Cmdlets de la versión 2 de Azure Active Directory para la administración de gruposAzure Active Directory version 2 cmdlets for group management

En este artículo se incluyen ejemplos de cómo usar PowerShell para administrar grupos en Azure Active Directory (Azure AD).This article contains examples of how to use PowerShell to manage your groups in Azure Active Directory (Azure AD). También se indica cómo configurar el módulo de Azure AD PowerShell.It also tells you how to get set up with the Azure AD PowerShell module. En primer lugar, debe descargar el módulo de Azure AD PowerShell.First, you must download the Azure AD PowerShell module.

Instalación del módulo de PowerShell de Azure ADInstall the Azure AD PowerShell module

Para instalar el módulo de Azure AD PowerShell, use los siguientes comandos:To install the Azure AD PowerShell module, use the following commands:

    PS C:\Windows\system32> install-module azuread
    PS C:\Windows\system32> import-module azuread

Para comprobar que el módulo esté listo para usar, ejecute el siguiente comando:To verify that the module is ready to use, use the following command:

    PS C:\Windows\system32> get-module azuread

    ModuleType Version      Name                                ExportedCommands
    ---------- ---------    ----                                ----------------
    Binary     2.0.0.115    azuread                      {Add-AzureADAdministrati...}

Ahora puede empezar a usar los cmdlets del módulo.Now you can start using the cmdlets in the module. Para ver una descripción completa de los cmdlets del módulo de Azure AD, consulte la documentación de referencia en línea para obtener Azure Active Directory PowerShell versión 2.For a full description of the cmdlets in the Azure AD module, please refer to the online reference documentation for Azure Active Directory PowerShell Version 2.

Conexión al directorioConnect to the directory

Antes de empezar a administrar los grupos mediante los cmdlets de Azure AD PowerShell, debe conectar la sesión de PowerShell al directorio que quiera administrar.Before you can start managing groups using Azure AD PowerShell cmdlets, you must connect your PowerShell session to the directory you want to manage. Use el comando siguiente:Use the following command:

    PS C:\Windows\system32> Connect-AzureAD

El cmdlet le pide las credenciales que quiere utilizar para tener acceso al directorio.The cmdlet prompts you for the credentials you want to use to access your directory. En este ejemplo, vamos a utilizar karen@drumkit.onmicrosoft.com para tener acceso al directorio de demostración.In this example, we are using karen@drumkit.onmicrosoft.com to access the demonstration directory. El cmdlet devuelve una confirmación para mostrar que la sesión se ha conectado correctamente al directorio:The cmdlet returns a confirmation to show the session was connected successfully to your directory:

    Account                       Environment Tenant
    -------                       ----------- ------
    Karen@drumkit.onmicrosoft.com AzureCloud  85b5ff1e-0402-400c-9e3c-0f…

Ahora puede empezar a usar los cmdlets de Azure AD para administrar grupos en el directorio.Now you can start using the AzureAD cmdlets to manage groups in your directory.

Recuperación de los gruposRetrieve groups

Para recuperar grupos que ya se encuentren en el directorio, utilice el cmdlet Get-AzureADGroups.To retrieve existing groups from your directory, use the Get-AzureADGroups cmdlet.

Para recuperar todos los grupos del directorio, ejecute el cmdlet sin parámetros:To retrieve all groups in the directory, use the cmdlet without parameters:

    PS C:\Windows\system32> get-azureadgroup

El cmdlet devuelve todos los grupos del directorio conectado.The cmdlet returns all groups in the connected directory.

Puede usar el parámetro -objectID si quiere recuperar un grupo específico para el que especifica el id. de objeto del grupo:You can use the -objectID parameter to retrieve a specific group for which you specify the group’s objectID:

    PS C:\Windows\system32> get-azureadgroup -ObjectId e29bae11-4ac0-450c-bc37-6dae8f3da61b

El cmdlet devuelve ahora el grupo cuyo id. de objeto coincide con el valor del parámetro especificado:The cmdlet now returns the group whose objectID matches the value of the parameter you entered:

    DeletionTimeStamp            :
    ObjectId                     : e29bae11-4ac0-450c-bc37-6dae8f3da61b
    ObjectType                   : Group
    Description                  :
    DirSyncEnabled               :
    DisplayName                  : Pacific NW Support
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 9bb4139b-60a1-434a-8c0d-7c1f8eee2df9
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Puede buscar un grupo específico mediante el parámetro - filter.You can search for a specific group using the -filter parameter. Este parámetro toma una cláusula de filtro ODATA y devuelve todos los grupos que coinciden con él, como en el ejemplo siguiente:This parameter takes an ODATA filter clause and returns all groups that match the filter, as in the following example:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Nota

Los cmdlets de Azure AD PowerShell implementan el estándar de consulta de OData.The Azure AD PowerShell cmdlets implement the OData query standard. Para obtener más información, consulte $filter en Opciones de la consulta del sistema OData mediante el punto de conexión de OData.For more information, see $filter in OData system query options using the OData endpoint.

Creación de gruposCreate groups

Para crear un nuevo grupo en el directorio, use el cmdlet New-AzureADGroup.To create a new group in your directory, use the New-AzureADGroup cmdlet. Este cmdlet crea un nuevo grupo de seguridad llamado "Marketing":This cmdlet creates a new security group called “Marketing":

    PS C:\Windows\system32> New-AzureADGroup -Description "Marketing" -DisplayName "Marketing" -MailEnabled $false -SecurityEnabled $true -MailNickName "Marketing"

Actualización de gruposUpdate groups

Para actualizar un grupo que ya exista, utilice el cmdlet Set-AzureADGroup.To update an existing group, use the Set-AzureADGroup cmdlet. En este ejemplo, vamos a cambiar la propiedad DisplayName del grupo "Administradores de Intune".In this example, we’re changing the DisplayName property of the group “Intune Administrators.” En primer lugar, buscaremos el grupo mediante el cmdlet Get-AzureADGroup y aplicaremos un filtro usando el atributo DisplayName:First, we’re finding the group using the Get-AzureADGroup cmdlet and filter using the DisplayName attribute:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Después, vamos a cambiar la propiedad Description del nuevo valor de "Administradores de dispositivos de Intune":Next, we’re changing the Description property to the new value “Intune Device Administrators”:

    PS C:\Windows\system32> Set-AzureADGroup -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -Description "Intune Device Administrators"

Ahora, si encontramos el grupo nuevo, veremos que la propiedad Description se actualiza para reflejar el nuevo valor:Now, if we find the group again, we see the Description property is updated to reflect the new value:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"

    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Device Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Eliminación de gruposDelete groups

Para eliminar grupos del directorio, use el cmdlet Remove-AzureADGroup de la siguiente manera:To delete groups from your directory, use the Remove-AzureADGroup cmdlet as follows:

    PS C:\Windows\system32> Remove-AzureADGroup -ObjectId b11ca53e-07cc-455d-9a89-1fe3ab24566b

Administración de pertenencia al grupoManage group membership

Adición de miembrosAdd members

Para agregar nuevos miembros a un grupo, utilice el cmdlet Add-AzureADGroupMember.To add new members to a group, use the Add-AzureADGroupMember cmdlet. Este comando agrega un miembro al grupo de administradores de Intune que utilizamos en el ejemplo anterior:This command adds a member to the Intune Administrators group we used in the previous example:

    PS C:\Windows\system32> Add-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

El parámetro -ObjectId es el id. de objeto del grupo al que desea agregar un miembro y RefObjectId es el del usuario que desea agregar como miembro al grupo.The -ObjectId parameter is the ObjectID of the group to which we want to add a member, and the -RefObjectId is the ObjectID of the user we want to add as a member to the group.

Obtención de miembrosGet members

Para obtener los miembros existentes de un grupo, use el cmdlet Get-AzureADGroupMember, como en este ejemplo:To get the existing members of a group, use the Get-AzureADGroupMember cmdlet, as in this example:

    PS C:\Windows\system32> Get-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df

    DeletionTimeStamp ObjectId                             ObjectType
    ----------------- --------                             ----------
                          72cd4bbd-2594-40a2-935c-016f3cfeeeea User
                          8120cc36-64b4-4080-a9e8-23aa98e8b34f User

Eliminación de miembrosRemove members

Para quitar al miembro que agregamos anteriormente al grupo, use el cmdlet Remove-AzureADGroupMember, como se muestra aquí:To remove the member we previously added to the group, use the Remove-AzureADGroupMember cmdlet, as is shown here:

    PS C:\Windows\system32> Remove-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -MemberId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Comprobación de miembrosVerify members

Para comprobar si un usuario pertenece a un grupo, use el cmdlet Select-AzureADGroupIdsUserIsMemberOf.To verify the group memberships of a user, use the Select-AzureADGroupIdsUserIsMemberOf cmdlet. Este cmdlet toma como parámetros el id. de objeto del usuario que se comprueba si pertenece a uno o varios grupos, así como una lista de grupos para realizar dicha comprobación.This cmdlet takes as its parameters the ObjectId of the user for which to check the group memberships, and a list of groups for which to check the memberships. La lista de grupos debe proporcionarse como una variable compleja del tipo Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck, así que, antes, debemos creamos una variable con ese tipo:The list of groups must be provided in the form of a complex variable of type “Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck”, so we first must create a variable with that type:

    PS C:\Windows\system32> $g = new-object Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck

Después, proporcionamos los valores de los id. de grupo para comprobar el atributo GroupIds de esta variable compleja:Next, we provide values for the groupIds to check in the attribute “GroupIds” of this complex variable:

    PS C:\Windows\system32> $g.GroupIds = "b11ca53e-07cc-455d-9a89-1fe3ab24566b", "31f1ff6c-d48c-4f8a-b2e1-abca7fd399df"

Ahora, si queremos comprobar si un usuario con el id. de objeto 72cd4bbd-2594-40a2-935c-016f3cfeeeea pertenece a uno de los grupos de $g, debemos usar lo siguiente:Now, if we want to check the group memberships of a user with ObjectID 72cd4bbd-2594-40a2-935c-016f3cfeeeea against the groups in $g, we should use:

    PS C:\Windows\system32> Select-AzureADGroupIdsUserIsMemberOf -ObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea -GroupIdsForMembershipCheck $g

    OdataMetadata                                                                                                 Value
    -------------                                                                                                  -----
    https://graph.windows.net/85b5ff1e-0402-400c-9e3c-0f9e965325d1/$metadata#Collection(Edm.String)             {31f1ff6c-d48c-4f8a-b2e1-abca7fd399df}

El valor devuelto es una lista con los grupos de los que es miembro este usuario.The value returned is a list of groups of which this user is a member. También puede aplicar este método para comprobar si determinados contactos, grupos o entidades de seguridad pertenecen a los grupos de una lista concreta. Para ello, utilice Select-AzureADGroupIdsContactIsMemberOf, Select-AzureADGroupIdsGroupIsMemberOf o Select-AzureADGroupIdsServicePrincipalIsMemberOf.You can also apply this method to check Contacts, Groups or Service Principals membership for a given list of groups, using Select-AzureADGroupIdsContactIsMemberOf, Select-AzureADGroupIdsGroupIsMemberOf or Select-AzureADGroupIdsServicePrincipalIsMemberOf

Deshabilitación de la creación de grupos por los usuariosDisable group creation by your users

Puede impedir que los usuarios no administradores creen grupos de seguridad.You can prevent non-admin users from creating security groups. El comportamiento predeterminado en Microsoft Online Directory Services (MSODS) es permitir que los usuarios no administrativos creen grupos, esté o no habilitada la administración de grupos en autoservicio (SSGM).The default behavior in Microsoft Online Directory Services (MSODS) is to allow non-admin users to create groups, whether or not self-service group management (SSGM) is also enabled. La configuración de SSGM controla el comportamiento solo en el panel de acceso Mis aplicaciones.The SSGM setting controls behavior only in the My Apps access panel.

Para deshabilitar la creación de grupos por usuarios no administrativos:To disable group creation for non-admin users:

  1. Compruebe que los usuarios no administradores pueden crear grupos:Verify that non-admin users are allowed to create groups:

    PS C:\> Get-MsolCompanyInformation | fl UsersPermissionToCreateGroupsEnabled
    
  2. Si devuelve UsersPermissionToCreateGroupsEnabled : True, los usuarios no administrativos pueden crear grupos.If it returns UsersPermissionToCreateGroupsEnabled : True, then non-admin users can create groups. Para deshabilitar esta característica:To disable this feature:

    Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False
    

Administración de propietarios de gruposManage owners of groups

Para agregar propietarios a un grupo, utilice el cmdlet Add-AzureADGroupOwner:To add owners to a group, use the Add-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> Add-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

El parámetro -ObjectId es el identificador de objeto del grupo al que queremos agregar un propietario y -RefObjectId es el identificador del usuario o la entidad de servicio que queremos agregar como propietario del grupo.The -ObjectId parameter is the ObjectID of the group to which we want to add an owner, and the -RefObjectId is the ObjectID of the user or service principal we want to add as an owner of the group.

Para recuperar los propietarios de un grupo, utilice el cmdlet Get-AzureADGroupOwner:To retrieve the owners of a group, use the Get-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> Get-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df

El cmdlet devuelve la lista de propietarios (usuarios y entidades de servicio) del grupo especificado:The cmdlet returns the list of owners (users and service principals) for the specified group:

    DeletionTimeStamp ObjectId                             ObjectType
    ----------------- --------                             ----------
                          e831b3fd-77c9-49c7-9fca-de43e109ef67 User

Si desea quitar un propietario de un grupo, utilice el cmdlet Remove-AzureADGroupOwner:If you want to remove an owner from a group, use the Remove-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> remove-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -OwnerId e831b3fd-77c9-49c7-9fca-de43e109ef67

Alias reservadosReserved aliases

Cuando se crea un grupo, algunos de los puntos de conexión permiten al usuario final especificar un mailNickname o alias que se usarán como parte de la dirección de correo electrónico del grupo.When a group is created, certain endpoints allow the end user to specify a mailNickname or alias to be used as part of the email address of the group. Los grupos con los siguientes alias de correo electrónico con privilegios elevados solo puede crearlos un administrador global de Azure AD. Groups with the following highly privileged email aliases can only be created by an Azure AD global administrator. 

  • abuseabuse
  • adminadmin
  • administratoradministrator
  • hostmasterhostmaster
  • majordomomajordomo
  • postmasterpostmaster
  • rootroot
  • securesecure
  • securitysecurity
  • ssl-adminssl-admin
  • webmasterwebmaster

Escritura diferida de grupos en entornos locales (versión preliminar)Group writeback to on-premises (preview)

Hoy en día, se siguen administrando muchos grupos en Active Directory local.Today, many groups are still managed in on-premises Active Directory. Para responder a las solicitudes para sincronizar grupos en la nube de nuevo a entornos locales, la característica de escritura diferida de grupos de Office 365 para Azure AD está ahora disponible en versión preliminar.To answer requests to sync cloud groups back to on-premise, Office 365 groups writeback feature for Azure AD is now available for preview.

Los grupos de Office 365 se crean y administran en la nube.Office 365 groups are created and managed in the cloud. La capacidad de escritura diferida le permite volver a escribir los grupos de Office 365 como grupos de distribución en un bosque de Active Directory con Exchange instalado.The writeback capability allows you to write back Office 365 groups as distribution groups to an Active Directory forest with Exchange installed. Después, los usuarios con buzones de Exchange locales pueden enviar y recibir correos electrónicos de estos grupos.Users with on-premises Exchange mailboxes can then send and receive emails from these groups. La característica de reescritura de grupos no admite grupos de distribución ni grupos de seguridad de Azure AD.The group writeback feature doesn't support Azure AD security groups or distribution groups.

Para obtener más información, consulte la documentación para el servicio de sincronización de Azure AD Connect.For more details, please refer to documentation for the Azure AD Connect sync service.

La escritura diferida de grupos de Office 365 es una característica en versión preliminar pública de Azure Active Directory (Azure AD) y está disponible con cualquier plan de licencia de Azure AD de pago.Office 365 group writeback is a public preview feature of Azure Active Directory (Azure AD) and is available with any paid Azure AD license plan. Para obtener alguna información legal sobre las versiones preliminares, vea Términos de uso complementarios de las versiones preliminares de Microsoft Azure.For some legal information about previews, see Supplemental Terms of Use for Microsoft Azure Previews.

Pasos siguientesNext steps

Puede encontrar más documentación de Azure Active Directory PowerShell en el artículo sobre los cmdlets de Azure Active Directory.You can find more Azure Active Directory PowerShell documentation at Azure Active Directory Cmdlets.