أوامر cmdlet للإصدار الثاني من Azure Active Directory لإدارة المجموعات
تحتوي هذه المقالة على أمثلة حول كيفية استخدام PowerShell لإدارة المجموعات في Microsoft Azure Active Directory. يخبرك أيضاً بكيفية الإعداد باستخدام وحدة Microsoft Azure Active Directory PowerShell النمطية. أولاً، يجب تنزيل وحدة Microsoft Azure Active Directory PowerShell النمطية.
تثبيت وحدة Microsoft Azure Active Directory PowerShell النمطية
لتثبيت وحدة Microsoft Azure Active Directory PowerShell النمطية، استخدم الأوامر التالية:
PS C:\Windows\system32> install-module azuread
PS C:\Windows\system32> import-module azuread
للتحقق من أن الوحدة النمطية جاهزة للاستخدام، استخدم الأمر التالي:
PS C:\Windows\system32> get-module azuread
ModuleType Version Name ExportedCommands
---------- --------- ---- ----------------
Binary 2.0.0.115 azuread {Add-AzureADAdministrati...}
الآن يمكنك البدء في استخدام أوامر cmdlet في وحدة نمطية. للحصول على وصف كامل لأوامر cmdlet في وحدة Microsoft Microsoft Azure Active Directory النمطية، يرجى الرجوع إلى الوثائق المرجعية عبر الإنترنت المتعلقة بـ الإصدار الثاني من Azure Active Directory PowerShell.
ملاحظة
لا تعمل أوامر cmdlets في Azure AD PowerShell مع Powershell 7 الجديد لأنها تستند إلى .net Core. نحن على علم بهذه المسألة ونعمل على تحديثها. اعتبارًا من الآن، نقترح استخدام وحدة Windows PowerShell 5.x النمطية لاستخدامها في عمليات Microsoft Azure Active Directory powershell.
الاتصال بدليل
قبل أن تتمكن من بدء إدارة المجموعات باستخدام Cmdlets Microsoft Azure Active Directory PowerShell، يجب عليك توصيل جلسة عمل PowerShell بالدليل الذي تريد إدارته. اتبع الأمر التالي:
PS C:\Windows\system32> Connect-AzureAD
يطالبك الأمر cmdlet ببيانات الاعتماد التي تريد استخدامها للوصول إلى الدليل. في هذا المثال، نحن نستخدم karen@drumkit.onmicrosoft.com للوصول إلى دليل العرض التوضيحي. يعمل الأمر cmdlet على إرجاع تأكيدًا لإظهار أن الجلسة قد تم توصيلها بالدليل بنجاح:
Account Environment Tenant ID
------- ----------- ---------
Karen@drumkit.onmicrosoft.com AzureCloud 85b5ff1e-0402-400c-9e3c-0f…
الآن يمكنك البدء في استخدام أوامر cmdlet في Microsoft Microsoft Azure Active Directory لإدارة المجموعات في الدليل.
استرداد المجموعات
لاسترداد المجموعات الموجودة من الدليل، استخدم الأمر Get-AzureADGroups cmdlet.
لاسترداد كافة المجموعات في الدليل، استخدم الأمر cmdlet بدون معلمات:
PS C:\Windows\system32> get-azureadgroup
يعمل الأمر cmdlet على إرجاع جميع المجموعات في الدليل المتصل.
يمكنك استخدام المعلمة objectID لاسترداد مجموعة معينة تحدد لها objectID للمجموعة:
PS C:\Windows\system32> get-azureadgroup -ObjectId e29bae11-4ac0-450c-bc37-6dae8f3da61b
يعمل الأمر cmdlet الآن على إرجاع المجموعة التي تتطابق objectID مع قيمة المعلمة التي أدخلتها:
DeletionTimeStamp :
ObjectId : e29bae11-4ac0-450c-bc37-6dae8f3da61b
ObjectType : Group
Description :
DirSyncEnabled :
DisplayName : Pacific NW Support
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 9bb4139b-60a1-434a-8c0d-7c1f8eee2df9
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
يمكنك البحث عن مجموعة محددة باستخدام المعلمة -filter. تأخذ هذه المعلمة بند عبارة عامل تصفية ODATA وتُرجع جميع المجموعات التي تطابق عامل التصفية، كما في المثال التالي:
PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
ملاحظة
تعمل أوامر cmdlet في Microsoft Azure Active Directory PowerShell على تطبيق معيار استعلام OData. للحصول على مزيدٍ من المعلومات، راجع $filter في خيارات استعلام نظام OData باستخدام نقطة النهاية OData.
إنشاء مجموعات
لإنشاء مجموعة جديدة في الدليل، استخدم الأمر New-AzureADGroup cmdlet. ينشئ هذا الأمر cmdlet مجموعة أمان جديدة تسمى «التسويق»:
PS C:\Windows\system32> New-AzureADGroup -Description "Marketing" -DisplayName "Marketing" -MailEnabled $false -SecurityEnabled $true -MailNickName "Marketing"
تحديث المجموعات
لتحديث مجموعة موجودة، استخدم Set-AzureADGroup cmdlet. في هذا المثال، نحن نغيّر الخاصية DisplayName من المجموعة «مسؤولي Intune». أولاً، نعثر على المجموعة باستخدام الأمر Get-AzureADGroup cmdlet وعامل التصفية باستخدام السمة DisplayName:
PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
بعد ذلك، نغيّر خاصية الوصف إلى القيمة الجديدة «مسؤولي أجهزة Intune»:
PS C:\Windows\system32> Set-AzureADGroup -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -Description "Intune Device Administrators"
الآن، إذا وجدنا المجموعة مرة أخرى، نرى خاصية الوصف محدّثة لتعكس القيمة الجديدة:
PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Device Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
حذف المجموعات
لحذف مجموعات من الدليل، استخدم الأمر Remove-AzureADGroup cmdlet كما يلي:
PS C:\Windows\system32> Remove-AzureADGroup -ObjectId b11ca53e-07cc-455d-9a89-1fe3ab24566b
إدارة عضوية المجموعة
إضافة أعضاء
لإضافة أعضاء جدد إلى مجموعة، استخدم Add-AzureADGroupMember cmdlet. يضيف هذا الأمر عضوا إلى مجموعة «مسؤولي Intune» التي استخدمناها في المثال السابق:
PS C:\Windows\system32> Add-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea
المعلمة ObjectId هي ObjectID للمجموعة التي نريد إضافة عضو إليها، والمعلمة -RefObjectId هي ObjectID للمستخدم الذي نريد إضافته كعضو إلى المجموعة.
الحصول على الأعضاء
للحصول على الأعضاء الموجودين في مجموعة، استخدم الأمر cmdlet Get-AzureADGroupMember، كما في هذا المثال:
PS C:\Windows\system32> Get-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
DeletionTimeStamp ObjectId ObjectType
----------------- -------- ----------
72cd4bbd-2594-40a2-935c-016f3cfeeeea User
8120cc36-64b4-4080-a9e8-23aa98e8b34f User
إزالة الأعضاء
لإزالة العضو الذي أضفناه سابقاً إلى المجموعة، استخدم الأمر Remove-AzureADGroupMember cmdlet، كما هو موضح هنا:
PS C:\Windows\system32> Remove-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -MemberId 72cd4bbd-2594-40a2-935c-016f3cfeeeea
التحقق من الأعضاء
للتحقق من عضوية المجموعة للمستخدم، استخدم الأمر Select-AzureADGroupIdsUserIsMemberOf cmdlet. يأخذ هذا الأمر cmdlet معلمات ObjectId الخاصة بالمستخدم كمعلمات له للتحقق من عضوية المجموعة، وقائمة المجموعات التي يتم التحقق من عضوياتها. يجب توفير قائمة المجموعات في نموذج متغيّر معقد من نوع "Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck"، لذلك يجب علينا أولاً إنشاء متغيّر بهذا النوع:
PS C:\Windows\system32> $g = new-object Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck
بعد ذلك، نقدم قيم groupIds للتحقق في السمة "GroupIds" من هذا المتغيّر المعقد:
PS C:\Windows\system32> $g.GroupIds = "b11ca53e-07cc-455d-9a89-1fe3ab24566b", "31f1ff6c-d48c-4f8a-b2e1-abca7fd399df"
الآن، إذا كنا نريد أن تتحقق من عضوية المجموعة لمستخدم باستخدام ObjectID 72cd4bbd-2594-40a2-935c-016f3cfeeeea مقابل المجموعات في $g، يجب علينا استخدام:
PS C:\Windows\system32> Select-AzureADGroupIdsUserIsMemberOf -ObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea -GroupIdsForMembershipCheck $g
OdataMetadata Value
------------- -----
https://graph.windows.net/85b5ff1e-0402-400c-9e3c-0f9e965325d1/$metadata#Collection(Edm.String) {31f1ff6c-d48c-4f8a-b2e1-abca7fd399df}
القيمة التي تم إرجاعها هي قائمة المجموعات التي يكون هذا المستخدم عضوًا فيها. يمكنك أيضًا تطبيق هذا الأسلوب للتحقق من عضوية كيانات الخدمة أو المجموعات أو جهات الاتصال لقائمة معينة من المجموعات، باستخدام Select-AzureADGroupIdsContactIsMemberOf، أو Select-AzureADGroupIdsGroupIsMemberOf، أو Select-AzureADGroupIdsServicePrincipalIsMemberOf
تعطيل إنشاء المجموعة بواسطة المستخدمين
يمكنك منع المستخدمين غير المسؤولين من إنشاء مجموعات الأمان. يتمثل السلوك الافتراضي في Microsoft Online Directory Services (MSODS) في السماح للمستخدمين غير المسؤولين بإنشاء مجموعات، سواء تم تمكين إدارة مجموعة الخدمة الذاتية (SSGM) أم لا. يتحكم إعداد SSGM فقط في السلوك في لوحة وصول My Apps.
لتعطيل إنشاء مجموعة للمستخدمين غير المسؤولين:
تحقق من السماح للمستخدمين غير الإداريين بإنشاء مجموعات:
PS C:\> Get-MsolCompanyInformation | fl UsersPermissionToCreateGroupsEnabledإذا تم إرجاع
UsersPermissionToCreateGroupsEnabled : True، فيمكن للمستخدمين غير الإداريين إنشاء مجموعات. لتعطيل هذه الميزة، نفّذ ما يلي:Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False
إدارة مالكي المجموعات
لإضافة مالكين إلى مجموعة، استخدم الأمر Add-AzureADGroupOwner cmdlet:
PS C:\Windows\system32> Add-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea
المعلمة ObjectId هي ObjectID للمجموعة التي نريد إضافة مالك إليها، والمعلمة -RefObjectId هي ObjectID للمستخدم أو كيان الخدمة الذي نريد إضافته كمالك إلى المجموعة.
لاسترداد مالكي مجموعة، استخدم الأمر Get-AzureADGroupOwner cmdlet:
PS C:\Windows\system32> Get-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
يعمل الأمر cmdlet على إرجاع قائمة المالكين (المستخدمين ومديري الخدمات) للمجموعة المحددة:
DeletionTimeStamp ObjectId ObjectType
----------------- -------- ----------
e831b3fd-77c9-49c7-9fca-de43e109ef67 User
إذا كنت تريد إزالة مالك من مجموعة، استخدم الأمر Remove-AzureADGroupOwner cmdlet:
PS C:\Windows\system32> remove-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -OwnerId e831b3fd-77c9-49c7-9fca-de43e109ef67
الأسماء المستعارة المحجوزة
عند إنشاء مجموعة، تسمح بعض نقاط النهاية للمستخدم بتحديد mailNickname أو اسماً مستعاراً لاستخدامه كجزء من عنوان البريد الإلكتروني للمجموعة. لا يمكن إنشاء المجموعات ذات الأسماء المستعارة التالية لعنوان البريد الإلكتروني ذات الامتيازات العالية إلا بواسطة مسؤول عام في Microsoft Microsoft Azure Active Directory.
- abuse
- مسؤول
- administrator
- hostmaster
- majordomo
- postmaster
- جذر
- secure
- security
- ssl-admin
- webmaster
حفظ المجموعة مع التحديث إلى المواقع المحلية (الإصدار الأولي)
اليوم، لا تزال تتم إدارة العديد من المجموعات في Active Directory محلي. للرد على طلبات مزامنة مجموعات السحابة مرة أخرى إلى المواقع المحلية، أصبحت ميزة الحفظ مع التحديث لمجموعات Microsoft 365 لـ Microsoft Microsoft Azure Active Directory متاحة الآن للإصدار الأولي.
يتم إنشاء مجموعات Microsoft 365 وإدارتها في السحابة. إمكانية الحفظ مع التحديث يسمح لك بالحفظ مع التحديث لمجموعات Microsoft 365 كمجموعات التوزيع إلى غابة Active Directory مع تثبيت Exchange. يمكن للمستخدمين الذين لديهم صناديق بريد Exchange محلية إرسال واستقبال رسائل البريد الإلكتروني من هذه المجموعات. لا تدعم ميزة حفظ المجموعة مع التحديث مجموعات أمان Microsoft Microsoft Azure Active Directory أو مجموعات التوزيع.
للحصول على مزيدٍ من التفاصيل، يرجى الرجوع إلى وثائق خدمة مزامنة Microsoft Azure Active Directory Connect.
الحفظ مع التحديث لمجموعات Microsoft 365 هي ميزة معاينة عامة على Microsoft Azure Active Directory (Azure AD) وهي متوفرة مع أي خطة ترخيص Microsoft Azure Active Directory مدفوعة. للحصول على مزيدٍ من المعلومات حول الإصدارات الأولية، راجع شروط الاستخدام الإضافية للإصدارات الأولية من Microsoft Azure .
الخطوات التالية
يمكنك العثور على المزيد من وثائق Azure Active Directory PowerShell في Azure Active Directory Cmdlets.