Microsoft Entra 2-es verziójú parancsmagok csoportkezeléshez
Ez a cikk példákat tartalmaz arra, hogyan kezelheti a csoportokat a Microsoft Entra id-ban, a Microsoft Entra részeként a PowerShell használatával. Azt is ismerteti, hogyan állíthatja be a Microsoft Graph PowerShell-modult. Először le kell töltenie a Microsoft Graph PowerShell modult.
A Microsoft Graph PowerShell-modul telepítése
Az MgGroup PowerShell-modul telepítéséhez használja a következő parancsokat:
PS C:\Windows\system32> Install-module Microsoft.Graph
Annak ellenőrzéséhez, hogy a modul készen áll-e a használatra, használja a következő parancsot:
PS C:\Windows\system32> Get-Module -Name "*graph*"
ModuleType Version PreRelease Name ExportedCommands
---------- ------- ---------- ---- ----------------
Script 1.27.0 Microsoft.Graph.Authentication {Add-MgEnvironment, Connect-MgGraph, Disconnect-MgGraph, Get-MgContext…}
Script 1.27.0 Microsoft.Graph.Groups {Add-MgGroupDriveListContentTypeCopy, Add-MgGroupDriveListContentTypeCopyF…
Most már használhatja a modul parancsmagjait. A Microsoft Graph modul parancsmagjainak teljes leírását a Microsoft Graph PowerShell online referenciadokumentációjában találja.
Csatlakozás a könyvtárba
Mielőtt elkezdené a csoportok kezelését a Microsoft Graph PowerShell-parancsmagokkal, csatlakoztatnia kell a PowerShell-munkamenetet a kezelni kívánt könyvtárhoz. Használja az alábbi parancsot:
PS C:\Windows\system32> Connect-MgGraph -Scopes "Group.ReadWrite.All"
A parancsmag kéri a címtár eléréséhez használni kívánt hitelesítő adatokat. Ebben a példában a bemutató könyvtár elérését használjuk karen@drumkit.onmicrosoft.com . A parancsmag visszaigazolást ad vissza, amely jelzi, hogy a munkamenet sikeresen csatlakozott a címtárhoz:
Welcome To Microsoft Graph!
Most már használhatja az MgGraph parancsmagokat a címtárban lévő csoportok kezeléséhez.
Csoportok lekérése
A meglévő csoportok címtárból való lekéréséhez használja a Get-MgGroups parancsmagot.
A címtár összes csoportjának lekéréséhez használja a parancsmagot paraméterek nélkül:
PS C:\Windows\system32> Get-MgGroup -All
A parancsmag a csatlakoztatott könyvtár összes csoportját visszaadja.
A -GroupId paraméterrel lekérhet egy adott csoportot, amelyhez a csoport objektumazonosítóját adja meg:
PS C:\Windows\system32> Get-MgGroup -GroupId 5e3eba05-6c2b-4555-9909-c08e997aab18 | fl
A parancsmag most azt a csoportot adja vissza, amelynek objektumazonosítója megegyezik a megadott paraméter értékével:
AcceptedSenders :
AllowExternalSenders :
AppRoleAssignments :
AssignedLabels :
AssignedLicenses :
AutoSubscribeNewMembers :
Calendar : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCalendar
CalendarView :
Classification :
Conversations :
CreatedDateTime : 14-07-2023 14:25:49
CreatedOnBehalfOf : Microsoft.Graph.PowerShell.Models.MicrosoftGraphDirectoryObject
DeletedDateTime :
Description : Sales and Marketing
DisplayName : Sales and Marketing
Id : f76cbbb8-0581-4e01-a0d4-133d3ce9197f
IsArchived :
IsAssignableToRole :
IsSubscribedByMail :
LicenseProcessingState : Microsoft.Graph.PowerShell.Models.MicrosoftGraphLicenseProcessingState
Mail : SalesAndMarketing@M365x64647001.onmicrosoft.com
MailEnabled : True
MailNickname : SalesAndMarketing
RejectedSenders :
RenewedDateTime : 14-07-2023 14:25:49
SecurityEnabled : True
A -filter paraméterrel kereshet egy adott csoportot. Ez a paraméter egy ODATA-szűrési záradékot alkalmaz, és a szűrőnek megfelelő összes csoportot visszaadja, ahogyan az alábbi példában is látható:
PS C:\Windows\system32> Get-MgGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Megjegyzés:
Az MgGroup PowerShell-parancsmagok az OData lekérdezési szabványt implementálják. További információ: $filter OData-rendszerlekérdezési beállításai az OData-végpont használatával.
Csoportok létrehozása
Ha új csoportot szeretne létrehozni a címtárban, használja a New-MgGroup parancsmagot. Ez a parancsmag létrehoz egy "Marketing" nevű új biztonsági csoportot:
$param = @{
description="My Demo Group"
displayName="DemoGroup"
mailEnabled=$false
securityEnabled=$true
mailNickname="Demo"
}
New-MgGroup @param
Update groups
Meglévő csoport frissítéséhez használja az Update-MgGroup parancsmagot. Ebben a példában az "Intune Rendszergazda istrators" csoport DisplayName tulajdonságát módosítjuk. Először a Get-MgGroup parancsmaggal találjuk meg a csoportot, és a DisplayName attribútummal szűrjük:
PS C:\Windows\system32> Get-MgGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Ezután a Leírás tulajdonságot az "Intune-eszköz Rendszergazda istratorok" értékre módosítjuk:
PS C:\Windows\system32> Update-MgGroup -GroupId 958d212c-14b0-43d0-a052-d0c2bb555b8b -Description "Demo Group Updated"
Most, ha ismét megtaláljuk a csoportot, a Leírás tulajdonság frissül az új értéknek megfelelően:
PS C:\Windows\system32> Get-MgGroup -GroupId 958d212c-14b0-43d0-a052-d0c2bb555b8b | select displayname, description
DisplayName Description
----------- -----------
DemoGroup Demo Group Updated
Csoportok törlése
A csoportok címtárból való törléséhez használja a Remove-MgGroup parancsmagot az alábbiak szerint:
PS C:\Windows\system32> Remove-MgGroup -GroupId 958d212c-14b0-43d0-a052-d0c2bb555b8b
Csoporttagság kezelése
Tagok hozzáadása
Ha új tagokat szeretne hozzáadni egy csoporthoz, használja az Add-MgGroupMember parancsmagot. Ez a parancs hozzáad egy tagot az előző példában használt Intune Rendszergazda istrators csoporthoz:
PS C:\Windows\system32> New-MgGroupMember -GroupId f76cbbb8-0581-4e01-a0d4-133d3ce9197f -DirectoryObjectId a88762b7-ce17-40e9-b417-0add1848eb68
A -GroupId paraméter annak a csoportnak az ObjectID azonosítója, amelyhez tagot kíván hozzáadni, a -DirectoryObjectId pedig annak a felhasználónak az ObjectID azonosítója, amelyet tagként szeretne hozzáadni a csoporthoz.
Tagok lekérése
A csoport meglévő tagjainak lekéréséhez használja a Get-MgGroupMember parancsmagot, ahogyan az ebben a példában látható:
PS C:\Windows\system32> Get-MgGroupMember -GroupId 2c52c779-8587-48c5-9d4a-c474f2a66cf4
Id DeletedDateTime
-- ---------------
71b3857d-2a23-416d-bd22-a471854ddada
fd2d57c7-22ad-42cd-961a-7340fb2eb6b4
Tagok eltávolítása
A csoporthoz korábban felvett tag eltávolításához használja a Remove-MgGroupMember parancsmagot, ahogyan az itt látható:
PS C:\Windows\system32> Remove-MgGroupMemberByRef -DirectoryObjectId 053a6a7e-4a75-48bc-8324-d70f50ec0d91 -GroupId 2c52c779-8587-48c5-9d4a-c474f2a66cf4
Tagok ellenőrzése
A felhasználó csoporttagságainak ellenőrzéséhez használja a Select-MgGroupIdsUserIsMemberOf parancsmagot. Ez a parancsmag paraméterként a felhasználó ObjectId azonosítóját veszi fel a csoporttagságok ellenőrzéséhez, valamint azoknak a csoportoknak a listáját, amelyeknél ellenőrizni szeretné a tagságokat. A csoportok listáját egy "Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck" típusú összetett változó formájában kell megadni, ezért először létre kell hoznunk egy ilyen típusú változót:
Get-MgUserMemberOf -UserId 053a6a7e-4a75-48bc-8324-d70f50ec0d91
Id DisplayName Description GroupTypes AccessType
-- ----------- ----------- ---------- ----------
5dc16449-3420-4ad5-9634-49cd04eceba0 demogroup demogroup {Unified}
A visszaadott érték azon csoportok listája, amelyeknek a felhasználó tagja. Ezzel a módszerrel ellenőrizheti a partnerek, csoportok vagy szolgáltatásnevek tagságát egy adott csoportlistán a Select-MgGroupIdsContactIsMemberOf, a Select-MgGroupIdsGroupIsMemberOf vagy a Select-MgGroupIdsServicePrincipalIsMemberOf használatával.
Csoportlétrehozás letiltása a felhasználók számára
Megakadályozhatja, hogy a nem rendszergazdai felhasználók biztonsági csoportokat hozzanak létre. A Microsoft Online Directory Services (MSODS) alapértelmezett viselkedése az, hogy engedélyezi a nem rendszergazdai felhasználók számára a csoportok létrehozását, függetlenül attól, hogy engedélyezve van-e az önkiszolgáló csoportkezelés (SSGM). Az SSGM-beállítás csak a Saját alkalmazások hozzáférési panelen szabályozza a viselkedést.
Nem rendszergazdai felhasználók csoportlétrehozásának letiltása:
Ellenőrizze, hogy nem rendszergazdai felhasználók hozhatnak-e létre csoportokat:
PS C:\> Get-MgBetaDirectorySetting | select -ExpandProperty values Name Value ---- ----- NewUnifiedGroupWritebackDefault true EnableMIPLabels false CustomBlockedWordsList EnableMSStandardBlockedWords false ClassificationDescriptions DefaultClassification PrefixSuffixNamingRequirement AllowGuestsToBeGroupOwner false AllowGuestsToAccessGroups true GuestUsageGuidelinesUrl GroupCreationAllowedGroupId AllowToAddGuests true UsageGuidelinesUrl ClassificationList EnableGroupCreation trueHa visszaadja
EnableGroupCreation : True, akkor a nem rendszergazdai felhasználók csoportokat hozhatnak létre. A funkció letiltása:Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement $params = @{ TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b" Values = @( @{ Name = "EnableGroupCreation" Value = "false" } ) } Connect-MgGraph -Scopes "Directory.ReadWrite.All" New-MgBetaDirectorySetting -BodyParameter $params
Csoportok tulajdonosainak kezelése
Ha tulajdonosokat szeretne hozzáadni egy csoporthoz, használja a New-MgGroupOwner parancsmagot:
PS C:\Windows\system32> New-MgGroupOwner -GroupId 0e48dc96-3bff-4fe1-8939-4cd680163497 -DirectoryObjectId 92a0dad0-7c9e-472f-b2a3-0fe2c9a02867
A -GroupId paraméter annak a csoportnak az ObjectID azonosítója, amelyhez tulajdonost kívánunk hozzáadni, a -DirectoryObjectId pedig annak a felhasználónak vagy szolgáltatásnévnek az ObjectID azonosítója, amelyet tulajdonosként szeretnénk hozzáadni.
Egy csoport tulajdonosainak lekéréséhez használja a Get-MgGroupOwner parancsmagot:
PS C:\Windows\system32> Get-MgGroupOwner -GroupId 0e48dc96-3bff-4fe1-8939-4cd680163497
A parancsmag a megadott csoporthoz tartozó tulajdonosok (felhasználók és szolgáltatásnevek) listáját adja vissza:
Id DeletedDateTime
-- ---------------
8ee754e0-743e-4231-ace4-c28d20cf2841
85b1df54-e5c0-4cfd-a20b-8bc1a2ca7865
4451b332-2294-4dcf-a214-6cc805016c50
Ha el szeretne távolítani egy tulajdonost egy csoportból, használja a Remove-MgGroupOwnerByRef parancsmagot:
PS C:\Windows\system32> Remove-MgGroupOwnerByRef -GroupId 0e48dc96-3bff-4fe1-8939-4cd680163497 -DirectoryObjectId 92a0dad0-7c9e-472f-b2a3-0fe2c9a02867
Fenntartott aliasok
Egy csoport létrehozásakor bizonyos végpontok lehetővé teszik a végfelhasználó számára, hogy a csoport e-mail-címének részeként használjon egy mailNickname vagy alias nevet. Az alábbi kiemelt jogosultságú e-mail-aliasokkal rendelkező csoportokat csak a Microsoft Entra Global Rendszergazda istrator hozhatja létre.
- Visszaélés
- felügyelet
- Rendszergazda
- hostmaster
- majordomo
- Postamester
- Gyökér
- biztonságos
- Biztonság
- ssl-admin
- Webmester
Csoportos visszaírás helyszínire (előzetes verzió)
Ma még számos csoportot kezelnek helyi Active Directory. A felhőbeli csoportok helyszíni szinkronizálására vonatkozó kérelmek megválaszolásához a Microsoft Entra ID Microsoft 365-csoportok visszaírási funkciója már előzetes verzióban is elérhető.
A Microsoft 365-csoportokat a felhőben hozza létre és felügyeli. A visszaírási funkció lehetővé teszi a Microsoft 365-csoportok terjesztési csoportokként való visszaírását egy Active Directory-erdőbe, amelyen telepítve van az Exchange. A helyszíni Exchange-postaládákkal rendelkező felhasználók ezután e-maileket küldhetnek és fogadhatnak ezektől a csoportoktól. A csoportvisszaíró funkció nem támogatja a Microsoft Entra biztonsági csoportokat és terjesztési csoportokat.
További részletekért tekintse meg a Microsoft Entra Csatlakozás Sync szolgáltatás dokumentációját.
A Microsoft 365-csoportvisszaíró a Microsoft Entra ID nyilvános előzetes verziója, amely bármely fizetős Microsoft Entra ID-licenccsomaggal elérhető. Az előzetes verziókkal kapcsolatos további információkért tekintse meg az online szolgáltatások általános licencfeltételeit.
Következő lépések
További Azure Active Directory PowerShell-dokumentációt a Microsoft Entra-parancsmagokban talál.