Azure Active Directory cmdlets voor het configureren van groepsinstellingen

Dit artikel bevat instructies voor het gebruik Azure Active Directory (Azure AD) PowerShell-cmdlets om groepen te maken en bij te werken. Deze inhoud is alleen van toepassing op Microsoft 365 groepen (ook wel gecombineerde groepen genoemd).

Belangrijk

Voor sommige instellingen is een Azure Active Directory Premium P1-licentie vereist. Zie de tabel Sjablooninstellingen voor meer informatie.

Stel in zoals beschreven Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False in Set-MSOLCompanySettingsvoor meer informatie over het voorkomen dat niet-beheerders beveiligingsgroepen maken.

Microsoft 365 groepen worden geconfigureerd met behulp van een object Instellingen en een object SettingsTemplate. In eerste instantie ziet u geen instellingenobjecten in uw directory, omdat uw directory is geconfigureerd met de standaardinstellingen. Als u de standaardinstellingen wilt wijzigen, moet u een nieuw instellingenobject maken met behulp van een instellingensjabloon. Instellingensjablonen worden gedefinieerd door Microsoft. Er zijn verschillende instellingensjablonen. Als u Microsoft 365 voor uw directory wilt configureren, gebruikt u de sjabloon met de naam 'Group.Unified'. Als u Microsoft 365 voor een groep wilt configureren, gebruikt u de sjabloon met de naam 'Group.Unified.Guest'. Deze sjabloon wordt gebruikt om gasttoegang tot een Microsoft 365 beheren.

De cmdlets maken deel uit van de Azure Active Directory PowerShell V2-module. Zie het artikel over het downloaden en installeren van de module op uw computer Azure Active Directory PowerShell versie 2. U kunt versie 2 van de module installeren vanuit de PowerShell-galerie.

PowerShell-cmdlets installeren

Zorg ervoor dat u een oudere versie van de Azure Active Directory PowerShell voor Graph Module voor Windows PowerShell verwijdert en Azure Active Directory PowerShell for Graph - Public Preview Release (hoger dan 2.0.0.137) installeert voordat u de PowerShell-opdrachten gaat uitvoeren.

  1. Open de Windows PowerShell-app als beheerder.

  2. Verwijder eventuele oudere versies van AzureADPreview.

    Uninstall-Module AzureADPreview
    Uninstall-Module azuread
    
  3. Installeer de nieuwste versie van AzureADPreview.

    Install-Module AzureADPreview
    

Instellingen maken op mapniveau

Met deze stappen maakt u instellingen op mapniveau, die van toepassing zijn op Microsoft 365 groepen in de map. De Get-AzureADDirectorySettingTemplate-cmdlet is alleen beschikbaar in de Azure AD PowerShell Preview-module voor Graph.

  1. In de DirectorySettings-cmdlets moet u de id opgeven van de SettingsTemplate die u wilt gebruiken. Als u deze id niet weet, retourneert deze cmdlet de lijst met alle instellingensjablonen:

    Get-AzureADDirectorySettingTemplate
    
    

    Deze cmdlet-aanroep retourneert alle sjablonen die beschikbaar zijn:

    Id                                   DisplayName         Description
    --                                   -----------         -----------
    62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
    08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
    16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
    4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
    898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
    5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...
    
  2. Als u een URL voor de gebruiksrichtlijn wilt toevoegen, moet u eerst het object SettingsTemplate op halen dat de url-waarde voor de gebruiksrichtlijn definieert; dat wil zeggen, de Group.Unified-sjabloon:

    $TemplateId = (Get-AzureADDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
    $Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
    
  3. Maak vervolgens een nieuw instellingenobject op basis van die sjabloon:

    $Setting = $Template.CreateDirectorySetting()
    
  4. Werk vervolgens het instellingenobject bij met een nieuwe waarde. In de twee onderstaande voorbeelden wordt de waarde van de gebruiksrichtlijn gewijzigd en worden gevoeligheidslabels ingeschakeld. Stel deze of een andere instelling in de sjabloon in zoals vereist:

    $Setting["UsageGuidelinesUrl"] = "https://guideline.example.com"
    $Setting["EnableMIPLabels"] = "True"
    
  5. Pas vervolgens de instelling toe:

    New-AzureADDirectorySetting -DirectorySetting $Setting
    
  6. U kunt de waarden lezen met behulp van:

    $Setting.Values
    

Instellingen bijwerken op mapniveau

Als u de waarde voor UsageGuideLinesUrl in de instellingssjabloon wilt bijwerken, leest u de huidige instellingen van Azure AD. Anders kunnen we bestaande instellingen overschrijven, anders overschrijven we de bestaande instellingen dan usageGuideLinesUrl.

  1. Haal de huidige instellingen op uit de Group.Unified SettingsTemplate:

    $Setting = Get-AzureADDirectorySetting | ? { $_.DisplayName -eq "Group.Unified"}
    
  2. Controleer de huidige instellingen:

    $Setting.Values
    

    Uitvoer:

     Name                          Value
     ----                          -----
     EnableMIPLabels               True
     CustomBlockedWordsList
     EnableMSStandardBlockedWords  False
     ClassificationDescriptions
     DefaultClassification
     PrefixSuffixNamingRequirement
     AllowGuestsToBeGroupOwner     False
     AllowGuestsToAccessGroups     True
     GuestUsageGuidelinesUrl
     GroupCreationAllowedGroupId
     AllowToAddGuests              True
     UsageGuidelinesUrl            https://guideline.example.com
     ClassificationList
     EnableGroupCreation           True
    
  3. Als u de waarde van UsageGuideLinesUrl wilt verwijderen, bewerkt u de URL in een lege tekenreeks:

    $Setting["UsageGuidelinesUrl"] = ""
    
  4. Sla de update op in de map :

    Set-AzureADDirectorySetting -Id $Setting.Id -DirectorySetting $Setting
    

Sjablooninstellingen

Hier vindt u de instellingen die zijn gedefinieerd in Group.Unified SettingsTemplate. Tenzij anders aangegeven, is voor deze functies een Azure Active Directory Premium P1-licentie vereist.

Instelling Beschrijving
  • EnableGroupCreation
  • Type: Booleaanse
  • Standaardinstelling: Waar
De vlag die aangeeft of Microsoft 365 maken van een groep door niet-beheerders is toegestaan in de directory. Voor deze instelling is geen Azure Active Directory Premium P1-licentie vereist.
  • GroupCreationAllowedGroupId
  • Type: String
  • Standaardinstelling: ""
GUID van de beveiligingsgroep waarvoor de leden groepen mogen maken, zelfs Microsoft 365 EnableGroupCreation == false.
  • UsageGuidelinesUrl
  • Type: String
  • Standaardinstelling: ""
Een koppeling naar de richtlijnen voor groepsgebruik.
  • ClassificationDescriptions
  • Type: String
  • Standaardinstelling: ""
Een door komma's scheidingstekens lijst met classificatiebeschrijvingen. De waarde van ClassificationDescriptions is alleen geldig in deze indeling:
$setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description"
waarbij classificatie overeenkomt met een vermelding in de ClassificationList.
Deze instelling is niet van toepassing wanneer EnableMIPLabels == True.
  • DefaultClassification
  • Type: String
  • Standaardinstelling: ""
De classificatie die moet worden gebruikt als de standaardclassificatie voor een groep als er geen is opgegeven.
Deze instelling is niet van toepassing wanneer EnableMIPLabels == True.
  • PrefixSuffixNamingRequirement
  • Type: String
  • Standaardinstelling: ""
Tekenreeks met een maximale lengte van 64 tekens die de naamconventie definieert die is geconfigureerd voor Microsoft 365 groepen. Zie Een naamgevingsbeleid afdwingen voor Microsoft 365 groepen voor meer informatie.
  • CustomBlockedWordsList
  • Type: String
  • Standaardinstelling: ""
Door komma's gescheiden reeks zinnen die gebruikers niet mogen gebruiken in groepsnamen of aliassen. Zie Een naamgevingsbeleid afdwingen voor Microsoft 365 groepen voor meer informatie.
  • EnableMSStandardBlockedWords
  • Type: Booleaanse
  • Standaardinstelling: 'False'
Afgeschaft. Niet gebruiken.
  • AllowGuestsToBeGroupOwner
  • Type: Booleaanse
  • Standaardinstelling: Onwaar
Booleaanse gegevens die aangeven of een gastgebruiker eigenaar van groepen kan zijn.
  • AllowGuestsToAccessGroups
  • Type: Booleaanse
  • Standaardinstelling: Waar
Booleaanse gegevens die aangeven of een gastgebruiker al dan niet toegang kan hebben tot Microsoft 365 inhoud van groepen. Voor deze instelling is geen Azure Active Directory Premium P1-licentie vereist.
  • GuestUsageGuidelinesUrl
  • Type: String
  • Standaardinstelling: ""
De URL van een koppeling naar de richtlijnen voor gastgebruik.
  • AllowToAddGuests
  • Type: Booleaanse
  • Standaardinstelling: Waar
Een Booleaanse waarde die aangeeft of gasten aan deze directory mogen worden toevoegen of niet.
Deze instelling kan worden overschrijven en wordt alleen-lezen als EnableMIPLabels is ingesteld op True en een gastbeleid is gekoppeld aan het gevoeligheidslabel dat is toegewezen aan de groep.
Als de instelling AllowToAddGuests op organisatieniveau is ingesteld op False, wordt elke AllowToAddGuests-instelling op groepsniveau genegeerd. Als u gasttoegang voor slechts enkele groepen wilt inschakelen, moet u AllowToAddGuests instellen op waar op organisatieniveau en deze vervolgens selectief uitschakelen voor specifieke groepen.
  • ClassificationList
  • Type: String
  • Standaardinstelling: ""
Een door komma's scheidingstekens lijst met geldige classificatiewaarden die kunnen worden toegepast op Microsoft 365 groepen.
Deze instelling is niet van toepassing wanneer EnableMIPLabels == True.
  • EnableMIPLabels
  • Type: Booleaanse
  • Standaardinstelling: 'Onwaar'
De vlag die aangeeft of gevoeligheidslabels die zijn gepubliceerd in Microsoft 365 Compliance Center kunnen worden toegepast op Microsoft 365 groepen. Zie Assign Sensitivity Labels for Microsoft 365 groups (Gevoeligheidslabels toewijzen voor Microsoft 365 groepen) voor meer informatie.

Voorbeeld: Gastbeleid configureren voor groepen op directoryniveau

  1. Haal alle instellingssjablonen op:

    Get-AzureADDirectorySettingTemplate
    
  2. Als u gastbeleid voor groepen wilt instellen op directoryniveau, hebt u de Group.Unified-sjabloon nodig

    $Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ
    
  3. Maak vervolgens een nieuw instellingenobject op basis van die sjabloon:

    $Setting = $template.CreateDirectorySetting()
    
  4. Werk vervolgens de instelling AllowToAddGuests bij

    $Setting["AllowToAddGuests"] = $False
    
  5. Pas vervolgens de instelling toe:

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
    
  6. U kunt de waarden lezen met behulp van:

    $Setting.Values
    

Instellingen lezen op mapniveau

Als u de naam weet van de instelling die u wilt ophalen, kunt u de onderstaande cmdlet gebruiken om de huidige instellingenwaarde op te halen. In dit voorbeeld wordt de waarde opgehaald voor een instelling met de naam UsageGuidelinesUrl.

(Get-AzureADDirectorySetting).Values | Where-Object -Property Name -Value UsageGuidelinesUrl -EQ

Met deze stappen worden instellingen op mapniveau gelezen, die van toepassing zijn op alle Office-groepen in de map.

  1. Alle bestaande directory-instellingen lezen:

    Get-AzureADDirectorySetting -All $True
    

    Deze cmdlet retourneert een lijst met alle directory-instellingen:

    Id                                   DisplayName   TemplateId                           Values
    --                                   -----------   ----------                           ------
    c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...
    
  2. Alle instellingen voor een specifieke groep lezen:

    Get-AzureADObjectSetting -TargetObjectId ab6a3887-776a-4db7-9da4-ea2b0d63c504 -TargetType Groups
    
  3. Lees alle mapinstellingen van een specifiek directory-instellingenobject met behulp van de GUID Instellingen-id:

    (Get-AzureADDirectorySetting -Id c391b57d-5783-4c53-9236-cefb5c6ef323).values
    

    Deze cmdlet retourneert de namen en waarden in dit instellingenobject voor deze specifieke groep:

    Name                          Value
    ----                          -----
    ClassificationDescriptions
    DefaultClassification
    PrefixSuffixNamingRequirement
    CustomBlockedWordsList        
    AllowGuestsToBeGroupOwner     False 
    AllowGuestsToAccessGroups     True
    GuestUsageGuidelinesUrl
    GroupCreationAllowedGroupId
    AllowToAddGuests              True
    UsageGuidelinesUrl            https://guideline.example.com
    ClassificationList
    EnableGroupCreation           True
    

Instellingen verwijderen op mapniveau

Met deze stap verwijdert u instellingen op directoryniveau, die van toepassing zijn op alle Office-groepen in de directory.

Remove-AzureADDirectorySetting –Id c391b57d-5783-4c53-9236-cefb5c6ef323c

Instellingen voor een specifieke groep maken

  1. Zoek naar de instellingensjabloon met de naam Groups.Unified.Guest

    Get-AzureADDirectorySettingTemplate
    
    Id                                   DisplayName            Description
    --                                   -----------            -----------
    62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
    08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
    4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
    898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
    5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...
    
  2. Haal het sjabloonobject voor de sjabloon Groups.Unified.Guest op:

    $Template1 = Get-AzureADDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ
    
  3. Maak een nieuw instellingenobject op basis van de sjabloon:

    $SettingCopy = $Template1.CreateDirectorySetting()
    
  4. Stel de instelling in op de vereiste waarde:

    $SettingCopy["AllowToAddGuests"]=$False
    
  5. Haal de id op van de groep waar u deze instelling op wilt toepassen:

    $groupID= (Get-AzureADGroup -SearchString "YourGroupName").ObjectId
    
  6. Maak de nieuwe instelling voor de vereiste groep in de map :

    New-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -DirectorySetting $SettingCopy
    
  7. Voer de volgende opdracht uit om de instellingen te controleren:

    Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups | fl Values
    

Instellingen voor een specifieke groep bijwerken

  1. Haal de id op van de groep waarvan u de instelling wilt bijwerken:
    $groupID= (Get-AzureADGroup -SearchString "YourGroupName").ObjectId
    
  2. Haal de instelling van de groep op:
    $Setting = Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups
    
  3. Werk de instelling van de groep naar behoefte bij, bijvoorbeeld
    $Setting["AllowToAddGuests"] = $True
    
  4. Haal vervolgens de id van de instelling voor deze specifieke groep op:
    Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups
    
    U krijgt een antwoord dat er ongeveer als het volgende uit ziet:
    Id                                   DisplayName            TemplateId                             Values
    --                                   -----------            -----------                            ----------
    2dbee4ca-c3b6-4f0d-9610-d15569639e1a Group.Unified.Guest    08d542b9-071f-4e16-94b0-74abb372e3d9   {class SettingValue {...
    
  5. Vervolgens kunt u de nieuwe waarde voor deze instelling instellen:
    Set-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -Id 2dbee4ca-c3b6-4f0d-9610-d15569639e1a -DirectorySetting $Setting
    
  6. U kunt de waarde van de instelling lezen om ervoor te zorgen dat deze correct is bijgewerkt:
    Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups | fl Values
    

Naslag voor cmdlet-syntaxis

U vindt meer informatie Azure Active Directory PowerShell-documentatie op Azure Active Directory Cmdlets.

Meer artikelen