Cmdlets do Azure Active Directory para definir configurações de grupo

Artigo
07/22/2022
9 minutos para o fim da leitura

Este artigo contém instruções sobre como usar os cmdlets do PowerShell para criar e atualizar grupos no Azure AD (Azure Active Directory), parte do Microsoft Entra. Esse conteúdo se aplica somente a grupos do Microsoft 365 (às vezes chamados de grupos unificados).

Importante

Algumas configurações exigem uma licença do Azure Active Directory Premium P1. Para obter mais informações, consulte a tabela Configurações de modelo.

Para saber mais sobre como evitar que usuários não administradores criem grupos de segurança, defina Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False conforme descrito em Set-MSOLCompanySettings.

As configurações de grupos do Microsoft 365 são definidas usando um objeto Settings e um objeto SettingsTemplate. Inicialmente, você não verá objetos Settings no seu diretório, pois o diretório foi configurado com as definições padrão. Para alterar as configurações padrão, você deve criar um novo objeto de configurações usando um modelo de configurações. Modelos de configurações são definidos pela Microsoft. Há vários modelos de configurações diferentes. Para definir as configuração de grupo do Microsoft 365 para o diretório, use o modelo chamado "Group.Unified". Para definir as configurações de grupo do Microsoft 365 em um único grupo, use o modelo chamado "Group.Unified.Guest". Esse modelo é usado para gerenciar o acesso de convidado a um grupo do Microsoft 365.

Os cmdlets fazem parte do Módulo do Azure Active Directory PowerShell V2. Para obter instruções de como baixar e instalar o módulo no seu computador, confira o artigo Azure Active Directory PowerShell Version 2 (PowerShell Versão 2 do Azure Active Directory). Você pode instalar a versão 2 do módulo da galeria do PowerShell.

Observação

Com as configurações estabelecidas para restringir a adição de convidados aos Grupos do Microsoft 365, os administradores ainda adicionarão usuários convidados aos Grupos do Microsoft 365. A configuração restringirá usuários não administradores de adicionar usuários convidados a grupos do Microsoft 365.

Instalar cmdlets do PowerShell

Certifique-se de desinstalar qualquer versão anterior do PowerShell do Azure Active Directory para Módulo Graph para o Windows PowerShell e instalar PowerShell do Azure Active Directory para Graph - Versão de Visualização Pública 2.0.0.137 antes de executar os comandos do PowerShell.

Abra o aplicativo Windows PowerShell como um administrador.

Desinstale qualquer versão anterior do AzureADPreview.

Uninstall-Module AzureADPreview
Uninstall-Module azuread

Instale a versão mais recente do AzureADPreview.
```
Install-Module AzureADPreview
```

Criar configurações no nível do diretório

Essas etapas criam configurações no nível de diretório, as quais se aplicam a todos os grupos do Microsoft 365 no diretório. O cmdlet Get-AzureADDirectorySettingTemplate está disponível apenas no módulo de versão prévia do Azure AD PowerShell para Graph.

Nos cmdlets DirectorySettings, você precisa especificar a ID de SettingsTemplate que deseja usar. Se você não souber essa ID, esse cmdlet retornará a lista com todos os modelos de configurações:

Get-AzureADDirectorySettingTemplate

Essa chamada do cmdlet retorna todos os modelos disponíveis:

Id                                   DisplayName         Description
--                                   -----------         -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified       ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group
16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn     Setting templates define the different settings that can be used for the associ...
4bc7f740-180e-4586-adb6-38b2e9024e6b Application...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy       Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule       Settings ...

Para adicionar uma URL de diretrizes de uso, primeiro você precisa obter o objeto SettingsTemplate que define o valor de URL da diretriz de uso; ou seja, o modelo de Group.Unified:

$TemplateId = (Get-AzureADDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ

Em seguida, crie um novo objeto de configurações com base no modelo:
```
$Setting = $Template.CreateDirectorySetting()
```
Em seguida, atualize o objeto de configurações com um novo valor. Os dois exemplos abaixo alteram o valor de diretriz de uso e habilitam rótulos de confidencialidade. Defina essas configurações ou qualquer outra configuração no modelo conforme necessário:
```
$Setting["UsageGuidelinesUrl"] = "https://guideline.example.com"
$Setting["EnableMIPLabels"] = "True"
```

Em seguida, aplique a configuração:

New-AzureADDirectorySetting -DirectorySetting $Setting

É possível ler os valores usando:
```
$Setting.Values
```

Atualizar configurações no nível do diretório

Para atualizar o valor para UsageGuideLinesUrl no modelo de configuração, leia as configurações atuais do Azure AD, caso contrário, poderíamos acabar substituindo as configurações existentes que não sejam a UsageGuideLinesUrl.

Obtenha as configurações atuais do Group.Unified SettingsTemplate:

$Setting = Get-AzureADDirectorySetting | ? { $_.DisplayName -eq "Group.Unified"}

Verifique as configurações atuais:

$Setting.Values

Saída:

 Name                          Value
 ----                          -----
 EnableMIPLabels               True
 CustomBlockedWordsList
 EnableMSStandardBlockedWords  False
 ClassificationDescriptions
 DefaultClassification
 PrefixSuffixNamingRequirement
 AllowGuestsToBeGroupOwner     False
 AllowGuestsToAccessGroups     True
 GuestUsageGuidelinesUrl
 GroupCreationAllowedGroupId
 AllowToAddGuests              True
 UsageGuidelinesUrl            https://guideline.example.com
 ClassificationList
 EnableGroupCreation           True

Para remover o valor de UsageGuideLinesUrl, edite a URL para que ela seja uma cadeia de caracteres vazia:
```
$Setting["UsageGuidelinesUrl"] = ""
```

Salve a atualização no diretório:

Set-AzureADDirectorySetting -Id $Setting.Id -DirectorySetting $Setting

Configurações de modelo

Aqui estão as configurações definidas no Group.Unified SettingsTemplate. A menos que indicado o contrário, esses recursos exigem uma licença do Azure Active Directory Premium P1.

Configuração	Descrição
EnableGroupCreation Tipo: booliano Padrão: True	O sinalizador que indica se a criação de grupos do Microsoft 365 é permitida no diretório por usuários não administradores. Essa configuração não requer uma licença do Azure Active Directory Premium P1.
GroupCreationAllowedGroupId Tipo: String Padrão: ""	GUID do grupo de segurança para o qual os membros têm permissão para criar grupos do Microsoft 365 mesmo quando EnableGroupCreation == false.
UsageGuidelinesUrl Tipo: String Padrão: ""	Um link para as Diretrizes de Uso do Grupo.
ClassificationDescriptions Tipo: String Padrão: ""	Uma lista delimitada por vírgulas de descrições de classificação. O valor de ClassificationDescriptions somente é válido neste formato: $setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description" onde a Classification corresponde a uma entrada na ClassificationList. Essa configuração não se aplica quando EnableMIPLabels == True. O limite de caracteres para a propriedade ClassificationDescriptions é 300, e as vírgulas não podem ter escape,
DefaultClassification Tipo: String Padrão: ""	A classificação que deve ser usada como a classificação padrão para um grupo, se nenhuma for especificada. Essa configuração não se aplica quando EnableMIPLabels == True.
PrefixSuffixNamingRequirement Tipo: String Padrão: ""	Cadeia de caracteres de um comprimento máximo de 64 caracteres que define a convenção de nomenclatura configurada para grupos do Microsoft 365. Para obter mais informações, confira Impor uma política de nomenclatura para grupos do Microsoft 365.
CustomBlockedWordsList Tipo: String Padrão: ""	Cadeia de caracteres de frases separadas por vírgulas que os usuários não serão autorizados a usar em nomes de grupos ou alias. Para obter mais informações, confira Impor uma política de nomenclatura para grupos do Microsoft 365.
EnableMSStandardBlockedWords Tipo: booliano Padrão: "False"	Preterido. Não use.
AllowGuestsToBeGroupOwner Tipo: booliano Padrão: False	Booliano que indica se um usuário convidado pode ser um proprietário de grupos.
AllowGuestsToAccessGroups Tipo: booliano Padrão: True	Booliano que indica se um usuário convidado pode ter acesso ao conteúdo dos grupos do Microsoft 365. Essa configuração não requer uma licença do Azure Active Directory Premium P1.
GuestUsageGuidelinesUrl Tipo: String Padrão: ""	A URL de um link para as diretrizes de uso do convidado.
AllowToAddGuests Tipo: booliano Padrão: True	Um booliano que indica se há permissão para adicionar convidados a este diretório. Essa configuração poderá ser substituída e se tornará somente leitura se EnableMIPLabels estiver definido como True e uma política de convidado estiver associada ao rótulo de confidencialidade atribuído ao grupo. Se a configuração AllowToAddGuests for definida como False no nível da organização, qualquer configuração AllowToAddGuests no nível do grupo será ignorada. Se você quiser habilitar o acesso de convidado para apenas alguns grupos, deverá definir AllowToAddGuests como true no nível da organização e, em seguida, desabilitá-lo seletivamente para grupos específicos.
ClassificationList Tipo: String Padrão: ""	Uma lista delimitada por vírgulas de valores de classificação válidos que podem ser aplicados aos grupos do Microsoft 365. Essa configuração não se aplica quando EnableMIPLabels == True.
EnableMIPLabels Tipo: booliano Padrão: "False"	O sinalizador que indica se os rótulos de confidencialidade publicados no portal de conformidade do Microsoft Purview podem ser aplicados nos grupos do Microsoft 365. Para obter mais informações, consulte Atribuir rótulos de confidencialidade a grupos do Microsoft 365.

Exemplo: configurar a política de convidado para grupos no nível do diretório

Obtenha todos os modelos de configuração:
```
Get-AzureADDirectorySettingTemplate
```

Para definir a política de convidado para grupos no nível do diretório, é necessário o modelo Group.Unified

$Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ

Em seguida, crie um novo objeto de configurações com base no modelo:
```
$Setting = $template.CreateDirectorySetting()
```
Em seguida, atualize a configuração AllowToAddGuests
```
$Setting["AllowToAddGuests"] = $False
```

Em seguida, aplique a configuração:

Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting

É possível ler os valores usando:
```
$Setting.Values
```

Ler configurações no nível do diretório

Se você souber o nome da configuração que deseja recuperar, será possível usar o cmdlet abaixo para recuperar o valor atual das configurações. Neste exemplo, recuperaremos o valor de uma configuração chamada "UsageGuidelinesUrl".

(Get-AzureADDirectorySetting).Values | Where-Object -Property Name -Value UsageGuidelinesUrl -EQ

Estas etapas leem configurações no nível do diretório, que se aplicam a todos os grupos do Office no diretório.

Leia todas as configurações existentes do diretório:

Get-AzureADDirectorySetting -All $True

Esse cmdlet retorna uma lista de todas as configurações de diretório:

Id                                   DisplayName   TemplateId                           Values
--                                   -----------   ----------                           ------
c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...

Leia todas as configurações para um grupo específico:

Get-AzureADObjectSetting -TargetObjectId ab6a3887-776a-4db7-9da4-ea2b0d63c504 -TargetType Groups

Leia todos os valores de configurações de diretório de um objeto de configurações de diretório específico, usando o GUID da ID de Configurações:

(Get-AzureADDirectorySetting -Id c391b57d-5783-4c53-9236-cefb5c6ef323).values

Esse cmdlet retorna os nomes e valores nesse objeto de configurações para esse grupo específico:

Name                          Value
----                          -----
ClassificationDescriptions
DefaultClassification
PrefixSuffixNamingRequirement
CustomBlockedWordsList        
AllowGuestsToBeGroupOwner     False 
AllowGuestsToAccessGroups     True
GuestUsageGuidelinesUrl
GroupCreationAllowedGroupId
AllowToAddGuests              True
UsageGuidelinesUrl            https://guideline.example.com
ClassificationList
EnableGroupCreation           True

Remover configurações no nível do diretório

Esta etapa remove configurações no nível do diretório, que se aplicam a todos os grupos do Office no diretório.

Remove-AzureADDirectorySetting –Id c391b57d-5783-4c53-9236-cefb5c6ef323c

Criar configurações para um grupo específico

Procurar o modelo de configurações denominado "Groups.Unified.Guest"

Get-AzureADDirectorySettingTemplate

Id                                   DisplayName            Description
--                                   -----------            -----------
62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified          ...
08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest    Settings for a specific Microsoft 365 group
4bc7f740-180e-4586-adb6-38b2e9024e6b Application            ...
898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...
5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...

Recupere o objeto de modelo para o modelo Groups.Unified.Guest:

$Template1 = Get-AzureADDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ

Crie um novo objeto de configurações do modelo:

$SettingCopy = $Template1.CreateDirectorySetting()

Defina a configuração com o valor necessário:
```
$SettingCopy["AllowToAddGuests"]=$False
```
Obtenha a ID do grupo ao qual você deseja aplicar essa configuração:
```
$groupID= (Get-AzureADGroup -SearchString "YourGroupName").ObjectId
```

Crie a nova configuração para o grupo exigido no diretório:

New-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -DirectorySetting $SettingCopy

Para verificar as configurações, execute este comando:

Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups | fl Values

Atualizar as configurações para um grupo específico

Obtenha a ID do grupo cuja configuração você quer atualizar:

$groupID= (Get-AzureADGroup -SearchString "YourGroupName").ObjectId

Recupere a configuração do grupo:

$Setting = Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups

Atualize a configuração do grupo conforme necessário, por exemplo,
```
$Setting["AllowToAddGuests"] = $True
```

Em seguida, obtenha a ID da configuração para este grupo específico:

Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups

Você receberá uma resposta semelhante a esta:

Id                                   DisplayName            TemplateId                             Values
--                                   -----------            -----------                            ----------
2dbee4ca-c3b6-4f0d-9610-d15569639e1a Group.Unified.Guest    08d542b9-071f-4e16-94b0-74abb372e3d9   {class SettingValue {...

Em seguida, você pode definir o novo valor para esta configuração:

Set-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -Id 2dbee4ca-c3b6-4f0d-9610-d15569639e1a -DirectorySetting $Setting

Você pode ler o valor da configuração para certificar-se de que ele foi atualizado corretamente:
```
Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups | fl Values
```

Referência de sintaxe de cmdlet

Você pode encontrar mais documentação do PowerShell do Azure Active Directory em Cmdlets do Azure Active Directory.