Принудительное применение политики именования в группах Microsoft 365 в идентификаторе Microsoft Entra

Чтобы применить согласованные соглашения об именовании для групп Microsoft 365, созданных или редактируемых пользователями, настройте политику именования групп для организаций в идентификаторе Microsoft Entra. Например, можно использовать политику именования для обмена данными о функции группы, членства, географического региона или человека, создавшего группу. Можно также использовать политику именования, чтобы классифицировать группы в адресной книге. Политику можно использовать для запрещения конкретных слов в именах и псевдонимах групп.

Внимание

Использование политики именования идентификаторов Microsoft Entra для групп Microsoft 365 требует наличия, но не обязательно назначьте лицензию Microsoft Entra ID P1 или лицензию Microsoft Entra Basic EDU для каждого уникального пользователя, являющегося членом одной или нескольких групп Microsoft 365.

Политика именования применяется к созданию или редактированию групп, созданных в рабочих нагрузках, например Outlook, Microsoft Teams, SharePoint, Exchange или Планировщику, даже если изменения не вносятся. Он применяется как к имени группы, так и к псевдониму группы. Если вы настроили политику именования в идентификаторе Microsoft Entra ID и имеете существующую политику именования групп Exchange, политика именования идентификаторов Microsoft Entra применяется в вашей организации.

При настройке политики именования групп политика применяется к новым группам Microsoft 365, созданным пользователями. Политика именования не применяется к определенным ролям каталога, таким как глобальный администратор или администратор пользователей. (Полный список ролей, исключенных из политики именования групп, см. в разделе "Роли и разрешения". Для существующих групп Microsoft 365 политика не применяется сразу во время настройки. После изменения имени группы для этих групп применяется политика именования, даже если изменения не внесены.

Возможности политики именования

Политику именования для групп можно применять двумя разными способами:

  • Политика именования префикса-суффикса: вы можете определить префиксы или суффиксы, которые затем добавляются автоматически для применения соглашения об именовании в группах. Например, в имени GRP_JAPAN_My Group_Engineeringгруппы префикс равен GRP_JAPAN_ суффиксу _Engineering.
  • Пользовательские заблокированные слова: вы можете отправить набор заблокированных слов, относящихся к вашей организации, для блокировки в группах, созданных пользователями. Например, можно использовать Payroll,CEO,HR.

Политика добавления префикса или суффикса

Общая структура соглашения об именовании .Prefix[GroupName]Suffix Хотя можно определить несколько префиксов и суффиксов, в параметре может быть только один экземпляр [GroupName] . Префиксы или суффиксы могут быть либо фиксированными строками, либо атрибутами пользователя, например [Department], заменяющимися на основе пользователя, создающего группу. Общее допустимое число символов для строк префикса и суффикса, включая имя группы, равно 63 символам.

Префиксы и суффиксы могут содержать специальные символы, поддерживаемые в имени группы и псевдониме группы. Все символы префикса или суффикса, которые не поддерживаются в псевдониме группы, по-прежнему применяются в имени группы, но удалены из псевдонима группы. Из-за этого ограничения префиксы и суффиксы, применяемые к имени группы, могут отличаться от тех, которые применяются к ее псевдониму.

Фиксированные строки

Строки можно использовать, чтобы упростить проверку и различать группы в глобальном списке адресов, а также в левой области навигации, содержащей ссылки на рабочие нагрузки групп. Некоторые распространенные префиксы являются ключевыми словами, такими как Grp_Name, #Nameи _Name.

Атрибуты пользователя

Вы можете использовать атрибуты, которые помогут вам и пользователям определить отдел, офис или географический регион, для которого была создана группа. Например, если вы определяете политику именования как PrefixSuffixNamingRequirement = "GRP [GroupName] [Department]" и, то принудительное имя группы может быть "GRP My Group Engineering." поддерживаемым атрибутами \[Department\]Microsoft Entra: , , \[Office\]\[Company\], \[StateOrProvince\]и \[CountryOrRegion\]\[Title\].User's department = Engineering Неподдерживаемые атрибуты пользователя обрабатываются как фиксированные строки. Например, "\[postalCode\]". Атрибуты расширения и настраиваемые атрибуты не поддерживаются.

Рекомендуется использовать атрибуты, которые имеют значения, указанные для всех пользователей в вашей организации, и не использовать атрибуты с длинными значениями.

Настраиваемые запрещенные слова

Список запрещенных слов — это список разделенных запятыми фраз, которые запрещены в именах и псевдонимах групп. Поиск подстроки не выполняется. Для активации сбоя требуется, чтобы имя группы точно содержало одно или несколько настраиваемых запрещенных слов. Поиск подстроки не выполняется так, чтобы пользователи могли использовать распространенные слова, такие как Class, даже если "lass" является заблокированным словом.

Правила списка запрещенных слов:

  • Заблокированные слова не учитывает регистр.
  • Когда пользователь вводит запрещенное слово в имени группы, отображается сообщение об ошибке, содержащее запрещенное слово.
  • Ограничения знаков в запрещенных словах отсутствуют.
  • Существует верхний предел в 5000 фраз, которые можно настроить в списке заблокированных слов.

Роли и разрешения

Чтобы настроить политику именования, требуется одна из следующих ролей:

  • Глобальный администратор
  • Администратор группы
  • Редактор каталогов

Некоторые роли администратора исключены из этих политик во всех рабочих нагрузках и конечных точках группы, чтобы они могли создавать группы с помощью заблокированных слов и с собственными соглашениями об именовании. Ниже приведен список ролей администратора, исключенных из политики именования групп.

  • Глобальный администратор
  • Администратор пользователей

Настройка политики именования

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор группы.

  2. Выберите Microsoft Entra ID.

  3. Выберите все группы и> выберите политику именования, чтобы открыть страницу политики именования.

    Снимок экрана: открытие страницы политики именования в Центре администрирования.

Просмотр или изменение политики добавления префикса или суффикса

  1. На странице Политика именования выберите Политика именования групп.
  2. Текущие политики изменения префикса или суффикса можно просматривать и изменять по отдельности, выбрав атрибуты или строки, которые необходимо применить в рамках политики именования.
  3. Чтобы удалить префикс или суффикс из списка, выберите префикс или суффикс, а затем нажмите кнопку "Удалить". Одновременно можно удалить несколько элементов.
  4. Сохраните изменения в новой политике, чтобы они вступили в силу, нажав кнопку Сохранить.

Редактирование настраиваемых запрещенных слов

  1. На странице Политика именования выберите Заблокированные слова.

    Снимок экрана: редактирование и отправка списка заблокированных слов для политики именования.

  2. Для просмотра или изменения текущего списка настраиваемых запрещенных слов выберите Загрузить. Необходимо добавить новые записи в существующие записи.

  3. Отправьте новый список настраиваемых заблокированных слов, выбрав значок файла .

  4. Сохраните изменения в новой политике, чтобы они вступили в силу, нажав кнопку Сохранить.

Установка командлетов PowerShell

Установите командлеты Microsoft Graph, как описано в разделе "Установка пакета SDK Microsoft Graph PowerShell".

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.

  1. Запустите приложение Windows PowerShell от имени администратора.

  2. Установите командлеты Microsoft Graph.

    Install-Module Microsoft.Graph -Scope AllUsers
    
  3. Установите бета-командлеты Microsoft Graph.

    Install-Module Microsoft.Graph.Beta -Scope AllUsers
    

Настройка политики именования в PowerShell

  1. Откройте окно Windows PowerShell на компьютере. Его можно открыть без более высокого уровня привилегий.

  2. Выполните следующую команду, чтобы подготовиться к выполнению командлетов.

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    

    На открывшемся экране входа в учетную запись введите учетную запись администратора и пароль для подключения к службе.

  3. Выполните действия, описанные в командлетах Microsoft Entra, чтобы настроить параметры группы для создания параметров группы для этой организации.

Просмотр текущих параметров

  1. Получите текущую политику именования, чтобы просмотреть действующие настройки.

    $Setting = Get-MgBetaDirectorySetting -DirectorySettingId (Get-MgBetaDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
    
  2. Отобразите на экране текущие параметры групп.

    $Setting.Values
    

Установка политики именования и настраиваемых запрещенных слов

  1. Получите параметр.

    $Setting = Get-MgBetaDirectorySetting -DirectorySettingId (Get-MgBetaDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
    
  2. Задайте префиксы имени группы и суффиксы. Для правильной [GroupName] работы функции необходимо включить в параметр. Кроме того, задайте настраиваемые заблокированные слова, которые нужно ограничить.

    $params = @{
       values = @(
          @{
             name = "PrefixSuffixNamingRequirement"
             value = "GRP_[GroupName]_[Department]"
          }
          @{
             name = "CustomBlockedWordsList"
             value = "Payroll,CEO,HR"
          }
       )
    }
    
  3. Обновите параметры новой политики, чтобы она вступила в силу, как показано в следующем примере.

    Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params
    

Вот и все. Вы задали политику именования и добавили заблокированные слова.

Экспорт или импорт настраиваемых заблокированных слов

Дополнительные сведения см . в командлетах Microsoft Entra для настройки параметров группы.

Ниже приведен пример скрипта PowerShell для экспорта нескольких заблокированных слов.

$Words = (Get-MgBetaDirectorySetting).Values | where -Property Name -Value CustomBlockedWordsList -EQ 
Add-Content "c:\work\currentblockedwordslist.txt" -Value $Words.value.Split(",").Replace("`"","")

Ниже приведен пример скрипта PowerShell для импорта нескольких заблокированных слов.

$BadWords = Get-Content "C:\work\currentblockedwordslist.txt"
$BadWords = [string]::join(",", $BadWords)
$Setting = Get-MgBetaDirectorySetting | where {$_.DisplayName -eq "Group.Unified"}
if ($Setting.Count -eq 0) {
   $Template = Get-MgBetaDirectorySettingTemplate | where {$_.DisplayName -eq "Group.Unified"}
   $Params = @{ templateId = $Template.Id }
   $Setting = New-MgBetaDirectorySetting -BodyParameter $Params 
   }
$params = @{
   values = @(
      @{
         name = "PrefixSuffixNamingRequirement"
         value = "GRP_[GroupName]_[Department]"
      }
      @{
         name = "CustomBlockedWordsList"
         value = "$BadWords"
      }
   )
}
Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params

Удаление политики именования

Для удаления политики именования можно использовать портал Azure или Microsoft Graph PowerShell.

Удаление политики именования с помощью портал Azure

  1. На странице Политика именования выберите Удалить политику.
  2. После подтверждения удаления политика именования удаляется, включая все политики именования префикса-суффикса и любые пользовательские заблокированные слова.

Удаление политики именования с помощью Microsoft Graph PowerShell

  1. Получите параметр.

    $Setting = Get-MgBetaDirectorySetting -DirectorySettingId (Get-MgBetaDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
    
  2. Опустите префиксы имени группы и суффиксы. Удалите настраиваемые запрещенные слова

    $params = @{
       values = @(
          @{
             name = "PrefixSuffixNamingRequirement"
             value = ""
          }
          @{
             name = "CustomBlockedWordsList"
             value = ""
          }
       )
    }
    
  3. Обновите параметр.

    Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params
    

Работа в приложениях Microsoft 365

После установки политики именования групп в идентификаторе Microsoft Entra, когда пользователь создает группу в приложении Microsoft 365, они видят следующее:

  • Предварительная версия имени в соответствии с политикой именования (с префиксами и суффиксами) как только пользователь вводит имя группы.
  • Если пользователь вводит заблокированные слова, он увидит сообщение об ошибке, чтобы удалить заблокированные слова.
Рабочая нагрузка Соответствие нормативным требованиям
Портал Azure На портале портал Azure и на портале Панель доступа отображается принудительное имя политики именования, когда пользователь вводит имя группы при создании или редактировании группы. Когда пользователь вводит пользовательское заблокированное слово, появится сообщение об ошибке с заблокированным словом, чтобы пользователь смог удалить его.
Outlook Web Access (OWA) Outlook Web Access отображает принудительное имя политики именования, когда пользователь вводит имя группы или псевдоним группы. Когда пользователь вводит пользовательское заблокированное слово, в пользовательском интерфейсе появится сообщение об ошибке вместе с заблокированным словом, чтобы пользователь смог удалить его.
Рабочий стол Outlook Группы, созданные в классическом приложении Outlook, соответствуют параметрам политики именования. Классическое приложение Outlook пока не отображает предварительную версию принудительного имени группы и не возвращает пользовательские ошибки заблокированного слова, когда пользователь вводит имя группы. Однако политика именования автоматически применяется при создании или изменении группы пользователем. Пользователи видят сообщения об ошибках, если в имени группы или псевдониме есть пользовательские заблокированные слова.
Microsoft Teams В Microsoft Teams отображается принудительное имя политики именования групп, когда пользователь вводит имя команды. Когда пользователь вводит пользовательское заблокированное слово, появится сообщение об ошибке вместе с заблокированным словом, чтобы пользователь смог удалить его.
SharePoint SharePoint отображает принудительное имя политики именования, когда пользователь вводит имя сайта или адрес электронной почты группы. Когда пользователь вводит пользовательское заблокированное слово, появится сообщение об ошибке вместе с заблокированным словом, чтобы пользователь смог удалить его.
Microsoft Stream; В Microsoft Stream отображается принудительное имя политики именования групп, когда пользователь вводит имя группы или псевдоним электронной почты группы. Когда пользователь вводит пользовательское заблокированное слово, появится сообщение об ошибке вместе с заблокированным словом, чтобы пользователь смог удалить его.
Приложение Outlook iOS и Android Группы, созданные в приложениях Outlook, соответствуют настроенной политике именования. Мобильное приложение Outlook пока не отображает предварительное представление имени политики именования. Приложение не возвращает пользовательские ошибки заблокированного слова, когда пользователь вводит имя группы. Однако политика именования автоматически применяется при нажатии кнопки "Создать " или "Изменить". Пользователи видят сообщения об ошибках, если в имени группы или псевдониме есть пользовательские заблокированные слова.
Мобильное приложение Groups Группы, созданные в мобильном приложении Groups, соответствуют политике именования. Мобильное приложение групп не отображает предварительную версию политики именования и не возвращает пользовательские ошибки заблокированного слова, когда пользователь вводит имя группы. Но политика именования автоматически применяется при создании или изменении группы пользователем. Пользователи получают соответствующие ошибки, если в имени группы или псевдониме есть пользовательские заблокированные слова.
Planner Служба "Планировщик" соответствует требованиям политики именования. Планировщик отображает предварительную версию политики именования, когда пользователь вводит имя плана. Когда пользователь вводит пользовательское заблокированное слово, при создании плана отображается сообщение об ошибке.
Project в Интернете Project в Интернете соответствует политике именования.
Dynamics 365 for Customer Engagement Dynamics 365 for Customer Engagement соответствует требованиям политики именования. Dynamics 365 отображается принудительное имя политики именования, когда пользователь вводит имя группы или псевдоним электронной почты группы. Когда пользователь вводит пользовательское заблокированное слово, появится сообщение об ошибке с заблокированным словом, чтобы пользователь смог удалить его.
School Data Sync (SDS) Группы, созданные с помощью SDS, соответствуют политике именования, но политика именования не применяется автоматически. Администраторам SDS следует добавить префиксы и суффиксы в имена классов, для которых нужно создать группы, и затем передать их в SDS. В противном случае создание или изменение групп завершится ошибкой.
Приложение Classroom Группы, созданные в приложении Аудитории, соответствуют политике именования, но политика именования не применяется автоматически. Предварительная версия политики именования не отображается пользователям при вводе имени группы аудитории. Пользователи должны ввести имя группы аудиторий с префиксами и суффиксами в соответствии с политикой. В противном случае операция создания или изменения группы аудиторий завершится сбоем.
Power BI Рабочие области Power BI соответствуют требованиям политики именования.
Yammer Когда пользователь входит в Yammer с учетной записью Microsoft Entra, чтобы создать группу или изменить имя группы, имя группы соответствует политике именования. Эта функция применяется как к подключенным группам Microsoft 365, так и ко всем другим группам Yammer.
Если подключенная группа Microsoft 365 была создана до того, как политика именования создана, имя группы не будет автоматически следовать политикам именования. При изменении имени группы пользователю будет предложено добавить префикс и суффикс.
StaffHub Команды StaffHub не следуют политике именования, но базовая группа Microsoft 365 делает. Имя команды StaffHub не применяет префиксы и суффиксы и не проверяет наличие настраиваемых заблокированных слов. Но при этом в StaffHub используются префиксы и суффиксы и удаляются запрещенные слова из базовой группы Microsoft 365.
Add-ManagementRoleEntry Командлеты PowerShell для Exchange соответствуют требованиям политики именования. Пользователи видят соответствующие сообщения об ошибках, содержащие предлагаемые префиксы и суффиксы, а также настраиваемые запрещенные слова, если что-либо в имени или псевдониме группы (mailNickname) не соответствует политике именования.
Командлеты Microsoft Graph PowerShell Командлеты Microsoft PowerShell соответствуют политике именования. Пользователи видят соответствующие сообщения об ошибках, содержащие предлагаемые префиксы и суффиксы, а также настраиваемые запрещенные слова, если не следуют соглашению об именовании в именах или псевдонимах групп.
Центр администрирования Exchange Центр администрирования Exchange соответствует политике именования. Пользователи видят соответствующие сообщения об ошибках, содержащие предлагаемые префиксы и суффиксы, а также настраиваемые запрещенные слова, если не следуют соглашению об именовании в имени или псевдониме группы.
Центр администрирования Microsoft 365 Центр администрирования Microsoft 365 соответствует политике именования. Когда пользователь создает или редактирует имена групп, политика именования автоматически применяется. Пользователи получают соответствующие ошибки при вводе пользовательских заблокированных слов. Центр администрирования Microsoft 365 пока не отображает предварительную версию политики именования и не возвращает пользовательские ошибки заблокированного слова, когда пользователь вводит имя группы.

Следующие шаги

Дополнительные сведения о группах Microsoft Entra см. в следующих статье: