Cmdlets do Microsoft Entra para definir configurações de grupo

Artigo
12/15/2024

Este artigo contém instruções para usar cmdlets do PowerShell para criar e atualizar grupos no Microsoft Entra ID, parte do Microsoft Entra. Este conteúdo aplica-se apenas a grupos do Microsoft 365.

Importante

Algumas configurações exigem uma licença do Microsoft Entra ID P1. Para obter mais informações, consulte a tabela Configurações de modelo.

Para obter mais informações sobre como impedir que usuários não administradores criem grupos de segurança, defina a propriedade AllowedToCreateSecurityGroups como False conforme descrito em Update-MgPolicyAuthorizationPolicy.

As configurações de grupos do Microsoft 365 são definidas usando um objeto Settings e um objeto SettingsTemplate. Inicialmente, você não vê nenhum objeto Settings em seu diretório, porque seu diretório está configurado com as configurações padrão. Para alterar as configurações padrão, você deve criar um novo objeto de configurações usando um modelo de configurações. A Microsoft fornece vários modelos de configurações. Para definir as configurações de grupo do Microsoft 365 para seu diretório, use o modelo chamado "Group.Unified". Para definir as configurações de grupo do Microsoft 365 em um único grupo, use o modelo chamado "Group.Unified.Guest Este modelo é usado para gerenciar o acesso de convidado a um grupo do Microsoft 365.

Os cmdlets fazem parte do módulo Microsoft Graph PowerShell. Para obter instruções sobre como baixar e instalar o módulo em seu computador, consulte Instalar o SDK do Microsoft Graph PowerShell.

Observação

Mesmo com as restrições habilitadas para impedir a adição de convidados aos grupos do Microsoft 365, os administradores ainda podem adicionar usuários convidados. A restrição aplica-se apenas a utilizadores não administradores.

Instalar cmdlets do PowerShell

Instale os cmdlets do Microsoft Graph conforme descrito em Instale o SDK do Microsoft Graph PowerShell.

Abra o aplicativo Windows PowerShell como administrador.

Instale os cmdlets do Microsoft Graph.

Install-Module Microsoft.Graph -Scope AllUsers

Instale os cmdlets beta do Microsoft Graph.

Install-Module Microsoft.Graph.Beta -Scope AllUsers

Criar configurações no nível do diretório

Essas etapas criam configurações no nível do diretório, que se aplicam a todos os grupos do Microsoft 365 no diretório.

Nos cmdlets do DirectorySettings, deve especificar o ID do SettingsTemplate que deseja usar. Se você não souber essa ID, esse cmdlet retornará a lista de todos os modelos de configurações:

Get-MgBetaDirectorySettingTemplate

Esta chamada de cmdlet retorna todos os modelos disponíveis:

Id                                   DisplayName         Description
--                                   -----------         -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...

Para adicionar uma URL de diretriz de uso, primeiro você precisa obter o objeto SettingsTemplate que define o valor da URL da diretriz de uso; ou seja, o Grupo. Modelo unificado:

$TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ

Crie um objeto que contenha valores a serem usados para a configuração de diretório. Esses valores alteram o valor da diretriz de uso e habilitam rótulos de sensibilidade. Defina estas ou qualquer outra configuração no modelo conforme necessário:
```
$params = @{
   templateId = "$TemplateId"
   values = @(
      @{
         name = "UsageGuidelinesUrl"
         value = "https://guideline.example.com"
      }
      @{
         name = "EnableMIPLabels"
         value = "True"
      }
   )
}
```
Crie a configuração de diretório usando o New-MgBetaDirectorySetting:
```
New-MgBetaDirectorySetting -BodyParameter $params
```

Você pode ler os valores usando os seguintes comandos:

$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
$Setting.Values

Atualizar configurações no nível de diretório

Para atualizar o valor de UsageGuideLinesUrl no modelo de configuração, leia as configurações atuais do ID do Microsoft Entra, caso contrário, podemos acabar substituindo configurações existentes diferentes da UsageGuideLinesUrl.

Obtenha as configurações atuais do Group.Unified SettingsTemplate:

$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}

Verifique as configurações atuais:

$Setting.Values

Este comando retorna os seguintes valores:

Name                            Value
----                            -----
EnableMIPLabels                 True
CustomBlockedWordsList
EnableMSStandardBlockedWords    False
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
AllowGuestsToBeGroupOwner       False
AllowGuestsToAccessGroups       True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests                True
UsageGuidelinesUrl              https://guideline.example.com
ClassificationList
EnableGroupCreation             True
NewUnifiedGroupWritebackDefault True

Para remover o valor de UsageGuideLinesUrl, edite a URL para ser uma cadeia de caracteres vazia:

$params = @{
   Values = @(
      @{
         Name = "UsageGuidelinesUrl"
         Value = ""
      }
   )
}

Atualize o valor usando o cmdlet Update-MgBetaDirectorySetting:

Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params

Configurações do modelo

Aqui estão as configurações definidas no Group.Unified SettingsTemplate. Salvo indicação em contrário, estas funcionalidades requerem uma licença Microsoft Entra ID P1.

Configuração	Descrição
EnableGroupCreation Tipo: `Boolean` Padrão: `True`	Esse sinalizador indica se os usuários não administradores podem criar grupos do Microsoft 365 no diretório. Essa configuração não requer uma licença do Microsoft Entra ID P1.
IdentificadorDeGrupoParaCriacaoDeGrupoPermitida Tipo: `String` Padrão: `""`	GUID do grupo de segurança para o qual os membros têm permissão para criar grupos do Microsoft 365, mesmo quando `EnableGroupCreation == false`.
UsageGuidelinesUrl Tipo: `String` Padrão: `""`	Um link para as Diretrizes de Uso do Grupo.
ClassificaçãoDescrições Tipo: `String` Padrão: `""`	Uma lista delimitada por vírgulas de descrições de classificação. O valor de `ClassificationDescriptions` só é válido neste formato: `$setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description"` onde Classification corresponde a uma entrada na ClassificationList. Esta definição não se aplica quando `EnableMIPLabels == True`. O limite de caracteres para a propriedade `ClassificationDescriptions` é de 300 e vírgulas não podem ser ignoradas.
DefaultClassification Tipo: `String` Padrão: `""`	A classificação que deve ser usada como a classificação padrão para um grupo, se nenhum foi especificado. Esta definição não se aplica quando `EnableMIPLabels == True`.
RequisitoDeNomeaçãoPrefixoSufixo Tipo: `String` Padrão: `""`	Cadeia de caracteres de um comprimento máximo de 64 caracteres que define a convenção de nomenclatura configurada para grupos do Microsoft 365. Para obter mais informações, consulte Impor uma política de nomenclatura para grupos do Microsoft 365.
CustomBlockedWordsList Tipo: `String` Padrão: `""`	Cadeia de frases separada por vírgulas que os usuários não têm permissão para usar em nomes de grupo ou aliases. Para obter mais informações, consulte Impor uma política de nomenclatura para grupos do Microsoft 365.
AtivarPalavrasBloqueadasPadrãoMS Tipo: `Boolean` Padrão: `False`	Preterido. Não use.
PermitirConvidadosSeremProprietáriosDoGrupo Tipo: `Boolean` Padrão: `False`	Booleano indicando se um usuário convidado pode ou não ser proprietário de grupos.
PermitirVisitantesAcessarGrupos Tipo: `Boolean` Padrão: `True`	Boolean indicando se um usuário convidado pode ou não ter acesso ao conteúdo de grupos do Microsoft 365. Essa configuração não requer uma licença do Microsoft Entra ID P1.
GuestUsageGuidelinesUrl Tipo: `String` Padrão: `""`	O URL de um link para as diretrizes de uso do convidado.
PermitirAdicionarConvidados Tipo: `Boolean` Padrão: `True`	Um booleano que indica se é permitido ou não adicionar convidados a este diretório. Essa configuração pode ser substituída e se tornar somente leitura se `EnableMIPLabels` estiver definida como True e uma política de convidado estiver associada ao rótulo de sensibilidade atribuído ao grupo. Se a configuração `AllowToAddGuests` estiver definida como Falso no nível da organização, qualquer configuração de `AllowToAddGuests` no nível do grupo será ignorada. Se quiser habilitar o acesso de convidado para apenas alguns grupos, defina `AllowToAddGuests` como true no nível da organização e, em seguida, desative-o seletivamente para grupos específicos.
Lista de Classificação Tipo: `String` Padrão: `""`	Uma lista delimitada por vírgulas de valores de classificação válidos que podem ser aplicados a grupos do Microsoft 365. Esta configuração não se aplica quando EnableMIPLabels == True.
EnableMIPLabels Tipo: `Boolean` Padrão: `False`	O sinalizador que indica se os rótulos de sensibilidade publicados no portal de conformidade do Microsoft Purview podem ser aplicados a grupos do Microsoft 365. Para obter mais informações, consulte Atribuir rótulos de sensibilidade aos grupos do Microsoft 365.
NovoValorPadrãoParaGruposUnificados Tipo: `Boolean` Padrão: `True`	O indicador que permite a um administrador criar novos grupos do Microsoft 365 sem definir o tipo de recurso groupWritebackConfiguration na carga de solicitação. Essa configuração é aplicável quando o write-back de grupo é configurado no Microsoft Entra Connect. `NewUnifiedGroupWritebackDefault` é uma configuração de grupo global do Microsoft 365. O valor padrão é true. Atualizar o valor de configuração para false altera o comportamento de write-back padrão para grupos do Microsoft 365 recém-criados e não altera o valor da propriedade isEnabled para grupos existentes do Microsoft 365. O administrador do grupo precisa atualizar explicitamente o valor da propriedade isEnabled do grupo para alterar o estado de write-back para grupos existentes do Microsoft 365.

Exemplo: Configurar a política de convidado para grupos no nível de diretório

Obtenha todos os modelos de configuração:
```
Get-MgBetaDirectorySettingTemplate
```

Para definir a política de convidado para grupos no nível de diretório, você precisa do modelo Group.Unified.

$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ

Defina um valor para AllowToAddGuests para o modelo especificado:

$params = @{
   templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "False"
      }
   )
}

Em seguida, crie um novo objeto settings usando o cmdlet New-MgBetaDirectorySetting:
```
$Setting = New-MgBetaDirectorySetting -BodyParameter $params
```
Você pode ler os valores usando:
```
$Setting.Values
```

Ler configurações no nível de diretório

Se você souber o nome da configuração que deseja recuperar, poderá usar o cmdlet abaixo para recuperar o valor das configurações atuais. Neste exemplo, estamos recuperando o valor de uma configuração chamada UsageGuidelinesUrl.

(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ

Essas etapas leem as configurações no nível do diretório, que se aplicam a todos os grupos do Office no diretório.

Leia todas as configurações de diretório existentes:

Get-MgBetaDirectorySetting -All

Este cmdlet retorna uma lista de todas as configurações de diretório:

Id                                   DisplayName   TemplateId                           Values
--                                   -----------   ----------                           ------
c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...

Leia todas as configurações de um grupo específico:

Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"

Leia todos os valores de configurações de diretório de um objeto de configurações de diretório específico, usando o GUID do ID de Configurações:

(Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values

Este cmdlet retorna os nomes e valores neste objeto de configurações para este grupo específico:

Name                          Value
----                          -----
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
CustomBlockedWordsList        
AllowGuestsToBeGroupOwner     False 
AllowGuestsToAccessGroups     True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests              True
UsageGuidelinesUrl            https://guideline.example.com
ClassificationList
EnableGroupCreation           True

Remover configurações no nível do diretório

Esta etapa remove as configurações no nível do diretório, que se aplicam a todos os grupos do Office no diretório.

Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"

Criar configurações para um grupo específico

Obtenha os modelos de configurações.
```
Get-MgBetaDirectorySettingTemplate
```

Nos resultados, localize o modelo de configurações chamado "Groups.Unified.Guest":

Id                                   DisplayName            Description
--                                   -----------            -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...

Recupere o objeto de modelo para o modelo Groups.Unified.Guest:

$Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ

Obtenha o ID do grupo ao qual pretende aplicar esta definição:

$GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id

Crie a nova configuração:

$params = @{
   templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9"
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "False"
      }
   )
}

Crie a configuração do grupo:

New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params

Para verificar as configurações, execute este comando:
```
Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
```

Atualizar configurações para um grupo específico

Obtenha o ID do grupo cuja configuração você deseja atualizar:

$groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id

Recupere a configuração do grupo:

$Setting = Get-MgBetaGroupSetting -GroupId $GroupId

Atualize a configuração do grupo conforme necessário:

$params = @{
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "True"
      }
   )
}

Em seguida, você pode definir o novo valor para essa configuração:

Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params

Você pode ler o valor da configuração para certificar-se de que ela foi atualizada corretamente:
```
Get-MgBetaGroupSetting -GroupId $GroupId  | FL Values
```

Referência de sintaxe do cmdlet

Você pode encontrar mais documentação do Microsoft Graph PowerShell em Microsoft Entra Cmdlets.

Gerenciar configurações de grupo usando o Microsoft Graph

Para definir e gerenciar configurações de grupo usando o Microsoft Graph, consulte o groupSetting de tipo de recurso e seus métodos associados.

Partilhar via