設定 Microsoft 365 群組的到期原則

本文將告訴您如何藉由為其設定到期原則來管理 Microsoft 365 群組的生命週期。 您只能針對 Azure Active Directory (Azure AD) 中的 Microsoft 365 群組設定到期原則。

一旦您為群組設定到期日:

  • 具有使用者活動的群組會在到期時自動更新。
  • 如果群組不會自動更新,群組的擁有者會收到更新群組的通知。
  • 已刪除任何未更新的群組。
  • 群組擁有者或系統管理員可以在30天內還原已刪除的任何 Microsoft 365 群組。

目前,您只能為 Azure AD 組織中的所有 Microsoft 365 群組設定一個到期原則。

注意

設定和使用 Microsoft 365 群組的到期原則時,您必須擁有但不一定要為套用到期原則之所有群組的成員指派 Azure AD Premium 授權。

如需有關如何下載及安裝 Azure AD PowerShell Cmdlet 的資訊,請參閱 Azure Active Directory PowerShell for Graph 2.0.0.137

以活動為基礎的自動更新

使用 Azure AD 智慧,現在會根據最近使用的方式,自動更新群組。 這項功能不需要由群組擁有者手動採取動作,因為它是以跨 Microsoft 365 服務(例如 Outlook、SharePoint 或 Teams)群組中的使用者活動為基礎。 例如,如果擁有者或群組成員有像是將檔上傳至 SharePoint、造訪 Teams 頻道,或傳送電子郵件給 Outlook 中的群組,則群組會在群組到期前的35天自動更新,而擁有者不會取得任何更新通知。 以 Yammer 原生模式轉換成 Microsoft 365 群組的「所有公司」群組目前不支援此類型的自動更新,且該群組的 Yammer 活動不會計為活動。

例如,假設已設定到期原則,讓群組在閒置30天后到期。 不過,若要在將到期電子郵件傳送到群組到期日 (,因為沒有任何記錄活動) ,Azure AD 先等待五天。 如果在這五天內有活動,到期原則會如預期般運作。 如果五天內沒有任何活動,我們會傳送到期/續約電子郵件。 當然,如果群組沒有五天處於非使用中狀態,則會傳送一封電子郵件,然後群組就會變成使用中,我們會 autorenew 該群組,並再次開始到期期間。

自動更新群組到期的活動

下列使用者動作會導致自動群組更新:

  • SharePoint:查看、編輯、下載、移動、共用或上傳檔案
  • Outlook:聯結群組、讀取/寫入群組空間的訊息,例如 Outlook Web 存取中的訊息 ()
  • Teams:造訪 Teams 頻道

稽核與報告

系統管理員可以從 Azure AD 中的活動稽核記錄取得自動更新的群組清單。

Automatic renewal of groups based on activity

角色和權限

下列角色可設定和使用 Azure AD 中 Microsoft 365 群組的到期時間。

角色 權限
全域管理員、群組管理員或使用者系統管理員 可以建立、讀取、更新或刪除 Microsoft 365 群組到期原則設定
可以更新任何 Microsoft 365 群組
User 可以更新他們擁有的 Microsoft 365 群組
可以還原他們所擁有的 Microsoft 365 群組
可以讀取到期原則設定

如需有關還原已刪除群組之許可權的詳細資訊,請參閱Azure Active Directory 中的還原已刪除的 Microsoft 365 群組

設定群組到期日

  1. 使用您 Azure AD 組織中的全域管理員帳戶,開啟Azure AD 系統管理中心

  2. 選取 [ 群組],然後選取 [ 到期 ] 以開啟到期設定。

    Expiration settings for groups

  3. 在 [ 到期 ] 頁面上,您可以:

    • 設定群組的存留期 (以天為單位)。 您可以選取其中一個預設值,或選取自訂值 (應為30天或更) 。
    • 指定當群組沒有擁有者時應該傳送續訂和到期通知的電子郵件地址。
    • 選取過期的 Microsoft 365 群組。 您可以設定到期日:
      • 所有Microsoft 365 群組
      • 所選Microsoft 365 群組的清單
      • 可限制所有群組的到期日
    • 當您完成時,選取 [儲存] 會儲存您的設定。

注意

  • 當您第一次設定到期日時,任何早于到期間隔的群組會設定為35天直到到期為止,除非群組自動更新或擁有者更新該群組。
  • 刪除並還原動態群組時,會將它視為新的群組,並根據規則重新填入。 此程序最多可能需要 24 小時。
  • Teams 中所使用群組的到期通知會出現在 Teams 擁有者摘要中。
  • 當您為選取的群組啟用到期時,最多可以將500個群組新增至清單。 如果您需要新增500個以上的群組,您可以啟用所有群組的到期日。 在該案例中,500-群組的限制並不適用。

電子郵件通知

如果群組不會自動更新,這類電子郵件通知會在群組到期前的30天、15天和前1天傳送給 Microsoft 365 群組擁有者。 電子郵件的語言取決於群組擁有者的慣用語言或 Azure AD 語言設定。 如果群組擁有者已定義慣用語言,或多個擁有者都有相同的慣用語言,則會使用該語言。 針對其他所有情況,則會使用 Azure AD 語言] 設定。

Expiration email notifications

更新群組 通知電子郵件中,群組擁有者可以直接存取 存取面板中的 [群組詳細資料] 頁面。 使用者可以從該處取得群組的相關詳細資訊,例如其描述、其最後更新時間、其到期時間,還能夠更新群組。 [群組詳細資料] 頁面現在也包含 Microsoft 365 群組資源的連結,讓群組擁有者可以輕鬆地查看其群組中的內容和活動。

重要

如果通知電子郵件有任何問題,但未寄出或被延遲,請確保在傳送最後一封電子郵件之前,Microsoft 永遠不會刪除群組。

當群組到期時,會在到期日隔天刪除群組。 這種電子郵件通知會傳送給 Microsoft 365 群組擁有者,通知他們其 Microsoft 365 群組的到期和後續刪除。

Group deletion email notifications

您可以選取 [還原群組] 或使用 PowerShell Cmdlet,在刪除的30天內還原群組,如 Azure Active Directory 的還原已刪除的 Microsoft 365 群組中所述。 請注意,您無法自訂 30 天的群組還原期間。

如果您要還原的群組包含文件、SharePoint 網站或其他持續物件,則可能需要 24 小時,才能完全還原群組及其內容。

如何取出 Microsoft 365 群組到期日

除了可讓使用者查看群組詳細資料的存取面板(包括到期日和上次更新日期)之外,Microsoft 365 群組的到期日也可以從 Microsoft Graph REST API Beta 版中取出。 expirationDateTime 已在 Microsoft Graph Beta 中啟用為群組屬性。 您可以使用 GET 要求進行抓取。 如需詳細資訊,請參閱 此範例

注意

若要在存取面板上管理群組成員資格,請在 [Azure Active Directory 群組一般] 設定中,將 [限制對存取面板中群組的存取權] 設定為 [否]。

當群組到期而被刪除時,在刪除後的 30 天之後,系統就會將來自應用程式 (例如「行事曆」、「網站」或「小組」) 的群組資料永久刪除,但是會保留法務保留中的群組信箱,而不會永久刪除。 系統管理員可以使用 Exchange Cmdlet 來還原信箱以擷取資料。

Microsoft 365 群組到期如何與保留原則搭配運作

保留原則是透過安全性 & 合規性中心進行設定。 如果您已為 Microsoft 365 群組設定保留原則,當群組到期且已刪除時,群組信箱中的群組交談和群組網站中的檔案會保留在保留的容器中,保留期原則中所定義的特定天數。 在群組到期後,使用者將看不到該群組及其內容,但可以透過電子文件探索來復原網站和信箱資料。

PowerShell 範例

以下範例說明如何使用 PowerShell Cmdlet 來設定 Azure AD 組織中 Microsoft 365 群組的到期設定:

  1. 安裝 PowerShell v2.0 模組,並在 PowerShell 提示字元中登入:

    Install-Module -Name AzureAD
    Connect-AzureAD
    
  2. 設定到期設定使用 New-AzureADMSGroupLifecyclePolicy Cmdlet,將 Azure AD 組織中所有 Microsoft 365 群組的存留期設定為365天。 沒有擁有者之 Microsoft 365 群組的更新通知將會傳送至 ' emailaddress@contoso.com '

    New-AzureADMSGroupLifecyclePolicy -GroupLifetimeInDays 365 -ManagedGroupTypes All -AlternateNotificationEmails emailaddress@contoso.com
    
  3. 取出現有的原則 get-azureadmsgrouplifecyclepolicy:此 Cmdlet 會取得已設定的目前 Microsoft 365 群組到期設定。 在此範例中,您可以看見:

    • 原則識別碼
    • Azure AD 組織中所有 Microsoft 365 群組的存留期設定為365天
    • 沒有擁有者之 Microsoft 365 群組的更新通知將會傳送至 ' emailaddress@contoso.com . '
    Get-AzureADMSGroupLifecyclePolicy
    
    ID                                    GroupLifetimeInDays ManagedGroupTypes AlternateNotificationEmails
    --                                    ------------------- ----------------- ---------------------------
    26fcc232-d1c3-4375-b68d-15c296f1f077  365                 All               emailaddress@contoso.com
    
  4. 更新現有的原則 Set-AzureADMSGroupLifecyclePolicy:此 Cmdlet 可用來更新現有的原則。 在以下範例中,現有原則中的群組存留期會從 365 天變更為 180 天。

    Set-AzureADMSGroupLifecyclePolicy -Id "26fcc232-d1c3-4375-b68d-15c296f1f077" -GroupLifetimeInDays 180 -AlternateNotificationEmails "emailaddress@contoso.com"
    
  5. 將特定群組新增至原則 Add-AzureADMSLifecyclePolicyGroup:此 Cmdlet 會將群組新增至生命週期原則。 例如:

    Add-AzureADMSLifecyclePolicyGroup -Id "26fcc232-d1c3-4375-b68d-15c296f1f077" -groupId "cffd97bd-6b91-4c4e-b553-6918a320211c"
    
  6. 移除現有的原則 get-azureadmsgrouplifecyclepolicy:此 Cmdlet 會刪除 Microsoft 365 群組到期設定,但需要原則識別碼。 此 Cmdlet 會停用 Microsoft 365 群組的到期日。

    Remove-AzureADMSGroupLifecyclePolicy -Id "26fcc232-d1c3-4375-b68d-15c296f1f077"
    

下列 Cmdlet 可用來更詳細地設定原則。 如需詳細資訊,請參閱 PowerShell 檔

  • Get-AzureADMSGroupLifecyclePolicy
  • New-AzureADMSGroupLifecyclePolicy
  • Set-AzureADMSGroupLifecyclePolicy
  • Remove-AzureADMSGroupLifecyclePolicy
  • Add-AzureADMSLifecyclePolicyGroup
  • Remove-AzureADMSLifecyclePolicyGroup
  • Reset-AzureADMSLifeCycleGroup
  • Get-AzureADMSLifecyclePolicyGroup

下一步

這些文章提供有關 Azure AD 群組的其他資訊。