Cmdlet Microsoft Entra untuk mengonfigurasi pengaturan grup

Artikel
12/12/2024

Artikel ini berisi instruksi untuk menggunakan cmdlet PowerShell untuk membuat dan memperbarui grup di ID Microsoft Entra, bagian dari Microsoft Entra. Konten ini hanya berlaku untuk grup Microsoft 365.

Penting

Beberapa pengaturan memerlukan lisensi Microsoft Entra ID P1. Untuk informasi selengkapnya, lihat tabel Pengaturan templat.

Untuk informasi selengkapnya tentang cara mencegah pengguna nonadministrator membuat grup keamanan, atur properti AllowedToCreateSecurityGroups ke False seperti yang dijelaskan dalam Update-MgPolicyAuthorizationPolicy.

Pengaturan grup Microsoft 365 dikonfigurasi menggunakan objek Pengaturan dan objek SettingsTemplate. Awalnya, Anda tidak melihat objek Pengaturan apa pun di direktori Anda, karena direktori Anda dikonfigurasi dengan pengaturan default. Untuk mengubah pengaturan default, Anda harus membuat objek pengaturan baru menggunakan templat pengaturan. Microsoft menyediakan beberapa templat pengaturan. Untuk mengonfigurasi pengaturan grup Microsoft 365 untuk direktori, Anda menggunakan templat bernama "Group.Unified". Untuk mengonfigurasi pengaturan grup Microsoft 365 pada satu grup, gunakan templat bernama "Group.Unified.Guest Templat ini digunakan untuk mengelola akses tamu ke grup Microsoft 365.

Cmdlet adalah bagian dari modul Microsoft Graph PowerShell. Untuk petunjuk cara mengunduh dan menginstal modul di komputer Anda, lihat Menginstal Microsoft Graph PowerShell SDK.

Nota

Bahkan dengan pembatasan yang diaktifkan untuk mencegah penambahan tamu ke grup Microsoft 365, administrator masih dapat menambahkan pengguna tamu. Pembatasan hanya berlaku untuk pengguna non-admin.

Menginstal PowerShell cmdlet

Instal cmdlet Microsoft Graph seperti yang dijelaskan dalam Menginstal Microsoft Graph PowerShell SDK.

Buka aplikasi Windows PowerShell sebagai administrator.

Pasang cmdlet Microsoft Graph.

Install-Module Microsoft.Graph -Scope AllUsers

Instal cmdlet Microsoft Graph versi beta.

Install-Module Microsoft.Graph.Beta -Scope AllUsers

Membuat pengaturan di tingkat direktori

Langkah-langkah ini membuat pengaturan di tingkat direktori, yang berlaku untuk semua grup Microsoft 365 di direktori.

Pada cmdlet DirectorySettings, Anda harus menentukan ID TemplatePengaturan yang ingin Anda gunakan. Jika Anda tidak tahu ID ini, cmdlet ini mengembalikan daftar semua templat pengaturan:

Get-MgBetaDirectorySettingTemplate

Panggilan cmdlet ini mengembalikan semua templat yang tersedia:

Id                                   DisplayName         Description
--                                   -----------         -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...

Untuk menambahkan URL pedoman penggunaan, pertama-tama Anda perlu mendapatkan objek SettingsTemplate yang menentukan nilai URL pedoman penggunaan; yaitu, Grup. Templat terpadu:

$TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ

Buat objek yang berisi nilai yang akan digunakan untuk pengaturan direktori. Nilai-nilai ini mengubah nilai pedoman penggunaan dan mengaktifkan label sensitivitas. Atur pengaturan ini atau lainnya dalam templat sesuai kebutuhan:

$params = @{
   templateId = "$TemplateId"
   values = @(
      @{
         name = "UsageGuidelinesUrl"
         value = "https://guideline.example.com"
      }
      @{
         name = "EnableMIPLabels"
         value = "True"
      }
   )
}

Buat pengaturan direktori dengan menggunakan New-MgBetaDirectorySetting:
```
New-MgBetaDirectorySetting -BodyParameter $params
```

Anda dapat membaca nilai dengan menggunakan perintah berikut:

$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
$Setting.Values

Memperbarui pengaturan di tingkat direktori

Untuk memperbarui nilai UsageGuideLinesUrl dalam templat pengaturan, periksa pengaturan saat ini dari Microsoft Entra ID, agar kita tidak sampai menimpa pengaturan lain yang sudah ada selain UsageGuideLinesUrl.

Dapatkan pengaturan saat ini dari Group.Unified SettingsTemplate:

$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}

Periksa pengaturan saat ini:

$Setting.Values

Perintah ini mengembalikan nilai berikut:

Name                            Value
----                            -----
EnableMIPLabels                 True
CustomBlockedWordsList
EnableMSStandardBlockedWords    False
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
AllowGuestsToBeGroupOwner       False
AllowGuestsToAccessGroups       True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests                True
UsageGuidelinesUrl              https://guideline.example.com
ClassificationList
EnableGroupCreation             True
NewUnifiedGroupWritebackDefault True

Untuk menghapus nilai UsageGuideLinesUrl, edit URL menjadi string kosong:

$params = @{
   Values = @(
      @{
         Name = "UsageGuidelinesUrl"
         Value = ""
      }
   )
}

Perbarui nilai dengan menggunakan cmdlet Update-MgBetaDirectorySetting:

Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params

Pengaturan templat

Berikut adalah pengaturan yang ditentukan dalam Group.Unified SettingsTemplate. Kecuali dinyatakan lain, fitur ini memerlukan lisensi Microsoft Entra ID P1.

Pengaturan	Deskripsi
AktifkanPembuatanGrup Jenis: `Boolean` Default: `True`	Bendera ini menunjukkan apakah pengguna nonadmin dapat membuat grup Microsoft 365 di direktori. Pengaturan ini tidak memerlukan lisensi Microsoft Entra ID P1.
GroupCreationAllowedGroupId Jenis: `String` Bawaan: `""`	GUID grup keamanan bagi anggota yang diizinkan untuk membuat grup Microsoft 365 bahkan ketika kondisi `EnableGroupCreation == false`terpenuhi.
PanduanPenggunaanUrl Jenis: `String` Bawaan: `""`	Tautan ke Panduan Penggunaan Grup.
ClassificationDescriptions Jenis: `String` Bawaan: `""`	Daftar deskripsi klasifikasi yang dibatasi koma. Nilai `ClassificationDescriptions` hanya valid dalam format ini: `$setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description"` di mana Klasifikasi cocok dengan entri di ClassificationList. Pengaturan ini tidak berlaku saat `EnableMIPLabels == True`. Batas karakter untuk properti `ClassificationDescriptions` adalah 300, dan koma tidak dapat diloloskan.
DefaultClassification Jenis: `String` Default: `""`	Klasifikasi yang akan digunakan sebagai klasifikasi default untuk grup jika tidak ada yang ditentukan. Pengaturan ini tidak berlaku saat `EnableMIPLabels == True`.
KebutuhanPenamaanAwalanAkhiran Jenis: `String` Default: `""`	String dengan panjang maksimum 64 karakter yang menentukan konvensi penamaan yang dikonfigurasi untuk grup Microsoft 365. Untuk informasi selengkapnya, lihat Menerapkan kebijakan penamaan untuk grup Microsoft 365.
DaftarKataTerlarangKustom Jenis: `String` Default: `""`	String frasa yang dipisahkan koma yang tidak diizinkan digunakan pengguna dalam nama grup atau alias. Untuk informasi selengkapnya, lihat Menerapkan kebijakan penamaan untuk grup Microsoft 365.
EnableMSStandardBlockedWords Jenis: `Boolean` Default: `False`	Tidak Direkomendasikan Jangan gunakan.
IzinkanTamuMenjadiPemilikGrup Jenis: `Boolean` Bawaan: `False`	Boolean menunjukkan apakah pengguna tamu dapat menjadi pemilik grup atau tidak.
izinkanTamuMengaksesGrup Jenis: `Boolean` Bawaan: `True`	Boolean menunjukkan apakah pengguna tamu dapat memiliki akses ke konten grup Microsoft 365 atau tidak. Pengaturan ini tidak memerlukan lisensi Microsoft Entra ID P1.
UrlPanduanPenggunaanTamu Jenis: `String` Default: `""`	URL tautan ke panduan penggunaan tamu.
IzinkanMenambahkanTamu Jenis: `Boolean` Bawaan: `True`	Boolean yang menunjukkan apakah diizinkan untuk menambahkan tamu ke direktori ini atau tidak. Pengaturan ini dapat dikesampingkan dan menjadi hanya-baca jika `EnableMIPLabels` diatur ke True dan kebijakan tamu dikaitkan dengan label sensitivitas yang ditetapkan ke grup. Jika pengaturan `AllowToAddGuests` diatur ke False di tingkat organisasi, pengaturan `AllowToAddGuests` apa pun di tingkat grup diabaikan. Jika Anda ingin mengaktifkan akses tamu hanya untuk beberapa grup, Anda harus mengatur `AllowToAddGuests` menjadi true di tingkat organisasi, lalu secara selektif menonaktifkannya untuk grup tertentu.
DaftarKlasifikasi Jenis: `String` Bawaan: `""`	Daftar nilai klasifikasi valid yang dibatasi koma yang dapat diterapkan ke grup Microsoft 365. Pengaturan ini tidak berlaku saat EnableMIPLabels == True.
AktifkanLabelMIP Jenis: `Boolean` Bawaan: `False`	Bendera yang menunjukkan apakah label sensitivitas yang diterbitkan di portal kepatuhan Microsoft Purview dapat diterapkan ke grup Microsoft 365. Untuk informasi selengkapnya, lihat Menetapkan Label Sensitivitas untuk grup Microsoft 365.
TulisBalikGrupBersatuBaruBawaan Jenis: `Boolean` Bawaan: `True`	Bendera yang memungkinkan admin membuat grup Microsoft 365 baru tanpa mengatur jenis sumber daya groupWritebackConfiguration dalam payload permintaan. Pengaturan ini berlaku ketika penulisan ulang grup dikonfigurasi di Microsoft Entra Connect. `NewUnifiedGroupWritebackDefault` adalah pengaturan grup Microsoft 365 global. Nilai default adalah true. Memperbarui nilai pengaturan menjadi false mengubah perilaku tulis balik default untuk grup Microsoft 365 yang baru dibuat, dan tidak mengubah nilai properti isEnabled untuk grup Microsoft 365 yang sudah ada. Admin grup perlu secara eksplisit memperbarui nilai properti isEnabled grup untuk mengubah status tulis balik untuk grup Microsoft 365 yang sudah ada.

Contoh: Mengonfigurasi kebijakan Tamu untuk grup di tingkat direktori

Dapatkan semua templat pengaturan:
```
Get-MgBetaDirectorySettingTemplate
```

Untuk mengatur kebijakan tamu untuk grup di tingkat direktori, Anda memerlukan templat Group.Unified.

$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ

Tetapkan nilai untuk AllowToAddGuests untuk templat yang ditentukan:

$params = @{
   templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "False"
      }
   )
}

Selanjutnya, buat objek pengaturan baru dengan menggunakan cmdlet New-MgBetaDirectorySetting:
```
$Setting = New-MgBetaDirectorySetting -BodyParameter $params
```
Anda dapat membaca nilai menggunakan:
```
$Setting.Values
```

Membaca pengaturan di tingkat direktori

Jika Anda mengetahui nama pengaturan yang ingin Anda ambil, Anda dapat menggunakan cmdlet di bawah ini untuk mengambil nilai pengaturan saat ini. Dalam contoh ini, kami memperoleh nilai untuk pengaturan bernama UsageGuidelinesUrl.

(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ

Langkah-langkah ini membaca pengaturan di tingkat direktori, yang berlaku untuk semua grup Office di direktori.

Baca semua pengaturan direktori yang ada:

Get-MgBetaDirectorySetting -All

Cmdlet ini mengembalikan daftar semua pengaturan direktori:

Id                                   DisplayName   TemplateId                           Values
--                                   -----------   ----------                           ------
c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...

Baca semua pengaturan untuk grup tertentu:

Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"

Baca semua nilai pengaturan dari objek pengaturan direktori tertentu, menggunakan GUID ID Pengaturan:

(Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values

Cmdlet ini mengembalikan nama dan nilai dalam objek pengaturan ini untuk grup tertentu ini:

Name                          Value
----                          -----
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
CustomBlockedWordsList        
AllowGuestsToBeGroupOwner     False 
AllowGuestsToAccessGroups     True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests              True
UsageGuidelinesUrl            https://guideline.example.com
ClassificationList
EnableGroupCreation           True

Menghapus pengaturan di tingkat direktori

Langkah ini menghapus pengaturan di tingkat direktori, yang berlaku untuk semua grup Office di direktori.

Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"

Membuat pengaturan untuk grup tertentu

Dapatkan templat pengaturan.
```
Get-MgBetaDirectorySettingTemplate
```

Dalam hasilnya, temukan templat pengaturan bernama "Groups.Unified.Guest":

Id                                   DisplayName            Description
--                                   -----------            -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...

Ambil objek templat untuk templat Groups.Unified.Guest:

$Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ

Dapatkan ID grup yang ingin Anda terapkan pengaturan ini ke:

$GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id

Buat pengaturan baru:

$params = @{
   templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9"
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "False"
      }
   )
}

Buat pengaturan grup:

New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params

Untuk memverifikasi pengaturan, jalankan perintah ini:

Get-MgBetaGroupSetting -GroupId $GroupId | FL Values

Memperbarui pengaturan untuk grup tertentu

Dapatkan ID grup yang pengaturannya ingin Anda perbarui:

$groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id

Dapatkan pengaturan grup:

$Setting = Get-MgBetaGroupSetting -GroupId $GroupId

Perbarui pengaturan grup sesuai kebutuhan Anda:

$params = @{
   values = @(
      @{
         name = "AllowToAddGuests"
         value = "True"
      }
   )
}

Kemudian Anda dapat mengatur nilai baru untuk pengaturan ini:

Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params

Anda dapat membaca nilai pengaturan untuk memastikan bahwa pengaturan telah diperbarui dengan benar:
```
Get-MgBetaGroupSetting -GroupId $GroupId  | FL Values
```

Referensi Sintaks Cmdlet

Anda dapat menemukan dokumentasi Microsoft Graph PowerShell lainnya di Microsoft Entra Cmdlets.

Mengelola pengaturan grup menggunakan Microsoft Graph

Untuk mengonfigurasi dan mengelola pengaturan grup menggunakan Microsoft Graph, lihat jenis sumber daya groupSetting dan metode terkaitnya.

Bagikan melalui