如何使用 Microsoft Graph PowerShell 修改安全默认值

PowerShell 使我们能够快速有效地更改 Microsoft Entra Tenant 的配置。我们还可以使用 PowerShell 来确保在创建或加入新租户时，他们遵守组织制定的通用标准。

安全默认值是任何租户管理员最重要的设置之一，以确保启用它，如果未启用，则确保条件访问策略正在实施保护。

在本教程中，我将向您展示如何使用 Microsoft Graph PowerShell 在租户中启用和禁用安全默认值。

查看当前的安全默认设置

要查看如何使用 Microsoft Graph PowerShell 配置当前的安全默认设置，您可以使用 Get-MgPolicyIdentitySecurityDefaultEnforcementPolicy cmdlet。虽然此命令检索大量信息，但请使用以下示例查看 IsEnabled 属性，该属性将告诉您是否强制执行安全默认值。

Get-MgPolicyIdentitySecurityDefaultEnforcementPolicy | Select DisplayName, IsEnabled

您的输出将如下所示：

DisplayName       IsEnabled
-----------       ---------
Security Defaults     False

要确定您的租户中是否启用或禁用安全默认值，请查看以下列表：

• IsEnabled=False：安全默认为禁用。
• IsEnabled=True：安全性默认为启用。

使用 Microsoft Graph PowerShell 修改安全默认值

在许多情况下，您可能需要禁用安全默认值，以支持使用条件访问进行更精细的控制，这是您应该禁用安全默认值的唯一原因。

要使用 Microsoft Graph PowerShell 修改这些设置，请使用类似的更新命令 Update-MgPolicyIdentitySecurityDefaultEnforcementPolicy。

首先使用所需的最低权限“Policy.ReadWrite.SecurityDefaults”连接到 Graph。

Connect-MgGraph -scope Policy.ReadWrite.SecurityDefaults

连接后，运行以下命令以启用或禁用安全默认值。

$body = @{
	isEnabled = $false/$true
}

Update-MgPolicyIdentitySecurityDefaultEnforcementPolicy -BodyParameter $body

故障排除

由于 Update-MgPolicyIdentitySecurityDefaultEnforcementPolicy 命令非常具体，因此您在尝试运行它时可能会遇到错误。您可能还注意到，尽管存在 -IsEnabled 参数并配置为接受布尔 True/False 值，但当您尝试运行时它仍然失败。

您可以通过运行以下命令查看 IsEnabled 属性：

(Get-Command "Update-MgPolicyIdentitySecurityDefaultEnforcementPolicy").Definition

您的结果将包括以下与此参数相关的文本段落：

[参数(ParameterSetName='UpdateExpanded')]
[Microsoft.Graph.PowerShell.Category ('Body')]
[System.Management.Automation.SwitchParameter]
# 如果设置为 true，将为租户启用 Azure Active Directory 安全默认设置。
$ {IsEnabled}
$ {IsEnabled}

但是，当您尝试运行以下命令来启用安全默认值时，您会遇到以下错误：

Update-MgPolicyIdentitySecurityDefaultEnforcementPolicy -IsEnabled $true

Update-MgPolicyIdentitySecurityDefaultEnforcementPolicy：找不到接受参数“True”的位置参数。

相反，通过从命令中删除 $true 值，可以成功启用安全默认值。

Update-MgPolicyIdentitySecurityDefaultEnforcementPolicy -IsEnabled

如果要启用安全默认值，还必须确保没有在 Microsoft Entra 中配置任何条件访问策略，如果这样做，命令将失败并显示以下错误：

Update-MgPolicyIdentitySecurityDefaultEnforcementPolicy：启用条件访问策略。请禁用并重试。