通过

为Microsoft 365组配置过期策略

概述

本文介绍如何通过为其设置过期策略来管理Microsoft 365组的生命周期。 只能为Microsoft Entra ID中的Microsoft 365组设置过期策略。

将某个组设置为过期后:

  • 当用户活动所在的组临近到期时,会被自动续订。
  • 如果某个组未自动续订,则会通知组所有者以进行续订。
  • 未续订的任何组将被删除。
  • 组所有者或管理员可以在 30 天内还原已删除的任何Microsoft 365组。

目前,只能为Microsoft Entra组织中的所有Microsoft 365组配置一个过期策略。

注意

配置和使用Microsoft 365组的过期策略要求你拥有,但不一定为应用过期策略的所有组的成员分配Microsoft Entra ID P1 或 P2 许可证。

有关如何下载和安装 Microsoft Graph PowerShell cmdlet 的信息,请参阅 install Microsoft Graph PowerShell SDK

注意

Azure AD Powershell 计划于 2024 年 3 月 30 日弃用。 若要了解详细信息,请阅读弃用更新

建议迁移到 Microsoft Graph PowerShell以与 Microsoft Entra ID(以前Azure AD)交互。 Microsoft Graph PowerShell 允许访问所有Microsoft Graph API,并在 PowerShell 7 上可用。 有关常见迁移查询的解答,请参阅迁移常见问题解答

基于活动的自动续订

借助 Microsoft Entra 智能,组现在根据它们是否最近被使用而自动续订。 此功能让组所有者无需再执行手动操作。 它基于用户在Microsoft 365服务中(如Outlook、SharePoint、Teams或Viva Engage)进行的小组活动。

例如,所有者或组成员可能执行以下操作:

  • 向Outlook中的组发送电子邮件。
  • 将文档上传到SharePoint。
  • 访问 Teams 频道。
  • 在Viva Engage中查看帖子。

在上述情境中,组在过期前大约 35 天会自动续订,而所有者不会收到任何续订通知。

现在,假设一个过期策略设置为一个组在处于非活动状态 30 天后过期。 为了防止在启用组过期的当天(由于尚未有记录活动)发送过期电子邮件,Microsoft Entra 首先会等待 5 天。 然后:

  • 如果在这五天内有活动,过期策略将按预期工作。
  • 如果五天内没有活动,Microsoft Entra ID发送过期或续订电子邮件。
  • 如果该组已经非活动状态五天,系统会发送一封电子邮件。一旦该组恢复活动状态,Microsoft Entra会自动续订,并重新开始计算过期期限。

会自动续订组的过期时间的活动

以下用户操作会导致组自动续订:

  • SharePoint:查看、编辑、下载、移动、共享或上传文件。
  • Outlook:加入组、从组空间读取或写入组消息或“赞”消息(在 Outlook Web Access 中)。
  • Teams:访问 Teams 频道。
  • Viva Engage:在Viva Engage社区中查看帖子或Outlook中的交互式电子邮件。

审核和报告

管理员可以从Microsoft Entra ID中的活动审核日志中获取自动续订组的列表。

显示基于活动自动续订组的屏幕截图。

角色和权限

以下角色可以在 Microsoft Entra ID 中为 Microsoft 365 组配置和使用到期功能。

角色 权限
组管理员或用户管理员 可以创建、读取、更新或删除Microsoft 365组过期策略设置
可以续订任何Microsoft 365 组
用户 可以续订他们拥有的Microsoft 365组群
可以还原他们所拥有的 Microsoft 365 组
可以查看到期策略设置

有关还原已删除组的权限的详细信息,请参阅 在 Microsoft Entra ID 中还原 Microsoft 365 已删除组

设置组到期时间

  1. 以至少组管理员角色登录到Microsoft Entra 管理中心。

  2. 选择 Entra ID

  3. 选择“”>“所有组”,然后选择“过期”以打开过期设置。

    显示组过期设置的屏幕截图。

  4. 在“过期”页上,您可以:

    • 设置组的生存期(天)。 可以选择一个预设值或自定义值。 应为 30 天或更多天。
    • 指定一个电子邮件地址,当一个组没有所有者时,将续订和过期通知发送到该地址。
    • 选择哪些 Microsoft 365 组过期。 可以为以下项设置过期时间:
      • All Microsoft 365 组。
      • 选定的 Microsoft 365 组。
      • 用于限制所有组的过期时间。
    • 设置完成后,选择“保存”来保存设置。

    注意

    • 首次设置过期时,任何已超过过期时间间隔的组将被设置为在 35 天后过期,除非这些组被自动续订或由所有者续订。
    • 当删除并还原动态组时,会将视其为一个新组并根据规则重新填充。 此过程最多可能需要 24 小时。
    • Teams 中使用的组的过期通知会显示在 Teams 拥有者通知中。
    • 为选定的组启用到期时间后,最多可以将 500 个组添加到列表中。 如果需要添加的组超过 500 个,则可以为所有组启用到期时间。 在这种情况下,500 个组的限制不适用。
    • 发生自动续订活动时,组不会立即续订。 如果发生活动,则会在该组上放置一个标志,以便在该组即将到期时指示其已准备好续订。 如果群组即将到期,则会在 24 小时内续订。

电子邮件通知

如果未自动续订组,则以下示例等电子邮件通知将发送到Microsoft 365组所有者 30 天、15 天和组过期前 1 天。

组所有者的首选语言或Microsoft Entra语言设置决定了电子邮件的语言。 如果组所有者定义了首选语言,或多个所有者具有相同首选语言,则使用该语言。 对于所有其他情况,将使用Microsoft Entra语言设置。

注意

请注意,以下示例电子邮件通知是从Azure公共电子邮件地址发送的。 Mooncake 中的实际发件人为 msgroupsteam@oe.21vianet.com

显示过期电子邮件通知的屏幕截图。

Renew group 通知电子邮件中,组所有者可以直接访问 访问面板 中的组详细信息页。 在那里,用户可以获取有关组的详细信息,例如其说明、上次续订时间、过期时间以及续订组的功能。 组详细信息页现在还包括指向Microsoft 365组资源的链接,以便组所有者可以方便地查看其组中的内容和活动。

重要

如果通知电子邮件存在问题,导致它们未被发送或发送延迟,请放心,Microsoft在最后一封电子邮件发送之前绝不会删除群组。

当某个组过期时,它将在到期日期的后一天被删除。 向Microsoft 365组所有者发送一封电子邮件通知,告知其Microsoft 365组的过期和后续删除。

显示组删除电子邮件通知的屏幕截图。

可通过选择还原组或使用 PowerShell cmdlet,在组被删除的 30 天内还原组。 有关详细信息,请参阅 在 Microsoft Entra ID 中恢复已删除的 Microsoft 365 组。 30 天的组还原期不可自定义。

如果要还原的组包含文档、SharePoint网站或其他持久性对象,可能需要长达 24 小时才能完全还原组及其内容。

检索Microsoft 365组过期日期

除了使用访问面板查看组详细信息(如到期日期和上次续订日期)之外,还可以从 Microsoft Graph REST API Beta 检索Microsoft 365组的到期日期。 Microsoft Graph Beta 中启用了 group 属性 expirationDateTime。 可以使用 GET 请求来检索它。 有关详细信息,请参阅此示例

注意

若要管理 访问面板 上的组成员身份,必须在 Microsoft Entra 组的常规设置中,将限制对 访问面板 中组的访问设为

组过期并被删除后,30 天后,来自 Planner、站点或 Teams 等应用的组数据将被永久删除。 被法定保留的组邮箱会被保留,不会被永久删除。 管理员可以使用 Exchange cmdlet 还原邮箱来提取数据。

Microsoft 365 组过期与保留策略

可通过安全与合规门户配置保留策略。 你可以为Microsoft 365组设置保留策略。 组到期并被删除后,组邮箱中的组对话和组站点中的文件将保留在保留容器中,保留的特定天数取决于保留策略中的定义。 过期后,用户不会看到组或其内容。 他们可以通过电子发现恢复网站和邮箱数据。

PowerShell 示例

下面是如何使用 PowerShell cmdlet 为Microsoft Entra组织中的Microsoft 365组配置过期设置的示例:

  1. 安装 Microsoft Graph PowerShell 模块并在 PowerShell 提示符下登录。

    Install-Module Microsoft.Graph -Scope CurrentUser
Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "Directory.ReadWrite.All"

  2. 配置过期设置。 使用 New-MgGroupLifecyclePolicy cmdlet 将Microsoft Entra组织中所有Microsoft 365组的生存期设置为 365 天。 没有所有者的Microsoft 365组的续订通知将发送到 emailaddress@contoso.com

    New-MgGroupLifecyclePolicy -AlternateNotificationEmails emailaddress@contoso.com `
   -GroupLifetimeInDays 365 -ManagedGroupTypes All

  3. 使用 Get-MgGroupLifecyclePolicy 检索现有策略。 此 cmdlet 检索配置的当前的 Microsoft 365 组过期设置。

    Get-MgGroupLifecyclePolicy

    在此示例中,可以看到:

    • 策略标识符。
    • 没有所有者的Microsoft 365组的续订通知将发送到 emailaddress@contoso.com
    • Microsoft Entra组织中所有Microsoft 365组的生存期设置为 365 天。
    Id                                   AlternateNotificationEmails GroupLifetimeInDays ManagedGroupTypes
--                                   --------------------------- ------------------- -----------------
1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5 emailaddress@contoso.com    365                 All

  4. 使用 Update-MgGroupLifecyclePolicy 更新现有策略。 此 cmdlet 用于更新现有策略。 在以下示例中,现有策略中的组生存期从 365 天更改为 180 天。

    Update-MgGroupLifecyclePolicy -GroupLifecyclePolicyId "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5" -GroupLifetimeInDays 180 -AlternateNotificationEmails "emailaddress@contoso.com"

  5. 使用 Add-MgGroupToLifecyclePolicy 将特定组添加到策略。 此 cmdlet 将组添加到生命周期策略中。 示例:

    Add-MgGroupToLifecyclePolicy -GroupLifecyclePolicyId "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5" -GroupId "cffd97bd-6b91-4c4e-b553-6918a320211c"

  6. 使用 Remove-MgGroupLifecyclePolicy 删除现有策略。 此 cmdlet 用于删除 Microsoft 365 组的到期设置,但需要提供策略 ID。 此 cmdlet 禁用 Microsoft 365 组的过期功能。

    Remove-MgGroupLifecyclePolicy -GroupLifecyclePolicyId "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5"

可以使用以下 cmdlet 更详细地配置策略。 有关详细信息,请参阅 Microsoft Graph PowerShell 文档

后续步骤

有关Microsoft Entra组的详细信息,请参阅:

  • Last updated on