Настройка политики срока действия для групп Microsoft 365

В этой статье описано, как управлять жизненным циклом групп Microsoft 365, задав для них политику срока действия. Политику истечения срока действия можно задать только для групп Microsoft 365 в идентификаторе Microsoft Entra.

После истечения срока действия группы:

  • Группы с действиями пользователей автоматически продлеваются по истечении срока действия.
  • Владельцы группы уведомляются об обновлении группы, если группа не будет автоматически восстановлена.
  • Удаляется любая группа, которая не обновляется.
  • Любая группа Microsoft 365, которая была удалена, может быть восстановлена в течение 30 дней владельцами группы или администратором.

В настоящее время можно настроить только одну политику истечения срока действия для всех групп Microsoft 365 в организации Microsoft Entra.

Примечание.

Для настройки и использования политики окончания срока действия для групп Microsoft 365 требуется обладать, но не обязательно назначать лицензии Microsoft Entra ID P1 или P2 для членов всех групп, к которым применяется политика истечения срока действия.

Сведения о том, как скачать и установить командлеты Microsoft Graph PowerShell, см. в разделе "Установка пакета SDK Для Microsoft Graph PowerShell".

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.

Автоматическое продление на основе действий

С помощью аналитики Microsoft Entra группы теперь автоматически обновляются на основе того, были ли они недавно использованы. Эта функция устраняет потребность в ручном действии владельцев групп. Он основан на действиях пользователей в группах в службах Microsoft 365, таких как Outlook, SharePoint, Teams или Yammer.

Например, владелец или член группы может сделать следующее:

  • Отправьте сообщение электронной почты в группу в Outlook.
  • Отправьте документ в SharePoint.
  • Посетите канал Teams.
  • Просмотр записи в Yammer.

В предыдущих сценариях группа автоматически обновляется примерно через 35 дней до истечения срока действия группы, и владелец не получает никаких уведомлений о продлении.

Теперь рассмотрим политику истечения срока действия, установленную таким образом, чтобы группа истекла через 30 дней бездействия. Чтобы сохранить отправку сообщения электронной почты об истечении срока действия группы (так как пока нет действия записи), Microsoft Entra сначала ожидает пять дней. Затем:

  • Если в течение этих пяти дней существует действие, политика истечения срока действия работает должным образом.
  • Если действия отсутствуют в течение пяти дней, идентификатор Microsoft Entra id отправляет сообщение об истечении срока действия или продлении.
  • Если группа неактивна в течение пяти дней, сообщение было отправлено, а затем группа была активна, Microsoft Entra autorenews он и снова начинает срок действия.

Действия, при которых срок действия группы автоматически продлевается

Следующие действия пользователя приводят к автоматическому продлению срока действия группы:

  • SharePoint: просмотр, изменение, скачивание, перемещение, совместное использование или отправка файлов.
  • Outlook: присоединение к группе, чтение или запись сообщения группы из пространства группы или "например" сообщения (в Outlook Web Access).
  • Teams: посетите канал Teams.
  • Yammer: просмотр публикации в сообществе Yammer или интерактивной электронной почты в Outlook.

Аудит и создание отчетов

Администраторы могут получить список автоматически обновляемых групп из журналов аудита действий в идентификаторе Microsoft Entra.

Снимок экрана: автоматическое продление групп на основе действий.

Роли и разрешения

Следующие роли могут настраивать и использовать срок действия для групп Microsoft 365 в идентификаторе Microsoft Entra.

Роль Разрешения
Администратор групп или администратор пользователей Может создавать, читать, обновлять и удалять параметры политики срока действия групп Microsoft 365.
Может продлить срок действия любой группы Microsoft 365.
User Может продлить срок действия группы Microsoft 365, владельцем которой является.
Может восстановить группу Microsoft 365, владельцем которой является.
Может считывать параметры политики срока действия

Дополнительные сведения о разрешениях на восстановление удаленной группы см. в разделе "Восстановление удаленной группы Microsoft 365" в идентификаторе Microsoft Entra ID.

Настройка срока действия группы

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

  2. Выберите Microsoft Entra ID.

  3. Выберите группы>"Все группы" и выберите "Срок действия ", чтобы открыть параметры окончания срока действия.

    Снимок экрана: параметры окончания срока действия для групп.

  4. На странице Срок действия можно сделать следующее:

    • Задать время существования группы в днях. Вы можете выбрать одно из предустановленных значений или пользовательское значение. Это должно быть 30 дней или более.
    • Укажите адрес электронной почты, в котором отправляются уведомления о продлении и истечении срока действия, когда у группы нет владельца.
    • Выбрать, срок действия каких групп Microsoft 365 может истечь. Срок действия можно задать для:
      • Все группы Microsoft 365.
      • Выбранные группы Microsoft 365.
      • Нет ограничений срока действия для всех групп.
    • По завершении сохраните параметры, нажав кнопку Сохранить.

Примечание.

  • Когда вы впервые настраиваете срок действия, для всех групп, которые существуют дольше периода срока действия, назначается срок действия в 35 дней, если только группа не будет продлена автоматически или владельцем.
  • Когда динамическая группа удаляется и восстанавливается, она рассматривается как новая группа и повторяется в соответствии с правилом. Этот процесс может занять до 24 часов.
  • Уведомления об истечении срока действия групп, используемых в Teams, отображаются в канале владельцев Teams.
  • При включении срока действия для выбранных групп в список можно добавить до 500 групп. Если нужно добавить более 500 групп, можно включить срок действия для всех групп. В этом случае ограничение на их число не применяется.
  • Группы не обновляются немедленно, когда происходит автоматическое продление действий. В случае действия флаг помещается в группу, чтобы указать, что она готова к продлению, когда истек срок действия. Если группа близка к истечении срока действия, продление происходит в течение 24 часов.

Уведомления по электронной почте

Если группы не обновляются автоматически, Уведомления по электронной почте, как показано в следующем примере, отправляются владельцам групп Microsoft 365 30 дней, 15 дней и 1 день до истечения срока действия группы.

Предпочитаемый язык владельца групп или язык Microsoft Entra определяет язык электронной почты. Если владелец группы определил предпочтительный язык или несколько владельцев имеют один и тот же предпочтительный язык, используется этот язык. Во всех остальных случаях используется параметр языка Microsoft Entra.

Снимок экрана: срок действия Уведомления по электронной почте.

С помощью уведомления по электронной почте о продлении срока действия группы владельцы группы могут непосредственно перейти на страницу сведений о группе на Панели доступа. Там пользователи могут получить дополнительные сведения о группе, например ее описание, когда она была последней продленной, когда срок действия истекает, а также возможность продлить группу. На странице сведений о группе теперь также содержатся ссылки на ресурсы группы Microsoft 365, чтобы владелец группы мог удобно просматривать содержимое и действия в своей группе.

Внимание

Если возникла проблема с уведомлениями, и они не отправляются или не отложены, убедитесь, что корпорация Майкрософт никогда не удаляет группу до отправки последнего сообщения электронной почты.

Через день после истечения срока действия группы она удаляется. Владельцам групп Microsoft 365 отправляется уведомление по электронной почте, похожее на приведенное ниже, в котором сообщается об истечении срока действия и последующем удалении их группы Microsoft 365.

Снимок экрана: Уведомления по электронной почте удаления группы.

Вы можете восстановить группу в течение 30 дней после ее удаления, выбрав команду "Восстановить группу " или с помощью командлетов PowerShell. Дополнительные сведения см. в разделе "Восстановление удаленной группы Microsoft 365" в идентификаторе Microsoft Entra ID. Период восстановления группы 30 дней не настраивается.

Если восстанавливаемая группа содержит документы, сайты SharePoint или другие постоянные объекты, полное восстановление группы и ее содержимого может занять до 24 часов.

Получение даты окончания срока действия группы Microsoft 365

Помимо использования Панель доступа для просмотра сведений о группе, таких как дата окончания срока действия и дата последнего продления, можно получить дату окончания срока действия группы Microsoft 365 из бета-версии REST API Microsoft Graph. Свойство expirationDateTime группы включено в бета-версии Microsoft Graph. Его можно получить с помощью запроса GET. Дополнительные сведения см . в этом примере.

Примечание.

Чтобы управлять членством в группах в Панель доступа, необходимо задать для ограничения доступа к группам в Панель доступа значение "Нет" в параметре "Общие группы Microsoft Entra".

Когда срок действия группы истекает и удаляется, 30 дней после удаления данных группы из таких приложений, как Планировщик, сайты или Teams, окончательно удаляются. Почтовый ящик группы, который находится в юридическом удержании, сохраняется и не удаляется безвозвратно. Администратор может использовать командлеты Exchange, чтобы восстановить почтовый ящик для выборки данных.

Срок действия группы Microsoft 365 с политикой хранения

Политику хранения можно настроить на портале безопасности и соответствия требованиям. Там можно настроить политику хранения для групп Microsoft 365. Когда срок действия группы истекает и удаляется, беседы группы в почтовом ящике группы и файлах на сайте группы сохраняются в контейнере хранения для определенного количества дней, определенных в политике хранения. Пользователи не увидят группу или его содержимое после истечения срока действия. Они могут восстановить данные сайта и почтового ящика с помощью обнаружения электронных данных.

Примеры для PowerShell

Ниже приведены примеры использования командлетов PowerShell для настройки параметров окончания срока действия для групп Microsoft 365 в организации Microsoft Entra:

  1. Установите модуль Microsoft Graph PowerShell и войдите в запрос PowerShell.

    Install-Module Microsoft.Graph -Scope CurrentUser
    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    
  2. Настройте параметры срока действия. Используйте командлет New-MgGroupLifecyclePolicy, чтобы задать время существования всех групп Microsoft 365 в организации Microsoft Entra на 365 дней. Уведомления о продлении для групп Microsoft 365 без владельцев отправляются emailaddress@contoso.comв .

    New-MgGroupLifecyclePolicy -AlternateNotificationEmails emailaddress@contoso.com `
       -GroupLifetimeInDays 365 -ManagedGroupTypes All
    
  3. Получите существующую политику с помощью Get-MgGroupLifecyclePolicy. Этот командлет извлекает текущие параметры срока действия группы Microsoft 365, настроенные.

    Get-MgGroupLifecyclePolicy
    

    В этом примере отображается следующее:

    • Идентификатор политики.
    • Уведомления о продлении для групп Microsoft 365 без владельцев отправляются emailaddress@contoso.comв .
    • Время существования всех групп Microsoft 365 в организации Microsoft Entra составляет 365 дней.
    Id                                   AlternateNotificationEmails GroupLifetimeInDays ManagedGroupTypes
    --                                   --------------------------- ------------------- -----------------
    1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5 emailaddress@contoso.com    365                 All
    
  4. Обновите существующую политику с помощью Update-MgGroupLifecyclePolicy. Этот командлет используется для обновления существующей политики. В следующем примере время существования группы в существующей политике изменяется с 365 дней до 180 дней.

    Update-MgGroupLifecyclePolicy -GroupLifecyclePolicyId "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5" -GroupLifetimeInDays 180 -AlternateNotificationEmails "emailaddress@contoso.com"
    
  5. Добавьте определенные группы в политику с помощью Add-MgGroupToLifecyclePolicy. Этот командлет добавляет группу в политику жизненного цикла. Например:

    Add-MgGroupToLifecyclePolicy -GroupLifecyclePolicyId "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5" -GroupId "cffd97bd-6b91-4c4e-b553-6918a320211c"
    
  6. Удалите существующую политику с помощью Remove-MgGroupLifecyclePolicy. Этот командлет удаляет параметры истечения срока действия группы Microsoft 365, но требует идентификатор политики. Этот командлет отключает срок действия для групп Microsoft 365.

    Remove-MgGroupLifecyclePolicy -GroupLifecyclePolicyId "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5"
    

Для более подробной настройки политики можно использовать следующие командлеты. Дополнительные сведения см . в документации по Microsoft Graph PowerShell.

Следующие шаги

Дополнительные сведения о группах Microsoft Entra см. в следующих статье: