Azure Active Directory 2-es verziójú parancsmagok a csoportkezeléshez

Ez a cikk példákat tartalmaz arra, hogyan kezelheti a csoportokat a PowerShell használatával a Azure Active Directory (Azure AD) szolgáltatásban. Azt is bemutatja, hogyan állíthatja be az Azure AD PowerShell-modult. Először le kell töltenie az Azure AD PowerShell-modult.

Az Azure AD PowerShell-modul telepítése

Az Azure AD PowerShell-modul telepítéséhez használja a következő parancsokat:

    PS C:\Windows\system32> install-module azuread
    PS C:\Windows\system32> import-module azuread

Annak ellenőrzéséhez, hogy a modul készen áll-e a használatra, használja a következő parancsot:

    PS C:\Windows\system32> get-module azuread

    ModuleType Version      Name                                ExportedCommands
    ---------- ---------    ----                                ----------------
    Binary     2.0.0.115    azuread                      {Add-AzureADAdministrati...}

Most már elkezdheti használni a parancsmagokat a modulban. Az Azure AD-modulban található parancsmagok teljes leírását a PowerShell 2. verziójának online referenciadokumentációjában Azure Active Directory találhatja.

Megjegyzés

Az Azure AD PowerShell-parancsmagok nem működnek az új PowerShell 7-ben, mivel .net Core-alapúak. Tisztában vagyunk vele, és a frissítés folyamatban van. Jelenleg azt javasoljuk, hogy használja a Windows PowerShell 5.x modult az Azure AD PowerShell-műveletekhez.

Csatlakozás a könyvtárba

Mielőtt csoportokat kezelhet Azure AD PowerShell-parancsmagokkal, csatlakoztatnia kell a PowerShell-munkamenetet a kezelni kívánt címtárhoz. Használja az alábbi parancsot:

    PS C:\Windows\system32> Connect-AzureAD

A parancsmag kérni fogja a címtár eléréséhez használni kívánt hitelesítő adatokat. Ebben a példában a használatával karen@drumkit.onmicrosoft.com férünk hozzá a bemutató könyvtárhoz. A parancsmag egy megerősítést ad vissza, amely megerősíti, hogy a munkamenet sikeresen csatlakozott a címtárhoz:

    Account                       Environment Tenant ID
    -------                       ----------- ---------
    Karen@drumkit.onmicrosoft.com AzureCloud  85b5ff1e-0402-400c-9e3c-0f…

Most már elkezdheti használni az AzureAD-parancsmagokat a címtárban található csoportok kezeléséhez.

Csoportok lekérése

A meglévő csoportok címtárból való lekéréshez használja a Get-AzureADGroups parancsmagot.

A könyvtárban található összes csoport lekéréshez használja a parancsmagot paraméterek nélkül:

    PS C:\Windows\system32> get-azureadgroup

A parancsmag a csatlakoztatott címtárban található összes csoportot visszaadja.

Az -objectID paraméterrel lekérhet egy adott csoportot, amelyhez megadja a csoport objectID-ét:

    PS C:\Windows\system32> get-azureadgroup -ObjectId e29bae11-4ac0-450c-bc37-6dae8f3da61b

A parancsmag most azt a csoportot adja vissza, amelynek objectID értéke megegyezik a megadott paraméter értékével:

    DeletionTimeStamp            :
    ObjectId                     : e29bae11-4ac0-450c-bc37-6dae8f3da61b
    ObjectType                   : Group
    Description                  :
    DirSyncEnabled               :
    DisplayName                  : Pacific NW Support
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 9bb4139b-60a1-434a-8c0d-7c1f8eee2df9
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

A -filter paraméterrel rákereshet egy adott csoportra. Ez a paraméter egy ODATA-szűrő záradékot vesz fel, és visszaadja a szűrőnek megfelelő összes csoportot, ahogyan az alábbi példában is:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Megjegyzés

Az Azure AD PowerShell-parancsmagok az OData-lekérdezési szabványt valósítják meg. További információt az OData$filter OData-végpontot használó OData rendszerlekérdezés-beállításokban való használatának első részében található.

Csoportok létrehozása

Új csoport létrehozásához a címtárban használja a New-AzureADGroup parancsmagot. Ez a parancsmag egy új, "Marketing" nevű biztonsági csoportot hoz létre:

    PS C:\Windows\system32> New-AzureADGroup -Description "Marketing" -DisplayName "Marketing" -MailEnabled $false -SecurityEnabled $true -MailNickName "Marketing"

Csoportok frissítése

Meglévő csoport frissítéséhez használja a Set-AzureADGroup parancsmagot. Ebben a példában módosítjuk az "Intune-rendszergazdák" csoport DisplayName tulajdonságát. Először is megkeresjük a csoportot a Get-AzureADGroup parancsmaggal, és a DisplayName attribútummal szűrünk:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Ezután módosítjuk a Description (Leírás) tulajdonságot az "Intune Device Administrators" új értékre:

    PS C:\Windows\system32> Set-AzureADGroup -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -Description "Intune Device Administrators"

Ha ismét megkeresi a csoportot, a Description tulajdonság úgy frissül, hogy az új értéket tükrözze:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"

    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Device Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Csoportok törlése

Ha csoportokat szeretne törölni a címtárból, használja a Remove-AzureADGroup parancsmagot a következőképpen:

    PS C:\Windows\system32> Remove-AzureADGroup -ObjectId b11ca53e-07cc-455d-9a89-1fe3ab24566b

Csoporttagság kezelése

Tagok hozzáadása

Ha új tagokat szeretne hozzáadni egy csoporthoz, használja a Add-AzureADGroupMember parancsmagot. Ez a parancs hozzáad egy tagot az előző példában használt Intune-rendszergazdák csoporthoz:

    PS C:\Windows\system32> Add-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Az -ObjectId paraméter annak a csoportnak az ObjectID-e, amelyhez tagként hozzá szeretnénk adni, a -RefObjectId pedig annak a felhasználónak az ObjectID-e, amelyet tagként hozzá szeretnénk adni a csoporthoz.

Tagok be- és lekért

Egy csoport meglévő tagjainak lekért használhatja a Get-AzureADGroupMember parancsmagot, ahogy az alábbi példában is:

    PS C:\Windows\system32> Get-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df

    DeletionTimeStamp ObjectId                             ObjectType
    ----------------- --------                             ----------
                          72cd4bbd-2594-40a2-935c-016f3cfeeeea User
                          8120cc36-64b4-4080-a9e8-23aa98e8b34f User

Tagok eltávolítása

A csoporthoz korábban hozzáadott tag eltávolításához használja a Remove-AzureADGroupMember parancsmagot az itt látható módon:

    PS C:\Windows\system32> Remove-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -MemberId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Tagok ellenőrzése

Egy felhasználó csoporttagságának ellenőrzéséhez használja a Select-AzureADGroupIdsUserIsMemberOf parancsmagot. Ez a parancsmag annak a felhasználónak az ObjectId azonosítóját veszi fel paraméterként, amelynek a csoporttagságokat ellenőriznie kell, valamint azon csoportok listáját, amelyekhez ellenőrizni kell a tagságokat. A csoportok listáját egy "Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck" típusú összetett változó formájában kell megadnunk, ezért először létre kell hoznunk egy változót az alábbi típussal:

    PS C:\Windows\system32> $g = new-object Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck

Ezután értékeket ad meg a groupId-hez, hogy ellenőrizve a következő összetett változó "GroupIds" attribútumát:

    PS C:\Windows\system32> $g.GroupIds = "b11ca53e-07cc-455d-9a89-1fe3ab24566b", "31f1ff6c-d48c-4f8a-b2e1-abca7fd399df"

Ha most a 72cd4bbd-2594-40a2-935c-016f3cfeeeea objektummal és a $g csoportokkal szeretné ellenőrizni a csoporttagságokat, használja a következőt:

    PS C:\Windows\system32> Select-AzureADGroupIdsUserIsMemberOf -ObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea -GroupIdsForMembershipCheck $g

    OdataMetadata                                                                                                 Value
    -------------                                                                                                  -----
    https://graph.windows.net/85b5ff1e-0402-400c-9e3c-0f9e965325d1/$metadata#Collection(Edm.String)             {31f1ff6c-d48c-4f8a-b2e1-abca7fd399df}

A visszaadott érték azon csoportok listája, amelyek tagjai a felhasználónak. Ezt a módszert arra is alkalmazhatja, hogy a Select-AzureADGroupIdsContactIsMemberOf, Select-AzureADGroupIdsGroupIsMemberOf vagy Select-AzureADGroupIdsServicePrincipalIsMemberOf

Csoport létrehozásának letiltása a felhasználók számára

Megakadályozhatja, hogy a nem rendszergazda felhasználók biztonsági csoportokat hoznak létre. A Microsoft Online Directory Services (MSODS) alapértelmezett viselkedése az, hogy a nem rendszergazda felhasználók csoportokat hozhatnak létre, függetlenül attól, hogy az önkiszolgáló csoportkezelés (SSGM) is engedélyezve van-e. Az SSGM-beállítás csak a hozzáférési panelen Saját alkalmazások szabályozza a viselkedést.

Csoport létrehozásának letiltása a nem rendszergazdai felhasználók számára:

  1. Ellenőrizze, hogy a nem rendszergazda jogosultságú felhasználók létrehozhatnak-e csoportokat:

    PS C:\> Get-MsolCompanyInformation | fl UsersPermissionToCreateGroupsEnabled
    
  2. Ha a értéket adja UsersPermissionToCreateGroupsEnabled : True vissza, akkor a nem rendszergazda felhasználók létrehozhatnak csoportokat. A szolgáltatás letiltása:

    Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False
    

Csoportok tulajdonosainak kezelése

Ha tulajdonosokat szeretne hozzáadni egy csoporthoz, használja a Add-AzureADGroupOwner parancsmagot:

    PS C:\Windows\system32> Add-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Az -ObjectId paraméter annak a csoportnak az ObjectID-e, amelyhez tulajdonost szeretnénk hozzáadni, a -RefObjectId pedig annak a felhasználónak vagy szolgáltatásnévnek az ObjectID-e, amelyet a csoport tulajdonosaként szeretnénk hozzáadni.

Egy csoport tulajdonosainak lekéréshez használja a Get-AzureADGroupOwner parancsmagot:

    PS C:\Windows\system32> Get-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df

A parancsmag visszaadja a megadott csoport tulajdonosainak (felhasználóinak és szolgáltatásnévnek) a listáját:

    DeletionTimeStamp ObjectId                             ObjectType
    ----------------- --------                             ----------
                          e831b3fd-77c9-49c7-9fca-de43e109ef67 User

Ha el szeretne távolítani egy tulajdonost egy csoportból, használja a Remove-AzureADGroupOwner parancsmagot:

    PS C:\Windows\system32> remove-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -OwnerId e831b3fd-77c9-49c7-9fca-de43e109ef67

Fenntartott aliasok

Csoport létrehozásakor bizonyos végpontok lehetővé teszik a végfelhasználó számára, hogy megadzon egy mailNickname vagy egy aliast, amely a csoport e-mail-címének részeként lesz használva. Az alábbi magas jogosultsági szintű e-mail-aliasokkal rendelkező csoportokat csak az Azure AD globális rendszergazdája tudja létrehozni. 

  • Visszaélés
  • felügyelet
  • adminisztrátor
  • hostmaster
  • majordomo
  • Postamester
  • Gyökér
  • Biztonságos
  • biztonság
  • ssl-admin
  • Webmester

Csoportvisszaírás helyszíni környezetbe (előzetes verzió)

Napjainkban számos csoport továbbra is a helyi Active Directory. A felhőbeli csoportok helyszíni környezetbe való szinkronizálásának kérései megválaszolása érdekében az Azure AD Microsoft 365-csoportvisszaírási funkciója mostantól előzetes verzióban is elérhető.

Microsoft 365 csoportokat a felhőben lehet létrehozni és kezelni. A visszaírási képesség lehetővé teszi, hogy terjesztési csoportként Microsoft 365 visszaírni egy Active Directory telepített Exchange erdőbe. A helyszíni postaládával Exchange felhasználók e-maileket küldhetnek és fogadhatnak ezektől a csoportoktól. A csoportvisszaírási funkció nem támogatja az Azure AD biztonsági csoportokat és terjesztési csoportokat.

További részletekért tekintse meg az Azure AD szinkronizálási szolgáltatásának Csatlakozás dokumentációját.

Microsoft 365 csoportvisszaírás a Azure Active Directory (Azure AD) nyilvános előzetes verziójú funkciója, amely minden fizetős Azure AD-licenctervben elérhető. Az előzetes verziókra vonatkozó jogi információkért lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziókhoz.

Következő lépések

A PowerShell dokumentációját Azure Active Directory a parancsmagok Azure Active Directory találhatja.