为 Microsoft 365 组配置过期策略

项目
03/18/2024

本文介绍如何通过为 Microsoft 365 组设置过期策略来管理这些组的生命周期。可以仅为 Microsoft Entra ID 中的 Microsoft 365 组设置过期策略。

将某个组设置为过期后：

具有用户活动的组在快要过期时自动续订。
如果组未自动续订，则会通知组的所有者续订组。
未续订的任何组将被删除。
组所有者或管理员可在 30 日内还原任何被删除的 Microsoft 365 组。

目前，只能为 Microsoft Entra 组织中的所有 Microsoft 365 组配置一个过期策略。

注意

配置和使用 Microsoft 365 组的过期策略需要你拥有为应用过期策略的所有组的成员使用的 Microsoft Entra ID P1 或 P2 许可证（但不一定要为其分配这些许可证）。

有关如何下载和安装 Microsoft Graph PowerShell cmdlet 的信息，请参阅安装 Microsoft Graph PowerShell SDK。

重要

我们计划在 2024 年 3 月 30 日弃用 Azure AD PowerShell。若要了解详细信息，请阅读有关弃用的更新。我们建议迁移到 Microsoft Graph PowerShell，方便与 Microsoft Entra ID（以前称为 Azure AD）交互。 Microsoft Graph PowerShell 在 PowerShell 7 上提供，支持访问所有 Microsoft Graph API。有关常见迁移查询的解答，请参阅迁移常见问题解答。

基于活动的自动续订

借助 Microsoft Entra 智能，系统可根据最近是否使用过相关组来自动续订这些组。此功能让组所有者无需再执行手动操作。这是基于 Microsoft 365 服务（如 Outlook、SharePoint、Teams 或 Yammer）中组的用户活动。

例如，所有者或组成员可能执行以下操作：

向 Outlook 中的组发送电子邮件。
将一个文档上传到 SharePoint。
访问 Teams 频道。
在 Yammer 中查看帖子。

在上述应用场景中，组在组过期前大约 35 天自动续订，所有者不会收到任何续订通知。

现在，假设一个过期策略设置为一个组在处于非活动状态 30 天后过期。为了避免在启用组过期的当天发送过期电子邮件（因为还没有任何记录活动），Microsoft Entra 首先要等待五天。然后：

如果在这五天内有活动，过期策略将按预期工作。
如果 5 天内没有活动，Microsoft Entra ID 会发送过期或续订电子邮件。
如果该组处于非活动状态五天，并在已发送电子邮件后处于活动状态，Microsoft Entra 将自动续订，并再次启动过期期限。

会自动续订组过期的活动

以下用户操作会导致组自动续订：

SharePoint：查看、编辑、下载、移动、共享或上传文件。
Outlook：加入组、通过组空间读取或写入组消息、点赞某条消息（如 Outlook Web 访问中的消息）。
Teams：访问 Teams 频道。
Yammer：在 Yammer 社区中查看帖子，或在 Outlook 中查看交互式电子邮件。

审核和报告

管理员可以从 Microsoft Entra ID 中的活动审核日志获取自动续订的组的列表。

Screenshot that shows automatic renewal of groups based on activity.

角色和权限

以下角色可在 Microsoft Entra ID 中为 Microsoft 365 组配置和使用过期。

角色	权限
全局管理员、组管理员或用户管理员	可以创建、读取、更新或删除 Microsoft 365 组过期策略设置可以续订任何 Microsoft 365 组
User	可以续订他们拥有的 Microsoft 365 组可以还原他们拥有的 Microsoft 365 组可以读取过期策略设置

有关还原已删除组的权限的详细信息，请参阅在 Microsoft Entra ID 中还原已删除的 Microsoft 365 组。

设置组过期

至少以全局管理员身份登录到 Microsoft Entra 管理中心。
选择“Microsoft Entra ID”。
选择“组”>“所有组”，然后选择“过期”以打开过期设置。
在“过期”页中，可以：
- 设置组的生存期（天）。可以选择一个预设值或自定义值。应为 30 天或更多天。
- 指定当组没有所有者时续订和过期通知发送到的电子邮件地址。
- 选择会过期的 Microsoft 365 组。可以为以下项设置过期时间：
  - 所有 Microsoft 365 组。
  - 所选的 Microsoft 365 组。
  - 无过期时间，任何组都不过期。
- 设置完成后，选择“保存”来保存设置。

注意

首次设置过期时，会将任何早于过期时间间隔的组设置为 35 天后过期，除非自动续订了这些组或所有者续订了这些组。
当删除并还原动态组时，会将视其为一个新组并根据规则重新填充。此过程最多可能需要 24 小时。
Teams 中使用的组的过期通知会显示在“Teams 所有者”源中。
为选定的组启用到期时间后，最多可以将 500 个组添加到列表中。如果需要添加的组超过 500 个，则可以为所有组启用到期时间。在这种情况下，500 个组的限制不适用。
发生自动续订活动时，组不会立即续订。如果发生活动，则会在该组上放置一个标志，以便在该组即将到期时指示其已准备好续订。如果组即将到期，则会在 24 小时内续订。

电子邮件通知

如果组未自动续订，则分别会在 Microsoft 365 组过期前 30 天、15 天和 1 天向该组所有者发送类似于以下示例的电子邮件通知。

电子邮件的语言由组所有者的首选语言或 Microsoft Entra 语言设置确定。如果组所有者定义了首选语言，或多个所有者具有相同首选语言，则使用该语言。在所有其他情况下均使用 Microsoft Entra 语言设置。

Screenshot that shows expiration email notifications.

组所有者可以从“续订组”通知电子邮件直接访问“访问面板”中的组详细信息页。在此处，用户可以获取更多关于组的信息，例如该组的描述、上次续订时间、到期时间，并且还能续订组。组详细信息页面现在还包括 Microsoft 365 组资源的链接，因此组所有者可以在组中轻松查看内容和活动。

重要

如果通知电子邮件存在任何问题，并且未发送或延迟，请放心，Microsoft 不会在发送最后一封电子邮件之前删除组。

当某个组过期时，它将在到期日期的后一天被删除。将向 Microsoft 365 组所有者发送如下电子邮件通知，通知其关于 Microsoft 365 组过期及后续删除的信息。

Screenshot that shows group deletion email notifications.

可通过选择还原组或使用 PowerShell cmdlet，在组被删除的 30 天内还原组。有关详细信息，请参阅在 Microsoft Entra ID 中还原删除的 Microsoft 365 组。 30 天的组还原期不可自定义。

如果所还原的组包含文档、SharePoint 站点或其他持久对象，可能需要最多 24 小时才能完全还原该组及其内容。

检索 Microsoft 365 组过期日期

除了使用访问面板查看包括到期日期和上次续订日期在内的组详细信息，还可以从 Microsoft Graph REST API Beta 版中检索 Microsoft 365 组的到期日期。 Microsoft Graph Beta 版本中启用组属性 expirationDateTime。可以使用 GET 请求来检索它。有关详细信息，请参阅此示例。

注意

若要在“访问面板”上管理组成员身份，必须在 Microsoft Entra 组常规设置中将“限制访问‘访问面板’中的组”设置为“否”。

结合使用 Microsoft 365 组过期与合法保留邮箱

组到期并删除后，应用（例如 Planner、站点或 Teams）中删除的组数据将会在 30 天后永久删除。法定保留的组邮箱会得到保留，不会永久删除。管理员可以使用 Exchange cmdlets 来恢复邮箱以提取数据。

结合使用 Microsoft 365 组过期与保留策略

可通过安全与合规门户配置保留策略。你可以为 Microsoft 365 组设置保留策略。组到期并被删除后，组邮箱中的组对话和组站点中的文件将保留在保留容器中，保留的特定天数取决于保留策略中的定义。过期后，用户不会看到组或其内容。他们可以通过电子数据展示恢复网站和邮箱数据。

PowerShell 示例

以下是如何使用 PowerShell cmdlets 来为 Microsoft Entra 组织中的 Microsoft 365 组配置过期设置的示例：

安装 Microsoft Graph PowerShell 模块并在 PowerShell 提示符处登录。

Install-Module Microsoft.Graph -Scope CurrentUser
Connect-MgGraph -Scopes "Directory.ReadWrite.All"

配置过期设置。使用 New-MgGroupLifecyclePolicy cmdlet 将 Microsoft Entra 组织中所有 Microsoft 365 组的生命周期设置为 365 天。没有所有者的 Microsoft 365 组的续订通知会发送到“emailaddress@contoso.com”。
```
New-MgGroupLifecyclePolicy -AlternateNotificationEmails emailaddress@contoso.com `
   -GroupLifetimeInDays 365 -ManagedGroupTypes All
```
使用 Get-MgGroupLifecyclePolicy 检索现有策略。此 cmdlet 检索已配置的当前 Microsoft 365 组到期设置。
```
Get-MgGroupLifecyclePolicy
```
在此示例中，可以看到：
- 策略 ID。
- 没有所有者的 Microsoft 365 组的续订通知会发送到“emailaddress@contoso.com”。
- Microsoft Entra 组织中所有 Microsoft 365 组的生命周期设置为 365 天。
```
Id                                   AlternateNotificationEmails GroupLifetimeInDays ManagedGroupTypes
--                                   --------------------------- ------------------- -----------------
0d21d969-85ed-4c75-8675-eb1bc4899f4e emailaddress@contoso.com    365                 All
```
使用 Update-MgGroupLifecyclePolicy 更新现有策略。此 cmdlet 用于更新现有策略。在以下示例中，现有策略中的组生存期从 365 天更改为 180 天。
```
Update-MgGroupLifecyclePolicy -GroupLifecyclePolicyId "0d21d969-85ed-4c75-8675-eb1bc4899f4e" -GroupLifetimeInDays 180 -AlternateNotificationEmails "emailaddress@contoso.com"
```

使用 Add-MgGroupToLifecyclePolicy 将特定组添加到策略。此 cmdlet 将组添加到生命周期策略。示例：

Add-MgGroupToLifecyclePolicy -GroupLifecyclePolicyId "0d21d969-85ed-4c75-8675-eb1bc4899f4e" -GroupId "cffd97bd-6b91-4c4e-b553-6918a320211c"

使用 Remove-MgGroupLifecyclePolicy 删除现有策略。此 cmdlet 删除 Microsoft 组到期设置，但需要策略 ID。此 cmdlet 将禁用 Microsoft 365 组的过期。
```
Remove-MgGroupLifecyclePolicy -GroupLifecyclePolicyId "0d21d969-85ed-4c75-8675-eb1bc4899f4e"
```

可以使用以下 cmdlet 更详细地配置策略。有关详细信息，请参阅 Microsoft Graph PowerShell 文档。

后续步骤

有关 Microsoft Entra 组的更多信息，请参阅：