Cmdlets d’Azure Active Directory version 2 pour la gestion de groupeAzure Active Directory version 2 cmdlets for group management

Cet article contient des exemples expliquant comment utiliser PowerShell pour gérer vos groupes dans Azure Active Directory (Azure AD).This article contains examples of how to use PowerShell to manage your groups in Azure Active Directory (Azure AD). Il fournit également des informations sur la configuration à l’aide du module Azure AD PowerShell.It also tells you how to get set up with the Azure AD PowerShell module. Vous devez tout d’abord télécharger le module Azure AD PowerShell.First, you must download the Azure AD PowerShell module.

Installer le module Azure AD PowerShellInstall the Azure AD PowerShell module

Pour installer le module PowerShell Azure AD, utilisez les commandes suivantes :To install the Azure AD PowerShell module, use the following commands:

    PS C:\Windows\system32> install-module azuread
    PS C:\Windows\system32> import-module azuread

Pour vérifier que le module est prêt à l’emploi, utilisez la commande suivante :To verify that the module is ready to use, use the following command:

    PS C:\Windows\system32> get-module azuread

    ModuleType Version      Name                                ExportedCommands
    ---------- ---------    ----                                ----------------
    Binary     2.0.0.115    azuread                      {Add-AzureADAdministrati...}

Vous pouvez désormais utiliser les applets de commande dans le module.Now you can start using the cmdlets in the module. Pour obtenir une description complète des applets de commande du module Azure AD, consultez la documentation de référence en ligne pour Azure Active Directory PowerShell Version 2.For a full description of the cmdlets in the Azure AD module, please refer to the online reference documentation for Azure Active Directory PowerShell Version 2.

Notes

Les cmdlets Azure AD PowerShell ne fonctionnent pas avec le nouveau PowerShell 7, car celui-ci est basé sur .NET Core.The Azure AD PowerShell cmdlets does not work with the new Powershell 7 as it is based on .net Core. Nous sommes conscients qu’il s’agit d’un processus de mise à jour.We are aware and this is in the process of getting updated. À ce stade, nous vous suggérons d’utiliser le module Windows PowerShell 5.x pour les opérations Azure AD PowerShell.As of now we suggest to use the Windows PowerShell 5.x Module to be used for Azure AD powershell operations.

Se connecter à l’annuaireConnect to the directory

Avant de pouvoir gérer des groupes à l’aide des applets de commande Azure AD PowerShell, vous devez connecter votre session PowerShell au répertoire que vous voulez gérer.Before you can start managing groups using Azure AD PowerShell cmdlets, you must connect your PowerShell session to the directory you want to manage. Utilisez la commande suivante :Use the following command:

    PS C:\Windows\system32> Connect-AzureAD

L’applet de commande vous demande de fournir les informations d’identification à utiliser pour accéder à votre répertoire.The cmdlet prompts you for the credentials you want to use to access your directory. Dans cet exemple, nous utilisons karen@drumkit.onmicrosoft.com pour accéder au répertoire de démonstration.In this example, we are using karen@drumkit.onmicrosoft.com to access the demonstration directory. L’applet de commande renvoie une confirmation pour indiquer que la session a été correctement connectée à votre répertoire :The cmdlet returns a confirmation to show the session was connected successfully to your directory:

    Account                       Environment Tenant ID
    -------                       ----------- ---------
    Karen@drumkit.onmicrosoft.com AzureCloud  85b5ff1e-0402-400c-9e3c-0f…

À présent, vous pouvez commencer à utiliser les applets de commande Azure AD pour gérer des groupes dans votre répertoire.Now you can start using the AzureAD cmdlets to manage groups in your directory.

Récupérer des groupesRetrieve groups

Pour récupérer des groupes existants à partir de votre annuaire, utilisez l’applet de commande Get-AzureADGroups.To retrieve existing groups from your directory, use the Get-AzureADGroups cmdlet.

Pour récupérer tous les groupes dans le répertoire, utilisez l’applet de commande sans paramètres :To retrieve all groups in the directory, use the cmdlet without parameters:

    PS C:\Windows\system32> get-azureadgroup

L’applet de commande renvoie tous les groupes dans le répertoire connecté.The cmdlet returns all groups in the connected directory.

Vous pouvez utiliser le paramètre -objectID pour récupérer un groupe spécifique pour lequel vous spécifiez le paramètre objectID du groupe :You can use the -objectID parameter to retrieve a specific group for which you specify the group’s objectID:

    PS C:\Windows\system32> get-azureadgroup -ObjectId e29bae11-4ac0-450c-bc37-6dae8f3da61b

L’applet de commande renvoie à présent l’objectID correspond à la valeur du paramètre que vous avez saisi :The cmdlet now returns the group whose objectID matches the value of the parameter you entered:

    DeletionTimeStamp            :
    ObjectId                     : e29bae11-4ac0-450c-bc37-6dae8f3da61b
    ObjectType                   : Group
    Description                  :
    DirSyncEnabled               :
    DisplayName                  : Pacific NW Support
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 9bb4139b-60a1-434a-8c0d-7c1f8eee2df9
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Vous pouvez rechercher un groupe spécifique en utilisant le paramètre -filter.You can search for a specific group using the -filter parameter. Ce paramètre utilise une clause de filtre ODATA et renvoie tous les groupes qui correspondent au filtre, comme dans l’exemple suivant :This parameter takes an ODATA filter clause and returns all groups that match the filter, as in the following example:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Notes

Les applets de commande Azure AD PowerShell mettent en œuvre la norme de requête OData.The Azure AD PowerShell cmdlets implement the OData query standard. Pour plus d’informations, consultez $filter dans options de requête système OData à l’aide du point de terminaison OData.For more information, see $filter in OData system query options using the OData endpoint.

Créer des groupesCreate groups

Pour créer un nouveau groupe dans votre répertoire, utilisez l’applet de commande New-AzureADGroup.To create a new group in your directory, use the New-AzureADGroup cmdlet. Cette applet de commande crée un nouveau groupe de sécurité appelé « Marketing » :This cmdlet creates a new security group called “Marketing":

    PS C:\Windows\system32> New-AzureADGroup -Description "Marketing" -DisplayName "Marketing" -MailEnabled $false -SecurityEnabled $true -MailNickName "Marketing"

Mettre à jour des groupesUpdate groups

Pour mettre à jour un groupe existant, utilisez l’applet de commande Set-AzureADGroup.To update an existing group, use the Set-AzureADGroup cmdlet. Dans cet exemple, nous modifions la propriété DisplayName du groupe « Administrateurs Intune ».In this example, we’re changing the DisplayName property of the group “Intune Administrators.” Tout d’abord, nous recherchons le groupe à l’aide de l’applet de commande Get-AzureADGroup et filtrons à l’aide de l’attribut DisplayName :First, we’re finding the group using the Get-AzureADGroup cmdlet and filter using the DisplayName attribute:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Ensuite, nous attribuons à la propriété Description la nouvelle valeur « Administrateurs d’appareil Intune » :Next, we’re changing the Description property to the new value “Intune Device Administrators”:

    PS C:\Windows\system32> Set-AzureADGroup -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -Description "Intune Device Administrators"

À présent, si nous recherchons à nouveau le groupe, nous constatons que la propriété Description est mise à jour pour refléter la nouvelle valeur :Now, if we find the group again, we see the Description property is updated to reflect the new value:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"

    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Device Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Supprimer des groupesDelete groups

Pour supprimer des groupes de votre répertoire, utilisez l’applet de commande Remove-AzureADGroup comme suit :To delete groups from your directory, use the Remove-AzureADGroup cmdlet as follows:

    PS C:\Windows\system32> Remove-AzureADGroup -ObjectId b11ca53e-07cc-455d-9a89-1fe3ab24566b

Gérer l’appartenance au groupeManage group membership

Ajouter des membresAdd members

Pour ajouter de nouveaux membres à un groupe, utilisez l’applet de commande Add-AzureADGroupMember.To add new members to a group, use the Add-AzureADGroupMember cmdlet. Cette commande ajoute un membre au groupe Administrateurs Intune que nous avons utilisé dans l’exemple précédent :This command adds a member to the Intune Administrators group we used in the previous example:

    PS C:\Windows\system32> Add-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Le paramètre -ObjectId est l’ObjectID du groupe auquel nous souhaitons ajouter un membre et le paramètre -RefObjectId est l’ObjectID de l’utilisateur que nous souhaitons ajouter au groupe en tant que membre.The -ObjectId parameter is the ObjectID of the group to which we want to add a member, and the -RefObjectId is the ObjectID of the user we want to add as a member to the group.

Obtenir les membresGet members

Pour obtenir les membres existants d’un groupe, utilisez l’applet de commande Get-AzureADGroupMember, comme dans cet exemple :To get the existing members of a group, use the Get-AzureADGroupMember cmdlet, as in this example:

    PS C:\Windows\system32> Get-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df

    DeletionTimeStamp ObjectId                             ObjectType
    ----------------- --------                             ----------
                          72cd4bbd-2594-40a2-935c-016f3cfeeeea User
                          8120cc36-64b4-4080-a9e8-23aa98e8b34f User

Supprimer des membresRemove members

Pour supprimer le membre, que nous avons ajouté précédemment au groupe, utilisez l’applet de commande Remove-AzureADGroupMember, comme illustré ici :To remove the member we previously added to the group, use the Remove-AzureADGroupMember cmdlet, as is shown here:

    PS C:\Windows\system32> Remove-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -MemberId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Vérifier les membresVerify members

Pour vérifier l’appartenance d’un utilisateur à un groupe, utilisez l’applet de commande Select-AzureADGroupIdsUserIsMemberOf.To verify the group memberships of a user, use the Select-AzureADGroupIdsUserIsMemberOf cmdlet. Cette applet de commande utilise comme paramètres l’ObjectId de l’utilisateur pour lequel vérifier l’appartenance au groupe et une liste de groupes pour lesquels vérifier les appartenances.This cmdlet takes as its parameters the ObjectId of the user for which to check the group memberships, and a list of groups for which to check the memberships. La liste des groupes doit être spécifiée sous la forme d’une variable complexe de type « Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck », donc nous devons tout d’abord créer une variable de ce type :The list of groups must be provided in the form of a complex variable of type “Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck”, so we first must create a variable with that type:

    PS C:\Windows\system32> $g = new-object Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck

Ensuite, nous fournissons des valeurs pour les groupIds à vérifier dans l’attribut « GroupIds » de cette variable complexe :Next, we provide values for the groupIds to check in the attribute “GroupIds” of this complex variable:

    PS C:\Windows\system32> $g.GroupIds = "b11ca53e-07cc-455d-9a89-1fe3ab24566b", "31f1ff6c-d48c-4f8a-b2e1-abca7fd399df"

À présent, pour vérifier les appartenances aux groupes d’un utilisateur avec l’ObjectID 72cd4bbd-2594-40a2-935c-016f3cfeeeea sur les groupes dans $g, nous devons utiliser :Now, if we want to check the group memberships of a user with ObjectID 72cd4bbd-2594-40a2-935c-016f3cfeeeea against the groups in $g, we should use:

    PS C:\Windows\system32> Select-AzureADGroupIdsUserIsMemberOf -ObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea -GroupIdsForMembershipCheck $g

    OdataMetadata                                                                                                 Value
    -------------                                                                                                  -----
    https://graph.windows.net/85b5ff1e-0402-400c-9e3c-0f9e965325d1/$metadata#Collection(Edm.String)             {31f1ff6c-d48c-4f8a-b2e1-abca7fd399df}

La valeur retournée est une liste de groupes dont cet utilisateur est membre.The value returned is a list of groups of which this user is a member. Vous pouvez également appliquer cette méthode pour vérifier l’appartenance aux Contacts, Groupes ou Principaux du service pour une liste donnée de groupes, à l’aide de Select-AzureADGroupIdsContactIsMemberOf, Select-AzureADGroupIdsGroupIsMemberOf ou Select-AzureADGroupIdsServicePrincipalIsMemberOfYou can also apply this method to check Contacts, Groups or Service Principals membership for a given list of groups, using Select-AzureADGroupIdsContactIsMemberOf, Select-AzureADGroupIdsGroupIsMemberOf or Select-AzureADGroupIdsServicePrincipalIsMemberOf

Désactiver la création d’un groupe par vos utilisateursDisable group creation by your users

Vous pouvez empêcher des utilisateurs non-administrateurs de créer des groupes de sécurité.You can prevent non-admin users from creating security groups. Le comportement par défaut dans Microsoft Online Directory Services (MSODS) consiste à permettre aux utilisateurs non-administrateurs de créer des groupes, que la gestion de groupes en libre-service soit ou non également activée.The default behavior in Microsoft Online Directory Services (MSODS) is to allow non-admin users to create groups, whether or not self-service group management (SSGM) is also enabled. Le paramétrage de la gestion de groupes en libre-service contrôle ce comportement uniquement dans le panneau d’accès Mes applications.The SSGM setting controls behavior only in the My Apps access panel.

Pour désactiver la création d’un groupe pour les utilisateurs non-administrateurs :To disable group creation for non-admin users:

  1. Vérifiez que les utilisateurs non-administrateurs sont autorisés à créer des groupes :Verify that non-admin users are allowed to create groups:

    PS C:\> Get-MsolCompanyInformation | fl UsersPermissionToCreateGroupsEnabled
    
  2. Si la commande retourne UsersPermissionToCreateGroupsEnabled : True, les utilisateurs non-administrateurs peuvent créer des groupes.If it returns UsersPermissionToCreateGroupsEnabled : True, then non-admin users can create groups. Pour désactiver cette fonctionnalité :To disable this feature:

    Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False
    

Gérer les propriétaires de groupesManage owners of groups

Pour ajouter des propriétaires à un groupe, utilisez l’applet de commande Add-AzureADGroupOwner :To add owners to a group, use the Add-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> Add-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Le paramètre -ObjectId est l’ObjectID du groupe auquel nous souhaitons ajouter un propriétaire et le paramètre -RefObjectId est l’ObjectID de l’utilisateur ou du principal du service que nous souhaitons ajouter au groupe en tant que propriétaire.The -ObjectId parameter is the ObjectID of the group to which we want to add an owner, and the -RefObjectId is the ObjectID of the user or service principal we want to add as an owner of the group.

Pour récupérer les propriétaires d’un groupe, utilisez l’applet de commande Get-AzureADGroupOwner :To retrieve the owners of a group, use the Get-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> Get-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df

L’applet de commande renvoie la liste des propriétaires (utilisateurs et principaux du service) du groupe spécifié :The cmdlet returns the list of owners (users and service principals) for the specified group:

    DeletionTimeStamp ObjectId                             ObjectType
    ----------------- --------                             ----------
                          e831b3fd-77c9-49c7-9fca-de43e109ef67 User

Si vous souhaitez supprimer un propriétaire d’un groupe, utilisez l’applet de commande Remove-AzureADGroupOwner :If you want to remove an owner from a group, use the Remove-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> remove-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -OwnerId e831b3fd-77c9-49c7-9fca-de43e109ef67

Alias réservésReserved aliases

Quand un groupe est créé, certain points de terminaison autorisent l’utilisateur final à spécifier un mailNickname ou alias à utiliser dans l’adresse e-mail du groupe.When a group is created, certain endpoints allow the end user to specify a mailNickname or alias to be used as part of the email address of the group.  Les groupes avec les alias de messagerie hautement privilégiés suivants peuvent uniquement être créés par un administrateur général Azure AD.Groups with the following highly privileged email aliases can only be created by an Azure AD global administrator.

  • abuseabuse
  • adminadmin
  • administratoradministrator
  • hostmasterhostmaster
  • majordomomajordomo
  • postmasterpostmaster
  • rootroot
  • securesecure
  • securitysecurity
  • ssl-adminssl-admin
  • webmasterwebmaster

Écriture différée de groupe au niveau local (préversion)Group writeback to on-premises (preview)

De nos jours, de nombreux groupes sont toujours gérés localement dans Active Directory.Today, many groups are still managed in on-premises Active Directory. Pour répondre à des requêtes visant à resynchroniser localement des groupes cloud, la fonctionnalité d’écriture différée dans les groupes Microsoft 365 pour Azure AD est désormais disponible en préversion.To answer requests to sync cloud groups back to on-premises, Microsoft 365 groups writeback feature for Azure AD is now available for preview.

Les groupes Microsoft 365 sont créés et gérés dans le cloud.Microsoft 365 groups are created and managed in the cloud. La fonctionnalité d’écriture différée vous permet de mettre à jour les groupes Microsoft 365 en tant que groupes de distribution dans une forêt Active Directory sur laquelle est installé Exchange.The writeback capability allows you to write back Microsoft 365 groups as distribution groups to an Active Directory forest with Exchange installed. Les utilisateurs disposant de boîtes aux lettres Exchange locales peuvent envoyer et recevoir des e-mails à partir de ces groupes.Users with on-premises Exchange mailboxes can then send and receive emails from these groups. La fonctionnalité d’écriture différée de groupe ne prend pas en charge les groupes de sécurité ou les groupes de distribution Azure AD.The group writeback feature doesn't support Azure AD security groups or distribution groups.

Pour plus d’informations, reportez-vous à la documentation relative au service de synchronisation Azure AD Connect.For more details, please refer to documentation for the Azure AD Connect sync service.

L’écriture différée de groupe Microsoft 365 est une fonctionnalité d’évaluation publique d’Azure Active Directory (Azure AD) qui est également disponible avec un plan de licence Azure AD payant.Microsoft 365 group writeback is a public preview feature of Azure Active Directory (Azure AD) and is available with any paid Azure AD license plan. Pour plus d’informations légales sur les préversions, consultez Conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure.For some legal information about previews, see Supplemental Terms of Use for Microsoft Azure Previews.

Étapes suivantesNext steps

Vous trouverez plus d’informations sur Azure Active Directory PowerShell dans la page dédiée aux applets de commande Azure Active Directory.You can find more Azure Active Directory PowerShell documentation at Azure Active Directory Cmdlets.