Microsoft Entra-cmdletar för att konfigurera gruppinställningar

Den här artikeln innehåller instruktioner för hur du använder PowerShell-cmdletar för att skapa och uppdatera grupper i Microsoft Entra ID, en del av Microsoft Entra. Det här innehållet gäller endast för Microsoft 365-grupper.

Viktig

Vissa inställningar kräver en Microsoft Entra ID P1-licens. Mer information finns i Mallinställningar tabell.

Om du vill ha mer information om hur du förhindrar att icke-administratörsanvändare skapar säkerhetsgrupper anger du egenskapen AllowedToCreateSecurityGroups till False enligt beskrivningen i Update-MgPolicyAuthorizationPolicy.

Inställningar för Microsoft 365-grupper konfigureras med hjälp av ett inställningsobjekt och ett SettingsTemplate-objekt. Inledningsvis ser du inga inställningsobjekt i katalogen eftersom katalogen har konfigurerats med standardinställningarna. Om du vill ändra standardinställningarna måste du skapa ett nytt inställningsobjekt med hjälp av en inställningsmall. Microsoft tillhandahåller flera inställningsmallar. Om du vill konfigurera Microsoft 365-gruppinställningar för din katalog använder du mallen "Group.Unified". Om du vill konfigurera Gruppinställningar för Microsoft 365 i en enda grupp använder du mallen "Group.Unified.Guest Den här mallen används för att hantera gäståtkomst till en Microsoft 365-grupp.

Cmdletarna ingår i modulen Microsoft Graph PowerShell. Anvisningar om hur du laddar ned och installerar modulen på datorn finns i Installera Microsoft Graph PowerShell SDK.

Not

Även om begränsningarna är aktiverade för att förhindra att gäster läggs till i Microsoft 365-grupper kan administratörer fortfarande lägga till gästanvändare. Begränsningen gäller endast för användare som inte är administratörer.

Installera PowerShell cmdlets

Installera Microsoft Graph-cmdletarna enligt beskrivningen i Installera Microsoft Graph PowerShell SDK.

1. Öppna Windows PowerShell-appen som administratör.

2. Installera Microsoft Graph-cmdletarna.

   Install-Module Microsoft.Graph -Scope AllUsers
   

3. Installera Microsoft Graph-beta-cmdletarna.

   Install-Module Microsoft.Graph.Beta -Scope AllUsers
   

Skapa inställningar på katalognivå

De här stegen skapar inställningar på katalognivå som gäller för alla Microsoft 365-grupper i katalogen.

1. I cmdletarna DirectorySettings måste du ange ID:t för det SettingsTemplate som du vill använda. Om du inte känner till det här ID:t returnerar den här cmdleten listan över alla inställningsmallar:

   Get-MgBetaDirectorySettingTemplate
   

   Det här cmdlet-anropet returnerar alla mallar som är tillgängliga:

   Id                                   DisplayName         Description
   --                                   -----------         -----------
   62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
   08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
   16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
   4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
   898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
   5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...
   

2. Om du vill lägga till en url för användningsguiden måste du först hämta objektet SettingsTemplate som definierar url-värdet för användningsguiden. det vill: gruppen. Enhetlig mall:

   $TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
   $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
   

3. Skapa ett objekt som innehåller värden som ska användas för kataloginställningen. Dessa värden ändrar användnings riktlinjevärdet och aktiverar känslighetsetiketter. Ange dessa eller andra inställningar i mallen efter behov:

   $params = @{
      templateId = "$TemplateId"
      values = @(
         @{
            name = "UsageGuidelinesUrl"
            value = "https://guideline.example.com"
         }
         @{
            name = "EnableMIPLabels"
            value = "True"
         }
      )
   }
   

4. Skapa kataloginställningen med hjälp av New-MgBetaDirectorySetting:

   New-MgBetaDirectorySetting -BodyParameter $params
   

5. Du kan läsa värdena med hjälp av följande kommandon:

   $Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
   $Setting.Values
   

Uppdatera inställningar på katalognivå

Om du vill uppdatera värdet för UsageGuideLinesUrl i inställningsmallen läser du de aktuella inställningarna från Microsoft Entra-ID, annars kan vi skriva över befintliga inställningar förutom UsageGuideLinesUrl.

1. Hämta de aktuella inställningarna från Group.Unified SettingsTemplate:

   $Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
   

2. Kontrollera de aktuella inställningarna:

   $Setting.Values
   

   Det här kommandot returnerar följande värden:

   Name                            Value
   ----                            -----
   EnableMIPLabels                 True
   CustomBlockedWordsList
   EnableMSStandardBlockedWords    False
   ClassificationDescriptions
   DefaultClassification
   PrefixSuffixNamingRequirement
   AllowGuestsToBeGroupOwner       False
   AllowGuestsToAccessGroups       True
   GuestUsageGuidelinesUrl
   GroupCreationAllowedGroupId
   AllowToAddGuests                True
   UsageGuidelinesUrl              https://guideline.example.com
   ClassificationList
   EnableGroupCreation             True
   NewUnifiedGroupWritebackDefault True
   

3. Om du vill ta bort värdet för UsageGuideLinesUrl redigerar du URL:en så att den blir en tom sträng:

   $params = @{
      Values = @(
         @{
            Name = "UsageGuidelinesUrl"
            Value = ""
         }
      )
   }
   

4. Uppdatera värdet med hjälp av cmdleten Update-MgBetaDirectorySetting:

   Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params
   

Mallinställningar

Här är inställningarna som definierats i Group.Unified SettingsTemplate. Om inget annat anges kräver dessa funktioner en Microsoft Entra ID P1-licens.

inställning	Beskrivning
EnableGroupCreation Typ: Boolean Standard: True	Den här flaggan anger om icke-användare kan skapa Microsoft 365-grupper i katalogen. Den här inställningen kräver ingen Microsoft Entra ID P1-licens.
GruppSkapelseTillåtenGruppId Typ: String Standardvärde: ""	GUID för säkerhetsgruppen som medlemmarna får skapa Microsoft 365-grupper för även när EnableGroupCreation == false.
UsageGuidelinesUrl Typ: String Standard: ""	En länk till riktlinjerna för gruppanvändning.
ClassificationDescriptions Typ: String Standard: ""	En kommaavgränsad lista med klassificeringsbeskrivningar. Värdet för ClassificationDescriptions är endast giltigt i det här formatet: $setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description" där klassificeringen matchar ett element i klassificeringslistan. Den här inställningen gäller inte när EnableMIPLabels == True. Teckengränsen för egenskapen ClassificationDescriptions är 300 och kommatecken kan inte överskridas.
DefaultClassification Typ: String Standard: ""	Den klassificering som ska användas som standardklassificering för en grupp om ingen har angetts. Den här inställningen gäller inte när EnableMIPLabels == True.
PrefixSuffixNamingRequirement Typ: String Standardinställning: ""	Sträng med en maximal längd på 64 tecken som definierar namngivningskonventionen som konfigurerats för Microsoft 365-grupper. Mer information finns i Framtvinga en namngivningsprincip för Microsoft 365-grupper.
CustomBlockedWordsList Typ: String Standard: ""	Kommaavgränsad frassträng som användarna inte får använda i gruppnamn eller alias. Mer information finns i Framtvinga en namngivningsprincip för Microsoft 365-grupper.
AktiveraMSSpecifikaBlockeradeOrd Typ: Boolean Standard: False	Föråldrad. Använd inte.
AllowGuestsToBeGroupOwner Typ: Boolean Standard: False	Booleskt värde som anger om en gästanvändare kan vara ägare till grupper eller inte.
AllowGuestsToAccessGroups Typ: Boolean Standard: True	Booleskt värde som anger om en gästanvändare kan ha åtkomst till Innehåll i Microsoft 365-grupper. Den här inställningen kräver ingen Microsoft Entra ID P1-licens.
GuestUsageGuidelinesUrl Typ: String Standard: ""	URL:en för en länk till riktlinjerna för gästanvändning.
TillåtAttLäggaTillGäster Typ: Boolean Standard: True	Ett booleskt värde som anger om det är tillåtet att lägga till gäster i den här katalogen. Den här inställningen kan åsidosättas och bli skrivskyddad om EnableMIPLabels är inställd på Sant och en gästpolicy är kopplad till känslighetsetiketten som har tilldelats gruppen. Om inställningen AllowToAddGuests är inställd på False på organisationsnivå ignoreras alla AllowToAddGuests inställningar på gruppnivå. Om du bara vill aktivera gäståtkomst för några få grupper måste du ange att AllowToAddGuests ska vara sant på organisationsnivå och sedan selektivt inaktivera det för specifika grupper.
Klassificeringslista Typ: String Standard: ""	En kommaavgränsad lista med giltiga klassificeringsvärden som kan tillämpas på Microsoft 365-grupper. Den här inställningen gäller inte när EnableMIPLabels == True.
EnableMIPLabels Typ: Boolean Standardinställning: False	Flaggan som anger om känslighetsetiketter som publicerats i Microsoft Purview-efterlevnadsportalen kan tillämpas på Microsoft 365-grupper. Mer information finns i Tilldela känslighetsetiketter för Microsoft 365-grupper.
NewUnifiedGroupWritebackDefault Typ: Boolean Standard: True	Flaggan som gör att en administratör kan skapa nya Microsoft 365-grupper utan att ange resurstypen groupWritebackConfiguration i nyttolasten för begäran. Den här inställningen gäller när tillbakaskrivning av grupper konfigureras i Microsoft Entra Connect. NewUnifiedGroupWritebackDefault är en global Microsoft 365-gruppinställning. Standardvärdet är sant. Om du uppdaterar inställningsvärdet till false ändras standardbeteendet för tillbakaskrivning för nyligen skapade Microsoft 365-grupper och ändrar inte isEnabled egenskapsvärde för befintliga Microsoft 365-grupper. Gruppadministratören måste uttryckligen uppdatera egenskapen group isEnabled för att ändra tillbakaskrivningstillståndet för befintliga Microsoft 365-grupper.

Exempel: Konfigurera gästprincip för grupper på katalognivå

1. Hämta alla inställningsmallar:

   Get-MgBetaDirectorySettingTemplate
   

2. Om du vill ange gästprincip för grupper på katalognivå behöver du mallen Group.Unified.

   $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ
   

3. Ange ett värde för AllowToAddGuests för den angivna mallen:

   $params = @{
      templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
      values = @(
         @{
            name = "AllowToAddGuests"
            value = "False"
         }
      )
   }
   

4. Skapa sedan ett nytt inställningsobjekt med hjälp av cmdleten New-MgBetaDirectorySetting:

   $Setting = New-MgBetaDirectorySetting -BodyParameter $params
   

5. Du kan läsa värdena med hjälp av:

   $Setting.Values
   

Läsa inställningar på katalognivå

Om du vet namnet på den inställning som du vill hämta kan du använda cmdleten nedan för att hämta det aktuella inställningsvärdet. I det här exemplet hämtar vi värdet för en inställning med namnet UsageGuidelinesUrl.

(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ

De här stegen läser inställningar på katalognivå, som gäller för alla Office-grupper i katalogen.

1. Läs alla befintliga kataloginställningar:

   Get-MgBetaDirectorySetting -All
   

   Den här cmdleten returnerar en lista över alla kataloginställningar:

   Id                                   DisplayName   TemplateId                           Values
   --                                   -----------   ----------                           ------
   c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...
   

2. Läs alla inställningar för en specifik grupp:

   Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"
   

3. Läs alla kataloginställningsvärden för ett specifikt kataloginställningsobjekt med hjälp av inställnings-ID GUID:

   (Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values
   

   Den här cmdleten returnerar namnen och värdena i det här inställningsobjektet för den här specifika gruppen:

   Name                          Value
   ----                          -----
   ClassificationDescriptions
   DefaultClassification
   PrefixSuffixNamingRequirement
   CustomBlockedWordsList        
   AllowGuestsToBeGroupOwner     False 
   AllowGuestsToAccessGroups     True
   GuestUsageGuidelinesUrl
   GroupCreationAllowedGroupId
   AllowToAddGuests              True
   UsageGuidelinesUrl            https://guideline.example.com
   ClassificationList
   EnableGroupCreation           True
   

Ta bort inställningar på katalognivå

Det här steget tar bort inställningar på katalognivå som gäller för alla Office-grupper i katalogen.

Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"

Skapa inställningar för en specifik grupp

1. Hämta inställningsmallarna.

   Get-MgBetaDirectorySettingTemplate
   

2. I resultatet letar du efter inställningsmallen med namnet "Groups.Unified.Guest":

   Id                                   DisplayName            Description
   --                                   -----------            -----------
   62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
   08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
   4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
   898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
   5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...
   

3. Hämta mallobjektet för mallen Groups.Unified.Guest:

   $Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ
   

4. Hämta ID:t för den grupp som du vill tillämpa den här inställningen på:

   $GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
   

5. Skapa den nya inställningen:

   $params = @{
      templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9"
      values = @(
         @{
            name = "AllowToAddGuests"
            value = "False"
         }
      )
   }
   

6. Skapa gruppinställningen:

   New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params
   

7. Kontrollera inställningarna genom att köra det här kommandot:

   Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
   

Uppdatera inställningar för en specifik grupp

1. Hämta ID:t för den grupp vars inställning du vill uppdatera:

   $groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
   

2. Hämta inställningen för gruppen:

   $Setting = Get-MgBetaGroupSetting -GroupId $GroupId
   

3. Uppdatera inställningen för gruppen efter behov:

   $params = @{
      values = @(
         @{
            name = "AllowToAddGuests"
            value = "True"
         }
      )
   }
   

4. Sedan kan du ange det nya värdet för den här inställningen:

   Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params
   

5. Du kan läsa värdet för inställningen för att kontrollera att den har uppdaterats korrekt:

   Get-MgBetaGroupSetting -GroupId $GroupId  | FL Values
   

Cmdlet-syntaxreferens

Du hittar mer Microsoft Graph PowerShell-dokumentation på Microsoft Entra-cmdletar.

Hantera gruppinställningar med Hjälp av Microsoft Graph

Information om hur du konfigurerar och hanterar gruppinställningar med Microsoft Graph finns i groupSetting resurstyp och dess associerade metoder.

Ytterligare läsning

• Hantera åtkomst till resurser med Microsoft Entra-grupper
• Integrera dina lokala identiteter med Microsoft Entra ID