Konfigurieren von Gruppeneinstellungen mit PowerShell

Artikel
02/28/2024

Dieser Artikel enthält Anweisungen zur Verwendung von PowerShell-Cmdlets zum Erstellen und Aktualisieren von Gruppen in Microsoft Entra ID, einem Teil von Microsoft Entra. Dieser Inhalt gilt nur für Microsoft365-Gruppen (manchmal auch als „einheitliche Gruppen“ bezeichnet).

Wichtig

Für einige Einstellungen ist eine Microsoft Entra-ID P1-Lizenz erforderlich. Weitere Informationen finden Sie in der Tabelle Vorlageneinstellungen.

Um Benutzer ohne Administratorrechte am Erstellen von Sicherheitsgruppen zu hindern, legen Sie die Eigenschaft AllowedToCreateSecurityGroups wie unter Update-MgPolicyAuthorizationPolicy beschrieben auf „False“ fest.

Microsoft365-Gruppeneinstellungen werden mithilfe eines „Settings“- und eines „SettingsTemplate“-Objekts konfiguriert. Zu Beginn werden keine Einstellungsobjekte in Ihrem Verzeichnis angezeigt, da Ihr Verzeichnis mit den Standardeinstellungen konfiguriert ist. Um die Standardeinstellungen zu ändern, erstellen Sie mithilfe einer Einstellungsvorlage ein neues Einstellungsobjekt. Einstellungsvorlagen werden von Microsoft definiert. Es werden verschiedene Einstellungsvorlagen unterstützt. Zum Konfigurieren von Microsoft365-Gruppeneinstellungen für Ihr Verzeichnis verwenden Sie die Vorlage „Group.Unified“. Zum Konfigurieren von Microsoft365-Gruppeneinstellungen für eine einzelne Gruppe verwenden Sie die Vorlage „Group.Unified.Guest“. Diese Vorlage dient zum Verwalten des Gastzugriffs auf eine Microsoft365-Gruppe.

Die Cmdlets sind Bestandteil des Microsoft Graph PowerShell-Moduls. Anweisungen zum Herunterladen und Installieren des Moduls auf Ihrem Computer finden Sie unter Installieren des Microsoft Graph PowerShell SDK.

Hinweis

AzureAD- und MSOnline PowerShell-Module sind ab dem 30.März2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30.März2025.

Es wird empfohlen, für die Interaktion mit Microsoft EntraID (früher AzureAD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version1.0.x von MSOnline können nach dem 30.Juni2024 Unterbrechungen auftreten.

Hinweis

Installieren von PowerShell-Cmdlets

Installieren Sie die Microsoft Graph-Cmdlets wie unter Installieren des Microsoft Graph PowerShellSDK beschrieben.

Führen Sie die Windows PowerShell-App als Administrator aus.

Installieren Sie die Microsoft Graph-Cmdlets.

Install-Module Microsoft.Graph -Scope AllUsers

Installieren Sie die Microsoft Graph Beta-Cmdlets.

Install-Module Microsoft.Graph.Beta -Scope AllUsers

Erstellen von Einstellungen auf Verzeichnisebene

Mit diesen Schritten werden Einstellungen auf Verzeichnisebene erstellt, die für alle Microsoft365-Gruppen im Verzeichnis gelten.

In den DirectorySettings-Cmdlets müssen Sie die ID des SettingsTemplate-Objekts angeben, das Sie verwenden möchten. Wenn Sie diese ID nicht kennen, gibt dieses Cmdlet die Liste aller Einstellungsvorlagen zurück:

Get-MgBetaDirectorySettingTemplate

Bei Aufruf dieses Cmdlets werden alle verfügbaren Vorlagen zurückgegeben:

Id DisplayName Description-- ----------- -----------62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified ...08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group16933506-8a8d-4f0d-ad58-e1db05a5b929 Company.BuiltIn Setting templates define the different settings that can be used for the associ...4bc7f740-180e-4586-adb6-38b2e9024e6b Application...898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...

Um eine URL zu Nutzungsrichtlinien hinzuzufügen, müssen Sie zunächst das SettingsTemplate-Objekt abrufen, das den Wert für die Nutzungsrichtlinien-URL definiert, also die Group.Unified-Vorlage:
```
$TemplateId = (Get-MgBetaDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ
```
Erstellen Sie ein Objekt, das Werte enthält, die für die Verzeichniseinstellung verwendet werden sollen. Diese Werte ändern den Wert für die Verwendungsrichtlinie und aktivieren Vertraulichkeitsbezeichnungen. Legen Sie nach Bedarf diese oder eine andere Einstellung in der Vorlage fest:
```
$params = @{ templateId = "$TemplateId" values = @( @{ name = "UsageGuidelinesUrl" value = "https://guideline.example.com" } @{ name = "EnableMIPLabels" value = "True" } )}
```
Erstellen Sie die Verzeichniseinstellung mithilfe von New-MgBetaDirectorySetting:
```
New-MgBetaDirectorySetting -BodyParameter $params
```

Sie können die Werte mit den folgenden Befehlen lesen:

$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}$Setting.Values

Aktualisieren von Einstellungen auf Verzeichnisebene

Um den Wert für UsageGuideLinesUrl in der Vorlage mit den Einstellungen zu aktualisieren, lesen Sie die aktuellen Einstellungen aus Microsoft Entra ID. Andernfalls kann dazu kommen, dass auch andere vorhandene Einstellungen außer UsageGuideLinesUrl überschrieben werden.

Rufen Sie die aktuellen Einstellungen aus Group.Unified SettingsTemplate ab:

$Setting = Get-MgBetaDirectorySetting | where { $_.DisplayName -eq "Group.Unified"}

Überprüfen Sie die aktuellen Einstellungen:

Vorlageneinstellungen

Folgende Einstellungen sind im SettingsTemplate-Objekt „Group.Unified“ definiert. Sofern nicht anders angegeben, erfordern diese Features eine Microsoft Entra-ID P1-Lizenz.

Einstellung	Beschreibung
EnableGroupCreation Typ: Boolean Standardwert: True	Das Flag, das angibt, ob die Erstellung von Microsoft365-Gruppen im Verzeichnis durch Benutzer ohne Administratorrechte zulässig ist. Für diese Einstellung ist keine Microsoft Entra ID P1-Lizenz erforderlich.
GroupCreationAllowedGroupId Typ: String Standardeinstellung: ""	GUID der Sicherheitsgruppe, deren Mitgliedern das Erstellen von Microsoft365-Gruppen auch dann erlaubt ist, wenn der EnableGroupCreation-Wert „false“ lautet.
UsageGuidelinesUrl Typ: String Standardeinstellung: ""	Ein Link zu den Nutzungsrichtlinien für die Gruppe.
ClassificationDescriptions Typ: String Standardeinstellung: ""	Eine durch Trennzeichen getrennte Liste mit Klassifizierungsbeschreibungen. Der Wert von ClassificationDescriptions ist nur in folgendem Format gültig: $setting["ClassificationDescriptions"] ="Classification:Description,Classification:Description" wobei Classification mit einem Eintrag in ClassificationList übereinstimmt. Diese Einstellung gilt nicht, wenn der EnableMIPLabels-Wert „True“ lautet. Das Zeichenlimit für die ClassificationDescriptions-Eigenschaft beträgt 300, und Kommas können nicht mit Escapezeichen versehen werden.
DefaultClassification Typ: String Standardeinstellung: ""	Die Klassifizierung, die als Standardklassifizierung einer Gruppe verwendet werden soll, falls keine angegeben wurde. Diese Einstellung gilt nicht, wenn der EnableMIPLabels-Wert „True“ lautet.
PrefixSuffixNamingRequirement Typ: String Standardeinstellung: ""	Zeichenfolge mit einer maximalen Länge von 64Zeichen, mit der die für Microsoft365-Gruppen konfigurierte Namenskonvention definiert wird. Weitere Informationen finden Sie unter Erzwingen einer Benennungsrichtlinie für Microsoft365-Gruppen.
CustomBlockedWordsList Typ: String Standardeinstellung: ""	Eine durch Trennzeichen getrennte Zeichenfolge mit Ausdrücken, deren Verwendung in Gruppennamen oder -aliasen nicht gestattet ist. Weitere Informationen finden Sie unter Erzwingen einer Benennungsrichtlinie für Microsoft365-Gruppen.
EnableMSStandardBlockedWords Typ: Boolean Standardwert: „False“	Veraltet. Nicht verwenden.
AllowGuestsToBeGroupOwner Typ: Boolean Standardwert: False	Boolescher Wert, der angibt, ob ein Gastbenutzer Besitzer von Gruppen sein kann.
AllowGuestsToAccessGroups Typ: Boolean Standardwert: True	Boolescher Wert, der angibt, ob ein Gastbenutzer Zugriff auf die Inhalte von Microsoft365-Gruppen hat. Für diese Einstellung ist keine Microsoft Entra ID P1-Lizenz erforderlich.
GuestUsageGuidelinesUrl Typ: String Standardeinstellung: ""	Die URL eines Links zu den Richtlinien für die Nutzung des Gastzugangs
AllowToAddGuests Typ: Boolean Standardwert: True	Ein boolescher Wert, der angibt, ob das Hinzufügen von Gästen zu diesem Verzeichnis erlaubt ist. Diese Einstellung kann außer Kraft gesetzt und schreibgeschützt werden, wenn EnableMIPLabels auf True festgelegt ist und der der Gruppe zugeordneten Vertraulichkeitsbezeichnung eine Gastrichtlinie zugeordnet ist. Wenn die Einstellung AllowToAddGuests auf Organisationsebene auf FALSE festgelegt ist, wird jede AllowToAddGuest-Einstellung auf Gruppenebene ignoriert. Wenn Sie den Gastzugriff nur für einige wenige Gruppen aktivieren möchten, müssen Sie AllowToAddGuests auf Organisationsebene auf TRUE festlegen und dann für bestimmte Gruppen selektiv deaktivieren.
ClassificationList Typ: String Standardeinstellung: ""	Eine durch Trennzeichen getrennte Liste der gültigen Klassifizierungswerte, die auf Microsoft365-Gruppen angewendet werden können. Diese Einstellung gilt nicht, wenn der EnableMIPLabels-Wert „True“ lautet.
EnableMIPLabels Typ: Boolean Standardwert: „False“	Das Flag, das angibt, ob die im MicrosoftPurview-Complianceportal veröffentlichten Vertraulichkeitsbezeichnungen auf Microsoft365-Gruppen angewendet werden können. Weitere Informationen finden Sie unter Zuweisen von Vertraulichkeitsbezeichnungen für Microsoft365-Gruppen.
NewUnifiedGroupWritebackDefault Typ: Boolean Standard: TRUE	Das Flag, mit dem ein Administrator neue Microsoft 365-Gruppen erstellen kann, ohne den Ressourcentyp „groupWritebackConfiguration“ in den Anforderungsnutzdaten festzulegen. Diese Einstellung gilt, wenn Gruppenrückschreiben in Microsoft Entra Connect konfiguriert ist. „NewUnifiedGroupWritebackDefault“ ist eine globale Microsoft 365-Gruppeneinstellung. Der Standardwert ist true. Durch Aktualisieren des Einstellungswerts auf FALSE ändert sich das Standardrückschreibungsverhalten für neu erstellte Microsoft 365-Gruppen. Der Wert der Eigenschaft „isEnabled“ ändert sich für vorhandene Microsoft 365-Gruppen hingegen nicht. Der Gruppenadministrator muss den Wert der Eigenschaft „isEnabled“ der Gruppe explizit aktualisieren, um den Rückschreibungsstatus für vorhandene Microsoft 365-Gruppen zu ändern.

Beispiel: Konfigurieren einer Gastrichtlinie für Gruppen auf Verzeichnisebene

Rufen Sie alle Einstellungsvorlagen ab:
```
Get-MgBetaDirectorySettingTemplate
```

Um die Gastrichtlinie für Gruppen auf Verzeichnisebene festzulegen, benötigen Sie die Vorlage „Group.Unified“.

$Template = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "62375ab9-6b52-47ed-826b-58e47e0e304b" -EQ

Legen Sie einen Wert für „AllowToAddGuests“ für die angegebene Vorlage fest:

$params = @{ templateId = "62375ab9-6b52-47ed-826b-58e47e0e304b" values = @( @{ name = "AllowToAddGuests" value = "False" } )}

Erstellen Sie als Nächstes ein neues Einstellungsobjekt mithilfe des Cmdlets New-MgBetaDirectorySetting:
```
$Setting = New-MgBetaDirectorySetting -BodyParameter $params
```
Sie können die Werte lesen mithilfe von:
```
$Setting.Values
```

Lesen von Einstellungen auf Verzeichnisebene

Wenn Sie den Namen der Einstellung kennen, die Sie abrufen möchten, können Sie das untenstehende Cmdlet verwenden, um den aktuellen Einstellungswert abzurufen. In diesem Beispiel rufen wir den Wert für eine Einstellung namens „UsageGuidelinesUrl“ ab.

(Get-MgBetaDirectorySetting).Values | where -Property Name -Value UsageGuidelinesUrl -EQ

Mit diesen Schritten werden auf Verzeichnisebene Einstellungen gelesen, die für alle Office-Gruppen im Verzeichnis gelten.

Lesen aller vorhandenen Verzeichniseinstellungen:

Get-MgBetaDirectorySetting -All

Dieses Cmdlet gibt eine Liste aller Verzeichniseinstellungen zurück:

Id DisplayName TemplateId Values-- ----------- ---------- ------c391b57d-5783-4c53-9236-cefb5c6ef323 Group.Unified 62375ab9-6b52-47ed-826b-58e47e0e304b {class SettingValue {...

Lesen aller Einstellungen für eine bestimmte Gruppe:

Get-MgBetaGroupSetting -GroupId "ab6a3887-776a-4db7-9da4-ea2b0d63c504"

Lesen aller Werte von Verzeichniseinstellungen für ein bestimmtes Verzeichniseinstellungsobjekt mithilfe der Einstellungs-ID „GUID“:

(Get-MgBetaDirectorySetting -DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323").values

Dieses Cmdlet gibt die Namen und Werte in diesem Einstellungsobjekt für diese spezielle Gruppe zurück:

Name Value---- -----ClassificationDescriptionsDefaultClassificationPrefixSuffixNamingRequirementCustomBlockedWordsList AllowGuestsToBeGroupOwner False AllowGuestsToAccessGroups TrueGuestUsageGuidelinesUrlGroupCreationAllowedGroupIdAllowToAddGuests TrueUsageGuidelinesUrl https://guideline.example.comClassificationListEnableGroupCreation True

Entfernen von Einstellungen auf Verzeichnisebene

Mit diesen Schritten werden auf Verzeichnisebene Einstellungen entfernt, die für alle Office-Gruppen im Verzeichnis gelten.

Remove-MgBetaDirectorySetting –DirectorySettingId "c391b57d-5783-4c53-9236-cefb5c6ef323c"

Erstellen von Einstellungen für eine bestimmte Gruppe

Rufen Sie die Einstellungsvorlagen ab.
```
Get-MgBetaDirectorySettingTemplate
```

Suchen Sie in den Ergebnissen die Einstellungsvorlage mit dem Namen „Groups.Unified.Guest“.

Id DisplayName Description-- ----------- -----------62375ab9-6b52-47ed-826b-58e47e0e304b Group.Unified ...08d542b9-071f-4e16-94b0-74abb372e3d9 Group.Unified.Guest Settings for a specific Microsoft 365 group4bc7f740-180e-4586-adb6-38b2e9024e6b Application ...898f1161-d651-43d1-805c-3b0b388a9fc2 Custom Policy Settings ...5cf42378-d67d-4f36-ba46-e8b86229381d Password Rule Settings ...

Abrufen des Vorlagenobjekts für die Vorlage „Groups.Unified.Guest“:

$Template1 = Get-MgBetaDirectorySettingTemplate | where -Property Id -Value "08d542b9-071f-4e16-94b0-74abb372e3d9" -EQ

Rufen Sie die ID der Gruppe ab, auf die Sie diese Einstellung anwenden möchten:
```
$GroupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
```

Erstellen Sie die neue Einstellung:

$params = @{ templateId = "08d542b9-071f-4e16-94b0-74abb372e3d9" values = @( @{ name = "AllowToAddGuests" value = "False" } )}

Erstellen Sie die Gruppeneinstellung:

New-MgBetaGroupSetting -GroupId $GroupId -BodyParameter $params

Um die Einstellungen zu überprüfen, führen Sie diesen Befehl aus:
```
Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
```

Aktualisieren von Einstellungen für eine bestimmte Gruppe

Rufen Sie die ID der Gruppe ab, deren Einstellung Sie aktualisieren möchten:
```
$groupId = (Get-MgGroup -Filter "DisplayName eq '<YourGroupName>'").Id
```

Rufen Sie die Einstellung der Gruppe ab:

$Setting = Get-MgBetaGroupSetting -GroupId $GroupId

Aktualisieren Sie die Einstellung der Gruppe nach Bedarf:

$params = @{ values = @( @{ name = "AllowToAddGuests" value = "True" } )}

Anschließend können Sie den neuen Wert für diese Einstellung festlegen:

Update-MgBetaGroupSetting -DirectorySettingId $Setting.Id -GroupId $GroupId -BodyParameter $params

Sie können den Wert der Einstellung lesen, um sicherzustellen, dass er ordnungsgemäß aktualisiert wurde:
```
Get-MgBetaGroupSetting -GroupId $GroupId | FL Values
```

Referenz der Cmdletsyntax

Weitere Informationen zu Microsoft Graph PowerShell finden Sie unter Microsoft Entra-Cmdlets.

Verwalten von Gruppeneinstellungen mithilfe von Microsoft Graph

Informationen zum Konfigurieren und Verwalten von Gruppeneinstellungen mithilfe von Microsoft Graph finden Sie unter groupSettingRessourcentyp und den zugehörigen Methoden.

Zusätzliche Lektüre

Verwalten des Zugriffs auf Ressourcen mit Microsoft Entra-Gruppen
Integrieren Ihrer lokalen Identitäten mit Microsoft EntraID

Konfigurieren von Gruppeneinstellungen mit PowerShell - Microsoft Entra ID (2024)