Cmdlet firmy Microsoft Entra do konfigurowania ustawień grup

Artykuł
12/15/2024

Ten artykuł zawiera instrukcje dotyczące używania poleceń cmdlet programu PowerShell do tworzenia i aktualizowania grup w usłudze Microsoft Entra ID, części firmy Microsoft Entra. Ta zawartość dotyczy tylko grup platformy Microsoft 365.

Ważny

Niektóre ustawienia wymagają licencji Microsoft Entra ID P1. Aby uzyskać więcej informacji, zobacz tabelę ustawienia szablonu.

Aby uzyskać więcej informacji na temat zapobiegania tworzeniu grup zabezpieczeń przez użytkowników niebędących administratorami, ustaw właściwość AllowedToCreateSecurityGroups wartość False zgodnie z opisem w Update-MgPolicyAuthorizationPolicy.

Ustawienia grup platformy Microsoft 365 są konfigurowane przy użyciu obiektu Ustawienia i obiektu SettingsTemplate. Początkowo nie widzisz żadnych obiektów Ustawień w katalogu, ponieważ katalog jest skonfigurowany z ustawieniami domyślnymi. Aby zmienić ustawienia domyślne, należy utworzyć nowy obiekt ustawień przy użyciu szablonu ustawień. Firma Microsoft udostępnia kilka szablonów ustawień. Aby skonfigurować ustawienia grupy platformy Microsoft 365 dla katalogu, należy użyć szablonu o nazwie "Group.Unified". Aby skonfigurować ustawienia grupy platformy Microsoft 365 w jednej grupie, użyj szablonu o nazwie "Group.Unified.Guest Ten szablon służy do zarządzania dostępem gościa do grupy platformy Microsoft 365.

Polecenia cmdlet są częścią modułu Microsoft Graph PowerShell. Aby uzyskać instrukcje dotyczące pobierania i instalowania modułu na komputerze, zobacz Install the Microsoft Graph PowerShell SDK.

Notatka

Nawet jeśli ograniczenia są włączone, aby zapobiec dodawaniu gości do grup platformy Microsoft 365, administratorzy nadal mogą dodawać użytkowników-gości. Ograniczenie dotyczy tylko użytkowników niebędących administratorami.

Instalowanie poleceń cmdlet programu PowerShell

Zainstaluj polecenia cmdlet programu Microsoft Graph zgodnie z opisem w Instalowanie zestawu Microsoft Graph PowerShell SDK.

Otwórz aplikację programu Windows PowerShell jako administrator.

Zainstaluj cmdlety Microsoft Graph.

Install-Module Microsoft.Graph -Scope AllUsers

Zainstaluj polecenia cmdlet programu Microsoft Graph w wersji beta.
```
Install-Module Microsoft.Graph.Beta -Scope AllUsers
```

Tworzenie ustawień na poziomie katalogu

Te kroki umożliwiają utworzenie ustawień na poziomie katalogu, które mają zastosowanie do wszystkich grup platformy Microsoft 365 w katalogu.

W poleceniach cmdlet DirectorySettings należy określić Identyfikator SettingsTemplate, którego zamierzasz użyć. Jeśli nie znasz tego identyfikatora, to polecenie cmdlet zwraca listę wszystkich szablonów ustawień:

Get-MgBetaDirectorySettingTemplate

To wywołanie polecenia cmdlet zwraca wszystkie dostępne szablony:

Id                                   DisplayName         Description
--                                   -----------         -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...

Aby dodać adres URL wytycznych dotyczących użycia, najpierw należy pobrać obiekt SettingsTemplate, który definiuje wartość adresu URL wytycznych dotyczących użycia; oznacza to grupę. Ujednolicony szablon:
```
$TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
```
Utwórz obiekt zawierający wartości, które mają być używane dla ustawienia katalogu. Te wartości zmieniają wartość wytycznych dotyczących użycia i włączają etykiety poufności. Ustaw następujące lub inne ustawienie w szablonie zgodnie z wymaganiami:
```
$params = @{
   templateId = "$TemplateId"
   values = @(
      @{
         name = "UsageGuidelinesUrl"
         value = "https://guideline.example.com"
      }
      @{
         name = "EnableMIPLabels"
         value = "True"
      }
   )
}
```
Utwórz ustawienie katalogu przy użyciu New-MgBetaDirectorySetting:
```
New-MgBetaDirectorySetting -BodyParameter $params
```

Wartości można odczytać przy użyciu następujących poleceń:

$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
$Setting.Values

Aktualizowanie ustawień na poziomie katalogu

Aby zaktualizować wartość elementu UsageGuideLinesUrl w szablonie ustawień, należy odczytać bieżące ustawienia z Microsoft Entra ID. W przeciwnym razie możemy przypadkiem nadpisać istniejące ustawienia inne niż aktualnie ustawione UsageGuideLinesUrl.

Pobierz bieżące ustawienia z Group.Unified SettingsTemplate.

$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}

Sprawdź bieżące ustawienia:

$Setting.Values

To polecenie zwraca następujące wartości:

Name                            Value
----                            -----
EnableMIPLabels                 True
CustomBlockedWordsList
EnableMSStandardBlockedWords    False
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
AllowGuestsToBeGroupOwner       False
AllowGuestsToAccessGroups       True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests                True
UsageGuidelinesUrl              https://guideline.example.com
ClassificationList
EnableGroupCreation             True
NewUnifiedGroupWritebackDefault True

Aby usunąć wartość UsageGuideLinesUrl, edytuj adres URL, aby był pustym ciągiem:

$params = @{
   Values = @(
      @{
         Name = "UsageGuidelinesUrl"
         Value = ""
      }
   )
}

Zaktualizuj wartość, używając polecenia cmdlet Update-MgBetaDirectorySetting.

Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params

Ustawienia szablonu

Poniżej przedstawiono ustawienia zdefiniowane w Group.Unified SettingsTemplate. O ile nie określono inaczej, te funkcje wymagają licencji Microsoft Entra ID P1.

ustawienie	opis
WłączTworzenieGrup Typ: `Boolean` Ustawienie domyślne: `True`	Ta flaga wskazuje, czy użytkownicy niebędący administratorami mogą tworzyć grupy platformy Microsoft 365 w katalogu. To ustawienie nie wymaga licencji Microsoft Entra ID P1.
IdentyfikatorGrupyZDozwolonąMożliwościąTworzenia Typ: `String` Ustawienie domyślne: `""`	Identyfikator GUID grupy zabezpieczeń, której członkowie mają uprawnienia do tworzenia grup Microsoft 365, nawet gdy `EnableGroupCreation == false`.
UsageGuidelinesUrl Typ: `String` Ustawienie domyślne: `""`	Link do zasad korzystania z grupy.
ClassificationDescriptions Typ: `String` Ustawienie domyślne: `""`	Rozdzielana przecinkami lista opisów klasyfikacji. Wartość `ClassificationDescriptions` jest prawidłowa tylko w tym formacie: `$setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description"` gdzie Klasyfikacja pasuje do wpisu w ClassificationList. To ustawienie nie ma zastosowania w przypadku `EnableMIPLabels == True`. Limit znaków dla właściwości `ClassificationDescriptions` wynosi 300, a przecinki nie mogą zostać usunięte.
DefaultClassification Typ: `String` Ustawienie domyślne: `""`	Klasyfikacja, która ma być używana jako domyślna klasyfikacja dla grupy, jeśli żadna z nich nie została określona. To ustawienie nie ma zastosowania w przypadku `EnableMIPLabels == True`.
prefiks SuffixNamingRequirement Typ: `String` Ustawienie domyślne: `""`	Ciąg o maksymalnej długości 64 znaków, który definiuje konwencję nazewnictwa skonfigurowaną dla grup platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Wymuszanie zasad nazewnictwa dla grup platformy Microsoft 365.
CustomBlockedWordsList Typ: `String` Ustawienie domyślne: `""`	Rozdzielony przecinkami ciąg fraz, których użytkownicy nie mogą używać w nazwach grup lub aliasach. Aby uzyskać więcej informacji, zobacz Wymuszanie zasad nazewnictwa dla grup platformy Microsoft 365.
EnableMSStandardBlockedWords Typ: `Boolean` Ustawienie domyślne: `False`	Przestarzałe. Nie używaj.
AllowGuestsToBeGroupOwner Typ: `Boolean` Ustawienie domyślne: `False`	Wartość logiczna wskazująca, czy użytkownik-gość może być właścicielem grup.
PozwólGościomNaDostępDoGrup Typ: `Boolean` Ustawienie domyślne: `True`	Wartość logiczna wskazująca, czy użytkownik-gość może mieć dostęp do zawartości grup platformy Microsoft 365. To ustawienie nie wymaga licencji Microsoft Entra ID P1.
GuestUsageGuidelinesUrl Typ: `String` Ustawienie domyślne: `""`	Adres URL linku do zasad użytkowania przez gości.
PozwolNaDodawanieGości Typ: `Boolean` Ustawienie domyślne: `True`	Wartość logiczna wskazująca, czy do tego katalogu można dodawać gości. To ustawienie może zostać zastąpione i stać się tylko do odczytu, jeśli `EnableMIPLabels` jest ustawione na wartość True, a polityka gościa jest skojarzona z etykietą poufności przypisaną do grupy. Jeśli ustawienie `AllowToAddGuests` ma wartość Fałsz na poziomie organizacji, wszystkie ustawienia `AllowToAddGuests` na poziomie grupy są ignorowane. Jeśli chcesz włączyć dostęp gościa tylko dla kilku grup, musisz ustawić wartość `AllowToAddGuests` na 'true' na poziomie organizacji, a następnie selektywnie wyłączyć go dla określonych grup.
ClassificationList Typ: `String` Ustawienie domyślne: `""`	Rozdzielana przecinkami lista prawidłowych wartości klasyfikacji, które można zastosować do grup platformy Microsoft 365. To ustawienie nie ma zastosowania, gdy enableMIPLabels == True.
EnableMIPLabels Typ: `Boolean` Ustawienie domyślne: `False`	Flaga wskazująca, czy etykiety poufności opublikowane w portalu zgodności usługi Microsoft Purview można zastosować do grup platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Przypisywanie etykiet poufności dla grup w usłudze Microsoft 365.
NewUnifiedGroupWritebackDefault Typ: `Boolean` Ustawienie domyślne: `True`	Flaga umożliwiająca administratorowi tworzenie nowych grup platformy Microsoft 365 bez ustawiania typu zasobu groupWritebackConfiguration w ładunku żądania. To ustawienie ma zastosowanie w przypadku skonfigurowania zwrotnego zapisu grup w usłudze Microsoft Entra Connect. `NewUnifiedGroupWritebackDefault` to globalne ustawienie grupy platformy Microsoft 365. Wartość domyślna to true. Zaktualizowanie wartości ustawienia na false powoduje zmianę domyślnego zachowania zapisywania zwrotnego dla nowo utworzonych grup Microsoft 365 i nie zmienia wartości właściwości isEnabled dla istniejących grup Microsoft 365. Administrator grupy musi jawnie zaktualizować wartość właściwości isEnabled, aby zmienić stan zapisywania zwrotnego dla istniejących grup platformy Microsoft 365.

Przykład: Konfigurowanie zasad gościa dla grup na poziomie katalogu

Pobierz wszystkie szablony ustawień:
```
Get-MgBetaDirectorySettingTemplate
```

Aby ustawić zasady gościa dla grup na poziomie katalogu, potrzebny jest szablon Group.Unified.

$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ

Ustaw wartość parametru AllowToAddGuests dla określonego szablonu:

$params = @{
   templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "False"
      }
   )
}

Następnie utwórz nowy obiekt ustawień przy użyciu polecenia cmdlet New-MgBetaDirectorySetting:
```
$Setting = New-MgBetaDirectorySetting -BodyParameter $params
```
Wartości można odczytać przy użyciu:
```
$Setting.Values
```

Odczyt ustawień na poziomie katalogu

Jeśli znasz nazwę ustawienia, które chcesz pobrać, możesz użyć poniższego polecenia cmdlet, aby pobrać bieżącą wartość ustawień. W tym przykładzie pobieramy wartość ustawienia o nazwie UsageGuidelinesUrl.

(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ

Te kroki umożliwiają odczyt ustawień na poziomie katalogu, które mają zastosowanie do wszystkich grup pakietu Office w katalogu.

Odczytaj wszystkie istniejące ustawienia katalogu:

Get-MgBetaDirectorySetting -All

To polecenie cmdlet zwraca listę wszystkich ustawień katalogu:

Id                                   DisplayName   TemplateId                           Values
--                                   -----------   ----------                           ------
c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...

Przeczytaj wszystkie ustawienia dla określonej grupy:

Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"

Odczytaj wszystkie wartości ustawień określonego obiektu katalogu, używając identyfikatora GUID ustawień.

(Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values

To polecenie cmdlet zwraca nazwy i wartości w tym obiekcie ustawień dla tej konkretnej grupy:

Name                          Value
----                          -----
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
CustomBlockedWordsList        
AllowGuestsToBeGroupOwner     False 
AllowGuestsToAccessGroups     True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests              True
UsageGuidelinesUrl            https://guideline.example.com
ClassificationList
EnableGroupCreation           True

Usuwanie ustawień na poziomie katalogu

Ten krok usuwa ustawienia na poziomie katalogu, które mają zastosowanie do wszystkich grup pakietu Office w katalogu.

Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"

Tworzenie ustawień dla określonej grupy

Pobierz szablony ustawień.
```
Get-MgBetaDirectorySettingTemplate
```

W wynikach znajdź szablon ustawień o nazwie "Groups.Unified.Guest":

Id                                   DisplayName            Description
--                                   -----------            -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...

Pobierz obiekt szablonu dla szablonu Groups.Unified.Guest:

$Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ

Pobierz identyfikator grupy, do której chcesz zastosować to ustawienie:
```
$GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
```

Utwórz nowe ustawienie:

$params = @{
   templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9"
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "False"
      }
   )
}

Utwórz ustawienie grupy:

New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params

Aby sprawdzić ustawienia, uruchom następujące polecenie:
```
Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
```

Aktualizowanie ustawień dla określonej grupy

Pobierz identyfikator grupy, której ustawienie chcesz zaktualizować:

$groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id

Pobierz ustawienie grupy:

$Setting = Get-MgBetaGroupSetting -GroupId $GroupId

Zaktualizuj ustawienie grupy zgodnie z potrzebami:

$params = @{
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "True"
      }
   )
}

Następnie możesz ustawić nową wartość dla tego ustawienia:

Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params

Możesz odczytać wartość ustawienia, aby upewnić się, że została ona poprawnie zaktualizowana:
```
Get-MgBetaGroupSetting -GroupId $GroupId  | FL Values
```

Dokumentacja składni poleceń cmdlet

Więcej dokumentacji programu Microsoft Graph PowerShell można znaleźć na stronie Microsoft Entra Cmdlets.

Zarządzanie ustawieniami grupy przy użyciu programu Microsoft Graph

Aby skonfigurować ustawienia grupy i zarządzać nimi przy użyciu programu Microsoft Graph, zobacz groupSetting typ zasobu i skojarzone z nią metody.

Udostępnij za pośrednictwem