Поделиться через

Применение политики именования в группах Microsoft 365 в Microsoft Entra ID

  • Статья

Чтобы применить согласованные соглашения об именовании для групп Microsoft 365, созданных или редактируемых пользователями, настройте политику именования групп для организаций в идентификаторе Microsoft Entra. Например, можно использовать политику именования для обмена данными о функции группы, членства, географического региона или человека, создавшего группу. Можно также использовать политику именования, чтобы классифицировать группы в адресной книге. Политику можно использовать для запрещения конкретных слов в именах и псевдонимах групп.

Внимание

Использование политики именования идентификаторов Microsoft Entra для групп Microsoft 365 требует наличия лицензии Microsoft Entra ID P1 или Microsoft Entra Basic EDU для каждого уникального пользователя, являющегося членом одной или нескольких групп Microsoft 365, но необязательно назначать ее.

Политика именования применяется при создании или редактировании групп, созданных в таких средах, как Outlook, Microsoft Teams, SharePoint, Exchange или Planner, даже если никаких изменений не вносятся. Он применяется как к имени группы, так и к псевдониму группы. Если вы настроили политику именования в Microsoft Entra ID и используете существующую политику именования групп Exchange, в вашей организации будет применяться политика именования Microsoft Entra ID.

При настройке политики именования групп политика применяется к новым группам Microsoft 365, созданным пользователями. Политика именования не применяется к определенным ролям каталога, таким как глобальный администратор или администратор пользователей. (Полный список ролей, исключенных из политики именования групп, см. в разделе "Роли и разрешения". Для существующих групп Microsoft 365 политика не применяется сразу во время настройки. После изменения имени группы для этих групп применяется политика именования, даже если изменения не внесены.

Возможности политики именования

Политику именования для групп можно применять двумя разными способами:

  • Политика именования с использованием префиксов и суффиксов: вы можете задать префиксы или суффиксы, которые автоматически добавляются для применения соглашения об именовании в ваших группах. Например, в имени группы GRP_JAPAN_My Group_Engineering префикс — это GRP_JAPAN_, а суффикс — _Engineering.
  • Пользовательские заблокированные слова: вы можете отправить набор заблокированных слов, относящихся к вашей организации, для блокировки в группах, созданных пользователями. Например, можно использовать Payroll,CEO,HR.

Политика добавления префикса или суффикса

Общая структура соглашения об именовании — Prefix[GroupName]Suffix. Хотя можно определить несколько префиксов и суффиксов, в параметре может быть только один экземпляр [GroupName] . Префиксы или суффиксы могут быть либо фиксированными строками, либо атрибутами пользователя, например [Department], заменяющимися на основе пользователя, создающего группу. Общее допустимое число символов для строк префикса и суффикса, включая имя группы, равно 63 символам.

Префиксы и суффиксы могут содержать специальные символы, поддерживаемые в имени группы и псевдониме группы. Все символы префикса или суффикса, которые не поддерживаются в псевдониме группы, по-прежнему применяются в имени группы, но удалены из псевдонима группы. Из-за этого ограничения префиксы и суффиксы, применяемые к имени группы, могут отличаться от тех, которые применяются к ее псевдониму.

Фиксированные строки

Строки можно использовать, чтобы упростить проверку и различать группы в глобальном списке адресов, а также в левой области навигации, содержащей ссылки на рабочие нагрузки групп. Некоторые распространенные префиксы являются ключевыми словами, такими как Grp_Name, #Nameи _Name.

Атрибуты пользователя

Вы можете использовать атрибуты, которые помогут вам и пользователям определить отдел, офис или географический регион, для которого была создана группа. Например, если вы определяете политику именования как PrefixSuffixNamingRequirement = "GRP [GroupName] [Department]" и User's department = Engineering, то принудительное имя группы может быть "GRP My Group Engineering.". Поддерживаемые атрибуты Microsoft Entra: \[Department\], \[Company\], \[Office\], \[StateOrProvince\], \[CountryOrRegion\] и \[Title\]. Неподдерживаемые атрибуты пользователя обрабатываются как фиксированные строки. Например, "\[postalCode\]". Атрибуты расширения и настраиваемые атрибуты не поддерживаются.

Рекомендуется использовать атрибуты, которые имеют значения, указанные для всех пользователей в вашей организации, и не использовать атрибуты с длинными значениями.

Настраиваемые запрещенные слова

Список запрещенных слов — это список разделенных запятыми фраз, которые запрещены в именах и псевдонимах групп. Поиск подстроки не выполняется. Чтобы вызвать сбой, необходимо точное совпадение имени группы с одним или несколькими настраиваемыми запрещенными словами. Поиск подстроки не выполняется так, чтобы пользователи могли использовать распространенные слова, такие как Class, даже если "lass" является заблокированным словом.

Правила списка запрещенных слов:

  • Заблокированные слова не учитывают регистр.
  • Когда пользователь вводит запрещенное слово в имени группы, отображается сообщение об ошибке, содержащее запрещенное слово.
  • Ограничения знаков в запрещенных словах отсутствуют.
  • Существует верхний предел в 5000 фраз, которые можно настроить в списке заблокированных слов.

Роли и разрешения

Чтобы настроить политику именования, требуется одна из следующих ролей:

  • Глобальный администратор
  • Администратор группы
  • Редактор каталогов

Некоторые роли администратора исключены из этих политик для всех нагрузок и конечных точек групп, чтобы они могли создавать группы, используя заблокированные слова и свои собственные стандарты именования. Ниже приведен список ролей администратора, исключенных из политики именования групп.

  • Глобальный администратор
  • Администратор пользователей

Настройка политики именования

  1. Войдите в Центр администрирования Microsoft Entra как минимум как Администратор Группы.

  2. Выберите Microsoft Entra ID.

  3. Выберите Все группы>Группы, а затем выберите Политику именования, чтобы открыть страницу Политики именования.

    Снимок экрана: открытие страницы политики именования в Центре администрирования.

Просмотр или изменение политики добавления префикса или суффикса

  1. На странице Политика именования выберите Политика именования групп.
  2. Текущие политики изменения префикса или суффикса можно просматривать и изменять по отдельности, выбрав атрибуты или строки, которые необходимо применить в рамках политики именования.
  3. Чтобы удалить префикс или суффикс из списка, выберите префикс или суффикс, а затем нажмите кнопку "Удалить". Одновременно можно удалить несколько элементов.
  4. Сохраните изменения в новой политике, чтобы они вступили в силу, нажав кнопку Сохранить.

Редактирование настраиваемых запрещенных слов

  1. На странице Политика именования выберите Заблокированные слова.

    Снимок экрана: редактирование и отправка списка заблокированных слов для политики именования.

  2. Для просмотра или изменения текущего списка настраиваемых запрещенных слов выберите Загрузить. Необходимо добавить новые записи в существующие записи.

  3. Отправьте новый список настраиваемых заблокированных слов, выбрав значок файла .

  4. Сохраните изменения в новой политике, чтобы они вступили в силу, нажав кнопку Сохранить.

Установка командлетов PowerShell

Установите командлеты Microsoft Graph, как описано в разделе "Установка пакета SDK Microsoft Graph PowerShell".

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении о прекращении поддержки. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Рекомендуем перейти на Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание: Версии 1.0.x MSOnline могут столкнуться с перебоями после 30 июня 2024 г.

  1. Запустите приложение Windows PowerShell от имени администратора.

  2. Установите командлеты Microsoft Graph.

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Установите бета-командлеты Microsoft Graph.

    Install-Module Microsoft.Graph.Beta -Scope AllUsers

Настройка политики именования в PowerShell

  1. Откройте окно Windows PowerShell на компьютере. Его можно открыть без более высокого уровня привилегий.

  2. Запустите следующую команду для подготовки к запуску командлетов.

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"

    На открывшемся экране входа в учетную запись введите учетную запись администратора и пароль для подключения к службе.

  3. Следуйте шагам в командлетах Microsoft Entra для настройки параметров группы в этой организации.

Просмотр текущих параметров

  1. Ознакомьтесь с текущей политикой именования для того, чтобы просмотреть действующие настройки.

    $Setting = Get-MgBetaDirectorySetting -DirectorySettingId (Get-MgBetaDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id

  2. Отобразите на экране текущие параметры групп.

    $Setting.Values

Установка политики именования и настраиваемых запрещенных слов

  1. Получите параметр.

    $Setting = Get-MgBetaDirectorySetting -DirectorySettingId (Get-MgBetaDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id

  2. Задайте префиксы имени группы и суффиксы. Чтобы функция работала правильно, необходимо включить [GroupName] в настройки. Кроме того, задайте настраиваемые заблокированные слова, которые нужно ограничить.

    $params = @{
   values = @(
      @{
         name = "PrefixSuffixNamingRequirement"
         value = "GRP_[GroupName]_[Department]"
      }
      @{
         name = "CustomBlockedWordsList"
         value = "Payroll,CEO,HR"
      }
   )
}

  3. Обновите параметры новой политики, чтобы она вступила в силу, как показано в следующем примере.

    Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params

Вот и все. Вы задали политику именования и добавили заблокированные слова.

Экспорт или импорт настраиваемых заблокированных слов

Дополнительные сведения см. в командлетах Microsoft Entra для настройки параметров группы.

Ниже приведен пример скрипта PowerShell для экспорта нескольких заблокированных слов.

$Words = (Get-MgBetaDirectorySetting).Values | where -Property Name -Value CustomBlockedWordsList -EQ 
Add-Content "c:\work\currentblockedwordslist.txt" -Value $Words.value.Split(",").Replace("`"","")

Ниже приведен пример скрипта PowerShell для импорта нескольких заблокированных слов.

$BadWords = Get-Content "C:\work\currentblockedwordslist.txt"
$BadWords = [string]::join(",", $BadWords)
$Setting = Get-MgBetaDirectorySetting | where {$_.DisplayName -eq "Group.Unified"}
if ($Setting.Count -eq 0) {
   $Template = Get-MgBetaDirectorySettingTemplate | where {$_.DisplayName -eq "Group.Unified"}
   $Params = @{ templateId = $Template.Id }
   $Setting = New-MgBetaDirectorySetting -BodyParameter $Params 
   }
$params = @{
   values = @(
      @{
         name = "PrefixSuffixNamingRequirement"
         value = "GRP_[GroupName]_[Department]"
      }
      @{
         name = "CustomBlockedWordsList"
         value = "$BadWords"
      }
   )
}
Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params

Удалите политику именования

Для удаления политики именования можно использовать портал Azure или Microsoft Graph PowerShell.

Удалите политику именования с помощью портала Azure

  1. На странице Политика именования выберите Удалить политику.
  2. После подтверждения удаления политика именования удаляется, включая все правила именования с префиксами и суффиксами и любые пользовательские заблокированные слова.

Удаление политики именования с помощью Microsoft Graph PowerShell

  1. Получите параметр.

    $Setting = Get-MgBetaDirectorySetting -DirectorySettingId (Get-MgBetaDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id

  2. Очистите префиксы и суффиксы имени группы. Удалите настраиваемые запрещенные слова

    $params = @{
   values = @(
      @{
         name = "PrefixSuffixNamingRequirement"
         value = ""
      }
      @{
         name = "CustomBlockedWordsList"
         value = ""
      }
   )
}

  3. Обновите параметр.

    Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params

Работа в приложениях Microsoft 365

После установки политики именования групп в идентификаторе Microsoft Entra, когда пользователь создает группу в приложении Microsoft 365, они видят следующее:

  • Предварительная версия имени в соответствии с политикой именования (с префиксами и суффиксами) как только пользователь вводит имя группы.
  • Если пользователь вводит заблокированные слова, он увидит сообщение об ошибке, чтобы удалить заблокированные слова.
Рабочая нагрузка Соответствие нормативным требованиям
Портал Azure На портале Azure и на панели доступа отображается имя, принудительно заданное политикой именования, когда пользователь вводит имя группы при создании или редактировании группы. Когда пользователь вводит пользовательское заблокированное слово, появится сообщение об ошибке с заблокированным словом, чтобы пользователь смог удалить его.
Outlook Web Access (OWA) Outlook Web Access отображает имя, применяемое политикой именования, когда пользователь вводит имя группы или псевдоним группы. Когда пользователь вводит пользовательское заблокированное слово, в пользовательском интерфейсе появится сообщение об ошибке вместе с заблокированным словом, чтобы пользователь смог удалить его.
Рабочий стол Outlook Группы, созданные в классическом приложении Outlook, соответствуют параметрам политики именования. Настольное приложение Outlook пока не отображает предварительный просмотр установленного администраторами имени группы и не возвращает специальные ошибки с заблокированными словами, когда пользователь вводит имя группы. Однако политика именования автоматически применяется при создании или изменении группы пользователем. Пользователи видят сообщения об ошибках, если в имени группы или псевдониме есть пользовательские заблокированные слова.
Microsoft Teams В Microsoft Teams отображается имя, заданное в соответствии с политикой именования групп, когда пользователь вводит имя команды. Когда пользователь вводит пользовательское заблокированное слово, появится сообщение об ошибке вместе с заблокированным словом, чтобы пользователь смог удалить его.
SharePoint SharePoint отображает имя, установленное политикой именования, когда пользователь вводит имя сайта или адрес электронной почты группы. Когда пользователь вводит пользовательское заблокированное слово, появится сообщение об ошибке вместе с заблокированным словом, чтобы пользователь смог удалить его.
Microsoft Stream; В Microsoft Stream отображается имя, предусмотренное политикой наименования групп, когда пользователь вводит имя группы или псевдоним электронной почты группы. Когда пользователь вводит пользовательское заблокированное слово, появится сообщение об ошибке вместе с заблокированным словом, чтобы пользователь смог удалить его.
Приложение Outlook iOS и Android Группы, созданные в приложениях Outlook, соответствуют настроенной политике именования. Мобильное приложение Outlook пока не отображает предварительное представление имени, на которое распространяется политика именования. Приложение не возвращает ошибки с пользовательским сообщением о заблокированном слове, когда пользователь вводит имя группы. Однако политика именования автоматически применяется при нажатии кнопки "Создать " или "Изменить". Пользователи видят сообщения об ошибках, если в имени группы или псевдониме есть пользовательские заблокированные слова.
Мобильное приложение Groups Группы, созданные в мобильном приложении Groups, соответствуют политике именования. Мобильное приложение для групп не отображает предварительный просмотр политики именования и не возвращает сообщения об ошибках пользовательски заблокированных слов, когда пользователь вводит имя группы. Но политика именования автоматически применяется при создании или изменении группы пользователем. Пользователи получают соответствующие ошибки, если в имени группы или псевдониме есть пользовательские заблокированные слова.
Планировщик Служба "Планировщик" соответствует требованиям политики именования. Планировщик отображает предварительную версию политики именования, когда пользователь вводит имя плана. Когда пользователь вводит пользовательское заблокированное слово, при создании плана отображается сообщение об ошибке.
Project в Интернете Веб-проект соответствует политике именования.
Dynamics 365 for Customer Engagement Dynamics 365 for Customer Engagement соответствует требованиям политики именования. Dynamics 365 показывает имя, установленное согласно политике именования, когда пользователь вводит имя группы или псевдоним адреса электронной почты группы. Когда пользователь вводит пользовательское заблокированное слово, появится сообщение об ошибке с заблокированным словом, чтобы пользователь смог удалить его.
School Data Sync (SDS) Группы, созданные с помощью SDS, соответствуют политике именования, но политика именования не применяется автоматически. Администраторам SDS следует добавить префиксы и суффиксы в имена классов, для которых нужно создать группы, и затем передать их в SDS. В противном случае попытка создания или изменения групп окажется неудачной.
Приложение Classroom Группы, созданные в приложении Classroom, удовлетворяют требованиям политики именования, но она не применяется автоматически. Предварительная версия политики именования не отображается пользователям при вводе имени группы аудитории. Пользователи должны ввести имя классной группы с префиксами и суффиксами. В противном случае операция создания или изменения группы аудиторий завершится сбоем.
Power BI Рабочие области Power BI соответствуют требованиям политики именования.
Yammer Когда пользователь входит в Yammer с учетной записью Microsoft Entra, чтобы создать группу или изменить имя группы, имя группы соответствует политике именования. Эта функция применяется как к подключенным группам Microsoft 365, так и ко всем другим группам Yammer.
Если подключенная группа Microsoft 365 была создана до того, как политика именования создана, имя группы не будет автоматически следовать политикам именования. При изменении имени группы пользователю будет предложено добавить префикс и суффикс.
StaffHub Команды StaffHub не подчиняются политике именования, но базовая группа Microsoft 365 ей подчиняется. Имя команды StaffHub не применяет префиксы и суффиксы и не проверяет наличие настраиваемых заблокированных слов. Но при этом в StaffHub используются префиксы и суффиксы и удаляются запрещенные слова из базовой группы Microsoft 365.
Exchange PowerShell Командлеты PowerShell для Exchange соответствуют требованиям политики именования. Пользователи получают соответствующие сообщения об ошибках с предложениями по префиксам и суффиксам, а также по настраиваемым запрещенным словам, если в названии группы или псевдониме группы (mailNickname) что-либо не соответствует политике именования.
Командлеты Microsoft Graph PowerShell Командлеты Microsoft PowerShell соответствуют требованиям политики именования. Пользователи видят соответствующие сообщения об ошибках с предложенными префиксами и суффиксами, а также с настроенными запрещенными словами, если не следуют соглашению об именовании в именах групп или псевдонимах групп.
Центр администрирования Exchange Центр администрирования системы Exchange соответствует правилам именования. Пользователи получают соответствующие сообщения об ошибках с предложенными префиксами и суффиксами и пользовательскими запрещенными словами, если не соблюдают соглашение об именовании в названии группы и псевдониме группы.
Центр администрирования Microsoft 365 Центр администрирования Microsoft 365 соответствует политике именования. Когда пользователь создает или редактирует имена групп, политика именования автоматически применяется. Пользователи получают соответствующие ошибки при вводе пользовательских заблокированных слов. Центр администрирования Microsoft 365 пока не показывает, как будет выглядеть политика именования, и не возвращает ошибки блокировки пользовательских слов, когда пользователь вводит имя группы.

Следующие шаги

Дополнительные сведения о группах Microsoft Entra см. в следующих статье: