ID:t för den Inställningar Template som du vill använda. Om du inte känner till det här ID:t returnerar den här cmdleten listan över alla inställningsmallar:

Get-MgBetaDirectorySettingTemplate

Det här cmdlet-anropet returnerar alla mallar som är tillgängliga:

Id                                   DisplayName         Description
--                                   -----------         -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...

Om du vill lägga till en url för användningsguiden måste du först hämta objektet Inställningar Template som definierar url-värdet för användningsguiden, dvs. mallen Group.Unified:

$TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ

Skapa ett objekt som innehåller värden som ska användas för kataloginställningen. Dessa värden ändrar användnings riktlinjevärdet och aktiverar känslighetsetiketter. Ange dessa eller andra inställningar i mallen efter behov:

$params = @{
   templateId = "$TemplateId"
   values = @(
      @{
         name = "UsageGuidelinesUrl"
         value = "https://guideline.example.com"
      }
      @{
         name = "EnableMIPLabels"
         value = "True"
      }
   )
}

Skapa kataloginställningen med hjälp av New-MgBetaDirectorySetting:
```
New-MgBetaDirectorySetting -BodyParameter $params
```

Du kan läsa värdena med hjälp av följande kommandon:

$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
$Setting.Values

Uppdatera inställningar på katalognivå

Om du vill uppdatera värdet för UsageGuideLinesUrl i inställningsmallen läser du de aktuella inställningarna från Microsoft Entra-ID, annars kan vi skriva över befintliga inställningar förutom UsageGuideLinesUrl.

Hämta de aktuella inställningarna från Group.Unified Inställningar Template:

$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}

Kontrollera de aktuella inställningarna:

$Setting.Values

Det här kommandot returnerar följande värden:

Name                            Value
----                            -----
EnableMIPLabels                 True
CustomBlockedWordsList
EnableMSStandardBlockedWords    False
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
AllowGuestsToBeGroupOwner       False
AllowGuestsToAccessGroups       True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests                True
UsageGuidelinesUrl              https://guideline.example.com
ClassificationList
EnableGroupCreation             True
NewUnifiedGroupWritebackDefault True

Om du vill ta bort värdet för UsageGuideLinesUrl redigerar du URL:en så att den blir en tom sträng:

$params = @{
   Values = @(
      @{
         Name = "UsageGuidelinesUrl"
         Value = ""
      }
   )
}

Uppdatera värdet med hjälp av cmdleten Update-MgBetaDirectorySetting :

Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params

Mallinställningar

Här är inställningarna som definieras i Group.Unified Inställningar Template. Om inget annat anges kräver dessa funktioner en Microsoft Entra ID P1-licens.

Inställning	Beskrivning
EnableGroupCreation Typ: Boolesk Standard: Sant	Flaggan som anger om skapande av Microsoft 365-grupper tillåts i katalogen av icke-administratörsanvändare. Den här inställningen kräver ingen Microsoft Entra ID P1-licens.
GroupCreationAllowedGroupId Typ: Sträng Standard: ""	GUID för säkerhetsgruppen som medlemmarna får skapa Microsoft 365-grupper för även när EnableGroupCreation == false.
UsageGuidelinesUrl Typ: Sträng Standard: ""	En länk till riktlinjerna för gruppanvändning.
ClassificationDescriptions Typ: Sträng Standard: ""	En kommaavgränsad lista med klassificeringsbeskrivningar. Värdet för ClassificationDescriptions är endast giltigt i det här formatet: $setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description" där Klassificering matchar en post i klassificeringslistan. Den här inställningen gäller inte när EnableMIPLabels == True. Teckengränsen för egenskapen ClassificationDescriptions är 300 och kommatecken kan inte överskridas.
DefaultClassification Typ: Sträng Standard: ""	Den klassificering som ska användas som standardklassificering för en grupp om ingen har angetts. Den här inställningen gäller inte när EnableMIPLabels == True.
PrefixSuffixNamingRequirement Typ: Sträng Standard: ""	Sträng med en maximal längd på 64 tecken som definierar namngivningskonventionen som konfigurerats för Microsoft 365-grupper. Mer information finns i Framtvinga en namngivningsprincip för Microsoft 365-grupper.
CustomBlockedWordsList Typ: Sträng Standard: ""	Kommaavgränsad frassträng som användarna inte får använda i gruppnamn eller alias. Mer information finns i Framtvinga en namngivningsprincip för Microsoft 365-grupper.
EnableMSStandardBlockedWords Typ: Boolesk Standard: "False"	Inaktuell. Använd inte.
AllowGuestsToBeGroupOwner Typ: Boolesk Standard: False	Booleskt värde som anger om en gästanvändare kan vara ägare till grupper eller inte.
AllowGuestsToAccessGroups Typ: Boolesk Standard: Sant	Booleskt värde som anger om en gästanvändare kan ha åtkomst till Innehåll i Microsoft 365-grupper. Den här inställningen kräver ingen Microsoft Entra ID P1-licens.
GuestUsageGuidelinesUrl Typ: Sträng Standard: ""	URL:en för en länk till riktlinjerna för gästanvändning.
AllowToAddGuests Typ: Boolesk Standard: Sant	Ett booleskt värde som anger om gäster får läggas till i den här katalogen eller inte. Den här inställningen kan åsidosättas och bli skrivskyddad om EnableMIPLabels är inställt på Sant och en gästprincip är associerad med känslighetsetiketten som tilldelats gruppen. Om inställningen AllowToAddGuests är inställd på False på organisationsnivå ignoreras alla AllowToAddGuests-inställningar på gruppnivå. Om du bara vill aktivera gäståtkomst för ett fåtal grupper måste du ange AllowToAddGuests som sant på organisationsnivå och sedan selektivt inaktivera det för specifika grupper.
Klassificeringslista Typ: Sträng Standard: ""	En kommaavgränsad lista med giltiga klassificeringsvärden som kan tillämpas på Microsoft 365-grupper. Den här inställningen gäller inte när EnableMIPLabels == True.
EnableMIPLabels Typ: Boolesk Standard: "False"	Flaggan som anger om känslighetsetiketter som publicerats i efterlevnadsportal i Microsoft Purview kan tillämpas på Microsoft 365-grupper. Mer information finns i Tilldela känslighetsetiketter för Microsoft 365-grupper.
NewUnifiedGroupWritebackDefault Typ: Boolesk Standard: "True"	Flaggan som gör att en administratör kan skapa nya Microsoft 365-grupper utan att ange resurstypen groupWritebackConfiguration i nyttolasten för begäran. Den här inställningen gäller när tillbakaskrivning av grupper konfigureras i Microsoft Entra Anslut. "NewUnifiedGroupWritebackDefault" är en global Microsoft 365-gruppinställning. Standardvärdet är sant. Om du uppdaterar inställningsvärdet till false ändras standardbeteendet för tillbakaskrivning för nyligen skapade Microsoft 365-grupper och ändras inte isEnabled-egenskapsvärdet för befintliga Microsoft 365-grupper. Gruppadministratören måste uttryckligen uppdatera egenskapen group isEnabled för att ändra tillbakaskrivningstillståndet för befintliga Microsoft 365-grupper.

Exempel: Konfigurera gästprincip för grupper på katalognivå

Hämta alla inställningsmallar:
```
Get-MgBetaDirectorySettingTemplate
```

Om du vill ange gästprincip för grupper på katalognivå behöver du mallen Group.Unified.

$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ

Ange ett värde för AllowToAddGuests för den angivna mallen:

$params = @{
   templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "False"
      }
   )
}

Skapa sedan ett nytt inställningsobjekt med hjälp av cmdleten New-MgBetaDirectorySetting :
```
$Setting = New-MgBetaDirectorySetting -BodyParameter $params
```
Du kan läsa värdena med hjälp av:
```
$Setting.Values
```

Läsa inställningar på katalognivå

Om du vet namnet på den inställning som du vill hämta kan du använda cmdleten nedan för att hämta det aktuella inställningsvärdet. I det här exemplet hämtar vi värdet för en inställning med namnet "UsageGuidelinesUrl".

(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ

De här stegen läser inställningar på katalognivå, som gäller för alla Office-grupper i katalogen.

Läs alla befintliga kataloginställningar:

Get-MgBetaDirectorySetting -All

Den här cmdleten returnerar en lista över alla kataloginställningar:

Id                                   DisplayName   TemplateId                           Values
--                                   -----------   ----------                           ------
c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...

Läs alla inställningar för en specifik grupp:

Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"

Läs alla kataloginställningsvärden för ett specifikt kataloginställningsobjekt med hjälp av Inställningar ID GUID:

(Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values

Den här cmdleten returnerar namnen och värdena i det här inställningsobjektet för den här specifika gruppen:

Name                          Value
----                          -----
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
CustomBlockedWordsList        
AllowGuestsToBeGroupOwner     False 
AllowGuestsToAccessGroups     True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests              True
UsageGuidelinesUrl            https://guideline.example.com
ClassificationList
EnableGroupCreation           True

Ta bort inställningar på katalognivå

Det här steget tar bort inställningar på katalognivå som gäller för alla Office-grupper i katalogen.

Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"

Skapa inställningar för en specifik grupp

Hämta inställningsmallarna.
```
Get-MgBetaDirectorySettingTemplate
```

I resultatet letar du efter inställningsmallen med namnet "Groups.Unified.Guest":

Id                                   DisplayName            Description
--                                   -----------            -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...

Hämta mallobjektet för mallen Groups.Unified.Guest:

$Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ

Hämta ID:t för den grupp som du vill tillämpa den här inställningen på:
```
$GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
```

Skapa den nya inställningen:

$params = @{
   templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9"
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "False"
      }
   )
}

Skapa gruppinställningen:

New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params

Kontrollera inställningarna genom att köra det här kommandot:
```
Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
```

Uppdatera inställningar för en specifik grupp

Hämta ID:t för den grupp vars inställning du vill uppdatera:

$groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id

Hämta inställningen för gruppen:

$Setting = Get-MgBetaGroupSetting -GroupId $GroupId

Uppdatera inställningen för gruppen efter behov:

$params = @{
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "True"
      }
   )
}

Sedan kan du ange det nya värdet för den här inställningen:

Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params

Du kan läsa värdet för inställningen för att kontrollera att den har uppdaterats korrekt:
```
Get-MgBetaGroupSetting -GroupId $GroupId  | FL Values
```

Cmdlet-syntaxreferens

Du hittar mer Microsoft Graph PowerShell-dokumentation på Microsoft Entra-cmdletar.

Hantera gruppinställningar med Hjälp av Microsoft Graph

Information om hur du konfigurerar och hanterar gruppinställningar med Hjälp av Microsoft Graph finns i groupSetting resurstypen och dess associerade metoder.