Sdílet prostřednictvím

Rutiny Microsoft Entra pro konfiguraci nastavení skupiny

  • Článek

Tento článek obsahuje instrukce pro použití PowerShell cmdletů k vytvoření a aktualizaci skupin v Microsoft Entra ID, která je součástí Microsoft Entra. Tento obsah platí jenom pro skupiny Microsoftu 365.

Důležitý

Některá nastavení vyžadují licenci Microsoft Entra ID P1. Pro více informací se podívejte na tabulku nastavení šablony .

Další informace o tom, jak zabránit neadministrátorským uživatelům vytvářet skupiny zabezpečení, nastavte vlastnost AllowedToCreateSecurityGroups na hodnotu False, jak je popsáno v Update-MgPolicyAuthorizationPolicy.

Nastavení skupin Microsoftu 365 se konfiguruje pomocí objektu Nastavení a objektu SettingsTemplate. Zpočátku se v adresáři nezobrazují žádné objekty Nastavení, protože adresář je nakonfigurovaný s výchozím nastavením. Pokud chcete změnit výchozí nastavení, musíte vytvořit nový objekt nastavení pomocí šablony nastavení. Microsoft poskytuje několik šablon nastavení. Ke konfiguraci nastavení skupiny Microsoftu 365 pro váš adresář použijte šablonu s názvem Group.Unified. Pokud chcete nakonfigurovat nastavení skupiny Microsoft 365 v jedné skupině, použijte šablonu Group.Unified.Guest. Tato šablona slouží ke správě přístupu hostů ke skupině Microsoft 365.

Rutiny jsou součástí modulu Microsoft Graph PowerShellu. Pokyny ke stažení a instalaci modulu do počítače najdete v tématu Instalace sady Microsoft Graph PowerShell SDK.

Poznámka

I když jsou povolená omezení, která brání přidání hostů do skupin Microsoft 365, mohou správci stále přidávat hosty. Omezení platí jenom pro uživatele, kteří nejsou správci.

Instalace cmdletů PowerShellu

Nainstalujte rutiny Microsoft Graphu, jak je popsáno v tématu Instalace sady Microsoft Graph PowerShell SDK.

  1. Otevřete aplikaci Windows PowerShell jako správce.

  2. Nainstalujte rutiny Microsoft Graphu.

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Nainstalujte beta rutiny Microsoft Graphu.

    Install-Module Microsoft.Graph.Beta -Scope AllUsers

Vytvoření nastavení na úrovni adresáře

Tento postup vytvoří nastavení na úrovni adresáře, které platí pro všechny skupiny Microsoftu 365 v adresáři.

  1. V rutinách DirectorySettings musíte zadat ID SettingsTemplate, které chcete použít. Pokud toto ID neznáte, vrátí tato rutina seznam všech šablon nastavení:

    Get-MgBetaDirectorySettingTemplate

    Toto volání rutiny vrátí všechny dostupné šablony:

    Id                                   DisplayName         Description
--                                   -----------         -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...

  2. Pokud chcete přidat adresu URL s pokyny k použití, musíte nejprve získat objekt SettingsTemplate, který definuje hodnotu adresy URL pokynů k použití; to znamená skupina. Sjednocená šablona:

    $TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ

  3. Vytvořte objekt obsahující hodnoty, které se mají použít pro nastavení adresáře. Tyto hodnoty mění hodnotu pokynů pro použití a umožňují popisky citlivosti. Podle potřeby nastavte toto nebo jakékoli jiné nastavení v šabloně:

    $params = @{
   templateId = "$TemplateId"
   values = @(
      @{
         name = "UsageGuidelinesUrl"
         value = "https://guideline.example.com"
      }
      @{
         name = "EnableMIPLabels"
         value = "True"
      }
   )
}

  4. Vytvořte nastavení adresáře pomocí New-MgBetaDirectorySetting:

    New-MgBetaDirectorySetting -BodyParameter $params

  5. Hodnoty můžete číst pomocí následujících příkazů:

    $Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
$Setting.Values

Aktualizace nastavení na úrovni adresáře

Pokud chcete aktualizovat hodnotu UsageGuideLinesUrl v šabloně nastavení, přečtěte si aktuální nastavení z ID Microsoft Entra, jinak bychom mohli přepsat stávající nastavení jiná než UsageGuideLinesUrl.

  1. Získejte aktuální nastavení z group.Unified SettingsTemplate:

    $Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}

  2. Zkontrolujte aktuální nastavení:

    $Setting.Values

    Tento příkaz vrátí následující hodnoty:

    Name                            Value
----                            -----
EnableMIPLabels                 True
CustomBlockedWordsList
EnableMSStandardBlockedWords    False
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
AllowGuestsToBeGroupOwner       False
AllowGuestsToAccessGroups       True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests                True
UsageGuidelinesUrl              https://guideline.example.com
ClassificationList
EnableGroupCreation             True
NewUnifiedGroupWritebackDefault True

  3. Chcete-li odebrat hodnotu UsageGuideLinesUrl, upravte adresu URL tak, aby byla prázdný řetězec.

    $params = @{
   Values = @(
      @{
         Name = "UsageGuidelinesUrl"
         Value = ""
      }
   )
}

  4. Aktualizujte hodnotu pomocí rutiny Update-MgBetaDirectorySetting:

    Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params

Nastavení šablony

Tady jsou nastavení definovaná v Group.Unified SettingsTemplate. Pokud není uvedeno jinak, tyto funkce vyžadují licenci Microsoft Entra ID P1.

Nastavení popis
EnableGroupCreation
Typ: Boolean
Výchozí: True		 Tento příznak označuje, jestli uživatelé, kteří nejsou správci, můžou v adresáři vytvářet skupiny Microsoftu 365. Toto nastavení nevyžaduje licenci Microsoft Entra ID P1.
GroupCreationAllowedGroupId
Typ: String
Výchozí: ""		 GUID skupiny zabezpečení, pro kterou mohou členové vytvářet skupiny Microsoft 365, i když EnableGroupCreation == false.
UsageGuidelinesUrl
Typ: String
Výchozí: ""		 Odkaz na pokyny k používání skupiny
PopisyKlasifikace
Typ: String
Výchozí: ""		 Seznam popisů klasifikace oddělený čárkami. Hodnota ClassificationDescriptions je platná pouze v tomto formátu:
$setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description"
kde Klasifikace odpovídá záznamu v ClassificationListu.
Toto nastavení se nepoužije při EnableMIPLabels == True.
Limit pro počet znaků pro vlastnost ClassificationDescriptions je 300 a čárky nelze uniknout.
výchozíKlasifikace
Typ: String
Výchozí: ""		 Klasifikace, která se má použít jako výchozí klasifikace pro skupinu, pokud nebyla zadána žádná.
Toto nastavení se nepoužije při EnableMIPLabels == True.
PrefixSuffixNamingRequirement
Typ: String
Výchozí: ""		 Řetězec maximální délky 64 znaků, který definuje konvenci vytváření názvů nakonfigurovaných pro skupiny Microsoftu 365. Další informace najdete v tématu Vynucení zásad pojmenování pro skupiny Microsoftu 365.
CustomBlockedWordsList
Typ: String
Výchozí: ""		 Řetězec frází oddělených čárkami, které uživatelé nesmí používat v názvech skupin nebo aliasech. Další informace najdete v tématu Vynucení zásad pojmenování pro skupiny Microsoftu 365.
EnableMSStandardBlockedWords
Typ: Boolean
Výchozí: False		 Zavrhovaný. Nepoužívejte.
PovolitHostůmBýtVlastníkemSkupiny
Typ: Boolean
Výchozí: False		 Logická hodnota označující, jestli uživatel typu host může být vlastníkem skupin.
PovolitHostůmPřístupDoSkupin
Typ: Boolean
Výchozí: True		 Logická hodnota označující, jestli uživatel typu host může mít přístup k obsahu skupin Microsoftu 365. Toto nastavení nevyžaduje licenci Microsoft Entra ID P1.
GuestUsageGuidelinesUrl
Typ: String
Výchozí: ""		 Adresa URL odkazu na pokyny pro použití hosta.
PovolitPřidávánÍHostů
Typ: Boolean
Výchozí: True		 Logická hodnota označující, zda je povoleno přidávat hosty do tohoto adresáře.
Toto nastavení se může přepsat a stane se jen pro čtení, pokud je EnableMIPLabels nastaveno na True a zásady pro hosty jsou přidruženy k popisku citlivosti přiřazenému skupině.
Pokud je nastavení AllowToAddGuests nastaveno na hodnotu False na úrovni organizace, bude ignorováno jakékoli nastavení AllowToAddGuests na úrovni skupiny. Pokud chcete povolit přístup hostů jenom pro několik skupin, musíte nastavit, aby byl AllowToAddGuests pravdivý na úrovni organizace a pak ho selektivně zakažte pro konkrétní skupiny.
Seznam klasifikací
Typ: String
Výchozí: ""		 Čárkami oddělený seznam platných hodnot klasifikace, které je možné použít pro skupiny Microsoftu 365.
Toto nastavení se nepoužije, když EnableMIPLabels == True.
EnableMIPLabels
Typ: Boolean
Výchozí: False		 Příznak označující, jestli se popisky citlivosti publikované na portálu dodržování předpisů Microsoft Purview dají použít pro skupiny Microsoftu 365. Další informace najdete v tématu Přiřazení popisků citlivosti pro skupiny Microsoftu 365.
NewUnifiedGroupWritebackDefault
Typ: Boolean
Výchozí: True		 Příznak, který správci umožňuje vytvořit nové skupiny Microsoftu 365 bez nastavení typu prostředku groupWritebackConfiguration v datové části požadavku. Toto nastavení je použitelné, když je funkce "group writeback" nakonfigurována v nástroji Microsoft Entra Connect. NewUnifiedGroupWritebackDefault je globální nastavení skupiny Microsoftu 365. Výchozí hodnota je true. Aktualizace hodnoty nastavení na false změní výchozí chování zpětného zápisu pro nově vytvořené skupiny Microsoftu 365 a nezmění isEnabled hodnotu vlastnosti pro stávající skupiny Microsoftu 365. Správce skupiny musí explicitně aktualizovat hodnotu vlastnosti isEnabled, aby změnil stav zpětného zápisu pro stávající skupiny Microsoftu 365.

Příklad: Konfigurace zásad hosta pro skupiny na úrovni adresáře

  1. Získejte všechny šablony nastavení:

    Get-MgBetaDirectorySettingTemplate

  2. Pokud chcete nastavit zásady hosta pro skupiny na úrovni adresáře, potřebujete šablonu Group.Unified.

    $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ

  3. Nastavte hodnotu allowToAddGuests pro zadanou šablonu:

    $params = @{
   templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "False"
      }
   )
}

  4. Dále vytvořte nový objekt nastavení pomocí rutiny New-MgBetaDirectorySetting:

    $Setting = New-MgBetaDirectorySetting -BodyParameter $params

  5. Hodnoty si můžete přečíst takto:

    $Setting.Values

Čtení nastavení na úrovni adresáře

Pokud znáte název nastavení, které chcete načíst, můžete pomocí následující rutiny načíst aktuální hodnotu nastavení. V tomto příkladu načítáme hodnotu pro nastavení s názvem UsageGuidelinesUrl.

(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ

Tyto kroky čtou nastavení na úrovni adresáře, které platí pro všechny skupiny Office v adresáři.

  1. Přečtěte si všechna existující nastavení adresáře:

    Get-MgBetaDirectorySetting -All

    Tato rutina vrátí seznam všech nastavení adresáře:

    Id                                   DisplayName   TemplateId                           Values
--                                   -----------   ----------                           ------
c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...

  2. Přečtěte si všechna nastavení pro konkrétní skupinu:

    Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"

  3. Pomocí identifikátoru GUID nastavení objektu adresářů si můžete přečíst všechny hodnoty nastavení adresáře.

    (Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values

    Tato rutina vrátí názvy a hodnoty v tomto objektu nastavení pro tuto konkrétní skupinu:

    Name                          Value
----                          -----
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
CustomBlockedWordsList        
AllowGuestsToBeGroupOwner     False 
AllowGuestsToAccessGroups     True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests              True
UsageGuidelinesUrl            https://guideline.example.com
ClassificationList
EnableGroupCreation           True

Odebrání nastavení na úrovni adresáře

Tento krok odebere nastavení na úrovni adresáře, které platí pro všechny skupiny Office v adresáři.

Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"

Vytvoření nastavení pro konkrétní skupinu

  1. Získejte šablony nastavení.

    Get-MgBetaDirectorySettingTemplate

  2. Ve výsledcích vyhledejte šablonu nastavení s názvem Groups.Unified.Guest:

    Id                                   DisplayName            Description
--                                   -----------            -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...

  3. Načtení objektu šablony pro šablonu Groups.Unified.Guest:

    $Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ

  4. Získejte ID skupiny, na kterou chcete toto nastavení použít:

    $GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id

  5. Vytvořte nové nastavení:

    $params = @{
   templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9"
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "False"
      }
   )
}

  6. Vytvořte nastavení skupiny:

    New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params

  7. Pokud chcete ověřit nastavení, spusťte tento příkaz:

    Get-MgBetaGroupSetting -GroupId $GroupId | FL Values

Aktualizace nastavení pro konkrétní skupinu

  1. Získejte ID skupiny, jejíž nastavení chcete aktualizovat:

    $groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id

  2. Získat nastavení skupiny:

    $Setting = Get-MgBetaGroupSetting -GroupId $GroupId

  3. Aktualizujte nastavení skupiny podle potřeby:

    $params = @{
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "True"
      }
   )
}

  4. Pak můžete nastavit novou hodnotu pro toto nastavení:

    Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params

  5. Hodnotu nastavení si můžete přečíst, abyste měli jistotu, že je správně aktualizována:

    Get-MgBetaGroupSetting -GroupId $GroupId  | FL Values

Referenční syntaxi cmdletů

Další dokumentaci k prostředí Microsoft Graph PowerShell najdete v cmdlety Microsoft Entra.

Správa nastavení skupin pomocí Microsoft Graphu

Informace o konfiguraci a správě nastavení skupin pomocí Microsoft Graphu najdete v groupSetting typu prostředku a souvisejících metodách.

Další čtení