Применение политики именования для групп Microsoft 365 в Azure Active Directory

Чтобы применить соответствующие соглашения об именовании групп Microsoft 365, создаваемых или изменяемых пользователями, настройте политику именования групп для организаций в Azure Active Directory (Azure AD). Например, политику именования можно использовать, чтобы указать функцию группы, членство, географический регион или создателя группы. Можно также использовать политику именования, чтобы классифицировать группы в адресной книге. Политику можно использовать для запрещения конкретных слов в именах и псевдонимах групп.

Важно!

Для использования политики именования Azure AD для групп Microsoft 365 требуется, чтобы вы обладали лицензией Azure Active Directory Premium P1 или лицензией Azure AD Basic EDU, но не обязательно назначили ее каждому уникальному пользователю, который является членом одной группы Microsoft 365 или нескольких.

Политика именования применяется при создании или изменении групп, созданных для рабочих нагрузок (например, Outlook, Microsoft Teams, SharePoint, Exchange или службы "Планировщик"), даже если изменения не были внесены. Она применяется к имени и псевдониму группы. Если настроить политику именования в Azure AD при наличии политики именования групп Exchange, то в организации применяется политика именования Azure AD.

Если настроена политика именования групп, она будет применена к новым группам Microsoft 365, созданным конечными пользователями. Политика именования не применяется к определенным ролям каталога, таким как глобальный администратор или администратор пользователей (ниже приведен полный список ролей, исключенных из политики именования групп). Для существующих групп Microsoft 365 политика не будет немедленно применена во время настройки. Политика именования применяется тогда, когда владелец группы переименует эти группы, даже если изменения не были внесены.

Возможности политики именования

Вы можете применить политику именования для групп двумя способами.

  • Политика именования префиксов и суффиксов. Можно определить префиксы или суффиксы, которые затем автоматически будут добавляться к именам групп в соответствии с соглашением об именовании (например, в имени группы GRP_JAPAN_My Group_Engineering GRP_JAPAN_ — это префикс, а "_Engineering" — суффикс).

  • Настраиваемые запрещенные слова. Можно передать набор запрещенных слов в вашей организации, которые не должны использоваться в именах групп, созданных пользователями (например, "гендир, зарплата, отдел_кадров").

Политика добавления префикса или суффикса

Общая структура соглашения об именовании: "префикс[имя_группы]суфикс". Хотя можно определить несколько префиксов и суффиксов, в параметре можно указать только одно значение [имя_группы]. Префиксами или суффиксами могут быть фиксированные строки или атрибуты пользователя, например [Department], которые заменяются в зависимости от пользователя, создающего группу. Общая допустимая длина строк префикса и суффикса, включая имя группы, составляет 53 знака.

Префиксы и суффиксы могут содержать специальные знаки, которые поддерживаются в имени и псевдониме группы. Какие-либо знаки в префиксе или суффиксе, которые не поддерживаются в псевдониме группы, применяется в имени группы, но удаляются из ее псевдонима. Из-за этого ограничения префиксы и суффиксы, применяемые к имени группы, могут отличаться от тех, которые применяются к ее псевдониму.

Фиксированные строки

Строки можно использовать, чтобы упростить проверку и различать группы в глобальном списке адресов, а также в левой области навигации, содержащей ссылки на рабочие нагрузки групп. Зачастую в качестве префиксов используются такие ключевые слова, как Grp_Name, #Name, _Name.

Атрибуты пользователя

Можно использовать атрибуты, которые помогут вам и вашим пользователям определить, для какого отдела, офиса или географического региона была создана та или иная группа. Например, если вы определите политику именования PrefixSuffixNamingRequirement = "GRP [GroupName] [Department]" и User’s department = Engineering, то полученное автоматически имя группы может иметь вид GRP My Group Engineering. Поддерживаются следующие атрибуты Azure AD: [Department], [Company], [Office], [StateOrProvince], [CountryOrRegion], [Title]. Неподдерживаемые атрибуты обрабатываются как фиксированные строки, например [postalCode]. Атрибуты расширения и настраиваемые атрибуты не поддерживаются.

Рекомендуется использовать атрибуты, которые имеют значения, указанные для всех пользователей в вашей организации, и не использовать атрибуты с длинными значениями.

Настраиваемые запрещенные слова

Список запрещенных слов — это список разделенных запятыми фраз, которые запрещены в именах и псевдонимах групп. Поиск подстрок не выполняется. Для активации сбоя требуется, чтобы имя группы точно содержало одно или несколько настраиваемых запрещенных слов. Поиск подстрок не выполняется, поэтому пользователи могут использовать распространенные слова, например "Работа", даже если слово "бот" запрещено.

Правила списка запрещенных слов:

  • Регистр запрещенных слов не учитывается.
  • Когда пользователь вводит запрещенное слово в имени группы, отображается сообщение об ошибке, содержащее запрещенное слово.
  • Ограничения знаков в запрещенных словах отсутствуют.
  • В список запрещенных слов можно добавить не более 5000 фраз.

Роли и разрешения

Для настройки политики именования требуется одна из следующих ролей.

  • глобальный администратор
  • Администратор группы
  • Редактор каталогов

Некоторые роли администраторов могут быть исключены из этих политик во всех рабочих нагрузках и конечных точках групп, чтобы они могли создавать группы, используя запрещенные слова и свои соглашения об именовании. Ниже приведен список ролей администратора, исключенных из политики именования групп.

  • глобальный администратор
  • администратора пользователей;

Настройка политики именования на портале Azure

  1. Войдите в центр администрирования Azure AD с учетной записью администратора группы.

  2. Чтобы открыть страницу политики именования, выберите Группы, а затем — Политика именования.

    open the Naming policy page in the admin center

Просмотр или изменение политики добавления префикса или суффикса

  1. На странице Политика именования выберите Политика именования групп.
  2. Текущие политики изменения префикса или суффикса можно просматривать и изменять по отдельности, выбрав атрибуты или строки, которые необходимо применить в рамках политики именования.
  3. Чтобы удалить префикс или суффикс из списка, выберите его, а затем нажмите Удалить. При этом можно удалить несколько элементов одновременно.
  4. Сохраните изменения в новой политике, чтобы они вступили в силу, нажав кнопку Сохранить.

Редактирование настраиваемых запрещенных слов

  1. На странице Политика именования выберите Заблокированные слова.

    edit and upload blocked words list for naming policy

  2. Для просмотра или изменения текущего списка настраиваемых запрещенных слов выберите Загрузить. Новые записи должны быть добавлены к существующим.

  3. Передайте новый список настраиваемых запрещенных слов, щелкнув значок файла.

  4. Сохраните изменения в новой политике, чтобы они вступили в силу, нажав кнопку Сохранить.

Установка командлетов PowerShell

Обязательно удалите все старые версии Azure Active Directory PowerShell для модуля Graph для Windows PowerShell и установите общедоступную предварительную версию Azure Active Directory PowerShell для Graph 2.0.0.137, прежде чем выполнять команды PowerShell.

  1. Запустите приложение Windows PowerShell от имени администратора.

  2. Удалите все предыдущие версии AzureADPreview.

    Uninstall-Module AzureADPreview
    
  3. Установите последнюю версию AzureADPreview.

    Install-Module AzureADPreview
    

    Если появится запрос на доступ к репозиторию, который не является доверенным, введите Y. Установка нового модуля может занять несколько минут.

Настройка политики именования в PowerShell

  1. Откройте окно Windows PowerShell на компьютере. Его можно открыть без более высокого уровня привилегий.

  2. Выполните следующие команды, чтобы подготовить среду к выполнению командлетов.

    Import-Module AzureADPreview
    Connect-AzureAD
    

    На открывшемся экране Вход в учетную запись введите учетную запись администратора и пароль, чтобы подключиться к службе, затем выберите Войти.

  3. Чтобы создать параметры группы для этой организации, выполните инструкции в статье Настройка параметров групп с помощью командлетов Azure Active Directory.

Просмотр текущих параметров

  1. Получите текущую политику именования, чтобы просмотреть действующие настройки.

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
    
  2. Отобразите на экране текущие параметры групп.

    $Setting.Values
    

Установка политики именования и настраиваемых запрещенных слов

  1. Задайте префиксы и суффиксы имен групп в PowerShell для Azure AD. Для правильной работы функции включите [имя_группы] в параметр.

    $Setting["PrefixSuffixNamingRequirement"] =“GRP_[GroupName]_[Department]"
    
  2. Задайте настраиваемые запрещенные слова. В следующем примере показано, как можно добавить собственные настраиваемые слова.

    $Setting["CustomBlockedWordsList"]=“Payroll,CEO,HR"
    
  3. Сохраните параметры новой политики, чтобы она вступила в силу, как показано в следующем примере.

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
    

Вот и все. Вы настроили политику именования и добавили запрещенные слова.

Экспорт или импорт настраиваемых заблокированных слов

Дополнительные сведения см. в статье Настройка параметров групп с помощью командлетов Azure Active Directory.

Ниже приведен пример сценария PowerShell для экспорта нескольких запрещенных слов:

$Words = (Get-AzureADDirectorySetting).Values | Where-Object -Property Name -Value CustomBlockedWordsList -EQ 
Add-Content "c:\work\currentblockedwordslist.txt" -Value $words.value.Split(",").Replace("`"","")  

Ниже приведен пример сценария PowerShell для импорта нескольких запрещенных слов.

$BadWords = Get-Content "C:\work\currentblockedwordslist.txt"
$BadWords = [string]::join(",", $BadWords)
$Settings = Get-AzureADDirectorySetting | Where-Object {$_.DisplayName -eq "Group.Unified"}
if ($Settings.Count -eq 0)
    {$Template = Get-AzureADDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"}
    $Settings = $Template.CreateDirectorySetting()
    New-AzureADDirectorySetting -DirectorySetting $Settings
    $Settings = Get-AzureADDirectorySetting | Where-Object {$_.DisplayName -eq "Group.Unified"}}
$Settings["CustomBlockedWordsList"] = $BadWords
Set-AzureADDirectorySetting -Id $Settings.Id -DirectorySetting $Settings 

Удаление политики именования

Удаление политики именования с помощью портала Azure

  1. На странице Политика именования выберите Удалить политику.
  2. После подтверждения удаления, политика именования, в том числе все политики добавления префикса или суффикса и настраиваемые запрещенные слова, будут удалены.

Удаление политики именования с помощью Azure AD PowerShell

  1. Удалите префиксы и суффиксы имен групп в PowerShell для Azure AD.

    $Setting["PrefixSuffixNamingRequirement"] =""
    
  2. Удалите настраиваемые запрещенные слова

    $Setting["CustomBlockedWordsList"]=""
    
  3. Сохраните параметры.

    Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
    

Работа в приложениях Microsoft 365

После того как политика именования групп была задана в Azure AD, когда пользователь создает группу в приложении Microsoft 365, он видит следующее.

  • Предварительное имя в соответствии с политикой именования (с префиксами и суффиксами), отображаемое по мере ввода имени группы.
  • Если пользователь введет запрещенные слова, он увидит сообщение об ошибке и сможет удалить эти слова.
Рабочая нагрузка Соответствие нормативным требованиям
Порталы Azure Active Directory На портале Azure AD и портале панели доступа отображается имя в соответствии с политикой, когда пользователь вводит его в поле имени группы при создании или изменении группы. Когда пользователь вводит настраиваемое запрещенное слово, отображается сообщение об ошибке с этим словом, чтобы пользователь мог удалить его.
Outlook Web Access (OWA) Outlook Web Access отображает имя в соответствии с политикой именования, когда пользователь вводит имя или псевдоним группы. Когда пользователь вводит настраиваемое запрещенное слово, в пользовательском интерфейсе отображается сообщение об ошибке с этим словом, чтобы пользователь мог удалить его.
Классическое приложение Outlook Группы, созданные в классическом приложении Outlook, соответствуют параметрам политики именования. Классическое приложение Outlook еще не отображает предварительное имя группы и не возвращает ошибки из-за настраиваемых запрещенных слов, когда пользователь вводит имя группы. Однако политика именования применяется автоматически при создании или изменении группы, и пользователи видят сообщения об ошибках, если имя или псевдоним группы содержит настраиваемые запрещенные слова.
Microsoft Teams Microsoft Teams отображает имя группы в соответствии с политикой именования, когда пользователь вводит имя команды. Когда пользователь вводит настраиваемое запрещенное слово, отображается сообщение об ошибке с этим словом, чтобы пользователь мог удалить его.
SharePoint SharePoint отображает имя в соответствии с политикой именования, когда пользователь вводит имя сайта или адрес электронной почты группы. Когда пользователь вводит настраиваемое запрещенное слово, отображается сообщение об ошибке с этим словом, чтобы пользователь мог удалить его.
Microsoft Stream; Microsoft Stream отображает имя в соответствии с политикой именования групп, когда пользователь вводит имя группы или псевдоним электронной почты для группы. Когда пользователь вводит настраиваемое запрещенное слово, отображается сообщение об ошибке с этим словом, чтобы пользователь мог удалить его.
Приложение Outlook для iOS и Android Группы, созданные в приложениях Outlook, соответствуют настроенной политике именования. Мобильное приложение Outlook еще не отображает предварительное имя в соответствии с политикой именования и не возвращает ошибки из-за настраиваемых запрещенных слов, когда пользователь вводит имя группы. Однако политика именования применяется автоматически при нажатии кнопки "Создать" или "Изменить", и пользователи видят сообщения об ошибках, если имя или псевдоним группы содержит настраиваемые запрещенные слова.
Мобильное приложение Groups Группы, созданные в мобильном приложении Groups, соответствуют политике именования. Мобильное приложение Groups не отображает предварительное имя в соответствии с политикой именования и не возвращает ошибки из-за настраиваемых запрещенных слов, когда пользователь вводит имя группы. Однако политика именования применяется автоматически при создании или изменении группы, и пользователи видят соответствующие сообщения об ошибках, если имя или псевдоним группы содержит настраиваемые запрещенные слова.
Планировщик Служба "Планировщик" соответствует требованиям политики именования. Служба "Планировщик" отображает предварительное имя в соответствии с политикой именования при вводе имени плана. Когда пользователь вводит настраиваемое запрещенное слово при создании плана, отображается сообщение об ошибке.
Dynamics 365 for Customer Engagement Dynamics 365 for Customer Engagement соответствует требованиям политики именования. Dynamics 365 for Customer Engagement отображает имя в соответствии с политикой именования, когда пользователь вводит имя или псевдоним электронной почты для группы. Когда пользователь вводит настраиваемое запрещенное слово, отображается сообщение об ошибке с этим словом, чтобы пользователь мог удалить его.
School Data Sync (SDS) Группы, созданные с помощью SDS, соответствуют политике именования, но политика именования не применяется автоматически. Администраторам SDS следует добавить префиксы и суффиксы в имена классов, для которых нужно создать группы, и затем передать их в SDS. В противном случае создание или изменение группы завершится сбоем.
Приложение Classroom Группы, созданные в приложении Classroom, соответствуют политике именования, но она не применяется автоматически, и предварительное имя в соответствии с политикой именования не отображается для пользователей при вводе имени группы аудиторий. Пользователи должны ввести имя группы аудиторий с префиксами и суффиксами в соответствии с политикой. В противном случае операция создания или изменения группы аудиторий завершится сбоем.
Power BI Рабочие области Power BI соответствуют требованиям политики именования.
Yammer Если пользователь выполнил вход в Yammer с помощью учетной записи Azure Active Directory, это приводит к созданию группы или изменению имени имеющейся группы в соответствии с политикой именования. Это применимо к подключенным группам Microsoft 365 и всем остальным группам Yammer.
При создании группы, подключенной к Microsoft 365, до активации политики именования имя группы не будет автоматически соответствовать политикам именования. Если пользователь изменяет имя группы, появится запрос на добавление префикса и суффикса.
StaffHub Команды StaffHub не соответствуют политике именования, но базовая группа Microsoft 365 соответствует ей. В имени команды StaffHub не используются префиксы и суффиксы и не проверяется наличие настраиваемых запрещенных слов. Но при этом в StaffHub используются префиксы и суффиксы и удаляются запрещенные слова из базовой группы Microsoft 365.
PowerShell для Exchange Командлеты PowerShell для Exchange соответствуют требованиям политики именования. Пользователи видят соответствующие сообщения об ошибках, содержащие предлагаемые префиксы и суффиксы, а также настраиваемые запрещенные слова, если что-либо в имени или псевдониме группы (mailNickname) не соответствует политике именования.
Командлеты PowerShell для Azure Active Directory Командлеты PowerShell для Azure Active Directory соответствуют требованиям политики именования. Пользователи видят соответствующие сообщения об ошибках, содержащие предлагаемые префиксы и суффиксы, а также настраиваемые запрещенные слова, если не следуют соглашению об именовании в именах или псевдонимах групп.
Центр администрирования Exchange Центр администрирования Exchange соответствует требованиям политики именования. Пользователи видят соответствующие сообщения об ошибках, содержащие предлагаемые префиксы и суффиксы, а также настраиваемые запрещенные слова, если не следуют соглашению об именовании в имени или псевдониме группы.
Центр администрирования Microsoft 365 Центр администрирования Microsoft 365 соответствует требованиям политики именования. При пользователь создает или изменяет имена групп, политика именования применяется автоматически, и пользователи будут видеть соответствующие сообщения об ошибках при вводе настраиваемых запрещенных слов. Центр администрирования Microsoft 365 еще не отображает предварительное имя в соответствии с политикой именования и не возвращает ошибки из-за настраиваемых запрещенных слов, когда пользователь вводит имя группы.

Дальнейшие действия

В следующих статьях содержатся дополнительные сведения о группах Azure AD.