Bagikan melalui


Cmdlet Microsoft Entra untuk mengonfigurasi pengaturan grup

Artikel ini berisi instruksi untuk menggunakan cmdlet PowerShell untuk membuat dan memperbarui grup di ID Microsoft Entra, bagian dari Microsoft Entra. Konten ini hanya berlaku untuk grup Microsoft 365.

Penting

Beberapa pengaturan memerlukan lisensi Microsoft Entra ID P1. Untuk informasi selengkapnya, lihat tabel Pengaturan templat.

Untuk informasi selengkapnya tentang cara mencegah pengguna nonadministrator membuat grup keamanan, atur properti AllowedToCreateSecurityGroups ke False seperti yang dijelaskan dalam Update-MgPolicyAuthorizationPolicy.

Pengaturan grup Microsoft 365 dikonfigurasi menggunakan objek Pengaturan dan objek SettingsTemplate. Awalnya, Anda tidak melihat objek Pengaturan apa pun di direktori Anda, karena direktori Anda dikonfigurasi dengan pengaturan default. Untuk mengubah pengaturan default, Anda harus membuat objek pengaturan baru menggunakan templat pengaturan. Microsoft menyediakan beberapa templat pengaturan. Untuk mengonfigurasi pengaturan grup Microsoft 365 untuk direktori, Anda menggunakan templat bernama "Group.Unified". Untuk mengonfigurasi pengaturan grup Microsoft 365 pada satu grup, gunakan templat bernama "Group.Unified.Guest Templat ini digunakan untuk mengelola akses tamu ke grup Microsoft 365.

Cmdlet adalah bagian dari modul Microsoft Graph PowerShell. Untuk petunjuk cara mengunduh dan menginstal modul di komputer Anda, lihat Menginstal Microsoft Graph PowerShell SDK.

Nota

Bahkan dengan pembatasan yang diaktifkan untuk mencegah penambahan tamu ke grup Microsoft 365, administrator masih dapat menambahkan pengguna tamu. Pembatasan hanya berlaku untuk pengguna non-admin.

Menginstal PowerShell cmdlet

Instal cmdlet Microsoft Graph seperti yang dijelaskan dalam Menginstal Microsoft Graph PowerShell SDK.

  1. Buka aplikasi Windows PowerShell sebagai administrator.

  2. Pasang cmdlet Microsoft Graph.

    Install-Module Microsoft.Graph -Scope AllUsers
    
  3. Instal cmdlet Microsoft Graph versi beta.

    Install-Module Microsoft.Graph.Beta -Scope AllUsers
    

Membuat pengaturan di tingkat direktori

Langkah-langkah ini membuat pengaturan di tingkat direktori, yang berlaku untuk semua grup Microsoft 365 di direktori.

  1. Pada cmdlet DirectorySettings, Anda harus menentukan ID TemplatePengaturan yang ingin Anda gunakan. Jika Anda tidak tahu ID ini, cmdlet ini mengembalikan daftar semua templat pengaturan:

    Get-MgBetaDirectorySettingTemplate
    

    Panggilan cmdlet ini mengembalikan semua templat yang tersedia:

    Id                                   DisplayName         Description
    --                                   -----------         -----------
    62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
    08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
    16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
    4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
    898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
    5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...
    
  2. Untuk menambahkan URL pedoman penggunaan, pertama-tama Anda perlu mendapatkan objek SettingsTemplate yang menentukan nilai URL pedoman penggunaan; yaitu, Grup. Templat terpadu:

    $TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
    $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
    
  3. Buat objek yang berisi nilai yang akan digunakan untuk pengaturan direktori. Nilai-nilai ini mengubah nilai pedoman penggunaan dan mengaktifkan label sensitivitas. Atur pengaturan ini atau lainnya dalam templat sesuai kebutuhan:

    $params = @{
       templateId = "$TemplateId"
       values = @(
          @{
             name = "UsageGuidelinesUrl"
             value = "https://guideline.example.com"
          }
          @{
             name = "EnableMIPLabels"
             value = "True"
          }
       )
    }
    
  4. Buat pengaturan direktori dengan menggunakan New-MgBetaDirectorySetting:

    New-MgBetaDirectorySetting -BodyParameter $params
    
  5. Anda dapat membaca nilai dengan menggunakan perintah berikut:

    $Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
    $Setting.Values
    

Memperbarui pengaturan di tingkat direktori

Untuk memperbarui nilai UsageGuideLinesUrl dalam templat pengaturan, periksa pengaturan saat ini dari Microsoft Entra ID, agar kita tidak sampai menimpa pengaturan lain yang sudah ada selain UsageGuideLinesUrl.

  1. Dapatkan pengaturan saat ini dari Group.Unified SettingsTemplate:

    $Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
    
  2. Periksa pengaturan saat ini:

    $Setting.Values
    

    Perintah ini mengembalikan nilai berikut:

    Name                            Value
    ----                            -----
    EnableMIPLabels                 True
    CustomBlockedWordsList
    EnableMSStandardBlockedWords    False
    ClassificationDescriptions
    DefaultClassification
    PrefixSuffixNamingRequirement
    AllowGuestsToBeGroupOwner       False
    AllowGuestsToAccessGroups       True
    GuestUsageGuidelinesUrl
    GroupCreationAllowedGroupId
    AllowToAddGuests                True
    UsageGuidelinesUrl              https://guideline.example.com
    ClassificationList
    EnableGroupCreation             True
    NewUnifiedGroupWritebackDefault True
    
  3. Untuk menghapus nilai UsageGuideLinesUrl, edit URL menjadi string kosong:

    $params = @{
       Values = @(
          @{
             Name = "UsageGuidelinesUrl"
             Value = ""
          }
       )
    }
    
  4. Perbarui nilai dengan menggunakan cmdlet Update-MgBetaDirectorySetting:

    Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params
    

Pengaturan templat

Berikut adalah pengaturan yang ditentukan dalam Group.Unified SettingsTemplate. Kecuali dinyatakan lain, fitur ini memerlukan lisensi Microsoft Entra ID P1.

Pengaturan Deskripsi
AktifkanPembuatanGrup
Jenis: Boolean
Default: True
Bendera ini menunjukkan apakah pengguna nonadmin dapat membuat grup Microsoft 365 di direktori. Pengaturan ini tidak memerlukan lisensi Microsoft Entra ID P1.
GroupCreationAllowedGroupId
Jenis: String
Bawaan: ""
GUID grup keamanan bagi anggota yang diizinkan untuk membuat grup Microsoft 365 bahkan ketika kondisi EnableGroupCreation == falseterpenuhi.
PanduanPenggunaanUrl
Jenis: String
Bawaan: ""
Tautan ke Panduan Penggunaan Grup.
ClassificationDescriptions
Jenis: String
Bawaan: ""
Daftar deskripsi klasifikasi yang dibatasi koma. Nilai ClassificationDescriptions hanya valid dalam format ini:
$setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description"
di mana Klasifikasi cocok dengan entri di ClassificationList.
Pengaturan ini tidak berlaku saat EnableMIPLabels == True.
Batas karakter untuk properti ClassificationDescriptions adalah 300, dan koma tidak dapat diloloskan.
DefaultClassification
Jenis: String
Default: ""
Klasifikasi yang akan digunakan sebagai klasifikasi default untuk grup jika tidak ada yang ditentukan.
Pengaturan ini tidak berlaku saat EnableMIPLabels == True.
KebutuhanPenamaanAwalanAkhiran
Jenis: String
Default: ""
String dengan panjang maksimum 64 karakter yang menentukan konvensi penamaan yang dikonfigurasi untuk grup Microsoft 365. Untuk informasi selengkapnya, lihat Menerapkan kebijakan penamaan untuk grup Microsoft 365.
DaftarKataTerlarangKustom
Jenis: String
Default: ""
String frasa yang dipisahkan koma yang tidak diizinkan digunakan pengguna dalam nama grup atau alias. Untuk informasi selengkapnya, lihat Menerapkan kebijakan penamaan untuk grup Microsoft 365.
EnableMSStandardBlockedWords
Jenis: Boolean
Default: False
Tidak Direkomendasikan Jangan gunakan.
IzinkanTamuMenjadiPemilikGrup
Jenis: Boolean
Bawaan: False
Boolean menunjukkan apakah pengguna tamu dapat menjadi pemilik grup atau tidak.
izinkanTamuMengaksesGrup
Jenis: Boolean
Bawaan: True
Boolean menunjukkan apakah pengguna tamu dapat memiliki akses ke konten grup Microsoft 365 atau tidak. Pengaturan ini tidak memerlukan lisensi Microsoft Entra ID P1.
UrlPanduanPenggunaanTamu
Jenis: String
Default: ""
URL tautan ke panduan penggunaan tamu.
IzinkanMenambahkanTamu
Jenis: Boolean
Bawaan: True
Boolean yang menunjukkan apakah diizinkan untuk menambahkan tamu ke direktori ini atau tidak.
Pengaturan ini dapat dikesampingkan dan menjadi hanya-baca jika EnableMIPLabels diatur ke True dan kebijakan tamu dikaitkan dengan label sensitivitas yang ditetapkan ke grup.
Jika pengaturan AllowToAddGuests diatur ke False di tingkat organisasi, pengaturan AllowToAddGuests apa pun di tingkat grup diabaikan. Jika Anda ingin mengaktifkan akses tamu hanya untuk beberapa grup, Anda harus mengatur AllowToAddGuests menjadi true di tingkat organisasi, lalu secara selektif menonaktifkannya untuk grup tertentu.
DaftarKlasifikasi
Jenis: String
Bawaan: ""
Daftar nilai klasifikasi valid yang dibatasi koma yang dapat diterapkan ke grup Microsoft 365.
Pengaturan ini tidak berlaku saat EnableMIPLabels == True.
AktifkanLabelMIP
Jenis: Boolean
Bawaan: False
Bendera yang menunjukkan apakah label sensitivitas yang diterbitkan di portal kepatuhan Microsoft Purview dapat diterapkan ke grup Microsoft 365. Untuk informasi selengkapnya, lihat Menetapkan Label Sensitivitas untuk grup Microsoft 365.
TulisBalikGrupBersatuBaruBawaan
Jenis: Boolean
Bawaan: True
Bendera yang memungkinkan admin membuat grup Microsoft 365 baru tanpa mengatur jenis sumber daya groupWritebackConfiguration dalam payload permintaan. Pengaturan ini berlaku ketika penulisan ulang grup dikonfigurasi di Microsoft Entra Connect. NewUnifiedGroupWritebackDefault adalah pengaturan grup Microsoft 365 global. Nilai default adalah true. Memperbarui nilai pengaturan menjadi false mengubah perilaku tulis balik default untuk grup Microsoft 365 yang baru dibuat, dan tidak mengubah nilai properti isEnabled untuk grup Microsoft 365 yang sudah ada. Admin grup perlu secara eksplisit memperbarui nilai properti isEnabled grup untuk mengubah status tulis balik untuk grup Microsoft 365 yang sudah ada.

Contoh: Mengonfigurasi kebijakan Tamu untuk grup di tingkat direktori

  1. Dapatkan semua templat pengaturan:

    Get-MgBetaDirectorySettingTemplate
    
  2. Untuk mengatur kebijakan tamu untuk grup di tingkat direktori, Anda memerlukan templat Group.Unified.

    $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ
    
  3. Tetapkan nilai untuk AllowToAddGuests untuk templat yang ditentukan:

    $params = @{
       templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
       values = @(
          @{
             name = "AllowToAddGuests"
             value = "False"
          }
       )
    }
    
  4. Selanjutnya, buat objek pengaturan baru dengan menggunakan cmdlet New-MgBetaDirectorySetting:

    $Setting = New-MgBetaDirectorySetting -BodyParameter $params
    
  5. Anda dapat membaca nilai menggunakan:

    $Setting.Values
    

Membaca pengaturan di tingkat direktori

Jika Anda mengetahui nama pengaturan yang ingin Anda ambil, Anda dapat menggunakan cmdlet di bawah ini untuk mengambil nilai pengaturan saat ini. Dalam contoh ini, kami memperoleh nilai untuk pengaturan bernama UsageGuidelinesUrl.

(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ

Langkah-langkah ini membaca pengaturan di tingkat direktori, yang berlaku untuk semua grup Office di direktori.

  1. Baca semua pengaturan direktori yang ada:

    Get-MgBetaDirectorySetting -All
    

    Cmdlet ini mengembalikan daftar semua pengaturan direktori:

    Id                                   DisplayName   TemplateId                           Values
    --                                   -----------   ----------                           ------
    c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...
    
  2. Baca semua pengaturan untuk grup tertentu:

    Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"
    
  3. Baca semua nilai pengaturan dari objek pengaturan direktori tertentu, menggunakan GUID ID Pengaturan:

    (Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values
    

    Cmdlet ini mengembalikan nama dan nilai dalam objek pengaturan ini untuk grup tertentu ini:

    Name                          Value
    ----                          -----
    ClassificationDescriptions
    DefaultClassification
    PrefixSuffixNamingRequirement
    CustomBlockedWordsList        
    AllowGuestsToBeGroupOwner     False 
    AllowGuestsToAccessGroups     True
    GuestUsageGuidelinesUrl
    GroupCreationAllowedGroupId
    AllowToAddGuests              True
    UsageGuidelinesUrl            https://guideline.example.com
    ClassificationList
    EnableGroupCreation           True
    

Menghapus pengaturan di tingkat direktori

Langkah ini menghapus pengaturan di tingkat direktori, yang berlaku untuk semua grup Office di direktori.

Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"

Membuat pengaturan untuk grup tertentu

  1. Dapatkan templat pengaturan.

    Get-MgBetaDirectorySettingTemplate
    
  2. Dalam hasilnya, temukan templat pengaturan bernama "Groups.Unified.Guest":

    Id                                   DisplayName            Description
    --                                   -----------            -----------
    62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
    08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
    4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
    898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
    5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...
    
  3. Ambil objek templat untuk templat Groups.Unified.Guest:

    $Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ
    
  4. Dapatkan ID grup yang ingin Anda terapkan pengaturan ini ke:

    $GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
    
  5. Buat pengaturan baru:

    $params = @{
       templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9"
       values = @(
          @{
             name = "AllowToAddGuests"
             value = "False"
          }
       )
    }
    
  6. Buat pengaturan grup:

    New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params
    
  7. Untuk memverifikasi pengaturan, jalankan perintah ini:

    Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
    

Memperbarui pengaturan untuk grup tertentu

  1. Dapatkan ID grup yang pengaturannya ingin Anda perbarui:

    $groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
    
  2. Dapatkan pengaturan grup:

    $Setting = Get-MgBetaGroupSetting -GroupId $GroupId
    
  3. Perbarui pengaturan grup sesuai kebutuhan Anda:

    $params = @{
       values = @(
          @{
             name = "AllowToAddGuests"
             value = "True"
          }
       )
    }
    
  4. Kemudian Anda dapat mengatur nilai baru untuk pengaturan ini:

    Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params
    
  5. Anda dapat membaca nilai pengaturan untuk memastikan bahwa pengaturan telah diperbarui dengan benar:

    Get-MgBetaGroupSetting -GroupId $GroupId  | FL Values
    

Referensi Sintaks Cmdlet

Anda dapat menemukan dokumentasi Microsoft Graph PowerShell lainnya di Microsoft Entra Cmdlets.

Mengelola pengaturan grup menggunakan Microsoft Graph

Untuk mengonfigurasi dan mengelola pengaturan grup menggunakan Microsoft Graph, lihat jenis sumber daya groupSetting dan metode terkaitnya.

Pembacaan tambahan