概述
若要为用户创建或编辑的Microsoft 365组强制实施一致的命名约定,请在Microsoft Entra ID中为组织设置组命名策略。 例如,可以使用命名策略传达组的功能、成员身份、地理区域或创建组的人员。 使用命名策略还可帮助对通讯簿中的组分类。 可以使用策略来阻止组名称和别名中使用特定字词。
重要
使用 Microsoft Entra ID 命名策略管理 Microsoft 365 组时需要拥有 Microsoft Entra ID P1 许可证或 Microsoft Entra 基本 EDU 许可证,但不一定要为每个属于一个或多个 Microsoft 365 组的独特用户分配这些许可证。
命名策略应用于创建或编辑跨工作负荷创建的组,例如,Outlook、Microsoft Teams、SharePoint、Exchange或 Planner,即使没有进行编辑更改。 它同时适用于群组名称和群组别名。 如果在 Microsoft Entra ID 中设置命名策略,并且已有现有的Exchange组命名策略,则会在组织中强制实施Microsoft Entra ID命名策略。
配置组命名策略后,策略将应用于用户创建的新Microsoft 365组。 命名策略不会应用到某些目录角色,例如全局管理员或用户管理员。 (有关从组命名策略中免除的角色的完整列表,请参阅“角色和权限”部分。对于现有Microsoft 365组,在配置时不会立即应用策略。 组所有者完成这些组的组名称编辑后,即使未作出任何更改,命名策略也会强制执行。
命名策略功能
可通过两种不同方式对组强制执行命名策略:
- 前缀-后缀命名策略:可以定义前缀或后缀,然后系统会自动添加这些前缀或后缀,以对组强制执行命名约定。 例如,在组名
GRP_CHINA_My Group_Engineering中,前缀为GRP_CHINA_,后缀为_Engineering。 - 自定义阻止字词:可上传一组特定于组织的阻止字词,将在用户创建的组中阻止这些字词。 例如,可以使用
Payroll,CEO,HR。
前后缀命名策略
命名约定的一般结构是 Prefix[GroupName]Suffix。 虽然可以定义多个前缀和后缀,但设置中仅可包含一个 [GroupName] 实例。 前缀或后缀可以是固定字符串,也可以是根据创建组的用户替换的用户属性(例如 [Department])。 包括组名称在内的前缀和后缀字符串允许的总字符数为 63 个字符。
前缀和后缀可包含组名和组别名中支持的特殊字符。 如果前缀或后缀中有任何组别名不支持的字符,这些字符仍可应用于组名,但会从组别名中移除。 由于存在此限制,应用于组名的前缀和后缀与应用于组别名的前缀和后缀可能有所不同。
固定字符串
使用字符串,可更轻松地扫描和区分全局地址列表和左侧组工作负荷导航链接中的组。 一些常见的前缀是 Grp_Name、#Name 和 _Name 等关键字。
用户属性
你可以使用属性来帮助自己和用户识别组是为哪个部门、办公室或地理区域创建的。 例如,如果将命名策略定义为 PrefixSuffixNamingRequirement = "GRP [GroupName] [Department]" 和 User's department = Engineering, 然后,强制的组名称可能是 "GRP My Group Engineering." 支持的Microsoft Entra属性为 \[Department\]、\[Company\]、\[Office\]、\[StateOrProvince\]、\[CountryOrRegion\] 和 \[Title\]。 不受支持的用户属性会被视为固定字符串。 示例为 "\[postalCode\]"。 不支持扩展属性和自定义属性。
使用为组织中所有用户都填充值的属性,并且不使用具有较长值的属性。
自定义屏蔽词语
禁止字词列表是一个用逗号分隔的短语列表,用来禁止在组名称和别名中使用。 未执行任何子字符串搜索。 组名只有与一个或多个自定义阻止字词完全匹配,才能触发系统失败。 不会执行子字符串搜索,以便用户能够使用“Class”这样的常用词,即便其中的“lass”是被屏蔽的词。
被阻止的单词列表规则:
- 阻止的字词不区分大小写。
- 当用户在组名中输入阻止的字词时,会看到错误消息以及阻止的字词。
- 对于阻止的字词,没有字符限制。
- 在阻止字词列表中最多可配置 5000 个短语。
角色和权限
要配置命名策略,需要以下角色之一:
- 全局管理员
- 组管理员
- 目录写入器
某些管理员角色在所有组工作负载和端点中不受这些策略的约束,因此他们可以使用禁止使用的字词和自己的命名约定来创建组。 以下管理员角色不受组命名策略的约束:
- 全局管理员
- 用户管理员
配置命名策略
以至少组管理员身份登录到Microsoft Entra 管理中心。
选择 Microsoft Entra ID。
选择“所有组”>“组”,然后选择“命名策略”以打开“命名策略”页面。
查看或编辑前后缀命名策略
- 在“命名策略”页上,选择“组命名策略”。
- 可以单独查看或编辑当前的前缀或后缀命名策略,只需选择需要在命名策略中强制实施的属性或字符串即可。
- 要从列表中移除某个前缀或后缀,请选择该前缀或后缀,然后选择“删除”。 可以同时删除多个项。
- 通过选择“保存”,保存对新策略的更改以使其生效。
编辑自定义阻止词语
在“命名策略”页上,选择“禁用词”。
查看或编辑自定义阻止字词的当前列表,方法是选择“下载”。 必须将新条目添加到现有条目中。
选择“文件”图标,可以上传新的自定义阻止字词列表。
通过选择“保存”,保存对新策略的更改以使其生效。
安装 PowerShell cmdlet
请按照 安装 Microsoft Graph PowerShell SDK 中的说明安装 Microsoft Graph cmdlet。
注意
Azure AD Powershell 计划于 2024 年 3 月 30 日弃用。 若要了解详细信息,请阅读弃用更新。
建议迁移到 Microsoft Graph PowerShell以与 Microsoft Entra ID(以前Azure AD)交互。 Microsoft Graph PowerShell 允许访问所有Microsoft Graph API,并在 PowerShell 7 上可用。 有关常见迁移查询的解答,请参阅迁移常见问题解答。
以管理员身份打开 Windows PowerShell 应用。
安装 Microsoft Graph cmdlets。
Install-Module Microsoft.Graph -Scope AllUsers安装 Microsoft Graph beta cmdlet。
Install-Module Microsoft.Graph.Beta -Scope AllUsers
在 PowerShell 中配置命名策略
在计算机上打开Windows PowerShell 窗口。 无需提升的权限即可打开该窗口。
运行以下命令以准备运行 cmdlet。
Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "Directory.ReadWrite.All"在打开的“登录到你的帐户”屏幕上,输入你的管理员帐户和密码以连接到服务。
按照 Microsoft Entra cmdlet 中的步骤配置组设置为此组织创建组设置。
查看当前设置
提取当前命名策略,查看当前设置。
$Setting = Get-MgBetaDirectorySetting -DirectorySettingId (Get-MgBetaDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id显示当前组设置。
$Setting.Values
设置命名策略和自定义屏蔽词
获取设置。
$Setting = Get-MgBetaDirectorySetting -DirectorySettingId (Get-MgBetaDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id设置组名称前缀和后缀。 要使功能正常工作,必须在设置中包含
[GroupName]。 另外,设置要限制的自定义阻止字词。$params = @{ values = @( @{ name = "PrefixSuffixNamingRequirement" value = "GRP_[GroupName]_[Department]" } @{ name = "CustomBlockedWordsList" value = "Payroll,CEO,HR" } ) }更新新策略的设置以使其生效,如下例所示。
Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params
这就可以了。 你设置了命名政策,并添加了禁止使用词。
导出或导入自定义阻止字词
有关详细信息,请参阅 Microsoft Entra cmdlet,了解如何配置组设置。
下面的 PowerShell 脚本示例可导出多个阻止字词。
$Words = (Get-MgBetaDirectorySetting).Values | where -Property Name -Value CustomBlockedWordsList -EQ
Add-Content "c:\work\currentblockedwordslist.txt" -Value $Words.value.Split(",").Replace("`"","")
下面的 PowerShell 脚本示例可导入多个阻止字词。
$BadWords = Get-Content "C:\work\currentblockedwordslist.txt"
$BadWords = [string]::join(",", $BadWords)
$Setting = Get-MgBetaDirectorySetting | where {$_.DisplayName -eq "Group.Unified"}
if ($Setting.Count -eq 0) {
$Template = Get-MgBetaDirectorySettingTemplate | where {$_.DisplayName -eq "Group.Unified"}
$Params = @{ templateId = $Template.Id }
$Setting = New-MgBetaDirectorySetting -BodyParameter $Params
}
$params = @{
values = @(
@{
name = "PrefixSuffixNamingRequirement"
value = "GRP_[GroupName]_[Department]"
}
@{
name = "CustomBlockedWordsList"
value = "$BadWords"
}
)
}
Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params
删除命名策略
可以使用 Azure 门户或 Microsoft Graph PowerShell 删除命名策略。
使用 Azure 门户删除命名策略
- 在“命名策略”页上,选择“删除策略”。
- 确认删除之后,将会移除命名策略,包括所有前缀-后缀命名策略和任何自定义阻止字词。
使用 Microsoft Graph PowerShell 删除命名策略
获取设置。
$Setting = Get-MgBetaDirectorySetting -DirectorySettingId (Get-MgBetaDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id清空组名称前缀和后缀。 清空自定义阻止字词。
$params = @{ values = @( @{ name = "PrefixSuffixNamingRequirement" value = "" } @{ name = "CustomBlockedWordsList" value = "" } ) }更新设置。
Update-MgBetaDirectorySetting -DirectorySettingId $Setting.Id -BodyParameter $params
跨Microsoft 365应用的体验
在Microsoft Entra ID中设置组命名策略后,当用户在Microsoft 365应用中创建组后,他们会看到:
- 在用户输入组名后立即看到随命名策略而定的名称预览(包括前缀和后缀)。
- 如果用户输入阻止字词,将会看到一条错误消息,从而可移除阻止字词。
| 工作负载 | 合规性 |
|---|---|
| Azure门户 | Azure门户和访问面板门户在创建或编辑组时显示命名策略强制实施的名称。 当用户输入自定义阻止字词时,将会显示一条错误消息以及阻止字词,以便用户可以将其移除。 |
| Outlook 网页访问 (OWA) | Outlook Web Access 会在用户输入组名或组别名时显示命名策略强制实施的名称。 当用户输入自定义阻止字词时,UI 中将会显示一条错误消息以及阻止字词,以便用户可以将其移除。 |
| Outlook桌面 | 在Outlook桌面中创建的组符合命名策略设置。 Outlook桌面应用尚未显示强制实施的组名称预览,并且当用户输入组名称时不会返回自定义阻止字错误。 但是,当用户创建或编辑组时,会自动应用命名策略。 如果组名或别名中有自定义阻止字词,则用户会看到错误消息。 |
| Microsoft Teams | Microsoft Teams在用户输入团队名称时显示依照组命名策略生成的名称。 当用户输入自定义阻止字词时,将会显示一条错误消息以及阻止字词,以便用户可以将其移除。 |
| SharePoint | 当用户输入站点名称或组电子邮件地址时,SharePoint显示命名策略强制名称。 当用户输入自定义阻止字词时,将会显示一条错误消息以及阻止字词,以便用户可以将其移除。 |
| Microsoft Stream | 当用户输入组名或组电子邮件别名时,Microsoft Stream显示组命名策略强制执行的名称。 当用户输入自定义阻止字词时,将会显示一条错误消息以及阻止字词,以便用户可以将其移除。 |
| Outlook iOS 和 Android 应用 | 在Outlook应用中创建的组符合配置的命名策略。 Outlook移动应用尚未显示命名策略强制名称的预览。 当用户输入组名称时,应用不会返回自定义屏蔽词错误。 但是,当用户选择“创建”或“编辑”时,则会自动应用命名策略。 如果组名或别名中有自定义阻止字词,则用户会看到错误消息。 |
| 群组移动应用 | 在Groups移动应用程序中创建的组遵循命名策略。 当用户输入组名时,组的移动应用程序不会显示命名策略的预览,也不会返回自定义屏蔽词错误。 但在用户创建或编辑组时,则会自动应用命名策略。 如果组名或别名中有自定义阻止字词,用户将会看到相应的错误。 |
| 计划者 | Planner 遵循命名策略。 当用户输入计划名称时,Planner 会显示命名策略预览。 当用户创建计划时,如果用户输入了自定义阻止字词,则会显示一条错误消息。 |
| 网络版 Project | Project 网页版符合命名策略。 |
| Dynamics 365 客户参与 | Dynamics 365 客户参与符合命名策略。 当用户输入组名或组电子邮件别名时,Dynamics 365显示命名策略强制名称。 当用户输入自定义阻止字词时,将会显示一条错误消息以及阻止字词,以便用户可以将其移除。 |
| 学校数据同步(SDS) | 通过 SDS 创建的组遵循命名策略,但不会自动应用命名策略。 SDS 管理员必须将前缀和后缀追加到需要创建组的类名,然后上传到 SDS。 否则,创建或编辑组将会失败。 |
| Classroom 应用 | 在 Classroom 应用中创建的组遵循命名策略,但不会自动应用命名策略。 当用户输入教室组名时,不会向用户显示命名策略预览。 用户必须输入强制使用的教室组名称(包含前缀和后缀)。 如果不这样,课堂小组的创建或编辑操作将失败并产生错误。 |
| Power BI | Power BI工作区符合命名策略。 |
| Yammer | 当用户使用其Microsoft Entra帐户登录到 Yammer 以创建组或编辑组名称时,组名称符合命名策略。 此功能适用于 Microsoft 365 连接的组和所有其他 Yammer 组。 如果在命名策略就位之前创建了Microsoft 365连接的组,则组名称不会自动遵循命名策略。 当用户编辑组名时,系统将提示用户添加前缀和后缀。 |
| StaffHub | StaffHub 团队不遵循命名策略,但底层的 Microsoft 365 组会执行。 StaffHub 团队名不会应用前缀和后缀,也不会检查自定义阻止字词。 但 StaffHub 确实将前缀和后缀应用于底层的 Microsoft 365 组,并删除限制词语。 |
| Exchange PowerShell | Exchange PowerShell cmdlet 符合命名策略。 如果用户在组名和组别名 (mailNickname) 中不遵循命名策略,那么会收到包括建议的前缀和后缀以及自定义阻止词在内的相应错误消息。 |
| Microsoft Graph PowerShell cmdlet | Microsoft PowerShell cmdlet 符合命名策略。 如果用户不遵循组名和组别名的命名规则,则会收到错误消息,其中包含建议的前缀和后缀以及自定义阻止的词语。 |
| Exchange 管理中心 | Exchange 管理中心符合命名策略。 如果用户不遵循组名和组别名的命名约定,则会收到相应的错误消息,以及建议的前后缀和自定义阻止字词。 |
| Microsoft 365 管理中心 | Microsoft 365 管理中心符合命名策略的规定。 当用户创建或编辑组名时,会自动应用命名策略。 当用户输入自定义阻止字词时,将会收到相应的错误。 Microsoft 365 管理中心尚未显示命名规则的预览,并且当用户输入组名称时不会返回自定义的屏蔽词错误。 |
后续步骤
有关Microsoft Entra组的详细信息,请参阅: