组设置概述
组设置(也称为 中的beta目录设置)是一系列配置,可用于管理特定Microsoft Entra对象的行为,例如 Microsoft 365 组。 这些设置可以应用于租户范围或特定对象,使你能够控制组功能的各个方面。
在本文中,我们将探讨不同类型的组设置,并深入了解适用于 365 个组Microsoft的设置
组设置的类型
组设置组织到模板中,每个模板都包含单个设置的集合。 这些模板是只读的,并定义了特定Microsoft Entra对象允许的行为。 以下八组设置模板可用:
| 设置模板名称 | 说明 |
|---|---|
| Group.Unified | 包括Microsoft 365 个组的设置。 示例包括组名称的阻止字词、是否应将前缀追加到组名称,以及是否可以将敏感度标签分配给组。 有关详细信息,请参阅 Group.Unified |
| Group.Unified.Guest | 包括Microsoft 365 组中的来宾访问设置。 |
| 应用程序 | 包括用于管理租户范围应用程序行为的设置。 |
| 自定义策略设置 | 包括租户范围的条件访问设置,例如 URL。 |
| 同意策略设置 | 包括租户范围的同意策略的设置,例如是否阻止有风险的应用程序的用户同意,以及用户是否可以请求管理员同意。 |
| 密码规则设置 | 包括用于管理租户范围密码规则设置的设置,例如禁止的 paswword 列表、是否启用了禁止的密码检查,以及登录尝试失败后的锁定持续时间。 有关详细信息,请参阅为Microsoft Entra密码保护配置自定义禁止密码 |
| 禁止名称受限设置 | 包括禁止名称的租户范围设置。 |
| 禁止的名称设置 | 包括应用程序禁止的名称。 |
设置模板可通过 中的 groupSettingTemplates 资源类型和 中的 v1.0directorySettingTemplates 资源类型 beta获得。
最初,Microsoft Entra ID将默认配置分配给租户,并且没有设置对象。 若要更改默认设置,必须从设置模板创建新的设置对象。
在设置模板中,可以配置租户范围的设置或单个对象的设置。 使用 中的 v1.0groupSettings 资源类型或 中的目录设置资源类型beta及其关联的 API。
对于组,只有 Microsoft 365 个组的设置可用。
Group.Unified
此对象指定租户Microsoft 365 组设置。
除非另有说明,否则这些功能需要Microsoft Entra ID P1 许可证。
| 设置名称 | 类型 | 说明 |
|---|---|---|
| AllowGuestsToAccessGroups | 布尔值 | 指示来宾是否有权访问Microsoft 365 个组及其数据。 此设置不需要Microsoft Entra ID P1 许可证。 |
| AllowGuestsToBeGroupOwner | 布尔值 | 指示来宾是否可以是Microsoft 365 组所有者。 |
| AllowToAddGuests | 布尔值 | 指示Microsoft 365 组是否可以将来宾作为成员。 如果 EnableMIPLabels 为 true ,并且来宾策略与分配给组的敏感度标签相关联,则可以重写此设置并变为只读。 如果此设置位于 false 租户级别,则它会在 为 时 true替代相应的组级别设置。 若要仅对几个Microsoft 365 个组启用来宾访问,请将 AllowToAddGuests 设置为 true 在租户级别,然后有选择地禁用此设置,以便排除单个Microsoft 365 个组。 |
| ClassificationDescriptions | String | 以逗号分隔的分类说明列表。 有效值具有以下格式: "Value:Description" 其中 Value 与 ClassificationList 设置中的条目匹配。
当 EnableMIPLabels 为 true时,此设置不适用。 最大字符限制为 300,不能转义逗号。 |
| ClassificationList | String | 可用于对 365 个组Microsoft分类的值的逗号分隔列表。
当 EnableMIPLabels 为 true时,此设置不适用。 有关详细信息,请参阅 SharePoint“新式”网站分类。 |
| CustomBlockedWordsList | String | 逗号分隔的短语字符串,不允许用户在组名或别名中使用。 有关详细信息,请参阅 为Microsoft 365 个组强制实施命名策略。 |
| DefaultClassification | String | 如果在创建组期间未指定任何值,则为 Microsoft 365 组的默认分类。
当 EnableMIPLabels 为 true时,此设置不适用。 有关详细信息,请参阅 SharePoint“新式”网站分类。 |
| EnableGroupCreation | 布尔值 | 指示非管理员用户是否可以创建Microsoft 365 个组。 默认设置为 true。 此设置不需要Microsoft Entra ID P1 许可证。 此设置对应于“用户可以在 Azure 门户、API 或 PowerShell 中创建MicrosoftMicrosoft Entra 管理中心Microsoft Entra 管理中心的组设置菜单中的 365 个组。 注意:用户可以在 Azure 门户、API 或 PowerShell 中创建安全组设置是通过 authorizationPolicy 资源类型的defaultUserRolePermissions 对象的 allowedToCreateSecurityGroups 属性配置的。 |
| EnableMSStandardBlockedWords | 布尔值 | 已弃用和已停用。 |
| EnableMIPLabels | 布尔值 | 指示Microsoft Purview 合规门户中发布的信息保护敏感度标签是否可以应用于Microsoft 365 个组。 有关详细信息,请参阅 为Microsoft 365 个组分配敏感度标签。 |
| GroupCreationAllowedGroupId | GUID | 允许成员创建Microsoft 365 个组的安全组的标识符,即使 EnableGroupCreation 为 。false 此设置不需要Microsoft Entra ID P1 许可证。 |
| GuestUsageGuidelinesUrl | String | 指向来宾使用指南的链接的 URL。 |
| NewUnifiedGroupWritebackDefault | 布尔值 | 租户范围的设置,如果组创建期间未指定属性,则向新组的 writebackConfiguration/isEnabled 属性分配默认值。 在 Microsoft Entra Connect 中配置组写回时,此设置适用。 默认值为 true。 更新此设置以 false 更改新Microsoft 365 组的默认写回行为,但不更改现有Microsoft 365 组的 writebackConfiguration/isEnabled 属性。 有关此设置和组的 writebackConfiguration 属性的详细信息,请参阅 组资源类型 |
| PrefixSuffixNamingRequirement | String | 定义Microsoft 365 个组名称和邮件昵称的命名约定。 最大字符限制为 64。 有关详细信息,请参阅 为Microsoft 365 个组强制实施命名策略。 |
| UsageGuidelinesUrl | String | 指向组使用指南的链接。 默认值为空值。 |
Group.Unified.Guest
此对象中的设置指定是否可以将来宾添加到租户中的所有或特定Microsoft 365 个组。 此集合中只有一个设置可用。
| 设置名称 | 类型 | 说明 |
|---|---|---|
| AllowToAddGuests | 布尔值 | 指示是否可以将来宾添加到所有或特定Microsoft 365 个组。 默认设置为 true。 在以下情况下,可以覆盖此设置:true 并应用来宾策略false 租户级别,然后覆盖组级别设置 |
如何管理组设置
若要管理组设置,请执行以下作:
- 首先,使用 List groupSettings API 检索要使用的组设置模板的详细信息。
- 创建组设置:使用检索到的模板创建新的组设置。
- 更新组设置:如果需要,请使用特定值更新组设置。
示例:为Microsoft 365 个组名称配置前缀
步骤 1:检索 PrefixSuffixNamingRequirement 组设置配置
必须检索所有组设置,因为 API 不支持筛选。 组 PrefixSuffixNamingRequirement 设置包含在模板中 Group.Unified 。
请求
GET https://graph.microsoft.com/v1.0/groupSettingTemplates
响应
注意:为了提高可读性,可能缩短了此处显示的响应对象。
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#groupSettingTemplates",
"@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET groupSettingTemplates?$select=description,displayName",
"value": [
{
"id": "62375ab9-6b52-47ed-826b-58e47e0e304b",
"deletedDateTime": null,
"displayName": "Group.Unified",
"description": "\n Setting templates define the different settings that can be used for the associated ObjectSettings. This template defines\n settings that can be used for Unified Groups.\n ",
"values": [
{
"name": "PrefixSuffixNamingRequirement",
"type": "System.String",
"defaultValue": "",
"description": "A structured string describing how a Unified Group displayName and mailNickname should be structured. Please refer to docs to discover how to structure a valid requirement."
}
]
}
]
}
步骤 2:创建租户范围的组前缀策略
请求
以下请求仅指定 设置 PrefixSuffixNamingRequirement 。 请求创建组设置,并将默认值分配给模板中的其他 Group.Unified 设置。
POST https://graph.microsoft.com/v1.0/groupSettings
{
"templateId": "62375ab9-6b52-47ed-826b-58e47e0e304b",
"values": [
{
"name": "PrefixSuffixNamingRequirement",
"value": "[Contoso-][GroupName]"
}
]
}
响应
注意:为了提高可读性,可能缩短了此处显示的响应对象。
HTTP/1.1 201 Created
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#groupSettings/$entity",
"id": "98208f14-04ff-4a4e-9a67-3dcb5fa6fd6f",
"displayName": null,
"templateId": "62375ab9-6b52-47ed-826b-58e47e0e304b",
"values": [
{
"name": "PrefixSuffixNamingRequirement",
"value": "[Contoso-][GroupName]"
}
]
}