Azure Active Directory-Cmdlets Version 2 für die GruppenverwaltungAzure Active Directory version 2 cmdlets for group management

Dieser Artikel enthält Beispiele für die Verwendung von PowerShell zur Verwaltung von Gruppen in Azure Active Directory (Azure AD).This article contains examples of how to use PowerShell to manage your groups in Azure Active Directory (Azure AD). Darüber hinaus erfahren Sie, wie das Azure AD PowerShell-Modul eingerichtet wird.It also tells you how to get set up with the Azure AD PowerShell module. Zunächst müssen Sie das Azure AD PowerShell-Modul herunterladen.First, you must download the Azure AD PowerShell module.

Installieren des Azure AD PowerShell-ModulsInstall the Azure AD PowerShell module

Verwenden Sie die folgenden Befehle, um das Azure AD PowerShell-Modul zu installieren:To install the Azure AD PowerShell module, use the following commands:

    PS C:\Windows\system32> install-module azuread
    PS C:\Windows\system32> import-module azuread

Überprüfen Sie mithilfe des folgenden Befehls, ob das Modul verwendet werden kann:To verify that the module is ready to use, use the following command:

    PS C:\Windows\system32> get-module azuread

    ModuleType Version      Name                                ExportedCommands
    ---------- ---------    ----                                ----------------
    Binary     2.0.0.115    azuread                      {Add-AzureADAdministrati...}

Sie können die Cmdlets jetzt im Modul verwenden.Now you can start using the cmdlets in the module. Eine ausführliche Beschreibung der Cmdlets im Azure AD-Modul finden Sie in der Onlinereferenzdokumentation für Azure Active Directory PowerShell Version 2.For a full description of the cmdlets in the Azure AD module, please refer to the online reference documentation for Azure Active Directory PowerShell Version 2.

Herstellen einer Verbindung mit dem VerzeichnisConnect to the directory

Bevor Sie Gruppen mithilfe der Azure AD PowerShell-Cmdlets verwalten können, müssen Sie Ihre PowerShell-Sitzung mit dem Verzeichnis verbinden, das verwaltet werden soll.Before you can start managing groups using Azure AD PowerShell cmdlets, you must connect your PowerShell session to the directory you want to manage. Verwenden Sie den folgenden Befehl:Use the following command:

    PS C:\Windows\system32> Connect-AzureAD

Das Cmdlet fordert Sie zur Eingabe der Anmeldeinformationen auf, die Sie für den Zugriff auf Ihr Verzeichnis verwenden möchten.The cmdlet prompts you for the credentials you want to use to access your directory. In diesem Beispiel verwenden wir „ karen@drumkit.onmicrosoft.com “ für den Zugriff auf das Demoverzeichnis.In this example, we are using karen@drumkit.onmicrosoft.com to access the demonstration directory. Das Cmdlet gibt eine Bestätigung zurück, die angibt, dass die Sitzung mit Ihrem Verzeichnis verbunden wurde:The cmdlet returns a confirmation to show the session was connected successfully to your directory:

    Account                       Environment Tenant
    -------                       ----------- ------
    Karen@drumkit.onmicrosoft.com AzureCloud  85b5ff1e-0402-400c-9e3c-0f…

Sie können die Azure AD-Cmdlets nun zum Verwalten von Gruppen in Ihrem Verzeichnis verwenden.Now you can start using the AzureAD cmdlets to manage groups in your directory.

Abrufen von GruppenRetrieve groups

Mit dem Cmdlet „Get-AzureADGroups“ können Sie vorhandene Gruppen aus Ihrem Verzeichnis abrufen.To retrieve existing groups from your directory, use the Get-AzureADGroups cmdlet.

Um alle Gruppen innerhalb des Verzeichnisses abzurufen, verwenden Sie das Cmdlet ohne Parameter:To retrieve all groups in the directory, use the cmdlet without parameters:

    PS C:\Windows\system32> get-azureadgroup

Das Cmdlet gibt alle Gruppen innerhalb des verbundenen Verzeichnisses zurück.The cmdlet returns all groups in the connected directory.

Zum Abrufen einer bestimmten Gruppe verwenden Sie den Parameter „-objectID“ und geben die Objekt-ID der Gruppe an:You can use the -objectID parameter to retrieve a specific group for which you specify the group’s objectID:

    PS C:\Windows\system32> get-azureadgroup -ObjectId e29bae11-4ac0-450c-bc37-6dae8f3da61b

Das Cmdlet gibt nun die Gruppe zurück, deren objectID-Wert mit dem eingegebenen Wert des Parameters übereinstimmt:The cmdlet now returns the group whose objectID matches the value of the parameter you entered:

    DeletionTimeStamp            :
    ObjectId                     : e29bae11-4ac0-450c-bc37-6dae8f3da61b
    ObjectType                   : Group
    Description                  :
    DirSyncEnabled               :
    DisplayName                  : Pacific NW Support
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 9bb4139b-60a1-434a-8c0d-7c1f8eee2df9
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Mithilfe des Parameters „-filter“ können Sie nach einer bestimmten Gruppe suchen.You can search for a specific group using the -filter parameter. Dieser Parameter verwendet eine ODATA-Filterklausel und gibt alle Gruppen zurück, die dem Filter entsprechen. Beispiel:This parameter takes an ODATA filter clause and returns all groups that match the filter, as in the following example:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Hinweis

In den Azure AD PowerShell-Cmdlets wird der OData-Abfragestandard verwendet.The Azure AD PowerShell cmdlets implement the OData query standard. Weitere Informationen finden Sie unter $filter im Artikel OData-Systemabfrageoptionen mit dem OData-Endpunkt.For more information, see $filter in OData system query options using the OData endpoint.

Erstellen von GruppenCreate groups

Zum Erstellen einer neuen Gruppe in Ihrem Verzeichnis verwenden Sie das Cmdlet „New-AzureADGroup“.To create a new group in your directory, use the New-AzureADGroup cmdlet. Dieses Cmdlet erstellt eine neue Sicherheitsgruppe „Marketing“:This cmdlet creates a new security group called “Marketing":

    PS C:\Windows\system32> New-AzureADGroup -Description "Marketing" -DisplayName "Marketing" -MailEnabled $false -SecurityEnabled $true -MailNickName "Marketing"

Aktualisieren von GruppenUpdate groups

Zum Aktualisieren einer vorhandenen Gruppe verwenden Sie das Cmdlet „Set-AzureADGroup“.To update an existing group, use the Set-AzureADGroup cmdlet. In diesem Beispiel ändern wir die Eigenschaft „DisplayName“ der Gruppe „Intune Administrators“.In this example, we’re changing the DisplayName property of the group “Intune Administrators.” Zunächst suchen wir mit dem Cmdlet „Get-AzureADGroup“ nach der Gruppe. Dabei filtern wir das Ergebnis mithilfe des Attributs „DisplayName“:First, we’re finding the group using the Get-AzureADGroup cmdlet and filter using the DisplayName attribute:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Anschließend ändern wir die Eigenschaft „Description“ in den neuen Wert „Intune Device Administrators“:Next, we’re changing the Description property to the new value “Intune Device Administrators”:

    PS C:\Windows\system32> Set-AzureADGroup -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -Description "Intune Device Administrators"

Wenn wir nun erneut nach der Gruppe suchen, sehen wir, dass die Eigenschaft „Description“ mit dem neuen Wert aktualisiert wurde:Now, if we find the group again, we see the Description property is updated to reflect the new value:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"

    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Device Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Löschen von GruppenDelete groups

Zum Löschen von Gruppen aus Ihrem Verzeichnis verwenden Sie das Cmdlet „Remove-AzureADGroup“ wie folgt:To delete groups from your directory, use the Remove-AzureADGroup cmdlet as follows:

    PS C:\Windows\system32> Remove-AzureADGroup -ObjectId b11ca53e-07cc-455d-9a89-1fe3ab24566b

Verwalten der GruppenmitgliedschaftManage group membership

Hinzufügen von MitgliedernAdd members

Wenn Sie einer Gruppe neue Mitglieder hinzufügen möchten, verwenden Sie das Cmdlet „Add-AzureADGroupMember“.To add new members to a group, use the Add-AzureADGroupMember cmdlet. Mit diesem Befehl wird der Gruppe „Intune Administrators“ aus dem vorherigen Beispiel ein Mitglied hinzugefügt:This command adds a member to the Intune Administrators group we used in the previous example:

    PS C:\Windows\system32> Add-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Der Parameter „-ObjectId“ ist die Objekt-ID der Gruppe, der ein Mitglied hinzugefügt werden soll, „-RefObjectId“ ist die Objekt-ID des Benutzers, der als Gruppenmitglied hinzugefügt werden soll.The -ObjectId parameter is the ObjectID of the group to which we want to add a member, and the -RefObjectId is the ObjectID of the user we want to add as a member to the group.

Abrufen von MitgliedernGet members

Zum Abrufen der vorhandenen Mitglieder einer Gruppe verwenden Sie das Cmdlet „Get-AzureADGroupMember“, wie in diesem Beispiel gezeigt:To get the existing members of a group, use the Get-AzureADGroupMember cmdlet, as in this example:

    PS C:\Windows\system32> Get-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df

    DeletionTimeStamp ObjectId                             ObjectType
    ----------------- --------                             ----------
                          72cd4bbd-2594-40a2-935c-016f3cfeeeea User
                          8120cc36-64b4-4080-a9e8-23aa98e8b34f User

Entfernen von MitgliedernRemove members

Um das Mitglied zu entfernen, das der Gruppe zuvor hinzugefügt wurde, verwenden Sie das Cmdlet „Remove-AzureADGroupMember“, wie hier gezeigt:To remove the member we previously added to the group, use the Remove-AzureADGroupMember cmdlet, as is shown here:

    PS C:\Windows\system32> Remove-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -MemberId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Überprüfen von MitgliedernVerify members

Die Gruppenmitgliedschaften eines Benutzers können mithilfe des Cmdlets „Select-AzureADGroupIdsUserIsMemberOf“ überprüft werden.To verify the group memberships of a user, use the Select-AzureADGroupIdsUserIsMemberOf cmdlet. Dieses Cmdlet verwendet als Parameter die Objekt-ID des Benutzers, für den die Gruppenmitgliedschaften überprüft werden sollen, sowie eine Liste mit Gruppen, für die die Mitgliedschaften überprüft werden sollen.This cmdlet takes as its parameters the ObjectId of the user for which to check the group memberships, and a list of groups for which to check the memberships. Die Liste der Gruppen muss in Form einer komplexen Variable vom Typ „Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck“ angegeben werden. Daher müssen wir zunächst eine Variable dieses Typs erstellen:The list of groups must be provided in the form of a complex variable of type “Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck”, so we first must create a variable with that type:

    PS C:\Windows\system32> $g = new-object Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck

Anschließend geben wir Werte für die Gruppen-IDs an, die im Attribut „GroupIds“ dieser komplexen Variable überprüft werden sollen:Next, we provide values for the groupIds to check in the attribute “GroupIds” of this complex variable:

    PS C:\Windows\system32> $g.GroupIds = "b11ca53e-07cc-455d-9a89-1fe3ab24566b", "31f1ff6c-d48c-4f8a-b2e1-abca7fd399df"

Wenn z.B. die Gruppenmitgliedschaften eines Benutzers mit der Objekt-ID „72cd4bbd-2594-40a2-935c-016f3cfeeeea“ für die Gruppen in „$g“ überprüft werden sollen, verwenden wir folgenden Befehl:Now, if we want to check the group memberships of a user with ObjectID 72cd4bbd-2594-40a2-935c-016f3cfeeeea against the groups in $g, we should use:

    PS C:\Windows\system32> Select-AzureADGroupIdsUserIsMemberOf -ObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea -GroupIdsForMembershipCheck $g

    OdataMetadata                                                                                                 Value
    -------------                                                                                                  -----
    https://graph.windows.net/85b5ff1e-0402-400c-9e3c-0f9e965325d1/$metadata#Collection(Edm.String)             {31f1ff6c-d48c-4f8a-b2e1-abca7fd399df}

Der zurückgegebene Wert ist eine Liste mit Gruppen, in denen dieser Benutzer Mitglied ist.The value returned is a list of groups of which this user is a member. Diese Methode kann auch verwendet werden, um die Mitgliedschaft in Kontaktlisten, Gruppen oder Dienstprinzipalen für eine Liste von Gruppen zu überprüfen. Verwenden Sie dazu „Select-AzureADGroupIdsContactIsMemberOf“, „Select-AzureADGroupIdsGroupIsMemberOf“ oder „Select-AzureADGroupIdsServicePrincipalIsMemberOf“.You can also apply this method to check Contacts, Groups or Service Principals membership for a given list of groups, using Select-AzureADGroupIdsContactIsMemberOf, Select-AzureADGroupIdsGroupIsMemberOf or Select-AzureADGroupIdsServicePrincipalIsMemberOf

Deaktivieren der Gruppenerstellung durch BenutzerDisable group creation by your users

Sie können dafür sorgen, dass Benutzer ohne Administratorrechte keine Sicherheitsgruppen erstellen können.You can prevent non-admin users from creating security groups. In Microsoft Online Directory Services (MSODS) sind Benutzer ohne Administratorrechte standardmäßig zum Erstellen von Gruppen berechtigt. Dabei spielt es keine Rolle, ob auch die Self-Service-Gruppenverwaltung (self-Service Group Management, SSGM) aktiviert ist.The default behavior in Microsoft Online Directory Services (MSODS) is to allow non-admin users to create groups, whether or not self-service group management (SSGM) is also enabled. Die SSGM-Einstellung steuert nur das Verhalten im Zugriffsbereich „Meine Apps“.The SSGM setting controls behavior only in the My Apps access panel.

So deaktivieren Sie die Gruppenerstellung für Benutzer ohne Administratorrechte:To disable group creation for non-admin users:

  1. Prüfen Sie, ob Benutzer ohne Administratorrechte zum Erstellen von Gruppen berechtigt sind:Verify that non-admin users are allowed to create groups:

    PS C:\> Get-MsolCompanyInformation | fl UsersPermissionToCreateGroupsEnabled
    
  2. Wird UsersPermissionToCreateGroupsEnabled : True zurückgegeben, sind Benutzer ohne Administratorrechte zum Erstellen von Gruppen berechtigt.If it returns UsersPermissionToCreateGroupsEnabled : True, then non-admin users can create groups. So deaktivieren Sie das Feature:To disable this feature:

    Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False
    

Verwalten von GruppenbesitzernManage owners of groups

Zum Hinzufügen von Besitzern zu einer Gruppe verwenden Sie das Cmdlet „Add-AzureADGroupOwner“:To add owners to a group, use the Add-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> Add-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Der Parameter -ObjectId ist die Objekt-ID der Gruppe, der ein Besitzer hinzugefügt werden soll, -RefObjectId ist die Objekt-ID des Benutzers oder Dienstprinzipals, der als Besitzer der Gruppe hinzugefügt werden soll.The -ObjectId parameter is the ObjectID of the group to which we want to add an owner, and the -RefObjectId is the ObjectID of the user or service principal we want to add as an owner of the group.

Zum Abrufen der Besitzer einer Gruppe verwenden Sie das Cmdlet „Get-AzureADGroupOwner“:To retrieve the owners of a group, use the Get-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> Get-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df

Das Cmdlet gibt die Liste der Besitzer (Benutzer und Dienstprinzipale) für die angegebene Gruppe zurück:The cmdlet returns the list of owners (users and service principals) for the specified group:

    DeletionTimeStamp ObjectId                             ObjectType
    ----------------- --------                             ----------
                          e831b3fd-77c9-49c7-9fca-de43e109ef67 User

Zum Entfernen eines Besitzers aus einer Gruppe verwenden Sie das Cmdlet „Remove-AzureADGroupOwner“:If you want to remove an owner from a group, use the Remove-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> remove-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -OwnerId e831b3fd-77c9-49c7-9fca-de43e109ef67

Reservierte AliaseReserved aliases

Wenn eine Gruppe erstellt wird, ermöglichen bestimmte Endpunkte dem Benutzer, einen mailNickname oder Alias anzugeben, der als Teil der E-Mail-Adresse der Gruppe verwendet werden soll.When a group is created, certain endpoints allow the end user to specify a mailNickname or alias to be used as part of the email address of the group. Gruppen mit den folgenden weitreichend berechtigten E-Mail-Aliasen können nur von einem globalen Azure AD-Administrator erstellt werden. Groups with the following highly privileged email aliases can only be created by an Azure AD global administrator. 

  • abuseabuse
  • adminadmin
  • administratoradministrator
  • hostmasterhostmaster
  • majordomomajordomo
  • postmasterpostmaster
  • rootroot
  • securesecure
  • securitysecurity
  • ssl-adminssl-admin
  • webmasterwebmaster

Rückschreiben von Gruppen in das lokale Azure AD (Vorschau)Group writeback to on-premises (preview)

Heutzutage werden viele Gruppen immer noch im lokalen Active Directory verwaltet.Today, many groups are still managed in on-premises Active Directory. Als Reaktion auf Anforderungen zum Synchronisieren von Cloudgruppen mit dem lokalen Active Directory ist jetzt das Feature Office 365-Gruppenrückschreiben für Azure AD als Vorschau verfügbar.To answer requests to sync cloud groups back to on-premises, Office 365 groups writeback feature for Azure AD is now available for preview.

Office 365-Gruppen werden in der Cloud erstellt und verwaltet.Office 365 groups are created and managed in the cloud. Die Funktion zum Rückschreiben ermöglicht Ihnen, Office 365-Gruppen als Verteilergruppen in eine Active Directory-Gesamtstruktur bei installiertem Exchange zurückzuschreiben.The writeback capability allows you to write back Office 365 groups as distribution groups to an Active Directory forest with Exchange installed. Benutzer mit lokalen Exchange-Postfächern können E-Mails von diesen Gruppen senden und empfangen.Users with on-premises Exchange mailboxes can then send and receive emails from these groups. Das Feature „Gruppenrückschreiben“ unterstützt keine Azure AD-Sicherheitsgruppen oder -Verteilergruppen.The group writeback feature doesn't support Azure AD security groups or distribution groups.

Weitere Informationen finden Sie in der Dokumentation für den Azure AD Connect-Synchronisierungsdienst.For more details, please refer to documentation for the Azure AD Connect sync service.

Office 365-Gruppenrückschreiben ist ein Feature der öffentlichen Vorschauversion von Azure Active Directory (Azure AD) und mit jedem kostenpflichtigen Azure AD-Lizenzplan verfügbar.Office 365 group writeback is a public preview feature of Azure Active Directory (Azure AD) and is available with any paid Azure AD license plan. Rechtliche Informationen zu Vorschauversionen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.For some legal information about previews, see Supplemental Terms of Use for Microsoft Azure Previews.

Nächste SchritteNext steps

Weitere Informationen zu Azure Active Directory PowerShell finden Sie unter Azure Active Directory-Cmdlets.You can find more Azure Active Directory PowerShell documentation at Azure Active Directory Cmdlets.