Cmdlets de Azure Active Directory para configurar las opciones de grupo

Este artículo contiene instrucciones para usar cmdlets de PowerShell de Azure Active Directory (Azure AD) para crear y actualizar grupos. Este contenido se aplica únicamente a grupos de Microsoft 365, también conocidos como grupos unificados.

Importante

Algunas configuraciones requieren una licencia de Azure Active Directory Premium P1. Para más información, consulte la tabla Configuración de plantillas.

Para más información sobre cómo evitar que los usuarios no administradores creen grupos de seguridad, establezca Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False como se describe en Set-MSOLCompanySettings.

Los grupos de Microsoft 365 se configuran mediante un objeto Settings y un objeto SettingsTemplate. Al principio no ve ningún objeto de configuración en el directorio porque este se ha configurado de forma predeterminada. Para cambiar la configuración predeterminada, debe crear un nuevo objeto Settings utilizando una plantilla SettingsTemplate. Las plantillas de configuración las define Microsoft. Hay varias plantillas de configuración diferentes. Para configurar los valores del grupo de Microsoft 365 para su directorio, se utiliza la plantilla denominada "Group.Unified". Para configurar los valores del grupo de Microsoft 365 en un único grupo, utilice la plantilla denominada "Group.Unified.Guest". Esta plantilla se usa para administrar el acceso de invitado a un grupo de Microsoft 365.

Los cmdlets forman parte del módulo Azure Active Directory PowerShell V2. Para obtener instrucciones sobre cómo descargar e instalar el módulo en el equipo, consulte el artículo Azure Active Directory PowerShell versión 2. Puede instalar la versión 2 del módulo desde la Galería de PowerShell.

Nota:

Con la configuración en vigor para restringir la adición de invitados a grupos de Microsoft 365, los administradores seguirán agregando usuarios invitados a los grupos de Microsoft 365. La configuración impedirá que los usuarios que no son administradores agreguen usuarios invitados a grupos de Microsoft 365.

Instalación de los cmdlets de PowerShell

Asegúrese de desinstalar cualquier versión anterior del módulo Azure Active Directory PowerShell for Graph para Windows PowerShell y de instalar Azure Active Directory PowerShell for Graph - Public Preview Release 2.0.0.137 antes de ejecutar los comandos de PowerShell.

  1. Abra la aplicación Windows PowerShell como administrador.

  2. Desinstale cualquier versión anterior de AzureADPreview.

    Uninstall-Module AzureADPreview
    Uninstall-Module azuread
    
  3. Instale la versión más reciente de AzureADPreview.

    Install-Module AzureADPreview
    

Creación de una configuración en el nivel de directorio

Con estos pasos se crean configuraciones en el nivel de directorio que se aplican a todos los grupos de Microsoft 365 del directorio. El cmdlet Get-AzureADDirectorySettingTemplate solo está disponible en el módulo de versión preliminar de Azure AD PowerShell for Graph.

  1. En los cmdlets DirectorySettings, debe especificar el identificador de la plantilla SettingsTemplate que desea usar. Si no conoce este identificador, este cmdlet devuelve la lista de plantillas de configuración:

    Get-AzureADDirectorySettingTemplate
    
    

    Esta llamada al cmdlet devuelve todas las plantillas que están disponibles:

    Id                                   DisplayName         Description
    --                                   -----------         -----------
    62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
    08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
    16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
    4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
    898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
    5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...
    
  2. Para agregar una dirección URL de instrucciones de uso, primero debe obtener el objeto SettingsTemplate que define el valor pertinente, es decir, la plantilla Group.Unified:

    $TemplateId = (Get-AzureADDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
    $Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
    
  3. A continuación, cree un nuevo objeto de configuración basado en esa plantilla:

    $Setting = $Template.CreateDirectorySetting()
    
  4. A continuación, actualice el objeto de configuración con un nuevo valor. Los dos ejemplos siguientes cambian el valor de la directriz de uso y habilitan las etiquetas de confidencialidad. Establezca estas opciones o cualquier otra configuración correspondiente en la plantilla:

    $Setting["UsageGuidelinesUrl"] = "https://guideline.example.com"
    $Setting["EnableMIPLabels"] = "True"
    
  5. A continuación, aplique la configuración:

    New-AzureADDirectorySetting -DirectorySetting $Setting
    
  6. Puede leer los valores mediante:

    $Setting.Values
    

Actualización de la configuración en el nivel de directorio

Para actualizar el valor de UsageGuideLinesUrl en la plantilla de configuración, lea la configuración actual de Azure AD; de lo contrario, podríamos acabar sobrescribiendo una configuración existente distinta de UsageGuideLinesUrl.

  1. Obtenga la configuración actual del objeto SettingsTemplate de Group.Unified:

    $Setting = Get-AzureADDirectorySetting | ? { $_.DisplayName -eq "Group.Unified"}
    
  2. Comprobación de la configuración actual:

    $Setting.Values
    

    Salida:

     Name                          Value
     ----                          -----
     EnableMIPLabels               True
     CustomBlockedWordsList
     EnableMSStandardBlockedWords  False
     ClassificationDescriptions
     DefaultClassification
     PrefixSuffixNamingRequirement
     AllowGuestsToBeGroupOwner     False
     AllowGuestsToAccessGroups     True
     GuestUsageGuidelinesUrl
     GroupCreationAllowedGroupId
     AllowToAddGuests              True
     UsageGuidelinesUrl            https://guideline.example.com
     ClassificationList
     EnableGroupCreation           True
    
  3. Para quitar el valor de UsageGuideLinesUrl, edite la dirección URL de modo que sea una cadena vacía:

    $Setting["UsageGuidelinesUrl"] = ""
    
  4. Guarde la actualización en el directorio:

    Set-AzureADDirectorySetting -Id $Setting.Id -DirectorySetting $Setting
    

Configuración de plantillas

Esta es la configuración definida en el objeto SettingsTemplate Group.Unified. Salvo que se indique lo contrario, estas características requieren una licencia Azure Active Directory Premium P1.

Configuración Descripción
  • EnableGroupCreation
  • Escriba: Boolean
  • Valor predeterminado: True
Marca que indica si se permite la creación de grupos de Microsoft 365 en el directorio por parte de usuarios que no sean administradores. Este valor no requiere una licencia Azure Active Directory Premium P1.
  • GroupCreationAllowedGroupId
  • Escriba: String
  • Default: ""
El GUID del grupo de seguridad para el que se permite a los miembros crear grupos de Microsoft 365 incluso cuando EnableGroupCreation == false.
  • UsageGuidelinesUrl
  • Escriba: String
  • Default: ""
Un vínculo a las instrucciones de uso de grupos.
  • ClassificationDescriptions
  • Escriba: String
  • Default: ""
Una lista delimitada por comas de las descripciones de clasificación. El valor de ClassificationDescriptions solo es válido en este formato:
$setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description"
donde el valor de Classification coincide con una entrada en ClassificationList.
Esta configuración no se aplica cuando EnableMIPLabels = = True.
El límite de caracteres para la propiedad ClassificationDescriptions es 300 y las comas no pueden ser el carácter de escape.
  • DefaultClassification
  • Escriba: String
  • Default: ""
La clasificación que se va a utilizar como la clasificación predeterminada para un grupo si no se ha especificado ninguno.
Esta configuración no se aplica cuando EnableMIPLabels = = True.
  • PrefixSuffixNamingRequirement
  • Escriba: String
  • Default: ""
Cadena de una longitud máxima de 64 caracteres que define la convención de nomenclatura configurada para los grupos de Microsoft 365. Para obtener más información, vea Aplicación de una directiva de nomenclatura en los grupos de Microsoft 365.
  • CustomBlockedWordsList
  • Escriba: String
  • Default: ""
Cadena de frases separadas por comas que los usuarios no tendrán permiso para usar en los nombres de grupos o alias. Para obtener más información, vea Aplicación de una directiva de nomenclatura en los grupos de Microsoft 365.
  • EnableMSStandardBlockedWords
  • Escriba: Boolean
  • Valor predeterminado: "False"
Desusado. No utilizar.
  • AllowGuestsToBeGroupOwner
  • Escriba: Boolean
  • Valor predeterminado: False
Valor booleano que indica si un usuario invitado puede ser o no un propietario de grupos.
  • AllowGuestsToAccessGroups
  • Escriba: Boolean
  • Valor predeterminado: True
Valor booleano que indica si un usuario invitado puede tener o no acceso al contenido de grupos de Microsoft 365. Este valor no requiere una licencia Azure Active Directory Premium P1.
  • GuestUsageGuidelinesUrl
  • Escriba: String
  • Default: ""
La dirección URL de un vínculo a las instrucciones de uso del invitado.
  • AllowToAddGuests
  • Escriba: Boolean
  • Valor predeterminado: True
Un valor booleano que indica si está permitido o no agregar invitados a este directorio.
Esta configuración puede invalidarse y convertirse en solo lectura si EnableMIPLabels está establecida en True y una directiva de invitado está asociada a la etiqueta de confidencialidad asignada al grupo.
Si el valor de AllowToAddGuests se establece en False en el nivel de inquilino, se omite cualquier valor de AllowToAddGuests en el nivel de grupo. Si quiere habilitar el acceso de invitado solo para algunos grupos, debe establecer AllowToAddGuests en true en el nivel de inquilino y, luego, deshabilitarlo de forma selectiva para grupos específicos.
  • ClassificationList
  • Escriba: String
  • Default: ""
Lista de valores de clasificación válidos delimitados por comas que se puede aplicar a grupos de Microsoft 365.
Esta configuración no se aplica cuando EnableMIPLabels = = True.
  • EnableMIPLabels
  • Escriba: Boolean
  • Valor predeterminado: "False"
Marca que indica si las etiquetas de confidencialidad publicadas en el Centro de cumplimiento de Microsoft 365 se pueden aplicar a los grupos de Microsoft 365. Para más información, vea Asignación de etiquetas de confidencialidad para los grupos de Microsoft 365.

Ejemplo: Configuración de la directiva de invitado para grupos en el nivel de directorio

  1. Obtenga todas las plantillas de configuración:

    Get-AzureADDirectorySettingTemplate
    
  2. Para establecer la directiva de invitado para los grupos en el nivel de directorio, necesita la plantilla Group.Unified.

    $Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ
    
  3. A continuación, cree un nuevo objeto de configuración basado en esa plantilla:

    $Setting = $template.CreateDirectorySetting()
    
  4. Después, actualice la configuración de AllowToAddGuests.

    $Setting["AllowToAddGuests"] = $False
    
  5. A continuación, aplique la configuración:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
    
  6. Puede leer los valores mediante:

    $Setting.Values
    

Lectura de la configuración en el nivel de directorio

Si conoce el nombre de la configuración que desea recuperar, puede usar el siguiente cmdlet para recuperar el valor de configuración actual. En este ejemplo, se recuperará el valor de una configuración denominada "UsageGuidelinesUrl".

(Get-AzureADDirectorySetting).Values | Where-Object -Property Name -Value UsageGuidelinesUrl -EQ

Con estos pasos se lee la configuración en el nivel de directorio, la cual se aplica a todos los grupos de Office del directorio.

  1. Lea toda la configuración de directorio existente:

    Get-AzureADDirectorySetting -All $True
    

    Este cmdlet devuelve la lista de las opciones de configuración del directorio:

    Id                                   DisplayName   TemplateId                           Values
    --                                   -----------   ----------                           ------
    c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...
    
  2. Lea toda la configuración de un grupo específico:

    Get-AzureADObjectSetting -TargetObjectId ab6a3887-776a-4db7-9da4-ea2b0d63c504 -TargetType Groups
    
  3. Lea todos los valores de configuración de directorio de un objeto de configuración de directorio específico, con el GUID de identificador de configuración:

    (Get-AzureADDirectorySetting -Id c391b57d-5783-4c53-9236-cefb5c6ef323).values
    

    Este cmdlet devuelve los nombres y valores de este objeto de configuración para este grupo en particular:

    Name                          Value
    ----                          -----
    ClassificationDescriptions
    DefaultClassification
    PrefixSuffixNamingRequirement
    CustomBlockedWordsList        
    AllowGuestsToBeGroupOwner     False 
    AllowGuestsToAccessGroups     True
    GuestUsageGuidelinesUrl
    GroupCreationAllowedGroupId
    AllowToAddGuests              True
    UsageGuidelinesUrl            https://guideline.example.com
    ClassificationList
    EnableGroupCreation           True
    

Eliminación de la configuración en el nivel de directorio

Con estos pasos se elimina la configuración en el nivel de directorio, lo cual se aplica a todos los grupos de Office del directorio.

Remove-AzureADDirectorySetting –Id c391b57d-5783-4c53-9236-cefb5c6ef323c

Creación de la configuración de un grupo específico

  1. Busque la plantilla de configuración denominada "Groups.Unified.Guest"

    Get-AzureADDirectorySettingTemplate
    
    Id                                   DisplayName            Description
    --                                   -----------            -----------
    62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
    08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
    4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
    898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
    5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...
    
  2. Recupere el objeto de plantilla para la plantilla Groups.Unified.Guest:

    $Template1 = Get-AzureADDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ
    
  3. Cree un nuevo objeto de configuración a partir de la plantilla:

    $SettingCopy = $Template1.CreateDirectorySetting()
    
  4. Establezca la configuración al valor requerido:

    $SettingCopy["AllowToAddGuests"]=$False
    
  5. Obtenga el identificador del grupo al que desea aplicar esta configuración:

    $groupID= (Get-AzureADGroup -SearchString "YourGroupName").ObjectId
    
  6. Cree la nueva configuración para el grupo necesario en el directorio:

    New-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -DirectorySetting $SettingCopy
    
  7. Para comprobar la configuración, ejecute este comando:

    Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups | fl Values
    

Actualización de la configuración de un grupo específico

  1. Obtenga el identificador del grupo cuya configuración desea actualizar:
    $groupID= (Get-AzureADGroup -SearchString "YourGroupName").ObjectId
    
  2. Recupere la configuración del grupo:
    $Setting = Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups
    
  3. Actualice la configuración del grupo como sea necesario, por ejemplo:
    $Setting["AllowToAddGuests"] = $True
    
  4. A continuación, obtenga el identificador de la configuración para este grupo específico:
    Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups
    
    Obtendrá una respuesta similar a esta:
    Id                                   DisplayName            TemplateId                             Values
    --                                   -----------            -----------                            ----------
    2dbee4ca-c3b6-4f0d-9610-d15569639e1a Group.Unified.Guest    08d542b9-071f-4e16-94b0-74abb372e3d9   {class SettingValue {...
    
  5. A continuación, puede establecer el nuevo valor para esta configuración:
    Set-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -Id 2dbee4ca-c3b6-4f0d-9610-d15569639e1a -DirectorySetting $Setting
    
  6. Puede leer el valor de la configuración para asegurarse de que se ha actualizado correctamente:
    Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups | fl Values
    

Referencia de sintaxis de cmdlet

Puede encontrar más documentación de Azure Active Directory PowerShell en el artículo sobre los cmdlets de Azure Active Directory.

Lecturas adicionales