rutiny Azure Active Directory verze 2 pro správu skupin
Tento článek obsahuje příklady použití prostředí PowerShell ke správě skupin ve službě Azure Active Directory (Azure AD). Dozvíte se taky, jak si nastavit modul Azure AD PowerShell. Nejdřív je nutné Stáhnout modul Azure AD PowerShell.
Instalace modulu Azure AD PowerShell
K instalaci modulu Azure AD PowerShell použijte následující příkazy:
PS C:\Windows\system32> install-module azuread
PS C:\Windows\system32> import-module azuread
Chcete-li ověřit, zda je modul připravený k použití, použijte následující příkaz:
PS C:\Windows\system32> get-module azuread
ModuleType Version Name ExportedCommands
---------- --------- ---- ----------------
Binary 2.0.0.115 azuread {Add-AzureADAdministrati...}
Teď můžete začít používat rutiny v modulu. úplný popis rutin v modulu Azure AD najdete v online referenční dokumentaci pro Azure Active Directory PowerShell verze 2.
Poznámka
Rutiny Azure AD PowerShell nefungují s novým PowerShellem 7, protože jsou založené na .NET Core. Víme, že právě probíhá aktualizace. počínaje teď doporučujeme použít modul Windows PowerShell 5. x, který se použije pro operace Azure AD powershellu.
Připojení do adresáře
Než budete moct začít spravovat skupiny pomocí rutin Azure AD PowerShellu, musíte připojit relaci PowerShellu k adresáři, který chcete spravovat. Použijte následující příkaz:
PS C:\Windows\system32> Connect-AzureAD
Rutina vás vyzve k zadání přihlašovacích údajů, které chcete použít pro přístup k adresáři. V tomto příkladu používáme karen@drumkit.onmicrosoft.com pro přístup k demonstračnímu adresáři. Rutina vrátí potvrzení pro zobrazení relace, která byla úspěšně připojena k vašemu adresáři:
Account Environment Tenant ID
------- ----------- ---------
Karen@drumkit.onmicrosoft.com AzureCloud 85b5ff1e-0402-400c-9e3c-0f…
Teď můžete začít používat rutiny AzureAD ke správě skupin ve vašem adresáři.
Načtení skupin
K načtení existujících skupin z adresáře použijte rutinu Get-AzureADGroups.
Pokud chcete načíst všechny skupiny v adresáři, použijte rutinu bez parametrů:
PS C:\Windows\system32> get-azureadgroup
Rutina vrátí všechny skupiny v připojeném adresáři.
Pomocí parametru-objectID můžete načíst konkrétní skupinu, pro kterou zadáte objectID skupiny:
PS C:\Windows\system32> get-azureadgroup -ObjectId e29bae11-4ac0-450c-bc37-6dae8f3da61b
Rutina nyní vrátí skupinu, jejíž identifikátor objectID odpovídá hodnotě parametru, který jste zadali:
DeletionTimeStamp :
ObjectId : e29bae11-4ac0-450c-bc37-6dae8f3da61b
ObjectType : Group
Description :
DirSyncEnabled :
DisplayName : Pacific NW Support
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 9bb4139b-60a1-434a-8c0d-7c1f8eee2df9
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Konkrétní skupinu můžete vyhledat pomocí parametru-Filter. Tento parametr přebírá klauzuli filtru ODATA a vrátí všechny skupiny, které odpovídají filtru, jak je uvedeno v následujícím příkladu:
PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Poznámka
Rutiny PowerShellu pro Azure AD implementují Standard dotazů OData. Další informace najdete v tématu $Filter v možnostech dotazů na systém OData pomocí koncového bodu OData.
Vytvoření skupin
Pokud chcete ve svém adresáři vytvořit novou skupinu, použijte rutinu New-AzureADGroup. Tato rutina vytvoří novou skupinu zabezpečení nazvanou "marketing":
PS C:\Windows\system32> New-AzureADGroup -Description "Marketing" -DisplayName "Marketing" -MailEnabled $false -SecurityEnabled $true -MailNickName "Marketing"
Aktualizovat skupiny
Chcete-li aktualizovat existující skupinu, použijte rutinu Set-AzureADGroup. V tomto příkladu měníme vlastnost displayName skupiny Administrators služby Intune. Nejdřív vyhledáme skupinu pomocí rutiny Get-AzureADGroup a pomocí atributu DisplayName použijeme filtr:
PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
V dalším kroku měníme vlastnost Description na novou hodnotu "Správci zařízení Intune":
PS C:\Windows\system32> Set-AzureADGroup -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -Description "Intune Device Administrators"
Pokud teď znovu vyhledáme skupinu, uvidíme, že je vlastnost Description aktualizována, aby odrážela novou hodnotu:
PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Device Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Odstranění skupin
Pokud chcete odstranit skupiny z adresáře, použijte rutinu Remove-AzureADGroup následujícím způsobem:
PS C:\Windows\system32> Remove-AzureADGroup -ObjectId b11ca53e-07cc-455d-9a89-1fe3ab24566b
Správa členství ve skupinách
Přidání členů
Chcete-li přidat nové členy do skupiny, použijte rutinu Add-AzureADGroupMember. Tento příkaz přidá člena do skupiny Správci Intune, kterou jsme použili v předchozím příkladu:
PS C:\Windows\system32> Add-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea
Parametr-ObjectId je ObjectID skupiny, do které chceme přidat člena, a parametr-RefObjectId je ObjectID uživatele, který chceme přidat jako člena do skupiny.
Načíst členy
Chcete-li získat existující členy skupiny, použijte rutinu Get-AzureADGroupMember, jako v tomto příkladu:
PS C:\Windows\system32> Get-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
DeletionTimeStamp ObjectId ObjectType
----------------- -------- ----------
72cd4bbd-2594-40a2-935c-016f3cfeeeea User
8120cc36-64b4-4080-a9e8-23aa98e8b34f User
Odebrání členů
Chcete-li odebrat člena, který jste dříve přidali do skupiny, použijte rutinu Remove-AzureADGroupMember, jak je znázorněno zde:
PS C:\Windows\system32> Remove-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -MemberId 72cd4bbd-2594-40a2-935c-016f3cfeeeea
Ověřit členy
Pokud chcete ověřit členství uživatele ve skupině, použijte rutinu Select-AzureADGroupIdsUserIsMemberOf. Tato rutina přijímá jako své parametry identifikátor ObjectId uživatele, pro který se má ověřit členství ve skupině, a seznam skupin, pro které se mají kontrolovat členství. Seznam skupin musí být uveden ve formě komplexní proměnné typu Microsoft. Open. AzureAD. model. GroupIdsForMembershipCheck, proto je nejprve nutné vytvořit proměnnou s tímto typem:
PS C:\Windows\system32> $g = new-object Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck
Dále poskytujeme hodnoty pro identifikátory groupId pro kontrolu atributu "GroupIds" této komplexní proměnné:
PS C:\Windows\system32> $g.GroupIds = "b11ca53e-07cc-455d-9a89-1fe3ab24566b", "31f1ff6c-d48c-4f8a-b2e1-abca7fd399df"
Pokud teď chceme zkontrolovat členství uživatele ve skupině s ObjectID 72cd4bbd-2594-40a2-935c-016f3cfeeeea proti skupinám v $g, měli byste použít:
PS C:\Windows\system32> Select-AzureADGroupIdsUserIsMemberOf -ObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea -GroupIdsForMembershipCheck $g
OdataMetadata Value
------------- -----
https://graph.windows.net/85b5ff1e-0402-400c-9e3c-0f9e965325d1/$metadata#Collection(Edm.String) {31f1ff6c-d48c-4f8a-b2e1-abca7fd399df}
Vrácená hodnota je seznam skupin, ze kterých je tento uživatel členem. Tuto metodu můžete použít také ke kontrole kontaktů, skupin nebo členství instančních objektů pro daný seznam skupin pomocí Select-AzureADGroupIdsContactIsMemberOf, Select-AzureADGroupIdsGroupIsMemberOf nebo Select-AzureADGroupIdsServicePrincipalIsMemberOf
Zakázání vytváření skupin pomocí uživatelů
Uživatelům, kteří nejsou správci, můžete zabránit v vytváření skupin zabezpečení. Výchozím chováním v Microsoft online Directory Services (MSODS) je povolit uživatelům bez role správce vytvářet skupiny bez ohledu na to, jestli je povolená taky Samoobslužná správa skupin (SSGM). Nastavení SSGM řídí chování pouze na přístupovém panelu Moje aplikace.
Zakázání vytváření skupin pro uživatele, kteří nejsou správci:
Ověřte, že uživatelé, kteří nejsou správci, můžou vytvářet skupiny:
PS C:\> Get-MsolCompanyInformation | fl UsersPermissionToCreateGroupsEnabledPokud se vrátí
UsersPermissionToCreateGroupsEnabled : True, pak uživatelé bez role správce můžou vytvářet skupiny. Zakázání této funkce:Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False
Správa vlastníků skupin
Chcete-li přidat vlastníky do skupiny, použijte rutinu Add-AzureADGroupOwner:
PS C:\Windows\system32> Add-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea
Parametr-ObjectId je ObjectID skupiny, do které chceme přidat vlastníka, a parametr-RefObjectId je ObjectID uživatele nebo instančního objektu, který chceme přidat jako vlastníka skupiny.
Pokud chcete načíst vlastníky skupiny, použijte rutinu Get-AzureADGroupOwner:
PS C:\Windows\system32> Get-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
Rutina vrátí seznam vlastníků (uživatelů a instančních objektů) pro zadanou skupinu:
DeletionTimeStamp ObjectId ObjectType
----------------- -------- ----------
e831b3fd-77c9-49c7-9fca-de43e109ef67 User
Pokud chcete odebrat vlastníka ze skupiny, použijte rutinu Remove-AzureADGroupOwner:
PS C:\Windows\system32> remove-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -OwnerId e831b3fd-77c9-49c7-9fca-de43e109ef67
Rezervované aliasy
Když se vytvoří skupina, některé koncové body umožní koncovému uživateli zadat mailNickname nebo alias, který se má použít jako součást e-mailové adresy skupiny. Skupiny s následujícími vysoce privilegovanými e-mailovými aliasy můžou vytvořit jenom globální správce Azure AD.
- pošt
- správce
- správce
- hostmaster
- majordomo
- postmaster
- kořen
- požadavk
- security
- SSL – správce
- příslušného
Zpětný zápis skupin do místního prostředí (Preview)
V současné době je řada skupin stále spravována v místní službě Active Directory. pro zodpovězení žádostí o synchronizaci cloudových skupin zpátky do místního prostředí je teď k dispozici funkce zpětného zápisu skupin Microsoft 365 pro Azure AD, která je teď dostupná ve verzi preview.
Microsoft 365 skupiny se vytvářejí a spravují v cloudu. funkce zpětného zápisu umožňuje zapisovat zpět Microsoft 365 skupiny jako distribuční skupiny do doménové struktury služby Active Directory s nainstalovanou Exchange. uživatelé s místními Exchange poštovními schránkami můžou odesílat a přijímat e-maily z těchto skupin. Funkce zpětného zápisu skupiny nepodporuje skupiny zabezpečení nebo distribuční skupiny Azure AD.
další podrobnosti najdete v dokumentaci ke službě Azure AD Connect sync.
zpětný zápis skupin Microsoft 365 je funkce public preview služby Azure Active Directory (Azure ad) a je k dispozici u placeného licenčního plánu Azure AD. nějaké právní informace o verzi preview najdete v tématu doplňujících podmínek použití pro Microsoft Azureverze preview.
Další kroky
Další informace o Azure Active Directory PowerShellu najdete v Azure Active Directory rutinách.