Cmdlet Microsoft Entra untuk mengonfigurasi pengaturan grup
Artikel ini berisi instruksi untuk menggunakan cmdlet PowerShell untuk membuat dan memperbarui grup di ID Microsoft Entra, bagian dari Microsoft Entra. Konten ini hanya berlaku untuk grup Microsoft 365.
Penting
Beberapa pengaturan memerlukan lisensi Microsoft Entra ID P1. Untuk informasi selengkapnya, lihat tabel Pengaturan templat.
Untuk informasi selengkapnya tentang cara mencegah pengguna nonadministrator membuat grup keamanan, atur properti AllowedToCreateSecurityGroups
ke False seperti yang dijelaskan dalam Update-MgPolicyAuthorizationPolicy.
Pengaturan grup Microsoft 365 dikonfigurasi menggunakan objek Pengaturan dan objek SettingsTemplate. Awalnya, Anda tidak melihat objek Pengaturan apa pun di direktori Anda, karena direktori Anda dikonfigurasi dengan pengaturan default. Untuk mengubah pengaturan default, Anda harus membuat objek pengaturan baru menggunakan templat pengaturan. Microsoft menyediakan beberapa templat pengaturan. Untuk mengonfigurasi pengaturan grup Microsoft 365 untuk direktori, Anda menggunakan templat bernama "Group.Unified". Untuk mengonfigurasi pengaturan grup Microsoft 365 pada satu grup, gunakan templat bernama "Group.Unified.Guest Templat ini digunakan untuk mengelola akses tamu ke grup Microsoft 365.
Cmdlet adalah bagian dari modul Microsoft Graph PowerShell. Untuk petunjuk cara mengunduh dan menginstal modul di komputer Anda, lihat Menginstal Microsoft Graph PowerShell SDK.
Nota
Bahkan dengan pembatasan yang diaktifkan untuk mencegah penambahan tamu ke grup Microsoft 365, administrator masih dapat menambahkan pengguna tamu. Pembatasan hanya berlaku untuk pengguna non-admin.
Menginstal PowerShell cmdlet
Instal cmdlet Microsoft Graph seperti yang dijelaskan dalam Menginstal Microsoft Graph PowerShell SDK.
Buka aplikasi Windows PowerShell sebagai administrator.
Pasang cmdlet Microsoft Graph.
Install-Module Microsoft.Graph -Scope AllUsers
Instal cmdlet Microsoft Graph versi beta.
Install-Module Microsoft.Graph.Beta -Scope AllUsers
Membuat pengaturan di tingkat direktori
Langkah-langkah ini membuat pengaturan di tingkat direktori, yang berlaku untuk semua grup Microsoft 365 di direktori.
Pada cmdlet DirectorySettings, Anda harus menentukan ID TemplatePengaturan yang ingin Anda gunakan. Jika Anda tidak tahu ID ini, cmdlet ini mengembalikan daftar semua templat pengaturan:
Get-MgBetaDirectorySettingTemplate
Panggilan cmdlet ini mengembalikan semua templat yang tersedia:
Id DisplayName Description -- ----------- ----------- 62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified ... 08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group 16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn Setting templates define the different settings that can be used for the associ... 4bc7f740-180e-4586-adb6-38b2e9024e6b Application... 898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ... 5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...
Untuk menambahkan URL pedoman penggunaan, pertama-tama Anda perlu mendapatkan objek SettingsTemplate yang menentukan nilai URL pedoman penggunaan; yaitu, Grup. Templat terpadu:
$TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id $Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
Buat objek yang berisi nilai yang akan digunakan untuk pengaturan direktori. Nilai-nilai ini mengubah nilai pedoman penggunaan dan mengaktifkan label sensitivitas. Atur pengaturan ini atau lainnya dalam templat sesuai kebutuhan:
$params = @{ templateId = "$TemplateId" values = @( @{ name = "UsageGuidelinesUrl" value = "https://guideline.example.com" } @{ name = "EnableMIPLabels" value = "True" } ) }
Buat pengaturan direktori dengan menggunakan New-MgBetaDirectorySetting:
New-MgBetaDirectorySetting -BodyParameter $params
Anda dapat membaca nilai dengan menggunakan perintah berikut:
$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"} $Setting.Values
Memperbarui pengaturan di tingkat direktori
Untuk memperbarui nilai UsageGuideLinesUrl dalam templat pengaturan, periksa pengaturan saat ini dari Microsoft Entra ID, agar kita tidak sampai menimpa pengaturan lain yang sudah ada selain UsageGuideLinesUrl.
Dapatkan pengaturan saat ini dari Group.Unified SettingsTemplate:
$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}
Periksa pengaturan saat ini:
$Setting.Values
Perintah ini mengembalikan nilai berikut:
Name Value ---- ----- EnableMIPLabels True CustomBlockedWordsList EnableMSStandardBlockedWords False ClassificationDescriptions DefaultClassification PrefixSuffixNamingRequirement AllowGuestsToBeGroupOwner False AllowGuestsToAccessGroups True GuestUsageGuidelinesUrl GroupCreationAllowedGroupId AllowToAddGuests True UsageGuidelinesUrl https://guideline.example.com ClassificationList EnableGroupCreation True NewUnifiedGroupWritebackDefault True
Untuk menghapus nilai UsageGuideLinesUrl, edit URL menjadi string kosong:
$params = @{ Values = @( @{ Name = "UsageGuidelinesUrl" Value = "" } ) }
Perbarui nilai dengan menggunakan cmdlet Update-MgBetaDirectorySetting:
Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params
Pengaturan templat
Berikut adalah pengaturan yang ditentukan dalam Group.Unified SettingsTemplate
. Kecuali dinyatakan lain, fitur ini memerlukan lisensi Microsoft Entra ID P1.
Pengaturan | Deskripsi |
---|---|
AktifkanPembuatanGrup Jenis: Boolean Default: True |
Bendera ini menunjukkan apakah pengguna nonadmin dapat membuat grup Microsoft 365 di direktori. Pengaturan ini tidak memerlukan lisensi Microsoft Entra ID P1. |
GroupCreationAllowedGroupId Jenis: String Bawaan: "" |
GUID grup keamanan bagi anggota yang diizinkan untuk membuat grup Microsoft 365 bahkan ketika kondisi EnableGroupCreation == false terpenuhi. |
PanduanPenggunaanUrl Jenis: String Bawaan: "" |
Tautan ke Panduan Penggunaan Grup. |
ClassificationDescriptions Jenis: String Bawaan: "" |
Daftar deskripsi klasifikasi yang dibatasi koma. Nilai ClassificationDescriptions hanya valid dalam format ini:$setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description" di mana Klasifikasi cocok dengan entri di ClassificationList. Pengaturan ini tidak berlaku saat EnableMIPLabels == True .Batas karakter untuk properti ClassificationDescriptions adalah 300, dan koma tidak dapat diloloskan. |
DefaultClassification Jenis: String Default: "" |
Klasifikasi yang akan digunakan sebagai klasifikasi default untuk grup jika tidak ada yang ditentukan. Pengaturan ini tidak berlaku saat EnableMIPLabels == True . |
KebutuhanPenamaanAwalanAkhiran Jenis: String Default: "" |
String dengan panjang maksimum 64 karakter yang menentukan konvensi penamaan yang dikonfigurasi untuk grup Microsoft 365. Untuk informasi selengkapnya, lihat Menerapkan kebijakan penamaan untuk grup Microsoft 365. |
DaftarKataTerlarangKustom Jenis: String Default: "" |
String frasa yang dipisahkan koma yang tidak diizinkan digunakan pengguna dalam nama grup atau alias. Untuk informasi selengkapnya, lihat Menerapkan kebijakan penamaan untuk grup Microsoft 365. |
EnableMSStandardBlockedWords Jenis: Boolean Default: False |
Tidak Direkomendasikan Jangan gunakan. |
Jenis: Boolean Bawaan: False |
Boolean menunjukkan apakah pengguna tamu dapat menjadi pemilik grup atau tidak. |
izinkanTamuMengaksesGrup Jenis: Boolean Bawaan: True |
Boolean menunjukkan apakah pengguna tamu dapat memiliki akses ke konten grup Microsoft 365 atau tidak. Pengaturan ini tidak memerlukan lisensi Microsoft Entra ID P1. |
UrlPanduanPenggunaanTamu Jenis: String Default: "" |
URL tautan ke panduan penggunaan tamu. |
IzinkanMenambahkanTamu Jenis: Boolean Bawaan: True |
Boolean yang menunjukkan apakah diizinkan untuk menambahkan tamu ke direktori ini atau tidak. Pengaturan ini dapat dikesampingkan dan menjadi hanya-baca jika EnableMIPLabels diatur ke True dan kebijakan tamu dikaitkan dengan label sensitivitas yang ditetapkan ke grup.Jika pengaturan AllowToAddGuests diatur ke False di tingkat organisasi, pengaturan AllowToAddGuests apa pun di tingkat grup diabaikan. Jika Anda ingin mengaktifkan akses tamu hanya untuk beberapa grup, Anda harus mengatur AllowToAddGuests menjadi true di tingkat organisasi, lalu secara selektif menonaktifkannya untuk grup tertentu. |
DaftarKlasifikasi Jenis: String Bawaan: "" |
Daftar nilai klasifikasi valid yang dibatasi koma yang dapat diterapkan ke grup Microsoft 365. Pengaturan ini tidak berlaku saat EnableMIPLabels == True. |
AktifkanLabelMIP Jenis: Boolean Bawaan: False |
Bendera yang menunjukkan apakah label sensitivitas yang diterbitkan di portal kepatuhan Microsoft Purview dapat diterapkan ke grup Microsoft 365. Untuk informasi selengkapnya, lihat Menetapkan Label Sensitivitas untuk grup Microsoft 365. |
TulisBalikGrupBersatuBaruBawaan Jenis: Boolean Bawaan: True |
Bendera yang memungkinkan admin membuat grup Microsoft 365 baru tanpa mengatur jenis sumber daya groupWritebackConfiguration dalam payload permintaan. Pengaturan ini berlaku ketika penulisan ulang grup dikonfigurasi di Microsoft Entra Connect.
NewUnifiedGroupWritebackDefault adalah pengaturan grup Microsoft 365 global. Nilai default adalah true. Memperbarui nilai pengaturan menjadi false mengubah perilaku tulis balik default untuk grup Microsoft 365 yang baru dibuat, dan tidak mengubah nilai properti isEnabled untuk grup Microsoft 365 yang sudah ada. Admin grup perlu secara eksplisit memperbarui nilai properti isEnabled grup untuk mengubah status tulis balik untuk grup Microsoft 365 yang sudah ada. |
Contoh: Mengonfigurasi kebijakan Tamu untuk grup di tingkat direktori
Dapatkan semua templat pengaturan:
Get-MgBetaDirectorySettingTemplate
Untuk mengatur kebijakan tamu untuk grup di tingkat direktori, Anda memerlukan templat Group.Unified.
$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ
Tetapkan nilai untuk AllowToAddGuests untuk templat yang ditentukan:
$params = @{ templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b" values = @( @{ name = "AllowToAddGuests" value = "False" } ) }
Selanjutnya, buat objek pengaturan baru dengan menggunakan cmdlet New-MgBetaDirectorySetting:
$Setting = New-MgBetaDirectorySetting -BodyParameter $params
Anda dapat membaca nilai menggunakan:
$Setting.Values
Membaca pengaturan di tingkat direktori
Jika Anda mengetahui nama pengaturan yang ingin Anda ambil, Anda dapat menggunakan cmdlet di bawah ini untuk mengambil nilai pengaturan saat ini. Dalam contoh ini, kami memperoleh nilai untuk pengaturan bernama UsageGuidelinesUrl
.
(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ
Langkah-langkah ini membaca pengaturan di tingkat direktori, yang berlaku untuk semua grup Office di direktori.
Baca semua pengaturan direktori yang ada:
Get-MgBetaDirectorySetting -All
Cmdlet ini mengembalikan daftar semua pengaturan direktori:
Id DisplayName TemplateId Values -- ----------- ---------- ------ c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...
Baca semua pengaturan untuk grup tertentu:
Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"
Baca semua nilai pengaturan dari objek pengaturan direktori tertentu, menggunakan GUID ID Pengaturan:
(Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values
Cmdlet ini mengembalikan nama dan nilai dalam objek pengaturan ini untuk grup tertentu ini:
Name Value ---- ----- ClassificationDescriptions DefaultClassification PrefixSuffixNamingRequirement CustomBlockedWordsList AllowGuestsToBeGroupOwner False AllowGuestsToAccessGroups True GuestUsageGuidelinesUrl GroupCreationAllowedGroupId AllowToAddGuests True UsageGuidelinesUrl https://guideline.example.com ClassificationList EnableGroupCreation True
Menghapus pengaturan di tingkat direktori
Langkah ini menghapus pengaturan di tingkat direktori, yang berlaku untuk semua grup Office di direktori.
Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"
Membuat pengaturan untuk grup tertentu
Dapatkan templat pengaturan.
Get-MgBetaDirectorySettingTemplate
Dalam hasilnya, temukan templat pengaturan bernama "Groups.Unified.Guest":
Id DisplayName Description -- ----------- ----------- 62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified ... 08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group 4bc7f740-180e-4586-adb6-38b2e9024e6b Application ... 898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ... 5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...
Ambil objek templat untuk templat Groups.Unified.Guest:
$Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ
Dapatkan ID grup yang ingin Anda terapkan pengaturan ini ke:
$GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
Buat pengaturan baru:
$params = @{ templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9" values = @( @{ name = "AllowToAddGuests" value = "False" } ) }
Buat pengaturan grup:
New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params
Untuk memverifikasi pengaturan, jalankan perintah ini:
Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
Memperbarui pengaturan untuk grup tertentu
Dapatkan ID grup yang pengaturannya ingin Anda perbarui:
$groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
Dapatkan pengaturan grup:
$Setting = Get-MgBetaGroupSetting -GroupId $GroupId
Perbarui pengaturan grup sesuai kebutuhan Anda:
$params = @{ values = @( @{ name = "AllowToAddGuests" value = "True" } ) }
Kemudian Anda dapat mengatur nilai baru untuk pengaturan ini:
Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params
Anda dapat membaca nilai pengaturan untuk memastikan bahwa pengaturan telah diperbarui dengan benar:
Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
Referensi Sintaks Cmdlet
Anda dapat menemukan dokumentasi Microsoft Graph PowerShell lainnya di Microsoft Entra Cmdlets.
Mengelola pengaturan grup menggunakan Microsoft Graph
Untuk mengonfigurasi dan mengelola pengaturan grup menggunakan Microsoft Graph, lihat jenis sumber daya groupSetting
dan metode terkaitnya.