Freigeben über

Übersicht über Gruppeneinstellungen

  • Artikel

Gruppeneinstellungen, die in betaauch als Verzeichniseinstellungen bezeichnet werden, sind eine Sammlung von Konfigurationen, mit denen Sie Verhaltensweisen für bestimmte Microsoft Entra Objekte wie Microsoft 365-Gruppen verwalten können. Diese Einstellungen können mandantenweit oder auf bestimmte Objekte angewendet werden, sodass Sie verschiedene Aspekte der Gruppenfunktionalität steuern können.

In diesem Artikel untersuchen wir die verschiedenen Arten von Gruppeneinstellungen und vertiefend die Einstellungen, die für Microsoft 365-Gruppen gelten.

Typen von Gruppeneinstellungen

Gruppeneinstellungen sind in Vorlagen organisiert, die jeweils eine Sammlung einzelner Einstellungen enthalten. Diese Vorlagen sind schreibgeschützt und definieren das zulässige Verhalten für bestimmte Microsoft Entra-Objekte. Die folgenden acht Gruppen von Einstellungsvorlagen sind verfügbar:

Festlegen des Vorlagennamens Beschreibung
Group.Unified Enthält Einstellungen für Microsoft 365-Gruppen. Beispiele hierfür sind blockierte Wörter für Gruppennamen, ob ein Präfix an einen Gruppennamen angefügt werden soll und ob Vertraulichkeitsbezeichnungen Gruppen zugewiesen werden können. Weitere Informationen finden Sie unter Group.Unified.
Group.Unified.Guest Enthält Einstellungen für den Gastzugriff in Microsoft 365-Gruppen.
Application Enthält Einstellungen zum Verwalten des mandantenweiten Anwendungsverhaltens.
Benutzerdefinierte Richtlinieneinstellungen Enthält die mandantenweiten Einstellungen für bedingten Zugriff, z. B. die URL.
Zustimmungsrichtlinieneinstellungen Enthält Einstellungen für die mandantenweite Zustimmungsrichtlinie, z. B. ob die Benutzereinwilligung für riskante Anwendungen blockiert wird und ob Benutzer die Administratoreinwilligung anfordern können.
Kennwortregeleinstellungen Enthält Einstellungen für die Verwaltung mandantenweiter Kennwortregeleinstellungen, z. B. die Liste gesperrter Paswwords, ob die Überprüfung gesperrter Kennwörter aktiviert ist, und die Sperrdauer nach fehlgeschlagenen Anmeldeversuchen. Weitere Informationen finden Sie unter Konfigurieren von benutzerdefinierten gesperrten Kennwörtern für Microsoft Entra Kennwortschutz.
Eingeschränkte Einstellungen für unzulässige Namen Umfasst mandantenweite Einstellungen für unzulässige Namen.
Einstellungen für unzulässige Namen Enthält unzulässige Namen für Anwendungen.

Die Einstellungsvorlagen sind über den Ressourcentyp groupSettingTemplates in v1.0 und directorySettingTemplates in betaverfügbar.

Zunächst weist Microsoft Entra ID dem Mandanten die Standardkonfiguration zu, und es gibt keine Einstellungsobjekte. Um die Standardeinstellungen zu ändern, müssen Sie ein neues Einstellungsobjekt aus einer Einstellungsvorlage erstellen.

In den Einstellungsvorlagen können Sie mandantenweite Einstellungen oder Einstellungen für einzelne Objekte konfigurieren. Verwenden Sie den Ressourcentyp groupSettings in v1.0 oder den Ressourcentyp directorySetting in beta und die zugehörigen APIs.

Für Gruppen sind nur Einstellungen für Microsoft 365-Gruppen verfügbar.

Group.Unified

Dieses Objekt gibt Die Microsoft 365-Gruppeneinstellungen für Ihren Mandanten an.

Sofern nicht anders angegeben, erfordern diese Features eine Microsoft Entra ID P1-Lizenz.

Name der Einstellung Typ Beschreibung
AllowGuestsToAccessGroups Boolesch Gibt an, ob ein Gast Zugriff auf Microsoft 365-Gruppen und deren Daten hat. Für diese Einstellung ist keine Microsoft Entra ID P1-Lizenz erforderlich.
AllowGuestsToBeGroupOwner Boolesch Gibt an, ob ein Gast ein Microsoft 365-Gruppenbesitzer sein kann.
AllowToAddGuests Boolesch Gibt an, ob eine Microsoft 365-Gruppe Gäste als Mitglieder haben kann. Diese Einstellung kann überschrieben werden und schreibgeschützt werden, wenn EnableMIPLabels aktiviert ist true und der Der Gruppe zugewiesenen Vertraulichkeitsbezeichnung eine Gastrichtlinie zugeordnet ist. Wenn sich diese Einstellung false auf Mandantenebene befindet, überschreibt sie die entsprechende Einstellung auf Gruppenebene, wenn sie ist true. Um den Gastzugriff nur für einige wenige Microsoft 365-Gruppen zu true aktivieren, legen Sie AllowToAddGuests auf Mandantenebene fest, und deaktivieren Sie diese Einstellung dann selektiv für einzelne Auszuschließende Microsoft 365-Gruppen.
ClassificationDescriptions Zeichenfolge Eine durch Trennzeichen getrennte Liste von Klassifizierungsbeschreibungen. Ein gültiger Wert hat das folgende Format: "Value:Description"Wobei Value mit einem Eintrag in der ClassificationList-Einstellung übereinstimmt. Diese Einstellung gilt nicht, wenn EnableMIPLabels den Wert aufweist true. Die maximale Zeichengrenze beträgt 300, und Kommas können nicht mit Escapezeichen versehen werden.
ClassificationList Zeichenfolge Eine durch Trennzeichen getrennte Liste von Werten, die zum Klassifizieren von Microsoft 365-Gruppen angewendet werden können. Diese Einstellung gilt nicht, wenn EnableMIPLabels den Wert aufweist true. Weitere Informationen finden Sie unter Klassifizierung "moderner" SharePoint-Websites.
CustomBlockedWordsList Zeichenfolge Durch Trennzeichen getrennte Zeichenfolge von Ausdrücken, die Benutzer nicht in Gruppennamen oder Aliasen verwenden dürfen. Weitere Informationen finden Sie unter Erzwingen einer Benennungsrichtlinie für Microsoft 365-Gruppen.
DefaultClassification Zeichenfolge Die Standardklassifizierung für eine Microsoft 365-Gruppe, wenn während der Gruppenerstellung keine angegeben wurde. Diese Einstellung gilt nicht, wenn EnableMIPLabels den Wert aufweist true. Weitere Informationen finden Sie unter Klassifizierung "moderner" SharePoint-Websites.
EnableGroupCreation Boolesch Gibt an, ob Benutzer ohne Administratorrechte Microsoft 365-Gruppen erstellen können. Die Standardeinstellung ist true. Für diese Einstellung ist keine Microsoft Entra ID P1-Lizenz erforderlich. Diese Einstellung entspricht der Einstellung Benutzer können Microsoft 365-Gruppen in Azure-Portalen, api oder PowerShell im Gruppeneinstellungsmenü im Microsoft Entra Admin Center erstellen.

Hinweis:Die Einstellung Benutzer können Sicherheitsgruppen in Azure-Portalen erstellen, api oder PowerShell wird über die allowedToCreateSecurityGroups-Eigenschaft des defaultUserRolePermissions-Objekts des AuthorizationPolicy-Ressourcentyps konfiguriert.
EnableMSStandardBlockedWords Boolesch Veraltet und eingestellt.
EnableMIPLabels Boolesch Gibt an, ob vertraulichkeitsbezeichnungen, die im Microsoft Purview-Complianceportal veröffentlicht werden, auf Microsoft 365-Gruppen angewendet werden können. Weitere Informationen finden Sie unter Zuweisen von Vertraulichkeitsbezeichnungen für Microsoft 365-Gruppen.
GroupCreationAllowedGroupId GUID Bezeichner der Sicherheitsgruppe, für die die Mitglieder Microsoft 365-Gruppen erstellen dürfen, auch wenn EnableGroupCreation ist false. Für diese Einstellung ist keine Microsoft Entra ID P1-Lizenz erforderlich.
GuestUsageGuidelinesUrl Zeichenfolge Die URL eines Links zu den Gastnutzungsrichtlinien.
NewUnifiedGroupWritebackDefault Boolesch Eine mandantenweite Einstellung, die der writebackConfiguration/isEnabled-Eigenschaft neuer Gruppen den Standardwert zuweist, wenn die Eigenschaft während der Gruppenerstellung nicht angegeben wird. Diese Einstellung gilt, wenn das Gruppenrückschreiben in Microsoft Entra Connect konfiguriert ist. Der Standardwert ist true.

Wenn Sie diese Einstellung aktualisieren, um das Standardrückschreibenverhalten für neue Microsoft 365-Gruppen zu false ändern, wird die writebackConfiguration/isEnabled-Eigenschaft für vorhandene Microsoft 365-Gruppen jedoch nicht geändert. Weitere Informationen zu dieser Einstellung und der writebackConfiguration-Eigenschaft der Gruppe finden Sie unter Group-Ressourcentyp.
PrefixSuffixNamingRequirement Zeichenfolge Definiert die Namenskonvention für Microsoft 365-Gruppennamen und E-Mail-Spitznamen. Die maximale Zeichengrenze beträgt 64. Weitere Informationen finden Sie unter Erzwingen einer Benennungsrichtlinie für Microsoft 365-Gruppen.
UsageGuidelinesUrl Zeichenfolge Ein Link zu den Richtlinien für die Gruppennutzung. Der Standardwert ist ein leerer Wert.

Group.Unified.Guest

Die Einstellungen in diesem Objekt geben an, ob Gäste allen oder bestimmten Microsoft 365-Gruppen im Mandanten hinzugefügt werden können. In dieser Sammlung ist nur eine Einstellung verfügbar.

Name der Einstellung Typ Beschreibung
AllowToAddGuests Boolesch Gibt an, ob Gäste allen oder bestimmten Microsoft 365-Gruppen hinzugefügt werden können. Die Standardeinstellung ist true. Diese Einstellung kann in folgenden Fällen überschrieben werden:
  • EnableMIPLabels ist true , und eine Gastrichtlinie wird angewendet, wenn einer Gruppe eine Vertraulichkeitsbezeichnung zugewiesen wird.
  • AllowToAddGuests befindet false sich auf Mandantenebene, dann wird die Einstellung auf Gruppenebene überschrieben.
    		•

    Verwalten einer Gruppeneinstellung

    So verwalten Sie eine Gruppeneinstellung:

    1. Rufen Sie zunächst die Details der Gruppeneinstellungsvorlage ab, die Sie verwenden möchten, indem Sie die API groupSettings auflisten verwenden.
    2. Erstellen der Gruppeneinstellung: Verwenden Sie die abgerufene Vorlage, um eine neue Gruppeneinstellung zu erstellen.
    3. Aktualisieren der Gruppeneinstellung: Aktualisieren Sie bei Bedarf die Gruppeneinstellung mit bestimmten Werten.

    Beispiel: Konfigurieren eines Präfixes für Microsoft 365-Gruppennamen

    Schritt 1: Abrufen der Einstellungskonfiguration der Gruppe "PrefixSuffixNamingRequirement"

    Sie müssen alle Gruppeneinstellungen abrufen, da die API keine Filterung unterstützt. Die PrefixSuffixNamingRequirement Gruppeneinstellung ist in der Group.Unified Vorlage enthalten.

    Anforderung

    GET https://graph.microsoft.com/v1.0/groupSettingTemplates

    Antwort

    Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

    HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#groupSettingTemplates",
    "@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET groupSettingTemplates?$select=description,displayName",
    "value": [
        {
            "id": "62375ab9-6b52-47ed-826b-58e47e0e304b",
            "deletedDateTime": null,
            "displayName": "Group.Unified",
            "description": "\n        Setting templates define the different settings that can be used for the associated ObjectSettings. This template defines\n        settings that can be used for Unified Groups.\n      ",
            "values": [
                {
                    "name": "PrefixSuffixNamingRequirement",
                    "type": "System.String",
                    "defaultValue": "",
                    "description": "A structured string describing how a Unified Group displayName and mailNickname should be structured. Please refer to docs to discover how to structure a valid requirement."
                }
            ]
        }
    ]
}

    Schritt 2: Erstellen der mandantenweiten Gruppenpräfixrichtlinie

    Anforderung

    Die folgende Anforderung gibt nur die PrefixSuffixNamingRequirement Einstellung an. Die Anforderung erstellt die Gruppeneinstellung und weist anderen Einstellungen in der Group.Unified Vorlage Standardwerte zu.

    POST https://graph.microsoft.com/v1.0/groupSettings

{
    "templateId": "62375ab9-6b52-47ed-826b-58e47e0e304b",
    "values": [
        {
            "name": "PrefixSuffixNamingRequirement",
            "value": "[Contoso-][GroupName]"
        }
    ]
}

    Antwort

    Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

    HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#groupSettings/$entity",
    "id": "98208f14-04ff-4a4e-9a67-3dcb5fa6fd6f",
    "displayName": null,
    "templateId": "62375ab9-6b52-47ed-826b-58e47e0e304b",
    "values": [
        {
            "name": "PrefixSuffixNamingRequirement",
            "value": "[Contoso-][GroupName]"
        }
    ]
}

    Verwandte Inhalte