Microsoft Entra-Cmdlets zur Konfiguration von Gruppeneinstellungen

Dieser Artikel enthält Anweisungen zur Verwendung von PowerShell-Cmdlets zum Erstellen und Aktualisieren von Gruppen in der Microsoft Entra-ID, Teil von Microsoft Entra. Dieser Inhalt gilt nur für Microsoft 365-Gruppen.

Wichtig

Für einige Einstellungen ist eine Microsoft Entra ID P1-Lizenz erforderlich. Weitere Informationen finden Sie in der Tabelle Vorlageneinstellungen.

Um Benutzer ohne Administratorrechte am Erstellen von Sicherheitsgruppen zu hindern, legen Sie die Eigenschaft AllowedToCreateSecurityGroups wie unter Update-MgPolicyAuthorizationPolicy beschrieben auf „False“ fest.

Microsoft 365-Gruppeneinstellungen werden mithilfe eines Settings-Objekts und eines SettingsTemplate-Objekts konfiguriert. Zunächst werden keine Einstellungsobjekte in Ihrem Verzeichnis angezeigt, da Ihr Verzeichnis mit den Standardeinstellungen konfiguriert ist. Um die Standardeinstellungen zu ändern, müssen Sie ein neues Einstellungsobjekt mithilfe einer Einstellungsvorlage erstellen. Microsoft stellt mehrere Einstellungsvorlagen bereit. Um Microsoft 365-Gruppeneinstellungen für Ihr Verzeichnis zu konfigurieren, verwenden Sie die Vorlage "Group.Unified". Um Microsoft 365-Gruppeneinstellungen für eine einzelne Gruppe zu konfigurieren, verwenden Sie die Vorlage "Group.Unified.Guest Diese Vorlage wird verwendet, um den Gastzugriff auf eine Microsoft 365-Gruppe zu verwalten.

Die Cmdlets sind Teil des Microsoft Graph PowerShell Moduls. Anweisungen zum Herunterladen und Installieren des Moduls auf Ihrem Computer finden Sie unter Installieren des Microsoft Graph PowerShell SDK.

Anmerkung

Auch wenn die Einschränkungen aktiviert sind, um das Hinzufügen von Gästen zu Microsoft 365-Gruppen zu verhindern, können Administratoren weiterhin Gastbenutzer hinzufügen. Die Einschränkung gilt nur für Nicht-Administratorbenutzer.

Installieren von PowerShell-Cmdlets

Installieren Sie die Microsoft Graph-Cmdlets, wie unter Installieren des Microsoft Graph PowerShell SDKbeschrieben.

1. Öffnen Sie die Windows PowerShell-App als Administrator.

2. Installieren Sie die Microsoft Graph-Cmdlets.

   Install-Module Microsoft.Graph -Scope AllUsers
   

3. Installieren Sie die Beta-Cmdlets von Microsoft Graph.

   Install-Module Microsoft.Graph.Beta -Scope AllUsers
   

Erstellen von Einstellungen auf Verzeichnisebene

Diese Schritte erstellen Einstellungen auf Verzeichnisebene, die für alle Microsoft 365-Gruppen im Verzeichnis gelten.

1. In den DirectorySettings-Cmdlets müssen Sie die ID der Settings-Vorlage angeben, die Sie verwenden möchten. Wenn Sie diese ID nicht kennen, gibt dieses Cmdlet die Liste aller Einstellungsvorlagen zurück:

   Get-MgBetaDirectorySettingTemplate
   

   Dieser Cmdlet-Aufruf gibt alle verfügbaren Vorlagen zurück:

   Id                                   DisplayName         Description
   --                                   -----------         -----------
   62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
   08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
   16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
   4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
   898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
   5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...
   

2. Um eine URL zur Verwendungsrichtlinie hinzuzufügen, müssen Sie zuerst das SettingsTemplate-Objekt abrufen, das den URL-Wert der Verwendungsrichtlinie definiert, d. h. die Gruppe. Einheitliche Vorlage:

   $TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
   $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
   

3. Erstellen Sie ein Objekt, das Werte enthält, die für die Verzeichniseinstellung verwendet werden sollen. Diese Werte ändern den Richtlinienwert für die Nutzung und aktivieren Empfindlichkeitskennzeichnungen. Legen Sie diese oder eine andere Einstellung in der Vorlage nach Bedarf fest:

   $params = @{
      templateId = "$TemplateId"
      values = @(
         @{
            name = "UsageGuidelinesUrl"
            value = "https://guideline.example.com"
         }
         @{
            name = "EnableMIPLabels"
            value = "True"
         }
      )
   }
   

4. Erstellen Sie die Verzeichniseinstellung mithilfe von New-MgBetaDirectorySetting:

   New-MgBetaDirectorySetting -BodyParameter $params
   

5. Sie können die Werte mithilfe der folgenden Befehle lesen:

   $Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
   $Setting.Values
   

Einstellungen auf Verzeichnisebene aktualisieren

Um den Wert für UsageGuideLinesUrl in der Vorlage mit den Einstellungen zu aktualisieren, lesen Sie die aktuellen Einstellungen aus Microsoft Entra ID. Andernfalls kann dazu kommen, dass auch andere vorhandene Einstellungen außer UsageGuideLinesUrl überschrieben werden.

1. Rufen Sie die aktuellen Einstellungen aus Group.Unified SettingsTemplate ab:

   $Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
   

2. Überprüfen Sie die aktuellen Einstellungen:

   $Setting.Values
   

   Dieser Befehl gibt die folgenden Werte zurück:

   Name                            Value
   ----                            -----
   EnableMIPLabels                 True
   CustomBlockedWordsList
   EnableMSStandardBlockedWords    False
   ClassificationDescriptions
   DefaultClassification
   PrefixSuffixNamingRequirement
   AllowGuestsToBeGroupOwner       False
   AllowGuestsToAccessGroups       True
   GuestUsageGuidelinesUrl
   GroupCreationAllowedGroupId
   AllowToAddGuests                True
   UsageGuidelinesUrl              https://guideline.example.com
   ClassificationList
   EnableGroupCreation             True
   NewUnifiedGroupWritebackDefault True
   

3. Um den Wert von UsageGuideLinesUrl zu entfernen, bearbeiten Sie die URL als leere Zeichenfolge:

   $params = @{
      Values = @(
         @{
            Name = "UsageGuidelinesUrl"
            Value = ""
         }
      )
   }
   

4. Aktualisieren Sie den Wert mithilfe des Cmdlets Update-MgBetaDirectorySetting:

   Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params
   

Vorlageneinstellungen

Hier sind die Einstellungen, die in der Group.Unified SettingsTemplatefestgelegt sind. Sofern nicht anders angegeben, benötigen diese Features eine Microsoft Entra ID P1-Lizenz.

Einstellung	Beschreibung
EnableGroupCreation Typ: Boolean Standard: True	Dieses Kennzeichen gibt an, ob nichtadmin-Benutzer Microsoft 365-Gruppen im Verzeichnis erstellen können. Für diese Einstellung ist keine Microsoft Entra ID P1-Lizenz erforderlich.
GroupCreationAllowedGroupId Typ: String Standard: ""	GUID der Sicherheitsgruppe, für die die Mitglieder Microsoft 365-Gruppen erstellen dürfen, auch wenn EnableGroupCreation == false.
UsageGuidelinesUrl- Typ: String Standard: ""	Ein Link zu den Gruppennutzungsrichtlinien.
ClassificationDescriptions- Typ: String Standard: ""	Eine durch Trennzeichen getrennte Liste mit Klassifizierungsbeschreibungen. Der Wert von ClassificationDescriptions ist nur in diesem Format gültig: $setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description" bei dem die Klassifizierung mit einem Eintrag in der Klassifizierungsliste übereinstimmt. Diese Einstellung gilt nicht, wenn EnableMIPLabels == True. Die Zeichengrenze für Eigenschaft ClassificationDescriptions 300 beträgt, und Kommas können nicht mit Escapezeichen versehen werden.
DefaultClassification Typ: String Standard: ""	Die Klassifizierung, die als Standardklassifizierung für eine Gruppe verwendet werden soll, wenn keine angegeben wurde. Diese Einstellung gilt nicht, wenn EnableMIPLabels == True.
PrefixSuffixNamingRequirement Typ: String Standard: ""	Eine Zeichenfolge mit maximal 64 Zeichen, die die für Microsoft 365-Gruppen konfigurierte Benennungskonvention definiert. Weitere Informationen finden Sie unter Erzwingen einer Benennungsrichtlinie für Microsoft 365-Gruppen.
CustomBlockedWordsList Typ: String Standard: ""	Durch Trennzeichen getrennte Zeichenfolge von Ausdrücken, die Benutzer nicht in Gruppennamen oder Aliasen verwenden dürfen. Weitere Informationen finden Sie unter Erzwingen einer Benennungsrichtlinie für Microsoft 365-Gruppen.
EnableMSStandardBlockedWords Typ: Boolean Standard: False	Veraltet. Nicht verwenden.
AllowGuestsToBeGroupOwner Typ: Boolean Standard: False	Boolescher Wert, der angibt, ob ein Gastbenutzer ein Besitzer von Gruppen sein kann.
AllowGuestsToAccessGroups Typ: Boolean Standard: True	Boolescher Wert, der angibt, ob ein Gastbenutzer Zugriff auf Microsoft 365-Gruppeninhalte haben kann. Für diese Einstellung ist keine Microsoft Entra ID P1-Lizenz erforderlich.
GuestUsageGuidelinesUrl Typ: String Standard: ""	Die URL eines Links zu den Nutzungsrichtlinien für Gäste.
AllowToAddGuests Typ: Boolean Standard: True	Ein boolescher Wert, der angibt, ob es zulässig ist, Gäste zu diesem Verzeichnis hinzuzufügen. Diese Einstellung kann außer Kraft gesetzt und schreibgeschützt werden, wenn EnableMIPLabels auf True festgelegt ist und eine Richtlinie für Gäste der Vertraulichkeitsbezeichnung, die der Gruppe zugewiesen ist, zugeordnet ist. Wenn die Einstellung AllowToAddGuests auf Organisationsebene auf "False" festgelegt ist, wird jede AllowToAddGuests Einstellung auf Gruppenebene ignoriert. Wenn Sie den Gastzugriff nur für einige wenige Gruppen aktivieren möchten, müssen Sie AllowToAddGuests auf Organisationsebene auf "true" festlegen und diese dann selektiv für bestimmte Gruppen deaktivieren.
ClassificationList- Typ: String Standard: ""	Eine durch Trennzeichen getrennte Liste gültiger Klassifizierungswerte, die auf Microsoft 365-Gruppen angewendet werden können. Diese Einstellung gilt nicht, wenn EnableMIPLabels == True.
EnableMIPLabels Typ: Boolean Standard: False	Das Kennzeichen, das angibt, ob Empfindlichkeitslabels, die im Microsoft Purview Compliance-Portal veröffentlicht sind, auf Microsoft-365-Gruppen angewendet werden können. Weitere Informationen finden Sie unter Zuweisen von Vertraulichkeitsbezeichnungen für Microsoft 365-Gruppen.
NewUnifiedGroupWritebackDefault- Typ: Boolean Standard: True	Das Flag, mit dem ein Administrator neue Microsoft 365-Gruppen erstellen kann, ohne den Ressourcentyp „groupWritebackConfiguration“ in den Anforderungsnutzdaten festzulegen. Diese Einstellung gilt, wenn gruppenrückschreiben in Microsoft Entra Connect konfiguriert ist. NewUnifiedGroupWritebackDefault ist eine globale Microsoft 365-Gruppeneinstellung. Der Standardwert ist wahr. Aktualisieren des Einstellungswerts auf "false" ändert das Standardrückschreibenverhalten für neu erstellte Microsoft 365-Gruppen und ändert nicht den isEnabled Eigenschaftswert für vorhandene Microsoft 365-Gruppen. Der Gruppenadministrator muss den Eigenschaftswert "isEnabled" explizit aktualisieren, um den Writeback-Status vorhandener Microsoft 365-Gruppen zu ändern.

Beispiel: Konfigurieren der Gästerichtlinie für Gruppen auf Verzeichnisebene

1. Rufen Sie alle Einstellungsvorlagen ab:

   Get-MgBetaDirectorySettingTemplate
   

2. Zum Festlegen der Gastrichtlinie für Gruppen auf Verzeichnisebene benötigen Sie die Vorlage "Group.Unified".

   $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ
   

3. Legen Sie einen Wert für AllowToAddGuests für die angegebene Vorlage fest:

   $params = @{
      templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
      values = @(
         @{
            name = "AllowToAddGuests"
            value = "False"
         }
      )
   }
   

4. Erstellen Sie zunächst ein neues Einstellungsobjekt mithilfe des Cmdlets New-MgBetaDirectorySetting.

   $Setting = New-MgBetaDirectorySetting -BodyParameter $params
   

5. Sie können die Werte lesen, indem Sie Folgendes verwenden:

   $Setting.Values
   

Lesen von Einstellungen auf Verzeichnisebene

Wenn Sie den Namen der Einstellung kennen, die Sie abrufen möchten, können Sie das folgende Cmdlet verwenden, um den aktuellen Einstellungswert abzurufen. In diesem Beispiel wird der Wert für eine Einstellung namens UsageGuidelinesUrlabgerufen.

(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ

Mit diesen Schritten werden auf Verzeichnisebene Einstellungen gelesen, die für alle Office-Gruppen im Verzeichnis gelten.

1. Lesen aller vorhandenen Verzeichniseinstellungen:

   Get-MgBetaDirectorySetting -All
   

   Dieses Cmdlet gibt eine Liste aller Verzeichniseinstellungen zurück:

   Id                                   DisplayName   TemplateId                           Values
   --                                   -----------   ----------                           ------
   c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...
   

2. Lesen aller Einstellungen für eine bestimmte Gruppe:

   Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"
   

3. Lesen aller Werte von Verzeichniseinstellungen für ein bestimmtes Verzeichniseinstellungsobjekt mithilfe der Einstellungs-ID „GUID“:

   (Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values
   

   Dieses Cmdlet gibt die Namen und Werte in diesem Einstellungsobjekt für diese bestimmte Gruppe zurück:

   Name                          Value
   ----                          -----
   ClassificationDescriptions
   DefaultClassification
   PrefixSuffixNamingRequirement
   CustomBlockedWordsList        
   AllowGuestsToBeGroupOwner     False 
   AllowGuestsToAccessGroups     True
   GuestUsageGuidelinesUrl
   GroupCreationAllowedGroupId
   AllowToAddGuests              True
   UsageGuidelinesUrl            https://guideline.example.com
   ClassificationList
   EnableGroupCreation           True
   

Entfernen von Einstellungen auf Verzeichnisebene

In diesem Schritt werden Einstellungen auf Verzeichnisebene entfernt, die für alle Office-Gruppen im Verzeichnis gelten.

Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"

Erstellen von Einstellungen für eine bestimmte Gruppe

1. Rufen Sie die Einstellungsvorlagen ab.

   Get-MgBetaDirectorySettingTemplate
   

2. Suchen Sie in den Ergebnissen nach der Vorlage für Einstellungen mit dem Namen "Groups.Unified.Guest":

   Id                                   DisplayName            Description
   --                                   -----------            -----------
   62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
   08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
   4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
   898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
   5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...
   

3. Abrufen des Vorlagenobjekts für die Vorlage „Groups.Unified.Guest“:

   $Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ
   

4. Rufen Sie die ID der Gruppe ab, auf die Sie diese Einstellung anwenden möchten:

   $GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
   

5. Erstellen Sie die neue Einstellung:

   $params = @{
      templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9"
      values = @(
         @{
            name = "AllowToAddGuests"
            value = "False"
         }
      )
   }
   

6. Erstellen Sie die Gruppeneinstellung:

   New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params
   

7. Führen Sie den folgenden Befehl aus, um die Einstellungen zu überprüfen:

   Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
   

Aktualisieren von Einstellungen für eine bestimmte Gruppe

1. Rufen Sie die ID der Gruppe ab, deren Einstellung Sie aktualisieren möchten:

   $groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
   

2. Rufen Sie die Einstellung der Gruppe ab:

   $Setting = Get-MgBetaGroupSetting -GroupId $GroupId
   

3. Aktualisieren Sie die Einstellung der Gruppe bei Bedarf:

   $params = @{
      values = @(
         @{
            name = "AllowToAddGuests"
            value = "True"
         }
      )
   }
   

4. Anschließend können Sie den neuen Wert für diese Einstellung festlegen:

   Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params
   

5. Sie können den Wert der Einstellung lesen, um sicherzustellen, dass sie ordnungsgemäß aktualisiert wurde:

   Get-MgBetaGroupSetting -GroupId $GroupId  | FL Values
   

Referenz der Cmdletsyntax

Weitere Informationen zu Microsoft Graph PowerShell finden Sie unter Microsoft Entra-Cmdlets.

Verwalten von Gruppeneinstellungen mithilfe von Microsoft Graph

Informationen zum Konfigurieren und Verwalten von Gruppeneinstellungen mithilfe von Microsoft Graph finden Sie unter groupSettingRessourcentyp und den zugehörigen Methoden.

Zusätzliche Lektüre

• Verwalten des Zugriffs auf Ressourcen mit Microsoft Entra-Gruppen
• Integrieren Ihrer lokalen Identitäten mit Microsoft Entra ID