Microsoft Entra-cmdlets voor het configureren van groepsinstellingen

Artikel
12/16/2024

Dit artikel bevat instructies voor het gebruik van PowerShell-cmdlets voor het maken en bijwerken van groepen in Microsoft Entra ID, onderdeel van Microsoft Entra. Deze inhoud is alleen van toepassing op Microsoft 365-groepen.

Belangrijk

Voor sommige instellingen is een Licentie voor Microsoft Entra ID P1 vereist. Voor meer informatie, zie de sjablooninstellingen tabel.

Stel de eigenschap AllowedToCreateSecurityGroups in op False zoals beschreven in Update-MgPolicyAuthorizationPolicyvoor meer informatie over hoe je kunt voorkomen dat niet-beheerdersgebruikers beveiligingsgroepen aanmaken.

Instellingen voor Microsoft 365-groepen worden geconfigureerd met behulp van een instellingenobject en een SettingsTemplate-object. In eerste instantie ziet u geen instellingenobjecten in uw directory, omdat uw map is geconfigureerd met de standaardinstellingen. Als u de standaardinstellingen wilt wijzigen, moet u een nieuw instellingenobject maken met behulp van een instellingensjabloon. Microsoft biedt verschillende instellingensjablonen. Als u microsoft 365-groepsinstellingen voor uw directory wilt configureren, gebruikt u de sjabloon 'Group.Unified'. Als u microsoft 365-groepsinstellingen voor één groep wilt configureren, gebruikt u de sjabloon 'Group.Unified.Guest Deze sjabloon wordt gebruikt om gasttoegang tot een Microsoft 365-groep te beheren.

De cmdlets maken deel uit van de module Microsoft Graph PowerShell. Zie De Microsoft Graph PowerShell SDK installerenvoor instructies over het downloaden en installeren van de module op uw computer.

Notitie

Zelfs als de beperkingen zijn ingeschakeld om te voorkomen dat gasten worden toegevoegd aan Microsoft 365-groepen, kunnen beheerders nog steeds gastgebruikers toevoegen. De beperking is alleen van toepassing op niet-beheerdersgebruikers.

PowerShell-cmdlets installeren

Installeer de Microsoft Graph-cmdlets zoals beschreven in Installeer de Microsoft Graph PowerShell SDK.

Open de Windows PowerShell-app als beheerder.

Installeer de Microsoft Graph-cmdlets.

Install-Module Microsoft.Graph -Scope AllUsers

Installeer de bèta-cmdlets van Microsoft Graph.

Install-Module Microsoft.Graph.Beta -Scope AllUsers

Instellingen maken op directoryniveau

Met deze stappen maakt u instellingen op directoryniveau, die van toepassing zijn op alle Microsoft 365-groepen in de map.

In de DirectorySettings-cmdlets moet u de ID opgeven van de SettingsTemplate die u wilt gebruiken. Als u deze id niet weet, retourneert deze cmdlet de lijst met alle instellingensjablonen:

Get-MgBetaDirectorySettingTemplate

Met deze cmdlet-aanroep worden alle beschikbare sjablonen geretourneerd:

Id                                   DisplayName         Description
--                                   -----------         -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...

Als u een URL voor gebruiksrichtlijn wilt toevoegen, moet u eerst het object SettingsTemplate ophalen dat de URL-waarde voor de gebruiksrichtlijn definieert; Dat wil gezegd, de Groep. Geïntegreerde sjabloon:
```
$TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
```
Maak een object dat waarden bevat die moeten worden gebruikt voor de mapinstelling. Deze waarden wijzigen de waarde van de gebruiksrichtlijn en schakelen vertrouwelijkheidslabels in. Stel deze of een andere instelling in de sjabloon in zoals vereist:
```
$params = @{
   templateId = "$TemplateId"
   values = @(
      @{
         name = "UsageGuidelinesUrl"
         value = "https://guideline.example.com"
      }
      @{
         name = "EnableMIPLabels"
         value = "True"
      }
   )
}
```
Maak de mapinstelling met behulp van de New-MgBetaDirectorySetting:
```
New-MgBetaDirectorySetting -BodyParameter $params
```

U kunt de waarden lezen met behulp van de volgende opdrachten:

$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
$Setting.Values

Instellingen op directoryniveau bijwerken

Als u de waarde voor UsageGuideLinesUrl in de instellingssjabloon wilt bijwerken, leest u de huidige instellingen van Microsoft Entra-id, anders kunnen we bestaande instellingen overschrijven dan de UsageGuideLinesUrl.

Haal de huidige instellingen op uit de Group.Unified SettingsTemplate:

$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}

Controleer de huidige instellingen:

$Setting.Values

Met deze opdracht worden de volgende waarden geretourneerd:

Name                            Value
----                            -----
EnableMIPLabels                 True
CustomBlockedWordsList
EnableMSStandardBlockedWords    False
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
AllowGuestsToBeGroupOwner       False
AllowGuestsToAccessGroups       True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests                True
UsageGuidelinesUrl              https://guideline.example.com
ClassificationList
EnableGroupCreation             True
NewUnifiedGroupWritebackDefault True

Als u de waarde van UsageGuideLinesUrl wilt verwijderen, bewerkt u de URL als een lege tekenreeks:

$params = @{
   Values = @(
      @{
         Name = "UsageGuidelinesUrl"
         Value = ""
      }
   )
}

Werk de waarde bij met behulp van de cmdlet Update-MgBetaDirectorySetting:

Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params

Sjablooninstellingen

Dit zijn de instellingen die zijn gedefinieerd in de Group.Unified SettingsTemplate. Tenzij anders aangegeven, is voor deze functies een Microsoft Entra ID P1-licentie vereist.

instellen	Beschrijving
SchakelGroepscreatieIn Type: `Boolean` Standaard: `True`	Met deze vlag wordt aangegeven of niet-beheerders Microsoft 365-groepen kunnen maken in de map. Voor deze instelling is geen Licentie voor Microsoft Entra ID P1 vereist.
GroupCreationAllowedGroupId Type: `String` Standaard: `""`	GUID van de beveiligingsgroep waarvoor de leden Microsoft 365-groepen mogen maken, zelfs als `EnableGroupCreation == false`van toepassing is.
UsageGuidelinesUrl Type: `String` Standaard: `""`	Een koppeling naar de richtlijnen voor groepsgebruik.
ClassificationDescriptions Type: `String` Standaard: `""`	Een door komma's gescheiden lijst met classificatiebeschrijvingen. De waarde van `ClassificationDescriptions` is alleen geldig in deze indeling: `$setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description"` waarbij classificatie overeenkomt met een vermelding in de ClassificationList. Deze instelling is niet van toepassing wanneer `EnableMIPLabels == True`. De tekenlimiet voor eigenschap `ClassificationDescriptions` is 300 en komma's kunnen niet worden genegeerd.
DefaultClassification Type: `String` Standaard: `""`	De classificatie die moet worden gebruikt als de standaardclassificatie voor een groep als er geen is opgegeven. Deze instelling is niet van toepassing wanneer `EnableMIPLabels == True`.
VoorvoegselAchtervoegselNaamgevingsvereiste Type: `String` Standaard: `""`	Tekenreeks van maximaal 64 tekens die de naamconventie definieert die is geconfigureerd voor Microsoft 365-groepen. Zie Een naamgevingsbeleid afdwingen voor Microsoft 365-groepenvoor meer informatie.
CustomBlockedWordsList Type: `String` Standaard: `""`	Door komma's gescheiden tekenreeksen die gebruikers niet mogen gebruiken in groepsnamen of aliassen. Zie Een naamgevingsbeleid afdwingen voor Microsoft 365-groepenvoor meer informatie.
nl-NL: InschakelenMSStandaardGeblokkeerdeWoorden Type: `Boolean` Standaard: `False`	Verouderd. Niet gebruiken.
AllowGuestsToBeGroupOwner- Type: `Boolean` Standaard: `False`	Booleaanse waarde die aangeeft of een gastgebruiker een eigenaar van groepen kan zijn.
StaGastenToegangTotGroepenToe Type: `Boolean` Standaard: `True`	Booleaanse waarde die aangeeft of een gastgebruiker toegang heeft tot inhoud van Microsoft 365-groepen. Voor deze instelling is geen Licentie voor Microsoft Entra ID P1 vereist.
GuestUsageGuidelinesUrl Type: `String` Standaard: `""`	De URL van een koppeling naar de richtlijnen voor gastgebruik.
AllowToAddGuests Type: `Boolean` Standaard: `True`	Een Booleaanse waarde die aangeeft of het wel of niet is toegestaan om gasten toe te voegen aan deze directory. Deze instelling kan worden overschreven en kan alleen-lezen worden als `EnableMIPLabels` is ingesteld op True en er is een gastbeleid gekoppeld aan het gevoeligheidslabel dat aan de groep is toegewezen. Als de instelling `AllowToAddGuests` is ingesteld op Onwaar op organisatieniveau, wordt een `AllowToAddGuests`-instelling op groepsniveau genegeerd. Als u gasttoegang voor slechts een paar groepen wilt inschakelen, moet u `AllowToAddGuests` instellen op waarheid op het organisatieniveau, en deze vervolgens selectief uitschakelen voor specifieke groepen.
ClassificationList Type: `String` Standaard: `""`	Een door komma's gescheiden lijst met geldige classificatiewaarden die kunnen worden toegepast op Microsoft 365-groepen. Deze instelling is niet van toepassing wanneer EnableMIPLabels == True.
EnableMIPLabels Type: `Boolean` Standaard: `False`	De vlag die aangeeft of vertrouwelijkheidslabels die zijn gepubliceerd in de Microsoft Purview-complianceportal, kunnen worden toegepast op Microsoft 365-groepen. Zie Vertrouwelijkheidslabels toewijzen voor Microsoft 365-groepenvoor meer informatie.
NewUnifiedGroupWritebackDefault- Type: `Boolean` Standaard: `True`	De vlag waarmee een beheerder nieuwe Microsoft 365-groepen kan maken zonder het resourcetype groupWritebackConfiguration in de nettolading van de aanvraag in te stellen. Deze instelling is van toepassing wanneer groeps terugschrijven is geconfigureerd in Microsoft Entra Connect. `NewUnifiedGroupWritebackDefault` is een globale Microsoft 365-groepsinstelling. De standaardwaarde is waar. Als u de instellingswaarde bijwerkt naar onwaar, wordt het standaardgedrag voor terugschrijven voor nieuw gemaakte Microsoft 365-groepen gewijzigd en wordt de isEnabled eigenschapswaarde voor bestaande Microsoft 365-groepen niet gewijzigd. Groepsbeheerder moet de eigenschapswaarde isEnabled expliciet bijwerken om de terugschrijfstatus voor bestaande Microsoft 365-groepen te wijzigen.

Voorbeeld: Gastbeleid configureren voor groepen op directoryniveau

Alle instellingssjablonen ophalen:
```
Get-MgBetaDirectorySettingTemplate
```

Als u gastbeleid wilt instellen voor groepen op directoryniveau, hebt u de group.unified-sjabloon nodig.

$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ

Stel een waarde in voor AllowToAddGuests voor de opgegeven sjabloon:

$params = @{
   templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "False"
      }
   )
}

Maak vervolgens een nieuw instellingenobject met behulp van de cmdlet New-MgBetaDirectorySetting:
```
$Setting = New-MgBetaDirectorySetting -BodyParameter $params
```
U kunt de waarden lezen met behulp van:
```
$Setting.Values
```

Instellingen lezen op directoryniveau

Als u de naam weet van de instelling die u wilt ophalen, kunt u de onderstaande cmdlet gebruiken om de huidige waarde voor instellingen op te halen. In dit voorbeeld wordt de waarde voor een instelling met de naam UsageGuidelinesUrlopgehaald.

(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ

Deze stappen lezen instellingen op adreslijstniveau, die van toepassing zijn op alle Office-groepen in de directory.

Alle bestaande mapinstellingen lezen:

Get-MgBetaDirectorySetting -All

Met deze cmdlet wordt een lijst met alle mapinstellingen geretourneerd:

Id                                   DisplayName   TemplateId                           Values
--                                   -----------   ----------                           ------
c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...

Lees alle instellingen voor een specifieke groep.

Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"

Lees alle waarden van instellingen van een specifieke mapinstelling door gebruik te maken van de GUID voor de instellingen-ID:

(Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values

Deze cmdlet retourneert de namen en waarden in dit instellingenobject voor deze specifieke groep:

Name                          Value
----                          -----
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
CustomBlockedWordsList        
AllowGuestsToBeGroupOwner     False 
AllowGuestsToAccessGroups     True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests              True
UsageGuidelinesUrl            https://guideline.example.com
ClassificationList
EnableGroupCreation           True

Instellingen verwijderen op directoryniveau

Met deze stap verwijdert u instellingen op adreslijstniveau, die van toepassing zijn op alle Office-groepen in de adreslijst.

Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"

Instellingen voor een specifieke groep maken

Haal de instellingensjablonen op.
```
Get-MgBetaDirectorySettingTemplate
```

Zoek in de resultaten naar de instellingensjabloon met de naam Groups.Unified.Guest:

Id                                   DisplayName            Description
--                                   -----------            -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...

Haal het sjabloonobject op voor de groups.Unified.Guest-sjabloon:

$Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ

Haal de id op van de groep waarop u deze instelling wilt toepassen:

$GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id

Maak de nieuwe instelling:

$params = @{
   templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9"
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "False"
      }
   )
}

Maak de groepsinstelling:

New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params

Voer deze opdracht uit om de instellingen te controleren:
```
Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
```

Instellingen voor een specifieke groep bijwerken

Haal de id op van de groep waarvan u de instelling wilt bijwerken:

$groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id

Haal de instelling van de groep op:

$Setting = Get-MgBetaGroupSetting -GroupId $GroupId

Werk de instelling van de groep bij zoals u nodig hebt:

$params = @{
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "True"
      }
   )
}

Vervolgens kunt u de nieuwe waarde voor deze instelling instellen:

Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params

U kunt de waarde van de instelling lezen om te controleren of deze correct is bijgewerkt:
```
Get-MgBetaGroupSetting -GroupId $GroupId  | FL Values
```

Naslaginformatie over cmdletsyntaxis

Meer microsoft Graph PowerShell-documentatie vindt u in Microsoft Entra Cmdlets.

Groepsinstellingen beheren met Microsoft Graph

Zie het groupSetting type middelen en de bijbehorende methoden om groepsinstellingen te configureren en te beheren met behulp van Microsoft Graph.

Delen via